合规风险管理监督预警体系方案(征求意见稿).doc

中国人寿保险股份有限公司合规风险管理监督预警体系框架方案（征求意见稿）目 录一、合规风险管理的范围（一）以全部管理、经营活动中涉及的合规风险作为管理范围的远期目标；（二）以保监会【2007】91号文第24条确定的范围为合规风险管理的中期目标；（三）以“小合规”与经营管理活动中普遍存在或突出的合规风险为首期管理目标。二、合规风险管理与全面风险管理的边界（一）合规风险管理是全面风险管理的组成部分，合规风险管理仅侧重于公司、员工的行为是否合规方面；（二）合规风险管理与全面风险管理在架构形式、管理目标等方面保持一致，在管理方法上，既借鉴全面风险管理的一致方法，又突出合规风险管理的特别性；（三）合规风险管理的职能部门为法律与合规部。三、合规风险管理监督预警体系内容（一）梳理、理顺“规”与“行为”1、梳理、理顺“规”；2、梳理、理顺“行为”；3、梳理、理顺“规”与“行为”不一致的点。（二）合规风险库建设1、数据来源；2、定义与分类；3、编码与排序。（三）合规风险评估1、识别合规风险，确定风险性质2、分析合规风险点的构成要素3、对合规风险点进行定性、定量评价（四）合规风险管理指标体系1、“行为”不确定性指标2、“行为”影响程度指标3、“规”的等级指标4、“行为”、“结果”与“规”的关联性指标5、分类整理预警指标、确定监控要点（五）信息系统至少实现下列目标：1、操作简单；2、合规风险点清晰可辨；3、不是一个简单的静态数据库，而是一个融合合规风险管理流程的动态管理系统；4、固化定性分析结论，获得基础数据后生成定量分析结论；5、固化解决方案，并实现同步调用；6、数据共享；7、自动预警与解除警报；8、自动采集、整理合规风险管理轨迹。正 文一、合规风险管理的范围理论中对合规风险管理的范围有两种认识：大合规与小合规。 大合规一般是指，与企业相关的所有行为均纳入到合规风险管理之中，包括业务方面的、管理方面的，具体涉及营销、承保、核保、理赔、财务管理、人力资源管理等全部活动。 小合规一般是指，制度建设与修订、审核，规范性文书的起草、修订、审核，合规政策的咨询与解答，争议案件的受理与处理等。从保监会及中国人寿等保险公司的要求和实践做法来看，合规部门都在追求大合规，但目前的实践基本都局限在小合规的范围内。确定合规风险管理范围可按下列不同阶段的目标分别设定：（一）以企业全部经营管理活动中涉及的合规风险作为管理范围的远期目标（二）以保监会【2007】91号文第24条确定的范围为合规风险管理的中期目标（三）以“小合规”与经营管理活动中普遍存在或突出的合规风险为首期管理目标。为了尽量满足监管机关和中国人寿合规部门的要求与愿望，以大合规为目标，但从小合规或者大合规中明显存在较多问题的环节入手，以点带面，逐步展开。包括：1、审查、审核业务中的合规风险管理。主要是文书审查中的合规风险管理；2、咨询业务中的合规风险管理；3、建议业务中的合规风险管理。主要包括参与业务部门新产品开发或者主动发现合规风险点后向其他部门提出建议过程中的合规风险管理；4、具体经营管理活动中比较突出或普遍存在的风险点的合规风险管理。查阅或汇总公司以往一个时期内普遍存在或者比较突出的风险点，进行重点管理。相关资料可以参考法律与合规部历史资料，也可以向审计部门、内控部门征询意见。这种方案有如下好处：1、大合规是监管机关的要求，也是企业合规管理部门的需要；2、大合规思路更易为企业领导接受；3、大合规需要渗透到企业经营、管理的各个环节，能够凸显合规风险管理的价值（能够显现价值将有利于企业认可，也可以使我们获得更高的报酬预期）；4、大合规内容太多，眉毛胡子一把抓不是好办法，也难以作出精品，故以大合规为目标，以小合规为突破口，当然可以将部分或个别大合规中已经或容易发生问题的环节融入进去，重点突破。