互联网保险业务合规专项审计管理案例分析
北京中天恒会计师事务所(特殊普通合伙)
严宏 于芳华
保险公司在具备互联网保险业务经营资质后,主要通过自营APP、微信公众号及合作第三方平台开展互联网保险业务,核心产品涵盖车险、意外险、短期健康险等。随着业务快速扩张,保险公司收到的消费者投诉量逐年上升,主要集中在销售误导、理赔拖沓、信息泄露等方面,同时被金融监管总局列入年度互联网保险合规监管重点关注对象。为落实监管要求、防范合规风险、规范业务经营,审计部门依据工作方案,委托第三方中介机构,对甲公司2025年1月1日至2025年12月31日期间的互联网保险业务开展全面合规专项审计,重点核查监管政策出台后业务合规整改情况及高频违规环节。
二、互联网保险业务合规专项审计项目介绍
(一)某出口信用保险公司反洗钱内部审计的现状
保险公司本次委托审计严格遵循工作方案明确的依法审计、风险导向、全面覆盖、客观公正、整改导向五大原则,聚焦主体合规、产品合规、业务流程合规、营销宣传合规、信息系统与数据合规五大核心领域,通过传统审计与数字化审计相结合的方式,全面排查保险公司互联网保险业务合规隐患及违规问题。
(二)互联网保险业务合规专项审计案例介绍
某保险公司委托第三方中介机构,对公司总部、各级分支机构(含分公司、支公司、营业部),涵盖全资子公司、控股附属机构,重点关注基层营业网点及高风险业务集中部门的互联网保险业务开展合规专项审计。
1、互联网保险业务合规专项审计依据
1). 法律法规:《中华人民共和国保险法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国广告法》等;
2). 监管政策:《互联网保险业务监管办法》(银保监会发布,现行有效)、《保险机构互联网保险业务监管暂行办法》《关于进一步规范互联网保险销售行为的通知》《保险消费投诉处理管理办法》及银保监会近期发布的互联网保险监管通报、专项整治要求等;
3). 行业规范:中国保险行业协会相关自律准则、互联网保险业务操作规范等;
4). 内部制度:被审计单位内部制定的互联网保险业务管理制度、操作规程、风险控制办法、财务核算制度、信息系统管理制度等。
2、互联网保险业务合规专项审计的目标
立足审计监督职责,紧扣《互联网保险业务监管办法》《保险法》及银保监会最新监管要求,聚焦互联网保险业务全流程合规风险,全面核查保险机构互联网保险业务经营行为的合法性、规范性和真实性,精准识别业务开展中的合规隐患、管控漏洞及违规问题,评估合规管理体系的有效性,提出针对性审计建议,督促被审计单位整改落实,防范化解互联网保险领域风险,保护消费者合法权益,推动互联网保险业务高质量、合规化发展,助力行业坚守风险保障本质。
3、互联网保险业务合规专项审计方法与技巧
结合互联网保险业务的数字化、网络化特点,采用“传统审计+数字化审计”相结合的方式,综合运用多种审计方法,提升审计效率和审计质量,确保精准识别违规问题和风险隐患。
(1)传统审计方法
1). 查阅资料法
全面查阅被审计单位的经营资质、管理制度、业务档案、财务凭证、合作协议、宣传素材、信息系统资料等,重点核查资料的真实性、完整性、合规性,梳理业务流程中的违规节点和管控漏洞。针对互联网保险业务特点,重点查阅自营网络平台备案材料、产品备案文件、营销宣传审核记录、客户信息保护相关资料等,确保资料核查覆盖全流程。
2). 访谈法
围绕审计重点,分层访谈被审计单位的管理层、合规部门、业务部门、财务部门、技术部门及从业人员,了解互联网保险业务经营情况、合规管理现状、风险防控措施及存在的问题;访谈部分投保人、合作方,核实业务开展的真实性和合规性,收集相关线索和意见建议。访谈时注重针对性,聚焦高风险环节和监管关注重点,做好访谈记录并核实确认。
3). 实地核查法
