监管视角下保险公司操作风险管理研究
2020-11-30唐明侠
唐明侠
摘要:随着社会经济和金融科技的快速发展,加强保险业风险管理,防范和化解系统风险,已成为监管部门和保险业聚焦的核心问题。在保险行业面临的七大类风险中,作为基础性风险的操作风险,贯穿于保险公司经营管理各环节,且易诱发其他风险。本文主要从“偿二代”监管政策出发,分析保险公司操作风险管理中的难点及产生原因,并对做好操作风险管理提出建议,以推动保险公司操作风险管理水平提升。
关键词:监管政策 操作风险 管控措施
多年来,在强监管政策下,监管部门在关注保险公司法人资本管理的同时,更加注重保险公司内控管理中的操作风险。操作风险是全面风险管理的重要组成部分,也是保险公司稳健经营的基础保障,保险公司深知操作风险防范的重要性和紧迫性,不断增强大局意识和责任意识,切实把操作风险管理作为当前和今后时期的重点工作。
一、以风险为本的监管政策
面对保险市场主体多元发展趋势,建立和规范保险公司治理结构,保险监管部门出台了一系列监管政策。在1999年《保险公司内部控制建设指导意见》出台后,2003年保监会制定了《保险公司偿付能力额度及监管指标管理规定》,实现我国偿付能力监管从无到有的历史性跨越。2007年保监会出台了《保险公司风险管理指引(试行)》,2010年在财政部等五部委联合发布了《企业内部控制基本规范》的基础上,保监会出台了《保险公司内部控制基本准则》,2015年出台了《保险公司偿付能力监管规则(1—17号)》等。特别是第二代偿付能力监管制度體系建立,原有的规模导向被风险导向取代,从内部控制、偿付能力及全面风险管理的不同角度,体现了保监会“放开前端,管住后端”监管改革要求,促进和保障了保险业市场化改革,进一步推动了保险公司经营管理流程再造,对保险公司标准化、精细化管理提出了更高要求。
在市场竞争条件下,从严监管是实现保险公司自我约束、守住风险底线,依法合规经营的重要途径。据不完全统计,2019年银保监会、各级监管机构共向保险业发出了800多张行政处罚,罚款总金额已突破1亿元。保险公司违法行为主要表现为:车险业务虚列费用,给予投保人保险合同约定以外的利益;报表数据不真实,风险处置制度、机制不健全,未按规定提取准备金;聘任不具有任职资格人员担任公司高管,违规销售投资型保险产品等,其中虚列费用等为罚单重灾区。
人民银行为了提升监管有效性,2019年开展了1700多项反洗钱执法检查,处罚违规机构500多家,罚款超2亿元;处罚个人800多人,罚款1300多万元。其中检查保险机构220家,处罚违规机构63家,罚款总额近1800万元;处罚个人83人,罚金总额155万元。从罚款内容来看,违反反洗钱的客户身份识别、可疑交易报告报送等义务规定是反洗钱处罚重点。监管处罚力度加大,一方面体现了维护保险行业有序竞争重要性和必要性,另一方面说明了保险公司内控管理、合规经营等方面还存在薄弱环节,特别是操作风险管理水平有待进一步提高。
二、日益重视的操作风险
(一)操作风险定义
2004年6月,巴塞尔协议定义操作风险是由不完善或有问题的内部程序、人员及系统或外部事件而造成的风险,包括法律风险,但不包括战略风险和声誉风险。巴塞尔协议对于操作风险定义基本已被国际上通用。2015年,《保险公司偿付能力监管规则》规定,操作风险是指由于不完善的内部操作流程、人员、系统和外部事件而导致直接或间接损失的风险,包括法律及监管合规风险(不包括战略风险和声誉风险)。从定义范围来看,我国对操作风险定义与巴塞尔协议的说法相似,随着金融全球化的发展,我国保险业发展必然与国际接轨,国际通用操作风险标准将更加规范。当然,在实际应用中,从流程角度阐述操作风险的产生很容易把操作风险范围定在操作运营层面,需要特别澄清的是由于高层所造成一些损失或者是由于声誉事件所造成的一些损失,不在操作风险的定义范畴。
(二)操作风险主要类型
依照发生操作风险的决定因素,可以将其分为内部风险和外部风险。内部风险是指内部因素引起的操作风险,主要包括由于组织结构变化和内部行为传导不及时而产生的组织风险,由于流程设计不合理、不完善和执行不严格等产生的流程风险,由员工操作失误、内部欺诈、人员流失等产生的人员风险,系统缺陷、失灵等产生的系统风险;外部风险是指外部因素引起的,风险主要是由于外部欺诈、法律和政策环境以及突发事件等因素产生。从风险产生的频率以及导致的损失划分,可以分为可预测、不可预测的操作风险。可预测风险是由于操作失误而频繁发生的风险,特点多为高频低损;不可预测风险主要是由非正常原因引起的损失风险,如低频高损事件的发生。根据巴塞尔新资本协议,从操作风险发生原因分类,可以分为内部欺诈、外部欺诈、内部环境、产品或客户、灾害性的事件、业务和系统、交易过程管理等七类损失风险。
