一、互联网保险创新的现状
根据中国保险行业协会在2015年年初发布的《互联网保险行业发展报告》显示,针对经营互联网保险业务的公司分类,人身险公司有44家,财产险公司有16家,总体占全行业133家产寿险公司的45%。包括中国人保财险、泰康人寿、平安人寿、太平洋保险、天安财险等在内的多家险企已率先在线上跑马圈地,中国保险公司与互联网的深度融合已全面到来。
首先在监管层面,上个月,酝酿已久的《互联网保险业务监管暂行办法》终于由中国保监会发布,这标志着中国互联网保险业务基础监管规范的形成。《办法》以鼓励创新、防范风险和保护消费者权益为基本思路,从经营条件、经营区域、信息披露、监督管理等方面明确了互联网保险业务经营的基本规则;规定了互联网保险业务的销售、承保、理赔、退保、投诉处理及客户服务等保险经营行为应由保险机构管理负责;强化了经营主体履行信息披露和告知义务的内容和方式,着力解决互联网自主交易中可能存在的信息不透明、信息不对称等问题,以最大限度保护消费者的知情权和选择权。
其次在保险主体方面,早在2013年,中国人保就推出“掌上人保”,并号称是指尖上的保险;去年,以“理赔简单,就在天安”为口号的天安财险“车易赔”APP在全国上线;随后,“中国太保”“大地通保”、“泰康在线”等保险在线服务平台如雨后春笋般出现,可见,拼服务、拼体验已经成为各家保险主体竞争的主要方向。同时,各家保险公司在立足保险本身的同时,从渠道上也不断向外围延伸,分别与P2P平台、信用保证机构等开展不同程度的合作。以下是中国保险行业协会从服务创新、技术创新、渠道创新等三个方面对2014年60家提供互联网服务的产、寿险公司进行评价后的前15名榜单:
二、互联网保险创新背后的风险
应该说基于提升客户体验的互联网保险创新,方向是对的。互联网保险作为一个新兴的领域,发展空间巨大,但同时互联网保险创新也带来一系列风险和问题。从目前已经暴露的风险来看,主要包括保险产品创新异位、消费者投诉急剧增加、消费者道德风险敞口扩大、风险评估和控制不到位等。
(一)保险产品创新异位
自2013年底由“三马”投资的众安在线成立以来,带动了中国各大保险主体在保险产品上的创新热潮。盗刷险、高温险、退货险、喝麻险、世界杯足球流氓险等创新险种不断涌现,寿险公司也相继推出求关爱、爱升级、救生圈等所谓的基于微信平台的“扔捞”产品,名字一个比一个花哨,其中,不乏一些险种初具规模,但更多的是为创新而创新。如世界杯足球流氓险从头到尾就没卖出几份,导致本来就比较便宜的3元/份,到后期直接降价到1分钱/份,变成了一个十足的噱头。更有甚者,开发出雾霾险、赏月险、摇号险等,严重脱离保险的本质。
(二)消费者投诉急剧增加
据保监会近日公布的《关于2015年上半年保险消费者投诉情况的通报》显示,2015年上半年,中国保监会12378投诉维权热线全国转人工呼入总量157544件,同比上升40.24%。而其中,捆绑销售互联网产品的投诉占据一定比例,究其原因,很多保险主体互联网保险业务发展迅速,但管理和服务能力严重不足,片面注重销售前端网络化,后台运营管理却仍是传统思维,前端和后台不配套,买时容易退时难,从而导致消费者投诉。
(三)消费者道德风险敞口扩大
目前,各家保险主体在理赔服务上基本上都推出了简易赔付,即保险公司对于一定金额以下(2000-10000元不等)的保险事故实行简易赔付,消费者通过保险公司自己推出的APP平台,或拍照、或视频,将事故现场信息传输到保险公司后台,保险公司审核确认后立刻赔付,全程一般在5分钟左右时间完成。应该说这种做法极大地简化了理赔程序,缩短了理赔时间,方便了消费者。但是,客观地讲,我们也不得不面对当下国内的基本现状,国民的平均道德水准有待提高,修理厂、4S店有组织地批量造假,保险欺诈层出不穷,这些无疑都将保险公司的风险敞口无限扩大。
(四)风险评估和管理不到位
保险从本质上是风险转移的安排,应该有可量化的数据支撑,目前,很多产品的创新,缺少基本的费率厘定、成本测算等程序。同时,保险讲究的是大数法则,如果一款产品不能具备一定规模,赔付水平就会极不稳定,风险管理也就无从谈起。
三、互联网保险创新的风险管理
(一)保险产品创新:回归本质
