Сегодняшний банковский бизнес невозможно представить без современных информационных технологий. Еще недавно соответствующие подразделения в кредитных учреждениях были в почете и не испытывали нужды в финансировании. А как сейчас, когда приходится затягивать пояса и экономить на всем? Традиционный «круглый стол» в марте мы провели на тему «Банковские IT-технологии в условиях финансового кризиса: коррекция курса». В заседании «круглого стола» в редакции НБЖ приняли участие:
советник председателя ЦБ РФ Владислав КОНТОРОВИЧ;
вице-президент ВТБ, начальник управления банковских процессов и технологий Карл СУММАНЕН;
начальник управления информационной безопасности Россельхозбанка Артем СЫЧЕВ;
директор по развитию бизнеса компании Sputnik Labs Ольга РУБЦОВА;
директор по продажам ЗАО «Банковские информационные cистемы» (БИС) Максим ПРОЦКО;
руководитель департамента программных решений ЗАО «Эльбрус-2000» Дмитрий ГРИГОРЬЕВ;
менеджер отдела маркетинга ЗАО «Эльбрус-2000» Наталия ПЕТРОВА;
заместитель директора департамента «Кредитное и депозитное обслуживание» компании «Диасофт» Сергей ДОБРИДНЮК; директор департамента по работе с финансовыми институтами АМТ-ГРУП Денис КОМАРОВ;
руководитель дирекции по работе с финансовыми институтами ЦФТ Андрей ФОМИЧЕВ;
руководитель направления «Финансы и страхование» компании Dell Russia Алексей БАКАЕВ;
руководитель направления по продаже решений в финансовом секторе компании IBM Роман СУРГУНД.
Вел разговор за «круглым столом» генеральный директор НБЖ Владимир СНЕГИРЕВ.


ИЗБАВЛЕНИЕ ОТ ФАНТАЗИЙ

НБЖ: В августе прошлого года мы уже собирались здесь с тем, чтобы обсудить проблемы внедрения в банковский бизнес высоких технологий. Тот разговор проходил в достаточно спокойных тонах. Сейчас ситуация другая, и она ставит новые, уже более острые вопросы. Для начала хотел бы вас спросить: действительно ли большинство банков сокращает или сворачивает свои бюджеты на развитие IT-технологий? Если так, то какие проблемы это может вызвать в будущем? На чем действительно можно сэкономить, а что категорически не подлежит секвестру?

К. СУММАНЕН: Что однозначно должно быть секвестировано, так это экономически необоснованные предложения по развитию бизнеса, но это не вопрос к IT, это вопрос к руководству банка, которое должно реструктурировать портфель проектов и определить те решения, которые для бизнеса нужны в данных условиях. Да, бюджеты режутся, но большие деньги - это не всегда хорошо. Когда на развитие IT бездумно отпускаются значительные средства, то это напоминает сжигание денег в топке. Кризис как раз и требует пересмотреть стратегию развития, трезво решить, что следует сделать, а без чего можно и обойтись.

А. СЫЧЕВ: Я согласен с такой позицией. Совершенно очевидно, что нельзя экономить на инфраструктурных проектах и на тех проектах, которые определенным образом связаны с развитием бизнеса, но совершенно спокойно можно отказаться от проектов, которые решают незначительные задачи. Категорически нельзя секвестировать затраты, связанные с обеспечением информационной безопасности.

О. РУБЦОВА: Еще год назад многие банки увлекались большим числом всяких пилотных проектов, часто малозначимых. Сейчас ситуация изменилась: запускаются, как правило, достаточно крупные проекты, причем с большими бюджетами. Исключение, которое случается, -это внедрение автоматизации в отдельно взятых блоках банка, которые очень критичны для бизнеса в текущих условиях. Например, автоматизация департамента по работе с проблемными клиентами - collection. Или так называемые системы master data management, которые создают единые справочники по любой информации.

