COSO框架对我国保险公司风险管理的启示

王稳 施敏

（对外经济贸易大学，北京  100029）

    ［摘要］保险业是一个高风险行业，标准普尔在《中国保险业信用前瞻2006～2007》中认为我国寿险和非寿险的行业风险均较高。美国COSO委员会颁布的企业风险管理框架提供了一个一体化的企业风险管理框架，对我国保险公司制定一套有效的风险管理制度，促进保险业营运效率，确保资产安全，具有较强的指导意义。
    ［关键词］企业风险管理框架；风险管理文化；风险管理制度
    ［中图分类号］ F840.32 ［文献标识码］ A ［文章编号］1004-3306（2007）01-0056-04
    Abstract： Insurance industry is a highrisk sector as can be seen in Standard & Poor’s China Insurance Outlook 2006-2007 where it states that risk for life insurance and nonlife insurance business in China is reletively high. And company risk management framework promulgated by COSO Committee, U.S.A has provided an integrated risk management framework for enterprises and that is of great significance to domestic insurance companies which want to draw up a set of effective risk management system and to the insurance sector to improve operation efficiency and guarantee assets safety.
    Key words：risk management framework for enterprises; risk management culture; risk management system

据瑞士Sigma统计，从1978～1994年16年间，世界上有648家保险公司破产，尤其是1996～2001年，保险业高度发达的日本连续7家生命保险公司破产。在我国，标准普尔在《中国保险业信用前瞻2006～2007》中对我国保险业风险的评价是: 无论寿险还是非寿险的行业风险依然较高。这给我国保险业敲响了警钟：保险公司在经营风险产品的同时，必须加强自身的风险管理。美国反舞弊财务报告委员会的发起组织委员会（COSO）发布的企业风险管理框架提出的全新的风险管理理念和技术对于我国保险企业的风险管理具有极大的理论和实践意义。
一、保险企业实施全面风险管理的必要性和重要性
保险公司的风险管理是一个永恒的话题，保险公司围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立全面风险管理体系，可以起到防范和化解风险、保护资产的安全与完整、保证经营活动合法合规和企业经营战略有效实施等重要作用，因此，是否实施全面的风险管理是衡量保险企业经营管理水平高低的重要标志。
（一）保险国际化的趋势日益明显
在经济全球化的大背景下，保险国际化的趋势日益明显，一方面表现为客户保险需求的全球化，跨国公司基于其全球经营业务在世界范围内安排其风险管理与保险计划；另一方面表现为保险人通过国际间的保险资本运作、对冲机制、战略联盟等多种形式，满足巨灾保险、金融风险管理等迅速增长的需求，在国际范围内寻求新的生存和发展空间。20世纪60年代出现的真正意义下的自保公司，70年代由荷兰人首创并迅速风靡全球的银行保险，80年代人寿保险业出现的以万能寿险和变额寿险为代表的产品创新，90年代出现的保险风险证券化以及大量新型风险转移工具，特别是近年来，处于前锋地位的保险人、保险经纪人、政府保险机构及民间保险组织，如安联保险等，已经在综合风险管理（Integrate Risk Management）、非传统风险转移工具（Alternative Risk Transfers）等新型保险产品和技术等方面进行了大量的创新，保险保障的范围已经大大突破了传统意义上的可保风险范畴，从而预示着未来保险业的革命性变化。
