چو فردا شود، فکر فردا کنیم! / کی به استاندارد سازی در صنعت بیمه می رسیم؟
تدوین استانداردهای فناوری در صنعت بیمه چگونه و چرا؛
نعمتی: حلقه مفقوده، فراتر از استاندارد است و باید یک آییننامة فناوری اطلاعات در ابعاد مختلف ازجمله جایگاه فناوری اطلاعات، نیروهای انسانی فناوری اطلاعات، بحث سرمایهگذاری، بحث امنیت و استانداردها تدوین شود./ایمانی مهر: ضرورت اینکه بیمه مرکزی برای انتظارات سایر بازیگران برونصنعتی ریلگذاری پروتکلهای ارتباطی را با رویکردی سیستمی به انجام رسانده و نهادی تاثیرگذار و دارای وجاهت قانونی در صنعت بیمه شکل بگیرد./اسلامی:در لیست بهترین شرکتهای فارغالتحصیل حوزة فناوری قطعاً تعداد زیادی از بانکها و شرکتهای بانکی حضور دارند. آیا بیمه نیز به همین شکل است؟

به گزارش ریسک نیوز به نقل از نشریه بیمه داری نوین تدوین استانداراهای فناوری قابل ممیزی در صنعت بیمه به یک ضرروت مهم تبدیل شده است اما در عین حال کمتر شرکتی را می بینیم که نگرشی بسیار مبتدی نسبت به مقوله فناوری اطلاعات دارند. تغییر فرهنگ شاید از اهمیت بالا برخوردار است. عزمی که شرکت های بیمه را مجاب کند تا به اصلاح الگوهای استاندارد را شرکت خود پیاده سازی کند. اساسا چه شاخص هایی به تدوین و اجرای استاندارد سازی زیربنا و روبرنای صنعت بیمه کمک می کند.
میزگرد پیش رو با حضور سه تن از نخبگان و نماینده بخش های مختلف صنعت بیمه و دانشگاه انتخاب شده اند: سیدقاسم نعمتی؛ رئیس مرکز فاوای بیمه مرکزی، مهدی ایمانی مهر؛ قائم مقام مدیرعامل فناوران اطلاعات خبره و حسین اسلامی؛ رئیس هیئت مدیره سازمان نظام صنفی رایانه ای تهران.
* آقای نعمتی لطفاً در ابتدا به کلیاتی درمورد ملزومات و مقدمات تدوین مقررات و استانداردهای بیمهای اشاره کنید.
نعمتی: درمورد تدوین مقررات و زیرساختهای امنیتی و مباحث مربوطة آن در درجه اول، شناخت چیزی است که در صنعت بیمه به دنبال آن هستیم. اصولا تعریف درست صورت مسئله، بخش مهمی از حل مسئله است و ازسوی دیگر میبینیم که برخی اوقات کورکورانه به دنبال کپیبرداری و گرتهبرداری از مباحث مختلف هستیم. مثلاً گاهی پیشنهاد میشود که از فلان استاندارد یا الگو استفاده کنید و این کار بدون هیچ بررسی و تعمیق در بین ذینفعان و شناخت نیازمندیهای مربوطه صورت میگیرد و منتج به نتیجه نمیشود؛ بنابراین تصور میکنم یکی از نیازمندیها و ملزومات تدوین مقررات این است که بتوانیم بهدرستی عمق مسائل و صورت مسئله را استخراج کنیم و مدل درستی از صنعت مدنظرمان را تدوین کنیم و ماکتی از آنچه مدنظر است، تصویرسازی کنیم و سپس بر اساس آن، نقاط ضعف و قوتمان را شناسایی و یک استاندارد خوب ایجاد کنیم. یکی از نکاتی که باید به آن توجه کرد، مطالعة تجارب دنیاست. نباید از نقطة صفر آغاز کنیم؛ یعنی استاندارد خاص خودمان را وضع نکنیم.
صنعت بیمه یک صنعت وارداتی است؛ بنابراین آنچه در اینجا انجام میدهیم، فارغ از آنچه در دنیای بیرون هست، نیست. شاید بسیاری از محصولات و خدماتی که امروز در صنعت بیمه نداریم، منتج از همین الگوبرداری غلط و بهنوعی اضافه کردن مباحث مندرآوردی به این قضیه است که باعث شده تا صنعت بیمه حداقل در لایة فناوری یا لایة قابلیت بهرهبرداری از فناوریها دچار مشکلاتی شود یا دوگانهبرداشتهایی شود و این دوگانهبرداشتها اختلاف نظرها و تضاد منافع و مباحث دیگر را به وجود میآورد.
