湯梁:在不同視角下對業(yè)務連續(xù)性管理的幾點觀察
作者|時任瑞士再保險北京分公司副總經(jīng)理兼首席風險官,現(xiàn)任大家人壽保險股份有限公司精算部總經(jīng)理 湯梁1
【編者按】 CRO(Chief Risk Officer),即首席風險官,該職位1993年誕生于歐美發(fā)達國家。目前,80%以上的世界性金融機構(gòu)設(shè)有該職位,我國的銀行業(yè)也率先設(shè)立了首席風險官的職位。隨著保險業(yè)“償二代”全面實施和“風險導向”監(jiān)管制度的實行,“保險姓?!笔悄壳氨kU監(jiān)管與行業(yè)發(fā)展的主基調(diào),CRO在企業(yè)中的地位和作用日益突出,逐漸被視為以價值為本的成功保險公司的支柱。 這個職位的具體職責是什么?未來,它將怎樣更好地發(fā)揮作用,助力保險企業(yè)管控自身風險,推動保險業(yè)回歸保障初心?自2018年第5期開設(shè)的“CRO說”欄目,陸續(xù)邀請國內(nèi)外保險公司CRO共同探討保險業(yè)風控模式,分享成熟風控經(jīng)驗。
2020年注定是不平凡的一年。由于新型冠狀病毒肺炎(以下簡稱新冠肺炎)的影響,我們經(jīng)歷了史上最長春節(jié)假期,社會經(jīng)濟主體受到不同程度的沖擊,生產(chǎn)和生活亟待恢復正常秩序。目前疫情尚未結(jié)束,各行各業(yè)如何在當前形勢下,最大可能地保持正常生產(chǎn)經(jīng)營活動,是一種名副其實的核心競爭力。作為風險管理的重要組成部分,業(yè)務連續(xù)性管理(Business Continuity Management, 簡稱BCM)能夠在突發(fā)事件來臨時,讓實施了BCM的社會經(jīng)濟主體可以從容面對,保持核心業(yè)務繼續(xù)運轉(zhuǎn),并將不利影響降到最低程度。 購買營業(yè)中斷保險(business interruption insurance)、關(guān)鍵人員保險(key person insurance)、網(wǎng)絡(luò)保險(cyber insurance)等保險產(chǎn)品可以作為企業(yè)BCM的一部分。然而,打鐵還需自身硬,作為提供保險產(chǎn)品的保險公司,自身的BCM做得怎么樣?保險公司做好BCM工作不但可以增強自身競爭力,而且對全社會提升防災防損意識,增加社會韌性也產(chǎn)生非常積極正面的引導作用。本文試圖從不同視角對BCM實踐進行觀察,以期提高保險行業(yè)對BCM的重視程度,并且立即著手起來加強自身BCM建設(shè)。 一、背景介紹 業(yè)務連續(xù)性管理起源于20世紀70年代的災備恢復計劃(disaster recovery planning)。當時的金融機構(gòu),例如銀行和保險公司都建設(shè)了備份站點,備份磁帶儲存在遠離主中心的地方,恢復活動主要是針對地震、火災、洪水、風暴等造成的物理破壞。80年代開始,災難恢復運營商的數(shù)目逐步增多,但所提供的服務主要集中在信息系統(tǒng)災難備份與恢復上。 “9·11”事件標志著BCM發(fā)展的一個轉(zhuǎn)折時點。在應對“9·11”事件中,摩根士丹利的表現(xiàn)堪稱經(jīng)典。當時摩根士丹利在紐約世貿(mào)中心租用了25層辦公室,是紐約世貿(mào)中心最大的租戶。在“9·11”恐怖襲擊事件中,得益于日常演練和及時疏散,公司在紐約世貿(mào)中心工作的3700名員工僅有6人死亡,其中有4人還是因為返回世貿(mào)中心開展搜救而不幸遇難。訓練有素的運營團隊撤離后步行到了22個街區(qū)之外的備用站點, 在世貿(mào)中心遭受第一次飛機撞擊后約35分鐘啟動了備用電腦,高級管理層也在45分鐘內(nèi)到達另一個備用站點并開始指揮工作。隨即公司在一個半小時內(nèi)將位于鳳凰城的信用卡電話服務中心改成了免費的急救電話中心,用于定位和搜救其3700名員工。時任公司主席和首席運營官Robert Scott有句名言:“如果你等到危機發(fā)生才著手準備去領(lǐng)導,就已經(jīng)太遲了。” “9·11”事件之后,以英國、美國、日本、新加坡等國家為代表的發(fā)達國家加快了BCM的理論研究和實踐活動,體現(xiàn)在法律法規(guī)制定和企業(yè)層面實施兩方面。