保险资金运用内部控制指引(GICIF) (征求意见稿)
2015年9月
第一条 为促进保险资金运用规范发展,有效防范和化解风险,维护保险资金安全与稳定,依据《中华人民共和国保险法》《保险资金运用管理暂行办法》等有关法律、行政法规,特制定本指引。
第二条 本指引适用于中华人民共和国境内依法设立的保险集团(控股)公司、保险公司、保险资产管理公司,以下统称保险机构。
第三条 保险资金运用内部控制是指保险机构为防范和化解资金运用风险,保证保险资金运作符合保险机构的发展规划,在充分考虑内外部环境的基础上,通过建立组织机制、运用管理方法、实施操作程序与控制措施而形成的系统。
第四条 保险资金运用内部控制的目标包括:
(一)行为合规性。保证保险机构的经营管理行为遵守法律法规、监管规定、行业规范、公司内部管理制度和诚信准则。
(二)经营有效性。提高保险资金运用的效率和效果,保障保险资金和公司资产的安全可靠。
(三)信息真实性。保证保险资金运用的财务报告及业务、财务管理信息的真实性、准确性和完整性。
第五条 保险资金运用内部控制应当遵循以下原则:
(一)安全性原则。保险资金运用必须稳健,符合偿付能力监管要求,根据保险资金性质实行资产负债管理和全面风险管理,实现集约化、专业化、规范化和市场化。
(二)健全性原则。内部控制应当包括保险资金运用的各类业务、各个部门或机构和各级人员,并涵盖到决策、执行、监督、反馈等各个环节,避免管理漏洞的存在。
(三)有效性原则。通过科学的内部控制制度和方法,建立合理的内部控制程序,确保保险资金运用内部控制各项制度的有效执行。
(四)独立性原则。保险机构参与资金运用和管理的所有总分机构、部门和岗位职责应当保持相对独立,权责分明,相互制衡。
(五)成本效益原则。保险机构应当根据自身风险状况,采取合适的内部控制措施来应对资金运用过程中的风险,并在有效控制的前提下降低内部控制成本。
第六条 保险资金运用内部控制包括以下要素:
(一)控制环境。控制环境是保险资金运用内部控制的基础,一般包括治理结构、机构设置及权责分配、人力资源政策、企业文化等。
(二)风险评估。风险评估是保险机构及时识别、系统分析保险资金运用活动中与实现内部控制目标相关的风险,合理确定风险应对策略。
(三)控制活动。控制活动是保险机构根据风险评估结果,采用相应的控制措施,将资金运用相关的风险控制在可承受度之内。
(四)信息与沟通。信息与沟通是保险机构及时、准确地收集、传递与保险资金运用相关内部控制的信息,确保信息在机构内部、外部之间进行有效沟通。
(五)内部监督。监督管理是保险机构对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。
第七条 保险机构应当根据本指引及其配套应用指引的要求,制定本公司的资金运用内部控制制度并组织实施。
第八条 保险机构应当建立资金运用内部控制实施的激励约束机制,将各责任单位和资金运用相关工作人员实施保险资金运用内部控制的情况纳入绩效考评体系,促进内部控制的有效实施。
第九条 保险机构应当建立由董事会负最终责任、管理层直接领导、风险管理或内部控制职能部门统筹协调、内部审计部门检查监督、业务单位负首要责任的分工明确、路线清晰、相互协作、高效执行的内部控制组织体系。
第十条 保险机构应当建立健全的公司治理结构,建立架构清晰、控制有效的内部控制机制,制定全面系统、切实可行的内部控制制度,明确规定股东大会、董事会及其专业委员会、监事会和经营管理层的保险资金运用职责,充分发挥独立董事和监事会的监督职能,禁止不正当关联交易、利益输送和内部人控制现象的发生,保护投资者利益和机构合法权益。
第十一条 保险机构应当结合保险资金运用的特点和内部控制要求设置内部机构及岗位,明确保险资金运用各个环节、有关岗位的衔接方式及操作标准,严格分离前、中、后台岗位责任,做到权责分明、相对独立和相互制衡。重要业务部门和岗位应当进行有效隔离。
第十二条 保险机构开展资产管理业务,应当加强投资能力建设,并按规定配备符合条件的风险责任人。
