指引發布
保監發〔2018〕24號
各保監局,中國保險信息技術管理有限責任公司,中國保險行業協會、中國保險學會,各保險集團(控股)公司、保險公司、保險專業中介機構:
為保護保險消費者合法權益,切實防範化解保險欺詐風險,促進保險業健康可持續發展及社會誠信體系的構建,中國保監會制定了《反保險欺詐指引》,現印發給你們,請結合實際認真貫徹執行。
中國保監會
2018年2月11日
指引全文
反保險欺詐指引
第一章總則
第一條為提升保險業全面風險管理能力,防範和化解保險欺詐風險,根據《中華人民共和國保險法》、《中華人民共和國刑法》等法律法規,制定本指引。
第二條本指引所稱保險機構,是指經中國保險監督管理委員會(以下簡稱保監會)及其派出機構(以下簡稱派出機構)批准設立的保險集團(控股)公司、保險公司及其分支機構。保險專業中介機構、再保險公司和其他具有反保險欺詐職能的機構參照本指引開展反欺詐相關工作。
第三條保險欺詐(以下簡稱欺詐)是指假借保險名義或利用保險契約謀取非法利益的行為,主要包括保險金詐欺類欺詐行為、非法經營保險業務類欺詐行為和保險契約詐欺類欺詐行為等。除特別說明,本指引所稱欺詐僅指保險金詐欺類欺詐行為,主要包括故意虛構保險標的,騙取保險金;編造未曾發生的保險事故、編造虛假的事故原因或者誇大損失程度,騙取保險金;故意造成保險事故,騙取保險金的行為等。
本指引所稱保險欺詐風險(以下簡稱欺詐風險)是指欺詐實施者進行欺詐活動,給保險行業、保險消費者及社會公眾造成經濟損失或其他損失的風險。
第四條反欺詐工作以保護保險消費者合法權益,維護保險市場秩序,促進保險行業健康發展為目標。
第五條保監會及其派出機構依法對保險機構的欺詐風險管理工作實施監管。
第二章保險機構欺詐風險管理
第六條保險機構應當承擔欺詐風險管理的主體責任,建立健全欺詐風險管理制度和機制,規範操作流程,妥善處置欺詐風險,履行報告義務。
第七條保險機構欺詐風險管理體系應包括以下基本要素:
(一)董事會、監事會、管理層的有效監督和管理;
(二)與業務性質、規模和風險特徵相適應的制度機制;
(三)欺詐風險管理組織架構和流程設定;
(四)職責、許可權劃分和考核問責機制;
(五)欺詐風險識別、計量、評估、監測和處置程式;
(六)內部控制和監督機制;
(七)欺詐風險管理信息系統;
(八)報告和危機處理機制。
第一節制度體系與組織架構
第八條保險機構應制定欺詐風險管理制度,以明確董事會及其專門委員會、監事會(監事)、管理層、相關部門在欺詐風險管理中的作用、職責及報告路徑,規範操作流程,嚴格考核、問責制度執行。
第九條保險機構董事會承擔欺詐風險管理的最終責任,董事會主要職責包括:
(一)確定欺詐風險管理戰略規劃和總體政策;
(二)審定欺詐風險管理的基本制度;
(三)監督欺詐風險管理制度執行有效性;
(四)審議管理層或風險管理委員會提交的欺詐風險管理報告;
(五)根據內部審計結果調整和完善欺詐風險管理政策,監督管理層整改;
(六)審議涉及欺詐風險管理的其他重大事項;
(七)法律、法規規定的其他職責。
董事會根據公司章程和董事會議事規則,可以授權其下設的風險管理委員會履行其欺詐風險管理的部分職責。
第十條保險機構管理層承擔欺詐風險管理的實施責任,主要職責包括:
(一)制定欺詐風險管理制度,報董事會批准後執行;
(二)建立欺詐風險管理組織架構,明確職能部門、業務部門以及其他部門的職責分工和許可權,確定欺詐風險報告路徑;
