| 邵山:2007年,保监会组织开展了保险业信息安全检查工作,同时在研究制订保险业的信息安全管理规范和信息安全测评标准以及灾难指引。目的是强化对信息技术的风险监管,提高保险业的信息安全工作。请问,您是如何看待保监会对信息技术的风险监管要求的?
朱宏玲:对于保险业来说,信息技术已经成为保险业各机构实现经营战略和业务运营的基础平台以及业务创新的重要手段。保险业对信息技术的高度依赖,使得信息技术系统的安全性、可靠性和有效性直接关系到整个保险业的安全和金融体系的稳定。因此,加强保险业信息技术风险管理对于保证信息系统安全,保障保险业各机构经营管理活动的正常开展,推动保险业又好又快发展具有重要意义。保监会作为行业主管,组织开展的保险业信息安全检查,研究制订保险业信息安全管理规范,以及灾难恢复指引等工作,都为我们不断改进和提高信息系统风险管理水平,保证信息安全提供了重要指导。在保监会的正确领导和指引下,中国人寿认真贯彻落实国家、保监会关于信息安全工作的各项部署,积极开展信息系统风险防范和控制工作,深入贯彻落实好信息安全等级保护的各项要求,研究制定IT风险控制措施,不断提升中国人寿信息技术风险管理水平。
谭宪维:作为金融企业,中国平安保险集团一直对信息安全和业务连续性计划很重视。早在2004年,我们遵照BS7799(即现时的ISO27001标准)信息安全标准建立了“平安信息安全管理体系”,并在2005年正式通过BS7799认证。在2004年,我们还建立了“IT灾难恢复计划”,定期进行了灾备演练,并对这些管理体系不断进行更新、完善。中国平安对保监会制定的保险业信息安全管理规范和测评标准以及灾难指引均表示欢迎,因为统一的指引能提高整个行业的安全水平。我们下一步的工作重点是审查公司现有的信息科技安全规范与监管要求是否有差距,尽力完善公司的各项制度。
邵山:我们知道,保险公司在经营过程中可能遇到的风险有保险风险、市场风险、信用风险和操作风险等,我们应如何看待信息系统的风险与上述几种风险的关系?
朱宏玲:随着保险市场对外开放日益深入,保险机构面临着更加复杂、多样的竞争环境,在这种形势下,保险公司作为经营风险的企业,不仅要防范和化解企业自身的经营风险,保险风险、操作风险、信息技术风险等,还要注意控制市场风险、信用风险等外部风险。要防范这些风险,必须从公司治理的高度,利用先进的企业风险管理为指导,实行全面的企业风险管理。
信息技术风险管理是企业全面风险管理的重要内容。信息技术风险的有效控制是企业开展全面风险管理的前提条件。在信息时代的今天,企业的各种活动都离不开信息系统。对于风险管理来说,信息技术在风险识别和评估、风险对策、控制活动、信息交流与监控等方面都发挥着积极而重要的作用。基于IT系统的内部控制政策与程序是防范这些风险的重要手段,构成了现代企业风险管理的重要环节。
谭宪维:保险风险、市场风险和信用风险是公司进行业务时所面对的各样风险。公司要面对多大的风险要视管理高层所定下业务策略的进取性,而公司对风险的承担能力亦影响到管理层的策略决定。公司所面对的风险亦因外部环境的转变而变迁。然而,绝大部分的操作风险和信息系统风险源自于公司的内部。信息安全工作是透过完善操作流程、加强系统控制和监察来减低公司的运营风险。另外,建立信息系统对风险的监察亦可尽早向管理层提出预警,使能适时作出业务策略修改,从而作出相应的风险管理。简单来说,越是有良好内部监控、风险管理的公司,其更能承担更大风险,能支持公司作出更进取的业务策略。
邵山:就信息系统风险管理而言,是需要建立一个整体的信息科技风险管理系统平台?还是对不同的系统分别建立风险管理平台?
朱宏玲:信息技术风险主要指信息化建设和服务过程中所面临的各种风险。信息技术风险存在于信息化工作的各个环节中,因此IT风险涉及面广、形式多样。从信息化建设的工作过程来看,信息技术风险主要包括建设风险、运维风险以及合作风险等。防范和控制IT风险,必须从公司治理的高度,以IT治理为基础,充分借鉴国内外先进理论和经验,实施全面的风险管理,并不是简单依靠建立风险管理平台就能够处理解决的。
谭宪维:与其说风险管理平台,不如简单地把它看成是监控系统。所以,对单一系统的监控或是对多个系统同时监控,我认为两者是并存的。单一系统监控是微观管理,仔细地看同一业务/运营的风险。同时看多个系统的数据/交易是宏观管理,更能了解公司面对的整体风险。两者的建立视管理需求而定。
邵山:在保持系统安全的同时应如何保持系统的效率?另外,如何在投入资金有限的情况下建立实用的风险管理系统?