实地核查被审计单位的自营网络平台运营场所、信息系统机房、业务办理现场等,核实业务开展的实际情况与书面资料的一致性;核查合作第三方平台、中介机构的实际运营情况,确认合作资质的真实性和合作行为的合规性;实地查看网络安全防护设施、数据存储环境,评估信息系统安全管控水平。
4). 抽查法
根据风险导向原则,科学确定抽查比例和抽查范围,对互联网保险产品、销售记录、承保档案、理赔案件、财务凭证、信息系统数据等进行随机抽查或重点抽查。重点抽查高风险业务、高频违规环节、群众投诉集中的业务,确保抽查样本具有代表性,能够有效反映整体合规情况。对于新型互联网保险业务,适当提高抽查比例,全面排查合规风险。
5). 比较分析法
将被审计单位的互联网保险业务经营数据、合规管理情况与监管政策要求、行业平均水平、被审计单位内部制度规定进行对比分析,识别存在的差异和异常;对比不同时期的业务数据、合规指标,分析变化趋势,排查潜在的合规风险和违规问题。例如,对比产品定价与行业平均水平,对比赔付率与历史数据,识别异常波动。
(2)数字化审计方法
1). 数据采集与分析
通过被审计单位信息系统接口、数据库导出等方式,采集互联网保险业务全流程数据(包括投保数据、承保数据、理赔数据、财务数据、客户数据、营销宣传数据等),运用审计软件对数据进行清洗、整理、分析,排查数据异常、逻辑矛盾等问题。例如,通过数据比对,核查投保信息与实际情况是否一致、保费资金与财务记录是否匹配、理赔数据是否存在虚构等。同时,建立数据质量评估指标体系,持续监控数据质量。
2). 模型构建与监测
结合互联网保险业务特点和违规风险点,构建针对性的审计模型,如误导销售识别模型、虚假理赔识别模型、虚挂中介识别模型、数据异常识别模型等,对业务数据进行实时监测和批量分析,精准识别违规线索。例如,通过关键词检索,识别营销宣传中的虚假、误导性表述;通过分析理赔案件的聚集性、异常赔付金额等,识别虚假理赔线索。运用数据挖掘、机器学习等技术提高风险识别的准确性。
3). 线上核查与模拟操作
对被审计单位的自营网络平台、合作第三方平台进行线上核查,模拟投保人投保、咨询、理赔等操作,测试平台功能的合规性、信息披露的完整性、流程的规范性;核查平台的网络安全防护能力,测试系统漏洞,评估数据安全风险。重点测试产品信息披露是否完整、投保流程是否规范、客户信息保护是否到位。
4). 区块链技术应用
利用区块链技术的不可篡改、可追溯特性,核查互联网保险业务数据的真实性和完整性,重点跟踪保费资金流向、理赔流程节点、客户信息流转等环节,防范数据篡改、虚假业务等违规行为。例如,通过区块链技术核查投保、承保、理赔等环节的操作记录,确保业务流程可追溯、数据可验证。
4、互联网保险业务合规专项审计难点与技巧
(1)审计难点
保险公司互联网保险业务特点及审计实践,本次审计过程中遇到的难点主要贴合工作方案中互联网保险业务数字化、网络化的特性,具体如下:
1). 数字化业务数据核查难度大:甲公司互联网保险业务全流程线上开展,年度投保数据、理赔数据、客户数据等累计达10万余条,数据量大、类型杂,且部分数据分散存储在自营平台、第三方合作平台及核心业务系统中,数据格式不统一,给数据采集、清洗、比对带来较大难度,需投入大量时间梳理数据逻辑,确保数据核查的全面性和准确性。
2). 销售误导行为取证难:甲公司互联网保险销售主要通过线上弹窗、客服话术、第三方平台宣传等方式开展,部分销售误导行为(如夸大保障范围、隐瞒责任免除)为口头表述或临时弹窗内容,未留存完整记录,且消费者投诉时难以提供直接证据,审计人员需通过访谈销售人员、模拟投保操作、核查宣传素材留存记录等方式间接取证,增加了取证难度和审计工作量。
3). 第三方合作主体核查边界模糊:甲公司与乙平台等多家第三方机构合作开展互联网保险业务,合作模式复杂,部分合作环节(如第三方平台的营销宣传、客户信息采集)由甲公司授权第三方负责,审计过程中,第三方机构以商业秘密为由,部分关键资料不愿提供,导致审计人员难以全面核查第三方合作环节的合规性,无法准确界定甲公司与第三方机构的责任边界。
