淺析保險業(yè)分支機構信息化建設

申請免費試用、咨詢電話：400-8352-114

近年來，隨著保險業(yè)信息化建設投入的不斷加大，保險分支機構信息化建設水平和規(guī)范度正逐漸成為一塊“短板”，亟須引起高度重視，并切實加以提高?！　?/P>

保險分支機構信息化　建設中易產(chǎn)生的四類風險

（一）業(yè)務、財務系統(tǒng)對接不規(guī)范

業(yè)務、財務等信息系統(tǒng)實現(xiàn)無縫對接是保險業(yè)信息化建設的主要目標和基本要求，從目前保險分支機構信息化建設現(xiàn)狀來看，可能存在三類系統(tǒng)對接缺陷：

一是部分對接。個別保險機構新信息系統(tǒng)上線后，新老系統(tǒng)切換脫節(jié)，下轄部分分支機構仍沿用老系統(tǒng)，且數(shù)據(jù)存放本地，無法與公司財務系統(tǒng)進行數(shù)據(jù)對接，形成“信息孤島”，容易滋生違規(guī)操作、數(shù)據(jù)不真實等行為。二是對接科目不鎖定。個別保險公司的信息系統(tǒng)雖實現(xiàn)業(yè)務、財務系統(tǒng)自動對接，但未鎖定“保費收入”、“賠款支出”、“未決賠款準備金”等重要科目，允許分支機構財務人員以手工憑證方式干預對接結果，且未執(zhí)行嚴格的審批流程，使數(shù)據(jù)真實性缺乏保障。三是對接不及時。個別分支機構業(yè)務與財務系統(tǒng)對接間隔超過1天，還有個別機構對接時間不固定，隨意性較大，制約了財務數(shù)據(jù)的時效性。

（二）部分經(jīng)營信息未納入核心系統(tǒng)管理

保險公司核心業(yè)務系統(tǒng)功能強大、覆蓋全面。但分支機構層面常將重要信息游離于核心系統(tǒng)之外。

一是關鍵業(yè)務信息不記錄。以手續(xù)費為例，個別分支機構未將手續(xù)費信息在系統(tǒng)內(nèi)做完整記錄，仍依靠手工臺賬管理。由于缺乏與核心業(yè)務系統(tǒng)的信息關聯(lián)，手續(xù)費科目數(shù)據(jù)的真實性難以保障，渠道成本難以真實測算。二是客戶信息不完備?？蛻粜畔浫氩煌陚淇赡艹霈F(xiàn)在團險業(yè)務和銀保業(yè)務中。以團體意外險為例，個別分支機構在承保環(huán)節(jié)僅錄入團單號，投保人詳細信息和身份標識不錄入系統(tǒng)，而以紙質(zhì)清單方式加以保存，不利于保全、理賠等后續(xù)服務的開展。三是內(nèi)控信息不完備。在目前發(fā)展較快的銀保業(yè)務中，少數(shù)分支機構將重要空白單證管理交由銀行方負責，單證的使用情況不錄入銀保通系統(tǒng)，只在單證管理系統(tǒng)作領用登記，可能導致這部分空白單證的基礎管理信息游離于公司單證管理體系之外。

（三）保險分支機構系統(tǒng)管理較薄弱

強化系統(tǒng)管理、規(guī)范系統(tǒng)使用行為是發(fā)揮信息系統(tǒng)功能的重要保證。保險分支機構具備一定的系統(tǒng)管理職能，但管理相對薄弱。

