《论保险公司的公司治理,风险管理和内部控制的关系》由会员分享,可在线阅读,更多相关《论保险公司的公司治理,风险管理和内部控制的关系(12页珍藏版)》请在金锄头文库上搜索。
1、论保险公司的公司治理、风险管理和内部控制的关系论保险公司的公司治理、风险管理和内部控制的关系梁子君上海财经大学保险精算研究中心 【摘要】中国保监会对我国保险业的监管方向是从结果性的事后监管向过程性的事前事中监管转变,而对于保险公司的治理结构、风险管理制度以及内部控制制度建设的监管已成为实施该监管原则的基本内容。本文试图从概念、职能和组织架构的角度,先在一般公司层面上界定三者的区别和联系,然后将其应用于保险公司,目的在于为我国保险业关于公司治理结构、风险管理以及内控制度建设及其监管提供理论依据。【关键词】公司治理 风险管理 内部控制一、引言一、引言保险公司作为经营和管理风险的金融服务机构,强调控
2、制风险是其永恒的主题。中国保监会主席吴定富曾在 2005 年中国保险工作会议上指出“建立风险防范的五道防线是中国现代保险监管体系的核心内容。 “五道防线”中第一道防线就是公司内部控制,是基础防线。中国保监会还多次强调,要逐渐从结果性的事后监管向过程性的事前事中监管转变。其中,公司治理结构作为保险监管体系有效性的基础已经被作为了主要监管内容之一。制定和推出保险公司治理的指引已经被中国保监会设定为 2005年着力推动的工作重点。中国保监会提出的监管理念和原则,完全符合国际保险监管的发展趋势。事实上,保险业、乃至整个金融服务业的监管理念都逐渐统一到了新巴塞尔协议(2003)中提出的“三支柱”风险监管
3、原则之下。第一支柱:最低资本要求,第二支柱:监管审查过程,第三支柱:披露过程。新巴塞尔协议的核心就是风险管理, “三支柱”共同构成风险管理的有机整体。第一支柱是对公司财务风险的监管资本要求;第二和第三支柱则针对那些难以通过资本充足度要求来控制的风险,特别是通过构建合理的公司治理结构,通过加强公司内部控制和风险管理制度来实现。我国从 2004 年以来,积极借鉴国际保险监督官协会保险监管核心原则,开始把偿付能力监管、公司治理结构监管和市场行为监管列为中国现代保险监管体系的三大支柱。这里的偿付能力监管就是最低资本要求。而对公司治理结构、包括市场行为监管则属于过程性监管,即加强公司自我控制风险的能力,
4、包括内控制度和风险管理制度,与最低资本要求相辅相成。过程性监管要求从监管者的角度来评估、监控、要求保险公司加强自我控制风险的能力。其核心内容可概括为加强保险公司的公司治理、风险管理以及内部控制的监管。为了更合理的分配监管资源,更有效的发挥监管作用,必须明确保险公司公司治理、风险管理和内部控制这三个交叉概念各自的内涵、职能、区别和联系。本文先从一般公司的角度,分析公司治理、风险管理和内部控制的联系和区别。从一般概念、定义、内容、职能以及组织架构的角度来分析,然后从保险公司的特点出发,以实际公司的相应内容为例,给出保险公司中关于这三个概念之间关系的组织架构图,为进一步细化相应监管原则和具体措施提供
5、理论依据。二、一般公司的内部控制、风险管理和公司治二、一般公司的内部控制、风险管理和公司治理理公司是依照公司法组建并登记的以营利为目的的企业法人。按照我国公司法 ,公司是指有限责任公司和股份有限责任公司。通常,公司的经营目标为实现股东利益最大化或者各利益相关者利益最大化。这是讨论一般公司的公司治理、风险管理以及内部控制三者之间联系和区别的基础。需要特别说明的一点是,风险管理这个概念可以区分为风险管理理念和风险管理活动。风险管理理念强调的是保险公司整个动态的风险管理过程,是个抽象的、比较宏观的概念;而风险管理活动强调的是保险公司每一个具体的风险管理行为,是个具体的、相对微观的概念,这里重点讨论的
