(一)寿险公司主要业务流程中风险的IT管控手段
寿险公司设计合理、有效的信息系统可以降低业务操作中可能发生的风险。以下着重介绍各个业务环节及IT管控主要手段。
1.IT系统用户分级授权,控制业务风险。
保险公司根据电脑操作用户的专业经验和能力,对用户进行分级管理,给予不同的授权,控制业务风险。
比如,保险公司根据每位核保人员的工作年限、工作能力等因素,在业务系统中为每个核保人员设定可以核保的最高保额。简单的投保单可以由低权限的核保人员操作;对于复杂的、非标准体的投保单,只能由高级核保人员处理。这样就可以减少出现做出错误核保决定的几率,使保险公司承担的风险和收取的保费相当,避免定价风险。
保险公司的IT系统一般将财务用户与业务用户分开,避免同一个人既拥有业务用户又拥有财务用户给公司造成风险。比如,一个操作人员既可做退保又兼做出纳,他就可以伪造单据进行退保。再比如,会计和出纳用户不可以同时赋予同一个人使用。
2.通过IT系统,使业务流程得以固化,减少流程风险。
通过IT程序控制,可以使公司各业务流程得以固化,公司的各项管理制度得以落实。对于业务处理人员只能按照程序设定的流程进行操作,避免各业务环节脱钩或重复作业,避免做出前后矛盾的决定。
比如,客户提出加保请求,IT系统首先要求受理人员进行保全受理操作,程序会自动进行一些校验,如原保单是否有效等,如果加保后客户的累计风险保额达到一定标准,程序会自动将该单提交给核保人员进行核保处理,只有核保通过后,该笔受理才能被接受,然后客户才可能到财务交费,出纳对交费进行确认后,受理人员才能打印批单,客户的加保申请才能生效。这只是一个非常简单的例子,实际上很多业务流十分复杂,脱离程序的管控,这些流程很难实现。
3.通过与银行实施自动转账和实时收付系统,避免资金风险。
保险公司作为金融企业,每天都有大量资金流动,客户需要交纳保险费,公司需要支付赔款、红利、给付金,如果采用现金收付方式,会有很大的风险。保险公司通过与银行实施自动转账和实时收付系统,可以使客户和保险公司账户进行批次或实时转账,非常安全便捷。
采用自动转账和实时收付系统可以避免客户或代理人携带现金的风险。如果客户选择趸缴方式,或者客户投保投资类产品时,往往单笔交费都很高,客户或代理人随身携带大量现金到保险公司交费必然存在盗抢风险。如果客户趸领生存保险金或退保,也存在同样的风险。
采用自动转账和实时收付系统可以避免代理人截留保险金。这种情况最容易出现在续期保险费收取时,代理人从客户收取续期保险费后,不及时交回保险公司,有的直到客户发生理赔或给付时才被发现,给公司造成损失。采用自动转账和实时收付系统,资金不经过代理人转交就可以规避这些风险。
4.采用扫描技术,加强档案管理,降低档案风险。
寿险公司经营的是一种无形产品,实际上售出的就是一纸合同,一份对客户的承诺,因此,作为原始档案的投保书、收据、体检单和批单等承载着公司与客户的合同关系,如果管理不当,造成遗失和破损,就会在寿险公司应对客户的质疑和诉讼时造成损失。因此,档案管理对寿险公司非常重要。
为了长久有效地保存这些档案,寿险公司普遍开始采取对原始单证进行扫描保存影像的处理方法,使业务系统可随时调阅影像资料进行查阅,这样就可以降低档案遗失、破损带来的风险。
5.采用条形码扫描和OCR等技术减少数据采集错误的风险。
在对投保书、批单、收据等单证进行入库、出库、领用和回销时都需要录入单证印刷号,手工录入容易产生录入错误,传统的IT系统采用两次录入法进行核对,不但增加了工作量,延长了时效,也不能完全保证准确。现在,多数寿险公司采用条形码技术彻底解决了这个问题。
投保书、收据和批单等单证在批次印刷时可以预印条形码,使用时利用条形码阅读器直接读出单证号,提高了录入速度和准确率。
现在很多公司采用激光打印保单,也可以将代表保单号的条形码打印出来,方便以后使用。很多第三方软件厂商提供条形码打印控件,使得寿险公司的业务处理系统方便地实现了条形码打印,主要应用在首期问题单、续期退信管理等诸多方面。
OCR是英文OpticalCharacterRecognition的缩写,意思为光学字符识别,通称为文字识别,它的工作原理是:通过扫描仪或数码相机等光学输入设备获取纸张上的文字图片信息,利用各种模式识别算法分析文字形态特征,判断出汉字的标准编码,并按通用格式存储在文本文件中,由此可以看出,OCR实际上是让计算机认字,实现文字自动输入。它是一种快捷、省力、高效的文字输入方法。