بنابراین من فکر میکنم یکی از مهمترین ملزومات این است که شناخت عمیق و درست از صورت مسئله داشته باشیم، و تجربههای جهانی دربارة قضیه را مطالعه کنیم. اصراری بر بومیسازی بیمورد در استانداردها نداشته باشیم، قطعاً بومیسازیهای لازم، فراخور قضیه وجود دارند؛ ولی از موارد غیر ضرور پرهیز کنیم و از الگوهایی که در دنیا به موفقیت منتج شدهاند بیشتر و بهتر الگوبرداری کنیم.
*جناب ایمانیمهر، آقای نعمتی سه نکته را مورد تاکید قرار دادند یکی تعریف درست مسئله و دوم مطالعه تجربیات جهانی و سوم نگاه منطقی به بومیسازی، به نظر شما بهعنوان نمایندهای از شرکتهای فناور بیمهای، چه مقدماتی در تدوین استانداردهای لازم برای توسعه زیرساختها و دیگر مولفههای مرتبط با فناوری بیمهای با تاکید بر نیازهای روز صنعت بیمه لازم است؟
ایمانیمهر: وقتی لیست عناوین موضوعاتی را که ماهنامة بیمهداری نوین طی یک الی دو سال گذشته در مقولة فرهنگسازی، فناوری اطلاعات صنعت بیمه و … منتشر کرده مرور میکنیم به این نتیجه میرسیم که تلاش شده تا درخصوص انجام کارهای درست با بازیگران مختلف درون صنعت گفتوگو صورت بگیرد تا به فهرستی از کارهای درست برسیم. این گفتوگو بهنوعی یک جمعبندی از تمام محورهای شمارههای پیشین است از منظر اینکه بتوانیم برای آنها متر و معیاری در نظر بگیریم و به فهرستی از موضوعات نیازمند استانداردگذاری – بهعنوان یکی از مقدمات اساسی پیرامون فناوری بیمه- برسیم.
بدیهی است که در شمارههای قبلی دربارة مقولة کدینگ واحد، ضرورتهای زیرساخت سختافزاری، تضمین مدیریت استمرارپذیری خدمات، مکانیسم بهاشتراک گذاری دادهها و جایگاه منابع انسانی در بخش فناوری صنعت بیمه گفتوگو داشتیم و امروز باید مستقیماً دربارة دامنههایی از موضوع که نیازمند ارادهای معطوف به استانداردگذاری است صحبت کنیم.
طی سالیان اخیر دربارة این موضوعات بسیار صحبت و نظریه داده شده است؛ ولی همچنان در عمل در خیلی از حوزهها پیشرفت محسوسی نمیبینیم؛ در دورهای بحث گفتوگوی تمدنها مطرح بود؛ اما امروز و در عصر اقتصاد دیجیتال، بحث گفتوگوی پلتفرمها مطرح است. برای گفتوگوی پلتفرمها ضرورت دارد تا هر شرکت بیمه را بهعنوان یک پلتفرم ببینیم و قانونگذار را – که دست بر قضا در قالب بیمهگر اصلی اتکایی نیز ایفای نقش میکند- بهعنوان یک پلتفرم ببینیم و بازیگران دیگر مثل قوة قضائیه، راهنمایی و رانندگی، نیروی انتظامی، راهداری، نظام سلامت و … را هرکدام یک پلتفرم ببینیم. صنعت بیمه چکیدة یک سبک زندگی دیجیتال است و برای اینکه در این صنعت از یکپارچگی صحبت شود، باید تمام بازیگران مؤثر در این مسیر حضور داشته باشند. درحالحاضر، بحث کدینگ واحد یکی از ضرورتهای این جریان -حداقل برای گفتوگو بین شرکتهای بیمه- است. امروز بیمهشدنیها عملاً در سیستمها و شرکتهای مختلف با نامهای متفاوت فراخوانی میشوند و تا زمانی که معرفت یکسانی از این جریان وجود نداشته باشد با چنین مشکلاتی مواجهیم. شما نمیتوانید مدعی شوید که در این مقوله به نتیجة قابلاعتنایی دست پیدا کردهاید. این مفهوم جزء بخشهایی است که باید برای آن استانداردسازی صورت بپذیرد و این استانداردسازی موضوعی است که قطعاً باید از بالا به پایین و در تمام سطوح جریان یابد.
مثلاً امروز لیست اطلاعات خودرو در بیمه مرکزی وجود دارد؛ ولی چرا در بسیاری از شرکتها عملیاتی نمیشود؟ چون آن لیست 400 الی 500 خودرو را شامل میشود؛ ولی عملاً تعداد خودروهایی که در شرکتهای بیمه دربارة آن صحبت میشود خیلی بیشتر از این تعداد است. بدیهی است کدینگ واحد باید از بالا ایجاد شود و اینکه هر شرکت برای خود کدینگ ایجاد کند امکانپذیر نیست.
امروز گفتوگوهای بسیاری دربارة اینکه سوئیچ باشد یا نباشد صورت گرفته و من فکر میکنم جایی باید به نتیجهای دست یابیم و زبان واحد را برای گفتوگو ایجاد کنیم و ریلگذاریهایی که برای یکپارچگی درونصنعتی و بینصنعتی مورد نیاز است محقق شود.