朱宏玲:保护信息系统安全与保持系统效率并不是互相矛盾的,信息系统的效率是建立在安全可靠的基础之上,如果安全不能保证,效率无从谈起。另一方面,信息系统的安全建设也不能过于盲目,导致系统复杂性的增加、效率的降低,必须从企业信息化发展实际出发,在保证安全可靠的前提下尽可能提高系统的运行效率。另外,保障信息系统安全,还必须从制度、流程、控制等其他方面入手,实行全面、有效的防护。总之,既不能盲目强调安全而降低效率,也不能片面强调效率而不顾安全,需要以安全为前提,以效率为着眼点,从而正确处理好系统安全与应用效率之间的关系。
保护信息系统安全,首先就是要建立完备的信息安全保护机制,包括采购安装必要的信息安全产品,保护网络与数据安全,提高业务系统的可用性,保证数据的完整性、保密性与可用性。在投入资金有限的条件下,可以根据企业信息化建设情况,统筹规划,合理估算,建立必要的信息安全保护机制。其次,必须通过建立健全信息系统安全相关的规章制度,为信息安全保驾护航,使信息安全管理工作有规可依。最后,要加强信息安全监督控制机制的建设,制订业务连续性方案,做好信息系统应急处理机制,同时,要加强信息安全工作检查,注重信息安全管理制度的落实。
谭宪维:这个永远没有肯定的答案,但却是风险管理这个概念奥妙之处。我们投入资金强制系统操控跟承担风险是相对应的。而风险管理的工作就是平行我们对系统加强控制所需资源和我们能承受风险的程度作一对比,也就是经济学上所说的边际效益,您不能投放资金去建立风险控制,其所减低的风险效益低于成本。
当然,对不同的公司而言,系统风险的情况是不一样的,产生的风险点也不一样,保险公司在设定风险控制体系的时候,要针对实质性的系统风险进行控制,同时要保证不影响正常的业务效率。
邵山:信息系统的风险管理覆盖范围很广,涉及到信息安全、IT治理、业务连续性等领域,具体实施时有什么策略?从哪个领域入手?
朱宏玲:在实施信息系统风险管理时,我们主要遵循以下三个原则:一是全面布局,重点防范。IT风险来源于整个信息化活动的各个环节,风险始终是伴随着信息化各项工作的。我们坚持从中国人寿实际情况出发,全面评估现有的各类风险及其可能带来的不良影响,同时进行重点分析,找到后果相对严重、发生可能性较大的风险点,进行重点防范。二是联系实际,标准先行。由于信息技术活动的多样性,所形成风险的特点也不尽相同,这就要求我们在IT风险管理工作中,认真分析各种IT风险,结合中国人寿信息化工作的具体情况,制订有针对性的防范、控制措施。同时,要积极借鉴国际、国内的先进理论和成功经验,以标准化为先导,将各种工作制度化、标准化、规范化,使IT风险管理工作逐步走入一个良性的循环中。三是强化执行,不断完善。IT风险管理是一个持续的识别、评估、控制、监督过程。防范和控制IT风险,必须切实认真做好各个环节工作,强化执行力建设。
此外,IT风险管理也是一个不断完善、不断发展的过程。随着新技术、新事物的大量涌现,与之伴随的就是新的风险。这就要求我们在IT风险管理工作中不断加强学习与研究,结合实际情况,研究制订相应的防范措施与办法。使IT风险管理能够不断适应、不断完善,成为一个运转高效、防御能力强、控制严密、自我调节程度高的系统性工作,从而有效防范、控制和化解信息化建设中存在的各种风险。
谭宪维:IT治理、信息安全、业务连续性就是由上而下的风险管理方式。IT治理是董事局、公司管理高层对IT策略作出的指导。在中国平安的IT治理中,公司管理高层是透过成立一个独立的信息安全部,制定统一的信息安全策略、标准,并积极进行审查、监控,确保信息安全标准的执行。公司管理高层肯定信息安全成为集团一个重要的发展战略,加速信息安全工作在集团内的推广。另外,中国平安亦建立了“IT灾难恢复计划”,定期进行了灾备演练。
邵山:您认为保险金融机构在管理内部的信息系统风险时是否应该有一个统一的策略?如果是,如何制定这种策略?
