Банковские информационные технологии

Один из вариантов реализации Management Information System -трехуровневная структура. Первый уровень организует обмен данными и внедрение Management Information System в информационное пространстве банка. Уровень обработки данных реализует методики обработки информации, расчет и анализ показателей, блоки статистического и экономико-математического анализа. Самый верхний уровень оформления данных обеспечивает взаимодействие пользователя с Management Information System, организует пользовательский интерфейс.

Функциональный состав Management Information System может варьироваться в зависимости от масштабов банка, числа работающих в нем специалистов, организационной структуры и технологии деятельности. Как правило, Management Information System включает следующие функциональные блоки:

• систему управленческого учета;
• управление ликвидностью, активами и пассивами. Данный 
  блок должен быть построен на основе различных методик оценки ликвидности банка, обеспечивать прогнозирование тенденций изменения ликвидности;
• блок анализа рентабельности (банка в целом, отдельных банковских продуктов, отдельных бизнес-процессов 
  и бизнес-структур);
• систему бюджетирования банка (анализ распределения статей доходов и расходов как в целом по банку, так и по отдельным структурным подразделениям). Система должна обеспечивать не только проектирование бюджета, но и контроль за его исполнением;
• средства управления персоналом (доступ к данным кадрового учета сотрудников в целях предоставления необходимой информации руководителям банка). Обязательное требование - наличие средств организации и планирования рабочего времени. Одним из альтернативных путей решения данной задачи может быть совместное функционирование Management Information System с программными средствами управления персоналом независимых разработчиков.

Многие банки стремятся к внедрению подобной системы, так как она является в настоящее время наиболее адекватным инструментом банковского управления.

Информационная безопасность.

Вместе со многими преимуществами информационные системы таят в себе и не меньше опасностей. Одна из них - возможность несанкционированного доступа к информации и даже осуществления операций. Информационная безопасность является важнейшим аспектом информационных технологий, так как направлена на защиту как клиентской, так и внутренней информации от несанкционированных действий.

Стремительное развитие информационных систем в российских банках делает проблему защиты информации еще более актуальной. Несмотря на то что по сравнению с западными банками доля автоматизированных бизнес -процессов в нашей стране не так велика, случаи нарушений деятельности банков в результате информационных сбоев как умышленных, так и неумышленных, становятся все более частыми.

Причины нарушений в информационной системе организации - это, как правило, либо ошибочные действия пользователей, либо умышленные атаки на систему. В последнем случае целью злоумышленника может быть получение информации, выполнение каких-либо действий, разрушение системы или ее части.

Случаи ошибочных действий пользователей информационной системы бывают практически во всех сколько-нибудь крупных информационных системах. Совершаемые ошибки, как правило, связаны с неверным вводом информации в систему автоматизации. При этом последствия ошибки можно расценивать по-разному, ввиду различной ценности вводимых данных.

Наиболее опасным следствием ошибочных действий сотрудника банка может стать совершение операции с неправильными основными реквизитами (счета или сумма). Последствия таких ошибок, даже в случае исправления проводки и возврата средств, существенно ухудшают имидж банка и снижают доверие клиентов к нему. Поэтому в большинстве банков вводятся дополнительные системы контроля и достаточно крупные штрафные санкции для сотрудников, совершивших ошибки. Однако несмотря на это, одна-две ошибки на 1000 документов в некоторых кредитных организациях рассматриваются как допустимая норма.

Другая весьма болезненная ошибка пользователя - неправильный запуск какого-либо большого процесса, например, закрытие операционного дня или переоценка валютных средств. Такого рода ошибки обычно вызывают сбои в работе всей организации, задержки в обслуживании клиентов.

Для минимизации потерь от этих ошибок в работе с информационной системой обычно принимаются следующие меры.

Во-первых, проводится продуманная и, желательно, задокументированная политика контроля за информационными ресурсами в банке, которая должна определять типы основных документов, условия и вид контроля за их прохождением. Можно выделить следующие принципы, определяющие политику контроля:

• дополнительный визуальный контроль документов на большие суммы (сверх некоторого заранее установленного уровня);
• группировка документов в пачки не более чем по 30-40 шт.;
• параллельный независимый ввод ключевых реквизитов всех (или по крайней мере внешних) платежных документов.

