Библиотека за управление

Оперативни рискове и ИТ инфраструктура на банката

Алексей Смирнов Ръководител на ИТ консултиране в BENEFFY Consulting
Вестник на корпоративните системи (Украйна, Киев), № 1 за 2008 г.
      Рисковете, свързани с неуспехите в ИТ инфраструктурата, могат да доведат до значителни проблеми в дейността на банката. Сред лидерите в ОНД по отношение на скоростта на възстановяване на оперативната дейност са дъщерните дружества на чуждестранни банки или банки под контрола на западни финансови групи. В много отношения тя е свързана с прилагането на методите за оптимално и рационално управление на ИТ инфраструктурата - ITIL и CobIT.

Операционният риск, наричан понякога "риск от тежести", е вграден в потенциалната способност на банката да предоставя финансови услуги по доходоносен начин. В същото време, както способността за предоставяне на услуги, така и способността да се контролират разходите, свързани с предоставянето на тези услуги, са еднакво важни.

Оперативният риск се дължи отчасти на технологичния риск и може да се дължи на неправилно функциониране на технологията или на повреда на системите за поддръжка на оперативния отдел на банката. За съжаление, местните банки подценяват рисковете, свързани с използването на информационните технологии, въпреки че бизнес процесите, които се случват в типична банка, са почти "обвързани" с информационните технологии, комуникационните и комуникационните канали. В случай на повреда или изключване на компонентите на информационната система на банката, пълно спиране или значително забавяне на операциите, няма да бъде възможно да се избегнат.

В чужбина банковата общност обръща много повече внимание на проблемите, свързани с ИТ инфраструктурата си. Тази загриженост се изразява в позицията на водещия ИТ мениджър - най-често директорът на информационните технологии (CIO) е част от управителните органи на банката и пряко участва в повечето важни решения. В същото време той наистина е специалист в своята област, има специализирано образование и е редовно сертифициран.

Днес е трудно да се намери украинската банка, която не включва укрепване на позициите си на пазара, разширяване на сегмента, зает с предлагане на нови банкови продукти и развитие на кредитната линия на дейностите в списъка на нейните стратегически цели. В същото време банките разширяват регионалното си присъствие, увеличават броя на клоновете и клоновете. Успехът в постигането на заявените цели зависи от много компоненти. Както показва световната практика, ефективното развитие и управление на ИТ в банковата среда е един от определящите фактори за успех. Нека да дадем някои примери.

Една от най-големите украински банки проведе агресивна експанзия в регионите, отваряйки впечатляващ брой нови клонове. В същото време растежът на ИТ инфраструктурата не бе предварително планиран и нарасна широко, в ясен ред. В момента банката е изправена пред значителни трудности при извършването на дори най-простите операции, тъй като системите за мек хардуер не са предназначени за товара от допълнителните клонове на банката, което в крайна сметка е имало отрицателен ефект върху нивото на обслужването на клиентите, скоростта на автоматизираната банкова система ABS), наличието на услуги, предоставяни на клиентите. Бюджетът, необходим за отстраняването на ситуацията, е многократно по-голям от този, който би трябвало да бъде изразходван за нейното превантивно решение.

Независими проучвания, проведени в страните от ОНД и балтийските страни, показаха, че ако резултат от умишлени или случайни действия на системния администратор, вирусна атака или хардуерен неуспех е унищожаването на базата данни на информационната система на банката, тогава:

  • Само 15% от банките биха могли да възстановят операциите ден след ден;
  • 60% от банките ще се нуждаят от това от два до четири дни;
  • 25% от банките биха възстановили своята дейност пет или повече работни дни.

Характерно за лидерите в скоростта на възстановяване на оперативни дейности са дъщерните дружества на чуждестранни банки или банки под контрола на западни финансови групи. Информация за неуспехите и престой в операциите на украински банки на практика не се появява в открити източници - по очевидни причини, тя обикновено е скрита. Но когато се появи съобщение на банкомат: "Времето за изчакване на банката е изтекло" или операторът казва: "Съжалявам, не мога да извърша операцията" - се сблъсквате с липса на интерес или дори презрително отношение на банките към развитието на ИТ инфраструктурата.

