保险公司的治理、风险管理和内部控制关系分析报告

论保险公司的公司治理、风险管理和部控制的关系梁子君财经大学保险精算研究中心 【摘要】中国保监会对我国保险业的监管方向是从结果性的事后监管向过程性的事前事中监管转变，而对于保险公司的治理结构、风险管理制度以及部控制制度建设的监管已成为实施该监管原则的基本容。本文试图从概念、职能和组织架构的角度，先在一般公司层面上界定三者的区别和联系，然后将其应用于保险公司，目的在于为我国保险业关于公司治理结构、风险管理以及控制度建设及其监管提供理论依据。【关键词】公司治理 风险管理 部控制一、引言保险公司作为经营和管理风险的金融服务机构，强调控制风险是其永恒的主题。中国保监会主席吴定富曾在2005年中国保险工作会议上指出“建立风险防的五道防线是中国现代保险监管体系的核心容。“五道防线”中第一道防线就是公司部控制，是基础防线。中国保监会还多次强调，要逐渐从结果性的事后监管向过程性的事前事中监管转变。其中，公司治理结构作为保险监管体系有效性的基础已经被作为了主要监管容之一。制定和推出保险公司治理的指引已经被中国保监会设定为2005年着力推动的工作重点。中国保监会提出的监管理念和原则，完全符合国际保险监管的发展趋势。事实上，保险业、乃至整个金融服务业的监管理念都逐渐统一到了新巴塞尔协议（2003）中提出的“三支柱”风险监管原则之下。第一支柱：最低资本要求，第二支柱：监管审查过程，第三支柱：披露过程。新巴塞尔协议的核心就是风险管理， “三支柱”共同构成风险管理的有机整体。第一支柱是对公司财务风险的监管资本要求；第二和第三支柱则针对那些难以通过资本充足度要求来控制的风险，特别是通过构建合理的公司治理结构，通过加强公司部控制和风险管理制度来实现。我国从2004年以来，积极借鉴国际保险监督官协会保险监管核心原则，开始把偿付能力监管、公司治理结构监管和市场行为监管列为中国现代保险监管体系的三大支柱。这里的偿付能力监管就是最低资本要求。而对公司治理结构、包括市场行为监管则属于过程性监管，即加强公司自我控制风险的能力，包括控制度和风险管理制度，与最低资本要求相辅相成。过程性监管要求从监管者的角度来评估、监控、要求保险公司加强自我控制风险的能力。其核心容可概括为加强保险公司的公司治理、风险管理以及部控制的监管。为了更合理的分配监管资源，更有效的发挥监管作用，必须明确保险公司公司治理、风险管理和部控制这三个交叉概念各自的涵、职能、区别和联系。本文先从一般公司的角度，分析公司治理、风险管理和部控制的联系和区别。从一般概念、定义、容、职能以及组织架构的角度来分析，然后从保险公司的特点出发，以实际公司的相应容为例，给出保险公司中关于这三个概念之间关系的组织架构图，为进一步细化相应监管原则和具体措施提供理论依据。二、一般公司的部控制、风险管理和公司治理公司是依照公司法组建并登记的以营利为目的的企业法人。按照我国公司法，公司是指有限责任公司和股份有限责任公司。通常，公司的经营目标为实现股东利益最大化或者各利益相关者利益最大化。这是讨论一般公司的公司治理、风险管理以及部控制三者之间联系和区别的基础。需要特别说明的一点是，风险管理这个概念可以区分为风险管理理念和风险管理活动。风险管理理念强调的是保险公司整个动态的风险管理过程，是个抽象的、比较宏观的概念；而风险管理活动强调的是保险公司每一个具体的风险管理行为，是个具体的、相对微观的概念，这里重点讨论的是风险管理活动。2.1 三者的关系现代企业的管理过程包括计划、组织、领导和控制四种职能。而风险管理已被公认为管理领域的一项特殊职能。普通企业的管理活动通常可以分为财务管理、生产管理、市场管理、会计管理、一般事务或人事管理、以及风险管理六个部分。关于控制与部控制之间的关系，Simons（1999）曾给出过一个示意图，见图1。授权边界系统信息系统交互式控制系统减少制度的标准诊断控制系统内部控制激励措施图1：控制示意图风险管理和部控制都是属于管理的一部分，风险管理中包含部控制的职能，风险管理之外的其他管理活动亦都有部控制的职能，两者既有交叉部分又有相异之处。