（二）保险资金面临的投资风险越来越大
随着金融市场的创新与融合，保险资金运用渠道的逐步拓宽，可投资品种逐步增加，从普通的债券投资发展到权益类投资、从国内市场拓展到境外市场，保险资金特别是寿险业资金面对的各种风险也越来越复杂。例如，寿险保单存续期一般都长达20至30年，相应的在资金运用中要考虑20～30年存续期的投资与之相匹配。投资于固定收益资产的寿险资金，对利率的变动非常敏感，市场利率的微小波动会导
［作者简介］王稳，教授，现任对外经济贸易大学保险系主任；施敏，现就读于对外经济贸易大学金融学院。
致资产价值的较大变动。据统计，到2006年8月，债券已经成为保险资产配置的最主要工具，投资规模已经达到8 777亿元，其中，持有国债和金融债余额分别达到3 674亿元和2 416亿元，债券资产占保险资产运用的比重由2001年的28.4%上升到2006年的55.2%，保险公司持有的企业债、银行次级债、国债和金融债的余额分别占总余额的69.6%、45.5%、12.1%和11.6%。在央行上调利率、国债等债券收益率大幅下降的背景下，保险公司投资风险显然还在加大。投资效益低下直接影响到保险公司的偿付能力和经营的稳定性。据测算，1999年以前的保单会导致我国寿险业利差损每年增加约20亿元，到2004年底寿险业利差损总额超过720亿元，占到行业总资产的9%左右，即便各寿险公司将全部业务盈余都用于弥补利差损，也需要10年的化解时间。而权益类投资，包括金融衍生物投资风险巨大，给许多公司带来几亿、以至几十亿金额的损失，如德国哥达保险公司、克罗尼亚保险公司、汉诺威再保险股份公司、伦敦巴林银行等。因此加强资金运用风险管理，提高风险管理水平对资金运用是非常重要的。
（三）全面风险管理成为现代保险企业管理的基础和核心
随着金融保险市场的日趋深化和扩大，各保险机构之间的竞争也从原来的规模扩张逐渐转变为内部管理、业务创新等方面的竞争，从而导致了保险企业的经营理念的深刻变化，使全面风险管理成为现代保险企业管理的基础和核心。从世界范围来看，风险管理正在从传统的“点对点”式的管理走向全面的、一体化的管理。国际上比较有名的内控和风险管理模式有英国的Cadbury、美国的COSO和加拿大的COCO，特别是美国的COSO模式从理论到操作方法上阐述了一整套完整的全面企业风险管理框架。William J. McDonoush所称，“内部控制将对投资者起到重要的保护作用，因为稳固的内部控制是抵御不当行为的头道防护线，是最为有效地威慑舞弊的防范措施”。2005年，保监会制定《寿险公司内部控制评价办法(试行)》。2006年，国资委制定了《中央企业全面风险管理指引》。这对于推动保险企业的全面风险管理的发展具有重要意义。
（四）我国保险业在风险管理方面存在许多不足之处
近几年来，国内保险业在快速发展的同时，在防范和化解经营风险和加强公司内部风险管理方面有了一些进展，但还是存在不少问题和不足，主要表现在三个方面：一是对全面风险管理的认识不到位，存在着严重的“竖井效应”。二是没有建立完整的风险管理框架。大多数保险公司的风险管理没有贯彻到公司的各项业务过程和各个操作环节，许多关键控制点形成所谓的控制盲点，还没有形成一个有效的多维、多视角、跨时点的风险监控体系。三是风险管理效果不尽如人意，出现了许多违纪违法的现象。因此，只有从我国保险公司的实际出发，引进、消化和吸收国际上先进的企业风险管理模式和风险管理技术，特别是应该使COSO框架成为保险公司完善公司内部控制的标准，构建全面风险管理体系，缩小我们在风险管理方面与国际上的差距，才能够增强保险业抵御风险的能力，使保险业稳定健康发展。
二、COSO企业风险管理框架的内涵
目前，国际风险管理领域存在诸多的企业内部控制和风险管理标准，但都与COSO框架紧密相关，COSO框架已成为企业全面风险管理的标准。因此，要完善保险公司的内部控制，加强风险管理，需要准确理解COSO界定的企业风险管理框架的内涵，以COSO框架为依据，建立保险公司风险管理框架和机制，取信于投资者，提高保险公司在公众中的美誉度。
