第一篇:保监会133号文件-保险公司信息化工作管理指引
保监发〔2009〕133号
各保监局,各保险公司、保险资产管理公司:
为加强保险公司信息化工作管理,提高保险业信息化工作水平,中国保险监督管理委员会制定了《保险公司信息化工作管理指引(试行)》。现印发给你们,请遵照执行。
中国保险监督管理委员会
二○○九年十二月二十九日
保险公司信息化工作管理指引
(试行)
一、总 则
第一条
为加强保险公司信息化工作管理,促进信息化工作规范化与标准化建设,提高保险业信息化工作水平,根据《中华人民共和国保险法》及国家有关法律法规,制定本指引。
第二条
本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。
第三条
本指引所称信息化工作,是指计算机、通信、网络等现代信息技术在保险公司业务处理、经营管理等方面的应用,包括相应的信息化组织架构建立、制度建设,以及基础环境建设等工作。
第四条
各公司应把信息化工作纳入公司全面发展框架进行统筹考虑,建立有效的信息化治理机制,明确信息化工作决策权归属,实现信息资源的合理利用,确保信息化工作与业务发展目标一致;加强信息系统风险管理,确保信息系统安全、稳定运行。
实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信息化工作统筹规划执行。
第五条 中国保监会依法对保险公司信息化工作实施监督管理。
二、组织管理与规划
第六条
各公司是信息化工作规划、建设、管理和安全的责任主体。公司法定代表人或主要负责人对此负有最终责任。
第七条
各公司应建立信息化工作委员会,明确其工作职责和工作制度。定期或根据需要召开工作会议,对信息化工作重大事项决策研判,并提交公司最高决策层批准实施。
第八条 信息化工作委员会负责人应由公司高级管理人员担任,组成人员应包括信息技术、业务、财务、人事、发展规划和风险控制等部门的负责人。有条件的公司可聘请外部专家参加。
信息化工作委员会应下设办公室,负责落实和协调信息化工作委员会的具体事宜。办公室原则上应设置在信息技术部门。
第九条
各公司应设立首席信息官或指定公司高级管理人员作为信息化工作的直接责任人。直接责任人应负责公司信息化建设工作,并参与公司经营、管理和决策,其任职条件应符合监管部门规定。
第十条
各公司应建立组织结构合理、人员岗位分工明确的信息技术部门。信息技术部门负责信息化工作相关的规划、建设、管理和运维等工作。
第十一条
各公司应结合信息化工作特点和内部控制要求,明确信息化工作中各相关部门及各级分支机构的职责,加强对分支机构信息化工作的指导和管理,将信息化工作相关的权利和责任落实到位。
第十二条
各公司应制定明确的信息化工作制度、标准和操作流程,定期或根据需要及时进行更新、发布。
第十三条
各公司应根据公司业务发展战略,制订明确的信息化工作规划。规划应具有开放性和前瞻性,符合公司经营管理的需要,并确保信息化建设的稳定性和延续性。规划应经过信息化工作委员会的审批,并提交公司最高决策层批准实施。
第十四条
各公司应建立信息化规划定期审查、评估和修订机制,规划的审查、评估工作至少每年一次,修订后的规划应经信息化工作委员会审批,并提交公司最高决策层批准实施。
三、基础环境与信息系统建设
第十五条
各公司信息化建设、管理及信息化工作中涉及的数据信息,应符合国家及行业的有关规范、标准和监管部门要求。
第十六条
各公司应实现数据信息集中管控,建立健全数据管理的有效机制,提高数据资产价值的利用能力和水平。
第十七条
各保险集团(控股)公司可根据业务管理、风险管控等需要,对下属各子公司信息化建设统筹协调管理,提高信息资源的利用率。
实现信息化工作集中管理的保险集团(控股)公司,应确保集团内各法人机构之间的信息系统及相关硬件、网络等有效安全隔离,并符合国家及监管部门有关要求。
第十八条
各公司应按照有效性、可用性和安全性的原则,对信息化基础设施和信息系统的功能、性能和安全保障等方面做出规定并按规定实施,至少保证满足公司未来两年的业务发展要求。
第十九条
各公司应根据信息化发展需要,建设相应的计算机中心机房和灾备机房,自建、共建或租用第三方的机房建设均应符合国家相关规范标准和监管部门要求。
第二十条
各公司应全面梳理公司经营管理流程,建立与经营管理相适应的信息系统,加强信息系统间的集成与整合,实现财务、业务等核心系统的无缝对接,提高系统的协同工作水平。
第二十一条
各公司应运用信息技术加强内部控制与合规建设,促进内部控制流程与信息系统的有机结合,实现对各项业务和事项的自动控制,减少人为操控因素。
第二十二条
新开发的系统或经过重大改造的系统在上线运行前,应对功能与性能进行严格测试,并通过安全评测。经过一般性改造的系统在上线运行前应遵循审慎原则,做好相关测试工作。
第二十三条
各公司应加强知识产权保护工作,优先采购自主可控的硬件设备和软件产品,严禁侵权盗版;根据自身实际情况,积极研发具有自主知识产权的信息产品,并采取有效措施保护公司信息化工作成果。
四、安全保障与风险控制
第二十四条
各公司应加强信息安全与信息系统的同步规划和同步建设,构建完善的信息安全保障体系。应通过管理机制和技术手段,确保信息系统安全,保证重要信息的可用、保密、完整及真实,保障业务活动的连续性。
第二十五条
各公司应按照“谁主管、谁负责,谁运营、谁负责,谁使用、谁负责”的原则,明确信息安全各相关方的责任,加强人员管理,强化信息安全意识,全面落实信息安全管理责任制。
第二十六条
各公司应建立健全信息安全监控体系和报告机制,明确风险预警标准,加强信息安全的监控和预警,提高风险防范处置能力。
第二十七条
