ИТ-риски для банка: от функционирования до развития

В журнале «Банковские технологии» опубликована статья Елены Старыниной, руководителя проектов направления «Финансовые институты», на тему «ИТ-риски для банка: от функционирования до развития». О том, какие типы ИТ-рисков в финансово-кредитных организациях можно выделить и какие инструменты позволяют эффективно их нивелировать — читаем в статье Елены.

С начала 2000-х гг. риск-менеджмент в России сильно развился — теперь не ведутся разговоры о том, что этому важному для любой крупной компании направлению уделяется недостаточное внимание, о неразвитости культуры риск-менеджмента, недостатке профессионалов и отсутствии методик работы с рисками.

Именно в финансовой сфере работа с рисками развивалась наиболее динамично, именно участники финансового рынка — инвестиционные компании, банки, страховые компании — все эти годы наиболее активно встраивали риск-менеджмент в свою деятельность.

Выделение ИТ-рисков в финансово-кредитных организациях обусловлено высоким уровнем автоматизации отрасли и тенденциями к непрерывному усложнению ИТ-систем и ИТ-ландшафта компаний. Высокая «зарегулированность» банковской сферы, повышение автоматизации обслуживания клиентов и перевод ДБО на новый уровень делают ИТ неотъемлемой составляющей банковского бизнеса.

В банке (как и в любой динамично развивающейся компании) возникают ставшие классическими «качели»: с одной стороны, необходимо обеспечивать непрерывность бизнеса, защищать информацию, выполнять требования регуляторов, с другой — поддерживать развитие. Стандартная группировка рисков в отношении ИТ не дает четкого понимания, в чем отличия работы с рисками в крайних точках функционирования и развития. Чтобы это оценить, нужно рассмотреть работу с рисками в широкой рамке и вне их типизации по причинам возникновения, критичности и прочим стандартным критериям.

Для этого можно провести до некоторой степени условное разделение на уровни функционирования, изменений и развития и анализировать ИТ-риски, с которыми сталкиваются банки, в этих разрезах.

Риски функционирования: предсказуемость и регламентация

Снижение едва ли не самых существенных рисков банка — операционных — во многом зависит от работы ИТ. Обеспечение стабильности функционирования ИТ достигается нормированием и строгой регламентацией. Риски сбоев хеджируются резервными мощностями, каналами связи, серверами и т. д. Риски, связанные с неосторожностью персонала или злонамеренными действиями, «закрываются» регламентами взаимодействия со службами сопровождения, настройками безопасности информационных систем (ИС) и разграничением прав доступа. Процессы взаимодействия банка с ИТ-поставщиками (или с ИТ-службой банка, сопровождающей ИС) также строго регламентированы, начиная с порядка реакции на запросы пользователей и заканчивая временем устранения проблем.

Дополнительные факторы риска связаны с длительным функционированием ПО на жизненном цикле: тут возникают вопросы долгосрочных взаимоотношений банка с внешними поставщиками ПО. Риски устойчивости внешнего вендора (в частности, возможное банкротство ИТ-поставщика) могут «закрываться» как передачей исходных кодов ПО банку в определенный момент после внедрения, так и депонированием исходных кодов (Software Escrow) — передачей их третьему лицу (агенту), которое вправе раскрыть коды для банка в строго определенных сторонами случаях.

Еще одним фактором риска является сложный ИТ-ландшафт банка. Сквозные бизнес-процессы обслуживаются несколькими системами и проблемы возникают «на стыке»: когда одна из них дает сбой или не отвечает, или возникают проблемы с передачей данных между системами. Эффективным способом снижения таких рисков может быть внедрение ИС, отвечающей за мониторинг бизнес-процессов, доступности ключевых сервисов, работоспособности систем. Наличие систем мониторинга позволяет своевременно принимать меры по устранению проблем и работать над повышением эффективности операционной деятельности.

Риски изменений: неструктурированность и адаптация

В отличие от функционирования, деятельность по изменению и развитию менее структурированная, в ней больше неопределенности и, как правило, у банка нет готового набора инструментов для работы с рисками на этих уровнях. Поначалу возникающие негативные последствия обрабатываются ситуационно, затем постепенно происходит структурирование деятельности и нарабатывается опыт использования инструментов для снижения рисков.

