保监发〔2018〕24号
各保监局,中国保险信息技术管理有限责任公司,中国保险行业协会、中国保险学会,各保险集团(控股)公司、保险公司、保险专业中介机构:
为保护保险消费者合法权益,切实防范化解保险欺诈风险,促进保险业健康可持续发展及社会诚信体系的构建,中国保监会制定了《反保险欺诈指引》,现印发给你们,请结合实际认真贯彻执行。
中国保监会
(附注:请各保监局代转给辖区内的保险专业中介机构)
反保险欺诈指引
第一章 总 则
第一条 为提升保险业全面风险管理能力,防范和化解保险欺诈风险,根据《中华人民共和国保险法》、《中华人民共和国刑法》等法律法规,制定本指引。
第二条 本指引所称保险机构,是指经中国保险监督管理委员会(以下简称保监会)及其派出机构(以下简称派出机构)批准设立的保险集团(控股)公司、保险公司及其分支机构。保险专业中介机构、再保险公司和其他具有反保险欺诈职能的机构参照本指引开展反欺诈相关工作。
第三条 保险欺诈(以下简称欺诈)是指假借保险名义或利用保险合同谋取非法利益的行为,主要包括保险金诈骗类欺诈行为、非法经营保险业务类欺诈行为和保险合同诈骗类欺诈行为等。除特别说明,本指引所称欺诈仅指保险金诈骗类欺诈行为,主要包括故意虚构保险标的,骗取保险金;编造未曾发生的保险事故、编造虚假的事故原因或者夸大损失程度,骗取保险金;故意造成保险事故,骗取保险金的行为等。
本指引所称保险欺诈风险(以下简称欺诈风险)是指欺诈实施者进行欺诈活动,给保险行业、保险消费者及社会公众造成经济损失或其他损失的风险。
第四条 反欺诈工作以保护保险消费者合法权益,维护保险市场秩序,促进保险行业健康发展为目标。
第五条 保监会及其派出机构依法对保险机构的欺诈风险管理工作实施监管。
第二章 保险机构欺诈风险管理
第六条 保险机构应当承担欺诈风险管理的主体责任,建立健全欺诈风险管理制度和机制,规范操作流程,妥善处置欺诈风险,履行报告义务。
第七条 保险机构欺诈风险管理体系应包括以下基本要素:
(一)董事会、监事会、管理层的有效监督和管理;
(二)与业务性质、规模和风险特征相适应的制度机制;
(三)欺诈风险管理组织架构和流程设置;
(四)职责、权限划分和考核问责机制;
(五)欺诈风险识别、计量、评估、监测和处置程序;
(六)内部控制和监督机制;
(七)欺诈风险管理信息系统;
(八)报告和危机处理机制。
第一节 制度体系与组织架构
第八条 保险机构应制定欺诈风险管理制度,以明确董事会及其专门委员会、监事会(监事)、管理层、相关部门在欺诈风险管理中的作用、职责及报告路径,规范操作流程,严格考核、问责制度执行。
第九条 保险机构董事会承担欺诈风险管理的最终责任,董事会主要职责包括:
(一)确定欺诈风险管理战略规划和总体政策;
(二)审定欺诈风险管理的基本制度;
(三)监督欺诈风险管理制度执行有效性;
(四)审议管理层或风险管理委员会提交的欺诈风险管理报告;
(五)根据内部审计结果调整和完善欺诈风险管理政策,监督管理层整改;
(六)审议涉及欺诈风险管理的其他重大事项;
(七)法律、法规规定的其他职责。
董事会根据公司章程和董事会议事规则,可以授权其下设的风险管理委员会履行其欺诈风险管理的部分职责。
第十条 保险机构管理层承担欺诈风险管理的实施责任,主要职责包括:
(一)制定欺诈风险管理制度,报董事会批准后执行;
(二)建立欺诈风险管理组织架构,明确职能部门、业务部门以及其他部门的职责分工和权限,确定欺诈风险报告路径;