Mueller（1981）对管理和治理的区别与联系进行了详细的比较分析，其结论可以简单表示如图2，其中，倒三角形部分表示公司治理，正三角形部分表示公司管理，两者交叉部分为战略管理。战略管理作为管理和治理交叉的部分既属于公司治理的畴，又属于公司管理的畴。公司治理规定了公司管理的导向和原则，是管理公司的基础，也是风险管理和部控制的基础和指导原则。风险管理和部控制属于公司管理的畴，位于公司治理层面之下。风险管理是一种管理活动，而部控制是管理过程的一部分职能，只要有管理就会有部控制。所以，风险管理中包含部控制，但部控制亦存在于其它管理活动中，公司治理与公司管理的交叉部分战略管理中亦含有部控制。1、设定公司目标2、界定经理人员的责、权、利3、有效的监督1、经理人员行使决策权和控制权2、公司经营管理战略管理图2： 公司治理与公司管理2.2 定义、目标和容按照经济合作及发展组织（Organisation for Economic Co-operation and Development，简称OECD）的定义，公司治理是一种据以对工商业公司进行管理和控制的制度体系，它明确规定了公司各参与者的责任和权力分布，诸如董事会、经理层、股东和其他利益相关者，并且清楚说明了决策公司事务时应遵循的规则和程序，同时，它还提供了一种结构，使之用以设置公司目标，也提供了达到这些目标和监控运营的手段。美国反欺诈财务报告委员会（The Committee of Sponsoring Organizations of the Treadway Commission, 简称COSO）给出的风险管理定义为：风险管理是一个过程，受企业董事会、管理层和其他职工的影响，应用于制定策略时并贯穿整个企业，用于确定潜在的可能影响企业的事件，将风险管理到企业的风险意愿之，并为实现企业目标提供合理的保证。COSO还对部控制给出了定义，即部控制是一组连续的过程，该过程由企业的董事会、管理层和所有个人来完成，为下列目标提供合理保证：经营的效用和效率、财务报告的可靠性、遵守法律和法规。以上述三个定义为出发点，将各概念的具体目标和容整理为表1。如表1所示，公司治理的目标是通过董事会来监控管理层实现公司的总目标，其途径就是合理分配和制衡股东大会、董事会和管理层的权、责、利。整体上看，风险管理和部控制的目标都是为保证实现公司总目标而进一步细化的目标，都服务于总目标。风险管理与部控制的目标基本一致，但风险管理所包含的目标中要比部控制的目标多了一个策略性目标。两者在经营性目标、信息可靠性以及遵守法律法规等目标上是一致的。从目标看，部控制是风险管理的一部分，风险管理直接为公司治理中的制定策略服务。目标容公司治理监控管理层实现公司总目标，为以下目标提供合理保证：-采取策略使公司增值-明确管理层的权利和责任-正直的处理事务-公平、透明的报告其业绩董事会结构与企业文化公司与利益相关者的管理按规定披露绩效的透明度情况风险管理为实现公司目标提供合理保证，目标分为：-战略目标，诸如高层目标、遵从支持其任务-经营目标，有效经济的运用其资源-报告目标，报告可靠-遵守性目标，遵守适用法律和法规部环境设定目标识别事件风险评估风险对策控制活动信息和沟通监控部控制为下列目标提供合理保证：-经营的效用和效率-财务报告的可靠性-遵守法律和法规控制环境风险评估控制活动信息和沟通监控表1：三者的目标比较从基本容看，公司治理包括合理的董事会结构与企业文化，对公司与利益相关者的管理，以及对公司按规定披露绩效的透明度情况。OECD公司治理原则主要容包括：保护股东的权利、对股东的平等待遇、利害相关者在公司治理结构中的作用、信息披露和透明度以及董事会的责任。部控制中的控制环境对应于风险管理中的部环境，部控制的控制环境主要包括董事会与审计委员会、管理阶层的经营理念与营运风格、组织结构等八个方面。其中董事会与审计委员会对部控制所发挥的作用，已经成为部控制不可或缺的一部分，缺少适合的控制环境的话，部控制实现其目标就会出现障碍。风险管理容中的部环境与部控制相应部分类似，包括公司的风险管理的理念和风险偏好情况、运营的环境等，其中毫无疑问涉及到公司董事会对风险的偏好情况和制定的风险政策等，也包含着公司治理的部分容。