防范信息系統(tǒng)風險;提升保險監(jiān)管效能

保險信息系統(tǒng)存在五大風險

從普查情況來看，保險信息系統(tǒng)存在五大風險問題。

1.基礎條件相對簡陋，存在系統(tǒng)運行中斷風險。從信息系統(tǒng)普查看，各公司信息系統(tǒng)建設基本能夠滿足安全運行的需要，但還存在一些突出問題。一是機房較為簡陋。部分分支機構機房供電系統(tǒng)不完善，沒有配備UPS或UPS功率過小，一旦出現(xiàn)電路故障，系統(tǒng)將無法運行；有些機構機房防火防漏措施不到位，沒有監(jiān)控報警系統(tǒng)，個別甚至沒有經(jīng)過消防部門驗收。二是網(wǎng)絡較為脆弱。部分機構網(wǎng)絡接入管理混亂，存在未經(jīng)總公司批準、沒有任何安全防護措施下私自接入本地，或是使用無線網(wǎng)卡上網(wǎng)的情況；部分三級機構沒有備份線路，沒有部署防病毒軟件。三是維護力量相對不足。大部分省分公司只有1名專職IT人員，在機構不斷擴張、業(yè)務不斷發(fā)展的情況下，系統(tǒng)運維壓力不斷增大。

2.系統(tǒng)管理比較薄弱，存在經(jīng)營違規(guī)的風險。目前，保險分支機構在系統(tǒng)管理上還存在許多漏洞或不足。一是系統(tǒng)管理權責不清。部分機構的信息技術部門劃歸辦公室或業(yè)管部負責，沒有明確的崗位職責分工，導致內(nèi)控執(zhí)行力減弱，管理出現(xiàn)“兩張皮”現(xiàn)象。二是重要功能管理不嚴。有的機構利用賠案注銷權集中注銷賠案；少數(shù)機構擅自更改重要科目的會計處理方法；部分機構隱瞞應收保費賬齡信息，在系統(tǒng)中調(diào)節(jié)壞賬準備金的比例系數(shù)；還有的機構利用單證管理系統(tǒng)與核心業(yè)務系統(tǒng)沒有對接，進行撕單埋單、違規(guī)批退等。三是數(shù)據(jù)管理權限下放存在管理失控風險。數(shù)據(jù)省級集中的公司，由于總公司對系統(tǒng)日志的審計流于形式，沒有實際執(zhí)行，信息技術人員可能通過技術手段來核銷應收保費、違規(guī)批單退費、虛列手續(xù)費等。

3.系統(tǒng)功能不規(guī)范，存在數(shù)據(jù)失真風險。保險公司分支機構使用的信息系統(tǒng)存在以下問題。一是重要系統(tǒng)對接不規(guī)范。普查發(fā)現(xiàn)大部分公司財務業(yè)務系統(tǒng)對接不及時，制約了財務數(shù)據(jù)的時效性；部分公司的系統(tǒng)間對接科目沒有鎖定，允許分支機構以手工憑證方式干預對接結果。二是系統(tǒng)功能不適應。部分公司系統(tǒng)的指標定義在系統(tǒng)中沒有及時調(diào)整，造成數(shù)據(jù)無法準確錄入。如普查發(fā)現(xiàn)一家公司信息系統(tǒng)將農(nóng)信社代理的小額借款人意外傷害保險保費歸屬為團險直銷，但手續(xù)費歸屬在銀郵代理渠道；部分公司系統(tǒng)各指標之間缺少邏輯比對功能，造成相關聯(lián)的統(tǒng)計口徑出現(xiàn)不匹配，如某壽險公司出現(xiàn)過意外險手續(xù)費遠遠大于相應保費的情況。三是新老系統(tǒng)切換脫節(jié)。如個別公司分支機構部分險種仍然沿用老系統(tǒng)，且數(shù)據(jù)存放在本地，無法與總公司系統(tǒng)進行對接，容易滋生違規(guī)操作。