寿险公司利用扫描和OCR技术进行投保单录入可以节约人力成本,避免人为差错。由于目前汉字手写识别率偏低,这项技术还没有得到普及。
6.采用电话录音技术,对电话中心的咨询和回访全程进行监控,提高服务质量,避免纠纷。
在接听客户咨询电话或进行回访时,由于各种原因,有时会造成客户与客户服务代表的理解偏差,导致客户投诉或其他不良反映,给保险公司带来不必要的损失和风险。
电话中心坐席软件系统对所有的来访和回访电话全部自动录音,管理人员可随时监督电话服务人员的服务过程及服务质量,发现问题及时解决和调整,避免产生客户投诉。
7.利用专家系统,统一核保标准,避免人为因素造成的风险。
核保是寿险公司重要的业务环节,正确评估保被险人的风险,做出公正的核保决定,对投保人和寿险公司都非常重要。但由于每个核保人的经验、认识不同,可能对同等风险的客户做出不同的核保决定。寿险公司的业务处理系统中一般都有自动核保的功能,保险公司根据自己的核保规则和经验数据,在电脑系统中预先设定各种核保条件及其所对应的核保决定,这样,系统就可以自动做出核保通过、加费、体检、契约调查或拒保等核保决定,这就是核保专家系统。
利用核保专家系统,可以使用公司统一核保标准,避免人为因素对相同风险的投保单做出不同的风险评估。当然,专家系统只能对满足一定条件的投保单做出自动核保决定,对于复杂的案例,系统会自动转到人工核保处理流程。
(二)信息系统本身的风险控制
1.用户授权。
由于寿险公司各种系统的复杂性,几乎所有系统都是多用户系统,因此,用户的授权是系统使用的前提。系统的开发者在系统设计时会制定较为完善的用户分配和权限管理制度,使风险得以有效控制。但系统的管理者对用户权限和系统所控制的各流程之间的关系上的理解与开发者不一致,这就会使系统的管理者在用户分配以及权限的管理上出现问题,出现授权过度和授权不足,如在分配用户时将流程管控要求两个人操作的权限授予一个用户,从而引起财务风险。同时,系统用户在实际工作中的角色是否与系统的管理者所授予的权限相符也至关重要。
对于用户授权风险的控制是一项系统工程。在系统设计时,要将业务流程中管控的要点与开发者进行充分沟通;同时在系统验收时对用户管理要作为一个重点进行验收;用户管理要有详尽的文档说明以备系统的管理者进行参考;系统的管理者应是对业务流程有充分理解的人员,而不应仅是IT人员。
对于各种系统,系统的管理者应制定完善的管理制度,对于用户申请、清除、使用要求、密码的管理以及处罚措施等进行控制。管理制度应明确用户的责任,为应对用户的风险进行有效的控制,例如,用户申请的审批,及时对用户进行清理,对用户密码位数、复杂度和有效时间的要求等。对于系统中有较高权限的操作应进行有效的记录并建立定期审计的制度。
案例:平安人寿保险公司在用户授权方面做了充分的管控。
信息管理部门实行用户登记(注册)制度,对用户的访问权限进行授权。管理制度支持公司各类业务和管理需要的计算机应用系统,包括自行开发、合作开发和外购的应用系统。并设置有用户管理员,管理系统用户的授权以及用户增加、删除和调整,管理公司各IT应用系统的用户,包括内部员工、营销员、签约营销员、外部合作单位工作人员等。
系统管理员、各级用户管理员及时通过信息公告、电子邮件、培训等手段加强对用户的使用与安全教育。对于违规用户,系统管理员可停止该用户的使用,并通报其相关部门或机构领导。对违规用户造成的后果,保留了相应的处罚权及按国家法律规定提请司法机关追究违规用户法律责任的权力。
2.数据库管理员(DBA)管理。
DBA管理可以确保数据库系统的有效性、安全性及数据一致性。这些控制包括数据库性能维护、数据库访问权限分配、数据库安全性维护等。
现代系统的后台都有大型数据库支持。作为数据库的管理员应对数据库持续服务、存储安全、访问安全及作为数据库服务器的主机进行管理。作为DBA掌握着整个数据库的访问权限,现代大型数据库本身就非常复杂,在选用DBA时要慎重,选择有实际工作经验和技术精湛的技术人员。DBA应明确其每一个操作的作用和后果。
作为大型业务系统的后台,数据库运行的稳定性直接影响着系统的稳定性,DBA应定期检查数据的各种日志、存储性能及存储空间的使用情况,并及时解决存在的问题,以保证数据库的稳定运行。
