友邦人寿保险有限公司 吴浩礼 郑毅捷 梅晓炯
不断加强与第三方机构的业务合作,已成为保险公司降低成本、提高专业水平、提升客户体验或实现战略目标等的重要手段。在获得与第三方机构合作带来的收益同时,这类合作也使保险公司需要面对来源于第三方机构的潜在风险。这些风险与保险公司管理传统保险业务中常见的保险、市场、操作等风险存在明显差异,因此公司需要进行针对性的风险识别与管理。
本文探讨了保险公司与第三方机构合作中的主要风险及风险管理流程,并针对供应商管理、财务状况、信息安全、业务持续性等主要风险评估与管理方法进行讨论。
一、第三方合作需求
党的二十大报告擘画了全面建设社会主义现代化国家的宏伟蓝图,指明了“中国式现代化”和“新发展格局”的大方向,为保险公司下一阶段发展方向提供了指引。为实现“高质量发展”这一全面建设社会主义现代化国家的首要任务,保险公司需要“守正”,专注于建设和强化自身核心能力,不断寻求新发展的革新思路,发挥保险保障功能,增进民生福祉,提高人民生活品质。同时,为了满足人民日益增长的美好生活需要,保险公司还需要“出奇”,对于非核心业务,加大采用协同的方式,与专业第三方机构展开积极合作,不断拓展及共创新业务领域。
保险公司在与第三方机构的业务合作中,既有传统行业共性的“采购商—供应商”的采购模式,也有销售渠道、再保险、委托投资、健康养老服务生态圈等保险业特殊的模式。无论对干哪种模式,保险公司对第三方所提供的商品与服务品质稳定性、交付时效性、业务连续性等都有较高的预期,因为这将直接影响保险公司的核心业务运营和发展。
二、监管预期与要求
从消费者保护角度,监管机构对于保险公司与第三方合作也提出了要求。一是在准入环节,保险公司应将消保相关要求作为合作准入的重要标准之一,从源头防范把控风险;同时通过合作协议,明确第三方对信息安全管控、服务价格管理、服务连续性、信息披露、纠纷解决机制、违约责任承担和应急处置的义务和要求,确保双方在合作过程中,能做好前置准备。二是在持续管理环节,保险公司应在与第三方合作过程中,开展持续管理,以便能第一时间发现问题,及时督促落实整改,避免问题扩大升级。三是在清退环节,当合作方发生严重的消保侵权问题,保险公司应及时叫停业务,双方启动应急举措,若该问题无法修复或第三方拒不整改的保险公司应清退该合作机构,从源头切断风险源,必要时应将其列入禁止合作名单。监管通过压实保险公司的主体责任,要求公司做好全流程合作方管理,防范外部风险向保险公司传导,从源头管控,切实维护消费者合法权益。
三、第三方合作主要风险与管理思路
保险公司与第三方机构合作类型多样,在合作过程中保险公司会面对来源于第三方机构的各类潜在风险。这些风险往往与保险公司管理传统保险业务中常见的保险、市场、操作等风险存在明显差异,因此公司需要进行针对性的风险识别与管理。
友邦人寿借鉴母公司经验及公司实际管理情况,将第三方风险识别为包括金融犯罪、信息安全、数据隐私、业务持续性管理、合同风险、财务风险以及服务交付与绩效在内的七项风险。针对各项风险,公司开展针对性风险评估,通过嵌入采购供应商管理、合同管理等业务流程,形成有效控制。因与公司合作的第三方机构数量众多,从平衡潜在风险影响与控制成本角度出发,针对第三方风险的管控设计大多遵循“以风险为基础”的分类管理思路。此外,与第三方机构合作所产生的风险敞口覆盖多项风险维度,管理过程中需要明确每类风险的管理责任主体,确保分工明确,并推动各管理责任主体之间高效协作,才能达到有效管理第三方风险的目标。下文就采购供应商流程与部分主要风险管控方式进行详细介绍:
(一)采购供应商管理
按照保险公司常见的职能划分和业务特性,通常采用分类管理的方式管理第三方。首先,针对采购类和非采购类的第三方区分责任部门进行牵头管理。其次,根据供应商的重要性和风险类别进行分类,针对性地管理和风险控制。最后,依据合作体量的大小,分层管理,寻找多维度合作的契机。
对于供应商管理,特别是对重要的第三方管理,保险公司可以重点关注如下几方面:
1.评估供应商的资质和信誉度:对供应商的背景、经营情况、声誉等方面进行综合评估,以确保选择的供应商具备良好的商业信誉和可信赖的能力。
2.建立供应商合作协议:与供应商签订明确的合作协议,明确双方的权利和义务,明确合作的范围、方式、期限、费用等方面的内容,并注重协议的法律效力和可执行性。
3.严格风险控制:严格控制与供应商的业务风险,包括对供应商的合规性、信息安全、数据保护、反洗钱等方面的审核和管控。
4.监督供应商执行协议:建立监督机制,对供应商的执行情况进行定期检查和评估,确保供应商按照合同约定履行义务。
5.及时应对供应商风险事件:建立业务连续性规划和应急预案,及时处理和应对与供应商有关的风险事件,减轻可能产生的负面影响。
6.供应商沟通机制:与业务部门定期对重要供应商进行约谈,对业务现状展开回顾,提升服务质量。同时对新的技术、场景、供应商发展进行广泛交流,以获得创新变革的必要信息。
供应商业务持续性管理一直是友邦人寿关注的重点领域,公司综合考虑未来发展、业务特性、区域覆盖、供应商能力和经验等多方面因素,由多部门协同,全面规划和制定了2-3家供应商相互备份的机制,并提前完成了业务连续性计划以及应急预案。3年疫情期间,友邦能够做到快速反应、快速切换,这对于公司稳定运营、业务正常开展、客户服务不间断都起到了关键性的作用。业务连续性计划和应急预案的制定,既确保了重点业务的连续性,也避免了业务集中度风险,还能在多家供应商的共同探索、相互竞争中,持续进行优化和提升。
此外,采购类供应商提供的产品与服务的费用支出,是营运成本的重要组成部分。在友邦人寿,采购类供应商由采购部牵头,协同各业务部门进行管理。经过几年的探索和迭代,目前友邦已经实现数字化、全生命周期的供应商管理机制,包括供应商资质核查、新供应商准入、供应商分级分类、供应商绩效评估、供应商优化及退出等。所有采购类供应商均需要通过数字化的采购平台进行入库登记和统一管理,相关采购数据和采购记录也会在采购平台进行保留,从而实现一家一档的精准管理;而且采购部能够基于全面的数据和记录,进行多维度、线上化的供应商绩效评估,也可以根据业务需求,制定相应的采购策略和优化方案,持续提升采购类支出的管理效率。
(二)财务风险管控
第三方财务风险是指第三方的财务状况对其运营和交付的风险。第三方财务状况的稳定性,即财务风险的识别和管理,是第三方风险管控中重要一环。对于重要性高、依赖性强的第三方机构,保险公司应关注其整体运营和现金流状况;对于存在合作机会、共创共赢的第三方机构,保险公司应关注其自身造血能力和是否具备长远发展的策略性财务目标。
制定第三方财务风险管理政策,可以帮助保险公司更好地预防和控制风险,提高保险公司经营效率。保险公司在制定财务风险管控时可以考虑以下要点:
1.详细了解财务风险:通过自身经验积累、与其他保险公司和专业机构的交流、媒体及行业报告等途径,对与外部合作方合作可能面临的各种财务风险进行深入了解,例如信用风险、市场风险、法律风险等。
2.设定风险防范的阈值:明确公司对财务风险的容忍度,考虑公司风险承受能力,制定适合的风险防范目标和指标,实施分类管控。
