一、互聯網保險創新的現狀
根據中國保險行業協會在2015年年初發布的《互聯網保險行業發展報告》顯示,針對經營互聯網保險業務的公司分類,人身險公司有44家,財產險公司有16家,總體佔全行業133家產壽險公司的45%。包括中國人保財險、泰康人壽、平安人壽、太平洋保險、天安財險等在內的多家險企已率先在線上跑馬圈地,中國保險公司與互聯網的深度融合已全面到來。
首先在監管層面,上個月,醞釀已久的《互聯網保險業務監管暫行辦法》終於由中國保監會發布,這標志著中國互聯網保險業務基礎監管規范的形成。《辦法》以鼓勵創新、防範風險和保護消費者權益為基本思路,從經營條件、經營區域、信息披露、監督管理等方面明確了互聯網保險業務經營的基本規則;規定了互聯網保險業務的銷售、承保、理賠、退保、投訴處理及客戶服務等保險經營行為應由保險機構管理負責;強化了經營主體履行信息披露和告知義務的內容和方式,著力解決互聯網自主交易中可能存在的信息不透明、信息不對稱等問題,以最大限度保護消費者的知情權和選擇權。
其次在保險主體方面,早在2013年,中國人保就推出「掌上人保」,並號稱是指尖上的保險;去年,以「理賠簡單,就在天安」為口號的天安財險「車易賠」APP在全國上線;隨後,「中國太保」「大地通保」、「泰康在線」等保險在線服務平台如雨後春筍般出現,可見,拼服務、拼體驗已經成為各家保險主體競爭的主要方向。同時,各家保險公司在立足保險本身的同時,從渠道上也不斷向外圍延伸,分別與P2P平台、信用保證機構等開展不同程度的合作。以下是中國保險行業協會從服務創新、技術創新、渠道創新等三個方面對2014年60家提供互聯網服務的產、壽險公司進行評價後的前15名榜單:
二、互聯網保險創新背後的風險
應該說基於提升客戶體驗的互聯網保險創新,方向是對的。互聯網保險作為一個新興的領域,發展空間巨大,但同時互聯網保險創新也帶來一系列風險和問題。從目前已經暴露的風險來看,主要包括保險產品創新異位、消費者投訴急劇增加、消費者道德風險敞口擴大、風險評估和控制不到位等。
(一)保險產品創新異位
自2013年底由「三馬」投資的眾安在線成立以來,帶動了中國各大保險主體在保險產品上的創新熱潮。盜刷險、高溫險、退貨險、喝麻險、世界盃足球流氓險等創新險種不斷涌現,壽險公司也相繼推出求關愛、愛升級、救生圈等所謂的基於微信平台的「扔撈」產品,名字一個比一個花哨,其中,不乏一些險種初具規模,但更多的是為創新而創新。如世界盃足球流氓險從頭到尾就沒賣出幾份,導致本來就比較便宜的3元/份,到後期直接降價到1分錢/份,變成了一個十足的噱頭。更有甚者,開發出霧霾險、賞月險、搖號險等,嚴重脫離保險的本質。
(二)消費者投訴急劇增加
據保監會近日公布的《關於2015年上半年保險消費者投訴情況的通報》顯示,2015年上半年,中國保監會12378投訴維權熱線全國轉人工呼入總量157544件,同比上升40.24%。而其中,捆綁銷售互聯網產品的投訴占據一定比例,究其原因,很多保險主體互聯網保險業務發展迅速,但管理和服務能力嚴重不足,片面注重銷售前端網路化,後台運營管理卻仍是傳統思維,前端和後台不配套,買時容易退時難,從而導致消費者投訴。
(三)消費者道德風險敞口擴大
目前,各家保險主體在理賠服務上基本上都推出了簡易賠付,即保險公司對於一定金額以下(2000-10000元不等)的保險事故實行簡易賠付,消費者通過保險公司自己推出的APP平台,或拍照、或視頻,將事故現場信息傳輸到保險公司後台,保險公司審核確認後立刻賠付,全程一般在5分鍾左右時間完成。應該說這種做法極大地簡化了理賠程序,縮短了理賠時間,方便了消費者。但是,客觀地講,我們也不得不面對當下國內的基本現狀,國民的平均道德水準有待提高,修理廠、4S店有組織地批量造假,保險欺詐層出不窮,這些無疑都將保險公司的風險敞口無限擴大。
(四)風險評估和管理不到位
保險從本質上是風險轉移的安排,應該有可量化的數據支撐,目前,很多產品的創新,缺少基本的費率釐定、成本測算等程序。同時,保險講究的是大數法則,如果一款產品不能具備一定規模,賠付水平就會極不穩定,風險管理也就無從談起。
三、互聯網保險創新的風險管理
(一)保險產品創新:回歸本質
保險,在法律和經濟學意義上,是一種風險管理方式。因此,保險產品創新的基本原則和底線是創新的產品具有風險管理的可能性,即通過經驗的積累和有效的管理措施能夠降低保險標的風險。這也就是一般情況下地震、颶風等不可抗力不列入保險范圍的根本原因,因為到目前為止,人類還無法通過自身的行為影響上述事件的發生。反觀現在的保險產品創新,霧霾險也好,賞月險也罷,甚至是高溫險,基本上都突破了上述這一基本原則。
之所以會出現現在這種情況,我想主要有兩個方面原因,一是保險本身,在目前的保險市場上,規模產品的同質性非常嚴重,基本相同的條款,基本相同的費率,基本相同的服務,在這種情況下,產品創新的目標已經不再是客戶的「需求」,而是客戶的「眼球」。記得若干年前,有一個保險公司開發了一個險種叫「酒駕險」,從始至終沒賣出一份保單,但公司從上到下都非常開心,因為這個產品在當時引起了包括新聞媒體、監管部門、同業公司以及消費者的極大關注,很好地提高了公司的知名度。二是與目前整個社會的大環境有關,當下,從集體到個體,在物質和經濟的指揮下,每一個社會組織和細胞都在極力獲取盡量多的資源,而忽視了資源本身的效用和價值。正像有一句話所說,走著,走著,忘記了出發的目的。
(二)保險風險管理:大數據為器
1.大數據在費率釐定中的應用。保單的費率設定是保險公司風險管理的源頭,也是一項非常重要的工作,主要目的是使設定的費率對應於投保人的風險等級,風險越小,費率越低,盡量做到公平。確定費率較為關鍵的問題就是找出「影響賠付支出的風險因素或變數」,其實生命表就是「影響賠付支出的風險因素或變數」之一年齡的一個分類。再如,在車險定價中城市交通的擁擠程度、駕駛員的年齡、駕齡、性別、汽車的新舊程度等都可能是「影響賠付支出的風險因素或變數」,而這些因素或變數就是可以通過大量數據分析和處理來確定。
2.大數據在風險評估中的應用。在大數據時代,風險評估已經不僅僅局限於公司的歷史數據、行業的歷史數據,無論是風險特徵的描述還是數據資源的獲取都更加便利。首先在占據財產險市場70%以上份額的車險領域,保險公司可以獲取三個層級數據來支撐風險評估,第一層級是核心層,包括公司和行業數據,第二層級是緊密層,包括車型、汽車零整比、二手車等數據;第三層級是外圍移動層,包括利用車載感測設備收集駕駛員行為數據等。同時,對於保險公司的精算師來講,更多、更廣的數據獲取,可以更精確地識別個體對象的潛在風險,建立更加有效的數據模型,不斷改善和提高精算的精準程度,以幫助判斷和評估風險以及風險准備金。
3.大數據在反理賠欺詐中的應用。在確保數據資源的情況下,通過完整的、多樣化的數據(數據包括但不限於公司內部保單及理賠歷史記錄、行業數據、徵信記錄、公共社交網路數據、犯罪記錄等),輔之以有效的演算法和模型,來識別理賠中可能的欺詐模式、理賠人潛在的欺詐行為以及可能存在的欺詐鏈條,應該是未來反理賠欺詐的主要方向。而對於整個中國保險行業來講,盡快建立起一套行業級的保險數據信息平台,是反理賠欺詐的關鍵。目前,上海、江蘇等省市已經實現理賠信息數據共享,在這些地區反理賠欺詐行為的成效明顯提高。
4.大數據在保險行業風險管理中應用之核心—數據整合。目前保險公司的數據有行業平台的同業數據、前端客戶APP導入(或現場出單)數據,中端中介、渠道、理賠、呼叫數據,後端財務收付數據,另外,還有定價系統的汽車零配件數據、人事系統的人員數據、稽核審計風控系統的風控數據等,種類繁多和龐雜,因此,急需建立大數據平台進行數據整合,統一數據存儲和傳遞標准,並將不同系統進行數據打通,再根據不同需要進行數據挖掘。
(三)保險風險控制:新技術應用
未來,新技術、新設備的應用將成為保險行業風險控制的主要途徑。在承保環節,基於大數據基礎的數據分析技術將在第一時間立體呈現保險標的各項數據和特徵,為承保決策和政策提供第一手資料,從源頭控制風險。在理賠環節,新技術、新設備同樣將被廣泛應用。在車輛保險領域,通過裝載在車上的無線電子設備,運用通訊網路,實現對車輛、道路以及行車駕駛員進行靜、動態信息提取和行為記錄,從而監督行車駕駛員人的行為風險和道德風險,並進行出險前預防、出險中響應和出險後處理,從而使保險事故管理變被動為主動,降低理賠成本。在人壽保險領域,利用能夠實時監控人體健康情況的可穿戴設備,來獲取和細分不同群體、不同年齡的人體健康和生死概率,並適時向客戶提供飲食、健身等方面的建議,從而降低投保人的醫療費用。在家庭財產險領域,通過智能家居系統對住宅進行遠程監控並及時發現和緩解風險,當家中發生煤氣泄漏或水管爆裂,可自動關掉閥門,從而減輕損失等。
