汤梁:在不同视角下对业务连续性管理的几点观察
作者|时任瑞士再保险北京分公司副总经理兼首席风险官,现任大家人寿保险股份有限公司精算部总经理 汤梁1
【编者按】 CRO(Chief Risk Officer),即首席风险官,该职位1993年诞生于欧美发达国家。目前,80%以上的世界性金融机构设有该职位,我国的银行业也率先设立了首席风险官的职位。随着保险业“偿二代”全面实施和“风险导向”监管制度的实行,“保险姓保”是目前保险监管与行业发展的主基调,CRO在企业中的地位和作用日益突出,逐渐被视为以价值为本的成功保险公司的支柱。 这个职位的具体职责是什么?未来,它将怎样更好地发挥作用,助力保险企业管控自身风险,推动保险业回归保障初心?自2018年第5期开设的“CRO说”栏目,陆续邀请国内外保险公司CRO共同探讨保险业风控模式,分享成熟风控经验。
2020年注定是不平凡的一年。由于新型冠状病毒肺炎(以下简称新冠肺炎)的影响,我们经历了史上最长春节假期,社会经济主体受到不同程度的冲击,生产和生活亟待恢复正常秩序。目前疫情尚未结束,各行各业如何在当前形势下,最大可能地保持正常生产经营活动,是一种名副其实的核心竞争力。作为风险管理的重要组成部分,业务连续性管理(Business Continuity Management, 简称BCM)能够在突发事件来临时,让实施了BCM的社会经济主体可以从容面对,保持核心业务继续运转,并将不利影响降到最低程度。 购买营业中断保险(business interruption insurance)、关键人员保险(key person insurance)、网络保险(cyber insurance)等保险产品可以作为企业BCM的一部分。然而,打铁还需自身硬,作为提供保险产品的保险公司,自身的BCM做得怎么样?保险公司做好BCM工作不但可以增强自身竞争力,而且对全社会提升防灾防损意识,增加社会韧性也产生非常积极正面的引导作用。本文试图从不同视角对BCM实践进行观察,以期提高保险行业对BCM的重视程度,并且立即着手起来加强自身BCM建设。 一、背景介绍 业务连续性管理起源于20世纪70年代的灾备恢复计划(disaster recovery planning)。当时的金融机构,例如银行和保险公司都建设了备份站点,备份磁带储存在远离主中心的地方,恢复活动主要是针对地震、火灾、洪水、风暴等造成的物理破坏。80年代开始,灾难恢复运营商的数目逐步增多,但所提供的服务主要集中在信息系统灾难备份与恢复上。 “9·11”事件标志着BCM发展的一个转折时点。在应对“9·11”事件中,摩根士丹利的表现堪称经典。当时摩根士丹利在纽约世贸中心租用了25层办公室,是纽约世贸中心最大的租户。在“9·11”恐怖袭击事件中,得益于日常演练和及时疏散,公司在纽约世贸中心工作的3700名员工仅有6人死亡,其中有4人还是因为返回世贸中心开展搜救而不幸遇难。训练有素的运营团队撤离后步行到了22个街区之外的备用站点, 在世贸中心遭受第一次飞机撞击后约35分钟启动了备用电脑,高级管理层也在45分钟内到达另一个备用站点并开始指挥工作。随即公司在一个半小时内将位于凤凰城的信用卡电话服务中心改成了免费的急救电话中心,用于定位和搜救其3700名员工。时任公司主席和首席运营官Robert Scott有句名言:“如果你等到危机发生才着手准备去领导,就已经太迟了。” “9·11”事件之后,以英国、美国、日本、新加坡等国家为代表的发达国家加快了BCM的理论研究和实践活动,体现在法律法规制定和企业层面实施两方面。国际标准化组织(International Organization for Standardization / ISO)公共安全技术委员会ISO/TC 292于2012年5月发布了ISO 22301《业务连续管理体系的准则要求》,并于同年12月发布了ISO 22313《业务连续性管理体系实施指南》。ISO 22301是BCM的国际标准,其提供了一个管理体系,适用于各种规模的组织并横跨所有行业。中国也在2013年采用该标准并发布国家标准GB/T 30146《公共安全业务连续性管理体系要求》。 二、理论体系 BCM的内涵一直在不断地进化。