3.制定具体的管理政策:制定具体的财务风险管理政策,包括审慎选择合作方、了解各种风险类型、建立监控机制、加强内部沟通和合同履行等。同时,政策应具备可操作性,便于执行。
4.建立风险评估和监测机制:建立完善的评估和监测机制,对与外部合作方合作可能面临的风险进行有效地跟踪和监测,并在风险超出阈值时及时采取纠正措施。
5.加强内部人员培训:加强内部人员的财务风险管理意识和能力,提供相关培训,使其能够更好地理解并遵守相关政策和规定。
6.落实政策和规定:应该确保政策和规定得到落实,包括与外部合作方签订的协议、财务检查程序,以及各种盈利、税务过程和交易记录等。
友邦人寿借助国际通用的反恐反洗钱数据库(如道琼斯),以及中国市场上的风控引擎、保险公司信息平台等,实时准确地获取第三方洗钱与恐怖融资风险信息,在建立合作前以及合作开展期间定期进行信息核实和筛查,避免或及时终止与存在金融犯罪风险的第三方合作。针对重点合作机构,通过获取由外部机构独立发布的目标第三方财务评估报告的方式,准确及时评估第三方财务风险状况,保障与第三方开展合作的稳定性和可持续性。同时,针对第三方机构的财务状况,开展跨部门共同评估和管理,以专业、多维的监督和管控,避免重点合作领域的第三方因财务风险给公司业务带来影响。
在与供应商日常沟通时,公司保持适当的敏感度,例如曾发生当供应商提出增加储备金池要求时,经办人员敏感地预见并判断其资金流紧张,从而提高对其风控级别,避免公司遭受损失的案例。公司通过员工日常培训,强化宣导第三方财务风险管控,使相关员工具备专业技能和风险意识,在发现异常信号时能快速高效地按照既定流程进行预警与处置,从而达到第三方财务风险的管控目标。
(三)信息安全风险管控
第三方信息安全风险是指未经授权访问或不当使用、盗窃、侵害、丢失或破坏数据的风险。随着互联网的快速发展,保险公司在与第三方合作中往往伴生信息安全风险,如数据泄露、合同纠纷、技术侵权等。因此,保险公司管理第三方信息安全风险至关重要。
在与第三方合作之前,保险公司需要了解第三方的信息安全状况,对第三方进行审核和评估,确保第三方具备一定的信息安全保障能力。具体措施包括:对第三方进行调查和背景研究,了解其发展历程、行业地位、声誉等情况;对第三方的信息安全管理制度进行审核,评估第三方是否具备信息安全管理制度、安全管理责任人、风险评估、安全事件报告等基本要素;评估第三方的信息安全技术能力是否能够满足保险公司的需求,包括数据加密、访问控制、网络防御等技术要求;对第三方的业务合规性进行审查,确保其业务符合国家法律法规和行业标准。除风险评估外,签署合同和保密协议是保障保险公司信息安全的重要措施。保险公司在与第三方合作前应当制定并签署保密协议,明确双方在合作中对信息安全的责任和义务。具体内容包括第三方的信息安全责任,包括数据保存、备份、安全管理等方面,第三方的违约责任和赔偿责任,信息的安全级别和保密期限,以及信息安全事件的应急响应程序和责任分工。
在与第三方合作过程中,保险公司应与第三方在信息共享方面进行协调和管理。为了保证信息共享的安全性,保险公司需要建立信息共享机制,明确信息共享的范围、方式和权限。具体措施包括:建立信息共享的流程和规程,制定信息共享的标准和准则;对信息的共享进行分类,分别对内部员工、第三方和外部人员设置不同的权限;建立信息共享的安全保障措施,包括网络访问控制、数据加密、安全审计等;建立信息共享的监督机制,对信息的共享行为进行监督和管理。
