寿险公司操作风险及其管控

本篇文章4369字，读完约11分钟

近年来，日益复杂和隐蔽的风险传导机制对寿险公司的风险管理和控制能力提出了严峻的挑战。根据中国保监会2016年偿付能力风险管理要求和评估结果，72家寿险公司中有50家未能得分。“操作风险”排在“目标和工具”之后，是所有规模的保险公司的第二弱领域。2017年，中国保监会发布了一系列政策文件，将风险防控置于更加重要的位置。全行业迫切需要探索操作风险的量化方法和控制策略。今天，中国社会科学院金融研究所保险研究室主任郭金龙做客《理论周刊》，就寿险公司的风险管理与控制接受记者采访。

记者:随着经济全球化的深入和保险公司对信息技术依赖程度的提高，操作风险逐渐从高频率低损失升级为低频率高损失。就寿险公司而言，其操作风险的属性和特征是什么？

郭金龙:操作风险是指内部操作流程、人员、系统不完善或外部事件造成直接或间接损失的风险，包括法律和监管合规风险。寿险公司操作风险的属性和特征如下:

首先，操作风险的内生性。除自然灾害、恐怖袭击等外部事件造成的操作风险损失外，大部分操作风险属于保险公司的内生风险，大多与保险公司独特的内部经营环境有关。主要包括企业文化、员工素质、公司治理结构、激励约束机制、内部控制制度、风险管理框架等。内源性是操作风险最重要的特征，其他特征或多或少与之相关。如果系统和流程的某些方面存在缺陷或漏洞，潜在的操作风险因素可能会突然变成实际的操作风险，一系列类似的操作风险事件将继续出现。

第二，操作风险的非财务性质。现代风险管理不仅将风险视为损失的可能性并加以控制，而且将风险视为获利的机会并加以合理利用。因此，风险管理不是完全消除风险，而是在一定限度内储备和容忍风险，以便在风险博弈中获得利益。然而，与其他风险不同的是，承担更多的操作风险会降低相关权利人的价值，而不是获得更高的预期回报。操作风险主要是由内部因素造成的，尤其是管理缺陷，风险管理的手段注重控制而不是转移。面向市场的复杂交易技术，如金融衍生产品和资产证券化，在解决信贷和市场风险时，必须以产生或改善相应的操作风险为代价。市场风险和信贷风险主要是由保险公司追求利润驱动的，而操作风险不是由利润驱动的。因此，操作风险是非财务的。

第三，操作风险和其他风险之间的相关性。在统一的金融市场中，各种金融资产和金融机构密切相关，交织成一个复杂的系统。操作风险作为保险公司经营过程中不可避免的“副产品”，与商业保险公司的各种经营活动密切相关，可以说是“权衡”。

第四，操作风险的多样性和复杂性。从范围和内涵来看，操作风险的发生与员工素质、公司治理、风险管理水平等因素密切相关。内容涉及保险公司经营管理的方方面面，既与人有关，又与事件有关，可能在企业内部滋生，也可能受到外部事件的刺激，组织结构、市场发展和人员波动较大的领域更容易出现操作风险。从原因来看，一方面，是外部事故造成的；另一方面，这是由于员工的非理性行为和委托代理关系中的不完全契约造成的，难以提前预警和事后准确归因和损失衡量。从风险传递的角度来看，在化解其他风险的过程中，人员的贪婪、技术水平等因素可能导致操作风险。

第五，操作风险是可测试的，但难以衡量。虽然操作风险是不确定的，即发生的概率和后果是不确定的，但它们仍然是可测试的，因此可以采取积极有效的预防措施来防止它们的发生，并可以提取风险资本进行预防。风险度量一直是风险管理研究的重要组成部分。目前，市场风险和信用风险的度量技术日益成熟，能够准确度量风险暴露的程度。然而，由于风险的种类多、情况复杂、主观性强、动态变化等特点，很难建立一个统一适用的风险度量模型。

记者:人们经常把保险公司的业务危机、偿付能力不足和破产归咎于一些意外的触发事件。然而，调查发现，导致保险公司业务危机或破产的原因通常不是单一风险，而是多种风险因素共同作用的结果。那么，操作风险在风险系统中的影响是什么？

郭金龙:在这些风险因素中，除了一些外部触发因素外，保险公司内部控制制度的缺陷、激励机制的失效和风险管理体系的不完善也是常见的。外部触发因素是不可控制的，但保险公司的潜在风险因素是可以提前改进和完善的，因此非常有必要对其进行仔细识别和区分。

首先，操作风险处于保险公司风险体系的初始阶段。正常情况下，操作风险处于引发保险公司风险损失的初始阶段。如果能够找出保险公司操作风险的成因以及操作风险的传导和扩散路径，就可以采取相应的措施进行控制，并在风险之间建立防火墙。但是，由于操作风险的隐蔽性和复杂性，保险公司和保险监管机构很难在操作风险的早期发现并采取行动，更重要的是，在操作风险暴露到一定程度后，应制定一些更为实用的风险管理标准和指引，便于评估和验证。

其次，操作风险可能诱发保险公司的其他风险。例如，保险公司高级管理人员的失误可能直接导致流程不完整或信息系统缺陷，保险公司员工涂改或伪造保险单，从而给保险公司的声誉造成损失。私人预扣保费和风险投资可能导致金融风险，这也揭示了风险的两重性。在保险公司的一些破产案例中，一个风险因素是一定损失的结果，同时也是另一个风险损失事件的诱因。

第三，操作风险的早期防范对保险公司的运营稳定性具有重要意义。操作风险是保险公司风险传递链的早期部分。在问题出现的早期就予以关注，并在问题出现之前尽可能地采取行动加以预防，这是非常重要的。首先，保险公司不喜欢面对严重威胁其偿付能力和市场表现的失败或风险事件，因为这将消耗大量管理资源。其次，与在风险事件后期采取更严格的监管措施或挽救陷入危机的保险公司相比，监管者更倾向于在风险事件早期完成监管目标，以节约成本。第三，保险公司的消费者和相关利益相关者可以从风险损失事件的减少中受益，防止重大风险事件的发生也将有助于保险市场的稳定。

记者:寿险公司操作风险的具体原因是什么？

郭金龙:寿险公司操作风险的成因可以从内部操作流程、人员、系统或外部事件四个方面来寻找，其中外部原因可以进一步细分为业务活动、环境和外部恶意活动。

首先，不完善的内部流程会带来风险。内部流程风险主要是由内部制度不完善造成的，主要包括制度缺失、制度未能落实法律或监管要求、流程设计不合理、产品缺陷、职责不清或岗位设置不合理、考核或薪酬安排不合理、工作环境不安全等内部程序因素。

第二，人员操作不当会产生风险。人员造成的操作风险主要是员工缺乏技能、管理不善或主观恶意行为造成的，包括员工缺乏岗位所需的资格、员工缺乏技能、人员配置不合理、员工行为不当、员工疏忽或疏忽、员工主观恶意行为、外部或非正式员工的不当行为等。

第三，制度缺陷导致风险。信息系统引起的操作风险是指系统可靠性或完整性的重大缺陷所造成的潜在损失，也可能是由客户的误操作或系统设计和实施中的缺陷引起的。与银行相比，保险公司的信息系统并不复杂，但总的来说，信息技术的广泛使用和不断进步是大势所趋，因此我们可以从信息技术的角度来分析操作风险的发生。

第四，外部事件会带来风险。外部事件引起的操作风险主要是由业务活动、环境和外部恶意活动引起的。

记者:监管部门采取了哪些措施来防范和控制寿险公司的操作风险？

郭金龙:2008年全球金融危机后，中国金融监管机构更加重视风险管理和内部控制在金融机构运营中的重要作用。近年来，中国保监会出台了一系列政策文件，将风险防控置于更加重要的位置。全行业都在探索操作风险的量化方法和控制策略。

2015年2月，中国保险监督管理委员会发布《中国保险监督管理委员会关于中国风险导向型偿付能力制度及过渡期相关事项的通知》，包括17条第二代支付监管规则，第二代支付监管制度过渡期正式开始。在17项监管规则中，涉及第二支柱的监管体系主要包括:《保险公司偿付能力监管第10号——综合风险评级(分类监管)》(以下简称《10号文件》)、《保险公司偿付能力监管第11号——偿付能力风险管理要求与评估》(以下简称《11号文件》)、《保险公司偿付能力监管第12号》

2015年7月，中国保险监督管理委员会发布了《中国保险监督管理委员会关于第二代支付过渡期保险公司偿付能力风险管理能力试点评估有关事项的通知》。通知要求财产保险公司、寿险公司和再保险公司按照《保险公司偿付能力风险管理能力评估表》对偿付能力风险管理能力进行评估，评估内容包括:偿付能力风险管理基础和环境、偿付能力风险管理目标和工具、保险风险管理能力、市场风险管理能力、信用风险管理能力、操作风险管理能力、战略风险管理能力、声誉风险管理能力和流动性风险管理能力。

2016年1月，中国保险监督管理委员会发布《中国保险监督管理委员会关于正式实施中国风险导向型偿付能力制度有关事项的通知》，标志着中国保险业正式进入“第二代支付”时代。

2016年9月，中国保监会发布《关于编制第二代风险综合评级数据的通知》，对寿险公司第二代风险进行综合评级(分类监管)。根据《保险公司法人机构综合评级(分类监管)具体评价标准》的相关要求，要求各保险公司向中国保监会提交相关数据和信息，这表明10号通知具有具体实施的参考标准。根据10号通知的要求，中国保监会主要以风险为导向，评估寿险公司偿付能力风险的实际情况，并根据风险大小对寿险公司进行分类监管。根据职责分工，各地保监局与中国保监会合作，采用统一的评估标准，共同对寿险公司进行全面风险评估。分类监管评估的原则、标准、方法和监管措施对所有寿险公司都是一样的。

11号文件阐明，保险公司应通过建立和应用风险和控制自我评估、操作风险损失事件数据库和操作风险关键风险指标等工具来管理操作风险。寿险公司应根据自身管理实践，优化和实施操作风险管理工具，完善操作风险管理体系。

随着“为第二代支付”监管要求的颁布实施，保险公司综合风险管理体系逐步形成，即形成了以偿付能力风险管理的一般原则为顶层设计，以七类风险管理体系为支撑，以一系列业务实施细则为基础的综合风险管理体系。这为寿险公司操作风险管理体系和管理流程的进一步完善奠定了坚实的基础。

总之，在新的监管要求下，寿险公司需要实施“为第二代支付”三大支柱，逐步建立操作风险与内部控制相结合的综合管理模式。操作风险管理是合规管理、风险管理和内部控制的结合，是风险合规部工作的主要出发点，也是风险管理部在“为第二代付费”下面临的最大挑战。

目前，我国保险业在操作风险管控领域普遍处于独立识别和定性监管的初级阶段，没有成熟的理论框架和可供借鉴的实践经验。精细化风险管理在组织结构、管理控制程度、量化技术和操作风险预警监控方面还有很大差距。今后应逐步完善操作风险监控指标体系，规范损失数据库建立标准，整合优化经济资本计量模型，加强新兴风险和外包业务管理，注重操作风险管理与业务发展相结合，全面提升保险业操作风险管理效率。(图片文章)