保险公司合规管理框架的历史由来与国际实践
构建合规管理框架是保险公司合规管理的基础。合规管理框架概念有广义和狭义之分,广义上的“合规管理框架”是为确保一个组织(包括其所有员工和关联方)的行为能够持续地符合所适用的法律法规、行业标准、内部规章以及商业道德规范的要求,建立起来的一系列相互关联的政策、流程、职责、控制措施和文化要素构成的系统性的、结构化的体系。狭义上的“合规管理框架”是指明确一个组织内部各相关部门在合规管理职责上的分工,通过建立全面、明晰、有效的职责体系,共同有效落实合规管理责任,不断推动合规管理整体效能。《金融机构合规管理办法》第五条明确提出了“合规管理框架”概念。从现有研究资料分析,我国对企业合规管理框架方面研讨较少。本文围绕狭义上的合规管理框架相关问题进行分析探讨。
“三道防线”模型的起源与发展
合规管理框架首先发端于西方国家对银行业风险管理特别是“三道防线”的理论和实践。“三道防线”模型(3 Lines of Defense Model,简称3 LOD)最早可追溯至国际清算银行下属的巴塞尔银行业监管委员会(BCBS)于2003年2月发布的《操作风险管理和监督的良好做法》(Sound Practices for the Management and Supervision of Operational Risk)中。该文件是新巴塞尔协议的重要组成部分,第一次对操作风险管理框架作了较系统的描述,初步勾勒出了风险承担、风险管理与内部监督相分离的轮廓,强调银行应建立清晰的风险管理架构。2005年4月,巴塞尔银行业监管委员会(BCBS)发布了《合规与银行内部合规部门》,提出了银行建立合规体系的基本原则和框架体系。
2010年12月,巴塞尔银行监管委员会(BCBS)总结操作风险管理和监管实践经验,发布了更新后的新版同名《操作风险管理和监管的良好作法》,该文件进一步明确了银行应建立应对操作风险的三道防线,并提出了银行操作风险管理的11项原则。BCBS认为良好的操作风险管理通常依靠以下三道防线:第一、业务条线管理。各业务单位的人员是操作风险管理的第一道防线。第二、独立的法人操作风险管理部门是操作管理风险管理的第二道防线。第三、独立的评估与审查是操作风险管理的第三道防线。
2013年1月,国际内部审计师协会(IIA)发布了《有效的风险管理和控制中的三道防线》(《IIA Position Paper:The Three Lines of Defense in Effective Risk Management and Control》),对这一模型进行了系统性的阐述和推广,较巴塞尔银行监管委员会文件,将模型适用范围从银行业扩大到所有企业,也使其成为全球范围内企业构建内控和合规体系的主流模式。经典的“三道防线”模型定义为:第一道防线:业务部门。作为风险的直接承担者和所有者,负责在日常业务活动中识别、评估和管理风险,是风险控制的最前沿。第二道防线:合规、风险、法律等管理部门。负责制定风险管理制度、标准、流程,并监督、指导、挑战第一道防线的风险管理活动,提供专业的工具和支持。第三道防线:内部审计部门。独立于第一、二道防线,对整个风险管理框架的有效性进行客观、公正的确认和保证,并向董事会和高级管理层提供独立意见。
这一模型的核心逻辑在于职责分离、独立监督和层层设防,它在特定历史时期为保险公司建立清晰的风险控制架构提供了宝贵的理论指导,在指导保险公司建立风险及合规管理体系、加强风险及合规管理等方面发挥了积极的作用。
“三道防线”模型的局限性
随着企业创新不断深化和业务复杂程度提高,传统的合规管理“三道防线”模型的弊端和不足也逐渐显现:容易导致各防线之间职责割裂、推诿扯皮、互不信任,形成“铁路警察,各管一段”的局面;过分强调“防御”和“规避”,使合规部门被视为业务的“绊脚石”,而非价值的“共创者”;第三道防线的“事后审计”属性,使其难以在风险发生前提供前瞻性保障。
