Logo OTR
Главная
Новости
ИТ-аудит: не надо бояться. Экспертное мнение ОТР специально для АРБ
Новости

ИТ-аудит: не надо бояться. Экспертное мнение ОТР специально для АРБ

02.12.2016

Подробная и понятная статья о том, что такое ИТ-аудит, для чего он нужен, какие результаты, прямые и отложенные, с точки зрения бизнеса от него могут ожидать финансовые организации. Рассказывает Константин Маркелов, заместитель директора по развитию бизнеса компании ОТР и эксперт Ассоциации российских банков с 1994 г, специально для портала АРБ.

Благодаря ИТ-аудиту банк получает оценку состояния информационных технологий, рекомендации и предложения по оптимизации компонент ИТ-инфраструктуры и по снижению уровня выявленных рисков, а также рекомендации по направлениям развития информационных технологий.

Являясь экспертом АРБ и общаясь с представителями банков на разных уровнях, я стал замечать, что существует некоторые разрывы в понимании информационных технологий и их роли в банках. И если разрыв в понимании между банкирами с двадцатилетним стажем и банкирами «нового призыва» вполне объясним и возможен, то неполное понимание между владельцами банков и их внутренними ИТ-службами – это уже серьёзный сигнал неблагополучия. Попробуем в самых простых словах дать общее определение как самим информационным технологиям, так и важному понятию ИТ-аудита, который реально может сблизить в понимании владельцев банков и ИТ-специалистов.

Информационные технологии – это инструмент, позволяющий упростить и ускорить бизнес-процессы банка. Нередко планы модернизации и развития информационных систем (ИС), которые готовят как раз ИТ-службы, представляются владельцам слишком затратными или сложными для реализации. И это объяснимо: если после внедрения автоматизированной банковской системы (АБС) дальнейшая автоматизация проводилась точечно, по запросам отдельных подразделений или для решения каких-либо локальных задач, то в банке сосуществуют множество разнообразных ИС со сложными связями. Но в сущности никто, даже из ИТ-службы, точно не знает, насколько текущий набор ИС и связей между ними способствуют развитию банка, никто не имеет целостной документированной (а значит – контролируемой) картины.

Исторически ИТ-инфраструктура (в широком её понимании) в большинстве банков строилась для частных задач, спонтанно, без какой-либо чёткой стратегии. Это с вероятностью 90% рано или поздно приводит к тому, что «всё работает почти стабильно и почти правильно», но становится сложно управлять развитием. Текущее состояние ИТ не всегда справляется с (текущими и тем более – перспективными) задачами, поставленными владельцами или акционерами. К тому же, ИТ-инфраструктура постоянно изменяется, а документация на каждый её элемент остаётся без изменений либо серьёзно запаздывает с обновлением. Неотвратимо наступает момент, когда существующая документация не соответствует действительности. Вся информация об ИС содержится в головах уникальных ИТ-специалистов в несистематизированном виде, что явно не способствует развитию - ни технологий, ни основного бизнеса.

Я ни в коем случае не утверждаю, что именно такая ситуация сейчас в каждом банке, но она типична, поэтому - не катастрофична. Аудит ИТ как раз позволяет исправить эту ситуацию: чтобы определить те компоненты ИТ-инфраструктуры, которые не отвечают целевым требованиям бизнеса, миссии и бизнес-стратегии банка и требуют модернизации. Это отправная точка для дальнейшего развития всех ИТ и ИС банка.

Определение ИТ-аудита

Суть любого аудита – независимая экспертиза, проводимая для проверки соответствия какого-либо объекта заданным критериям. Для проведения аудита ИТ в банках, как правило, используют методики, разработанные на основании требований международного ИТ-стандарта COBИТ.

Аудит ИТ – это комплекс организационно-технических мероприятий, направленный на определение текущего состояния ИТ-инфраструктуры, включающий исследование всех участков ИС и ИТ-процессов, проводимый по согласованному с заказчиком аудита плану и в соответствии с выбранными критериями. Аудит ИТ позволяет оценить эффективность существующей ИТ-инфраструктуры, определить основные проблемы и выдать рекомендации по их устранению, а также эффективно задействовать и оптимизировать имеющиеся ресурсы в соответствии с принципом максимальной защиты ИТ-инвестиций.

Процедура ИТ-аудита предполагает сбор, анализ и предоставление руководству банка информации о текущем состоянии ИТ, о рисках, связанных с проблемными зонами ИТ, а также выдачу рекомендаций по снижению этих рисков и по повышению качества функционирования ИТ и ИС.

Цели ИТ-аудита в Банке

В отношениях «владелец – управляющий – ИТ-менеджер» аудит всегда был инструментом, который позволяет владельцам проверить деятельность менеджеров. Главные цели ИТ-аудита:

  • анализ расхождений (gap-анализ) между стратегическими целями развития банка и уровнем развития ИТ;
  • оценка текущего уровня развития и эффективности использования ИТ и прикладных ИС;
  • оценка качества ИТ-инфраструктуры, технологической интеграции, ИТ-процессов в банке;
  • выявление «узких» мест в ИТ и способов/принципов их возможной оптимизации.

Объекты анализа

Анализу подлежат следующие обязательные сущности и объекты ИТ-аудита:

  • бизнес-архитектура ИТ, которая дает наглядное представление насколько функциональность информационных систем покрывает потребности бизнес-направлений;
  • системная ИТ-архитектура, которая показывает какие прикладные ИС используются – их перечень и взаимосвязь, какие задачи решаются – в привязке к бизнес-процессам;
  • прикладная ИТ-архитектура, которая является организационной схемой взаимодействия прикладных ИС, показывает устройство архитектуры данных;
  • уровень соответствия ИТ-инфраструктуры, который показывает насколько ИТ-инфраструктура соответствует требованиям бизнеса по производительности и надежности;
  • качество управления ИТ, организация работы ИТ-службы, каким образом организовано управление ИТ и какие процессы реализованы в управлении ИТ и в управлении ИТ-проектами – качественные и количественные оценки;
  • риски ИТ: какие существуют риски и факторы успеха в развитии ИТ, какие выявлены проблемы и каковы причины их возникновения, каковы положительные тенденции;
  • уровень зрелости ИТ в банке, который дает количественные значения результатов интегрального анализа совокупности оценок по бизнес-архитектуре, системной и прикладной архитектурам, ИТ-инфраструктуре и ИТ-процессам, рискам ИТ.

Аудит ИТ происходит на уровне бизнеса, процессов и на техническом уровне, затрагивает весь банк (именно «затрагивает», а не «отвлекает от работы») и позволяет оценить степень соответствия исследуемых объектов заданным критериям; выявить потенциальные риски, зависящие от ИТ, и получить рекомендации по устранению этих рисков.

Прямые результаты ИТ-аудита

Во-первых, банк получает итоговую оценку в виде независимого аудиторского отчета о состоянии ИТ в банке, включая верификацию и качественную оценку данных, собранных в процессе ИТ-аудита (в том числе оценку текущего управления ИТ и портфеля ИТ-проектов). Впрочем, формально итоговый документ ИТ-аудита правильно называть «Экспертным заключением», а не «Аудиторским отчетом». Услуги по проведению ИТ-аудита не подлежат обязательному лицензированию (в отличие от финансового аудита).

Во-вторых, банк получает рекомендации и предложения по оптимизации компонент ИТ-архитектуры, аппаратного и программного обеспечения, по повышению вклада ИТ в достижение бизнес-целей:

  • предлагаемый состав наследуемого прикладного, специализированного и системного ПО, включая ПО третьих фирм и собственных разработок банка;
  • предлагаемый состав элементов наследуемой и подлежащей модернизации технической инфраструктуры (на верхнем уровне детальности, либо с необходимым уровнем детальности).

В-третьих, рекомендации по снижению уровня выявленных рисков, зависящих от ИТ; по повышению уровня зрелости управления ИТ.

В-четвертых, подходы к реорганизации службы поддержки и развития ИТ.

В-пятых, в отчёте описываются принципы развития ИТ в соответствии со стратегией развития банка, рекомендации по направлениям развития (при максимальном сохранении и защите инвестиций в ИТ), возможно определение плановых бюджетов и сроков. Это – основные результаты. Уже их достаточно. При этом аудит ИТ является первым шагом к разработке ИТ-стратегии и призван показать руководству банка – как сделать инвестиции в технологическое развитие эффективными, защищёнными с точки зрения их целесообразности, перспективности и соответствия стратегии развития банка.

Отложенные результаты ИТ-аудита

Помимо прямых результатов, есть результаты, которые проявятся позже, в том случае, если банк будет следовать полученным рекомендациям. По опыту, проведение специализированного ИТ-аудита и последующая разработка стратегии развития ИТ, отвечающей миссии и стратегии развития банка, позволит в среднесрочном будущем достигнуть многих важных результатов, например:

В части бизнес-результатов это могут быть:

  • технологическая поддержка развития бизнеса банка в соответствии с планируемыми показателями роста банка и расширяющейся номенклатурой услуг и продуктов (на два-три-четыре года вперёд, т.е. на горизонте стратегического планирования);
  • обеспечение планомерного и прогнозируемого технологического развития банка в соответствии с его бизнес-целями, использование ИТ, отвечающих стратегии развития банка и требованиям его акционеров;
  • внедрение современных технологий бизнес-процессов, использующих лучшие российские и зарубежные банковские практики;
  • высокое качество обслуживания, сквозное обслуживание клиентов (независимо от места и технологии открытия счета, от точки обращения клиента / активации услуги);
  • централизация, целостность и единство информационных систем банка;
  • оптимизация бизнес-процессов и использование различных каналов дистрибуции и доставки банковских продуктов;
  • обеспечение производительности и масштабируемости информационных систем при росте объемов бизнеса;
  • создание и внедрение унифицированных технологий работы допофисов и точек присутствия банка;
  • централизованное управление лимитами и рисками (при внедрении соответствующих прикладных ИС).

В части организационных результатов и результатов в сфере ИТ это могут быть:

  • планируемость и прогнозируемость затрат банка на ИТ;
  • эффективное управление стоимостью владения ИС и ИТ, стоимостью развития ИС и ИТ;
  • технологическое разделение банка на бэк- и фронт-офис;
  • высокая эффективность работы сотрудников бизнес-подразделений (фронт-офис) и бухгалтерии (бэк-офис), исключение рассогласованного двойного (тройного) ввода и хранения информации;

создание оптимальной организационной структуры банка в соответствии с передовыми информационными и бизнес-технологиями;

  • использование на практике принципа сквозной обработки информации (STP - straight through processing), бесшовная интеграция используемых ИС с онлайн-передачей информации между модулями и подсистемами;
  • реорганизация системы управления ИТ в банке (эксплуатация, сопровождение, развитие);
  • регулярный мониторинг, анализ и контроль ИТ-рисков и сопряжённых операционных рисков, контроль ИТ-изменений;
  • стандартизация в области используемого ПО и технологий;
  • быстрое развертывание новых допофисов / точек присутствия банка;
  • документированность ИС, создание документации по эксплуатации и по системно-техническому обеспечению;
  • регламентация взаимодействия бизнес-подразделений банка со службами ИТ, служб сопровождения и развития ИТ с поставщиками ИТ-решений.

Аудита ИТ не надо бояться – его необходимо проводить - эффективно и с максимальной выгодой для банковского бизнеса.

Подробнее об ИТ-аудите компании ОТР

Источник: сайт Ассоциации российских банков

Новости

27/01/2020

В Ассоциации российских банков обсудили искусственный интеллект

УЗНАТЬ БОЛЬШЕ
19/01/2017

ОТР помог Альфа-Банку, X5 Retail Group и Mastercard выпустить уникальную кобрендовую карту

УЗНАТЬ БОЛЬШЕ
27/01/2020

В Ассоциации российских банков обсудили искусственный интеллект

УЗНАТЬ БОЛЬШЕ
смотреть все
Свяжитесь с нами, чтобы узнать больше
СВЯЗАТЬСЯ С НАМИ
Скопировано в буфер обмена