从过去的“危机管理”(Crisis Management)、“灾备恢复”(Disaster Recovery),到现在比较时髦的“组织韧性”(Organizational Resilience),其核心都是在描述组织机构的应对能力。20世纪70年代的灾备恢复主要着眼于数据处理,因此其管理也主要局限在信息技术部门。虽然IT系统仍然是当前BCM最重要的关注点之一, 但BCM已经扩大到了整个组织机构,涵盖业务流程、人力资源、供应链等,并且发展出了成熟的方法论。 根据原银监会2011年印发的《商业银行业务连续性监管指引》的定义,BCM是指“为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序”。通过BCM,组织机构可以建立起快速高效的响应能力和强大的组织韧性,保护关键利益相关方的利益和声誉,并持续创造价值。BCM的核心是建立一个业务连续性计划(Business Continuity Plan / BCP),内容包括如何在既定的期间内继续或恢复业务活动,以及响应破坏性事件的程序。BCM的关键实施流程包括以下四步2 : 第一,建立拥有特定的知识和技能的核心策划团队; 第二,了解组织所拥有的资源、能力、所面临的风险,以及紧急情况下可能需要的外部资源(例如医院、警方、供应商),并评估这些内外部资源的可获得性; 第三,根据可能出现的一系列紧急情况,设定应急响应程序以控制事态发展; 第四,将计划整合到公司的日常运营,包括定期员工培训、定期演练、持续改进等。 BCM应对的风险可大可小,因人而异。很多自然灾害(例如地震和洪水)和人为灾难(例如恐怖袭击)时有发生,但对组织机构产生最频繁的破坏并不一定都是这些极端事件。停电、设备故障、关键人员损失等都存在更大的发生可能性。对于很多行业,上下游供应链管理也是BCM的重点关注对象,例如华为在2019年5月被美国列入“实体清单”,遭遇了芯片断货及安卓系统使用限制的风险事件。由于风险处于不断变化当中,因此风险评估必须是持续而动态进行的。业务连续性研究院(Business Continuity Institute)在2019年的一份全球调研报告3中列出了受访者最为关注的十大风险,如表1所示。 BCM的重要性不言而喻,甚至可以毫不夸张地说,BCM不仅仅意味着业务的连续性,更关系到企业的长期生死存亡。 三、保险业的法律法规要求 绝大多数发达国家的保险监管机构制定了BCM的监管规则。其出发点都是为了保护保单持有人的利益,例如持续为客户提供保险服务,保护客户数据隐私等,同时可以帮助政府部门应对突发事件,维护社会秩序和公共利益。 美国纽约州金融服务局(New York Department of Financial Services)要求州内的保险公司在发生突发事件时有能力恢复关键业务运营,BCP经过测试有效4。美国保险监督官协会(National Association of Insurance Commissioners)在财务状况检查手册(Financial Condition Examiners Handbook)中要求检查人员对保险公司的业务连续性及灾备恢复计划进行检查,并访谈保险公司的首席风险官。 英国的监管机构将BCM作为最重要的监管内容之一。英国金融行为监管局手册(Financial Conduct Authority Handbook)和英国审慎监管局规章手册(Prudential Regulation Authority Rulebook)均要求保险公司做好业务连续性的准备工作。2019年12月,英格兰银行、FCA和PRA联合发布了关于银行和保险公司运营韧性的征求意见稿5,预期在2021年下半年正式实施。 澳大利亚审慎监管局(Australian Prudential Regulation Authority / APRA)颁布了监管规定CPS 232《业务连续性管理》,要求保险公司建立BCM体系和年度审阅,以及定期接受内部审计或外部专业机构的审阅。APRA也有权要求保险公司就BCM进行外部审计,费用由保险公司自行承担。在发生业务中断的情况时,保险公司需要及时向APRA汇报是否对公司运营、保单持有人和公司财务状况造成重大影响。此外,APRA还颁布了实务指南CPG 233《传染病应对计划》,其中提到“保险公司在需要的情况下,应当审阅除外责任和核保规则,并确保保单持有人了解与传染病相关的责任保障范围”。 日本央行在2003年7月颁布了《金融机构业务连续性计划》,其阐明了日本央行对BCM的重视程度,并提供了最佳实践指引。日本金融厅(Financial Services Agency)也将BCP作为监管重点之一。 新加坡金管局(Monetary Authority of Singapore)在2003年首次颁布了《业务连续性指南》,鼓励所有类别的金融机构、金融中介机构、评级机构、交易所等采用。2006年又补充了应对传染病的要求。 目前,我国的保险行业在业务连续性方面的监管规则主要集中在信息系统和信息技术。原保监会出台了《保险公司信息化工作管理指引(试行)》《保险公司信息系统安全管理指引(试行)》《保险业信息系统灾难恢复管理指引》等法规,要求保险公司建立信息系统重大突发事件的应急处理机制,按照国家和监管部门信息系统灾难恢复要求,推进信息系统灾难恢复建设工作并定期进行演练,确保业务连续性。保险行业协会也在2017年底发布了《保险业灾备建设基本要求》的行业标准。 值得保险行业借鉴的是原银监会在2011年12月发布的《商业银行业务连续性监管指引》,其对商业银行及相关金融机构的BCM工作提出了明确要求,其中除了常规要求外,不乏诸多亮点,例如: (1)应当将BCM纳入全面风险管理体系,融入到企业文化中,成为银行机构日常运营管理的有机组成部分。 (2)机构设置上,设立由高级管理层和BCM相关部门负责人组成的BCM管理委员会,由风险管理部门或其他综合管理部门为BCM主管部门,业务条线部门与信息科技部门作为BCM执行部门。 (3)关注点包括信息技术故障、外部服务中断、人为破坏与自然灾害。 (4)坚持以人为本、重点保障人员安全。 (5)原则上,重要业务恢复时间目标(Recovery Time Objective)不得大于4小时,重要业务恢复点目标(Recovery Point Objective)不得大于半小时。 (6)至少每3年对全部重要业务进行一次业务连续性计划演练;将外部供应商纳入演练范围并定期开展演练。 (7)每年对BCM体系的完整性、合理性、有效性进行评估,并向高级管理层提交评估报告。商业银行应当每年对本行业务连续性管理进行审计,每3年至少开展一次全面审计。每年一季度向原银监会或其派出机构提交BCM报告。商业银行在完成业务连续性计划的全行演练后,应当在45个工作日内向监管机构提交演练总结报告。 随着外部运营环境日益复杂、科技发展和消费者对保险服务水平和时效的要求越来越高等诸多因素,笔者相信我们也会迎来与保险行业相匹配的BCM监管要求,提升行业自身的抗风险能力。 四、中外保险公司的实践 保险公司应当根据自身的特点有针对性地开展BCM工作,并没有一个固定的模式。从国内外保险公司对BCM的披露来看,国外保险公司大多在年度报告或者企业可持续性报告中介绍了本公司的BCM,甚至还有一些公司选择披露单独的BCM报告。 例如美国的保德信保险公司在官网上披露了比较详细的BCM报告,公司的BCM着眼于一系列的情景假设,覆盖了从小规模断电到某大区域(美国地理上分为五大区域)的资源都不可利用的情况,其主要策略包括: (1)设立了覆盖整个公司的中央BCM办公室,负责开发和维护相关政策、标准、流程及培训;在每个部门都有专门人员(Business Continuation Officer)负责风险评估、制定和执行应对计划。 (2)2017年新建立了两个高级别的数据中心,并获得了在全球范围高度认可的数据中心认证公司Uptime Institute第三级别认证。 (3)双重的备用工作地点(Hot Sites与Warm Sites),支持美国本土及全球业务;同时还与领先的恢复供应商合作,在需要时提供更多一重的应急办公地点。 (4)强大的远程工作能力,例如办公基础设施可以允许关键人员在任何地方进行办公。 (5)2005年公司成立了传染病预备计划小组(Pandemic Preparedness Planning Team),由公司首席医疗官出任组长,制定详尽的监控、应对及培训计划。 汇丰控股(HSBC Holdings)则把BCM放在更加广义的韧性风险管理中。