随着信息化进程的不断加快，保险机构的业务发展和管理决策对信息系统的依赖程度越来越高，基于计算机网络的各类业务处理、对外服务及管理决策系统在给保险机构带来高效运营的同时，也给企业带来各种与信息技术相关的风险——信息技术风险。保险业信息技术风险对传统的保险监管在监管方式、监管内容等方面提出新的挑战。

    一、保险业信息技术风险监管的必要性和紧迫性

    信息技术风险是一种系统型风险，其风险会随着信息技术在机构的业务管理活动中的不断渗透，使已存在的风险扩大化，它具有突发、快速传递等特点。保险企业运用信息技术网络、设备、系统进行业务处理和客户服务及公司管理决策时，可能造成的业务经营不确定性或管理决策的不利因素，即为保险信息技术风险。其风险程度与信息技术在保险业务和管理中的应用深度和广度有密切关系。保险业计算机应用的以下特点和趋势，揭示了保险业信息技术风险管理和监管的紧迫性和必要性。

    1.保险信息网络覆盖面广，业务系统复杂度高

    随着保险业的改革开放，保险企业数量和类型以及企业自身的规模得到迅猛发展。截至2007年底，全国共有保险机构110家，比2002年增加68家，保险机构类型也大大增加。各企业支持业务发展的信息网络也随着企业规模的扩大，不断向中小城市和乡镇延伸；保险机构与其合作伙伴、代理公司之间的网络连接日益增多，网络连接边界复杂度越来越高；新技术的应用以及利用新技术的产品创新和服务创新不断深化，业务品种的多样化、个性化使得业务系统复杂多变。

    2.保险集团化管理，数据集中管理趋势明显

    保险机构为加强管理、控制经营风险，顺应国际金融发展趋势，充分利用信息技术手段，向管理信息化、数据集中化、服务一体化发展，绝大多数保险机构目前已经完成数据全国集中，核保、核赔及客户服务等后援服务系统也出现集中趋势。数据和系统处理的大集中在有效改善公司治理结构、规范业务处理流程、增强创新能力、提高服务质量等多方面发挥了重大作用。但是数据大集中模式也使得系统本身在设计和建设、应用、遭受攻击和入侵等风险的损失远远超过了分散模式的损失。一旦出现风险，多省市或整个公司将陷入瘫痪，影响巨大，损失将非常严重。

    3.信息技术服务外包明显增多

    信息技术服务外包作为行业分工，是企业获得专业技术公司服务的一种模式，其中有全部外包和部分外包两种形式。目前，保险业的外包形式多为部分外包，大致包括几类：机房租用、网络及硬件设备维护、应用软件开发及维护、灾难备份恢复等。IT服务外包在为保险企业带来效用的同时,也因为外包服务的范围、内容不同，潜藏了不同的风险。这些风险主要表现在:保险机构对外包的内容控制有限，过度依赖服务商；外包服务公司缺乏对保险业务运转和需求的理解，服务不尽如人意；影响信息资源安全性的因素增多等。由于我国信息技术服务外包起步较晚，对服务公司的资质评测和审定标准不规范，服务外包方面的法律法规还不健全，一旦出现故障和纠纷，将会给保险机构的业务开展和服务管理带来影响。

    4.网上保险得到发展

    鉴于保险业务的特殊性，虽然网上直接保险的业务品种还比较少，开展这方面业务的公司也不多，但是网上保险作为公司争夺客户、拓宽营销渠道的途径之一，近年来发展也比较快。2005年我国保险业网上保险保费收入达到37亿元，2006年则近60亿元。网上保险业务的兴起对支持网上保险业务的网络与系统的安全性提出了更高要求。

    保险监管机构的监管目的就是要提高保险机构的安全性，防止和避免其监管保险企业经营失败，维持市场稳定，保护被保险人利益。上述保险机构信息技术应用表现出的特点与趋势，在对企业加强信息安全管理工作需要的同时，也对保险信息技术风险监管提出了新的要求。
 