Описание на типичните проблеми

Какви операционни рискове, свързани с неуспехите на ИТ инфраструктурата на банката, трябва първо да бъдат разгледани? Какви са проблемите в дейността на банката, които показват наличието на затруднения в работата на информационната система? Ето някои от тях:

  • Разрастването на клоновата мрежа на банката е съпроводено от спад в нивото на обслужването на клиентите - скоростта на обслужване, наличието на предоставените услуги и в резултат на това продължава да е налице непрекъснатост на услугата;
  • Проблемите в работата с информационните системи, които възникват в даден клон на банката, се решават бавно - не всеки отдел има квалифициран ИТ персонал, общият недостиг на ИТ персонал, броят на компютрите по ИТ специалист нараства;
  • Софтуерните и хардуерните системи не бяха проектирани за възникващия товар - растежът на клоновата мрежа, без да се вземат предвид ограниченията на капацитета на съществуващите ИТ системи, разширяването на информационните системи на банката;
  • Ниската компютърна грамотност на потребителите - липсата на разбиране за възможностите на използваните банкови информационни системи, въвеждането на определени информационни технологии, без да се вземат предвид уменията на потребителите, не се провеждат обучения и опреснителни курсове;
  • Проблеми на обратната връзка между служителите на банката и ИТ услугите - няма система за периодично модифициране на софтуера, като се вземат предвид изискванията на крайните потребители, няма контрол върху стабилността на качеството на ИТ услугата;
  • При сливането на банките обменът на информация е труден, интеграцията на информационните системи е бавна (или като цяло полезна), тяхната хетерогенност затруднява анализа на резултатите;
  • Недостатъчно внимание се отделя на поддържането на непрекъснатост на услугата, често няма стратегии за възстановяване след неуспех, няма централизирана система за резервно копиране (или капацитетът й е недостатъчен), няма дублиране или излишък на затрудненията в информационната система, "студен" или " Схемата за съхранение на информацията не е разработена и т.н .;
  • Няма разбиране за цената на съхраняваната и обработена информация - финансовите загуби от провалите и спиранията на информационната система или нейните части не са оценени;
  • Не се обръща достатъчно внимание на информационната сигурност, няма система за защита на информацията или нейните възможности са ограничени, няма корпоративна антивирусна система;
  • Няма стратегическо планиране - планът за развитие на информационната система не е свързан с общия план за развитие на банката, не отразява бизнес целите, поставени от ръководството на банката, инвестициите в информационни технологии не водят до повишаване нивото на обслужване и не стимулират растежа на производителността на труда.

Кой носи отговорност за рисковете, свързани с ИТ?

Типична е практиката, когато ръководителят на ИТ отдела на банката отговаря за ИТ рисковете. В същото време може да възникне парадоксална ситуация, когато банката ще използва методите за оценка на ефективността на кредитния портфейл въз основа на сложен математически апарат, но няма да има критерии за оценка на качеството на своя ИТ отдел. Освен това, дори ако съществуват критерии за оценка на нивото на качество на ИТ услугите, има ситуация, при която ръководителят на ИТ отдела е принуден да оцени собствената си работа и работата на подчинените си. В резултат на тези подходи съществува известна изолация на услугите за услуги от процесите, протичащи в банката.

Но ако поради грешки в стратегията за развитие на ИТ (или просто поради небрежност на ИТ персонала) ще има катастрофален провал - няма възможност за "наказване" на ИТ персонала, който да компенсира финансовите загуби на банката. Ето защо правилата на играта трябва да бъдат определени от бизнес звената на банката. Експертите по риска трябва да вземат под внимание всички операционни рискове, свързани един с друг с информационната система на банката. При съставяне на бизнес планове и планове за развитие на банката регистрацията на проблемите на ИТ инфраструктурата трябва да се извършва без отлагане. Необходимо е да се разбере, че последствията от управленската грешка и подценяването на рисковете, свързани с информационната система на банката, могат да бъдат мащабен провал в ИТ инфраструктурата, която ще доведе до спиране на операциите. Единичните финансови загуби в това развитие могат значително да надвишат общия годишен ИТ бюджет на банката.

Какво е решението?

Не бива да считате вашата информационна система за нещо уникално. Състоянието на информационните системи на местните банки и начините за тяхното развитие в много отношения повтарят тези, които вече са били приети от банките на Запад. Западните банки започнаха да компютризират и прилагат информационните системи почти 20 години по-рано от украинските.