保险,在法律和经济学意义上,是一种风险管理方式。因此,保险产品创新的基本原则和底线是创新的产品具有风险管理的可能性,即通过经验的积累和有效的管理措施能够降低保险标的风险。这也就是一般情况下地震、飓风等不可抗力不列入保险范围的根本原因,因为到目前为止,人类还无法通过自身的行为影响上述事件的发生。反观现在的保险产品创新,雾霾险也好,赏月险也罢,甚至是高温险,基本上都突破了上述这一基本原则。
之所以会出现现在这种情况,我想主要有两个方面原因,一是保险本身,在目前的保险市场上,规模产品的同质性非常严重,基本相同的条款,基本相同的费率,基本相同的服务,在这种情况下,产品创新的目标已经不再是客户的“需求”,而是客户的“眼球”。记得若干年前,有一个保险公司开发了一个险种叫“酒驾险”,从始至终没卖出一份保单,但公司从上到下都非常开心,因为这个产品在当时引起了包括新闻媒体、监管部门、同业公司以及消费者的极大关注,很好地提高了公司的知名度。二是与目前整个社会的大环境有关,当下,从集体到个体,在物质和经济的指挥下,每一个社会组织和细胞都在极力获取尽量多的资源,而忽视了资源本身的效用和价值。正像有一句话所说,走着,走着,忘记了出发的目的。
(二)保险风险管理:大数据为器
1.大数据在费率厘定中的应用。保单的费率设定是保险公司风险管理的源头,也是一项非常重要的工作,主要目的是使设定的费率对应于投保人的风险等级,风险越小,费率越低,尽量做到公平。确定费率较为关键的问题就是找出“影响赔付支出的风险因素或变量”,其实生命表就是“影响赔付支出的风险因素或变量”之一年龄的一个分类。再如,在车险定价中城市交通的拥挤程度、驾驶员的年龄、驾龄、性别、汽车的新旧程度等都可能是“影响赔付支出的风险因素或变量”,而这些因素或变量就是可以通过大量数据分析和处理来确定。
2.大数据在风险评估中的应用。在大数据时代,风险评估已经不仅仅局限于公司的历史数据、行业的历史数据,无论是风险特征的描述还是数据资源的获取都更加便利。首先在占据财产险市场70%以上份额的车险领域,保险公司可以获取三个层级数据来支撑风险评估,第一层级是核心层,包括公司和行业数据,第二层级是紧密层,包括车型、汽车零整比、二手车等数据;第三层级是外围移动层,包括利用车载传感设备收集驾驶员行为数据等。同时,对于保险公司的精算师来讲,更多、更广的数据获取,可以更精确地识别个体对象的潜在风险,建立更加有效的数据模型,不断改善和提高精算的精准程度,以帮助判断和评估风险以及风险准备金。
3.大数据在反理赔欺诈中的应用。在确保数据资源的情况下,通过完整的、多样化的数据(数据包括但不限于公司内部保单及理赔历史记录、行业数据、征信记录、公共社交网络数据、犯罪记录等),辅之以有效的算法和模型,来识别理赔中可能的欺诈模式、理赔人潜在的欺诈行为以及可能存在的欺诈链条,应该是未来反理赔欺诈的主要方向。而对于整个中国保险行业来讲,尽快建立起一套行业级的保险数据信息平台,是反理赔欺诈的关键。目前,上海、江苏等省市已经实现理赔信息数据共享,在这些地区反理赔欺诈行为的成效明显提高。
4.大数据在保险行业风险管理中应用之核心—数据整合。目前保险公司的数据有行业平台的同业数据、前端客户APP导入(或现场出单)数据,中端中介、渠道、理赔、呼叫数据,后端财务收付数据,另外,还有定价系统的汽车零配件数据、人事系统的人员数据、稽核审计风控系统的风控数据等,种类繁多和庞杂,因此,急需建立大数据平台进行数据整合,统一数据存储和传递标准,并将不同系统进行数据打通,再根据不同需要进行数据挖掘。
(三)保险风险控制:新技术应用
未来,新技术、新设备的应用将成为保险行业风险控制的主要途径。在承保环节,基于大数据基础的数据分析技术将在第一时间立体呈现保险标的各项数据和特征,为承保决策和政策提供第一手资料,从源头控制风险。在理赔环节,新技术、新设备同样将被广泛应用。在车辆保险领域,通过装载在车上的无线电子设备,运用通讯网络,实现对车辆、道路以及行车驾驶员进行静、动态信息提取和行为记录,从而监督行车驾驶员人的行为风险和道德风险,并进行出险前预防、出险中响应和出险后处理,从而使保险事故管理变被动为主动,降低理赔成本。在人寿保险领域,利用能够实时监控人体健康情况的可穿戴设备,来获取和细分不同群体、不同年龄的人体健康和生死概率,并适时向客户提供饮食、健身等方面的建议,从而降低投保人的医疗费用。在家庭财产险领域,通过智能家居系统对住宅进行远程监控并及时发现和缓解风险,当家中发生煤气泄漏或水管爆裂,可自动关掉阀门,从而减轻损失等。