各公司应按照国家有关规定和监管要求,对信息系统进行安全等级划分,按照安全等级实施信息系统安全等级保护。
第二十八条
各公司应制订重要数据的备份制度和策略,实施有效的数据备份措施,并按照监管部门有关要求,推进信息系统灾难恢复建设工作。
第二十九条
各公司应建立信息系统重大突发事件的应急处理机制,制定应急预案。应急预案要明确启动机制、责任人员、处置流程、具体方案和外部资源,并根据工作实际进行动态调整和定期应急演练,确保应急预案的可操作性。
第三十条
各公司应建立外联网络接入标准和安全规范,明确审批机制、风险评估机制及对应的风险控制措施,加强外联网络的接入管理。对门户网站、电子商务等互联网系统进行统一规划、统一管理,采取必要技术手段和管理措施确保相应信息系统安全。
第三十一条
各公司应加强信息化工作外包服务管理,不得将信息化管理责任外包。应按照监管部门要求,结合外包服务实际需要,制订外包服务的基本规范,确保对信息系统安全的控制能力。
五、发展环境
第三十二条
各公司应结合信息化工作规划实施的需要,制定信息化工作经费预算,并保障信息化工作经费预算的执行,确保信息化建设的正常有效开展。
第三十三条
各公司应根据自身实际并结合信息化工作的特点,合理配备信息技术人员,制定并实施有利于公司可持续发展的信息化人力资源政策,鼓励建立信息技术专业职级体系。
第三十四条
各公司应积极探索、建立并实施信息化工作投入产出的评价体系,完善信息化工作绩效考核机制。
第三十五条
各公司应加强信息化工作相关研究,建立创新激励机制,鼓励科技创新。有条件的公司可探索建立科技创新基金。
第三十六条
各公司应将全体员工信息化培训列入培训计划,培训至少每两年一次。新员工上岗前,应经过信息化相关培训和考核。
第三十七条
各公司应根据履行职责的需要,每年开展信息技术人员的专业技能培训和业务培训。
第三十八条
各公司应积极参与行业信息技术交流活动,提高行业信息化工作水平。
第三十九条
各公司应支持行业信息标准化工作,确保行业信息标准的贯彻落实。
六、审计与备案
第四十条
各公司应建立信息化工作的风险评估机制和信息系统审计制度,由独立于信息技术部门的有关部门负责审计工作,至少每两年进行一次审计。审计结果应在审计完成后三个月内报保监会备案。
鼓励公司在符合国家有关法律、法规和监管要求情况下,聘请具备相应资质的外部机构进行外部审计和风险评估。
第四十一条
各公司应于每年第一季度向保监会报送信息化工作报告。报告内容包括上一年度信息化工作情况与本年度信息化工作计划。
第四十二条
各公司应按监管部门有关要求及时向保监会报告信息化工作重大事项。
七、附 则
第四十三条
本指引由中国保监会负责解释。
第四十四条
本指引自2010年1月1日起施行
第二篇:保险公司信息化工作管理规定
附件:
保险公司信息化工作管理规定
一、总则
第一条[制订目的]为加强保险公司信息化工作管理,促进信息化工作规范化与标准化建设,提高保险业信息化工作水平,根据《中华人民共和国保险法》及国家有关法律法规,制定本规定。
第二条[适用范围]本规定适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司,以下统称保险公司。
第三条[名词解释]本规定所称信息化工作,是指计算机、通信、网络等现代信息技术在保险公司业务处理、经营管理等方面的应用,包括相应的信息化组织架构建立、制度建设,以及基础环境建设等工作。
第四条[基本要求]各公司应把信息化工作纳入公司全面发展框架进行统筹考虑,建立有效的信息化治理机制,明确信息化工作决策权归属,实现信息资源的合理利用,确保信息化工作与业务发展目标一致;加强信息系统风险管理,确保信息系统安全、稳定运行。
实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信息化工作统筹规划执行。
第五条[监督管理]中国保监会依法对保险公司信息化管理工作实施监督管理。
二、组织管理与规划
第六条[责任主体]各公司是信息化工作规划、建设、管理和安全的责任主体。公司法定代表人或主要负责人对此负有最终责任。
第七条[决策机构]各公司应建立信息化工作委员会,明确其工作职责和工作制度。定期或根据需要召开工作会议,对信息化工作重大事项决策研判,并提交公司最高决策层批准实施。
第八条[决策机构组成]信息化工作委员会负责人应由公司级高级管理人员担任,组成人员应包括信息技术、业务、财务、人事、发展规划和风险控制等部门的负责人。有条件的公司可聘请外部专家参加。
信息化工作委员会应下设办公室,负责落实和协调信息化工作委员会的具体事宜。办公室原则上应设臵在信息技术部门。
第九条[首席信息官]各公司应设立首席信息官或指定公司级高级管理人员作为信息化工作的直接责任人。直接责任人应负责公司信息化建设工作,并参与公司经营、管理和决策,其任职条件应符合监管部门规定。
第十条[责任部门] 各公司应建立组织结构合理、人员岗位分工明确的信息技术部门。信息技术部门负责信息化工作相关的规划、建设、管理和运维等工作。信息技术从业人员应具备符合岗位需求的专业技术能力和职业操守。
第十一条[明确职责]各公司应结合信息化工作特点和内部控制要求,明确信息化工作中各相关部门及各级分支机构的职责,加强对分支机构信息化工作的指导和管理,将信息化工作相关的权利和责任落实到位。
第十二条[制度建设]各公司应制定明确的信息化工作制度、标准和操作流程,定期或根据需要及时进行更新、发布。
第十三条[规划制订]各公司应根据公司业务发展战略,制订明确的中长期网络安全与信息化规划。规划应具有开放性和前瞻性,符合公司经营管理的需要,并确保信息化建设的稳定性和延续性。规划应经过信息化工作委员会的审批,并提交公司最高决策层批准实施。
第十四条[规划修订]各公司应建立网络安全与信息化规划定期审查、评估和修订机制,规划的审查、评估工作至少每年一次,修订后的规划应经信息化工作委员会审批,并提交公司最高决策层批准实施。
三、基础环境与信息系统建设
第十五条[信息标准]各公司信息化建设、管理及信息化工作中涉及的数据信息,应符合国家及行业的有关规范、标准和监管部门要求。第十六条[集中管控]各公司应实现数据信息集中管控,建立健全数据管理的有效机制,提高数据资产价值的利用能力和水平。
第十七条[集团公司]各保险集团(控股)公司可根据业务管理、风险管控等需要,对下属各子公司信息化建设统筹协调管理,提高信息资源的利用率。
实现信息化工作集中管理的保险集团(控股)公司,应确保集团内各法人机构之间的信息系统及相关硬件、网络等有效安全隔离,并符合国家及监管部门有关要求。
第十八条[基础设施]各公司应按照有效性、可用性和安全性的原则,对信息化基础设施和信息系统的功能、性能和安全保障等方面做出规定并按规定实施,至少保证满足公司未来两年的业务发展要求。
第十九条[数据中心]各公司应根据信息化发展需要,建设相应的计算机中心机房和灾备机房,自建、共建或租用第三方的机房建设均应符合国家相关规范标准和监管部门要求。
第二十条[系统建设]各公司应全面梳理公司经营管理流程,建立与经营管理相适应的信息系统,加强信息系统间的集成与整合,实现财务、业务等核心系统的无缝对接,提高系统的协同工作水平。鼓励有条件的公司开展业务系统自主研发。第二十一条[系统对接]各公司信息系统应满足保险监管机构数据采集的要求,确保上报数据的及时性、准确性、完整性。
第二十二条[内控信息化]各公司应运用信息技术加强内部控制与合规建设,促进内部控制流程与信息系统的有机结合,实现对各项业务和事项的自动控制,减少人为操控因素。
第二十三条[上线与测试]新开发的系统或经过重大改造的系统在上线运行前,应对功能与性能进行严格测试,并通过安全评测。经过一般性改造的系统在上线运行前应遵循审慎原则,做好相关测试工作。
第二十四条[知识产权]各公司应加强知识产权保护工作,严禁侵权盗版。鼓励研发具有自主知识产权的信息产品,并采取有效措施保护公司信息化工作成果。
第二十五条[自主可控] 鼓励优先采购自主可控的硬件设备和软件产品,增加对自主可控设备和产品的容忍度,积极创造条件,通过制定规划、完善机制、推动应用、宣传典型等措施,推进网络与信息设备的自主可控能力不断提升。
四、安全保障与风险控制
第二十六条[安全建设原则]各公司应加强网络安全与信息化的同步规划和同步建设,构建完善的信息安全保障体系。充分利用管理机制和技术手段,强化网络与信息安全防 护能力,提高防护水平,保证重要信息的可用、保密、完整及真实,保障业务活动的连续性。
第二十七条[安全责任制]各公司应按照“谁主管、谁负责,谁运营、谁负责,谁使用、谁负责”的原则,明确信息安全各相关方的责任,加强人员管理,强化信息安全意识,全面落实信息安全管理责任制。
第二十八条[安全监控]各公司应建立健全信息安全监控体系和报告机制,明确风险预警标准,加强信息安全的监控和预警,提高风险防范处臵能力。
第二十九条[等级保护]各公司应按照国家有关规定和监管要求,对信息系统进行安全等级划分,按照安全等级实施信息系统安全等级保护。
第三十条[数据安全]各公司应制订重要数据的备份制度和策略,实施有效的数据备份措施,并按照监管部门有关要求,推进信息系统灾难恢复建设工作。
第三十一条[国产密码] 各公司应按照国家金融领域密码应用工作要求,扎实推进保险业信息系统国产密码应用工作。
第三十二条[应急处臵]各公司应针对可能发生的信息系统重大突发事件,制定应急预案,建立完善的应急管理体系、应急技术平台和应急协调机制,积极主动进行压力测试。
应急预案要明确启动机制、责任人员、处臵流程、具体方案和外部资源,并根据工作实际进行动态调整和定期应急 演练,采取相应措施,确保应急预案的可操作性,把风险隐患可能造成的损失降到最低。
第三十三条[互联网安全]各公司应建立外联网络接入标准和安全规范,明确审批机制、风险评估机制及对应的风险控制措施,加强外联网络的接入管理。对门户网站、互联网保险系统等与广大互联网消费者密切相关的信息系统进行统一规划、统一管理,采取必要技术手段和管理措施确保相应信息系统安全。
第三十四条[外包管理]各公司应加强信息化工作外包服务管理,不得将信息化管理责任外包。应按照监管部门要求,结合外包服务实际需要,制订外包服务的基本规范,确保对信息系统安全的控制能力。
五、发展环境
第三十五条[经费预算]各公司应结合信息化工作规划实施的需要,制定信息化工作经费预算,并保障信息化工作经费预算的执行,确保信息化建设的正常有效开展。
第三十六条[人力发展]各公司应根据自身实际并结合信息化工作的特点,合理配备信息技术人员,制定并实施有利于公司可持续发展的信息化人力资源政策,鼓励建立信息技术专业职级体系,健全信息技术专业人才激励机制。
第三十七条[评价体系]各公司应积极探索、建立并实施信息化工作投入产出的评价体系,完善信息化工作绩效考核机制。
第三十八条[科技创新]各公司应加强信息化工作相关研究,建立创新激励机制,有条件的公司可探索建立科技创新基金。鼓励充分利用云计算、大数据、移动互联网等新技术推进业务创新,控制业务风险,实现结构升级和业务转型,同时注意防范和控制新信息技术应用带来的新风险。
第三十九条[全员培训]各公司应将全体员工信息化培训列入培训计划,培训至少每两年一次。新员工上岗前,应经过信息化相关培训和考核。
各公司应根据履行职责的需要,每年开展信息技术人员的专业技能培训和业务培训。
第四十条[宣传交流]各公司应积极参与行业信息技术交流活动,支持行业信息标准化工作,提高行业信息化工作水平。
六、审计与备案
第四十一条[独立审计]各公司应建立信息化工作的风险评估机制和信息系统审计制度,由独立于信息技术部门的有关部门负责审计工作,至少每两年进行一次审计。审计结果应在审计完成后三个月内报保监会备案。
鼓励公司在符合国家有关法律、法规和监管要求情况下,聘请具备相应资质的外部机构进行外部审计和风险评估。
第四十二条[信息化报告]各公司应按要求定期报送保险业信息科技风险监管报告、报表、季度报表和不定期报送临时报表。第四十三条[重大事项报告]各公司应按监管部门有关要求及时向保监会报告信息化工作重大事项。
七、法律责任
第四十四条[惩罚条件]各公司不得有下列行为:
(一)信息化建设存在重大安全隐患,并未按照要求进行整改的;
(二)发生计算机系统重大突发性事件未及时向监管机构报告,未采取措施或采取措施不力造成严重后果的;
(三)对保险监管机构信息安全检查中发现的严重信息安全隐患未采取措施进行整改或整改不力的;
(四)拒绝或者妨碍保险监管机构依法进行信息安全检查监督的;
(五)其他涉及信息化或信息安全问题的。
第四十五条[惩罚措施]各公司违反本规定,有第四十五条行为之一的,中国保监会或者其派出机构可以进行监管谈话或处以3万元以下的罚款;情节严重的,可以限制业务范围、责令停止接受新业务或者吊销经营保险业务许可证。
八、附则
第四十六条[派出机构]中国保监会派出机构可以根据本规定制定辖区内的实施细则。
第四十七条 本规定由中国保监会负责解释。第四十八条 本规定自2014年 月 日起施行。
第三篇:中国保监会关于印发《保险公司声誉风险管理指引》的通知
【发布单位】中国保险监督管理委员会 【发布文号】保监发〔2014〕15号 【发布日期】2014-02-19 【生效日期】2014-03-28 【失效日期】 【所属类别】政策参考
【文件来源】中国保险监督管理委员会
中国保监会关于印发《保险公司声誉风险管理指引》的通知
保监发〔2014〕15号
各保监局、各保险公司、保险资产管理公司、中国保险行业协会:
为进一步完善保险监管制度体系,提升行业声誉风险管理水平,保监会制定了《保险公司声誉风险管理指引》。现印发你们,请遵照执行。
中国保监会 2014年2月19日
保险公司声誉风险管理指引
第一章 总 则
第一条 为加强保险公司声誉风险管理,维护保险行业形象和市场稳定,根据《中华人民共和国保险法》等相关法律、行政法规和中国保监会有关规定,制定本指引。
第二条 本指引适用于在中国境内依法设立的保险公司。
第三条 声誉风险是指由保险公司的经营管理或外部事件等原因导致利益相关方对保险公司负面评价,从而造成损失的风险。
第四条 声誉事件是指引发声誉风险,导致出现对保险公司不利舆情的相关行为或事件。
第五条 保险公司应将声誉风险管理纳入全面风险管理体系,建立相关制度和机制,防范和识别声誉风险,应对和处置声誉事件。
第六条 保险公司应坚持预防为主的声誉风险管理理念,建立常态长效的声誉风险管理机制,注重事前评估和日常防范。
第七条 保险公司应通过声誉风险管理,发现并解决经营管理中存在的问题,消除影响公司声誉和形象的隐患。
第八条 保险公司应建立声誉风险归口管理机制,注重职能部门的响应与协作,提高防范声誉风险和处置声誉事件的能力和效率。
第二章 组织架构和工作职责
第九条 保险公司董事会承担声誉风险管理的最终责任。其职责包括:
(一)确定声誉风险管理的总体目标和基本政策;
(二)配备与本公司发展战略、业务性质、规模和复杂程度相适应的声誉风险管理资源;
(三)培育本公司声誉风险管理文化,树立员工声誉风险意识;
(四)根据公司治理原则其他应由董事会履行的声誉风险管理职责。
第十条 保险公司董事会秘书应发挥在公司治理和信息披露中的作用,提高公司董事会、管理层和工作部门在声誉风险管理过程中的报告、决策、响应和执行效率。
第十一条 保险公司管理层承担声誉风险管理的直接责任。其主要职责包括:
(一)制定专门的声誉风险管理办法和实施机制,明确声誉风险管理的具体流程及相关岗位的职责要求;
(二)明确公司各部门和分支机构在声誉风险管理中的职责;
(三)决定重大决策、重要业务流程、重大外部事件的声誉风险评估及其应对预案,以及重大声誉事件的处置方案;
(四)确保公司制定并实施相应培训计划,使员工和营销人员接受声誉风险教育;
(五)决定公司声誉风险管理工作考核结果,对声誉风险管理问题负有责任的部门和人员进行追究;
(六)按照声誉风险监管的要求,落实有关监管措施。
第十二条 保险公司管理层应指定专门工作部门负责声誉风险管理。专门部门的主要职责包括:
(一)组织实施公司声誉风险评估,提出防范声誉风险的综合建议;
(二)负责公司日常舆情监测,及时识别并报告声誉风险;
(三)负责公司有关声誉事件的研判与核查,提出处置声誉事件的综合建议;
(四)有针对性地进行信息披露和舆论引导,控制声誉事件影响范围和程度;
(五)指导、协调、监督其他职能部门和分支机构落实公司声誉风险管理的制度和决策;
(六)存储、管理声誉风险管理相关数据和信息。
第十三条 保险公司其他职能部门和各级分支机构在声誉风险管理中的职责包括:
(一)向声誉风险管理部门通报日常经营、投诉处理、合规审查、审计稽核过程中发现的声誉风险情况;
(二)参与公司声誉风险排查和评估,对防范业务流程中存在的声誉风险提出专业建议;
(三)参与公司声誉事件核查与处置方案制定,对声誉事件核查和处置方案提出专业建议;
(四)落实声誉风险防范和声誉事件处置中与本部门或分支机构有关的决策;
(五)其他声誉风险管理方面的响应、配合、执行等职责。
第三章 声誉风险防范
第十四条 保险公司应在公司治理、市场行为和信息披露等经营管理的各方面充分考虑声誉风险,防范影响公司和行业声誉的风险发生。
第十五条 保险公司应建立声誉风险事前评估机制,主动发现和化解公司在产品设计、销售推广、理赔服务、资金运用、薪酬规划和人员管理等方面的声誉风险。
第十六条 保险公司应进行声誉风险事前评估,并视评估结果制定相应预案的情形包括:
(一)拟进行重大战略调整,进行并购重组,参与重大项目;
(二)拟进行产品、服务及销售模式等重大商业创新,实施重大商业营销和媒体推广方案;
(三)拟发布年报或披露有关公司经营业绩等方面的重要信息,主要数据出现异常波动或资产遭受重大损失;
(四)拟提起或涉及重大法律诉讼;
(五)涉及重大违法违规经营,已进入行政调查或处罚程序;
(六)出现较大规模的集中退保事件,或较大规模的有关投保人、营销人员的群体性事件;
(七)出现重大自然灾害或公共事件,可能面临大范围的理赔;
(八)其他明显可能导致声誉风险的情形。
第十七条 保险公司应建立统一管理的采访接待和信息披露机制,做好媒体服务和公共关系工作,避免造成公众误解和媒体误读,引发声誉风险。
第十八条 保险公司应建立与投诉处理联动的声誉风险防范机制,及时回应和解决客户合理诉求,防止客户投诉处理不当引发声誉风险。
第十九条 保险公司应根据实际情况自行或聘请专业机构进行舆情监测与分析工作。主要内容包括:
(一)建立日常舆情监测制度,确保及时发现有关公司的声誉事件,持续识别和关注声誉风险;
(二)对监测到的声誉事件依据性质和传播情况进行分级分类评价,确保重大声誉事件及时上报并进入应对程序;
(三)分析舆情动态,提出声誉事件处置中有关信息披露和舆情应对的策略建议。
第四章 声誉事件处置
第二十条 保险公司应及时应对和控制声誉事件,防止个体声誉事件影响行业整体声誉,维护保险市场稳定。
第二十一条 保险公司应建立职责明确的声誉事件处置机制和有效的报告、决策和执行流程,在公司董事会、管理层、各职能部门和分支机构之间实现快速响应和协同应对。
第二十二条 保险公司应对声誉事件分级分类,明确处置权限和具体职责,采取有效措施。主要包括:
(一)核查引发声誉事件的基本事实、具体原因,分析公司的责任范围,预判声誉事件影响范围和发展趋势;
(二)检查公司其他经营区域、其他业务、正在实施的宣传策略等与声誉事件的关联性,防止声誉事件升级或诱发新的声誉事件;
(三)对可能的补救措施进行评估,根据实际情形采取合理补救措施控制利益相关方损失程度和范围;
(四)根据声誉事件动态,统一准备新闻口径,采取适当的方式对外披露相关信息,澄清片面和不实报道;
(五)对引发声誉事件的产品设计缺陷、服务质量弊病、虚假夸大宣传、违法违规经营等问题,有针对性地进行整改;
(六)加大正面宣传和品牌建设力度,介绍公司针对声誉事件的改进措施以及其他改善经营服务水平的举措,消除声誉事件的不利影响;
(七)声誉事件处置中其他被认为必要的措施。
第二十三条 保险公司在声誉事件处置中发现恶意损害公司商业信誉的,应依法采取措施维护公司利益。
第二十四条 保险公司应对引发声誉事件的经营管理问题进行责任追究,对相关经营管理问题的改进情况进行跟踪评价。
第二十五条 保险公司应将声誉事件的处置情况纳入考核体系,对处置声誉事件不当的部门和人员进行责任追究。
第五章 行业协作
第二十六条 中国保险行业协会和各地保险行业协会应重点关注行业规则、经营模式、自律管理等方面的整体性声誉风险,提示有关声誉风险,引导和协调会员应对和处置行业性声誉事件。第二十七条 保险公司应积极参与中国保险行业协会和各地保险行业协会有关声誉风险管理的信息共享和协作,以及关于行业声誉的自律和维权行动,统筹资源,维护行业良好声誉,加强行业形象建设。
第六章 声誉风险监管
第二十八条 中国保监会将保险公司声誉风险监管纳入偿付能力监管制度体系整体框架,在分类监管中设置指标和依据,评价保险公司声誉风险管理状况。
第二十九条 中国保监会及其派出机构对保险公司声誉风险管理的制度建设情况、实施和执行有效性进行现场检查和非现场检查。
第三十条 中国保监会及其派出机构对重大声誉事件,可要求保险公司及时报告处置情况,披露相关信息;对声誉风险管理制度不健全、声誉事件处置不力,影响到行业整体声誉和形象的,依法采取相应监管措施。
第七章 附 则
第三十一条 本指引由中国保监会负责解释、修订。
第三十二条 在中国境内设立的保险资产管理公司参照适用本指引。
第三十三条 本指引自印发之日起施行。
本内容来源于政府官方网站,如需引用,请以正式文件为准。
第四篇:保险公司信息化工作管理指引(试行)(保监发〔2009〕133号)
中国保险监督管理委员会
关于印发《保险公司信息化工作管理指引(试行)》的通知
(保监发〔2009〕133号)
各保监局,各保险公司、保险资产管理公司:
为加强保险公司信息化工作管理,提高保险业信息化工作水平,中国保险监督管理委员会制定了《保险公司信息化工作管理指引(试行)》。现印发给你们,请遵照执行。
中国保险监督管理委员会
二○○九年十二月二十九日
保险公司信息化工作管理指引(试行)
一、总 则
第一条 为加强保险公司信息化工作管理,促进信息化工作规范化与标准化建设,提高保险业信息化工作水平,根据《中华人民共和国保险法》及国家有关法律法规,制定本指引。
第二条 本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。
第三条 本指引所称信息化工作,是指计算机、通信、网络等现代信息技术在保险公司业务处理、经营管理等方面的应用,包括相应的信息化组织架构建立、制度建设,以及基础环境建设等工作。
第四条 各公司应把信息化工作纳入公司全面发展框架进行统筹考虑,建立有效的信息化治理机制,明确信息化工作决策权归属,实现信息资源的合理利用,确保信息化工作与业务发展目标一致;加强信息系统风险管理,确保信息系统安全、稳定运行。
