МТС
EN
Энвижн Груп

Влияние законодательства на IT-инфраструктуру банка

11 Января 2012

Журнал «Банковские технологии». Законодательные инициативы оказывают серьезное влияние на развитие банковской ИТ-инфраструктуры. В своей статье Александр Горшков, консультант компании «Энвижн Груп» по направлению банковский сектор, охарактеризовал наиболее значимые нормативные документы.

В данной статье речь пойдёт о том, как влияет изменение законодательства на ИТ-архитектуру банка, и что влечёт за собой. С одной стороны вопрос кажется простым, но стоит задуматься, и ответ на него уже не будет таким однозначным. Предположим, что в банке совсем нет ИТ (а когда-то так оно и было), или допустим, что отсутствует его значительное развитие. В этом случае и законы в области ИТ, регулирующие сбор, хранение, обработку, передачу данных и доступ к полученной информации не потребовались бы. Но любое развитие приводит к появлению регламентирующих документов. Появление автомобиля привело к появлению правил дорожного движения. А мощное развитие ИТ в отдельных компаниях вынуждает регулирующие органы разрабатывать нормативные документы, которые потом становятся обязательными для всех участников финансового рынка и в соответствии с ними осуществляется развитие ИТ в банках. Вот о таком взаимном влиянии идёт речь в этой статье.

В данном документе под ИТ-архитектурой будет подразумеваться не только оборудование и программное обеспечение банка, но и его организационная структура, а так же технологические решения по хранения и обработке электронной информации и других внутренних документов. Было бы ошибочно ограничить данную статью рамками только информационной безопасности. В статье показано, что на изменения ИТ-архитектуры банка влияет достаточно большое количество нормативных документов.

Условно все нормативно-правовые акты (НПА) можно разделить следующим образом: географически – на зарубежные и отечественные; – организационно на обязательные и рекомендуемые. Такое деление достаточно точно характеризует отношение банков к распорядительным документам.

Интеграция с международной финансовой системой требует от отечественных банков соблюдать определённые требования. В первую очередь это касается тех банков, которые сотрудничают с такими организациями, как SWIFT, WESTERN UNION, REUTERS, BLOOMBERG, VISA, MASTER CARD и другими зарубежными платёжными и торговыми системами. Каждая из этих организаций предъявляет ряд обязательных требований, в том числе и к ИТ-архитектуре. Без соблюдения этих требований банк будет лишён возможности предоставлять своим клиентам те или иные услуги. Наряду с обязательными требованиями часто присутствуют и рекомендации, например, по численности обслуживающего персонала или по организации информационной безопасности для осуществления расчётов через Интернет или проведения и подтверждения биржевых сделок. При возникновении спорной ситуации, даже в случае не полного выполнения рекомендованных требований, к банку могут быть применены санкции. Например, в виде дополнительных денежных отчислений, а в тех случаях, когда будет доказано, что финансовые потери контрагента или клиента были вызваны из-за пренебрежения к предписанным рекомендациям, возможно, от банка потребуется полное их возмещение. Если в подавляющем большинстве случаев зарубежные требования отечественные банки соблюдают в полной мере, то рекомендации тех же самых организаций выполняются ими далеко не всеми.

Ряд предъявляемых к банкам зарубежных требований, например положения Basel III не оказывает непосредственного влияния на ИТ-архитектуру. В этом документе выдвигаются общие требования к финансовой организации по уставному капиталу, ликвидности, управлению рисками и т.д. Соблюдение или игнорирование этих требований влияет на рейтинг надёжности банка и, как следствие, на стоимость его акций. В большинстве случаев, для соблюдения предъявляемых к финансовым организациям требований необходимо внедрять современные технические решения, позволяющие бизнесу сократить в первую очередь операционные расходы. Например, благодаря более эффективному управлению наличными средствами можно достичь 10 – 30 % сокращения операционных расходов, связанных с наличными. Так же уменьшить операционные расходы можно путём сокращения времени обслуживания клиентов, что достигается внедрением современных технических и технологических решений.

Методы организационного и экономического управления информационными системами разработаны достаточно давно. С середины 80-х годов прошлого века по заказу правительств США и Великобритании были начаты работы по созданию, а потом и по совершенствованию таких методик. В результате чего были разработаны достаточно подробные методики для управления ИТ - ITIL и CobIT (дополняющая ITIL в части процедур взаимодействия). Претерпев многократные изменения и переиздания, эти методики остаются актуальными и в наши дни.

История развития коммерческих банков в РФ насчитывает всего несколько десятков лет. Естественно, что в этих условиях отечественное законодательство в области управления ИТ не имеет таких глубоких корней как зарубежное, но опираясь на международный опыт предъявляет к финансовым организациям не менее жёсткие требования в части реализации ИТ-архитектуры. В виду отсутствия значительного числа правонарушений со стороны третьих лиц в финансовом секторе, достаточно длительное время требование использовать сертифицированные средства криптозащиты при осуществлении дистанционного банковского обслуживания являлось рекомендательным. С увеличением числа не правомерного перевода денежных средств при выполнении дистанционного обслуживания с клиентских счетов, это требование становится исключительно обязательным как для банков, так и для разработчиков программного обеспечения.

Ошибочно думать, что на финансовые организации, в том числе и на их ИТ-архитектуру, оказывают влияние только требования Центрального Банка. Свои требования к ИТ предъявляют так же различные торговые площадки, например РТС и ММВБ, и ряд других государственных органов (контроль за легализацией доходов, таможенных платежей, защиты персональных данных и т.д.). Это проявляется не только в использовании конкретных средств криптографической защиты или программного обеспечения, но так же и отдельных, специализированных каналов связи.

