专题研究
中小保险公司数据治理风险防控研究

 

 

德华安顾人寿保险有限公司 张咏梅 刘华利 夏凤霞

 

    近年来,国内保险行业发展迅速,保险数据规模迅速扩大,但保险数据质量参差不齐,数据治理成为保险行业,尤其是中小保险公司的痛点。我们将结合保险行业的最新监管趋势,借鉴领先保险企业经验,探讨中小保险公司数据治理提升风险管理的相关举措,以期在数据治理、监管统计管理、数据安全保护等日益趋严的情势下,促进中小保险公司有效开展数据治理工作,防范监管数据质量风险,提升数据价值及应用水平,为业务价值创造及转型高效赋能。

 

    一、数据治理风险防控的现状

 

    数据作为新型生产要素,已成为国家基础战略性资源和社会生产创新要素之一。挖掘数据、分析数据和管理数据,从数据寻找价值和管控风险,是保险行业的重要任务。高质量数据,是数据价值充分实现、风险精准捕获与防控的前提。全面提升数据质量,促进数据内部治理和风险管理体系有机融合,不仅是行业高质量发展的必然要求,更是公司健康发展的基础保障。为有效管理保险行业数据资产,实现数据价值的最大化并确保数据安全,急需建立一个完善的数据治理框架体系,为公司数字化转型打下坚实的数据基础。

 

    (一)数据质量要求趋严

 

    党的十八大以来,党中央、国务院先后发布《关于更加有效发挥统计监督职能作用的意见》《防范和惩治统计造假、弄虚作假督察工作规定》等一系列文件,《商业银行法》《保险法》《统计法实施条例》等相继修订,《数据安全法》正式实施。2023年初,原银保监会制定并发布《银行保险监管统计管理办法》、明确要求银行保险机构将监管统计工作纳入数据治理,对于未按规定提供监管统计资料、编造或提供虚假监管统计资料的,监管机构可以依法予以处罚。

 

    近年来,银行保险监管机关及派出机构高度重视监管数据的整体治理水平和质量控制机制,多次组织开展数据质量专项治理工作。2022年度,原银保监会对保险行业处罚中,涉及编制或提供虚假资料的处罚共计206次,占比17.80%,处罚金额合计4,232万元,处罚事由主要是漏报错报EAST数据、部分数据交叉校核存在偏差等数据质量违规问题。除行政处罚外,原银保监会还督促被处罚机构严肃追责问责,深挖数据质量违规问题背后的治理不完善、机制不健全等根源性问题,完善机制缺陷,弥补制度漏洞。

 

    (二)数据安全保护承压

 

    《网络安全法》《数据安全法》《个人信息保护法》构成了我国数据安全领域完整的基础性法律体系,为保险行业、个人数据安全保护提供了最重要的法律参考依据。在现行体系下,数据安全风险更加复杂多变,数据流动也给公司管理带来诸多难题,如管理者所处环境的复杂性、数据的持续移动和扩散、内部数据安全问题等。保险行业的数据安全管理面临法律法规监管、新技术新模式应用等衍生的新风险、安全事件等多方面压力,亟需全方位加强数据安全建设。

 

    (三)数字化转型要求紧迫

 

    在数据驱动的数字化时代,数据已成为各行业的核心资产和重要战略资源。保险行业的发展从粗放的拼费用、拼价格转向拼服务、拼技术、拼客户经营,因此加强数据治理,掌握深入分析核心业务数据的能力,一切业务数据化,一切数据业务化,是进一步优化产品管理、提升客户服务水平、萃取业务价值、打造企业核心竞争力的重要途径,也是行业在后疫情时代转型发展的紧迫要求。

 

    二、中小保险公司数据治理风险防控中的主要问题

 

    (一)数据管控体系不健全

 

    目前银行业已制定了与数据治理相关的基本制度规范,设立了数据治理职能部门,从被动治理转向主动治理模式,数据治理成效凸显。而相比银行业和大型保险公司,大部分中小保险公司的数据治理尚处于起步、探索阶段,尚未形成成熟完善的数据管控体系,还需要一个较长时期的摸索过程。一是未完全将数据治理纳入公司治理范畴,未建立有效的自上而下、协调一致的数据治理体系,数据治理和公司治理之间存在部分脱节。二是数据治理的架构不完善,运行机制待优化。比如未指定专门的数据治理职能部门和专岗人员,业务、管理、开发等部门之间的部分职责不清晰、联动性不畅,上下级机构之间未形成有效指导管理等。三是数据治理文化不健全,全员参与治理意识不强,数据管理主要为存储、查询、报送等应用,管控理念与准则不清,用数意识不强,源头数据重视不足等。

 

    (二)数据标准及统计口径不统一

 

