发布日期:2021-10-27
中国太平洋人寿保险股份有限公司副总经理、合规负责人、首席风险官周晓楠
【编者按】
CRO(Chief Risk Officer),即首席风险官,该职位1993年诞生于欧美发达国家。目前,80%以上的世界性金融机构设有该职位,我国的银行业也率先设立了首席风险官的职位。随着保险业“偿二代”全面实施和“风险导向”监管制度的实行,“保险姓保”是目前保险监管与行业发展的主基调,CRO在企业中的地位和作用日益突出,逐渐被视为以价值为本的成功保险公司的支柱。
这个职位的具体职责是什么?未来,它将怎样更好地发挥作用,助力保险企业管控自身风险,推动保险业回归保障本源?自2018年第5期开设“CRO说”栏目以来,我们陆续邀请国内外保险公司CRO共同探讨保险业风控模式,分享成熟风控经验。
一、引言
自COSO委员会1992年首次提出“操作风险”概念以来,操作风险内涵就在不断发展和演变。《巴塞尔协议Ⅲ》和《欧盟偿付能力Ⅱ》认为,操作风险是由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险,包括法律风险但不包括战略风险和声誉风险(BCBS,2011)。2012年,原中国保监会印发的《人身保险公司全面风险管理实施指引》对操作风险作了如下界定:“由于不完善的内部操作流程、人员、系统或外部事件而导致直接或间接损失的风险,包括法律及监管合规风险,但不包括战略风险和声誉风险。”具体而言,操作风险诱因包括组织模式、管理制度、业务流程、技术水平、人为因素以及外部事件等,几乎涉及保险公司从产品研发、包装销售到承保、理赔及后续服务等日常经营的所有领域。因此,保险公司操作风险除了具有内生性、多样性、非金融性、难于度量等特征外,还与信用风险、承保风险、市场风险、资产风险等产生交互影响,Nadine Gatzert(2013)研究发现操作风险事件不仅对保险公司,而且对整个保险行业都具有巨大的破坏性影响。
近年来,操作风险事件逐渐显现出从“高频低损”特征转变为“低频高损”特征,操作风险管理落地难、量化难、管控难等问题仍比较突出,同时,操作风险偏好不明确,越来越复杂和隐蔽的风险传导机制对寿险公司风险管控能力形成严峻挑战。从监管层面看,随着“保险姓保、保监姓监”的行业理念逐步深化,中国银保监会自2018年起先后下发了《关于组织开展人身保险产品专项核查清理工作的通知》(银保监办发〔2018〕19号)、《关于进一步深化乱象治理工作的通知》(银保监办发〔2018〕52号)、《关于印发2018年打击非法商业保险活动专项行动工作方案的通知》(银保监办发〔2018〕47号)、《关于开展“巩固治乱象成果促进合规建设”工作的通知》(银保监发〔2019〕23号)、《关于印发2019年保险中介市场乱象整治工作方案的通知》(银保监办发〔2019〕90号)、《关于开展借款人意外伤害保险业务自查清理工作的通知》(人身险部函〔2019〕231号)、《关于开展银行业保险业市场乱象治理“回头看”工作的通知》(银保监发〔2020〕27号)、《关于印发2020年保险中介市场乱象整治工作方案的通知》(中介部函〔2020〕22号)、《关于印发意外险市场清理整顿工作方案的通知》(银保监办便函〔2020〕771号)、《关于深入开展人身保险市场乱象治理专项工作的通知》(银保监办便函〔2021〕477号)等一系列政策文件,把防控风险放到了更加重要的位置。从公司层面看,监管部门加大了对寿险公司操作风险事件的处罚力度(见表1)。由于操作风险处在保险公司风险传导链中的较早部分,在其产生的初期就进行关注,如何在其产生的初期充分利用智能化手段,对操作风险进行识别、评估和监测,并尽可能采取行动以防患于未然,是摆在保险公司面前亟待解决的课题。
二、管控现状
(一)监管方面
