淺析保險業(yè)分支機構(gòu)信息化建設(shè)

申請免費試用、咨詢電話：400-8352-114

近年來，隨著保險業(yè)信息化建設(shè)投入的不斷加大，保險分支機構(gòu)信息化建設(shè)水平和規(guī)范度正逐漸成為一塊“短板”，亟須引起高度重視，并切實加以提高。　　

保險分支機構(gòu)信息化　建設(shè)中易產(chǎn)生的四類風(fēng)險

（一）業(yè)務(wù)、財務(wù)系統(tǒng)對接不規(guī)范

業(yè)務(wù)、財務(wù)等信息系統(tǒng)實現(xiàn)無縫對接是保險業(yè)信息化建設(shè)的主要目標(biāo)和基本要求，從目前保險分支機構(gòu)信息化建設(shè)現(xiàn)狀來看，可能存在三類系統(tǒng)對接缺陷：

一是部分對接。個別保險機構(gòu)新信息系統(tǒng)上線后，新老系統(tǒng)切換脫節(jié)，下轄部分分支機構(gòu)仍沿用老系統(tǒng)，且數(shù)據(jù)存放本地，無法與公司財務(wù)系統(tǒng)進行數(shù)據(jù)對接，形成“信息孤島”，容易滋生違規(guī)操作、數(shù)據(jù)不真實等行為。二是對接科目不鎖定。個別保險公司的信息系統(tǒng)雖實現(xiàn)業(yè)務(wù)、財務(wù)系統(tǒng)自動對接，但未鎖定“保費收入”、“賠款支出”、“未決賠款準(zhǔn)備金”等重要科目，允許分支機構(gòu)財務(wù)人員以手工憑證方式干預(yù)對接結(jié)果，且未執(zhí)行嚴(yán)格的審批流程，使數(shù)據(jù)真實性缺乏保障。三是對接不及時。個別分支機構(gòu)業(yè)務(wù)與財務(wù)系統(tǒng)對接間隔超過1天，還有個別機構(gòu)對接時間不固定，隨意性較大，制約了財務(wù)數(shù)據(jù)的時效性。

（二）部分經(jīng)營信息未納入核心系統(tǒng)管理

保險公司核心業(yè)務(wù)系統(tǒng)功能強大、覆蓋全面。但分支機構(gòu)層面常將重要信息游離于核心系統(tǒng)之外。

一是關(guān)鍵業(yè)務(wù)信息不記錄。以手續(xù)費為例，個別分支機構(gòu)未將手續(xù)費信息在系統(tǒng)內(nèi)做完整記錄，仍依靠手工臺賬管理。由于缺乏與核心業(yè)務(wù)系統(tǒng)的信息關(guān)聯(lián)，手續(xù)費科目數(shù)據(jù)的真實性難以保障，渠道成本難以真實測算。二是客戶信息不完備?？蛻粜畔浫氩煌陚淇赡艹霈F(xiàn)在團險業(yè)務(wù)和銀保業(yè)務(wù)中。以團體意外險為例，個別分支機構(gòu)在承保環(huán)節(jié)僅錄入團單號，投保人詳細信息和身份標(biāo)識不錄入系統(tǒng)，而以紙質(zhì)清單方式加以保存，不利于保全、理賠等后續(xù)服務(wù)的開展。三是內(nèi)控信息不完備。在目前發(fā)展較快的銀保業(yè)務(wù)中，少數(shù)分支機構(gòu)將重要空白單證管理交由銀行方負責(zé)，單證的使用情況不錄入銀保通系統(tǒng)，只在單證管理系統(tǒng)作領(lǐng)用登記，可能導(dǎo)致這部分空白單證的基礎(chǔ)管理信息游離于公司單證管理體系之外。

（三）保險分支機構(gòu)系統(tǒng)管理較薄弱

強化系統(tǒng)管理、規(guī)范系統(tǒng)使用行為是發(fā)揮信息系統(tǒng)功能的重要保證。保險分支機構(gòu)具備一定的系統(tǒng)管理職能，但管理相對薄弱。

一是業(yè)務(wù)系統(tǒng)權(quán)限管理存在疏漏。省級的分支機構(gòu)往往具備一定的系統(tǒng)管理或特殊功能權(quán)限。個別省級分支機構(gòu)曾在考核期臨近時，將賠案注銷權(quán)下放至基層機構(gòu)，容易滋生賠案集中注銷等行為；個別分支機構(gòu)不按規(guī)定使用修改起保日期權(quán)限，使該權(quán)限成為違規(guī)降費的手段，產(chǎn)生一批“生日單”。二是財務(wù)系統(tǒng)管理不嚴(yán)密。少數(shù)分支機構(gòu)擅自更改重要科目的會計處理方法。個別分支機構(gòu)上半年分別采取不同未決賠款準(zhǔn)備金計算方法；還有的機構(gòu)隱瞞應(yīng)收保費賬齡信息，在系統(tǒng)中調(diào)節(jié)壞賬準(zhǔn)備金的比例參數(shù)，以修飾財務(wù)指標(biāo)。三是系統(tǒng)重要功能管理不嚴(yán)。大多數(shù)保險公司單證系統(tǒng)具有“手工核銷”功能，允許特殊情況下手工銷號已發(fā)放的空白單證。個別分支機構(gòu)使用該功能進行“平賬”操作，使單證實際使用情況無法在系統(tǒng)中得到準(zhǔn)確反映。四是測試系統(tǒng)使用待規(guī)范。絕大部分公司均具備測試環(huán)境，供員工培訓(xùn)和新機構(gòu)開業(yè)驗收使用。個別分支機構(gòu)利用測試系統(tǒng)管理的疏漏，進行“鴛鴦保單”等違規(guī)行為。

（四）保險分支機構(gòu)信息安全保障不到位

一是網(wǎng)絡(luò)安全薄弱。目前，VPN連接方式(借助互聯(lián)網(wǎng)訪問內(nèi)部網(wǎng))在保險分支機構(gòu)層面得到廣泛應(yīng)用。個別機構(gòu)僅采用簡單的用戶名、密碼方式進行訪問驗證;還有個別分支機構(gòu)連接了銀行、行業(yè)協(xié)會等外部網(wǎng)絡(luò),但未部署防火墻或入侵檢測設(shè)備,使公司核心業(yè)務(wù)網(wǎng)絡(luò)缺乏有效防護。二是賬號安全薄弱。個別分支機構(gòu)疏于系統(tǒng)賬號管理。一些離司、離職員工的賬號仍在核心業(yè)務(wù)系統(tǒng)或財務(wù)系統(tǒng)中保留，少數(shù)賬號尚處可使用狀況，形成一定的安全隱患。三是軟件安全薄弱。有的保險公司只負責(zé)業(yè)務(wù)系統(tǒng)和OA系統(tǒng)的部署，而將辦公軟件和殺毒軟件交由分支機構(gòu)自己解決，分支機構(gòu)出于費用考慮，往往使用一些不受版權(quán)保護的軟件產(chǎn)品，不但安全性、兼容性差，也易遭遇版權(quán)糾紛。

分支機構(gòu)信息化　建設(shè)風(fēng)險特征

分析當(dāng)前保險分支機構(gòu)信息化建設(shè)中存在的風(fēng)險隱患，存在三個方面的明顯特征。

（一）危害性大

和單筆違規(guī)業(yè)務(wù)相比，信息系統(tǒng)風(fēng)險危害程度更大。由于公司內(nèi)部風(fēng)險管控、相關(guān)監(jiān)管規(guī)定在系統(tǒng)設(shè)置和管理中得不到有效固化，由信息系統(tǒng)問題派生的潛在違規(guī)風(fēng)險隨時可能較大面積發(fā)生。特別是一些保險機構(gòu)有意無意地利用信息系統(tǒng)漏洞反復(fù)進行違規(guī)操作，涉及數(shù)量和金額往往較大。信息系統(tǒng)風(fēng)險還與數(shù)據(jù)真實性和損害投保人利益等問題直接相關(guān)，如干預(yù)業(yè)務(wù)記錄、操縱財務(wù)數(shù)據(jù)、客戶信息不真實等行為，不但影響公司正常經(jīng)營決策，對市場秩序和內(nèi)控建設(shè)均產(chǎn)生不利影響。

（二）隱蔽性強

與一般風(fēng)險相比，信息系統(tǒng)風(fēng)險不易識別和診斷。為逃避監(jiān)管，個別保險機構(gòu)可能利用系統(tǒng)權(quán)限或設(shè)置漏洞，直接修改后臺數(shù)據(jù)或更改程序設(shè)置，造成發(fā)現(xiàn)和識別困難。在現(xiàn)場檢查中，監(jiān)管部門往往更關(guān)注具體市場行為合規(guī)性和業(yè)務(wù)財務(wù)數(shù)據(jù)真實性，對系統(tǒng)設(shè)置和管理情況涉及較少；加之在數(shù)據(jù)大集中背景下，系統(tǒng)建設(shè)主要由總公司信息部門完成，核心數(shù)據(jù)基本實現(xiàn)統(tǒng)一存放，也增大了監(jiān)管部門發(fā)現(xiàn)和識別信息系統(tǒng)風(fēng)險的難度。

（三）涉及面廣

信息系統(tǒng)建設(shè)具有網(wǎng)絡(luò)化、集中化、外包化特點，決定了信息系統(tǒng)風(fēng)險的涉及面可能更廣。從范圍來看，個別省級分公司出現(xiàn)的系統(tǒng)設(shè)置問題，往往意味著該公司全系統(tǒng)均存在類似問題；由于一些保險公司信息系統(tǒng)建設(shè)同質(zhì)化嚴(yán)重，同一類問題甚至可能在多家保險公司信息系統(tǒng)中出現(xiàn)。從時間來看，一些公司信息系統(tǒng)問題由于在開發(fā)之初就已固化，造成此類風(fēng)險長期存在，并得不到糾正，由此可能影響長時間、大面積的業(yè)務(wù)合規(guī)性和數(shù)據(jù)真實性。

