COSO框架在保險分支機構風險管理中的應用

夏克清

近幾年，我國保險行業保持了較快的發展速度，保費規模不斷擴大，行業整體實力逐步提升。但是，目前保險公司在管理上還較為粗放，精細化程度不高，風險管理能力總體偏弱，特別是保險公司分支機構(本文所稱的分支機構是指保險公司省級分公司及以下機構)“重業務、輕管理”的問題較為突出，公司在經營管理上面臨較大風險隱患。美國反欺詐財務報告全國委員會的發起組織委員會(COSO)提出的企業風險管理框架(以下簡稱“COSO框架”)，為我國企業加強風險管理提供了理論指導，對保險公司分支機構實施全面風險管理具有較強的借鑒作用。

一、COSO框架的主要內容

COSO是美國反欺詐財務報告全國委員會(The National Commission on Fraudulent Financial Reporting)發起組織委員會(The Committee of Sponsoring Organizations)的英文縮寫。COSO于2004年頒布了全新的COSO報告:《企業風險管理 －整合框架》(Enterprise Risk Management-Integrated Framework)。該框架順應了安然、世通等財務舞弊案之后國際社會要求改善公司治理的呼聲，拓展了內部控制的內涵，提出了企業風險管理的全新概念，在更高層次、更寬范圍上推動和發展了內部控制，不管是在理論研究還是實務操作層面都產生了深遠的影響。

COSO框架對企業風險管理進行了詳細和全新的描述，它指出:“企業風險管理是一個過程，由一個主體的董事會、管理層和其他人員實施，應用于戰略制訂并貫穿企業之中，旨在識別可能影響主體的潛在事項、管理風險，以使其在該主體的風險容量之內，并為主體目標的實現提供合理保證。”在COSO報告中，企業風險管理包括八個構成要素，分別是:內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控。企業風險管理是一個動態、反復、多方向的過程，在這個過程中八個要素相互作用、相互影響，企業要綜合運用、系統平衡這八個要素，制定最優的風險管理組合。根據COSO框架，評價一個企業風險管理有效與否，要將八個構成要素聯系起來，綜合考慮運行過程及實施效果。

二、加強保險公司分支機構全面風險管理的必要性和重要性

風險在現代經濟社會中無處不在，對風險的利用和管理已成為一個全球性話題。提供風險保障是保險公司的基本職能之一，風險管理水平是保險公司核心價值和市場競爭力的集中體現。加強保險公司分支機構的風險管理水平，構建全面風險管理體系，是由公司內外部因素共同決定的，對行業發展來說也十分必要。

(一)由公司自身業務性質決定的

保險經營是對風險的經營，經營過程面臨的風險不同于一般企業。而且保險商品是一種特殊的無形商品，是對保險消費者的承諾，產品本身就具有較高的風險性，這在客觀上需要保險公司加強風險管理水平。分支機構作為保險公司的基層組織，是公司業務拓展的前沿和客戶服務的終端，面臨的風險主要有承保風險、理賠風險、財務風險以及人力資源風險等。保險公司的很多風險是從分支機構發源的，而各地分支機構的風險逐步積累到總公司，影響就大了。因此，必須加強風險管理，保證分支機構在經營上合法規范。

(二)由外部經濟社會環境決定的

現在國際國內經濟形勢趨于復雜，經濟社會的運行風險加大，企業開工不足、出口減緩、效益下滑等，給保險公司的承保帶來較大影響，分支機構面臨的市場競爭壓力加大。隨著自然災害發生頻率增加，人身傷害賠償標準不斷提高，保險公司的賠付支出也在不斷攀升。同時，新《勞動法》的實施，加大了保險公司的勞動用工風險和人工成本。投資收益的不穩定、銀行利率的波動都給保險公司的經營帶來諸多不確定性。外部環境的變化對保險公司的風險管理水平提出了更高要求。

(三)由保險監管部門要求決定的

近幾年，中國保監會對保險公司的風險管理建設越來越重視，先后發布了《保險公司風險管理指引(試行)》、《保險公司內部審計指引(試行)》、《保險公司合規管理指引》、《保險公司償付能力管理規定》、《保險公司內部控制基本準則》等制度，對保險公司風險管理的制度建設、組織機構、執行實施以及監督管理都提出了明確要求。