任何事物的發展,都要有與之相對應的配套管理措施,互聯網保險創新也不例外。今後相當長一段時間,互聯網保險創新都將在路上,基於互聯網保險創新的風險管理也必將亦步亦趨,緊緊跟隨。
擴展閱讀:【保險】怎麼買,哪個好,手把手教你避開保險的這些"坑"
2. 利用大數據分析將保險業風險防控做到極致
利用大數據分析將保險業風險防控做到極致
互聯時代,特別是移動互聯網日漸普及之後,大數據的搜集變得更為方便和可行,大數據的應用價值受到了各行各業的關注,甚至大數據本身也成了一個專門產業。保險作為基於大數法則運營發展的商業行為,對大數據的利用有著天然的傾向性。筆者圍繞風險防控這一經營實務,圍繞核保、核賠這兩大關鍵節點,探討大數據分析在風險防控中的應用,分析優勢性,指出限制性,並基於行業現狀對大數據分析的發展提出建議。
保險業面臨風險控制新挑戰
雖然風險防控是保險業發展過程中永恆的課題,但是隨著經濟社會的發展,新風險點層出不窮,惡意欺詐手段不斷翻新,保險業風險防控受到的更為嚴峻的沖擊。具體表現為:
1.行業競爭倒逼核保和理賠速度的提升,可能帶來核保、核賠質量下降的負面影響。從純理論角度和最理想化的角度來講,核保和核賠這兩個環節是可以為保險公司屏蔽所有逆選擇和道德風險的。但付出的代價是用大量的人力對每個投保和理賠申請都進行大量的細致調查。這在保險公司實際運營中是不可能的。特別是在行業競爭越來越激烈的今天,為提升客戶體驗,保險公司的投保條件愈發寬松,核保核賠速度快,甚至免核保、免體檢、快速賠付已經成為保險公司吸引客戶的「標配」所在。各家公司千方百計提高服務速度,核保核賠部門往往要承受客戶和銷售部門的雙重壓力。在此情況下,雖然保險公司的保費收入有了較大增長,但是承受的風險沖擊將明顯增大。公司管理層對業績增長的期待,或多或少沖淡了本該固若金湯的風控意識。
2.互聯網保險的發展,客觀上增加了風險控制的難度。如今,網路銷售、移動互聯網銷售日益被保險公司所重視。各種保險銷售網站,成為了保險公司新的保費增長點。甚至客戶通過手機微信等軟體終端,就可以輕松完成投保或理賠過程,在這種情況下,材料真實性驗證難度較大,信息不對稱性更為突出,機會型欺詐風險增加。異地出險的增加,也對理賠後續工作提出較高要求,容易出現保險服務流程銜接的空白。在傳統保險銷售過程中,銷售人員與客戶面對面地溝通,其實也是一種了解客戶的過程。但是互聯網保險的發展讓這個過程消失。核保部門失去了一道天然屏障。這些都是增加了風險控制的難度。
大數據分析在保險業風險防控中的實際意義
雖然互聯網技術的發展,給傳統思維下的風險防控帶來了巨大的挑戰。但是筆者認為,任何新技術的進步都是雙刃劍。而且解鈴還須系鈴人,互聯網技術帶來的「麻煩」也必將由互聯網技術本身來開出葯方。這個葯方就是大數據分析。
IBM公司曾用5個特徵來描述大數據,既大量、高速、多樣、低價值密度、真實性。這些特徵其實也表明了大數據對風險防控的意義。
1.大數據時代下,核保環節通過大數據分析有條件對客戶進行系統性風險掃描。具體來講,在傳統核保過程中,客戶告知什麼,保險公司就審核什麼。核保人員要從有限的告知信息中,發現風險點的蛛絲馬跡。這個過程中的風控主要依靠客戶的誠信水平和核保人員的工作經驗。而且大量的投保告知,也挑戰了客戶的耐心。面對大量的提問,客戶很有可能引起反感,不認真填寫告知內容或乾脆放棄購買保險產品。但在大數據條件下,保險公司有條件從資料庫中獲取客戶的大量相關信息。比如通過了解客戶的就醫記錄,可以准確推斷客戶的健康狀況;通過查詢客戶在各家保險公司的既往投保記錄,可以分析投保人有無重復投保、短期內大額投保等高風險行為,等等。這些都將打破既往核保的管理思路,使得核保過程更加精確化。同時客戶需要進行的投保告知大大減少,只要授權保險公司查詢相關信息,即可快速得到核保結果。
2.大數據時代下,核賠環節通過大數據分析更可能發現理賠欺詐的線索,堵住風險漏洞。傳統的核賠過程中,主要靠核賠人員的經驗甄別風險,靠調查人員有意識的排查堵住理賠欺詐的發生。這種情況下,人為製造保險事故、虛報並不真實存在的保險事故、誇大保險事故損失金額,都成為可能發生的情況。但在大數據條件下,保險公司不同地區的既往理賠數據,甚至不同保險公司之間的理賠數據有可能匯聚成一個超級資料庫。任何理賠申請,都可以先經過資料庫的檢驗。
