COSO框架在我國保險公司分支機構風險管理中的應用

夏克清

（中國保險監督管理委員會青島監管局，山東 青島 266071）

近幾年，我國保險行業保持了較快的發展速度，保費規模不斷擴大，行業整體實力逐步提升。但是，目前保險公司在管理上還較為粗放，精細化程度不高，風險管理能力總體偏弱，特別是保險公司分支機構（本文所稱的分支機構是指保險公司省級分公司及以下機構）“重業務、輕管理”的問題較為突出，致使公司在經營管理上面臨較大的風險隱患。美國反欺詐財務報告全國委員會的發起組織委員會（COSO）提出的企業風險管理框架（以下簡稱“COSO框架”）對我國企業加強風險管理提供了理論指導，對保險公司分支機構實施全面風險管理具有較強的借鑒意義。

一、COSO框架的主要內容

COSO是美國反欺詐財務報告全國委員會（The National Commission on Fraudulent Financial Reporting）的發起組織委員會（The Committee of Sponsoring Organizations）的英文縮寫。在總結《內部控制整體框架》（Internal Control-Integrated Framework）的實施基礎上，結合《薩班尼斯—奧克斯利法》（The Sarbanes-Oxley Act）的相關要求，廣泛聽取各方的意見和建議之后，COSO于2004年頒布了全新的COSO報告：《企業風險管理-整合框架》（Enterprise Risk Management-Integrated Framework）。該框架順應了安然、世通等財務舞弊案之后，國際社會要求改善公司治理的呼聲，拓展了內部控制的內涵，提出了企業風險管理的全新概念，在更高層次、更寬范圍上推動和發展了內部控制，進入全面風險管理時代。

COSO框架對企業風險管理進行了詳細和全新的描述，指出“企業風險管理是一個過程，它是由一個主體的董事會、管理層和其他人員實施、應用于戰略制訂并貫穿企業之中，旨在識別可能影響主體的潛在事項，管理風險以使其在該主體的風險容量之內，并為主體目標的實現提供合理保證”，將企業風險管理分為八個構成要素：內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控。這八個要素是相互作用、相互影響的，企業要綜合運用、系統平衡這八個要素，制定最優的風險管理組合。

二、加強保險公司分支機構全面風險管理的必要性和重要性

加強保險公司分支機構的風險管理水平，構建全面風險管理體系是由公司內外部因素共同決定的，對行業發展來說也是十分必要的。

（一）由公司自身業務性質決定的

保險公司的經營對象是風險，經營過程面臨的風險不同于一般企業；而且保險商品是一種特殊的無形商品，是對保險消費者的承諾，產品本身就具有較高的風險性，這在客觀上需要保險公司加強風險管理水平。分支機構作為保險公司的基層組織，是公司業務拓展的前沿和客戶服務的終端，面臨的風險主要有承保風險、理賠風險、財務風險以及人力資源風險等。保險公司的很多風險是從分支機構發源的，而且各地分支機構的風險逐步積累到總公司，其影響是很大的，因此，必須加強風險管理，保證分支機構在經營上合法規范。

（二）由外部經濟社會環境決定的

現在國際國內經濟形勢趨于復雜，經濟社會的運行風險加大，企業開工不足、出口減緩、效益下滑，給保險公司的承保帶來較大影響，分支機構面臨的市場競爭壓力加大；隨著自然災害發生頻率增加，人身傷害賠償標準的不斷提高，保險公司的賠付支出不斷攀升；同時新《勞動法》的實施，加大了保險公司的勞動用工風險和人工成本。投資收益的不穩定、銀行利率的波動，都給保險公司的經營帶來諸多不確定性，外部環境的變化對保險公司的風險管理水平提出了更高要求。

（三）由保險監管部門要求決定的

近幾年，中國保監會對保險公司的風險管理建設越來越重視，先后發布了《保險公司風險管理指引（試行）》、《保險公司內部審計指引（試行）》、《保險公司合規管理指引》、《保險公司償付能力管理規定》、《保險公司內部控制基本準則》等制度，對保險公司風險管理的制度建設、組織機構、執行實施以及監督管理都提出了明確要求，是監管部門的強制性規定，保險公司分支機構必須在總公司的統一安排下貫徹落實。