实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信息化工作统筹规划执行。
第五条 中国保监会依法对保险公司信息化工作实施监督管理。
二、组织管理与规划
第六条 各公司是信息化工作规划、建设、管理和安全的责任主体。公司法定代表人或主要负责人对此负有最终责任。
第七条 各公司应建立信息化工作委员会,明确其工作职责和工作制度。定期或根据需要召开工作会议,对信息化工作重大事项决策研判,并提交公司最高决策层批准实施。
第八条 信息化工作委员会负责人应由公司高级管理人员担任,组成人员应包括信息技术、业务、财务、人事、发展规划和风险控制等部门的负责人。有条件的公司可聘请外部专家参加。
信息化工作委员会应下设办公室,负责落实和协调信息化工作委员会的具体事宜。办公室原则上应设置在信息技术部门。
第九条 各公司应设立首席信息官或指定公司高级管理人员作为信息化工作的直接责任人。直接责任人应负责公司信息化建设工作,并参与公司经营、管理和决策,其任职条件应符合监管部门规定。
第十条 各公司应建立组织结构合理、人员岗位分工明确的信息技术部门。信息技术部门负责信息化工作相关的规划、建设、管理和运维等工作。
第十一条 各公司应结合信息化工作特点和内部控制要求,明确信息化工作中各相关部门及各级分支机构的职责,加强对分支机构信息化工作的指导和管理,将信息化工作相关的权利和责任落实到位。
第十二条 各公司应制定明确的信息化工作制度、标准和操作流程,定期或根据需要及时进行更新、发布。
第十三条 各公司应根据公司业务发展战略,制订明确的信息化工作规划。规划应具有开放性和前瞻性,符合公司经营管理的需要,并确保信息化建设的稳定性和延续性。规划应经过信息化工作委员会的审批,并提交公司最高决策层批准实施。
第十四条 各公司应建立信息化规划定期审查、评估和修订机制,规划的审查、评估工作至少每年一次,修订后的规划应经信息化工作委员会审批,并提交公司最高决策层批准实施。
三、基础环境与信息系统建设
第十五条 各公司信息化建设、管理及信息化工作中涉及的数据信息,应符合国家及行业的有关规范、标准和监管部门要求。
第十六条 各公司应实现数据信息集中管控,建立健全数据管理的有效机制,提高数据资产价值的利用能力和水平。
第十七条 各保险集团(控股)公司可根据业务管理、风险管控等需要,对下属各子公司信息化建设统筹协调管理,提高信息资源的利用率。
实现信息化工作集中管理的保险集团(控股)公司,应确保集团内各法人机构之间的信息系统及相关硬件、网络等有效安全隔离,并符合国家及监管部门有关要求。
第十八条 各公司应按照有效性、可用性和安全性的原则,对信息化基础设施和信息系统的功能、性能和安全保障等方面做出规定并按规定实施,至少保证满足公司未来两年的业务发展要求。
第十九条 各公司应根据信息化发展需要,建设相应的计算机中心机房和灾备机房,自建、共建或租用第三方的机房建设均应符合国家相关规范标准和监管部门要求。
第二十条 各公司应全面梳理公司经营管理流程,建立与经营管理相适应的信息系统,加强信息系统间的集成与整合,实现财务、业务等核心系统的无缝对接,提高系统的协同工作水平。
第二十一条 各公司应运用信息技术加强内部控制与合规建设,促进内部控制流程与信息系统的有机结合,实现对各项业务和事项的自动控制,减少人为操控因素。
第二十二条 新开发的系统或经过重大改造的系统在上线运行前,应对功能与性能进行严格测试,并通过安全评测。经过一般性改造的系统在上线运行前应遵循审慎原则,做好相关测试工作。
第二十三条 各公司应加强知识产权保护工作,优先采购自主可控的硬件设备和软件产品,严禁侵权盗版;根据自身实际情况,积极研发具有自主知识产权的信息产品,并采取有效措施保护公司信息化工作成果。
四、安全保障与风险控制
第二十四条 各公司应加强信息安全与信息系统的同步规划和同步建设,构建完善的信息安全保障体系。应通过管理机制和技术手段,确保信息系统安全,保证重要信息的可用、保密、完整及真实,保障业务活动的连续性。
第二十五条 各公司应按照“谁主管、谁负责,谁运营、谁负责,谁使用、谁负责”的原则,明确信息安全各相关方的责任,加强人员管理,强化信息安全意识,全面落实信息安全管理责任制。
第二十六条 各公司应建立健全信息安全监控体系和报告机制,明确风险预警标准,加强信息安全的监控和预警,提高风险防范处置能力。
第二十七条 各公司应按照国家有关规定和监管要求,对信息系统进行安全等级划分,按照安全等级实施信息系统安全等级保护。
第二十八条 各公司应制订重要数据的备份制度和策略,实施有效的数据备份措施,并按照监管部门有关要求,推进信息系统灾难恢复建设工作。
第二十九条 各公司应建立信息系统重大突发事件的应急处理机制,制定应急预案。应急预案要明确启动机制、责任人员、处置流程、具体方案和外部资源,并根据工作实际进行动态调整和定期应急演练,确保应急预案的可操作性。
第三十条 各公司应建立外联网络接入标准和安全规范,明确审批机制、风险评估机制及对应的风险控制措施,加强外联网络的接入管理。对门户网站、电子商务等互联网系统进行统一规划、统一管理,采取必要技术手段和管理措施确保相应信息系统安全。
第三十一条 各公司应加强信息化工作外包服务管理,不得将信息化管理责任外包。应按照监管部门要求,结合外包服务实际需要,制订外包服务的基本规范,确保对信息系统安全的控制能力。
五、发展环境
第三十二条 各公司应结合信息化工作规划实施的需要,制定信息化工作经费预算,并保障信息化工作经费预算的执行,确保信息化建设的正常有效开展。