(三)操作风险特征
由于操作风险有丰富内涵和外延,为了更好地管理操作风险,需要对操作风险特征有所了解和把握。操作风险最主要特征为:一是内生性。相对于信用风险和市场风险而言,操作风险的生成更多是因为保险公司内部违规操作。由于保险公司业务发展的客观性,使得操作风险永远存在。二是人为性。在上述操作风险损失事件分类中,巴塞尔新协议对操作风险7类划分中有6类与人为因素直接相关,人为操作失误存在有意或无意,业务人员往往对业务流程更熟悉,更容易发生舞弊,形成道德风险。三是不确定性。操作风险损失很难估计,一般预测的损失可能较小。因此,对操作风险管理的过程,不仅依靠资本配置和业务规模扩大,还需要结合其他的措施。
三、操作风险管理面临困难
金融行业风险管理调查问卷显示,超过九成保险公司管理者认为已经建立了很好的信用风险管理机制,超过七成保险公司管理者认为已经建立了很好的市场风险管理体制,只有半数保险公司管理者认为操作风险管理是恰当的。因为操作风险管理面临着很多复杂多变的环境,对操作风险进行量化管理,也是保险业共同面对的风险管理难题。
(一)操作风险复杂性
保险公司操作风险是与人员、系统流程等因素相联系的,其复杂程度随着不同对象、规模、风险程度变化而变化,其复杂性明显。一是面对竞争日益激烈的市场环境,保险公司为了完成目标任务,往往重规模、轻质量,不同程度地增加了操作风险事件发生的概率。二是保险销售人员素质参差不齐,离职率高,销售行为不规范,存在误导消费者及内部舞弊等情况。三是多数保险公司以中介渠道业务为主,以直保业务为辅,销售渠道管理还不完善,很难实现保险公司直接服务客户目的,产品质量和客户满意度受到影响。四是受社会信用、道德行为及保险行业自律等因素影响,给业务经营的高质量发展带来潜在风险隐患。
(二)操作风险不可控性
在保險公司偿付能力风险管理中,操作风险主要产生于内部经营管理,是难以被量化和分散的风险,为最低资本的固有风险,按规定纳入风险评级进行评估。一是内部人员为获得短期利益而损害保险公司长期利益,员工舞弊、主观上故意冒险和投机行为,极易形成道德风险,这种因人为操作失控而导致的严重后果时有发生。二是操作风险管理涉及保险公司内部所有部门,几乎覆盖了保险经营管理的各个方面,风险覆盖面较大。三是操作风险诱因很多,既有内部的也有外部的,既有自律约束的也有不执行制度的,既有公司高层领导也有普通员工,既有思想上也有行动上等。四是操作风险工具层面,风险与控制自我评估获取信息不充分,关键风险指标系统录入数据不完整,损失数据收集、损失事件识别、通报与处理不及时。五是操作风险是金融界最为重要的风险类型,其损失数据是难以度量的,通常情况下只能粗略估计,外部数据也存在着局限性。
(三)操作风险管理体制不健全
保险公司虽建立了操作风险管控机制,但与偿付能力监管政策的要求还有差距,特别是中小保险公司存在操作风险管理机制不到位,事前风险防范、事中风险控制和事后风险处理等方面的管理制度不健全。国内行业领先的保险公司在现有业务产品、服务及管理活动的基础上,按照流程生命周期,以“全流程”方式进行梳理、识别,建立健全操作风险管理制度和工作流程,进行层级化、系统化管理,但中小保险公司日常管理方法、工具体系及工作流程不能满足业务经营的需要和监管规则要求,在一定程度上存在着形式主义。
四、操作风险管理要求
在严监管态势下,保险公司作为经营风险的金融机构,在业务经营快速发展过程中,越来越重视内控环境、财务状况及客户利益等方面的操作风险管控。保险公司操作风险管理应着重解决为何管理、由谁管理、如何管理和管理效果如何等问题。保险公司应建立与其业务性质、规模、复杂程度和风险特征相适应的操作风险管理制度,建立健全操作风险操作规程,进行主动识别、评估、监测、控制和报告。
操作风险管理工作贯穿保险公司各层级、各环节当中,这个过程需要全员参与配合,这就要求从高层明确相关风险管理责任,多层面、全立体有机结合,形成行之有效的操作风险管控体系,推进操作风险管理规范化和常态化建设。
五、操作风险管控措施
在市场约束和监管部门监督下,保险公司操作风险管理关键是对人的管理,从公司治理到员工舞弊,其中道德风险管理难度加大,加强合规文化建设,利用管理工具和科技手段,发挥“三道防线”合力作用,实现操作风险管理水平提升。
(一)完善组织体系
根据国家宏观经济政策,在监管部门指导下,建立保险公司治理、内部控制和风险管理组织体系和制度体系,公司治理层决定操作风险管理的态度和管理决策,从风险偏好及战略规划出发,从上到下分别建立政策框架、风险管理办法、操作规程等,合理构建各机构和业务条线操作风险管理具体机制,履行相应的操作风险职责,通过适当授权和层级审批形成合理制约和有效的监督,发挥合规风险管理“三道防线”作用,推进操作风险管理效能的不断提升。
(二)信息系统建设
保险公司应当建立涵盖风险管理基本流程和控制环节的信息系统,实现风险信息在职能部门和业务单位之间的集成与共享。为推进风险控制和管理目标实现,由行业主管部门或法人保险机构牵头,通过系统整体设计及改造,按照投资效益原则,通过对现有内控流程进行梳理,对关键风险点进行审查,寻找最佳系统实施方案,搭建操作风险信息管理平台,实现操作风险的自动监控,为业务类系统和基础管理类系统提供更加全面的防控措施,为积极应对市场变化和内外部监管需求,提供强大信息系统支持。
(三)增强人文管理
良好企业文化营造良好的内部环境,进而为有效管理奠定了基础。在公司内部,倡导操作风险人人有责的风险理念,加强各级人员的企业文化培训,培养良好的廉洁合规文化,营造清风气正文化氛围。从人的角度出发,用人的因素加强人本管理,引进多样化的专业人才,从人员的综合素质、道德风险、人员之间的监督和约束机制来解决风险防范等问题。外部环境方面,找出适合公司长远发展的应对策略,合理确定目标规划,有效发挥金融企业服务实体经济作用。
(四)加强流程管控
目前,流程管控已成为搞好风险管控的重要手段,每位员工都是操作风险的第一责任人,其主要职责包括依照法律法规和业务流程,对风险进行主动识别、评估和报告。在完善各业务条线的内部操作流程基础上,做好流程的分析筛选,建立操作风险因子和控制措施之间的关联性,将内部控制流程嵌入到信息系统当中,定期对信息系统安全性和可操作性进行评估,建立内部控制缺陷自动评估、报告机制,加强对重要业务事项和高风险领域实行重点管控,防范因设置不恰当而造成操作风险事件发生。
(五)科学运用工具
保险公司定期进行操作风险与控制的自我评估,科学有效识别操作风险控制存在的问题并持续改进,提升风险评估能力。风险管理部门应协调相关部门建立和维护关键风险指标库,监测可能造成的损失,进行整体分析和评估,并采取相应的控制措施。保险公司应建立损失数据库,加强内部历史数据和同业损失数据统计分析,揭示操作风险变化趋势,预测某些风险潜在的可能性,为战略决策提供依据。在实际工作中,将“三大工具”进行有效的结合,借助信息技术手段,抓好落地实施,提升风险管理能力。
(六)激励约束机制
建立健全绩效考核制度,将内部检查、审计结果与各机构部门员工的绩效考核挂钩,鼓励自查自纠和举报自首,对提供线索查实的举报人员给予表彰奖励。要将操作风险的控制目标与员工的职业发展职位晋升挂钩。科学设置绩效考核指标体系,考核指标权重偏向于规模、速度、质量内控指标,应在平衡积分卡当中加入操作风险管理指标,强化对各层级人员的激励与约束。同时,在加强风险管理部门对绩效考核享有独立性的同时,加强管理层内部监督,加强IT系统的风险防范,加强核心系统的数据管理和指标的监控,逐步完善持续有效的激励约束机制。
(七)数据报告制度
保险公司应加强保险业风险防范前瞻性、有效性和针对性管理,应建立操作风险应急管理制度,明确重大风险事件的管理组织架构、内容、处置方法和措施。应建立操作风险定期报告、重大事项立即报告制度,按照保险监管机构规定,及时、准确、完整地报送相关报告、报表、文件和资料,强化报告责任、路径、频率,确保数据报送的质效。同时,监管部门继续致力于推动保险公司发挥数据风险管理职能,不断完善保险公司数据风险管理体系,提高数据智能化管理在公司治理中的基础性作用,持续提升保险业风险防范能力和竞争力。
参考文献:
[1]浅析2019年上半年国内保险市场经营情况[J].上海保险,(2019)9:34-40.
[2]李慧娟 .偿二代下我国保险公司偿付能力研究 [J]. 时代金融,(2018)9:253页及266页.
[3]王伊琳 莫舒萍.保险案例视角下保险公司合规经营研究 [J].保险职业学院学报,(2019)4:76-79.
[4]《保险公司偿付能力监管规则》等相关制度文件.
作者单位:国元农业保险股份有限公司上海分公司