部控制框架是风险管理框架的一部分部控制是一种风险管理方式，它将管理、会计等方面控制在预想的围，减小风险的方法之一就是加强控制。风险管理更多的是针对风险的不确定性方面，而部控制管理注重的是风险中相对比较确定的方面。例如，如果员工不按操作流程执行，可能会产生较大损失。风险管理部门的职责在于评估损失发生的原因及可能造成的后果，而部控制的目的在于如何控制员工按操作流程来执行。即，如果员工不按操作流程进行，是部控制系统出了问题，而对可能造成的损失及其应急安排则是风险管理系统的事。总之，公司治理构成了风险管理和部控制的基础和平台，风险管理包含部控制，部控制是实现风险管理的途径之一。风险管理在以公司治理为基础的同时，又为公司治理服务，主要体现在其策略制定过程中。2.3三者的组织架构公司治理是现代企业中最重要的制度架构，董事会是公司治理的行为主体，通常包括：雇用、评估和解聘CEO；对CEO的行为实施监管；主要对CEO做出的决策和政策提出建议与意见；审查结果。典型的公司董事会构成包括提名委员会、薪酬委员会、审计委员会等。中国证监会、国家经贸委于2002年1月发布的上市公司治理准则中，提出上市公司可以考虑设置战略、审计、提名、薪酬和考核等专门委员会，架构见图3。股东大会董事会高级管理层提名委员会薪酬委员会审计委员会其他委员会战略委员会图3：公司治理架构图首席执行官CEO：负责最终风险管理财务总监CFO：负责财务风险确定最终资本结构最小化资本成本等资本运作经理：负责投机风险、信用风险等风险经理：纯粹风险：(操作风险、财产风险、责任风险等等)首席投资官：负责投资风险等相应部门经理图4：公司风险管理架构图其中，提名委员会的主要责任是设定相应标准和程序，寻找、审查董事及经理人员；薪酬委员会的责任是研究、制定董事、高级经理人员的薪酬政策和方案，并设定对其的考核标准；审计委员会的职责是与公司部审计和外部审计进行联络，并对其进行相应监督和提议，审核公司的财务信息并进行披露，审核公司的控制度；战略委员会的主要职责是对公司长期发展战略和重大投资决策进行研究并提出建议。公司的首席执行官（CEO）的职责是确保公司在市场上获得成功，可以将其视为最终的风险管理员；财务总监（CFO）负责公司的财务风险，其重要任务之一是确定公司的最后资本结构；资本运作经理是公司信用风险的管理人，主要职责是管理公司的投资风险，通过资本预算、信用分析以及制定发行债券或股票来进行融资等战略方法来应对公司面临的各种各样的风险；而公司的风险经理的主要职责是管理公司的纯粹风险，通过实施风险控制或风险融资战略将经营损失和偶然事件对公司的负面影响降低到最小程度；公司常还设有CIO（首席投资官）负责管理公司的养老基金和其他投资，其主要职责是使公司获得较稳定的预期收益，同时能够保证公司承担的风险较低。资本运作经理和风险经理分别是通过利用保险市场和资本市场来应对公司所面临的风险。同时，一般资本运作经理、风险经理以及首席投资官都直接向财务总监汇报。从这个意义上讲，公司负责风险管理的人员是财务总监。除上述之外，公司各个部门的经理，都有对相关风险进行管理的责任。公司的风险管理架构如图4。如前所述，只要有管理就存在部控制。公司管理可以划分为三个层次：高层管理、中层管理以及作业管理。高层管理包括董事会、CEO等高层管理者，主要负责战略管理、负责组织和确保战略计划的实施；中层管理主要包括各职位部门经理，其职责是把最高管理层制定的长远目标、整体战略和综合规划加以具体化，在职责围制定实施计划，并确保其贯彻执行；作业管理包括职能部门的基层负责人，如人事部的人事经理和培训经理等，其职责是根据中层管理制定的计划和规定程序，协调基层的基本工作，具体的实施各项业务。部控制既然蕴含于管理职能中，所以可给出如图5所示的公司部控制架构。通过这三个架构图的比较不难看出，公司治理和公司管理是两个层面的问题，公司治理的负责主体是董事会；而公司管理的最终负责人是首席执行官，负责主体是高级管理层，而风险管理属于公司的一种管理活动，其相应负责人均包括在管理的组织架构中，构成管理系统的一部分。部控制则是行使管理职能过程中必不可少的一部分，则也是风险管理过程中必不可少的一部分，同时只要跟管理工作相关的人员和工作都会承担部控制的责任。