中国人保财险公司IT风险管理文档格式.doc

中国人保财险公司IT风险管理文档格式.doc

《中国人保财险公司IT风险管理文档格式.doc》由会员分享，可在线阅读，更多相关《中国人保财险公司IT风险管理文档格式.doc（33页珍藏版）》请在冰点文库上搜索。

过多年发展具有品牌、市场、产品、技术、再保险、网络、资源等几方面的经营

管理优势。

品牌优势

人保财险品牌具有六十年的历史，在国内享有显著声誉，在国际上具有一定

影响。

人保财险公司是全球各大船东协会在中国的保赔通讯代理，在国际保险市

场享有良好声誉。

特别是公司在海外上市后，人保财险进一步成为国内、国际保

险市场和资本市场的知名品牌。

市场优势

人保财险公司是国内最大的非寿险公司，在非寿险市场处于领先地位，主导

着非寿险市场的发展。

公司主要经营财产保险、意外伤害保险和短期健康保险业

务，在大型商业风险、政府采购、行业统保等集中型业务以及车辆保险、家财险

等分散型业务领域处于绝对领先地位。

人才优势

多年来，人保财险公司培养了大批优秀骨干人才，拥有一大批具有丰富经验

的管理人才和遍及非寿险业务链每个环节的技术人才，拥有一支掌握非寿险业核

心技能且爱岗敬业、团结奋进的员工队伍。

产品优势

截至2004年底，人保财险公司共开发保险条款1246个，其中主险567个，

附加险679个；

全国性险种725个，区域性险种521个。

目前，公司平均每天开

发推广1个新产品。

公司是国内第一家引入精算技术开发产品的非寿险公司，可

以为客户提供全方位、高质量且科学定价的保险保障服务。

同时，公司积累了海

量经营数据，具有坚实的决策分析基础，对中国非寿险市场发展规律有着较好的

把握和认识。

技术优势

中国人保财险公司在产品开发、承保、理赔和再保险等核心技术领域处于国

内非寿险业领先水平，成熟的信息技术平台和完善的客户信息资源为公司业务发

展提供了见识的技术保障。

公司是国内第一家引入精算技术开发产品的非寿险公

司，自爱航空航天、核电站、能源、远洋船舶、大型工商企业、政府采购等重要

保险业务领域具有国内领先的技术优势，能哦故为客户提高工全方位、高质量的

保险保障服务。

网络优势

人保财险公司拥有遍及全国的机构网点，包括324个地、市级承保、理赔、

财务“三个中心”，4500多个分支机构，拥有多样化的营销渠道，形成了强有力的销售和服务网络，足以支撑全国范围的"

通保通赔"

与"

异地出险、就地理赔"