对于存储设备的安全,现在多采用RAID技术对数据进行保护,RAID技术提供了多种方案进行数据冗余,DBA应每天定时查看RAID的运行情况,以防止冗余的磁盘损坏未被及时发现,从而导致数据的损失。
与数据库相联接的系统从结构上可分为二层结构(C/S结构)和三层结构(B/S结构)。C/S结构的数据访问权限有些在数据库层面上,这对DBA的要求就比较高,对于不同的用户要有不同的访问权限以及密码的时效、复杂度等要求。对于B/S结构,大多数的权限控制在业务逻辑层,但数据库层面上也应注意访问权限。
数据库服务所用的主机,多数都采用集群的方式,这样可以有效地防止单点故障,但作为DBA还应及时关注主机的运行情况。最好采用如HP的OPENVIEW等软件对主机、存储和日志进行实时监控。
当前很多金融机构和大型企业采用了数据集中的方式,集中构建一到两个数据中心。数据的集中为很多企业带来许多好处,银行建立集中式的数据中心后为银行卡业务新功能的开发奠定了基础,同样,在保险公司数据集中是有效防范风险的一种手段,业务数据集中可以防止业务数据在管理层面上的不一致,同时也有效地阻止一些不规范的业务系统外挂程序运行。
3.程序开发过程的标准化、系统验收及规范化的运行维护体系。
信息系统开发及运营过程中的风险管控可以通过对开发团队管控、开发过程管控、技术规范管控、系统运营维护等方面着手,确保系统开发符合公司战略的规划、各项法规政策的要求,符合系统使用部门的要求。在开发团队选择时,应考虑成员的道德水准,并吸收相关职能部门人员加入;在开发团队的管理上,应考虑成员的开发资源权限设置、运营资源权限设置等,并建立开发人员管理制度,实现开发流程和技术规范的控制,从而确保系统开发高效成功,并有效地防范道德风险。系统上线后,应遵循严格的运营维护规范,反馈系统的问题,建立专业的技术支持队伍,使系统得以持续改进,满足公司经营的需要。
(1)采用可控的标准化程序开发流程和技术规范,避免开发过程中可能出现的各种风险。
信息系统开发一般可分为规划设想、调研、可行性论证、立项、系统分析设计、编码实现、测试、培训、试运行、上线、运营维护、反馈、持续改进等阶段。
项目的调研论证是系统开发的前提,应由各职能人员、用户充分论证,并进行风险评估,这关系到项目的成败。在系统设计时,有条件的项目尽量采用原型法充分与各方面做好沟通和反馈,让业务部门能够预知系统开发完成后可以满足需求,并预知对现有环境、流程、文化上的改变,做好沟通文档管理和各项审批工作,确保项目符合公司战略、满足监管要求和最终用户的需求。
在开发过程中进行标准规范化管理,并做好开发文档、程序代码的管理和版本控制的工作。建立良好的沟通和协调机制,是防范项目开发过程风险的重要手段,通过权限设置、版本控制等制度防范道德风险。
项目完成后,按软件工程和各公司开发规范的要求,做好项目测试、评估、培训工作,建立规范高效的运营机制,使系统高效服务于最终用户,并得到不断反馈、加以改进。目前各寿险公司因各自的网络、硬件、软件环境的不同,都有自己的规范,常用规范有软件成熟度开发规范、ISO系列开发运营维护规范等。通过标准化开发规范的使用和各职能单位人员广泛参与规划设计评估,基本能控制开发过程中的风险。
(2)通过开发过程中有关文档的规范管理管控风险。在开发过程中的各阶段会产生大量的文档作为各阶段成果的体现,如立项书、系统概要设计、详细设计、测试报告、评估报告、验收报告、用户使用说明书、运营报告等,应做好这些文档的存档工作。这项工作是开发规范的要求和体现,也是实现开发过程风险管控、进度管控、沟通反馈并改进的基础。开发过程各阶段文档管理在系统开发中非常重要,在ISO9000系列认证中,也强调文档记录的规范化,通过文档规范化管理,防范开发过程中的风险,使开发与运营有效沟通,建立标准化的运营体系,做好系统维护和跟踪,从而使信息系统得以持续改进,防范系统使用中出现的风险。
