作者| 石小可「永诚保险资产管理有限公司」
文章|《中国保险》2022年第5期
党的十八届五中全会确定网信事业代表新的生产力发展方向。日新月异的信息技术对社会经济各个方面产生了深远的影响。网络的开放性和计算机系统的不完善性带来了许多病毒、漏洞,乃至被人趁隙攻击,信息化风险管理面临严峻的挑战。保险行业是信息数据密集的行业,高度依赖信息技术,如因信息化风险事件导致系统中断,会局部影响或系统性严重影响其业务连续性运营、经营管理和市场竞争能力,进而可能会影响客户的交易意愿选择与个人隐私,乃至国计民生的数据安全或社会安全稳定。健全、筑牢信息化风险管理防线即全面加强信息化风险管理,降低信息化故障发生概率,及时准确处置信息化事件,确保业务运营不中断,对防范化解重大风险具有重要意义。
相关定义
1.风险管理三道防线
我国保险机构风险管理三道防线基本参考了美国反欺诈财务报告委员会(COSO)颁布的2017版企业风险管理框架(ERM)所规定的三道防线之概念,即相关业务部门为第一道防线,风险管理部等为第二道防线,稽核部门为第三道防线。
2.信息化风险
信息化风险最新定义是指一个组织在营运管理过程中,使用或依赖互联互通等信息科技时,因管理不善、专业技术能力所限、内外部故意和或无意攻击源、自然灾害、意外事故、外部运营环境等因素所导致的技术缺陷或漏洞、设施与设备毁坏、管理与决策失误等,可能会引发与原定预期目标的不利偏差、不确定性和不安全性等。
3.信息安全风险
信息安全风险是指在信息化建设中,各类应用系统及其赖以运行的基础网络、处理的数据和信息,由于可能存在的软硬件缺陷、系统集成缺陷,以及信息安全管理中潜在的薄弱环节等,而导致的信息资产的机密性、可用性和完整性被破坏并带来损失的风险或不同程度的安全不确定性风险。涵盖物理环境、网络、主机系统、内容、桌面系统、数据、应用、存储、灾备、人员等诸多方面。信息安全风险是信息化风险的一个最重要子集。
4.信息化风险管理
信息化风险管理是指根据信息化治理的目标,通过管理机制、技术工具等,将事前预防、事中控制和事后分析有机结合,实现对信息化风险的有效管控。其目标是既要推进创新发展,又要实现信息系统安全运行,进而实现业务连续性管理。信息化风险管理全流程包括风险排查、风险识别、风险评估、风险防控(运行监控、应急处置、剩余风险评估与处置)、分析改进(绩效评价、问题整改、策略选择)等。信息安全管理本质属于信息化风险管理。
信息化风险管理五道防线及其内涵
根据前述相关定义,需要重构保险机构信息化风险管理防线。
1.一道防线(Risk Owner)
信息化风险管理的第一道防线包括信息技术的业务部门及其用户部门。业务部门是指一个组织中直接承担信息化规划预算、系统建设、运行管理、技术创新等技术管理与业务的部门,用户部门是指该组织中应用信息系统开展工作的所有部门,所以信息技术的业务部门也是用户部门,具有双重角色。从风险管理防线设立之目的来说,这里的用户部门更多的是前台业务部门和高度依赖信息技术的一些业务支持部门。
2.一点五道防线(Risk Security)
随着信息化风险挑战日益严峻,信息安全管理日益被重视,原先融合在信息技术业务部门的信息安全职能纷纷独立出来,在风险管理部之外再增设信息安全部门。该部门并不直接从事信息化建设工作,而是独立于信息技术业务部门,统筹协调信息安全管理工作,与第一道防线关系较为密切,但又属于第二道防线性质,故将介于第一、二道防线之间的信息安全另列为第一点五道防线,使其更能体现自身的工作性质。
3.二道防线(Risk Management)
2017版的COSO之ERM认为该防线是以风险管理部门牵头的所有支持、协助业务第一道防线进行风险管理的职能部门,包括法务、合规、财务、人力、质量管理等。
风险管理部门应该牵头开展、督促风险管理及其每一个流程环节的落实,负责风险管理专业技术、工具和输出,一些年度重大的、需跨部门的沟通协调,以及无明确主责部门风险的管理。风险管理部不一定精通业务或信息化工作,其职能更多体现在组织、协调、支持和配合方面,帮助业务部门一起管控好信息化风险。
4.三道防线(Risk Assurance)
第三道防线的职能由独立的审计部门承担。
5.四道防线(Risk Accountability)
信息化运营管理、采购与决策较多,可能会存在腐败、丢失、盘亏和决策浪费等风险。信息化是保险机构创新的重要载体,有创新必有失败。为此要按照创新容错机制和追责问责机制,对故意或疏忽导致信息化故障事件并造成损失的,或者管理决策导致腐败、浪费或损失的责任人进行追责问责,这是防范信息化风险最为有效的管理举措之一。所以纪检和监察合并构成信息化风险的第四道防线。只有通过问责追责,才能强化责任担当,较好地防范信息化风险、故障事件的发生。
五道防线存在的主要问题
1.全员信息化风险管理意识淡薄
第一道防线对信息系统日常运行、技术创新所致的风险不甚重视;第一点五道防线对自身风险管理的工作性质不甚清楚,全流程的信息安全管理偏弱;第二道防线往往被认为只有风险管理部门,其他支持部门的信息化风险管理意识和职能较为淡薄;第三道防线重事后发现问题,轻源头防范与后续审计,一谈起风险管理,认为这是风险管理部门的
职责。
2.一道防线风险管理职能弱化
信息化风险的源头在第一道防线,所以研发和运维阶段的信息化风险管理的长效机制和工具是最为有效的,但因缺少相应的编制岗位,目前普遍存在重建设、轻风险管理、轻安全的现象。
3.一点五道防线技术力量不强
信息安全部的设立时间大多不长,有的保险机构至今没有设立,合格的各类信息安全风险管理专业技术人员偏少,专业技术不强,信息安全事件研判能力有限,信息安全的抗攻击、防渗透能力较弱,很难抵御有组织、有预谋的技术攻击。如果没有信息安全部门或信息安全职能合并在信息技术业务部门,则该防线作用就会弱化。
4.信息化风险管理复合型人才缺乏
如前所述,第一点五道防线和第二道防线的专业团队大多没有风险管理或信息技术的背景,让其从事或牵头信息化风险管理,有点勉为其难。稽核部门专业团队大多为财务审计背景,如此开展信息化审计,有点盲人摸象了。
5.信息化风险管理投入严重不足
我国保险市场竞争十分激烈,较多中小保险公司处于盈亏平衡的边缘或者亏损状态,信息化投入尽可能节省,导致的后果有三:一是前四道防线的信息化风控编制或岗位不足;二是信息安全“三同步”滞后,信息安全风险管理的信息化建设滞后于信息化建设;三是信息安全设备与技术工具捉襟见肘,这些几乎是保险机构存在的普遍现象。
6.第三道防线作用尚未充分发挥
保险机构的稽核部门大多侧重于信息化审计,专项后续审计少,整改是否到位似乎与己无关。保险集团大多成立独立的稽核中心,第三道防线没有全面融入子公司的信息化风险管理,尚未充分发挥其应有的作用。
7.监督制约缺失
麦肯锡的一项报告显示,金融机构信息化投入和采购决策存在浪费,信息化创新最终受益的主要是消费者,自身受益不大,却消耗了部分利润,这不是创新的初衷。保险机构投入资金用于开展数字化探索,通过合作和购买服务进行转型,能多大程度提升效率和效益有待考量。统计分析研究发现,知识和技术转化为生产力并非想像中那么有效,而是产生了决策浪费,乃至腐败等问题。这说明信息化管理决策、绩效考核还是存在一些问题的,合规和监察的监督制约作用没有充分发挥。
五道防线的建设
针对上述问题,保险机构信息化风险管理五道防线建设采取如下举措。
1.改善保险机构生存环境
监管部门要提高保险公司及其股东准入门槛,强化偿付能力监管,确保保险机构有足够的资本实力。对准公共保险产品,要比照银行采用基准利率方式,以近三年精算定价的平均价为基准费率,在规定的幅度内只能上浮,避免低价竞争,保证微利或不亏损即可,保险机构要有足够的资本和一定的盈余,强化五道防线的建设,提升信息化风险管理水平,实现可持续发展。
2.加强顶层重视与设计
董事会与管理层要充分重视信息化风险管理和信息安全管理的重要性。主要做好四个方面的工作:一是制定信息化风险管理(信息安全管理)规划,全面落实“三同步”;二是在确定信息化投入占比业务收入的同时,也要制定信息安全投入在信息化投入中的占比,加大在信息安全技术、设备和基础设施等方面的投入;三是健全信息化风险管理五道防线的人才配备;四是制定信息化风险管理的绩效考核办法和追责问责机制。
3.建立健全防线协同管理机制
一是保险机构可在信息化委员会下设信息安全专业委员会,同时要设立信息安全部门。风险管理委员会下设信息化风险管理专业委员会,在风险管理部下设信息化风险管理科室。二是完善集中采购管理规定,采购过程要有合规和监察岗位介入审核和监督;取消信息化集中采购的最低价中标机制,按照技术软件和服务能力的性价比确定中标对象。三是建立前四道防线的协调机制,明确风险管理部负责整体的信息化风险管理,信息安全部门需要在风险管理与合规部的统筹下,专门负责信息安全工作。保险集团信息化审计如由稽核中心负责,应建立其全面融入子公司信息化风险管理的工作机制。确保信息化风险管理一盘棋,将信息安全风险管理的需求贯穿于整个信息系统的全生命周期。从以被动的响应防御、特征检测转向以攻防并重的主动防御、行为分析和情报驱动的集体协同防御。
4.加强复合型人才的培养
制定信息化风险管理各道防线相关岗位的复合型人才培养目标与计划,以满足信息化建设与风险管理的需要。要鼓励相关人员参加信息安全管理、审计等相关资格考试与认证。通过各类专业培训,全面提高包括管理层在内的全员信息化风险管理意识、信息安全管理的专业能力。
5.强化前四道防线信息化建设
(1)第一道防线信息化建设
在日常监控方面,一是进行全面的数据采集,覆盖服务器硬件、存储、网络、操作系统、中间件、数据库等信息技术组件,全面掌握信息系统运行趋势,方可精确定位信息技术组件问题,同时通过业务模型分析提取有效监控指标,从业务可用性和运行质量的视角发现影响业务正常运行的系统隐患。此外还需要对具体业务从发起端到结束端进行全过程的监控,精确定位应用系统故障。二是要对海量的原始监控数据进行解析和建模计算,从而形成告警信息,并及时通知到相应的运维人员。三是通过预定义规则及专家经验建立故障树等进行关联和影响性分析,确保运维人员能从大量的警告信息中,准确定位故障根源,压缩整体故障处
理时间。
在服务和流程管理方面,一是构建信息化服务量化管理的度量指标和模型,对信息化服务管理过程进行预测与监控,以便进行数理统计分析,及时发现原因并采取有效的纠正措施。二是应用流程化技术,对运维等服务管理的各项活动进行梳理,形成大量标准化流程;采用信息化技术实现运维作业和工作流的自动化。
自动化控制方面,信息系统运维优化路径依赖于智能化运维手段的应用,要根据运维智能化的需要,在系统开发时加以嵌入,配套运维组织优化,缩短管理链条,将运维流程标准化,运用新的方法和技术,有效实现运维管理的自动化和智能化。
(2)第一点五道防线信息化建设
信息安全管理的信息化需要建立信息安全基本配置标准与指标体系监控机制,搭建集中的信息安全管理平台(如图1),实现态势感知、入侵监测、漏洞/病毒检测、异常操作监测等功能,保障信息技术环境的安全可靠。
随着技术的发展,人工智能思想、技术、方法等理论在信息安全领域得到越来越广泛的探索应用,在早期检测、预测分析、主动防护、加密、数码保护和认证、多因素身份认证等策略配置方面所发挥的作用越来越大。借助人工智能技术等,可进一步探索构建智能化的运行安全防御体系。
(3)第二道防线信息化建设
信息化风险管理要率先示范建设信息化风险管理系统(如图2),与风险管理信息系统和操作风险管理系统对接,成为全面风险管理体系中的重要一环。
随着信息化的深度应用,半自动半手工的信息化风险管理模块将逐渐无法满足信息技术风险瞬息万变的要求,为此应根据事前预防和事中监测情况,建立自适应的信息化风险智能感知模型、持续监控和风险分析系统。
(4)第三道防线信息化建设
要创新信息化审计的工具和方法,建立信息化审计的管理系统和审计系统。以核保核赔系统审计为例,要实现通过审计系统对业务进行审计,审计人员参与系统的立项、需求分析、设计开发和上线验收等工作。在系统中,应设置审计接口,记录审计轨迹,由计算机自动记录审计线索,对于修改与删除的操作,应在系统中留下可追溯的记录。在对系统进行验收的过程中,除评价系统是否达到了设计目标,是否满足需求外,还需强调系统的可审计性,使系统投产后就有相应的审计系统投
产运行。
结语
信息化风险管理人人有责,保险机构必须树牢全员信息化风险管理责任意识;建立安全使用、合规操作、协调配合、积极防御、综合防范的工作机制,全面筑牢信息化风险管理五道防线,建立既分工明确又相互合作的协同机制,提升信息化风险管理能力,降低信息化故障发生概率,及时准确处置信息化事件,确保业务运营不中断,对防范化解重大金融风险具有重要意义。
