COSO框架在保险分支机构风险管理中的应用

夏克清

近几年，我国保险行业保持了较快的发展速度，保费规模不断扩大，行业整体实力逐步提升。但是，目前保险公司在管理上还较为粗放，精细化程度不高，风险管理能力总体偏弱，特别是保险公司分支机构(本文所称的分支机构是指保险公司省级分公司及以下机构)“重业务、轻管理”的问题较为突出，公司在经营管理上面临较大风险隐患。美国反欺诈财务报告全国委员会的发起组织委员会(COSO)提出的企业风险管理框架(以下简称“COSO框架”)，为我国企业加强风险管理提供了理论指导，对保险公司分支机构实施全面风险管理具有较强的借鉴作用。

一、COSO框架的主要内容

COSO是美国反欺诈财务报告全国委员会(The National Commission on Fraudulent Financial Reporting)发起组织委员会(The Committee of Sponsoring Organizations)的英文缩写。COSO于2004年颁布了全新的COSO报告:《企业风险管理 －整合框架》(Enterprise Risk Management-Integrated Framework)。该框架顺应了安然、世通等财务舞弊案之后国际社会要求改善公司治理的呼声，拓展了内部控制的内涵，提出了企业风险管理的全新概念，在更高层次、更宽范围上推动和发展了内部控制，不管是在理论研究还是实务操作层面都产生了深远的影响。

COSO框架对企业风险管理进行了详细和全新的描述，它指出:“企业风险管理是一个过程，由一个主体的董事会、管理层和其他人员实施，应用于战略制订并贯穿企业之中，旨在识别可能影响主体的潜在事项、管理风险，以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。”在COSO报告中，企业风险管理包括八个构成要素，分别是:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。企业风险管理是一个动态、反复、多方向的过程，在这个过程中八个要素相互作用、相互影响，企业要综合运用、系统平衡这八个要素，制定最优的风险管理组合。根据COSO框架，评价一个企业风险管理有效与否，要将八个构成要素联系起来，综合考虑运行过程及实施效果。

二、加强保险公司分支机构全面风险管理的必要性和重要性

风险在现代经济社会中无处不在，对风险的利用和管理已成为一个全球性话题。提供风险保障是保险公司的基本职能之一，风险管理水平是保险公司核心价值和市场竞争力的集中体现。加强保险公司分支机构的风险管理水平，构建全面风险管理体系，是由公司内外部因素共同决定的，对行业发展来说也十分必要。

(一)由公司自身业务性质决定的

保险经营是对风险的经营，经营过程面临的风险不同于一般企业。而且保险商品是一种特殊的无形商品，是对保险消费者的承诺，产品本身就具有较高的风险性，这在客观上需要保险公司加强风险管理水平。分支机构作为保险公司的基层组织，是公司业务拓展的前沿和客户服务的终端，面临的风险主要有承保风险、理赔风险、财务风险以及人力资源风险等。保险公司的很多风险是从分支机构发源的，而各地分支机构的风险逐步积累到总公司，影响就大了。因此，必须加强风险管理，保证分支机构在经营上合法规范。

(二)由外部经济社会环境决定的

现在国际国内经济形势趋于复杂，经济社会的运行风险加大，企业开工不足、出口减缓、效益下滑等，给保险公司的承保带来较大影响，分支机构面临的市场竞争压力加大。随着自然灾害发生频率增加，人身伤害赔偿标准不断提高，保险公司的赔付支出也在不断攀升。同时，新《劳动法》的实施，加大了保险公司的劳动用工风险和人工成本。投资收益的不稳定、银行利率的波动都给保险公司的经营带来诸多不确定性。外部环境的变化对保险公司的风险管理水平提出了更高要求。

(三)由保险监管部门要求决定的

近几年，中国保监会对保险公司的风险管理建设越来越重视，先后发布了《保险公司风险管理指引(试行)》、《保险公司内部审计指引(试行)》、《保险公司合规管理指引》、《保险公司偿付能力管理规定》、《保险公司内部控制基本准则》等制度，对保险公司风险管理的制度建设、组织机构、执行实施以及监督管理都提出了明确要求。

