制度与技术并重完善保险业信息化监管

文章来源：泛普软件

近年来,我国保险业的信息化建设取得了令人瞩目的成绩,并进而推动了行业整体竞争能力和现代化水平的显着提高。公司对信息技术的依赖程度进一步增加,保险监管部门在信息化工作方面也面临新的挑战。为适应行业不断发展的需要,我们必须就信息化监管的制度与技术层面作进一步的探索与提高。　　

保险业信息化监管

在制度层面的拓展

建立长效监管机制,提升现场检查力度。

当前,信息技术已成为提升行业竞争力的重要基础,信息化建设的步伐日益加快,科技含量不断提高。如果监管只限于开业验收阶段,则很难把握技术核心,也难以跟上未来的发展趋势。因此,保险业的信息化监管应着眼于建立长效机制,落实定期的专项调研、检查,及时掌握行业信息化建设的最新动态。在方式上,不应局限于单纯的材料审核,而必须加强现场监管力度,深入到公司业务、科技部门的第一线,在日常工作实践中寻找重点,提高监管质量。只有这样,保险业的信息化监管才能抓住技术核心,发现内在问题,提升科技价值。

监管与研究相结合,引领行业发展。

我国保险业的信息化建设虽然起步较晚,但起点较高,很多公司均以全国性的数据大集中作为系统建设的基点。这给信息化发展提供了广阔的空间,但也使得行业存在技术经验积累不足、运维队伍基础相对薄弱的问题。为改善这种状况,保险监管部门应避免就监管论监管,做到研究与监管并重,利用部门便利,对全行业的信息化建设作深入的调研分析,广泛吸取其中的成功经验,充实、提高行业的技术基础。同时,监管部门还应发挥引领作用,立足全行业发展的高度,寻找信息化建设的热点课题,整合行业内部资源,组织力量开展攻关,进而引导保险业信息科技的进步。

充分发挥派出机构在信息化监管中的作用。

有观点认为,数据大集中使得公司的信息化建设集中于总部,因而相应的监管只须由保监会承担。事实上,这种观点是片面的。随着行业信息技术的不断发展,派出机构(各地保监局)在信息化监管方面的职能应进一步强化。

主要原因有三点:一是目前国内保险公司主体已超过100家,信息中心分布于不同的大城市,如北京、上海、广州、深圳、南京等地,均建有总公司级的数据中心,当地保监局如能提高信息化监管水平,发挥属地监管的优势,将大大减轻保监会的工作压力,提高监管效率。

二是数据大集中后,分公司虽没有独立的企业核心数据库,但对信息化的依赖程度日益提高,各地保监局针对网络通讯、安全管理等方面加强监管力度,将有效提高机构的抗风险能力。

三是在一些保险发达地区,分支机构往往开发有特色业务系统,有的还建立了行业共享数据平台,这为当地保监局的信息化监管工作开辟了很大空间。

信息化监管与业务检查相互促进。

近年来,保险业内部出现了一些违规现象,如虚列费用、套取保费、数据不真实等。产生违规现象的重要原因之一是企业内控不严,而内控不严在很大程度上源于业务系统本身存在漏洞,使得违规在技术上有实现的可能性。监管部门应将信息化监管与业务检查紧密结合,一方面,通过信息化监管,可以发现公司的系统漏洞,了解经营中潜在的风险因子,提早判断可能产生的违规苗头,为业务检查提供参考依据,提高监管效率;另一方面,业务检查中暴露出的违规问题,又可以成为信息化监管的关注方向,监管部门应督促公司就问题进行系统优化改造,增强自检、管控功能,提高安全保障,预防违规问题的产生,促进行业经营的进一步规范。

保险业信息化监管

在技术层面的探索

从系统负载能力入手,评估公司运营的稳定性。

2007年,中国股市迎来前所未有的业务大潮,在此之前,大部分证券公司完成了系统扩容,从而保证了行业的稳定运营。证券业的案例充分说明了信息负载能力的重要性。当前,保险业在网络负载方面的信息化监管相对成熟,但在主机系统负载方面的监管力度还不够。事实上,主机系统负载一旦出现问题,将造成大量进程堆积等待,影响处理速度,严重时甚至系统死锁;而且随着业务的发展,公司的大规模数据处理工作(如批量入账、数据分析、提取与上报等)明显增加,这也对系统负载提出了很高的要求。监管部门可从两方面入手对此开展检查。

