保险分支机构信息系统风险研究

保险分支机构信息系统风险研究——以江西保险市场为视角

江西保监局统研处课题组

保险业是一个信息化密集型的特殊行业，其赔款的核算、费率的厘定、经营策略的制定等都依赖于信息系统对大量数据的收集整理、汇总分析。保险业对信息化建设的依赖性日益增强，信息化建设水平已成为一项衡量公司经营发展的重要标准。掌握保险公司信息化建设的情况，防范数据失真风险和信息系统运行风险，保证和维护系统数据的真实性、完整性、准确性，成为保险监管部门亟需关注的问题。

一、保险信息系统的发展情况及特点

我国保险业信息系统建设起步于20世纪80年代中期，经过近30年的探索发展，已基本形成比较完善的基于信息系统的管理体系。经验表明，加快信息化建设有利于提升保险经营管理水平，增强风险管控能力，有利于改善保险客户的管理、增强创新能力，有利于降低保险经营成本，走集约化发展的道路。目前，我国保险业正处于由粗放式经营走向集约化发展的重要时期。

（一）信息化建设的未来发展趋势是数据大集中。数据大集中一方面能够对业务进行即时风险管控，精简管理层级，实现了扁平化和网络化管理；另一方面能建立起快速开发产品的渠道和适应市场变化的销售网络，有力地支持公司业务的快速发展。以数据大集中为代表的信息化建设和应用，对保险业快速发展的引领和支撑作用日益显著，也必然成为今后的发展方向。目前，我国大部分保险公司已经实现了数据大集中。

（二）信息化建设是加强内控建设的重要技术保障。信息系统将工作制度、业务流程进行固化,不同岗位的人员被授予不同权限，从而有效地避免了人为干扰，降低了弄虚作假的可能性，保证了制度措施的执行力。通过信息系统决策层能够对业务发展状况、资金流动状况进行动态监控，实现了对经营风险的快速识别。

（三）信息化建设在提升客服能力中作用日益突出。目前保险公司的客服中心已覆盖到各级机构，具有保单查询、报案理赔、投诉处理、客户回访、产品咨询等功能。“见费出单”、“零现金收付”的有效实施得到了信息技术有力的支撑，网上投保、电话销售已成为业务发展的新特色。在未来业务发展和市场竞争中，各公司将通过完善信息化建设拓宽投保、理赔、咨询等渠道，服务也将更加人性化、便捷化。

（四）信息化建设成为提高创新能力的有效手段。保险创新是行业发展的动力和源泉。信息化建设有利于通过海量的经验数据来厘定费率，创新适合需求的保险产品；有利于网络、电话、短信等新型营销渠道，实现了跨行业的合作；有利于业务单证电子化、集中核保核赔及远程审计等。

二、保险分支机构信息系统风险分析

（一）信息系统风险分类及表现形式。保险业信息系统与业务经营的“高度融合”使风险从单一的技术安全领域延伸至经营管理、战略决策、内控建设、社会经济等各个层面。从成因来看，主要分为以下几类：

1.信息安全风险。主要包括：（1）物理安全风险。即由于软硬件设备质量功能缺陷或性能不足，不能保证网络信息系统的正常工作。（2）网络安全风险。即由于受到网络“黑客”或病毒的攻击、入侵，信息系统安全运行出现问题。（3）数据安全风险。即数据信息的真实性、准确性、完整性得不到保障，甚至出现数据被删除、伪造、篡改、丢失等现象。（4）信息基础设施安全风险。即信息基础设施建设没有达到相关规定标准，存在建设质量安全隐患。

从普查的情况看，各公司信息系统建设基本能够满足安全运行的需要，但还存在一些突出问题。一是机房设备较为简陋，配备的UPS功率过小，保障电源运行的时间不到1个小时。二是没有使用加密手段（SSH、HTTPS）提供统一的信息系统安全入口，没有采用身份认证机制对用户进行安全认证管理，没有对网络终端进行MAC地址绑定。三是存在内外网混接、IP地址乱用、不按规定安装防病毒软件、账户口令管理不严等问题。四是机房防火防漏措施不到位，没有监控报警防护系统，有的甚至没有经过消防安全部门验收、没有进行安全测试评估。