(三)对重大欺诈风险事件或项目,根据董事会授权进行处置,必要时提交董事会审议;
(四)定期评估欺诈风险管理的总体状况并向董事会提交报告;
(五)建立和实施欺诈风险管理考核和问责机制;
(六)法律、法规规定的或董事会授予的其他职责。
第十一条 监事会(监事)应对董事会及管理层在欺诈风险管理中的履职情况进行监督评价。
第十二条 保险机构应当指定欺诈风险管理负责人(以下简称负责人),并以书面形式告知保监会。负责人应由能够承担欺诈风险管理责任的高级管理人员担任,职责包括:
(一)分解欺诈风险管理责任,明晰风险责任链条;
(二)组织落实风险管理措施与内控建设措施;
(三)监督欺诈风险管理制度和程序的实施;
(四)为保险机构欺诈风险管理战略、规划、政策和程序提出建议;
(五)审核反欺诈职能部门出具的欺诈风险年度报告等文件;
(六)向保监会报告,接受监管质询等。
保险机构应当为负责人履行职责提供必要的条件。负责人未能履行职责或者在履行职责过程中遇到困难的,应当向保监会提供书面说明。负责人因岗位或者工作变动不能继续履行职责的,保险机构应在10个工作日内另行指定负责人并向保监会报告变更。
第十三条 保险机构应在总部指定内设机构作为反欺诈职能部门,并设立专职的反欺诈管理岗位,负责欺诈风险管理措施的执行。反欺诈职能部门应当履行下列职责:
(一)拟定欺诈风险管理的具体政策、操作规程和操作标准,报董事会或管理层批准后执行;
(二)建立并组织实施欺诈风险识别、计量、评估、监测和报告流程;
(三)建立并管理反欺诈信息系统;
(四)组织开展反欺诈调查和风险排查;
(五)协调其他部门执行反欺诈操作规程;
(六)监测和分析欺诈风险管理情况,定期向公司管理层、董事会和保监会提交欺诈风险报告;
(七)提供反欺诈培训,开展反欺诈经验交流,建设欺诈风险管理文化,进行反欺诈宣传和教育;
(八)与欺诈风险管理相关的其他工作。
第十四条 保险机构应保障欺诈风险管理工作的有效开展,并配备适当的资源,包括但不限于提供必要的经费、设置必要的岗位、配备适当的人员、提供培训、赋予欺诈风险管理人员履行职务所必需的权限等。保险机构的其他部门应在职责范围内为反欺诈职能部门提供支持。
第十五条 保险省级机构应指定内设机构作为反欺诈职能部门,负责本地区欺诈风险管理措施的执行,并按照赔案数量、保费规模、风险特征、机构数量等指标配备一定比例的专职工作人员。保险省级机构应以书面形式将反欺诈组织架构和负责人告知所在地派出机构。
第十六条 保险机构应建立重大欺诈风险监测预警、报告、应急处置工作机制,明确不同层级的应急响应措施。
第十七条 保险机构应在综合考虑业务发展、技术更新及市场变化等因素的基础上对欺诈风险管理策略、制度和程序及时进行评估,并根据评估结果判断相关策略、制度和程序是否需要更新和修订。评估工作每年最少进行一次。
第二节 内部控制与信息系统
第十八条 保险机构应基于全面风险管理框架构建反欺诈管理体系,合理确定各项业务活动和管理活动的欺诈风险控制点,明确欺诈风险管理相关事项的审核部门和审批权限,执行标准统一的业务流程和管理流程,将欺诈风险管控覆盖到机构设立、产品开发、承保和核保、理赔管理、资金收付、单证管理、人员管理、中介及第三方外包服务等关键业务单元。
第十九条 保险机构在开发新产品、引入新技术手段、设立新机构和新业务部门前,应在可行性研究中充分评估其对欺诈风险产生的影响,制定相应欺诈风险管理措施,并根据需要及时进行调整。