风险责任人包括行政责任人和专业责任人。行政责任人应对投资能力和具体投资业务的合法合规性承担主要责任;专业责任人对投资能力的有效性、具体投资业务风险揭示的及时性和充分性承担主要责任。
第十三条 保险机构应当依据自身资金运用特点设立顺序递进、权责统一、严密有效的三道监控防线:
(一)建立一线岗位双人、双职、双责为基础的第一道监控防线。直接与交易对手、系统、资金、业务用章等接触的岗位,必须实行双人负责的制度。属于单人单岗处理的业务,必须有相应的后续监督机制。
(二)建立相关部门、相关岗位之间相互监督制衡的第二道监控防线,发挥法律、合规、风险管理、财务等部门对保险资金投资全流程的风险监控职能。保险机构必须在相关部门和岗位之间建立重要业务处理凭据顺畅传递的渠道,各部门和岗位分别在自己的授权范围内承担各自职责。
(三)建立以内部审计部门对各岗位、各部门、各机构、各项业务实施监督反馈的第三道监控防线。内部审计部门独立于其他部门和业务活动,并对内部控制制度的执行情况实行严格的检查和反馈。
第十四条 保险机构应当建立有效的人力资源管理制度,健全激励约束机制,确保机构人员具备与岗位要求相适应的职业操守和专业胜任能力。
第十五条 保险机构管理层应当树立内控优先和风险管理的理念,培养保险资金运用相关人员的风险防范意识,营造内控文化氛围。保险机构应定期开展保险资金运用风险管理、内部控制及经营合规方面的培训,保证保险资金运用相关人员及时了解国家法律法规和机构规章制度,使风险意识贯穿到机构各个部门、各个岗位和各个环节。
第十六条 保险机构应当建立健全的保险资金运用的管理制度,对保险资金运用各流程进行规范管理,包括资产配置、投资研究、决策和授权、交易和结算管理、投资后管理、风险控制、内部控制、信息披露、绩效评估和考核、信息系统管理、行政管理等保险资金运用相关工作,并定期检查和评估制度执行情况。
第十七条 保险机构应当从业务、合规和风险等方面全面、科学设置保险资金运用职能非保险子公司考核目标,加强对子公司及其高管人员的监督,严格执行机构问责制度,确保依法合规经营。
第十八条 保险机构应当完善以风险管理委员会或相应职能专业委员会、风险管理部门、风险管理岗位为主体的垂直管理体系,建立与保险资金运用各方之间的风险管控架构,明确各方沟通机制及监督管理机制。风险管理部门履职应当保持独立性,不受投资管理及投资决策部门干预。
第十九条 保险机构应当建立全面风险管理政策,明确公司的风险偏好、方法,在公司风险偏好范围内规范资金运用各个业务流程,有效防范市场风险、信用风险、保险风险、操作风险、战略风险、声誉风险、流动性风险等其他风险。
第二十条 保险机构应当根据资产的风险对保险资产进行分类,揭示保险资产的实际价值和风险程度,全面、真实、动态地反映资产质量,加强保险资金运用风险管理。
第二十一条 保险机构应当针对风险的特性,从多层次、多角度识别、评估与量化投资项目运作过程中面临的各种风险,包括内部风险和外部风险、固有风险和剩余风险,对已识别风险进行分析和评价,评估各种风险发生的可能性,以及对公司经营目标实现的影响程度,形成风险管理及应对的依据。
第二十二条 保险机构应根据投资产品的不同类型,建立完善的风险预警体系,围绕风险容忍度,通过风险限额及关键风险指标体系监控风险变化和开展持续的风险管理。风险指标可以包括定性指标和定量指标。
保险机构应该建立资产配置压力测试模型,实施敏感性测试和情景测试,测试特定情景和各种不利情景下,资产和收益变化和偿付能力变化,评估潜在风险因素和整体风险承受能力,根据测试结果提出资产配置管理意见,反馈相关部门并向经营管理层和专业委员会报告。
第二十三条 保险机构应当建立重大突发事件应急处理机制。应急处理机制包括但不限于风险情形、应急预案、工作目标、报告路线、操作流程、处理措施等,必要时应当及时启动应急处理机制,尽可能控制并减少损失。
第二十四条 保险机构应当根据自身业务性质、规模和复杂程度开发相适应的风险量化技术,完善风险量化模型及风险指标体系,推广应用先进成熟的风险管理经验,实现定量与定性方法的有机结合,将风险管理与偿付能力管理及资本管理有效连接。