早在1958年，美国注册会计师协会将“内部控制”区分为两类：内部会计控制和内部管理控制。1992年，COSO提出了内部控制整体框架，并在1994年进行了增补，指出：内控是为了实现经营的效果和效率；财会报告的可靠性；对现行法规的遵守三大目标的过程。2004年10月，COSO正式发布企业风险管理框架（以下简称ERM框架）。ERM框架在1992年报告的基础上吸收了各方面风险管理研究成果，并进行了扩展研究，提出了内部控制框架与企业的风险管理相结合的风险管理思路。
COSO对ERM框架的定义是，“企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理的保证”。COSO的风险管理框架扩展了其内部控制框架，强调企业风险管理有三个维度，分别是目标、风险管理要素和管理层级。目标由内部控制框架的3个扩展为4个，即战略、经营、报告和合规。风险管理要素由内部控制框架的5个（内部环境、风险评估、控制活动、信息与沟通、监控）扩展为8个，即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。管理层级包括整个企业、职能部门、业务单位和分支机构4层。各管理层级是风险管理主体，风险管理要素是必备条件，目标是企业努力实现的对象，企业的各个管理层级都要按照风险管理的8个要素为4个目标服务。
COSO于2001年起开始进行企业风险管理研究，强调风险管理框架必须和内部控制框架相一致，把内部控制目标和要素整合到企业全面风险管理过程中。因此，ERM框架是对内部控制框架的扩展和延伸，它涵盖了内部控制，并且比内部控制更完整、有效。首先，该框架扩展了内部控制框架，强调风险管理与企业战略目标相协调，并最终融入企业文化之中；其次，该框架更强调风险管理贯穿于企业运行过程的各个方面，涉及到企业的治理、管理和操作等所有层级，扩展了单纯的内部控制职能；最后，引入了风险组合、风险和机会的区分、风险应对、风险偏好、风险容量等风险管理理论新的研究成果。ERM框架是对传统风险管理和内部控制的重要发展，是一个具有清晰的文化理念、完整的架构体系、科学的控制流程、有效的技术和方法，能够覆盖企业各类风险，对企业风险进行全面管理。因此，应用该框架对于我国保险企业有效实施风险管理、遵循监管机构的风险控制和监管要求有着重要意义。
三、ERM框架在保险企业风险管理中的应用
全面风险管理是一种全新的管理理念和方法，我国保险业必须尽快转换长期以来固化的观念和思维定式，努力构建全面风险管理的新体系和新机制。ERM框架强调，认定一个主体的企业风险管理是否“有效”，是在对八个构成要素是否存在和有效运行进行评估的基础上所作的判断，如果构成要素存在并且正常运行，那么就可能没有重大缺陷，而风险则可能已经被控制在主体的风险容量范围之内。
（一）内部环境
保险企业的内部环境是整个风险控制框架的基础，包括主体的风险管理理念、风险容量、董事会的监督、主体中人的诚信、道德价值观和胜任能力，以及管理当局分配权利和职责、组织和开发其员工的方式。这其中包含了组织的基调，它影响组织中人员的风险意识，为主体的人员如何认识和对待风险设定了基础。
风险管理的顺利实施必须得到一个良好的组织体系的支持，ERM框架建议了基本的组织结构以及各结构层的职能和责任，同时框架也强调，主体的组织结构的适当性部分取决于它的规模和所从事活动的性质，因此保险企业要从自身实际情况出发，运用企业风险管理的思想，设计一个适合自身的组织框架。ERM框架关于组织结构的基本思路为：董事会通过选择管理当局在确定期望的诚信和道德价值观起着主要作用，同时，董事会在特定关键决策上的保留权力使其在制定战略、规划高层次目标以及广义资源配置方面发挥作用；管理当局直接负责对风险管理进行全面整合、统一协调；各部门责任明确、各司其职，如财务部进行财务计划与控制，精算部设计合理的费率以及充足准备金的提存，投资部控制投资损失风险和流动性风险，核赔部控制赔付率和维护公司信誉等等；设立专门的风险管理官员，跨子公司、业务、部门、职能机构来分析和评价公司的风险，研究潜在的风险因素和防范措施，为董事会和各部门提供风险报告及风险管理建议。
