第一篇:保险公司风险管理指引
保险公司风险管理指引(试行)
各保险公司、保险资产管理公司,各保监局:
为强化保险公司风险管理,加强保险监管,提高风险防范能力,保监会制定了《保险公司风险管理指引(试行)》。现印发给你们,请各公司结合自身实际,认真贯彻落实。
特此通知
二○○七年四月六日
目录 第一章 总
则 第二章 风险管理组织 第三章 风险评估 第四章 风险控制
第五章 风险管理的监督与改进 第六章 风险管理的监管 第七章 附
则
第一章 总
则
第一条 为指导保险公司加强风险管理,保障保险公司稳健经营,根据《关于规范保险公司治理结构的指导意见(试行)》及其他相关法律法规,制定本指引。
第二条 本指引适用于在中国境内依法设立的保险公司和保险资产管理公司。
保险集团(控股)公司已经按照本指引规定建立覆盖全集团的风险管理体系的,经中国保监会批准,其保险子公司可以不适用本指引。
第三条 本指引所称风险,是指对实现保险经营目标可能产生负面影响的不确定性因素。
第四条 本指引所称风险管理,是指保险公司围绕经营目标,对保险经营中的风险进行识别、评估和控制的基本流程以及相关的组织架构、制度和措施。
第五条 保险公司应当明确风险管理目标,建立健全风险管理体系,规范风险管理流程,采用先进的风险管理方法和手段,努力实现适当风险水平下的效益最大化。
第六条 保险公司风险管理应当遵循以下原则:
(一)全面管理与重点监控相统一的原则。保险公司应当建立覆盖所有业务流程和操作环节,能够对风险进行持续监控、定期评估和准确预警的全面风险管理体系,同时要根据公司实际有针对性地实施重点风险监控,及时发现、防范和化解对公司经营有重要影响的风险。
(二)独立集中与分工协作相统一的原则。保险公司应当建立全面评估和集中管理风险的机制,保证风险管理的独立性和客观性,同时要强化业务单位的风险管理主体职责,在保证风险管理职能部门与业务单位分工明确、密切协作的基础上,使业务发展与风险管理平行推进,实现对风险的过程控制。
(三)充分有效与成本控制相统一的原则。保险公司应当建立与自身经营目标、业务规模、资本实力、管理能力和风险状况相适应的风险管理体系,同时要合理权衡风险管理成本与效益的关系,合理配置风险管理资源,实现适当成本下的有效风险管理。
第七条 保险公司应当建立涵盖风险管理基本流程和控制环节的信息系统,提高风险管理的信息化水平。
保险公司应当统筹规划风险管理和业务管理信息系统,使风险信息能够在职能部门和业务单位之间实现集成与共享,充分满足对风险进行分析评估和监控管理的各项要求。
第八条 保险公司应当定期对高级管理人员和员工进行风险管理理念、知识、流程以及控制方式等内容的培训,增强风险管理意识,同时将风险管理绩效与薪酬制度、人事制度和责任追究制度相结合,培育和塑造良好的风险管理文化。
返
回
第二章 风险管理组织
第九条 保险公司应当建立由董事会负最终责任、管理层直接领导,以风险管理机构为依托,相关职能部门密切配合,覆盖所有业务单位的风险管理组织体系。
第十条 保险公司可以在董事会下设立风险管理委员会负责风险管理工作。
风险管理委员会成员应当熟悉保险公司业务和管理流程,对保险经营风险及其识别、评估和控制等具备足够的知识和经验。
没有设立风险管理委员会的,由审计委员会承担相应职责。
第十一条 保险公司董事会风险管理委员会应当全面了解公司面临的各项重大风险及其管理状况,监督风险管理体系运行的有效性,对以下事项进行审议并向董事会提出意见和建议:
(一)风险管理的总体目标、基本政策和工作制度;
(二)风险管理机构设置及其职责;
(三)重大决策的风险评估和重大风险的解决方案;
(四)年度风险评估报告。
第十二条 保险公司可以设立由相关高级管理人员或者部门负责人组成的综合协调机构,由总经理或者总经理指定的高级管理人员担任负责人。风险管理协调机构主要职责如下:
(一)研究制定与保险公司发展战略、整体风险承受能力相匹配的风险管理政策和制度;
(二)研究制定重大事件、重大决策和重要业务流程的风险评估报告以及重大风险的解决方案;
(三)向董事会风险管理委员会和管理层提交年度风险评估报告;
(四)指导、协调和监督各职能部门和各业务单位开展风险管理工作。
第十三条 保险公司应当设立风险管理部门或者指定工作部门具体负责风险管理相关事务工作。该部门主要职责如下:
(一)对风险进行定性和定量评估,改进风险管理方法、技术和模型;
(二)合理确定各类风险限额,组织协调风险管理日常工作,协助各业务部门在风险限额内开展业务,监控风险限额的遵守情况;
(三)资产负债管理;
(四)组织推动建立风险管理信息系统;
(五)组织推动风险文化建设。
设有本指引第十二条规定的风险管理协调机构的,该部门为其办事机构。
第十四条 保险公司各职能部门和业务单位应当接受风险管理部门的组织、协调和监督,建立健全本职能部门或者业务单位风险管理的子系统,执行风险管理的基本流程,定期对本职能部门或者业务单位的风险进行评估,对其风险管理的有效性负责。
返
回
第三章 风险评估
第十五条 保险公司应当识别和评估经营过程中面临的各类主要风险,包括:保险风险、市场风险、信用风险和操作风险等。
(一)保险风险指由于对死亡率、疾病率、赔付率、退保率等判断不正确导致产品定价错误或者准备金提取不足,再保险安排不当,非预期重大理赔等造成损失的可能性。
(二)市场风险是指由于利率、汇率、股票价格和商品价格等市场价格的不利变动而造成损失,以及由于重大危机造成业务收入无法弥补费用的可能性。
(三)信用风险是指由于债务人或者交易对手不能履行合同义务,或者信用状况的不利变动而造成损失的可能性。
(四)操作风险指由于操作流程不完善、人为过错和信息系统故障等原因导致损失的可能性。
保险公司还应当对战略规划失误和公司治理结构不完善等给公司带来不利影响的其他风险予以关注。
第十六条 保险公司风险管理部门应当与各职能部门和业务单位建立信息共享机制,广泛搜集、整理与风险管理相关的内外部信息,为风险评估奠定相应的信息基础。
第十七条 保险公司应当在广泛收集信息的基础上,对经营活动和业务流程进行风险评估。风险评估包括风险识别、风险分析、风险评价三个步骤。
风险识别是指识别经营活动及业务流程中是否存在风险以及存在何种风险。
风险分析是指对识别出的风险进行分析,判断风险发生的可能性及风险发生的条件。
风险评价是指评估风险可能产生损失的大小及对保险公司实现经营目标的影响程度。
第十八条 风险评估应当采用定性与定量相结合的方法。定量评估应当统一制定各风险的度量单位和风险度量模型,确保评估的假设前提、参数、数据来源和评估程序的合理性和准确性。
第十九条 保险公司进行风险评估时,应当对各种风险之间的相关性进行分析,以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应,对风险进行统一集中管理。
第二十条 风险评估由风险管理部门组织实施,必要时可以聘请中介机构协助实施。
第二十一条 保险公司应当对风险信息实行动态管理,及时识别新的风险,并对原有风险的变化进行重新评估。
返
回
第四章 风险控制
第二十二条 风险控制包括明确风险管理总体策略、制定风险解决方案和方案的组织实施等内容。