任何事物的发展,都要有与之相对应的配套管理措施,互联网保险创新也不例外。今后相当长一段时间,互联网保险创新都将在路上,基于互联网保险创新的风险管理也必将亦步亦趋,紧紧跟随。
扩展阅读:【保险】怎么买,哪个好,手把手教你避开保险的这些"坑"
2. 利用大数据分析将保险业风险防控做到极致
利用大数据分析将保险业风险防控做到极致
互联时代,特别是移动互联网日渐普及之后,大数据的搜集变得更为方便和可行,大数据的应用价值受到了各行各业的关注,甚至大数据本身也成了一个专门产业。保险作为基于大数法则运营发展的商业行为,对大数据的利用有着天然的倾向性。笔者围绕风险防控这一经营实务,围绕核保、核赔这两大关键节点,探讨大数据分析在风险防控中的应用,分析优势性,指出限制性,并基于行业现状对大数据分析的发展提出建议。
保险业面临风险控制新挑战
虽然风险防控是保险业发展过程中永恒的课题,但是随着经济社会的发展,新风险点层出不穷,恶意欺诈手段不断翻新,保险业风险防控受到的更为严峻的冲击。具体表现为:
1.行业竞争倒逼核保和理赔速度的提升,可能带来核保、核赔质量下降的负面影响。从纯理论角度和最理想化的角度来讲,核保和核赔这两个环节是可以为保险公司屏蔽所有逆选择和道德风险的。但付出的代价是用大量的人力对每个投保和理赔申请都进行大量的细致调查。这在保险公司实际运营中是不可能的。特别是在行业竞争越来越激烈的今天,为提升客户体验,保险公司的投保条件愈发宽松,核保核赔速度快,甚至免核保、免体检、快速赔付已经成为保险公司吸引客户的“标配”所在。各家公司千方百计提高服务速度,核保核赔部门往往要承受客户和销售部门的双重压力。在此情况下,虽然保险公司的保费收入有了较大增长,但是承受的风险冲击将明显增大。公司管理层对业绩增长的期待,或多或少冲淡了本该固若金汤的风控意识。
2.互联网保险的发展,客观上增加了风险控制的难度。如今,网络销售、移动互联网销售日益被保险公司所重视。各种保险销售网站,成为了保险公司新的保费增长点。甚至客户通过手机微信等软件终端,就可以轻松完成投保或理赔过程,在这种情况下,材料真实性验证难度较大,信息不对称性更为突出,机会型欺诈风险增加。异地出险的增加,也对理赔后续工作提出较高要求,容易出现保险服务流程衔接的空白。在传统保险销售过程中,销售人员与客户面对面地沟通,其实也是一种了解客户的过程。但是互联网保险的发展让这个过程消失。核保部门失去了一道天然屏障。这些都是增加了风险控制的难度。
大数据分析在保险业风险防控中的实际意义
虽然互联网技术的发展,给传统思维下的风险防控带来了巨大的挑战。但是笔者认为,任何新技术的进步都是双刃剑。而且解铃还须系铃人,互联网技术带来的“麻烦”也必将由互联网技术本身来开出药方。这个药方就是大数据分析。
IBM公司曾用5个特征来描述大数据,既大量、高速、多样、低价值密度、真实性。这些特征其实也表明了大数据对风险防控的意义。
1.大数据时代下,核保环节通过大数据分析有条件对客户进行系统性风险扫描。具体来讲,在传统核保过程中,客户告知什么,保险公司就审核什么。核保人员要从有限的告知信息中,发现风险点的蛛丝马迹。这个过程中的风控主要依靠客户的诚信水平和核保人员的工作经验。而且大量的投保告知,也挑战了客户的耐心。面对大量的提问,客户很有可能引起反感,不认真填写告知内容或干脆放弃购买保险产品。但在大数据条件下,保险公司有条件从数据库中获取客户的大量相关信息。比如通过了解客户的就医记录,可以准确推断客户的健康状况;通过查询客户在各家保险公司的既往投保记录,可以分析投保人有无重复投保、短期内大额投保等高风险行为,等等。这些都将打破既往核保的管理思路,使得核保过程更加精确化。同时客户需要进行的投保告知大大减少,只要授权保险公司查询相关信息,即可快速得到核保结果。
2.大数据时代下,核赔环节通过大数据分析更可能发现理赔欺诈的线索,堵住风险漏洞。传统的核赔过程中,主要靠核赔人员的经验甄别风险,靠调查人员有意识的排查堵住理赔欺诈的发生。这种情况下,人为制造保险事故、虚报并不真实存在的保险事故、夸大保险事故损失金额,都成为可能发生的情况。但在大数据条件下,保险公司不同地区的既往理赔数据,甚至不同保险公司之间的理赔数据有可能汇聚成一个超级数据库。任何理赔申请,都可以先经过数据库的检验。