朱宏玲:信息技术风险作为企业风险的重要组成,这方面风险管理水平的高低将直接影响到寿险公司的总体风险水平。信息技术风险是信息化建设和服务过程中存在的各种风险的总称,存在于信息化工作的各个环节中,涉及面广、形式多样。因此,有必要提供一个统一的管理策略,对信息系统风险管理工作的开展提供一个全面的指导。具体到策略制订来说,我认为,必须要以先进的、科学的理论为指导,积极借鉴行业内外、国际国内的成功做法和先进经验,从当前保险业信息化发展的实际情况出发,以保障信息系统安全,推动保险业又好又快健康发展为根本目标,有步骤、有计划地开展相关工作。
谭宪维:在信息安全方面,中国平安建立了统一的信息安全策略、标准。这些信息安全标准的执行,落实到集团各子公司、专业公司。所有信息系统控制管理,都按照统一的信息安全标准构建。“平安信息安全管理体系”以ISO27001为基础,加上国际使用的信息安全惯例、行业认可的信息安全标准结集而成。“平安信息安全管理体系”已包含了“等级保护”的要求。按照体系构建的系统,已达到“等级保护”的标准。
邵山:2007年4月,中国保监会出台了旨在强化和提高保险公司风险管理能力的《保险公司风险管理指引(试行)》。指引中提到,保险公司在强化风险管理能力时,应当建立涵盖风险管理基本流程和控制环节的信息系统。请问,如何看待利用基于IT系统的监管手段,建立电子化和规范化的监管模式来加强风险管理,特别是操作风险管理?
朱宏玲:当前,企业的各种经营管理活动都不能离开信息系统。在风险管理活动中,信息技术在风险识别和评估、风险对策、控制活动、信息交流与监控等方面发挥着重要作用。信息技术是开展风险识别和评估、制定风险对策的有力工具,通过对企业信息系统中数据的分析处理,不仅能够了解、掌握企业经营状况,还可以及时发现企业经营中存在的各种潜在风险,并结合科学的风险评估模型,将当前的风险状况、所造成的影响加以分析,为管理者进行风险决策,制定合理的风险对策提供重要依据。
信息技术是提高企业控制活动质量的重要方式,通过在各种控制活动中应用信息技术,不仅可以提升自动控制化水平,简化控制活动的复杂程度,更可以提高控制活动的工作质量,保证控制效果,使控制活动更加客观、科学、准确。这对于操作风险的控制具有极其重要的意义。信息系统已经成为信息获取、监控、与传递的主要渠道,对于企业风险管理来说,信息技术是信息与交流的必须条件。同时,由于信息系统已经成为保险企业经营管理的基本工具,通过加强信息系统的监督与控制,可以对企业的各种风险进行监控,因此,信息技术也是企业风险监控的主要手段。
谭宪维:监控手段有很多方式,如预防监控、测检监控,但两者在效益上有很大的差距。预防监控是主动式的监控,若未能附合监控的要求,便不能继续流程。例如交易限额控制,运营人员交易受到额度控制,其操作不能高于交易限额,确保操作风险。假如系统未能构建额度操控,便要依赖被动的操作监控来管理风险,例如在第二天作人手测检,除了人手的局限,人为错误无可避免外,超额交易可能已经发生,只能作出事后补救。在系统中构建适当控制及实施预防监控,便能强制执行监控流程。因此,监控手段越能电子化,监控的可信性越高,操作风险越能降低。
邵山:在操作风险管理的战略制定和实际工作中,应如何结合好对人的管理与信息系统的管理?
朱宏玲:操作风险日益受到国际金融行业的高度重视。在操作风险管理中,必须以制度为基础,以人和信息系统为控制点,实施全面的操作风险管理。一方面,制度是基础,是联系人与信息系统的纽带。防范操作风险,首先必须建立健全各种信息系统的规章制度,使各种信息系统的使用、运行、管理、维护有章可循、有制可依。另一方面,要以人和信息系统为控制点,加强制度的落实监督工作。制度是基础,执行是关键。绝大多数由操作风险引发的安全事故都是由于没有严格按照制度执行造成的。因此,必须建立制度落实的配套机制,加强对于人和信息系统的控制检查,保证制度的有效执行。
谭宪维:在操作风险管理、信息安全中,人始终是最弱的一环。由于人的一时疏忽,以至于产生漏洞,引致公司有所损失。要减低人为风险的损失,最后、也是最重要的是加强员工的风险管理、信息安全意识。员工必须经过经常的培训,加深对信息安全认识,并落实到工作上。另外,在操作风险管理上要把人作为资产来管理。目前国内企业还是把人作为一种资源在使用,并没有把人作为一种资产。其实从企业产品发展的角度来讲,人是要作为资产使用的。一个人进入某家公司以后,这家公司就要对这个人的行为负责。当保险公司把员工作为资产使用的话,就会很好地审视他的操作风险有多大,就会建立这个人的资产损失数据库。 |