Р. СУРГУНД: Мы действительно наблюдаем мероприятия по сокращению IT-затрат в банках. Но при этом важно отличать краткосрочные меры, влияющие на производительность финансового учреждения, как-то: сокращение персонала, пересмотр портфеля текущих проектов, сокращение текущих закупок рабочих станций, серверов и ПО, - от долгосрочных, призванных обеспечить повышение эффективности (напр., снижение коэффициента cost/income) и обеспечить устойчивый рост бизнеса банка в перспективе. При этом речь идет не только и не столько об IT-затратах банка, доля которых в общей структуре затрат не так существенна. Речь идет об оптимизации ключевых бизнес-процессов банка, сокращении всех операционных затрат. Вот здесь, по нашему мнению, без использования современных IT-решений и, соответственно, без новых инвестиций в IT не обойтись. То есть в целевой структуре затрат доля IT должна увеличиваться, а в целом все операционные затраты должны уменьшаться. Понятно, что такой подход к развитию IT в банке предъявляет новые требования к финансовому обоснованию таких инвестиций, оценке как преимуществ, так и рисков, и, опять-таки, в первую очередь финансовых, связанных с внедрением новых технологий. Немногие банки имеют такую компетенцию в собственных IT-департаментах, поэтому нам представляется, что опыт консалтинговых подразделений крупных компаний, обладающих соответствующей методологией и международным опытом, таких как IBM, будет в новых условиях более востребован.

К. СУММАНЕН: Сейчас хорошее время для того, чтобы повышать операционную эффективность, сокращать расходы на проведение и обработку операций. И второе. По поводу небольших пилотных проектов. Мне кажется, есть ниша и для них. Скажем, банк собирался решить какую-то масштабную задачу, но сейчас не лучшее время для больших трат, зато можно сделать маленький «пилот», посмотреть две-три платформы, выбрать из них подходящую. Малобюджетный проект значительно снижает впоследствии риски от выбора неправильной платформы и, с другой стороны, дает возможность отложить большие вложения на какой-то более поздний период, когда кризис закончится.

О. РУБЦОВА: Ярким показателем ситуации является и то, что стали востребованы аутсорсинг и хостинг, то есть так называемая аренда бизнес-приложений. Прежде от подобных предложений у IT-специалистов банков глаза становились круглыми: «Какой аутсорсинг, если у нас тут вопросы безопасности на первом плане».

А. СЫЧЕВ: Не скрою, мы тоже, случается, стоим перед выбором: обратиться к аутсорсингу или решать проблемы своими силами? И первый вопрос, который мы задаем при встрече с потенциальными аутсорсерами: скажите, как вы можете обеспечить информационную безопасность, что у вас есть для этого?

НБЖ: И насколько вы удовлетворены ответами, которые получаете?

А. СЫЧЕВ: Могу сказать, что полных ответов на поставленные нами вопросы еще никто не дал. Кстати, я бы не стал интерес к аутсорсингу и хостингу напрямую связывать с кризисом.

О. РУБЦОВА: Раньше, как правило, если затевались какие-то проекты, то их реализаторы просчитывали совокупную стоимость своих начинаний. Банк интересовало, во сколько им обойдется затея, скажем, в течение пяти лет. Сейчас для многих гораздо более актуальной является cash flow, то есть именно те деньги, которые они заплатят в настоящий момент. Понятно, что любая аренда, любой аутсорсинг, если посчитать в перспективе от трех до пяти лет, обходится дороже, чем приобретение в собственность, но тем не менее в текущих условиях банк потратит меньше. Вот почему я называю это следствием кризисной ситуации.

С. ДОБРИДНЮК: Мне кажется, что в банках экономия на IT-бюджетах прошла мягко, потому что упала стоимость оборудования, услуг подрядчиков, затраты на персонал. Сокращение происходит, на мой взгляд, за счет того, что банки убирают IT-«недострой», который не дошел до стадии продакшна. А в тех проектах, которые находятся в высокой степени готовности и актуальности, экономии нет.

