中国人保财险公司IT风险管理.doc
《中国人保财险公司IT风险管理.doc》由会员分享,可在线阅读,更多相关《中国人保财险公司IT风险管理.doc(33页珍藏版)》请在冰豆网上搜索。
中国人保财险公司IT风险管理
第2章人保财险公司IT风险管理现状与分析
2.1公司发展概况
2.1.1人保财险公司简介
中国人民财产保险股份有限公司(人保财险P&C,简称“中国人保财险公司”,
下同)是经国务院同意、中国保监会批准,于2003年7月由中国人民保险集团公
司发起设立的、目前中国内地最大的非寿险公司,注册资本111.418亿元。
其前
身是1949年10月20日经中国人民银行报政务院财经委员会批准成立的中国人民
保险公司。
人保财险公司是中国人民保险集团股份有限公司(PICC)旗下的标志性主业,
作为国内唯一保费规模过千亿的世界级非寿险企业,一直以“人民保险、服务人民”
为使命,秉承“以人为本、诚信服务、价值至上、永续经营”的理念,充分发挥品
牌、人才、产品、技术和服务等优势,为促进改革、保障经济、稳定社会、造福
人民提供了强大的保险保障,在国内外同业市场享有卓著声誉
2003年11月6日,公司在香港联交所成功挂牌上市,成为中国内地大型国
有金融企业海外上市“第一股”。
历经50余年的奋力拼搏,中国人民财产保险股份
有限公司发展成为中国保险业最具实力的企业,2001年公司保费收入占全国非寿
险市场份额的73.9%,积累各项准备金309.54亿元人民币,具有雄厚的偿付能力。
凭借综合实力,公司相继成为北京2008年奥运会、2010年上海世博会保险合作
伙伴,提供全面的保险保障服务。
2008年6月26日,国际权威评级机构穆迪公
司授予公司中国内地企业最高信用评级A1级。
长期以来,人保财险公司立足服务经济社会发展全局,引领中国非寿险市场
的发展,以金牌服务回报客户。
公司先后被《欧洲货币》杂志评为“最受信赖保险
公司”,在行业首获“中国客户关怀标杆企业”称号,公司95518客户服务中心连续
多年被评为“中国最佳呼叫中心”,在2008年亚洲保险业竞争力排名中,公司被评
为“亚洲最具竞争力非寿险公司”。
2.1.2人保财险公司产品与优势
作为国内财产保险市场最大份额的人保财险公司,经营着机动车辆保险、
企业财产保险、家庭财产保险、货物运输保险、船舶保险、建筑安装工程保险、
投资(政治)风险保险和各类责任、保证保险,并于2007初重返人身险市场,开
始经营人身意外险和短期健康险,亦可根据客户需求提供特约保险,构成了含有17
200多个险种的完善的保险体系。
人保财险公司始终遵循"以市场为导向,以客户为中心"的经营理念,公司经
过多年发展具有品牌、市场、产品、技术、再保险、网络、资源等几方面的经营
管理优势。
品牌优势
人保财险品牌具有六十年的历史,在国内享有显著声誉,在国际上具有一定
影响。
人保财险公司是全球各大船东协会在中国的保赔通讯代理,在国际保险市
场享有良好声誉。
特别是公司在海外上市后,人保财险进一步成为国内、国际保
险市场和资本市场的知名品牌。
市场优势
人保财险公司是国内最大的非寿险公司,在非寿险市场处于领先地位,主导
着非寿险市场的发展。
公司主要经营财产保险、意外伤害保险和短期健康保险业
务,在大型商业风险、政府采购、行业统保等集中型业务以及车辆保险、家财险
等分散型业务领域处于绝对领先地位。
人才优势
多年来,人保财险公司培养了大批优秀骨干人才,拥有一大批具有丰富经验
的管理人才和遍及非寿险业务链每个环节的技术人才,拥有一支掌握非寿险业核
心技能且爱岗敬业、团结奋进的员工队伍。
产品优势
截至2004年底,人保财险公司共开发保险条款1246个,其中主险567个,
附加险679个;全国性险种725个,区域性险种521个。
目前,公司平均每天开
发推广1个新产品。
公司是国内第一家引入精算技术开发产品的非寿险公司,可
以为客户提供全方位、高质量且科学定价的保险保障服务。
同时,公司积累了海
量经营数据,具有坚实的决策分析基础,对中国非寿险市场发展规律有着较好的
把握和认识。
技术优势
中国人保财险公司在产品开发、承保、理赔和再保险等核心技术领域处于国
内非寿险业领先水平,成熟的信息技术平台和完善的客户信息资源为公司业务发
展提供了见识的技术保障。
公司是国内第一家引入精算技术开发产品的非寿险公
司,自爱航空航天、核电站、能源、远洋船舶、大型工商企业、政府采购等重要
保险业务领域具有国内领先的技术优势,能哦故为客户提高工全方位、高质量的
保险保障服务。
网络优势
人保财险公司拥有遍及全国的机构网点,包括324个地、市级承保、理赔、
财务“三个中心”,4500多个分支机构,拥有多样化的营销渠道,形成了强有力的销售和服务网络,足以支撑全国范围的"通保通赔"与"异地出险、就地理赔"等保
险增值服务。
在世界各主要港口、商埠延聘有100多家代理人,形成了全国统一、
全球贯通的保险服务网络,让客户感受到人保财险公司服务无处不在的品质。
客户优势
公司拥有国内非寿险市场最大规模的客户群,建立了广泛、稳定的客户关系,
具有强大的适应市场变化、满足客户需求的产品开发和客户服务能力。
服务优势
公司率先在全国开通365天24小时服务专线95518,现已遍布国内324个地
市,并通过ISO9000质量管理体系认证,向客户提供快、优、全、广的咨询、投
诉、回访、救援、预约投保等多功能、个性化服务。
公司还推出了以全员全流程
服务为内涵的“金牌服务工程”,以确保客户服务从规范、效率、质量三个方面不
断提高,继续保持同业客户服务第一品牌。
同时,携手美国最大网络保险分销商
EHEALTH在华运营网络--优保网为客户提供网络保险购买渠道,满足消费者的新
需求,使公司的品牌深入人心。
人保财险公司改革发展的成功实践有赖于公司不断深化的企业精神。
目前,
公司正向国内领先、国际一流的知识型、现代化非寿险公众公司的战略目标迈进。
2.1.3人保财险公司架构
人保财险公司在全国32省、直辖市、自治区设有分公司,全国共有在职员工
30000多人,总公司设立了办公室、人力资源、信息技术、车辆保险、财产保险、
农险、意外险、财会、理赔、法律、监察审计、再保、战略发展、渠道管理等三
十四个部门,分别对口联系和管理全国各分公司的相应部门。
人保财险公司的组
织结构图如下图2.1所示。
目管理规范》、《软件开发管理办法》,起草了《IT绩效评估及考核办法》讨论
稿,加强了软件开发管理,项目集中管控和绩效管理力度,推行全流程的项目管
理,从而提升信息系统项目绩效。
公司通过实施运维规范体系,强化管控规范运维,保证系统安全,规范信息
系统的运维行为,平均一年归档十一万七千余张运维表单,对信息系统的运维过
程进行了详尽记录,强调安全风险内部管控,针对运维规范中数据管理和用户管
理规定的执行有一定的考核。
技术方面
初步建立了统一的信息技术支撑平台,并实施系统数据的省级区域集中,为
公司规范化经营管理、整合客户资源、服务创新等提供了技术支持。
公司全面推广了新一代综合业务处理系统,该系统该年度CHP
(Computer-worldHonorProgram)“计算机世界荣誉奖”21世纪贡献提名奖,由
CHP评选的“计算机世界荣誉奖”是当今世界信息技术领域最高奖项之一,有“IT
奥斯卡”之称。
公司成为唯一一家在该年度该奖项的“金融、保险及地产领域”获此
殊荣的国内企业。
公司从收付费、再保、渠道、理赔四个角度对核心业务系统实施了系统整合
项目,加强了核心业务系统的处理能力,提升了整个公司应用系统的管控能力和
整体水平。
风险管理方面:
公司从强化管控,提供安全运行维护的角度出发,制定了《信息系统运维规
范》。
该规范采用了ISO9000系列的体系架构,分为控制文件、作业指导书和表
格三层架构,从应用软件、主机和存储、网络和安全、机房和资产四个方面说明