    数据治理工作从数据采集、规范到加工处理等各个环节,都需要严格按照国家及行业的标准要求来执行。但在实际数据管理过程中,往往面临很多质量标准问题。一是未建立明确细致的数据标准和 SOP,比如没有建立覆盖全部数据的标准化规划,或业务规范和技术标准不统一,导致标准化体系不完善。二是内、外部统计口径不一,考虑到监管职能的不同,同一指标在不同监管部门存在不同规则口径,同样公司出于业务发展和绩效考核等考虑,也会存在部分经营指标与行业口径不一致等情况。三是数据生产规则老旧,无法完全满足数据治理要求和业务经营需要,部分中小机构核心生产系统已使用多年,尚未更新换代,而原有的生产数据尤其是历史数据,在质量和规则上可能与当前的要求和标准存在差异,需对生产数据进行多次大量的加工转换,转换过程当中可能出现编码不一致映射错误等问题。四是业务规则不断变化更新,生产数据的规则如果跟不上规则变化,也容易产生数据和实际业务情形不匹配等情况。

 

    (三)人才储备及能力欠缺

 

    中小保险公司因公司规模小、数据治理起步晚等,和银行业、大型保险公司相比存在数据治理人才不足、能力欠缺的问题。一是专业数据治理人才区域分布不均衡,国内数据治理的优秀人才基本上集中在北上广深地区,其他地区的中小保险公司数据治理从业者较少,较难引入优秀的数据治理人才。二是对专业数据治理人才重视程度不够,没有建立数据治理人才的职业发展规划,存在编制少、投入少,其他岗位人员兼岗,且人员异动较大等现象,数据分析人才、管理人才、业务人才难以围绕数据治理形成合力。三是随着监管下沉及趋严,对监管数据要求和标准进一步提升,技术也不断变革,新业务场景不断变化,对专业人员的素质和能力要求也在不断提高,专业能力需要进行不断升级。

 

    (四)费用投入不足

 

    数据治理涵盖了数据标准管理、数据模型管理、元数据管理、数据质量管理、数据安全管理、数据生命周期管理等方面,是一个应用系统不断升级、服务内容不断丰富的过程,需要不断升级现有的软件、硬件系统,每项工作都涉及大量的工作与费用投入,对此中小型保险公司承受能力相对不足。保险行业头部公司以及大型银行实施数据治理项目,仅咨询费就达几百万甚至上千万元,且不包含后续的系统与服务的采购与实施费用,这对于中小保险公司来说无疑是可行性较低的费用投入策略,只能试图通过外包、短期少量人才引进、内部兼职、临时培训等把费用控制在适当范围内。

 

    三、开展和加强数据治理风险防控的主要措施

 

    数据治理风险防控既要严抓过程,更要注重结果,保证监管数据信息的及时性、准确性、全面性、确保数据安全、客户信息安全等,是保险机构检验数据治理工作质量和成效的重要标尺,是中小保险公司必须履行的法定义务和底线,也是防范经营风险、合规风险的必要前提。

 

    (一)构建治理体系,加强体制保障

 

    数据治理风险防控体系涉及业务、IT、管理等各方面,仅仅依靠其中一方开展数据治理无法取得成功、需要来自更高层管理者的驱动力。一是公司应不断完善数据治理架构、可建立跨领域的数据治理委员会,将数据战略与业务战略、IT战略紧密结合、建立自上而下的跨部门、跨业务条线的组织体系,并加强数据治理委员会组织实施数据治理工作的有效性。二是公司不断完善数据治理制度流程,应建立公司整体的覆盖数据引入、加工、使用、服务等整个数据生产运营过程的数据管理和业务管理的内控制度、流程、机制,对数据治理领域各控制环节主要活动进行说明,由数据管理办公室、业务管理部门、信息技术部门等职能部门结合工作实际分别制定数据治理的业务制度,围绕数据治理流程建立标准化的操作手册,为各部门各岗位开展数据管理工作提供依据参考。

 

    (二)建立指标体系,统一指标标准

 

    中小保险公司可结合公司业务实际,逐步建立指标体系、统一指标标准,通过统一的数据标准制定和发布,结合制度约束、系统控制等手段,实现公司内部数据的完整性、有效性、一致性、规范性、开放性和共享性管理。一是建立数据标准化管理流程,制定发布统一的指标体系管理制度,明确指标管理的原则、管理机制、权责、流程等。二是制定和完善标准化指标库以及操作手册,内部采取统一模板收集汇总内外部各类指标并进行分类整理,规范指标的定义、口径、来源、计算标准、提取方式、关联系统等要素,并按照实际定期进行更新完善,形成标准化、规范化的指标数据库。三是持续开发数据管理平台,结合业务实际和数据治理标准的不断变化,对各个生产系统产生的数据进行持续的规范,同时借助数据中台或数据集市对各类原始数据进行清洗、转换,并不断加载到整合平台的数据模型中,进一步转换构建标准化的指标库,实现数据标准化的全过程。

 

    (三)搭建数据中台,加强系统化水平

 