Освен това, всяка информационна система е само един от компонентите на бизнес процесите и винаги се развива в съответствие със същите закони. Проблемите на еволюцията на информационните системи и методите за тяхното оптимално управление са подробно проучени за дълго време. В средата на 80-те години правителството на Великобритания разработи метод за оптимално и рационално управление на ИТ инфраструктурата, която постоянно се развива и подобрява, става модерна библиотека за управление на ИТ решения, наречена ITIL. По-късно в САЩ група от водещи ИТ специалисти разработиха метода CobIT, който в много отношения допълва библиотеката на ITIL по отношение на процедурите за взаимодействие между топ мениджмънта и ИТ специалистите, което позволява да се намали информационната бариера между ръководството на компанията и ИТ отдела.

Тези методи наистина работят, а не само в страните от "златния милиард", но и в страните от ОНД. Те демонстрират своята ефективност при решаване на проблеми в информационните системи на предприятията във всички сфери на бизнеса, без изключение, независимо от формата на собственост. Има няколко примера.

Halyk Bank of Kazakhstan, която е най-голямата търговска банка с регионална мрежа в повече от 600 клона в цялата страна, в началото на 2007 г. приключи работата по привеждане на процесите, функциите и промените в управлението на риска в съответствие с CobIT и ITIL. Бяха разработени набор от документи, наредби и инструкции, определящи дейността на ИТ персонала, както и система от ключови индикатори KPI (Key Performance Indicator) и KGI (Key Goal Indicator) за оценка на качеството, производителността и резултатите от работните процеси.

В края на 2007 г. бе завършен проектът на УниКредит Банк (Украйна) за реорганизиране на Service Desk и ИТ услуги като цяло въз основа на стандартите на ITIL. В резултат на внедряването беше създаден нов отдел за ИТ услуги и беше организирана работата, обучение и практическо обучение с персонала на този отдел, разработен е набор от документи, регулиращи дейността на отдела и взаимоотношенията му с други отдели, както и инструмент за автоматизация на ИТ. Областите на отговорност на служителите в ИТ бяха разделени, обработката на инцидентите беше организирана по приоритет за бизнеса, освободени бяха ресурсите на ИТ специалистите, необходими за развитието на информационната система на банката. Освен това ръководството на банката получи ефективен инструмент за оценка на дейностите и управлението на ИТ, което ще даде на УниКредит Банк редица конкурентни предимства и ще послужи като обещание за успешен растеж и развитие на банката.

Банка Союз (Руската федерация) в края на 2007 г. реши да преструктурира своята система за управление на риска, ABS и ИТ инфраструктура в съответствие със стандарта CobIT. Основните цели бяха поставени: въвеждане на нов ABC в централата на банката, изграждане на надеждна и мащабируема ИТ инфраструктура, способна да осигури растеж на бизнеса, прозрачна, технологична и надеждна интеграция на приложенията чрез един механизъм, изграждане на система за задължително отчитане за Банката на Русия, отчети.

Във всички случаи работата беше извършена в тясно сътрудничество с консултантските компании и системните интегратори.

заключение

Повечето от местните банки вече разбраха важността на въпроса за оптималното управление на тяхната ИТ инфраструктура, но не всички осъзнаха какви международни стандарти и техники трябва да се използват. Често се прави опит за решаване на проблеми, свързани с информационните системи на банката, поради големи инвестиции в нейната "собствена" група от ИТ професионалисти. Практиката показва, че такова решение не е оптимално. Типичен резултат от прилагането му ще бъде определена система, изградена за една или няколко "IT-топа", които узурпават процесите на вземане на всички решения, до известна степен свързани с информационните технологии. ИТ инфраструктурата на такава банка и начините за нейното по-нататъшно развитие ще зависи от личните предпочитания на дадено лице. Ефективността (и следователно оперативната дейност на банката като цяло) ще зависи от настроението на този "ИТ-топ". Някак си, да го повлияеш, да не говорим за отхвърлянето му, ще бъде изключително проблематично.

Ако приемем, че информационната система е само една от подсистемите, които поддържат бизнес процесите на банката, въпросът за внедряването на методологията за управление в ИТ трябва да се припише на ръководството на висшето ръководство. За да може този процес да завърши с осезаем резултат, трябва да участва в консултантска компания на трета страна. Украинската банкова общност всъщност все още е в процес на първоначален растеж и развитие. За да се получи конкурентно предимство, да се води ефективен бизнес и дори просто да се развива без "болести, свързани с растежа", е необходимо широко да се използва международният опит, натрупан в областта на управленските решения. Практиката показва, че западните методи могат да работят дори на такъв специфичен пазар, какъвто е ОНД.