3.大數據分析輔助風險控制的理論研究,已經有了一定的積累,為進一步應用打下了基礎。近年來,大數據的開發應用不僅得到了實務界的關注,也吸引了理論界進行更為細致的研究,並取得了一定成果。例如欺詐分析技術,就是綜合了大數據模型、統計技術和人工智慧在反保險欺詐領域的一項應用。目前這項技術已有了比較完整的理論模型,建立了相應的演算法體系,具體包括有監督演算法和無監督演算法。筆者認為,這些理論研究雖然對保險實務從業者來講有一些晦澀,但是今後的大數據分析甚至人工智慧在保險業的應用,就是建立在這些理論研究基礎之上的。
基於大數據技術提升保險業風險控制
結合大數據技術本身的發展要求,以及當前保險公司實際運營情況。筆者在這部分將提出大數據時代提升保險業風險控制的具體工作建議。
1.以資料庫建設為基礎,在內部數據資源整合的基礎上,爭取建立全行業共享的大數據平台。在這里所討論的所有大數據分析的優勢,都建立在保險公司能夠收集到海量有價值數據的基礎之上。這種數據資源的整理,首先是公司內部資源的整理。特別是對於混業經營的大型金融集團來說,內部已有的數據資源整合就已經是非常偉大的成就。要讓各家公司共享信息,註定是艱難的,這需要行業協會、監管部門的推動,需要各家公司站在更長遠的角度展望保險業的發展。
2.保險公司要千方百計提升IT技術水平,儲備大數據分析的技術力量。大數據分析對資料庫技術的要求是比較高的,公司網路系統和數據計算能力面臨考驗。更為重要的是,如果要想進一步開發大數據資源,就必須有專門的統計分析人才。技術儲備,不是過往運營數據分析等簡單的數據開發,而是一整套科學的體系。保險公司有必要提前進行技術儲備。
3.大數據分析過程中,要特別注意數據安全和客戶信息的保密管理。大數據和互聯網一樣,也是一把雙刃劍。保險公司挖掘好這座寶藏,能夠在風險防控上取得事半功倍的效果。但同時也擔負著維護數據安全的重任。海量的個人信息數據存儲在保險公司,一旦泄露後果不堪設想。單個的數據泄露就可能引起客戶的訴訟。批量的數據泄露,可能給公司帶來的就是滅頂之災。從法務角度來講,保險公司在引用客戶信息之前,要取得客戶授權,規避法律風險。同時要盡可能依靠大數據分析,通過簡單的客戶信息就推斷出某類業務的風險。
總之,風險控制是保險公司穩健經營的重要一環。在大數據時代,保險業必然要利用新技術手段,將風險防控工作做到極致,為公司和行業的發展創造價值。
3. 保險行業怎麼做輿情監測
保險行業每天在各個平台、報紙等媒介上都有海量的消息發布,當靠人工去收集分析很困難,而且也不夠全面詳細。你可以使用慧科訊業的輿情監測系統,資訊全面,預警速度快,信息准確度也很高。
4. 保險公司的風險控制部是干什麼的,像人壽險個財產險這個風險不是可以控制的了的啊,生老病死和意外這不是
你理解有誤。他是對內部工作流程以及員工還有對公司的風險。
風險控制部的職責主要如下:
1負責起草公司業務風險控制的相關工作流程、制度,並對相關的制度提出改進意見。
2與業務部共同對每項業務按工作流程的規定進行完全的風險調查與評估。
3協同法律資產保全部共同對每項業務的實際操作過程及法律文件進行風險分析與評估。
4完成業務風險分析評估報告,向審貸委員會匯報業務風險調查與分析評估結果。
5協助各部門已放貸業務進行跟蹤監督。
5. 怎麼規避數據風險
如果企業認為自己的數據存儲已經非常安全了,那就大錯特錯了。目前,企業數據泄露的問題非常突出,這里我們介紹五種常見的數據安全風險,並給出規避風險的建議。
讓我們一起來思考一個問題: 企業數據所面臨的最大安全威脅是什麼?如果你的回答是黑客攻擊或者說是IT人員的違規行為的話,那並不完全正確。的確,黑客的惡意攻擊總能引起人們的高度重視,IT人員的惡意違規行為更是不能容忍,但事實上,最有可能泄露企業數據的卻往往是那些沒有絲毫惡意的員工,換句話說,內部員工使用網路文件共享或者亂用筆記本電腦造成數據泄露的可能性最大。
據Ponemon Institute最新的調查報告顯示,內部員工的粗心大意是到目前為止企業數據安全的最大威脅,由此造成的數據安全事故高達78%。在這份報告中還指出,在企業不斷嘗試和應用最新企業內部數據保護技術的同時,卻沒有充分意識到企業內部員工的筆記本電腦以及其他移動存儲設備所存在的安全隱患。