    中小保险公司可通过搭建企业级数据中台系统,实现全域数据的统一管理、监测及治理等。一是采集并建立完整的数据资产目录体系,打通各数据关系网络,如接入核心业务系统、财务系统、投资系统、销售人员管理系统、精算系统等重要数据源,逐步实现全域数据的统一管理、集中开发和融合共享。二是积极引入数据质量管理工具和数据一致性检测工具,实现对数据质量和一致性的自动监测和报告、及时发现数据不一致、不完整、不正确、不合规、不及时等问题,减少人工干预。三是以人工智能和机器学习等技术为基础,推动数据治理的智能化,建设数据分类和分析模型,将其应用于数据清洗、数据集成和数据分析等方面,自动发现数据质量问题、识别数据关系、进行数据融合等。四是借助数据中台加强公司数据系统化水平,实现由需求单位提出申请后专门岗位人工统计,改进为自动生成固定报表、随时支持需求单位自定义查询分析等自动化、智能化的提数功能,大幅提高工作效率,更好地赋能业务价值创造。

 

    (四)加强安全保护,严守依法合规底线

 

    近年来数据安全事件有增无减,中小保险公司迫切需要建立完善数据安全管理制度和技术保护机制,加强数据安全体系,这是数据治理和信息生命周期管理的基础,也是依法、合规及风险管理的重要一环。一是可以通过对内部数据全生命周期的盘点梳理,确定数据所有权的分配并建立完善的权责制度,以满足监管及合规要求。二是结合监管要求,并根据数据资产对公司的重要程度,为数据打上不同的标签,对敏感数据进行分级分类,根据数据所属的级别,明确数据的使用范围、开放方式、不同等级的数据在不同场景使用不同的安全策略。三是积极采取数据泄露防护、加密、权限管理等技术手段,对公司客户信息、机密数据等提供进一步的保护,从而降低数据泄露带来的风险。四是持续加强内部日常抽查检查,防微杜渐,尤其是要加强信息科技外包风险的日常管理,及时识别潜在的数据泄露、网络安全等问题,对出现的潜在风险及时采取有效措施进行化解。五是不断加强员工数据安全的教育培训,可通过内部学习考试、信息安全知识竞赛、专项培训计划、信息安全事故分享等方式,不断培养广大员工的数据安全意识,提高数据使用敏感度。

 

    (五)强化绩效考核,促进优化改进

 

    数据质量考核是为了更好地校验数据治理目标而进行的奖惩,在数据治理方面,中小保险公司应建立一套奖惩分明的绩效考核体系。一是完善数据治理的绩效考核指标,对数据治理相关高级管理人员、数据治理部门、数据治理人员的绩效考核中,考虑增加数据安全、合规、质量、提升等方面的考核指标。二是推动数据治理评估、检查、监督,对重要系统数据Owner部门,采取每月度抽查、每季度通报、每年度考核,与晋升等挂钩,还可将数据治理评估纳入公司专项审计。三是强化问责,在公司的纪律处罚有关规定中,细化数据治理问题的问责机制,对出现因数据治理不完善导致的监管数据、数据安全等问题加大内部问责处罚力度。四是加强正向激励,对于数据治理管理进行创新,有突出贡献或长期稳定的专业人员,可在培训、晋升、奖金等方面给予特殊奖励。

 

    (六)加强数据应用,重视数据价值实现

 

    中小保险公司需要在风险管理、业务经营、内部控制等方面加强数据应用、提高管理精细化程度,发挥数据价值。一是加强数字化风控水平,完善风险管理信息系统功能,实现对各类风险数据的采集、加工及指标自动预警监测功能,构建风控模型,精准识别保前、保中、保后等业务风险,为自动核保、核赔等提供精准风险提示。二是提升客户服务,加强消费者权益保护,构建完整数字化客户旅程地图,为客户提供健康管理闭环服务,广泛应用OCR识别、智能身份认证等服务能力,如投保、保全、回访过程中客户身份识别、证件识别、实名认证等方面。三是赋能业务创新,充分利用大数据、云计算、人工智能、区块链等信息技术赋能渠道创新、产品创新、服务创新等,推动业务线上化到线上生态化的转变,实现数字化经营闭环管理,基于智能可穿戴设备的重疾险新模式开拓新的健康管理服务模式,通过精准的用户画像和用户信息助力业务发展。

 

    综上分析可见,中小保险公司可以通过采取一系列管理措施,充分利用现有资源,高效开展数据治理工作,以期在较短时间内建立相对健全的数据治理管控体系,最大程度解决监管数据质量问题,防范相关数据治理风险,切实提升数据价值及应用水平。

 

    [作者简介]张咏梅,德华安顾人寿保险有限公司总经理助理、审计负责人;刘华利,德华安顾人寿保险有限公司风险管理部总经理助理;夏凤霞,德华安顾人寿保险有限公司数据统计岗。

 

(来源:国家金融监督管理总局官微)

 

 

 

中国保险保障基金有限责任公司