3.大数据分析辅助风险控制的理论研究,已经有了一定的积累,为进一步应用打下了基础。近年来,大数据的开发应用不仅得到了实务界的关注,也吸引了理论界进行更为细致的研究,并取得了一定成果。例如欺诈分析技术,就是综合了大数据模型、统计技术和人工智能在反保险欺诈领域的一项应用。目前这项技术已有了比较完整的理论模型,建立了相应的算法体系,具体包括有监督算法和无监督算法。笔者认为,这些理论研究虽然对保险实务从业者来讲有一些晦涩,但是今后的大数据分析甚至人工智能在保险业的应用,就是建立在这些理论研究基础之上的。
基于大数据技术提升保险业风险控制
结合大数据技术本身的发展要求,以及当前保险公司实际运营情况。笔者在这部分将提出大数据时代提升保险业风险控制的具体工作建议。
1.以数据库建设为基础,在内部数据资源整合的基础上,争取建立全行业共享的大数据平台。在这里所讨论的所有大数据分析的优势,都建立在保险公司能够收集到海量有价值数据的基础之上。这种数据资源的整理,首先是公司内部资源的整理。特别是对于混业经营的大型金融集团来说,内部已有的数据资源整合就已经是非常伟大的成就。要让各家公司共享信息,注定是艰难的,这需要行业协会、监管部门的推动,需要各家公司站在更长远的角度展望保险业的发展。
2.保险公司要千方百计提升IT技术水平,储备大数据分析的技术力量。大数据分析对数据库技术的要求是比较高的,公司网络系统和数据计算能力面临考验。更为重要的是,如果要想进一步开发大数据资源,就必须有专门的统计分析人才。技术储备,不是过往运营数据分析等简单的数据开发,而是一整套科学的体系。保险公司有必要提前进行技术储备。
3.大数据分析过程中,要特别注意数据安全和客户信息的保密管理。大数据和互联网一样,也是一把双刃剑。保险公司挖掘好这座宝藏,能够在风险防控上取得事半功倍的效果。但同时也担负着维护数据安全的重任。海量的个人信息数据存储在保险公司,一旦泄露后果不堪设想。单个的数据泄露就可能引起客户的诉讼。批量的数据泄露,可能给公司带来的就是灭顶之灾。从法务角度来讲,保险公司在引用客户信息之前,要取得客户授权,规避法律风险。同时要尽可能依靠大数据分析,通过简单的客户信息就推断出某类业务的风险。
总之,风险控制是保险公司稳健经营的重要一环。在大数据时代,保险业必然要利用新技术手段,将风险防控工作做到极致,为公司和行业的发展创造价值。
3. 保险行业怎么做舆情监测
保险行业每天在各个平台、报纸等媒介上都有海量的消息发布,当靠人工去收集分析很困难,而且也不够全面详细。你可以使用慧科讯业的舆情监测系统,资讯全面,预警速度快,信息准确度也很高。
4. 保险公司的风险控制部是干什么的,像人寿险个财产险这个风险不是可以控制的了的啊,生老病死和意外这不是
你理解有误。他是对内部工作流程以及员工还有对公司的风险。
风险控制部的职责主要如下:
1负责起草公司业务风险控制的相关工作流程、制度,并对相关的制度提出改进意见。
2与业务部共同对每项业务按工作流程的规定进行完全的风险调查与评估。
3协同法律资产保全部共同对每项业务的实际操作过程及法律文件进行风险分析与评估。
4完成业务风险分析评估报告,向审贷委员会汇报业务风险调查与分析评估结果。
5协助各部门已放贷业务进行跟踪监督。
5. 怎么规避数据风险
如果企业认为自己的数据存储已经非常安全了,那就大错特错了。目前,企业数据泄露的问题非常突出,这里我们介绍五种常见的数据安全风险,并给出规避风险的建议。
让我们一起来思考一个问题: 企业数据所面临的最大安全威胁是什么?如果你的回答是黑客攻击或者说是IT人员的违规行为的话,那并不完全正确。的确,黑客的恶意攻击总能引起人们的高度重视,IT人员的恶意违规行为更是不能容忍,但事实上,最有可能泄露企业数据的却往往是那些没有丝毫恶意的员工,换句话说,内部员工使用网络文件共享或者乱用笔记本电脑造成数据泄露的可能性最大。
据Ponemon Institute最新的调查报告显示,内部员工的粗心大意是到目前为止企业数据安全的最大威胁,由此造成的数据安全事故高达78%。在这份报告中还指出,在企业不断尝试和应用最新企业内部数据保护技术的同时,却没有充分意识到企业内部员工的笔记本电脑以及其他移动存储设备所存在的安全隐患。
