چو فردا شود، فکر فردا کنیم! / کی به استاندارد سازی در صنعت بیمه می رسیم؟

به گزارش ریسک نیوز به نقل از نشریه بیمه داری نوین تدوین استانداراهای فناوری قابل ممیزی در صنعت بیمه به یک ضرروت مهم تبدیل شده است اما در عین حال کمتر شرکتی را می بینیم که نگرشی  بسیار مبتدی نسبت به مقوله فناوری اطلاعات دارند. تغییر فرهنگ شاید از اهمیت بالا برخوردار است. عزمی که شرکت های بیمه را مجاب کند تا به اصلاح الگوهای استاندارد را شرکت خود پیاده سازی کند. اساسا چه شاخص هایی به تدوین و اجرای استاندارد سازی    زیربنا و روبرنای صنعت بیمه کمک می کند.

میزگرد پیش رو با حضور سه تن از نخبگان و نماینده بخش های مختلف صنعت بیمه و دانشگاه انتخاب شده اند: سیدقاسم نعمتی؛ رئیس مرکز فاوای بیمه مرکزی، مهدی ایمانی مهر؛ قائم مقام مدیرعامل فناوران اطلاعات خبره و حسین اسلامی؛ رئیس هیئت مدیره سازمان نظام صنفی رایانه ای تهران.

* آقای نعمتی لطفاً در ابتدا به کلیاتی درمورد ملزومات و مقدمات تدوین مقررات و استانداردهای بیمه‌ای اشاره کنید.

نعمتی: درمورد تدوین مقررات و زیرساخت‌های امنیتی و مباحث مربوطة آن در درجه اول، شناخت چیزی است که در صنعت بیمه به دنبال آن هستیم. اصولا تعریف درست صورت مسئله، بخش مهمی از حل مسئله است و ازسوی دیگر می‌بینیم که برخی اوقات کورکورانه  به دنبال کپی‌برداری و گرته‌برداری از مباحث مختلف هستیم. مثلاً گاهی پیشنهاد می‌شود که از فلان استاندارد یا الگو استفاده کنید و این کار بدون هیچ بررسی و تعمیق در بین ذی‌نفعان و شناخت نیازمندی‌های مربوطه صورت می‌گیرد و منتج به نتیجه نمی‌شود؛ بنابراین تصور می‌کنم یکی از نیازمندی‌ها و ملزومات تدوین مقررات این است که بتوانیم به‌درستی عمق مسائل و صورت مسئله را استخراج کنیم و مدل درستی از صنعت مدنظرمان را تدوین کنیم و ماکتی از آنچه مدنظر است، تصویرسازی کنیم و سپس بر اساس آن، نقاط ضعف و قوت‌مان را شناسایی و یک استاندارد خوب ایجاد کنیم. یکی از نکاتی که باید به آن توجه کرد، مطالعة تجارب دنیاست. نباید از نقطة صفر آغاز کنیم؛ یعنی استاندارد خاص خودمان را وضع نکنیم.

صنعت بیمه یک صنعت وارداتی است؛ بنابراین آنچه در اینجا انجام می‌دهیم، فارغ از آنچه در دنیای بیرون هست، نیست. شاید بسیاری از محصولات و خدماتی که امروز در صنعت بیمه نداریم، منتج از همین الگوبرداری غلط و به‌نوعی اضافه کردن مباحث من‌درآوردی به این قضیه است که باعث شده تا صنعت بیمه حداقل در لایة فناوری یا لایة قابلیت بهره‌برداری از فناوری‌ها دچار مشکلاتی شود یا دوگانه‌برداشت‌هایی شود و این دوگانه‌برداشت‌ها اختلاف نظرها و تضاد منافع و مباحث دیگر را به وجود می‌آورد.

بنابراین من فکر می‌کنم یکی از مهم‌ترین ملزومات این است که شناخت عمیق و درست از صورت مسئله داشته باشیم، و تجربه‌های جهانی دربارة قضیه را مطالعه کنیم. اصراری بر بومی‌سازی بی‌مورد در استانداردها نداشته باشیم، قطعاً بومی‌سازی‌های لازم، فراخور قضیه وجود دارند؛ ولی از موارد غیر ضرور پرهیز کنیم و از الگوهایی که در دنیا به موفقیت منتج شده‌اند بیشتر و بهتر الگوبرداری کنیم.

