毕马威:构建价值导向和业务驱动的保险资管风险和内控管理实践探索

本文来源：《保险业风险观察》2022年第6期

自2003年第一批保险资产管理公司获批成立以来，历经20年探索实践，保险资管行业已经走上了市场化、专业化、规范化发展道路。截至2021年末， 33家保险资产管理公司通过发行保险资管产品、受托管理资金等方式，管理总资产超过20万亿元。在20年的发展过程中，保险资管公司在市场化经营、专业化管理、大类资产配置与投资管理等方面积累了丰富的经验，已成为资本市场，尤其是长期资产管理的核心力量。近年来，伴随着高质量发展工作部署，以及监管评级、投资管理能力评估等细化要求的深入推进，机构的规范性管理要求逐步提升。在净值化管理时代，受托资金收益性、安全性，以及投资服务能力是资管行业机构的发展重心，如何打造自身业务特色、提供更佳的资管服务，是行业机构扩大竞争优势的主要发力点。保险资产管理机构在监管机构、交易所、行业资料等监管要求及交易所规则的引导下，结合自身实践持续完善自身风险管理及内部控制水平。本文结合近期作者服务于保险资管机构的经验以及对于相关市场实务的观察，从实践层面对于如何依托完善的风险管理和内控，保障业务有序开展和企业核心价值稳步提升做了初步探索和分析。

一 从业务场景出发，识别和理解风险环境

（一）识别保险资产管理行业典型风险

承载保险资金管理的机构因其金融职能、机构属性、作业特点，处于不同机构定位下，面临着不同的风险类型，整合来看，机构所处的风险环境相对复杂。

从金融职能来看，机构作为险资受托管理机构，核心定位是通过科学、合理的资产配置实现资金保值增值，以支撑各险种社会保障属性，从这一角度出发，基于资金来源引申的产品发行及资金投资运用活动中的合规风险、契约维度的法律风险、资产配置层面的流动性风险，以及投资活动所面临的市场风险、信用风险等，是从事保险资金受托管理机构处于该角色项下的主要风险。

从机构属性来看，对于保险公司、保险（集团）公司的资产管理子公司、受托投资的公募基金等机构，在保证自身监管要求遵循的同时，基于母子公司关联交易、一二级市场业务等监管要求，以及机构范围内资金投资交易活动引申的合规风险是从事保险资金受托管理机构处于该角色项下的主要风险。

从作业特点来看，机构投资作业、账户运营等工作作业高频、合规及契约要求精细，直接影响保险资金运用预期目标的达成，因而，操作风险是这一定位下所面临的主要风险。

综合前述分析，从事保险资金受托管理机构及其保险资金运用相关业务需要重点关注的典型风险包括：市场风险、信用风险、流动性风险、操作风险以及合规与法律风险。

（二）风险分布情况

上述风险与资管机构实际开展业务的职能、流程和系统高度相关，与实际资金运用活动的场景具有很强的关联性。

市场风险，主要指由于利率、权益价格、汇率等不利变动导致投资遭受损失的风险，机构在自有资金运营及受托资金投资活动中均面临着相应的风险，其中，受托资金投资活动是保险资产管理公司市场风险的集中领域。

信用风险，从机构维度来看，主要因法人对外融资担保等活动的不当决策或监管所带来的违约损失；从受托资金层面来看，主要是集中于投资活动中由于交易对手信用状况不利变动、交易对手违约或不能及时履约导致的投资遭受损失的风险。而后者，是保险资产管理公司信用风险的集中领域。但是，不论从机构维度还是受托资金层面来看，信用风险都与投融资活动密切关联。

流动性风险，一方面，机构自有资金需要进行流动性风险的管理；另一方面，不同受托资金账户层面也面临着流动性风险。而后者，是保险资产管理公司流动性风险的集中领域，与相应资金账户维度杠杆设置、资金备付、日间头寸等活动紧密相关。

操作风险，是指由不完善的内部操作流程、人员、系统或外部事件而导致直接或间接损失的风险，依据定义不难看出，操作风险遍布于机构内部的所有保险资金募资及运用事项之中。

合规风险，从定义来看，是机构因未能遵循法律法规、监管要求、行业自律性组织规则而可能遭受法律制裁或监管处罚等损失的风险。合规风险主要由机构或其从业人员的不合规的经营管理行为引发，基于保险资金属性及契约要求的不同，合规风险渗透至各个具体经营活动中。

法律风险，主要集中于因未履行受托关系、投资关系所建立的契约规则而引发的风险，尽管契约以公司主体设立，但是，实质上，法律风险与资金运用活动中的履约情况高度关联。

二从经营实际出发，理解风险管理面临的主要挑战

将风险管理有机嵌入资管日常经营活动中，发挥对于资金运用的保驾护航作用，是其核心价值所在。因此如何真正从经营活动的实际需求出发，构建高效的风险管理和内部控制体系也是我们需要重点考虑的问题。

在实际落地管理层面，需要通过对风险点和控制环节进行评估，识别控制薄弱环节，并对薄弱环节进行整改与优化，这就涉及前文提到的管理难点，即如何从具体资金运用活动中识别风险，进而对其有针对性地实施管理。

