您现在的位置是:首页 > 行业 > 金融 >
保险营业部IT建设的四大高发风险
摘要近年来,随着保险业信息化建设投入的不断加大,保险分支机构信息化建设水平和规范度正逐渐成为一块“短板”,亟须引起高度重视,并切实加以提高。 ...
近年来,随着保险业信息化建设投入的不断加大,保险分支机构信息化建设水平和规范度正逐渐成为一块“短板”,亟须引起高度重视,并切实加以提高。
保险分支机构信息化 建设中易产生的四类风险
(一)业务、财务系统对接不规范
业务、财务等信息系统实现无缝对接是保险业信息化建设的主要目标和基本要求,从目前保险分支机构信息化建设现状来看,可能存在三类系统对接缺陷:
一是部分对接。个别保险机构新信息系统上线后,新老系统切换脱节,下辖部分分支机构仍沿用老系统,且数据存放本地,无法与公司财务系统进行数据对接,形成“信息孤岛”,容易滋生违规操作、数据不真实等行为。二是对接科目不锁定。个别保险公司的信息系统虽实现业务、财务系统自动对接,但未锁定“保费收入”、“赔款支出”、“未决赔款准备金”等重要科目,允许分支机构财务人员以手工凭证方式干预对接结果,且未执行严格的审批流程,使数据真实性缺乏保障。三是对接不及时。个别分支机构业务与财务系统对接间隔超过1天,还有个别机构对接时间不固定,随意性较大,制约了财务数据的时效性。
(二)部分经营信息未纳入核心系统管理
保险公司核心业务系统功能强大、覆盖全面。但分支机构层面常将重要信息游离于核心系统之外。
一是关键业务信息不记录。以手续费为例,个别分支机构未将手续费信息在系统内做完整记录,仍依靠手工台账管理。由于缺乏与核心业务系统的信息关联,手续费科目数据的真实性难以保障,渠道成本难以真实测算。二是客户信息不完备。客户信息录入不完备可能出现在团险业务和银保业务中。以团体意外险为例,个别分支机构在承保环节仅录入团单号,投保人详细信息和身份标识不录入系统,而以纸质清单方式加以保存,不利于保全、理赔等后续服务的开展。三是内控信息不完备。在目前发展较快的银保业务中,少数分支机构将重要空白单证管理交由银行方负责,单证的使用情况不录入银保通系统,只在单证管理系统作领用登记,可能导致这部分空白单证的基础管理信息游离于公司单证管理体系之外。
(三)保险分支机构系统管理较薄弱
强化系统管理、规范系统使用行为是发挥信息系统功能的重要保证。保险分支机构具备一定的系统管理职能,但管理相对薄弱。
一是业务系统权限管理存在疏漏。省级的分支机构往往具备一定的系统管理或特殊功能权限。个别省级分支机构曾在考核期临近时,将赔案注销权下放至基层机构,容易滋生赔案集中注销等行为;个别分支机构不按规定使用修改起保日期权限,使该权限成为违规降费的手段,产生一批“生日单”。二是财务系统管理不严密。少数分支机构擅自更改重要科目的会计处理方法。个别分支机构上半年分别采取不同未决赔款准备金计算方法;还有的机构隐瞒应收保费账龄信息,在系统中调节坏账准备金的比例参数,以修饰财务指标。三是系统重要功能管理不严。大多数保险公司单证系统具有“手工核销”功能,允许特殊情况下手工销号已发放的空白单证。个别分支机构使用该功能进行“平账”操作,使单证实际使用情况无法在系统中得到准确反映。四是测试系统使用待规范。绝大部分公司均具备测试环境,供员工培训和新机构开业验收使用。个别分支机构利用测试系统管理的疏漏,进行“鸳鸯保单”等违规行为。
(四)保险分支机构信息安全保障不到位
一是网络安全薄弱。目前,VPN连接方式(借助互联网访问内部网)在保险分支机构层面得到广泛应用。个别机构仅采用简单的用户名、密码方式进行访问验证;还有个别分支机构连接了银行、行业协会等外部网络,但未部署防火墙或入侵检测设备,使公司核心业务网络缺乏有效防护。二是账号安全薄弱。个别分支机构疏于系统账号管理。一些离司、离职员工的账号仍在核心业务系统或财务系统中保留,少数账号尚处可使用状况,形成一定的安全隐患。三是软件安全薄弱。有的保险公司只负责业务系统和OA系统的部署,而将办公软件和杀毒软件交由分支机构自己解决,分支机构出于费用考虑,往往使用一些不受版权保护的软件产品,不但安全性、兼容性差,也易遭遇版权纠纷。
