合规风险管理监督预警体系方案(征求意见稿)

中国人寿保险股份有限公司合规风险管理监督预警体系框架方案（征求意见稿）

目录

一、合规风险管理的范围

（一）以全部管理、经营活动中涉及的合规风险作为管理范围的远期目标；

（二）以保监会【2007】91号文第24条确定的范围为合规风险管理的中期目标；

（三）以“小合规”与经营管理活动中普遍存在或突出的合规风险为首期管理目标。

二、合规风险管理与全面风险管理的边界

（一）合规风险管理是全面风险管理的组成部分，合规风险管理仅侧重于公司、员工的行为是否合规方面；

（二）合规风险管理与全面风险管理在架构形式、管理目标等方面保持一致，在管理方法上，既借鉴全面风险管理的一致方法，又突出合规风险管理的特别性；

（三）合规风险管理的职能部门为法律与合规部。

三、合规风险管理监督预警体系内容

（一）梳理、理顺“规”与“行为”

1、梳理、理顺“规”；

2、梳理、理顺“行为”；

3、梳理、理顺“规”与“行为”不一致的点。

（二）合规风险库建设

1、数据来源；

2、定义与分类；

3、编码与排序。

（三）合规风险评估

1、识别合规风险，确定风险性质

2、分析合规风险点的构成要素

3、对合规风险点进行定性、定量评价

（四）合规风险管理指标体系

1、“行为”不确定性指标

2、“行为”影响程度指标

3、“规”的等级指标

4、“行为”、“结果”与“规”的关联性指标

5、分类整理预警指标、确定监控要点

（五）信息系统

至少实现下列目标：

1、操作简单；

2、合规风险点清晰可辨；

3、不是一个简单的静态数据库，而是一个融合合规风险管理流程的动态管理系统；

4、固化定性分析结论，获得基础数据后生成定量分析结论；

5、固化解决方案，并实现同步调用；

6、数据共享；

7、自动预警与解除警报；

8、自动采集、整理合规风险管理轨迹。

正文

一、合规风险管理的范围

理论中对合规风险管理的范围有两种认识：大合规与小合规。

大合规一般是指，与企业相关的所有行为均纳入到合规风险管理之中，包括业务方面的、管理方面的，具体涉及营销、承保、核保、理赔、财务管理、人力资源管理等全部活动。

小合规一般是指，制度建设与修订、审核，规范性文书的起草、修订、审核，合规政策的咨询与解答，争议案件的受理与处理等。

从保监会及中国人寿等保险公司的要求和实践做法来看，合规部门都在追求大合规，但目前的实践基本都局限在小合规的范围内。

确定合规风险管理范围可按下列不同阶段的目标分别设定：（一）以企业全部经营管理活动中涉及的合规风险作为管理范围的远期目标

（二）以保监会【2007】91号文第24条确定的范围为合规风险管理的中期目标

（三）以“小合规”与经营管理活动中普遍存在或突出的合规风险为首期管理目标。

为了尽量满足监管机关和中国人寿合规部门的要求与愿望，以大合规为目标，但从小合规或者大合规中明显存在较多问题的

环节入手，以点带面，逐步展开。包括：

1、审查、审核业务中的合规风险管理。主要是文书审查中的合规风险管理；

2、咨询业务中的合规风险管理；

3、建议业务中的合规风险管理。主要包括参与业务部门新产品开发或者主动发现合规风险点后向其他部门提出建议过程中的合规风险管理；

4、具体经营管理活动中比较突出或普遍存在的风险点的合规风险管理。查阅或汇总公司以往一个时期内普遍存在或者比较突出的风险点，进行重点管理。相关资料可以参考法律与合规部历史资料，也可以向审计部门、内控部门征询意见。

这种方案有如下好处：

1、大合规是监管机关的要求，也是企业合规管理部门的需要；

2、大合规思路更易为企业领导接受；

3、大合规需要渗透到企业经营、管理的各个环节，能够凸显合规风险管理的价值（能够显现价值将有利于企业认可，也可以使我们获得更高的报酬预期）；

4、大合规内容太多，眉毛胡子一把抓不是好办法，也难以作出精品，故以大合规为目标，以小合规为突破口，当然可以将部分或个别大合规中已经或容易发生问题的环节融入进去，重点突破。

二、合规风险管理与全面风险管理的边界

（一）合规风险管理是全面风险管理的组成部分，合规风险管理仅侧重于公司、员工的行为是否合规方面

（二）合规风险管理与全面风险管理在架构形式、管理目标等方面保持一致。在管理方法上，既借鉴全面风险管理的一致方法，又突出合规风险管理的特别性

全面风险管理的基本方法概括为：目标与流程的组合，这种方法论在合规风险管理中可以借鉴。

合规风险管理又具有其特殊性，如：历史数据普遍不全；通常很少采用定量分析；通常很少建立指标体系等。这些问题都需要进行特别考虑。

（三）合规风险管理的职能部门为法律与合规部。

三、合规风险管理监督预警体系的内容

（一）梳理、理顺“规”与“行为”

合规，指行为与规范是否一致。两个核心要素：“行为”与“规”。合规风险不仅需要考虑“行为”与“规”两个要素，还需要进一步考量二者之间的逻辑关系，以及这种逻辑关系对企业预期经营目标可能会产生的影响及其程度。

1、梳理、理顺“规”

“规”，应采广义之义，即：法律、行政法规、监管规范、行业自律性规范、内部制度及道德准则。当然还包括有中国特色的解释。

并非所有的“规”均与中国人寿相关，需进行甄别和筛选。

“规”有等级，效力不同。

“规”有善恶之分，需辨识。

“规”会变。

“规”会有漏洞或瑕疵。

2、梳理、理顺“行为”

“行为”包括两类：公司行为与个人行为。

“行为”有普遍行为，还有个别行为。

“行为”有规范行为，还有领导授意行为。

“行为”会因不同职级有所区别。

外部公司的“行为”对本公司有借鉴和参考价值。

首期按照第一部分（三）梳理、理顺，中期按照第一部分（二）梳理、理顺，后期按照第一部分（一）梳理、理顺。

3、梳理、理顺“规”与“行为”不一致的点。

“行为”对“规”的偏离可能形成合规风险。

“行为”对“规”的偏离不当然必须进行管理，只有那些达到风险条件的不合规“行为”才是管理的点。达到不合规条件的“行为”包括：

1）可能遭受法律制裁的“行为”；

2）可能遭受监管机关处罚的“行为”；

3）为公司成文制度明确禁止或者严格限制的“行为”（虽然保监会颁布实施的《合规风险管理指引》并未列示该类行为，但