其2019年年报有专门的“韧性风险管理”(Resilience Risk Management)章节,详细描述了其管理架构、风险管理流程,并在2019年实施了诸多举措。目前汇丰控股的韧性风险管理部门将原有的数个独立部门整合,包括信息与网络安全部、安保部、业务连续性与事件管理部、办公场所安全部、第三方管理部、系统与数据安全部等。目的是为了在当前地缘政治、自然环境变化、科技快速发展的大环境下,能够有全局通盘考虑,并且给客户提供不间断的服务。 相比之下,我国保险公司的年报中对 BCM 鲜有提及,保险从业人员对 BCM 的关注度似乎也并不高,这也许也得益于我们保险行业在过往的数十年当中还没有真正经历过黑天鹅事件。即便是这次新冠肺炎疫情,总部和主要运营地在湖北的保险公司数量较少,因此对保险公司运营中断的总体影响也比较有限。保险行业全力以赴参与到疫情防控工作中,除了捐款捐物,还利用自身专长免费拓展责任范围、为前线人员赠送保险、启动理赔快速响应机制、开发复工防疫险等。但是也要看到受宏观经济增速下降、居家隔离等因素影响,保险业保费收入出现了大幅度下降。例如今年 2 月份以来,全国新车业务保费同比下滑近 90%,人身险公司银保渠道规模保费环比下滑超 80%,这对于险企的现金流造成严重压力。而一旦疫情解除,大众潜在的保险需求爆发式增长,保险行业如何高效优质地应对也应未雨绸缪。 总体而言,笔者认为以下运营方面的趋势不可避免: ● 对远程线上工作方式的依赖度提高,甚至发展为线上全方位的经营管理模式,对云技术、云平台的需求快速上升。 ● 在线下获客的同时,加强线上获客能力。同时由此带来线上培训、营销、风控等流程塑造和再造。中国银保监会 2 月份发布了《关于推广人身保险电子化回访工作的通知》, 对于推动人身保险公司利用新技术优化服务具有重要意义。 ● 保全、理赔等服务全面转向“零接触”模式。 ● 区域性的保险公司需要考虑设置跨区域的备用职场。 长远来看,这次新冠肺炎对保险公司的运营模式将产生深刻影响。如果不做好准备,在真正面临大考时难免束手无策。 五、结语 随着我国保险行业快速发展,保险行业将承担越来越大的社会责任。保险公司在比拼产品、服务、偿付能力的同时,需要强大的运营能力支撑。只有在保持业务连续性的前提下,保险公司才能正常运转,持续发挥经济“减震器”和社会“稳定器”的作用。笔者有几点建议如下: 第一,不仅仅是保险行业,社会经济各主体都应该建立起良好的BCM。我们现在生活在一个高度互联的社会,没有单个组织或个人可以独善其身。政府部门、大大小小的企业必须协同作战,这不单单是为了他们自身,对于整个社会都能够增加巨大的韧性。现在的保险公司运营已经是处在一个生态圈当中,除了直保公司,还有再保公司、第三方管理机构、IT供应商、经纪公司、分销渠道等。如果我们想建立整个保险公司端到端的运营韧性,那我们就需要将彼此的运营韧性考虑进来。这也许将从根本上改变现有保险公司的运营模式。 第二,以人为本,保持公司与员工及客户的紧密通讯联系。在金融行业,员工是最宝贵的资产,也是经营活动的主体。无论在何时,建立紧密的通讯联系有助于在发生突发事件时,保持透明度,员工和客户能够及时了解所发生的情况,听从公司的统一调度,寻求帮助和维持安全感。在规划BCP时,这也是需要首先考虑的问题。 第三,加大资金和人员的投入,不能因为一时没有派上用场就低估BCM的重要性。如同帮助投保人进行保险需求分析一样,保险公司应当在未来业务场景的前瞻下,做好自身风险评估和业务影响分析,将关注点从信息技术扩大到所有关键业务流程,制定计划,并定期演练和持续改进。在应对营业中断时,还需要快速决策和反应,运用创造性思维。
1. 本文仅代表作者个人观点,与所任职公司无关。
2. 英国标准协会:《业务连续性与风险-BSI发布的用户指南》。
3. Business Continuity Institute, Horizon Scan Report 2019.
4. NYDFS,Business Continuity Planning Questionnaire.
5. Bank of England, PRA, FCA, Building operational resilience: Impact tolerances for important business services.