集中管理模式下保险公司面临的新型风险与对策研究

李淑会

集中管理模式下保险公司面临的新型风险与对策研究

李淑会

随着现代保险企业集中化管理程度的不断提高，保险公司的经营管理将面临更多的新型风险。如何应对这些风险是集中化管理之后公司管理层必须面对的课题。本文对集中管理模式下保险公司面临的新型风险进行了研究与剖析，并提出了风险应对建议。

一、当前的形势分析

随着市场经济的快速发展及股份制的日益成熟，集中管理逐渐成为现代保险集团企业管理的发展方向。近年来，一部分保险集团致力于推进财务、运营、IT、人力资源等支持性后台职能的集中管理，以组织架构的重构、资源的重组、制度的重塑、流程的优化为手段，稳步实现“管理集中、服务延伸”的目标，一方面降低了运营成本，提升了服务品质，另一方面也有效控制了经营风险，避免了各级机构之间出现标准执行偏差和内部管理“黑洞”等问题，取得了显著成效，集团化经营优势初步显现。

但同时，内部审计也发现，随着集中管理模式与新技术在整个业务流程及内部管理中的普遍推广与应用，保险公司经营管理模式由分散式管理转向集中式管理，风险也随着管理模式变更而变化。尽管原有的分散管理模式下的大部分控制漏洞、薄弱环节及风险隐患在流程改造、管理优化的过程中得以弥补和解决，但同时也出现了一些潜在的、新的风险点或薄弱环节。如何应对这些风险，成为集中化管理之后必须应对的课题。

二、集中管理模式下的新型风险特征

在集中管理模式下，保险公司核心业务向总部层面集中，风险管控重心逐步上移，风险由分散化向集中化转变，由单一化向系统化转变，由分支机构操作层面向总部集中操作和管理环节转移，主要表现为以下特征：

（一）风险集中度加大，危害程度加剧。集中化管理后，以往分散在分支机构各个环节的成百上千个风险点逐步集中，大大减少了风险口，风险产生的重点环节向总部集中操作和管理环节集中。同时，破坏力也呈指数级增长。风险危害的影响程度由局部向全局扩大，这些风险在集中模式下带来的损失也远远超过分散模式下的损失。

（二）对信息系统的高度依赖导致风险复杂化。集中管理依托于信息化系统再造和流程变革，多业务整合策略下的系统与数据集中带来IT技术与保险业务流程的深度融合。整个公司的系统设计与管理手段彼此交错，形成密切关联的一个整体，风险之间的关联程度明显提高，风险的表现形式变得更加复杂和多样，呈现出涉及面广、影响程度深、放大效应显著等特征。

（三）新技术应用频繁带来新的风险。移动互联、云计算、大数据、电子商务等新技术的应用给保险业带来了发展机遇，但也带来了新的风险。新生的Web技术、社交平台和移动技术的运用，以及越来越普遍的外包合作，正在迅速消融企业和信息资产的传统边界，给公司的战略发展和经营管理带来了风险与挑战。

三、集中管理模式下的新型风险分析

（一）总部决策风险成为影响公司经营管理成败的首要因素。

管理与流程的集中导致分支机构执行性风险集中到总部决策层面，客观上对总部的管理有效性及决策科学性提出了更高的要求。

1．总部集中决策无法兼顾地区化差异，导致决策的适用性下降。随着业务流程的标准化和组织结构的扁平化，集中统一的作业方式代替原有的分布式作业，总部决策的科学性及集中操作的规范性成为影响公司经营管理的重要因素。一旦总部对业务规则、业务流程及操作规范的设计出现偏差或失误，其负面影响将大大高于分散管理模式。

2．组织结构扁平化导致错误决策传导速度加快。随着业务流程的标准化和组织结构的扁平化，决策传导速度加快，决策执行力得到进一步加强，但错误决策的执行力度也同时被加速，负面效果的传递与发散速度将远快于分散管理模式。

3．信息不对称等问题导致决策可操作性下降。由于总部集中管理，下级机构对决策制定的参与程度下降，上下级之间的沟通联络机制如果不健全，会带来信息不对称等问题。总部获取意见和建议的充分性低于分散管理模式，业务处理的灵活性和柔性下降，在一定程度上影响了决策的可操作性。

（二）集约化生产系统的安全性、可靠性、稳定性成为影响保险公司日常运营安全的一大隐忧。

多业务整合策略下的系统与数据集中在提升公司核心竞争力的同时，也带来了系统风险的高度集中。IT技术与业务深度融合，成为统一的、相互交织的整体，公司的信息安全与数据质量风险成为一大隐忧。

1．系统与数据的集中管理导致信息安全风险高度集中。由于各种类型的业务数据统一集中到IT中心进行管理，故IT中心的数据变得愈加关键。一方面任何内外部意外情况都可能造成关键数据的丢失，从而给公司业务造成不可估量的损失。另一方面，数据集中要求更加严格的数据库管理和访问权限配置，以加强对敏感信息数据的控制。数据库管理和访问权限的控制不力，可能导致公司敏感数据信息外泄，甚至会引起法律纠纷。此外，在系统与数据集中的过程中，由于不同系统的核算口径定义不同，同一指标（如保费收入等）在不同的应用系统之间核算结果可能不同，带来数据的完整性、有效性以及不同系统间的一致性问题，影响公司的数据质量。

