□记者 苏洁
在“偿二代”的监管体系下,保险公司的信息化建设面临怎样的挑战?应对这些挑战,不同类型的保险公司应当如何应对?《中国保险报》记者专访了德勤中国企业风险管理服务合伙人、信息系统专家韩国斌,请他谈谈“偿二代”对于中国保险行业信息化建设的要求与影响。
《中国保险报》:“偿二代”对信息系统的要求有哪些,对保险公司有什么影响?
韩国斌:第一,数据的自动采集,要求与保险公司现有系统进行对接,自动采集风险相关数据,加工计算关键风险指标。相比于大部分公司目前实行的手工数据统计和计算,自动采集数据和自动运算能提高风险数据收集的及时性与效率,减少收集与计算过程中的错误,避免人为蓄意调整、篡改风险数据。这一要求不仅能够帮助保险公司更好地管理风险,更能促进大家审视和回顾自己的信息技术管理能力和信息系统建设情况,通过建立统一的数据平台全面提升业务经营分析、绩效考评、客户管理、产品设计与自动化管理决策能力。
第二,覆盖七大类风险的关键风险指标管理生命周期,包括保险、市场、信用、操作、战略、声誉和流动性风险的状况列示、分析和预警。关键风险指标作为风险日常监测与管理的主要工具与有效手段之一,被各行业广泛运用。过去,保险公司从全公司层面,通常缺少统一的管理与视角,导致“铁路警察各管一段”。“偿二代”体系明确了七大类风险分类及其子类风险,风险管理部门与管理层需要从过去仅仅是纸面收集各部门上报的指标数据,转变为深度参与指标的定义、维护、指派、报送审核、预警分析、后续行动计划的监控与整改结果和效果确认过程中去。
第三,要求在系统中支持压力测试。“偿二代”监管体系要求各公司每季度都上报偿付能力报告,其中就包括了各项压力测试的结果。压力测试数据来源多、情景多、计算量大,很多保险公司反馈每季度进行压力测试的运算需要投入大量的人力,并层层复核计算过程与结果。如果没有信息系统的支撑,不仅保险公司相关部门的工作量大幅提升,监管检查或审计时回溯的难度也大幅提高。
第四,要求风险管理报表和报告的自动生成、传递和留档备查。报表和报告分为外部报送披露与内部使用两大类。外部使用目的的报表与报告,这项要求更多的是从提升效率、统一技术口径与增加可回溯性角度出发考虑。而对于内部使用的报表,“偿二代”监管体系更多是期望通过这一方式,增加风险管理的手段和效率,通过自动生成的管理报表与报告,丰富描述公司风险情况的形式、维度与细度。
第五,要求风险管理信息在各级分支机构、各职能部门之间的汇总和共享。风险管理系统的用户不仅仅是风险管理部门,而应该覆盖全公司所有的部门与机构,确保自上而下能将风险的信息、要求与提示有效地传达,自下而上能将风险的隐患、情况与处置有效地报送与收集,起到打通“任督二脉”的效果,提高风险管理的“武功”。
《中国保险报》:就您刚才提到的各项要求,如果无法满足要求的话,会对保险公司的偿付能力产生什么影响?
韩国斌:首先,信息化工作未来将与保险公司的偿付能力计算息息相关。风险信息化水平的提升,将实实在在地为公司节省监管资本的投入。“偿二代”监管体系通过11号规则《偿付能力风险管理要求与评估》的评估点,来检验各保险公司的风险管理系统建设与使用情况,从而影响最低资本要求。
其次,从“偿二代”监管体系10号规则《偿二代风险综合评级》征求意见稿来看,信息系统相关的操作风险占2.8%,即50%难以量化风险中,操作风险占评分权重的50%,而其中信息系统相关的操作风险占1/9权重。这部分的评价点综合了先前《保险公司信息化工作管理指引》、《保险公司信息系统安全管理指引》与《保险公司灾难恢复管理指引》的要求。10号规则的评价结果将体现在保险公司法人机构分类监管评级中,影响各公司实际业务开展,所以进一步提升信息技术治理与管理水平需要与建设风险管理信息系统同步开展,刻不容缓。
最后,保监会目前陆续出台“偿二代”的自动报送技术标准。压力测试报告需要从过渡期时单纯的电子表格格式进行技术转换、数据校验与自动报送。保监会也已经明确了日常披露要求,网站、保单及通知书均需要披露最近一季度的偿付能力充足率与分类监管评级,这也需要信息技术的支持与系统的升级。
《中国保险报》:在“偿二代”的监管体系下,保险公司的信息化建设面临怎样的挑战?应对这些挑战,不同类型的保险公司应当如何应对?