同时,保险公司需要建立完善的信息安全风险管理和应急响应机制,及时识别和评估第三方信息安全风险,并采取相应的措施进行管理和应对。具体措施包括:开展第三方信息安全风险评估,制定风险管理计划;应急响应第三方信息安全事件,及时处置和修复漏洞;建立信息安全事件报告机制,要求第三方在出现安全事件时及时向保险公司报告并采取必要的措施;建立信息安全事件后续处理机制,包括风险评估、纠正措施、责任追究等。
此外,保险公司需要定期对与第三方的合作关系进行检查和评估,确保第三方信息安全管理制度的有效性和合规性。具体措施包括:对第三方的信息安全管理制度进行检查和评估,发现问题及时提出整改要求;定期检查第三方的信息安全技术能力和系统安全性能,发现漏洞并及时修复;对第三方的业务合规性进行检查,确保其业务符合国家法律法规和行业标准;定期组织信息安全评估和演练,提高保险公司和第三方的信息安全管理水平。
(四)业务持续性风险管控
第三方业务持续性风险是指第三方未能识别内部或外部威胁,以及业务运营因意外外部事件或内部事件而中断的风险。友邦人寿对于第三方业务持续性风险主要通过事前评估与持续监测来管理,具体分以下几个环节实施:
1.第三方服务中断影响评估
对于每一个新合作/续约的第三方供应商,其合同管理部门都需评估其所提供服务一旦发生中断,是否会影响公司在“关键客户服务交付”“内部关键职能运行”“向其他机构履行义务”和“符合监管有关要求”等四个方面的能力。如影响任一维度,则表示该第三方的服务中断可能会对公司产生较大影响,其合同管理部门需进一步对其业务持续性能力进行评估。第三方服务中断影响评估作为一个初筛环节,通过设定合理的评估条件和方法,让公司能聚焦于那些需要关注的第三方上。
2.第三方业务持续性能力评估
在此环节中,第三方需要进一步提供一系列业务持续性文档,以便公司评估其业务持续性能力是否可靠并能满足公司的期望,包括:第三方的业务持续性计划、第三方的业务持续性演练报告、第三方的业务持续性能力外部审计报告等。公司在对这些文档的评估中,将着重关注以下几方面:(1)第三方的业务恢复时间目标(RTO)是否与公司对应的业务职能RTO一致;(2)第三方的业务恢复安排是否覆盖场所不可用、关键人员不可用、关键系统不可用等多种业务中断场景;(3)第三方的年度业务持续性演练是否有重大问题,如有是否已及时整改修复;(4)针对第三方业务持续性能力的外部审计报告中是否有重大且未解决的问题。同时,公司应要求在合同中加入与业务持续性有关的条款,从法律上督促第三方保证其业务持续性能力。除针对第三方业务持续性能力上的要求,公司同样也会要求其合同管理部门制定应急计划,以应对处置可能发生的服务中断情况,将此类事故对公司的影响控制在最低。
3.第三方业务持续性风险定期监控
对于第三方业务持续性风险的管理,不应是一朝一夕的事,而是应建立长期的监控机制。为此,公司定期监控所有服务期间内的第三方的业务持续性能力,以及时了解对方在业务恢复安排上的变更并重新评估这些变化对公司的影响。
四、结语
保险业要找准在中国式现代化中的功能定位,加大与第三方机构合作共创是提升保险产品和服务供给质量、适应人民群众生活需要和经济社会发展要求的必然趋势。在追求高质量发展的道路上,风险防范是底线和基石。面对新兴第三方风险、保险公司需要加强风险识别和内部控制,并以此为契机推动合作机构提升服务质量,不断提升人民群众获得感、幸福感和安全感。
[作者简介]吴浩礼,友邦人寿保险有限公司首席财务官;郑毅捷,友邦人寿保险有限公司风险管理部负责人;梅晓炯,友邦人寿保险有限公司行政事务部负责人。