内控体系建设——全面风险管理的基石

近日，各大保险公司都在积极开展对保监会颁布的《保险公司内部控制基本准则》的贯彻，构建本公司的内部控制体系，有的公司起步更早，已经积累了一定的经验。对于尚处于发展初期的中国保险业来说，建立内部控制体系标志着保险公司走向规范稳健发展，也意味着科学可行的全面风险管理具备了实施的基础。

　　早在1987年，美国COSO委员会整合了各种内部控制的概念和定义，于1992年推出《内部控制——整合框架》，至20世纪90年代后期，随着亚洲金融危机、巴林银行倒闭等一系列事件的出现，人们逐渐意识到，传统的分散的风险管理模式已不能适应现代企业的需要，金融界率先做出反应，2001年，《新巴塞尔协议》颁布，之后，COSO于2004年发布了《全面风险管理——整合框架》，它曾被哈佛商业评论列为2004年最有突破性和影响力的思想之一。

 

　　全面风险管理只是中文的一种译法，曾经也听到有人对这种翻译提出疑问，为什么不直接按英文的字面意思翻译为企业风险管理？说到全面风险管理，难道还有不全面的风险管理吗？可能最初提出这种译法的人，希望能够籍此强调这种风险管理的理念与传统风险管理理念的不同吧。

　　在传统风险管理时代，对风险的管理是“竖井”式的，即不同风险之间互相割裂，例如，市场风险由交易员用金融衍生品对冲，违约风险由信贷专家专门评估，法律风险由法律专家解决，纯粹风险则通过购买保险来处理。这一做法并没有以一种组合的方式把不同风险类型结合起来，虽然常常导致过度对冲和保险范围过大，但在过去各种风险之间相关性较弱的时期，这样的管理方法也还是可行的。但随着时代的发展，社会经济关系日趋复杂，各种风险之间开始相互依赖和交叉，企业不能再将风险分割成单独的各个部分来独立地管理。于是，许多学者通过与过去的传统风险管理的对比，提出了新的企业风险管理的思想，即应利用风险单元之间的不完全相关性节约风险管理费用，从而增加企业价值；另一方面，全面衡量各个风险单元，将风险资本在不同的风险单元中进行有效地配置。这被称为狭义的全面风险管理，更广义的概念包括COSO的定义，即全面风险管理是一个过程，它由一个企业的董事会、管理当局和其他人员实施，应用于企业战略制定并贯穿于企业各种经营活动之中，目的是识别可能会影响企业价值的潜在事项，管理风险于企业的风险容量之内，并为企业目标的实现提供保证。在COSO颁布的《全面风险管理——整合框架》中，还对全面风险管理的三个维度的框架进行了描述，虽然它还是沿用了自1963年就出现的风险管理流程，但是在风险识别、风险整合、风险优化和风险报告中，仍然与传统的风险管理模式有所差别。

　　COSO的全面风险管理框架是建立在内部控制框架基础上的，二者在目标和要素上都有区别。内部控制的目标是：经营的效果和效率、财务报告的可靠性、合规性，而全面风险管理的目标包括战略目标、经营目标、报告目标和合规目标四个方面。在要素方面，全面风险管理新增了目标设定、事件识别、风险对策三个环节。

　　因为国内最初所引进的风险管理思想主要是COSO的思想，所以它的这一概念有点先入为主的优势，但我们还是应该意识到，全面风险管理的内涵有狭义与广义之分，狭义内涵更偏重技术，广义内涵更偏重架构。实际上，除了COSO之外，美国的非寿险精算学会、标准普尔等都提出了全面风险管理的广义内涵。而COSO提出的这一框架是和之前的内部控制框架一脉相承的，所以它强调了企业中高层领导的参与和推动对全面风险管理的重要性，以及内部控制和基层组织对执行风险管理过程的重要性。但在被广泛接受的同时，COSO的定义也因为过于偏重内部控制和审计而受到批评。

　　在实践中，除了全面地看待这一以“全面”为特点的管理思想之外，我们也要注意一些问题。首先，保险公司应了解国内目前所引进的COSO的内部控制与全面风险管理思想之间的继承关系，为建立切实有效的全面风险管理体系打好基础；其次，美国所提出的这些理念和框架所针对的是发展了上百年的市场和企业，很多技术性的细节，对于尚处于发展初期的我国保险公司以及发展得还不是很完善的消费市场来说，可能还难以实施。例如，在COSO框架提出之后，英国的保险公司开始尝试建立类似巴塞尔II三大支柱结构的框架，美国的保险公司则强调保险企业全面风险评估，无论是哪种尝试，数据库及相关技术的支持都是必不可少的。美国保险公司所积累的大量数据虽然有自身的长期努力，但也有消费市场的功劳，如个人消费者的信息，尤其是信用信息，就是保险公司评估业务风险的重要元素。信息充分是费率细化的前提，而费率细化又是承保风险的管理方式之一，信息不充分，就很难做到费率的等级化，而费率过于粗糙将会给道德风险和逆选择可乘之机。例如车险，除了性别、驾驶记录等信息之外，美国的保险公司还会根据消费者的信用记录、消费习惯、生活习惯等多方面进行综合评价，甚至如果是学生的话，是否是留学生，是否是有奖学金的留学生等条件的不同，都会导致费率不同。因此，我国保险公司建立内控体系，应结合我国保险公司的发展阶段特点进行。

　　总体而言，内控体系的建设将会成为我国保险公司走上可持续发展之路的重要条件，也将成为保险公司构建全面风险管理体系的基石。