4). 信息系统合规性核查专业性要求高:互联网保险信息系统涉及网络安全、数据保护、权限管理等多个专业领域,需审计人员具备扎实的信息技术知识,而本次审计组成员以财务、业务审计人员为主,信息技术专业能力不足,需聘请外部技术专家协助核查,增加了审计成本和协调难度,同时也影响了审计效率。
(2)审计技巧
1). 聚焦重点,精准发力:围绕监管关注的重点领域(如营销宣传、销售误导、客户信息保护、资金安全等)和高风险环节(如线上销售、自动核保、第三方合作等),集中力量开展审计,避免面面俱到、重点不突出;
2). 线索追踪,深挖根源:对审计过程中发现的异常线索,及时追踪核实,深挖问题根源,不仅要查明表面违规行为,还要分析背后的制度漏洞、管理缺陷和人员责任;
3). 交叉验证,确保准确:将书面资料、业务数据、访谈记录、实地核查结果进行交叉验证,相互印证,确保审计发现的问题真实、准确,避免单一证据导致的判断偏差;
4). 结合政策,精准定性:严格依据最新监管政策和法律法规,对审计发现的问题进行定性,确保定性准确、适用政策正确,避免出现定性偏差;
5). 注重沟通,协同推进:加强与被审计单位的沟通交流,及时反馈审计进展和发现的问题,听取被审计单位的说明和意见,协同推进审计工作开展,提高审计效率;同时加强与监管部门的沟通,及时了解最新监管要求。
三、互联网保险业务合规专项审计内容及审计程序
围绕互联网保险业务全流程,结合当前监管重点,聚焦五大核心领域,明确审计内容及对应审计程序,确保审计工作有序推进、精准落地。
(一)互联网保险业务主体合规审计
1. 审计内容
(1)主体资质合规性:核查开展互联网保险业务的保险机构是否依法取得相应经营许可,业务范围是否与许可证(备案表)载明内容一致,是否存在超范围经营、无资质开展业务的情况;保险中介机构是否为全国性机构,经营区域是否符合监管要求,是否满足分类监管相关规定;
(2)自营网络平台合规性:核查保险机构自营网络平台是否依法设立、独立运营,是否享有完整数据权限,是否与分支机构及关联非保险机构设立的平台严格区分;网站或APP是否履行互联网信息服务备案手续、取得备案编号,非网站/APP类自营平台是否符合相关资质要求;
(3)合作主体合规性:核查保险机构与第三方平台、合作中介机构(不含个人保险代理人)的合作是否合法合规,合作方是否具备相应资质,合作协议是否规范,是否明确双方权利义务,是否存在将互联网保险业务转委托给无资质机构或个人的情况;银行类兼业代理机构是否通过电子银行业务平台销售互联网保险产品;
(4)人员资质合规性:核查互联网保险业务从业人员是否具备相应从业资格,是否经过专业培训,是否在授权范围内开展业务;营销宣传人员是否标明所属保险机构全称及个人姓名、执业证编号等信息,是否存在无资质人员开展营销宣传的情况。
2. 审计程序
(1)查阅被审计单位的经营许可证、备案文件、自营网络平台备案材料、合作协议、从业人员资质证明、培训记录等资料;
(2)实地核查自营网络平台运营情况,确认平台独立性、备案合规性,核查平台运营主体与保险机构的关联关系;
(3)抽查合作第三方平台、中介机构的资质文件,核实合作资质的有效性,检查合作协议的履行情况;
(4)访谈互联网保险业务负责人、平台运营人员、从业人员,了解主体资质管理、合作管理、人员管理等情况,核实相关资料的真实性;
(5)对照《互联网保险业务监管办法》第七条规定,逐项核查被审计单位是否满足开展互联网保险业务的各项条件。
(二)互联网保险产品合规审计
1. 审计内容
(1)产品开发合规性:核查互联网保险产品是否符合保险基本原理和风险保障本质,是否遵循互联网经济特点,是否存在违背公序良俗、噱头炒作、损害消费者权益及社会公共利益的情况;产品定价是否合理、公平、充足,是否危及被审计单位偿付能力和财务稳健;
