中国人寿保险股份有限公司合规风险管理监督预警体系框架方案（征求意见稿）目录一、合规风险管理的范围（一）以全部管理、经营活动中涉及的合规风险作为管理范围的远期目标；（二）以保监会【2007】91号文第24条确定的范围为合规风险管理的中期目标；（三）以“小合规”与经营管理活动中普遍存在或突出的合规风险为首期管理目标。

二、合规风险管理与全面风险管理的边界（一）合规风险管理是全面风险管理的组成部分，合规风险管理仅侧重于公司、员工的行为是否合规方面；（二）合规风险管理与全面风险管理在架构形式、管理目标等方面保持一致，在管理方法上，既借鉴全面风险管理的一致方法，又突出合规风险管理的特别性；（三）合规风险管理的职能部门为法律与合规部。

三、合规风险管理监督预警体系内容（一）梳理、理顺“规”与“行为”1、梳理、理顺“规”；2、梳理、理顺“行为”；3、梳理、理顺“规”与“行为”不一致的点。

（二）合规风险库建设1、数据来源；2、定义与分类；3、编码与排序。

（三）合规风险评估1、识别合规风险，确定风险性质2、分析合规风险点的构成要素3、对合规风险点进行定性、定量评价（四）合规风险管理指标体系1、“行为”不确定性指标2、“行为”影响程度指标3、“规”的等级指标4、“行为”、“结果”与“规”的关联性指标5、分类整理预警指标、确定监控要点（五）信息系统至少实现下列目标：1、操作简单；2、合规风险点清晰可辨；3、不是一个简单的静态数据库，而是一个融合合规风险管理流程的动态管理系统；4、固化定性分析结论，获得基础数据后生成定量分析结论；5、固化解决方案，并实现同步调用；6、数据共享；7、自动预警与解除警报；8、自动采集、整理合规风险管理轨迹。

正文一、合规风险管理的范围理论中对合规风险管理的范围有两种认识：大合规与小合规。

大合规一般是指，与企业相关的所有行为均纳入到合规风险管理之中，包括业务方面的、管理方面的，具体涉及营销、承保、核保、理赔、财务管理、人力资源管理等全部活动。

小合规一般是指，制度建设与修订、审核，规范性文书的起草、修订、审核，合规政策的咨询与解答，争议案件的受理与处理等。

从保监会及中国人寿等保险公司的要求和实践做法来看，合规部门都在追求大合规，但目前的实践基本都局限在小合规的范围内。

确定合规风险管理范围可按下列不同阶段的目标分别设定：（一）以企业全部经营管理活动中涉及的合规风险作为管理范围的远期目标（二）以保监会【2007】91号文第24条确定的范围为合规风险管理的中期目标（三）以“小合规”与经营管理活动中普遍存在或突出的合规风险为首期管理目标。

为了尽量满足监管机关和中国人寿合规部门的要求与愿望，以大合规为目标，但从小合规或者大合规中明显存在较多问题的环节入手，以点带面，逐步展开。

包括：1、审查、审核业务中的合规风险管理。

主要是文书审查中的合规风险管理；2、咨询业务中的合规风险管理；3、建议业务中的合规风险管理。

主要包括参与业务部门新产品开发或者主动发现合规风险点后向其他部门提出建议过程中的合规风险管理；4、具体经营管理活动中比较突出或普遍存在的风险点的合规风险管理。

查阅或汇总公司以往一个时期内普遍存在或者比较突出的风险点，进行重点管理。

相关资料可以参考法律与合规部历史资料，也可以向审计部门、内控部门征询意见。

这种方案有如下好处：1、大合规是监管机关的要求，也是企业合规管理部门的需要；2、大合规思路更易为企业领导接受；3、大合规需要渗透到企业经营、管理的各个环节，能够凸显合规风险管理的价值（能够显现价值将有利于企业认可，也可以使我们获得更高的报酬预期）；4、大合规内容太多，眉毛胡子一把抓不是好办法，也难以作出精品，故以大合规为目标，以小合规为突破口，当然可以将部分或个别大合规中已经或容易发生问题的环节融入进去，重点突破。

二、合规风险管理与全面风险管理的边界（一）合规风险管理是全面风险管理的组成部分，合规风险管理仅侧重于公司、员工的行为是否合规方面（二）合规风险管理与全面风险管理在架构形式、管理目标等方面保持一致。