第二十条 保险机构应将员工道德风险可能引发的职务欺诈作为欺诈风险管理的重要部分,营造诚信的企业文化,健全人员选任和在岗履职检查机制,明确岗位责任,设置内部控制和监督措施等。
第二十一条 保险机构应审慎选择中介业务合作对象或与保险业务相关的第三方外包服务商,重点关注对方的资质、财务状况、内部反欺诈制度和流程等。
第二十二条 保险机构应将欺诈风险管理纳入内部审计范围。内审部门应定期审查和评价欺诈风险管理体系的充分性和有效性,并向董事会报告评估结果。内部审计应涵盖欺诈风险管理的所有环节,包括但不限于以下内容:
(一)管理体系、内部控制制度和实施程序是否足以识别、计量、监测和控制欺诈风险;
(二)欺诈风险管理的信息系统是否完善;
(三)欺诈风险管理报告是否准确、及时、有效;
(四)相关机构、部门和人员是否严格执行既定的欺诈风险管理政策和程序。
审计工作每年应至少进行一次。鼓励业务复杂程度较高和规模较大的保险机构委托专业机构对其欺诈风险管理体系定期进行审计和评价。
第二十三条 保险机构应当为有效地识别、计量、评估、监测、控制和报告欺诈风险建立信息系统或将现有信息系统嵌入相关功能,其功能至少应当包括:
(一)记录和处理与欺诈风险相关的数据;
(二)识别并报告疑似欺诈客户及交易;
(三)支持不同业务领域、业务类型欺诈风险的计量;
(四)采用定量标准和定性标准评估欺诈风险并进行风险评级,监测欺诈风险管理执行情况;
(五)为行业反欺诈共享平台和保险业征信系统提供有效数据和信息支持;
(六)提供欺诈风险信息,满足内部管理、监管报告、信息披露和共享要求。
第二十四条 保险机构应对欺诈案件信息或疑似欺诈信息实行严格管理,保证数据安全性和完备性。反欺诈职能部门应制定欺诈或疑似欺诈信息的标准、信息类型,根据数据类型进行分级保存和管理,并准确传递给核保、核赔、审计等部门。
第二十五条 保险机构应依据保险业标准化和保险业务要素数据规范等规定的要求,建立基础数据质量管理和数据报送责任机制,确保欺诈风险管理相关数据的真实、完整、准确、规范。
第三节 欺诈风险识别、评估与应对
第二十六条 保险机构应建立欺诈风险识别机制,对关键业务单元面临的欺诈风险进行收集、发现、辨识和描述,形成风险清单。欺诈风险识别流程包括:
(一)监测关键的欺诈风险指标,收集风险信息;
(二)通过欺诈因子筛选、要素分析、风险调查等方法,发现风险因素;
(三)对识别出的风险因素按照损失事件、业务类别、风险成因、损失形态和后果严重程度等进行合理归类,形成风险清单,为风险分析提供依据。
第二十七条 保险机构应在风险识别的基础上,对欺诈风险发生的可能性和危害程度进行评估。欺诈风险评估基本流程包括:
(一)对识别出的欺诈风险的发生概率、频率、损失程度等因素进行综合分析;
(二)对应欺诈风险威胁,对公司制度、流程、内部控制中存在的薄弱点进行分析与评价;
(三)对公司已采取的风险控制措施进行分析与评价;
(四)依据欺诈风险计量的方法及风险等级评价原则,结合行业标准,确定风险的大小与等级;
(五)确定公司承受风险的能力;
(六)对公司欺诈管理投入的资源、经济效益做出总体评估,决定是否需要采取控制、缓释等相应措施。
第二十八条 保险机构应针对欺诈风险事件,综合考虑欺诈风险性质和危害程度、经营目标、风险承受能力和风险管理能力、法律法规规定及对保险行业的影响,选择合适的风险处置策略和工具,控制事件发展态势、弥补资产损失,妥善化解风险。