等保

险增值服务。

在世界各主要港口、商埠延聘有100多家代理人，形成了全国统一、

全球贯通的保险服务网络，让客户感受到人保财险公司服务无处不在的品质。

客户优势

公司拥有国内非寿险市场最大规模的客户群，建立了广泛、稳定的客户关系，

具有强大的适应市场变化、满足客户需求的产品开发和客户服务能力。

服务优势

公司率先在全国开通365天24小时服务专线95518，现已遍布国内324个地

市，并通过ISO9000质量管理体系认证，向客户提供快、优、全、广的咨询、投

诉、回访、救援、预约投保等多功能、个性化服务。

公司还推出了以全员全流程

服务为内涵的“金牌服务工程”，以确保客户服务从规范、效率、质量三个方面不

断提高，继续保持同业客户服务第一品牌。

同时，携手美国最大网络保险分销商

EHEALTH在华运营网络--优保网为客户提供网络保险购买渠道，满足消费者的新

需求，使公司的品牌深入人心。

人保财险公司改革发展的成功实践有赖于公司不断深化的企业精神。

目前，

公司正向国内领先、国际一流的知识型、现代化非寿险公众公司的战略目标迈进。

2.1.3人保财险公司架构

人保财险公司在全国32省、直辖市、自治区设有分公司，全国共有在职员工

30000多人，总公司设立了办公室、人力资源、信息技术、车辆保险、财产保险、

农险、意外险、财会、理赔、法律、监察审计、再保、战略发展、渠道管理等三

十四个部门，分别对口联系和管理全国各分公司的相应部门。

人保财险公司的组

织结构图如下图2.1所示。

目管理规范》、《软件开发管理办法》，起草了《IT绩效评估及考核办法》讨论

稿，加强了软件开发管理，项目集中管控和绩效管理力度，推行全流程的项目管

理，从而提升信息系统项目绩效。

公司通过实施运维规范体系，强化管控规范运维，保证系统安全，规范信息

系统的运维行为，平均一年归档十一万七千余张运维表单，对信息系统的运维过

程进行了详尽记录，强调安全风险内部管控，针对运维规范中数据管理和用户管

理规定的执行有一定的考核。

技术方面

初步建立了统一的信息技术支撑平台，并实施系统数据的省级区域集中，为

公司规范化经营管理、整合客户资源、服务创新等提供了技术支持。

公司全面推广了新一代综合业务处理系统，该系统该年度CHP

（Computer-worldHonorProgram）“计算机世界荣誉奖”21世纪贡献提名奖，由

CHP评选的“计算机世界荣誉奖”是当今世界信息技术领域最高奖项之一，有“IT

奥斯卡”之称。

公司成为唯一一家在该年度该奖项的“金融、保险及地产领域”获此

殊荣的国内企业。

公司从收付费、再保、渠道、理赔四个角度对核心业务系统实施了系统整合

项目，加强了核心业务系统的处理能力，提升了整个公司应用系统的管控能力和

整体水平。

风险管理方面：

公司从强化管控，提供安全运行维护的角度出发，制定了《信息系统运维规

范》。

该规范采用了ISO9000系列的体系架构，分为控制文件、作业指导书和表

格三层架构，从应用软件、主机和存储、网络和安全、机房和资产四个方面说明

信息系统运维的操作流程和管理规定。

按照应用系统数据访问过程中面临的安全风险，制定了网络安全保护等级标

准和安全区域划分，并从管理制度和技术手段两方面强化管理，安全管理制度覆

盖数据访问、内部网络隔离、互联网接入、机房管理、安全备份等各个领域；

安

全技术手段则包括网络安全、防病毒、桌面管理、数据库安全审计、网络审计、

身份认证、日志管理和安全管理平台等。

组织架构方面：

参照目标体系的管理模式，结合需要，IT组织架构。

其中总公司信息技术部

下成立了数据中心，并在数据中心下进一步细分职能处室来支撑整个数据中心的

业务。

通过优化组织机构，发挥组织效能，利用组织资源，为提高公司的信息化水

平提供了组织保障。

公司信息技术部的组织结构如图2.2所示：

IT人员情况

公司IT员工1046人，为全公司约12万余名员工提供IT服务，IT员工在公

司员工中的占比不到1%。

近年来，公司总部信息技术人员由原来30多人迅速扩张为67人，但与主要

同业保险公司相比，总部信息技术人员投入依然相对不足。

2.2.2人保财险公司IT风险分析

2.2.2.1治理架构风险

在我国，保险业IT治理还处于尚处于初级阶段，信息化建设在一定程度上还

处于“人治阶段”，信息化制度不完善，信息化整体规划、实施和控制的决策归属

机制和责任担当框架不清晰甚至缺乏。

中国保监会副主席李克穆在2008年第二届

保险信息化高峰论坛做主题演讲时指出：

虽然我国的保险业信息化工作在近年来

取得了较大成效，但从总体上看还处于发展的初始阶段，对如何科学、有效地组

织信息化工作研究还不够。