*جناب ایمانی‌مهر، آقای نعمتی سه  نکته را مورد تاکید قرار دادند یکی تعریف درست مسئله و دوم مطالعه تجربیات جهانی و سوم نگاه منطقی به بومی‌سازی، به نظر شما به‌عنوان نماینده‌ای از شرکت‌های فناور بیمه‌ای، چه مقدماتی در تدوین استانداردهای لازم برای توسعه زیرساخت‌ها و دیگر مولفه‌های مرتبط  با فناوری بیمه‌ای با تاکید بر نیازهای روز صنعت بیمه لازم است؟

ایمانی‌مهر: وقتی لیست عناوین موضوعاتی را که ماهنامة بیمه‌داری نوین طی یک الی دو سال گذشته در مقولة فرهنگ‌سازی، فناوری اطلاعات صنعت بیمه و … منتشر کرده مرور می‌کنیم به این نتیجه می‌رسیم که تلاش شده تا درخصوص انجام کارهای درست با بازیگران مختلف درون صنعت گفت‌وگو صورت بگیرد تا به فهرستی از کارهای درست برسیم. این گفت‌وگو به‌نوعی یک جمع‌بندی از تمام محورهای شماره‌های پیشین است از منظر اینکه بتوانیم برای آن‌ها متر و معیاری در نظر بگیریم و به فهرستی از موضوعات نیازمند استانداردگذاری – به‌عنوان یکی از مقدمات اساسی پیرامون فناوری بیمه- برسیم.

بدیهی است که در شماره‌های قبلی دربارة مقولة کدینگ واحد، ضرورت‌های زیرساخت سخت‌افزاری، تضمین مدیریت استمرارپذیری خدمات، مکانیسم به‌اشتراک گذاری داده‌ها و جایگاه منابع انسانی در بخش فناوری صنعت بیمه گفت‌وگو داشتیم و امروز باید مستقیماً دربارة دامنه‌هایی از موضوع که نیازمند اراده‌ای معطوف به استانداردگذاری است صحبت کنیم.

طی سالیان اخیر دربارة این موضوعات بسیار صحبت و نظریه داده شده است؛ ولی همچنان در عمل در خیلی از حوزه‌ها پیشرفت محسوسی نمی‌بینیم؛ در دوره‌ای بحث گفت‌وگوی تمدن‌ها مطرح بود؛ اما امروز و در عصر اقتصاد دیجیتال، بحث گفت‌وگوی پلتفرم‌ها مطرح است. برای گفت‌وگوی پلتفرم‌ها ضرورت دارد تا هر شرکت بیمه را به‌عنوان یک پلتفرم ببینیم و قانون‌گذار را – که دست بر قضا در قالب بیمه‌گر اصلی اتکایی نیز ایفای نقش می‌کند- به‌عنوان یک پلتفرم ببینیم و بازیگران دیگر مثل قوة قضائیه، راهنمایی و رانندگی، نیروی انتظامی، راهداری، نظام سلامت و … را هرکدام یک پلتفرم ببینیم. صنعت بیمه چکیدة یک سبک زندگی دیجیتال است و برای اینکه در این صنعت از یکپارچگی صحبت شود، باید تمام بازیگران مؤثر در این مسیر حضور داشته باشند. درحال‌حاضر، بحث کدینگ واحد یکی از ضرورت‌های این جریان -حداقل برای گفت‌وگو بین شرکت‌های بیمه- است. امروز بیمه‌شدنی‌ها عملاً در سیستم‌ها و شرکت‌های مختلف با نام‌های متفاوت فراخوانی می‌شوند و تا زمانی که معرفت یکسانی از این جریان وجود نداشته باشد با چنین مشکلاتی مواجهیم. شما نمی‌توانید مدعی شوید که در این مقوله به نتیجة قابل‌اعتنایی دست پیدا کرده‌اید. این مفهوم جزء بخش‌هایی است که باید برای آن استانداردسازی صورت بپذیرد و این استانداردسازی موضوعی است که قطعاً باید از بالا به پایین و در تمام سطوح جریان یابد.

مثلاً امروز لیست اطلاعات خودرو در بیمه مرکزی وجود دارد؛ ولی چرا در بسیاری از شرکت‌ها عملیاتی نمی‌شود؟ چون آن لیست 400 الی 500 خودرو را شامل می‌شود؛ ولی عملاً تعداد خودروهایی که در شرکت‌های بیمه دربارة آن صحبت می‌شود خیلی بیشتر از این تعداد است. بدیهی است کدینگ واحد باید از بالا ایجاد شود و اینکه هر شرکت برای خود کدینگ ایجاد کند امکان‌پذیر نیست.

امروز گفت‌وگوهای بسیاری دربارة اینکه سوئیچ باشد یا نباشد صورت گرفته و من فکر می‌کنم  جایی باید به نتیجه‌ای دست یابیم و زبان واحد را برای گفت‌وگو ایجاد کنیم و ریل‌گذاری‌هایی که برای یکپارچگی درون‌صنعتی و بین‌صنعتی مورد نیاز است محقق شود.

مسئله‌ استانداردگذاری مانند یک چراغ راهنما عمل می‌کند؛ قسمت‌هایی سبز است، قسمت‌هایی زرد و قسمت‌هایی قرمز است. درواقع قسمت‌هایی به استانداردگذاری نیاز دارد، برای اینکه طی سال‌های اخیر نبود استانداردها به صنعت بیمه آسیب وارد کرده است.

