Распечатать

Влияние законодательства на IT-инфраструктуру банка

11 января 2012 г. Журнал «Банковские технологии». Законодательные инициативы оказывают серьезное влияние на развитие банковской ИТ-инфраструктуры. В своей статье Александр Горшков, консультант компании «Энвижн Груп» по направлению банковский сектор, охарактеризовал наиболее значимые нормативные документы.

11 января 2012

11 января 2012 г. Журнал «Банковские технологии». Законодательные инициативы оказывают серьезное влияние на развитие банковской ИТ-инфраструктуры. В своей статье Александр Горшков, консультант компании «Энвижн Груп» по направлению банковский сектор, охарактеризовал наиболее значимые нормативные документы.

В данной статье речь пойдёт о том, как влияет изменение законодательства на ИТ-архитектуру банка, и что влечёт за собой. С одной стороны вопрос кажется простым, но стоит задуматься, и ответ на него уже не будет таким однозначным. Предположим, что в банке совсем нет ИТ (а когда-то так оно и было), или допустим, что отсутствует его значительное развитие. В этом случае и законы в области ИТ, регулирующие сбор, хранение, обработку, передачу данных и доступ к полученной информации не потребовались бы. Но любое развитие приводит к появлению регламентирующих документов. Появление автомобиля привело к появлению правил дорожного движения. А мощное развитие ИТ в отдельных компаниях вынуждает регулирующие органы разрабатывать нормативные документы, которые потом становятся обязательными для всех участников финансового рынка и в соответствии с ними осуществляется развитие ИТ в банках. Вот о таком взаимном влиянии идёт речь в этой статье.

В данном документе под ИТ-архитектурой будет подразумеваться не только оборудование и программное обеспечение банка, но и его организационная структура, а так же технологические решения по хранения и обработке электронной информации и других внутренних документов. Было бы ошибочно ограничить данную статью рамками только информационной безопасности. В статье показано, что на изменения ИТ-архитектуры банка влияет достаточно большое количество нормативных документов.

Условно все нормативно-правовые акты (НПА) можно разделить следующим образом: географически – на зарубежные и отечественные; – организационно на обязательные и рекомендуемые. Такое деление достаточно точно характеризует отношение банков к распорядительным документам.

Интеграция с международной финансовой системой требует от отечественных банков соблюдать определённые требования. В первую очередь это касается тех банков, которые сотрудничают с такими организациями, как SWIFT, WESTERN UNION, REUTERS, BLOOMBERG, VISA, MASTER CARD и другими зарубежными платёжными и торговыми системами. Каждая из этих организаций предъявляет ряд обязательных требований, в том числе и к ИТ-архитектуре. Без соблюдения этих требований банк будет лишён возможности предоставлять своим клиентам те или иные услуги. Наряду с обязательными требованиями часто присутствуют и рекомендации, например, по численности обслуживающего персонала или по организации информационной безопасности для осуществления расчётов через Интернет или проведения и подтверждения биржевых сделок. При возникновении спорной ситуации, даже в случае не полного выполнения рекомендованных требований, к банку могут быть применены санкции. Например, в виде дополнительных денежных отчислений, а в тех случаях, когда будет доказано, что финансовые потери контрагента или клиента были вызваны из-за пренебрежения к предписанным рекомендациям, возможно, от банка потребуется полное их возмещение. Если в подавляющем большинстве случаев зарубежные требования отечественные банки соблюдают в полной мере, то рекомендации тех же самых организаций выполняются ими далеко не всеми.

Ряд предъявляемых к банкам зарубежных требований, например положения Basel III не оказывает непосредственного влияния на ИТ-архитектуру. В этом документе выдвигаются общие требования к финансовой организации по уставному капиталу, ликвидности, управлению рисками и т.д. Соблюдение или игнорирование этих требований влияет на рейтинг надёжности банка и, как следствие, на стоимость его акций. В большинстве случаев, для соблюдения предъявляемых к финансовым организациям требований необходимо внедрять современные технические решения, позволяющие бизнесу сократить в первую очередь операционные расходы. Например, благодаря более эффективному управлению наличными средствами можно достичь 10 – 30 % сокращения операционных расходов, связанных с наличными. Так же уменьшить операционные расходы можно путём сокращения времени обслуживания клиентов, что достигается внедрением современных технических и технологических решений.

Методы организационного и экономического управления информационными системами разработаны достаточно давно. С середины 80-х годов прошлого века по заказу правительств США и Великобритании были начаты работы по созданию, а потом и по совершенствованию таких методик. В результате чего были разработаны достаточно подробные методики для управления ИТ - ITIL и CobIT (дополняющая ITIL в части процедур взаимодействия). Претерпев многократные изменения и переиздания, эти методики остаются актуальными и в наши дни.

История развития коммерческих банков в РФ насчитывает всего несколько десятков лет. Естественно, что в этих условиях отечественное законодательство в области управления ИТ не имеет таких глубоких корней как зарубежное, но опираясь на международный опыт предъявляет к финансовым организациям не менее жёсткие требования в части реализации ИТ-архитектуры. В виду отсутствия значительного числа правонарушений со стороны третьих лиц в финансовом секторе, достаточно длительное время требование использовать сертифицированные средства криптозащиты при осуществлении дистанционного банковского обслуживания являлось рекомендательным. С увеличением числа не правомерного перевода денежных средств при выполнении дистанционного обслуживания с клиентских счетов, это требование становится исключительно обязательным как для банков, так и для разработчиков программного обеспечения.

Ошибочно думать, что на финансовые организации, в том числе и на их ИТ-архитектуру, оказывают влияние только требования Центрального Банка. Свои требования к ИТ предъявляют так же различные торговые площадки, например РТС и ММВБ, и ряд других государственных органов (контроль за легализацией доходов, таможенных платежей, защиты персональных данных и т.д.). Это проявляется не только в использовании конкретных средств криптографической защиты или программного обеспечения, но так же и отдельных, специализированных каналов связи.

С самого начала своей деятельности, ещё на стадии получения лицензии, банки сталкиваются с необходимостью соблюдения различных требований. Необходимо обеспечить:

- надёжное хранение отчётной и другой финансовой информации;

- наличие обученных и сертифицированных специалистов;

- программное обеспечение для подготовки обязательной отчётности (и обеспечить её предоставление в отведённые для этого сроки);

- иметь необходимые каналы и программное обеспечение для осуществления электронного обмена с внешними организациями;

- ряд других требований в зависимости от получаемой лицензии.

Расширение клиентской базы, а так же введение новых банковских продуктов приводят к созданию новых структурных подразделений, изменению, расширению и централизации организационной структуры. Иногда это достигается в ущерб качеству обслуживания клиентов. Оборудование, не рассчитанное изначально на экспоненциальное увеличение объёма информации и многократно возросшее количество одновременно работающих пользователей, приводит к замедлению работы и возникновению различных ошибок в работе. Для исключения таких сбоев, финансовые учреждения изначально используют самые передовые информационные системы, к которым предъявляют достаточно высокие требования. В банках часто забывают о так называемом «человеческом» факторе, уделяя внимание только техническим вопросам обеспечения стабильной работы ИТ-систем. Отсутствие у ряда отечественных банков полноценной стратегии развития ИТ, регламентов восстановления после сбоя, политики централизованного резервного копирования, хорошо продуманного и достаточно продублированных и зарезервированных так называемых «узких мест» информационной системы (включая «холодный» и «горячий» аппаратный резерв), хорошо масштабируемых каналов связи от различных поставщиков услуг создаёт предпосылки возникновения сбоев в обслуживание клиентов банка. Пока ещё нет жёсткого требования к наличию перечисленных выше решений, но такой документ уже давно обсуждается в стенах Центрального Банка. Вступление России в ВТО будет способствовать ускорению этого процесса, так как для многих западных банков эти требования являются обязательными. Наличие корпоративного хранилища данных DWH (Data Warehouse) обеспечивает достаточное полное дублирование всей информации и позволяет в короткие восстановить работу даже в случае полной её утери.

В последнее время всё больше внимания Центральный Банк стал проявлять к операционной деятельности кредитных организаций. Текущая практика показывает, что за риски, связанные с ИТ-архитектурой, как правило, отвечает ИТ-руководитель банка. Заниженная оценка значимости реализации ИТ-решений в бизнес-процессах со стороны бизнес руководителей при планирование и разработке стратегии развития банка приводят к увеличению вероятности возникновения сбоя и, как следствие, возникновению риска не выполнения требований регламентирующих органов. Необходимо понимать, что последствием не верной оценки рисков, связанных с информационными системами банка, может стать масштабный сбой в ИТ-инфраструктуре, который повлечёт за собой остановку операционной деятельности. Финансовые потери при этом могут превысить не только объем необходимого годового финансирования ИТ-проектов банка, но даже повлечь приостановку действия или даже отзыв лицензии.

Контроль соблюдения предъявляемых требований к ИТ-архитектуре финансовыми учреждениями зарубежные и отечественные регуляторы оставляют за собой. В случае частичного соблюдения обязательных требований банку предоставляется определённое время на устранение выявленных недостатков. Этим активно пользуются многие участники финансового рынка. Если в течение установленного срока банк отказывается устранить указанные замечания, то ему может быть отказано в предоставлении регламентируемой услуги, что ведёт к снижению финансовых результатов. При наиболее неблагоприятном стечении обстоятельств это может сказаться на рейтинге банка.

Стоит отметить, что далеко не всегда развитие ИТ или изменения в законодательстве вызывают ужесточение требований к ИТ-архитектуре. Совсем недавно широкое применение Wi-Fi технологий при реализации корпоративных сетей было ограничено из-за требований лицензирования точек беспроводного доступа. По счастью, в настоящее время эти требования значительно смягчились, что теперь позволяет банкам сократить сроки и капитальные затраты на организацию внутренней сети при открытии новых офисов.

Справедливости ради надо сказать, что не только изменения в законодательстве влияет на ИТ-архитектуру. Расширение спектра финансовых услуг, а вместе с этим и инновационные внедрения в ИТ приводят к появлению новых регламентирующих документов. И примеров тому великое множество:

- с возникновением дистанционного банковского обслуживания появилось требование на использование сертифицированных средств криптографической защиты;

- уверенное продвижение розничных услуг, часто сопровождаемое скандальным появлением в общем доступе различных баз данных с персональной информацией, вызвало появление на свет закона о защите персональных данных 152-ФЗ;

- предоставление финансовых услуг через электронные терминалы так же потребовало наведения порядка в данном вопросе на законодательном уровне;

- несмотря на то, что в кассах магазинов и банков принимают и выдают денежные средства, поступающие от клиентов, для использования банкоматов Cash Recycling Центральному Банку потребовалось подготовить и выпустить специальные распорядительные документы (Cash Recycling – это технология, применяемая в различных устройствах для выдачи и приёма наличных средств, когда внесённые одним клиентом денежные средства могут быть получены на руки другим клиентом), что позволяет снизить расходы на инкассацию и тем самым добиться сокращения операционных затрат.

Наша действительность такова, что для обеспечения оперативной адаптации ИТ-архитектуры в соответствии с текущими требованиями надо уже на стадии проектирования закладывать возможность её быстрой модернизации и масштабирования под изменяемое законодательство и бизнес-процессы банка.

Оригинал статьи в формате PDF (456 Кбайт)