存储网络工业协会(SNIA)曾发布过企业存储安全性自我评估方法,用来测试企业对数据的保护程度。结果显示,目前大多数企业受到数据泄露问题的困扰。ITRC(Identity Theft Resource Center)的资料也显示,在美国,2008年出现的数据泄露事件比上一年增长了47%。“况且这些还只是有记载的数字,我的电子邮箱里就经常收到一些促销信息,显然我的个人信息通过某种渠道被泄露了。” ITRC的创始人、身份认证管理专家Craig Muller说。
事实上,现在人们应该充分意识到问题的严重性了。Ponemon Institute在2008年进行的另一项调查显示,在1795名受访者中有超过一半以上的人表示其在过去24个月中被告知数据泄露的次数大于两次,而8%的人则表示收到过四次以上这样的通知。但是,到目前为止,企业还不知道该如何保护自己。在Ponemon Institute的这份调查中显示,在577名安全专家中仅有16%的人认为当前的安全措施足以保护企业的数据安全了。
目前,解决问题惟一的方法就是借鉴其他企业的前车之鉴,以避免自己出现类似的问题。下面介绍五种常见的数据泄露问题,每种情况我们都给出了规避安全风险的建议。
内部窃取
2007年11月,Certegy Check Services(Fidelity National Information Services的一家子公司)的高级数据库管理员利用特许的数据存取权限偷走了超过850万客户的数据资料。随后,他将数据卖给了一家中间商,价格是50万美元,之后这家中间商又将数据卖给了其他商家。事情败露后,这名员工被判入狱四年并负责赔偿320万美元的经济损失。Certegy Check Services官方宣称事情很快就得到了解决,客户的个人信息并没有被泄露,不过,其客户还是收到了其他厂商发来的促销信息,而这些厂商恰恰购买了被窃数据。
还有一个案例,一位在DuPont工作的技术专家在离开公司之前拷贝了价值4亿美元的商业机密,然后跳槽到了一家与DuPont竞争的亚洲公司。根据法院的记录,他利用特许存取权限下载了大约2.2万份摘要以及1.67万份PDF文件,这些文件记录了DuPont的主要产品线,其中还包括一些开发中的新技术。他在下载数据之前与DuPont的竞争对手讨价还价了两个月之久,并最终达成了“协议”。依据这些犯罪记录,法院宣判其服刑18个月。
代价:在DuPont的案例中,虽然最终美国政府为其损失补偿了18万美元,但其被泄露的商业机密估计价值超过4亿美元。而且,没有任何证据可以证明,DuPont泄露的数据已经被竞争对手,也就是上述那位技术专家的“同谋”得到,这就使得DuPont无法通过更有效的法律途径解决问题。
据Semple的研究显示,客户信息失窃比知识产权失窃带来的损失更大。在2008年,Certegy Check Services公司为客户信息丢失所付出的代价是每人每次2万美元。
分析:ITRC的报告中显示,在2008年发生且被记录下来的泄露事件中有16%是由内部窃取所造成的,是2007年的两倍。原因是,现在很多企业在“猎头”的同时,还伴随着商业犯罪—根据卡内基梅隆大学计算机应急响应小组(CERT)的研究,1996年到2007年企业内部犯罪有一半是窃取商业机密。
CERT指出,内部人员窃取商业机密有两大诱因:一是能够获得金钱;二是能够获得商业优势。虽然后者多是从员工准备跳槽开始的,但这类情况大都是在员工离开以后才被发现,因为其留下了秘密访问数据的记录。可见,内部威胁是数据安全管理的难题之一,尤其是对那些有特许权限的员工的管理更是如此。
建议:首先,建议企业做好对数据库非正常访问的监督,为不同用户的当前可用访问权设定限制,这样系统就可以很容易地检测出负责特定工作的员工是否访问了超出工作范围的数据。比如,Dupont公司就是因为检测到该技术专家异常访问了电子数据图书馆才发现了其非法行为的。此外,一旦检测到了数据泄露,最重要的就是快速行动以减小信息扩散的可能性,并提交法律机关迅速展开取证调查。
其次,企业应当使用个人访问控制工具,保证系统记录下每一个曾经访问过重要信息的人。此外,保存客户和员工信息的数据库更应当对访问加以严格限制。事实上,就日常工作而言,能有多少人在没有许可的情况下有查阅身份证件号码和社会保险号码的需要呢!因此,个人信息应该与商业机密有着相同的保密级别。