一方面,了解公司的业务规模和主机的最大数据处理速度,两者结合,评估负载能力能否保证业务稳定运营,例如,年保费规模在3-5亿元的产险公司,以单均保费2500元计算,签单数量在12-20万件, HP RX6600小型机的负载能力即可满足需要,而规模更大的公司,则需相应提高主机配置;另一方面,监管部门还应督促公司在规划未来发展时,将信息化建设纳入考虑,根据业务规模,关注负载能力,必要时制定系统扩容预案,从而提高信息化监管工作的前瞻性。

从系统架构和账务程序入手,检查公司内控管理。

系统架构与账务程序是业务系统的核心,也是公司经营管理的基础,应作为保险业信息化监管的重点。监管部门可通过实地调研学习的方式,参与公司信息技术岗位的具体操作,深入了解系统的模块架构及功能,掌握系统的运行流程及数据交互。同时,监管部门还可适当研究公司的核心账务程序,重点关注其中的科目设置和会计分路,并参照《新会计准则》和保监会的各项要求,检查程序是否设定了必要控制(如账务科目是否符合规定、费用入账是否有额度控制等),进而了解公司的内控管理状况。以系统架构和核心程序为方向,以实践为途径,一方面,使得信息化监管的专业深度明显提高,重点更加突出;另一方面,还将信息化监管从单纯的技术领域拓宽到业务经营的全过程,对减少违规风险,加强公司内控起到了积极作用。

从灾备和安全管理入手,检查公司抗风险能力。

9·11事件中,部分金融机构由于数据丢失而遭受巨大损失,这充分说明了灾备工作的重要性。当前,我国保险业的信息灾备建设已颇具规模,监管重点应从强调数据备份转向重视事后恢复,从更深入、具体的技术角度出发,督促公司提高灾备工作的质量。以下四类问题可高度关注:一是重要数据是否实现异地备份,数据恢复最近可追溯到哪个时点;二是各类灾害性故障是否做到分级、分类处理;三是系统恢复方案是否作了可行性评估并伴有操作演练;四是遭遇重大灾难时公司如何在允许的时间内恢复系统运行。

除灾备外,安全管理也是公司抗风险能力的重要体现。当前,保险业信息化监管在网络安全方面较为成熟,但在用户权限管理上还存在可改进之处。监管部门应督促公司就制度建设与实际操作两方面入手,严格实行管控。以下三点可供参考:一是重要系统的密码定期修改,每次修改的记录密封存档;二是密码持有者均登记在案,一旦发生岗位重大调整,应根据需要及时重置密码;三是不同级别密码的权限交叉并相互制约,如操作人员有权登录业务系统,但无法获知业务核心的细节,开发人员可登录开发系统并了解业务核心,但没有权限在业务系统上进行操作。

从对突发事件的处理入手,考察公司日常运维。

保险公司在日常运营中要面对大量不同特点的客户,处理很多不同的交易,其中难免有系统报错、操作中断的现象发生,这些突发事件往往需要信息技术部门来处理,而这正是公司日常运行维护能力的重要体现。监管部门一方面应要求公司重视制度建设,对各类突发事件分级、分类,规范上报流程和处理办法,对一些可能隐藏风险的后台数据库操作(如数据资料修改),更应做到事前严格审批,事后检查核对,既强调运维工作的效率,又保证系统、数据的安全。

另一方面,监管部门还可通过现场演练,考察公司的实际操作能力,如在交易流水中选取错误代码,要求运行维护人员现场分析原因,给出处理方案,对于一些可能产生单边账的交易(如银保通),还应特别关注运维技术人员跨部门、跨系统的沟通协调能力。

从数据管理入手,推动建立保险数据体系。

数据是保险业经营、管理和决策的重要基础,加强数据的综合利用是实现行业科学发展的必要条件。监管部门应通过信息化监管,开展相关检查,督促公司提高数据挖掘能力和数据资产利用能力:要求公司说明数据库结构及管理、优化方案,对重要数据库日志定期分析并出具报告;引入第三方技术力量对公司的数据库建设情况进行评估;向公司提出一些带有分析性质、工作量较大的数据需求(如提取优质客户、分析险种、客户贡献度等)以作实际考察。通过上述检查,监管部门一方面可以了解行业的数据管理状况,为推动建立科学的保险数据体系奠定基础;另一方面,还对公司的数据真实性有了更深入的认识,对保险业的数据统计专项检查工作起到了辅助作用。

(作者单位:江苏保监局)

发布：2007-04-21 10:17 编辑：泛普软件 · xiaona [打印此页] [关闭]

制度与技术并重 完善保险业信息化监管

制度与技术并重完善保险业信息化监管