文章
数字韧性,保险公司准备好了吗?
数字化时代下保险公司业务连续性管理实践
从2020年新冠疫情爆发到2021年河南郑州的暴雨,愈来愈多的人们开始思考如何及早准备,在发生突发事件时尽可能保障自己及家人的生命、财产安全,也更加愿意为自己及家人、为自己的财产买一份保险,全社会的保险意识不断增强,保险密度越来越深。在遭遇极端场景如暴雨、地震等自然灾害的时候,财产险公司的理赔数量激增,现场勘察人员等资源需要紧急调度;又比如发生一些大的公共危机如新冠疫情等时,寿险公司的线下销售渠道严重受阻,需要快速调配其他渠道的资源如互联网渠道开展业务。这些突增的保单数量或渠道数量都容易造成保险公司业务流程的突然中断,将严重影响保险救灾服务和社会责任的履行。保险公司也需要依赖完善的业务连续性管理体系(BCM),如同为自己买的“保险”, 保证在突发事件发生时,快速应对和恢复业务运营。
监管部门对业务连续性管理的定义为:“为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。”近十年来,银行业法人机构陆续建立了业务连续性管理体系,加大灾备资源投入和应急响应的有效性,而随着银保监会的合并,保险机构在业务连续性方面的合规要求也逐渐提上日程。
投保BCM“保险”的重要性:为保险公司提升日常管理,降低灾难发生后所造成的损失
1. 银保监会对银行保险机构业务连续性管理体系的统一要求
2019年,中国银行保险监督管理委员会(以下简称“银保监会”)颁布29号文《银行业保险业突发事件信息报告办法》,首次统一提出银行和保险机构都适用的突发事件信息报告办法;2020年,银保监会颁布第5号文《保险资产管理产品管理暂行办法》, 明确保险资产管理机构应当建立产品风险处置机制,制定应急预案,保证连续性运营,并及时向银保监会报告;并于同年发布了第10号文《银行保险机构应对突发事件金融服务管理办法》,明确突发事件定义、应对基本原则和组织管理制度安排,要求银行保险机构做好基本金融服务,又鼓励提供金融支持措施,同时守住风险底线。2021年,银保监会发布了第16号文《银行保险机构恢复和处置计划实施暂行办法》,强调了银行保险机构应预先建立恢复和处置计划,在重大风险发生时,能够得到快速有序地恢复与处置,从而维持关键业务和服务不中断,维护金融稳定。尤其是2021年第1号文《中国银保监会办公厅关于印发银行保险业信息科技非现场监管报表(2020版)的通知》,明确要求保险机构按照季度填报业务连续性管理相关内容。
2. 银保监会对银行保险业务连续性管理的监管力度持续加大,大额罚单随处可见
德勤对银保监会的罚单进行了持续的分析和统计,近年来包括科技风险、业务连续性相关的罚单总共112条,总金额高达136,928,300元,尤其自2017年来,罚单的数量和金额都有较大幅度提高。
从这些监管处罚的案由来看,大部分都是由于信息系统出现故障,相关的排障、应急恢复处置等工作未到位而造成较大的客户和声誉影响,进而受到监管处罚。这也让银行保险机构意识到,虽然中断事件发生频率较低,但如果没有随时处在就绪状态的连续性管理机制,靠一堆体系文档和灾备设备,是无法保证弹性恢复和业务韧性的。
3. 保险公司数字化转型虽然提高了业务效率,但系统中断带来的风险也随之加倍:
随着互联网保险的兴起和保险公司数字化转型的推进,信息技术广泛应用于保险公司的产品设计、定价、营销、承保、理赔、运营和服务等环节,逐步实现线上线下资源的重组和打通;另外,许多保险公司在理赔环节,采用无人机、卫星遥感和机器学习等高科技设备及技术进行查勘定损,无需长途跋涉进行现场风勘,反馈的数据也更加的精确,这些实践无论是在营销,客户运营和服务能力,还是在防灾干预和风险控制方面都大大提升了效率和效果,用户体验得到改善,随之由于程序错误、网络攻击、勒索软件等带来系统及业务中断风险也增大,而在这种情况下,不论是外部监管作出的处罚还是对公司内部造成的损失都是巨大的。
4. 保险机构业务连续性管理的痛点问题
相较于银行业,保险公司时效性要求较高的对客服务环节主要集中在理赔、投资等,一直以来,由于保险公司的业务连续性管理侧重于信息系统环境的灾备建设,较少通盘考虑自上而下的策略、组织架构、方法、标准和程序,随着监管要求的逐步提高,保险公司在业务连续性管理方面有较大的提升空间,主要体现在:
- 业务连续性管理闭环尚未形成:一个完整的业务连续性管理闭环是在整体的业务连续性管理策略指导下,建立完善的组织架构,设计工作方法和程序,执行业务影响分析(BIA)、风险评估(RA)、建立业务连续性计划和应急预案、对预案进行持续演练及更新工作。但是,大部分保险公司固有的业务影响分析和风险评估不是以重要业务为出发点,而是侧重于信息系统,业务连续性相关资源建设规划缺少充分的分析和输入,各类应急预案更新不及时,这些问题使得业务连续性管理处于零散状态,未形成闭环。