在人保财险的IT管理体系当中，信息部门已制订了一套的IT管理制度，也

设置了相关的部门、岗位和对应的人去完成IT的日常管理，

组织架构方面

由于每种IT风险都是不同的，考虑到IT风险的特殊性，需要采用组合的方

法来聚合所有种类的IT风险，一方面，把所有的IT风险放在组合中，高优先级

的风险才会凸显出来；

另一方面，单一的事件，可能对多种IT风险构成影响，放

在组合中，才能发现其关联性，才有更大机会找到事件的最原始因素。

所以，在体系建设中应关注IT风险需要组合考虑的特殊性，信息安全不单是

技术问题，更是管理问题，只有持续完善信息科技治理架构，从组织架构管理层

面组建健全的风险管控机构，加强跨IT部门和业务管理部门间信息安全工作的协

同配合，，才能真正实现信息安全管理的目标。

而公司在风险管理组织保障体系的建设方面滞后，只有IT管理部门对公司的

IT风险负责，没有设置专门的高层风险管理部门，在IT部门内部也没有专门的

风险管理机构，只要求按IT的工作流程划分的机构各自负责所在环节的IT风险，

难以综合分析、预防IT风险的发生和解决涉及协调风险管理资源等问题。

制度流程方面

在制度的建设、人员的管理、岗位的设置上缺少整体风险管理概念，缺少一

套完整的IT安全管理体系去做指导，缺少因人员岗位调整、业务流程的变化而做

相应周期性对相关管理制度的修订，对日常IT管理情况的定期检查和评价也流于

形式，导致制度与实际工作要求脱节，某些岗位的职责模糊不清，存在不合理的

IT岗位设置。

人员配置方面

IT风险管控不应是IT部门一个部门的工作，而应该上升为全员参与。

公司

员工对于IT风险管理体系、信息安全治理框架都是知识性、片面性的了解，现有

的运维支持系统还停留在事后记录层次，没有统一的IT管理系统具体控制IT管

理工作的开展。

缺乏完善的IT管理体系和信息安全之类架构来指导。

IT治理架构的不完善，在信息化战略层面，容易导致公司信息化在信息化重

大问题的决策缺乏科学性，致使信息化出现战略性和方向性的不确定性，增加组

织风险。

2.2.2.2IT投入和产出风险

我国保险业在信息化投资规模逐年扩大。

根据保监会公布的数据，2004年至

2007年全行业信息化资金投入累计近150亿元。

2008年，保险业信息化资金投入

约为54.6亿元，同比增长15.5%，有预测2010年保险业信息化建设投入将达80

亿。

保监会明确指出，保险业信息化投入仍然不足，在未来的几年，进一步完善

信息化基础设施，加大信息化投入。

可以预测，未来几年保险行业信息化投入将

进入了高增长期。

2007年人保财险公司在信息化改造提升方面的投入达到了1.9亿，2008年是

3.2亿元，预计2009年将达到4亿元。

各主要保险公司IT投入如图2.3所示

IT绩效管理是对信息化的成功具有重要意义。

在人保财险公司发展需要和信

息技术本身发展的驱动下，公司对IT绩效提出了非常高的期望。

管理大师德鲁克

也曾经说过——“无法度量就无法管理”，IT绩效是对信息化价值的评价和度量，

是IT战略实施的导航系统。

公司持续进行信息化投入，发现IT绩效结果却并不

能让人满意，IT的高投入未能得到期望的回报。

主要矛盾体现在IT项目投资风

险高、投入高和IT项目产出低、价值低两方面，包括IT应用对公司原有制度、

流程的冲击、管理层无法及时准确地得到信息、决策层无法从信息中寻得商机等

等问题。

究其原因，笔者认为主要是管理者的观念问题，体现为下面三点：

24

IT投入的割裂

IT系统本身角度上看，IT系统关联的风险可分成两个领域：

一是IT系统的

开发，另一个则是信息系统的运行，所以其风险的管理也是分离的[25]。

这种专业

上的分工对企业的IT治理结构带来根本性的影响，人保财险公司把IT分成开发

和运行两大块也源于此。

公司管理层的决策更多的是关注新产品、新项目的开发，

而IT运营方面除非出现了重大的问题，否则高级管理层极少触及。

对公司管理层

而言，IT运营风险相对于其他风险来说要疏远得多，而对IT的投入割裂成开发、

运维两个部分，显然并不利于综合考虑IT产品和服务，绩效评估低的往往是运营

投入要求高的项目。

IT系统运营支持

从IT投资项目的成功率和IT系统的可靠性两个角度来看，IT投资项目风险

高，不仅仅是技术方面的问题，更重要的是由于管理层对IT缺乏深刻的了解，业

务管理部门通常将责任交付给技术部门，认为IT只是技术部门或信息中心的事。

在这种情况下，IT应用项目很快就会脱离业务管理人员的控制与支持。

一方面，

导致IT系统的运营难以规划，公司内各部门成了“电脑诸侯”、“信息孤岛”，IT