三、COSO框架在保险公司分支机构全面风险管理中的应用

全面风险管理是一个全新的管理方式，改变了过去的思维方式和管理观念，构筑了风险管理的新框架。这是一项系统工程，涉及到企业经营管理的各个环节。保险公司分支机构的全面风险管理要以八个构成要素为基础，结合公司的实际情况，逐步构建科学、合理、适应的风险管理框架。

(一)内部环境。内部环境包含组织的基调，是企业风险管理所有其他构成要素的基础，为其他要素提供约束和结构，主要包括主体的风险管理理念、风险容量、董事会的监督、人员的诚信、道德价值观和胜任能力、管理层分配权力和职责、组织和开发员工的方式等。从内部环境的内容来看，主要是组织机构和人的因素。

保险公司分支机构在内部环境建设中，首先，要树立风险管理意识，把风险管理贯穿于企业流程的每个环节，渗透到员工的日常行为中，形成一种风险管理文化。其次，要组建和谐团结、精干负责的领导班子，领导层的重视是风险管理的关键。要设置精练高效、权责适当、与风险管理目标相匹配的组织构架，避免出现管理真空或职能重叠，为全面风险管理的实施奠定良好的组织基础。再次，要坚持以人为本，注重人力资源的培养和利用，建立学习型组织，加强培训力度，不断提高员工队伍素质，构筑风险管理的长效用人机制;同时风险管理要坚持人人参与的原则，将风险管理目标层层分解、逐级落实，做到全员参与、人人有责，构建全员的风险管理模式。

(二)目标设定。目标设定是事项识别、风险评估和风险应对的前提。在识别和评估实现目标的风险并采取行动管理风险之前，首先必须有目标，而且目标必须与企业的风险容量相协调。目标是分层级的，主目标之下会有相关的次级目标。目标大致可以分为三类:经营目标、报告目标和合规目标。经营目标关系到企业经营的有效性和效率;报告目标旨在为管理层提供准确而完整的信息，同时满足外部监管的要求;合规目标要求企业从事的活动必须符合有关法律法规以及行业自律规定。

受各种因素影响，不同企业的风险管理目标会不同，甚至差异很大。保险公司分支机构在设定风险管理目标时要重点考虑以下三个方面的因素:一是总公司战略选择。分支机构的目标应该符合总公司的战略要求。总公司的压力通过目标的形式传导给分支机构。二是当地的市场环境，包括经济社会发展状况、市场保费容量、市场主体的经营现状、监管和行业自律环境等。从近几年的情况来看，分支机构过于激进的目标，超越了总体市场容量，带来了过度竞争以及违法违规问题。三是自身所处发展阶段。这是一个分支机构的历史阶段问题，同时也是面临的现实问题。只有正确分析和面对所处的发展阶段，包括公司资源、人员结构、市场份额、综合竞争力等，才能设定合理、有效的风险管理目标。

(三)事项识别。事项是源于内部或外部影响企业目标实现的事故或事件，可能带来正面或负面影响，或者两者兼而有之。企业管理层要对事项进行识别，以确定它们代表机会，还是代表风险。风险对企业实施战略和实现目标具有负面作用。保险公司分支机构的外部影响因素主要包括经济因素、政府行为、自然环境以及保险市场环境等。政治因素、社会因素和技术因素的影响较小，或者说影响作用发挥得很慢。内部影响因素主要包括基础结构、人员、流程以及技术等。通过分析发现，分支机构的事项主要包括承保、理赔、财务与人力资源等。

(四)风险评估。企业在对事项进行识别之后，需要对事项作风险分析，从可能性和影响两个角度进行评估，考虑事项对目标实现的影响程度。在风险既定的情况下，重点考虑剩余风险。在风险评估中一般采用定性与定量相结合的方法。定性分析法主要依靠分析人员的实践经验和主观分析能力，判断事项发生的可能性和影响。定量分析法一般采用数据模型，注重精确性和严密性，依赖完整的历史资料和数据基础。由于保险公司实行数据大集中，总公司设立精算部门对全国的数据进行测算分析，所以，分支机构在风险评估时可以更多地采用定性分析法，对风险发生的可能性和影响进行分级，并依据重要程度进行分档，为下一步的风险应对和控制措施提供依据。