第二十九条 保险机构发现风险线索可能涉及多个案件或团伙欺诈的,应对线索进行串并,必要时应提请上级机构或总公司在全系统范围内进行审核与串并。涉及其他机构或其他地区的,应报请各地保险行业协会或反欺诈中心、中国保险行业协会对风险线索进行审核与串并。针对发现的趋势性、苗头性问题,各保险机构应积极组织开展风险排查,做好风险预警。
第三十条 各保险机构发现违法事实涉嫌犯罪需要依法追究刑事责任的,应及时向公安机关报案。保监会及其派出机构发现违法事实涉嫌犯罪需要依法追究刑事责任的,应依据案件线索移送的相关规定,及时向公安司法机关移送。
第三十一条 保险机构应当建立欺诈风险管理报告制度,明确报告的内容、频率、路径。保险机构应及时报送欺诈风险信息和报告,包括:
(一)欺诈案件和重大欺诈风险事件报告。对于已经由公安、司法机关接受处理的欺诈案件或危害特别大、影响范围特别广的欺诈事件,应根据保险案件相关的监管规定向保监会及其派出机构进行报告。
(二)欺诈线索报告。保险机构通过风险识别发现欺诈风险和线索,可能引发保险欺诈案件的,应依据相关规定及时向上级机构或保监会及其派出机构进行报告。
(三)欺诈风险定期报告。保险机构应定期分析、评估本机构的欺诈风险情况、风险管理状况及工作效果。保险法人机构应当于每年1月31日前向保监会报送上一年度欺诈风险报告。报告内容应包括但不限于以下内容:公司反欺诈风险管理设置和董事会、经营管理层履职情况;公司反欺诈制度、流程建设情况;反欺诈自主评估和审计结果;重大欺诈风险处置结果;其他相关情况等。保险分支机构按照派出机构的要求报送欺诈风险定期报告。
(四)涉及重大突发事件的,保险机构应当根据重大突发事件应急管理相关规定进行报告。
第三十二条 保险机构应定期分析欺诈风险趋势、欺诈手法、异动指标等,指标分析应包括:
(一)总体情况指标。反映在公司制度、流程、内部控制等方面欺诈风险应对能力的总体情况指标,包括欺诈案件占比、欺诈金额占比、欺诈案件的追诉率、反欺诈挽损比率等,用以衡量公司欺诈整体状况。
(二)分布特征指标。主要包括行为分布特征、险种分布特征、人员分布特征、地区分布特征、金额分布特征等,用以更好地制定欺诈风险的防范和识别措施,提升欺诈风险管理的经济效果。
(三)趋势性指标。将不同时期同类指标的历史数据进行比较,从而综合、直观地呈现欺诈风险的变化趋势和变化规律。
统计分析至少应每季度进行一次。
第三十三条 保险机构在依法合规前提下,可适当借助公估公司等机构力量开展反欺诈工作。
第四节 考核、宣传教育及举报
第三十四条 保险机构应针对欺诈风险管理建立明确的内部评价考核机制。
第三十五条 保险机构应当通过开展案例通报和警示宣传、发布风险提示等方式,提高保险消费者对欺诈的认识,增强保险消费者防范欺诈的意识和能力。
第三十六条 保险机构反欺诈职能部门应定期向公司管理人员和员工提供反欺诈培训,培训内容应包括公司内部反欺诈制度、操作流程、职业操守等,针对承担反欺诈职能的员工还应进行欺诈监测方法、欺诈手法、关键指标、内部报告等培训。
第三十七条 保险机构应当建立欺诈举报制度,向社会公众公布欺诈举报渠道、方式等,并采取保密措施保证举报信息不被泄露。
第三章 反欺诈监督管理与行业协作
第三十八条 保监会及其派出机构应当在行业反欺诈工作中承担以下职责:
(一)建立反欺诈监管框架,制定反欺诈监管制度;
