保险业内控实施助力灾备服务与业务连续管理<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

  日本大和生命保险公司的破产让越来越多的保险企业感受到美国次贷危机引发的金融 海啸 的威力。当然,受此影响的远远不止日本大和生命保险,她充其量仅仅是冰山上掉上的 一小角
  近年来,随着保险业的快速发展,国内以及全球保险业面临的风险越来越多,速度越来越快,破坏力越来越强。保险企业防范风险的责任比以往更重,任务更加艰巨。
  公司治理和内部管理是风险防范的第一道 防火墙 ,而从风险防范理念和措施而言,内控管理与灾备管理之间有很多共融、共通之处,而且,灾备项目的实施为内控管理提供了理念疏导和 IT 基础,有助于保险企业内控能力的进一步提升。
  提升保险企业内控能力
  近年来,国内保险企业在快速发展的同时,对保险产品开发、市场渠道拓展、营销模式创新等方面进行了许多大胆的尝试,在防范和化解其可能衍生的风险方面也做了很多工作。但是,部分保险企业在业务扩张、快速发展的同时,忽略了内控管理的建设,从而导致了一些违规违法问题的出现。
  为了防范和及早发现经营风险,避免或减少可能遭受的经营损失,在保证企业稳定、健康、快速发展的同时,保险企业的经营决策者们应该认真制定和切实执行内控管理。首先,保险企业应建立高效的风险管理机制,以风险管理为核心,严格控制经营风险,保证业务收益的稳定,满足被保险人日益增长的保险需求 ; 其次,保险企业应运用新技术、新方法对风险进行科学预测,对可能面临的经营风险进行控制和管理 ; 三是完善风险监控机制,建立科学的风险监测反馈系统 ; 四是完善公司内部控制管理制度,用制度管人、管机构、管业务、管经营,并接受保险监管部门的指导和检查。
  在内控管理方面,保监会以及相关监管机构非常重视,并制定了内控规范: 2008 6 月底,保监会联合财政部、证监会、审计署、银监会联合发布的《企业内部控制基本规范》。它的出台和实施有助于保险企业防止和管理风险,提高运营的效率和效果,确保财务报告的可靠性,提高企业实现战略目标的能力,并维护被保险人的合法权益。
   2008 9 月,保监会还发布了《关于向保监会派出机构报送保险公司分支机构内部审计报告有关事项的通知》,进一步明确了保险公司分支机构内部审计报告报送制度的相关要求,加强对保险公司的内控管理。
  结合这些内控管理规范和通知纲领及内容,笔者以为,建立健全保险企业内控管理至少应考虑以下几项基本要素:
   Ø 内部环境:主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策等。
   Ø 风险评估:风险评估是企业内控实施的重要环节,主要包括目标设定、风险识别、风险分析与风险应对。
   Ø 内部控制:内部控制是根据风险评估的结果,结合风险应对策略所采取的确保内控目标得以实施的手段和方法。如:职责分工控制、预算控制、成本控制等。
   Ø 信息沟通:信息沟通是内控实施的重要条件,主要包括信息的收集机制及企业内外部的沟通机制。
   Ø 监督检查:监督检查是内控实施的重要保证,针对内控的某一方面进行监督检查与评估,并形成报告,提出改进的有效建议。
  灾备与内控理念殊途同归
  灾备对保险企业并不陌生,包括中国人寿、中国平安、中英人寿、丰泰保险等保险企业都建立、健全了灾备建设。简单来说,灾备建设水平和范畴可以分为信息系统灾难恢复 ( IT 备份与恢复 ) 、业务连续规划 (BCP) 、业务连续管理 (BCM) 三部分。相对而言,目前,保险企业在信息系统灾难恢复层面付出的努力和精力相对较多,对业务连续规划和业务连续性管理建设相对较弱。当然,也有少部分保险企业已经进入业务连续规划阶段,比如,中英人寿在 2007 年上半年就开始进行 BCP 建设,在 GDS 万国数据的帮助下,目前,中英人寿已建成公司整体的 BCP 预案,涵括了应急响应和灾难恢复和策略、通知响应流程以及人员和资源要求等等。
  保险企业要想真正做到 7x24 小时业务连续,最基础的应该是进行信息系统的备份和恢复。在这个基础上,如果考虑到灾备所需要的各种恢复资源,考虑到对这些资源的合理利用、管理,考虑到整个灾难恢复的流程,就构建了一个灾难恢复、规划体系。在这个基础上,如果考虑到整个组织所面临的风险,所受到的影响以及要进行灾难恢复时,整个人员、组织架构、保障体系,恢复的策略、目标的话,就构建了业务连续性计划。在这个基础上,如果考虑到对紧急事件应急的处置、响应,对企业和部门在这种紧急情况下的危机管理等,就是业务连续性管理。
  对灾备建设,近年来,政府监管机构也非常重视, 2005 年,中央办公厅、人民银行、证监会、保监会、国税总局、海关总署、铁道部、民航总局、国家电网公司等重点行业及北京、上海、广东三地政府代表就共同制定了《重要信息系统灾难恢复指南》, 2007 6 月,该指南正式成为国家标准 (GB/T 20988-2007 《信息系统灾难恢复规范》 ) 2008 3 月底,保监会也发布了《保险业信息系统灾难恢复管理指引》,与此前银监会、证监会以及其它主管行业机构所颁发的相关灾难备份、恢复法律、法规所不同的是,此次,保监会所印发的《指引》第一次对保险机构信息系统灾备建设进度和灾难恢复能力进行了明确要求 —— 保险机构应统筹规划信息系统灾难恢复工作,自《指引》生效起五年内至少达到《指引》规定的最低灾难恢复能力等级要求。
  就项目实施而言,内控管理与灾备管理面临的问题有很多共通之处:比如,在内部环境方面,都面临如何明确各分支机构职责分工 ? 在风险分析方面,均需研究究竟面对何种风险,各种风险对企业的影响是什么 ? 在内部控制方面,内控管理是在 IT 基础上实施的,所以需要面对如何通过 IT 治理达到公司内控治理,基本规范与保险业怎样融合 ? 基本规范与 IT 之间的关系如何协调,如何导入基本规范 ? 等等问题。
  而就灾备管理和企业内控管理内容而言,两者也有很多异曲同工之处 ( 见表 1)
基本要素
内控内容
灾备内容
内部环境
组织机构设置与权责分配、治理结构等
战略规划,明确各分支机构、各部门的分工及职责
风险评估
目标设定、风险识别、风险分析与风险应对
战略规划,明确目标 风险分析 技术恢复资源分析 业务恢复资源分析 业务影响分析 业务连续策略
内部控制
职责分工控制、成本控制等
信息系统灾难恢复预案 业务灾难恢复预案 战略规划,明确各分支机构、各部门的分工及职责
信息沟通
信息的收集机制及沟通机制
应急响应计划 危机管理计划
监督检查
监督检查与评估,并形成报告,提出改进的有效建议
预案计划的维护与加强 预案计划的稽核审计 风险/脆弱性评估 基础设施评估
1 :内控管理与灾备管理内容对比
 
  灾备服务助力内控管理
  近年来,随着保险企业的快速发展,保险企业在 IT 方面的挑战越来越大: IT 系统不断升级,生产及灾备中心对基础设施的要求越来越严格 ; 业务规模也在不断增大,数据量日益增多,对服务质量的要求越来越高,要求业务系统具备高可用性,具备完备可靠的数据 / 系统备份措施等功能特性 ; 保险行业产品细化越来越深入、专业,以客户为中心的客户化理念被广泛的应用 ; 此外,数据和业务的大集中 , 使保险企业业务连续性的要求越来越高 , 数据的集中管理与灾难备份已成为保险行业信息管理的当务之急。
  从 IT 治理和灾备风险分析而言,保险企业对楼层的层高、承重、室内温度、防火防震等要求越来越高,普通的楼房已难以达到这些要求 ; 系统的业务处理速度大大减慢,系统性能降低,业务处理速度减缓,业务停顿的隐患越来越突出 ; 信息资源不断增多,在企业发生重大事件时如何进行企业公众形象的宣导,危机公关等 ; 在数据及业务集中时可能因为业务停顿造成的业务影响以及在数据大集中管理下如何应对突发事件等成为保险企业不容忽视的问题。
  这些问题正是灾备管理建设的内容 ( 见表 2)
工作内容
工作说明
灾难备份咨询分析、设计
风险分析,业务影响分析
灾难恢复策略(业务恢复策略,IT恢复策略)
技术方案设计、明确所需资源
灾难备份中心环境准备
对灾难备份中心的环境进行规划、改造(机房布局、桥架系统、配电系统、布线系统、机柜位置)
设备系统的安装、联调
设备的安装联调,网络系统、通信线路就位及联调,软件环境的就绪
应用软件的安装调试
远程数据复制系统的联调测试
在灾难备份中心建立相关的环境,对灾难备份关键技术进行验证(功能测试、性能测试、压力测试、容错测试)
灾难恢复测试
生产系统与灾备系统数据复制系统联调及测试
生产系统与灾备系统应用系统联调及切换测试
数据同步
制定灾难恢复预案和运营管理制度
双方共同完成灾难恢复预案和运营管理制度的制订
灾难备份系统演练、验收投产
灾难恢复演练及演练总结
系统的验收,系统正式投产,进入后续运营管理阶段