Нормативные системы, строго регулирующие процессы реформирования и модернизации банковского сектора в странах Европы, США и, тем более, в России, имеют существенные различия и сложно адаптируются друг к другу. Это заметно осложняет интеграцию IT-инфраструктур аффилированных банков на межнациональном уровне.

Европа: жесткие директивы

Ключевым документом, который регулирует информационную безопасность кредитных учреждений Евросоюза, считается Директива DPD (Data Protection Directive). Она была принята в ЕС еще в 1995 г. Директива защищает частные сведения граждан, так называемую персональную идентифицирующую информацию (Personal Identifiable Information - PII). При этом она обязывает каждое государство ЕС принять свой собственный закон о защите частных сведений, который должен быть совместим с рекомендациями Организации экономического развития стран (OECD) от 1980 г.

Сравнивая европейские требования с аналогичными американскими, следует признать, что в Евросоюзе они значительно жестче. Например, директива ЕС требует защищать частные сведения не только клиентов компании, но и ее сотрудников. Для Америки это не характерно. Более того, европейская директива запрещает передавать приватные данные в те страны, где законы, защищающие конфиденциальную информацию, не соответствуют нормам ЕС.

Сам документ не определяет, какие конкретно решения следует использовать для защиты частных сведений. Но странам членам Евросоюза дана достаточная свобода, чтобы самостоятельно урегулировать этот вопрос. Так, законодательство Италии требует от бизнеса защищать данные с помощью брандмауэра и антивируса. В Испании некоторые виды приватных данных должны храниться в зашифрованном виде.

Кстати, нарушение директивы Евросоюза может привести к гражданской и уголовной ответственности, включая большие штрафы, а в некоторых странах - даже лишение свободы.

США: нарушитель платит штраф и садится в тюрьму

В Америке таких нормативных документов гораздо больше. В целом они более размыты и дифференцированы в силу различий законодательств на уровне отдельных штатов.

Вот некоторые примеры соответствующих нормативных актов.

Акт Сарбаниса-Оксли (SOX) был принят в США в 2002 г. после крупных корпоративных скандалов с компаниями Enron и WorldCom. Документ определяет требования к менеджменту в финансовых организациях и компаниях, которые представлены на фондовой бирже. Он требует точности ведения финансовых отчетов, предотвращения бухгалтерских ошибок и правонарушений, которые бы могли повлиять на акционеров компании и общественность. Более того, SOX возлагает персональную ответственность на генеральных исполнительных и финансовых директоров, которые обязаны провести сертификацию своей организации на предмет полноты финансовой отчетности и отсутствия в ней неточных или вводящих в заблуждение утверждений. Например, несовместимость с SOX может стоить физическому лицу $5 млн. и до $25 млн. - юридическому, плюс до 20 лет лишения свободы.

Закон Грэма-ЛичаБлилей (GLBA) был принят для того, чтобы защитить информацию, полученную или используемую финансовыми организациями, от кражи, неавторизованного доступа или злоупотребления. Положения закона, касающиеся безопасности, требуют от всех финансовых компаний «разработать, внедрить и применять всестороннюю письменную политику ITбезопасности, которая подразумевает использование административных, технических и физических мер защиты непубличной информации». Сюда попадают номера счетов и детали финансовых операций, номера социального страхования, кредитных карт и т. д. Закон выдвигает целый ряд требований к защите непубличной информации. Например, следует организовать контроль над доступом к информационной системе, где хранятся приватные сведения; электронные записи должны храниться в зашифрованном виде; следует осуществлять мониторинг систем, чтобы вовремя обнаружить попытки вторжения и атаки. Несовместимость с GLBA чревата штрафами и лишением свободы на срок до 5 лет.

Следует признать, что в Евросоюзе требования к информационной безопасности значительно жестче

Общие меры IT-безопасности

Обособленное место в этом перечне нормативных актов занимает общее для Европы и США Соглашение по капиталу Basel II, которое призвано стать обязательным для всех финансовых институтов стран членов OCED.

Базельское соглашение по капиталу требует от банков подсчитать кредитные, рыночные и производственные риски, чтобы убедиться, что имеющихся накопленных сбережений достаточно для покрытия этих рисков. Хотя Basel II Accord не обсуждает меры IT-безопасности напрямую, оно все же имеет к ним непосредственное отношение. Например, производственный риск определяется этим соглашением как «прямые или косвенные убытки вследствие неадекватных или неудовлетворительных внутренних процессов, действий персонала и систем или вследствие внешних событий». А это означает, что бреши IT-безопасности подпадают под действие Basel II. Таким образом, финансовые организации обязаны внедрять соответствующие информационные продукты, в противном случае они столкнутся с санкциями.

Приведение работы финансового института к соответствию требованиям Базельского соглашения возможно только при наличии консолидированной базы полной финансовой информации за несколько лет. Из этого следует, что банкам необходимо иметь единое отказоустойчивое хранилище данных. Но их наличием могут похвастаться немногие банки, особенно российские.

Европа: увеличение затрат плюс аутсорсинг

Что принципиально отличает систему организации ITинфраструктуры в банках Европы, по сравнению, в частности, с Россией? Общие затраты на информационные технологии в банковской индустрии Восточной и Западной Европы в несколько раз превышают сходные затраты в России и США. Так, в 2005 г. расходы на IT восточноевропейских банков превысили расходы российских более чем в 5,5 раз.

Европейские банки постепенно отходят от стратегии сокращения расходов на информационные технологии, которой они придерживались на протяжении последних трех лет, и постепенно наращивают объемы финансирования ITпроектов - примерно на 4% ежегодно.

Ключевую роль в изменении их подхода сыграли три фактора: 1) появление новых нормативных актов, 2) изменение структуры финансового рынка и 3) снижение доверия инвесторов к кредитно-финансовым институтам. Эти тенденции вынудили большинство финансовых организаций полностью переосмыслить модели получения доходов, радикально перестроить организационную структуру и пересмотреть бюджет.

Европейские банки готовы отдавать IT-услуги на аутсорсинг, вплоть до полной передачи поддержки банковской инфраструктуры сторонним специалистам. В более осторожных российских банках это практически не встречается. Так, один из крупнейших сберегательных банков Восточной Германии Sparkasse Leipzig (Сбербанк Лейпцига) с начала текущего года передал компании Siemens Business Services управление своей децентрализованной IT-инфраструктурой, включая поддержку сетей передачи голоса и данных, серверов, телефонии. Siemens Business Services будет предоставлять службу поддержки пользователей (Helpdesk), обеспечивать поставку программного обеспечения и поддержку приблизительно 700 банкоматов, принтеров и терминалов самообслуживания в 104 отделениях и в 57 офисах самообслуживания банка.

Построение IT-инфраструктуры в европейских банках ведется акцентированно на основе «клиентоориентированного» подхода. Организация сначала тщательно изучает потребности клиентского сектора, а затем предлагает тот набор банковских продуктов и услуг, который будет заведомо пользоваться спросом. Уже в соответствии с этим и проектируются отдельные элементы ITсистемы.

Что еще отличает европейские банки от российских, так это то, что они с большей готовностью используют мобильные технологии, прежде всего в таких видах банковской деятельности, как онлайн-банкинг, Интернет-банкинг, оплата счетов и пополнение банковского счета через мобильный телефон и т. д. Широкой популярностью там пользуются банковские «терминалы самообслуживания», аналог наших банкоматов, с помощью которых клиенты могут проводить самые различные платежи - от оплаты коммунальных услуг и счетов за мобильную связь до внесения налоговых платежей, оплаты общественного транспорта и даже оформления моментального банковского кредита.

Разумеется, заслуга европейских банков здесь в том, что они не только открыли свою банковскую деятельность для мобильности подобного уровня, но и «научили» своих клиентов пользоваться новыми технологиями.

