2016年亞太區保險業首席風險官調研報告

摘編自安永咨詢《2016-2017保險業風險管理白皮書》

2016年亞太區保險業首席風險官調研報告

摘編自安永咨詢《2016-2017保險業風險管理白皮書》

一、調研背景

本次亞太地區首席風險官（CRO）調研旨在了解首席風險官/風險職能在保險公司和再保險公司中發揮的作用，及首席風險官中短期的關鍵重點事項。本調研旨在定性了解風險職能未來的不斷變化及首席風險官的職責演變。在某種程度上，我們評估了首席風險官直接影響價值創造的能力，識別了他們所面對的關鍵挑戰以及他們應對不斷變化的監管要求和不穩定的經濟環境時選擇的重點事項，并匯總了他們對科技在行業中所扮演的不斷變化角色的觀點，及他們如何管理與科技相關的風險。

我們采訪了眾多總部位于亞太地區的領先的壽險和非壽險公司、再保險公司和知名保險集團，其皆善于經營多條保險業務線，產生的保費十分可觀或業務觸及全球各地。每家公司都具備獨特的價值主張，是各自專業領域的市場領導者或引領潮流者。我們采訪了12個集團或地區首席風險官。我們在此特別鳴謝受訪首席風險官和公司抽出寶貴時間在本調查中分享見解。

首席風險官/風險職能面臨的挑戰是創建更先進、更有效的職能，有能力應對日益復雜的行業現狀。高級管理層和資深負責人面臨著探究一系列范圍廣泛的大趨勢和市場力量的巨大壓力，包括不斷增多的監管要求、低利率、全球化及由新市場參與者帶來的顛覆性變革。首席風險官的角色及其風險職能在探究這些問題時起到至關重要的作用。

本報告旨在提供對首席風險官/風險職能現狀和變化動態及首席風險官不斷演變的角色的實時概括和見解。

如圖1所示，當前保險行業面臨著多種多樣的問題。

二、調研的關鍵主題

（一）首席風險官//風險職能在高管層地位突出

盡管首席風險官/風險職能在“傳統”流程（如風險偏好和風險容忍度設定）中發揮領導作用，但在其他很多流程中對決策的作用不大，如模型治理和校驗。我們觀察到，歐洲在這一領域的成熟度較高，并預計亞太地區保險首席風險官的角色將朝著這一方向前進。風險職能應成長為更具戰略性的角色。部分風險職能剛剛開始在戰略性流程和決定（如產品審批和并購）中發揮更積極的作用。安永預計這一趨勢將擴大，并在未來幾年中推廣至所有保險公司。

我們在調查中發現，一些領先保險公司的收益在2016年第一季度大幅下降，又在第二季度進一步惡化；低利率陰霾籠罩著保險公司及其客戶；持續的監管壓力及競爭加劇挑戰保險公司的業務模式。

我們檢視了所有建立了首席風險官/風險職能的亞太地區保險公司。通過直接接觸董事會和高級管理層，發現如今的首席風險官/風險職能已明顯超出了合規的作用。2016年，首席風險官/風險職能與財務在如下方面發揮了重要作用：應對或解決新問題、符合監管要求、業務規劃、參與制定長期策略等。首席風險官/風險職能逐漸被視為以價值為本的成功保險公司的支柱。

?圖1 當前保險行業面臨的各方面問題

（二）越來越多的首席風險官認為其角色是“戰略促成者”

風險職能的根本性作用沒有單一的界定。這部分是由于董事會、首席風險官和監管機構態度使然，但主要是企業環境成熟度和穩定度的體現。然而，對下行風險的關注仍然較多。以下為首席風險官的根本性職能：風險職能的唯一作用是使董事會免于遭受不利事件的影響；風險職能全面了解監管機構要求，使風險透明化并負責進行風險意識和管理教育；風險職能作為戰略的另一面，在允許范圍內實現機遇。

