摘编自安永咨询《2016-2017保险业风险管理白皮书》

2016年亚太区保险业首席风险官调研报告

摘编自安永咨询《2016-2017保险业风险管理白皮书》

一、调研背景

本次亚太地区首席风险官（CRO）调研旨在了解首席风险官/风险职能在保险公司和再保险公司中发挥的作用，及首席风险官中短期的关键重点事项。本调研旨在定性了解风险职能未来的不断变化及首席风险官的职责演变。在某种程度上，我们评估了首席风险官直接影响价值创造的能力，识别了他们所面对的关键挑战以及他们应对不断变化的监管要求和不稳定的经济环境时选择的重点事项，并汇总了他们对科技在行业中所扮演的不断变化角色的观点，及他们如何管理与科技相关的风险。

我们采访了众多总部位于亚太地区的领先的寿险和非寿险公司、再保险公司和知名保险集团，其皆善于经营多条保险业务线，产生的保费十分可观或业务触及全球各地。每家公司都具备独特的价值主张，是各自专业领域的市场领导者或引领潮流者。我们采访了12个集团或地区首席风险官。我们在此特别鸣谢受访首席风险官和公司抽出宝贵时间在本调查中分享见解。

首席风险官/风险职能面临的挑战是创建更先进、更有效的职能，有能力应对日益复杂的行业现状。高级管理层和资深负责人面临着探究一系列范围广泛的大趋势和市场力量的巨大压力，包括不断增多的监管要求、低利率、全球化及由新市场参与者带来的颠覆性变革。首席风险官的角色及其风险职能在探究这些问题时起到至关重要的作用。

本报告旨在提供对首席风险官/风险职能现状和变化动态及首席风险官不断演变的角色的实时概括和见解。

如图1所示，当前保险行业面临着多种多样的问题。

二、调研的关键主题

（一）首席风险官//风险职能在高管层地位突出

尽管首席风险官/风险职能在“传统”流程（如风险偏好和风险容忍度设定）中发挥领导作用，但在其他很多流程中对决策的作用不大，如模型治理和校验。我们观察到，欧洲在这一领域的成熟度较高，并预计亚太地区保险首席风险官的角色将朝着这一方向前进。风险职能应成长为更具战略性的角色。部分风险职能刚刚开始在战略性流程和决定（如产品审批和并购）中发挥更积极的作用。安永预计这一趋势将扩大，并在未来几年中推广至所有保险公司。

我们在调查中发现，一些领先保险公司的收益在2016年第一季度大幅下降，又在第二季度进一步恶化；低利率阴霾笼罩着保险公司及其客户；持续的监管压力及竞争加剧挑战保险公司的业务模式。

我们检视了所有建立了首席风险官/风险职能的亚太地区保险公司。通过直接接触董事会和高级管理层，发现如今的首席风险官/风险职能已明显超出了合规的作用。2016年，首席风险官/风险职能与财务在如下方面发挥了重要作用：应对或解决新问题、符合监管要求、业务规划、参与制定长期策略等。首席风险官/风险职能逐渐被视为以价值为本的成功保险公司的支柱。

▶图1 当前保险行业面临的各方面问题

（二）越来越多的首席风险官认为其角色是“战略促成者”

风险职能的根本性作用没有单一的界定。这部分是由于董事会、首席风险官和监管机构态度使然，但主要是企业环境成熟度和稳定度的体现。然而，对下行风险的关注仍然较多。以下为首席风险官的根本性职能：风险职能的唯一作用是使董事会免于遭受不利事件的影响；风险职能全面了解监管机构要求，使风险透明化并负责进行风险意识和管理教育；风险职能作为战略的另一面，在允许范围内实现机遇。

首席风险官们认为：

风险职能可为第一道防线提供咨询服务。风险职能一旦脱离业务，就失去了相关性。风险部门需要成为支柱，对第一道防线提出质疑，并保持恰当独立性。作为首席风险官，在第二道防线职能中负责积极推广强有力的风险文化，以加强风险管理，因为风险管理是战略和业务经营的核心，还负责就保险行业内的所有与风险管理相关的事项，向高级领导团队提供指引和支持。

涉及《欧洲偿付能力II》合规时，风险职能起到监管作用。为了优化回报或抵销风险、避免风险集中、确保符合相关监管要求，风险职能负有建立恰当基础设施以实现这些目标的最终责任。

风险职能不能只关注下行风险，而是应该确保业务部门开展更多盈利性的业务。与业务部门一起建模，确保驱动有盈利、可持续的业务增长。

（三）首席风险官仍难以说明其如何增加价值

▶图2 风险职能在广泛的业务流程中发挥作用

▶图3 风险职能在监管和业务事项之间的时间分配

很多首席风险官认为，在高管团队占有一席之地是其为公司创造价值的唯一关键指标，而价值创造也是企业经常提出的问题，首席风险官应迅速应对。我们观察到其他职能（包括内部审计）采用清晰的指标衡量其为企业带来的价值。这指的不是个人绩效指标，相反，指的是首席风险官/风险职能能够明确表明对业务方向、战略和决策制定带来的积极影响——归根结底是对利润的影响。全球各地领先保险公司的首席风险官正在制定关键风险指标（KRI）和关键绩效指标（KPI），帮助他们展示如何创造价值。我们预计在未来几年内，亚太地区保险公司也会采取相同的措施。

首席风险官们认为：如今，风险职能构成“常规业务”流程的一部分，因此风险职能也更频繁地受邀参与活动或举措的整个流程，而不是仅在最后提出建议。此外，风险职能也经常受邀参与董事会会议，这证明了风险职能为利益相关方带来的价值。

近期增值指标包括：与业务部门更好的互动；风险职能受邀出席决策制定会议，而非仅被告知决定结果；向投资或资金管理引入风险管理原则；外部验证；董事会风险管理委员会的反馈等。

（四）首席风险官普遍关注风险文化在风险管理中的作用和位置

▶图4 保险公司风险管理框架

▶图5 以有效的机制来实现预期行为结果

首席风险官越来越意识到，要应对这些挑战，他们需要在未来几年优化风险治理，并在公司内培养风险文化。亚太地区保险公司在这方面与欧洲保险公司之间存在着微小的差距，这一差距在未来几年内应进一步缩小。

尽管为了证明已遵循“三道防线”原则做了很多工作，但要确保该模式取得实际应用效果仍然任重道远。主要实际挑战包括：董事会和管理层的“认识”及认可；澄清三道防线中角色和职责；第一道防线责任归属不明确；风险职能在实践中发挥的有效作用；提高董事会和管理层对风险事项的认识；为鉴证活动设定范围、开展工作时，识别第二和第三道防线职能中的重叠和低效领域；定期与相互依赖的其他控制职能相联系，如合规职能；通过培训和确立正确的顶层基调，不断重申在第一道防线中的责任归属；界定首席风险官/风险职能参与关键决定的时点，并加强全部三道防线员工对问责制的理解。

我们认为金融服务机构在应对风险治理方面将面临重大变革。所需的转型要通过多年全面努力才能实现实质性突破。为了在当今市场上保持前列地位，公司应采取综合方法，利用风险治理升级中所获得的价值；同时关注短期和长期的财务及非财务风险，注入不断演变的监管和监督预期，并在确保成本效益的原则下实现切实的效果。我们称之为风险治理2020：从令人满意到有效且可持续。

风险文化是企业员工（个人或集体）的行为，其影响风险和最终结果——是实施企业风险管理框架的关键促进因素。风险文化受到关注的原因是利益相关方和监管压力、消费者保护标准提高及公众对金融机构的观点。不断出现的控制失灵和行为失误问题使监管机构认为金融企业内部存在根本性的文化缺失。强大的风险文化不再是“附加优势”而是必备。金融机构长期依赖于顶层基调影响文化，但并不成功。这就需要在从上至董事会下到第一道防线业务单位的所有层面上采取更系统性的方法。关键是这些致力于建立更强大风险文化而作出的努力应与保险公司内广泛的组织文化保持一致，相辅相成。

健全的风险文化具有以下特征：领导——中层基调与顶层基调一致，这将确定期望的风险管理行为；组织——治理和业务模式将支持期望的风险管理行为的落实，健全问责机制和激励有效质疑；风险框架——将企业管理风险和激励有效质疑的方式嵌入风险管理框架；激励——员工生命周期和激励措施将支持期望的风险管理行为的落实。

（五）健全所有风险领域的风险问责制和加强对风险偏好的了解仍然是首席风险官的挑战

高管层通常理解其对风险所承担的责任，不过，要使全体员工理解风险或对其负责，还需要付出更多努力。意料之中的是，监管资本和流动性仍然是企业风险偏好声明中最常使用的指标。尽管许多企业风险偏好中没有操作风险指标，但大多数保险公司设定了一些量化限额。操作风险与资本影响之间的关系有时并不清晰。因此，对风险偏好的问责和最终盈亏责任归属之间相互关系的直接理解不够充分。

保险公司持续提升其风险偏好以更好地为风险监督等方面的决策制定提供信息。风险偏好作为再保险购买、业务收购和承保决策的考虑因素，已有明确先例。这表明风险管理的基础设施与业务驱动因素更加一致了。成熟的企业已经意识到，需要根据风险偏好调整行为和文化——这仍在进行中。

出乎意料的是，在不同风险类别的量化限额设定方面，亚太地区的受访者认为其已领先于欧洲和美国的同行。在欧洲和美国，量化方法已经存在了一段时间，保险公司现在已经完全意识到这比预期更具挑战性，特别是在资本影响不明确的操作风险方面。我们预计，亚太地区的保险公司在将风险偏好运用到更加细化的限额体系中时，挑战性会愈加明显。

虽然调查结果显示，亚太地区保险公司比欧洲和美国的保险公司定了更多的量化限额，但我们同时也发现欧洲和美国的市场更加成熟。欧美保险公司已经随着时间的推移逐渐完善了他们的方法以更好地适应其环境。我们发现，很多亚太地区保险公司仅仅在最近才设定了量化限额，未来仍有提升空间。

