IT治理，为保险信息系统“保险”

　　2008年3月21日，中国保险监督管理委员会向全国保险行业发出了《保险业信息系统灾难恢复管理指引》的通知，从制度上进一步完善了对保险信息系统安全的指导工作。这也是对一年多前保监会推出的《中国保险业发展“十一五”规划信息化重点专项规划》的进一步细化与完善。这些都显示出信息系统的安全工作已被提升到空前的高度。

　　在2007年中，中国保监会在开业信息化验收、重大事项报告、应急预案、灾难备份以及标准化工作等方面出台了一系列制度，这使得我国保险信息化发展的政策环境得到进一步的完善。毋庸置疑，我国保险行业信息化正在进入关键的转折期，保险信息系统正在从传统的后台支持转变为业务发展的直接驱动力。但随之而来的风险、利益和机会，使得IT治理成为保险公司信息化发展中非常关键的一个环节。

　　2008年4月25日，由网络世界报社主办的“第七届中国保险行业信息化建设高层研讨会”在北京召开。会议认为，完善IT治理能有效促进保险公司的风险管理。加强信息系统安全离不开IT治理，完善的IT治理是信息系统安全的保障。

　　IT与业务战略须融合

　　“目前，中国保险行业IT治理刚刚起步，信息化参与公司战略和决策制定的力度还明显不够。信息化的规划和企业的战略还存在‘两张皮’的现象。执行力还不强，还没有建立起一套较为完整的科学管理和决策机制，难以满足信息化健康发展的要求。”中国保险监督管理委员会统计信息部副主任于玫女士表示：“我国保险业正处于由粗放式经营走向集约化发展的重要时期，在今后一段时间，中国保监会将继续加大制度建设的力度，进一步加强对全行业工作的指导和规范。”

　　于玫副主任认为，目前大部分保险公司都已充分认识到信息科技已经不仅仅是属于技术范畴的问题，而是提升保险业核心竞争力的重要手段，事关保险业可持续发展的全局。但是，如何将信息技术完全融入本公司的各项业务中，如何充分发挥电脑和人脑的优势，是现在正在积极探索的一个问题。因此，明确、清晰的战略规划对保险信息化的可持续发展至关重要，切合保险企业发展战略的信息化规划，对保险信息化的健康发展也具有十分重要的意义。要在科学、合理的战略规划指导下，不断完善信息化的基础设施建设，提高信息系统设计开发、运维和管理的水平，强化挖掘数据资产能力，有效支持公司经营管理的需要。保险信息化工作要以价值创造为导向，强化成本意识，加强技术经济的决策论证，加强绩效考核。信息化不能定位于成本中心，而应该成为企业价值创造的一股力量，成为价值创新中心。

　　近年来，加强IT治理已经成为中国保险业的共识。管理层需要确保IT与公司战略的一致性，并且公司战略能够很好地利用IT的优势。因此，IT治理将对保险公司业务目标的实现起至关重要的作用。中国保监会在“十一五”保险信息化专项规划中明确提出了九大主要任务，而其中首要任务就是要完善保险信息化的治理机制，要求依托保险公司发展战略和目标，制订信息化发展的短期和中长期规划。同时，加强信息化建设决策的技术经济论证，建立有效的信息化战略执行评估体系，加强信息化绩效考核，提高信息化建设的质量，保障公司战略目标的实现。要建立公司层面的信息化工作管理、决策与审计机制，适时推进首席信息官制度，优化信息化工作的组织架构，明确各层级信息化工作的职责，规范信息化工作流程，建立既能够加强风险管控，又富有弹性的科学的、信息化管理架构。

　　生命人寿保险公司信息技术部总经理许强的观点颇具代表性。他认为：“IT是以服务为导向的创新，技术创新要跟业务结合起来。IT如何与业务融合很重要，应该有一个统一的规划。同时，IT的规划是随业务而变动的，即随需而动。规划时间做得越长，执行度就越差。”

　　IT如何与业务融合，其中一个重要的标志就是设立首席信息官制度。目前，在中国只有极少数的企业里面设立了CIO的制度，落实到保险行业也同样只有中国平安、中国人寿、中国人保、信诚人寿、泰康人寿等少数几个保险公司做到这一点。CIO制度缺失的背后其实是IT治理的缺失。在一些西方发达国家的企业中，他们董事会里面不仅有薪酬委员会、投资委员会、审计委员会等等，还会有一个IT委员会，这个IT委员会负责治理层面上IT和业务的融合工作。因为如果在治理层面失之毫厘，那在操作层面就会差之千里。

　　IT治理是信息系统安全保障

　　2007年，德勤发布的一份全球金融服务业安全调查报告显示，当前中国金融行业（银行、保险和证券）面临的主要信息科技风险，包括缺乏有效的信息科技风险管理战略，信息科技治理结构的不够完善，高级管理层重视的不够，信息安全管理工作更多地只强调技术层面等等。中国金融机构内部大多数部门都认为信息科技工作是信息科技部门的事情，那么信息科技风险管理也只是信息科技部门的责任。这导致了信息科技治理结构不够完善，信息科技风险管理缺乏业务、风险管理、内部审计部门的有效支持。