حوزه‌های زردرنگ، اگر و اما دارد. یعنی استانداردگذاری باید با احتیاط صورت بپذیرد و گاه ممکن است هزینه‌های استانداردگذاری از منافع آن بیشتر باشد ولی محدوده‌هایی منحصرا خاص حوزة کسب‌وکاری یک شرکت بیمه است و بالطبع، ریشه در استراتژی‌های آن شرکت دارد و من فکر می‌کنم ورود نهاد ناظر برای استاندارد‌گذاری در این محدوده، به‌نوعی دخالت در حاکمیت شرکت بیمه تلقی شده و آن‌چنان برتافتنی نباشد. این حوزه‌ها برای استانداردگذاری قرمز است!

حوزه‌های سبز شامل کدینگ واحد و به اشتراک‌گذاری داده‌ها و امنیت است. موجودیت شرکت بیمه دیتا است و متأسفانه گاهی اوقات در این صنعت سرمایه‌گذاری در هر ناحیه صرفاً به‌اندازه‌ای انجام می‌شود که کاری که تا پیش از این انجام نمی‌شد انجام شود؛ اما اینکه انجام آن با چه کیفیتی و با چه تجربة کاربری‌ای باشد متاسفانه در صنعت بیمه جزء موضوعات ثانویه قرار دارد!

حال، سوال اساسی این است که آیا باید در حوزۀ امنیت، دچار چالش جدی بشویم تا برای این مقوله در صنعت بیمه فکر جدی کنیم؟ شاید شرکت بیمه‌ای بگوید که من علاقه ندارم روی مقولة امنیت سرمایه‌گذاری کنم. اینجا دقیقاً در تضاد با بحث حاکمیت بیمه مرکزی است؛ چون بیمه مرکزی است که درنهایت باید در قبال  فقدان داده­ها پاسخگو باشد. امروز وضعیت «پسیو» دیتا سنترها در برخی موارد بسیار نا امن است و در اکثر قریب به اتفاق شرکت‌ها سایت پشتیبان نداریم. این در شرایطی است که کشور موقعیت خاصی را تجربه می‌کند و کوچک‌ترین حملات امنیتی در صنعت بیمه عواقب بسیار بالای اقتصادی، سیاسی و اجتماعی به همراه خواهد داشت.

نکتة دیگر اینکه ما بیمه مرکزی را به‌عنوان واسطه­ اتصال صنعت بیمه به سایر اکوسیستم‌ها می‌بینیم. بدیهی است که اگر در این حوزه نتوانیم یک ریل‌گذاری مناسب را انجام دهیم دچار مشکل می‌شویم؛ مثلاً سازمان امور مالیاتی به‌عنوان ذی‌نفع خارجی انتظاراتی از صنعت بیمه دارد. معتقدم بیمه مرکزی دراین‌خصوص تلاش می‌کند  ولی این تلاش باید در مسیری قرار گیرد که منتج به نتیجه شود درواقع یک ریل‌گذاری شکل بگیرد تا صنعت بیمه با درخواست‌های ناگهانی و تغییر اولویت‌های مداوم مواجه نشود.

ضرورت این‌که بیمه مرکزی برای انتظارات سایر بازیگران برون‌صنعتی ریل‌گذاری پروتکل‌های ارتباطی را با رویکردی سیستمی به ‌انجام رسانده و نهادی تاثیرگذار و دارای وجاهت قانونی در صنعت بیمه شکل بگیرد تا برای تغییرات درخواستی نهادهایی همچون ستاد مبارزه با قاچاق کالا و ارز و نظام سلامت و امثالهم امکان‌سنجی کرده و شکل منطبق با واقعیت‌های موجود صنعت بیمه را به‌عنوان روش بهینه پیشنهاد بدهد، امروز غیرقابل چشم‌پوشی است. این موضوعات به‌عنوان حوزه‌های سبز باید شناسایی شوند؛ چون معتقدم تا زمانی که دربارة این حوزه‌ها استانداردسازی صورت نپذیرد اتفاقی نمی‌افتد؛ البته استانداردسازی شرط‌وشروطی دارد که در دور بعدی به آن می‌پردازم تا از دادن آدرس اشتباه اجتناب شود.

* آقای اسلامی، به نظر شما به‌عنوان یک فعال تشکل صنفی و هم دارای تجربه‌های حوزه بانکی، چه ملزومات و مقدماتی برای تدوین مقررات و استانداردهای بیمه‌ای وجود دارد به‌ویژه اینکه شما تجربة خارج از صنعت بیمه هم دارید درواقع تجربیات شما و آزمون و خطاهایی که در بخش بانکی شاهد آن بودید چه می‌گویند؟

اسلامی: وقتی صنعت بیمه را از دوردست‌تر مشاهده می‌کنم اتفاقاً آن را از برخی حوزه‌ها شبیه به دو دهه قبل‌تر بانک‌ها می‌بینم. آن زمان در بانک‌ها شروع متفاوتی از نوع نگاه متمایز به حوزه‌های فناورانه و سرمایه‌گذاری‌های کلان انسانی و مالی داشتیم. همان زمان‌ها توسن، بهسازان و فناپ تشکیل شدند و رشد جدی کردند. به نظرم باید در داخل کشور از موضوعات موفق الگوگیری کرد و به مسیرهای طی‌شده توجه کنیم. اتفاقاً معتقدم زیرساخت‌های لازم می‌تواند با شروطی به تحول دیجیتال کمک کند. من مدام فکر می‌کنم که در کدام صنایع می‌تواند تحول دیجیتال اتفاق بیفتد و مثمرثمر و خروجی بیرونی داشته باشد؛ یکی از این صنایع، صنعت بیمه است.