С самого начала своей деятельности, ещё на стадии получения лицензии, банки сталкиваются с необходимостью соблюдения различных требований. Необходимо обеспечить:

- надёжное хранение отчётной и другой финансовой информации;

- наличие обученных и сертифицированных специалистов;

- программное обеспечение для подготовки обязательной отчётности (и обеспечить её предоставление в отведённые для этого сроки);

- иметь необходимые каналы и программное обеспечение для осуществления электронного обмена с внешними организациями;

- ряд других требований в зависимости от получаемой лицензии.

Расширение клиентской базы, а так же введение новых банковских продуктов приводят к созданию новых структурных подразделений, изменению, расширению и централизации организационной структуры. Иногда это достигается в ущерб качеству обслуживания клиентов. Оборудование, не рассчитанное изначально на экспоненциальное увеличение объёма информации и многократно возросшее количество одновременно работающих пользователей, приводит к замедлению работы и возникновению различных ошибок в работе. Для исключения таких сбоев, финансовые учреждения изначально используют самые передовые информационные системы, к которым предъявляют достаточно высокие требования. В банках часто забывают о так называемом «человеческом» факторе, уделяя внимание только техническим вопросам обеспечения стабильной работы ИТ-систем. Отсутствие у ряда отечественных банков полноценной стратегии развития ИТ, регламентов восстановления после сбоя, политики централизованного резервного копирования, хорошо продуманного и достаточно продублированных и зарезервированных так называемых «узких мест» информационной системы (включая «холодный» и «горячий» аппаратный резерв), хорошо масштабируемых каналов связи от различных поставщиков услуг создаёт предпосылки возникновения сбоев в обслуживание клиентов банка. Пока ещё нет жёсткого требования к наличию перечисленных выше решений, но такой документ уже давно обсуждается в стенах Центрального Банка. Вступление России в ВТО будет способствовать ускорению этого процесса, так как для многих западных банков эти требования являются обязательными. Наличие корпоративного хранилища данных DWH (Data Warehouse) обеспечивает достаточное полное дублирование всей информации и позволяет в короткие восстановить работу даже в случае полной её утери.

В последнее время всё больше внимания Центральный Банк стал проявлять к операционной деятельности кредитных организаций. Текущая практика показывает, что за риски, связанные с ИТ-архитектурой, как правило, отвечает ИТ-руководитель банка. Заниженная оценка значимости реализации ИТ-решений в бизнес-процессах со стороны бизнес руководителей при планирование и разработке стратегии развития банка приводят к увеличению вероятности возникновения сбоя и, как следствие, возникновению риска не выполнения требований регламентирующих органов. Необходимо понимать, что последствием не верной оценки рисков, связанных с информационными системами банка, может стать масштабный сбой в ИТ-инфраструктуре, который повлечёт за собой остановку операционной деятельности. Финансовые потери при этом могут превысить не только объем необходимого годового финансирования ИТ-проектов банка, но даже повлечь приостановку действия или даже отзыв лицензии.

Контроль соблюдения предъявляемых требований к ИТ-архитектуре финансовыми учреждениями зарубежные и отечественные регуляторы оставляют за собой. В случае частичного соблюдения обязательных требований банку предоставляется определённое время на устранение выявленных недостатков. Этим активно пользуются многие участники финансового рынка. Если в течение установленного срока банк отказывается устранить указанные замечания, то ему может быть отказано в предоставлении регламентируемой услуги, что ведёт к снижению финансовых результатов. При наиболее неблагоприятном стечении обстоятельств это может сказаться на рейтинге банка.

Стоит отметить, что далеко не всегда развитие ИТ или изменения в законодательстве вызывают ужесточение требований к ИТ-архитектуре. Совсем недавно широкое применение Wi-Fi технологий при реализации корпоративных сетей было ограничено из-за требований лицензирования точек беспроводного доступа. По счастью, в настоящее время эти требования значительно смягчились, что теперь позволяет банкам сократить сроки и капитальные затраты на организацию внутренней сети при открытии новых офисов.

Справедливости ради надо сказать, что не только изменения в законодательстве влияет на ИТ-архитектуру. Расширение спектра финансовых услуг, а вместе с этим и инновационные внедрения в ИТ приводят к появлению новых регламентирующих документов. И примеров тому великое множество:

- с возникновением дистанционного банковского обслуживания появилось требование на использование сертифицированных средств криптографической защиты;

- уверенное продвижение розничных услуг, часто сопровождаемое скандальным появлением в общем доступе различных баз данных с персональной информацией, вызвало появление на свет закона о защите персональных данных 152-ФЗ;

- предоставление финансовых услуг через электронные терминалы так же потребовало наведения порядка в данном вопросе на законодательном уровне;

- несмотря на то, что в кассах магазинов и банков принимают и выдают денежные средства, поступающие от клиентов, для использования банкоматов Cash Recycling Центральному Банку потребовалось подготовить и выпустить специальные распорядительные документы (Cash Recycling – это технология, применяемая в различных устройствах для выдачи и приёма наличных средств, когда внесённые одним клиентом денежные средства могут быть получены на руки другим клиентом), что позволяет снизить расходы на инкассацию и тем самым добиться сокращения операционных затрат.

Наша действительность такова, что для обеспечения оперативной адаптации ИТ-архитектуры в соответствии с текущими требованиями надо уже на стадии проектирования закладывать возможность её быстрой модернизации и масштабирования под изменяемое законодательство и бизнес-процессы банка.



Источник: Журнал «Банковские технологии»
11 Января 2012

К списку публикаций