IIA“三线模型”的革新
2020年7月,国际内部审计师协会(IIA)发布了新的风险管理与控制框架:三线模型(Three Lines Model)。该模型中,IIA抛弃了“防御”(Defense)一词,倡导从“价值保护”转向“价值创造”的积极风险管理和合规管理理念,强调组织对风险管理不能只局限在防范风险,而是要更加全面地为组织的战略和运营提供强而有力的支持。新版模型增列了多项原则,其中最引人注目的是“创造和保护价值”原则,指出各项职能部门相互协同,尤其是要将利益各相关方的利益放在首要位置。正如国际内部审计师协会(IIA)秘书长兼CEO理查德·钱伯斯(Richard Chambers)所说:新模型“对治理的强调能够有力地支持价值保护和价值创造。”这一变革反映了国际风险管理理念的深刻演进而推进合规管理理念的转变:从控制导向转向价值导向,从分散管理转向整合管理,从被动合规转向主动治理。
我国保险公司合规管理框架的实践与演进
合规管理框架的发展历程
我国保险公司的合规管理体系建设虽起步较晚,但发展迅速,并呈现出显著的“引进、消化、吸收、再创新”的路径特征。合规风险是各类风险中最大、最重要的风险,依法依规有效防范和化解风险是合规管理的应有之义,因而风险管理框架理念自然而然运用到合规管理框架理念中。原中国保监会2007年出台了《保险公司合规管理指引》,提出各部门和分支机构对合规管理负直接和第一位责任,合规管理部门进行合规管理,接受内部审计部门独立审计。值得注意的是,该指引并未明确提及“三道防线”,但也从中窥见其雏形。2017年修订后的《保险公司合规管理办法》则明确采纳了这一合规管理框架,明确要求保险公司建立“三道防线”的合规管理框架,规定了保险公司各部门和分支机构履行第一道防线职责,合规管理部门和合规岗位履行第二道防线职责,内部审计部门履行第三道防线职责。这使得“三道防线”模型在保险行业深入人心,成为构建保险公司合规体系的“标准模板”,这种明确的分工对我国保险业合规管理体系的建立起到了重要的指导作用。
各领域合规管理框架的推广与应用
与此同时,合规管理框架的理念也在向其他领域扩展。原中国银监会2006年发布了《商业银行合规风险管理指引》、中国证监会2008年发布了《证券公司合规管理试行规定》、国务院国资委2018年发布了《中央企业合规管理指引(试行)》,虽未明确提及“三道防线”概念,但均体现了类似的分层防御思想。2022年8月,国务院国资委新发布的《中央企业合规管理办法》第十三条至第十五条则明确中央企业业务及职能部门承担合规管理主体责任,合规管理部门牵头负责合规管理工作、审计及纪检巡视巡察等部门对合规要求落实情况进行监督,这里实际提出了中央企业“三个责任”合规管理框架,但实务中并未放弃“三道防线”的提法。
从“三道防线”到“三个责任”的合规管理框架思路演变
回顾此次《金融机构合规管理办法》的制定过程,能看出保险公司合规管理思路的变化:2024年8月公布的征求意见稿第五条、第三十二条曾保留了“三道防线”的表述,但2024年12月最终正式下发的《金融机构合规管理办法》第五条、第三十五条却果断地以“三个责任”取而代之:业务及职能部门、下属机构的主体责任,合规管理部门的管理责任和内部审计部门的监督责任。这一“最后一刻”的修改,绝非偶然,也不只是部门规章语言规范要求,它清晰地表明了监管机构旨在推动保险行业告别旧有范式,拥抱新理念的坚定决心。《金融机构合规管理办法》的“三个责任”框架与国际内部审计师协会(IIA)“三线模型”的核心原则,如“治理层的职责”、“管理层的职责”、“提供保障的独立性”等高度契合,都强调整合、协作与价值创造,是对“三线模型”合规管理框架理念的继承与发展。