分支机构信息化 建设风险特征
分析当前保险分支机构信息化建设中存在的风险隐患,存在三个方面的明显特征。
(一)危害性大
和单笔违规业务相比,信息系统风险危害程度更大。由于公司内部风险管控、相关监管规定在系统设置和管理中得不到有效固化,由信息系统问题派生的潜在违规风险随时可能较大面积发生。特别是一些保险机构有意无意地利用信息系统漏洞反复进行违规操作,涉及数量和金额往往较大。信息系统风险还与数据真实性和损害投保人利益等问题直接相关,如干预业务记录、操纵财务数据、客户信息不真实等行为,不但影响公司正常经营决策,对市场秩序和内控建设均产生不利影响。
(二)隐蔽性强
与一般风险相比,信息系统风险不易识别和诊断。为逃避监管,个别保险机构可能利用系统权限或设置漏洞,直接修改后台数据或更改程序设置,造成发现和识别困难。在现场检查中,监管部门往往更关注具体市场行为合规性和业务财务数据真实性,对系统设置和管理情况涉及较少;加之在数据大集中背景下,系统建设主要由总公司信息部门完成,核心数据基本实现统一存放,也增大了监管部门发现和识别信息系统风险的难度。
(三)涉及面广
信息系统建设具有网络化、集中化、外包化特点,决定了信息系统风险的涉及面可能更广。从范围来看,个别省级分公司出现的系统设置问题,往往意味着该公司全系统均存在类似问题;由于一些保险公司信息系统建设同质化严重,同一类问题甚至可能在多家保险公司信息系统中出现。从时间来看,一些公司信息系统问题由于在开发之初就已固化,造成此类风险长期存在,并得不到纠正,由此可能影响长时间、大面积的业务合规性和数据真实性。
分支机构信息 建设风险成因
保险分支机构信息化建设风险产生的主要原因,在于各保险公司在信息化建设中重视系统建设,忽视管理规范,表现为以下三点:
一是基础管理跟不上。很多公司在信息化建设时“重业务需求、轻内控要求,重开发应用、轻管理使用”,如一段时间以来,保险公司热衷于业务财务系统的升级改造,不惜以高昂的代价引进SAP等高端软件,但缺乏对业务流程再造后相关基础管理的跟进。培训工作、制度建设工作、管理监控工作等滞后于系统建设。二是制度约束向业务“妥协”,面对激烈的市场环境和生存压力,个别保险公司在信息系统设置和管理上迎合基层机构展业需要,有意无意地弱化信息手段的约束功能,为分支机构提供业务经营提供“灵活性”。三是内部监督角色缺位,保险公司IT部门仅定位于系统维护,不承担系统审计职能,而一些公司内审部门又不具备在信息化背景下开展审计的能力。因此,保险公司内部往往缺乏专职部门结合系统管理和内控管理的要求,对分支机构的信息系统使用行为进行监督和审查。
对策建议
保险分支机构作为信息系统的使用者,受制于管理能力和技术手段,对存在的风险很难依靠自身化解,必须从内部监管和外部监管两方面加以解决:
(一)建立IT审计制度
信息化建设在分支机构表现的风险,实际是保险业信息化建设不规范、管理不严密的缩影。国外的经验表明,信息化建设规模越大,功能越复杂,其风险也越大。当前,保险业已全面进入信息化时代,建立IT审计制度应成为各公司内控建设的当务之急,通过IT审计切实查找信息化建设和业务流程中存在的风险点和薄弱环节,以系统改造和制度规范的方式加以防范。
(二)加强行业信息化建设监管
信息化建设是当前保险业改革发展的重要特征,监管部门应强化引导和规范。一方面,加强标准制订工作,从软硬件配置、系统功能实现、系统对接和互连、系统可稽核性等方面对行业信息化建设提出明确要求,保障行业信息化应用水平。另一方面,应加大稽核检查力度,对利用系统漏洞违规经营、擅自篡改系统数据、滥用权限干扰数据真实性等行为予以严肃查处。
目前,保险业信息化水平逐步提高,信息手段得到广泛应用,但保险分支机构的具体使用情况如何却少有人关注。2008年至2009年两年时间,重庆保监局组织专业人员成立课题组,对分支机构信息化应用情况进行了深入检查和调研,发现保险分支机构在信息系统使用和管理中存在种种不规范行为,值得引起行业重视。为此,重庆保监局课题组拟写了此文,总结了分支机构易出现的4类风险,并对风险特征和成因进行了分析,提出相关建议。
(本文不涉密)
责任编辑: