400-88-27001
service@aryasec.com

从监管报表变化看保险行业信息科技风险监管趋势

来源:上海安言    发布日期:2021.01.21   点击量:




随着时代发展,保险主流用户层向年轻人群靠拢,保险业务场景趋于精细化。依托数据精算进行产品设计的保险行业对大数据、云计算、区块链等众多新兴信息技术有了更高的依赖性。


风险控制与合规一直都是保险业的两块核心工作内容,2020年银保监相继发布71项监管政策,其中5月发布的《关于开展监管数据质量专项治理工作的通知》与10月发布的《保险公司非现场监管办法(征求意见稿)》表明监管方进一步提升非现场监管效能的决心。


2021年伊始,银保监向各保险从业单位下发了修订后的新版信息科技非现场监管报表。新版监管报表整体框架内容与前一版相比有所精简,由各领域详细统计的调研方式转变为以“信息科技”为中心要点,从科技治理顶层架构出发、通过科技风险为抓手对各控制点进行整理梳理。此次监管报表的调整顺应了保险科技的发展方向,同时也反应出了监管对保险业信息科技管理的重视。而无论是信息科技治理,还是信息科技风险,都是银行业近年来科技管理的重点内容。更新后的监管报表主要涵盖以下内容(见表一),标示着保险业科技监管正一步步向银行监管要求靠拢。


本文将针对新版监管报表的信息科技监管重点内容进行分析,向大家展示保险业科技监管新趋势。


一、信息科技治理




新版监管报表中将信息科技治理分为两块内容:信息科技年度报告与信息科技治理情况。


1、信息科技年度报告


以信息科技规划为首,重大项目管理、风险管理、新技术与下年度科技规划为辅,整体构建了从长期宏观规划至逐年落实跟进的战略规划机制,要求各单位在信息科技领域有目标、有方向的进行相关工作的展开,并实时进行成效跟进。


2、信息科技治理情况


监管要求相关单位设立信息工作的专职管理委员会,并设立首席信息官进行信息科技工作的专项管理。规范信息科技工作,明确各部门要求,加强首席信息官行为约束,推进信息科技战略规划的落地。


二、信息科技风险管理





信息科技风险作为全面风险的重要组成部分,新版监管报表参考《商业银行信息科技风险管理指引》并在此基础上结合保险业现状,将风险评估关注领域设立为信息科技治理、信息科技运行维护、业务连续性管理、信息科技外包、信息安全管理、信息系统开发测试及其他7块内容,通过风险控制域划定了信息科技管理内容。


1、风险管理策略


信息科技风险要求各企业制定全面的信息科技风险管理策略,建立持续的信息科技风险计量和监测机制。


2、风险评估及处置


风险评估阶段,监管鼓励各单位开展内外部专项或全面评估。在处置阶段明确了向高层或风险管理委员会上报的内容,侧面反映出监管对科技风险的重视程度。新版监管报表中新增风险问责机制,进一步完善了机制,形成风险管理闭环,强化风险责任担当意识。


3、风险监测


此次更新除去基础科技风险监测内容外,特别关注了新技术发展与应用带来的风险与科技项目中的外包风险。同样表达了监管对保险业引入新技术带动产业发展的期望,以及对外包管理的持续关注。


三、信息科技外包管理





新版监管报表中提出了信息科技外包治理的概念,通过将外包风险管理纳入全面风险管理体系、明确信息科技外包风险主管部门、发布信息科技外包战略,搭建了外包管理整体架构,为后续具体工作实施打下基础。


2020年10月,银保监基于原银监会《银行业金融机构信息科技外包风险监管指引》和相关规范性文件的基础上,结合原保监会《保险公司信息系统安全管理指引》完成了《银行保险机构信息科技外包风险监管办法(征求意见稿)》的起草工作。作为直接干系方,新版监管报表参考《银行保险机构信息科技外包风险监管办法(征求意见稿)》中外包管理的几个控制领域,深化了科技外包管控力度。


1、外包战略


为保障科技外包与企业整体战略一致,并有效规划科技外包工作的递进深入开展,新版监管报表首次提出制定信息科技外包战略的要求,对后续外包工作制定纲领性原则,并明确相关资源建设要求。


2、外包风险


随着保险业的持续发展,出于成本控制等原因,信息科技外包比例显著提升,随之而来的外包风险控制仍是重要把控内容。除去因外包商自身能力及外包过程带来的固有风险外,新版监管报表提出了跨境外包风险、集中度风险、非驻场风险的概念,对信息科技外包的细分领域分别进行风险控制要求,保险业信息科技外包工作将迎来新的挑战。


3、外包管理


信息科技外包作为一项持续的生产活动,在准入及监控评价两个关键节点优化了管控内容。准入阶段,监管对外包商的背景调查提出了更高标准,同时明确要求各单位建立外包准入标准,以降低合作风险。对于外包监控评价,则跳出了原有的单一考核要求增加了外包过程监控,从外包员工到服务内容加强服务质量管理,提高整体外包把控能力。



四、业务连续性管理



新版监管报表参考《商业银行业务连续性管理指引》,基于保障重要业务持续运营的基本思路,建立了包含组织架构、体系制度、分析方法、工作计划、资源建设及演练在内的基础管理要求。实施差异化管理,保障重要业务的有序恢复,兼顾企业成本与效益。


1、组织架构


监管出于实际执行需求,细分为日常连续性管理组织、应急中断管理组织与业务连续性管理部门。明确各部门在不同状态下的工作职责,与日常工作内容相结合,落实业务连续性保障。


2、体系制度


根据《商业银行业务连续性管理指引》要求分为业务影响分析、连续性计划、应急演练管理三个组成部分,满足业务连续性日常工作到应急处置的基本执行要求。


3、业务影响分析


基于识别重要业务的原则,监管目前要求企业明确重要业务恢复指标,并建立业务恢复策略。目前监管对各单位提出了基础业务连续性框架构建要求,暂未对业务恢复策略进行进一步内容要求。


4、业务连续性计划与资源建设方面


对识别出的重要业务必须制定并定期回顾专项预案内容,同时需满足重要业务连续性保障的基本资源建设。


5、应急演练


应急演练管理方面,监管要求记录演练基础信息,并鼓励通过多种方式开展演练,针对不同的突发事件场景模拟可能发生的业务中断事件,增强员工对预案的熟悉程度,保障中断事件发生后的高效应急处置。




五、审计管理





审计作为日常工作的有效性检测手段,在银行风险管理体系内以“第三道防线”的身份进行合规与安全把控。


1、审计方式


新版监管报表中将审计管理分为内部审计与外部审计两种方式,同时按照类型划分为专项审计与全面审计,体现了监管对各式审计工作开展的支持。


2、审计内容


审计具体内容则在风险管控内容的基础上增加了数据中心、重要信息系统及重大信息科技事件三块内容。作为一种定期的回溯反馈手段,监管对审计内容的要求涵盖从国家安全层面出发的等级保护、企业自身问题与行业高风险领域,达成了审计工作的全面检查使命。




更多相关业务与内容,请持续关注安言Aryasec。
电话:021-62101209

邮件:mkt@aryasec.com



分享到:

相关新闻: