|
Персональные инструменты |
|||
|
ИТ-риски для банка: от функционирования до развитияМатериал из CustisWikiВ журнале «Банковские технологии» опубликована статья Елены Старыниной, руководителя проектов направления «Финансовые институты», на тему «ИТ-риски для банка: от функционирования до развития». О том, какие типы ИТ-рисков в финансово-кредитных организациях можно выделить и какие инструменты позволяют эффективно их нивелировать — читаем в статье Елены. С начала 2000-х гг. риск-менеджмент в России сильно развился — теперь не ведутся разговоры о том, что этому важному для любой крупной компании направлению уделяется недостаточное внимание, о неразвитости культуры риск-менеджмента, недостатке профессионалов и отсутствии методик работы с рисками. Именно в финансовой сфере работа с рисками развивалась наиболее динамично, именно участники финансового рынка — инвестиционные компании, банки, страховые компании — все эти годы наиболее активно встраивали риск-менеджмент в свою деятельность. Выделение ИТ-рисков в финансово-кредитных организациях обусловлено высоким уровнем автоматизации отрасли и тенденциями к непрерывному усложнению ИТ-систем и ИТ-ландшафта компаний. Высокая «зарегулированность» банковской сферы, повышение автоматизации обслуживания клиентов и перевод ДБО на новый уровень делают ИТ неотъемлемой составляющей банковского бизнеса. В банке (как и в любой динамично развивающейся компании) возникают ставшие классическими «качели»: с одной стороны, необходимо обеспечивать непрерывность бизнеса, защищать информацию, выполнять требования регуляторов, с другой — поддерживать развитие. Стандартная группировка рисков в отношении ИТ не дает четкого понимания, в чем отличия работы с рисками в крайних точках функционирования и развития. Чтобы это оценить, нужно рассмотреть работу с рисками в широкой рамке и вне их типизации по причинам возникновения, критичности и прочим стандартным критериям. Для этого можно провести до некоторой степени условное разделение на уровни функционирования, изменений и развития и анализировать ИТ-риски, с которыми сталкиваются банки, в этих разрезах. Риски функционирования: предсказуемость и регламентация Снижение едва ли не самых существенных рисков банка — операционных — во многом зависит от работы ИТ. Обеспечение стабильности функционирования ИТ достигается нормированием и строгой регламентацией. Риски сбоев хеджируются резервными мощностями, каналами связи, серверами и т. д. Риски, связанные с неосторожностью персонала или злонамеренными действиями, «закрываются» регламентами взаимодействия со службами сопровождения, настройками безопасности информационных систем (ИС) и разграничением прав доступа. Процессы взаимодействия банка с ИТ-поставщиками (или с ИТ-службой банка, сопровождающей ИС) также строго регламентированы, начиная с порядка реакции на запросы пользователей и заканчивая временем устранения проблем. Дополнительные факторы риска связаны с длительным функционированием ПО на жизненном цикле: тут возникают вопросы долгосрочных взаимоотношений банка с внешними поставщиками ПО. Риски устойчивости внешнего вендора (в частности, возможное банкротство ИТ-поставщика) могут «закрываться» как передачей исходных кодов ПО банку в определенный момент после внедрения, так и депонированием исходных кодов (Software Escrow) — передачей их третьему лицу (агенту), которое вправе раскрыть коды для банка в строго определенных сторонами случаях. Еще одним фактором риска является сложный ИТ-ландшафт банка. Сквозные бизнес-процессы обслуживаются несколькими системами и проблемы возникают «на стыке»: когда одна из них дает сбой или не отвечает, или возникают проблемы с передачей данных между системами. Эффективным способом снижения таких рисков может быть внедрение ИС, отвечающей за мониторинг бизнес-процессов, доступности ключевых сервисов, работоспособности систем. Наличие систем мониторинга позволяет своевременно принимать меры по устранению проблем и работать над повышением эффективности операционной деятельности. Риски изменений: неструктурированность и адаптация В отличие от функционирования, деятельность по изменению и развитию менее структурированная, в ней больше неопределенности и, как правило, у банка нет готового набора инструментов для работы с рисками на этих уровнях. Поначалу возникающие негативные последствия обрабатываются ситуационно, затем постепенно происходит структурирование деятельности и нарабатывается опыт использования инструментов для снижения рисков. Например, к изменениям относится внедрение нового функционала ИС в связи с существенными изменениями в регулировании банковской деятельности. Дополнительным фактором риска здесь являются сложные коммуникации между несколькими подразделениями банка и вендором. Сложность