在管理方法上，既借鉴全面风险管理的一致方法，又突出合规风险管理的特别性全面风险管理的基本方法概括为：目标与流程的组合，这种方法论在合规风险管理中可以借鉴。

合规风险管理又具有其特殊性，如：历史数据普遍不全；通常很少采用定量分析；通常很少建立指标体系等。

这些问题都需要进行特别考虑。

（三）合规风险管理的职能部门为法律与合规部。

三、合规风险管理监督预警体系的内容（一）梳理、理顺“规”与“行为”合规，指行为与规范是否一致。

两个核心要素：“行为”与“规”。

合规风险不仅需要考虑“行为”与“规”两个要素，还需要进一步考量二者之间的逻辑关系，以及这种逻辑关系对企业预期经营目标可能会产生的影响及其程度。

1、梳理、理顺“规”“规”，应采广义之义，即：法律、行政法规、监管规范、行业自律性规范、内部制度及道德准则。

当然还包括有中国特色的解释。

并非所有的“规”均与中国人寿相关，需进行甄别和筛选。

“规”有等级，效力不同。

“规”有善恶之分，需辨识。

“规”会变。

“规”会有漏洞或瑕疵。

2、梳理、理顺“行为”“行为”包括两类：公司行为与个人行为。

“行为”有普遍行为，还有个别行为。

“行为”有规范行为，还有领导授意行为。

“行为”会因不同职级有所区别。

外部公司的“行为”对本公司有借鉴和参考价值。

首期按照第一部分（三）梳理、理顺，中期按照第一部分（二）梳理、理顺，后期按照第一部分（一）梳理、理顺。

3、梳理、理顺“规”与“行为”不一致的点。

“行为”对“规”的偏离可能形成合规风险。

“行为”对“规”的偏离不当然必须进行管理，只有那些达到风险条件的不合规“行为”才是管理的点。

达到不合规条件的“行为”包括：1）可能遭受法律制裁的“行为”；2）可能遭受监管机关处罚的“行为”；3）为公司成文制度明确禁止或者严格限制的“行为”（虽然保监会颁布实施的《合规风险管理指引》并未列示该类行为，但不可否认，该类行为同样应当纳入中国人寿的合规风险管理）；4）可能给公司造成经济损失的“行为”；5）可能给公司声誉带来负面影响的“行为”。

上列5项的逻辑关系为：第2）、3）、4）、5）项独立，第1）项在适用于个人时需同时符合其他各项中的至少一项方可成立，即只有当个人的行为可能对公司产生影响时，该行为纳入合规风险管理之中，否则不是合规风险管理应该管理的“行为”。

例如：个人驾驶汽车不慎构成交通肇事罪而遭受国家法律制裁的，该行为不应纳入合规风险管理。

“行为”应该具体，而不应该模糊。

例如：“误导客户”行为属于模糊行为，应当进一步梳理、理顺到具体的行为，如：“未向客户说明没有如实告知历史疾病对保险合同效力的影响”等。

（二）合规风险库建设1、数据来源为了减少数据收集可能给其他部门或分子公司增加的工作量，可有针对性的从以下渠道收集部分历史数据以便共享：1）一定时期内各分子公司上报的合规风险报告；2）一定时期内法律与合规部例行检查中获得的历史数据；3）一定时期内审计、内控部门监督、检查中获得的历史数据；4）一定时期内监管机关，特别是行业监管机关公布的合规风险数据；5）一定时期内行业协会公布的合规风险数据；6）一定时期内其他同业公司发生或公布的合规风险数据。

2、分类与定义对收集后的数据按照一定的规则进行分类，并分别进行定义，从而保证认识上的一致性。

3、编码与排序按照一致的规则对收集到的合规风险类别、风险点、行为要素等进行编码，方便识别和管理，并按一定的规则进行排序，便于统计和分析。

（三）合规风险评估1、识别合规风险，确定风险性质按照合规风险的定义和特征进行识别，确定是否构成合规风险，以及确定该风险属于何等性质的合规风险，违法违规类？违约类？侵权类？怠于行使权利类？等。

2、分析合规风险点的构成要素每个风险点都会有其特有的要素，需认真甄别。

例如：“未向客户说明没有如实告知历史疾病对保险合同效力的影响”这个风险点中，深入分析该风险点的构成要素至少包括：1）保险代理人未向投保人或保险受益人说明应当如实申报历史疾病；2）需要申报的历史疾病种类或者病症；3）申报的时间、方式等。

3、对合规风险点进行定性、定量评价定性评价是利用专家的知识、经验和判断通过一定的表决方式进行评审和比较的评价方法。

定性评价强调观察、分析、归纳与描述，主要凭分析者的直觉、经验，凭分析对象过去和现在的延续状况及最新的信息资料，对分析对象的性质、特点、发展变化规律作出判断。

在合规风险管理中，某个行为是否违规、表现形式、严重程度等都可以通过内部或外部专业人员进行讨论并形成认识，这种方法也就是定性分析法。

定量评价是采用数学的方法，收集和处理数据资料，对评价对象进行描述并做出定量结果的价值判断。

定量评价强调数量计算，以数据为基础，依据统计数据，建立数学模型，并用数学模型计算出分析对象的各项指标及其数值，数据的多寡、是否完整等都将对定量评价结果产生影响。

定量评价具有客观化、标准化、精确化、量化、简便化等鲜明的特征。

在合规风险管理中，对某个行为在一定条件下发生的频率等数据进行定量分析后可以得出该行为发生的概率，这种方法就是定量分析法。

定性分析与定量分析应该是统一的，相互补充的；; 定性分析是定量分析的基本前提，没有定性的定量是一种盲目的、毫无价值的定量；定量分析使之定性更加科学、准确，它可以促使定性分析得出广泛而深入的结论。

定性是定量的依据，定量是定性的具体化，二者结合起来灵活运用才能取得最佳效果。

传统合规风险管理中，基本都使用定性评价，很少使用定量评价。

要建立合规风险管理指标则必须结合使用定量分析方法。

具体定量分析见指标体系部分。

（四）合规风险管理指标体系1、“行为”不确定性指标。

基本模型：对整个公司合规风险管理而言，每个员工的“行为”都处于不确定状态，每个员工不确定的“行为”导致公司“行为”处于不确定状态。

但对每个员工而言，其“行为”不存在不确定状态，员工的“行为”是确定的，“为”或者“不为”均受其意志支配，不同的价值取向对员工意志会产生影响，认识上的差距、公司的态度等也会影响员工的判断。

基于上述，分别确定如下指标：1）公司“行为”的不确定性指标。

公司行为不确定指标受员工“行为”影响，一个或者部分员工不确定的“行为”可能导致公司“行为”的不确定。

公式表示为：∑==nn i Xn i X 1)]()...(1[性公司“行为”的不确定式中i 为该员工的权重2）员工“行为”的不确定性指标。

确定员工“行为”的不确定性指标必须从两个维度进行：从员工角度考量，其“行为”处于确定状态，不存在不确定性；但从公司角度考虑，则其“行为”存在不确定性。

员工“不同的价值取向”、“认识上的差距”、“公司的态度”等个别因素会影响其确定的“行为。