三、COSO框架在保險公司分支機構全面風險管理中的應用

全面風險管理是一個全新的管理方式，改變了過去的思維方式和管理觀念，構筑起風險管理的新框架；全面風險管理又是一項系統工程，涉及到企業經營管理的各個環節。就保險公司分支機構的全面風險管理來說，要以八個構成要素為基礎，結合公司的實際情況，逐步構建科學、合理、適應的風險管理框架。

（一）內部環境

內部環境包含組織的基調，是企業風險管理所有其他構成要素的基礎，為其他要素提供約束和結構，主要包括主體的風險管理理念、風險容量、董事會的監督、人員的誠信、道德價值觀和勝任能力、管理層分配權力和職責以及組織和開發員工的方式等。

保險公司分支機構在內部環境建設中，首先要樹立風險管理意識，從管理層到普通員工必須樹立起風險意識，把風險管理貫穿于企業流程的每個環節、滲透到員工的日常行為中，形成一種風險管理文化。其次是要組建和諧團結、精干負責的領導班子，領導層的重視是風險管理的關鍵；要設置精練高效、權責適當、與風險管理目標相匹配的組織構架，為全面風險管理的實施奠定良好的組織基礎。再次是要堅持以人為本，注重人力資源的培養和利用，建立學習型組織，加強培訓力度，不斷提高員工隊伍素質；同時風險管理要堅持人人參與的原則，將風險管理目標層層分解，做到全員參與、人人有責，構建全員的風險管理模式。

（二）目標設定

目標設定是事項識別、風險評估和風險應對的前提，在企業管理層識別和評估實現目標的風險并采取行動來管理風險之前必須有目標，而且目標必須與企業的風險容量相協調，目標大致可以分為三類：經營目標、報告目標和合規目標。經營目標關系到企業經營的有效性和效率；報告目標旨在為管理層提供準確而完整的信息，同時需要滿足外部監管的要求；合規目標要求企業從事的活動必須符合有關的法律法規以及行業自律的規定。

保險公司分支機構在設定風險管理目標時要重點考慮以下三個方面的因素：一是總公司戰略選擇，分支機構的目標應該符合總公司的戰略要求，總公司的壓力會通過目標的形式傳導給分支機構；二是當地的市場環境，包括經濟社會發展狀況、市場保費容量、市場主體的經營現狀、監管和行業自律環境等；三是自身所處發展階段，這是一個分支機構的歷史階段問題，同時也是面臨的現實問題，只有正確分析和面對發展階段，才能設定合理、有效的風險管理目標。

（三）事項識別

事項是源于內部或外部的影響企業目標實現的事故或事件，可能帶來正面或負面影響，或者兩者兼而有之。企業管理層要對事項進行識別，以確定它們代表機會，還是代表風險，風險對企業實施戰略和實現目標具有負面作用。事項是受內外部因素影響的，識別這些影響因素與識別事項是關聯的，確定起主要作用的因素之后，管理層就可以考慮他們的重要性，進而集中關注影響目標實現的事項。保險公司分支機構的外部影響因素主要包括經濟因素、政府行為、自然環境以及保險市場環境等，政治因素、社會因素和技術因素的影響較小，或者說影響作用發揮的很慢；內部影響因素主要包括基礎結構、人員、流程以及技術等。通過分析發現，分支機構的事項主要包括承保、理賠、財務與人力資源等。

（四）風險評估

企業在對事項進行識別之后，需要對事項進行風險分析，從可能性和影響兩個角度對事項進行評估，考慮事項對目標實現的影響程度。在風險評估中一般采用定性與定量相結合的方法，由于保險公司實行數據大集中，總公司設立精算部門對全國的數據進行測算分析，所以，分支機構在風險評估時可以更多地采用定性分析法，對風險發生的可能性和影響進行分級，并依據重要程度進行分檔，為下一步的風險應對和控制措施提供依據。