Во-вторых, система настраивается в соответствии с правами пользователя, т.е. его доступ к проведению операций должен быть ограничен определенными условиями и контролируемыми параметрами.

В-третьих, вводится четкая регламентация действий сотрудников в случае ошибочных операций.

В-четвертых, регулярно проводится повышение квалификации сотрудников, использующих компьютерную технику.

Однако в полном объеме эти меры редко применяются, несмотря на то что претворение их в жизнь необходимо. Основные причины - высокая трудоемкость и отсутствие соответствующих процедур в программном обеспечении информационной системы банка. Подобными процедурами при построении системы защиты обычно пренебрегают, особенно в небольших банках, где затраты на автоматизацию невысоки.

Умышленные атаки на систему, происходят достаточно редко, но в то же время они наиболее болезненны для банка. При этом злоумышленник может быть как сторонним лицом, так и сотрудником банка.

Труднее всего организовать защиту от несанкционированного получения информации. Это объясняется тем, что для полной защиты часто необходимы не только технические средства, но и комплекс процедур, выполняемых персоналом, поскольку нередко для получения конфиденциальной информации достаточно войти в «контакт» с кем-то из сотрудников банка.

Однако ущерб от утечки информации обычно невелик, что необходимо помнить, принимая решение о выделении денежных средств на разработку подобной защиты. Нанести значительный урон путем хищения информации может только мощная организация (конкурирующая или государственная), которая при достаточных затратах обойдет любую защиту. Необходимо также упомянуть об ограничении доступа в помещение отдела автоматизации и ключевых функциональных служб, что послужит дополнительной защитой.

В отличие от хищений информации осуществление несанкционированных действий часто можно доказать и, следовательно, пресечь. Мотивами несанкционированных действий, как правило, являются попытки хищения средств. Несмотря на наличие параллельного бумажного документооборота, российские банки имеют ряд слабых мест, позволяющих совершать хищения средств. При этом в целом неверно распространенное мнение о том, что подобные преступления совершают профессиональные хакеры, используя сеть Internet. В большинстве российских банков Internet не интегрирован во внутреннею сетевую среду либо защищен с особой тщательностью.

Самым уязвимым для несанкционированных действий звеном информационной системы банка являются автоматические групповые операции, сумма и счета которых обычно не подлежат тщательному контролю. Рассмотрим некоторые их этих операций.

Начисление процентов на расчетные счета и счета до востребования. Обычно известна только общая сумма данной групповой операции, причем приблизительно. Незначительные изменения в каждой проводке с последующим сбросом суммы на счет злоумышленника практически не поддаются визуальному контролю. Для предотвращения подобного рода хищений рекомендуется иметь в рамках службы безопасности специализированную службу для параллельного контроля автоматических операций по закрытым для остальных сотрудников методикам.

Хищение через систему клиент-банк. Ввиду особого внимания к защите этой системы и дополнительного контроля проходящих сумм клиентом, попытки такой атаки имеют обычно характер разового хищения крупной суммы. Исходя из этого в качестве защиты рекомендуется ограничить для каждого клиента максимальные ежедневные объемы платежей, совершаемых по системе клиент-банк и регламентировать обязательный ежедневный контроль выписки клиентом даже при отсутствии платежей.

Изменение внешнего получателя платежа. Данный тип хищения характеризуется изменением реквизита после прохождения стадий контроля. Защита от злоупотребления достаточно сложна и сводится к запрету на редактирование информации после прохождения стадий контроля и до электронной подписи отправляемого рейса.

Еще одним источником потенциальной опасности для информационных систем является разрушение системы автоматизации или ее отдельного модуля. Как ни странно, но одна из возможных причин подобных действий - желание какого-либо сотрудника банка (обычно увольняемого) отомстить руководству и организации в целом. При этом результаты нанесенного ущерба могут проявиться через неопределенное время, что сделает выявление виновного невозможным. Для защиты от действий такого рода можно рекомендовать регулярно создавать резервные копии, ввести запрет на доступ сотрудника в информационную систему после уведомления его об увольнении, совершенствовать процедуры увольнения во избежание мести со стороны увольняемого.