从“防御”到“担责”:“三个责任”对“三道防线”的合规管理框架理念升级
《金融机构合规管理办法》摒弃“三道防线”而采用“三个责任”合规框架体系,其深刻意义在于实现了三大理念跃迁,反映了我国保险合规理论的创新与发展。
从单纯强调“安全”到“统筹发展和安全”:习近平法治思想的深入贯彻
习近平总书记多次强调,“法治是最好的营商环境”,“要防范化解金融风险,加快金融改革”、“坚持统筹发展和安全,坚持发展和安全并重,实现高质量发展和高水平安全良性互动。”2023年10月召开的中央金融工作会议强调要“坚持把防控风险作为金融工作的永恒主题”,要“坚持稳中求进工作总基调,统筹发展和安全,牢牢守住不发生系统性金融风险的底线。”对保险公司内部而言,“三个责任”模型不再单纯强调“安全”而忽视“发展”,而是倡导从“价值保护”转向“价值创造”的积极合规风险管理理念,它要求合规管理要为保险公司业务的健康、创新发展保驾护航,实现发展与安全的动态平衡。
从被动“防御”到主动“作为”:语义背后的责任强化
“防线”一词带有强烈的军事化、被动防御色彩。它暗示风险是外来的“敌人”,合规工作的核心是“堵漏”和“御敌于国门之外”。这在无形中将合规置于业务的对立面。而“责任”一词,则充满了主动性和主体性。它强调每一个部门、每一个岗位都是合规管理的主动参与者、责任承担者。这不是在业务之外设立“防线”,而是要求将合规要求内嵌于业务流程之中。业务部门不再是等待被监督的对象,而是合规“主体责任人”,必须主动履职,将合规基因注入保险公司发展决策、业务经营的全过程、全领域,从而实现从“被动监管遵循”向“主动合规治理”的转变。
《金融机构合规管理办法》通过制度设计确保了责任落实。例如,规定首席合规官及合规官不得负责管理金融机构的前台业务、财务、资金运用、内部审计等可能与合规管理存在职责冲突的部门。这一规定从组织结构上保障了合规管理部门的独立性和有效性,为其“管理责任”的落实创造了条件。
从“割裂”到“融合”:体系框架的协同进化
“三道防线”模型在实践中容易造成职能割裂。个别业务部门和经营单位经营观、业绩观和风险观有偏差,“唯业务论”“唯保费论”等思想仍有一定市场,业务部门认为业务发展压力大,有时合规要为业务适当“让路”,合规是合规管理部门的事;合规管理部门又抱怨业务部门不配合,合规的主动性和积极性不足,对合规管理部门提出的意见“选择性”落实;内审部门则站在最后对所有人进行“评判”。彼此之间沟通成本较高,甚至产生对立情绪。
“三个责任”模型则更加注意强调协同与共生。它描绘的不是三条平行的、互不交叉的“线”,而是一个围绕共同目标“保障机构稳健运行、创造和保护价值”的有机整体。三个责任主体之间是分工、协作、制衡的关系:对合规工作,业务部门“干活”并负主体责任,合规部门“赋能”并负管理责任,内审部门“体检”并负监督责任。三者必须紧密互动,信息共享,形成管理闭环。
《金融机构合规管理办法》通过机制设计促进协同融合。例如,第二十一条规定首席合规官有权组织或要求相关内设部门对机构经营管理和员工履职行为的合规性进行监督检查,并强调金融机构内设部门及其员工应当积极配合。这种协同机制的设计,有效避免了传统“三道防线”可能导致的职责割裂问题,为三个责任主体形成合力提供了制度保障。
《金融机构合规管理办法》的“三个责任”合规管理框架既吸收了国际最新实践成果,又根植于中国国情,贯彻了习近平法治思想的精髓,是中国特色金融发展之路在合规管理领域的具体呈现。
保险公司的实践进路:如何有效构建 “三个责任”合规管理框架