ERM框架还强调每个人在企业风险管理中的作用，明确指出:在企业中，不仅仅是董事会或者风险管理官员，其他人员，如内部审计师、财务官员以及组织中的每一个人都对企业风险管理负有一定的责任，都能够对其过程施加一定的影响，因而所有员工的职能与责任都应该被很好地界定和沟通。这有利于督促企业的所有员工重视企业风险管理和内部控制问题，把维护及改善企业的风险管控当作自己的事，而不是站在与管理阶层对立的角度，被动地执行各自的任务。
（二）目标设定
必须先有目标，管理当局才能识别影响目标实现的潜在事项。企业风险管理框架要求管理当局采取适当的程序去设定目标，确保所选定的目标切合、支持该主体的使命，并且与它的风险容量相协调。
不同的企业由于战略不同而有不同的风险管理目标。对保险企业而言，如果其总目标是收益一定条件下的风险最小化，则保费收入、赔付支出、投资收益、公司收益等下一层的子目标就会与总目标有所不同，子目标的具体划分必须依据保险公司的战略进行。例如某保险公司的战略目标是，在未来经过10～15年的努力，建成“国内领先、国际一流的知识型、现代化非寿险公众公司”。这样的企业总目标对企业风险管理的要求会更高，因为它对风险管理水平与国际接轨的要求比较高。另一保险公司具体战略目标是：对市场具有明确的判断，能使企业在复杂的竞争环境中保持竞争力与盈利能力；降低运行风险；与国际接轨，将公司的管理标准化，国际化；进一步提高企业运行效率。这样的战略目标则偏向纯粹风险的管理。
（三）风险识别与风险评估
ERM框架中不仅仅把风险定义为损失的可能性，也把风险看作盈利的机会，其目的在于强调现代风险管理的主动精神和积极态度，这完全符合保险企业以风险换取收益的业务本质，也有利于提高保险公司的竞争力。因此，风险的识别更需要区分风险和机会，对风险予以评估和应对，将机会反馈到战略和目标制定过程中，平衡风险与收益。
风险评估是对识别出来的风险事件进行风险影响分析。一般从两个方面来评估：一是估计风险发生的可能性或概率，另一方面是估计如果风险发生所产生的后果。风险评估是企业制定和实施风险管理战略的依据。风险评估的方法有很多，并一直有新的方法被开发出来应用于风险管理实践。通常采用的是定性和定量相结合的方法。定性的方法主要有风险评级，即采取对风险发生的可能性和影响程度进行分级，如依据风险发生可能性和重要性程度划分为若干档次，并分别拟定相关的指标作为判断可能性和影响程度的依据。定量的方法有概率工具和非概率模型等，比较成熟的方法有VaR方法，历史模拟法、Monte Carlo 模拟法、情景分析、Risk Metrics方法、GARCH模型等等。风险地图也是最常用而最有效的风险分析工具，在一个一维代表风险发生可能性，一维代表风险的影响程度的二维坐标中，根据在风险分析中得出的结果，即各种风险不同的可能性和影响程度，在该坐标系中标出其所在位置，这将直观显示出某一风险或多个风险的重要性程度，并以此决定进行风险控制的先后顺序及投放资源的大小。
（四）风险应对
风险应对是指管理当局采取回避、承受、降低或者分担风险等一系列行动，以便把风险控制在主体的风险容限（Risk Tolerance）和风险容量以内。
1.传统风险管理方法。该方法主要侧重于企业自身资产负债管理。对于保险企业具体来讲，主要能采取的措施包括：（1）选择性承保。主要包括控制保单质量（主要从可保风险的审核和加强保险核保入手）和控制保单过分集中的风险。（2）内部风险抑制。一是通过资产负债的组合配置来实现风险分散和风险对冲的目的；二是通过加强企业内部控制来有效控制风险，确保稳定经营，实现价值最大化。（3）自留风险及提存准备金。保险公司根据自身的风险水准（主要参考其自身资本实力、风险控制能力及风险偏好等因素）和经营方向的定位，确定一个企业自留风险限额并将其逐级分配到各具体业务部门。自留风险后，企业要做好补偿风险损失的财务安排，包括提存各种准备金和安排表外资本等。（4）再保险安排。
