内部控制与风险管理相关监管原则概述

第一节　内部控制与风险管理相关监管原则概述

2003年,IAIS对《保险监管核心原则》进行了第二次修订,修订后的保险监管核心原则共28条,与2000年的17条原则相比,加大了对保险公司内部控制及风险分析和管理方面的监管力度。在保留内部控制的监管原则前提下,增加了关于保险公司风险分析和管理方面的监管核心原则,并将再保险方面的监管原则扩展到涉及所有保险活动的监管原则。同时,在有关保险公司的执照、公司治理、对集团的监管、投资等方面的监管原则中,都涉及关于保险公司内部控制和风险管理方面的监管要求。我们在本节将全面介绍上述涉及内控及风险管理方面的主要监管原则,阐述不同监管原则的基本监管目标和标准。通过这种介绍和分析,使我国保险监管人员能够从总体上把握保险监管核心原则中有关内控及风险管理方面的监管要求,从而更好地结合我国实际状况,不断提高保险公司内部控制与风险管理的监管效率。

一、核心监管原则的内容及其含义

(一)内部控制监管原则

1.基本内容。IAIS在其2000年修订的保险监管核心原则中就已将内部控制监管作为17条监管核心原则中的重要一条;在2003年的第二次修改中,IAIS继续保留了该原则,并将其作为第10条监管核心原则。该原则的基本内容是:监管机构要求保险公司建立内部控制制度,这些内控制度要与该公司的性质和业务规模相适应。监督和报告制度使得董事会和高级经理层可以监督和控制公司的运行。

2.含义。根据IAIS对内部控制原则的解释,可以从以下四个方面来理解内控制度:

(1)内控制度的目的。其目的在于保证:保险公司的业务经营是在符合董事会制订的政策和目标下谨慎进行的(ICP9:公司治理);只有得到正当的批准时才能进行交易;对资产有充分的保障措施(ICP21:投资);会计和其他记录提供完整、准确、及时和真实的信息;经理层能够发现、评价、管理和控制业务风险,并为这些风险准备足够的资本(ICP18:风险分析和管理以及ICP23:资本充足和偿付能力)。

(2)内控制度的作用。首先,该原则认为,内控制度对有效的风险管理是至关重要的,它为保险公司的安全、正常运行提供了一个基础,并为评价和改进管理的有效性和是否符合法律法规提供了一条途径。

(3)强调董事会在内控建设中的责任。该原则认为,保险公司的董事会有责任在公司内建立一套有力的内控文化,其核心是建立一套能够在不同层面经理层进行充分的信息交流的体系。

(4)内控制度的主要内容。根据IAIS的有关解释,内控制度的核心是通过建立制度并切实地执行,保证有关经营目标的实现,其重要的组成部分是董事会定期收到有关内控制度有效性的报告。同时,保险公司对于出现的任何问题都要及时向董事会报告,以便采取相应的措施。

(二)风险管理监管原则

1.基本内容。IAIS在其对保险监管核心原则进行的第二次修改中,为了加强对保险公司风险管理方面的监管,新增加了关于风险分析与管理方面的监管原则,这就是保险监管核心原则第18条。该项原则的基本内容是:监管机构要求保险公司认识、并能有效地分析和管理他们面临的风险。

2.含义。根据IAIS对风险分析和管理监管原则的解释,我们可以从以下几方面来理解这一原则:

(1)风险分析和管理的主体、组织以及方法。该原则认为保险公司是风险分析和管理的主体,他们在经营过程中应当认识、了解和管理他们面临的重要风险。其次,风险分析和管理的组织要求是保险公司需要有与其自身的复杂程度、规模大小和业务性质相适应的有效和谨慎的风险管理体系,这一体系可以根据其对风险的承受能力来不断分析和衡量风险,并尽早对潜在风险作出预测。IAIS认为,分析和管理方法既可以是以地区分布,也可以是以业务种类分类来考察风险。

(2)风险分析和管理的客体。风险管理的客体既包括一般金融企业经营中都会面临的经营风险,如市场(包括利率)、经营、法律及机构和集团风险(包括传递性风险、关联风险和集团其他实体带来的风险等);也包括保险业所特有的某些风险,如承保风险、理赔风险以及准备金估值有关的精算风险等。

