保监会首提“信息化监管” 保险IT影响几何

10月9日,保监会在官网就《保险机构信息化监管规定(征求意见稿)》公开征求意见,并注明截止时间为10月31日。据笔者了解,这是保监会首次提出“信息化监管”的概念。

        《保险机构信息化监管规定(征求意见稿)》的发布,意味着保险机构的信息化将在整体上纳入监管范围。多年来,保监会曾就保险业信息化下发若干通知与管理指引,特别是信息系统安全管理、灾难恢复管理,更是行业监管的重点。

       2009年12月29日,保监会曾发布《保险公司信息化工作管理指引(试行)》,从信息化组织管理与规划、基础环境与信息系统建设、安全保障与风险控制、发展环境、审计等方面对保险业信息化进行指导。而日前发布的《征求意见稿》则从信息化治理、信息系统建设与运维、基础设施建设与保障、外包管理、信息安全管理、审计等方面做出规定。

       从内容看,2009年的《指引》已经落后于保险信息化的发展。新的《保险机构信息化监管规定(征求意见稿)》更与时俱进:一方面体现为表述更专业,另一方面监管范围有所扩大,比如把外包纳入监管范围。

       主管部门的监管意见,往往会对行业应用产生较大影响。那么《保险机构信息化监管规定(征求意见稿)》的发布,将对保险业信息化及保险IT产生什么影响?笔者认为,《征求意见稿》体现出的几个动向,是保险信息化行业人士及关注保险IT的服务商需要关注的。

       1、首提“信息化监管”。作为一项“非保险业务的业务”,信息化纳入监管范畴并不意外。由于保险机构的全部业务都是线上运行,且没有实体店,保险IT建设就成为保险机构基础设施的核心所在,其信息安全、系统安全、灾备建设尤其受到监管层“关照”,因其涉及到国家金融安全。

       金融危机以来,保险业亦受到较大影响,发展增速曾连续下滑。2014年8月,保险业“新国十条”明确提出保险作为现代经济的重要产业和风险管理的基本手段,是国家金融体系和社会保障体系的重要组成部分。时间进入“十二五”末,保险行业复苏迹象明显。一方面保险对于经济发展的重要性在增强,介入深度在增加,另一方面行业发展在增速,因此,主管部门加强行业信息化管理水到渠成。

       2、明确保险IT自主(安全)可控。《征求意见稿》第三章“信息系统建设与维护”第十九条提出,“保险机构应当增强信息系统的自主研发能力。根据自身情况,信息系统开发还可以采取合作开发、定制开发和外包开发等形式”;以及在第六章“信息安全管理”第五十三条提出,“保险机构应当优先采购安全可控的硬件设备和软件产品,稳步推进安全可控产品应用;积极创造条件,提高关键业务系统的自主研发水平,不断增强保险机构信息化工作的安全可控能力。”

       可以看出,对于自主可控与安全可控,《征求意见稿》提出了一定的要求。但是,“自主可控”与“安全可控”具有较大的不同,在“棱镜门”事件背景下,以及当前中美在IT领域合作存在的角力点,一项行业政策不宜对“自主可控”做出明确规定。但这一点,预计将在保险业信息化“十三五规划”中有相对更有力度的表达。

       相比银行IT,保险IT的及时响应要求较低;同时保险业也不具备银行业的权重,故其对自主可控的敏感度相对较低。然而,保险业资产规模已达十数万亿元并将继续增长,行业的混业经营已经不可阻挡,再加上理财市场的蓬勃发展,行业在国民经济中的权重及对民众的影响将越来越大。因此,自主可控,而不是安全可控,保险业将无法绕行。

       3、坚持首席信息官制度。《征求意见稿》第二章信息化治理第十条提出,“保险机构应当设立首席信息官。首席信息官直接对信息化工作委员会主任负责,参与本机构决策。首席信息官、信息化工作委员会主任对信息化工作承担主要责任。”

       实际上,相比其他传统行业,保险业、银行业的CIO制度设立相对还是比较领先的。一般而言,保险IT部门的工作非常饱满,再加上互联网、移动互联网带来的新业务需求,IT部门往往疲于奔命,但是,做完这些,还不是真正意义上的CIO。业务、技术、战略,CIO能掌握多大话语权,这取决于CIO自己,而不是一个制度就能带来的。

       4、外包管理单独成章,显示重要性大幅提升。当前,IT外包已成为保险业信息化建设的重要形式,相比银行业的自建自维,如何对众多深度不同的IT外包活动进行有效管理,已成为保险业的共性问题。

       相对而言,银行业在IT外包管理的监管上步伐较大。保险业会否参考银行业外包监管的方式,还有待观察。但笔者预计,监管部门以某种更有力度的方式介入IT外包监管具有较大的可能性。行业信息化服务商可以以此为契机先走一步,争取主动。

       5、灾备、信息安全依然是保险信息化的核心。