亦即从组织架构来看，公司治理和风险管理是隔离开来的，而公司治理与管理的交叉部分也就是战略管理，既然战略管理是管理容的一部分，则不可避免的会包含部控制，所以公司治理和部控制的交叉部分在于战略管理中的部控制环节。内部控制部门经理基层负责人CEO、CFO等董事会高级管理层中级管理层作业管理层图5：公司内部控制架构图下面给出三者之间的图示关系（见图6），这里需要说明的一点是，为简单起见，仅列出了能够说明三者关系的相应组织架构。2.4一般结论普通企业中，风险管理和部控制都属于与公司治理相并行的公司管理的部分，风险管理与部控制有交叉部分，即为风险管理活动中的部控制职能。公司治理与部控制的交叉部分为战略管理中含有的部控制职能。风险管理属于公司管理的一种管理活动，与公司治理没有交叉。从目标来看，风险管理直接为公司治理中的制定策略服务，部控制是风险管理的一部分；从具体容来看，风险管理和部控制都包含在公司治理的部分容中为其服务，其中部控制是一种风险管理方式，公司治理构成了风险管理和部控制的基础和平台；从组织架构来看，负责公司治理与风险管理活动的人员是不同的，两者分隔开来，部控制人员与管理人员是合二为一的，公司治理中负责战略管理的人员具有部控制职责。所以，现有的组织架构没有把三者目的和容、职能具体化，按照具体容，公司治理中应当包括专门的风险管理和部控制人员，而且，部控制和管理人员合二为一本身不能区别风险管理和部控制的责任，这些都为公司自身建设和监管部门监管带来困难。截止目前，许多国家的许多法规都要求董事会要对公司的风险管理和部控制系统负责。公司治理综合条例中规定董事会要保持一个健全的部控制系统，以此保护股东的投资和公司的资产，董事会每年至少一次对公司部控制系统的有效性进行检查并向股东汇报；合并条例中要求“董事会要维护一个健全的部控制体系来保障股东的投资和公司的资产”；土恩布尔报告中要求“风险管理是董事会的集体责任，董事会最终要对部控制负责，但有可能把工作的某一方面分包出去”等。这些法规条例都明确了董事会对风险管理和部控制应当担当的责任。对于部控制而言，其基本容之一的部会计控制，一般公司都将该职责交付给审计委员会，但是对于经营控制和法规遵从性方面的部控制进行监督的责任却在董事会中没有相应的角色，有的公司由执行委员会来进行负责，目前也有很多研究人员提出了要建立一个新的委员会部控制委员会的建议。对于风险管理进行监督也存在同样的问题，许多公司的董事会已经设立了风险管理委员会，从巴塞尔风险监管理论中第二支柱的角度来看，从董事会履行其监控职能的角度来看，在董事会分别建立风险管理委员会和部控制委员会是现在公司治理发展的一个共同趋势，更不失为一种好的办法。风险经理资本运作经理部门经理部门经理基层负责人董事会首席执行官首席人力资源执行官首席投资官首席稽核执行官基层负责人公司治理风险管理内部控制风险管理和内部控制图6：公司治理、风险管理、内部控制简略图首席财务执行官三、保险公司的公司治理、风险管理和部控制3.1保险公司的特征保险公司是特殊的金融服务企业，它除了具备普通企业的经营和管理目标外，还有自身特殊的安全性目标，需要保证随时履行对保单持有人的保险责任。因此，保险公司的治理结构、风险管理和控制度也必须适应这一安全目标。普通企业的公司治理框架，很少强调如何有效保护客户的利益。而对于保险公司而言，能否履行其对保单持有人的责任是公司重要的经营目标之一，而衡量保险公司安全目标的标准就是其偿付能力，这也是保险监管的核心目标。因此，保险公司与普通企业在经营和管理目标上的差异决定了保险公司在治理机构、风险管理和控制度上，必须体现出实现安全目标的功能。3.2保险公司的治理结构如上所述，普通企业的治理结构远未完善，国际上一系列大型企业倒闭事件，都与公司治理中的漏洞有直接关系。保险公司作为特殊的金融服务企业，必须平衡其商业盈利目标和其安全、审慎经营目标，其治理结构更待加强。尤其是在我国保险业当前的发展背景下，保险公司的股权和资本背景比较复杂，市场开放和经营自主、产品费率自由化速度加快，市场进展压力越来越大，对公司治理的要求已经非常迫切。我国目前保险业出现了大股东挪用保险资金，侵害保险公司和被保险人利益等情况；仅仅在2004年初夏批准筹建的18家保险公司中，就已经发生股东通过代持股份等隐蔽方式几乎全盘控制保险公司的状况。我国保监会自2004年开始，研究制定保险公司治理结构的指引，主要从优化保险公司股权结构入手，对董事会建设（包括独立董事制度），规经理层行为、激励约束机制、健全控制度、加强信息披露，以及监管等六方面提出详细要求。其中特别强调的是公司治理结构如何服务于安全目标，即保证公司对保单持有人的偿付能力。“征求意见稿”中提出了在治理结构中实施“总精算师制度”，规定人寿保险公司需建立总精算师制度，总精算师不仅有责任就可能影响偿付能力的情况定期向董事会提交报告，并提出改善偿付能力的建议，而且还可以直接向监管部门报告。从这点来讲，我国现在保险公司治理方面已经充分具备了保险公司的特点，对于保护保单持有人的利益已经开始加强。不过，尚未十分明确的是，“总精算师”与中国保监会近年来推动的“精算责任人”的关系。在中国保监会要求保险公司每年提交的、经过审计师审计的“偿付能力报告”上，需要保险公司的三位责任人签字，分别是公司的法定代表人、精算负责人和财务负责人。而对于签字责任人的具体责任却没有明确的界定。精算师作为一种专业技术和职业人员，其主要负责保险公司的责任准备金负债的价值评估。精算师的责任主要有两方面，首先是对“精算师职业”的职业责任，然后是作为公司（或事务所）雇员的雇员责任。但保险监管部门从外部通过与精算职业组织和公司的协作，又赋予“精算责任人”一定的“监督权力”或“吹警哨”的权力。这三者之间、或外部之间的关系变得十分复杂，包括如何定义和界定公司“总精算师”和“精算责任人”的职责。无论如何，保险公司的治理结构就是要在普通企业治理结构的基础上，增加公司实现安全目标的治理结构功能。3.3 保险公司的风险管理保险公司是以风险为经营对象的，这就决定了其风险管理的要求要高于其他一般公司，投资利润和承保利润是保险公司的利润来源，故而，保险公司中的承保（产品设计、核保、核赔等等）部分和投资部分是并驾齐驱的，保险公司除了包括一般公司所设置的CFO、CIO、风险经理等等职位之外保险公司更侧重于对具体风险的管理，包括具体的风险管理方法和技术，如定价风险、理赔风险等。保监会2004年颁发的保险资金运用风险控制指引（试行）就是针对保险公司资金运用风险的指引办法。所以在保险公司建立一般公司所具有的风险管理的架构时，还要针对保险公司的具体风险来相应进行风险管理设置。(1) 保险公司的风险管理模式之一现选取AGEON（荷兰全球人寿保险集团，是世界十大上市保险公司之一）的风险管理系统来具体描述保险公司的风险管理系统。AGEON的风险管理系统架构如图7所示。其中，风险管理和资本委员会主要包括CEO（对于地区或是部门就相应是地区总经理或部门经理）、CFO、CIO等高级管理人员。AGEON将公司的风险主要分为信用风险、流动性风险、市场风险、操作风险以及承保风险。信用风险的主要负责人是投资负责人（对于集团来说就是首席投资官CIO），流动性风险的主要负责人是资本运作经理，市场风险的主要负责人是定价精算师和部门经理，操作风险的主要负责人就是风险经理，承保风险的主要负责人也是精算师。AGEON给出了一个典型的保险公司风险管理的模式，即设置风险管理委员会（对于AGEON称之为风险和资本委员会），直接向执行董事汇报。风险管理委员会负责确保集团保持最高的风险管理标准，包括但并不限于批准风险管理人员的资格及有效力，风险方法的适用性以及风险涵盖的围；确保风险在公司的承受围之；设定风险管理政策；推进强有力的风险管理文化。在风险管理委员会下设立具体的风险管理者，负责执行风险管理委员会的命令；对各类业务给出全面准确的风险评估；负责将任何给组织带来显著风险的活动告知CEO（部门负责人）及风险管理委员会（风险管理部门，如果风险管理者对于补救措施不满意，就必须将该问题告知集团首席风险官）；确保所有风险相关信息的准确性和及时性。至此，保险公司（这里需要注意的是AGEON是一家寿险公司）的一个比较完整的风险管理系统呈现在我们面前。