2.非传统风险转移方法方式(Alternative Risk Transfer,简称ART方法)。该方法在传统风险管理的基础上，引入了资本市场进行风险转移。主要包括:（1）多险种多年期产品。该产品将几种不同的风险捆绑在一起，可以节省管理成本并通过时间分散成本。（2）有限风险再保险。有限风险再保险是一种风险转移和风险融资相结合的产物，主要特点是再保险承保人仅承担有限风险、保险合同多年期、再保险承保人与分出人共同分担损失和分享收益等。（3）保险风险证券化。可以通过创设并发行保险衍生产品，比如巨灾期货、巨灾期权、气候衍生品等，将保险企业承保的风险转移到资本市场，利用资本市场的强大融资能力来消化承保风险。（4）利用金融衍生工具。保险公司通过购入特定类型的保险期货、期权来分散、对冲风险。例如芝加哥交易所（CBOT）的巨灾风险损失指数的期货和期权交易。
在风险应对的过程中，管理当局还应该考虑一些事项。一是潜在应对的成本和收益。二是除了应付具体的风险之外，企业所面临的新的机会。企业在风险应对时不应该仅仅只是考虑降低已经识别出来的风险，同时还应该考虑给主体带来的新的机会。如保险风险证券化除了能分散保险企业的风险，同时也有给企业带来收益的可能性。
（五）控制活动
控制活动是帮助确保管理当局的风险应对得以实施的政策和程序，即在选定了风险应对后，确定用来帮助风险应对恰当、及时地实施的措施。控制活动贯穿于整个企业主体，包括了批准、授权、验证、调节、资产安全以及职责分离等一系列不同的活动。
（六）信息沟通
有效的沟通包括信息在主体中的向下、平行和向上的流动。公司不同部门风险管理职责不同，各部门职责也有交叉，任何一个部门不可能单独完成某一风险的管理。因此，保险公司在风险管理中，需要建立包括投资、精算、财务等各部门紧密合作的体系结构，同时要有完善的信息系统和信息沟通规则。沟通方式可以采取备忘录、电子邮件、公告板、网络等等，在沟通过程中还应该注重信息的即时性以及信息的质量。另一方面，公司内部与公司外部也应该建立起有效的沟通，例如与客户之间，与同类公司之间。
（七） 监控
监控指对企业风险管理进行监督，必要时加以修正，可以通过持续的管理活动、个别评价或两者结合来完成。
持续的管理活动主要来自经常性的管理活动，例如部门管理人员定期的经营报告、内部审计等，当然也包括监管机构的外部监管。
个别评价则通常作为辅助，它提供了一个考察持续监控程序的有效性的机会。保险企业可以根据自身情况来决定评价的范围以及频率，选择合适的评价人员。评价可以通过核对清单等方法，通过通行业对比等方式来进行，当然也可以选择专门的评估机构来全方位评估企业的风险管理。
如此建立起的多方位、立体化的风险管理监控体系，将为保险公司规范经营、防范化解风险筑起一道坚固屏障。
COSO的企业风险管理框架基于风险管理的多维的、立体的、连续的特征，强调保险公司全面深入地理解控制和控制对象，分析解决管理控制中存在的复杂问题，将公司的负债、投资、利率和其他的风险作为一个整体来管理，在风险管理和股东价值最大化（Shareholder Value Maximization）之间建立了直接的联系，为保险公司的风险管理提供了一个严密可行的管理框架。
［参考文献］
［1］李建伟，杨琳. 我国保险业的风险与对策［R］. 国务院发展硏究中心调查研究报告，2004年第163号.
［2］美国COSO制定发布.企业风险管理——整合框架［M］.东北财经大学出版社，2005.
［3］孙蓉，彭雪梅.中国保险业风险管理战略研究——基于金融混业风险管理战略研究［M］.中国金融出版社，2006.
［4］Trieschmann，Gustavson，Hoyt: Risk Management and Insurance［M］，11th ed，South-Western College Publishing，2001.
［5］卢卫卫.走近COSO(三)——如何评估风险［J］.深交所，2005，（10）.
［6］李宁.内部控制整体框架理论的突破及其启示［J］.金融与经济，2006，（5）.
［7］石峰.企业风险管理框架在商业银行应用中的原则和策略［J］.中国金融，2006，(3).
［8］张承惠等.保险业系统性风险的预测、防范化解机制研究［J］.国务院发展研究中心金融研究所课题.
［编辑：刘晓燕］保险研究2007年第1期风险管理INSURANCE STUDIESNo.12007