А. ФОМИЧЕВ: Как разработчик программного обеспечения, наша компания наблюдает скорее не сокращение IT–бюд-жетов, а их перераспределение. Меняются приоритеты. Замораживанию или секвестру подвергают те проекты, которые могут принести отдачу только в долгосрочной перспективе. Зато приоритет получают идеи, которые дадут пользу в ближайшее время.
Второй момент: кризис активизировал процесс слияния-поглощения, и в связи с этим у нас добавилось работы. Идет унификация приобретенной инфраструктуры, ее централизация. В этих условиях мы реализуем целый ряд проектов, направленных на внедрение единых технологий по всей банковской инфраструктуре, по подключению филиалов в режиме онлайн.
То, что мы называем аутсорсингом, тоже сейчас приобретает новую актуальность. Нам стало проще разговаривать с банками о подключении к нашим процес-синговым центрам, процессинговым услугам на условиях процессинга или аутсорсинга. Я говорю, например, о дистанционном обслуживании в рамках Faktura.ru или о процессинге пластиковых карт.
Кроме того, изменились приоритеты банковского бизнеса. Поскольку значимость процентных доходов сейчас стала меньше, возрастает число проектов, связанных с увеличением комиссионной составляющей в доходах банков, и те проекты, которые способны комиссионную составляющую поднять, выходят на передний план.
Разумеется, многие банки готовятся к экспансии после кризиса. Мы реализуем целый ряд программ, связанных с внедрением новых продуктов не только в России, но и в государствах ближнего зарубежья. И хочу в этой связи заметить, что для ЦФТ кризис только добавил работы. С нового года у нас стартовало около двух десятков проектов.

Д. ГРИГОРЬЕВ: С моей точки зрения, крупные банки на аутсорсинг еще долго не пойдут. А малые сейчас сталкиваются с интересной проблемой: у них немного людей, и в то же время они проводят достаточно большой объем операций. Один наш клиент - маленький банк - начал совершать по сорок тысяч сделок на фондовом рынке в день. Чтобы обработать такое количество операций, ему, соответственно, придется поменять технику на более мощную, придется брать дополнительно людей для того, чтобы эту технику и программы обслуживать. В таких случаях аутсорсинг будет спасением. Это тема ближайших лет именно для маленьких банков, которые не так опасаются за свою безопасность.

КАК РАСПОЗНАТЬ «ТРОЯНСКОГО КОНЯ»?

НБЖ: Скажите, коллеги, а правда ли, что сейчас повсеместно происходит сокращение персонала, занятого на IT? И существует ли в этой связи опасность потери или даже кражи информационных ресурсов, нанесения иного вреда со стороны уволенных (читай - обиженных) сотрудников?

В. КОНТОРОВИЧ: Хочу отметить, что участвую здесь как эксперт, а не официальный представитель ЦБ. К нам время от времени поступает информация о фактах, которые вы обозначили в своем вопросе. И наши службы внимательно анализируют эту информацию - прежде всего на предмет предотвращения подобных случаев в работе самого Банка России.
Кстати, инсайд не обязательно связан непосредственно с увольнением - он может быть связан с чем угодно. С подкупом или с тем, что человек решил таким образом «взять банк» и уехать в теплые края.
У нас давно, больше десяти лет назад, был инцидент, который привел к потерям - небольшим, - но тогда многие наши сотрудники поседели от переживаний. Тот урок был детально изучен, из него сделали серьезные выводы, был дан толчок к переходу на иные уровни обеспечения безопасности. И в этом смысле ЦБ может считаться хорошим примером. Также вы, вероятно, помните, что несколько лет назад был инцидент, связанный с появлением на рынке платежной информации. Банк России никогда не признавал, что это информация из его платежной системы. Тем не менее мы приняли очень серьезные профилактические меры. Причем эту работу контролировал лично председатель ЦБ. Кстати, все это дало дополнительный импульс развитию стандарта информационной безопасности Банка России.

 

А. СЫЧЕВ: Проблема не в том, что увольняют сотрудников, а в том, что не обеспечивается разграничение прав доступа к той или иной информации в банке. И здесь ни один стандарт, каким бы он обязательным ни был, не поможет до той поры, пока руководство банка само не осознает, что надо этими вопросами заниматься. Стандарты информационной безопасности Банка России, которые выпущены и продолжают совершенствоваться, хороши, но только в том случае, если их начинают не просто формально принимать, а начинают им следовать.

С. ДОБРИДНЮК: Такие инциденты участились. Портрет российского сотрудника, который потенциально может стать инсайдером, часто совпадает с общемировой практикой. Это человек, который работает в банке от двух до трех лет, который имеет доступ к контуру безопасности и даже к инструментарию. 37% таких сотрудников в прошлом имели проблемы с законом. Что делать? Необходимо осознать проблему, зоны риска и активно начать защищаться.

Д. КОМАРОВ: Я представляю компанию-интегратора, и мы на практике сталкиваемся с теми фактами, которые кому-то видятся маловероятными. Я имею в виду опасность нанесения ущерба банку бывшими сотрудниками. Статистики по таким случаям нет, прессе они тоже недоступны. Возможно, и правоохранительные органы далеко не всегда располагают этими данными. Но тем не менее я готов ответственно заявить, что подобных случаев в связи с кризисом стало больше. Сотрудники увольняются принудительно, бывает, что по спущенной сверху разнарядке: сократить штатное расписание на столько-то человек. Вот и увольняют, в том числе и IT-менеджеров, которые имеют доступ к конфиденциальным данным. А нам это добавляет работы: надо срочно менять все пароли, все логины, оказывать другую помощь.
К этому хотел бы еще добавить, что ситуация с IT-безопасностью в российских банках все еще находится на очень среднем и ниже уровне. Не могу сказать, что знаю банк, где IT-безопасность отстроена полностью, начиная от процессов и кончая просто информационными системами.

Р. СУРГУНД: Хочу подчеркнуть, что этим заниматься не только необходимо, но еще и выгодно. Инвестиции, связанные с информационной безопасностью, дают реальную финансовую отдачу. Речь идет в первую очередь о снижении финансового и репутационного риска за счет внедрения решений, например, направленных на противодействие отмыванию доходов, полученных преступным путем, другим финансовым преступлениям.

НБЖ: А кто-нибудь пытался посчитать, какова эта отдача? Конкретные примеры можно привести?

Р. СУРГУНД: Такие примеры в практике работы компании IBM есть, но я не знаю ни одного заказчика, который готов подобной информацией открыто поделиться.

О. РУБЦОВА: Когда речь идет о безопасности, в том числе информационной, безусловно, надо учитывать человеческий фактор, надо постоянно работать с людьми. Многое зависит от того, как банк сокращает персонал, насколько при этом соблюдается закон. Если сотруднику в один прекрасный день просто сказали «все, до свидания, мы в тебе больше не нуждаемся», вероятность того, что он сделает какую-то пакость, всегда повышается.

ВСЕ СТАНЕМ НАРУШИТЕЛЯМИ?

НБЖ: С 1 января 2010 года вступают в действие требования закона о защите персональных данных. Для кредитных организаций это означает повышение операционных расходов, что крайне нежелательно в период кризиса. Да и многие банки, как говорят их представители, попросту не готовы к тому, чтобы работать по новым правилам. Есть ли необходимость в связи с этим ставить вопрос о переносе сроков введения этого закона?

К. СУММАНЕН: Я считаю, что требования этого закона неисполнимы в принципе. Скажем, если следовать ему, то, записывая чей-то телефон в свой мобильник, я должен получить от этого человека письменное подтверждение того, что он предоставляет мне это право. Это означает на практике, что закон будет трактоваться с большой степенью свободы. Надзорные органы смогут одним предъявлять претензии, другим - нет.

НБЖ: Кстати, а какие наказания предусмотрены для нарушителей?

А. СЫЧЕВ: За неисполнение закона о защите данных (152-го ФЗ) контролирующий орган вправе обратиться к Центральному банку с ходатайством об отзыве лицензии на срок до 90 дней. Второе, что может реально произойти, - это возбуждение дел в отношении руководства банков об административных правонарушениях по неисполнению закона. Но последующий штраф сам по себе, может, не так и важен, как удар по имиджу.

К. СУММАНЕН: Теперь банки должны получить от всех своих розничных клиентов разрешение на хранение информации. Возьмем ВТБ24. У него несколько миллионов клиентов, из которых пару миллионов просто не найти, однако их данные хранятся, банк обязан их хранить для какой-то исторической отчетности. Как у них получить разрешение? А не получишь - значит, ты потенциальный нарушитель, так?

А. СЫЧЕВ: Я бы сказал, что закон далек от совершенства, но есть определенные смягчающие обстоятельства. Проблему я вижу в другом. Существует ряд подзаконных актов. И например, для некоторых автоматизированных систем эти подзаконные акты требуют определенной защиты. В нашем банке 1600 допофисов. Соответственно, 1600 операционных залов. Формально, если следовать подзаконным актам, мы должны в каждом из операционных залов поставить оборудование, которое обеспечивало бы защиту речевой информации от съема, защиту от утечек по техническим каналам и некоторые другие меры защиты. Это приведет к значительным финансовым затратам, но вряд ли поможет снизить реально существующие риски.