برای تحول دیجیتال به یک‌سری پیش‌نیازها احتیاج داریم که می‌توان در استانداردها به آن نیز توجه کرد و به‌نوعی شکوفایی را رقم زد. وقتی از بیرون به صنعت بیمه نگاه می‌کنم متوجه می‌شوم که بیمه‌‌گری می‌تواند از بانکداری متعالی‌تر باشد. این مفهوم متعالی است از این جهت است که ما می‌توانیم دور هم جمع شویم و بخشی از درآمدهای‌مان را به موضوعی متعالی اختصاص دهیم؛ مثلاً همه‌مان از یک فرد حمایت کنیم این افراد می‌توانند فرزندان ما باشند درواقع فرزند هر خانواده‌ای ممکن است درگیر بیماری شود. چه خوب است که چند نفر که دور این میز نشسته‌ایم پولی را هر ماه کنار بگذاریم تا اگر فرزند هرکدام از ما بیمار شد از آن حمایت کنیم این مفهوم متعالی در بسیاری از صنایع دیگر غیر از بیمه دیده نمی‌شود. به نظر من بن‌مایه بیمه می‌توانست خیلی متعالی‌تر باشد و عامه مردم با آن درگیر شوند؛ ولی امروز این‌طور نیست؛ درواقع تصاویری که از بیمه داریم کمی متفاوت است. به نظرم ما نتوانستیم در داخل کشور اهمیت اصل بیمه را برای عامه مردم خوب جا بیندازیم. هنوز فرهنگ اعتماد به بیمه به‌عنوان یک زیرساخت حیاتی آن‌قدرها که لازم است، جا نیفتاده و این نشان از آن دارد که ما به فرهنگ‌سازی نیاز داریم. به همین دلیل تحول دیجیتال می‌تواند کمک کند و مفهوم بیمه را بیش‌ازپیش جا بیندازد. حال چه کسانی می‌توانند کمک‌کننده باشند؟ اولین بخشی که می‌تواند کمک‌کننده باشد بیمه مرکزی است. در بانک‌ها نیز به همین شکل بود؛ اگر حوزه‌ فناوری بانک مرکزی کمک نمی‌کرد، اصلاً اتفاقی رخ نمی‌داد. اصلاً شروع‌کننده بانک مرکزی بود. امروز منتقد هستیم که شرکت‌های زیرمجموعه بانک مرکزی نباید با کسب‌وکارها رقابت کنند؛ ولی در آن مقطع شروع بدی نبود یا حداقل راه‌حل دیگری هم در آن زمان متصور نبودیم؛ بنابراین باید به این موضوع فکر کنیم و اتفاقاً معتقدم رگولاتور در حوزه تحول دیجیتال پیشرو و تأثیرگذار باشد.

* قبول دارم که تجربة بانکی شروع بدی نبوده است؛ ولی امروز راه برای صنعت بیمه هموارتر است؛ چون تجربه بانکی وجود دارد.

اسلامی: خیلی هموارتر است و شرایط کشور نیز هرچه بیشتر می‌تواند به صنعت بیمه کمک کند؛ برای چه باید سراغ بیمه برویم؟ تمام عواملی که برای گسترش مفهوم مدیریت ریسک و بیمه در یک کشور نیاز است امروز متاسفانه یا خوشبختانه در ایران عزیزمان وجود دارد. تمام نگرانی‌هایی را که می‌تواند از آینده وجود داشته باشد و فرد را به فکر فرو ببرد، امروز داریم؛ ولی به سمت بیمه هدایت نمی‌شویم بلکه اتفاقاً به سمت اینکه خودمان را از ریسک‌ها خارج کنیم هدایت می‌شویم؛ به اشتراک‌گذاری ریسک و به اشتراک‌گذاری فرایندهایی که ریسک را برای ما مدیریت کند، وجود ندارد. در زمان جنگ همه مراقب یکدیگر بودند به یاد دارم از همسایه کمک می‌گرفتیم. اما امروز عنصر همسایه بسیار کمرنگ شده است. در .واقع فردیت به‌شدت در حال گسترده شدن است و راه‌حل بسیاری از ما برای گذر از موضوعات جدی کشور این است که خودمان را از دیگران دور کنیم و سعی کنیم از ریسک‌ها فرار کنیم، درصورتی‌که ریسک‌ها وجود دارند و اتفاقاً کنار هم ماندن افراد به رفع ریسک‌ها کمک می‌کند.

* لطفاً به تجربه‌های استانداردسازی در صنعت بانکی اشاره کنید.