(三)對重大欺詐風險事件或項目,根據董事會授權進行處置,必要時提交董事會審議;
(四)定期評估欺詐風險管理的總體狀況並向董事會提交報告;
(五)建立和實施欺詐風險管理考核和問責機制;
(六)法律、法規規定的或董事會授予的其他職責。
第十一條監事會(監事)應對董事會及管理層在欺詐風險管理中的履職情況進行監督評價。
第十二條保險機構應當指定欺詐風險管理負責人(以下簡稱負責人),並以書面形式告知保監會。負責人應由能夠承擔欺詐風險管理責任的高級管理人員擔任,職責包括:
(一)分解欺詐風險管理責任,明晰風險責任鏈條;
(二)組織落實風險管理措施與內控建設措施;
(三)監督欺詐風險管理制度和程式的實施;
(四)為保險機構欺詐風險管理戰略、規劃、政策和程式提出建議;
(五)審核反欺詐職能部門出具的欺詐風險年度報告等檔案;
(六)向保監會報告,接受監管質詢等。
保險機構應當為負責人履行職責提供必要的條件。負責人未能履行職責或者在履行職責過程中遇到困難的,應當向保監會提供書面說明。負責人因崗位或者工作變動不能繼續履行職責的,保險機構應在10個工作日內另行指定負責人並向保監會報告變更。
第十三條保險機構應在總部指定內設機構作為反欺詐職能部門,並設立專職的反欺詐管理崗位,負責欺詐風險管理措施的執行。反欺詐職能部門應當履行下列職責:
(一)擬定欺詐風險管理的具體政策、操作規程和操作標準,報董事會或管理層批准後執行;
(二)建立並組織實施欺詐風險識別、計量、評估、監測和報告流程;
(三)建立並管理反欺詐信息系統;
(四)組織開展反欺詐調查和風險排查;
(五)協調其他部門執行反欺詐操作規程;
(六)監測和分析欺詐風險管理情況,定期向公司管理層、董事會和保監會提交欺詐風險報告;
(七)提供反欺詐培訓,開展反欺詐經驗交流,建設欺詐風險管理文化,進行反欺詐宣傳和教育;
(八)與欺詐風險管理相關的其他工作。
第十四條保險機構應保障欺詐風險管理工作的有效開展,並配備適當的資源,包括但不限於提供必要的經費、設定必要的崗位、配備適當的人員、提供培訓、賦予欺詐風險管理人員履行職務所必需的許可權等。保險機構的其他部門應在職責範圍內為反欺詐職能部門提供支持。
第十五條保險省級機構應指定內設機構作為反欺詐職能部門,負責本地區欺詐風險管理措施的執行,並按照賠案數量、保費規模、風險特徵、機構數量等指標配備一定比例的專職工作人員。保險省級機構應以書面形式將反欺詐組織架構和負責人告知所在地派出機構。
第十六條保險機構應建立重大欺詐風險監測預警、報告、應急處置工作機制,明確不同層級的應急回響措施。
第十七條保險機構應在綜合考慮業務發展、技術更新及市場變化等因素的基礎上對欺詐風險管理策略、制度和程式及時進行評估,並根據評估結果判斷相關策略、制度和程式是否需要更新和修訂。評估工作每年最少進行一次。
第二節內部控制與信息系統
第十八條保險機構應基於全面風險管理框架構建反欺詐管理體系,合理確定各項業務活動和管理活動的欺詐風險控制點,明確欺詐風險管理相關事項的審核部門和審批許可權,執行標準統一的業務流程和管理流程,將欺詐風險管控覆蓋到機構設立、產品開發、承保和核保、理賠管理、資金收付、單證管理、人員管理、中介及第三方外包服務等關鍵業務單元。
第十九條保險機構在開發新產品、引入新技術手段、設立新機構和新業務部門前,應在可行性研究中充分評估其對欺詐風險產生的影響,制定相應欺詐風險管理措施,並根據需要及時進行調整。