- 端到端的动态识别、响应和恢复机制缺失:在业务线上化和智能化,提高客户体验的大潮下,敏捷开发模式加速了信息系统的迭代,虚拟化应用增加了信息系统环境的复杂度,支撑重要业务运营的信息系统资源随时在变化,而在目前“静态”的业务连续性管理体系下,无法动态地识别和感知从业务端到科技端的业务节点,资源节点的关联关系,进而难以在发生事件时快速响应和采取合适的预案进行恢复。
- 内外部应急恢复资源调拨能力有待提高:相较于银行,保险行业的业务连续性管理覆盖更广,链条更长,所涉及的内外部资源更加复杂。例如:保险公司拥有更多的第三方公司,如理赔外包公司、车商代理、以及系统供应商等,所涉及的运营渠道也更加广泛,在发生重要业务中断时,对于连续性管理的上报机制、内外部资源调拨能力要求更高。但是,由于保险公司在应急恢复资源的盘点和规划方面都缺乏方法和程序,应急预案也缺乏针对性。
德勤服务方案
作为国际领先的风险管理咨询服务商,德勤在业务连续性体系建设方面积淀了丰富的实施经验,为多家金融机构提供了业务连续性管理咨询服务,
2021年在监管对保险公司下发新规之际,德勤充分调动各方资源,深入研究监管要求,分析保险行业的特质,结合过往对国内各家大型金融机构提供业务连续性管理咨询服务的经验,完成了国内首家保险集团的BCM咨询服务。德勤在保险行业首创性提出了从“形成管理合力、优化成本效益、提升处置能力”三个维度建立一套适用于保险公司的业务连续性管理的服务方案。聚焦保险行业业务连续性管理的特点和重点,在充分满足监管合规的前提下搭建BCM管理体系,促进保险公司各业务板块及运营各部门之间的有效协同;在成本风险平衡、收敛风险敞口和资源建设等领域优化成本效益;抓住风险处置、声誉风险控制和危机公关这几个关键节点提升处置能力。
德勤根据保险公司的痛点问题,针对其特有的业务和管理模式,形成了拥有以下特点的解决方案:
1. 德勤有效统计出了历年来监管对于各金融机构开出的罚单情况,通过数据分析结果,可以帮助保险公司有效规避容易引起监管罚款的风险。
2. 针对保险公司特有的业务和管理模式,为有效降低数字化转型过程中保险公司发生业务运营中断带来的影响,德勤的解决方案在“业务影响分析、风险评估、业务连续性计划及应急预案、演练”等重点领域有如下特点,从而形成业务连续性管理闭环,能迅速调拨内外部应急恢复资源:
- 业务影响分析:从保险产品的全生命周期来看,由于周期性较长,对不同业务流程的时效性要求差异较大,比如理赔环节对于时效性要求很高,监管对这块的时效性也有强要求,德勤针对这些时间敏感度很高的业务流程进行定制化的分析。例如:通过提取理赔过程中衡量业务收益和业务量的数据,量化分析理赔环节中断可能对公司造成的财务影响和客户影响等。同时,由于保险行业多样化的展业模式,不同业务所依赖的关键资源,除了常规的场地、设备、信息系统、渠道、人员等,众多的第三方资源如经纪代理、系统供应商、理赔外包、4S店、汽车修理厂、保单外包录入公司、保单寄送公司等,德勤的服务方案进行了全方位的梳理,保证其全面性。
- 风险评估:对于保险产品,从最初的营销到后期的理赔等,涉及众多系统,使用的人群也区分了内勤人员和外勤人员,基于这些保险公司的特征,我们对保险产品全流程操作节点涉及的系统,进行了细化分析,包括了系统本身的资源以及相关联系统资源的容错能力和容灾能力,得出明确的风险敞口,分析是否可以达到恢复目标要求。
- 业务连续性计划及应急预案:当灾难发生时,保险公司不仅需要迅速恢复自身的业务运营,还肩负着维护社会稳定的责任,降低国家和人民群众所面临的风险,因此,如何上报、如何调拨各方资源支援都成为了重点关注的问题。保险公司业务连续性计划包括了应急上报机制、应急预案、业务运营所需的资源信息等,可以帮助保险公司在出现灾难事件时,能有序的按照计划执行。
根据德勤的业务连续性管理框架,并从组织与职责、灾难管理流程、应急预案和演练、资源规划四个层级形成业务连续性管理闭环,同时完成了数字化落地,不仅将大量需要人工完成的程序化工作流程实现了自动化,并建立了各环节任务提醒机制,实现了各个核心工作环节可视化、联动性,务实地提高了业务连续性管理效率。
数字化落地方案
在此基础上,德勤目前已研发完成了业务连续性管理系统,未来可全面将业务连续性管理的咨询成果通过自动化手段落地,提高业务连续性管理的效果和效能。
- 主要功能模块:
进入主界面后,用户可以根据自身访问权限选择不同的功能模块。
- 资源节点知识图谱及应急预案:
将众多散点式业务、业务流程、渠道、系统、应用等关键信息的联系形象化展示,帮助员工一键寻找业务所对应的产品、业务流程所对应的系统、业务所涉及的渠道以及应急预案。通过知识图谱,用户可以快速、清晰地找到业务所对应的产品、业务流程、对应的系统、渠道以及应急预案等。
通过知识图谱,用户可以快速、清晰地找到业务所对应的产品、业务流程、对应的系统、渠道以及应急预案等。
- 演练大屏:
通过演练大屏,用户可以清晰地识别各个系统的状态、演练实时进度,硬件监控、实时跟踪等。
业务连续性管理作为全面风险管理中重要的一环,德勤在这一领域的丰富实践经验,将能够协助各个保险机构在满足监管合规,保障业务运营连续方面固本强基,行稳致远。