再次,建议使用防数据丢失工具以防止个人数据在通过电子邮件、打印或者复制到笔记本电脑及其他外部存储设备时发生泄露。这类工具会在有人尝试拷贝个人身份数据时向管理员发出警告,并做记录。但是目前,很多企业都没有应用类似的审查记录工具。
此外,加强内部控制和审计也非常重要。举个例子,企业可以通过设立网络审查或记录数据库活动等方式来进行监督。保存详细记录可能并不够,企业还需要通过审计方式来检查是否有人更改或者非法访问了记录。当然,单独依靠技术手段是不行的,企业还需要确保你所信任的数据使用者是真正值得信任的。
设备失窃
2006年5月,由于美国退伍军人事务部的一名工作人员丢失了自己的笔记本电脑,致使2650万退伍军人的个人资料丢失。万幸的是,最后小偷被捕,并没有酿成更严重的后果。虽然事后FBI(美国联邦调查局)宣称数据没有被泄露,但这个事件的发生还是给退伍军人事务部带来了巨大的影响。无独有偶,2007年1月,退伍军人事务部在阿拉巴马医务中心同样发生了笔记本电脑被盗事件,致使53.5万退伍军人和超过130万内科医生的个人数据被泄露。
代价:在事件发生后的一个多月的时间里,退伍军人事务部为了支撑回答人们关于数据被窃问题的电话应答中心,每天就要花费20万美元,此外,他们还要支付100万美元用来打印和邮寄通知信。
退伍军人事务部因此还遭到了联名起诉,起诉中包括要求其对每个人造成的损失赔偿1000美元。在2007年第二次数据泄露事件之后,退伍军人事务部为现役和已经退伍的军人总共赔偿了2000多万美元,才结束了这场联名诉讼。为此,美国政府还为其拨款2500万美元用来补偿损失。
分析:设备失窃成为了数据泄露的最主要原因—在2008年,大约占到了20%。据芝加哥法律事务所Seyfarth Shaw的合伙人Bart Lazar介绍,在他所处理的数据泄露案件中,由于笔记本电脑丢失而造成的数据泄露占绝大部分。
建议:首先要对存储在笔记本电脑上的个人身份信息加以限定。比如说,不要将客户和员工的名字与其身份证件号码、社会保险号码、信用卡号码等身份信息放在一起保存。可以将这些数字“截断”存储,或者考虑建立个人特殊信息,比如说将每个人的姓氏与社会保险号码的后四位连在一起保存。
其次,对笔记本电脑上存储的个人信息进行加密,尽管这会产生一些潜在成本(大约每台笔记本电脑50到100美元),同时还会损失一些性能,但这是必须的。美国存储网络工业协会负责存储安全的副主席Blair Semple曾表示,对数据进行加密,需要企业和员工都形成这种强烈的意识才行,在很多情况下,对数据进行加密并不困难,但人们却没有这么做,不难看出,管理层面上的问题才是最大的。
最后,建议在数据载体上设置保护性更强的口令密码。
外部入侵
2007年1月,零售商TJX Companies 发现其客户交易系统被黑客入侵,令人不解的是,此入侵从2003年就已经开始了,一直延续到2006年12月,黑客从中获取了9400万客户的账户信息,而数据被盗事件在4年后才因一次伪造信用卡事件被发现。2008年夏天,11人因与此事相关而被起诉,这是美国法律部门有史以来受理的最大规模的黑客盗窃案件。
代价:据估计,TJX在此次数据泄露事件中的损失大约在2.56亿美元,包括恢复计算机系统、法律诉讼费、调查研究以及其他支持费用,损失中还包括对VISA和MasterCard的赔偿。此外,美国联邦商务委员会还要求TJX必须每隔一年委托独立的第三方机构进行安全检查,并持续20年。
甚至有人预测,TJX因此受到的损失会达到10亿美元以上,因为还要将法律和解费用以及因此失去很多客户的代价计算在内。据Ponemon在2008年4月进行的一项研究表明,通常发生数据泄露事故的企业将会失去31%的客户基础和收入来源。在Ponemon最近发布的年度数据泄露损失统计报告中显示,每泄露一份客户信息,公司就将损失202美元,而在1997年,这个数字是197美元,其中因数据泄露失去的商业机会所带来的损失是损失增长中最重要的部分。
分析:据Ponemon的研究,黑客入侵造成的数据泄露在安全威胁中名列第五。据ITRC的调查,在2008年有记载的数据泄露事件中有14%是由黑客攻击所造成的。但这并不意味着企业对此就应该束手无策,甚至放任不管。