第二十條保險機構應將員工道德風險可能引發的職務欺詐作為欺詐風險管理的重要部分,營造誠信的企業文化,健全人員選任和在崗履職檢查機制,明確崗位責任,設定內部控制和監督措施等。
第二十一條保險機構應審慎選擇中介業務合作對象或與保險業務相關的第三方外包服務商,重點關注對方的資質、財務狀況、內部反欺詐制度和流程等。
第二十二條保險機構應將欺詐風險管理納入內部審計範圍。內審部門應定期審查和評價欺詐風險管理體系的充分性和有效性,並向董事會報告評估結果。內部審計應涵蓋欺詐風險管理的所有環節,包括但不限於以下內容:
(一)管理體系、內部控制制度和實施程式是否足以識別、計量、監測和控制欺詐風險;
(二)欺詐風險管理的信息系統是否完善;
(三)欺詐風險管理報告是否準確、及時、有效;
(四)相關機構、部門和人員是否嚴格執行既定的欺詐風險管理政策和程式。
審計工作每年應至少進行一次。鼓勵業務複雜程度較高和規模較大的保險機構委託專業機構對其欺詐風險管理體系定期進行審計和評價。
第二十三條保險機構應當為有效地識別、計量、評估、監測、控制和報告欺詐風險建立信息系統或將現有信息系統嵌入相關功能,其功能至少應當包括:
(一)記錄和處理與欺詐風險相關的數據;
(二)識別並報告疑似欺詐客戶及交易;
(三)支持不同業務領域、業務類型欺詐風險的計量;
(四)採用定量標準和定性標準評估欺詐風險並進行風險評級,監測欺詐風險管理執行情況;
(五)為行業反欺詐共享平台和保險業徵信系統提供有效數據和信息支持;
(六)提供欺詐風險信息,滿足內部管理、監管報告、信息披露和共享要求。
第二十四條保險機構應對欺詐案件信息或疑似欺詐信息實行嚴格管理,保證數據安全性和完備性。反欺詐職能部門應制定欺詐或疑似欺詐信息的標準、信息類型,根據數據類型進行分級保存和管理,並準確傳遞給核保、核賠、審計等部門。
第二十五條保險機構應依據保險業標準化和保險業務要素數據規範等規定的要求,建立基礎數據質量管理和數據報送責任機制,確保欺詐風險管理相關數據的真實、完整、準確、規範。
第三節欺詐風險識別、評估與應對
第二十六條保險機構應建立欺詐風險識別機制,對關鍵業務單元面臨的欺詐風險進行收集、發現、辨識和描述,形成風險清單。欺詐風險識別流程包括:
(一)監測關鍵的欺詐風險指標,收集風險信息;
(二)通過欺詐因子篩選、要素分析、風險調查等方法,發現風險因素;
(三)對識別出的風險因素按照損失事件、業務類別、風險成因、損失形態和後果嚴重程度等進行合理歸類,形成風險清單,為風險分析提供依據。
第二十七條保險機構應在風險識別的基礎上,對欺詐風險發生的可能性和危害程度進行評估。欺詐風險評估基本流程包括:
(一)對識別出的欺詐風險的發生機率、頻率、損失程度等因素進行綜合分析;
(二)對應欺詐風險威脅,對公司制度、流程、內部控制中存在的薄弱點進行分析與評價;
(三)對公司已採取的風險控制措施進行分析與評價;
(四)依據欺詐風險計量的方法及風險等級評價原則,結合行業標準,確定風險的大小與等級;
(五)確定公司承受風險的能力;
(六)對公司欺詐管理投入的資源、經濟效益做出總體評估,決定是否需要採取控制、緩釋等相應措施。
第二十八條保險機構應針對欺詐風險事件,綜合考慮欺詐風險性質和危害程度、經營目標、風險承受能力和風險管理能力、法律法規規定及對保險行業的影響,選擇合適的風險處置策略和工具,控制事件發展態勢、彌補資產損失,妥善化解風險。