مسئله استانداردگذاری مانند یک چراغ راهنما عمل میکند؛ قسمتهایی سبز است، قسمتهایی زرد و قسمتهایی قرمز است. درواقع قسمتهایی به استانداردگذاری نیاز دارد، برای اینکه طی سالهای اخیر نبود استانداردها به صنعت بیمه آسیب وارد کرده است.
حوزههای زردرنگ، اگر و اما دارد. یعنی استانداردگذاری باید با احتیاط صورت بپذیرد و گاه ممکن است هزینههای استانداردگذاری از منافع آن بیشتر باشد ولی محدودههایی منحصرا خاص حوزة کسبوکاری یک شرکت بیمه است و بالطبع، ریشه در استراتژیهای آن شرکت دارد و من فکر میکنم ورود نهاد ناظر برای استانداردگذاری در این محدوده، بهنوعی دخالت در حاکمیت شرکت بیمه تلقی شده و آنچنان برتافتنی نباشد. این حوزهها برای استانداردگذاری قرمز است!
حوزههای سبز شامل کدینگ واحد و به اشتراکگذاری دادهها و امنیت است. موجودیت شرکت بیمه دیتا است و متأسفانه گاهی اوقات در این صنعت سرمایهگذاری در هر ناحیه صرفاً بهاندازهای انجام میشود که کاری که تا پیش از این انجام نمیشد انجام شود؛ اما اینکه انجام آن با چه کیفیتی و با چه تجربة کاربریای باشد متاسفانه در صنعت بیمه جزء موضوعات ثانویه قرار دارد!
حال، سوال اساسی این است که آیا باید در حوزۀ امنیت، دچار چالش جدی بشویم تا برای این مقوله در صنعت بیمه فکر جدی کنیم؟ شاید شرکت بیمهای بگوید که من علاقه ندارم روی مقولة امنیت سرمایهگذاری کنم. اینجا دقیقاً در تضاد با بحث حاکمیت بیمه مرکزی است؛ چون بیمه مرکزی است که درنهایت باید در قبال فقدان دادهها پاسخگو باشد. امروز وضعیت «پسیو» دیتا سنترها در برخی موارد بسیار نا امن است و در اکثر قریب به اتفاق شرکتها سایت پشتیبان نداریم. این در شرایطی است که کشور موقعیت خاصی را تجربه میکند و کوچکترین حملات امنیتی در صنعت بیمه عواقب بسیار بالای اقتصادی، سیاسی و اجتماعی به همراه خواهد داشت.
نکتة دیگر اینکه ما بیمه مرکزی را بهعنوان واسطه اتصال صنعت بیمه به سایر اکوسیستمها میبینیم. بدیهی است که اگر در این حوزه نتوانیم یک ریلگذاری مناسب را انجام دهیم دچار مشکل میشویم؛ مثلاً سازمان امور مالیاتی بهعنوان ذینفع خارجی انتظاراتی از صنعت بیمه دارد. معتقدم بیمه مرکزی دراینخصوص تلاش میکند ولی این تلاش باید در مسیری قرار گیرد که منتج به نتیجه شود درواقع یک ریلگذاری شکل بگیرد تا صنعت بیمه با درخواستهای ناگهانی و تغییر اولویتهای مداوم مواجه نشود.
ضرورت اینکه بیمه مرکزی برای انتظارات سایر بازیگران برونصنعتی ریلگذاری پروتکلهای ارتباطی را با رویکردی سیستمی به انجام رسانده و نهادی تاثیرگذار و دارای وجاهت قانونی در صنعت بیمه شکل بگیرد تا برای تغییرات درخواستی نهادهایی همچون ستاد مبارزه با قاچاق کالا و ارز و نظام سلامت و امثالهم امکانسنجی کرده و شکل منطبق با واقعیتهای موجود صنعت بیمه را بهعنوان روش بهینه پیشنهاد بدهد، امروز غیرقابل چشمپوشی است. این موضوعات بهعنوان حوزههای سبز باید شناسایی شوند؛ چون معتقدم تا زمانی که دربارة این حوزهها استانداردسازی صورت نپذیرد اتفاقی نمیافتد؛ البته استانداردسازی شرطوشروطی دارد که در دور بعدی به آن میپردازم تا از دادن آدرس اشتباه اجتناب شود.