(2)产品备案/审批合规性:核查互联网保险产品是否按照监管要求履行备案或审批手续,备案/审批材料是否真实、完整、合规,是否存在未备案/未审批擅自销售的情况;产品变更是否按规定履行相关手续;
(3)产品信息披露合规性:核查产品宣传页面、条款说明是否清晰、准确、完整,是否充分披露产品名称、保障范围、责任免除、保费计算、理赔流程、退保规则等关键信息;投连险、万能险等人身保险新型产品是否用不小于产品名称字号的黑体字标注保单利益具有不确定性;是否明确说明能否实现全流程线上服务,以及无分支机构可能存在的服务不到位等问题;
(4)产品适配性:核查互联网保险产品是否与互联网经营特点相适配,是否优先选择形态简单、条款简洁、责任清晰、可有效保障售后服务的产品,是否充分考虑投保便利性、风控有效性、理赔及时性。
2. 审计程序
(1)查阅互联网保险产品清单、产品条款、备案/审批文件、产品开发报告、定价依据等资料;
(2)抽查各类互联网保险产品的宣传页面、条款说明,对比监管要求,核查信息披露的完整性和准确性;
(3)分析产品定价逻辑,结合行业数据、历史经验,评估定价的合理性和充足性,核查是否存在定价过高、过低或不公平的情况;
(4)访谈产品开发人员、合规管理人员,了解产品开发流程、备案审批流程、信息披露管理等情况;
(5)对照银保监会关于保险产品开发的相关规定,核查产品是否符合险种范围和相关条件。
(三)互联网保险业务流程合规审计
1. 审计内容
1. 销售环节合规审计
(1)审计内容:核查销售行为是否规范,是否存在误导销售、虚假宣传、夸大保障范围、隐瞒责任免除等违规行为;是否存在捆绑销售、强制销售等情况;销售流程是否规范,是否确保消费者能够通过自营网络平台独立了解产品信息、自主完成投保行为;是否对投保人进行风险告知和身份核实,投保信息是否真实、完整;是否存在虚挂中介、套取费用等违规行为。
(2)审计程序:查阅销售记录、投保资料、风险告知书、中介合作费用支付凭证等资料;抽查投保流程,模拟投保操作,核查销售流程的合规性;访谈投保人、销售从业人员,了解销售过程的真实性;分析保费资金流与信息流的匹配性,排查虚挂中介、套取费用等问题。
2. 承保环节合规审计
(1)审计内容:核查承保流程是否规范,是否对投保信息进行审核,是否存在承保不符合条件的业务;自动核保业务的核保规则设置是否严谨、更新是否及时,超权限承保行为的控制是否有效;承保档案是否完整、规范,是否按规定留存相关资料;是否存在虚构承保业务、套取资金的情况。
(2)审计程序:查阅承保档案、核保记录、投保审核资料等;抽查承保业务,核实投保信息的真实性和审核的有效性;访谈承保人员、核保人员,了解承保流程和核保规则执行情况;核查承保数据与财务数据的一致性,排查虚构承保业务等问题。
3. 理赔环节合规审计
(1)审计内容:核查理赔流程是否规范,是否及时受理理赔申请,是否按规定开展查勘定损、理算核赔等工作;理赔标准是否统一,是否存在惜赔、拖赔、无理拒赔等情况;理赔资料是否完整、真实,理赔审批流程是否合规;大额赔案审批流程是否规范,外部合作查勘机构的准入、考核、退出管理是否有效;是否存在虚构理赔、骗赔等违规行为。
(2)审计程序:查阅理赔档案、理赔记录、查勘报告、赔付凭证等资料;抽查理赔案件,核实理赔流程的合规性和理赔结果的合理性;访谈理赔人员、查勘人员,了解理赔流程执行情况;构建赔付率异常波动预警机制,识别异常赔付趋势,对重大赔案实施穿透式审计。
4. 保全与客户服务环节合规审计
(1)审计内容:核查保全业务(退保、变更、续保等)流程是否规范,是否按规定办理保全手续,保全资料是否完整;退保流程是否合规,退保资金是否及时、足额支付给投保人,是否存在违规退保、截留退保资金等情况;客户服务体系是否健全,是否提供便捷的咨询、投诉渠道,投诉处理是否及时、规范,是否建立投诉处理台账并跟踪落实;是否建立客户信息保护制度,构建覆盖全生命周期的客户信息保护体系,防范信息泄露。