    随着信息化进程的不断加快，保险机构的业务发展和管理决策对信息系统的依赖程度越来越高，基于计算机网络的各类业务处理、对外服务及管理决策系统在给保险机构带来高效运营的同时，也给企业带来各种与信息技术相关的风险——信息技术风险。保险业信息技术风险对传统的保险监管在监管方式、监管内容等方面提出新的挑战。
    二、我国保险信息技术风险监管现状与思考

    中国保监会成立于1998年11月，在1999年组织行业解决计算机“千年虫”问题时，就意识到信息技术的风险对企业发展经营的影响。但当时保险业信息化应用的水平还不高，中国保监会对行业信息化的管理也处于起步阶段。随着信息技术的发展以及信息技术在保险行业的广泛应用，中国保监会逐步加强了这方面的管理，并在2003年成立了主管该项工作的统计信息部，先后出台了《关于进一步加强保险系统信息安全保障工作的通知》、《保险机构开业信息化建设验收指引》、《中国保险业发展“十一五”规划信息化重点专项规划》、《关于加强保险业信息化工作重大事项管理的通知》、《保险业信息系统灾难恢复管理指引》等文件，对保险行业信息化建设提出了要求。从2005年开始，中国保监会还组织保险机构进行了信息安全自查与检查，对检查方式与内容做了明确要求。2007年中国保监会联合研究机构开展了保险信息系统风险评估体系与预警研究。

    根据我国保险业信息系统应用特点和技术风险监管现状,保险技术风险监管可采取以下策略。

    1.尽快完善保险信息技术风险监管制度体系

    保险信息技术风险监管就是保险监管机构依据国家法律法规对保险企业信息技术应用过程进行监督管理。因此，保险监管机构首先是通过制定有关办法与指引，积极引导保险机构提高信息技术风险意识和管理水平，使信息技术能够更好地支持保险机构业务和管理战略目标的实现，在最大限度上规避由于信息技术的应用而带来的技术风险。管理指引应遵循国家法律法规，结合保险业特点，与已经出台的保险业务风险监管制度相衔接，制定保险业信息系统风险管理指引，从风险管理组织架构、制度体系建设、研究开发过程风险控制、运行维护风险控制等方面提出总体风险防范要求。同时根据各风险点，制定分项管理指引，如灾难恢复、IT外包服务、网上保险安全等管理指引，形成保险行业的信息安全制度规范体系，以此来加强对保险信息技术风险的监管。

    2.建立保险信息技术风险评级体系

    风险评级体系一方面可以让被监管机构明确问题所在，进一步加强信息系统安全保障工作；另一方面可以让监管机构更全面、更直接地掌握被监管机构技术风险的实际情况，评估其在控制各种技术风险时的总体有效程度，适时进行分类监管。第一，可以借鉴国际上金融监管经验，如美国、新加坡、中国香港等国家和地区的技术风险监管经验，参考国际标准和国家标准，根据保险行业的特点和现状，从影响信息安全的技术、组织和管理等方面，研究保险业技术风险评估指标体系，确定划分信息安全级别标准。第二，根据各指标项的意义，依据等级保护的思想和适度安全的原则，确定其打分权重, 对各项指标进行定量分析,给出技术风险评级。技术风险评级可以对公司进行总体技术风险评级，也可以分系统类型进行专项评级。第三，根据评级结果，结合业务监管数据，建立预警系统，对被监管机构或系统实行分类监管。

    3.将信息技术风险监管纳入保险日常监管

    中国保监会主席吴定富在2008年全国保险工作会议报告中指出，要加大信息安全现场检查力度，防范科技风险，提高保险信息安全保障水平。作为刚刚起步的保险信息技术风险监管工作，要在制定科学的技术风险监管制度体系、风险评级体系同时，建立规范的信息技术风险监管检查程序，检查可分为现场检查和非现场检查，现场检查可重点关注IT组织管理制度体系、业务处理程序和技术支持系统的完整性、合理性、有效性。非现场检查可重点关注信息安全事件采集、系统运行重大事项的报告和处置。将信息技术风险现场检查和非现场检查纳入对保险企业风险监管的整体框架。

    开展保险业信息技术风险监管将会为我国保险行业的稳定快速发展创造更加良好的外部环境，也将大大加强保险行业的信息化建设水平及保险企业的风险控制能力。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。