具体的，就风险管理而言，机构需要构建健全的风险管理体系，依托明确的架构职责、清晰的政策制度、顺畅的管理程序、有效的管理工具、完善的保障机制，通过各层级人员共同参与，对保险资金运用中的各类风险进行及时识别、准确评估、动态监控、有效应对；就内部控制维度而言，机构需要基于具体风险点，建立完善的内部控制体系，由全员依据各自职责、针对公司经营管理特点所涉及的各种风险，设计并执行适当的措施，保障保险资金投资预期目标的实现。

从目前行业整体的实践来看，资管机构在形式上均搭建了风险管理体系和内部控制体系，并安排了具体部门牵头内部相关机构实施管理，也初步形成了配套职能和流程管理机制，保障了在具体的投资活动中，形成相对顺畅和稳健的操作机制。

但是在实际经营中，宏观层面与微观层面的风险管理及内部控制存在割裂的情况。宏观层面的管理是从机构整体稳健经营目标出发而设计，微观层面的管理是从经营管理事项顺畅开展出发而搭建的，宏观层面公司风险管理、内部控制的要求是否落实至微观层面，各类风险在具体保险资金运用活动中是否涉及、影响程度如何，现有管理动作是否能够有效形成管控，结合行业机构管理现状，从公司全局视角来看，并未能够予以良好承接。

例如，在信用风险管理中，公司层面基于全面风险管理政策，通常会制定相应的风险偏好及限额标准，并结合监管要求、契约要求，拆解信用风险指标至投资组合、账户层面；但是在具体投资活动中，投资准备、投资决策、投资交易、投后管理等各环节中，哪些环节涉及信用风险管理，需要由谁、在哪些时点、开展什么工作以有效应对，以最终实现公司宏观层面信用风险水平符合管理预期，在部分机构中缺乏明确的管理机制。

又例如，在合规风险管理中，企业可能面临着诸多监管要求，虽然通常能够有意识地建立和更新外规库、持续开展外规内化工作、组织建立内部管理制度以落实监管要求，但是在下沉到保险资金运用中具体合规事项的管理中（包括资产比例的落实、投资标的的筛选、在哪些具体操作中需要开展明确的管理动作、各方承载什么角色等事项），往往缺乏进一步细化的明确管理指引。

三保险资管行业风险管理及内部控制新探索

（一）基于业务的全生命周期，审视和更新管理机制

相较于传统金融行业，保险资管行业因资金委受托模式，其风险管理、内部控制工作存在较大区别。传统金融行业风险管理政策、内控管理规范以本单位风险承受能力为基准进行制定，而委受托模式下的保险资管行业，其风险政策更多下沉至组合、产品、账户层面，基于监管要求、契约层面约定而予以设置，风险管理、内控管理也更为精细化。

如果将机构宏观层面风险管理体系及内控体系的搭建视为“面”，将拆解管理目标至各管理职责方并由其实施管理的过程视为“线”，将管理要求落实至微观层面即具体执行层面视为“点”，那么所谓精细化管理就是解决从“线”至“点”的问题，通过在“点”位识别风险并予以管控，实现“线”位要求的落实，最终呈现“面”位管理预期的达成。

要解决“线”至“点”的问题，需要先明确“线”和“点”的构成，即“涉及什么事项”，再分析其风险表现，即“需要管什么”，进而设计具体管理标准，即“怎么管”，而这一系列的梳理与设计工作，需要针对具体业务管理环境进行开展，即基于业务及管理事项的生命周期，依托流程信息，识别和管控关键风险。

1明晰环境，确认管理任务

梳理业务及管理事项，搭建全司流程框架清单。流程是业务及管理活动从始至终的程序记录，以流程为引线构建的流程框架清单，能够做到“全覆盖”呈现公司的所有事项。在流程框架清单的基础上，承接公司风险管理政策所识别的主要风险分类，识别风险涉及的流程，能够实现风险管理至业务管理活动的全面映射，形成“任务单”，为精细化管理工作圈画重点。

2明晰构成，确认管理对象

实施“端到端”梳理，绘制各业务及管理流程画像。所谓“端到端”梳理，是指以完整的流程而非部门为单元进行流程划分和梳理，对各项业务流程和管理流程的发起、授权、审批、执行、记录和报告等各环节进行完整记录。基于流程梳理，能够清晰了解各类资金投资交易中的主要工作任务，以及责任归属。在流程梳理的基础上，承接“任务单”，识别各环节可能出现的风险及风险表现，实现“线”到“点”的关联，形成“工作明细”，为精细化管理工作出具指引。

3 明晰内容，确认管理标准

逐“点”落实管理要求，实施风险管理及内控措施设计。在“工作明细”的基础上，针对风险点，将各项管理要求在操作点上进行细化，通过评审标准、操作时效性要求、责任到岗、工具应用等方式，以精细化流程为手段，实现对于风险的精细化管理与控制，达成“点”的完善，最终实现管理水平全面提升。