　　“不能够简单地认为IT治理就是由高管层负责，风险管理由安全部门负责。”中国平安保险集团公司信息安全部总经理谭宪维先生表示：“平安保险集团对安全工作非常重视，专门成立了独立的信息安全部，以监管整个集团的安全工作。平安采取从下而上的管制方式，覆盖整个集团，横跨所有业务，严格按照信息安全标准来管理，这一切都得到平安集团董事会的同意与支持。”

　　中国人寿保险股份有限公司信息技术部网络管理处处长吴凤洁女士认为：“做好安全工作的前提是要在强化管理的方向上做，能够为稳定的生产运行提供支持，才能够得到大家的认可。安全建设不是独立于整个公司发展之外的东西，应该以公司发展为基础，它的工作应该是贯穿在整个公司的生产管理当中来进行的。所以安全工作实际上很多地方是管理方面合轨的工作。”据悉，中国人寿保险公司在美国上市后，更加强了对风险控制的重视程度。目前中国人寿成立有信息安全工作小组，并建立起了严格的风险评估与审查制度，全公司的安全意识得到不断加强。

　　太平洋财产保险公司信息技术部副总经理屈海文先生表示：“太平洋保险集团公司在去年年底上市之后，集团提出了一个‘持续价值增长’理念。以前主要强调以效益为中心，强调每年利润指标的完成，IT的好坏与业务只是间接的关系。而现在则是直接的影响，IT影响到整个业务的发展。同时，安全管理与风险防范工作显得空前重要，而安全不仅是在技术层面，更多的是在管理层面。”

　　中国保监会在“十一五”保险信息化专项规划中针对如何构建信息安全保障体系时指出，要全面落实信息安全管理责任制，坚持“积极防御、综合防范”的工作方针，进一步加强信息安全基础设施的建设，推进保险信息系统灾难恢复工作，积极开展信息安全风险评估，健全信息安全监控体系和通报机制，完善信息安全管理架构，建立信息安全标准规范，逐步构建完善的信息安全保障体系。专项规划要求到2010年，信息安全投入达到信息化建设投入的10%，保险网络与核心信息系统无故障运行率不低于99.9%。

　　从本次研讨会的交流中看到，目前各保险公司离保监会提出的目标还存在一定的差距，但是，与会主管们一致认同安全管理需要更多地从IT治理的角度实现，完善的IT治理是信息安全的保障。目前，保险公司应结合自身业务发展战略，在对信息科技风险评估的基础上，制定出与业务发展目标保持一致的信息科技风险管理战略。加强信息科技风险治理结构建设，设计出包括高级管理层、业务部门、信息科技部门、风险管理部门、审计和合规部门在内的信息科技风险治理架构，以满足信息科技风险管理对治理结构的要求。要从业务需求出发，从人员、技术和流程三个角度加强信息科技风险管控程序建设，逐步提高信息科技风险管控能力。

　　IT治理期待制度化

　　安诚财产保险公司信息技术部副总经理徐科先生曾经在香港的保险公司工作过多年，他认为：“目前香港的保险公司无论大小，他们在IT治理方面基本上都有一个框架，从体制、流程一直到一些重要活动的方案、审计等等，对IT治理的过程非常严谨并落实到每一个环节。国内的保险公司在IT治理的机制方面还存在一定差距。”

　　诚然，IT治理和风险管理是需要长期制度化的机制来实现的，而不是一蹴而就的。可喜的是，从最近两年保险业的发展来看，IT治理已经得到保险行业的一致认同和重视，并在制度化方面迈出了实质性的步骤。2006年9月5日，中国人寿保险股份公司原信息技术部总经理刘安林先生首次以公司CIO(首席信息官)身份与董事长杨超、总裁吴焰等其他高管一起面对媒体。刘安林表示，从信息技术部总经理（准CIO）到CIO，这绝不仅仅是个人身份的提升，更标志着中国人寿CIO机制的建立，其核心目标是在企业形成有效的IT治理结构。据悉，中国人寿信息化建设将以两个中心建设为契机，构造适应性IT体系架构，实现规范化IT治理模式，创建绿色IT生态系统，形成国际顶级IT能力。

　　当前，中国保险行业已步入高速发展期，保险行业的经营模式也向着多元化方向发展。截止到2007年底，我国保险公司的总资产已经达到29000亿元人民币，保费收入达7035.8亿元人民币。今年一季度保险业实现保费收入2979亿元人民币，增长的幅度达到51%，继续保持了高速增长的势头。信息化作为保险业改革发展的重要组成部分，是保险业快速发展、改善客户关系、强化风险管控，以及保险创新的重要技术支撑。近年来，我国保险行业的信息化投入一直保持着两位数的年增长率。据有关机构不完全统计，2007年中我国保险信息化的投入已经超过46亿元，而到2010年，保险信息化投入可望达到近80亿元。可以预见，随着保险行业的高速发展，保险行业对信息化的要求与投入也将呈现快速增长的势头。进一步完善IT治理，加强安全管理，在相当长的一段时间内将成为中国保险行业一个长期的工作重心和永恒的话题。