(二)指导保险机构和行业组织防范和应对欺诈风险;
(三)审查和评估保险机构反欺诈工作;
(四)依据保险公司偿付能力监管规则中的风险综合评级规则,对保险机构欺诈风险进行评价和监管;
(五)通报欺诈案件、发布风险信息,定期对行业整体欺诈风险状况进行评估;
(六)推动建立行业合作平台,促进反欺诈协作;
(七)加强与其他行业主管部门、司法机关的合作、协调和信息交流;
(八)普及反欺诈知识,提高消费者对欺诈的认识。
第三十九条 保监会及其派出机构应定期对保险机构欺诈风险管理体系的健全性和有效性进行检查和评估,包括但不限于:
(一)对反欺诈监管规定的执行情况;
(二)内部欺诈风险管理制度的制定情况;
(三)欺诈风险管理组织架构的建立和人员履职情况;
(四)欺诈风险管理流程的完备性、可操作性和运行情况;
(五)反欺诈系统的建设和运行情况;
(六)欺诈风险报告情况;
(七)风险应对和处置情况。
保监会及其派出机构通过监管评级、风险提示、通报、约谈等方式对保险机构欺诈风险管理进行持续监管。
第四十条 保监会及其派出机构应致力于完善反欺诈协作配合机制,包括但不限于:
(一)健全与公安部门和司法机关的案件移交、联合执法机制,深化案件联合督办机制;
(二)将欺诈行政处罚、刑事处罚记录纳入企业个人信用记录和诚信档案,实行失信联合惩戒,提高打击欺诈行为的震慑力;
(三)完善与公安、司法、人民银行、工商等部门的案件信息和执法信息通报制度,加强信息共享和交流互训;
(四)会同有关部委推动反欺诈立法,协同司法机关完善惩治欺诈犯罪的司法解释,明确欺诈的认定标准和处理规范;
(五)探索建立与其他行业主管部门共同打击欺诈案件的联动机制;
(六)构建与港、澳、台地区的反欺诈合作机制,在信息查询通报、组织委托调查、调查程序与文书认证标准、开展技术交流等领域进行协作,并建立反欺诈工作的日常联络机制;
(七)推动国际合作。建立健全国际交流与合作的框架体系,指导行业组织加强与国际反欺诈组织的沟通联络,在跨境委托调查、提供司法协助、交流互访等方面开展反欺诈合作,形成打击跨境欺诈的工作机制。
第四十一条 保监会及其派出机构应指导保险机构、保险行业协会和保险学会深入开展行业合作,构建数据共享和欺诈风险信息互通机制,联合开展打击欺诈的行业行动,深化理论研究和学术交流,强化风险处置协作,协同推进反欺诈工作。
第四十二条 保险行业协会应在保监会及其派出机构的指导下,发挥行业自律作用,开展以下工作:
(一)建立反欺诈联席会议制度;
(二)建立欺诈风险警戒线标准和欺诈风险关键指标;
(三)组织欺诈案件协查和风险排查;
(四)通报欺诈案件、发布风险信息;
(五)推动行业数据及信息共享,组织建立反欺诈警示名单及不良记录清单等;
(六)加强与国际反保险欺诈组织的沟通联络;
(七)开展反欺诈培训、专题教育和公益宣传活动等。
第四十三条 派出机构应在保监会的领导下,指导辖区行业协会、保险分支机构根据实际情况健全反欺诈组织,如设立或与公安机关共同成立反欺诈中心、反保险欺诈办公室等,完善案件调查、移交立案、证据调取等机制。
第四十四条 中国保险信息技术有限公司应在保监会的指导下,探索建立多险种的反欺诈信息管理平台,充分发挥大数据平台集中管理优势,为保险行业欺诈风险的分析和预警监测提供支持。
第四章 附 则
第四十五条 本指引的配套应用指引另行制定。
第四十六条 本指引由保监会负责解释、修订。
第四十七条 本指引自2018年4月1日起施行。