郭金龙：寿险公司操作风险及其管控(12月25日)

    《金融时报》消息，近年来，越来越复杂和隐蔽的风险传导机制对寿险公司风险管控能力形成严峻挑战。从中国保监会《2016年偿付能力风险管理要求与评估结果》来看，72家寿险公司中有50家的得分不及格。“操作风险”排在“目标与工具”之后，是对于各种规模类型保险公司来说位列第二大薄弱的领域。2017年，保监会下发了一系列政策文件，把防控风险放到了更加重要位置，整个行业都亟待摸索操作风险的量化方法和管控策略。今天，中国社会科学院金融研究所保险研究室主任郭金龙研究员做客《理论周刊》，就寿险公司的风险管控问题接受了记者的采访。
    记者：随着经济全球化的日益深化和保险公司对信息技术依赖程度的提升，操作风险逐渐从高频低损升级为低频高损。就寿险公司来说，其操作风险的属性和特点是什么？
    郭金龙：操作风险是指由于不完善的内部操作流程、人员、系统或外部事件而导致直接或间接损失的风险，包括法律和监管合规风险。寿险公司操作风险的属性和特点具体表现为：
    第一，操作风险的内生性。除自然灾害、恐怖袭击等外部事件引起的操作风险损失外，大多数操作风险属于保险公司的内生风险，且多与保险公司特有的内部经营环境有关。主要包括企业文化、员工素质、公司治理结构、激励约束机制、内部控制体系、风险管理框架等。内生性是操作风险最主要的特征，其他特征或多或少与此相关。如果在制度、流程的某方面出现缺陷或是漏洞，潜在的操作风险因素就可能突发为现实的操作风险，就会持续出现一系列相似操作风险事件。
    第二，操作风险的非金融性。现代风险管理不仅将风险视为损失的可能而加以控制，而且将风险视为获利的机会而加以合理利用。因此在进行风险管理时并不是完全消除风险，而是保留、容忍一定限度内的风险，以期在与风险的博弈中获取收益。但与其他风险不同的是，承担更多操作风险会降低相关权利人的价值而不是有更高的预期收益。操作风险主要是由内部因素特别是管理缺陷引起的，风险管理的手段侧重于控制而不是转移。市场化的复杂交易技术金融衍生工具、资产证券化等在化解信用、市场风险须以相应操作风险的产生或提高为代价。市场风险、信用风险的发生多受保险公司追求利润的驱动，而操作风险则不受利润的驱动。由此可见，操作风险是具有非金融性的。
    第三，操作风险与其他风险的关联性。在一个统一的金融市场上，各种金融资产、各类金融机构密切联系，相互交织成一个复杂的体系。操作风险作为保险公司运营过程中必然的“副产品”，与商业保险公司各项业务经营活动紧密相联，可以说是“此消彼长”。
    第四，操作风险的多样性与复杂性。从范围和内涵来看，操作风险的发生与员工素质、公司治理、风险管理水平等因素密切相关，内容涉及保险公司经营管理的方方面面既与人有关又与事件有关，可能在企业内部滋生，也可能由外部事件激发，且组织结构、市场开拓、人员波动大的领域，发生操作风险的可能性更大。从形成原因来看，一方面由外部意外事件造成；另一方面是由员工的非理性行为及委托——代理关系中合同的不完备造成的，而这些都很难做到事前的预警和事后的准确归因、损失计量。从风险的传导来看，在化解其他风险的过程中可能由于人员的贪婪、技术水平等因素，导致操作风险。
    第五，操作风险具有可测性但难于度量。虽然操作风险具有不确定性即发生的概率和造成的后果是不确定的，但是依然具有可测性，可以采取积极、有效的预防措施防止其发生并提取风险资本进行预防。风险度量一直是风险管理研究中的重要组成部分，目前对市场风险和信用风险的度量技术已日趋成熟，可以较准确地衡量风险暴露程度。而操作风险由于种类多、情况复杂、具有主观性和动态变化等特点，很难建立统一适用的风险度量模型。