二、合规风险管理与全面风险管理的边界（一）合规风险管理是全面风险管理的组成部分，合规风险管理仅侧重于公司、员工的行为是否合规方面（二）合规风险管理与全面风险管理在架构形式、管理目标等方面保持一致。在管理方法上，既借鉴全面风险管理的一致方法，又突出合规风险管理的特别性全面风险管理的基本方法概括为：目标与流程的组合，这种方法论在合规风险管理中可以借鉴。合规风险管理又具有其特殊性，如：历史数据普遍不全；通常很少采用定量分析；通常很少建立指标体系等。这些问题都需要进行特别考虑。（三）合规风险管理的职能部门为法律与合规部。三、合规风险管理监督预警体系的内容（一）梳理、理顺“规”与“行为”合规，指行为与规范是否一致。两个核心要素：“行为”与“规”。合规风险不仅需要考虑“行为”与“规”两个要素，还需要进一步考量二者之间的逻辑关系，以及这种逻辑关系对企业预期经营目标可能会产生的影响及其程度。1、梳理、理顺“规”“规”，应采广义之义，即：法律、行政法规、监管规范、行业自律性规范、内部制度及道德准则。当然还包括有中国特色的解释。并非所有的“规”均与中国人寿相关，需进行甄别和筛选。“规”有等级，效力不同。“规”有善恶之分，需辨识。“规”会变。“规”会有漏洞或瑕疵。2、梳理、理顺“行为”“行为”包括两类：公司行为与个人行为。“行为”有普遍行为，还有个别行为。“行为”有规范行为，还有领导授意行为。“行为”会因不同职级有所区别。外部公司的“行为”对本公司有借鉴和参考价值。首期按照第一部分（三）梳理、理顺，中期按照第一部分（二）梳理、理顺，后期按照第一部分（一）梳理、理顺。3、梳理、理顺“规”与“行为”不一致的点。“行为”对“规”的偏离可能形成合规风险。“行为”对“规”的偏离不当然必须进行管理，只有那些达到风险条件的不合规“行为”才是管理的点。达到不合规条件的“行为”包括：1）可能遭受法律制裁的“行为”；2）可能遭受监管机关处罚的“行为”；3）为公司成文制度明确禁止或者严格限制的“行为”（虽然保监会颁布实施的合规风险管理指引并未列示该类行为，但不可否认，该类行为同样应当纳入中国人寿的合规风险管理）；4）可能给公司造成经济损失的“行为”；5）可能给公司声誉带来负面影响的“行为”。上列5项的逻辑关系为：第2）、3）、4）、5）项独立，第1）项在适用于个人时需同时符合其他各项中的至少一项方可成立，即只有当个人的行为可能对公司产生影响时，该行为纳入合规风险管理之中，否则不是合规风险管理应该管理的“行为”。例如：个人驾驶汽车不慎构成交通肇事罪而遭受国家法律制裁的，该行为不应纳入合规风险管理。“行为”应该具体，而不应该模糊。例如：“误导客户”行为属于模糊行为，应当进一步梳理、理顺到具体的行为，如：“未向客户说明没有如实告知历史疾病对保险合同效力的影响”等。（二）合规风险库建设1、数据来源为了减少数据收集可能给其他部门或分子公司增加的工作量，可有针对性的从以下渠道收集部分历史数据以便共享：1）一定时期内各分子公司上报的合规风险报告；2）一定时期内法律与合规部例行检查中获得的历史数据；3）一定时期内审计、内控部门监督、检查中获得的历史数据；4）一定时期内监管机关，特别是行业监管机关公布的合规风险数据；5）一定时期内行业协会公布的合规风险数据；6）一定时期内其他同业公司发生或公布的合规风险数据。2、分类与定义对收集后的数据按照一定的规则进行分类，并分别进行定义，从而保证认识上的一致性。