Например, к изменениям относится внедрение нового функционала ИС в связи с существенными изменениями в регулировании банковской деятельности. Дополнительным фактором риска здесь являются сложные коммуникации между несколькими подразделениями банка и вендором. Сложность заключается в том, что изменение инициируется одним подразделением, проводится другим и должно учитывать интересы еще нескольких. Кроме того, возникают риски искажения смыслов, несвоевременного выполнения вендором доработок и/или сложностей при тестировании.

На границе изменений и развития находится замена АБС. Множество факторов, приводящих к принятию этого решения, таких как технологическая отсталость, серьезные проблемы во взаимоотношениях с поставщиком, обусловливают основную специфику проведения таких изменений. Например, внедрение АБС от западных вендоров порождает специфические риски. Необходимость поддержки российской специфики (локализация и предоставление регуляторной отчетности) западными решениями часто настолько сложна с точки зрения реализации или настройки, что принимается решение о «парном внедрении» с ИС, обеспечивающей преобразование данных из западной системы. Это умножает коммуникационные риски, риски технической зависимости от вендоров и несвоевременного внедрения. Отдельно стоит обратить внимание на риски, связанные с передачей западными вендорами экспертизы, позволяющей банку организовать внедрение и последующее сопровождение западной АБС. Стремясь снизить риски, банк частично перекладывает эти работы на российских подрядчиков, но и это слишком рискованно, поэтому нередко принимается решение о дублировании функций и ответственности сотрудниками ИТ самого банка.

Риски развития: неопределенность и коммуникация

Если все же попытаться сделать размытую границу между изменениями и развитием более четкой, то можно сказать, что изменения — это некоторые существенные корректировки (доработки) существующей системы (в широком смысле этого слова), обеспечивающие тактико-операционные цели; а развитие — это радикальные (скачкообразные) действия (проекты), существенно меняющие суть системы или ее ключевые характеристики.

Причем если изменения можно осуществлять силами сотрудников банка, то к развитию обязательно должен привлекаться ресурс «со стороны», поскольку, находясь внутри системы, невозможно эффективно ее «ломать и перестраивать». В то же время привлечение внешнего подрядчика к проектам развития также влечет серьезные риски (начиная от того, что будет сделано не то, что нужно, и заканчивая риском разглашения ноу-хау и коммерческой тайны, вследствие чего банк может потерять позицию на рынке), которые снимаются только выстраиванием партнерских отношений с подрядчиком.

Ключевая сложность проектов развития — высокая неопределенность, в которой ведется деятельность. Это выдвигает коммуникации на передний план и делает их одним из ключевых факторов успеха и одновременно — главным фактором риска. Зачастую искажение смысла начинается еще при его передаче от держателя основной идеи — стратега (менеджера высокого уровня) — менеджерам, непосредственно отвечающим за реализацию (реализуемость) проекта развития (стратег и реализатор — всегда разные роли и люди), а при передаче смысла на ИТ-уровень искажение еще увеличивается.

Поскольку риски развития лежат в зоне неопределенности, их очень сложно оценить в финансовом выражении. Как правило, при негативном сценарии речь идет об упущенных возможностях — например, о потере или неполучении конкурентного преимущества (стратегической возможности) из-за несвоевременной реализации ИТ-системы, которая должна была обеспечить предоставление новой (инновационной) услуги. В этом смысле ситуация с ИТ равнозначна любой инвестиционной деятельности.

В проектах развития у банка минимум инструментов для страхования рисков, а основная стратегия поведения — «осознание и учет рисков» при принятии проектных решений. То есть основным инструментом работы с рисками развития становится сценарное моделирование — оценка сценариев «Если угадали и вовремя запустили ИТ-проект для вывода новой услуги на рынок», «Если не угадали или не успели вывести раньше конкурентов» и т. д.

Коммуникационные риски и риски неопределенности могут частично сниматься применением различных методологий, определяющих форму работы по проекту, — например, Agile-подхода или метода оргпроектирования. Итерационность, заложенная в Agile, позволяет раньше узнать об искажениях при передаче смыслов, а оргпроектирование, подразумевающее, что до старта реализации проекта вся имеющаяся информация и прогнозы укладываются в заданную форму и все это «разбивается» о конкретные сроки, работы и ресурсы, позволяет заранее выявить ключевые противоречия и снизить риск нереализуемости проекта.

Внимание! Эта статья была создана путем автоматического реплицирования из внутренней базы знаний компании Заказные Информ Системы. Любые правки этой статьи могут быть перезаписаны при следующем сеансе репликации. Если у вас есть серьезное замечание по тексту статьи, запишите его в раздел «discussion».