2.技术应用风险。该风险的大小决定于所用技术的成熟性、先进性、扩展性以及各组件之间的兼容性等，包括程序设计风险、数据管理风险、系统平台风险、升级兼容风险和外包服务风险等。应用程序设计或脚本编码错误、软硬件支持平台缺陷、数据存控机制失灵、网络通讯配置不合理等都会造成技术应用风险。技术外包安全保护措施不到位、外部技术支持者缺乏应有的保险专业知识、IT业人员高流动性等因素，也会形成外包服务的技术应用风险。

部分公司由于系统设计不完善、功能欠缺产生了不同程度的数据失真情况。一是设定指标时对其定义和取值范围界定不清，导致相关联的数据统计口径不匹配，如意外险手续费远远大于相应保费的情况。二是系统升级后出现新老系统不能完全兼容的情况。如一些继续经营的老险种产生的业务数据仍须在老系统中录入，并通过手工汇总上报总公司而不能进入公司的新系统，而同渠道的新险种则录入在新系统中。三是系统设计缺陷导致违规操作风险。有的公司利用信息资源的不对称进行违规操作。如不严格执行条款费率、对新车采用续保优惠系数、利用系统对接漏洞进行撕单、埋单、违规批退等。

3.制度管理风险。具体包括制度规章缺失风险、制度设计不合理风险、内控执行力风险、组织架构不合理风险等。应注意的是，保险公司通过完善制度管理、加强内控建设可以避免或减少因制度管理缺陷带来的风险隐患。

保险分支机构在制度建设内控管理上还存在许多漏洞或不足。一是数据管理权限下放存在管理失控风险。数据在省级集中的公司，其信息技术人员负责维护和管理包括核心业务系统在内的相关原始数据，总公司一般定期对网络日志记录进行审计。但总公司对网络修改日志记录的审计往往止于形式，没有实际执行。二是制度建设不完善、组织架构不合理可能引发管理混乱。有的公司没有制定适合本级机构的信息化管理制度，岗位职责分工也不明确，如缺少信息安全管理办法、没有信息化安全突发应急预案。有的公司没有设立单独的信息技术部门，而是划归办公室或业管部负责，导致内控执行力减弱，管理出现“两张皮”现象。三是资金投入不足。各公司普遍对信息化建设投入缺少长期规划和制度保障，资金投入较少且偏重于配置硬件，软件升级维护相对薄弱。

4.操作失误风险。操作失误风险是由于人员主观失误而导致反向偏离预期目标的一种工作失误，有别于人为故意修改系统、篡改数据的行为。由于保险业务规模大、时间紧等原因，人员失误性操作可能随时发生于管理和经营活动之中，无法完全避免。此外，单个操作风险与潜在风险损失之间没有清晰的、可以定量界定的数量关系，有的操作失误风险可能会隐藏较长的时间。

操作失误风险主要有两类，一是人为失误操作性风险，二是系统设计不合理风险。前者是由于机构铺设过快，人员数量和素质培训跟不上，内控管理不严，管控措施存在漏洞，导致基础数据存在录入错误。如有的公司入单员只求数量不求质量，保单中的家庭地址、联系方式等保单信息出现多处错误。后者主要是由于业务险种产生的发展变化，原有系统设计进行了固化但没有及时升级造成的录入错误。如在对部分公司统计数据质量核查中发现，由于总公司信息系统程序设计时固化了保费渠道选项，分支机构录入人员只能将农信社代理的小额借款人意外伤害保险保费归属为团险直销，但手续费归属在银邮代理渠道。

上述几类风险是相互联系、相互作用的。如员工操作风险较多的，信息安全风险的可能性就较大；技术应用风险较多的，违规操作风险的可能性就较大；制度管理风险较多的，员工操作风险的可能性就较大。上述风险如果长期得不到重视和解决，就可能引起信息系统的瘫痪或中断、重要数据的丢失或泄露、客户资料的缺失或错误，从而导致投诉、退保甚至是群访群诉事件的发生，引发强烈的社会效应风险，对公司品牌乃至整个行业形象带来无法弥补的损失。

