Самое интересное от Яна Арта

Олег Подкопаев: «Кризис – не повод отказываться от IT-продвижения»

A A= A+ 17.04.2009
Олег Подкопаев, директор Департамента информационных технологий группы Русфинанс.

Наша справка. Олег Подкопаев. Родился в 1969 году в Москве. Закончил в 1992 году Московский институт радиотехники, электроники и автоматики по специальности «Электронные вычислительные машины». В 2004 году успешно сдал экзамен на звание Certified Information System Auditor. Лауреат национальной ежегодной премии IT Лидер 2007 «За выдающийся вклад в развитие информационных технологий в России».

Более 15 лет работает в сфере информационных технологий, из них 8 лет занимался разработкой и внедрением западных банковских систем в России, Словакии, Венгрии, Бельгии и Англии, пройдя путь от разработчика до руководителя проектов. В 2001-2003 году работал в Управлении банковских технологий Банка Москвы. В 2003-2004 годах возглавлял Управление информационных технологий, а затем Департамент информационных и банковских технологий КМБ-Банка.

С 2004 года и по настоящее время - директор Департамента информационных технологий группы Русфинанс. За время его работы в группе проведено развертывание контакт-центра, насчитывающего более 750 рабочих мест и обеспечивающего обслуживание более 2,5 миллионов телефонных звонков в месяц. Разработана и внедрена инфраструктура, поддерживающая функционирование 60 региональных представительств и более 10 тысяч точек продаж. Успешно проведена инфраструктурная, технологическая и организационная интеграция в рамках группы Русфинанс ООО Русфинанс, Промэк-Банка и банка СКТ. Осуществлено внедрение прикладной архитектуры, обеспечивающей на данный момент обработку более 1,5 миллионов кредитов.

- Не так давно произошла очередная история с мошенничествами вокруг банкоматов. Естественно, подобная информации всегда вызывает определенный всплеск панических настроений. И вопрос «А безопасна ли моя банковская карта?» Что сегодня происходит на рынке в этом плане, какие тенденции?

- Что вообще происходит в этой области? Все просто - идет гонка технологий, совершенно осознанная, понятная. С одной стороны, существуют системы безопасности, существуют банковские подразделения, которые обеспечивают эту безопасность, с другой - существуют люди, которые корысти или даже просто интереса ради занимаются взламыванием банковских систем.

- То есть это не гонка конкурентов, а гонка банков и мошенников, этакие «казаки-разбойники» в компьютерном пространстве?

- Да. Я очень далек от мысли, что в этой сфере банки пытаются подложить какую-то «бяку» друг другу. В недавнем случае с Росбанком это были явно мошенники, которые запустили вирус, который «крал» пин-коды. О реальном снятии денег со счета там разговора не было, он просто считывал номера карточек и пин-кодов.

Профилактика тут известна - существуют различные варианты, начиная от технических мероприятий и заканчивая чисто организационными. Например, та же VISA отслеживает компрометацию данных по всему миру и периодически целенаправленно информирует банки, которые по сообщению той же самой VISA блокируют определенные карты.

- Как вы полагаете, эта «война» хакеров и банков теперь стала постоянной парадигмой? Так и будет процесс дальше двигаться: одни написали, другие ответили?

- Думаю, да. И это в общем-то нормально. Ну, вы знаете, наверное, как работает, например, Мicrosoft. Они выпускают какую-то версию программного обеспечения и отдают хакерам. Те начинают ее бить, публикуется большое количество различных статей, различных комментариев по этому поводу, где описаны слабые места. И Мicrosoft, базируясь на этом, начинают усиливать программу, делать ее менее доступной хакерам. Абсолютная недоступность невозможно априори, предусмотреть все возможные варианты просто невозможно.

- А в целом тема IT-безопасности банкинга в каком сегодня состоянии на россйиском рынке? Не секрет, что на заре рождения коммерческого банкинга в России концепция безопасности, если упрощать, в общем-то сводилась к мужичкам в форме с пистолетами или с пустой кобурой, которые сидели в офисах. Ну, еще к инкассаторам и телохранителям владельца. Последние годы понимание, что часто более главным становится безопасность информационная, IT-безопасность, стало как-то проявляться. Как сегодня обстоят дела глазами IT-шника?

