ИТ-риски для банка: от функционирования до развития

Материал из CustisWiki

Перейти к: навигация, поиск
В журнале «Банковские технологии» опубликована статья Елены Старыниной, руководителя проектов направления «Финансовые институты», на тему «ИТ-риски для банка: от функционирования до развития». О том, какие типы ИТ-рисков в финансово-кредитных организациях можно выделить и какие инструменты позволяют эффективно их нивелировать — читаем в статье Елены.

С начала 2000-х гг. риск-менеджмент в России сильно развился — теперь не ведутся разговоры о том, что этому важному для любой крупной компании направлению уделяется недостаточное внимание, о неразвитости культуры риск-менеджмента, недостатке профессионалов и отсутствии методик работы с рисками.

Именно в финансовой сфере работа с рисками развивалась наиболее динамично, именно участники финансового рынка — инвестиционные компании, банки, страховые компании — все эти годы наиболее активно встраивали риск-менеджмент в свою деятельность.

Выделение ИТ-рисков в финансово-кредитных организациях обусловлено высоким уровнем автоматизации отрасли и тенденциями к непрерывному усложнению ИТ-систем и ИТ-ландшафта компаний. Высокая «зарегулированность» банковской сферы, повышение автоматизации обслуживания клиентов и перевод ДБО на новый уровень делают ИТ неотъемлемой составляющей банковского бизнеса.

В банке (как и в любой динамично развивающейся компании) возникают ставшие классическими «качели»: с одной стороны, необходимо обеспечивать непрерывность бизнеса, защищать информацию, выполнять требования регуляторов, с другой — поддерживать развитие. Стандартная группировка рисков в отношении ИТ не дает четкого понимания, в чем отличия работы с рисками в крайних точках функционирования и развития. Чтобы это оценить, нужно рассмотреть работу с рисками в широкой рамке и вне их типизации по причинам возникновения, критичности и прочим стандартным критериям.

Для этого можно провести до некоторой степени условное разделение на уровни функционирования, изменений и развития и анализировать ИТ-риски, с которыми сталкиваются банки, в этих разрезах.

Риски функционирования: предсказуемость и регламентация

Снижение едва ли не самых существенных рисков банка — операционных — во многом зависит от работы ИТ. Обеспечение стабильности функционирования ИТ достигается нормированием и строгой регламентацией. Риски сбоев хеджируются резервными мощностями, каналами связи, серверами и т. д. Риски, связанные с неосторожностью персонала или злонамеренными действиями, «закрываются» регламентами взаимодействия со службами сопровождения, настройками безопасности информационных систем (ИС) и разграничением прав доступа. Процессы взаимодействия банка с ИТ-поставщиками (или с ИТ-службой банка, сопровождающей ИС) также строго регламентированы, начиная с порядка реакции на запросы пользователей и заканчивая временем устранения проблем.

Дополнительные факторы риска связаны с длительным функционированием ПО на жизненном цикле: тут возникают вопросы долгосрочных взаимоотношений банка с внешними поставщиками ПО. Риски устойчивости внешнего вендора (в частности, возможное банкротство ИТ-поставщика) могут «закрываться» как передачей исходных кодов ПО банку в определенный момент после внедрения, так и депонированием исходных кодов (Software Escrow) — передачей их третьему лицу (агенту), которое вправе раскрыть коды для банка в строго определенных сторонами случаях.

Еще одним фактором риска является сложный ИТ-ландшафт банка. Сквозные бизнес-процессы обслуживаются несколькими системами и проблемы возникают «на стыке»: когда одна из них дает сбой или не отвечает, или возникают проблемы с передачей данных между системами. Эффективным способом снижения таких рисков может быть внедрение ИС, отвечающей за мониторинг бизнес-процессов, доступности ключевых сервисов, работоспособности систем. Наличие систем мониторинга позволяет своевременно принимать меры по устранению проблем и работать над повышением эффективности операционной деятельности.

Риски изменений: неструктурированность и адаптация

В отличие от функционирования, деятельность по изменению и развитию менее структурированная, в ней больше неопределенности и, как правило, у банка нет готового набора инструментов для работы с рисками на этих уровнях. Поначалу возникающие негативные последствия обрабатываются ситуационно, затем постепенно происходит структурирование деятельности и нарабатывается опыт использования инструментов для снижения рисков.