國際標準化組織(International Organization for Standardization / ISO)公共安全技術(shù)委員會ISO/TC 292于2012年5月發(fā)布了ISO 22301《業(yè)務連續(xù)管理體系的準則要求》,并于同年12月發(fā)布了ISO 22313《業(yè)務連續(xù)性管理體系實施指南》。ISO 22301是BCM的國際標準,其提供了一個管理體系,適用于各種規(guī)模的組織并橫跨所有行業(yè)。中國也在2013年采用該標準并發(fā)布國家標準GB/T 30146《公共安全業(yè)務連續(xù)性管理體系要求》。 二、理論體系 BCM的內(nèi)涵一直在不斷地進化。從過去的“危機管理”(Crisis Management)、“災備恢復”(Disaster Recovery),到現(xiàn)在比較時髦的“組織韌性”(Organizational Resilience),其核心都是在描述組織機構(gòu)的應對能力。20世紀70年代的災備恢復主要著眼于數(shù)據(jù)處理,因此其管理也主要局限在信息技術(shù)部門。雖然IT系統(tǒng)仍然是當前BCM最重要的關(guān)注點之一, 但BCM已經(jīng)擴大到了整個組織機構(gòu),涵蓋業(yè)務流程、人力資源、供應鏈等,并且發(fā)展出了成熟的方法論。 根據(jù)原銀監(jiān)會2011年印發(fā)的《商業(yè)銀行業(yè)務連續(xù)性監(jiān)管指引》的定義,BCM是指“為有效應對重要業(yè)務運營中斷事件,建設(shè)應急響應、恢復機制和管理能力框架,保障重要業(yè)務持續(xù)運營的一整套管理過程,包括策略、組織架構(gòu)、方法、標準和程序”。通過BCM,組織機構(gòu)可以建立起快速高效的響應能力和強大的組織韌性,保護關(guān)鍵利益相關(guān)方的利益和聲譽,并持續(xù)創(chuàng)造價值。BCM的核心是建立一個業(yè)務連續(xù)性計劃(Business Continuity Plan / BCP),內(nèi)容包括如何在既定的期間內(nèi)繼續(xù)或恢復業(yè)務活動,以及響應破壞性事件的程序。BCM的關(guān)鍵實施流程包括以下四步2 : 第一,建立擁有特定的知識和技能的核心策劃團隊; 第二,了解組織所擁有的資源、能力、所面臨的風險,以及緊急情況下可能需要的外部資源(例如醫(yī)院、警方、供應商),并評估這些內(nèi)外部資源的可獲得性; 第三,根據(jù)可能出現(xiàn)的一系列緊急情況,設(shè)定應急響應程序以控制事態(tài)發(fā)展; 第四,將計劃整合到公司的日常運營,包括定期員工培訓、定期演練、持續(xù)改進等。 BCM應對的風險可大可小,因人而異。很多自然災害(例如地震和洪水)和人為災難(例如恐怖襲擊)時有發(fā)生,但對組織機構(gòu)產(chǎn)生最頻繁的破壞并不一定都是這些極端事件。停電、設(shè)備故障、關(guān)鍵人員損失等都存在更大的發(fā)生可能性。對于很多行業(yè),上下游供應鏈管理也是BCM的重點關(guān)注對象,例如華為在2019年5月被美國列入“實體清單”,遭遇了芯片斷貨及安卓系統(tǒng)使用限制的風險事件。由于風險處于不斷變化當中,因此風險評估必須是持續(xù)而動態(tài)進行的。業(yè)務連續(xù)性研究院(Business Continuity Institute)在2019年的一份全球調(diào)研報告3中列出了受訪者最為關(guān)注的十大風險,如表1所示。 BCM的重要性不言而喻,甚至可以毫不夸張地說,BCM不僅僅意味著業(yè)務的連續(xù)性,更關(guān)系到企業(yè)的長期生死存亡。 三、保險業(yè)的法律法規(guī)要求 絕大多數(shù)發(fā)達國家的保險監(jiān)管機構(gòu)制定了BCM的監(jiān)管規(guī)則。其出發(fā)點都是為了保護保單持有人的利益,例如持續(xù)為客戶提供保險服務,保護客戶數(shù)據(jù)隱私等,同時可以幫助政府部門應對突發(fā)事件,維護社會秩序和公共利益。 