Обзор подготовлен
Леонид Белышков:
Первое требование к CIO банка – чтобы все работало
Начальник департамента ИТ "Росэнергобанка" Леонид Белышков рассказал, какие задачи стоят перед современным CIO банка и из каких составляющих складывается его ответственность. А также раскрыл, как можно оценить эффективность ИТ-директора банка.
CNews: Определите, пожалуйста, круг задач CIO банка.
Леонид Белышков: Задачи CIO банка определяются бизнес-потребностями его организации. Если вспомнить уроки бизнес-школ, то первой приходит в голову пирамида Абрахама Маслоу. Но для CIO банка она трансформируется: физиологические потребности заменяются работоспособностью серверного, пользовательского оборудования и ПО; потребность в безопасности ею же и остается, но трансформируется в минимизацию рисков; социальные потребности – это принадлежность к различным платежным системам, необходимость обязательной отчетности и так далее. Далее идут связанные с положением и самосовершенствованием потребности – в нашем случае это, например, M&A.
Эти потребности и определяют задачи в порядке приоритета. Хотя основная потребность – "чтобы все работало", так как обычно это первое, что говорит работодатель, когда принимает на работу ИТ-директора. И только потом следует детализация этого "всего": инфраструктура, отчетность, интерфейсы, минимизация рисков, безопасность, защита, бюджетирование и т.п.
Смежная задача CIO – чтобы автоматизация как можно более широко охватывала бизнес-процессы. Это означает максимум ИТ-систем за минимум денег. Мерилом эффективности является общее снижение издержек на проведение транзакций. Некоторые CIO используют для решения этой задачи аутсорсинг, на который отдаются многие процессы, начиная с печати и заканчивая сетевым/серверным оборудованием. Некоторые банки, наоборот, уже столкнувшись с реалиями аутсорсинга в РФ, переходят обратно на обслуживание собственным штатом ИТ. Однако в любом варианте от ИТ-инфраструктуры требуется быстрая трансформация под потребности бизнеса, а также обеспечение надежности (с резервами по производительности систем), безопасности ( с контролируемостью процессов), и еще много подобного. При этом, если эти задачи выполняются в недостаточном объеме, то CIO проработает, наверное, недолго.
CNews: И каким должен быть первый шаг CIO для решения этих задач?
Леонид Белышков: Все перечисленное, в первую очередь, по моему мнению, требует от CIO серьезной кадровой работы. Тут я согласен с тезисом небезызвестного менеджера "Кадры решают все" и думаю, что для минимизации рисков работу своего подразделения CIO должен строить с учетом второго тезиса "Незаменимых людей нет". То есть отсутствие на работе кого-то из сотрудников не должно становиться проблемой для банка. При этом, если о проблемах в ИТ-инфраструктуре CIO будет узнавать не от своих сотрудников, а от руководства, то проблемы начнутся у CIO.
Поэтому фундаментом является правильная организация службы поддержки и мониторинг всех происходящих в банке процессов. Это позволяет не только оперативно реагировать на инциденты, но и принимать превентивные меры, еще до того, как проблема скажется на бизнесе банка. Также, если такой информационный канал налажен, CIO сможет быть в курсе текущих потребностей бизнеса, предвидеть проблемы и задачи еще до того, как их сформулируют бизнес-подразделения.
CNews: Какова роль CIO в управлении рисками, в том числе связанными с ИБ?
Леонид Белышков: На практике гарантированной безопасности не бывает, а бывают только малые риски опасностей. Соответственно, задача и для банка, и для CIO – снижение уровней рисков по всем возможным направлениям, в том числе связанным с ИБ. При этом минимизация информационных рисков включает защиту инфопериметра, борьбу с вирусами, троянами и СПАМом, эл. цифровые средства идентификации: е-токены-смарткарты и т.п. Обычно степень защищенности учитывает специфику и нюансы деятельности банка и параноидальности директоров по ИТ и по безопасности. Где-то блокируют доступ к USB-портам, где-то вообще все блокируют, а операционистам вешают камеру – и ни шага вправо-влево.
Объективно уровень необходимой защиты определяется уровнем взаимодействия с внешними организациями. Это накладывает на банк в том числе и обязательства по сертификации внутренних систем на соответствие требованиям внешней организации, а также корпоративным стандартам, что особенно актуально, если банк входит в международную группу. Там почти каждый крупный акционер требует соответствия каким-либо стандартам. Если сам банк, в котором работает CIO, является акционером или находится в состоянии слияния-поглощения, то в сфере его ответственности лежит аудит связанных систем дочерних структур. Чтобы "враг не прошел".
Тем не менее, кроме рисков в части ИБ, CIO должен контролировать "технические" риски ("правильные" и резервные ЦОДы, соответствующие резервы для каналов связи и т.п.), кадровые (аутсорсинг, документирование работ, дублирование людей на функциях и т.п.). Иначе, если уйдет основной разработчик, могут возникнуть проблемы.
CIO также принимает активное участие в автоматизации риск-менджмента в бизнес-деятельности. Это сопровождение систем риск-менеджмента, моделирования и прогнозирования рисков, расчет скорингов, подключение к бюро кредитных историй и прочим информационным ресурсам. Плюс финансовые-бюджетные риски. При неправильном учете, бюджетировании они могут быть высокими, поэтому внедрение систем бюджетирования и последующего учета расходов – очень важная задача.
CNews: Как CIO участвует в минимизации расходов?