4.信息安全保障不到位，存在信息安全風險。常見的問題包括：一是安全保障手段欠缺。保險分支機構層面廣泛使用VPN連接方式，但沒有采用身份認證機制對用戶進行安全認證管理；部分機構連接了銀行、行業(yè)協(xié)會等外部網(wǎng)絡，但未部署有效的入侵檢測設備，使公司業(yè)務系統(tǒng)暴露在互聯(lián)網(wǎng)之上。二是制度執(zhí)行力不強。部分三級機構沒有按照公司統(tǒng)一規(guī)定制定相應的系統(tǒng)運維辦法，不能嚴格執(zhí)行各項信息安全制度，存在內(nèi)外網(wǎng)混接、IP地址亂用、不按規(guī)定安裝防病毒軟件、賬戶口令管理不嚴等問題。三是安全培訓教育不到位。分支機構負責人出于保費規(guī)模壓力和費用緊張的考慮，應急演練走形式，信息安全教育培訓工作幾乎空白。

5.信息化監(jiān)管相對落后，存在監(jiān)管“逆向選擇”風險。相對于國際保險監(jiān)管，我國保險信息化監(jiān)管仍然相對滯后：一是監(jiān)管信息系統(tǒng)共享能力不足。我國雖然已經(jīng)建立了“三網(wǎng)一庫”，積累了一定的信息資源，但現(xiàn)有監(jiān)管信息系統(tǒng)的發(fā)展缺乏統(tǒng)一的規(guī)劃，系統(tǒng)建設各自為政，技術手段和監(jiān)管指標缺乏統(tǒng)一標準，無法有效地實現(xiàn)系統(tǒng)的集成和資源的共享。二是對公司信息系統(tǒng)監(jiān)管乏力。目前相關信息系統(tǒng)監(jiān)管法律法規(guī)不完善，技術手段有限，監(jiān)管人員的信息化監(jiān)管經(jīng)驗不足，對信息系統(tǒng)無法進行有效監(jiān)管。三是現(xiàn)有的監(jiān)管信息系統(tǒng)智能分析功能相對有限。在現(xiàn)場檢查中主要依靠手工翻閱憑證發(fā)現(xiàn)違規(guī)線索，非現(xiàn)場監(jiān)管依靠自行設定一些報表要求保險公司手工報送，進行數(shù)據(jù)分析。信息不對稱，監(jiān)管決策往往依靠經(jīng)驗，易出現(xiàn)監(jiān)管“逆向選擇”。

保險信息系統(tǒng)風險產(chǎn)生的原因

對系統(tǒng)風險認識和防范不到位。一是有認識、有行動但措施不當。部分公司認識到信息系統(tǒng)存在一定的風險，制定了許多管理辦法，召開了多次信息安全會議，但沒有監(jiān)督執(zhí)行，沒有相關考核，風險依然存在。二是有認識、無行動、無措施。部分公司出于保費規(guī)模壓力和費用緊張的考慮，無暇顧及信息系統(tǒng)的風險管理。三是無認識、無行動、無措施。部分分支機構領導認為數(shù)據(jù)大集中后，信息系統(tǒng)已經(jīng)不存在風險了，沒有采取任何措施加強系統(tǒng)風險管理。

系統(tǒng)功能不規(guī)范使內(nèi)控存在漏洞。如有的公司業(yè)務已覆蓋到鄉(xiāng)鎮(zhèn)，但信息化建設跟不上業(yè)務發(fā)展的需要，保單賠案等重要資料不能及時審核、及時出單，客服理賠服務不能及時跟上。又如有的公司單證管理系統(tǒng)沒有和核心信息系統(tǒng)實時對接，單證管理存在潛在風險。再如有的公司意外險信息沒有納入核心業(yè)務系統(tǒng)管理，需要代理機構將保單信息手工錄入，使撕單埋單、違規(guī)批退等行為形成可能。

內(nèi)控體系不合理引發(fā)數(shù)據(jù)失真。有些公司對保費等目標進行考核時，不要求分險種分渠道核算、共同費用也不要求進行分攤。分支機構基層工作人員錄入保單資料時就可能隨意選擇險種類別、銷售渠道錄入，對專屬費用、共同費用隨意進行分攤，造成財務業(yè)務數(shù)據(jù)失真。此外，對基層工作人員的培訓不到位、績效考核的不科學，也使維護數(shù)據(jù)真實性工作失去了約束和激勵機制。

制度不完善使信息化監(jiān)管相對滯后。近幾年監(jiān)管部門陸續(xù)出臺了一些信息化管理制度，但由于對公司信息化監(jiān)管起步晚、投入不足、缺乏統(tǒng)一的保險機構信息化監(jiān)管標準，如保險機構信息化工作指引、保險機構信息系統(tǒng)安全管理辦法等制度尚未出臺，監(jiān)管制度對實際監(jiān)管工作的指導仍有所欠缺，監(jiān)督檢查有待加強。