اسلامی: یکی از نکاتی که آقای ایمانی‌مهر نیز به آن اشاره کردند این است که شاید بهتر باشد حتی در شروع، فقط نبایدها مدون باشد و به بایدها به شکل ریز نپردازیم؛ به این دلیل که فرآیندهای حوزه‌ فناوری سرعت متفاوتی با دو دهه‌ قبل دارند که هرگونه حرکت بن‌افکن به‌عنوان یک حرکت مخرب شناسایی می‌شود و سعی می‌کنیم از آن جلوگیری کنیم. تجربه‌ من می‌گوید که آن زمان این موضوع این‌قدر پررنگ نبود؛ یعنی نبایدها خیلی مشخص بود.

اتفاقاً درباره‌ بایدها در آن زمان صحبت نمی‌کردند یا کمتر صحبت می‌کردند و بیشتر به کسب‌وکارها اجازه‌ شروع می‌دادند و مجموعه‌ رگولاتور سعی می‌کرد محدودیت‌ها را طوری تنظیم کند که اتفاق بدی رخ ندهد. به زبان دیگر واقعا آزمون و خطا می‌کردیم؛ اما امروز نیاز نیست که این‌قدر آزمون‌وخطا کنیم؛ بهترین شیوه‌ خطا نکردن این است که چیزی نگوییم که بعداً مجبور شویم آن را اصلاح کنیم؛ بنابراین اتفاقاً موافقم که خطوط قرمز مشخص شود؛ ولی درباره‌ بقیه خطوط تعجیل لازم نیست و اتفاقاً در استانداردها باید اجازه دهیم کسب‌وکارها خودشان را پیدا کنند.

* یعنی عجله برای استانداردسازی در بعضی از حوزه‌ها نیاز است؟

اسلامی: تسریع در تدوین استاندارد حداقلی را قبول دارم. به نظرم نبایدها باید به‌سرعت بیان شوند؛ چون دراین‌صورت کسب‌وکارها آسیب می‌بینند. ولی پرداختن ریز به بایدها را سازنده نمی‌دانم و ممکن است آسیب جدی به تحول دیجیتال و نیز استارت‌آپ‌های این حوزه بزند.

ایمانی‌مهر: از زمانی که بحث فناوری اطلاعات در صنعت بیمه رنگ و بوی جدی به خود گرفت، بیش از دو دهه می‌گذرد. به نظر شما دو دهه، کافی‌ نبوده است که شرکت‌های بیمه به این جمع‌بندی برسند که این الزام وجود دارد که سایت پشتیبان و بازیابی بحران را برای حصول اطمینان از حفظ داده‌های بیمه‌گری در اختیار داشته باشند؟ بله وقتی می‌فرمایید باید فرصت داد، درمورد بازیگران دیجیتال یا موجودیت‌های جدیدی از جنس تجمیع‌کنندگان دیجیتال یا محصولات جدید و روندهای جدید درست است. درواقع معمولا در سمت بیمه مرکزی همین رویکردی که به آن اشاره می‌کنید جاری است؛ ولی برای اینکه یک شرکت بیمه لزوماً به سمت اینکه به حوزة زیرساخت در شأن صنعت بیمه سرمایه‌گذاری انجام دهد بیش از دو دهه زمان داده شده است. اگر همچنان با همان فرمان پیش برویم هیچ اتفاق خوبی در انتظار صنعت بیمه نخواهد بود.

* درواقع معتقدید که در دو سطح بحث شده است؛ یکی در سطح شرکت‌های فناوری که باید یک‌سری استانداردها را رعایت کنند و یک‌سری هم کسب‌وکارهایی که قرار است به این اکوسیستم اضافه شوند و شاید هم اضافه شده‌اند.

ایمانی‌مهر: واقعاً در این زمینه خیلی دیر شده است. قبول دارم وقتی درمورد شرکتی نظیر ققنوس صحبت می‌کنید، بحث بلاکچین یک تِرِند متأخر است و باید زمان کافی برای شکل‌گیری و شناسایی محدوده‌های قابل‌پذیرش داده شود. به یاد دارم در سال 90 الی 91 بحث USSD در صنعت بانکی مطرح شد و یکی از بانک‌ها روی بحث USSD جلو رفت؛ ولی نهاد ناظر در نقطه‌ای وارد شد تا قوانین آن را طرح‌ریزی کند یا درمورد بحث بلاکچین به افق دو سه‌ ساله، نیاز است؛ ولی ما الان درباره موضوعی صحبت می‌کنیم که بیش از 20 سال از آن می‌گذرد و بسیار پایه‌ای است. امروز موقعیت فیزیکی دیتاسنتر برخی از شرکت‌های بیمه از استانداردهای لازم تبعیت نمی‌کند و این امر، چالش‌هایی را برای واحدهای فناوری اطلاعات شرکت‌های بیمه ایجاد نموده است؛ زیرا امروزه دیگر بیمه‌گذار و شبکه فروش نمی‌توانند اختلال سرویس را حتی برای چند دقیقه تحمل کنند درحالی‌که شاید چند سال پیش این جریان با اغماض پذیرفته می‌شد. خوشبختانه انتظارات مشتریان و شبکه فروش به سمت حرفه‌ای شدن حرکت کرده است اما در زمینه‌ ملزومات برآورده ساختن این انتظارات نیازمند بازنگری دوباره هستیم.

اسلامی: من دربارة خط قرمزها نکته‌ای ندارم؛ اگر فکر می‌کنید این موضوع خط قرمز است، باید بیمه مرکزی عکس‌العمل نشان دهد. مهم‌تر از سرمایه‌گذاری زیرساختی و سرمایه‌گذاری مالی، سرمایه‌گذاری روی سرمایه‌ انسانی است. آیا شرکت‌ها نمی‌دانند که داشتن چنین زیرساختی برای آنها واجب است؟ آیا عمل نکردن به آن ناشی از نادانی است یا ناشی از این است که امکان سرمایه‌گذاری مجدد را ندارند یا ناشی از این است که اصلاً اولویت آن وجود ندارد؟

ایمانی‌مهر: متاسفانه اولویت برخی از آنها صرفا سرمایه‌گذاری زودبازده است. شاید سهامدار چنین انتظاری دارد.

اسلامی: موضوع امنیت اطلاعات باید اولویت اولیه و بدیهی آنها باشد.

* شما که از بیرون، صنعت بیمه را نگاه می‌کنید، عکس‌العمل‌تان دراین‌رابطه چیست؟

اسلامی: این موضوع دو دهه در جریان است و قاعدتاً ناشی از ناآگاهی نیست؛ حتی ناشی از نداشتن متخصص هم نیست. به نظر می‌آید ما در کشورمان و در بسیاری از صنایع تا بحران اتفاق نیفتد، عکس‌العمل مناسبی نشان نمی‌دهیم. ما در حوزة پرداخت، شرکت انیاک را داشتیم که بعد از آن تغییرات رخ داد. همین امروز هم در بانک‌ها با مشکلات زیادی روبه‌رو هستیم. طی چند ماه اخیر چندین بازداشتی در داخل بانک‌ها داشتیم.

معتقدم؛ استاندارد، لزوماً این موضوع را حل نخواهد کرد درواقع استاندارد لزوماً راه‌حلی برای این مشکلی که به آن اشاره کردید، نیست.

 به نظر شما اگر فردا استانداردها ابلاغ شود و بگویند که باید ریکاوری باشد چه اتفاقی می‌افتد؟

ایمانی‌مهر: درست است که مشکلات را صفر نمی‌کند؛ ولی وجود آن می‌تواند مفید باشد. البته قبول دارم که اگر فرهنگ‌ مواجهه با فناوری در صنعت بیمه همراستا با منافع بلندمدت این صنعت بشود، خودبه‌خود بخش بزرگی از این چالش‌ها برطرف خواهد شد.

اسلامی: اگر خط قرمز است، باید وجود داشته باشد؛ ولی جسارتاً این موضوع لزوماً منجر به رفع این مشکل نخواهد شد. در این مورد باید با ادبیات کسب‌وکار صحبت کنیم؛ اگر کسب‌وکارها احساس کنند که منافع‌شان در خطر است یا منافع بهتری خواهند داشت به سمت آن می‌روند؛ درواقع باید ضریب اجرا هم داشته باشد؛ دراین‌صورت اگر یک شرکت بیمه چنین کاری نکرد، چه برخوردی با آن می‌شود؟ اتفاقاً احساس من این است که قبل از آنکه آن شکوفایی اتفاق بیفتد باید سرمایه‌گذاری جدی انسانی شکل بگیرد. امروز چند شرکت تولیدکننده در حوزه بیمه و بانک داریم؟

ایمانی‌مهر: در حوزة بیمه سه الی چهار شرکت نرم‌افزاری اصلی و در حوزة بانک پنج الی شش مورد داریم؛ در صنعت بانکی توسن، خدمات انفورماتیک، بهسازان، داتین را داریم؛ ولی چند تولیدکنندة موبایل اپلیکیشن یا اینترنت بانک داریم؟ مسلما خیلی بیشتر از این تعداد است که بخشی از آن برمی‌گردد به اینکه صنعت بیمه ماهیتاً با صنعت بانک تفاوت دارد؛ در صنعت بیمه نیز فناوران، سیمرغ، داتین و … را داریم؛ ولی مشکل ما تعداد بازیگران در سطح نرم‌افزار بیمه‌گری نیست. بازیگران افزونه‌نویس کم داریم. واحدهای فناوری شرکت‌های بیمه محدود مانده‌اند؛ آیا به این سوال فکر کرده‌ایم که چه اتفاقی می‌افتد که واحد فناوری اطلاعات یک بانک با سهم بازار متوسط، بیش از صد نفر پرسنل واحد فناوری اطلاعات دارد؛ ولی در یک شرکت بیمه با 12 الی 13 درصد پورتفوی صنعت بیمه، تنها 30 نفر در واحد فناوری اطلاعات فعالیت می‌کنند که 25 نفر از آنها کارمند هستند و درواقع سه نفر پشتیبان و دو توسعه‌دهنده ‌دارد!