第二十九條保險機構發現風險線索可能涉及多個案件或團伙欺詐的,應對線索進行串並,必要時應提請上級機構或總公司在全系統範圍內進行審核與串並。涉及其他機構或其他地區的,應報請各地保險行業協會或反欺詐中心、中國保險行業協會對風險線索進行審核與串並。針對發現的趨勢性、苗頭性問題,各保險機構應積極組織開展風險排查,做好風險預警。
第三十條各保險機構發現違法事實涉嫌犯罪需要依法追究刑事責任的,應及時向公安機關報案。保監會及其派出機構發現違法事實涉嫌犯罪需要依法追究刑事責任的,應依據案件線索移送的相關規定,及時向公安司法機關移送。
第三十一條保險機構應當建立欺詐風險管理報告制度,明確報告的內容、頻率、路徑。保險機構應及時報送欺詐風險信息和報告,包括:
(一)欺詐案件和重大欺詐風險事件報告。對於已經由公安、司法機關接受處理的欺詐案件或危害特別大、影響範圍特別廣的欺詐事件,應根據保險案件相關的監管規定向保監會及其派出機構進行報告。
(二)欺詐線索報告。保險機構通過風險識別發現欺詐風險和線索,可能引發保險欺詐案件的,應依據相關規定及時向上級機構或保監會及其派出機構進行報告。
(三)欺詐風險定期報告。保險機構應定期分析、評估本機構的欺詐風險情況、風險管理狀況及工作效果。保險法人機構應當於每年1月31日前向保監會報送上一年度欺詐風險報告。報告內容應包括但不限於以下內容:公司反欺詐風險管理設定和董事會、經營管理層履職情況;公司反欺詐制度、流程建設情況;反欺詐自主評估和審計結果;重大欺詐風險處置結果;其他相關情況等。保險分支機構按照派出機構的要求報送欺詐風險定期報告。
(四)涉及重大突發事件的,保險機構應當根據重大突發事件應急管理相關規定進行報告。
第三十二條保險機構應定期分析欺詐風險趨勢、欺詐手法、異動指標等,指標分析應包括:
(一)總體情況指標。反映在公司制度、流程、內部控制等方面欺詐風險應對能力的總體情況指標,包括欺詐案件占比、欺詐金額占比、欺詐案件的追訴率、反欺詐挽損比率等,用以衡量公司欺詐整體狀況。
(二)分布特徵指標。主要包括行為分布特徵、險種分布特徵、人員分布特徵、地區分布特徵、金額分布特徵等,用以更好地制定欺詐風險的防範和識別措施,提升欺詐風險管理的經濟效果。
(三)趨勢性指標。將不同時期同類指標的歷史數據進行比較,從而綜合、直觀地呈現欺詐風險的變化趨勢和變化規律。
統計分析至少應每季度進行一次。
第三十三條保險機構在依法合規前提下,可適當藉助公估公司等機構力量開展反欺詐工作。
第四節考核、宣傳教育及舉報
第三十四條保險機構應針對欺詐風險管理建立明確的內部評價考核機制。
第三十五條保險機構應當通過開展案例通報和警示宣傳、發布風險提示等方式,提高保險消費者對欺詐的認識,增強保險消費者防範欺詐的意識和能力。
第三十六條保險機構反欺詐職能部門應定期向公司管理人員和員工提供反欺詐培訓,培訓內容應包括公司內部反欺詐制度、操作流程、職業操守等,針對承擔反欺詐職能的員工還應進行欺詐監測方法、欺詐手法、關鍵指標、內部報告等培訓。
第三十七條保險機構應當建立欺詐舉報制度,向社會公眾公布欺詐舉報渠道、方式等,並採取保密措施保證舉報信息不被泄露。
第三章反欺詐監督管理與行業協作
第三十八條保監會及其派出機構應當在行業反欺詐工作中承擔以下職責:
(一)建立反欺詐監管框架,制定反欺詐監管制度;
