保险业分支机构信息化建设风险.docVIP

保险业分支机构信息化建设风险 　　近年来，随着保险业信息化建设投入的不断加大，保险分支机构信息化建设水平和规范度正逐渐成为一块“短板”，亟须引起高度重视，并切实加以提高。 　　保险分支机构信息化　建设中易产生的四类风险 　　（一）业务、财务系统对接不规范 　　业务、财务等信息系统实现无缝对接是保险业信息化建设的主要目标和基本要求，从目前保险分支机构信息化建设现状来看，可能存在三类系统对接缺陷： 　　近年来，随着保险业信息化建设投入的不断加大，保险分支机构信息化建设水平和规范度正逐渐成为一块“短板”，亟须引起高度重视，并切实加以提高。 　　一是部分对接。个别保险机构新信息系统上线后，新老系统切换脱节，下辖部分分支机构仍沿用老系统，且数据存放本地，无法与公司财务系统进行数据对接，形成“信息孤岛”，容易滋生违规操作、数据不真实等行为。二是对接科目不锁定。个别保险公司的信息系统虽实现业务、财务系统自动对接，但未锁定“保费收入”、“赔款支出”、“未决赔款准备金”等重要科目，允许分支机构财务人员以手工凭证方式干预对接结果，且未执行严格的审批流程，使数据真实性缺乏保障。三是对接不及时。个别分支机构业务与财务系统对接间隔超过1天，还有个别机构对接时间不固定，随意性较大，制约了财务数据的时效性。 　　（二）部分经营信息未纳入核心系统管理 保险公司核心业务系统功能强大、覆盖全面。但分支机构层面常将重要信息游离于核心系统之外。 　　一是关键业务信息不记录。以手续费为例，个别分支机构未将手续费信息在系统内做完整记录，仍依靠手工台账管理。由于缺乏与核心业务系统的信息关联，手续费科目数据的真实性难以保障，渠道成本难以真实测算。二是客户信息不完备。客户信息录入不完备可能出现在团险业务和银保业务中。以团体意外险为例，个别分支机构在承保环节仅录入团单号，投保人详细信息和身份标识不录入系统，而以纸质清单方式加以保存，不利于保全、理赔等后续服务的开展。三是内控信息不完备。在目前发展较快的银保业务中，少数分支机构将重要空白单证管理交由银行方负责，单证的使用情况不录入银保通系统，只在单证管理系统作领用登记，可能导致这部分空白单证的基础管理信息游离于公司单证管理体系之外。 　　（三）保险分支机构系统管理较薄弱 　　强化系统管理、规范系统使用行为是发挥信息系统功能的重要保证。保险分支机构具备一定的系统管理职能，但管理相对薄弱。 　　一是业务系统权限管理存在疏漏。省级的分支机构往往具备一定的系统管理或特殊功能权限。个别省级分支机构曾在考核期临近时，将赔案注销权下放至基层机构，容易滋生赔案集中注销等行为；个别分支机构不按规定使用修改起保日期权限，使该权限成为违规降费的手段，产生一批“生日单”。二是财务系统管理不严密。少数分支机构擅自更改重要科目的会计处理方法。个别分支机构上半年分别采取不同未决赔款准备金计算方法；还有的机构隐瞒应收保费账龄信息，在系统中调节坏账准备金的比例参数，以修饰财务指标。三是系统重要功能管理不严。大多数保险公司单证系统具有“手工核销”功能，允许特殊情况下手工销号已发放的空白单证。个别分支机构使用该功能进行“平账”操作，使单证实际使用情况无法在系统中得到准确反映。四是测试系统使用待规范。绝大部分公司均具备测试环境，供员工培训和新机构开业验收使用。个别分支机构利用测试系统管理的疏漏，进行“鸳鸯保单”等违规行为。 　　（四）保险分支机构信息安全保障不到位 　　一是网络安全薄弱。目前，VPN连接方式(借助互联网访问内部网)在保险分支机构层面得到广泛应用。个别机构仅采用简单的用户名、密码方式进行访问验证;还有个别分支机构连接了银行、行业协会等外部网络,但未部署防火墙或入侵检测设备,使公司核心业务网络缺乏有效防护。二是账号安全薄弱。个别分支机构疏于系统账号管理。一些离司、离职员工的账号仍在核心业务系统或财务系统中保留，少数账号尚处可使用状况，形成一定的安全隐患。三是软件安全薄弱。有的保险公司只负责业务系统和OA系统的部署，而将办公软件和杀毒软件交由分支机构自己解决，分支机构出于费用考虑，往往使用一些不受版权保护的软件产品，不但安全性、兼容性差，也易遭遇版权纠纷。 　　分支机构信息化　建设风险特征 　　分析当前保险分支机构信息化建设中存在的风险隐患，存在三个方面的明显特征。 　　（一）危害性大 　　和单笔违规业务相比，信息系统风险危害程度更大。由于公司内部风险管控、相关监管规定在系统设置和管理中得不到有效固化，由信息系统问题派生的潜在违规风险随时可能较大面积发生。特别是一些保险机构有意无意地利用信息系统漏洞反复进行违规操作，涉及数量和金额往往较大。信息系统风险还与数据真实性和损害投保人利益等问题直接相关，如干预业务记录、操纵财务数据、客户信息不真实等行为，不但影响公