НБЖ: Значит, закон нуждается в доработке? В таком виде исполнить его требования невозможно.

Д. КОМАРОВ: Мы проводили тщательный анализ этого закона. Прямое следование его положениям означает следующее: то здание, где хранится информация, иногда проще полностью разрушить, срыть с лица земли, а на его месте построить новое, отвечающее требованиям закона. Реально ли это, особенно сейчас, в период кризиса? Вопрос риторический…

ЕСЛИ ЗАГЛЯНУТЬ В ЗАВТРА

НБЖ: Но кризис рано или поздно кончится. И вот интересно, как изменится послекризисный IT-ландшафт? Считается, что именно в такие периоды появляются новые технологии, совершаются новые технические прорывы.

С. ДОБРИДНЮК: Будут серьезные изменения в составе банков и их филиальном ландшафте. Успешные банки уже изменили характер работы в сторону разнообразия сервисов, каналов их доставки, сочетая их мощность с мобильностью. Такие процессы пойдут теперь интенсивнее и с оглядкой на операционную эффективность. Среди конечных «клиентских» каналов: агентские сети, сети ККО, колл-центры, терминалы самообслуживания, интернет-клиенты - будет острейшая конкуренция, вплоть до отмирания или появления принципиально новых форматов. Это отразится на жизни их авторов и пользователей. То есть нас ждут изменения достаточно яркие, возможно, даже для некоторых прежних архитектур и разработчиков драматичные.

Д. КОМАРОВ: Наш рынок очень неоднороден. Еще многим банкам надо тянуться и тянуться к тому уровню, на котором находятся лидирующие игроки. Даже не все крупные кредитные организации автоматизировали свой бизнес, их инфраструктуры все еще находятся в каком-то промежуточном состоянии. Я знаю, что сейчас, несмотря на кризис, некоторые компании пытаются наверстать упущенное. И речь идет даже не о каких-то новых технологиях, а об элементарном желании подтянуться до уровня западных стандартов. Те же CRM-решения, комплексная автоматизация бэк-офисных систем…
Что касается абсолютно новых решений, то, на мой взгляд, все они лежат в области автоматизации бизнеса, снижения зависимости от персонала и повышения эффективности. Это, например, customer satisfaction-системы. Или такая новинка, как workforce-менеджмент - управление персоналом, когда можно контролировать эффективность каждого сотрудника по каким-то параметрам и рационально распределять нагрузку, а заодно, может быть, и оптимизировать этот персонал. Система позволит понять, какова реальная отдача от массы работающих сотрудников: кто впереди, кто в хвосте? Это значительно увеличит эффективность управления..

А. ФОМИЧЕВ: Среди тех банков, которые выживут после кризиса, - я надеюсь, что их все-таки останется несколько сотен, - обострится борьба за качественного клиента. Таких клиентов немного. И поэтому я думаю, что с точки зрения IT будут востребованы не только те продукты, которые автоматизируют, скажем, получение комиссионных доходов, кредиты и collection, но и те продукты, которые обеспечивают управление лояльностью. Имеются в виду системы лояльности не только банковские, но и те, которые позволяют совмещать разные бизнесы, - например, реализация проектов по внедрению совместных с ритейловыми сетями систем лояльности и другими внебанковскими структурами.
А с точки зрения IT-компаний я думаю, что сокращение числа банков повлечет за собой пропорциональное уменьшение бизнеса для тех, у кого доля нормально распределена по всей банковской инфраструктуре или у кого доля клиентов больше среди малых и средних банков. Те компании, у которых доходы сосредоточены в топ-50, в топ-100, пострадают от кризиса в меньшей степени и даже выиграют
 

О. РУБЦОВА: Сейчас гораздо более актуальными станут задачи повышения лояльности клиентов, но я не согласна с тем, что станут более популярны так называемые программы лояльности, и в частности, ко-бренды, потому что есть некий парадокс: текущие программы лояльности, которые запускают банки с теми же ритейловыми сетями, с авиакомпаниями, с телекомами, никак не повышают лояльность клиента. И, собственно говоря, они даже не решают такую задачу - они не на это рассчитаны. Они рассчитаны на то, чтобы привлечь достаточно легким путем дополнительную клиентскую базу. А лояльность и привлечение - это разные вещи. И мне кажется, что как раз наоборот: в условиях кризиса станет более актуальной задача не привлечения, а удержания клиентов. А для этого надо сначала выделить таких ценных клиентов. Вот то, в чем помогут информационные технологии.