三、COSO框架在保險公司分支機構全面風險管理中的應用

全面風險管理是一個全新的管理方式，改變了過去的思維方式和管理觀念，構筑了風險管理的新框架。這是一項系統工程，涉及到企業經營管理的各個環節。保險公司分支機構的全面風險管理要以八個構成要素為基礎，結合公司的實際情況，逐步構建科學、合理、適應的風險管理框架。

(一)內部環境。內部環境包含組織的基調，是企業風險管理所有其他構成要素的基礎，為其他要素提供約束和結構，主要包括主體的風險管理理念、風險容量、董事會的監督、人員的誠信、道德價值觀和勝任能力、管理層分配權力和職責、組織和開發員工的方式等。從內部環境的內容來看，主要是組織機構和人的因素。

保險公司分支機構在內部環境建設中，首先，要樹立風險管理意識，把風險管理貫穿于企業流程的每個環節，滲透到員工的日常行為中，形成一種風險管理文化。其次，要組建和諧團結、精干負責的領導班子，領導層的重視是風險管理的關鍵。要設置精練高效、權責適當、與風險管理目標相匹配的組織構架，避免出現管理真空或職能重疊，為全面風險管理的實施奠定良好的組織基礎。再次，要堅持以人為本，注重人力資源的培養和利用，建立學習型組織，加強培訓力度，不斷提高員工隊伍素質，構筑風險管理的長效用人機制;同時風險管理要堅持人人參與的原則，將風險管理目標層層分解、逐級落實，做到全員參與、人人有責，構建全員的風險管理模式。

(二)目標設定。目標設定是事項識別、風險評估和風險應對的前提。在識別和評估實現目標的風險并采取行動管理風險之前，首先必須有目標，而且目標必須與企業的風險容量相協調。目標是分層級的，主目標之下會有相關的次級目標。目標大致可以分為三類:經營目標、報告目標和合規目標。經營目標關系到企業經營的有效性和效率;報告目標旨在為管理層提供準確而完整的信息，同時滿足外部監管的要求;合規目標要求企業從事的活動必須符合有關法律法規以及行業自律規定。

受各種因素影響，不同企業的風險管理目標會不同，甚至差異很大。保險公司分支機構在設定風險管理目標時要重點考慮以下三個方面的因素:一是總公司戰略選擇。分支機構的目標應該符合總公司的戰略要求。總公司的壓力通過目標的形式傳導給分支機構。二是當地的市場環境，包括經濟社會發展狀況、市場保費容量、市場主體的經營現狀、監管和行業自律環境等。從近幾年的情況來看，分支機構過于激進的目標，超越了總體市場容量，帶來了過度競爭以及違法違規問題。三是自身所處發展階段。這是一個分支機構的歷史階段問題，同時也是面臨的現實問題。只有正確分析和面對所處的發展階段，包括公司資源、人員結構、市場份額、綜合競爭力等，才能設定合理、有效的風險管理目標。

(三)事項識別。事項是源于內部或外部影響企業目標實現的事故或事件，可能帶來正面或負面影響，或者兩者兼而有之。企業管理層要對事項進行識別，以確定它們代表機會，還是代表風險。風險對企業實施戰略和實現目標具有負面作用。保險公司分支機構的外部影響因素主要包括經濟因素、政府行為、自然環境以及保險市場環境等。政治因素、社會因素和技術因素的影響較小，或者說影響作用發揮得很慢。內部影響因素主要包括基礎結構、人員、流程以及技術等。通過分析發現，分支機構的事項主要包括承保、理賠、財務與人力資源等。

(四)風險評估。企業在對事項進行識別之后，需要對事項作風險分析，從可能性和影響兩個角度進行評估，考慮事項對目標實現的影響程度。在風險既定的情況下，重點考慮剩余風險。在風險評估中一般采用定性與定量相結合的方法。定性分析法主要依靠分析人員的實踐經驗和主觀分析能力，判斷事項發生的可能性和影響。定量分析法一般采用數據模型，注重精確性和嚴密性，依賴完整的歷史資料和數據基礎。由于保險公司實行數據大集中，總公司設立精算部門對全國的數據進行測算分析，所以，分支機構在風險評估時可以更多地采用定性分析法，對風險發生的可能性和影響進行分級，并依據重要程度進行分檔，為下一步的風險應對和控制措施提供依據。