一是業(yè)務系統(tǒng)權限管理存在疏漏。省級的分支機構往往具備一定的系統(tǒng)管理或特殊功能權限。個別省級分支機構曾在考核期臨近時，將賠案注銷權下放至基層機構，容易滋生賠案集中注銷等行為；個別分支機構不按規(guī)定使用修改起保日期權限，使該權限成為違規(guī)降費的手段，產(chǎn)生一批“生日單”。二是財務系統(tǒng)管理不嚴密。少數(shù)分支機構擅自更改重要科目的會計處理方法。個別分支機構上半年分別采取不同未決賠款準備金計算方法；還有的機構隱瞞應收保費賬齡信息，在系統(tǒng)中調(diào)節(jié)壞賬準備金的比例參數(shù)，以修飾財務指標。三是系統(tǒng)重要功能管理不嚴。大多數(shù)保險公司單證系統(tǒng)具有“手工核銷”功能，允許特殊情況下手工銷號已發(fā)放的空白單證。個別分支機構使用該功能進行“平賬”操作，使單證實際使用情況無法在系統(tǒng)中得到準確反映。四是測試系統(tǒng)使用待規(guī)范。絕大部分公司均具備測試環(huán)境，供員工培訓和新機構開業(yè)驗收使用。個別分支機構利用測試系統(tǒng)管理的疏漏，進行“鴛鴦保單”等違規(guī)行為。

（四）保險分支機構信息安全保障不到位

一是網(wǎng)絡安全薄弱。目前，VPN連接方式(借助互聯(lián)網(wǎng)訪問內(nèi)部網(wǎng))在保險分支機構層面得到廣泛應用。個別機構僅采用簡單的用戶名、密碼方式進行訪問驗證;還有個別分支機構連接了銀行、行業(yè)協(xié)會等外部網(wǎng)絡,但未部署防火墻或入侵檢測設備,使公司核心業(yè)務網(wǎng)絡缺乏有效防護。二是賬號安全薄弱。個別分支機構疏于系統(tǒng)賬號管理。一些離司、離職員工的賬號仍在核心業(yè)務系統(tǒng)或財務系統(tǒng)中保留，少數(shù)賬號尚處可使用狀況，形成一定的安全隱患。三是軟件安全薄弱。有的保險公司只負責業(yè)務系統(tǒng)和OA系統(tǒng)的部署，而將辦公軟件和殺毒軟件交由分支機構自己解決，分支機構出于費用考慮，往往使用一些不受版權保護的軟件產(chǎn)品，不但安全性、兼容性差，也易遭遇版權糾紛。

分支機構信息化　建設風險特征

分析當前保險分支機構信息化建設中存在的風險隱患，存在三個方面的明顯特征。

（一）危害性大

和單筆違規(guī)業(yè)務相比，信息系統(tǒng)風險危害程度更大。由于公司內(nèi)部風險管控、相關監(jiān)管規(guī)定在系統(tǒng)設置和管理中得不到有效固化，由信息系統(tǒng)問題派生的潛在違規(guī)風險隨時可能較大面積發(fā)生。特別是一些保險機構有意無意地利用信息系統(tǒng)漏洞反復進行違規(guī)操作，涉及數(shù)量和金額往往較大。信息系統(tǒng)風險還與數(shù)據(jù)真實性和損害投保人利益等問題直接相關，如干預業(yè)務記錄、操縱財務數(shù)據(jù)、客戶信息不真實等行為，不但影響公司正常經(jīng)營決策，對市場秩序和內(nèi)控建設均產(chǎn)生不利影響。

（二）隱蔽性強

與一般風險相比，信息系統(tǒng)風險不易識別和診斷。為逃避監(jiān)管，個別保險機構可能利用系統(tǒng)權限或設置漏洞，直接修改后臺數(shù)據(jù)或更改程序設置，造成發(fā)現(xiàn)和識別困難。在現(xiàn)場檢查中，監(jiān)管部門往往更關注具體市場行為合規(guī)性和業(yè)務財務數(shù)據(jù)真實性，對系統(tǒng)設置和管理情況涉及較少；加之在數(shù)據(jù)大集中背景下，系統(tǒng)建設主要由總公司信息部門完成，核心數(shù)據(jù)基本實現(xiàn)統(tǒng)一存放，也增大了監(jiān)管部門發(fā)現(xiàn)和識別信息系統(tǒng)風險的難度。