理念的变革最终要落实到行动上。对于保险公司而言,构建高效的“三个责任”合规管理框架,需从文化、机制、技术、考核四个维度协同推进。
顶层设计与文化重塑:明确责任边界,培育主动合规文化
一是董事会与高级管理人员率先垂范。世界经济合作组织(OCED)在2017年发布的《OECD保险公司治理指引》(OECD Guidelines on Insurer Governance,2017 Edition)中明确,在良好治理背景下,确保企业行为合规(特别是遵守保险法等法律法规的规定)是董事会和高级管理者职责中必须包含的最基本的内容。一般认为,董事会应对合规管理的有效性承担最终责任,高级管理人员对主管或分管领域业务合规性承担领导责任。唯有董事会与高级管理人员将合规管理列为保险公司战略的重要因素,才能搭建起高效运行的合规框架,从根本上扭转当前保险业存在的“重业绩、轻合规”的错误思想。《金融机构合规管理办法》第十一条、第十二条明确规定了董事会、高级管理人员的多项合规管理具体职责,这些规定从公司治理最高层面确保了合规管理的权威性。
二是修订制度与明晰职责。保险公司应开展好内部合规管理制度的修订工作,根据《金融机构合规管理办法》第三十五条,在公司的合规管理规章制度中清晰、无歧义地界定“三个责任”的具体内涵、履职要求和问责标准。特别是要细化业务部门在产品开发、销售管理、核保理赔、投资运营等各环节的合规职责清单。
三是全方位合规文化培育。通过持续培训、宣传、案例警示教育等方式,将“主动合规”、“合规创造价值”、“人人都是合规责任人”的理念融入企业文化的血脉。《金融机构合规管理办法》第十条特别强调金融机构应当深化合规文化建设,确立正确的理念,营造“不敢违规、不能违规、不想违规”的合规文化氛围。
机制建设与流程再造:打破各自为战,实现协同闭环
一是强化“主体责任”的执行机制。业务部门要牢固树立“管业务必须管合规,管经营必须管风险”的意识,建立业务及职能部门内部的合规自查、风险筛查机制,将合规审查作为业务决策的必经环节。强化“风险控制自我评估”,让业务部门自己“摸清家底”。通过各种方式不断培育保险业务人员风险合规意识,防微杜渐、未雨绸缪,不断强化风险感知力、判断力、控制力,对风险早识别、早预警、早暴露、早处置,提升业务部门和经营单位风险合规能力。同时,不断提升执行力,建立本条线、本领域合规管理规范的切实有效落实与执行机制。
二是提升“管理责任”的赋能水平。《金融机构合规管理办法》第二十八条对合规管理部门详细规定了六大类职责。合规管理部门要转型为“业务伙伴”和“专业赋能者”。主动靠前,工作重心从事后检查向事中干预、事前预防转移。通过提供清晰的合规指南、开展针对性培训、参与重大业务项目前置评审等方式,为业务提供解决方案,而不仅仅是列出问题清单。人保财险青岛市分公司法律合规部门结合常态化风险监测、诉讼案件管理、合规巡查、专项风险合规检查中发现的风险隐患,2022年至2024年共出具涉及多个领域风险合规提示函68份,提出针对性整改建议,并建立销号整改跟踪机制,收到较好成效,分公司风险合规管理水平得到进一步提升。
三是保障“监督责任”的独立与权威。内部审计应对保险公司合规管理的执行情况、合规管理体系的适当性和有效性等进行专门审计,并且应涵盖“三个责任”的落实情况。审计报告不仅要揭示问题,更要推动管理流程的根源性整改,形成“审计—整改—提升”的良性循环。《金融机构合规管理办法》虽然没有直接规定内部审计部门的具体职责,但其作为“监督责任”承担者的地位在合规管理体系中不可或缺。同时,参照国资委2022年下发的《中央企业合规管理办法》第十五条的规定,国有(控股)保险公司纪检部门、巡视巡察部门在其职责范围内对公司合规要求落实情况开展政治监督,是履行合规管理监督责任的重要力量,也是履行金融工作政治性的重要途径,这方面的监督力度应进一步加大。