第二十三条 制定风险管理总体策略是指保险公司根据自身发展战略和条件,明确风险管理重点,确定风险限额,选择风险管理工具以及配置风险管理资源等的总体安排。
第二十四条 保险公司应当根据风险发生的可能性和对经营目标的影响程度,对各项风险进行分析比较,确定风险管理的重点。
第二十五条 确定风险限额是指保险公司根据自身财务状况、经营需要和各类保险业务的特点,在平衡风险与收益的基础上,确定愿意承担哪些风险及所能承受的最高风险水平,并据此确定风险的预警线。
第二十六条 保险公司针对不同类型的风险,可以选择风险规避、降低、转移或者自留等风险管理工具,确保把风险控制在风险限额以内。
第二十七条 保险公司应当根据风险管理总体策略,针对各类重大风险制定风险解决方案。风险解决方案主要包括解决该项风险所要达到的具体目标,所涉及的管理及业务流程,所需的条件和资源,所采取的具体措施及风险管理工具等内容。
第二十八条 保险公司应当根据各职能部门和业务单位职责分工,认真组织实施风险解决方案,确保风险得到有效控制。
返
回
第五章 风险管理的监督与改进
第二十九条 保险公司应当对风险管理的流程及其有效性进行检验评估,并根据评估结果及时改进。
第三十条 保险公司各职能部门和业务单位应当定期对其风险管理工作进行自查,并将自查报告报送风险管理部门。
第三十一条 保险公司风险管理部门应当定期对各职能部门和业务单位的风险管理工作进行检查评估,并提出改进的建议和措施。
第三十二条 保险公司风险管理部门应当每年至少一次向管理层和董事会提交风险评估报告。风险评估报告主要包括以下内容:
(一)风险管理组织体系和基本流程;
(二)风险管理总体策略及其执行情况;
(三)各类风险的评估方法及结果;
(四)重大风险事件情况及未来风险状况的预测;
(五)对风险管理的改进建议。
第三十三条 董事会或者其风险管理委员会可以聘请中介机构对保险公司风险管理工作进行评价,并出具评估报告。
返
回
第六章 风险管理的监管
第三十四条 保险公司应当及时向中国保监会报告本公司发生的重大风险事件。
第三十五条 保险公司应当按照本指引及偿付能力编报规则的要求,在年报中提交经董事会审议的年度风险评估报告。
第三十六条 中国保监会定期对保险公司及其分支机构的风险管理工作进行检查。检查内容主要包括:
(一)风险管理组织的健全性及履职情况;
(二)风险管理流程的完备性、可操作性和实际运行情况;
(三)重大风险处置的及时性和有效性。
第三十七条 中国保监会可以根据检查结果,对风险管理存在严重缺陷的保险公司出具风险提示函。保险公司应当按照风险提示函的要求及时提交整改方案,采取整改措施并提交整改情况报告。
返
回
第七章 附
则
第三十八条 本指引由中国保监会负责解释。
第三十九条 本指引自二○○七年七月一日起施行。
第二篇:11.保险公司风险管理指引(试行)
关于印发《保险公司风险管理指引(试行)》的通知
2007-04-18 保监发〔2007〕23号
各保险公司、保险资产管理公司,各保监局:
为强化保险公司风险管理,加强保险监管,提高风险防范能力,保监会制定了《保险公司风险管理指引(试行)》。现印发给你们,请各公司结合自身实际,认真贯彻落实。
特此通知
二○○七年四月六日
保险公司风险管理指引(试行)
第一章 总则
第一条 为指导保险公司加强风险管理,保障保险公司稳健经营,根据《关于规范保险公司治理结构的指导意见(试行)》及其他相关法律法规,制定本指引。
第二条 本指引适用于在中国境内依法设立的保险公司和保险资产管理公司。
保险集团(控股)公司已经按照本指引规定建立覆盖全集团的风险管理体系的,经中国保监会批准,其保险子公司可以不适用本指引。
第三条 本指引所称风险,是指对实现保险经营目标可能产生负面影响的不确定性因素。
第四条 本指引所称风险管理,是指保险公司围绕经营目标,对保险经营中的风险进行识别、评估和控制的基本流程以及相关的组织架构、制度和措施。
第五条 保险公司应当明确风险管理目标,建立健全风险管理体系,规范风险管理流程,采用先进的风险管理方法和手段,努力实现适当风险水平下的效益最大化。
第六条 保险公司风险管理应当遵循以下原则:
覆估地响 全性能险 与应合
(一)全面管理与重点监控相统一的原则。保险公司应当建立盖所有业务流程和操作环节,能够对风险进行持续监控、定期评和准确预警的全面风险管理体系,同时要根据公司实际有针对性实施重点风险监控,及时发现、防范和化解对公司经营有重要影的风险。
(二)独立集中与分工协作相统一的原则。保险公司应当建立面评估和集中管理风险的机制,保证风险管理的独立性和客观,同时要强化业务单位的风险管理主体职责,在保证风险管理职部门与业务单位分工明确、密切协作的基础上,使业务发展与风管理平行推进,实现对风险的过程控制。
(三)充分有效与成本控制相统一的原则。保险公司应当建立自身经营目标、业务规模、资本实力、管理能力和风险状况相适的风险管理体系,同时要合理权衡风险管理成本与效益的关系,理配置风险管理资源,实现适当成本下的有效风险管理。
第七条 保险公司应当建立涵盖风险管理基本流程和控制环节的信息系统,提高风险管理的信息化水平。
保险公司应当统筹规划风险管理和业务管理信息系统,使风险信息能够在职能部门和业务单位之间实现集成与共享,充分满足对风险进行分析评估和监控管理的各项要求。
理识结 第八条 保险公司应当定期对高级管理人员和员工进行风险管理念、知识、流程以及控制方式等内容的培训,增强风险管理意,同时将风险管理绩效与薪酬制度、人事制度和责任追究制度相合,培育和塑造良好的风险管理文化。
第二章 风险管理组织
第九条 保险公司应当建立由董事会负最终责任、管理层直接领导,以风险管理机构为依托,相关职能部门密切配合,覆盖所有业务单位的风险管理组织体系。
第十条 保险公司可以在董事会下设立风险管理委员会负责风险管理工作。
风险管理委员会成员应当熟悉保险公司业务和管理流程,对保险经营风险及其识别、评估和控制等具备足够的知识和经验。
没有设立风险管理委员会的,由审计委员会承担相应职责。
第十一条 保险公司董事会风险管理委员会应当全面了解公司面临的各项重大风险及其管理状况,监督风险管理体系运行的有效性,对以下事项进行审议并向董事会提出意见和建议:
(一)风险管理的总体目标、基本政策和工作制度;
(二)风险管理机构设置及其职责;
(三)重大决策的风险评估和重大风险的解决方案;
(四)风险评估报告。
第十二条 保险公司可以设立由相关高级管理人员或者部门负责人组成的综合协调机构,由总经理或者总经理指定的高级管理人员担任负责人。风险管理协调机构主要职责如下:
(一)研究制定与保险公司发展战略、整体风险承受能力相匹配的风险管理政策和制度;
(二)研究制定重大事件、重大决策和重要业务流程的风险评估报告以及重大风险的解决方案;
(三)向董事会风险管理委员会和管理层提交风险评估报告;
(四)指导、协调和监督各职能部门和各业务单位开展风险管理工作。
第十三条 保险公司应当设立风险管理部门或者指定工作部门具体负责风险管理相关事务工作。该部门主要职责如下:
(一)对风险进行定性和定量评估,改进风险管理方法、技术和模型;
(二)合理确定各类风险限额,组织协调风险管理日常工作,协助各业务部门在风险限额内开展业务,监控风险限额的遵守情况;
(三)资产负债管理;
(四)组织推动建立风险管理信息系统;
(五)组织推动风险文化建设。
设有本指引第十二条规定的风险管理协调机构的,该部门为其办事机构。
部管业 门理务第的的单十组子位四织系的条 保险公司各职能部门和业务单位应当接受风险管理、协调和监督,建立健全本职能部门或者业务单位风险统,执行风险管理的基本流程,定期对本职能部门或者风险进行评估,对其风险管理的有效性负责。
第三章 风险评估
第十五条 保险公司应当识别和评估经营过程中面临的各类主要风险,包括:保险风险、市场风险、信用风险和操作风险等。
(一)保险风险指由于对死亡率、疾病率、赔付率、退保率等判断不正确导致产品定价错误或者准备金提取不足,再保险安排不当,非预期重大理赔等造成损失的可能性。
(二)市场风险是指由于利率、汇率、股票价格和商品价格等市场价格的不利变动而造成损失,以及由于重大危机造成业务收入无法弥补费用的可能性。
(三)信用风险是指由于债务人或者交易对手不能履行合同义务,或者信用状况的不利变动而造成损失的可能性。
(四)操作风险指由于操作流程不完善、人为过错和信息系统故障等原因导致损失的可能性。
保险公司还应当对战略规划失误和公司治理结构不完善等给公司带来不利影响的其他风险予以关注。
第十六条 保险公司风险管理部门应当与各职能部门和业务单位建立信息共享机制,广泛搜集、整理与风险管理相关的内外部信息,为风险评估奠定相应的信息基础。
第十七条 保险公司应当在广泛收集信息的基础上,对经营活动和业务流程进行风险评估。风险评估包括风险识别、风险分析、风险评价三个步骤。
风险识别是指识别经营活动及业务流程中是否存在风险以及存在何种风险。
风险分析是指对识别出的风险进行分析,判断风险发生的可能性及风险发生的条件。
风险评价是指评估风险可能产生损失的大小及对保险公司实现经营目标的影响程度。
第十八条 风险评估应当采用定性与定量相结合的方法。定量评估应当统一制定各风险的度量单位和风险度量模型,确保评估的假设前提、参数、数据来源和评估程序的合理性和准确性。
第十九条 保险公司进行风险评估时,应当对各种风险之间的相关性进行分析,以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应,对风险进行统一集中管理。
第二十条 风险评估由风险管理部门组织实施,必要时可以聘请中介机构协助实施。
第二十一条 保险公司应当对风险信息实行动态管理,及时识别新的风险,并对原有风险的变化进行重新评估。
第四章 风险控制
第二十二条 风险控制包括明确风险管理总体策略、制定风险解决方案和方案的组织实施等内容。
第二十三条 制定风险管理总体策略是指保险公司根据自身发展战略和条件,明确风险管理重点,确定风险限额,选择风险管理工具以及配置风险管理资源等的总体安排。
第二十四条 保险公司应当根据风险发生的可能性和对经营目标的影响程度,对各项风险进行分析比较,确定风险管理的重点。
经定的 营愿预第需意警二要承线十和担。五条 确定风险限额是指保险公司根据自身财务状况、各类保险业务的特点,在平衡风险与收益的基础上,确哪些风险及所能承受的最高风险水平,并据此确定风险
第二十六条 保险公司针对不同类型的风险,可以选择风险规避、降低、转移或者自留等风险管理工具,确保把风险控制在风险限额以内。
重所源 大要,第风达所二险到采十制的取七定具的条风体具 保险公司应当根据风险管理总体策略,针对各类险解决方案。风险解决方案主要包括解决该项风险目标,所涉及的管理及业务流程,所需的条件和资体措施及风险管理工具等内容。
第二十八条 保险公司应当根据各职能部门和业务单位职责分工,认真组织实施风险解决方案,确保风险得到有效控制。
第五章 风险管理的监督与改进
第二十九条 保险公司应当对风险管理的流程及其有效性进行检验评估,并根据评估结果及时改进。
第三十条 保险公司各职能部门和业务单位应当定期对其风险管理工作进行自查,并将自查报告报送风险管理部门。
第三十一条 保险公司风险管理部门应当定期对各职能部门和业务单位的风险管理工作进行检查评估,并提出改进的建议和措施。
第三十二条 保险公司风险管理部门应当每年至少一次向管理层和董事会提交风险评估报告。风险评估报告主要包括以下内容:
(一)风险管理组织体系和基本流程;
(二)风险管理总体策略及其执行情况;
(三)各类风险的评估方法及结果;
(四)重大风险事件情况及未来风险状况的预测;
(五)对风险管理的改进建议。
第三十三条 董事会或者其风险管理委员会可以聘请中介机构对保险公司风险管理工作进行评价,并出具评估报告。
第六章 风险管理的监管
第三十四条 保险公司应当及时向中国保监会报告本公司发生的重大风险事件。
第三十五条 保险公司应当按照本指引及偿付能力编报规则的要求,在年报中提交经董事会审议的风险评估报告。
第三十六条 中国保监会定期对保险公司及其分支机构的风险管理工作进行检查。检查内容主要包括:
(一)风险管理组织的健全性及履职情况;
(二)风险管理流程的完备性、可操作性和实际运行情况;
(三)重大风险处置的及时性和有效性。
第三十七条 中国保监会可以根据检查结果,对风险管理存在严重缺陷的保险公司出具风险提示函。保险公司应当按照风险提示函的要求及时提交整改方案,采取整改措施并提交整改情况报告。
第七章 附则
第三十八条 本指引由中国保监会负责解释。
第三十九条 本指引自二○○七年七月一日起施行。
第三篇:保险公司风险管理指引(试行)
关于印发《保险公司风险管理指引(试行)》的通知
2007-04-18
保监发〔2007〕23号
各保险公司、保险资产管理公司,各保监局:
为强化保险公司风险管理,加强保险监管,提高风险防范能力,保监会制定了《保险公司风险管理指引(试行)》。现印发给你们,请各公司结合自身实际,认真贯彻落实。
特此通知
二○○七年四月六日
保险公司风险管理指引(试行)
第一章 总则
第一条 为指导保险公司加强风险管理,保障保险公司稳健经营,根据《关于规范保险公司治理结构的指导意见(试行)》及其他相关法律法规,制定本指引。
第二条 本指引适用于在中国境内依法设立的保险公司和保险资产管理公司。
保险集团(控股)公司已经按照本指引规定建立覆盖全集团的风险管理体系的,经中国保监会批准,其保险子公司可以不适用本指引。
第三条 本指引所称风险,是指对实现保险经营目标可能产生负面影响的不确定性因素。
第四条 本指引所称风险管理,是指保险公司围绕经营目标,对保险经营中的风险进行识别、评估和控制的基本流程以及相关的组织架构、制度和措施。
第五条 保险公司应当明确风险管理目标,建立健全风险管理体系,规范风险管理流程,采用先进的风险管理方法和手段,努力实现适当风险水平下的效益最大化。
第六条 保险公司风险管理应当遵循以下原则:
(一)全面管理与重点监控相统一的原则。保险公司应当建立覆盖所有业务流程和操作环节,能够对风险进行持续监控、定期评估和准确预警的全面风险管理体系,同时要根据公司实际有针对性地实施重点风险监控,及时发现、防范和化解对公司经营有重要影响的风险。
(二)独立集中与分工协作相统一的原则。保险公司应当建立全面评估和集中管理风险的机制,保证风险管理的独立性和客观性,同时要强化业务单位的风险管理主体职责,在保证风险管理职能部门与业务单位分工明确、密切协作的基础上,使业务发展与风险管理平行推进,实现对风险的过程控制。
(三)充分有效与成本控制相统一的原则。保险公司应当建立与自身经营目标、业务规模、资本实力、管理能力和风险状况相适应的风险管理体系,同时要合理权衡风险管理成本与效益的关系,合理配置风险管理资源,实现适当成本下的有效风险管理。
第七条 保险公司应当建立涵盖风险管理基本流程和控制环节的信息系统,提高风险管理的信息化水平。
保险公司应当统筹规划风险管理和业务管理信息系统,使风险信息能够在职能部门和业务单位之间实现集成与共享,充分满足对风险进行分析评估和监控管理的各项要求。
第八条 保险公司应当定期对高级管理人员和员工进行风险管理理念、知识、流程以及控制方式等内容的培训,增强风险管理意识,同时将风险管理绩效与薪酬制度、人事制度和责任追究制度相结合,培育和塑造良好的风险管理文化。
第二章 风险管理组织
第九条 保险公司应当建立由董事会负最终责任、管理层直接领导,以风险管理机构为依托,相关职能部门密切配合,覆盖所有业务单位的风险管理组织体系。
第十条 保险公司可以在董事会下设立风险管理委员会负责风险管理工作。
风险管理委员会成员应当熟悉保险公司业务和管理流程,对保险经营风险及其识别、评估和控制等具备足够的知识和经验。
没有设立风险管理委员会的,由审计委员会承担相应职责。
第十一条 保险公司董事会风险管理委员会应当全面了解公司面临的各项重大风险及其管理状况,监督风险管理体系运行的有效性,对以下事项进行审议并向董事会提出意见和建议:
(一)风险管理的总体目标、基本政策和工作制度;
(二)风险管理机构设置及其职责;
(三)重大决策的风险评估和重大风险的解决方案;
(四)风险评估报告。
第十二条 保险公司可以设立由相关高级管理人员或者部门负责人组成的综合协调机构,由总经理或者总经理指定的高级管理人员担任负责人。风险管理协调机构主要职责如下:
(一)研究制定与保险公司发展战略、整体风险承受能力相匹配的风险管理政策和制度;
(二)研究制定重大事件、重大决策和重要业务流程的风险评估报告以及重大风险的解决方案;
(三)向董事会风险管理委员会和管理层提交风险评估报告;
(四)指导、协调和监督各职能部门和各业务单位开展风险管理工作。
第十三条 保险公司应当设立风险管理部门或者指定工作部门具体负责风险管理相关事务工作。该部门主要职责如下:
(一)对风险进行定性和定量评估,改进风险管理方法、技术和模型;
(二)合理确定各类风险限额,组织协调风险管理日常工作,协助各业务部门在风险限额内开展业务,监控风险限额的遵守情况;
(三)资产负债管理;
(四)组织推动建立风险管理信息系统;
(五)组织推动风险文化建设。
设有本指引第十二条规定的风险管理协调机构的,该部门为其办事机构。
第十四条 保险公司各职能部门和业务单位应当接受风险管理部门的组织、协调和监督,建立健全本职能部门或者业务单位风险管理的子系统,执行风险管理的基本流程,定期对本职能部门或者业务单位的风险进行评估,对其风险管理的有效性负责。
第三章 风险评估
第十五条 保险公司应当识别和评估经营过程中面临的各类主要风险,包括:保险风险、市场风险、信用风险和操作风险等。
(一)保险风险指由于对死亡率、疾病率、赔付率、退保率等判断不正确导致产品定价错误或者准备金提取不足,再保险安排不当,非预期重大理赔等造成损失的可能性。
(二)市场风险是指由于利率、汇率、股票价格和商品价格等市场价格的不利变动而造成损失,以及由于重大危机造成业务收入无法弥补费用的可能性。
(三)信用风险是指由于债务人或者交易对手不能履行合同义务,或者信用状况的不利变动而造成损失的可能性。
(四)操作风险指由于操作流程不完善、人为过错和信息系统故障等原因导致损失的可能性。
保险公司还应当对战略规划失误和公司治理结构不完善等给公司带来不利影响的其他风险予以关注。
第十六条 保险公司风险管理部门应当与各职能部门和业务单位建立信息共享机制,广泛搜集、整理与风险管理相关的内外部信息,为风险评估奠定相应的信息基础。
第十七条 保险公司应当在广泛收集信息的基础上,对经营活动和业务流程进行风险评估。风险评估包括风险识别、风险分析、风险评价三个步骤。
风险识别是指识别经营活动及业务流程中是否存在风险以及存在何种风险。
风险分析是指对识别出的风险进行分析,判断风险发生的可能性及风险发生的条件。
风险评价是指评估风险可能产生损失的大小及对保险公司实现经营目标的影响程度。
第十八条 风险评估应当采用定性与定量相结合的方法。定量评估应当统一制定各风险的度量单位和风险度量模型,确保评估的假设前提、参数、数据来源和评估程序的合理性和准确性。
第十九条 保险公司进行风险评估时,应当对各种风险之间的相关性进行分析,以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应,对风险进行统一集中管理。
第二十条 风险评估由风险管理部门组织实施,必要时可以聘请中介机构协助实施。
第二十一条 保险公司应当对风险信息实行动态管理,及时识别新的风险,并对原有风险的变化进行重新评估。
第四章 风险控制
第二十二条 风险控制包括明确风险管理总体策略、制定风险解决方案和方案的组织实施等内容。
第二十三条 制定风险管理总体策略是指保险公司根据自身发展战略和条件,明确风险管理重点,确定风险限额,选择风险管理工具以及配置风险管理资源等的总体安排。
第二十四条 保险公司应当根据风险发生的可能性和对经营目标的影响程度,对各项风险进行分析比较,确定风险管理的重点。
第二十五条 确定风险限额是指保险公司根据自身财务状况、经营需要和各类保险业务的特点,在平衡风险与收益的基础上,确定愿意承担哪些风险及所能承受的最高风险水平,并据此确定风险的预警线。
第二十六条 保险公司针对不同类型的风险,可以选择风险规避、降低、转移或者自留等风险管理工具,确保把风险控制在风险限额以内。
第二十七条 保险公司应当根据风险管理总体策略,针对各类重大风险制定风险解决方案。风险解决方案主要包括解决该项风险所要达到的具体目标,所涉及的管理及业务流程,所需的条件和资源,所采取的具体措施及风险管理工具等内容。
第二十八条 保险公司应当根据各职能部门和业务单位职责分工,认真组织实施风险解决方案,确保风险得到有效控制。
第五章 风险管理的监督与改进
第二十九条 保险公司应当对风险管理的流程及其有效性进行检验评估,并根据评估结果及时改进。
第三十条 保险公司各职能部门和业务单位应当定期对其风险管理工作进行自查,并将自查报告报送风险管理部门。
第三十一条 保险公司风险管理部门应当定期对各职能部门和业务单位的风险管理工作进行检查评估,并提出改进的建议和措施。
第三十二条 保险公司风险管理部门应当每年至少一次向管理层和董事会提交风险评估报告。风险评估报告主要包括以下内容:
(一)风险管理组织体系和基本流程;
(二)风险管理总体策略及其执行情况;
(三)各类风险的评估方法及结果;
(四)重大风险事件情况及未来风险状况的预测;
(五)对风险管理的改进建议。
第三十三条 董事会或者其风险管理委员会可以聘请中介机构对保险公司风险管理工作进行评价,并出具评估报告。