Леонид Белышков: Во-первых, он может попытаться реализовать большее количество потребностей за те же деньги или даже за меньшие. В целом задача минимизации расходов трансформируется для CIO в снижение издержек на проведение единичной банковской операции. Для этого в первую очередь надо сокращать количество ручных операций.
До сих пор во многих банках, в том числе крупнейших, множество работ выполняется вручную. Одна и та же информация одним человеком распечатывается, потом другим заново вводится. Встречаются и патологии – когда этот цикл повторяется многократно. Один из модных сейчас вариантов – самообслуживание, когда клиент сам заполняет анкеты и т.п. уже в электронном виде, в интерфейсе системы банка, а банку остается информацию только проверить и автоматизированно обработать. Таким образом, по сути, банк перекладывает на клиента свою работу. И чем больше задач банк переложит на чужие плечи, тем дешевле, при правильной организации, ему будет стоить операция.
Другой вариант такого подхода – это установка платежных терминалов. Или, например, в планах одного крупного банка есть интересный проект – организовать автоматическую выдачу карт: засовываешь в автомат старую – получаешь новую. Правда, подобный вариант минимизации издержек на обслуживание годится только для офисов с большой клиентской проходимостью, потому что ставить дорогого робота для замены 5 тыс. карт в месяц там, где клиентов мало, нерентабельно. Ведь не все клиенты поедут к месту установки робота.
Также издержки снижает централизация, именно в этом причина стартов многочисленных проектов, например, по созданию единой клиентской базы по всем филиалам. Дешевле все централизовать, сделать единую линейку, общую отчетность и так далее. Интеграция тоже минимизирует расходы.
И, конечно, важна своевременная трансформация систем. Кто-то придерживается той точки зрения, что для быстрой трансформации основное – это свой штат программистов, кто-то, что лучше полный аутсорсинг. Лично я считаю, что лучше иметь и поддержку систем внешним производителем, разработчиком АБС (или любой другой системы), и при этом своих программистов, которые могут оперативно кастомизировать систему под оперативные потребности бизнеса.
CNews: Что в этом направлении делается в "Росэнергобанке"?
Леонид Белышков: Как раз в связи с этими задачами в 2011 году решено было обновить основные системы банка. Мы провели небольшой внутренний тендер, оценили стоимость закупки и владения АБС, фронт-офисом и системой для автоматизации внутренней хозяйственной деятельности с обозримым горизонтом планирования – в 5 лет. Сейчас мы занимаемся подготовкой к переходу на новые системы. Сам переход начнется, наверное, в первом квартале нового года. Главное для нас – не оказаться в положении загнанной домохозяйки, у которой и макароны убежали, и кулебяка сгорела, то есть не хвататься за все одновременно. Поэтому переход по всей сети банка займет около полугода, тем не менее мы не планируем работать в двух системах одновременно.
CNews: Вы планируете проводить какую-то доработку систем в первые полгода?
Леонид Белышков: По возможности нет. Сначала надо внедрить систему, тиражировать ее на филиалы, дойти до какого-то стабильного состояния, и только потом можно экспериментировать. Иначе может быть наложение проблем и, опять же, может приключиться
CNews: Почему вы меняете АБС?
Леонид Белышков: Банк работал на версии АБС, которая устарела и уже даже не поддерживалась производителем. Сначала казалось, что надо просто сменить версию на следующую. Однако проанализировав ее функционал, мы обнаружили, что качественного рывка банку это не даст. И что существенный выигрыш по функционалу нам может дать переход на еще более старшую версию системы. При этом версии построены на разных платформах, принципах, то есть такой переход по трудозатратам уже соизмерим с переходам на совсем другую АБС. Поэтому мы решили сравнить предлагаемые рынком и подходящие нам решения. В параметры отбора была заложена не только цена, но и наличие важного для банка функционала и соответствия другим нашим требованиям. Мы запросили информацию у поставщиков и составили небольшую таблицу, оценили решения по каждому из критериев. После этого оставили предложения трех АБС разных производителей, в том числе и разработчика используемой нами сейчас АБС. Для этого узкого круга решений уже удалось провести более детальное сравнение систем с референс-визитами в другие банки, получением отзывов о работе их модулей, о качестве внедрения и т.п. Кроме цены самого внедрения и функционала, оценивали договорную часть, риски внедрения, стоимость владения и развития системы. В результате пришли к решению о смене платформы.
CNews: Сколько времени ушло на такой детальный анализ? Кто участвовал в экспертной группе?
Леонид Белышков: Экспертная группа – это все ключевые сотрудники банка: руководители и аналитики бизнес- , ИТ- и других заинтересованных подразделений.
Предварительный процесс выбора продолжался около года и завершился в декабре 2011 года. С конца января и до конца марта 2012 года мы работали уже с тремя поставщиками. В апреле была проработана первоначальная договорная база. Параллельно мы собирали оценки, наносили референс-визиты, общались с бизнес-пользователями и сотрудниками ИТ-департаментов. К концу апреля мы почти определились с выбором. Еще месяц ушел на окончательную выверку договора, который был подписан в первых числах июня.
CNews: Какие задачи будут стоять перед банками и CIO завтра?
Леонид Белышков: Перед банками задачи будут стоять примерно те же, что вчера и позавчера – эффективное ведение банковского бизнеса. Поэтому, если мыслить глобально, задачи CIO останутся прежними – сделать так, чтобы все работало, с минимальными рисками и с возможностью оперативного ввода новых секторов бизнеса, и все это за минимальную стоимость, при этом, естественно, с поправкой на новые технологии.
CNews: Спасибо.