存儲網路工業協會(SNIA)曾發布過企業存儲安全性自我評估方法,用來測試企業對數據的保護程度。結果顯示,目前大多數企業受到數據泄露問題的困擾。ITRC(Identity Theft Resource Center)的資料也顯示,在美國,2008年出現的數據泄露事件比上一年增長了47%。「況且這些還只是有記載的數字,我的電子郵箱里就經常收到一些促銷信息,顯然我的個人信息通過某種渠道被泄露了。」 ITRC的創始人、身份認證管理專家Craig Muller說。
事實上,現在人們應該充分意識到問題的嚴重性了。Ponemon Institute在2008年進行的另一項調查顯示,在1795名受訪者中有超過一半以上的人表示其在過去24個月中被告知數據泄露的次數大於兩次,而8%的人則表示收到過四次以上這樣的通知。但是,到目前為止,企業還不知道該如何保護自己。在Ponemon Institute的這份調查中顯示,在577名安全專家中僅有16%的人認為當前的安全措施足以保護企業的數據安全了。
目前,解決問題惟一的方法就是借鑒其他企業的前車之鑒,以避免自己出現類似的問題。下面介紹五種常見的數據泄露問題,每種情況我們都給出了規避安全風險的建議。
內部竊取
2007年11月,Certegy Check Services(Fidelity National Information Services的一家子公司)的高級資料庫管理員利用特許的數據存取許可權偷走了超過850萬客戶的數據資料。隨後,他將數據賣給了一家中間商,價格是50萬美元,之後這家中間商又將數據賣給了其他商家。事情敗露後,這名員工被判入獄四年並負責賠償320萬美元的經濟損失。Certegy Check Services官方宣稱事情很快就得到了解決,客戶的個人信息並沒有被泄露,不過,其客戶還是收到了其他廠商發來的促銷信息,而這些廠商恰恰購買了被竊數據。
還有一個案例,一位在DuPont工作的技術專家在離開公司之前拷貝了價值4億美元的商業機密,然後跳槽到了一家與DuPont競爭的亞洲公司。根據法院的記錄,他利用特許存取許可權下載了大約2.2萬份摘要以及1.67萬份PDF文件,這些文件記錄了DuPont的主要產品線,其中還包括一些開發中的新技術。他在下載數據之前與DuPont的競爭對手討價還價了兩個月之久,並最終達成了「協議」。依據這些犯罪記錄,法院宣判其服刑18個月。
代價:在DuPont的案例中,雖然最終美國政府為其損失補償了18萬美元,但其被泄露的商業機密估計價值超過4億美元。而且,沒有任何證據可以證明,DuPont泄露的數據已經被競爭對手,也就是上述那位技術專家的「同謀」得到,這就使得DuPont無法通過更有效的法律途徑解決問題。
據Semple的研究顯示,客戶信息失竊比知識產權失竊帶來的損失更大。在2008年,Certegy Check Services公司為客戶信息丟失所付出的代價是每人每次2萬美元。
分析:ITRC的報告中顯示,在2008年發生且被記錄下來的泄露事件中有16%是由內部竊取所造成的,是2007年的兩倍。原因是,現在很多企業在「獵頭」的同時,還伴隨著商業犯罪—根據卡內基梅隆大學計算機應急響應小組(CERT)的研究,1996年到2007年企業內部犯罪有一半是竊取商業機密。
CERT指出,內部人員竊取商業機密有兩大誘因:一是能夠獲得金錢;二是能夠獲得商業優勢。雖然後者多是從員工准備跳槽開始的,但這類情況大都是在員工離開以後才被發現,因為其留下了秘密訪問數據的記錄。可見,內部威脅是數據安全管理的難題之一,尤其是對那些有特許許可權的員工的管理更是如此。
建議:首先,建議企業做好對資料庫非正常訪問的監督,為不同用戶的當前可用訪問權設定限制,這樣系統就可以很容易地檢測出負責特定工作的員工是否訪問了超出工作范圍的數據。比如,Dupont公司就是因為檢測到該技術專家異常訪問了電子數據圖書館才發現了其非法行為的。此外,一旦檢測到了數據泄露,最重要的就是快速行動以減小信息擴散的可能性,並提交法律機關迅速展開取證調查。