（五）風險應對

風險應對是企業在評估風險之后采取的應對策略，主要包括回避、降低、分擔和承受，使總體剩余風險處于期望的風險容限和風險容量之內。保險公司分支機構的風險中，公司無力承擔的承保風險、超過風險容限的、總公司資本金無法支撐的業務，就要采取回避方式應對；理賠風險是無法回避的，可以采取合理的分保方式進行分擔，更多的可以采取降低方式，通過加強理賠管理擠壓水分，堵塞漏洞；財務風險在風險容限以內的可以承受，違反外部監管規定的一定要回避，大多數時候可以采取降低方式，加強財務管理，避免出現財務上的危機；人力資源風險中，一般的人員流動可以去承受，但是關鍵崗位的離職以及帶動核心業務流失的離職，一定要采取靈活的人力資源政策去降低、減少人員流動對公司造成的損失。

（六）控制活動

控制活動是幫助確保企業管理層的風險應對得以實施的政策和程序，風險應對選定之后就要實施確保風險應對執行的控制活動，一般包括兩個要素：確定應該做什么的政策以及實現政策的程序。根據COSO框架的設計，保險公司分支機構控制活動的政策和程序主要是制度層面和執行層面。制度是全面風險管理理念和流程的固化過程，分支機構需要按照風險管理的要求從目標到構成要素重新梳理和修訂現有的制度，形成符合本公司實際情況、切實可行的風險管理規章制度。在風險管理內部環境培養和制度推行的基礎上，要通過內部考核和監督的方式為分支機構的風險管理構筑“硬性”邊界，考核應該科學、合理，監督必須持續、深入，推動執行層面的建設逐步完善，切實解決執行力層層遞減這一分支機構管理中的突出問題。

（七）信息與溝通

現代社會是信息社會，企業要識別和獲取來自內部和外部的包括財務和非財務的大量信息，以便識別、評估和應對風險，進而實現企業的經營目標。COSO框架指出，企業可以通過建立信息系統的方式解決信息獲取和利用效率的問題。保險公司分支機構的信息一般包括數據信息和非數據信息，數據信息存儲在業務財務系統中，獲取方便，使用上都有相關的分析模型，關鍵在于管控基礎數據輸入上的風險，防止“垃圾進、垃圾出”。非數據信息的識別和獲取就顯得更為重要，公司管理制度和外部監管政策的傳遞是內部信息溝通的關鍵，同時與投保人、中介機構、同業公司、政府機關以及其他利益相關人等外部機構也要保持良好有效的溝通。

（八）監控

監控是對企業風險管理構成要素的存在和運行進行監督評價，可以通過持續的監控活動、專門評價或者兩者相結合來完成。持續的監控活動發生在企業正常的、反復的經營活動中，起到監控企業風險管理有效性的作用，主要包括管理人員經營報告、市場分析、內外部審計報告、監管部門報告以及員工意見反饋等。對保險公司分支機構來說，在監控活動中要重點做好內部稽核工作，內部稽核應該是廣義的，包括內部審計以及其他基于財務業務數據真實性的內部檢查等。在經營管理工作中，要不斷完善稽核審計規章制度建設，加大稽核工作力度，提高稽核審計頻率，明確重點風險領域和關鍵環節，更新稽核審計工作方法，提高稽核審計工作的效果。必要時，可以引入外部審計力量，對內部稽核進行有益補充。

[1]方紅星，王宏，譯.（美）COSO制定發布.企業風險管理—整合框架[M]. 大連：東北財經大學出版社，2005.

[2]丁德臣.基于ERM理論的財產保險公司風險預警與控制研究[M].北京：中國金融出版社，2010.

[3]張貴全.對財產保險公司風險防范的思考[J].經濟師，2010（02）.

[4]葉慧霖.關于加強財產保險公司分支機構內控監管的思考[J].中國保險，2010（01）.

[5]仇穎. COSO對我國小企業內部控制框架的啟示[J].生產力研究，2008（12）.