25 października 2019

Chmura dla ubezpieczeń – jest dobre rozwiązanie

Autor: Mariusz Kuna

Europejski nadzór chciałby uregulować szczegółowo usługi chmurowe dla ubezpieczycieli. Dla ubezpieczycieli oznacza to, że zapłacą znacznie więcej za dostosowanie usług do swoich potrzeb. Chmura dla ubezpieczeń: czy jest tu możliwy kompromis? 

Chmura dla ubezpieczeń: restrykcyjne wytyczne EIOPA i KNF

EIOPA skierowała do publicznych konsultacji projekt wytycznych dotyczących outsourcingu usług chmurowych. To wytyczne dla do organów nadzoru oraz zakładów ubezpieczeń i reasekuracji. Nakładają one dodatkowe obowiązki do wymagań Solvency II, które są już stosowane do zarządzania ryzykiem w modelu outsourcingu. Projekt wytycznych jest  restrykcyjny dla sektora. Nie zachęca on rynku do korzystania z usług chmurowych. A trzeba wziąć pod uwagę, że w ciągu najbliższych lat rynek będzie stał przed wyzwaniem zanikających rozwiązań „on premise” na rzecz usług i rozwiązań opartych wyłącznie o chmurę (usługi IaaS, SaaS, PaaS). Chmura dla ubezpieczeń to więc konieczność.

Tym zagadnieniem zajmowała się wcześniej również KNF. Wytyczne polskiego nadzoru są opublikowane w komunikacie z 24 października 2017 r.  W dużej  mierze wytyczne KNF pokrywają się z obecnymi wytycznymi EIOPA.

Pojawienie się wytycznych EIOPA oznacza, że korzystanie przez zakłady ubezpieczeń z usług w chmurze obliczeniowej zostanie uregulowane na poziomie europejskim, co zapewne spowoduje zmiany w wytycznych polskiego nadzoru.

Na ten temat czytaj też: Współpraca z EIOPA – powinniśmy dzielić się opiniami 

Nowe wytyczne – duże wydatki?

Czego się obawiamy jako branża? Przede wszystkim tego, że nowe wymogi regulacyjne i raportowe wygenerują dodatkowe koszty i osłabią pozycję zakładów ubezpieczeń względem podmiotów nieobjętych regulacjami. Realizacja wytycznych w takim kształcie powoduje przede wszystkim duże nakłady pracy po stronie każdego zakładu, który zdecyduje się na chmurę. Wytyczne nakładają bowiem dodatkowe i jednocześnie nadmiarowe obowiązki raportowe, w szczególności do wymogów Solvency II. Nie mówiąc o tym, że konieczne będzie uspójnienie i doprecyzowanie pojęć używanych w innych przepisach, m. in. właśnie w Solvency II.

Wydaję się też, iż wytyczne będą faworyzować  duże podmioty – globalnych dostawców usług. Tylko takie firmy będą w stanie zaoferować zakładom usługi uwzględniające wymogi. Jednocześnie będą im dyktować znacznie wyższe ceny. Mniejsi dostawcy mogą nie sprostać takim restrykcjom.

Chmura dla ubezpieczeń: czy jest rozwiązanie?

Rozwiązanie tego problemu nie jest trudne. Choć na pierwszy rzut oka pogodzenie rozbieżności w tym zakresie wydaje się niezwykle skomplikowane. Proponujemy, by wzorem niektórych krajów europejskich zmienić sposób podejścia do usług chmurowych. Przede wszystkim, należy wyeliminować narzucony zakładom obowiązek zbierania i raportowania tych samych informacji od dostawców. Taki powtarzalny katalog informacji dla relacji „dostawca – klient” powinien być publicznie dostępny dla klientów i nadzoru, np. na stronie internetowej dostawcy. Ich każdorazowe zbieranie będzie wówczas niepotrzebne.

Kolejną propozycją jest odejście od modelu, w którym klient, czyli zakład, odpowiada za analizę i pełną ocenę dostawcy. To tak jakby kupujący samochód miał skontrolować fabrykę i dokonać homologacji pojazdu. Zdaniem rynku, z uwagi na coraz większą powszechność usług w chmurze,  powinien powstać wyspecjalizowany autoryzowany podmiot lub podmioty – krajowe lub europejskie – odpowiedzialne za nadzór i certyfikowanie dostawców chmurowych. Byłoby to rozwiązanie bardziej efektywne zarówno dla klientów jak i samych dostawców. Zakład ubezpieczeń jako klient kupowałby usługę o określonym certyfikacie, a więc z góry wiadomo byłoby, jaki poziom bezpieczeństwa i jakości usług dostałby w pakiecie. To znacznie ograniczyłoby koszty i nakłady pracy przy wyborze usług i przechodzeniu z rozwiązań „on premis”. Kontrola warunków i przyznawanie certyfikatów oczywiście byłoby poza zakładami.

Na koniec należy podkreślić, iż sektor jest zainteresowany korzystaniem z rozwiązań chmurowych z uwagi na mnogość rozwiązań, ich dostępność, elastyczność i konkurencyjność kosztową. Co jest potrzebne, by takie rozwiązania stały się możliwe? Uspójnienie działań po stronie nadzorów. Mamy nadzieję, że tak się stanie.