第六章 风险管理的监管
第三十四条 保险公司应当及时向中国保监会报告本公司发生的重大风险事件。
第三十五条 保险公司应当按照本指引及偿付能力编报规则的要求,在年报中提交经董事会审议的风险评估报告。
第三十六条 中国保监会定期对保险公司及其分支机构的风险管理工作进行检查。检查内容主要包括:
(一)风险管理组织的健全性及履职情况;
(二)风险管理流程的完备性、可操作性和实际运行情况;
(三)重大风险处置的及时性和有效性。
第三十七条 中国保监会可以根据检查结果,对风险管理存在严重缺陷的保险公司出具风险提示函。保险公司应当按照风险提示函的要求及时提交整改方案,采取整改措施并提交整改情况报告。
第七章 附则
第三十八条 本指引由中国保监会负责解释。
第三十九条 本指引自二○○七年七月一日起施行。
第四篇:保险公司合规管理指引
《保险公司合规管理指引》第4条规定:保险公司应当倡导和培育良好合规文化,并将合规文化作为公司文化建设的一个重要组成部分。笔者认为,合规经营,是保险公司作为社会公民履行社会责任的基本要求,合规文化应是保险公司企业文化的核心特征。保险公司特别是公司高级管理人员应首先守法合规,主动合规,方能率先垂范、上行下效,进而正面影响员工行为和心态,强力塑造员工守信、专业、用心的良好品格和价值观,同时带动良性循环。如此,良好的企业文化形成自是必然。有效借助相关规定,促进公司业务发展
有人错误地认为,合规管理与公司业务发展呈现为矛盾状态,合规检查、评估、问责等往往对公司具体业务发展有负面影响。笔者认为,现代意义合规管理工作已非静态、被动和单纯风险审查,主动研究相关政策和规定,积极为公司业务发展提供合规支持是现代合规管理的应尽职责。
其一,由于对法律法规和监管规定比较熟悉,合规人员可以通过对相关监管规定和监督政策趋势导向进行分析、评估、跟踪等,对公司战略规划和业务发展规划提供合规风险意见和建议,协助公司搭建符合公司现实和外部监管要求的理想发展规划。
其二,法律法规和监管规定在提出风险管理要求同时往往蕴涵着业务发展的机会。优秀的合规人员可以从国家发布的最新法律法规和监管规定中,分析监管动向和思路,为公司既有业务发展规范提供建议,为公司创新业务(如新产品、新渠道等)发展提供环境分析。其三,在研判具体业务发展思路时,合规人员可以与业务部门联合探讨业务发展具体监管环境,在符合监管规定和最佳发展路线中寻求最好平衡点,防止因对监管规定的不熟悉出现走弯路、走回头路现象,避免无谓违规行为的发生。
中国保监会于2007年9月7日颁布了《保险公司合规管理指引》(以下简称《指引》),其中正式引入了合规、合规文化、合规文化建设等内容。在《指引》中将合规文化建设作为企业文化建设的一部分,也就是说,合规文化建设也就成为了保险公司基础性工作之一,也是合规工作开展的基础之一。合规文化建设在合规工作中的重要性如此之高,使得保险公司应该对合规文化建设进行深入地理解和切实地推动。统观点认为,合规消耗成本,企业特别是初创期的企业不应该在合规管理上有更多投入。但是越来越多的企业认识到,合规风险管理是企业运作核心支柱之一,合规不仅仅是一种负担和成本,本身也是一种创造价值的活动。保险行业作为经营风险的特殊行业,合规管理更为重要,保险公司更应形成“合规创造价值”的经营文化。为此,中国保监会下发的《保险公司合规管理指引》第4条指出:“保险公司应该推行主动合规、合规创造价值等合规理念”。笔者认为,保险行业领域合规创造价值具体表现为以下四个方面。防止因违规遭受处罚,避免各类损失
与一般企业不同,保险行业是社会公众行业,属于严格监管的金融行业。中国保监会以及派出机构依照《保险法》、《保险公司管理规定》等法律法规和相关监管规定,对保险公司治理结构、产品管理、销售行为、信息披露、偿付能力、资金运用等均进行严格监管。对违规保险机构和相关人员,保险监管部门可以采取相应行政处罚措施,包括监管谈话、责令改正、警告、罚款、撤换人员、停止原有业务、停止接受新业务、吊销许可证、停业整顿、撤消任职资格以及行业禁止等。触犯刑法的,则可以移交司法部门。保险公司一旦被处罚,违规成本极高,不但遭受财务损失和声誉损失,有的公司业务发展因此陷入困顿,极端的被停业整顿甚至退出市场。近年来,这类案例已不鲜见。建立流程顺畅、运行高效的内控体系
企业管理实践中,公司治理结构混乱、规章制度冲突、流程错乱、职责不清、问责无门等现象已是屡见不鲜,该类企业往往沟通成本高、执行能力差、运行效率低、经营效益差、生命力短暂。
合规管理是保险公司实施有效内部控制的基础性工作。《保险公司合规管理指引》第14条指出:“审查公司内部规章制度和业务流程”是合规管理部门的重要职责。由此看来,保险公司合规工作的一项重要内容就是对公司运营流程、内控制度等进行清理、整合、评估、修订和完善,防止因制度冲突造成执行困扰和不便,降低公司内部沟通成本,促使公司逐渐搭建起流程顺畅、运行高效的内控体系,并进而提高公司经营效率,促进公司稳健健康发展。另外,通过合规管理工作,保险公司各层级员工岗位职责明确、报告路线清晰、问责渠道顺畅,最大限度地促使各级管理人员减少工作失误或渎职等违纪、违规、违法发生,有效维护公司整体利益。
在保险行业发展前期,往往强调产品创新、营销创新,注重营销业绩的高速增长和市场份额的扩大,以粗放式的发展为鲜明特征。随着保险行业的竞争日趋激烈,价格竞争、理赔竞争不再具有竞争优势,新华保险启动了“以客户为中心”的战略调整,并把打造“以寿险业为主导的金融服务集团”作为今后较长一段时期的战略目标。
聚焦客户部署战略
新华保险将2011年定位为其新五年战略的开局之年,同时也定位为新华保险的客户年。公司董事长康典强调指出,客户是新华保险最宝贵最可依赖的财产,新华保险全体员工都应该把全部的身心倾注在客户身上,与客户形成“互相支持、互相依赖”的关系。惟有如此,新华保险的发展才能建立在一个更加坚实的基础之上。
公开的数据资料显示,过去15年,新华保险的规模保费已从成立当年的2.6亿元增至2010年的超过930亿元,机构规模扩展至1400多个分支机构。新华保险正面临从成长期进入成熟期、从快速型成长进入稳健型发展的历史转变。
在此关键时期,新华保险做出聚焦客户的战略决策,进一步夯实内部管理,提升服务水平,是构建与其市场地位相匹配的核心竞争能力的要求,也是逐步奠定中国寿险业领先地位的要求。
立足细节提升客户服务实力
“投保容易理赔难”一直是客户心中萦绕不去的困惑。保险的保障功能最终体现在理赔上,因为它关乎客户的切身利益,是检验保险企业责任感和诚信的试金石。为进一步提升理赔服务客户满意度,新华保险首创标准化、规范化、制度化的理赔服务星级评定管理机制。该系统从服务项目、服务质量、服务工具、服务环境和影响等多方面进行评价,将理赔服务星级达成标准由低至高划分为五个星级级次。目前,新华保险已有多家分公司本部及中心支公司达标并将授予相应的星级服务标识。
新华保险还多次组织以理赔公益课堂等多种形式开展理赔基础知识的普及和员工培训,让客户明明白白理赔,同时培养和提高业务团队的理赔服务意识与能力。另外,新华保险还开辟财富渠道,细分客户需求,为高端客户提供专属的理财服务,从中都可以看到其精细化服务的痕迹。而续收渠道集中服务“孤儿单”的职能设置,则是人性化服务的具体表现,让约2400万的客户群一个都不掉队。
升级硬件平台提高客户服务效率
为提升客户服务水平,新华保险不断升级各方面“硬件”平台,为客户细分、个性营销、差异化服务奠定了坚实基础。
据悉,新华保险网站服务平台已完成升级。线上咨询、保险及理赔信息的查询全部可以在网上进行,消费者只需动动鼠标足不出户就能轻松查询。在其电子服务平台推出之前,客户每月都要打电话查询保险信息。自2010年底,新华保险官方网站推出了“我的保险”网络服务,客户通过网上注册,填写相关信息后,只需要登陆账户,就能轻松查询到理财账户的分红、交费等信息。
继去年11月启用新的数据中心后,2011年7月,新华保险全新的共享服务中心在北京鹏润大厦落成,建筑面积达1万平方米,集中了客户联络、核保、核赔、保全及信息技术等多个后援部门,实现了集中运营作业和标准化统一管理。这也标志着新华保险有力的进行产品体系化建设,体系机制的完善建设,稳固和推进科学的资源配置模式,提升运营支持能力,完善资产负债管理,重塑企业文化,打造合规经营的典范企业已经迈开了坚实的步伐。来源中国经济网)合规代理防风险,保险理赔显成效
现年46岁的孙某,长年从事货运行业,是在信用社扶持下逐步发展起来的客户。世事难料,今年8月份,孙某在跟车送货的途中,遭遇了一场车祸,他与司机不幸遇难。家里的顶梁柱没了,还留下30万元的贷款债务,这对其妻子和刚考上大学的孩子来讲无疑是晴天霹雳。阳信县联社在得知这个消息后,迅速向保险公司报案,同时积极协调逝者家属,收集准备理赔材料,贷款本金及时得到了赔付。这笔理赔款虽然无法减轻这个家庭的悲痛,但它缓解了家庭的经济负担,带给遇难家属精神和物质上的慰藉,并有效保全了信用社的资产。
自2009年以来,阳信县联社严格按照银监局和省联社的相关要求,高度重视并进一步规范了代理保险业务,积极组织员工培训保险业务知识。截止目前,每个营业网点均有1—2名员工通过了代理保险从业资格考试,达到了保监局代理保险从业要求。在办理代理保险业务时,阳信联社一直严格遵照客户自愿投保原则,每笔保险必须由客户亲自签字确认,自愿以现金形式缴纳保费,严禁从贷款中直接扣除。为减轻客户的负担,阳信联社主动提醒客户妥善留存保单,再办理贷款业务时,直接出示原保单核对保险金额和期限,对于客户无法准确提供原保险情况的,在保险管理台帐中进行查询,避免客户重复入保,并设置了5000元的投保下线额。
通过解释宣传等营销方式,绝大多数客户已经认可了借款人意外伤害保险这项业务,两年来,阳信联社共发生理赔案件13件,已获理赔金额125万元,实现代理保险中间业务收入400余万元,不仅保障了借款人的合法利益、实现了中间业务收入的快速稳步增长,还有效化解了信用社信贷资金的意外风险。
业经营诚信合规 理赔服务立足客户 狠抓制度建设 保护大众权益——沪上保险公司老总谈保险消费者权益保护
据了解,投诉主要集中在保险合同、误导和服务等方面,车险理赔、分红险产品销售误导以及保险公司骗招营销员是保险投诉相对集中的问题。时值3·15国际消费者权益保护日之际,记者就保护保险消费者权益等问题,采访了沪上多家知名保险公司老总。努力培育诚信文化构建和谐客户关系作为上海保险同业公会常务理事及同业宣传委员会主任,中国人寿保险股份有限公司上海市分公司总经理滕华新介绍说,在维护消费者权益方面,近年来,上海保险同业做了大量的工作。例如,为消费者提供所需服务,提高保险行业协会公信力,2006年11月,全市24家有个人营销业务的寿险公司共同签署《上海市个人营销新型寿险产品服务承诺》,对个人分红、万能和投连保险产品的销售达成共同遵守8项服务承诺;2007年10月,沪上相关保险公司共同签署《上海市财产保险公司车险理赔服务承诺》《上海市寿险同业窗口服务标准》、,向广大市民表示上海保险业在探索
百年人寿以合规为基 以服务为纲
为促进行业健康有序发展,保监会一直以来非常重视险企合规经营,对违规企业及个人持续保持高压态势。对此,百年人寿董事长兼总裁何勇生表示,合规经营不仅是险企可持续发展的根本,也是树立行业形象和创造和谐保险市场的基础。据其介绍,百年人寿入选零罚单行列,与企业以合规为基以服务为纲的发展思路密切相关。
以合规经营为立身之本
2011年,在行业整体发展乏力和市场竞争更加激烈双重因素影响下,寿险违规问题有增无减,从已经公布的处罚名单上看,未被监管部门罚款的保险公司寥寥无几。而百年人寿便是其中之一。
“任何时候合规经营都是首要原则!”2009年,曾任大连保监局局长的何勇生出任百年人寿董事长兼总裁。他表示,百年人寿始终以客户利益为第一位,任何情况下都将把合规经营、稳健发展作为首要经营原则,力争打造成行业合规经营的典范。
何勇生从事保险公司经营管理工作20年,从事保险监管工作8年。多年的保险经营和监管工作经验使他更清楚保险公司的发展规律,对保险公司的监管政策非常清楚,也了解保险公司经营中的风险点。其执掌百年人寿后建立的第一个部门,就是合规经营部。
如何更好地进行合规管理?何勇生表示,百年建立了包含业务机构、合规管控以及内部审计三位一体的风险防御体系,努力把公司可能面临的风险控制在最低程度。同时,制定并出台一系列合规制度,用制度、流程甚至是系统来确保工作的合规性,协助管理层确保公司运营符合法律法规和监管机构的要求。
此外,百年人寿积极倡导和培育良好的合规文化,努力培育全体员工和营销员的合规意识,重视每位员工基本法律知识的普及和培养,举办专门的《合同法》等法律培训,确立了合规人人有责的合规理念,并将合规文化建设作为公司文化建设的一个重要组成部分。
以人性化服务为发展之策
“市场竞争激烈是寿险行业罚单颇多的根本原因。”何勇生认为,随着市场主体越来越多竞争日趋激烈,除了加大保险市场的监管力度外,更重要的引导企业培养自身竞争力,以差异化优势拉动企业发展,方能实现中国保险业不断前行。
在合规经营基础上,百年人寿逐渐摸索并确立了以服务打造企业核心竞争力的战略目标。通过提升服务水准、创新服务渠道和流程,不断延伸和拓展服务领域,持续塑造百年品牌的服务形象。
在成立伊始,百年人寿便推出一保通服务新概念。一保通是一个系统化和多元化的服务系统和管理平台,借助先进的信息技术,通过客户终身专属号码帮助客户管理全部保险资产,并运用网络等多种电子化方式为客户提供简单、快捷、方便、安全的保险服务。
此外,百年人寿还推出了全程关爱理赔的特色理赔服务。该服务是百年人寿在整合医疗资源和服务资源的基础上,将关爱的理念和关爱客户的行动延伸、扩展到理赔前、理赔中、理赔后的全过程,是将理赔服务覆盖到健康教育、诊疗支援、风险自助管控的一种全新理赔服务模式。
2012年,百年推出以偕百年心相伴为主题的新版品牌形象。何勇生介绍,新品牌形象将进一步明确百年人寿注重服务、全心为客户的品牌发展方向,感性传递百年人寿悦客户以服务和以客户为中心的服务理念。力争将服务打造成企业的核心竞争力和百年品牌形象的代名词。
逆势飞扬领衔高增长前列
出色的合规管理及差异化的竞争力,为百年持续稳健发展奠定了坚实的基础。在短短两年多时间里,百年人寿实现了良好的经营发展和快速成长,成为寿险行业一匹黑马。
据保监会日前公布的2011年保险业经营数据显示,受银保新政、银行揽储等因素影响,全年原保险保费收入约为9721亿元,同比下降8.57%。在行业整体增速放缓业的情况下,百年人寿2011年原保险保费收入却逆势上扬逼近20亿,同比增长86.28%,位居高增长前列。
