【摘要】BCM管理流程是企业在面临风险时的一种管理流程,一开始最基础应用在IT行业,随着银行等金融也对数据IT的需求越来越高逐渐进入金融行业,近年来保险行业面对巨大的市场风险,使得BCM顺理成章的进入保险行业。
保险企业在面临突发风险时,不仅要面对投保人大量的理赔需求,还要保证自身核心业务顺利进行。灾难发生,启动应急预案至关重要,业务连续性管理(BCM)关注的是灾难突发后企业业务恢复的能力,它是一项综合管理流程,能够让企业认识到潜在的危险,从而在灾难发生前定制业务连续性计划,提高企业对抗风险的能力。国际业务连续性学会(Business Continuity Institute,BCI)曾经做出统计,未进行业务连续性管理体系建设的企业,大约五分之二在遭受重大灾难事件后迅速倒闭,将近三分之一的企业在未来两年内无法正常运营,最终也面临倒闭。对于保险企业来说,国内大部分企业都建立了IT灾难恢复机制,但单纯的灾备具有局限性,只能针对数据和IT系统进行保障,而保险企业对抗风险的关键在于管理。
与风险为舞的盈利机构
随着IT系统、大数据在各行各业起到越来越重要的作用,几乎所有企业都面临风险管理的问题,但是保险企业面临的压力更为突出。
保险公司的本质是经营风险和帮助他人管理风险的企业,保险行业也是一个非常特殊的行业,保费收入与对应的支出有十年以上甚至几十年的的时间差,保险公司当年的财务报表利润是当年的实际支出按照一定的精算规则估算而得,保险企业最终的真正盈利要在经过若干年实际支出发生后才能真实的体现出来。因此保险企业的盈利模式并非类似一般企业收入减去各项成本的模式,特殊性在于收入和成本都具备不确定性和风险性。
近十年,全球性灾难频发,给保险行业带来了更大的不确定性,加之美国金融危机对全球的影响,给保险行业的冲击更大。保险企业为求得更好的发展,将保险与银行理财等产品相结合,推出了具有收益性的保险理财产品,但是一旦缺乏有力的管理,问题也接踵而来。2013年8月,我国某保险代理公司女高管携款5亿元潜逃斐济,最终被抓获回国。据业内人士披露,这家代理公司采用较为激进的方式,向保险公司收取高额首期保费佣金,用这部分佣金向投保人提供额外收益以期吸引更多新保单销售,但最终导致资金链断裂。无论如何,事件都折射出公司在内控管理方面存在巨大疏漏,从一个侧面也反映出操作风险监管的缺失。
但是纵观我国保险行业这几十年的发展,总体走向比较健康,这其中一个主要原因是我国保险行业还是处于政府的有力监管下,而并非完全市场化运作。这种监管具有保护作用,同时也有制约作用。保监会在2008年和2011年分别颁布了《保险业信息系统灾难恢复管理指引》和《保险公司信息系统安全管理指引(试行)》,目的就是规范并指导我国保险业信息系统灾难恢复工作,提高防范灾难风险的能力。
随着我国市场化程度不断加深,政府对保险行业的约束也会逐渐放开,在这种情况下,保险公司如何加强内部治理、规避各类风险,,如何更加审慎的经营,都成了我国保险企业必须面对的问题。
先IT,后BCM
在金融和保险行业,每年发生在IT系统上的事故不在少数,实际上公开的事故数据并不能如实反映实际情况,很多小事故并没有全部公布。其中几乎每年都会发生严重的停机事件,越是大型的保险公司和金融机构,越容易发生严重的IT事故。大型金融机构业务覆盖广,如果达到跨国级别,在全球其他地方延伸的供应链和海外市场更是难以控制其风险。一旦出现风险问题没有及时处理好,对其业务和声誉,包括在客户和监管部门心中都会产生较大负面影响。
对于IT灾难备份和恢复体系,随着IT技术不断发展,目前保险企业都对其足够重视,几乎所有大型保险公司和部分中、小保险公司都建立了相对完整的IT灾备机制,用以抵抗IT系统方面的宕机、停电、黑客入侵等问题。但是风险管理涉及的内容非常多,IT的管理和灾备只是保险公司风险控制的一部分,远不止我们看到的系统停机一个问题。很多事故并不是IT技术层面上的问题,而症结在于管理问题。
在银行领域,某银行曾经出现过一次IT系统中断事故,银行的灾备系统已经非常完善,
但最终导致了几个小时的系统延误,造成了不小的业务损失。事后经过调查,IT技术已经不是问题所在,完善的IT灾备基础设施一切就绪,但是在切换灾备数据中心上出现了问题:迟迟没有人决策。由于涉及到切换风险和各类资源协调问题,一旦决策失败,责任重大。由于该银行没有进行业务连续性管理体系的建设,没有建立完整的决策体系案,同样也从来没有进行过灾难演练,所以在灾难面前不知所措。按照国外的经验,一旦具备完善的业务连续性管理体系,其管理者的授权会非常明确,一个地区、一个层级出现问题,负责这个地区和层级的负责人会对此全权负责,企业其他部门也会对其进行支持,加上定期进行灾难演练,真的事故一旦发生,从管理层很快会做出决策。
另一方面,自然灾害是一个客观存在的风险:地震、台风、火灾、禽流感、突发暴力事件等形式各异的自然、人为事件都会对保险企业造成很大的影响。由于保险公司在灾难来临时要进全力履行社会责任和义务,所以保险企业必需要有防范各种风险的能力,那么在已有的IT灾备系统上建立业务连续性管理体系非常必要,否则连自身都难保,如何去替别人分忧呢?
灾难发生后,完善的业务联系性管理体系能够帮助保险公司迅速反应,选择合适的灾难恢复策略和应急预案,在确保自身人员和营业场所安全的情况下,在今可能短的时间内向在保企业和投保人提供快速的理赔服务,履行保险公司社会职责;迅速建立临时应急中心,将受灾地区的办公点迁移到临时应急中心,利用互联网和移动通信手段随时进行应急业务处理和应急指挥沟通。同时保险公司内部由于依托完善BCM体系和平时定期演练,在部门配合方面能做到够迅速响应:财务部、渠道部门、运营部、信息技术部门等能够及时进入紧急状态,并由专人负责决策,对前线救灾一线提供支持,保障在黄金救援时间内不出任何问题。
BCM意识决定企业发展
不难看出,业务连续性管理(BCM)是保险公司不可或缺的一项综合管理体系,对保险公司的“自救”与“施救”具有决定性影响。业务连续性管理能够保障信息系统基础架构和关键业务运作人员、资源及其管理的快速恢复和持续运营。在保险企业中,业务连续性管理的每一个步骤都至关重要:风险分析、业务影响分析、IT系统分析、紧急预案的制定和选择、应急预案的演练,甚至包括后期通过不断演练而对预案的修改工作,每一个阶段都是关键,如果没有平时的演练,在灾难面前做到快速响应几乎不可能。
保险企业的管理层具是否具有BCM意识,是否把风险管理和业务连续性管理提升到保险企业的战略层面,是决定保险企业能否健康发展和运作的关键。中金数据系统有限公司致力帮助我国保险企业建立完善的业务连续性管理体系,是国内较早给国有大型金融机构实施内部管理系统的方案商。早在2006年,中金就为一家地区级金融机构提供了业务连续性体系建设咨询服服务。而在2008年,中金数据为一家全国性大型国有商业银行做了相关的灾备管理系统,使这家银行机构满足“巴塞尔?II协议”中的相关规定。在近5年时间内,中金数据也帮助我国众多保险机构建立灾难恢复体系,包括泰康人寿、新华人寿、合众人寿、安邦保险、信诚人寿、新光海航等保险机构,也不断影响着我国金融行业对业务连续性管理的认识。此外,中金数据这些年在业务连续性管理方面总结经验,不断创新,推出了国内唯一自主研发的CeBCM3.0业务连续性管理软件,把业务连续性管理集成为一套可视化、流程化的桌面管理系统,整合了业务连续性管理所需要的资源,使用过这套软件的金融机构给予很高评价。
慧择提示:可以预见,未来一段时间内,由于全球环境复杂多变和金融技术和手段的不断革新,保险企业在业务连续性管理体系建设方面的主动意识会迅速加强,其需求在未来会有爆发式增长。
保险企业在面临突发风险时,不仅要面对投保人大量的理赔需求,还要保证自身核心业务顺利进行。灾难发生,启动应急预案至关重要,业务连续性管理(BCM)关注的是灾难突发后企业业务恢复的能力,它是一项综合管理流程,能够让企业认识到潜在的危险,从而在灾难发生前定制业务连续性计划,提高企业对抗风险的能力。国际业务连续性学会(Business Continuity Institute,BCI)曾经做出统计,未进行业务连续性管理体系建设的企业,大约五分之二在遭受重大灾难事件后迅速倒闭,将近三分之一的企业在未来两年内无法正常运营,最终也面临倒闭。对于保险企业来说,国内大部分企业都建立了IT灾难恢复机制,但单纯的灾备具有局限性,只能针对数据和IT系统进行保障,而保险企业对抗风险的关键在于管理。
与风险为舞的盈利机构
随着IT系统、大数据在各行各业起到越来越重要的作用,几乎所有企业都面临风险管理的问题,但是保险企业面临的压力更为突出。
保险公司的本质是经营风险和帮助他人管理风险的企业,保险行业也是一个非常特殊的行业,保费收入与对应的支出有十年以上甚至几十年的的时间差,保险公司当年的财务报表利润是当年的实际支出按照一定的精算规则估算而得,保险企业最终的真正盈利要在经过若干年实际支出发生后才能真实的体现出来。因此保险企业的盈利模式并非类似一般企业收入减去各项成本的模式,特殊性在于收入和成本都具备不确定性和风险性。
近十年,全球性灾难频发,给保险行业带来了更大的不确定性,加之美国金融危机对全球的影响,给保险行业的冲击更大。保险企业为求得更好的发展,将保险与银行理财等产品相结合,推出了具有收益性的保险理财产品,但是一旦缺乏有力的管理,问题也接踵而来。2013年8月,我国某保险代理公司女高管携款5亿元潜逃斐济,最终被抓获回国。据业内人士披露,这家代理公司采用较为激进的方式,向保险公司收取高额首期保费佣金,用这部分佣金向投保人提供额外收益以期吸引更多新保单销售,但最终导致资金链断裂。无论如何,事件都折射出公司在内控管理方面存在巨大疏漏,从一个侧面也反映出操作风险监管的缺失。
但是纵观我国保险行业这几十年的发展,总体走向比较健康,这其中一个主要原因是我国保险行业还是处于政府的有力监管下,而并非完全市场化运作。这种监管具有保护作用,同时也有制约作用。保监会在2008年和2011年分别颁布了《保险业信息系统灾难恢复管理指引》和《保险公司信息系统安全管理指引(试行)》,目的就是规范并指导我国保险业信息系统灾难恢复工作,提高防范灾难风险的能力。
随着我国市场化程度不断加深,政府对保险行业的约束也会逐渐放开,在这种情况下,保险公司如何加强内部治理、规避各类风险,,如何更加审慎的经营,都成了我国保险企业必须面对的问题。
先IT,后BCM
在金融和保险行业,每年发生在IT系统上的事故不在少数,实际上公开的事故数据并不能如实反映实际情况,很多小事故并没有全部公布。其中几乎每年都会发生严重的停机事件,越是大型的保险公司和金融机构,越容易发生严重的IT事故。大型金融机构业务覆盖广,如果达到跨国级别,在全球其他地方延伸的供应链和海外市场更是难以控制其风险。一旦出现风险问题没有及时处理好,对其业务和声誉,包括在客户和监管部门心中都会产生较大负面影响。
对于IT灾难备份和恢复体系,随着IT技术不断发展,目前保险企业都对其足够重视,几乎所有大型保险公司和部分中、小保险公司都建立了相对完整的IT灾备机制,用以抵抗IT系统方面的宕机、停电、黑客入侵等问题。但是风险管理涉及的内容非常多,IT的管理和灾备只是保险公司风险控制的一部分,远不止我们看到的系统停机一个问题。很多事故并不是IT技术层面上的问题,而症结在于管理问题。
在银行领域,某银行曾经出现过一次IT系统中断事故,银行的灾备系统已经非常完善,
但最终导致了几个小时的系统延误,造成了不小的业务损失。事后经过调查,IT技术已经不是问题所在,完善的IT灾备基础设施一切就绪,但是在切换灾备数据中心上出现了问题:迟迟没有人决策。由于涉及到切换风险和各类资源协调问题,一旦决策失败,责任重大。由于该银行没有进行业务连续性管理体系的建设,没有建立完整的决策体系案,同样也从来没有进行过灾难演练,所以在灾难面前不知所措。按照国外的经验,一旦具备完善的业务连续性管理体系,其管理者的授权会非常明确,一个地区、一个层级出现问题,负责这个地区和层级的负责人会对此全权负责,企业其他部门也会对其进行支持,加上定期进行灾难演练,真的事故一旦发生,从管理层很快会做出决策。
另一方面,自然灾害是一个客观存在的风险:地震、台风、火灾、禽流感、突发暴力事件等形式各异的自然、人为事件都会对保险企业造成很大的影响。由于保险公司在灾难来临时要进全力履行社会责任和义务,所以保险企业必需要有防范各种风险的能力,那么在已有的IT灾备系统上建立业务连续性管理体系非常必要,否则连自身都难保,如何去替别人分忧呢?
灾难发生后,完善的业务联系性管理体系能够帮助保险公司迅速反应,选择合适的灾难恢复策略和应急预案,在确保自身人员和营业场所安全的情况下,在今可能短的时间内向在保企业和投保人提供快速的理赔服务,履行保险公司社会职责;迅速建立临时应急中心,将受灾地区的办公点迁移到临时应急中心,利用互联网和移动通信手段随时进行应急业务处理和应急指挥沟通。同时保险公司内部由于依托完善BCM体系和平时定期演练,在部门配合方面能做到够迅速响应:财务部、渠道部门、运营部、信息技术部门等能够及时进入紧急状态,并由专人负责决策,对前线救灾一线提供支持,保障在黄金救援时间内不出任何问题。
BCM意识决定企业发展
不难看出,业务连续性管理(BCM)是保险公司不可或缺的一项综合管理体系,对保险公司的“自救”与“施救”具有决定性影响。业务连续性管理能够保障信息系统基础架构和关键业务运作人员、资源及其管理的快速恢复和持续运营。在保险企业中,业务连续性管理的每一个步骤都至关重要:风险分析、业务影响分析、IT系统分析、紧急预案的制定和选择、应急预案的演练,甚至包括后期通过不断演练而对预案的修改工作,每一个阶段都是关键,如果没有平时的演练,在灾难面前做到快速响应几乎不可能。
保险企业的管理层具是否具有BCM意识,是否把风险管理和业务连续性管理提升到保险企业的战略层面,是决定保险企业能否健康发展和运作的关键。中金数据系统有限公司致力帮助我国保险企业建立完善的业务连续性管理体系,是国内较早给国有大型金融机构实施内部管理系统的方案商。早在2006年,中金就为一家地区级金融机构提供了业务连续性体系建设咨询服服务。而在2008年,中金数据为一家全国性大型国有商业银行做了相关的灾备管理系统,使这家银行机构满足“巴塞尔?II协议”中的相关规定。在近5年时间内,中金数据也帮助我国众多保险机构建立灾难恢复体系,包括泰康人寿、新华人寿、合众人寿、安邦保险、信诚人寿、新光海航等保险机构,也不断影响着我国金融行业对业务连续性管理的认识。此外,中金数据这些年在业务连续性管理方面总结经验,不断创新,推出了国内唯一自主研发的CeBCM3.0业务连续性管理软件,把业务连续性管理集成为一套可视化、流程化的桌面管理系统,整合了业务连续性管理所需要的资源,使用过这套软件的金融机构给予很高评价。
慧择提示:可以预见,未来一段时间内,由于全球环境复杂多变和金融技术和手段的不断革新,保险企业在业务连续性管理体系建设方面的主动意识会迅速加强,其需求在未来会有爆发式增长。