6、是风险管理活动。2.1 三者的关系三者的关系现代企业的管理过程包括计划、组织、领导和控制四种职能。而风险管理已被公认为管理领域内的一项特殊职能。普通企业的管理活动通常可以分为财务管理、生产管理、市场管理、会计管理、一般事务或人事管理、以及风险管理六个部分。关于控制与内部控制之间的关系,Simons(1999)曾给出过一个示意图,见图 1。风险管理和内部控制都是属于管理的一部分,风险管理中包含内部控制的职能,风险管理之外的其他管理活动亦都有内部控制的职能,两者既有交叉部分又有相异之处。Mueller(1981)对管理和治理的区别与联系进行了详细的比较分析,其结论可以简单表示如图 2,其中,倒三角
7、形部分表示公司治理,正三角形部分表示公司管理,两者交叉部分为战略管理。战略管理作为管理和治理交叉的部分既属于公司治理的范畴,又属于公司管理的范畴。公司治理规定了公司管理的导向和原则,是管理公司的基础,也是风险管理和内部控制的基础和指导原则。风险管理和内部控制属于公司管理的范畴,位于公司治理层面之下。风险管理是一种管理活动,而内部控制是管理过程的一部分职能,只要有管理就会有内部控制。所以,风险管理中包含内部控制,但内部控制亦存在于其它管理活动中,公司治理与公司管理的交叉部分战略管理中亦含有内部控制。2.2 定义、目标和内容定义、目标和内容按照经济合作及发展组织(Organisation for
8、Economic Co-operation and Development,简称OECD)的定义,公司治理是一种据以对工商业公司进行管理和控制的制度体系,它明确规定了公司各参与者的责任和权力分布,诸如董事会、经理层、股东和其他利益相关者,并且清楚说明了决策公司事务时应遵循的规则和程序,同时,它还提供了一种结构,使之用以设置公司目标,也提供了达到这些目标和监控运营的手段。美国反欺诈财务报告委员会(The Committee of Sponsoring Organizations of the Treadway Commission, 简称 COSO)给出的风险管理定义为:风险管理是一个过程,受企
9、业董事会、管理层和其他职工的影响,应用于制定策略时并贯穿整个企业,用于确定潜在的可能影响企业的事件,将风险管理到企业的风险1、设定公司目标 2、界定经理人员 的责、权、利 3、有效的监督1、经理人员行使 决策权和控制权 2、公司经营管理战略 管理图 2: 公司治理与公司管理授权边界系统信息系统交互式控制系统减少制度的标准诊断控制系统内部控制激励措施图 1:控制示意图意愿之内,并为实现企业目标提供合理的保证。COSO 还对内部控制给出了定义,即内部控制是一组连续的过程,该过程由企业的董事会、管理层和所有个人来完成,为下列目标提供合理保证:经营的效用和效率、财务报告的可靠性、遵守法律和法规。以上述
10、三个定义为出发点,将各概念的具体目标和内容整理为表 1。如表 1 所示,公司治理的目标是通过董事会来监控管理层实现公司的总目标,其途径就是合理分配和制衡股东大会、董事会和管理层的权、责、利。整体上看,风险管理和内部控制的目标都是为保证实现公司总目标而进一步细化的目标,都服务于总目标。风险管理与内部控制的目标基本一致,但风险管理所包含的目标中要比内部控制的目标多了一个策略性目标。两者在经营性目标、信息可靠性以及遵守法律法规等目标上是一致的。从目标看,内部控制是风险管理的一部分,风险管理直接为公司治理中的制定策略服务。目标目标内容内容董事会结构与企业文化公司与利益相关者的管理公公司司治治理理监控管
11、理层实现公司总目标,为以下目标提供合理保证:-采取策略使公司增值-明确管理层的权利和责任-正直的处理事务-公平、透明的报告其业绩按规定披露绩效的透明度情况内部环境设定目标识别事件风险评估风险对策控制活动信息和沟通风风险险管管理理为实现公司目标提供合理保证,目标分为:-战略目标,诸如高层目标、遵从支持其任务-经营目标,有效经济的运用其资源-报告目标,报告可靠-遵守性目标,遵守适用法律和法规监控控制环境风险评估内内部部控控为下列目标提供合理保证:-经营的效用和效率控制活动目标目标内容内容信息和沟通制制-财务报告的可靠性-遵守法律和法规监控表 1:三者的目标比较从基本内容看,公司治理包括合理的董事会