Техническая политика

Техническая база процессов развития и перестройки деятельности кредитной организации неразрывно связана с информационными технологиями как средство, платформа, обеспечивающие их функционирование. В связи с этим хотелось бы подчеркнуть обязательный характер проведения дополнительного анализа технической возможности реализации того или иного проекта с учетом необходимых для этого материальных и временных затрат.

Проблемы, связанные с технической базой и отсутствием высококвалифицированного персонала, нередко приводят к неприемлемым затратам и даже к срыву проекта в целом. По данным американских ученых в области реинжиниринга и автоматизации, только 20% проектов укладываются в выделенные для них бюджеты и сроки, для более 50% требуются дополнительные затраты, превышающие запланированные в среднем в 1,8 раза, а остальные проекты так и остаются нереализованными. Объясняется это многими факторами, в том числе недостаточностью материально-технической базы, отсутствием концепции проведения подобных работ.

Помочь в решении возникающих проблем может формализация «Технической политики организации», соответствующей стратегии и потребностям организации. Техническая политика определяет основные правила формирования технической базы. Ее задача - четкая регламентация развития технической базы организации в тесной связи с развитием самой организации, определение технических и управленческих стандартов этого развития, регламентация различных исключительных ситуаций в сфере технического обеспечения. Более того, необходимо, чтобы банк формализовал техническую политику в форме отдельного внутреннего документа до начала разработки проектов.

Рассмотрим основные принципы построения технической политики. Главная ее цель - оптимизация затрат на техническое обслуживание в зависимости от ожидаемого эффекта от капиталовложений, поэтому в основу названного документа ложатся экономические аспекты.

В настоящее время технические бюджеты или бюджеты автоматизации формируются по принципу: «на технологии ничего не жалко» или «лучший бюджет на ИТ - нулевой бюджет». Естественно, обе эти крайние позиции одинаково не соответствуют тому, что должно быть в реальности, так как не учитывают экономический эффект от закупки той или иной техники. Это приводит либо к затовариванию отделов автоматизации ненужным программным обеспечением, либо к покупке устройств, по своей производительности десятикратно превосходящих потребности организации.

Техническая политика должна определить методику формирования бюджета на основании средней доходности банковских операций и инвестиций. Это позволит избежать лишних затрат и не пропустить выгодного капиталовложения. Однако при расчете экономической эффективности технического перевооружения организации необходимо учитывать следующие факторы:

• большая часть компьютерной техники дешевеет ежегодно в 2 раза. Это также приводит к постоянному снижению стоимости высокотехнологичных услуг на рынке;
• реальные затраты могут превышать ожидаемые в 2 раза.

Но тем не менее затраты на техническое перевооружение необходимы, даже если их экономический эффект не заметен на первый взгляд. Подобного рода затраты неизбежно оправдывают себя, повышая технический потенциал организации и ее конкурентные преимущества.

Очень важный аспект «Технической политики» - отношение руководства банка к техническому персоналу. Это серьезная проблема, поскольку в настоящее время она решается, как правило, радикально. Так, с одной стороны, мы должны констатировать непозволительно пренебрежительное отношение к техническому персоналу, с другой — непомерное преувеличение его роли в некоторых банках. Чтобы оптимально решить эту проблему, отдел автоматизации должен действовать исходя из предложенного бюджета, получая при этом в качестве поощрения существенный процент от сэкономленных средств.

Кроме того, при регламентации производственных отношений с техническим персоналом необходимо учитывать следующие факторы:

• при высоком уровне активности, заинтересованности и профессионализма специалистов по автоматизации затраты на закупку технических средств могут быть сокращены в среднем на 5-25%, а программного обеспечения - до 25-35%;
• на рынке трудовых ресурсов достаточно специалистов по поддержанию работоспособности различных систем. Однако людей, имеющих опыт развития технологической базы, недостаточно;
• использование стандартных систем снижает стоимость их установки и сопровождения, при этом необходимо учитывать, что любая собственная разработка является нестандартной;
• обучение персонала сокращает различного рода расходы, однако зарплата высококлассного сертифицированного специалиста высока и, кроме того, на таких специалистов есть постоянный спрос в зарубежных компаниях.