韩国斌:信息化建设不仅仅是单纯地建设一个信息系统,我认为应该把信息化建设分为基础建设、数据、功能、管理使用四个方面。
从信息化基础建设来看,不同规模和不同开业时间的保险公司,其信息技术基础架构和治理水平都处在不同时期,也会面临不同困难。比如几家大型保险集团,系统多、数据量大,而且有大量老保单数据质量基础较薄弱,整合困难,但公司信息技术部门自行研发能力强,信息技术治理架构完善;新开业的保险公司有后发优势,信息化建设规划明确,基础架构及应用架构统一,数据历史问题较少,但受限于信息技术部门规模较小,通常只能通过外购软件或外包形式进行信息化建设,这就会带来标准统一与系统接口的难题。还有一些保险公司这几年来业务发展非常迅速,有的还新成立了资管公司或其他专业子公司,这使原来用于支持单一业态的信息基础架构和治理框架需要进行调整与升级。
从数据来看,数据是风险管理信息化建设中最难的一个环节。首先,数据源系统复杂,有些系统是自主开发,易于维护但数据模型考虑不够全面需要持续修改优化;其次,风险管理是一个动态的过程,比如关键风险指标就需要进行日常维护调整,其计算逻辑口径与来源也相应随之变化。最后,随着公司业务规模增大和业务复杂度提升,计算规则与数据量会产生变化。一些实力较强的保险公司已经建立了全公司层级的数据平台或数据仓库,并逐步将全公司所有数据接入。不仅为风险管理使用目的服务,也能更好地将风险信息整合进其他的数据主题。
从功能来看,除了满足“偿二代”的功能要求,定期监控分析七大类风险的关键风险指标也非常必要。很多保险公司都希望在系统中实现整合的操作风险、内控与合规管理,但是很多保险公司目前还没有建立成熟的整合管理流程,也就很难结合以往经验,明确自己的功能需求,往往造成无法准确提出开发需求,设计上也缺乏前瞻性,导致系统化效果不理想或开发延期。
从管理和使用来看,首要解决能用,再解决愿用,最后解决好用。系统再智能,人还是最终的使用者。有些保险公司忽略了用户的沟通和培训,建设了系统却难以推广和使用。此外,也需要在系统的自动化与用户的操作习惯上进行平衡,越是“聪明”的系统,普通用户使用简便,系统管理员和高级用户的操作量就大大增加,所以一些使用频率低的功能,可以考虑线上线下结合的方式,对于使用频率高的功能和数据分析要求高的功能,就需要管理者增加投入。
《中国保险报》:您对保险公司的风险管理信息化的建设路径有何建议?
韩国斌:我们可以把风险管理信息划分为四个阶段:初始阶段时,信息技术力量较为薄弱,主要依赖于电子文档对风险进行管理和记录,使用简单的工具对数据进行分析;自动化管理阶段时,保险公司通过使用信息系统工具,实现风险管理流程的自动化,包括关键风险指标的监控,日常操作风险、内控与合规信息的收集等;信息整合管理阶段时,可以形成风险数据集市,再通过信息平台,将风险管理流程和风险数据进行整合;最后是风险全面智能管理阶段,将风险管理信息系统、业务系统以及外部数据进行有效整合,将风险的控制点和监测点注入各系统中,形成风险管理和业务运营的联动融合,将风险管理的关口前移到“一道防线”。