第二十五条 保险机构应当针对不同投资业务类型,准确识别各投资业务流程与资金运用目标相关的风险,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。
第二十六条 保险机构投资各类业务,应按照本指引及配套准则开展内部控制活动。
第二十七条 保险机构根据投资管理能力和风险管理能力,可以自行投资或者委托给符合条件的保险资金投资管理人进行投资。
保险机构开展保险资金委托投资的情况下,保险机构为委托人,保险资金投资管理人为投资管理人(受托人),托管机构为托管方。
第二十八条 保险机构开展保险资金委托投资,应当建立资产托管机制,建立委托投资管理制度,形成健全的资产管理体制和明确的资产配置计划,综合考虑风险、成本和收益等因素,通过市场化方式,合理确定投资管理人数量,开展审慎尽职调查。
第二十九条 保险资金委托投资范围和方式应当符合中国保监会的规定。
第三十条 投资连结保险产品和非寿险非预定收益投资型保险产品的资金运用,应当在资产隔离、资产配置、投资管理、投资交易和风险控制等环节,独立于其他保险产品资金。
第三十一条 保险机构应建立投资管理人选聘、监督、评价、考核等制度,并覆盖委托投资全部过程。受托的投资管理人应当具有国家有关部门认可的资产管理业务资质;具有健全的操作流程、内控机制、风险管理及稽核制度,建立公平交易和风险隔离机制;设置产品开发、投资研究、投资管理、风险控制、绩效评估、咨询服务等专业岗位。
第三十二条 作为委托人,保险资金运用实行董事会负责制。
(一)作为委托人的保险机构董事会或董事会授权的专业委员会应当主要履行下述职责:审定保险资金运用管理制度;确定保险资金运用的管理方式;审定资产战略配置规划、年度投资计划和投资指引及相关调整方案;决定重大投资事项;建立资金运用绩效考核制度等职责。
(二)保险机构决定委托投资,以及投资无担保债券、股票、优先股、股权、不动产、其他金融产品、金融衍生品及境外投资等重大保险资金运用事项,应当依照相关规定,经董事会或董事会授权的专业委员会审议通过,由董事会承担委托投资的最终责任。
(三)委托人应当设立资产负债管理委员会或有相应职能的委员会(如投资决策委员会),在董事会授权下,根据公司整体风险状况和各类风险敞口累计水平,协助董事会审议资产配置政策,并提出调整及指导意见。
第三十三条 保险机构委托投资资金及其运用形成的财产,应当独立于投资管理人、托管人的固有财产及其管理的其他财产。
保险机构应当建立完善的资产隔离制度,保险公司不同账户、保险资金受托管理机构的受托管理资产与自有资金、保险资金受托管理机构的不同委托人的资产要实行独立运作,分别核算。
第三十四条 保险机构(委托方)应当设置专门的保险资产管理部门。
(一)保险资产管理部门应独立于财务、精算、风险控制等其他业务部门。
(二)保险资产管理部门履行委托人职责,监督投资行为和评估投资业绩等职责,包括:拟定保险资金运用管理制度,拟定资产战略配置规划和年度资产配置策略,拟定资产战略配置调整方案,执行年度资产配置计划,实施保险资金运用风险管理措施及其他职责。
(三)保险机构的保险资产管理部门应当在投资研究、资产清算、风险控制、业绩评估、相关保障等环节设置岗位,建立防火墙体系,实现专业化、规范化、程序化运作。
第三十五条 保险机构开展委托投资,应当与投资管理人签订委托投资管理协议,载明当事人权利义务、关键人员变动、利益冲突处理、风险防范、信息披露、异常情况处置、资产退出安排以及责任追究等事项。
保险机构应当按照市场化原则,根据资产规模、投资目标、投资策略、投资绩效等因素,协商确定管理费率定价机制,动态调整管理费率水平,并在委托投资管理协议中载明。
第三十六条 保险机构应当根据保险资金风险收益特征,审慎制定委托投资指引,合理确定投资范围、投资目标、投资期限和投资限制等要素,定期或者不定期审核委托投资指引,并做出适当调整。
投资管理人应当执行保险机构资产配置指引,根据保险资金特性构建投资组合,公平对待不同资金。
第三十七条 投资管理人(受托方)的运作应符合监管规定及合同约定。