(五)風險應對。風險應對是企業在評估風險之后采取的應對策略，主要包括風險規避、降低、分擔和承受，使總體剩余風險處于期望的風險容限和風險容量之內。保險公司分支機構無力承擔的承保風險、超過風險容限的風險、總公司資本金無法支撐的風險，就要規避。理賠風險是無法回避的，可以采取合理的分保方式進行分擔，并加強理賠管理，擠壓水分，堵塞漏洞。財務風險，在風險容限以內的可以承受，違反外部監管規定的一定要回避。大多數時候可以采取降低風險的方式，加強財務管理，避免出現財務上的危機。人力資源風險中一般人員流動風險可以承受，但關鍵崗位人員的離職風險以及會帶動核心業務流失的離職風險，一定要規避和控制。

(六)控制活動。控制活動一般包括兩個要素:確定應該制定怎樣的政策以及政策實施的程序。控制活動包括批準、授權、驗證、調節、經營業績評價、資產安全及職責分離等，貫穿于整個企業，遍及每個層級和各職能機構。

根據COSO框架的設計，保險公司分支機構控制活動的政策和程序主要是制度層面和執行層面。制度是全面風險管理理念和流程的固化。分支機構需要按照風險管理的要求重新梳理和修訂現有的制度，形成符合本公司實際情況、切實可行的風險管理規章制度。在風險管理內部環境培養和制度推行的基礎上，運用內部考核和監督的方式為分支機構的風險管理構筑“硬性”邊界。考核應該科學、合理，監督必須持續、深入，推動執行層面的建設，切實解決執行力層層遞減這一分支機構管理中的突出問題。當然，外部監管也是分支機構執行力建設的重要因素，這是監管機關的監督作用內化為公司動力的體現。

(七)信息與溝通。現代社會是信息社會，企業要識別和獲取來自內部和外部的大量信息，并評估和應對風險，進而實現企業的經營目標。COSO框架指出，企業可以采取建立信息系統的方式解決信息獲取和利用效率的問題。保險公司分支機構的信息一般包括數據信息和非數據信息。數據信息存儲在業務財務系統中，獲取方便，使用上都有相關的分析模型，關鍵在于管控基礎數據輸入上的風險，防止“垃圾進、垃圾出”。非數據信息的識別和獲取就顯得更為重要。公司管理制度和外部監管政策傳遞是內部信息溝通的關鍵，同時要與投保人、中介機構、同業公司、政府機關以及其他利益相關人等外部機構保持良好有效的溝通。

(八)監控。監控是對企業風險管理構成要素進行監督評價。持續的監控活動貫穿在企業的經營活動中，主要包括經營報告、市場分析、內外部審計報告、監管部門報告以及員工意見反饋等。專門評價是監控的輔助活動，一般采用核對清單、調查問卷和流程圖技術等方法，也可以通過同行業對比的方法進行復核，或者尋找專門的評估機構進行全方位評價。

對保險公司分支機構來說，監控活動要重點做好內部稽核工作。內部稽核應該是廣義的，包括內部審計以及其他基于財務數據真實性的內部檢查等。目前有相當一部分保險公司實行大區審計稽核制度，一個大區審計中心負責一定數量分公司的審計稽核工作。這種制度受人力物力等因素的影響，不可能面面俱到，在審計的頻率、范圍以及深度方面會受到一定限制。因此，分支機構要加強內部稽核工作，在大區審計之外自行安排不同層次的內部稽核，與大區審計互補。在經營管理工作中，不斷完善稽核審計規章制度建設，加大稽核工作力度，提高稽核審計頻率，明確重點風險領域和關鍵環節，創新稽核審計工作方法，提高稽核審計工作的效果。必要時，可以引入外部審計力量，對內部稽核進行補充。加大內部稽核的力度，形成強有力的監控制度，為分支機構全面風險管理框架的合理構建和有效運行提供保障和支持。