(2)审计程序:查阅保全档案、退保记录、客户投诉台账、投诉处理报告等资料;抽查保全业务和退保业务,核实流程的合规性;模拟客户咨询、投诉,测试客户服务质量和响应效率;核查客户信息采集、存储、传输、使用等环节的合规性,排查信息泄露风险。
5. 资金结算环节合规审计
(1)审计内容:核查互联网保险业务保费资金是否及时、足额存入专用账户,是否存在资金挪用、截留、坐支等情况;保费收取、赔付支付、中介费用支付等资金结算流程是否规范,是否符合财务核算要求;资金账户管理是否规范,资金调拨审批流程是否严密;是否存在套取保费资金、违规支付费用等情况。
(2)审计程序:查阅银行账户信息、资金流水、财务凭证、费用支付凭证等资料;核查保费资金归集、支付流程,核实资金使用的合规性;分析资金流向,排查资金挪用、违规支付等问题;对照财务核算制度,核查财务核算的准确性和合规性。
(四)互联网保险营销宣传合规审计
1. 审计内容
(1)营销宣传内容合规性:核查互联网保险营销宣传内容是否符合《广告法》、金融营销宣传及银保监会相关规定,是否清晰准确、通俗易懂、符合社会公序良俗,是否与保险合同条款保持一致;是否存在夸大宣传、虚假宣传、误导性宣传等情况;
(2)营销宣传管理合规性:核查保险机构是否建立从业人员互联网保险营销宣传的资质、培训、内容审核和行为管理制度;是否从严管控所属从业人员营销宣传活动,对宣传内容进行监测检查;从业人员是否在授权范围内开展营销宣传,宣传内容是否由所属机构统一制作;
(3)营销渠道合规性:核查营销宣传渠道是否合规,是否通过无资质平台或个人开展营销宣传;是否存在利用社交媒体、直播平台等渠道开展违规营销宣传的情况;营销宣传页面是否显著标明所属保险机构全称及相关信息。
2. 审计程序
(1)查阅营销宣传方案、宣传素材、内容审核记录、从业人员培训记录等资料;
(2)抽查各类营销宣传渠道(网站、APP、社交媒体、直播平台等)的宣传内容,核查内容的合规性;
(3)访谈营销宣传负责人、内容审核人员,了解营销宣传管理流程和审核机制执行情况;
(4)监测从业人员发布的互联网保险营销宣传内容,核查是否存在违规宣传行为。
(五)信息系统与数据合规审计
1. 审计内容
(1)信息系统合规性:核查互联网保险业务信息管理系统、核心业务系统是否健全,是否与保险机构其他无关信息系统有效隔离;是否具备完善的网络安全监测、信息通报、应急处置工作机制,以及边界防护、入侵检测、数据保护、灾难恢复等网络安全防护手段;是否落实国家网络安全等级保护制度,开展定级备案和等级保护测评,安全保护等级是否符合要求(具有销售/投保功能的平台及系统不低于三级,无相关功能的不低于二级);
(2)数据合规性:核查互联网保险业务数据的采集、存储、传输、使用、销毁等环节是否合规,是否符合个人信息保护相关规定;数据是否真实、完整、准确,是否存在数据篡改、泄露等情况;是否建立数据质量管理制度,确保数据质量;
(3)系统权限管理:核查信息系统权限设置是否合理,是否实行分级授权、权责分离,权限申请、审批、变更、注销流程是否规范;是否定期开展权限核查,排查权限滥用、越权操作等风险;
(4)业务与系统协同:核查信息系统是否能够有效支撑互联网保险业务全流程开展,业务数据与系统数据是否一致,是否存在系统漏洞导致的合规风险。
2. 审计程序
(1)查阅信息系统管理制度、网络安全管理制度、数据管理制度、等级保护备案材料、测评报告等资料;
(2)实地核查信息系统运营情况,测试系统安全防护功能、数据处理流程,核查系统与业务的协同性;
(3)抽查系统权限设置、权限审批记录,核实权限管理的合规性;
(4)抽取业务数据与系统数据进行比对,核实数据的真实性、完整性和一致性;
(5)访谈信息系统管理人员、技术人员,了解系统建设、运营、维护及数据管理情况。
四、互联网保险业务合规专项审计流程。