美國紐約州金融服務局(New York Department of Financial Services)要求州內(nèi)的保險公司在發(fā)生突發(fā)事件時有能力恢復關(guān)鍵業(yè)務運營,BCP經(jīng)過測試有效4。美國保險監(jiān)督官協(xié)會(National Association of Insurance Commissioners)在財務狀況檢查手冊(Financial Condition Examiners Handbook)中要求檢查人員對保險公司的業(yè)務連續(xù)性及災備恢復計劃進行檢查,并訪談保險公司的首席風險官。 英國的監(jiān)管機構(gòu)將BCM作為最重要的監(jiān)管內(nèi)容之一。英國金融行為監(jiān)管局手冊(Financial Conduct Authority Handbook)和英國審慎監(jiān)管局規(guī)章手冊(Prudential Regulation Authority Rulebook)均要求保險公司做好業(yè)務連續(xù)性的準備工作。2019年12月,英格蘭銀行、FCA和PRA聯(lián)合發(fā)布了關(guān)于銀行和保險公司運營韌性的征求意見稿5,預期在2021年下半年正式實施。 澳大利亞審慎監(jiān)管局(Australian Prudential Regulation Authority / APRA)頒布了監(jiān)管規(guī)定CPS 232《業(yè)務連續(xù)性管理》,要求保險公司建立BCM體系和年度審閱,以及定期接受內(nèi)部審計或外部專業(yè)機構(gòu)的審閱。APRA也有權(quán)要求保險公司就BCM進行外部審計,費用由保險公司自行承擔。在發(fā)生業(yè)務中斷的情況時,保險公司需要及時向APRA匯報是否對公司運營、保單持有人和公司財務狀況造成重大影響。此外,APRA還頒布了實務指南CPG 233《傳染病應對計劃》,其中提到“保險公司在需要的情況下,應當審閱除外責任和核保規(guī)則,并確保保單持有人了解與傳染病相關(guān)的責任保障范圍”。 日本央行在2003年7月頒布了《金融機構(gòu)業(yè)務連續(xù)性計劃》,其闡明了日本央行對BCM的重視程度,并提供了最佳實踐指引。日本金融廳(Financial Services Agency)也將BCP作為監(jiān)管重點之一。 新加坡金管局(Monetary Authority of Singapore)在2003年首次頒布了《業(yè)務連續(xù)性指南》,鼓勵所有類別的金融機構(gòu)、金融中介機構(gòu)、評級機構(gòu)、交易所等采用。2006年又補充了應對傳染病的要求。 目前,我國的保險行業(yè)在業(yè)務連續(xù)性方面的監(jiān)管規(guī)則主要集中在信息系統(tǒng)和信息技術(shù)。原保監(jiān)會出臺了《保險公司信息化工作管理指引(試行)》《保險公司信息系統(tǒng)安全管理指引(試行)》《保險業(yè)信息系統(tǒng)災難恢復管理指引》等法規(guī),要求保險公司建立信息系統(tǒng)重大突發(fā)事件的應急處理機制,按照國家和監(jiān)管部門信息系統(tǒng)災難恢復要求,推進信息系統(tǒng)災難恢復建設(shè)工作并定期進行演練,確保業(yè)務連續(xù)性。保險行業(yè)協(xié)會也在2017年底發(fā)布了《保險業(yè)災備建設(shè)基本要求》的行業(yè)標準。 值得保險行業(yè)借鑒的是原銀監(jiān)會在2011年12月發(fā)布的《商業(yè)銀行業(yè)務連續(xù)性監(jiān)管指引》,其對商業(yè)銀行及相關(guān)金融機構(gòu)的BCM工作提出了明確要求,其中除了常規(guī)要求外,不乏諸多亮點,例如: (1)應當將BCM納入全面風險管理體系,融入到企業(yè)文化中,成為銀行機構(gòu)日常運營管理的有機組成部分。 (2)機構(gòu)設(shè)置上,設(shè)立由高級管理層和BCM相關(guān)部門負責人組成的BCM管理委員會,由風險管理部門或其他綜合管理部門為BCM主管部門,業(yè)務條線部門與信息科技部門作為BCM執(zhí)行部門。 (3)關(guān)注點包括信息技術(shù)故障、外部服務中斷、人為破壞與自然災害。 (4)堅持以人為本、重點保障人員安全。 (5)原則上,重要業(yè)務恢復時間目標(Recovery Time Objective)不得大于4小時,重要業(yè)務恢復點目標(Recovery Point Objective)不得大于半小時。 (6)至少每3年對全部重要業(yè)務進行一次業(yè)務連續(xù)性計劃演練;將外部供應商納入演練范圍并定期開展演練。 (7)每年對BCM體系的完整性、合理性、有效性進行評估,并向高級管理層提交評估報告。商業(yè)銀行應當每年對本行業(yè)務連續(xù)性管理進行審計,每3年至少開展一次全面審計。每年一季度向原銀監(jiān)會或其派出機構(gòu)提交BCM報告。商業(yè)銀行在完成業(yè)務連續(xù)性計劃的全行演練后,應當在45個工作日內(nèi)向監(jiān)管機構(gòu)提交演練總結(jié)報告。 隨著外部運營環(huán)境日益復雜、科技發(fā)展和消費者對保險服務水平和時效的要求越來越高等諸多因素,筆者相信我們也會迎來與保險行業(yè)相匹配的BCM監(jiān)管要求,提升行業(yè)自身的抗風險能力。 四、中外保險公司的實踐 保險公司應當根據(jù)自身的特點有針對性地開展BCM工作,并沒有一個固定的模式。從國內(nèi)外保險公司對BCM的披露來看,國外保險公司大多在年度報告或者企業(yè)可持續(xù)性報告中介紹了本公司的BCM,甚至還有一些公司選擇披露單獨的BCM報告。 例如美國的保德信保險公司在官網(wǎng)上披露了比較詳細的BCM報告,公司的BCM著眼于一系列的情景假設(shè),覆蓋了從小規(guī)模斷電到某大區(qū)域(美國地理上分為五大區(qū)域)的資源都不可利用的情況,其主要策略包括: (1)設(shè)立了覆蓋整個公司的中央BCM辦公室,負責開發(fā)和維護相關(guān)政策、標準、流程及培訓;在每個部門都有專門人員(Business Continuation Officer)負責風險評估、制定和執(zhí)行應對計劃。 (2)2017年新建立了兩個高級別的數(shù)據(jù)中心,并獲得了在全球范圍高度認可的數(shù)據(jù)中心認證公司Uptime Institute第三級別認證。 (3)雙重的備用工作地點(Hot Sites與Warm Sites),支持美國本土及全球業(yè)務;同時還與領(lǐng)先的恢復供應商合作,在需要時提供更多一重的應急辦公地點。 (4)強大的遠程工作能力,例如辦公基礎(chǔ)設(shè)施可以允許關(guān)鍵人員在任何地方進行辦公。 (5)2005年公司成立了傳染病預備計劃小組(Pandemic Preparedness Planning Team),由公司首席醫(yī)療官出任組長,制定詳盡的監(jiān)控、應對及培訓計劃。 匯豐控股(HSBC Holdings)則把BCM放在更加廣義的韌性風險管理中。其2019年年報有專門的“韌性風險管理”(Resilience Risk Management)章節(jié),詳細描述了其管理架構(gòu)、風險管理流程,并在2019年實施了諸多舉措。目前匯豐控股的韌性風險管理部門將原有的數(shù)個獨立部門整合,包括信息與網(wǎng)絡(luò)安全部、安保部、業(yè)務連續(xù)性與事件管理部、辦公場所安全部、第三方管理部、系統(tǒng)與數(shù)據(jù)安全部等。目的是為了在當前地緣政治、自然環(huán)境變化、科技快速發(fā)展的大環(huán)境下,能夠有全局通盤考慮,并且給客戶提供不間斷的服務。 相比之下,我國保險公司的年報中對 BCM 鮮有提及,保險從業(yè)人員對 BCM 的關(guān)注度似乎也并不高,這也許也得益于我們保險行業(yè)在過往的數(shù)十年當中還沒有真正經(jīng)歷過黑天鵝事件。即便是這次新冠肺炎疫情,總部和主要運營地在湖北的保險公司數(shù)量較少,因此對保險公司運營中斷的總體影響也比較有限。