其次,企業應當使用個人訪問控制工具,保證系統記錄下每一個曾經訪問過重要信息的人。此外,保存客戶和員工信息的資料庫更應當對訪問加以嚴格限制。事實上,就日常工作而言,能有多少人在沒有許可的情況下有查閱身份證件號碼和社會保險號碼的需要呢!因此,個人信息應該與商業機密有著相同的保密級別。
再次,建議使用防數據丟失工具以防止個人數據在通過電子郵件、列印或者復制到筆記本電腦及其他外部存儲設備時發生泄露。這類工具會在有人嘗試拷貝個人身份數據時向管理員發出警告,並做記錄。但是目前,很多企業都沒有應用類似的審查記錄工具。
此外,加強內部控制和審計也非常重要。舉個例子,企業可以通過設立網路審查或記錄資料庫活動等方式來進行監督。保存詳細記錄可能並不夠,企業還需要通過審計方式來檢查是否有人更改或者非法訪問了記錄。當然,單獨依靠技術手段是不行的,企業還需要確保你所信任的數據使用者是真正值得信任的。
設備失竊
2006年5月,由於美國退伍軍人事務部的一名工作人員丟失了自己的筆記本電腦,致使2650萬退伍軍人的個人資料丟失。萬幸的是,最後小偷被捕,並沒有釀成更嚴重的後果。雖然事後FBI(美國聯邦調查局)宣稱數據沒有被泄露,但這個事件的發生還是給退伍軍人事務部帶來了巨大的影響。無獨有偶,2007年1月,退伍軍人事務部在阿拉巴馬醫務中心同樣發生了筆記本電腦被盜事件,致使53.5萬退伍軍人和超過130萬內科醫生的個人數據被泄露。
代價:在事件發生後的一個多月的時間里,退伍軍人事務部為了支撐回答人們關於數據被竊問題的電話應答中心,每天就要花費20萬美元,此外,他們還要支付100萬美元用來列印和郵寄通知信。
退伍軍人事務部因此還遭到了聯名起訴,起訴中包括要求其對每個人造成的損失賠償1000美元。在2007年第二次數據泄露事件之後,退伍軍人事務部為現役和已經退伍的軍人總共賠償了2000多萬美元,才結束了這場聯名訴訟。為此,美國政府還為其撥款2500萬美元用來補償損失。
分析:設備失竊成為了數據泄露的最主要原因—在2008年,大約佔到了20%。據芝加哥法律事務所Seyfarth Shaw的合夥人Bart Lazar介紹,在他所處理的數據泄露案件中,由於筆記本電腦丟失而造成的數據泄露占絕大部分。
建議:首先要對存儲在筆記本電腦上的個人身份信息加以限定。比如說,不要將客戶和員工的名字與其身份證件號碼、社會保險號碼、信用卡號碼等身份信息放在一起保存。可以將這些數字「截斷」存儲,或者考慮建立個人特殊信息,比如說將每個人的姓氏與社會保險號碼的後四位連在一起保存。
其次,對筆記本電腦上存儲的個人信息進行加密,盡管這會產生一些潛在成本(大約每台筆記本電腦50到100美元),同時還會損失一些性能,但這是必須的。美國存儲網路工業協會負責存儲安全的副主席Blair Semple曾表示,對數據進行加密,需要企業和員工都形成這種強烈的意識才行,在很多情況下,對數據進行加密並不困難,但人們卻沒有這么做,不難看出,管理層面上的問題才是最大的。
最後,建議在數據載體上設置保護性更強的口令密碼。
外部入侵
2007年1月,零售商TJX Companies 發現其客戶交易系統被黑客入侵,令人不解的是,此入侵從2003年就已經開始了,一直延續到2006年12月,黑客從中獲取了9400萬客戶的賬戶信息,而數據被盜事件在4年後才因一次偽造信用卡事件被發現。2008年夏天,11人因與此事相關而被起訴,這是美國法律部門有史以來受理的最大規模的黑客盜竊案件。
代價:據估計,TJX在此次數據泄露事件中的損失大約在2.56億美元,包括恢復計算機系統、法律訴訟費、調查研究以及其他支持費用,損失中還包括對VISA和MasterCard的賠償。此外,美國聯邦商務委員會還要求TJX必須每隔一年委託獨立的第三方機構進行安全檢查,並持續20年。
甚至有人預測,TJX因此受到的損失會達到10億美元以上,因為還要將法律和解費用以及因此失去很多客戶的代價計算在內。據Ponemon在2008年4月進行的一項研究表明,通常發生數據泄露事故的企業將會失去31%的客戶基礎和收入來源。在Ponemon最近發布的年度數據泄露損失統計報告中顯示,每泄露一份客戶信息,公司就將損失202美元,而在1997年,這個數字是197美元,其中因數據泄露失去的商業機會所帶來的損失是損失增長中最重要的部分。
分析:據Ponemon的研究,黑客入侵造成的數據泄露在安全威脅中名列第五。據ITRC的調查,在2008年有記載的數據泄露事件中有14%是由黑客攻擊所造成的。但這並不意味著企業對此就應該束手無策,甚至放任不管。