(二)指導保險機構和行業組織防範和應對欺詐風險;
(三)審查和評估保險機構反欺詐工作;
(四)依據保險公司償付能力監管規則中的風險綜合評級規則,對保險機構欺詐風險進行評價和監管;
(五)通報欺詐案件、發布風險信息,定期對行業整體欺詐風險狀況進行評估;
(六)推動建立行業合作平台,促進反欺詐協作;
(七)加強與其他行業主管部門、司法機關的合作、協調和信息交流;
(八)普及反欺詐知識,提高消費者對欺詐的認識。
第三十九條保監會及其派出機構應定期對保險機構欺詐風險管理體系的健全性和有效性進行檢查和評估,包括但不限於:
(一)對反欺詐監管規定的執行情況;
(二)內部欺詐風險管理制度的制定情況;
(三)欺詐風險管理組織架構的建立和人員履職情況;
(四)欺詐風險管理流程的完備性、可操作性和運行情況;
(五)反欺詐系統的建設和運行情況;
(六)欺詐風險報告情況;
(七)風險應對和處置情況。
保監會及其派出機構通過監管評級、風險提示、通報、約談等方式對保險機構欺詐風險管理進行持續監管。
第四十條保監會及其派出機構應致力於完善反欺詐協作配合機制,包括但不限於:
(一)健全與公安部門和司法機關的案件移交、聯合執法機制,深化案件聯合督辦機制;
(二)將欺詐行政處罰、刑事處罰記錄納入企業個人信用記錄和誠信檔案,實行失信聯合懲戒,提高打擊欺詐行為的震懾力;
(三)完善與公安、司法、人民銀行、工商等部門的案件信息和執法信息通報制度,加強信息共享和交流互訓;
(四)會同有關部委推動反欺詐立法,協同司法機關完善懲治欺詐犯罪的司法解釋,明確欺詐的認定標準和處理規範;
(五)探索建立與其他行業主管部門共同打擊欺詐案件的聯動機制;
(六)構建與港、澳、台地區的反欺詐合作機制,在信息查詢通報、組織委託調查、調查程式與文書認證標準、開展技術交流等領域進行協作,並建立反欺詐工作的日常聯絡機制;
(七)推動國際合作。建立健全國際交流與合作的框架體系,指導行業組織加強與國際反欺詐組織的溝通聯絡,在跨境委託調查、提供司法協助、交流互訪等方面開展反欺詐合作,形成打擊跨境欺詐的工作機制。
第四十一條保監會及其派出機構應指導保險機構、保險行業協會和保險學會深入開展行業合作,構建數據共享和欺詐風險信息互通機制,聯合開展打擊欺詐的行業行動,深化理論研究和學術交流,強化風險處置協作,協同推進反欺詐工作。
第四十二條保險行業協會應在保監會及其派出機構的指導下,發揮行業自律作用,開展以下工作:
(一)建立反欺詐聯席會議制度;
(二)建立欺詐風險警戒線標準和欺詐風險關鍵指標;
(三)組織欺詐案件協查和風險排查;
(四)通報欺詐案件、發布風險信息;
(五)推動行業數據及信息共享,組織建立反欺詐警示名單及不良記錄清單等;
(六)加強與國際反保險欺詐組織的溝通聯絡;
(七)開展反欺詐培訓、專題教育和公益宣傳活動等。
第四十三條派出機構應在保監會的領導下,指導轄區行業協會、保險分支機構根據實際情況健全反欺詐組織,如設立或與公安機關共同成立反欺詐中心、反保險欺詐辦公室等,完善案件調查、移交立案、證據調取等機制。
第四十四條中國保險信息技術有限公司應在保監會的指導下,探索建立多險種的反欺詐信息管理平台,充分發揮大數據平台集中管理優勢,為保險行業欺詐風險的分析和預警監測提供支持。
第四章附則
第四十五條本指引的配套套用指引另行制定。
第四十六條本指引由保監會負責解釋、修訂。
第四十七條本指引自2018年4月1日起施行。