此外,在机构铺设方面,百年亦表现颇佳,目前已成功开设大连、湖北、河北、辽宁、北京、河南、安徽、黑龙江、山东、江苏、四川、福建、陕西十三家省级分公司,另有内蒙古和吉林两家分公司在筹,已基本完成了在东北、华北、华中、华东、西南、西北全国六大区域的战略布局。
凭借快速的机构拓展和令人瞩目的业绩增长,百年人寿得到专家和市场的一致认可,相继获得2011成长最快、2011保险业最具潜力品牌和2011最具成长性保险品牌等多项大奖。
龙年伊始,全国保险监管工作会议提出抓服务、严监管、防风险、促发展的十二字保险监管新思路,服务与监管成行业两大主题。业内人士表示,百年在合规管理及服务方面的出色表现,不仅对其打造百年老店的企业愿景做出有力诠释,也将助其在2012年市场竞争中占据有利位置。(夏雾)
第五篇:保险公司信息系统安全管理指引
关于印发《保险公司信息系统安全管理指引(试行)》的通知
保监发〔2011〕68号
各保险公司、保险资产管理公司:
为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,中国保险监督管理委员会制定了《保险公司信息系统安全管理指引(试行)》。现印发给你们,请遵照执行。
中国保险监督管理委员会
二〇一一年十一月十六日
保险公司信息系统安全管理指引(试行)
一、总 则
第一条为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。
第三条本指引所称信息系统安全,是指利用信息安全技术及管理手段,保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性,保障信息系统的安全、稳定运行。
第四条信息系统安全是公司持续稳定发展的重要基础。各公司应通过管理机制和技术手段,加强信息安全保障工作,保障业务活动的连续性。
实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信息系统安全工作统筹规划执行。
第五条中国保监会依法对保险公司信息系统安全工作实施监督管理。
二、安全管理总体要求
第六条信息系统安全工作应按照“积极防御、综合防范”的原则,与自身业务及信息系统同步规划、同步建设、同步运行,构建完备的信息系统安全保障体系。
第七条各公司是信息系统安全的责任主体。公司法定代表人或主要负责人为信息系统安全的第一责任人。
第八条信息化工作委员会之下应设立信息安全专业工作机构,全面统筹协调公司信息系统安全相关事项的研判决策,并应指定公司级高级管理人员负责信息安全专业工作机构,作为信息系统安全的直接责任人。
第九条各公司应履行以下信息系统安全管理职责:
(一)贯彻落实国家和监管部门有关信息系统安全管理的法律法规、技术标准和相关要求。
(二)组织公司信息系统安全规划与建设工作,制订相关管理规定。
(三)建立有效的信息系统安全保障体系并定期或根据工作需要及时进行检查、评估、审计、改进、监控等工作。
(四)对信息系统安全事件进行管理、处置和上报。
(五)组织公司员工信息系统安全教育与培训。
(六)开展与信息系统安全相关的其他工作。
第十条 建立覆盖物理环境、网络、主机系统、桌面系统、数据、存储、灾备、安全事件管理及应用等各层面的安全管理规章制度,并定期或根据需要及时对安全管理规章制度进行评审、修订。
第十一条针对信息系统安全的各层面、各环节,结合各部门和岗位职责,建立职责明确的授权机制、审批流程以及完备有效、相互制衡的内部控制体系,并对审批文档和内部控制过程进行及时记录。
第十二条 配备足够的具有专业知识和技能的信息系统安全工作人员。明确信息系统安全相关人员角色和职责,建立必要的岗位分离和职责权限制约机制,实行最小授权,避免单一人员权限过于集中引发风险,重要岗位应设定候补员工及工作接替计划。
第十三条 定期或根据工作需要及时对高级管理人员开展信息安全管理与治理相关培训,对参与信息系统建设、运行维护和操作使用的人员进行安全教育、技能培训和考核。加强岗位管理,明确上岗与离岗要求,重要岗位须签署相关岗位协议。对涉密岗位工作人员应特别进行保密教育培训,并签订保密承诺书。
第十四条 按照国家和监管部门信息系统安全规范、技术标准及等级保护管理要求,明确信息系统安全保护等级,实施信息系统安全等级保护,按等级安全要求进行备案并定期测评和整改。
第十五条 制定信息管理相关制度和流程,规范管理信息采集、传输、交换、存储、备份、恢复和销毁等环节,加强重要数据信息控制和保护,保障信息的合法、合规使用。
第十六条 按照国家和监管部门信息系统灾难恢复管理要求、规范和技术标准,推进信息系统灾难恢复建设工作并定期进行演练,确保业务连续性。
第十七条 对信息系统安全事件进行等级划分和事件分类,制定安全事件报告、响应处理程序等应急预案,并定期进行演练,评审和修订。遇有重大信息系统事故或突发事件,应按应急预案快速响应处理,并按规定及时向中国保监会报告。
第十八条 建立有效可靠的安全信息获取渠道,获取与公司信息系统运营相关的外部安全预警信息,汇总、整理公司内部安全信息,及时提交公司信息安全专业工作机构,并按相关流程发布实施。
第十九条 设立独立于信息技术部门的信息科技风险审计岗位,负责信息科技审计制度制订和信息系统风险评估与审计。至少每年对信息安全控制策略和措施及落实情况进行检查,至少每两年开展一次信息科技风险评估与审计,并将信息科技风险评估审计报告报送中国保监会。
鼓励公司在符合国家有关法律、法规和监管要求的情况下,聘请具备相应资质的外部机构进行外部审计和风险评估。
第二十条加强信息系统知识产权保护和推进正版化工作,禁止复制、传播或使用非授权软件。
第二十一条申请信息安全管理体系认证的公司应按国家及监管部门要求,加强信息安全管理体系认证安全管理,选择国家认证认可监督管理部门批准的机构进行认证,并与认证机构签订安全和保密协议。
第二十二条 在信息系统可能对客户服务造成较大影响时,根据有关法律法规及时和规范地披露信息系统风险状况,并以适当的方式告知客户。
三、基础设施与网络设备环境
第二十三条根据信息化发展需要,建设相应的中心机房和灾备机房(以下统称“机房”)。机房应设置在中华人民共和国境内(不包括港、澳、台地区),机房建设须符合国家有关标准规范和监管部门要求。将机房外包托管的公司,应保证受托方机房符合上述标准,主机托管应具有独立的操作空间和严格的安全措施。
第二十四条 建立健全机房运行维护安全管理制度,指定专门部门及专人负责机房安全管理,采取合理的物理访问控制,对出入机房人员进行审查、登记,确保对机房实施7×24小时实时监控。
第二十五条 建立信息系统资产安全管理制度,编制资产清单,明确资产管理责任部门与人员,规范资产分配、使用、存储、维护和销毁等各种行为,定期对资产清单进行一致性检查并保留检查记录。
第二十六条 根据设备功能及软件应用等性质设立物理安全保护区域,采取必要的预防、检测和恢复控制措施。重要保护区域前应设置交付或过渡区域,重要设备或主要部件应进行固定并设置明显的标记。