在TJX的案例中,黑客是利用War-Driving滲透到系統內並入侵企業網路的。而這主要是因為TJX使用的網路編碼低於標准規格,且在網路上的計算機並沒有安裝防火牆,傳輸數據也沒有進行加密,這才使得黑客可以在網路上安裝軟體並訪問系統上的客戶信息,甚至還可以攔截在價格檢查設備、收銀機和商場計算機之間傳輸的數據流。
建議:如果對資料庫的訪問非常容易的話,那麼建議企業使用高級別的數據安全措施和數據編碼。
員工大意
Pfizer公司的一名員工一直是通過網路和筆記本電腦進行遠程辦公的,沒想到,他的妻子在其工作用的筆記本電腦上安裝了未經授權的文件共享軟體,致使外部人員通過這個軟體獲得了1.7萬名Pfizer公司現任員工和前任員工的個人信息,其中包括姓名、社保賬號、地址和獎金信息等。統計顯示,大約有1.57萬人通過P2P軟體下載了這些數據,另外有1250人轉發了這些數據。
代價:為了將數據泄露事件的危害降至最低,並避免類似事件的發生,Pfizer與一家信用報告代理商簽署了一項「支持與保護」合同,合同包括對與泄露數據相關的信息進行為期一年的信用監控服務,以及一份因數據泄露對個人損失進行賠償的保險單。
分析:據Ponemon的最新研究表明,粗心的員工(雖然不是故意的)是數據安全的最大威脅。有數據顯示,88%的數據泄露與員工的大意有關。如果企業的員工能夠具有更高的安全意識,數據泄露的數量將會大幅下降。在Pfizer的案例中,就是因為員工的妻子在其筆記本電腦上安裝了文件共享軟體,這才使得其他人能夠通過P2P軟體獲得筆記本電腦上的數據,包括Pfizer公司的內部數據信息。
大意的員工再加上文件共享軟體,這絕對是個危險的組合。Dartmouth College在2007年的研究表明,雖然大部分企業不允許在企業網路上安裝P2P軟體,但是很多員工卻在遠程計算機和家用PC上安裝了這種軟體。研究發現,有三十家美國銀行的員工在使用P2P軟體分享音樂和其他文件,並在不經意間向潛在的網路犯罪分子泄露了銀行賬戶數據。一旦業務數據發生泄露,將會通過P2P軟體擴散到全世界的很多計算機上。
建議:企業的IT部門應該全面禁止員工使用P2P軟體,或者制定規章限制P2P的使用,並安裝工具來強化這一規章。並且,應該對員工的計算機系統進行審核,阻止員工進行軟體下載。比如,可以將員工的管理員資格取消,這樣他們就不能安裝任何程序了。同時,最重要的就是教育和培訓,因為這樣能夠讓員工了解P2P的危險性。
合作夥伴泄露
2008年11月,亞利桑那州經濟安全部給大約4萬名兒童的家長發出了通知——這些孩子的個人信息可能已經因為代理商將幾個磁碟丟失而被泄露。磁碟雖然有密碼保護,但卻沒有進行加密。
代價:統計數據顯示,對企業來說,合作夥伴將數據泄露的損失往往比企業內部泄露的損失更大。據Ponemon的調查統計,合作夥伴泄露一份數據記錄企業要損失231美元,而企業內部泄露一份數據記錄造成的損失約為171美元。
分析:Ponemon的年度損失報告表明,外包、轉包、咨詢和商業合作夥伴造成的數據泄露在不斷增長,去年大約佔到所有數據泄露事件的44%,比2007年增長了40%。ITRC的研究也指出,2008年10%的數據泄露與代理商有關。
建議:企業需要簽訂更高服務級別的詳細合同,確保代理商遵守協議,一旦其違反了合同就能夠對其進行處罰。此外,在使用備份磁帶或者磁碟時,一定要進行加密和密碼保護。
6. 保險銷售如何做好全流程監控
全流程監控不是所有保險銷售都能做到,或者說,大多數保險銷售過程都存在著監管難的問題,銷售誤導、溝通不暢帶來的各類糾紛依然是保險銷售的重要問題。個人以為,全流程監控存在於銷售全環節之上,現在以保險之家的全流程監控體系進行簡單說明。第一,專門的銷售場景。很多銷售環境存在於咖啡廳、辦公室、家中,給人一種保險銷售人員「跑保險」的錯覺,這其實從一開始就給了客戶一種不安全感。保險之家為此專門搭建了線下實體門店,並為客戶提供了專業、穩定的咨詢環境,第一印象,就是靠譜。第二,「雙錄」系統。保險之家自主研製了保險行業要求的「雙錄」設備系統,並在所有保險產品銷售過程中全程實施「錄音錄像」,實時上傳雲端,以便實現銷售行為可回放、重要信息可查詢、問題責任可確認。在投保成功後,保險之家將及時給予客戶相關數據拷貝,減少因銷售誤導和溝通不暢導致的各類糾紛。第三,專業的禮儀培訓與保險服務培訓。很多機構會忽視禮儀培訓本身,實際上,前期的禮儀和服務標准,相當於銷售過程本身就標准化流程化,而標准化和流程化讓服務本身穩定,其實專業的培訓是全流程監控的基礎,但很多人會忽視這一點。