(一)投资管理人在各受托账户之间、受托账户与自有账户之间设立防火墙,建立防范账户间利益输送方面的制度规范。
(二)投资管理人指定账户投资经理,确定账户管理方式与流程,拟订投资计划,开展具体投资业务。
(三)投资管理人存在利益冲突的不同性质账户投资经理及其他重要岗位人员不应存在交叉重叠。
(四)投资管理人存在违反合同约定投资,不公平对待不同资金,挪用受托资金,向委托机构提供最低投资收益承诺,以保险资金及其投资形成的资产为他人设定担保及其他违法行为的,保险公司应当及时解聘或更换投资管理人。
第三十八条 保险机构应当定期评估投资管理人的管理能力、投资业绩、服务质量等要素,跟踪监测各类委托投资账户风险及合规状况,定期出具分析报告。发生重大突发事件,保险机构应当立即采取有效措施。保险机构开展委托投资,应当建立投资资产退出机制,有效维护保险资产的安全与完整。
第三十九条 保险机构应当根据保险业务和资金特点,划分“普通账户”和“独立账户”,实行资产配置分账户管理。
对于普通账户,保险机构应根据资产负债管理要求,采用现金流、期限、成本率、有效久期、凸性等指标,量化评估各类普通账户负债特征、存量资产和资产负债缺口状况,综合分析各普通账户之间的关系、普通账户资产负债关系,确定各类账户预期收益目标和风险指标,制定和实施资产配置政策。资产配置政策应采用绝对收益率或者相对收益率指标,设定业绩比较基准,明确业绩归因,评估资产配置结果,并建立相应考核机制。资产配置政策主要包括资产战略配置规划(至少三年)和年度资产配置计划,需要经营管理层和专业委员会审议,并提交董事会或董事会授权机构审定。
对于独立账户,保险机构应按照合同约定的资产配置范围和比例,设置独立的账户进行决策和管理,明确独立账户风格,编制投资账户说明书,并及时优化风险调整收益。设置独立账户的保险机构应根据中国保监会有关规定,定期披露投资账户的单位价格、投资组合、收益率以及托管行和投资经理变动信息,确保信息披露真实、准确和完整。
保险机构应当确保托管的普通账户资产和独立账户资产在账户设置、资金清算、会计核算、账户记录等方面的独立、清晰与完整。
第四十条 保险机构应当建立和完善保险资产托管机制,选择符合规定条件的商业银行等专业机构(以下简称托管机构),将保险资金运用形成的各项投资资产全部实行第三方托管和监督。
托管机构应当严格按照保险机构或专业投资管理机构的有效指令,办理资金收支,并确保托管保险资产的收支活动通过托管资金账户进行。
第四十一条 信息及文件交接,涉及银行账户资料和资产权属证明等移交,应当明确委托人、受托人和托管人三方的日常沟通方式、指令流转方式,对接信息系统等,使各方具备履行职责的条件。
第四十二条 报告与沟通。
(一)保险机构受托投资或者发行保险资产管理产品,投资管理人应当根据合同约定,及时向有关当事人披露资金投向、投资管理、资金托管、风险管理和重大突发事件等信息,并保证披露信息的真实、准确和完整。
(二)投资管理人受托管理保险资金,应当定期或不定期向保险机构披露受托资金配置状况、价格波动、交易记录、绩效归因、风险合规及投资人员变动等信息,并为保险机构查询上述信息提供便利和技术支持。
(三)托管人应及时向委托人和受托人报告投资风险等情况。
(四)保险资金委托人、受托人与托管人三方之间应建立重大和紧急事项沟通协调机制,妥善解决委托资产管理与运用中的具体问题。
第四十三条 保险机构应当建立健全相对集中、分级管理、权责统一的投资决策和授权制度,制定明细的决策流程,明确授权方式、标准、程序、时效和责任。
(一)建立民主、透明的决策程序和管理议事规则,高效、严谨的业务执行系统,以及健全、有效的内部监督和反馈系统。
(二)应建立适应各种资金来源、各投资品类以及公司内部工作需要的决策体系,设置专门的委员会负责投资、产品设计与发行的决策,决策体系应经过保险机构董事会审批通过,保证资金运用程序必须遵从相关法规要求和管理层的操作规程,经办人员的每一项工作必须在其业务授权范围内进行。
(三)应建立明确及适当的决策层级,实现自上而下、次序分明、关键决策层级互相独立且存在回避机制的决策顺序。