第二十七条 根据业务、应用系统的功能及信息安全级别,将网络与信息系统划分成不同的逻辑安全区域,在网络各区域之间以及网络边界建立访问控制措施,部署监控手段,控制数据流向安全。
第二十八条建立较为完备的网络体系,具有合理的网络结构,重要网络设备和通信线路应具有冗余备份,确保业务系统安全稳定运行。
第二十九条 建立网络安全管理制度,规范管理网络结构、安全配置、日志保存、安全控制软件升级与打补丁、口令更新、文件备份和外部连接等方面的授权批准与变更审核,保障安全策略的有效执行。
第三十条 内部网络与互联网、外联单位网络等连接时,应明确网络外联种类方式,采用可靠连接策略及技术手段,实现彼此有效隔离,并对跨网络流量、网络用户行为等进行记录和定期审计,同时确保审计记录不被删除、修改或覆盖。
第三十一条 严格控制移动式设备接入、无线接入和远程接入等网络接入行为,明确接入方式、访问控制等措施要求,形成网络接入日志并定期审计,确保未经审查通过的设备无法接入。
第三十二条 加强信息系统平台软件安全管理,确保配置标准落实。对入侵行为、恶意代码、病毒等风险即进行防范部署,严格控制信息系统身份访问、资源访问,监控主机系统的资源使用情况,并在服务水平降低到设定阈值时发出报警。
第三十三条 分类对计算机终端的安全提出要求,制订终端网络准入、安全策略、软件安装等管理规范。
第三十四条 规范化管理信息系统相关硬件设备,规范设备选型、购置、登记、保养、维修、报废等相关流程,实时动态监控设备运行状态,定期进行巡检、维护和保养并保留相关记录。
第三十五条 制定介质分类管理制度。根据介质存储内容与重要性明确存储介质类型、存放技术指标、保存期限等,并定期检查介质中存储的信息是否完整可用。重要备份介质应进行异地存放。介质送出维修或销毁时,应保证介质信息预先得到审查并妥善处理。对于存储客户隐私等涉密信息的存储介质,应严格依据国家及监管部门要求进行保存与销毁等管理。
四、应用系统与数据安全
第三十六条 建立完善的信息系统开发运行维护管理组织体系,制订完备管理制度与操作规范,确保信息系统开发与运行维护过程独立、人员分离。
第三十七条 生产系统应与开发、测试系统有效隔离,确保生产系统安全、稳定运行。
第三十八条 信息系统开发、实施过程应明确控制方法和人员行为准则,保存相关文档和记录。制定信息系统代码编写安全规范,规范开发人员对源代码访问权限的管理,有效保护公司信息资产安全。涉及公司核心或机密数据的信息系统,应采取必要的保密措施确保其开发实施安全,不得使用敏感生产数据用于开发、测试环境。
第三十九条 信息系统正式上线运行前,应对系统进行功能、性能与安全性测试与验收,经相关流程审批后方可投入使用。
第四十条 制定有效的信息系统变更管理流程,控制系统变更过程,分析变更影响,确保生产环境的完整性和可靠性。包括紧急变更在内的所有变更都应记入日志,并做好系统变更前准备。
第四十一条 对信息系统的运行维护负责,保持运行维护控制力。加强安全入侵检测监控,进行风险评估与安全扫描,及时发现并处置安全事件。
第四十二条建立覆盖信息系统全生命周期的信息安全问题管理流程。建立系统身份鉴别机制,严格帐号权限控制管理,规范权限分配和回收流程,保存审计记录,及时进行分析处理。确保全面的追踪、分析和解决信息系统问题,并对问题记录、分类和索引。
在遇有系统及数据升级、存档、存储、迁移、消除等需要系统终止运行情况,应妥善处理,保证系统及数据安全。
第四十三条 根据内部控制与审计的要求,保存信息系统相关日志,并采取适当措施确保日志内容不被删除、修改或覆盖。
第四十四条 对主机系统进行审计,妥善管理并及时分析处理审计记录。对重要用户行为、异常操作和重要系统命令的使用等应进行重点审计。
第四十五条 建立信息系统灾难恢复管理机制。根据数据及系统的重要性,明确数据及系统的备份与灾难恢复策略。
第四十六条采用必要的技术手段和管理措施,保证数据通信的保密性和完整性。涉密信息应进行加密处理,确保涉密信息在传输、处理、存储过程中不被泄露或篡改。
与外部相关单位信息交换时要保证信息交换协议、策略、密钥等开发运维安全管理,采用国家和行业相关数据交换标准,保障数据交换过程安全可控。
第四十七条 按照国家密码管理相关规定和要求,建立健全密码设备管理制度,加强密码设备使用人员管理,使用符合国家要求和信息加密强度要求的加密技术和产品,加强相关信息系统安全保密设计和建设。
第四十八条 加强互联网门户网站系统安全管理工作,建立严格信息发布审批制度,严格控制网站内容发布权限,对网站系统进行安全评估,确保网站系统安全稳定运行。
第四十九条 电子商务、交易系统等应用系统建设应具备相应管理规范,明确各交易环节或过程安全要求,采取必要安全技术和管理措施,保护个人信息和客户敏感商业信息,保留交易相关日志,确保交易行为安全可靠。
第五十条 加强信息系统病毒防护工作,集中进行防病毒产品的选型测试和部署实施,及时更新防病毒软件和病毒代码,发现病毒或异常情况及时处理。
建立恶意代码防范管理制度,并部署防恶意代码软件,对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等做出明确规定,采取管理与技术措施,确保具备主动发现和有效阻止恶意代码传播的能力。
五、信息化工作外包与采购服务
第五十一条实施信息化工作外包的公司,应制定完备的外包服务管理制度,将外包纳入全面风险管理体系,合理审慎实施外包。
不得将信息系统安全管理责任外包。对涉及国家及本公司商业秘密和客户隐私等敏感信息系统内容进行外包时,应遵守国家和监管部门有关法律法规与要求,并经过公司决策机构批准。
第五十二条根据国家与监管部门有关外包与采购规定,结合风险控制和实际需要,建立有效的外包和采购内部评估审核流程与监督管理机制。
第五十三条 实施数据中心、信息科技基础设施等重要外包应格外谨慎,在准备实施重要外包时应以书面材料正式报告中国保监会。
第五十四条 建立健全外包承包方考核、评估机制,定期对承包方财务状况、技术实力、安全资质、风险控制水平和诚信记录等进行审查、评估与考核,确保其设施和能力满足外包要求。公司应优先选用通过信息安全管理体系认证的信息技术服务机构提供外包服务。
第五十五条 与外包承包方签订书面外包服务合同,合同包括但不限于外包服务范围、安全保密、知识产权、业务连续性要求、争端解决机制、合同变更或终止的过渡安排、违约责任等条款,且承包方须承诺配合保险公司接受保险监督管理机构的检查。
第五十六条 严格控制外包承包方的再转包行为。对于确有第三方外包供应商参与实施的项目,应采取有力措施,确保外包服务质量和安全不受影响和不衰减。
第五十七条 与外包承包方建立有效信息交流与沟通机制,确保外包服务人员的相对稳定性。对于人员的必要流动,应要求外包承包方承诺确保外包服务的连续性与安全性。
第五十八条中国保监会根据需要对外包活动进行现场检查,采集外包活动过程中数据信息和相关资料,对于违反相关法律、法规或存在重大风险隐患的外包情形,可以要求公司进行整改,并视情况予以问责。
六、附则
第五十九条本指引由中国保监会负责解释、修订。
第六十条信息化工作重大事项范围请参考《关于加强保险业信息化工作重大事项管理的通知》(保监厅发〔2007〕8号)
第六十一条本指引自发布之日起实施。
点击咨询 