اسلامی: آنچه در بانک‌ها یا در برخی صنایع یا در برخی مشاهدات و مطالعات بیرونی به افزایش سطح استاندارد کمک کرده است، دستوری نبوده بلکه رقابت بوده است و این رقابت نیز باید در بیمه‌ها و تأمین‌کننده‌ها شکل بگیرد. آنچه می‌تواند استانداردها را تغییر دهد، رقابت جدی است. ما در حوزه بانکی، چه در میان بانک‌ها با تمام محدودیت‌های‌شان و چه در میان تأمین‌کنندگان حوزة فناوری رقابت جدی داریم. ازطرفی سرمایه‌گذاری سنگینی اتفاق افتاده است.

در لیست بهترین شرکت‌های فارغ‌التحصیل حوزة فناوری قطعاً تعداد زیادی از بانک‌ها و شرکت‌های بانکی حضور دارند. آیا بیمه نیز به همین شکل است؟ معتقدم این موضوع باید از درون بدنه بجوشد، در تأمین‌کنندگان فناوری و مجموعه‌های بیمه، اولویت اساسی حوزة فناوری و تحول و بعد جذاب‌سازی است. بانک‌های دولتی در حال تهی شدن از افراد توانمند هستند؛ به‌ویژه در حوزة فناوری، ولی در بخش خصوصی هنوز بارقه‌هایی از امید هست؛ به‌جز خارج رفتن، بسیاری از آنها را استارت‌آپ‌ها جذب می‌کنند. اگر افراد فناور توانمند حضور داشته باشند، این موضوع مرتب چکش‌کاری می‌شود تا مشکلات رفع شود حداقل بدیهیات رفع شود. انتظار این نیست که آنها علاوه بر مرکز داده اصلی، مرکز داده پشتیبان و مرکز داده بحران 400 کیلومتر خارج از تهران همین حالا داشته باشند و یک سرمایه‌گذاری نجومی صورت بگیرد؛ نه منظورمان این نیست؛ ولی حداقل‌ها را می‌توان رفع کرد و به هزینه‌های عجیب‌وغریب نیز نیاز نیست؛ وقتی افراد توانمند حضور نداشته باشند، بحران و حادثه می‌تواند مشکل را برای ما آن‌قدر پررنگ کند که بتوانیم فرمان را بچرخانیم.

* آقای نعمتی لطفاً به وضع موجود اشاره کنید. شما وضع موجود زیرساخت‌های فناورانه صنعت بیمه را ازحیث سه شاخص فنی، سرمایه‌گذاری و سرمایه‌های انسانی چگونه می‌بینید؟

نعمتی: مجموعه دلایل این اتفاقات را در صنعت بیمه رقم می‌زنند؛ با بیان این مسائل ناخودآگاه خودمان را به سمتی که “باید اجباری وجود داشته باشد یا باید یک استاندارد ابلاغی دستوری وجود داشته باشد” سوق می‌دهیم. در بسیاری از نقاط دنیا  فریم‌ورک‌هایی ایجاد شده که ماهیت این  اجباری را ندارند. فریم‌ورک‌ها مجموعه‌ای از تجارب اثبات‌شدة درست هستند که اگر قصد دارید در کسب‌وکار خود مثلا از نقطه A به نقطه B برسید، می‌توانید از آنها استفاده کنید چراکه قبلا دیگران همین مسیر را طی کردند و به هدف رسیده‌اند. حال چه‌چیزی باعث می‌شود تا افراد این استاندارد را پیاده کنند؟ میل به موفقیت، یعنی فرد دنبال موفق شدن است و خود را به هر دری می‌زند تا راهکار موفق شدن را پیدا کند. متاسفانه به نظر می‌رسد در داخل، رغبتی برای موفقیت نیست. شاید شرکت‌های بیمه همین نقطه‌ای را که حضور دارند، نقطه بهینه خود می‌دانند. در مقوله امنیت هم همین تفکر جاری است. و الا چهکسی به ذهنش نمی‌رسد که باید ایمنی داده‌ها و سیستم خود را فراهم کند؟ شرکت‌های بیمه در بحث ارائة خدمات بهتر با یکدیگر رقابت دارند تا خدمات بهتری ارائه دهند؛ اما در ایجاد امنیت با یکدیگر رقابتی ندارند؛ درحالی‌که ایجاد امنیت از ضروریات کار است.

فرهنگ سازمانی ما در برخی امور ازجمله امنیت مصداق «چو فردا شود، فکر فردا کنیم» است. همین که دنبال این هستیم که استاندارد اجباری باشد و ما را مجبور به ایمن شدن کند ناشی از همین فرهنگ است. در اولویت نبودن مباحث فاوا و از همه مهم‌تر، امنیت، به دلیل گران بودن آن، موجب شده است تصمیم‌گیران سازمانی شرکت‌های بیمه، اقبال کمتری به موضوع نشان دهند و رسیدگی به این مهم را به نفر بعد از خود بسپارند و در جلسات هیئت‌مدیره، خود را درگیر هزینه بالای شرکت نکنند.