▶图6 企业风险偏好中使用的度量标准

▶图7 已对相关风险设定量化限额的首席风险官比例

（六）首席风险官认识到操作风险管理等方面的缺陷，力求提高其有效性

亚太地区的保险公司在关注操作风险方面仍然呈现分化态势。一些公司过于关注，而另一些公司则关注不够。只有极少数公司找到了适当的平衡。对操作失误的处罚已经达到了会对公司盈利能力产生重要影响的程度，往往导致重大声誉损失。针对风险和控制评估，大多数保险公司同时采用自上而下和自下而上的方法，而且意识到需要根据更广泛的风险管理活动进行调整，如情境分析和风险偏好设定。一大部分受访者提到，网络和行为是他们最关心的方面，应作为主要的操作风险关注领域，尤其是对于具备严格的行为监管机构的市场而言。

（七）在投资于人员还是技术的选择中，最终胜出的总是人员

尽管首席风险官承认需要不断提高其现有IT能力，但我们发现，在增加对新科技投资时，他们仍犹豫不前。第二道防线团队的人员、结构和更广泛的技能仍需要经历多个成熟阶段。

尽管成本压力巨大，保险公司还是越来越重视更换老化的系统，巩固IT系统和基础设施，部署新技术以及试用新科技。然而，可能是因为IT预算通常不涵盖风险职能，首席风险官对新技术的投资积极性不高。受访者的关注点仍然是确保风险职能中具备多学科技能，包括精算和数据分析能力的人员，以便管理网络风险等复杂的风险，以及与适当的数据治理、不断变化的监管及职业道德要求相关的其他风险。

鉴于技术（例如大数据和分析工具、网络等）作用的不断增大使保险业受到新风险和机会的影响，风险职能需要以下额外的技能：反洗钱（反恐融资）、新风险、IT与网络、核保、资产负债管理、市场行为、数据分析、数据保护、市场风险和信用风险、核赔等。

首席风险官要做好工作需要各种能力和创新思维，超越传统的精算、财务、风险和审计资源池。对人员的投资不仅仅意味着人数，而应注重“更有分量”的个人。此时应该逐渐推行针对个人的专业化发展计划，以解决结构缺陷阻碍个人发挥潜力的问题。人们可能对轮换计划的重要性看法不一，即一名优秀的第二道防线人员不一定是优秀的第一道防线候选人，反之亦然。但确实需要一条职业发展道路能够吸引和留住优秀的人才，而这条道路的起始不一定局限于风险职能部门。已经实现“纵深强度”的风险职能是时候考虑其风险技术能力是否在阻碍团队实现目标。

三、其他值得注意的调查发现

（一）模型风险管理

▶图8 首席风险官用于操作风险管理的时间比例

▶图9 风险职能预算变化情况

▶图10 未来人员和IT预算分配比例

▶图11 首席风险官想通过IT投资解决的技术限制

▶图12 风险职能部门人员变化情况

亚太地区具备和不具备模型治理和验证方案的保险公司各占50%。在发展过程中，他们可从欧洲市场的情况中汲取经验：大型欧洲保险公司的首席风险官目前似乎已为内部模型框架打下基础，并成立了专门的风险管理方案团队，未来有望设立集中式结构。所有建立了风险管理体系的欧洲受访者都认为应由首席风险官担负主要责任。

（二）压力与情景测试

压力测试是保险公司风险管理系统中的一个重要组成部分（特别是在内部资本充足率评估流程和ERM/ORSA之下）。大多数保险公司认为在这方面仍有提升空间。不出所料，调查显示，监管资本是压力和情景测试的主要驱动因素。亚太地区监管机构已经着手开始测试行业的承受恢复能力。这不应被视为一次性的测试，应从测试中汲取经验教训。资本承受恢复能力以外的和服务于管理目的的压力与情景测试被视为关键增值领域。需要关注多年期和新兴的风险领域。

领先的压力测试实践包括以下特征：1.结果被纳入决策制定；2.充分了解限制、假设和不确定性；3.应对现实的逆境，包括现实的管理层反应；4.数据和IT足够协调、灵活、可靠和完整；5.可信的建模和预测。

在压力与情景测试方面，首席风险官还希望进一步实行的工作包括：实施或细化随机建模；测试资本以外更广泛的问题；扩大目前的情景组合，提高频率并确保与资本的明确联系；改进风险参数和所使用的模型；更少、更简化的情景。

（三）地区差异

将亚太地区的调查结果与欧洲、美国等其他地区进行比较时发现，主要差异体现在以下方面：人才的获得、当地董事会不熟悉企业风险管理、有待提高的三道防线模式、对文化变革的强烈需求、尚未成型的操作风险管理模式、模型风险管理不够正式等。

亚太地区作为一个整体，其内部也存在一些差异，澳大利亚较东盟和大中华区似乎相对更为成熟。