互联网保险业务合规专项审计流程分为前期准备阶段、实施阶段、报告阶段、整改跟踪阶段。本次审计严格按照工作方案规定的审计组织分工及审计程序推进,全程落实质量控制要求,确保审计工作有序、规范、精准,具体过程如下:
1. 审计准备阶段:审计领导小组审定审计方案,明确审计目标、范围、内容及分工;对审计组成员开展培训,重点讲解《互联网保险业务监管办法》《保险法》等相关法律法规及工作方案要求;提前收集甲公司经营许可证、互联网保险业务管理制度、产品备案文件、合作协议、财务凭证、信息系统资料等相关材料,开展审计风险评估,识别出销售环节、合作主体、信息系统三个高风险领域,制定针对性风险应对措施。
2. 审计实施阶段:按照工作方案分工,审计实施小组分为业务审计组、财务审计组、信息系统审计组,协同开展工作。业务审计组重点核查主体资质、产品合规、业务全流程(销售、承保、理赔、保全、客户服务)合规性,通过查阅资料、访谈相关人员、实地核查、抽查业务档案等方式,累计抽查互联网保险业务保单1200份、理赔案件300件;财务审计组聚焦资金结算、费用列支、财务核算等环节,查阅银行账户流水、财务凭证、中介费用支付凭证等资料,排查资金挪用、违规套取费用等问题;信息系统审计组实地核查甲公司自营APP、业务管理系统的运营情况,测试系统安全防护功能,核查数据采集、存储、传输等环节合规性,抽取业务数据与系统数据进行比对核实。
3. 审计复核阶段:审计小组完成阶段性审计工作后,由小组负责人进行内部复核,重点复核审计证据的充分性、审计记录的完整性、问题识别的准确性;审计工作结束后,审计领导小组对审计工作底稿进行全面审核,对审计发现问题的定性、证据支撑、政策依据等进行严格把关,确保审计工作质量。
4. 审计报告与整改阶段:审计组结合审计实施情况,编制审计报告,明确审计发现的问题、原因分析、审计结论及整改建议,经审计领导小组审定后,正式提交甲公司及相关监管部门;同步建立整改跟踪台账,督促甲公司制定整改方案,跟踪整改进展,定期核查整改成效,确保整改工作落地见效。
五、互联网保险业务合规专项审计问题与建议
(一)互联网保险业务合规专项审计问题
结合工作方案明确的核心审计内容,本次审计共发现甲公司互联网保险业务存在6大类、18项违规问题,重点集中在销售环节、合作主体、信息系统及营销宣传等高频违规领域,具体如下:
1. 主体合规方面:一是乙平台作为甲公司合作第三方平台,未取得互联网保险中介机构资质,甲公司与其签订的合作协议未明确双方权利义务及合规责任,存在将互联网保险业务委托给无资质机构的违规行为;二是甲公司部分互联网保险业务从业人员未取得相应从业资格,且未开展系统的合规培训,营销宣传人员未在宣传页面标明所属机构全称及个人执业证编号。
2. 产品合规方面:一是2款短期健康险产品未按监管要求履行备案手续,擅自在线上销售,备案材料存在虚假填报情况;二是部分产品宣传页面未充分披露责任免除、退保规则等关键信息,投连险产品未用规定字号黑体字标注保单利益具有不确定性,存在信息披露不完整的问题;三是1款意外险产品定价过低,未充分考虑风险因素,危及公司偿付能力稳健性。
3. 业务流程合规方面:(1)销售环节:存在误导销售行为,部分销售人员通过弹窗、客服话术夸大产品保障范围,隐瞒责任免除条款;部分投保流程未对投保人进行充分风险告知,投保信息真实性核查不到位,存在代填投保信息的情况;存在虚挂中介、套取中介费用的问题,通过虚构中介合作业务,违规支付中介费用共计86万元。(2)理赔环节:部分理赔案件未及时受理,存在拖赔、无理拒赔情况,累计涉及案件52件,涉及金额132万元;大额赔案审批流程不规范,未按规定履行分级审批手续;外部合作查勘机构准入管理不严格,未建立完善的考核、退出机制。(3)资金结算环节:部分保费资金未及时存入专用账户,存在截留、坐支保费资金的情况;中介费用支付凭证不完整,部分支付款项未提供真实业务支撑,涉嫌违规套取资金。