12、结构与企业文化,对公司与利益相关者的管理,以及对公司按规定披露绩效的透明度情况。OECD公司治理原则主要内容包括:保护股东的权利、对股东的平等待遇、利害相关者在公司治理结构中的作用、信息披露和透明度以及董事会的责任。内部控制中的控制环境对应于风险管理中的内部环境,内部控制的控制环境主要包括董事会与审计委员会、管理阶层的经营理念与营运风格、组织结构等八个方面。其中董事会与审计委员会对内部控制所发挥的作用,已经成为内部控制不可或缺的一部分,缺少适合的控制环境的话,内部控制实现其目标就会出现障碍。风险管理内容中的内部环境与内部控制相应部分类似,包括公司的风险管理的理念和风险偏好情况、运营的环境等,其
13、中毫无疑问涉及到公司董事会对风险的偏好情况和制定的风险政策等,也包含着公司治理的部分内容。内部控制框架是风险管理框架的一部分内部控制是一种风险管理方式,它将管理、会计等方面控制在预想的范围内,减小风险的方法之一就是加强控制。风险管理更多的是针对风险的不确定性方面,而内部控制管理注重的是风险中相对比较确定的方面。例如,如果员工不按操作流程执行,可能会产生较大损失。风险管理部门的职责在于评估损失发生的原因及可能造成的后果,而内部控制的目的在于如何控制员工按操作流程来执行。即,如果员工不按操作流程进行,是内部控制系统出了问题,而对可能造成的损失及其应急安排则是风险管理系统的事。总之,公司治理构成了风
14、险管理和内部控制的基础和平台,风险管理包含内部控制,内部控制是实现风险管理的途径之一。风险管理在以公司治理为基础的同时,又为公司治理服务,主要体现在其策略制定过程中。2.3三者的组织架构三者的组织架构公司治理是现代企业中最重要的制度架构,董事会是公司治理的行为主体,通常包括:雇用、评估和解聘 CEO;对 CEO 的行为实施监管;主要对 CEO 做出的决策和政策提出建议与意见;审查结果。典型的公司董事会构成包括提名委员会、薪酬委员会、审计委员会等。中国证监会、国家经贸委于 2002 年 1 月发布的上市公司治理准则中,提出上市公司可以考虑设置战略、审计、提名、薪酬和考核等专门委员会,架构见图 3
15、。其中,提名委员会的主要责任是设定相应标准和程序,寻找、审查董事及经理人员;薪酬委员会的责任是研究、制定董事、高级经理人员的薪酬政策和方案,并设定对其的考核标准;审计委员会的职责是与公司内部审计和外部审计进行联络,并对其进行相应监督和提议,审核公司的财务信息并进行披露,审核公司的内控制度;战略委员会的主要职责是对公司长期发展战略和重大投资决策进行研究并提出建议。公司的首席执行官(CEO)的职责是确保公司在市场上获得成功,可以将其视为最终的风险管理员;财务总监(CFO)负责公司的财务风险,其重要任务之一是确定公司的最后资本结构;资本运作经理是公司信用风险的管理人,主要职责是管理公司的投资风险,通
16、过资本预算、信用分析以及制定发行债券或股票来进行融资等战略方法来应对公司面临的各种各样的风险;而公司的风险经理的主要职责是管理公司的纯粹风险,通过实施风险控制或风险融资战略将经营损失和偶然事件对公司的负面影响降低到最小程度;公司中通常还设有 CIO(首席投资官)负责管理公司的养老基金和其他投资,其主要职责是使公司获得较稳定的预期收益,同时能够保证公司承担的风险较低。资本运作经理和风险经理分别是通过利用保险市场和资本市场来应对公司所面临的风险。同时,一般资本运作经理、风险经理以及首席投资官都直接向财务总监汇报。从这个意义上讲,公司负责风险管理的人员是财务总监。除上述之外,公司各个部门的经理,都有对相关风险进行管理的责任。公司的风险管理架构如图 4。如前所述,只要有管理就存在内部控制。公司管理可以划分为三个层次:高层管理、中层管理以及作业管理。高层管理包括董事会、股东大会董事会高级管理层提 名 委 员 会薪 酬 委 员 会审 计 委 员 会其 他 委 员 会战 略 委 员 会图 3:公司治理架构图首席执行官首席执行官 CEO: 负责最终风险管理财务总监财务总监 CFO