地区2风险委员会部门2风险委员会执行董事和/或监管董事图7：AGEON风险管理架构图集团风险和资本委员会集团风险管理地区1风险委员会地区单位风险管理部门1风险委员会部门1风险管理部门2风险管理（2）保险公司风险管理模式之二我国国泰人寿采用与AGEON并不相同一种风险管理模式。国泰人寿对公司各种风险的管理是通过相应的部门来实现的，没有一个统一的风险部门或者委员会。其中资产风险由计划财务部负责，负债风险由精算部负责，而资产与负债间匹配的协调则由副总经理负责。操作管理风险则由部审计、外部审计及其他部门来共同完成。其中将资产风险分为市场风险、信用风险、流动性风险；将负债风险分为承保风险和利率风险。国泰人寿和AGEON对于风险的分类并不完全相同，当然各个公司对于风险的分类和管理都存在不同程度的差别。但是，从这两个例子我们也可以看出，对于一般企业都共有的风险而言，保险公司的管理并没有特殊之处，特殊表现在其对具体业务中呈现的风险的管理，比如承保风险等。从整体框架而言，保险公司的风险管理组织架构具有一般企业风险管理组织架构具有的特点。3.4 保险公司的部控制一般企业，并没有将部控制职能单独设立为一个部门，但保险公司的部控制系统已日益成为监管部门关注的焦点之一，因为实践证明大多数公司破产事件中均存在部控制上的缺陷和不足。正如风险管理蕴涵于保险公司经营的各个环节中一样，部控制也蕴涵于所有的管理活动之中。欧盟保险和职业养老及监督委员会（Committee of European Insurance and Occupational Pensions Supervisors，简称CEIOPS），给出了其负责的欧盟Solvency II研究项目部分工作的一个阶段性研究成果，它在保险企业的部控制中明确了保险公司控制度中具体的、要施的控制活动，包括承保、销售、理赔、提取责任准备金、投资、履行偿付能力要求、会计、保护被保险人、再保险和其他风险转移工具的控制、信息系统等等，要求将这些活动落实到具体的部控制负责人身上。我国保险业实务界和理论界都在积极研究和实践保险公司控制度的建设问题，保监局已完成了保险公司控制度课题，并出版了研究成果。多数大中型保险公司则正在努力进行实践有效的控制度。3.5中国平安集团的例子中国平安集团的公司治理、风险管理以及部控制系统的设置，首先服务于公司目标，即成为以保险业为核心的、世界领先的多元化金融服务集团；持续获得稳定的盈利增长及让股东获得稳定回报。公司治理的架构如图8所示，需要说明的是，虽然中国的公司大都有董事会和监事会并存，但这并不影响我们前面所得出的结论。公司的高级管理层设立了首席财务执行官、首席人力资源执行官、首席投资执行官、首席精算执行官、首席监察执行官、首席稽核执行官、信息总监兼信息管理中心总经理等职位。公司的风险管理活动由风险管理委员会集中实施和监督，成员包括本公司财务、投资、精算和部稽核部门的主要负责人及公司主要子公司的业务主管，负责确认并审查整个集团的主要风险领域和本公司的所有经营原则，批准主要的财务和运营风险管理政策，并确保有关政策得到遵守。主要包括：产品风险管理，由产品中心进行管理，成员由精算主管和各主要业务单位的主管组成；资产与负债管理，主要由业务单位的精算师和投资专家负责；市场风险管理；信用风险管理；流动性风险管理；集中风险管理；外币风险管理；经营风险管理，主要由各业务部门经理负责；最后还包括部稽核。可以看出，平安保险公司的风险管理系统是以风险作为系统设置的出发点，针对各主要风险来配备相应管理人员，不排除人员的交叉运用。这样，实际上是将风险管理系统和部控制融合在一起，或者说将风险管理系统的职能扩大、包括了部控制系统。因此，中国平安保险集团似乎没有明确划分风险管理系统和部控制系统，而是在公司治理的平台下，将部控制包含在风险管理系统中。这与新巴塞尔协议下的风险监管理论原则和理念有一定的差异，其有效性有待于实践的检验。股东大会董事会监事会首席执行官图8 中国平安集团公司治理组织架构图四、结论保险公司与普通企业最大的不同之处在于，保险公司既要实现公司利益最大化目标，又要实现对保单持有人履行保险责任的保障，即实现其安全性目标。保险公司的治理结构、风险管理和控制度建设都必须服务于这两个目标，特别是安全性目标。公司治理规定了公司管理的导向和原则，是管理公司的基础，是风险管理和部控制的基础和指导原则。保险公司作为经营风险的金融服务机构，风险管理是其基本经营理念并贯穿于各个经营环节中。与普通企业相比，保险公司风险管理活动更侧重于各具体风险，比如承保风险、信用风险、流动性风险、市场风险、操作风险等等。保险公司的部控制制度是风险管理方式之一，是实现保险公司风险管理的途径和手段。风险管理主要针对风险的不确定性方面，而部控制管理注重的是风险中相对比较确定的一方面。风险管理和部控制属于公司管理的畴，都位于公司治理层面之下。风险管理可以作为是一种管理活动，而部控制是一个管理职能的一部分，只要有管理的地方就需要有部控制。风险管理中包含部控制，部控制不仅仅存在于风险管理活动中。我国保险公司关于公司治理结构、风险管理和控制度建设的关键问题之一在于界定清楚各自的涵和职能，将责任落实到具体的责任人。比如在治理结构方面，必须从董事会和监事会构成中保证实现公司安全目标的功能，如界定总精算师、精算责任人、法律责任人、财务责任人与总经理和董事长的责任。保险公司的风险管理与控制度职能虽然有很多共同的部分，但各自的目标和容仍有区别，应该从理论和实践方面进一步探索，按照国际发展趋势，建议不要将其合二为一。最后，本文提出一个供讨论和进一步完善的、关于发挥保险公司公司治理、风险管理和部控制三套系统作用的一个架构图（见图9）。其中对于公司治理部分的董事会除了常规设置之外，将风险管理和部控制功能分离出来，设立独立的风险管理委员会和部控制委员会，这一点采纳了一般公司的结论；对于保单持有人利益的保护，要充分发挥精算师的监控作用，其有直接向董事会及监管部门述意见的权利；对于风险管理系统，在设定一般公司设置的风险管理职位后，要针对具体风险设定风险管理负责人；而在部控制系统，要将主要活动（承保、销售、理赔、提取责任准备金、投资、履行偿付能力要求、会计、保护被保险人、再保险和其他风险转移工具的控制、信息系统）的管理活动中的部控制职能剥离出来，设置相应的部控制负责人，与董事会中的部控制委员会上下呼应，真正发挥其作用。股东大会审计委员会提名委员会薪酬委员会风险管理委员会内部控制委员会其他委员会首席财务执行官部门经理，诸如：产品开发部、销售部、客户服务部、人力资源部、会计部等等基层负责人，诸如：核保、理赔、信息处理等风险经理资本运作经理首席风险执行官工作员工图9：保险公司公司治理、风险管理、内部控制架构图董事会首席执行官（CEO）首席人力资源执行官首席投资执行官首席精算执行官首席稽核执行官参考文献1 凤鸣著：部控制设计，经济管理，1997年2 周伏平编著：企业风险管理，教育，2003年3 鲜红霞、郭旭力译：控制，机械工业，2004年4 董伍伦、强著：现代公司管理，经济科学，1999年5 王一佳、马泓、秉正等著：寿险公司风险管理，中国金融，2003年6 维安等译：公司治理，中国财政经济，2004年7 维安等著：现代公司治理研究，中国人民大学，2002年8 席酉民、增耀等主编：公司治理，高等教育，2004年9 金占明主编：企业管理学，清华大学，2002年10 伟华译：风险管理，2002年11 史蒂文.J.鲁特著：超越COSO：强化公司治理的部控制，2004年12 宜霞著：部控制基于企业本质的研究，中国财政经济，2004年13 王剑峰、寇国龙译：企业风险管理，中国人民大学，2004年14 寿险公司部控制研究课题组著：寿险公司部控制研究，经济科学，2005年15 （美）普拉卡什 A. 希马皮等著：整合风险管理202.121.135.4:8080/opac/openlink.php?author=%28%C3%C0%29+%C6%D5%C0%AD%BF%A8%CA%B2+A.+%CF%A3%C2%ED%C6%A4%B5%C8%D6%F8，机械工业，2003年16 COSO (2004), Enterprise Risk Management Integrated Framework17 COSO (1992), Internal Control-Integrated Framework18 OECD (2004), OECD Principles of Corporate Governance