- Здесь нужно смотреть на различные аспекты. Серьезные, крупные банки по сути своей изначально очень серьезно были заточены на безопасность. Действительно, изначально это были прежде всего «люди в погонах», которые, грубо говоря, шмонали всех и вся на входе, гоняли людей по всевозможным «стаканам» или размагничивающим «рамкам».

Но надо отметить, что классические спецы по безопасности довольно быстро поняли значение безопасности информационной. А банковские IT-шники опять-таки в силу понимания специфики своей работы всегда старались обеспечивать безопасность своих систем. Пусть это было достаточно хаотично, до последнего времени не существовало никаких регламентирующих документов на этот счет, но процесс шел.

Сейчас существует стандарт Банка России в отношении информационной безопасности. Пока он носит рекомендательный характер, он не обязателен к использованию, но, думаю, это некий предварительный шаг для «обкатки». Потому что давать сейчас какой-то стандарт, который будет обязателен к исполнению, было бы наивно, учитывая, что до недавнего времени вообще ничего не было и каждый банк строил систему информационной безопасности по своему.

- А на Западе такие стандарты существуют?

- Существуют, но тоже в рекомендательном виде. Кстати, Базель II тоже включает в себя некоторые IT-шные компоненты. Но стандарт Банка России сейчас более конкретный, в нем уже видны зачатки полноценной методики.

Но на российском рынке банки только начинают к нему примериваться. Например, у нас в группе Sosiete General есть свои внутренние стандарты информационной безопасности, начиная от организационной и заканчивая технической реализацией. Они строго контролируются, у нас есть регулярные аудиты, проверки и т.д.

- Они по всей группе единообразны?

- Да, единообразны по всей группе, есть совершенно четкие условия, по которым мы должны работать, начиная от возможности доступа в интернет и заканчивая конкретными техниками коммуникаций.

Плюс, естественно, мы смотрим на какую-то страновую специфику. Например, в отношении трансграничной передачи данных в той же самой Украине особые, очень жесткие требования. Или в процессе защиты персональных данных в некоторых странах требования доходят вплоть до экранирования серверных комнат. Естественно, мы работаем с учетом требования тех стран, где расположены подразделения группы.

С появлением в России закона № 152-ФЗ о персональных данных возникают свои требования и на нашем рынке.

- То есть вы как практик в принципе довольны тем направлением, в котором движется ЦБ?

- На самом деле здесь вопрос очень сложный. Было проведено некоторое исследование, которое показало, что 95% банков не то чтобы не готовы, но не понимают, как именно они должны реализовать требования закона № 152-ФЗ. При этом надо осознавать, что ЦБ в этом процессе не является регулятором. Регуляторами являются Роскомсвязьнадзор совместно с ФСТЭК, которые устанавливают правила игры. При этом часть документов, регламентирующих исполнение закона, в принципе недоступны широкой публике, они под грифом «ДСП». То есть возник определенный вакуум - не существует единой методики по оценке соответствия банков требованиям закона 152-ФЗ. И роль ЦБ в этом деле пока не очень понятна, его регулирующая роль не обозначена.

Если ЦБ вместе с Роскомсвязьнадзором разработают четкую систему требований, но вопросы, которые сейчас непонятны, думаю, будут разрешены.

- В последнее время все чаще и чаще звучит тема развития интернет-банкинга. Думаю, многие пользователя банковских услуг, как и я, уже проделали эволюцию от обслуживания в офисе до работы через банковский сайт. Эта эволюция накладывает на банковский IT какую-то принципиально новую нагрузку? Работа меняется?

- Непринципиально. IT в любом случае для любого банка является базой всех процессов, без IT в принципе невозможно представить себе банк. Поэтому фокус на IT всегда был и останется большой, даже если не учитывать интернет-банкинг. В любом случае, даже если вы зашли не на сайт, а в офисе, клерк будет работать через компьютерную систему. Иных вариантов уже нет. Так что развитие интернет-банкинга ничего нового не привносит, разве что поддержку и развитие самих сайтов, которые раньше были просто «визитными карточками» банков, а теперь становятся «офисами номер один».