（二）造成核心信息系统风险的成因分析。当今，信息技术不再是单纯的“工具””或“平台”，而是全面渗透于保险业经营管理决策的各个环节，具有一定价值的“资产”，是一种生产力。

1.违规成本与额外收益不对称引发违规行为屡有发生。如有的机构或人员对信息系统进行违规操作，而总公司和监管部门由于技术能力、制度规章、管理水平等方面存在缺陷或不足，不能及时准确查处，违规行为得不到与收益相应的罚责，就会使违规者得到额外的经济效益。久而久之，就会使违规行为演化成一种惯例或“潜规则”。

2.信息系统开发应用技术不成熟使内控管理存在漏洞。如有的公司业务已覆盖到乡镇，但信息化建设跟不上业务发展的需要，保单赔案等重要资料不能及时审核、及时出单，客服理赔服务不能及时跟上。又如单证管理系统没有和核心信息系统实时对接，单证管理存在潜在风险。再如意外险代理经营机构的客户信息、保费赔款等需要手工录入，且没有与核心业务系统对接，使撕单埋单、违规批退等行为形成可能。

3.公司内控管理体系不合理引发财务、业务数据失真。如对保费等目标进行考核时，不要求分险种、分渠道核算，共同费用也不要求进行分摊。分支机构基层工作人员录入保单资料时就可能随意选择险种类别、销售渠道录入，对专属费用、共同费用随意进行分摊，造成财务、业务数据失真。此外，对基层工作人员的培训不到位、绩效考核的不科学，也使相关人员失去了努力维护数据真实性的动力。

4.制度不完善及监管力度薄弱使信息化监管存在一定空白。虽然近几年监管部门陆续出台了一些重要的信息化管理制度，但对实际工作中的监管指导仍有所欠缺。如信息化工作指引、保险机构信息系统安全管理办法等制度尚未出台。此外，由于监管部门对公司信息化安全监管起步晚、投入不足、缺乏统一的保险分支机构信息化安全监管标准，监督检查仍不到位。

三、工作建议

（一）加强监管指导，完善信息系统监管指引。大力推进保险机构信息系统规范化标准的建设，尽快出台保险机构信息系统监管工作指引，推动保险公司加强内控制度执行力，提高信息系统建设的能力和水平；尽快出台保险机构信息系统安全管理办法、保险公司系统安全测评机制、保险信息化内控管理机制等。将信息化风险管理纳入企业内部控制的整体框架，提高对信息系统安全的事前预防、事中管理和事后处置能力。

（二）加强监管检查，提高信息监管效率。加强信息监管检查力度，完善长效监管机制，形成定期的现场检查和专项调研。建立保险机构信息系统监管工作标准，突出监管的重点，加强对保险机构财务、业务数据的真实性监督检查，督促公司完善核心信息系统无缝连接，加快行业基础信息平台建设，防范“三假”、撕单埋单、鸳鸯单、虚列应收、违规套费等违规行为，化解公司治理和经营风险。

（三）加强合规教育，提高依法合规从业意识。将高管人员、信息技术人员、操作人员的合规教育作为一项长期性、制度性工作来抓，深刻认识数据真实性、准确性的重要性，从思想上绷紧“不造假、不调账、不改数”的弦，增强依法合规经营意识，打造一支依法合规、素质全面、精通业务的信息化人才队伍。

（四）加强基础建设，提高管理服务创新能力。坚持信息系统建设与信息安全建设的协调同步发展，引导公司加大人力、物力、财力的投入，合理配置好资源，提升保险机构信息系统管理水平。通过信息化建设促进保险电子商务等新型业务发展，深化信息技术应用，降低经营成本，促进经营现代化和管理精细化，提高数据管理和数据挖掘能力，为科学管理决策提供支撑作用。