* آقای اسلامی، به نظر شما بهعنوان یک فعال تشکل صنفی و هم دارای تجربههای حوزه بانکی، چه ملزومات و مقدماتی برای تدوین مقررات و استانداردهای بیمهای وجود دارد بهویژه اینکه شما تجربة خارج از صنعت بیمه هم دارید درواقع تجربیات شما و آزمون و خطاهایی که در بخش بانکی شاهد آن بودید چه میگویند؟
اسلامی: وقتی صنعت بیمه را از دوردستتر مشاهده میکنم اتفاقاً آن را از برخی حوزهها شبیه به دو دهه قبلتر بانکها میبینم. آن زمان در بانکها شروع متفاوتی از نوع نگاه متمایز به حوزههای فناورانه و سرمایهگذاریهای کلان انسانی و مالی داشتیم. همان زمانها توسن، بهسازان و فناپ تشکیل شدند و رشد جدی کردند. به نظرم باید در داخل کشور از موضوعات موفق الگوگیری کرد و به مسیرهای طیشده توجه کنیم. اتفاقاً معتقدم زیرساختهای لازم میتواند با شروطی به تحول دیجیتال کمک کند. من مدام فکر میکنم که در کدام صنایع میتواند تحول دیجیتال اتفاق بیفتد و مثمرثمر و خروجی بیرونی داشته باشد؛ یکی از این صنایع، صنعت بیمه است.
برای تحول دیجیتال به یکسری پیشنیازها احتیاج داریم که میتوان در استانداردها به آن نیز توجه کرد و بهنوعی شکوفایی را رقم زد. وقتی از بیرون به صنعت بیمه نگاه میکنم متوجه میشوم که بیمهگری میتواند از بانکداری متعالیتر باشد. این مفهوم متعالی است از این جهت است که ما میتوانیم دور هم جمع شویم و بخشی از درآمدهایمان را به موضوعی متعالی اختصاص دهیم؛ مثلاً همهمان از یک فرد حمایت کنیم این افراد میتوانند فرزندان ما باشند درواقع فرزند هر خانوادهای ممکن است درگیر بیماری شود. چه خوب است که چند نفر که دور این میز نشستهایم پولی را هر ماه کنار بگذاریم تا اگر فرزند هرکدام از ما بیمار شد از آن حمایت کنیم این مفهوم متعالی در بسیاری از صنایع دیگر غیر از بیمه دیده نمیشود. به نظر من بنمایه بیمه میتوانست خیلی متعالیتر باشد و عامه مردم با آن درگیر شوند؛ ولی امروز اینطور نیست؛ درواقع تصاویری که از بیمه داریم کمی متفاوت است. به نظرم ما نتوانستیم در داخل کشور اهمیت اصل بیمه را برای عامه مردم خوب جا بیندازیم. هنوز فرهنگ اعتماد به بیمه بهعنوان یک زیرساخت حیاتی آنقدرها که لازم است، جا نیفتاده و این نشان از آن دارد که ما به فرهنگسازی نیاز داریم. به همین دلیل تحول دیجیتال میتواند کمک کند و مفهوم بیمه را بیشازپیش جا بیندازد. حال چه کسانی میتوانند کمککننده باشند؟ اولین بخشی که میتواند کمککننده باشد بیمه مرکزی است. در بانکها نیز به همین شکل بود؛ اگر حوزه فناوری بانک مرکزی کمک نمیکرد، اصلاً اتفاقی رخ نمیداد. اصلاً شروعکننده بانک مرکزی بود. امروز منتقد هستیم که شرکتهای زیرمجموعه بانک مرکزی نباید با کسبوکارها رقابت کنند؛ ولی در آن مقطع شروع بدی نبود یا حداقل راهحل دیگری هم در آن زمان متصور نبودیم؛ بنابراین باید به این موضوع فکر کنیم و اتفاقاً معتقدم رگولاتور در حوزه تحول دیجیتال پیشرو و تأثیرگذار باشد.
* قبول دارم که تجربة بانکی شروع بدی نبوده است؛ ولی امروز راه برای صنعت بیمه هموارتر است؛ چون تجربه بانکی وجود دارد.
اسلامی: خیلی هموارتر است و شرایط کشور نیز هرچه بیشتر میتواند به صنعت بیمه کمک کند؛ برای چه باید سراغ بیمه برویم؟ تمام عواملی که برای گسترش مفهوم مدیریت ریسک و بیمه در یک کشور نیاز است امروز متاسفانه یا خوشبختانه در ایران عزیزمان وجود دارد. تمام نگرانیهایی را که میتواند از آینده وجود داشته باشد و فرد را به فکر فرو ببرد، امروز داریم؛ ولی به سمت بیمه هدایت نمیشویم بلکه اتفاقاً به سمت اینکه خودمان را از ریسکها خارج کنیم هدایت میشویم؛ به اشتراکگذاری ریسک و به اشتراکگذاری فرایندهایی که ریسک را برای ما مدیریت کند، وجود ندارد. در زمان جنگ همه مراقب یکدیگر بودند به یاد دارم از همسایه کمک میگرفتیم. اما امروز عنصر همسایه بسیار کمرنگ شده است. در .واقع فردیت بهشدت در حال گسترده شدن است و راهحل بسیاری از ما برای گذر از موضوعات جدی کشور این است که خودمان را از دیگران دور کنیم و سعی کنیم از ریسکها فرار کنیم، درصورتیکه ریسکها وجود دارند و اتفاقاً کنار هم ماندن افراد به رفع ریسکها کمک میکند.