(3)监管机构在风险管理中的作用。通过评价保险公司对风险管理的控制和监督,监管机构在风险管理过程中发挥其非常重要的作用。监管机构通过制定审慎的法规和要求来处理这些风险。该原则同时认为,尽管监管机构为了加强保险公司的风险管理,制定了相应规定,但是,如何更好地进行风险管理,采取适当的方式,其最终责任在于董事会。因此,一般在监管规定中将董事会所承担的风险管理责任进行明确。

(三)保险活动监管原则

1.基本内容。IAIS的保险监管核心原则中,第19条是关于保险活动的一些基本监管原则。该原则的内容是:由于保险是承担风险的活动,监管机构要求保险公司评价和管理它们所承担的风险,尤其是通过再保险,并要有能保证足够数量保费的工具。

2.含义。根据国际保险监管核心原则的文件中对该原则的一些解释,该原则规定的保险活动包括以下几方面的内容:

(1)承保政策方面。保险公司通过集中和多样化等手段来接受和管理风险。每个保险公司都应该有经过董事会批准和监督实施的承保政策。

(2)经营技术方面。保险公司运用精算、统计或财务方法来估算责任和确定保费。如果这些数据被大大低估,对保险公司的后果将会很严重,某些情况下甚至是致命的。特别是当收取的保费可能不足以弥补风险和成本时,保险公司可能开展没有利润的业务,责任可能被低估,掩盖了保险公司真实的财务状况。因此,必须确保能够认识到多种不同的选择,能被合理地定价和建立合适的准备金。

(3)再保险政策方面。保险公司运用许多手段来降低和分散风险,其中最重要的手段是再保险。保险公司应该有经董事会批准的再保险政策,这一政策与其总体风险水平和资本金相适应。再保险方针也是整个承保方针的组成部分。

二、监管标准

上述三条保险监管核心原则中都明确说明了各自的监管标准和要求,而由于其他监管原则,如关于执照、公司治理、对集团的监管、投资等原则中也都含有对内部控制和风险管理方面的监管要求。因此,我们在这里将进行分别介绍,首先介绍内控、风险分析和管理以及保险活动三条核心原则中的监管要求,其次介绍投资监管原则中的内控及风险管理监管要求,最后介绍其他监管原则中相关的监管标准。

(一)内部控制监管要求

根据该条监管原则对于监管标准的描述,监管要求应该包括以下几方面:

1.监管机构的权力。主要包括:

(1)监管机构有权对保险公司的内控制度进行评价,并检查其是否与公司的业务规模和性质相符合。必要时,要求公司加强内控。

(2)监管机构有权获得内控部门的审计报告。

(3)法规根据保险公司经营的性质,对指定精算师有要求时,监管机构要求精算师向董事会和经理层报告。

2.董事会在内部控制中的地位和作用。主要包括以下要求:

(1)董事会对建立和维持有效的内控制度负有最终责任。

(2)董事会必须进行谨慎的监督,并建立风险管理体系——包括制定和监督政策的执行,以不断发现、衡量、监测和控制风险。风险管理体系及有关政策由董事会通过并定期进行评价。

(3)董事会对市场行为进行监督。

(4)董事会应定期收到有关内控制度有效性的报告。内控制度的缺陷,无论是被管理层职员、内部审计或其他控制人员发现的,都要及时进行报告并立即得到处理。

3.内控制度的内容。

(1)保险公司的内控制度包括授权、职责及分工。内控强调检查和制衡,例如,交叉检查、对资产的双重控制和双签制度。

(2)监管机构要求内控制度包括会计程序、账目处理、控制名单和经营管理的信息。

4.内控组织体系要求。内审和外审、精算与合规是内控体系的组成部分,要检查这些是否符合有关法律法规及内控要求。

5.对保险公司所有外包职能的监管要求。监管机构要求保险公司对这种外包业务进行有效的监督并明确相应的职责,如同这些职责是由保险公司的内设机构完成的一样。这些职能也要受正常的内控要求的限制。

6.对保险公司内审机构监管要求。主要包括:

(1)监管机构要求保险公司保持内审职能,并要与其业务规模和性质相符合,这包括确保与有关政策和程序相符合,并对保险公司的政策、行为和控制是否一直与其业务相适应进行评估。

(2)监管机构要求其内审部门能够完成以下工作:①能够无障碍地接触保险公司的所有业务部门和支持部门;②对外包的职能进行评价;③有足够的独立性,包括向董事会报告;④在保险公司内有足够的地位,使得高级经理层能对其建议作出回应或采纳其建议;⑤有足够的具有相关经验和能力的人员及其他资源来履行职责。

(二)风险管理监管标准

保险监管核心原则第18条阐述了风险管理的基本监管标准和附加监管标准。前者是一般监管要求,也就是说监管机构进行风险管理监管时必须要达到的标准,后者是比较高的要求。具体来说,风险管理的监管标准有:

1.风险管理监管目标。监管机构要求并检查保险公司应具备全面的风险管理措施和制度,能够及时发现、衡量、评估、报告和控制风险(这一点与关于内控的监管标准的第四条存在较大的关联度,都要求能够不断、及时地发现、衡量、控制风险)。

2.风险管理政策和风险控制制度。这些政策和制度应与保险公司的复杂程度、规模大小和业务性质相适应。同时,保险公司对重要的风险应该设定一个可承受的限额。

3.风险管理范围。风险管理体系应该能够监测和控制保险公司面临的所有重要风险。

4.进行市场风险管理。要求保险公司定期评价市场情况,就面临的风险得出结论,对市场环境对保险公司业务产生的不利影响采取适当的措施。

5.成立专门的风险管理部门。大型保险公司设立风险管理部门和风险管理委员会,该要求是对保险公司风险管理监管工作提出的比较高的监管标准。

(三)保险活动的监管标准

按照保险监管核心原则中对于保险活动监管标准的解释,保险活动监管应该至少包括以下几方面内容的监管要求:

1.拥有董事会批准和定期评价的承保和定价政策。监管机构要求保险公司具有经董事会批准的承保和定价方针,这些方针要经董事会定期评价。

2.理赔和费用控制制度。监管机构检查保险公司评估所承保风险和维持足够数量保费的情况。为此,对控制与保费和赔款有关的费用(包括理赔和行政管理费用),保险公司应有一套制度。这些费用要由经理层不断监控。

3.费率厘定方法。监管机构能够检查保险公司制定费率的方法,确保它们建立在合理的假设基础上,保证保险公司能够履行其承诺。

4.降低和分散风险的策略方针。监管机构要求保险公司对降低和分散风险有明确的方针,这是通过根据自身资本水平,规定自留风险和分保或运用其他风险转移手段来实现的。这一策略是保险公司承保方针的一部分,必须经过董事会批准和定期监督及评价。

5.再保险安排的充足性和有效性。监管机构检查保险公司的再保险安排是否足够,保险公司已经分保的赔案是否得到赔付。这包括:①再保险方案为保险公司提供了与其资本及承保的风险相适应的风险保障。②再保险公司的保障是安全的。这可以通过不同的方法来实现,如对再保险的直接监管制度,或是提供抵押(信托、信用证和抵押金)。

6.风险转移工具的适当性。监管机构检查保险公司风险转移工具的合适性,以全面公正地反映其风险状况。

(四)其他监管原则中关于内控及风险管理的监管要求

1.执照监管。保险监管核心原则第六条是关于执照方面的监管,该原则规定,保险公司在一国经营业务,首先要经过批准,取得执照。发放执照的要求应当清楚、客观和公开。在该原则关于清楚、客观和公开发放执照的标准中对申请者的风险管理提出了具体要求,内容包括:申请者的风险管理,包括再保险安排、内控制度、计算机系统的规定和流程是充分的,与其经营风险的性质与规模是相适应的。

2.公司治理监管。在关于公司治理监管的核心原则(ICP9)中,规定公司治理结构区分和保护所有有关各方的利益。监管机构要求保险公司遵循所有适用的公司治理标准。有关内控和风险管理方面的监管要求如下:

(1)监管架构要确保保险公司采取的组织结构有利于促进该公司的有效和审慎管理以及董事会的监督。

(2)保险公司设立董事会,董事会监督公司的风险管理体系,并建立审计、精算和内控等制度。

(3)董事会可以设立诸如薪酬、审计和风险管理委员会的专门委员会。

其中,按照ICP9的规定,前述(1)、(2)为基本标准,(3)为监管的附加标准,是比较高层次的监管要求。

3.对集团的监管。保险监管核心原则第17条是对集团的监管,该原则规定监管机构对保险公司本身和其集团进行监管。

从内控和风险管理的角度看,关于集团监管的原因是因为保险公司是集团的成员,该特点往往会显著地改变公司的风险状况、财务状况、经营层的角色和作用以及其经营策略。因此,对保险集团或混业集团(无论是国内或国际性集团)中保险公司的监管,不能仅限于对这个保险公司的监管,还要考察集团其他公司(如控股公司的经营),以评价保险公司和集团的总体风险情况。所以,法律规定和监管要充分考虑到保险公司风险状况的变化,确保进行足够的集团分析,必要时,采取合适的监管措施。另外,关于集团评价和监管的范围,不应只限于财务指标,如资本金充足率、风险集中程度等,还要考虑其管理架构、适当的测试方法及法律问题。集团的信息体系不仅要满足其内部的信息需求,还要能为监管机构及时提供充分的信息。

该原则涉及的内控及风险管理的监管要求主要有:

保险公司是保险集团或金融集团的组成部分时,作为对只针对保险公司监管的补充,对集团的监管应至少包括对以下内容的政策和监管:

(1)集团架构和内部关系,包括所有权和管理架构。

(2)资本充足率。

(3)再保险和风险集中程度。

(4)集团内部交易和风险,包括集团内担保和可能出现的法律责任。

(5)内控机制和风险管理程序,包括报告制度和高级经营层的合适性考核等。

4.投资监管。鉴于投资在保险公司尤其是寿险公司经营中的重要性,IAIS在保险监管核心原则专门出台了一条关于投资的监管原则(ICP21)。该条监管原则中明确提出,监管机构要求保险公司遵守有关投资活动的标准。这些标准包括投资政策、资产组合、估值、多样化、资产负债匹配和风险管理等方面的内容。

该原则认为,保险公司投资组合中存在着许多可能会影响其准备金和偿付能力的风险,保险公司需要持续识别、衡量、报告和控制这些主要风险,因此,应当合理审慎地进行投资。经营区域不同的公司投资风险类型存在一定的差异。监管机构应对保险公司管理投资资产及内在的风险作出规定。监管机构应当有权和有能力评估有关风险及这些风险可能对保险公司准备金和偿付能力产生的影响。董事会对具体投资政策的制定和内控方法承担最终的责任。

此项原则中提出的关于内部控制和风险管理的基本标准是:

(1)风险管理体系要求。风险管理体系必须包括与投资活动相关联的、可能影响保险公司准备金和偿付能力的所有风险。主要包括:市场风险、信用风险、流动性风险以及不能安全保持资产的风险(包括托管协议不当引起的风险)。

(2)监管机构内控检查权力。监管机构有权检查保险公司是否有足够的内控来确保投资遵循投资方针和法律、会计及监管规定。同时,内控应保证有成文的投资程序,并且监督有关执行过程。通常,评估、结算和控制资产交易的部门应当同前台业务部门分开(与ICP10的监管要求一致)。

5.衍生产品及类似产品监管。针对某些国家和地区中衍生产品及类似产品在保险公司经营中具有广泛的应用,因此IAIS在其衍生产品及类似产品监管原则(ICP22)中对其提出了明确的监管要求。该原则的具体内容是监管机构要求保险公司遵守有关运用衍生产品及类似产品的规定,这些规定对保险公司运用此类产品、信息披露、内控和监督管理作出要求。该原则对内控及风险管理提出的监管要求有以下两条:

(1)监管机构要求保险公司具备风险管理体系,保证衍生产品交易中的风险可以:个别和整体地被分析和监控;与非衍生交易中的风险一起被监控和管理,从而能对总体风险进行定期评价。

(2)监管机构要求保险公司具备相应的内控制度,确保所有衍生产品的交易被有效监控,所有活动符合经批准的政策、程序以及法律和监管规定。这些内控制度也保证从事交易的人员与监督管理的人员要适当分开(与ICP10的监管要求一致)。