* آیا برای درک این مسئله، راه دیگری وجود ندارد که این عارضه را دور بزنیم و سریع‌تر به نقطة مطلوب برسیم؟

نعمتی: در این شرایط بهترین راهکار، راهکار بد اجبار است.

ایمانی‌مهر: به‌ نظرم مسئله، ریشه‌ای‌تر از چیزی است که به نظر می‌رسد.

نعمتی: شاید علت آن است که همان‌طور که عرض شد، بالاخره این راهکار خوب نیست و به نتیجة مطلوب نمی‌رسیم.

ایمانی‌مهر: با آیین‌نامه‌ها به نمره منفی می‌رسیم. آیا نمره‌منفی چیزی را حل می‌کند؟

نعمتی: بعید می‌دانم، آیا در مقوله رانندگی، نمره منفی موجب کاهش تصادفات و تخلفات شده است؟

* تصور نهاد ناظر از استانداردسازی چیست؟

نعمتی: فاوا چهار دوره گردهمایی‌هایی با حضور مدیران فناوری اطلاعات و معاونان فنی شرکت‌های بیمه برگزار کرده است. طی چهار دورة قبلی، تمامی همکاران آی‌تی که در شرکت‌های بیمه حضور داشتند در سه الی چهار موضوع شکوه و گلایه داشتند؛ یکی از این موارد، بحث سرمایه‌گذاری در حوزه فاوا بود. درواقع از دید شرکت‌های بیمه هرگونه پولی که در حوزه آی‌تی صرف می‌شود به‌عنوان هزینه تلقی می‌شود؛ درحالی‌که این سرمایه‌گذاری‌ها هزینه نیست. بحث دیگر بحث نگه‌داشت نیروی انسانی است. مراکز فاوا در تمام شرکت‌های بیمه در اولویت پایین قرار دارند؛ در شرکت‌های بیمه وقتی از “واحد فنی” صحبت می‌کنید، منظور “واحدهای بیمه‌ای” است، نه واحد آی‌تی.

اگر یک نفر از واحد آی‌تی در واحد بیمه‌ای مشغول به کار شود، می‌گویند شما بیمه‌ای نیستید، درحالی‌که این فرد عمری با مشکلات بیمه در ابعاد و اشکال مختلف دست‌وپنجه نرم کرده و برای حل آنها راه‌حل ارائه کرده است. مسئلة دیگر که در این موضوع دخیل است عدم‌وجود بحث فرایندمحوری در شرکت‌های بیمه است؛ آی‌تی در شرکت‌های بیمه هیچ ساختاری ندارد.

* گفته های شما به‌عنوان نهاد ناظر نشان می‌دهد تا حد زیادی نسبت  به مسئله اشراف دارید آیا اینجنین است؟

نعمتی: طی سه الی چهار دورة گذشته که در بحث فناوری گفتگو و نشست داشتیم، به این نقطه رسیدیم که حلقه مفقوده، فراتر از استاندارد است و باید یک آیین‌‌نامة فناوری اطلاعات در ابعاد مختلف ازجمله جایگاه فناوری اطلاعات، نیروهای انسانی فناوری اطلاعات، بحث سرمایه‌گذاری، بحث امنیت و استانداردها تدوین شود. لذا اخیرا پیش‌نویسی از این آیین‌نامه تهیه و به بخش آی‌تی شرکت‌های بیمه ارائه شده است تا هر نظر و پیشنهادی دارند اعلام کنند. این پیش‌نویس با ادبیات فناوری نوشته شده است و منتظر دریافت نظرات عزیزان فاوایی شرکت‌ها هستیم. در گردهمایی بعدی‌ فاوا نیز چکش‌کاری‌های نهایی را انجام می‌دهیم و بعد به هیئت عامل بیمه مرکزی پیشنهاد می‌شود تا موضوع در شورای عالی بیمه مطرح شود.

* آیا این موضوع در کارگروه آی‌تی فناوری سندیکا نیز مطرح شده است؟

نعمتی: بله به سندیکا نیز اعلام شده است و پیش‌نویس آن را به کارگروه فناوری سندیکا ارسال کرده‌ایم.

* چقدر از تجربیات خارج از ایران و چقدر از تجربیات خارج از صنعت در این پیش‌نویس استفاده شده است؟

نعمتی: برای اینکه این حوزه را نیز به آن اضافه کنیم، یک نسخه از آیین‌نامة پیشنهادی را به پژوهشکده بیمه دادیم تا این موارد را هم به آن اضافه کنند. پژوهشکده یک میز فناوری اطلاعات دارد و حتی می‌تواند از بیرون نیز مشاوره بگیرد.

سعی کردیم در این استانداردها ماژولار جلو برویم؛ مثلاً افتا مدت‌هاست مجموعه‌ای از الزامات را جمع‌آوری و ابلاغ می‌کند؛ لذا سعی کردیم در آیین‌نامه، رعایت  استانداردهای افتا را الزامی کنیم. یا هر الزام و استاندارد سودمندی را که ازسوی مرجعی دیگر ارائه و به‌روزآوری می‌شود.