Например, к изменениям относится внедрение нового функционала ИС в связи с существенными изменениями в регулировании банковской деятельности. Дополнительным фактором риска здесь являются сложные коммуникации между несколькими подразделениями банка и вендором. Сложность заключается в том, что изменение инициируется одним подразделением, проводится другим и должно учитывать интересы еще нескольких. Кроме того, возникают риски искажения смыслов, несвоевременного выполнения вендором доработок и/или сложностей при тестировании.

На границе изменений и развития находится замена АБС. Множество факторов, приводящих к принятию этого решения, таких как технологическая отсталость, серьезные проблемы во взаимоотношениях с поставщиком, обусловливают основную специфику проведения таких изменений. Например, внедрение АБС от западных вендоров порождает специфические риски. Необходимость поддержки российской специфики (локализация и предоставление регуляторной отчетности) западными решениями часто настолько сложна с точки зрения реализации или настройки, что принимается решение о «парном внедрении» с ИС, обеспечивающей преобразование данных из западной системы. Это умножает коммуникационные риски, риски технической зависимости от вендоров и несвоевременного внедрения. Отдельно стоит обратить внимание на риски, связанные с передачей западными вендорами экспертизы, позволяющей банку организовать внедрение и последующее сопровождение западной АБС. Стремясь снизить риски, банк частично перекладывает эти работы на российских подрядчиков, но и это слишком рискованно, поэтому нередко принимается решение о дублировании функций и ответственности сотрудниками ИТ самого банка.

Риски развития: неопределенность и коммуникация

Если все же попытаться сделать размытую границу между изменениями и развитием более четкой, то можно сказать, что изменения — это некоторые существенные корректировки (доработки) существующей системы (в широком смысле этого слова), обеспечивающие тактико-операционные цели; а развитие — это радикальные (скачкообразные) действия (проекты), существенно меняющие суть системы или ее ключевые характеристики.

Причем если изменения можно осуществлять силами сотрудников банка, то к развитию обязательно должен привлекаться ресурс «со стороны», поскольку, находясь внутри системы, невозможно эффективно ее «ломать и перестраивать». В то же время привлечение внешнего подрядчика к проектам развития также влечет серьезные риски (начиная от того, что будет сделано не то, что нужно, и заканчивая риском разглашения ноу-хау и коммерческой тайны, вследствие чего банк может потерять позицию на рынке), которые снимаются только выстраиванием партнерских отношений с подрядчиком.

Ключевая сложность проектов развития — высокая неопределенность, в которой ведется деятельность. Это выдвигает коммуникации на передний план и делает их одним из ключевых факторов успеха и одновременно — главным фактором риска. Зачастую искажение смысла начинается еще при его передаче от держателя основной идеи — стратега (менеджера высокого уровня) — менеджерам, непосредственно отвечающим за реализацию (реализуемость) проекта развития (стратег и реализатор — всегда разные роли и люди), а при передаче смысла на ИТ-уровень искажение еще увеличивается.

Поскольку риски развития лежат в зоне неопределенности, их очень сложно оценить в финансовом выражении. Как правило, при негативном сценарии речь идет об упущенных возможностях — например, о потере или неполучении конкурентного преимущества (стратегической возможности) из-за несвоевременной реализации ИТ-системы, которая должна была обеспечить предоставление новой (инновационной) услуги. В этом смысле ситуация с ИТ равнозначна любой инвестиционной деятельности.

В проектах развития у банка минимум инструментов для страхования рисков, а основная стратегия поведения — «осознание и учет рисков» при принятии проектных решений. То есть основным инструментом работы с рисками развития становится сценарное моделирование — оценка сценариев «Если угадали и вовремя запустили ИТ-проект для вывода новой услуги на рынок», «Если не угадали или не успели вывести раньше конкурентов» и т. д.

Коммуникационные риски и риски неопределенности могут частично сниматься применением различных методологий, определяющих форму работы по проекту, — например, Agile-подхода или метода оргпроектирования. Итерационность, заложенная в Agile, позволяет раньше узнать об искажениях при передаче смыслов, а оргпроектирование, подразумевающее, что до старта реализации проекта вся имеющаяся информация и прогнозы укладываются в заданную форму и все это «разбивается» о конкретные сроки, работы и ресурсы, позволяет заранее выявить ключевые противоречия и снизить риск нереализуемости проекта.


Репликация: База Знаний «Заказных Информ Систем» → «ИТ-риски для банка: от функционирования до развития»

Любые правки этой статьи будут перезаписаны при следующем сеансе репликации. Если у вас есть серьезное замечание по тексту статьи, запишите его в раздел «discussion».