7. 投保人對被保險人無可保利益是產險業務在投保承保環節需要進行風險監控的點嗎
是壽險的話就有效,因為壽險保單只要求在簽訂保險合同時存在保險利益;但是財險的話合同無效。
8. 保險公司風險管理工具有哪些
風險管理的定義 風險管理當中包括了對風險的量度、評估和應變策略。理想的風險管理,是一連串排好優先次序的過程,使當中的可以引致最大損失及最可能發生的事情優先處理、而相對風險較低的事情則押後處理。 現實情況里,優化的過程往往很難決定,因為風險和發生的可能性通常並不一致,所以要權衡兩者的比重,以便作出最合適的決定。 風險管理亦要面對有效資源運用的難題。這牽涉到機會成本(opportunity cost)的因素。把資源用於風險管理,可能使能運用於有回報活動的資源減低;而理想的風險管理,正希望能夠花最少的資源去去盡可能化解最大的危機。 「風險管理」曾經在1990年代西方商業界前往中國進行投資的行政人員必修科目。當年不少MBA課程都額外加入「風險管理」的環節。 風險管理(risk management)在降低風險的收益與成本之間進行權衡並決定採取何種措施的過程。 確定減少的成本收益權衡方案(trade-off)和決定採取的行動計劃(包括決定不採取任何行動)的過程成為風險管理。 首先,風險管理必須識別風險。風險識別是確定何種風險可能會對企業產生影響,最重要的是量化不確定性的程度和每個風險可能造成損失的程度。 其次,風險管理要著眼於風險控制,公司通常採用積極的措施來控制風險。通過降低其損失發生的概率?縮小其損失程度來達到控制目的。控制風險的最有效方法就是制定切實可行的應急方案,編制多個備選的方案,最大限度地對企業所面臨的風險做好充分的准備。當風險發生後,按照預先的方案實施,可將損失控制在最低限度。 再次,風險管理要學會規避風險。在既定目標不變的情況下,改變方案的實施路徑,從根本上消除特定的風險因素。例如設立現代激勵機制、培訓方案、做好人才備份工作等等,可以降低知識員工流失的風險。
風險管理的各個步驟 對於現代企業來說,風險管理就是通過風險的識別、預測和衡量、選擇有效的手段,以盡可能降低成本,有計劃地處理風險,以獲得企業安全生產的經濟保障。這就要求企業在生產經營過程中,應對可能發生的風險進行識別,預測各種風險發生後對資源及生產經營造成的消極影響,使生產能夠持續進行。可見,風險的識別、風險的預測和風險的處理是企業風險管理的主要步驟。 2.1風險的識別 風險的識別是風險管理的首要環節。只有在全面了解各種風險的基礎上,才能夠預測危險可能造成的危害,從而選擇處理風險的有效手段。風險識別方法很多,常見的方法有: 2.1.1◆生產流程分析法 生產流程分析法是對企業整個生產經營過程進行全面分析,對其中各個環節逐項分析可能遭遇的風險,找出各種潛在的風險因素。生產流程分析法可分為風險列舉法和流程圖法。 1.風險列舉法指風險管理部門根據本企業的生產流程,列舉出各個生產環節的所有風險。 2.流程圖法指企業風險管理部門將整個企業生產過程一切環節系統化、順序化,製成流程圖,從而便於發現企業面臨的風險。2.1.2◆財務表格分析法 財務表格分析法是通過對企業的資產負債表、損益表、營業報告書及其他有關資料進行分析,從而識別和發現企業現有的財產、責任等面臨的風險。 2.1.3保險調查法 採用保險調查法進行風險識別可以利用兩種形式: 通過保險險種一覽表,企業可以根據保險公司或者專門保險刊物的保險險種一覽表,選擇適合本企業需要的險種。這種方法僅僅對可保風險進行識別,對不可保風險則無能為力。 委託保險人或者保險咨詢服務機構對本企業的風險管理進行調查設計,找出各種財產和責任存在的風險。 風險管理的分類風險管理主要分為兩類: 經營管理型風險管理,主要研究政治、經濟、社會變革等所有企業面臨的風險的管理。 保險型風險管理,主要以可保風險作為風險管理的對象,將保險管理放在核心地位,將安全管理作為補充手段。