（二）从业务视角出发，对于风险与内控的具体操作精准升级

1 理解风险管理及内控管理新趋势

随着监管要求不断深化，伴随业务环境持续变化，结合资管工作的业务特性，在业务活动中的风险管控要求越发提高，需要进一步精细化自身管控规范、防范各类风险的发生与传导，在提供稳健的投资回报的同时，提升自身的服务响应效率。因此面对新形势，保险资管机构在持续寻求更佳的管理路径，在业务推陈出新、提升服务能力的同时，需要相应完善自身风险管控，提升保险资金风险管理水平，以实现“高质量”发展目标。如何建立适配自身业务特色及管理诉求的风险管理及内部控制体系，是行业机构在持续研讨的话题。

相应的资管行业风险管理及内控管理水平以服务整体战略为前提，也在逐步从合规价值导向向管理价值导向及战略价值导向转变：

• 合规价值导向是指以保障机构经营管理合规为目标，风险管理及内控体系的构建从监管要求出发，通过管理基础建设，将所有监管要求落实于业务及管理流程之中，实现全面合规。在合规价值模式下，机构应当基于监管要求，完成内部制度体系、业务及管理手册的搭建，确保所有监管要求落实至管理规范层面。

• 管理价值导向是指进一步考虑公司实际管理诉求，聚焦重点领域，通过深入实施的建设工作，实现风险管理工作的适当前移、管控质效的改善提升。在管理价值模式下，机构风险管理及内部控制工作应当以达成管理目标为预期，发挥合规价值之外对于一、二道防线的助力作用。

• 战略价值导向是指从公司长远发展角度出发，锚定中长期目标，通过整合管理拓展机制的设计，实现风险管理、内控管理的长效机制，最大程度整合资源、发挥管理效能。在整合拓展阶段，技术手段的充分应用是管理价值进一步提升的关键。机构一般使用线上化管控工具方法技术，提高管理效率，并进一步释放执行人员人力。

• 三个模式总体呈现进阶状态，但是，管理体系要与公司业务发展相适配，承接公司的战略目标，机构的管理选择应以目标为基础，考虑现有管控水平为起点，确定能够支撑经营发展的科学模式。在确定的管理模式下，机构可以进行系统性的管理体系搭建。

2 布局风险管理及内部控制配套工具

• 形成合规管理与内部控制动态映射。在合规风险管理方面，高度关注外部监管规定在内部管理要求中的落实情况，围绕业务产品管理逻辑，将监管要求全面收集、整理，进行外规要点拆解工作，提炼合规风险点，并将之与内部规章制度进行映射，形成合规操作手册。一方面，用于提示、指导有关部门落实监管要求；另一方面，用于自查内部制度有效性以及业务及管理程序的设计有效性。

• 驱动操作风险管理与内部控制双向联动。在操作风险管理方面，鉴于资管业务对于实际操作的精细度要求较高，以流程为指引，细化识别操作风险点，应用流程手册及岗位操作手册两项管理工具，将公司重要业务及管理流程进行梳理并固化，建立流程操作与风险信息、内外部合规要求、控制信息分类等的对应关系，形成内部控制制度文件，将其作为业务操作人员的实务操作指南，增强管理效率及效果。

• 完善合规、操作风险和内控的三合一闭环。由于合规与操作风险管理在管理体系的建设、实施与应用过程中存在大量共性。三者在管控目标、流程管理基础、管控职责等方面存在较高关联性，并且三者的管理结果相互作用，因此，建立三合一整合管理体系，可以有效提升三者管理效率，实现真正意义上的有机整合与协同管控，如图1所示。在具体管理中，统筹三者管理要求，共建一套流程划分标准、风险控制评估标准，使合规、内控、操作风险管理一体化，结果更完整和一致，同时共建一套整合性的业务/管理流程梳理和内控体系文档，全面支持合规、内控、操作风险管理工作。在此基础之上，将内控与操作风险自评估、合规检查、内审稽核以及业务部门自查工作共同关联至前述标准及流程上，达到三道防线资源合理配置，共同服务运营安全保障工作。

图1 内控合规与操作风险管理整合建设框架

在管理活动之中，机构应当形成问题导向和结果导向的基本理念。不要片面地为管而管、为查而查，而要从提升管控质效角度出发，持续优化内部业务管理体系。

一方面，通过前期流程梳理、检查评估识别现有业务管控症结，平衡风险、考虑业务效率，实施持续的流程优化工作，采取有效方法，识别改善和控制手段，提出优化方案及保障措施，实施并验证优化效果。

另一方面，基于业务环境，考虑采取信息化手段，加强风险管控，降低操作风险，固化业务作业，使用诸如RPA产品（见图2），自动化标准操作，提升业务运行效率、释放人力资源。

图2 能够适用RPA的工具

小结

在任何时期，如何合理选择风险和有效配置资本都是保险资管的核心主题。因此，风险管理和内部控制是保险资管机构天然需要高度重视的核心竞争力。这需要机构持续强化配套的风险管理和内部控制等能力的构建。机构应当从战略的高度全面规划和配置资源，提升公司整体竞争力，打造神形兼备的风险管理及内部控制体系，保障企业稳健实现投资收益，做到理解规则、应用规则，提升企业运用资本的效率效果。