保險行業(yè)全力以赴參與到疫情防控工作中,除了捐款捐物,還利用自身專長免費拓展責任范圍、為前線人員贈送保險、啟動理賠快速響應機制、開發(fā)復工防疫險等。但是也要看到受宏觀經(jīng)濟增速下降、居家隔離等因素影響,保險業(yè)保費收入出現(xiàn)了大幅度下降。例如今年 2 月份以來,全國新車業(yè)務保費同比下滑近 90%,人身險公司銀保渠道規(guī)模保費環(huán)比下滑超 80%,這對于險企的現(xiàn)金流造成嚴重壓力。而一旦疫情解除,大眾潛在的保險需求爆發(fā)式增長,保險行業(yè)如何高效優(yōu)質(zhì)地應對也應未雨綢繆。 總體而言,筆者認為以下運營方面的趨勢不可避免: ● 對遠程線上工作方式的依賴度提高,甚至發(fā)展為線上全方位的經(jīng)營管理模式,對云技術(shù)、云平臺的需求快速上升。 ● 在線下獲客的同時,加強線上獲客能力。同時由此帶來線上培訓、營銷、風控等流程塑造和再造。中國銀保監(jiān)會 2 月份發(fā)布了《關(guān)于推廣人身保險電子化回訪工作的通知》, 對于推動人身保險公司利用新技術(shù)優(yōu)化服務具有重要意義。 ● 保全、理賠等服務全面轉(zhuǎn)向“零接觸”模式。 ● 區(qū)域性的保險公司需要考慮設(shè)置跨區(qū)域的備用職場。 長遠來看,這次新冠肺炎對保險公司的運營模式將產(chǎn)生深刻影響。如果不做好準備,在真正面臨大考時難免束手無策。 五、結(jié)語 隨著我國保險行業(yè)快速發(fā)展,保險行業(yè)將承擔越來越大的社會責任。保險公司在比拼產(chǎn)品、服務、償付能力的同時,需要強大的運營能力支撐。只有在保持業(yè)務連續(xù)性的前提下,保險公司才能正常運轉(zhuǎn),持續(xù)發(fā)揮經(jīng)濟“減震器”和社會“穩(wěn)定器”的作用。筆者有幾點建議如下: 第一,不僅僅是保險行業(yè),社會經(jīng)濟各主體都應該建立起良好的BCM。我們現(xiàn)在生活在一個高度互聯(lián)的社會,沒有單個組織或個人可以獨善其身。政府部門、大大小小的企業(yè)必須協(xié)同作戰(zhàn),這不單單是為了他們自身,對于整個社會都能夠增加巨大的韌性。現(xiàn)在的保險公司運營已經(jīng)是處在一個生態(tài)圈當中,除了直保公司,還有再保公司、第三方管理機構(gòu)、IT供應商、經(jīng)紀公司、分銷渠道等。如果我們想建立整個保險公司端到端的運營韌性,那我們就需要將彼此的運營韌性考慮進來。這也許將從根本上改變現(xiàn)有保險公司的運營模式。 第二,以人為本,保持公司與員工及客戶的緊密通訊聯(lián)系。在金融行業(yè),員工是最寶貴的資產(chǎn),也是經(jīng)營活動的主體。無論在何時,建立緊密的通訊聯(lián)系有助于在發(fā)生突發(fā)事件時,保持透明度,員工和客戶能夠及時了解所發(fā)生的情況,聽從公司的統(tǒng)一調(diào)度,尋求幫助和維持安全感。在規(guī)劃BCP時,這也是需要首先考慮的問題。 第三,加大資金和人員的投入,不能因為一時沒有派上用場就低估BCM的重要性。如同幫助投保人進行保險需求分析一樣,保險公司應當在未來業(yè)務場景的前瞻下,做好自身風險評估和業(yè)務影響分析,將關(guān)注點從信息技術(shù)擴大到所有關(guān)鍵業(yè)務流程,制定計劃,并定期演練和持續(xù)改進。在應對營業(yè)中斷時,還需要快速決策和反應,運用創(chuàng)造性思維。
1. 本文僅代表作者個人觀點,與所任職公司無關(guān)。
2. 英國標準協(xié)會:《業(yè)務連續(xù)性與風險-BSI發(fā)布的用戶指南》。
3. Business Continuity Institute, Horizon Scan Report 2019.
4. NYDFS,Business Continuity Planning Questionnaire.
5. Bank of England, PRA, FCA, Building operational resilience: Impact tolerances for important business services.