Как снизить расходы на информационные технологии банка
Е.Кондэ
Как снизить без ущерба расходы на информационные технологии банка
При решении поставленной задачи аналитику информационно-аналитической службы банка необходимо, во-первых, изучить всю собранную информацию, дав ей оценку по достоверности и надежности, во-вторых, построить модель проблемы или ситуации и с учетом собранной информации предсказать ход событий, и, в-третьих, дать обоснованные рекомендации руководству, какие управляющие воздействия необходимо предпринять с учетом возможностей конкурента, своих ресурсов и временных ограничений.
Для обработки больших массивов информации используют программные средства. Во многих российских банках уже существует информационная инфраструктура, которую можно использовать в интересах информационно-аналитической службы. Сегодня никого не нужно убеждать в том, что успешное применение информационных технологий (ИТ) является одним из ключевых факторов конкурентоспособности банков.
Однако в большинстве средних и крупных банков соотношение численности персонала, занимающегося поддержкой и обслуживанием ИТ, к количеству пользователей, является существенно завышенным по сравнению с аналогичными показателями зарубежных банков. При этом все сотрудники ИТ работают с полной загрузкой, выполняя важные задачи по администрированию и поддержке в работоспособном состоянии информационной системы банка. Просто им приходится массу времени затрачивать на доработку программ, написанных "на коленке", ремонт и модификацию устаревших компьютеров, борьбу с вирусами, занесенными пользователями с пиратских CD или чужих дискет, исправление ошибок, допущенных неопытными пользователями и т.п.
Когда необходимо вводить режим жесткой экономии, многие руководители приходят к мысли о необходимости оптимизации расходов и в сфере ИТ. Однако отдельными мерами здесь вряд ли можно добиться успеха. Значительно сэкономить на приобретении нового оборудования, как правило, не удается - существует жесткая зависимость цена/качество. Уменьшать людям зарплату не считается хорошим тоном, сокращение численности может привести к результату, прямо противоположному поставленным целям.
Банку, разрабатывающему стратегию развития своей информационной системы, крайне важно взять на вооружение такой параметр, как совокупная стоимость владения, и, уже исходя из него, принимать решения о приобретении оборудования и программного обеспечения (ПО).
Совокупная стоимость владения программно-аппаратным комплексом складывается из следующих основных компонентов:
- расходы на приобретение оборудования и лицензий на ПО;
- расходы на установку оборудования, прокладку и подключение линий связи;
- расходы на инсталляцию ПО (на сервер и рабочие станции);
- затраты на перенос данных и адаптацию пользователей;
- обучение пользователей;
- техническая поддержка пользователей;
- гарантийное обслуживание (при наличии гарантии производителя - временные затраты пользователей на период ремонта или замены оборудования);
- послегарантийное обслуживание;
- возможные затраты на модернизацию оборудования и ПО;
- налоговые платежи, вытекающие из владения комплексом.
Рассмотрим, каким образом банк может снизить расходы.
Как правило, у каждого банка сложился свой круг поставщиков. Тем не менее, при закупках крупных партий оборудования есть смысл поступиться привычными связями и объявить тендер. Причем, информация о тендере и его результатах должна быть максимально открытой: как показывает практика, в этом случае можно добиться значительных скидок (практика показывает - 5-10%).
Кроме цены, безусловно, следует обращать внимание на репутацию поставщика, рекомендации его клиентов, опыт участия в аналогичных проектах, способность предоставить комплексное решение и т.п. Такой подход позволяет сократить временные и финансовые затраты на реализацию проекта.
Еще один всем хорошо известный и столь же хорошо забываемый на практике фактор - обучение сотрудников отдела ИТ работе с ПО. Специалист, приходящий на работу в банк, как правило, уже умеет работать с MS Windows и MS Office, поэтому основные проблемы пользователей связаны со специализированным банковским программным обеспечением, особенно если оно является уникальным (например, собственная разработка). В такой ситуации могут помочь подробные должностные инструкции (руководство пользователя к программе). К сожалению, собственные разработки зачастую не документируются должным образом, что создает для пользователей дополнительные трудности и приводит к ошибкам в работе.
Затраты на администрирование и модернизацию оборудования и ПО можно существенно сократить, используя новые решения, появившиеся на рынке, - например, систему Sun Ray компании Sun Microsystems. Данная система интересна тем, что основная часть ПО находится на одном или нескольких серверах, там же производится вся вычислительная работа и хранение данных. На клиентских местах, представляющих собой небольшие настольные устройства с мониторами, нет ни операционной системы, ни клиентского ПО. То есть, клиентское рабочее место служит исключительно для отображения информации и ввода данных - вся остальная работа выполняется сервером. Настольные рабочие места комплектуются устройствами для считывания смарт-карт, которые выдаются каждому пользователю и служат для аутентификации пользователя системой.
Помимо повышения уровня безопасности, применение смарт-карт позволило устранить привязку пользователя к конкретному рабочему месту: начав работу на одном терминале, он может перейти на другой и продолжить графическую сессию после аутентификации на новом терминале.
Для снижения налоговых платежей при приобретении компьютерного оборудования целесообразно использовать механизм лизинга. В соответствии с текущим законодательством, лизинговые платежи в полном объеме относятся на затраты, уменьшая тем самым базу по уплате налога на прибыль. Кроме того, благодаря применению лизинговой схемы, банк не платит налог на имущество (2%). Лизингодатель имеет право использовать режим ускоренной амортизации (с коэффициентом до 3-х), т.е. банк избавляется от проблемы, когда через несколько лет на его балансе числится морально и физически устаревшее оборудование.
Еще одним кардинальным способом снижения затрат является аутсорсинг - передача части бизнес-функций отдела ИТ сторонним организациям (согласно опыту западных компаний, сумма затрат на ИТ может быть снижена на 30- 50%). Но, как правило, в российских условиях банки крайне редко и ограниченно используют возможности аутсорсинга - в основном, для создания и сопровождения WEB-сайтов. Главным образом, из-за опасений по поводу доступа сторонних лиц к конфиденциальной банковской информации, а также из-за пробелов в законодательстве, связанных с предоставлением подобного рода услуг.
|
Новости |
|
13.04.2006 «Шпаргалка» для финансистов Этап I. Вчерашний Расходы на информационную безопасность считались роскошью, которую руководство коммерческих банков не могло себе позволить, да и не видело в этом особого смысла. В 90-х гг. прошлого века большинство коммерческих банков не имели автоматизированной банковской информационной системы, не имели собственной IT-инфраструктуры. Вопросы обеспечения информационной безопасности в банках обычно не рассматривались отдельно, а растворялись при рассмотрении всех остальных проблем соответствующих служб в целом. Основное внимание уделялось программно-техническим средствам защиты информации, в меньшей степени рассматривались организационные вопросы и вопросы управления информационной безопасностью. Постепенно с появлением автоматизированных банковских систем (АБС), а также с приходом на российский рынок иностранных банков, международных консалтинговых компаний, обучающих организаций пришли и международные стандарты в области информационной безопасности. В частности, стандарты по управлению информационной безопасностью ISO17799/BS7799, состоящие из двух частей, одна из которых представляла собой набор требований к построению системы управления информационной безопасностью в организации. А вторая часть, по сути, являлась руководством по аудиту информационной безопасности на предмет выполнения требований, описанных в первой части стандартов ISO17799/BS7799. Данные стандарты являлись универсальными и предназначались для применения в любых организациях. Именно в это время в коммерческие банки России пришло новое понятие «система управления информационной безопасностью». Этап II. Сегодняшний Руководство коммерческих банков понимает необходимость обеспечения информационной безопасности, но пытается оптимизировать расходы, совмещая бюджеты смежных подразделений и соответственно функциональные обязанности. Руководство не видит прямой выгоды от внедрения системы управления информационной безопасностью. Сегодня многие коммерческие банки используют для осуществления своей деятельности самые современные АБС, благодаря которым почти все банковские процессы автоматизированы, а вся информация хранится в базах данных и резервируется на электронных носителях. Повсеместно используется Интернет, выстраиваются беспроводные локальные сети, управлять своими счетами сегодня можно дистанционно. В таких условиях рано или поздно возникает два вопроса. У клиентов: «Можно ли доверять этому банку?» У руководства банка: «Как построить адекватную систему управления информационной безопасностью, способную контролировать все банковские процессы?» Ответы на вопросы можно получить в стандартах по информационной безопасности, в частности в стандарте Банка России СТО БР ИББС-1.0-2006 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Этот стандарт разработан на основе международных стандартов ISO17799/BS7799, отличительной особенностью является то, что стандарт Банка России СТО БР ИББС-1.0-2006 был разработан специально для применения в кредитно-финансовой сфере. Это уже вторая редакция стандарта Банка России (первая была опубликована в конце 2004 г.) и поэтому стандарт известен многим специалистам коммерческих банков, и, кроме того, есть попытки внедрения положений данного стандарта в рамках своего банка. Однако стандарт управленческий, и без поддержки руководства банка зачастую получается не то, что ожидалось. Внедряют одно, а на выходе получают зачастую совсем другое В результате чего сегодня почти в каждом коммерческом банке на территории России функционирует подразделение или, по крайней мере, существует специалист по вопросам обеспечения информационной безопасности. Все зависит от размера кредитной организации и принятой организационной структуры. Так, в одних банках специалисты по информационной безопасности входят в состав департамента информационных технологий или службу экономической безопасности, в других — выделяется отдельное подразделение, в третьих — таких специалистов берут в состав службы внутреннего контроля. Еще один вариант, когда вопросами информационной безопасности занимаются сразу сотрудники из нескольких подразделений, причем зачастую функциональные обязанности сотрудников таких подразделений дублируются либо противоречат друг другу. Очень много споров разгорается в рамках встреч, конференций, заседаний различных комитетов по информационной безопасности и при общении на тематических Интернетфорумах, в которых принимают участие руководители и специалисты, отвечающие за обеспечение информационной безопасности в своих кредитных организациях. Наиболее популярной темой на сегодня является разработка Политики информационной безопасности. Мнения расходятся по структуре политики, кто-то считает, что данный документ, является закрытым для других подразделений и предназначен только для использования определенными «особо надежными» сотрудниками. Кто-то уверен, что политика информационной безопасности является бюрократическим документом, в качестве которого, для отписки от проверок, можно использовать Политику информационной безопасности, разработанную обучающими организациями «вчера» и доступную в Интернете. А кто-то считает, что Политику информационной безопасности необходимо разделять н! а политику верхнего и политику нижнего уровней, причем политику верхнего уровня, содержащую в себе цели и рамки обеспечения информационной безопасности, необходимо публиковать на вэб-сайте организации. Все эти споры возникают из-за того, что при построении системы управления информационной безопасностью в рамках своего банка каждый пользовался своим «учебником», поэтому нет единого понимания, но выход из этой ситуации есть — это использование единых современных стандартов. В банках нет согласия, как трактовать понятие «информационная безопасность» Этап III. Завтрашний Вопросы информационной безопасности курирует руководитель, входящий в менеджмент банка. Руководство осознает значение информационной безопасности для деятельности и достижения целей бизнеса банка, ведет постоянную оценку информационных рисков, по результатам которой планирует предстоящие расходы на обеспечение информационной безопасности. Чтобы способствовать развитию и широкому практическому применению единых стандартов, повышению уровня информационной безопасности организаций финансового сектора и содействию стабильности кредитно-финансовой системы РФ в целом, в феврале 2006 г. создано Сообщество пользователей стандартов банка России — Association for Banking Information Security Standards (Сообщество ABISS). Деятельность сообщества направлена на развитие и продвижение стандарта Банка России СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», его последующих версий и дополнений, а также других стандартов, положений и методических указаний Банка России, регламентирующих вопросы информационной безопасности организаций банковской системы РФ. Вокруг вышеупомянутого стандарта очень много споров и вопросов. Насколько он применим? Будет ли он обязательным? Если будет обязательным, то кто будет проводить проверку на предмет соответствия банков требованиям данного стандарта? Где взять информацию о стандарте? Появятся ли новые дополнительные стандарты? На какие-то вопросы уже сейчас есть ответы, например на вопрос о применимости можно ответить, что данный стандарт не идеален, но применим и, скорее всего, для многих банков, он наверняка станет настольным документом (некой «шпаргалкой») при построении у себя системы управления информационной безопасностью. Например, в МЕТРОБАНКе при построении системы управления информационной безопасностью применялся именно этот стандарт. Что касается обязательности стандарта или аудита информационной безопасности, не вижу в этом ничего плохого, ведь это стандартная международная практика. Для обеспечения информационной поддержки деятельности ABISS организуется вэб-сайт в сети Интернет (www.abiss.ru). Предполагается, что данный ресурс в будущем поможет специалистам по информационной безопасности упорядочить свои знания посредством общения с разработчиками стандартов, аудиторами ИБ, другими профессионалами, занимающимися в своих кредитных организациях вопросами информационной безопасности, что, безусловно, приведет к тому, что в каждом банке будет организована система управления информационной безопасностью с учетом банковских стандартов. КСТАТИ... Относительно новых стандартов, возможно, уже в этом году будут утверждены некоторые из проектов этих стандартов:
|