* لطفاً به تجربههای استانداردسازی در صنعت بانکی اشاره کنید.
اسلامی: یکی از نکاتی که آقای ایمانیمهر نیز به آن اشاره کردند این است که شاید بهتر باشد حتی در شروع، فقط نبایدها مدون باشد و به بایدها به شکل ریز نپردازیم؛ به این دلیل که فرآیندهای حوزه فناوری سرعت متفاوتی با دو دهه قبل دارند که هرگونه حرکت بنافکن بهعنوان یک حرکت مخرب شناسایی میشود و سعی میکنیم از آن جلوگیری کنیم. تجربه من میگوید که آن زمان این موضوع اینقدر پررنگ نبود؛ یعنی نبایدها خیلی مشخص بود.
اتفاقاً درباره بایدها در آن زمان صحبت نمیکردند یا کمتر صحبت میکردند و بیشتر به کسبوکارها اجازه شروع میدادند و مجموعه رگولاتور سعی میکرد محدودیتها را طوری تنظیم کند که اتفاق بدی رخ ندهد. به زبان دیگر واقعا آزمون و خطا میکردیم؛ اما امروز نیاز نیست که اینقدر آزمونوخطا کنیم؛ بهترین شیوه خطا نکردن این است که چیزی نگوییم که بعداً مجبور شویم آن را اصلاح کنیم؛ بنابراین اتفاقاً موافقم که خطوط قرمز مشخص شود؛ ولی درباره بقیه خطوط تعجیل لازم نیست و اتفاقاً در استانداردها باید اجازه دهیم کسبوکارها خودشان را پیدا کنند.
* یعنی عجله برای استانداردسازی در بعضی از حوزهها نیاز است؟
اسلامی: تسریع در تدوین استاندارد حداقلی را قبول دارم. به نظرم نبایدها باید بهسرعت بیان شوند؛ چون دراینصورت کسبوکارها آسیب میبینند. ولی پرداختن ریز به بایدها را سازنده نمیدانم و ممکن است آسیب جدی به تحول دیجیتال و نیز استارتآپهای این حوزه بزند.
ایمانیمهر: از زمانی که بحث فناوری اطلاعات در صنعت بیمه رنگ و بوی جدی به خود گرفت، بیش از دو دهه میگذرد. به نظر شما دو دهه، کافی نبوده است که شرکتهای بیمه به این جمعبندی برسند که این الزام وجود دارد که سایت پشتیبان و بازیابی بحران را برای حصول اطمینان از حفظ دادههای بیمهگری در اختیار داشته باشند؟ بله وقتی میفرمایید باید فرصت داد، درمورد بازیگران دیجیتال یا موجودیتهای جدیدی از جنس تجمیعکنندگان دیجیتال یا محصولات جدید و روندهای جدید درست است. درواقع معمولا در سمت بیمه مرکزی همین رویکردی که به آن اشاره میکنید جاری است؛ ولی برای اینکه یک شرکت بیمه لزوماً به سمت اینکه به حوزة زیرساخت در شأن صنعت بیمه سرمایهگذاری انجام دهد بیش از دو دهه زمان داده شده است. اگر همچنان با همان فرمان پیش برویم هیچ اتفاق خوبی در انتظار صنعت بیمه نخواهد بود.
* درواقع معتقدید که در دو سطح بحث شده است؛ یکی در سطح شرکتهای فناوری که باید یکسری استانداردها را رعایت کنند و یکسری هم کسبوکارهایی که قرار است به این اکوسیستم اضافه شوند و شاید هم اضافه شدهاند.
ایمانیمهر: واقعاً در این زمینه خیلی دیر شده است. قبول دارم وقتی درمورد شرکتی نظیر ققنوس صحبت میکنید، بحث بلاکچین یک تِرِند متأخر است و باید زمان کافی برای شکلگیری و شناسایی محدودههای قابلپذیرش داده شود. به یاد دارم در سال 90 الی 91 بحث USSD در صنعت بانکی مطرح شد و یکی از بانکها روی بحث USSD جلو رفت؛ ولی نهاد ناظر در نقطهای وارد شد تا قوانین آن را طرحریزی کند یا درمورد بحث بلاکچین به افق دو سه ساله، نیاز است؛ ولی ما الان درباره موضوعی صحبت میکنیم که بیش از 20 سال از آن میگذرد و بسیار پایهای است. امروز موقعیت فیزیکی دیتاسنتر برخی از شرکتهای بیمه از استانداردهای لازم تبعیت نمیکند و این امر، چالشهایی را برای واحدهای فناوری اطلاعات شرکتهای بیمه ایجاد نموده است؛ زیرا امروزه دیگر بیمهگذار و شبکه فروش نمیتوانند اختلال سرویس را حتی برای چند دقیقه تحمل کنند درحالیکه شاید چند سال پیش این جریان با اغماض پذیرفته میشد. خوشبختانه انتظارات مشتریان و شبکه فروش به سمت حرفهای شدن حرکت کرده است اما در زمینه ملزومات برآورده ساختن این انتظارات نیازمند بازنگری دوباره هستیم.