2．信息系统与业务流程的高度融合导致系统的设计与管控风险增大。随着流程变革与信息系统再造，保险公司核心业务系统及其周边系统已呈蛛网式分布，看似单个的数据问题或规则问题往往会在数个关联系统中引发连锁反应。公司在实施业务整合与系统集中的同时，往往容易忽视管理流程的更新，原有管控措施与流程未能得到及时调整，造成相应的内部控制措施缺失，使得再造后的流程运转效率难以得到充分发挥，系统漏洞和管理疏漏未得到有效监控与防范。同时，业务流程整合将独立的多个业务活动合并在一起，集成为跨功能的业务活动，并强化对各业务单元的系统整合，实现建立在保证流程效率基础上的扁平化，但往往容易忽视财务、业务等各个模块之间的功能衔接和数据传递问题，功能模块交叉点的控制薄弱环节未得到有效控制。如保险公司的个别系统操作模块在流程设计、权限配置和管控措施等方面存在控制漏洞，再加上相应的内部控制措施缺失以及内控管理疏漏，极易导致风险事件和舞弊案件的发生。

3．大集中带来的系统安全维护不及时等问题，导致系统管理风险进一步加大。集中化管理后，信息技术中心的管理工作日趋复杂，需要对内外部所有用户提供全天候不间断的服务，对整个业务系统的可靠性、稳定性提出了更高要求。同时，系统运维管理制度健全与否以及管理人员道德素养，对系统运行和系统安全的影响越来越明显。集中后的系统架构变得更加复杂，影响因素比原来大大增加，很多系统问题往往需要层层沟通才能得到根本解决，这也在一定程度上影响了信息系统应急管理效率。

（三）新技术运用带来的信息安全问题成为影响保险公司经营管理的新风险。

信息科技发展是把“双刃剑”。IT新技术的运用提供了业务创新的驱动力，拓宽了业务渠道，创新了客服模式，但在给公司带来业务增长的同时，也使公司业务更依赖于信息系统，带来了新的信息安全风险。同时，公司在部署新技术的过程中往往只关注业务流程连续性，对风险控制关注不到位，对关键的流程和数据未提供足够的保护，将产生新的、具有危险性的业务漏洞。如随着快速理赔、电销、网销等新技术的上线使用，对客户身份验证、客户账号安全等信息安全风险，以及系统稳定性与业务连续性风险应加以关注。

（四）外包业务质量风险成为新的风险隐患。

保险公司往往将出单、录单、档案保管等技能要求较低、耗时费力、非核心的辅助性业务外包给第三方，这降低了劳动力成本，但各分支机构执行层面风险也转移为外包业务质量控制风险。

四、集中管理模式下的风险应对建议

（一）构建理性、全面的科学决策机制，提高总部决策效率和决策水平。

1．完善决策机制，提高基层机构对公司战略和重大决策的参与度。首先，健全重大问题集体决策机制，使基层机构能从全局上关注重大决策的整体性、正确性、效能性和创新性。其次，进一步健全与分支机构的有效沟通机制。基层机构执行人员是最了解业务前端和市场行情的人，只有让他们参与到管理决策中来，顶层设计和基层实践紧密结合，才能提高决策的科学性。

2．建立重大决策细化落实机制，提高决策的可操作性。决策不仅仅是方案或制度，还应配备相应的落地措施和操作细则。公司的各项管理制度与业务流程只有兼顾集约化和地区差异化，才能确保重大决策层层传递，避免决策执行效力逐层递减的问题。

（二）加强保险公司信息安全管理，提升信息风险防范能力。

1．研究和借鉴“双活数据中心”建设模式，确保系统运行安全稳定。随着国家骨干光纤网络日趋成熟，“双活数据中心”逐渐成为未来对数据安全要求较高的行业数据中心建设的趋势。建议保险公司加强这方面的规划和研究，在财力允许的范围内，保险公司应创造条件，克服当前数据中心建设中的困难，积极推进可靠、安全、高效的“双活数据中心”建设，促进系统运行安全稳定。

2．探索建立系统与数据治理工作的常态化机制，提高数据质量。系统问题、数据问题是长期存在的。集中化管理发展到今天，保险公司各类规则、流程与系统互相交织，需要从全流程、全系统架构出发，进行跨系统、跨专业领域的梳理，实现流程与流程、系统与系统之间的无缝对接，保证规则分布的一致性；进一步探索和建立数据治理工作的常态化模式，探索建立科学的流程、合理的体制、规范的架构。

3．加强系统运行管理机制建设，减少敏感数据外泄的风险。建议以大集中为契机，整合资源，建立统一、规范的系统运行管理机制，逐步推行信息化管理，减少人工干预；建立“自上而下”的安全防范和数据治理机制，加强对敏感数据人防和技防措施的研究和落实，防范敏感数据外泄风险；不断加大制度执行力度，实行严格的问责制，对违规操作的人员加大处罚力度，提高运行人员遵章守制的自觉性。

（三）建立完整的风险防控机制，将新技术风险纳入公司风险防控体系。

移动互联、“云计算”等新技术的发展步伐无法阻挡，其间机遇与风险并存。为确保业务健康发展，建议建立完整的新技术运用风险防控机制，即在采用一项新技术之前要进行严格的风险评议，并且有相应的流程去审议这些新技术的采用，审视新技术的安全隐患和风险，并将其纳入到公司整个风险防控体系中。

（四）流程再造与管理创新同步，全面构建风险防控体系。

管理对具体流程起着协调和保障作用，二者必须同步设计、相互适应，从而建立起高效的企业运行机制，夯实基础管理。

应依靠科技手段，完善事前、事中、事后的风险监督体系，最大限度地控制作业过程中的操作风险，以系统建设为载体，不断完善控制手段，加强事前风险防范；加强后续监控，及时发现问题，对风险较大的业务应加大事后检查力度，全方位查漏补缺；加强营运、财务等业务管理部门与合规、风险、审计等内控部门的协作与联动，及时排查、锁定业务流程和操作中的风险漏洞，实现风险控制重心由被动的事后检查向主动的事前防范过渡，推动公司风险防范和化解能力的提升。

（作者单位：太保集团）