在TJX的案例中,黑客是利用War-Driving渗透到系统内并入侵企业网络的。而这主要是因为TJX使用的网络编码低于标准规格,且在网络上的计算机并没有安装防火墙,传输数据也没有进行加密,这才使得黑客可以在网络上安装软件并访问系统上的客户信息,甚至还可以拦截在价格检查设备、收银机和商场计算机之间传输的数据流。
建议:如果对数据库的访问非常容易的话,那么建议企业使用高级别的数据安全措施和数据编码。
员工大意
Pfizer公司的一名员工一直是通过网络和笔记本电脑进行远程办公的,没想到,他的妻子在其工作用的笔记本电脑上安装了未经授权的文件共享软件,致使外部人员通过这个软件获得了1.7万名Pfizer公司现任员工和前任员工的个人信息,其中包括姓名、社保账号、地址和奖金信息等。统计显示,大约有1.57万人通过P2P软件下载了这些数据,另外有1250人转发了这些数据。
代价:为了将数据泄露事件的危害降至最低,并避免类似事件的发生,Pfizer与一家信用报告代理商签署了一项“支持与保护”合同,合同包括对与泄露数据相关的信息进行为期一年的信用监控服务,以及一份因数据泄露对个人损失进行赔偿的保险单。
分析:据Ponemon的最新研究表明,粗心的员工(虽然不是故意的)是数据安全的最大威胁。有数据显示,88%的数据泄露与员工的大意有关。如果企业的员工能够具有更高的安全意识,数据泄露的数量将会大幅下降。在Pfizer的案例中,就是因为员工的妻子在其笔记本电脑上安装了文件共享软件,这才使得其他人能够通过P2P软件获得笔记本电脑上的数据,包括Pfizer公司的内部数据信息。
大意的员工再加上文件共享软件,这绝对是个危险的组合。Dartmouth College在2007年的研究表明,虽然大部分企业不允许在企业网络上安装P2P软件,但是很多员工却在远程计算机和家用PC上安装了这种软件。研究发现,有三十家美国银行的员工在使用P2P软件分享音乐和其他文件,并在不经意间向潜在的网络犯罪分子泄露了银行账户数据。一旦业务数据发生泄露,将会通过P2P软件扩散到全世界的很多计算机上。
建议:企业的IT部门应该全面禁止员工使用P2P软件,或者制定规章限制P2P的使用,并安装工具来强化这一规章。并且,应该对员工的计算机系统进行审核,阻止员工进行软件下载。比如,可以将员工的管理员资格取消,这样他们就不能安装任何程序了。同时,最重要的就是教育和培训,因为这样能够让员工了解P2P的危险性。
合作伙伴泄露
2008年11月,亚利桑那州经济安全部给大约4万名儿童的家长发出了通知——这些孩子的个人信息可能已经因为代理商将几个磁盘丢失而被泄露。磁盘虽然有密码保护,但却没有进行加密。
代价:统计数据显示,对企业来说,合作伙伴将数据泄露的损失往往比企业内部泄露的损失更大。据Ponemon的调查统计,合作伙伴泄露一份数据记录企业要损失231美元,而企业内部泄露一份数据记录造成的损失约为171美元。
分析:Ponemon的年度损失报告表明,外包、转包、咨询和商业合作伙伴造成的数据泄露在不断增长,去年大约占到所有数据泄露事件的44%,比2007年增长了40%。ITRC的研究也指出,2008年10%的数据泄露与代理商有关。
建议:企业需要签订更高服务级别的详细合同,确保代理商遵守协议,一旦其违反了合同就能够对其进行处罚。此外,在使用备份磁带或者磁盘时,一定要进行加密和密码保护。
6. 保险销售如何做好全流程监控
全流程监控不是所有保险销售都能做到,或者说,大多数保险销售过程都存在着监管难的问题,销售误导、沟通不畅带来的各类纠纷依然是保险销售的重要问题。个人以为,全流程监控存在于销售全环节之上,现在以保险之家的全流程监控体系进行简单说明。第一,专门的销售场景。很多销售环境存在于咖啡厅、办公室、家中,给人一种保险销售人员“跑保险”的错觉,这其实从一开始就给了客户一种不安全感。保险之家为此专门搭建了线下实体门店,并为客户提供了专业、稳定的咨询环境,第一印象,就是靠谱。第二,“双录”系统。保险之家自主研制了保险行业要求的“双录”设备系统,并在所有保险产品销售过程中全程实施“录音录像”,实时上传云端,以便实现销售行为可回放、重要信息可查询、问题责任可确认。在投保成功后,保险之家将及时给予客户相关数据拷贝,减少因销售误导和沟通不畅导致的各类纠纷。第三,专业的礼仪培训与保险服务培训。很多机构会忽视礼仪培训本身,实际上,前期的礼仪和服务标准,相当于销售过程本身就标准化流程化,而标准化和流程化让服务本身稳定,其实专业的培训是全流程监控的基础,但很多人会忽视这一点。