С. ДОБРИДНЮК: Наверное, вы согласитесь с тем, что такое слово, как «инновация», особенно в кризис, клиенты не воспринимают. Инновация сама по себе не является серебряной пулей, благодаря которой вдруг что-то получится. Поэтому в какие-то абстрактные инновации банки не верят. Однако современный банк работает не на счётах. Есть бизнесы, которые без IT в принципе невозможны. Это дистанционное обслуживание, пластиковые карты - они без хорошей надежной IT-системы расчетов в принципе невозможны. Повышение скорости оборачиваемости средств, управление ликвидностью, бюджетирование базируются на IT-сервисах. Но при этом необходим разумный баланс, гармоничный симбиоз разработчика и банка. Есть разработчик, который способен генерировать инновационные решения, а у банка есть IT-структура и персонал, который может грамотно эти продукты применить в бизнесе. Тогда действительно эффект от IT-инноваций будет очевиден.

В. КОНТОРОВИЧ: Мне кажется, что здесь прозвучали слишком пессимистические прогнозы относительно мелких и средних банков. Пока статистика это не подтверждает.

НБЖ: Но разве не ЦБ инициировал закон, согласно которому повышается уровень капитала до 90 миллионов рублей, и это автоматически уберет с рынка порядка 300 банков?

В. КОНТОРОВИЧ: Сейчас у нас более 1100 банков, но далеко не все из них являются по существу реальными кредитными учреждениями, имеют хоть какие-то признаки реальной банковской деятельности. Уход с рынка подобных игроков никто и не заметит. И речь идет как раз о таких банках. А вот владельцы банков, ведущих реальный бизнес, конкурентоспособных в своих нишах, найдут возможность докапитализировать свои банки. Второй момент касается Центрального банка. Регулятор просто обязан найти возможность помочь кредитным организациям в снижении их затрат, связанных с разного рода регулятивными требованиями Центрального банка, а также с некоторой неэффективностью наших систем, которыми кредитные организации пользуются. Я приведу три примера. Первый - это система сбора отчетности с кредитных организаций: она у нас, как известно, децентрализованная, поэтому многофилиальные кредитные организации имеют в связи с этим определенные неудобства. Сейчас ЦБ работает над проектом по созданию централизованной системы.

 Второй пример связан с нашей платежной системой. Там многое требует улучшения. Например, спектр платежных инструментов, сервисы платежной системы далеки от идеала. Мы можем и должны в этом направлении двигаться вперед. Но при этом надо ясно понимать, насколько это сложная сфера. Например, недавно Банк России после тщательного анализа отменил свое Указание от 06.10.2008 №2086-У в части увеличения до 300 символов длины полей Плательщик/Получатель в платежных документах. Кстати, в этом нет ничего страшного. Никто не застрахован от ошибок. Главное, чтобы подобные ошибки быстро выявлялись и исправлялись.
   Третий пример - требования, связанные с распечаткой из АБС, и хранение в бумажном виде различных документов операционного дня. Это тонны бумаги. Это огромные накладные расходы, связанные с распечаткой немыслимого количества информации на сверхбыстродействующих принтерах, гигантские затраты на закупку бумаги, на транспортировку и хранение архивов, на утилизацию этих архивов… ЦБ в этом отношении сделал прорыв - сначала для себя. Мы начали работу по созданию системы хранения документов в электронном виде. Сегодня мы близки к тому, чтобы в нормативные документы Банка России внести необходимые изменения, которые позволяли бы кредитным организациям вести то, что называется «электронным архивом».
   Однако при всей очевидности самой проблемы при переходе к использованию только электронных архивов для защиты прав собственности клиентов банка, кредиторов и т.д. необходимо обеспечить юридическую значимость и сохранность информации в электронных архивах.
   Если удастся создать нормальные системы электронного хранения документов с соблюдением этих требований, то в ближайшее время ЦБ сможет принять решения, которые снизят затраты кредитных организаций в целом по системе на миллиарды.