اسلامی: من دربارة خط قرمزها نکتهای ندارم؛ اگر فکر میکنید این موضوع خط قرمز است، باید بیمه مرکزی عکسالعمل نشان دهد. مهمتر از سرمایهگذاری زیرساختی و سرمایهگذاری مالی، سرمایهگذاری روی سرمایه انسانی است. آیا شرکتها نمیدانند که داشتن چنین زیرساختی برای آنها واجب است؟ آیا عمل نکردن به آن ناشی از نادانی است یا ناشی از این است که امکان سرمایهگذاری مجدد را ندارند یا ناشی از این است که اصلاً اولویت آن وجود ندارد؟
ایمانیمهر: متاسفانه اولویت برخی از آنها صرفا سرمایهگذاری زودبازده است. شاید سهامدار چنین انتظاری دارد.
اسلامی: موضوع امنیت اطلاعات باید اولویت اولیه و بدیهی آنها باشد.
* شما که از بیرون، صنعت بیمه را نگاه میکنید، عکسالعملتان دراینرابطه چیست؟
اسلامی: این موضوع دو دهه در جریان است و قاعدتاً ناشی از ناآگاهی نیست؛ حتی ناشی از نداشتن متخصص هم نیست. به نظر میآید ما در کشورمان و در بسیاری از صنایع تا بحران اتفاق نیفتد، عکسالعمل مناسبی نشان نمیدهیم. ما در حوزة پرداخت، شرکت انیاک را داشتیم که بعد از آن تغییرات رخ داد. همین امروز هم در بانکها با مشکلات زیادی روبهرو هستیم. طی چند ماه اخیر چندین بازداشتی در داخل بانکها داشتیم.
معتقدم؛ استاندارد، لزوماً این موضوع را حل نخواهد کرد درواقع استاندارد لزوماً راهحلی برای این مشکلی که به آن اشاره کردید، نیست.
به نظر شما اگر فردا استانداردها ابلاغ شود و بگویند که باید ریکاوری باشد چه اتفاقی میافتد؟
ایمانیمهر: درست است که مشکلات را صفر نمیکند؛ ولی وجود آن میتواند مفید باشد. البته قبول دارم که اگر فرهنگ مواجهه با فناوری در صنعت بیمه همراستا با منافع بلندمدت این صنعت بشود، خودبهخود بخش بزرگی از این چالشها برطرف خواهد شد.
اسلامی: اگر خط قرمز است، باید وجود داشته باشد؛ ولی جسارتاً این موضوع لزوماً منجر به رفع این مشکل نخواهد شد. در این مورد باید با ادبیات کسبوکار صحبت کنیم؛ اگر کسبوکارها احساس کنند که منافعشان در خطر است یا منافع بهتری خواهند داشت به سمت آن میروند؛ درواقع باید ضریب اجرا هم داشته باشد؛ دراینصورت اگر یک شرکت بیمه چنین کاری نکرد، چه برخوردی با آن میشود؟ اتفاقاً احساس من این است که قبل از آنکه آن شکوفایی اتفاق بیفتد باید سرمایهگذاری جدی انسانی شکل بگیرد. امروز چند شرکت تولیدکننده در حوزه بیمه و بانک داریم؟
ایمانیمهر: در حوزة بیمه سه الی چهار شرکت نرمافزاری اصلی و در حوزة بانک پنج الی شش مورد داریم؛ در صنعت بانکی توسن، خدمات انفورماتیک، بهسازان، داتین را داریم؛ ولی چند تولیدکنندة موبایل اپلیکیشن یا اینترنت بانک داریم؟ مسلما خیلی بیشتر از این تعداد است که بخشی از آن برمیگردد به اینکه صنعت بیمه ماهیتاً با صنعت بانک تفاوت دارد؛ در صنعت بیمه نیز فناوران، سیمرغ، داتین و … را داریم؛ ولی مشکل ما تعداد بازیگران در سطح نرمافزار بیمهگری نیست. بازیگران افزونهنویس کم داریم. واحدهای فناوری شرکتهای بیمه محدود ماندهاند؛ آیا به این سوال فکر کردهایم که چه اتفاقی میافتد که واحد فناوری اطلاعات یک بانک با سهم بازار متوسط، بیش از صد نفر پرسنل واحد فناوری اطلاعات دارد؛ ولی در یک شرکت بیمه با 12 الی 13 درصد پورتفوی صنعت بیمه، تنها 30 نفر در واحد فناوری اطلاعات فعالیت میکنند که 25 نفر از آنها کارمند هستند و درواقع سه نفر پشتیبان و دو توسعهدهنده دارد!
اسلامی: آنچه در بانکها یا در برخی صنایع یا در برخی مشاهدات و مطالعات بیرونی به افزایش سطح استاندارد کمک کرده است، دستوری نبوده بلکه رقابت بوده است و این رقابت نیز باید در بیمهها و تأمینکنندهها شکل بگیرد. آنچه میتواند استانداردها را تغییر دهد، رقابت جدی است. ما در حوزه بانکی، چه در میان بانکها با تمام محدودیتهایشان و چه در میان تأمینکنندگان حوزة فناوری رقابت جدی داریم. ازطرفی سرمایهگذاری سنگینی اتفاق افتاده است.
در لیست بهترین شرکتهای فارغالتحصیل حوزة فناوری قطعاً تعداد زیادی از بانکها و شرکتهای بانکی حضور دارند. آیا بیمه نیز به همین شکل است؟ معتقدم این موضوع باید از درون بدنه بجوشد، در تأمینکنندگان فناوری و مجموعههای بیمه، اولویت اساسی حوزة فناوری و تحول و بعد جذابسازی است. بانکهای دولتی در حال تهی شدن از افراد توانمند هستند؛ بهویژه در حوزة فناوری، ولی در بخش خصوصی هنوز بارقههایی از امید هست؛ بهجز خارج رفتن، بسیاری از آنها را استارتآپها جذب میکنند. اگر افراد فناور توانمند حضور داشته باشند، این موضوع مرتب چکشکاری میشود تا مشکلات رفع شود حداقل بدیهیات رفع شود. انتظار این نیست که آنها علاوه بر مرکز داده اصلی، مرکز داده پشتیبان و مرکز داده بحران 400 کیلومتر خارج از تهران همین حالا داشته باشند و یک سرمایهگذاری نجومی صورت بگیرد؛ نه منظورمان این نیست؛ ولی حداقلها را میتوان رفع کرد و به هزینههای عجیبوغریب نیز نیاز نیست؛ وقتی افراد توانمند حضور نداشته باشند، بحران و حادثه میتواند مشکل را برای ما آنقدر پررنگ کند که بتوانیم فرمان را بچرخانیم.
* آقای نعمتی لطفاً به وضع موجود اشاره کنید. شما وضع موجود زیرساختهای فناورانه صنعت بیمه را ازحیث سه شاخص فنی، سرمایهگذاری و سرمایههای انسانی چگونه میبینید؟
نعمتی: مجموعه دلایل این اتفاقات را در صنعت بیمه رقم میزنند؛ با بیان این مسائل ناخودآگاه خودمان را به سمتی که “باید اجباری وجود داشته باشد یا باید یک استاندارد ابلاغی دستوری وجود داشته باشد” سوق میدهیم. در بسیاری از نقاط دنیا فریمورکهایی ایجاد شده که ماهیت این اجباری را ندارند. فریمورکها مجموعهای از تجارب اثباتشدة درست هستند که اگر قصد دارید در کسبوکار خود مثلا از نقطه A به نقطه B برسید، میتوانید از آنها استفاده کنید چراکه قبلا دیگران همین مسیر را طی کردند و به هدف رسیدهاند. حال چهچیزی باعث میشود تا افراد این استاندارد را پیاده کنند؟ میل به موفقیت، یعنی فرد دنبال موفق شدن است و خود را به هر دری میزند تا راهکار موفق شدن را پیدا کند. متاسفانه به نظر میرسد در داخل، رغبتی برای موفقیت نیست. شاید شرکتهای بیمه همین نقطهای را که حضور دارند، نقطه بهینه خود میدانند. در مقوله امنیت هم همین تفکر جاری است. و الا چهکسی به ذهنش نمیرسد که باید ایمنی دادهها و سیستم خود را فراهم کند؟ شرکتهای بیمه در بحث ارائة خدمات بهتر با یکدیگر رقابت دارند تا خدمات بهتری ارائه دهند؛ اما در ایجاد امنیت با یکدیگر رقابتی ندارند؛ درحالیکه ایجاد امنیت از ضروریات کار است.
فرهنگ سازمانی ما در برخی امور ازجمله امنیت مصداق «چو فردا شود، فکر فردا کنیم» است. همین که دنبال این هستیم که استاندارد اجباری باشد و ما را مجبور به ایمن شدن کند ناشی از همین فرهنگ است. در اولویت نبودن مباحث فاوا و از همه مهمتر، امنیت، به دلیل گران بودن آن، موجب شده است تصمیمگیران سازمانی شرکتهای بیمه، اقبال کمتری به موضوع نشان دهند و رسیدگی به این مهم را به نفر بعد از خود بسپارند و در جلسات هیئتمدیره، خود را درگیر هزینه بالای شرکت نکنند.