信息系统运维的操作流程和管理规定。
按照应用系统数据访问过程中面临的安全风险,制定了网络安全保护等级标
准和安全区域划分,并从管理制度和技术手段两方面强化管理,安全管理制度覆
盖数据访问、内部网络隔离、互联网接入、机房管理、安全备份等各个领域;安
全技术手段则包括网络安全、防病毒、桌面管理、数据库安全审计、网络审计、
身份认证、日志管理和安全管理平台等。
组织架构方面:
参照目标体系的管理模式,结合需要,IT组织架构。
其中总公司信息技术部
下成立了数据中心,并在数据中心下进一步细分职能处室来支撑整个数据中心的
业务。
通过优化组织机构,发挥组织效能,利用组织资源,为提高公司的信息化水
平提供了组织保障。
公司信息技术部的组织结构如图2.2所示:
IT人员情况
公司IT员工1046人,为全公司约12万余名员工提供IT服务,IT员工在公
司员工中的占比不到1%。
近年来,公司总部信息技术人员由原来30多人迅速扩张为67人,但与主要
同业保险公司相比,总部信息技术人员投入依然相对不足。
2.2.2人保财险公司IT风险分析
2.2.2.1治理架构风险
在我国,保险业IT治理还处于尚处于初级阶段,信息化建设在一定程度上还
处于“人治阶段”,信息化制度不完善,信息化整体规划、实施和控制的决策归属
机制和责任担当框架不清晰甚至缺乏。
中国保监会副主席李克穆在2008年第二届
保险信息化高峰论坛做主题演讲时指出:
虽然我国的保险业信息化工作在近年来
取得了较大成效,但从总体上看还处于发展的初始阶段,对如何科学、有效地组
织信息化工作研究还不够。
在人保财险的IT管理体系当中,信息部门已制订了一套的IT管理制度,也
设置了相关的部门、岗位和对应的人去完成IT的日常管理,
组织架构方面
由于每种IT风险都是不同的,考虑到IT风险的特殊性,需要采用组合的方
法来聚合所有种类的IT风险,一方面,把所有的IT风险放在组合中,高优先级
的风险才会凸显出来;另一方面,单一的事件,可能对多种IT风险构成影响,放
在组合中,才能发现其关联性,才有更大机会找到事件的最原始因素。
所以,在体系建设中应关注IT风险需要组合考虑的特殊性,信息安全不单是
技术问题,更是管理问题,只有持续完善信息科技治理架构,从组织架构管理层
面组建健全的风险管控机构,加强跨IT部门和业务管理部门间信息安全工作的协
同配合,,才能真正实现信息安全管理的目标。
而公司在风险管理组织保障体系的建设方面滞后,只有IT管理部门对公司的
IT风险负责,没有设置专门的高层风险管理部门,在IT部门内部也没有专门的
风险管理机构,只要求按IT的工作流程划分的机构各自负责所在环节的IT风险,
难以综合分析、预防IT风险的发生和解决涉及协调风险管理资源等问题。
制度流程方面
在制度的建设、人员的管理、岗位的设置上缺少整体风险管理概念,缺少一
套完整的IT安全管理体系去做指导,缺少因人员岗位调整、业务流程的变化而做
相应周期性对相关管理制度的修订,对日常IT管理情况的定期检查和评价也流于
形式,导致制度与实际工作要求脱节,某些岗位的职责模糊不清,存在不合理的
IT岗位设置。
人员配置方面
IT风险管控不应是IT部门一个部门的工作,而应该上升为全员参与。
公司
员工对于IT风险管理体系、信息安全治理框架都是知识性、片面性的了解,现有
的运维支持系统还停留在事后记录层次,没有统一的IT管理系统具体控制IT管
理工作的开展。
缺乏完善的IT管理体系和信息安全之类架构来指导。
IT治理架构的不完善,在信息化战略层面,容易导致公司信息化在信息化重
大问题的决策缺乏科学性,致使信息化出现战略性和方向性的不确定性,增加组
织风险。
2.2.2.2IT投入和产出风险
我国保险业在信息化投资规模逐年扩大。
根据保监会公布的数据,2004年至
2007年全行业信息化资金投入累计近150亿元。
2008年,保险业信息化资
升级会员 