随着网络通讯技术的成熟和大型数据中心的应用,保险公司信息系统迅速扁平化,原本三级、四级的逻辑结构简化成两级,这对分支机构信息化工作产生了深远的影响。本文拟分析在业务信息大集中背景下,保险公司分支机构工作模式的转变对信息化工作的影响,并就信息化监管提出相关建议。
一、分支机构信息化工作存在的四大风险
(一)基础建设不规范,系统运行存在中断风险。一是网络通讯脆弱。部分分支机构网络通讯线路为单一线路且网络设备没有备份,一旦出现故障,将影响公司的正常运营。二是机房建设不完善。部分机房UPS功率没有和设备功率相匹配,消防设备陈旧甚至过期,温湿度控制设备无法正常发挥作用。
(二)功能架构不完善,基础数据存在失真风险。一是核心系统之间未实现无缝对接。部分机构财务、业务系统采用定时交互机制,财务数据时效性差;交互数据时,系统刚性约束不到位,如对接条件不完全锁定,分支机构能手动干预数据。二是数据大集中不彻底,地方系统仍然存在。个别公司分支机构部分险种仍使用原有地方系统,且数据信息存放在本地,总公司仅管理账号,日常操作和维护依靠分支机构,存在潜在操作风险。
(三)系统运维不规范,业务经营存在违规风险。一是组织架构不完善。部分机构的信息化工作归属办公室或业务部门,注重行政后勤工作,信息系统管理缺乏独立性和专业性。二是系统权限配置不合理。信息系统本身具有精细管理的基础,但部分分支机构没有将管理流程内化到系统中,权限设置甚至不符合“不相容”原则,为业务违规操作埋下先天性隐患。比如,有的机构利用赔案注销权集中注销赔案;部分机构隐瞒应收保费账龄信息,在系统中调节坏账准备金的比例系数等。三是数据修改管控手段不足。虽然系统后台修改统一由总公司负责实施,但是系统前端的数据信息修改功能多数下放到各分支机构。多数总公司没有业务人员和技术手段开展IT审计工作,系统日志信息没有起到监督作用。
(四)安全工作不牢固,客户信息存在泄露风险。一是安全培训不到位。培训覆盖面小,多数分支机构将信息安全常识当作某个部门甚至某个人需要掌握的技能;培训内容一成不变,没有针对信息安全新形势和新问题;培训次数少,不少分支机构自成立后没有进行安全培训。二是技术防护手段不足。分支机构落实信息安全管理规定,缺乏相关技术手段。比如,分支机构普遍没有技术手段落实办公电脑USB端口,移动存储设备和3G上网设备可随意使用,容易泄露客户信息,甚至破坏办公网络的封闭性。
二、工作模式快速转变将放大分支机构现有信息化风险
(一)大集中后,分支机构信息化工作模式上呈现三个转变。一是在基础设施建设方面,由“负责具体建设工作”转变为“配合总公司建设”,分支机构建设职能弱化。二是在系统运维方面,由负责部分系统维护操作转变为单纯需求提供方,分支机构运维职能弱化。三是在日常工作方面,因不涉及系统运维,信息化工作呈现行政化、外包方式,分支机构专业化程度降低。
(二)运维流程和权限调整不到位,与现行的工作模式不匹配。一是缺乏基础设施建设标准和巡检机制,面对数量众多的分支机构,各总公司信息技术部门侧重新增机构建设工作,对现有机构基础设施风险缺乏关注。二是原有管控模式已不切合分支机构实际但没有及时调整。大集中后,分支机构信息技术工作或归办公室或归业务管理部门管理,原有信息系统的内控性和管理制度的约束性在组织不健全、人员缺少条件下形同虚设。三是缺乏审计工具和机制,操作风险无法有效防范。大集中后,技术风险转移到总公司,但分支机构操作风险依然存在。在日常工作中,分支机构在权限配置和流程设计侧重便捷,事前监督乏力;而总公司缺少IT审计工具作为抓手,不能有效开展事后监督工作。
(三)信息风险隐蔽性进一步增强,加大了监管难度。监管部门更关注具体市场行为合规性和业务财务数据真实性,对繁杂且专业的信息系统设置和管理情况涉及较少。确实,大集中后,分支机构信息系统技术风险很低,但信息系统风险不等同于技术风险,忽视操作风险造成监管盲区。同时,核心数据基本统一到总公司信息中心,增大分支机构信息系统操作风险的监管难度。
三、防范分支机构信息化风险的几点监管建议
(一)制定《保险分支机构信息化验收指引》,严格规范新增机构信息化建设工作。一是细化分支机构在机房、网络、设备等方面的建设要求和技术指引,统一各地区分支机构准入验收标准,消除新增机构的技术风险。二是建立规范科学的分支机构验收流程,细化信息系统检查和演示要点,检查内控制度的信息化情况和权限分配的合理性,减少新增机构的操作风险。三是细化分支机构信息安全方面的工作要求,检查客户信息保护情况,减少新增机构的信息泄露风险。
(二)建立和完善信息系统安全检查机制,彻底排查现有机构信息系统风险。加大保险信息系统安全检查力度,每年定期组织对保险公司信息系统进行现场检查,增加受检单位家次,扩大评估覆盖面和层次,建立分支机构和总公司联动检查机制,全面彻底排查分支机构技术风险。以检查为契机,督促保险机构加强信息安全管理,健全内控,落实职责,及时消除安全隐患,提高管控和保障能力。
(三)指导公司建立分支机构IT审计制度,加强管理操作风险。分支机构信息化风险,是保险业信息化建设不规范、管理不严密的缩影。国内外经验表明,信息化建设规模越大,功能越复杂,其技术和操作风险也越大。当前,保险业已全面进入信息化时代,建立IT审计制度应成为各公司内控建设的当务之急。建议指导公司建立分支机构IT审计制度,切实查找信息化建设和业务流程中存在的风险点和薄弱环节,提升系统改造和制度规范针对性。