四是建立高效的协同机制。建立定期的联席会议制度,人保系统在集团、总、省、地市机构均设立风险合规委员会,使三个责任主体能够就重大合规风险、重要合规事项进行充分沟通和协商。人保财险安徽省分公司充分利用风险合规委员会等工作机制,持续协同各相关部门持续加强省分公司党委确定的六大类重点风险的防范化解,同时,强化监督工作委员会联席会议制度,整合分公司各项监督资源,纪检巡察、财务、审计等各类监督相互协同、共享信息、同向发力,积极开展风险合规管理等方面监督,成效显著,分公司依法合规能力、经营绩效水平持续提升。
技术赋能与工具升级:建设智能合规体系
保险行业作为数据密集型和规则密集型行业,具备利用技术手段提升合规管理效率的天然优势。融合保险公司原有的业务和财务管理软件,增加与之相匹配的合规控制的IT系统能够助力保险公司实现更好的合规监控。特别是当前进入数字化时代,风险管理变革的核心就是要利用AI等新兴科技对数据进行采集、挖掘和应用。《金融机构合规管理办法》第五条明确将“务实高效”列为合规管理的基本原则之一,要求金融机构“充分运用数字化、智能化等手段,不断提升合规管理效能”,这为技术赋能合规管理提供了政策依据。
一是部署开发科技工具。保险公司合规管理环节多,信息复杂多样,需不断提升合规管理信息数据和管理工具的自动化、智能化能力和水平。应用自然语言处理技术监控海量条款、文件和沟通记录,实现自动化的合规检查;利用知识图谱技术构建法规、内控、风险之间的关联网络,实现智能问答和影响分析;运用大数据模型进行员工行为监测和异常交易分析,精准识别潜在风险。
二是建设一体化合规管理平台。技术赋能主要体现在流程控制上,当新的保险法律法规及监管要求、行业自律规范发布后,保险公司及时梳理这些新的合规要求,对原有流程进行修改完善。同时,将风险识别、评估、控制、监测、报告等流程线上化、自动化,实现全流程可追溯、可计量、可分析,推动合规管理“数据驱动、流程嵌入、闭环管理”,为落实“三个责任”合规管理框架提供强大的技术支撑。人保财险数年前推出的运营风险管理平台对公司风险及合规管理做出了有效的探索和实践。
考核激励与问责惩戒:拧紧责任落实的“螺丝”
一是将合规履职情况纳入绩效考核。将合规“主体责任”履行情况作为业务部门和分支机构负责人绩效考核、晋升聘用的核心指标,实行“一票否决”。合规管理部门的考核要与其“赋能”效果和风险控制成果挂钩,而非单纯以发现问题的数量来衡量。《金融机构合规管理办法》相关条款虽未直接规定考核要求,但其确立的责任框架为保险公司构建合规绩效考核体系提供了指导。
二是实施严格的双向问责。不仅对发生合规问题的业务部门问责,也要对未能有效履行“管理责任”的合规管理部门、未能及时发现重大风险合规问题的内部审计、纪检巡察等监督责任部门进行问责,真正做到“权责对等、失职必问”。
《金融机构合规管理办法》以“三个责任”取代“三道防线”合规管理框架,是我国金融合规走向成熟、自信的标志,是一次重要的理念升级和制度创新。它超越了单纯风险合规防御的狭隘视角,致力于构建一个全员参与、主动负责、协同高效、价值共创的当代合规管理体系。
对于人民保险公司而言,这既是严峻的挑战,更是转型升级的重大机遇。能否深刻理解这一变革背后的法治精神和监管意图,能否果断打破路径依赖,重构管理框架、流程和文化,将直接决定公司在日益复杂的监管环境和市场竞争中的生存状态与发展潜力。我们在习近平法治思想指导下,要主动拥抱合规“三个责任”,放弃“三道防线”表述,将其从监管要求内化为人保公司的核心竞争力,方能在高质量发展的道路上行稳致远。
投稿邮箱:
picczzs@picc.com.cn
投稿电话:
(010)69009239
