“偿二代”系列专访之三降低风险与提升效益何以兼得
——专访风险管理与内控专家梅放 发布时间:2016-03-10 10:03:32 作者:记者 苏洁 来源:中国保险报·中保网
保险行业监管机构和各个保险公司一贯重视风险管理与内部控制管理水平,围绕《保险公司内部控制基本准则》,行业内积累了数年的内控和风险管理经验。如今在“偿二代”体系下,保险公司的内部控制如何继续发挥重要管理作用?《中国保险报》记者采访了风险管理与内部控制管理领域专家梅放,曾任财政部企业内部控制标准委员会专家委员、参与财政部《企业内部控制基本规范》起草工作、并多次应邀进行风险管理与内部审计主题演讲的他,就上述问题分享了他的看法。
《中国保险报》:在“偿二代”实施之后,您认为保险企业应如何通过完善内部控制,提升风险管理水平?
梅放:对于保险公司而言,如何在保证偿付能力的前提下,最大限度地提升经营业绩,是企业经营的核心目标。而内部控制正是帮助保险公司实现上述目标的一个关键工具。简单而言,内部控制由企业董事会、管理层和全体员工共同实施的、旨在合理保证实现企业基本目标的一系列控制活动。也就是说,保险公司围绕如何降低风险、提升效益这个主题,而在企业内部自上而下建立健全的各种经营管控实质上都可以纳入到内部控制的范畴中。
就保险行业的监管而言,内部控制和偿付能力的发展基本是同步的。前者从管理上要求保险公司审慎约束自己的行为,而后者从资本上要求保险公司提升自己的财务稳健程度,两者相辅相成。在“偿二代”中,这种结合越发突出,尤其在第二支柱“定性监管”中更为明显。例如,内部控制的关键是两个有效:设计有效(是否形成完善的制度体系)与执行有效(是否遵循了相关制度),而在“偿二代”体系风险管理能力的核心直接明确为“制度健全性”和“遵循有效性”。偿付能力监管和内控合规在这个层面上已经逐步趋同。
《中国保险报》:目前中国保险行业的内部控制建设水平如何?
梅放:中国保险行业的开始内部控制建设不到十年。但在过去的十年中,我们很欣慰地看到随着重视程度的不断提升,行业整体的建设也逐步从形式走向实质,从监管导向走向管理提升,从查漏补缺走向提升经营效率效果。
尤其在近五年,随着中国保监会颁布《保险公司内部控制基本准则》等一系列相关监管要求,保险公司逐步通过构建专业团队,规范管理工具,完善评估和报告机制等方式,初步形成一定的内部控制体系。为了进一步提升内部控制与公司实际经营管理的契合程度,有一些意识比较先进的公司尝试从业务实际出发将原有流程管理、合规管理、权限管理、内外部信息管理等与内控体系形成良性互动机制,并进一步发展出“大内控”、“流程优化再造”等方法。
但是另一方面,我们也要注意充分认识到,相比银行业,目前保险业整体的内部控制水平还处于较为落后的状态。在实际工作中,内控还没有体现应有的价值。在“偿二代”对于保险公司经营管理的专业化水平提出更高要求的大背景下,很多保险公司由于此前内部控制建设不到位引发的问题更为突出。例如,一些公司由于内控体系不健全,导致公司内部的制度建设流于形式。这些缺陷都直接反映在“偿二代”摸底风控SARMRA的评分中,并且最终导致了最低资本要求惩罚性的增加。
之所以会出现这样的问题,追根溯源,是这些公司对于内控管理重视不足或理解不到位,具体而言有以下几点表现:
第一,定位不准。公司将内控体系建设视为合规类工作,根据监管关注运动式的开展内控工作,没有结合自身经营管理流程设计形成内控管理体系。在这些公司往往看到的现象是每年都大张旗鼓的开展了不同主题的内控类项目,但最终没能将工作成果固化实现管理能力的提升。
第二,资源不足。公司内控人员配置数量不足,内控人员知识结构单一。内控管理人员不能够很好应对来自总公司层级销售、运营、财务等各条业务条线的挑战,也没能在分支机构设立岗位落实基层的内控管理工作。
第三,脱离实际。在内控建设过程中仅考虑满足监管要求,或照搬其他公司的控制文档,没有经过与业务部门的充分沟通,忽视公司实际面临的风险水平,往往会造成业务部门反映内控机制不适用,控制措施流于形式,或者控制过于严格影响经营效率。
第四,监控不足。根据内控执行层面的效果和监控,没有定期有效地开展内控评价工作并将评价结果纳入管理绩效考核,造成各业务条线未在日常经营操作中执行内控标准。尤其在分支机构层面,缺乏有效监控往往会造成对于内控要求不了解、不理解、不执行。
《中国保险报》:针对这些问题,您认为保险公司完善内控体系应注意哪些重点?
梅放:“偿二代”的颁布对于内部控制在经营管理中提出了更为具体和细致的要求,这就意味着保险公司不能满足于既往的内控指引,而需要从提升管理水平、降低操作风险的角度切实提升内控和业务的契合水平。我认为目前保险公司应该重点关注如下几个平衡:
第一,内控管理队伍的职业化和专业化。内控管理既需要深入了解各项保险业务操作流程的保险职业专家,也需要专精风险控制方法的内控专家。建立起复合型的内控管理团队,才能与各业务条线就管理目标和流程设计开展切实有效的沟通,同时保持审慎的内控专业判断。业内多家优秀公司能够通过外聘及各专业条线抽调,以及定期专业培训和岗位轮换等机制很好实现这一目标。
第二,内控管理方法的标准化和定制化。目前有些保险公司利用行业积累的实践经验,将相对成熟的内控标准消化吸收,形成了后发优势。在这一过程中,部分标准动作可以套用,例如监管的硬性要求。而大量需要量身定制的控制措施还需要依据公司经营特点定制设计。表面看各家保险公司因销售渠道、产品类型、信息系统不同需要定制化内控管理方法,实际上因公司高层的风险偏好、公司业务发展策略、机构管理集中化程度、绩效考核机制等更深层面的差异,更是不同公司需要探索适合自身的内控管理体系的动因。
第三,内控管理工作的集成化和基层化。内部控制管理工作需要在总公司层面进行设计层面的集成化设计,制定完善各专业条线的流程设计,形成公司全辖统一参考的技术标准,并划定硬性管理基线。而在执行层面纵向深入到分支机构,公司需要确保分支机构确实开展内控相关的评估、测试、监督、汇报工作,才能保证各项内控措施切实执行,有效避免风险事件的发生。
保险行业监管机构和各个保险公司一贯重视风险管理与内部控制管理水平,围绕《保险公司内部控制基本准则》,行业内积累了数年的内控和风险管理经验。如今在“偿二代”体系下,保险公司的内部控制如何继续发挥重要管理作用?《中国保险报》记者采访了风险管理与内部控制管理领域专家梅放,曾任财政部企业内部控制标准委员会专家委员、参与财政部《企业内部控制基本规范》起草工作、并多次应邀进行风险管理与内部审计主题演讲的他,就上述问题分享了他的看法。
《中国保险报》:在“偿二代”实施之后,您认为保险企业应如何通过完善内部控制,提升风险管理水平?
梅放:对于保险公司而言,如何在保证偿付能力的前提下,最大限度地提升经营业绩,是企业经营的核心目标。而内部控制正是帮助保险公司实现上述目标的一个关键工具。简单而言,内部控制由企业董事会、管理层和全体员工共同实施的、旨在合理保证实现企业基本目标的一系列控制活动。也就是说,保险公司围绕如何降低风险、提升效益这个主题,而在企业内部自上而下建立健全的各种经营管控实质上都可以纳入到内部控制的范畴中。
就保险行业的监管而言,内部控制和偿付能力的发展基本是同步的。前者从管理上要求保险公司审慎约束自己的行为,而后者从资本上要求保险公司提升自己的财务稳健程度,两者相辅相成。在“偿二代”中,这种结合越发突出,尤其在第二支柱“定性监管”中更为明显。例如,内部控制的关键是两个有效:设计有效(是否形成完善的制度体系)与执行有效(是否遵循了相关制度),而在“偿二代”体系风险管理能力的核心直接明确为“制度健全性”和“遵循有效性”。偿付能力监管和内控合规在这个层面上已经逐步趋同。
《中国保险报》:目前中国保险行业的内部控制建设水平如何?
梅放:中国保险行业的开始内部控制建设不到十年。但在过去的十年中,我们很欣慰地看到随着重视程度的不断提升,行业整体的建设也逐步从形式走向实质,从监管导向走向管理提升,从查漏补缺走向提升经营效率效果。
尤其在近五年,随着中国保监会颁布《保险公司内部控制基本准则》等一系列相关监管要求,保险公司逐步通过构建专业团队,规范管理工具,完善评估和报告机制等方式,初步形成一定的内部控制体系。为了进一步提升内部控制与公司实际经营管理的契合程度,有一些意识比较先进的公司尝试从业务实际出发将原有流程管理、合规管理、权限管理、内外部信息管理等与内控体系形成良性互动机制,并进一步发展出“大内控”、“流程优化再造”等方法。
但是另一方面,我们也要注意充分认识到,相比银行业,目前保险业整体的内部控制水平还处于较为落后的状态。在实际工作中,内控还没有体现应有的价值。在“偿二代”对于保险公司经营管理的专业化水平提出更高要求的大背景下,很多保险公司由于此前内部控制建设不到位引发的问题更为突出。例如,一些公司由于内控体系不健全,导致公司内部的制度建设流于形式。这些缺陷都直接反映在“偿二代”摸底风控SARMRA的评分中,并且最终导致了最低资本要求惩罚性的增加。
之所以会出现这样的问题,追根溯源,是这些公司对于内控管理重视不足或理解不到位,具体而言有以下几点表现:
第一,定位不准。公司将内控体系建设视为合规类工作,根据监管关注运动式的开展内控工作,没有结合自身经营管理流程设计形成内控管理体系。在这些公司往往看到的现象是每年都大张旗鼓的开展了不同主题的内控类项目,但最终没能将工作成果固化实现管理能力的提升。
第二,资源不足。公司内控人员配置数量不足,内控人员知识结构单一。内控管理人员不能够很好应对来自总公司层级销售、运营、财务等各条业务条线的挑战,也没能在分支机构设立岗位落实基层的内控管理工作。
第三,脱离实际。在内控建设过程中仅考虑满足监管要求,或照搬其他公司的控制文档,没有经过与业务部门的充分沟通,忽视公司实际面临的风险水平,往往会造成业务部门反映内控机制不适用,控制措施流于形式,或者控制过于严格影响经营效率。
第四,监控不足。根据内控执行层面的效果和监控,没有定期有效地开展内控评价工作并将评价结果纳入管理绩效考核,造成各业务条线未在日常经营操作中执行内控标准。尤其在分支机构层面,缺乏有效监控往往会造成对于内控要求不了解、不理解、不执行。
《中国保险报》:针对这些问题,您认为保险公司完善内控体系应注意哪些重点?
梅放:“偿二代”的颁布对于内部控制在经营管理中提出了更为具体和细致的要求,这就意味着保险公司不能满足于既往的内控指引,而需要从提升管理水平、降低操作风险的角度切实提升内控和业务的契合水平。我认为目前保险公司应该重点关注如下几个平衡:
第一,内控管理队伍的职业化和专业化。内控管理既需要深入了解各项保险业务操作流程的保险职业专家,也需要专精风险控制方法的内控专家。建立起复合型的内控管理团队,才能与各业务条线就管理目标和流程设计开展切实有效的沟通,同时保持审慎的内控专业判断。业内多家优秀公司能够通过外聘及各专业条线抽调,以及定期专业培训和岗位轮换等机制很好实现这一目标。
第二,内控管理方法的标准化和定制化。目前有些保险公司利用行业积累的实践经验,将相对成熟的内控标准消化吸收,形成了后发优势。在这一过程中,部分标准动作可以套用,例如监管的硬性要求。而大量需要量身定制的控制措施还需要依据公司经营特点定制设计。表面看各家保险公司因销售渠道、产品类型、信息系统不同需要定制化内控管理方法,实际上因公司高层的风险偏好、公司业务发展策略、机构管理集中化程度、绩效考核机制等更深层面的差异,更是不同公司需要探索适合自身的内控管理体系的动因。
第三,内控管理工作的集成化和基层化。内部控制管理工作需要在总公司层面进行设计层面的集成化设计,制定完善各专业条线的流程设计,形成公司全辖统一参考的技术标准,并划定硬性管理基线。而在执行层面纵向深入到分支机构,公司需要确保分支机构确实开展内控相关的评估、测试、监督、汇报工作,才能保证各项内控措施切实执行,有效避免风险事件的发生。