    记者：人们常常将保险公司经营危机、偿付能力不足、破产倒闭的原因归结于某些偶然的触发性事件。但调查发现，导致保险公司出现经营危机或破产倒闭的通常不是单一风险，而是多种风险因素共同作用的结果。那么，操作风险在风险体系中的影响是什么？
    郭金龙：在这些风险因素中，除外部的一些触发因素外，保险公司内部控制体系的缺陷、激励机制的无效、风险管理体系的不完备较为常见。外部的触发因素不可控，但保险公司内部潜在的风险因素却是可以在事先加以改进和完善的，因此仔细地鉴别和区分就显得非常有必要了。
    首先，操作风险处于保险公司风险体系中的初始阶段。在通常状况下，操作风险处于诱发保险公司风险损失的初始阶段。如果我们能找出操作风险产生的原因以及操作风险在保险公司内传导和扩散的路径，那我们就可以采取相应措施对其进行控制，并在风险之间建立防火墙。但由于操作风险的隐蔽性和复杂性，使得保险公司和保险监管部门很难在操作风险的早期阶段发现并采取行动，更多的是在操作风险暴露到一定程度之后再制定一些更切合实际、容易被用来评估和校验的风险管理标准和准则。
    其次，操作风险可能诱发保险公司的其他风险。举例来说，保险公司高级管理人员的失误可能直接导致不完备的流程或信息系统缺陷，保险公司员工变造、伪造保单，使得保险公司的声誉遭受损失。私自截留保费、冒险的投资行为又可能导致财务风险，这也揭示了风险的两重性。在一些保险公司破产的案例中，一个风险因素是某一损失的结果，同时又是另一风险损失事件的诱因。
    再次，对操作风险及早防范，对于保险公司的经营稳定意义重大。操作风险处在保险公司风险传导链中的较早部分，在其产生的初期就进行关注，并尽可能采取行动以防患于未然具有重要的意义。一是，保险公司并不喜欢面对失败或是严重威胁其偿付能力及市场表现的风险事件，因为这会消耗其大量的管理资源。二是，与在风险事件的后期阶段采取更严格的监管措施或是挽救一个陷入危机的保险公司相比，监管机构更倾向于在风险事件发生的早期阶段完成监管目标以节约成本。三是，消费者和保险公司的相关利益者可以从减少的风险损失事件中获益，而且防范重大风险事件的发生还有助于保险市场的稳定。
    记者：造成寿险公司操作风险的具体原因是什么？
    郭金龙：寿险公司操作风险产生的原因可以从内部操作流程、人员、系统或外部事件等四个方面找到根源，其中外部原因更可以细化为经营活动、环境和外部恶意活动。
    一是内部流程不完善带来风险。内部流程风险主要是由于内部制度的不完善引起的风险，主要包括制度缺失、制度未落实法律或监管规定、流程设计不合理、产品缺陷、职责不明确或岗位设置不合理、考核或薪酬安排因素、工作环境不安全、其他内部程序类等方面。
    二是人员操作不当形成风险。由于人员引起的操作风险主要是员工技能不足、管理不善或主观恶意行为等导致的，具体包括员工不具备岗位所需资质、员工技能不足、人员配置不合理、员工不当行为、员工过失或疏忽、员工主观恶意行为、外聘或非正式员工不当行为、其他人员类等原因。
    三是系统缺陷导致风险。由信息系统引发的操作风险是指由于系统在可靠性或完整性方面的重大缺陷带来的潜在损失，也可能源于客户误操作或者系统设计、实施中的缺陷。相对于银行，保险公司的信息系统没有那么复杂，但是从总体上看，信息技术的广泛使用和不断进步是大势所趋，因此，可以从信息技术角度分析操作风险的产生。
    四是外部事件引发风险。外部事件引发的操作风险主要由经营活动、环境、外部恶意活动三个方面引起的。
    记者：对于寿险公司操作风险防控，监管部门采取了哪些措施？
    郭金龙：2008年全球金融危机过后，中国的金融监管机构更加重视风险管理和内部控制在金融机构运行过程中的重要作用。近年来，保监会出台了一系列政策文件，把防控风险放到了更加重要位置，整个行业都在摸索操作风险的量化方法和管控策略。
    2015年2月，保监会发布《中国保监会关于中国风险导向偿付能力体系，过渡期有关事项的通知》，包括偿二代17个监管规则，偿二代监管体系过渡期正式开始。在17项监管规则中，涉及第二支柱的监管制度主要包括：《保险公司偿付能力监管规则第10号：风险综合评级（分类监管）》（以下简称“10号文”）、《保险公司偿付能力监管规则第11号：偿付能力风险管理要求与评估》（以下简称“11号文”）、《保险公司偿付能力监管规则第12号：流动性风险》三部分内容，对寿险公司风险合规管理提出了全新的要求。
    2015年7月，保监会印发《中国保监会关于在偿二代过渡期内开展保险公司偿付能力风险管理能力试评估有关事项的通知》。《通知》要求财产保险公司、人身保险公司和再保险公司对照《保险公司偿付能力风险管理能力评估表》，评估自身的偿付能力风险管理能力，具体包括：偿付能力风险管理的基础与环境、偿付能力风险管理的目标与工具、保险风险管理能力、市场风险管理能力、信用风险管理能力、操作风险管理能力、战略风险管理能力、声誉风险管理能力、流动性风险管理能力。
    2016年1月，保监会发布《中国保监会关于正式实施中国风险导向的偿付能力体系有关事项的通知》，标志着中国保险行业正式进入“偿二代”时代。
    2016年9月，保监会发布了《关于做好偿二代风险综合评级数据准备工作的通知》，对寿险公司展开偿二代风险综合评级（分类监管），各保险公司需要按照《保险公司法人机构风险综合评级（分类监管）具体评价标准》的有关要求向保监会报送相关数据和信息，这代表着10号文有了具体实施的参考标准。根据10号文的要求，保监会主要以风险为导向，评价寿险公司偿付能力风险的实际状况，根据风险大小对寿险公司进行分类监管。各地保监局根据职责分工，配合保监会，采用统一的评价标准，共同对寿险公司进行风险综合评价。分类监管评价的原则、标准、方法和监管措施对于所有寿险公司都是一致的。
    11号文明确了保险公司应通过建立和运用风险与控制自我评估、操作风险损失事件库和操作风险关键风险指标等工具对操作风险进行管理。寿险公司应当结合自身管理实际，对操作风险管理工具进行优化和落地，完善操作风险管理体系。
    随着“偿二代”监管要求的颁布和实施，保险公司全面风险管理制度体系逐渐成型，即形成了以偿付能力风险管理的总则为顶层设计，以七大类风险的管理制度为支撑，以一系列业务实施细则为依托的全面风险管理制度体系。这为寿险公司操作风险管理制度和管理流程的进一步完善夯实了基础。
    总之，在新的监管要求下，寿险公司需要做好“偿二代”三个支柱的落实工作，逐步建立操作风险与内部控制相结合的一体化管理模式。操作风险管理是合规管理、风险管理和内部控制的结合点，是风险合规部门开展工作的主要抓手，也是“偿二代”下对风险管理部门的最大挑战。
    目前，我国保险业在操作风险管控领域总体处于单独识别、定性监管的初级阶段，尚无成熟的框架理论和实践经验可供借鉴，在操作风险的组织架构、管控制度、量化技术、预警监测等方面离精细化风险管理还有很大差距。未来应逐步细化操作风险的监测指标体系，规范损失数据库的建立标准，整合优化经济资本度量模型，加强新兴风险与外包业务的管理，注重操作风险管控与业务发展的结合，全面提升保险业操作风险的管理效率。（载《金融时报》2017年12月25日）