* آیا برای درک این مسئله، راه دیگری وجود ندارد که این عارضه را دور بزنیم و سریعتر به نقطة مطلوب برسیم؟
نعمتی: در این شرایط بهترین راهکار، راهکار بد اجبار است.
ایمانیمهر: به نظرم مسئله، ریشهایتر از چیزی است که به نظر میرسد.
نعمتی: شاید علت آن است که همانطور که عرض شد، بالاخره این راهکار خوب نیست و به نتیجة مطلوب نمیرسیم.
ایمانیمهر: با آییننامهها به نمره منفی میرسیم. آیا نمرهمنفی چیزی را حل میکند؟
نعمتی: بعید میدانم، آیا در مقوله رانندگی، نمره منفی موجب کاهش تصادفات و تخلفات شده است؟
* تصور نهاد ناظر از استانداردسازی چیست؟
نعمتی: فاوا چهار دوره گردهماییهایی با حضور مدیران فناوری اطلاعات و معاونان فنی شرکتهای بیمه برگزار کرده است. طی چهار دورة قبلی، تمامی همکاران آیتی که در شرکتهای بیمه حضور داشتند در سه الی چهار موضوع شکوه و گلایه داشتند؛ یکی از این موارد، بحث سرمایهگذاری در حوزه فاوا بود. درواقع از دید شرکتهای بیمه هرگونه پولی که در حوزه آیتی صرف میشود بهعنوان هزینه تلقی میشود؛ درحالیکه این سرمایهگذاریها هزینه نیست. بحث دیگر بحث نگهداشت نیروی انسانی است. مراکز فاوا در تمام شرکتهای بیمه در اولویت پایین قرار دارند؛ در شرکتهای بیمه وقتی از “واحد فنی” صحبت میکنید، منظور “واحدهای بیمهای” است، نه واحد آیتی.
اگر یک نفر از واحد آیتی در واحد بیمهای مشغول به کار شود، میگویند شما بیمهای نیستید، درحالیکه این فرد عمری با مشکلات بیمه در ابعاد و اشکال مختلف دستوپنجه نرم کرده و برای حل آنها راهحل ارائه کرده است. مسئلة دیگر که در این موضوع دخیل است عدموجود بحث فرایندمحوری در شرکتهای بیمه است؛ آیتی در شرکتهای بیمه هیچ ساختاری ندارد.
* گفته های شما بهعنوان نهاد ناظر نشان میدهد تا حد زیادی نسبت به مسئله اشراف دارید آیا اینجنین است؟
نعمتی: طی سه الی چهار دورة گذشته که در بحث فناوری گفتگو و نشست داشتیم، به این نقطه رسیدیم که حلقه مفقوده، فراتر از استاندارد است و باید یک آییننامة فناوری اطلاعات در ابعاد مختلف ازجمله جایگاه فناوری اطلاعات، نیروهای انسانی فناوری اطلاعات، بحث سرمایهگذاری، بحث امنیت و استانداردها تدوین شود. لذا اخیرا پیشنویسی از این آییننامه تهیه و به بخش آیتی شرکتهای بیمه ارائه شده است تا هر نظر و پیشنهادی دارند اعلام کنند. این پیشنویس با ادبیات فناوری نوشته شده است و منتظر دریافت نظرات عزیزان فاوایی شرکتها هستیم. در گردهمایی بعدی فاوا نیز چکشکاریهای نهایی را انجام میدهیم و بعد به هیئت عامل بیمه مرکزی پیشنهاد میشود تا موضوع در شورای عالی بیمه مطرح شود.
* آیا این موضوع در کارگروه آیتی فناوری سندیکا نیز مطرح شده است؟
نعمتی: بله به سندیکا نیز اعلام شده است و پیشنویس آن را به کارگروه فناوری سندیکا ارسال کردهایم.
* چقدر از تجربیات خارج از ایران و چقدر از تجربیات خارج از صنعت در این پیشنویس استفاده شده است؟
نعمتی: برای اینکه این حوزه را نیز به آن اضافه کنیم، یک نسخه از آییننامة پیشنهادی را به پژوهشکده بیمه دادیم تا این موارد را هم به آن اضافه کنند. پژوهشکده یک میز فناوری اطلاعات دارد و حتی میتواند از بیرون نیز مشاوره بگیرد.
سعی کردیم در این استانداردها ماژولار جلو برویم؛ مثلاً افتا مدتهاست مجموعهای از الزامات را جمعآوری و ابلاغ میکند؛ لذا سعی کردیم در آییننامه، رعایت استانداردهای افتا را الزامی کنیم. یا هر الزام و استاندارد سودمندی را که ازسوی مرجعی دیگر ارائه و بهروزآوری میشود.