(四)应建立健全的投资授权制度,明确授权流程、授权调整流程、转授权流程,以及授权标准,按照职责为各授权层级赋予相应投资类型的决策权限,包括但不仅限于:权限类型、投资范围、投资金额、投资方向等。
(五)保险机构关于资金运用的重大业务授权应当采取书面形式,授权书应当明确授权内容和时效。
(六)决策体系需要伴随公司业务发展、组织架构、部门职责进行及时调整。
(七)制定明确的决策程序、议事规则及回避机制,明确决策中应关注的因素,如:资产负债匹配,合规性审查,是否涉及关联交易等。
第四十四条 保险机构应当明确重要决策的充分依据和书面记录:
(一)在充分研究的基础上建立投资品种的选择标准,如建立债券库、股票备选库、基金备选库等,并建立相应的入库标准。
(二)确定重要投资决策的决策层级,确保重要投资决策经过集体决策,确保决策人的决策的独立性和客观性。
(三)对于不同的投资品类和决策事项,公司应当订立不同投资品类决策的必备要件。
(四)明确重要投资决策必须留下相关书面记录,如会议纪要、最终投资决议等,确保投资决策所依据的材料均经过审慎考虑,并由决策人在最终投资决议上确认。
(五)实现决策流程的信息化和自动化,通过信息系统手段实现投资决策流程、次序的自动控制。
(六)保证决策记录的完整性。
第四十五条 保险机构投资应当根据资产战略配置规划和年度配置策略,按照安全性、流动性和收益性要求,综合偿付能力约束、外部环境、风险偏好和监管要求等因素,分析保险资金成本、现金流和期限等负债指标,选择配置具有相应风险收益特征、期限及流动性的投资品种进行配置。
第四十六条 明确规范投资研究工作的流程、决策信息的采集范围,确保投研独立、客观、准确:
(一)建立专业化分析平台,聘用专业投资分析人员,研究制定涵盖交易对手管理和投资品种选择的模型和制度,为保险资金运用决策提供研究依据。
(二)充分利用外部研究成果,建立外部研究资源管理及评价体系。
第四十七条 保险机构应当建立完善的、独立的信用风险管控体系,对信用类投资产品的投资决策进行有效支持。
(一)建立内部信用评级体系,设立专门部门或岗位,配备专业管理人员,保证信用评级人员的独立性,在信用评级与投资交易间建立防火墙机制。
(二)适当借鉴外部信用评级机构的制度和程序,建立适应公司需求、满足投资需要的信用评估模型和评级系统。
(三)建立健全的信用风险管理制度,定期评估并持续监控信用产品各品类及整体信用风险,为公司进一步投资决策提供支持与预警。
(四)明确信用评级流程,包括信息收集、调研访谈、初步评定、提交报告、跟踪评级等内容。
(五)建立适当的信息审查机制,确保获取信息的真实性与准确性。
(六)使用经审核的信用评级报告作为信用产品投资决策的依据。
第四十八条 投资指令应当进行审核,确认其合法、合规与完整后方可执行。应当建立全面的集中交易管理体系,包括但不限于实行集中交易制度、设立集中交易室,实行门禁管理、公平对待不同来源资金、及时归档整理交易过程中产生的各类交易单据等。
第四十九条 保险机构应当制定规范的资金管理制度,明确资金调拨流程,严格资金业务授权批准制度,建立重大突发事件应急预案,保证公司资金的安全性。
第五十条 保险机构应当建立公司行为管理制度,跟踪、收集、整理与持仓投资产品的到期日、付息日、除权日等公司行为相关的信息,及时向投资人员发送影响公司行为的重要提示信息。
第五十一条 保险机构应当按照监管机构对于各类投资交易的有关规定,及时、真实、准确、完整地向监管机构提交报告、报表、文件和资料。
第五十二条 保险机构应依据国家有关法律、法规制定相关财务制度和会计工作操作流程,并针对各个风险控制点建立严密的会计系统控制。
保险机构应建立严格的制度,规范保险资金运用核算行为。
(一) 明确投资管理等各项费用报酬的收取的协议约定及核算要求,并对收取的各项费用报酬开具相应的发票或支付确认;
(二) 建立明确的资金划款账户开立以及变更审批程序;
(三) 资金的收款指令应及时确认与资金到账情况一致;
(四) 资金划款指令应经过恰当审批并与资金支付一致。