4. 营销宣传合规方面:一是部分营销宣传内容不符合《广告法》及银保监会相关规定,存在夸大宣传、虚假宣传情况,如宣称“零免赔、全额赔付”“无健康告知即可投保”等误导性表述;二是甲公司未建立完善的营销宣传内容审核制度,从业人员自行制作、发布宣传素材,未经过合规部门审核;三是通过无资质的个人微信公众号、短视频账号开展营销宣传,宣传页面未显著标明所属保险机构全称。
5. 信息系统与数据合规方面:一是甲公司自营APP未落实国家网络安全等级保护制度,未开展定级备案和等级保护测评,系统安全保护等级未达到三级要求,存在网络安全漏洞;二是客户信息采集、存储、传输环节不合规,未取得客户书面同意即采集个人敏感信息,部分客户数据未进行加密存储,存在信息泄露风险;三是系统权限管理不规范,存在权限滥用、越权操作情况,部分离职人员未及时注销系统权限;四是业务数据与系统数据不一致,存在数据篡改情况,影响数据真实性和完整性。
6. 合规管理方面:甲公司未建立完善的互联网保险业务合规管理制度,合规部门未充分履行监管职责,对业务全流程的合规审核、监测不到位;未建立常态化的合规培训机制,从业人员合规意识薄弱;未建立客户投诉处理台账,投诉处理不及时、不规范,导致消费者投诉量居高不下。
(二)互联网保险业务合规专项审计建议
针对保险公司互联网保险业务合规专项审计存在的问题,应该采取相应的方法和措施,以提高互联网保险业务合规专项审计工作的可行性和效果。提出建议:
1. 坚守合规底线是互联网保险业务健康发展的前提。互联网保险业务的数字化、网络化特点,使得违规行为更具隐蔽性、传播性,一旦出现违规问题,不仅会面临监管处罚,还会损害机构声誉和消费者权益。因此,保险机构必须树立“合规为先、风险可控”的经营理念,严格遵循法律法规及监管政策要求,将合规管理融入业务全流程,杜绝重业务、轻合规的倾向。
2. 健全合规管理体系是防范合规风险的核心。本次审计发现,保险公司违规问题频发的核心原因是合规管理体系不健全、管控流程存在漏洞。保险机构应结合工作方案要求,建立完善的合规管理制度、风险控制体系和从业人员培训机制,明确各部门、各岗位的合规责任,加强合规审核和监测,形成“事前防范、事中管控、事后整改”的全流程合规管控体系,从根源上防范合规风险。
3. 强化数字化审计能力是提升审计质效的关键。互联网保险业务数据量大、流程线上化,传统审计方法难以满足审计需求。本次审计通过采用数据采集与分析、模型构建与监测、线上核查与模拟操作等数字化审计方法,有效提升了审计效率和问题识别的精准性。因此,审计部门应加强数字化审计能力建设,培养专业的信息技术审计人才,运用数字化工具开展审计工作,实现对互联网保险业务的精准审计、有效监管。
4. 加强第三方合作管理是防范关联风险的重要环节。随着互联网保险业务的发展,保险机构与第三方平台、中介机构的合作日益密切,第三方合作环节的合规风险也日益突出。保险机构应严格按照工作方案要求,加强对第三方合作主体的资质审核,规范合作协议签订,明确双方合规责任,加强对第三方合作环节的合规监测和管控,防范第三方违规带来的关联风险。
5. 坚持整改闭环管理是发挥审计价值的保障。审计的核心目的是“查问题、促整改、建长效”,本次审计严格落实工作方案整改跟踪要求,建立整改跟踪台账,督促保险公司全面整改,确保审计发现的问题得到有效解决。保险机构应高度重视审计整改工作,将整改落实贯穿审计全过程,不仅要整改表面违规问题,还要深入分析问题根源,健全长效机制,避免同类问题再次发生,真正发挥审计“治已病、防未病”的作用。
6. 提升从业人员合规意识是筑牢合规防线的基础。从业人员是互联网保险业务的直接执行者,其合规意识和专业能力直接影响业务合规性。保险机构应建立常态化的合规培训机制,定期组织从业人员学习法律法规、监管政策及合规操作规范,提升从业人员的合规意识和专业能力,杜绝违规操作行为,筑牢互联网保险业务合规防线。