(3)建立标准化的运行维护体系,防范系统运行过程中出现的数据风险。系统交付使用后,应建立标准化的运营维护体系,建立一支善于与最终用户和开发团队沟通的技术支持维护队伍,建立完善的运营管理规范,从而保证维护效率和系统数据安全,实现系统所有的运营维护过程与数据修改过程有记录和审批手续,做到“雁过留痕”。对于新的需求和系统问题反馈,要有有效的机制保证迅速反馈到开发团队,经过严格审批,讨论论证与沟通后进行开发和修改。按照ISO9000认证系列PDCA循环思想,使系统持续改进,实现系统高效、安全、可靠地运行,防范运营中的风险。
4.数据的备份与灾难恢复。
数据包括数据库中的数据及各种开发文档、软件系统、设备安装配置说明和公司员工在工作中所产生的文档、报表等,而这些数据对于公司的正常运作都起着不可替代的作用。一旦数据损坏或丢失都是很大的风险损失。
数据库的备份工作是由数据库管理员完成的,现代大型数据库如ORACLE、DBS等自身就提供了至少一种数据备份方式,如ORACLE可以采用保存归档日志和数据库完全备份两种方式进行数据库备份。由于存储设备的限制,数据库的备份是DBA工作的一个重点。DBA要对备份结果进行检查。美国“9·11”事件以来,很多大公司都在两个以上的地点建立数据中心,以防止数据灾难。数据中心之间的同步会造成数据访问的时效性问题,但这对一个集中式的公司信息系统是必要的。
系统和设备安装配置说明对于一台关键性的设备来说是很重要的。一台设备正常投产后,是不会有很多机会重新对系统进行安装配置的,所以投产前的配置安装文件及第一次对系统进行参数调整应有完整的记录,以保证一旦系统出现故障能快速进行系统的恢复。
工作人员在工作中所产生的文档、报表等数据的安全也是一种风险,做好这些文档数据的管理备份工作对公司的运作也至关重要。
5.网络安全。
网络是保证现代寿险公司正常运营的基础,随着互联网的发展,病毒、黑客、垃圾邮件等网络威胁越来越严重。
网络的合理规划、内外网之间联系及防火墙的配置等是企业网络防范风险的重点。网络规划应根据数据中心的数量、线路的重要性、线路带宽及冗余等多方面综合考虑。重要的线路最好在不同电信运营商处申请两条进行备份,重要的网络设备也要进行双机备份。
公司的内部网与互联网之间的连接应给予特别重视,它是病毒与黑客入侵内部网的重要通道,在技术层面上要对代理服务器进行重点安全防护,在制度方面要严格管理互联网使用者。一些重要的设备可以用防火墙进行防护。
有些局域网技术也可用于提高网络的安全性,如VLAN、SNMP等。VLAN技术可将网络分割成多个小型网,每个小型网之间进行隔离,从而减少病毒传播的机会;SNMP可以帮助网络管理员对各种网络设备进行监控。
6.IT设备资产管理。
IT设备属于固定资产,在寿险公司中,IT资产通常由IT部门负责管理。
为了保证资产安全,做到实物管理与财务的账目管理相符,保险公司一般采取分级管理、责任到人的方式,定期进行实物核查,保证账实相符。同时制定IT设备的管理制度,包括设备管理、使用人管理和软件管理等制度。
对于IT设备的采购、验收、入库、出库、报废等,都有严格的规定。
对于IT设备的使用也有严格的规定,以保证设备的安全使用,避免人为损害。由于电脑软件的多样性和电脑在家庭的普及,用户会在办公电脑上安装一些版权不明的软件,这就存在着侵占知识产权的风险,这方面应在管理制度上做出明确规定。
7.计算机病毒防范措施。
计算机病毒本身是一种有破坏性的程序,可以通过网络、邮件和软盘等传播。病毒所造成的损害是多种多样的,有的可以使机器运行缓慢;有的破坏硬盘上的数据;有的可以给机器开后门,使你的数据在不知不觉中透露给黑客;有的甚至可以破坏硬件。现在病毒层出不穷,每天都会有新病毒产生,多数病毒软件的病毒库都有上万个病毒特征码。
公司内每一台计算机都应安装防病毒软件。对于大型网络中的计算机,应重点考虑安装网络版的防病毒软件,如NOR-TON、MCAFEE、瑞星等。部署统一的防病毒软件是一项重要工作,网络版的软件能够自动升级病毒库、可以统一控制每台计算机处理病毒的方式,还可以统计哪台计算机中发现了何种病毒,方便管理者对防病毒策略进行调整。
在技术上防范的同时,也应制定病毒防范的管理规定,规定应明确每位计算机的使用者都有义务防范病毒,保证计算机安全;应在计算机使用者当中进行计算机安全和防病毒知识的普及;要规定用户不能停用或删除计算机安装的防病毒软件;用户在使用各种外来介质时应先进行杀毒后再使用等。
由于使用windows操作系统的计算机占比较高,应设专人或专用系统对微软公司发布的补丁程序进行查看和安装。