3、编码与排序按照一致的规则对收集到的合规风险类别、风险点、行为要素等进行编码，方便识别和管理，并按一定的规则进行排序，便于统计和分析。（三）合规风险评估1、识别合规风险，确定风险性质按照合规风险的定义和特征进行识别，确定是否构成合规风险，以及确定该风险属于何等性质的合规风险，违法违规类？违约类？侵权类？怠于行使权利类？等。2、分析合规风险点的构成要素每个风险点都会有其特有的要素，需认真甄别。例如：“未向客户说明没有如实告知历史疾病对保险合同效力的影响”这个风险点中，深入分析该风险点的构成要素至少包括：1）保险代理人未向投保人或保险受益人说明应当如实申报历史疾病；2）需要申报的历史疾病种类或者病症；3）申报的时间、方式等。3、对合规风险点进行定性、定量评价定性评价是利用专家的知识、经验和判断通过一定的表决方式进行评审和比较的评价方法。定性评价强调观察、分析、归纳与描述，主要凭分析者的直觉、经验，凭分析对象过去和现在的延续状况及最新的信息资料，对分析对象的性质、特点、发展变化规律作出判断。在合规风险管理中，某个行为是否违规、表现形式、严重程度等都可以通过内部或外部专业人员进行讨论并形成认识，这种方法也就是定性分析法。定量评价是采用数学的方法，收集和处理数据资料，对评价对象进行描述并做出定量结果的价值判断。定量评价强调数量计算，以数据为基础，依据统计数据，建立数学模型，并用数学模型计算出分析对象的各项指标及其数值，数据的多寡、是否完整等都将对定量评价结果产生影响。定量评价具有客观化、标准化、精确化、量化、简便化等鲜明的特征。在合规风险管理中，对某个行为在一定条件下发生的频率等数据进行定量分析后可以得出该行为发生的概率，这种方法就是定量分析法。定性分析与定量分析应该是统一的，相互补充的；; 定性分析是定量分析的基本前提，没有定性的定量是一种盲目的、毫无价值的定量；定量分析使之定性更加科学、准确，它可以促使定性分析得出广泛而深入的结论。定性是定量的依据，定量是定性的具体化，二者结合起来灵活运用才能取得最佳效果。传统合规风险管理中，基本都使用定性评价，很少使用定量评价。要建立合规风险管理指标则必须结合使用定量分析方法。具体定量分析见指标体系部分。（四）合规风险管理指标体系1、“行为”不确定性指标。基本模型：对整个公司合规风险管理而言，每个员工的“行为”都处于不确定状态，每个员工不确定的“行为”导致公司“行为”处于不确定状态。但对每个员工而言，其“行为”不存在不确定状态，员工的“行为”是确定的，“为”或者“不为”均受其意志支配，不同的价值取向对员工意志会产生影响，认识上的差距、公司的态度等也会影响员工的判断。基于上述，分别确定如下指标：1）公司“行为”的不确定性指标。公司行为不确定指标受员工“行为”影响，一个或者部分员工不确定的“行为”可能导致公司“行为”的不确定。公式表示为： 式中i为该员工的权重2）员工“行为”的不确定性指标。确定员工“行为”的不确定性指标必须从两个维度进行：从员工角度考量，其“行为”处于确定状态，不存在不确定性；但从公司角度考虑，则其“行为”存在不确定性。员工“不同的价值取向”、“认识上的差距”、“公司的态度”等个别因素会影响其确定的“行为。这些个别因素可以作为影响员工“行为”不确定的权重加以考虑。每个权重都可以进一步细化为多种假设。例如，权重“公司的态度”可以进一步细分为：严禁、限制、漠视、许可等假设情形。因此，考量员工“行为”的不确定性需要至少进行两次加权，一次以员工态度加权，一次以公司态度加权。当然，员工所在部门的领导，其他相关部门的态度等也可以考虑作为加权的因素。