7. 投保人对被保险人无可保利益是产险业务在投保承保环节需要进行风险监控的点吗
是寿险的话就有效,因为寿险保单只要求在签订保险合同时存在保险利益;但是财险的话合同无效。
8. 保险公司风险管理工具有哪些
风险管理的定义 风险管理当中包括了对风险的量度、评估和应变策略。理想的风险管理,是一连串排好优先次序的过程,使当中的可以引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。 现实情况里,优化的过程往往很难决定,因为风险和发生的可能性通常并不一致,所以要权衡两者的比重,以便作出最合适的决定。 风险管理亦要面对有效资源运用的难题。这牵涉到机会成本(opportunity cost)的因素。把资源用于风险管理,可能使能运用于有回报活动的资源减低;而理想的风险管理,正希望能够花最少的资源去去尽可能化解最大的危机。 “风险管理”曾经在1990年代西方商业界前往中国进行投资的行政人员必修科目。当年不少MBA课程都额外加入“风险管理”的环节。 风险管理(risk management)在降低风险的收益与成本之间进行权衡并决定采取何种措施的过程。 确定减少的成本收益权衡方案(trade-off)和决定采取的行动计划(包括决定不采取任何行动)的过程成为风险管理。 首先,风险管理必须识别风险。风险识别是确定何种风险可能会对企业产生影响,最重要的是量化不确定性的程度和每个风险可能造成损失的程度。 其次,风险管理要着眼于风险控制,公司通常采用积极的措施来控制风险。通过降低其损失发生的概率?缩小其损失程度来达到控制目的。控制风险的最有效方法就是制定切实可行的应急方案,编制多个备选的方案,最大限度地对企业所面临的风险做好充分的准备。当风险发生后,按照预先的方案实施,可将损失控制在最低限度。 再次,风险管理要学会规避风险。在既定目标不变的情况下,改变方案的实施路径,从根本上消除特定的风险因素。例如设立现代激励机制、培训方案、做好人才备份工作等等,可以降低知识员工流失的风险。
风险管理的各个步骤 对于现代企业来说,风险管理就是通过风险的识别、预测和衡量、选择有效的手段,以尽可能降低成本,有计划地处理风险,以获得企业安全生产的经济保障。这就要求企业在生产经营过程中,应对可能发生的风险进行识别,预测各种风险发生后对资源及生产经营造成的消极影响,使生产能够持续进行。可见,风险的识别、风险的预测和风险的处理是企业风险管理的主要步骤。 2.1风险的识别 风险的识别是风险管理的首要环节。只有在全面了解各种风险的基础上,才能够预测危险可能造成的危害,从而选择处理风险的有效手段。风险识别方法很多,常见的方法有: 2.1.1◆生产流程分析法 生产流程分析法是对企业整个生产经营过程进行全面分析,对其中各个环节逐项分析可能遭遇的风险,找出各种潜在的风险因素。生产流程分析法可分为风险列举法和流程图法。 1.风险列举法指风险管理部门根据本企业的生产流程,列举出各个生产环节的所有风险。 2.流程图法指企业风险管理部门将整个企业生产过程一切环节系统化、顺序化,制成流程图,从而便于发现企业面临的风险。2.1.2◆财务表格分析法 财务表格分析法是通过对企业的资产负债表、损益表、营业报告书及其他有关资料进行分析,从而识别和发现企业现有的财产、责任等面临的风险。 2.1.3保险调查法 采用保险调查法进行风险识别可以利用两种形式: 通过保险险种一览表,企业可以根据保险公司或者专门保险刊物的保险险种一览表,选择适合本企业需要的险种。这种方法仅仅对可保风险进行识别,对不可保风险则无能为力。 委托保险人或者保险咨询服务机构对本企业的风险管理进行调查设计,找出各种财产和责任存在的风险。 风险管理的分类风险管理主要分为两类: 经营管理型风险管理,主要研究政治、经济、社会变革等所有企业面临的风险的管理。 保险型风险管理,主要以可保风险作为风险管理的对象,将保险管理放在核心地位,将安全管理作为补充手段。