第三十三条 各公司应根据自身实际并结合信息化工作的特点,合理配备信息技术人员,制定并实施有利于公司可持续发展的信息化人力资源政策,鼓励建立信息技术专业职级体系。
第三十四条 各公司应积极探索、建立并实施信息化工作投入产出的评价体系,完善信息化工作绩效考核机制。
第三十五条 各公司应加强信息化工作相关研究,建立创新激励机制,鼓励科技创新。有条件的公司可探索建立科技创新基金。
第三十六条 各公司应将全体员工信息化培训列入培训计划,培训至少每两年一次。新员工上岗前,应经过信息化相关培训和考核。
第三十七条 各公司应根据履行职责的需要,每年开展信息技术人员的专业技能培训和业务培训。
第三十八条 各公司应积极参与行业信息技术交流活动,提高行业信息化工作水平。
第三十九条 各公司应支持行业信息标准化工作,确保行业信息标准的贯彻落实。
六、审计与备案
第四十条 各公司应建立信息化工作的风险评估机制和信息系统审计制度,由独立于信息技术部门的有关部门负责审计工作,至少每两年进行一次审计。审计结果应在审计完成后三个月内报保监会备案。
鼓励公司在符合国家有关法律、法规和监管要求情况下,聘请具备相应资质的外部机构进行外部审计和风险评估。
第四十一条 各公司应于每年第一季度向保监会报送信息化工作报告。报告内容包括上一信息化工作情况与本信息化工作计划。
第四十二条 各公司应按监管部门有关要求及时向保监会报告信息化工作重大事项。
七、附 则
第四十三条 本指引由中国保监会负责解释。
第四十四条 本指引自2010年1月1日起施行。
第五篇:保险公司风险管理指引
保险公司风险管理指引(试行)
各保险公司、保险资产管理公司,各保监局:
为强化保险公司风险管理,加强保险监管,提高风险防范能力,保监会制定了《保险公司风险管理指引(试行)》。现印发给你们,请各公司结合自身实际,认真贯彻落实。
特此通知
二○○七年四月六日
目录 第一章 总
则 第二章 风险管理组织 第三章 风险评估 第四章 风险控制
第五章 风险管理的监督与改进 第六章 风险管理的监管 第七章 附
则
第一章 总
则
第一条 为指导保险公司加强风险管理,保障保险公司稳健经营,根据《关于规范保险公司治理结构的指导意见(试行)》及其他相关法律法规,制定本指引。
第二条 本指引适用于在中国境内依法设立的保险公司和保险资产管理公司。
保险集团(控股)公司已经按照本指引规定建立覆盖全集团的风险管理体系的,经中国保监会批准,其保险子公司可以不适用本指引。
第三条 本指引所称风险,是指对实现保险经营目标可能产生负面影响的不确定性因素。
第四条 本指引所称风险管理,是指保险公司围绕经营目标,对保险经营中的风险进行识别、评估和控制的基本流程以及相关的组织架构、制度和措施。
第五条 保险公司应当明确风险管理目标,建立健全风险管理体系,规范风险管理流程,采用先进的风险管理方法和手段,努力实现适当风险水平下的效益最大化。
第六条 保险公司风险管理应当遵循以下原则:
(一)全面管理与重点监控相统一的原则。保险公司应当建立覆盖所有业务流程和操作环节,能够对风险进行持续监控、定期评估和准确预警的全面风险管理体系,同时要根据公司实际有针对性地实施重点风险监控,及时发现、防范和化解对公司经营有重要影响的风险。
(二)独立集中与分工协作相统一的原则。保险公司应当建立全面评估和集中管理风险的机制,保证风险管理的独立性和客观性,同时要强化业务单位的风险管理主体职责,在保证风险管理职能部门与业务单位分工明确、密切协作的基础上,使业务发展与风险管理平行推进,实现对风险的过程控制。
(三)充分有效与成本控制相统一的原则。保险公司应当建立与自身经营目标、业务规模、资本实力、管理能力和风险状况相适应的风险管理体系,同时要合理权衡风险管理成本与效益的关系,合理配置风险管理资源,实现适当成本下的有效风险管理。
第七条 保险公司应当建立涵盖风险管理基本流程和控制环节的信息系统,提高风险管理的信息化水平。
保险公司应当统筹规划风险管理和业务管理信息系统,使风险信息能够在职能部门和业务单位之间实现集成与共享,充分满足对风险进行分析评估和监控管理的各项要求。
第八条 保险公司应当定期对高级管理人员和员工进行风险管理理念、知识、流程以及控制方式等内容的培训,增强风险管理意识,同时将风险管理绩效与薪酬制度、人事制度和责任追究制度相结合,培育和塑造良好的风险管理文化。
返
回
第二章 风险管理组织
第九条 保险公司应当建立由董事会负最终责任、管理层直接领导,以风险管理机构为依托,相关职能部门密切配合,覆盖所有业务单位的风险管理组织体系。
第十条 保险公司可以在董事会下设立风险管理委员会负责风险管理工作。
风险管理委员会成员应当熟悉保险公司业务和管理流程,对保险经营风险及其识别、评估和控制等具备足够的知识和经验。
没有设立风险管理委员会的,由审计委员会承担相应职责。
第十一条 保险公司董事会风险管理委员会应当全面了解公司面临的各项重大风险及其管理状况,监督风险管理体系运行的有效性,对以下事项进行审议并向董事会提出意见和建议:
(一)风险管理的总体目标、基本政策和工作制度;
(二)风险管理机构设置及其职责;
(三)重大决策的风险评估和重大风险的解决方案;
(四)风险评估报告。
第十二条 保险公司可以设立由相关高级管理人员或者部门负责人组成的综合协调机构,由总经理或者总经理指定的高级管理人员担任负责人。风险管理协调机构主要职责如下:
(一)研究制定与保险公司发展战略、整体风险承受能力相匹配的风险管理政策和制度;
(二)研究制定重大事件、重大决策和重要业务流程的风险评估报告以及重大风险的解决方案;
(三)向董事会风险管理委员会和管理层提交风险评估报告;
(四)指导、协调和监督各职能部门和各业务单位开展风险管理工作。
第十三条 保险公司应当设立风险管理部门或者指定工作部门具体负责风险管理相关事务工作。该部门主要职责如下:
(一)对风险进行定性和定量评估,改进风险管理方法、技术和模型;
(二)合理确定各类风险限额,组织协调风险管理日常工作,协助各业务部门在风险限额内开展业务,监控风险限额的遵守情况;
(三)资产负债管理;
(四)组织推动建立风险管理信息系统;
(五)组织推动风险文化建设。
设有本指引第十二条规定的风险管理协调机构的,该部门为其办事机构。
第十四条 保险公司各职能部门和业务单位应当接受风险管理部门的组织、协调和监督,建立健全本职能部门或者业务单位风险管理的子系统,执行风险管理的基本流程,定期对本职能部门或者业务单位的风险进行评估,对其风险管理的有效性负责。
返
回
第三章 风险评估
第十五条 保险公司应当识别和评估经营过程中面临的各类主要风险,包括:保险风险、市场风险、信用风险和操作风险等。
(一)保险风险指由于对死亡率、疾病率、赔付率、退保率等判断不正确导致产品定价错误或者准备金提取不足,再保险安排不当,非预期重大理赔等造成损失的可能性。
(二)市场风险是指由于利率、汇率、股票价格和商品价格等市场价格的不利变动而造成损失,以及由于重大危机造成业务收入无法弥补费用的可能性。
(三)信用风险是指由于债务人或者交易对手不能履行合同义务,或者信用状况的不利变动而造成损失的可能性。
(四)操作风险指由于操作流程不完善、人为过错和信息系统故障等原因导致损失的可能性。
保险公司还应当对战略规划失误和公司治理结构不完善等给公司带来不利影响的其他风险予以关注。
第十六条 保险公司风险管理部门应当与各职能部门和业务单位建立信息共享机制,广泛搜集、整理与风险管理相关的内外部信息,为风险评估奠定相应的信息基础。
第十七条 保险公司应当在广泛收集信息的基础上,对经营活动和业务流程进行风险评估。风险评估包括风险识别、风险分析、风险评价三个步骤。
风险识别是指识别经营活动及业务流程中是否存在风险以及存在何种风险。
风险分析是指对识别出的风险进行分析,判断风险发生的可能性及风险发生的条件。
风险评价是指评估风险可能产生损失的大小及对保险公司实现经营目标的影响程度。
第十八条 风险评估应当采用定性与定量相结合的方法。定量评估应当统一制定各风险的度量单位和风险度量模型,确保评估的假设前提、参数、数据来源和评估程序的合理性和准确性。
第十九条 保险公司进行风险评估时,应当对各种风险之间的相关性进行分析,以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应,对风险进行统一集中管理。
第二十条 风险评估由风险管理部门组织实施,必要时可以聘请中介机构协助实施。
第二十一条 保险公司应当对风险信息实行动态管理,及时识别新的风险,并对原有风险的变化进行重新评估。
返
回
第四章 风险控制
第二十二条 风险控制包括明确风险管理总体策略、制定风险解决方案和方案的组织实施等内容。
第二十三条 制定风险管理总体策略是指保险公司根据自身发展战略和条件,明确风险管理重点,确定风险限额,选择风险管理工具以及配置风险管理资源等的总体安排。
第二十四条 保险公司应当根据风险发生的可能性和对经营目标的影响程度,对各项风险进行分析比较,确定风险管理的重点。
第二十五条 确定风险限额是指保险公司根据自身财务状况、经营需要和各类保险业务的特点,在平衡风险与收益的基础上,确定愿意承担哪些风险及所能承受的最高风险水平,并据此确定风险的预警线。
第二十六条 保险公司针对不同类型的风险,可以选择风险规避、降低、转移或者自留等风险管理工具,确保把风险控制在风险限额以内。
第二十七条 保险公司应当根据风险管理总体策略,针对各类重大风险制定风险解决方案。风险解决方案主要包括解决该项风险所要达到的具体目标,所涉及的管理及业务流程,所需的条件和资源,所采取的具体措施及风险管理工具等内容。
第二十八条 保险公司应当根据各职能部门和业务单位职责分工,认真组织实施风险解决方案,确保风险得到有效控制。
返
回
第五章 风险管理的监督与改进
第二十九条 保险公司应当对风险管理的流程及其有效性进行检验评估,并根据评估结果及时改进。
第三十条 保险公司各职能部门和业务单位应当定期对其风险管理工作进行自查,并将自查报告报送风险管理部门。
第三十一条 保险公司风险管理部门应当定期对各职能部门和业务单位的风险管理工作进行检查评估,并提出改进的建议和措施。
第三十二条 保险公司风险管理部门应当每年至少一次向管理层和董事会提交风险评估报告。风险评估报告主要包括以下内容:
(一)风险管理组织体系和基本流程;
(二)风险管理总体策略及其执行情况;
(三)各类风险的评估方法及结果;
(四)重大风险事件情况及未来风险状况的预测;
(五)对风险管理的改进建议。
第三十三条 董事会或者其风险管理委员会可以聘请中介机构对保险公司风险管理工作进行评价,并出具评估报告。
返
回
第六章 风险管理的监管
第三十四条 保险公司应当及时向中国保监会报告本公司发生的重大风险事件。
第三十五条 保险公司应当按照本指引及偿付能力编报规则的要求,在年报中提交经董事会审议的风险评估报告。
第三十六条 中国保监会定期对保险公司及其分支机构的风险管理工作进行检查。检查内容主要包括:
(一)风险管理组织的健全性及履职情况;
(二)风险管理流程的完备性、可操作性和实际运行情况;
(三)重大风险处置的及时性和有效性。
第三十七条 中国保监会可以根据检查结果,对风险管理存在严重缺陷的保险公司出具风险提示函。保险公司应当按照风险提示函的要求及时提交整改方案,采取整改措施并提交整改情况报告。
返
回
第七章 附
则
第三十八条 本指引由中国保监会负责解释。
第三十九条 本指引自二○○七年七月一日起施行。
点击咨询 