第五十三条 保险机构应将自有资产与委托资产以及自行管理的资产管理产品分别设账管理,建立完善的资产管理办法,明确规定其各自的用途和资金划拨的严格控制程序。
第五十四条 保险机构应实行前台交易、资金管理和清算核算人员的严格分离。
第五十五条 保险机构应当采取适当的会计控制措施,规范会计核算工作,及时准确的完成核算与信息披露,确保财务信息真实、准确和完整。
(一) 明确各类金融资产分类以及重分类的核算方法与核算规则;
(二) 明确收益核算的口径、方法与核算规则;
(三) 明确质押证券回购业务的核算方法和核算规则;
(四) 明确应计利息和收益分配的计算口径、方法和预算规则;
(五) 明确应收、应付的资金和利息的核算方法与核算规则;
(六) 财务核算结果应该经过的独立复核,财务会计报告,会计核算、产品报告及财务会计报告上有关数据应核对一致。
第五十六条 保险机构应当建立适当的会计估值政策与制度规范。估值结果应当经过恰当的复核审查,按照有关规定和合同的约定及时处理估值错误,并进行信息披露。
第五十七条 保险机构应在内部每日完成交易后的清算和交易信息核对工作。
(一) 投资部门的业务交易台账应该与后台清算记录和资金记录保持一致,并保留复核纪录;
(二) 后台部门应定期与托管机构及证券注册登记机构进行交易信息与资金对账,并保留复核纪录;
(三) 财务核算人员与应该清算人员对持仓数据、会计分类等内容进行定期核对,并保留书面记录;
(四) 数据核对过程中发现的差异应当及时进行更正,并准确的在信息系统中进行维护,保证会计核算以及翌日投资交易头寸的准确性。
第五十八条 保险机构应在投资清算及收益分配完成后,及时在托管机构进行托管账户注销。账户销户应当出具清算报告,提交给投资人和其他相关方,并报送监管部门。
第五十九条 保险机构应建立完善的交易记录制度,每日的交易记录应及时核对并存档。会计核算人员收到上游交接的原始单证和交易汇总记过后,应妥善检查、保管相关单证和原始凭证。
第六十条 保险机构应当建立保险资金运用信息管理系统及完善的信息管理体系,减少或者消除人为操纵因素,自动识别、预警报告和管理控制保险资金运用风险,确保实时掌握风险状况。
(一)自行进行部分或全部保险资金运用的保险公司、被委托进行保险资金运用的非保险子公司等保险机构应当根据职能应当建立具有投资交易、清算、估值核算、信用评级、风险控制及资讯等功能的系统,作为保险资金运用的基础设施。
(二)保险机构应当明确各系统间数据自动传输的传输内容、传输方向、传输频率和操作方式等,合理保证数据传输的安全性、完整性、及时性及可靠性,并建立传输前后的数据校验机制,确保接口传输的准确性与稳定性。
第六十一条 保险机构应当根据机构业务发展战略,制订明确的信息化工作规划。规划应具有开放性和前瞻性,符合机构经营管理的需要,并确保信息化建设的稳定性和延续性。
第六十二条 保险机构应当根据国家法律法规的要求,遵循安全性、实用性、可操作性原则,严格制定保险资金运用相关电子信息系统的管理规章、操作流程、岗位手册和风险控制制度,通过严格的信息安全管理制度、授权制度、岗位责任制度、系统运行维护制度、门禁制度、内外网分离制度等管理措施,确保系统安全运行。
第六十三条 保险机构相关部门对保险资金运用相关信息系统管理岗位职责进行规范,确保系统的运营维护过程中不相容岗位的职责分离。
(一)信息技术开发、运营维护、业务操作等人员必须互相分离,信息技术开发、运营维护等技术人员不得介入实际的业务操作。
(二)建立各系统的岗位授权标准,严格控制不相容岗位职责的分离及账号权限的管理,规范权限分配、检查和清理流程。
第六十四条 保险机构应当对信息数据实行严格的管理,保证信息数据的安全、真实和完整,并能及时、准确地传递;严格计算机交易数据的授权修改程序,并坚持电子信息数据的定期查验制度。
第六十五条 保险机构的系统数据应逐日备份并异地妥善存放,系统运行数据中涉及交易对手信息和交易记录的备份应当在不可修改的介质上保存15年。
第六十六条 保险机构的信息管理系统应当设定合规性和风险指标阀值,将风险监控的各项要素固化到相关信息技术系统之中,降低操作风险、防止道德风险。