Плюс с развитием интернет-банкинга возникает дополнительный момент, связанный как раз с безопасностью, о которой мы говорили. Это дополнительный канал входа в банк, который должен быть надежно защищен.

- Вот в связи с этим - вопрос «чайника». Помните, в «Крепком орешке-4» разыгран сюжет с так называемым обрушением? Если рассуждать теоретически – можно ли сегодня банк обрушить?

С внешней стороны – едва ли. Я помню разговор с одним военным, который смеялся над информацией из США, мол, там периодически сообщают, что взломали сайт Пентагона, ЦРУ и т.п. Он сказал: у нас такого быть не может просто потому, что у нас система закрытая и замкнутая. В нее просто нет входа, нет «двери». В банках в принципе тоже самое. Если мы говорим про операционную систему банков, то она практически полностью изолирована от внешнего мира. А доступный всем интернет-банкинг – это совершенно изолированная от операционной система. То есть можно положить интернет, но через него вы не доберетесь до операционной системы. Конечно, отдельные проблемы возможны.

Недавний пример Банка Москвы, одного из клиентов которого недавно осудили. Он скачал деньги, совершенно случайно получив через интернет-банк доступ к внутрибанковским счетам. Честно скажу: я до сих не представляю, как это возможно. Но ведь его и вычислили и блокировали.

Если же посмотреть на более реальные угрозы, то сегодня основной угрозой для банка является инсайдер. Вот инсайдер – какой-нибудь обидевшийся сотрудник определенного уровня - «положить банк» может достаточно легко.

- А насколько сегодняшний среднестатистический банковский персонал вообще «компьютерно» подготовлен?

- А нет такого понятия – «среднестатистический банковский персонал». Он очень разный. Если вы посмотрите на персонал центрального офиса любого банка, то эти люди достаточно хорошо подкованы. Человек, работающий в  центральном офисе, обычно очень хорошо владеет компьютерными премудростями на уровне пользователя и тут проблем больших не возникает.

Если же мы посмотрим на отделения, то там ситуация кардинально другая. Там, разумеется, совершено другие люди, другой квалификации. Вот с ними, действительно, проблема. Обычно на компьютер они смотрят с ужасом. В лучшем случае они хорошо знают банковский продукт, с которым работают, и с компьютером общаются в рамках тех процедур, которые оговорены, не допуская шаг влево, шаг вправо.

И не думаю, что скоро будет какое-то принципиальное улучшение. Оно будет тогда, когда по всей стране всерьез повысится компьютерная грамотность.

- Вообще человеческий фактор в IT-процесса банкинга как сказывается?

- Человеческий фактор очень важен, Если вы посмотрите на большие банки, то в таких банках IT - это производство, здесь все очень серьезно зарегулировано, люди становятся в хорошем смысле винтиками некой операционной машины. В маленьких банках, где каждый практически работник IT-службы является эникейщиком - там очень большая зависимость от конкретного человека, который и создает программное обеспечение, и ставит его на машины, он же является администратором и т.д. Так что если у этого человека завтра плохое настроение или похмелье, то он, в общем-то, «убить банк» может легким движением руки.

- Стало быть, от подобного «универсализма» банки уходят ???

- Конечно. В тех банках, которые серьезно строят свое IT-подразделение, есть автономное операционное подразделение, которое занимается эксплуатацией. Отдельно работают разработчики продукта, отдельно – администраторы. То есть IT‑служба современного банка уже не единое целое, а состоит из различных, вполне самостоятельных подразделений.

- А людей где берете? Известно ведь, что с точки зрения кадров IT в России - тяжелый случай. И как с учетом этой общей «разгильдяйско-творческой атмосферы» отечественных компьютерщиков находите людей, которые годны к работе в банке?

- Да, традиционно «IT-человек» - это человек творческий, сродни художнику, этакий человек не от мира сего в рванных джинсах и с хвостиком на голове. Понятно, что с таким типажом строить промышленные системы очень сложно

Как правило, здесь есть два варианта.

Например, человек вырастает, эволюционирует, принимает корпоративные правила игры. Скажу честно, ко мне приходили такие ребята в рваных джинсах и с немытыми волосами, но, работая в коллективе, многие изменились и сейчас это люди совершенно нормальные, адекватные. Если при этом это люди, воспринявшие корпоративную культуру, достаточно широкого кругозора, то многие из них, пройдя определенный тренинг, переходят на уровень менеджера, руководителя и т.п.

Некоторые остаются на определенным уровне, но и, соответственно, остается на таком уровне область их деятельности. Нельзя действительно требовать от каждого человека, чтобы он приходил на работу в костюме и галстуке, иногда это невозможно по сути самой работы, когда приходится лазить под столами, прокладывая кабель, или менять тонер в принтере. Но если человек хочет расти, он даже в таком случае, приняв правила игры и корпоративной культуры, сможет себя показать.

Другой вариант, - это консультанты. Сейчас достаточно активно формируется именно такой пласт специалистов. Это изначально «бизнес ориентированные» ИТшники, причем не важно какой специализации (программисты, инфраструктурщики, аналитики). У них совершенно другое мировоззрение: они уже менее художники и более прагматики.

Конечно, еще все зависит от того, какую вы планку ставите. То есть мы сначала выставляем планочку достаточно высоко, потому что у нас, в общем, это  позволяет и уровень оплаты и интересная работа. Если мы видим, что под эту планку народ не находится, можем ее начать снижать потихонечку. Тогда начинает работать принцип: «Если на рынке нет подходящих нам кадров, возьмем менее подходящих и сами воспитаем».

Есть еще вариант аутсорсинга. Мы часто на определенные проекты либо привлекаем временный персонал, либо отдаем на подряд сторонней компании.

- Насколько я слышал, вы именно так ухитрились реализовать проект по запуску револьверных карт на базе TietoEnator Card Suite в качестве бэк-офисной системы? Привлекли сторонне компании и при этом в какие-то рекордно короткие сроки…

- Да, на самом деле, у нас два таких очень запоминающихся проекта, на которых мы отработали очень интересную технологию.

Первый проект - это был проект с компанией TietoEnator по внедрению карточного бэк-офиса. Основная проблема этого проекта была в том, что нам нужно было вложиться в совершенно немыслимые сроки – пять месяцев. А делали все «с нуля» и в проекте было огромное количество участников и поставщиков - фронтальная система, бухгалтерская система, хранилище, отчетность, процессинговый центр, центр по выпуску карт, масс-мейлинг и т.д. и т.п.

Когда мы попытались это как-то спланировать, то пришли к так называемой «СОА-организации проекта». Понятно, что СОА концепция и раньше применялась, но в основном с точки зрения технической, интеграционной оплетки проекта. Мы же применили те же принципы на более высоком уровне.

Для начала мы четко обозначили и расписали те бизнес-сервисы, которые должны были быть в рамках проекта внедрены. На внешнем уровне это - выдача кредитов, оформление карт. На внутреннем - непосредственно выпуск самой карты. На операционном - осуществление транзакций, обслуживание кредита и т.д.

Было понятно, что все эти сервисы единомоментно не нужны, между оформлением карты и первой транзакцией проходит, как правило, месяц: пока карта выпустится, пока будет отослана клиенту, пока он ее активирует и т.д.

И это позволяло сделать такой маневр – запускать все составляющие части проекта не единомоментно, а по очереди. То есть запустить первый сервис – выдачу карт, а затем поэтапно все остальное. Получилось, что реально выдача карт должна заработать через пять месяцев, а остальное – чуть позже. И это дало нам необходимое время.

Тут есть, естественно, большой риск, что, запустив первый сервис, вы следующий можете не успеть. Поэтому важно адекватно оценивать свои собственные силы и четко расписать календарный план по всем сервисам, чтобы видеть, не намечается ли где отставание.

Второй принципиальный момент. Из-за сжатых сроков мы понимали, что, если отдадим весь этот проект на откуп одному поставщику, то он его точно не успеет сделать. И в общем-то влиять на него будет сложно, поскольку это будет один поставщик, полная зависимость. И мы решили реализовывать всю работу как СОА проект, нанимая подрядчиков на отдельные его части.

Причем части абсолютно автономные, не пересекающие. Был один интегратор, который их связывал по мере готовности. Это успешно работало на проекте с револьверными картами на базе TietoEnator Card Suite, и это сработало на следующем проекте – внедрении системы Misys Equation в качестве бэк-офисной системы для сопровождения потребительских кредитов.

Тут у нас опять таки были очень сжатые сроки, и мы пригласили к участию две компании, которые на рынке являются жесткими конкурентами. Когда мы это планировали, ко мне приходили умные люди и говорили: «Не делай этого, они не будут работать вместе, они просто станут собачиться и перекидывать друг на друга проблемы. Ничего хорошего не выйдет и проект развалится».

Однако мы очень строго определили зоны ответственности обеих компаний. Они попросту не могли залезть на «территорию» друг друга. Попытались было, но потом увидели, что нет места для конфликта и все очень четко сделали.

- А даты этих проектов?

- TietoEnator Card Suite мы начали внедрять в марте 2007 года, первый кредит был выдан уже в июле 2007 года. А Misys Equation начался осенью 2007 года, в апреле 2008 года система уже работала, сейчас в ней обслуживаются более 700 тысяч кредитов.

- Логичный вопрос: вы в эти месяцы как спали?

- Абсолютно нормально. У нас принцип такой: народ с работы уходит вовремя. Чтобы задерживались позже семи часов - такое очень редко бывает.

То есть, конечно, были авралы перед самым запуском. Ну, это как всегда бывает. Но вообще я считаю так: если мои сотрудники работают больше чем положенные восемь часов, значит, я просто неправильно планирую.

Хотя иногда довольно сложно понять, почему у тебя сотрудник сидит до 8-9 часов вечера. Возникает вопрос: он сидит почему, потому что у него работы много или потому что производительность маленькая? И вот здесь важно не ошибиться, потому что иначе можно стимулировать плохого сотрудника или наказать хорошего.

- Расскажите о создании контакт-центра «Русфинанса». Он ведь тоже строился в довольно короткие сроки?

- Изначально да, но само развитие, и функциональное, и объемное, происходит до сих пор. Первые рабочие места контакт-центра заработали еще в 2004 году в Москве. Затем, в рамках интеграции с Промэк-Банком, контакт-центр был разделен на две примерно одинаковые части между Москвой и Самарой. При этом обе части контакт-центра полностью технически совместимы и взаимозаменяемы, и базируются на единой телекоммуникационной инфраструктуре, покрывающей 60 регионов России. На данный момент в контакт-центре функционирует более 750 рабочих мест в режиме 24х7, обслуживающих более 2,5 миллионов контактов ежемесячно, включая функционал обработки входящих и исходящих звонков, автоматический обзвон, IVR, SMS и т.д.

- Можно как-то обобщенно сформулировать, в чем вообще измеряется эффективность IT в банке? Вот вы внедрили два проекта, они интересны технологически, они иновационны с точки зрения организации. Вам и вашим коллегам это понятно и вызывает удовольствие. А вот, допустим, тут прихожу я, совладелец вашего банка, и говорю: «Клево, конечно, тиетенатор там и все такое, но что мне-то это дает?» Как вы ответите на подобный вопрос?

- Да, это важный момент. Как известно, у IT-директора всегда есть большая проблема при создании ИТ-стратегии и этого самого IT-бюджета. Причем, для самого ИТ-директора в составлении и понимании проблем нет, основная задача адекватно донести это до бизнеса, до руководства.

Естественно, любая ИТ-стратегия базируется на бизнес-стратегии, на тех задачах, которые бизнес ставит перед ИТ. Чтобы показать четкую зависимость этих задач и ИТ решений, мы используем понятие бизнес-сервисов, их характеристик и KPI, их стоимости, и на основании именно этих данных мы говорим с бизнесом.

Для той или иной реализации бизнес-сервиса необходима соответствующая работа ИТ-сервисов, прикладных и инфраструктурных. Построив такие зависимости, мы получаем дерево ИТ-сервисов, где у каждой вершины (сервиса) есть свои качественные и стоимостные характеристики. Таким образом, зная KPI на бизнес уровне, пройдя по дереву сервисов сверху вниз, можно проставить KPI по ИТ сервисам, а затем, пройдя снизу вверх, понять какие проекты и задачи мы должны выполнить, чтобы достигнуть заданных величин, и сколько это будет стоить. Соответственно, стратегия и бюджет формируются из трех составляющих: baseline – это то, что требуется для поддержания текущего статус-кво; growth – поддержка объемного роста бизнеса; development – качественная поддержка бизнес задач (ввод новых сервисов, либо изменение характеристик существующих)

У нас есть институты аккаунт-менеджеров IT-службы, то есть каждому направлению (сейчас их 12) работы банка есть специальный человек, в задачи которого входит коммуникация со своим направлениям – нашим «внутренним клиентом», То есть, с одной стороны, его задача – правильно «продать IT-услуги» тому или иному направлению, а с другой – видеть потребности «своего направления», быть глашатаем его интересов в IT‑службе. Соответственно, эти люди и формируют ИТ-стратегию по каждому направлению, и потом это собирается воедино.

- То есть это своего рода модератор в коммуникациях бизнеса и IT‑службы?

- Да. Это позволяет находить общий язык и ясно представлять, что нужно тому или иному банковскому подразделению.

- Этот подход он классический для банков?

- Не вполне. Это наше ноу-хау, мы это строили два года, и он сейчас реально работает. В нашей ситуации он особенно актуален: наш IT-департамент один обслуживает на данный момент шесть юридических лиц.

- Кризис как-то сказался на банковских IT-службах?

- С точки зрения принципов работы не изменилось ничего. Основная задача IT - соответствовать бизнес-стратегии. Поменялась бизнес-стратегия, значит, просто ставятся иные задачи. Скажем, на рынке тормозится кредитование, в этом направлении ресурсов надо меньше, вы переключаетесь на работу с просроченной задолженностью.

По сути, просто тумблером щелкнули.

- А если возникает тема пресловутого урезания бюджетов. Например, приходит IT-директор некоего банка в правление и говорит: пока рынок стоит, самое время воспользоваться моментом и модернизировать нашу систему, готовясь к новому старту. А ему в ответ: «Уйди отсюда, сейчас вообще не до тебя». Возможно такое?

- Вот здесь возникает важный вопрос – в чем различие между «просто» IT-директором и CIO. IT-директор – это еще технарь, он имеет право мыслить в технологических понятиях. А CIO это право не имеет, он должен мыслить с точки зрения бизнеса. И выходить с предложениями, адекватными бизнесу. И здесь опять на первое место выходит качество коммуникаций. Основная задача CIO - это коммуницировать с руководством банка. И если вы, рассматривая тот или иной проект с точки зрения интересов бизнеса и придя к выводу, что его все-таки надо реализовать, не сумели убедить в этом правление банка, то как CIO грош вам цена.

Хороший CIO сродни классному дипломату, политику и продавцу в одном лице, он должен четко и понятно объяснять бизнесу, что нужно сделать для того, чтобы этот бизнес развивался с точки зрения IT. Проблемы возникают, если у вас изначально не было построено такой коммуникации. А если у вас коммуникация изначально была, то вам достаточно легко находить общий язык.

- Вопрос «для проверки». У вас есть сейчас в работе IT-проект в необходимости которого вы убедили банк несмотря на кризис и стагнацию рынка?

- У нас есть такой проект. Сейчас идет проект построения BСP (обеспечение непрерывности бизнеса), в рамках которого внедряются системы хранения для основного и резервного дата-центров банка.

Мы рассматривали этот проект именно в конце прошлого года, когда уже понятно было, что кризис на дворе, пришли к тому, что имеет смысл его делать. А вот, например, проект замены фронтальной системы по выдаче кредитов мы осознанно отложили, поскольку при тех объемах кредитования, которые российский рынок ожидают в этом году, смысла в нем нет.

В целом же надо сказать, что кризис – не повод отказываться от IT-продвижения и как-то замирать в испуге. Наоборот, это в определенном смысле шанс сработать на опережение, подготовив новые решения, проекты и идеи. Если все они будут грамотны, то, в конечном счете, все окупится сторицей.

Портал Bankir.Ru, 16 апреля 2009 года

Также статья была опубликована: портал Finarty.ru, апрель 2009 года


Заметили ошибку? Выделите её и нажмите CTRL+ENTER
3620