分支機構(gòu)信息　建設(shè)風(fēng)險成因

保險分支機構(gòu)信息化建設(shè)風(fēng)險產(chǎn)生的主要原因，在于各保險公司在信息化建設(shè)中重視系統(tǒng)建設(shè)，忽視管理規(guī)范，表現(xiàn)為以下三點：

一是基礎(chǔ)管理跟不上。很多公司在信息化建設(shè)時“重業(yè)務(wù)需求、輕內(nèi)控要求，重開發(fā)應(yīng)用、輕管理使用”，如一段時間以來，保險公司熱衷于業(yè)務(wù)財務(wù)系統(tǒng)的升級改造，不惜以高昂的代價引進SAP等高端軟件，但缺乏對業(yè)務(wù)流程再造后相關(guān)基礎(chǔ)管理的跟進。培訓(xùn)工作、制度建設(shè)工作、管理監(jiān)控工作等滯后于系統(tǒng)建設(shè)。二是制度約束向業(yè)務(wù)“妥協(xié)”，面對激烈的市場環(huán)境和生存壓力，個別保險公司在信息系統(tǒng)設(shè)置和管理上迎合基層機構(gòu)展業(yè)需要，有意無意地弱化信息手段的約束功能，為分支機構(gòu)提供業(yè)務(wù)經(jīng)營提供“靈活性”。三是內(nèi)部監(jiān)督角色缺位，保險公司IT部門僅定位于系統(tǒng)維護，不承擔(dān)系統(tǒng)審計職能，而一些公司內(nèi)審部門又不具備在信息化背景下開展審計的能力。因此，保險公司內(nèi)部往往缺乏專職部門結(jié)合系統(tǒng)管理和內(nèi)控管理的要求，對分支機構(gòu)的信息系統(tǒng)使用行為進行監(jiān)督和審查。

對策建議

保險分支機構(gòu)作為信息系統(tǒng)的使用者，受制于管理能力和技術(shù)手段，對存在的風(fēng)險很難依靠自身化解，必須從內(nèi)部監(jiān)管和外部監(jiān)管兩方面加以解決：

（一）建立IT審計制度

信息化建設(shè)在分支機構(gòu)表現(xiàn)的風(fēng)險，實際是保險業(yè)信息化建設(shè)不規(guī)范、管理不嚴(yán)密的縮影。國外的經(jīng)驗表明，信息化建設(shè)規(guī)模越大，功能越復(fù)雜，其風(fēng)險也越大。當(dāng)前，保險業(yè)已全面進入信息化時代，建立IT審計制度應(yīng)成為各公司內(nèi)控建設(shè)的當(dāng)務(wù)之急，通過IT審計切實查找信息化建設(shè)和業(yè)務(wù)流程中存在的風(fēng)險點和薄弱環(huán)節(jié)，以系統(tǒng)改造和制度規(guī)范的方式加以防范。

（二）加強行業(yè)信息化建設(shè)監(jiān)管

信息化建設(shè)是當(dāng)前保險業(yè)改革發(fā)展的重要特征，監(jiān)管部門應(yīng)強化引導(dǎo)和規(guī)范。一方面，加強標(biāo)準(zhǔn)制訂工作，從軟硬件配置、系統(tǒng)功能實現(xiàn)、系統(tǒng)對接和互連、系統(tǒng)可稽核性等方面對行業(yè)信息化建設(shè)提出明確要求，保障行業(yè)信息化應(yīng)用水平。另一方面，應(yīng)加大稽核檢查力度，對利用系統(tǒng)漏洞違規(guī)經(jīng)營、擅自篡改系統(tǒng)數(shù)據(jù)、濫用權(quán)限干擾數(shù)據(jù)真實性等行為予以嚴(yán)肅查處。

目前，保險業(yè)信息化水平逐步提高，信息手段得到廣泛應(yīng)用，但保險分支機構(gòu)的具體使用情況如何卻少有人關(guān)注。2008年至2009年兩年時間，重慶保監(jiān)局組織專業(yè)人員成立課題組，對分支機構(gòu)信息化應(yīng)用情況進行了深入檢查和調(diào)研，發(fā)現(xiàn)保險分支機構(gòu)在信息系統(tǒng)使用和管理中存在種種不規(guī)范行為，值得引起行業(yè)重視。為此，重慶保監(jiān)局課題組擬寫了此文，總結(jié)了分支機構(gòu)易出現(xiàn)的4類風(fēng)險，并對風(fēng)險特征和成因進行了分析，提出相關(guān)建議。