2016年9月,原保监会印发了《关于做好偿二代风险综合评级数据准备工作的通知》,对寿险公司展开偿二代风险综合评级(分类监管),偿二代10号文主要对寿险公司难以量化风险进行分类监管,偿二代11号文明确了保险公司应建立和运用风险与控制自我评估、操作风险损失事件库和操作风险关键风险指标等工具对操作风险进行管理。2017年7月,《保险公司合规管理办法》正式实施,其中第三十三条规定,保险公司应当建立有效的信息系统,确保在合规管理工作中能够及时、准确获取有关公司业务、财务、资金运用、机构管理等合规管理工作所需的信息。2018年2月,原保监会印发实施《反保险欺诈指引》,明确保险机构应当为有效地识别、计量、评估、监测、控制和报告欺诈风险建立信息系统或将现有信息系统嵌入相关功能。2019年10月,国资委制定《关于加强中央企业内部控制体系建设与监督工作的实施意见》,要求各中央企业进一步树立和强化管理制度化、制度流程化、流程信息化的内控理念,将风险管理和合规管理要求嵌入业务流程,促使企业依法合规开展各项经营活动,实现“强内控、防风险、促合规”的管控目标,形成全面、全员、全过程、全体系的风险防控机制。2020年7月,五部委印发实施《国家新一代人工智能标准体系建设指南》,推动人工智能技术在开源、开放的产业生态不断自我优化,指导人工智能国家标准、行业标准、团体标准等的制修订和协调配套,形成标准,引领人工智能产业全面规范化发展。2020年12月,中国银保监会发布《互联网保险业务监管办法》,在规范经营、防范风险、划清红线的基础上,鼓励保险与互联网、大数据、区块链等新技术相融合,支持服务实体经济和社会民生。
(二)学术方面
目前,国内外学者大多从操作风险理论、计量、应用、管理体系建设等方面进行探索性研究,对于运用智能化技术提升保险公司操作风险管控能力研究相对较少。如:EdohAfambo(2006)论证了以高级计量法之极值法计量操作风险经济资本金;洪梅等(2012)在总结国际经验的基础上搭建了国内保险公司的操作风险管控体系;莫建明(2015)探究了损失分布法下操作风险度量精度变动规律;孔帅(2014)分析了我国保险公司操作风险的监测应对策略;袁中美等(2017)在总结国际经验的基础上,提出保险公司应当整合优化操作风险管控技术,加强信息系统操作风险管控;黄涛等(2019)探索建立分支机构合规风险监测及量化评价体系,定期评估分支机构合规风险状况;张玉茜(2019)提出,应当借鉴国际先进保险公司建立信息化管控机制,降低操作风险,提升业务质量;卡雅雯等(2020)在数字化转型升级大背景下,利用AI赋能保险发展,构建了腾讯金融云的智能核保方案,致力于实现保险行业智能风控;周晓楠等(2020)探索通过图计算技术得到的数据特征和以关系为基础的发现规则,可以更高效、有针对性地开展反欺诈工作,尽早对欺诈案件进行发现、确认、挽损。
(三)行业方面
目前,中国人寿基于内部大数据平台开发了“金盾人工智能重疾险风险评估”反欺诈模型。该模型可以从重疾险理赔案件的历史数据中学习、总结、归纳欺诈案件的规律,进而达到系统自动评估案件欺诈风险,并不断积累经验,梳理规则,提升评估准确率的效果。平安集合集团各部门及子公司数据,汇成集团数据集市,从而构建风险应用库、稽核应用库、法律应用库及模型实验室样本等内控功能模块,同时融入人工智能、BI报表等智能应用,支持形成一体化、智能化的智能风控平台,支持风险管理分析与决策。泰康人寿在集团层面专门设立了“数据中心”,整合各系统数据,负责协调集团和各子公司层面的大数据及人工智能发展,“数据中心”下设三大板块:行政管理板块、研发支持板块、技术创新板块,涵盖基础共享平台及12个二级部门。“数据中心”通过实现商业智能模式下的多维数据展示来支持管理层决策,为风险管理部门提供数据监控服务,优化投保和理赔环节,提高公司运营效率。
综上,目前保险行业在操作风险的组织架构、管控制度、量化技术、预警监测等方面离精细化风险管理还有很大差距,主要存在以下痛点:一是操作风险数据来源需手工获取,监测预警时效性差;二是以常规领域监测为主,重点风险监控不足;三是合规监测效应递减,分支机构合规考核牵引力度弱;四是长效反欺诈和反舞弊机制待完善;五是被动响应监管处罚,外部风险感知能力差。如何细化操作风险传导和关键风险指标监测体系,规范损失数据库的建立标准,提升对重大操作风险进行监测和化解的能力,实现操作风险管控与业务发展的结合,全面提升保险业操作风险的智能化管理水平,将是重要的研究方向。
三、参考路径
近年来,面对金融业不断增加的风险,中国太平洋人寿保险股份有限公司(简称太保寿险)深入贯彻监管关于智能风控和操作风险的工作要求,按照集团和公司转型2.0和A14风控一体化战略部署,以“长航行动”为指引,围绕“做实、做专、做智、做优”工作目标,通过运用AI、云计算、大数据等技术,重点关注数据共享、流程整合、重要风险防范、风险评级优化、审计缺陷整改追踪等领域,建成分布式架构、一体化平台、协同化作业、可视化的智能合规风控体系,实现风险管理由被动向主动、由事后向前置发展,由“纯人工”向“智能风控”转型,筑牢风险“防火墙”,推动公司进入全面智能合规风控时代。太保寿险操作风险智能化风控架构图,如图1所示。
(一)强化一道防线风险管控主体责任,促进业务稳定发展
风险管理有别于合规内控的独特价值在于参与资本规划与分解,为资本有效利用并创造超额价值提供支持。在偿二代监管政策下,公司建立了风险管理考核机制,致力于操作风险与公司业务发展融合,在保持风险可控的前提下,助力业务稳定发展,参与公司价值创造。
1.建立总公司条线部门合规责任清单
为强化对操作风险重点管控领域治理,明确总公司操作风险一道防线对于“五虚问题”1等公司重要管控领域的治理责任,制定下发总公司条线部门主要合规责任清单,按照“各尽其责、互不替代”的原则,综合治理,合规责任清单根据“五虚问题”治理链条,综合“一守三全”风险责任清单,将管控责任细化为总公司条线部门主要合规责任,合规责任清单落实及改善情况纳入到总公司本部年度绩效考核方案,一、二道防线共同使力。
2.制定总公司条线部门考核方案
条线部门考核为进一步强化一道防线风险管理主体责任,赋予大类风险牵头部门考核权,加强一道防线实质履职,公司修订《总公司本部风险管理实施方案(2020年版)》,并后续纳入人力资源部2020年度总公司部门绩效考核方案。一是延伸考核主体:考核权推向大类风险牵头部门,赋予实质性考核职能,由大类风险牵头部门对配合部门进行评分。二是调整考核权重:将当前风险绩效考核中风险工作履职权重从10%提升至20%,并统一设置5%的主动管理加分项。三是丰富SARMRA和IRR维度:SARMRA与IRR考核细分为定量和定性评价维度,在保持评估和评级结果的基础上增加相关工作评分,偿二代SARMRA和IRR工作在原有监管结果定量评分的基础上,增加定性评价,将一道防线推动SARMAR和IRR相关工作纳入考核体系,进一步牵引一道防线实质履职。四是细化风险履职指标:划分三大类风险履职指标,风险工作履职考核按照风险排查、风险报告和风险文化三大工作评分,建立过程跟踪,并细化评分标准。
(二)强化分支机构风险管控意识,加快分支机构风控能力建设
经历过几年的SARMRA驱动风险管控能力建设,大部分保险公司在总公司层面,风险治理架构、三道防线机制以及相关制度和考核体系已较为完善,但是分支机构层面仍然存在风险防控意识不足、合规考核牵引力度弱的问题,公司整体风控水平容易出现断层。太保寿险致力于建设一体化的智能合规风控系统,为提高分支机构风险意识,强化分支机构关键风险指标监测及分支机构风控管理考核,从而加快分支机构操作风险管控能力。
1.强化分支机构关键风险指标监测
公司定期收集高质量的损失数据,建立损失数据常态收集机制,收集锁定能够客观体现操作风险情况的关键风险点,并根据关键风险点的表现形式、风险成因等因素确立操作风险监测指标,建立能反映操作风险动态变化的风险指标体系。同时,建立关键风险指标监测平台,对关键风险指标进行监测,设置“红”“黄”“绿”三种指标状态,绿灯表示正常;黄灯表示异常,需关注;红灯表示严重异常,需重点关注。重点关注“红”“黄”灯数量较多的分支机构,如:Ⅰ类预警指标红灯个数≥3;Ⅰ类预警指标黄灯个数≥5;Ⅰ类预警指标红灯个数+黄灯个数≥5。监测平台主要功能有:风险地图概览、子风险地图、合规预警统计表、趋势分析、智能预警报告(分公司)和阈值维护等模块。通过闭环追踪机制,2018—2020年,全司监测情况如下,绿灯数量由810个上升为1022个,上升26.2%;红灯数量由126个下降为89个,下降29.4%。
2.建立分支机构考核方案
公司持续加强操作风险与公司业务发展相结合,并将操作风险管控的结果运用于战略、资本、业务规划以及公司的资产负债管理。如:将操作风险管控结果纳入高管和普通员工行为和绩效考核,建立了《分公司年度合规内控与风险管理工作考核方案》,作为年度分公司经营班子薪酬绩效管理方案的组成部分等,将操作风险的管控成果与分支机构操作风险承担主要管控责任的班子成员的绩效挂钩;同时,为强化对分支机构合规考核过程预警,加大对重点领域合规风险管控力度,公司开发的北斗系统2.0中设置寿险合规考核模块,该模块以“过程管理指标”“结果管理指标”“基础管理指标”“合规内控综合加扣分”四大合规考核领域、共14项合规考核具体指标搭建线上考核指标库,系统自动汇总生成合规考核结果,同时合规考核看板覆盖分公司,并可进一步穿透至中心支公司。分公司总经理和各级合规管理人员可以对本级机构的合规与服务评价考核结果进行核实、确认、跟踪和分析,优化合规管控薄弱环节,提升公司合规内控管理水平。
(三)强化重大操作风险监测,及时化解重大风险
北斗可视化系统建立多维、立体、开放的风险分析与监测体系,引入客户行为、健康、信用记录等非案件数据,风控依据从公司内部向外部及非保险领域进行立体化延伸,多方共建风控机制,提升风控覆盖度与精准度。涵盖风险综合评级、非法集资监测、反欺诈反舞弊等主要模块,通过智能化手段,持续完善公司重大操作风险监测机制,及时化解重大风险。同时,偿二代关键风险指标可视化平台通过整合各类风险数据,应用图形化新技术,将相对晦涩的风险数据通过可视的、交互的方式进行展示,从而形象、直观地表达数据蕴含的风险信息和规律。
1.风险综合评级
以偿二代风险综合评级作为操作风险量化评价的主要依据,结合公司实践,并增加审计缺陷整改、案件管理、反洗钱管理等重要风险领域,按季度对分支机构进行风险综合评级。分公司风险综合评价指标包括:操作风险80%(销售、承保、保全、理赔、财务)、监管处罚风险-20%、声誉风险20%,满分为100分。按照风险评分大小,结合各项子风险大小,将分公司风险综合评级分为4个类别8个等级(AAA、AA、A、BBB、BB、B、C、D),结果综合反映各分公司风险管理的整体状况,包括操作风险和声誉风险,其他风险为扣分项。风险综合评级考评结果纳入年度合规内控综合考评机制,与分公司标保考核结果、班子成员年度绩效进行挂钩,持续牵引公司一道防线操作风险管理持续改善。
2.非法集资监测
系统建设对接监管要求,覆盖“五高、三低、四多”指标,并结合公司实际,新增“五类”指标,形成覆盖分公司、中心支公司、支公司等机构维度,一般营销员和主管以上两个人员维度的监测平台,较为全面地覆盖至公司内部非法集资监测多个环节。该平台以“非法集资风险监测”为主,此外还可用于对分公司人员管理、业务品质、业务风险、营运风险、财务风险进行监测,可以实现“一个平台,多个用途”,每季度末系统数据自动刷新。
3.反欺诈监测
近年来,我国保险欺诈团伙化、专业化、职业化特点愈发突出,不仅损害诚实守信保险消费者利益,侵蚀保险公司经营成本,甚至影响保险业健康稳定发展及社会诚信体系的构建,监管要求保险机构应建立欺诈风险识别机制。太保寿险反欺诈共享平台整合内、外部欺诈数据源,运用增量数据和机器学习模型的更新迭代,对疑似案件、重要特征、核心规则进行输出,一方面可以为销售、营运和合规风险等工作人员及时识别和处置欺诈风险提供有效支持,降低公司欺诈成本;另一方面帮助公司提升反欺诈监测效率、降低监测成本、加强欺诈风险内部控制。此外,也可以为行业反欺诈平台和保险业征信系统提供有效数据和信息支持。
4.“五虚问题”监测
“五虚问题”是保险公司业务经营中存在的重要问题和风险,严控“五虚”风险是保险公司合规管控工作的重中之重,尤其是虚假承保、虚设架构严重影响了保险公司的长期稳定发展。太保寿险合规风控平台针对“五虚问题”进行综合治理,包括“虚假承保、虚设架构”的升级监测,搭建“虚列费用、虚假采购”的管控平台,结合反欺诈监测,进一步完善公司重大合规风控智能化管理体系,实现系统化控制、查询、监督和量化评价,实时为销售、营运、财务和后援等一道防线工作提供有效支撑,持续提升二道防线对于“五虚问题”等重大合规风险的预警、监测、识别和处置能力,坚守合规底线,防范公司重大合规风险发生。
四、思考和建议