第六十七条 保险机构应当制定业务连续性计划和灾难恢复计划并定期组织演练。
第六十八条 保险机构应当建立完善的信息系统开发管理的组织体系,制定完备的开发管理制度,确保系统开发过程中符合安全要求;系统开发、测试环境应与生产环境有效分离,确保生产系统的安全性和稳定性。
第六十九条 保险机构应当建立健全信息安全管理制度和报告机制,加强信息安全的监控和预警。
第七十条 保险机构应当建立网络访问控制措施,部署监控手段,加强防火墙、防病毒软件、网络访问权限管理,确保网络物理安全及逻辑安全,对于安全事件应及时响应并分析,确保业务系统安全稳定运行。
第七十一条 保险机构应当建立保险资金运用信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。
对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的有用性。
内部信息收集包括财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道。
外部信息收集包括行业协会组织、中介机构、往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道。
第七十二条 保险机构应当将保险资金运用相关信息在内部各管理级次、责任单位、业务环节之间,以及与外部投资者、业务伙伴、客户、中介机构和监管部门等有关方面之间进行沟通和反馈,并确保各环节履行必要的信息保密义务。信息沟通过程中的重要信息应当及时传递给董事会、监事会和经理层,信息传递过程中发现的问题应及时报告并解决。
第七十三条 保险机构应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。
第七十四条 保险机构应建立投资问责制度。建立“失职问责、尽职免责、独立问责”的机制,所有参与人员在各自职责范围内,承担相应的管理责任。对于到期无法收回的投资,应当按照问责制度进行责任追究。对于高级管理人员和主要业务人员违反监管规定及公司管理制度,未履行或者未正确履行职责,造成资产损失的,应当按照问责制度进行责任追究。涉及非保险机构高级管理人员和主要业务人员的,保险机构应当按照有关规定和合同约定追究其责任。
第七十五条 保险机构应当建立有效的内部监控及稽核检查体系,设立专门的内部稽核部门或岗位,严格内部稽核人员的专业任职条件,充分发挥内部稽核部门和人员的权威性,就保险资金运用内部控制情况独立地履行检查、评价、报告、建议职能。
第七十六条 保险机构应当建立健全内部监控及稽核检查制度,明确内部稽核部门各岗位的具体职责,严格内部稽核的操作程序和组织纪律,提高内部稽核工作的质量和效率。
第七十七条 内部稽核人员应当通过至少每年检查内部控制制度的执行情况,辅助内部控制部门对保险资金运用内部控制体系的健全性、合理性和有效性进行综合评估,编制保险资金运用内部控制评估报告,确保保险资金运用活动的有效运行。
第七十八条 内部稽核人员对于发现违法违规行为、异常交易情况或者重大风险隐患应当向公司管理层、董事会及监事会报告,公司董事会、监事会和管理层应当重视和支持内部稽核工作,责令有关部门限期整改。
第七十九条 保险机构应当建立保险资金运用“惩防并举、重在预防”的反舞弊机制,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序。
保险机构应当建立保险资金运用的举报投诉制度和举报人保护制度,设置举报专线,明确举报投诉处理程序、办理时限和办结要求,确保举报、投诉成为公司有效掌握信息的重要途径。
第八十条 本指引的配套指引由保监会另行制定。
第八十一条 本指引由中国保监会负责解释和修订。中国保监会对保险集团(控股)公司资金运用另有规定的,从其规定。
第八十二条 本指引自2015年11月1日起施行。中国保监会现行规定与本指引不一致的,依照本指引执行。中国保监会2004年4月28日发布的《保险资金运用风险控制指引(试行)》(保监发〔2004〕43号)同时废止。
