□韩国斌 杨之杰
近年来,各家保险公司通过不断完善制度体系、梳理更新风险控制矩阵、强化内控评价与内控检查等手段,以期提升自己的风险管理水平。然而大家在进行SARMRA自评时发现,在建章立制之后,具体的遵循和执行时总有无法执行到位或执行效率低下的情况。那么是否有其他手段帮助保险公司改善这一点呢?笔者认为,可以通过“内控信息化注入”,在系统中开展的业务流程中固化必要的“硬控制”和控制监测能力,从而确保风险管控的及时性和有效性。
内控信息化注入可以解决的问题
除了监管要求与上文提到的内部执行效率和效果的原因外,保险公司通常在内控和风险管理中遇到如下一些主要问题。
一是组织协调难,难以保障长期有效。控制活动通常分为人工控制和系统控制两类。人工控制要求对相关人员进行充足的文化宣导、操作培训、后端复核以及抽检抽查。随着各保险公司业务规模的逐步增大和业务范围的逐步扩展,新员工越来越多,难以确保每个人都能按照要求正确执行制度。而各公司业绩指标的增加和业绩收入的提高,也会滋生很多“老司机”,特别是外勤人员钻空捡漏的心态和行为。
二是内控流程不与业务系统联动,系统不体现内控要求导致风险依然失控。一些系统控制在系统上线伊始虽然能够满足当时公司的内控要求,但是当业务和监管要求产生变化时,需要对系统进行修改,容易产生未能及时修改或修改后的系统无法达到控制目标的问题。而新系统在建设时,也可能遗漏内控需求点,或为了适应系统变化而放开某些内控点。这其中比较典型的就是投资、核保等的授权控制。
三是风险应对方案停留在方向和原则要求,无法跟踪实质的应对情况。当公司发现风险或内控缺陷,制定整改方案后,整改的执行效果往往是通过整改责任人的汇报来进行判断,很多时候头痛医头,脚痛医脚。脱离了系统中的客观数据,即降低了判断的全面性和准确性,也增加了重复发生问题的可能性。
四是风险预警数据滞后,统计分析工作量大。各保险公司都设置了大量的风险指标用来预警和监测七大类风险。但是这些指标中很大一部分比例因为缺乏数据、数据间缺乏关联、或者数据口径不一致,需要靠人工收集与统计。这既会因为人工操作的疏漏导致数据的不准确,也会因为瞒报和刻意错报导致无法及时预警,让公司蒙受损失。
五是风险控制信息分散,难以查阅和分析。人工统计的数据往往在收集和汇总过程中难以追溯数据源头和原始计算过程,导致难以下钻分析。多个系统内的数据也往往存在数据标准不一致的情况,比如同样的一个退保率,在核心业务系统、财务系统以及统计数据平台中就会出现不一样的计算结果,需要大量的后续校验和调整。
内控信息化注入的工作内容
首先,梳理风险和内控体系。通过梳理风险控制矩阵,厘清外部监管要求和内部制度体系,识别业务流程中的风险点和对应控制措施。对于控制措施,识别其控制方式是人工控制还是系统控制,系统控制是否充分、灵活,数据覆盖是否全面、及时、准确。提出信息化整改方案,并进行定期回顾与评价。
其次,明确内控信息化框架和要求。根据公司业务规模、资金投入和信息化成熟度,制定相应的内控信息化管理框架和流程制度,并将这些体现在信息系统的采购、开发、维护和评估的流程、制度中,确保信息系统在改造时充分考虑内控和风险管理要求,及时实现内控信息化整改方案。
最后,梳理内控信息化需求,并结合公司的信息化规划逐步实现。内控信息化注入通常包含如下内容:
一是强调系统驱动,通过将人工控制改造为系统应用控制(应用控制是指为实现与既定的自动化解决方案相关的目标提供合理保证而设计的政策、流程和活动。),系统应用控制将升级至更灵活更严格,实现输入控制、处理控制、输出控制、边界控制、授权控制和留存审计痕迹等。
二是形成三道防线的信息化联动机制,通过业务系统控制点的注入,将控制前移,一道防线即业务人员根据要求和规则,专注于及时防范业务流程中的关键风险,自主管控风险;二道防线即风险管理人员通过风险管理工具和模型,从整合的视角预警提示风险,强化风险治理,杜绝风险死角;三道防线即内审稽核人员专注于数据分析和模型复核。
三是量化风险管理,通过数据积累,进行情景分析和模型建立,逐步形成适应公司实际的指标体系,以协助内控和风险管理绩效领域的评分,促进公司各级责任主体持续提高内控和风险管理意识及水平,由“防风险”转向“经营风险”。
四是构建统一监控平台,通过风险仪表盘,一目了然风险轮廓。一方面,对于业务流程中的关键控制点,通过风险管理平台注入总控面板,提取关键信息,实现对业务系统“硬控制”的统一监控和管理,通过硬性对标,让一道防线切实感受到受控;另外,对于流程中繁琐或者冗余的手工控制进行转化,精益控制,实现内控体系的二次提升与优化。
五是打造深化分析平台,指引重点关注风险区域。风险级别高低和内控有效性的强弱,决定了不同的风险应对方法和措施。一方面,可利用信息系统的数据统计优势,从多维度多角度立体分析历史数据,找出并锁定风险较高的流程、部门、机构,开展针对性研究,推进重点风险领域的控制改善,降低损失及影响,确保风险管控的有效性;同时,分析风险趋势,根据历史数据的变化及波动,分析某一风险突变动因,精准定位核心风险,根据实际情况考虑调整企业战略或者管理流程,发挥内控造血功能,实现风险的精细化,主动化管理,不断推动企业风险管控能力稳步前进。
内控信息化注入的建设步骤
风险内控评价工作信息化。当公司建立完善制度体系,完成风险控制矩阵梳理,内控测试步骤方法齐全后,可以通过内控矩阵电子化和内控评价线上化,使一道防线全员在线进行内控评价工作,更好地宣导和推广内控和风险管理文化。
风险控制信息化。通过梳理注入信息化需求,将“硬控制”、控制规则和控制监测点分批分阶段地固化在信息系统中,提升控制的力度、灵活度,提升数据收集能力。
风险监测预警智能化。通过建立数据平台,抓取各系统内的风险控制数据,逐步提升风险指标数据收集、汇总、整合和分析的自动化程度。根据历史数据,建立预警分析模型,将事中监测和事后整改逐步前移到事前预警和事中控制。
常态化维护与提升。从业务流程管理制度和信息系统管理制度层面,规范业务变更和信息系统变更流程,确保控制点即需求点;进一步提高控制点的规则配置能力和智能化水平,真正形成业务、控制、系统三者联动。
内控信息化注入作为将内部控制流程与信息系统的有机结合,以确保数据和信息的完整性、有效性、准确性和保密性的手段,已然成为企业未来的发展趋势之一,并对持续提升企业的风险管理水平有着重要的意义。很多大型金融集团和银行,已经开始将内控信息化注入作为风险管理的一项重要建设内容,有一些已经进入到常态化维护与提升阶段。
“偿二代”SARMRA评估未来将逐年提升遵循有效性的关注比重。内控信息化注入作为提升风险管理能力的一个手段,总投入大、涉及面广、见效缓。结合自身实际情况,通过小步慢跑的投入和细水长流的运行进行内控信息化注入,各保险公司能逐步实现控制流程在信息系统中的嵌入以及业务与系统联动的目标,使风险管理手段和能力都迈上一个新的台阶。
(作者韩国斌为德勤中国合伙人,杨之杰为德勤中国副总监)