设备、IT服务难以综合利用。

使得IT运营往往脱离企业实际需求的正确轨道。

另一方面，导致项目开发完成后，对应推广使用、修正改造、新的需求和问题收

集等缺乏业务管理部门推动、参与和重视，增加了项目追加投入和项目失败的风

险。

IT绩效测量分析

无法实施有效的绩效管理，则不能对IT的投资绩效和运行绩效不能进行有效

测量和全面掌握，不能了解当前信息化建设的“健康状况”，不能有效地发现存在

的问题，实施有效的调整和纠偏措施，掌控信息化活动的进程。

然而对IT进行绩效测量无论是在国内还是国外都是一个难点。

对IT进行绩

效测量，公司没有建立完善的指标体系，帮助量化地计算测量IT投入的使用情况，

从而精确地找出IT资源利用之前、之中和之后取得的效果与原定目标的差别，以

方便公司随时进行调整。

启动新的项目，业务管理部门更多地从需要出发，没有

考虑（也没有依据）IT的投入和产出以及项目优先次序，导致IT资源的使用浪

费和缺乏规划；

IT服务方面，由于缺乏具体绩效测量的指标，只体现IT资源的

投入，无法给出测量的结果，成为不能让人满意的IT绩效考核项目；

缺乏业务方

面的考虑，企业的IT管理更倾向IT系统技术指标的满足，比如反应时间越快越

好、网络带宽越大越好等等，而无法准确界定某种IT投资的投入产出比。

2.2.2.3系统可持续性风险

随着保险信息化的深入，信息系统已经成为公司经营管理的重要支撑，越来25

越多功能复杂的业务应用系统和办公系统架构于IT平台之上，人保财险公司的所

有经营管理活动均是在信息技术平台上运行的，对于信息技术全过程和全方位的

高度依赖，使得经营活动的任何一个环节均离不开信息技术，当信息系统发生故

障、停止运行或发生错误时，直接影响到业务目标的实现，导致客户流失，可能

使公司业务蒙受巨大损，影响公司声誉和竞争优势。

这几年，保险信息化新的需求不断成功开发上线，IT系统平台越来越庞大，

复杂性越来越高，运维管理越来越困难，系统可持续性风险亟待解决。

主要体现

为下面三个方面：

一是公司还未建立健全有效的服务管理流程，事故管理、变更管理、配置管

理、信息安全管理等IT服务管理流程缺乏，造成各应用系统时有停机，穷于应付。

二是业务连续性计划和应急处理方案缺乏或者荒于演练，系统出现故障时难

以在最短的时间内予以恢复，减低了系统的可持续性。

三是在应对IT风险时，IT部门也曾有过各种风险控制方法和模型，但一般

都是针对技术风险提出来的，偏重于某一技术领域，而且大多是采用事后反应式

的控制措施。

在信息化的整合见效期，这种单一的“救火模式”将使我们疲于应付

各种层出不穷的风险[27]。

特别对于像制度、流程、人员行为等方面有可能涉及组

织核心价值的风险，传统的控制方法存在明显不足。

2.2.2.4信息安全风险

由于网络与信息系统自身存在的缺陷、脆弱性以及面临的威胁，使信息系统

的运行客观上存在着潜在风险，在信息系统中处理的数据也存在易传播、易毁损、

易伪造的特点。

人保财险公司面对的信息安全风险，也是行业特点所体现的，主

要有下面两点：

保险是信息密集型的行业，信息安全保障工作难度大

保险业是一个数据信息集中的行业，聚积了巨量的业务数据及客户信息。

对

于这些数据的充分挖掘和利用，为企业的经营和管理提供了重要的指导和决策依

据，形成公司重要的竞争优势，对公司来讲至关总要，一旦丢失，将可能对公司

和客户造成严重的损失和不良的后果。

保险数据是公司的宝贵财富，“信息就是财

富，安全才有价值”，保险业海量的数据，对信息安全的压力是不言而喻的。

在

2007年初，中国保监会发布了《中国保险业发展“十一五”规划信息化重点专项规

划》，明确地指明了保险业信息化发展的目标，确立了构建信息安全保障体系的

任务，明确了加强信息技术风险监督的职责。

因此，信息安全监管已经成为保险

监管机关的一项重要任务，信息安全防范也是各保险公司长期面对的课题。

保险信息网络庞大，业务系统复杂，信息安全保障任务繁重

随着业务的快速发展和信息化的不断推进，人保财险公司的信息网络也越来26

越庞大，不断向中小城市和乡镇甚至农村延伸。

公司与合作伙伴（如银行、代理

机构、车行）之间的网络连接越来越多。

庞大的保险个人代理难于施以信息安全

管控。

保险信息系统不断升级换代和整合，新技术的应用以及利用新技术的产品

创新和服务创新不断深化，产品和服务的多样化、定制化导致业务系统复杂多变。

这些都给本来就滞后的信息安全管理不断带来挑战。

2.2.2.5合规性风险

《企业内部控制基本规范》、《巴塞尔协议》、《萨班斯法案》、《保险公

司内部审计指引（试行）》、《保险公司风险管理指引（试行）》、《保险公司