(五)风险应对。风险应对是企业在评估风险之后采取的应对策略，主要包括风险规避、降低、分担和承受，使总体剩余风险处于期望的风险容限和风险容量之内。保险公司分支机构无力承担的承保风险、超过风险容限的风险、总公司资本金无法支撑的风险，就要规避。理赔风险是无法回避的，可以采取合理的分保方式进行分担，并加强理赔管理，挤压水分，堵塞漏洞。财务风险，在风险容限以内的可以承受，违反外部监管规定的一定要回避。大多数时候可以采取降低风险的方式，加强财务管理，避免出现财务上的危机。人力资源风险中一般人员流动风险可以承受，但关键岗位人员的离职风险以及会带动核心业务流失的离职风险，一定要规避和控制。

(六)控制活动。控制活动一般包括两个要素:确定应该制定怎样的政策以及政策实施的程序。控制活动包括批准、授权、验证、调节、经营业绩评价、资产安全及职责分离等，贯穿于整个企业，遍及每个层级和各职能机构。

根据COSO框架的设计，保险公司分支机构控制活动的政策和程序主要是制度层面和执行层面。制度是全面风险管理理念和流程的固化。分支机构需要按照风险管理的要求重新梳理和修订现有的制度，形成符合本公司实际情况、切实可行的风险管理规章制度。在风险管理内部环境培养和制度推行的基础上，运用内部考核和监督的方式为分支机构的风险管理构筑“硬性”边界。考核应该科学、合理，监督必须持续、深入，推动执行层面的建设，切实解决执行力层层递减这一分支机构管理中的突出问题。当然，外部监管也是分支机构执行力建设的重要因素，这是监管机关的监督作用内化为公司动力的体现。

(七)信息与沟通。现代社会是信息社会，企业要识别和获取来自内部和外部的大量信息，并评估和应对风险，进而实现企业的经营目标。COSO框架指出，企业可以采取建立信息系统的方式解决信息获取和利用效率的问题。保险公司分支机构的信息一般包括数据信息和非数据信息。数据信息存储在业务财务系统中，获取方便，使用上都有相关的分析模型，关键在于管控基础数据输入上的风险，防止“垃圾进、垃圾出”。非数据信息的识别和获取就显得更为重要。公司管理制度和外部监管政策传递是内部信息沟通的关键，同时要与投保人、中介机构、同业公司、政府机关以及其他利益相关人等外部机构保持良好有效的沟通。

(八)监控。监控是对企业风险管理构成要素进行监督评价。持续的监控活动贯穿在企业的经营活动中，主要包括经营报告、市场分析、内外部审计报告、监管部门报告以及员工意见反馈等。专门评价是监控的辅助活动，一般采用核对清单、调查问卷和流程图技术等方法，也可以通过同行业对比的方法进行复核，或者寻找专门的评估机构进行全方位评价。

对保险公司分支机构来说，监控活动要重点做好内部稽核工作。内部稽核应该是广义的，包括内部审计以及其他基于财务数据真实性的内部检查等。目前有相当一部分保险公司实行大区审计稽核制度，一个大区审计中心负责一定数量分公司的审计稽核工作。这种制度受人力物力等因素的影响，不可能面面俱到，在审计的频率、范围以及深度方面会受到一定限制。因此，分支机构要加强内部稽核工作，在大区审计之外自行安排不同层次的内部稽核，与大区审计互补。在经营管理工作中，不断完善稽核审计规章制度建设，加大稽核工作力度，提高稽核审计频率，明确重点风险领域和关键环节，创新稽核审计工作方法，提高稽核审计工作的效果。必要时，可以引入外部审计力量，对内部稽核进行补充。加大内部稽核的力度，形成强有力的监控制度，为分支机构全面风险管理框架的合理构建和有效运行提供保障和支持。