公式表示为：之所以形成员工“行为”不确定性公式与企业“行为”不确定性公式相同，主要原因在于前面的逻辑推理结论，即员工“行为”不确定性将导致公司“行为”的不确定性。注意的是二者的加权要素是有区别的。2、“行为”影响程度指标基本模型：“行为”影响程度基本相当于该“行为”的后果。“行为”后果可以划分为三类：法律行政上的、经济上的和声誉上的。三类后果并非简单的按轻重排序，可能存在交叉或者倒序，即经济上的可能是影响程度最大的，而法律行政上的可能影响最小；或者同时形成法律行政上、经济上及声誉上的影响等，极端情况下其影响程度呈乘数效应。因公司“行为”影响程度与员工“行为”影响程度抽象来看并无实质区别，故不分别表述，而一并概括如下公式：“行为”影响程度“行为”后果，式中X=行为；i=行为后果，i还可以进一步细化为i1,i2in。3、“规”的等级指标基本模型：“规”有等级，效力不同。不同等级的“规”会对“行为”的不确定性产生不同的影响。定性分析得知：不同“规”的等级由高到低排列如下：法律（包括司法解释）、行政法规、部门规章（监管规范）、行业自律性规范、公司制度。道德准则虽然也是“规”的组成部分，但无需单列，通常公司会将其以内部制度的形式体现出来，行业监管机关或行业协会也会以不同形式进行体现，更高要求的道德准则，相关法律或行政法规会有体现（如：董事的忠诚等）。“规”的等级指标易于确定。下图以矩阵形式反映了“规”的简单等级。中中低低中低中中高风险影响的程度风险发生的概率B3B2B1A1 A2 A3上表中不同“规”的等级公式表示如下：4、“行为”、“结果”与“规”的关联性指标基本模型：割裂的考量“规”没有实际意义，“规”的指标设定应与其所对应的“行为”及“后果”结合起来，即考量“行为”、“结果”与“规”的关联性。其中“结果”和“规”是定量（绝大部分情况下如此，但当“规”修订或新“规”颁布或旧“规”废止时应特别注意调整“行为”与“结果”），“行为”是变量，“行为”决定“结果”，二者存在函数关系。“行为”与“结果”之间的关联性受“规”的管束。公式表示为：f(x)=f(y);f(x)f(y)=C(i)式中，f(x)与f(y)存在函数关系，f(y)随f(x)变化而变化；f(x)与f(y)的关系符合于C(i)。5、分类整理预警指标、确定监控要点每个风险点对应一个指标，关联风险点导出另一个指标，不同指标的集合构成了合规风险管理的指标体系。为了识别和应用上的方便，可以将指标按照一定的标准进行分类管理。监控的要点=风险点的变量（五）信息系统至少实现下列目标：1、操作简单大量的数据处理放在后台解决，各终端用户在应用时仅需填写简单的数据，大幅度压缩终端用户的操作难度，提高使用效率。2、合规风险点清晰可辨通过梳理、理顺后整理出的风险点全部在终端机上显示，每个风险点均有唯一的识别码，各个风险点都可以显示其风险描述、风险等级、责任部门及配合部分、应对方案等信息。可按风险等级、责任部门、时间等不同条件进行查询和显示。各个风险点除以问题或表格形式显示外，还可以多种图表形式显示，更加直观。3、不是一个简单的静态数据库，而是一个融合合规风险管理流程的动态管理系统合规风险不是一成不变的，为了适用变化的特点，除固化了静态的风险数据库之外，在功能上可以增加动态添加模块。识别风险的目的除了警示作用之外，更重要的在于管理风险，系统将传统事后救火式管理办法采用提前按不同条件确定预案固化到应对方案模块之中。任何一个合规风险点发生之时，系统会自动生成应对方案，供合规管理人员参考执行。多种方案一经选定实施，系统自动链接到执行监督模块，供监督部门实时跟踪风险的解决情况。为了最大限度的防止推诿扯皮现象，系统中可以预设不同的管理流程和