（三）涉及面廣

信息系統(tǒng)建設具有網(wǎng)絡化、集中化、外包化特點，決定了信息系統(tǒng)風險的涉及面可能更廣。從范圍來看，個別省級分公司出現(xiàn)的系統(tǒng)設置問題，往往意味著該公司全系統(tǒng)均存在類似問題；由于一些保險公司信息系統(tǒng)建設同質(zhì)化嚴重，同一類問題甚至可能在多家保險公司信息系統(tǒng)中出現(xiàn)。從時間來看，一些公司信息系統(tǒng)問題由于在開發(fā)之初就已固化，造成此類風險長期存在，并得不到糾正，由此可能影響長時間、大面積的業(yè)務合規(guī)性和數(shù)據(jù)真實性。

分支機構信息　建設風險成因

保險分支機構信息化建設風險產(chǎn)生的主要原因，在于各保險公司在信息化建設中重視系統(tǒng)建設，忽視管理規(guī)范，表現(xiàn)為以下三點：

一是基礎管理跟不上。很多公司在信息化建設時“重業(yè)務需求、輕內(nèi)控要求，重開發(fā)應用、輕管理使用”，如一段時間以來，保險公司熱衷于業(yè)務財務系統(tǒng)的升級改造，不惜以高昂的代價引進SAP等高端軟件，但缺乏對業(yè)務流程再造后相關基礎管理的跟進。培訓工作、制度建設工作、管理監(jiān)控工作等滯后于系統(tǒng)建設。二是制度約束向業(yè)務“妥協(xié)”，面對激烈的市場環(huán)境和生存壓力，個別保險公司在信息系統(tǒng)設置和管理上迎合基層機構展業(yè)需要，有意無意地弱化信息手段的約束功能，為分支機構提供業(yè)務經(jīng)營提供“靈活性”。三是內(nèi)部監(jiān)督角色缺位，保險公司IT部門僅定位于系統(tǒng)維護，不承擔系統(tǒng)審計職能，而一些公司內(nèi)審部門又不具備在信息化背景下開展審計的能力。因此，保險公司內(nèi)部往往缺乏專職部門結合系統(tǒng)管理和內(nèi)控管理的要求，對分支機構的信息系統(tǒng)使用行為進行監(jiān)督和審查。

對策建議

保險分支機構作為信息系統(tǒng)的使用者，受制于管理能力和技術手段，對存在的風險很難依靠自身化解，必須從內(nèi)部監(jiān)管和外部監(jiān)管兩方面加以解決：

（一）建立IT審計制度

信息化建設在分支機構表現(xiàn)的風險，實際是保險業(yè)信息化建設不規(guī)范、管理不嚴密的縮影。國外的經(jīng)驗表明，信息化建設規(guī)模越大，功能越復雜，其風險也越大。當前，保險業(yè)已全面進入信息化時代，建立IT審計制度應成為各公司內(nèi)控建設的當務之急，通過IT審計切實查找信息化建設和業(yè)務流程中存在的風險點和薄弱環(huán)節(jié)，以系統(tǒng)改造和制度規(guī)范的方式加以防范。

（二）加強行業(yè)信息化建設監(jiān)管

信息化建設是當前保險業(yè)改革發(fā)展的重要特征，監(jiān)管部門應強化引導和規(guī)范。一方面，加強標準制訂工作，從軟硬件配置、系統(tǒng)功能實現(xiàn)、系統(tǒng)對接和互連、系統(tǒng)可稽核性等方面對行業(yè)信息化建設提出明確要求，保障行業(yè)信息化應用水平。另一方面，應加大稽核檢查力度，對利用系統(tǒng)漏洞違規(guī)經(jīng)營、擅自篡改系統(tǒng)數(shù)據(jù)、濫用權限干擾數(shù)據(jù)真實性等行為予以嚴肅查處。

目前，保險業(yè)信息化水平逐步提高，信息手段得到廣泛應用，但保險分支機構的具體使用情況如何卻少有人關注。2008年至2009年兩年時間，重慶保監(jiān)局組織專業(yè)人員成立課題組，對分支機構信息化應用情況進行了深入檢查和調(diào)研，發(fā)現(xiàn)保險分支機構在信息系統(tǒng)使用和管理中存在種種不規(guī)范行為，值得引起行業(yè)重視。為此，重慶保監(jiān)局課題組擬寫了此文，總結了分支機構易出現(xiàn)的4類風險，并對風險特征和成因進行了分析，提出相關建議。