首席風險官們認為：

風險職能可為第一道防線提供咨詢服務。風險職能一旦脫離業務，就失去了相關性。風險部門需要成為支柱，對第一道防線提出質疑，并保持恰當獨立性。作為首席風險官，在第二道防線職能中負責積極推廣強有力的風險文化，以加強風險管理，因為風險管理是戰略和業務經營的核心，還負責就保險行業內的所有與風險管理相關的事項，向高級領導團隊提供指引和支持。

涉及《歐洲償付能力II》合規時，風險職能起到監管作用。為了優化回報或抵銷風險、避免風險集中、確保符合相關監管要求，風險職能負有建立恰當基礎設施以實現這些目標的最終責任。

風險職能不能只關注下行風險，而是應該確保業務部門開展更多盈利性的業務。與業務部門一起建模，確保驅動有盈利、可持續的業務增長。

（三）首席風險官仍難以說明其如何增加價值

?圖2 風險職能在廣泛的業務流程中發揮作用

?圖3 風險職能在監管和業務事項之間的時間分配

很多首席風險官認為，在高管團隊占有一席之地是其為公司創造價值的唯一關鍵指標，而價值創造也是企業經常提出的問題，首席風險官應迅速應對。我們觀察到其他職能（包括內部審計）采用清晰的指標衡量其為企業帶來的價值。這指的不是個人績效指標，相反，指的是首席風險官/風險職能能夠明確表明對業務方向、戰略和決策制定帶來的積極影響——歸根結底是對利潤的影響。全球各地領先保險公司的首席風險官正在制定關鍵風險指標（KRI）和關鍵績效指標（KPI），幫助他們展示如何創造價值。我們預計在未來幾年內，亞太地區保險公司也會采取相同的措施。

首席風險官們認為：如今，風險職能構成“常規業務”流程的一部分，因此風險職能也更頻繁地受邀參與活動或舉措的整個流程，而不是僅在最后提出建議。此外，風險職能也經常受邀參與董事會會議，這證明了風險職能為利益相關方帶來的價值。

近期增值指標包括：與業務部門更好的互動；風險職能受邀出席決策制定會議，而非僅被告知決定結果；向投資或資金管理引入風險管理原則；外部驗證；董事會風險管理委員會的反饋等。

（四）首席風險官普遍關注風險文化在風險管理中的作用和位置

?圖4 保險公司風險管理框架

?圖5 以有效的機制來實現預期行為結果

首席風險官越來越意識到，要應對這些挑戰，他們需要在未來幾年優化風險治理，并在公司內培養風險文化。亞太地區保險公司在這方面與歐洲保險公司之間存在著微小的差距，這一差距在未來幾年內應進一步縮小。

盡管為了證明已遵循“三道防線”原則做了很多工作，但要確保該模式取得實際應用效果仍然任重道遠。主要實際挑戰包括：董事會和管理層的“認識”及認可；澄清三道防線中角色和職責；第一道防線責任歸屬不明確；風險職能在實踐中發揮的有效作用；提高董事會和管理層對風險事項的認識；為鑒證活動設定范圍、開展工作時，識別第二和第三道防線職能中的重疊和低效領域；定期與相互依賴的其他控制職能相聯系，如合規職能；通過培訓和確立正確的頂層基調，不斷重申在第一道防線中的責任歸屬；界定首席風險官/風險職能參與關鍵決定的時點，并加強全部三道防線員工對問責制的理解。

我們認為金融服務機構在應對風險治理方面將面臨重大變革。所需的轉型要通過多年全面努力才能實現實質性突破。為了在當今市場上保持前列地位，公司應采取綜合方法，利用風險治理升級中所獲得的價值；同時關注短期和長期的財務及非財務風險，注入不斷演變的監管和監督預期，并在確保成本效益的原則下實現切實的效果。我們稱之為風險治理2020：從令人滿意到有效且可持續。

風險文化是企業員工（個人或集體）的行為，其影響風險和最終結果——是實施企業風險管理框架的關鍵促進因素。風險文化受到關注的原因是利益相關方和監管壓力、消費者保護標準提高及公眾對金融機構的觀點。不斷出現的控制失靈和行為失誤問題使監管機構認為金融企業內部存在根本性的文化缺失。強大的風險文化不再是“附加優勢”而是必備。金融機構長期依賴于頂層基調影響文化，但并不成功。這就需要在從上至董事會下到第一道防線業務單位的所有層面上采取更系統性的方法。關鍵是這些致力于建立更強大風險文化而作出的努力應與保險公司內廣泛的組織文化保持一致，相輔相成。

健全的風險文化具有以下特征：領導——中層基調與頂層基調一致，這將確定期望的風險管理行為；組織——治理和業務模式將支持期望的風險管理行為的落實，健全問責機制和激勵有效質疑；風險框架——將企業管理風險和激勵有效質疑的方式嵌入風險管理框架；激勵——員工生命周期和激勵措施將支持期望的風險管理行為的落實。

（五）健全所有風險領域的風險問責制和加強對風險偏好的了解仍然是首席風險官的挑戰

高管層通常理解其對風險所承擔的責任，不過，要使全體員工理解風險或對其負責，還需要付出更多努力。意料之中的是，監管資本和流動性仍然是企業風險偏好聲明中最常使用的指標。盡管許多企業風險偏好中沒有操作風險指標，但大多數保險公司設定了一些量化限額。操作風險與資本影響之間的關系有時并不清晰。因此，對風險偏好的問責和最終盈虧責任歸屬之間相互關系的直接理解不夠充分。

保險公司持續提升其風險偏好以更好地為風險監督等方面的決策制定提供信息。風險偏好作為再保險購買、業務收購和承保決策的考慮因素，已有明確先例。這表明風險管理的基礎設施與業務驅動因素更加一致了。成熟的企業已經意識到，需要根據風險偏好調整行為和文化——這仍在進行中。

出乎意料的是，在不同風險類別的量化限額設定方面，亞太地區的受訪者認為其已領先于歐洲和美國的同行。在歐洲和美國，量化方法已經存在了一段時間，保險公司現在已經完全意識到這比預期更具挑戰性，特別是在資本影響不明確的操作風險方面。我們預計，亞太地區的保險公司在將風險偏好運用到更加細化的限額體系中時，挑戰性會愈加明顯。

雖然調查結果顯示，亞太地區保險公司比歐洲和美國的保險公司定了更多的量化限額，但我們同時也發現歐洲和美國的市場更加成熟。歐美保險公司已經隨著時間的推移逐漸完善了他們的方法以更好地適應其環境。我們發現，很多亞太地區保險公司僅僅在最近才設定了量化限額，未來仍有提升空間。

?圖6 企業風險偏好中使用的度量標準

?圖7 已對相關風險設定量化限額的首席風險官比例

（六）首席風險官認識到操作風險管理等方面的缺陷，力求提高其有效性

亞太地區的保險公司在關注操作風險方面仍然呈現分化態勢。一些公司過于關注，而另一些公司則關注不夠。只有極少數公司找到了適當的平衡。對操作失誤的處罰已經達到了會對公司盈利能力產生重要影響的程度，往往導致重大聲譽損失。針對風險和控制評估，大多數保險公司同時采用自上而下和自下而上的方法，而且意識到需要根據更廣泛的風險管理活動進行調整，如情境分析和風險偏好設定。一大部分受訪者提到，網絡和行為是他們最關心的方面，應作為主要的操作風險關注領域，尤其是對于具備嚴格的行為監管機構的市場而言。

（七）在投資于人員還是技術的選擇中，最終勝出的總是人員

盡管首席風險官承認需要不斷提高其現有IT能力，但我們發現，在增加對新科技投資時，他們仍猶豫不前。第二道防線團隊的人員、結構和更廣泛的技能仍需要經歷多個成熟階段。

盡管成本壓力巨大，保險公司還是越來越重視更換老化的系統，鞏固IT系統和基礎設施，部署新技術以及試用新科技。然而，可能是因為IT預算通常不涵蓋風險職能，首席風險官對新技術的投資積極性不高。受訪者的關注點仍然是確保風險職能中具備多學科技能，包括精算和數據分析能力的人員，以便管理網絡風險等復雜的風險，以及與適當的數據治理、不斷變化的監管及職業道德要求相關的其他風險。

鑒于技術（例如大數據和分析工具、網絡等）作用的不斷增大使保險業受到新風險和機會的影響，風險職能需要以下額外的技能：反洗錢（反恐融資）、新風險、IT與網絡、核保、資產負債管理、市場行為、數據分析、數據保護、市場風險和信用風險、核賠等。

首席風險官要做好工作需要各種能力和創新思維，超越傳統的精算、財務、風險和審計資源池。對人員的投資不僅僅意味著人數，而應注重“更有分量”的個人。此時應該逐漸推行針對個人的專業化發展計劃，以解決結構缺陷阻礙個人發揮潛力的問題。人們可能對輪換計劃的重要性看法不一，即一名優秀的第二道防線人員不一定是優秀的第一道防線候選人，反之亦然。但確實需要一條職業發展道路能夠吸引和留住優秀的人才，而這條道路的起始不一定局限于風險職能部門。已經實現“縱深強度”的風險職能是時候考慮其風險技術能力是否在阻礙團隊實現目標。

三、其他值得注意的調查發現

（一）模型風險管理

?圖8 首席風險官用于操作風險管理的時間比例

?圖9 風險職能預算變化情況

?圖10 未來人員和IT預算分配比例

?圖11 首席風險官想通過IT投資解決的技術限制

?圖12 風險職能部門人員變化情況

亞太地區具備和不具備模型治理和驗證方案的保險公司各占50%。在發展過程中，他們可從歐洲市場的情況中汲取經驗：大型歐洲保險公司的首席風險官目前似乎已為內部模型框架打下基礎，并成立了專門的風險管理方案團隊，未來有望設立集中式結構。所有建立了風險管理體系的歐洲受訪者都認為應由首席風險官擔負主要責任。

（二）壓力與情景測試

壓力測試是保險公司風險管理系統中的一個重要組成部分（特別是在內部資本充足率評估流程和ERM/ORSA之下）。大多數保險公司認為在這方面仍有提升空間。不出所料，調查顯示，監管資本是壓力和情景測試的主要驅動因素。亞太地區監管機構已經著手開始測試行業的承受恢復能力。這不應被視為一次性的測試，應從測試中汲取經驗教訓。資本承受恢復能力以外的和服務于管理目的的壓力與情景測試被視為關鍵增值領域。需要關注多年期和新興的風險領域。

領先的壓力測試實踐包括以下特征：1.結果被納入決策制定；2.充分了解限制、假設和不確定性；3.應對現實的逆境，包括現實的管理層反應；4.數據和IT足夠協調、靈活、可靠和完整；5.可信的建模和預測。

在壓力與情景測試方面，首席風險官還希望進一步實行的工作包括：實施或細化隨機建模；測試資本以外更廣泛的問題；擴大目前的情景組合，提高頻率并確保與資本的明確聯系；改進風險參數和所使用的模型；更少、更簡化的情景。

（三）地區差異

將亞太地區的調查結果與歐洲、美國等其他地區進行比較時發現，主要差異體現在以下方面：人才的獲得、當地董事會不熟悉企業風險管理、有待提高的三道防線模式、對文化變革的強烈需求、尚未成型的操作風險管理模式、模型風險管理不夠正式等。

亞太地區作為一個整體，其內部也存在一些差異，澳大利亞較東盟和大中華區似乎相對更為成熟。