заключается в том, что изменение инициируется одним подразделением, проводится другим и должно учитывать интересы еще нескольких. Кроме того, возникают риски искажения смыслов, несвоевременного выполнения вендором доработок и/или сложностей при тестировании. На границе изменений и развития находится замена АБС. Множество факторов, приводящих к принятию этого решения, таких как технологическая отсталость, серьезные проблемы во взаимоотношениях с поставщиком, обусловливают основную специфику проведения таких изменений. Например, внедрение АБС от западных вендоров порождает специфические риски. Необходимость поддержки российской специфики (локализация и предоставление регуляторной отчетности) западными решениями часто настолько сложна с точки зрения реализации или настройки, что принимается решение о «парном внедрении» с ИС, обеспечивающей преобразование данных из западной системы. Это умножает коммуникационные риски, риски технической зависимости от вендоров и несвоевременного внедрения. Отдельно стоит обратить внимание на риски, связанные с передачей западными вендорами экспертизы, позволяющей банку организовать внедрение и последующее сопровождение западной АБС. Стремясь снизить риски, банк частично перекладывает эти работы на российских подрядчиков, но и это слишком рискованно, поэтому нередко принимается решение о дублировании функций и ответственности сотрудниками ИТ самого банка. Риски развития: неопределенность и коммуникация Если все же попытаться сделать размытую границу между изменениями и развитием более четкой, то можно сказать, что изменения — это некоторые существенные корректировки (доработки) существующей системы (в широком смысле этого слова), обеспечивающие тактико-операционные цели; а развитие — это радикальные (скачкообразные) действия (проекты), существенно меняющие суть системы или ее ключевые характеристики. Причем если изменения можно осуществлять силами сотрудников банка, то к развитию обязательно должен привлекаться ресурс «со стороны», поскольку, находясь внутри системы, невозможно эффективно ее «ломать и перестраивать». В то же время привлечение внешнего подрядчика к проектам развития также влечет серьезные риски (начиная от того, что будет сделано не то, что нужно, и заканчивая риском разглашения ноу-хау и коммерческой тайны, вследствие чего банк может потерять позицию на рынке), которые снимаются только выстраиванием партнерских отношений с подрядчиком. Ключевая сложность проектов развития — высокая неопределенность, в которой ведется деятельность. Это выдвигает коммуникации на передний план и делает их одним из ключевых факторов успеха и одновременно — главным фактором риска. Зачастую искажение смысла начинается еще при его передаче от держателя основной идеи — стратега (менеджера высокого уровня) — менеджерам, непосредственно отвечающим за реализацию (реализуемость) проекта развития (стратег и реализатор — всегда разные роли и люди), а при передаче смысла на ИТ-уровень искажение еще увеличивается. Поскольку риски развития лежат в зоне неопределенности, их очень сложно оценить в финансовом выражении. Как правило, при негативном сценарии речь идет об упущенных возможностях — например, о потере или неполучении конкурентного преимущества (стратегической возможности) из-за несвоевременной реализации ИТ-системы, которая должна была обеспечить предоставление новой (инновационной) услуги. В этом смысле ситуация с ИТ равнозначна любой инвестиционной деятельности. В проектах развития у банка минимум инструментов для страхования рисков, а основная стратегия поведения — «осознание и учет рисков» при принятии проектных решений. То есть основным инструментом работы с рисками развития становится сценарное моделирование — оценка сценариев «Если угадали и вовремя запустили ИТ-проект для вывода новой услуги на рынок», «Если не угадали или не успели вывести раньше конкурентов» и т. д. Коммуникационные риски и риски неопределенности могут частично сниматься применением различных методологий, определяющих форму работы по проекту, — например, Agile-подхода или метода оргпроектирования. Итерационность, заложенная в Agile, позволяет раньше узнать об искажениях при передаче смыслов, а оргпроектирование, подразумевающее, что до старта реализации проекта вся имеющаяся информация и прогнозы укладываются в заданную форму и все это «разбивается» о конкретные сроки, работы и ресурсы, позволяет заранее выявить ключевые противоречия и снизить риск нереализуемости проекта.
Любые правки этой статьи будут перезаписаны при следующем сеансе репликации. Если у вас есть серьезное замечание по тексту статьи, запишите его в раздел «discussion». Репликация: База Знаний «Заказных Информ Систем» → «ИТ-риски для банка: от функционирования до развития» |
||