太保寿险将继续按照监管要求,深化理论研究,细化操作风险的监测指标体系,规范损失数据库管理,优化大数据集成和人工智能技术运用,持续完善智能合规风控管理体系,进一步提升对操作风险的监测、识别、防范和化解能力。同时,注重操作风险管控与业务发展的结合,完善操作风险评价与运用机制等级制,促进全员主动识别风险、防控风险,增强公司创新发展的能力,构建公司的核心竞争力。
基于太保寿险在智能合规风控建设的上述探索和实践,在此对同业公司未来运用智能风控技术提升操作风险管控能力,也提出如下思考和建议:
一是处理好“四方面”的关系,即“监管与公司”“合规风控部门与业务部门”“公司总部与分支机构”“定量风控与定性风控”等四方面的关系。首先,公司主体要对标监管要求,持续关注监管动态,做好监管政策研判和分析,加强各级机构监管信息共享、预警提示、服务支持及监管基础数据采集和汇总;其次,合规风控要为业务发展助力,而不仅仅是管控,推动一道防线通过技术手段实现合规风控责任前置,夯实风控第一道关口;再次,公司分支机构风控水平与总部相差甚远,分支机构风控能力建设需提上日程,聚焦基层,全面检视,强化分支机构风控能力建设;最后,以资本为核心的量化风控是保险业风控能力建设的方向,但目前困扰中国保险业的风险防控更多需依靠定性手段,要在定量风控和定性风控之间做好权衡,助力公司风控发展。
二是打造一体化智能风控体系。要推动全面风控体系由集中化向一体化转变,从根本上解决管理模式上风控权责不清、运行机制上政策穿透不强、基础建设上风控环境不齐的三大瓶颈。要借助大数据、人工智能等技术,做好风险识别和风险监测,同时充分利用公司现有的数据平台、监测系统、指标仓库,做好资源共享和成果转化,进一步提高合规监测、合规预警的时效性和精准度,加强对重大风险、重复性违规行为的预警能力,建成公司全流程智能合规风控体系。
三是严抓重点领域,防范重大风险。一方面要运用智能化系统平台和监测工具,加强“五虚问题”治理成效,持续保持高压态势,深化综合整治,巩固治理成效,提高问题识别、发现、评估的时效性和准确性;另一方面基于理论联系实践,通过增量数据和机器学习模型的更新迭代,对疑似案件、重要特征、核心规则进行输出,提升重大风险监测效率,降低监测成本,同时与外部欺诈数据对接,建成内外部信息共享平台,更加有效开展工作。
四是培育专业人才,做优合规队伍。全员风险管理文化是智能合规风控贯彻落实的坚实保障,培育全员风险管理文化最重要的是员工的合规意识,所以要将智能合规风控文化建设和专业人才培养结合起来,定期对内外勤展开新制度、新规定、新系统等方面教育培训,建立健全风控人才培养和晋升通道。同时,要强化风险管控与业务发展的结合,将管控结果应用于业务规划、方案制定、培训计划以及人员管理等方面,助力公司建成智能合规风控一体化管理体系。
1.五虚问题:虚列费用、虚设架构、虚假承保、虚假理赔、虚假招投标。
参考文献:
1.周宇梅:“中国保险公司操作风险管理研究”,《西南财经大学》2010年。
2.Nadine Gatzert and Andreas Kolb.Risk Management and Management of Operational Risk in Insurance Companies from an Enterprise Perspective[J].The Journal of Risk and Insurance,2013,Vol 81,No 3,683-708.
3.罗平等:“操作风险监管的国际视野”,《银行家》2005年第5期。
4.洪梅、黄华珍:“我国保险公司操作风险管控体系建设研究——基于国际经验视角”,《保险研究》2012年第11期。
5.莫建明:“损失分布法下操作风险度量精度变动规律”,《统计研究》2015年第1期。
6.孔帅:“浅探我国保险公司操作风险的监测应对”,《保险职业学院学报》2014年第5期。
7.袁中美:“基于国际视角的寿险公司操作风险管控研究”,《金融理论与实践》2017年第9期。
8.黄涛、王飞跃等:“保险公司分支机构合规监测及量化评价研究”,《上海保险》2019年第1期。
9.周晓楠、黄磊等:“图数据库在识别重大疾病保险团伙式欺诈中的应用研究”,《保险研究》2020年第9期。