合规管理指引》、《上交所内部控制指引》、《深交所内部控制指引》等等，这

些法规的频繁亮相，不知不觉中将我们带入了一个合规年代。

合规已成为公司管理层关注的重点。

对信息化来说，合规是一把“双刃剑”，

高悬于信息化工作人员的头上。

一方面，众多法规所带来的合规要求，必将对经

营管理起重要支撑作用的信息化产生巨大的推动力；

另一方面，也要求人保财险

公司进行信息化工作的转型，信息化工作必须向合规靠拢，遵从合规日趋严厉的

合规监管。

众所周知，《萨班斯法案》在404条款里面提到了“内控体系”，而企

业的内控很大程度上就是IT合规，IT合规包括很多层面：

可用性或者对制度的

符合程度、内部严格的管理流程等[28]。

公司在研究《萨班斯法案》要求的内控时，

发现达到40％以上都是IT需要做的工作，究其原因，一是因为IT管控已成为组

织经营管理风险管控的有效工具，二是因为信息系统本身（包括流程和业务实现）

就具备许多风险，需要合规管理。

对于人保财险公司内部，合规性风险也是风险管理的主要问题。

目前公司内

部风险控制较为薄弱，基础数据作假的手段和方式层出不穷，直接导致虚假批退、

虚挂应收、恶性价格竞争等情况。

主要表现为：

首先，大量贴费，虚构代理人员、虚挂中介业务，从而虚假列支或变相违规

支付高额中介手续费，甚至个人或小团体侵占挪用。

其次，非车险虚假问题逐步显现，虚假应收保费有从车险向非车险转移的趋

势。

非车险的虚假批退、虚挂应收、部分业务不进系统、设账外账等问题值得我

们高度关注。

第三，理赔中存在假赔案，直接影响公司的真实经营状况和行业形象。

2.2.2.6IT与业务需求契合的风险

公司的IT管理源于现实当中发生的技术问题，因此管理活动的主要责任被放

在IT服务部门上，技术部门不得不充当消防员的角色而在各个业务部门间来回穿

梭。

虽然这种IT管理取得了一定的效果，但从前面陈述的IT风险概念来看，它

还没达到有效控制公司IT风险的要求。

IT部门出于自身的工作性质，非常难于全面深入了解公司的业务。

这种不了

解导致在决定公司IT投资时，IT部门只能从纯粹技术的角度提出建议，无法保

证IT投入与业务需求的契合。

事实上，往往是这种不契合而非纯粹的技术问题引

发IT管理中遇到的许多问题。

不解决这个问题，IT部门将被迫永无休止地到处

救火，而且这些风险难以预测和防范。

IT部门承担IT管理的大部分责任，为业务部门提供技术基础设施。

业务管

理部门只有享受这种技术的权利却不对IT资源与业务的不匹配负相关责任，这使

整个IT管理活动缺乏利益相关者的有效参与，也就很难让IT资源真正融合为公

司运行的内在组成部分，IT和业务两张皮必然导致IT资源效用的不完全发挥。

IT部门与业务门之间的沟通协调效率低下，造成IT与业务的“逻辑错位”。

上述六方面的风险，基本涵盖了目前人保财险公司所面临的各个层次和各个

方面的主要风险，但随着时间的推移和信息化的深入，风险也会发生变化，故在

不同时期，风险情况还需具体分析。

2.3人保财险IT风险控制的必要性分析

2.3.1外部威胁加剧

从外部威胁来看，信息安全形势不容乐观.一是当前国际国内形势错综复杂，

信息安全作为一种非传统安全已成为国家安全的重要组成部分，敌对势力对我国

重要信息系统的攻击日益增多，金融和财务成为黑客攻击的重点.二是信息技术的

快速发展和深化应用使得信息安全工作难度日渐加大，全球信息安全事件数量逐

年快速增长，造成的损失越来越大，重大泄密问题时有发生，教训惨痛.三是攻击

破坏的速度让人难以做出反应；

攻击来源既有外部互联网，也有网络内部，让人

防不胜防；

攻击的工具化和智能化也令人担忧。

2.3.2监管力度加大

从监管层面来看，随着信息技术的发展以及信息技术在保险行业的广泛应用，

各监管机构对信息安全监管力度也不断加大。

为加快推进信息安全等级保护，规范信息安全等级保护管理，提高信息安全

保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，

公安部、国家保密局、国家密码管理局、国务院信息化工作办公室等四个部门联

合制定了《信息安全等级保护管理办法》，将其作为国家在信息安全工作的基本

制度和国策，强制推行。

中国保险监督管理委员会（简称中国保监会），是国务院直属事业单位。

根

据国务院授权履行行政管理职能，依照法律、法规统一监督管理全国保险市场，

维护保险业的合法、稳健运行。

中国保监会在2003年成立了主管该项工作的统计信息部，逐步加强了这方面

的管理，完善信息安全监管体系，并先后出台了《关于进一步加强保险系统信息

安全保障工作的通知》、《保险机构开业信息化建设验收