Необходимо выделить еще одну характерную черту организации IT-инфраструктуры в банках Европы: активное, по сравнению с финансовыми институтами российской системы, использование мощностей мейнфреймов. Они поддерживают большинство инфраструктурных элементов, т. е. как выполняют нагрузки по процессингу мета-данных, технологии которого получили широкое распространение в Европе, так и берут на себя обеспечение процессов по функционированию сервисно-ориентированных технологических операций.

В то время как российские банки в борьбе за клиента соревнуются не столько друг с другом, сколько с недоверием потребителей к банковскому сектору в целом, банки Европы активно предлагают своим клиентам все более продвинутый уровень технологического обслуживания, благодаря чему выигрывают конкуренцию на рынке.

Европейские банки динамично увеличивают IT-бюджеты, американские же стремятся сэкономить

США: сокращение IT-инфраструктуры

Ключевое отличие американского опыта организации IT-инфраструктуры в кредитных учреждениях от европейского заключается в стремлении сократить издержки. Практика снижения затрат заключается не в политике снижения себестоимости продуктов и информационной поддержки, а в сокращении излишних IT-систем в рамках одной инфраструктуры и своевременном свертывании проектов в ITдомене, если они не соответствуют общей стратегии информационно-технологического развития предприятия. В таком подходе, который сегодня активно обсуждается и в российской IT-среде, заключается революционный взгляд на систему IT-функционирования финансовой индустрии.

Сегодня очевидно, что модернизация с учетом сокращения IT-систем ни в коем случае не является признаком уязвимости их безопасности. Американские банки динамично используют модели трансформации IT-инфраструктуры за счет замены и консолидации решений, не несущих достаточной функциональной нагрузки.

Важным аспектом инфраструктурного строительства для современных банков, в связи с Базельским соглашением по капиталу, является информационнотехнологическая поддержка процессов управления рисками. Для американских банков в этой области характерен опыт организации дочерних фирм.

Что касается выбора поставщика решения, то по статистике американские банки используют преимущественно разработки национальных производителей и к опыту зарубежных мировых вендоров практически не обращаются.

Опыт группы «ВТБ-Европа»

Финансовая группа Внешторгбанка - это разветвленная сеть филиалов, представительств и дочерних организаций по всему миру. Условно структуру группы ВТБ можно представить следующим образом.

В рамках создания единой группы ВТБ было решено провести консолидацию IT-ресурсов в части европейских банков. Параметры подобной централизации сводятся к:

выработке единых ITстандартов для всех банков группы;

созданию общего корпоративного портала и внешнего представительства в сети Интернет;

организации централизованной поддержки пользователя;

проведению единой закупочной политики.

На стартовом этапе консолидации мы обнаружили у себя в ВТБ так называемый «зоопарк» IT-решений

Реализация подобных инициатив возможна только при наличии унифицированной стратегии развития группы и предполагает изменение существующей инфраструктуры каждого из банков.

Очевидно, что ВТБ далеко не первая финансовая группа, приступающая к процессам банковской интеграции на международном уровне. Хорошо известен опыт таких банков, как Nordea (действует в Скандинавском регионе и образован из 5 различных банков в 3 странах), группа ING, ведущая свою деятельность на обоих континентах, Raiffeisen bank и др.

В Nordea осуществили стратегию выборочной стандартизации инфраструктурных IT-решений. При этом участники группы имели разные автоматизированные банковские системы и большое число приложений преимущественно собственной разработки. Пример же группы ING показывает возможность унификации бэк-офисной платформы на основе одного рыночного решения. Хотя и эта унификация была неполной, учитывая банки группы в странах Западной Европы.

У себя во Внешторгбанке на стартовом этапе консолидационных проектов мы обнаружили так называемый «зоопарк» IT-решений во фронт- и бэк-офисных системах. В общем-то, типичная ситуация для группы, которая работает в разных странах Европы. Среди инфраструктурных систем были как универсальные промышленные решения разработки компании Misys и Financial Objects, так и решения более мелких национальных разработчиков. Однако некоторые закономерности в развитии автоматизированных банковских систем все же наблюдались: ведущие банки группы на сегодняшний день отдают предпочтение системе MidasPlus, разработанной компанией Misys.