Финансовая сфера

Банковское обозрение


  • Затраты на операционную надежность — расходы или инвестиции?
02.10.2023 FinCorpFinRegulationFinSecurityАналитика

Затраты на операционную надежность — расходы или инвестиции?

Сегодня перед финансовыми организациями стоит важная задача — предоставлять своим клиентам качественные услуги, отвечающие серьезным требованиям к обеспечению информационной безопасности. Решение этой задачи требует от топ-менеджмента организаций выделения финансирования и комплексного подхода к обеспечению операционной надежности. Попробуем разобраться, всегда ли расходы на обеспечение операционной надежности являются затратами. Может быть, при грамотном подходе их можно рассматривать как инвестиции?


Согласно отчету Банка России за 2022 год, операционные расходы всей банковской системы составили 2 трлн 744 млрд рублей. Доходная часть (процентные и комиссионные доходы банков) примерно пропорционально выросли в 2022 году по сравнению с 2021-м, и из всех полученных доходов примерно половина ушла на операционную деятельность.

Рассмотрим, как распределяются затраты в финансовой организации. Уже было под мечено, что около половины доходов уходит на операционную деятельность. Кроме того, организация создает резервы, платит налоги и несет другие накладные расходы. В итоге остается прибыль, часть которой акционеры могут отправлять в качестве инвестиций на развитие бизнеса. Допустим, бенефициары компании решают максимизировать прибыль. Такой подход сильно сокращает операционные расходы, а это, в свою очередь, ведет к тому, что уровень качества услуг для клиентов заметно снижается и как следствие в финансовой организации в перспективе уменьшается доходная часть. С другой стороны, если не сдерживать операционные расходы, в том числе и на обеспечение безопасности услуг, они будут стремиться к уровню доходов, а бенефициары могут остаться без прибыли и возможности инвестирования в развитие бизнеса.

Чтобы найти золотую середину в определении размера расходов на обеспечение операционной надежности, нужно связать события (инциденты), с которыми сталкивается финансовая организация при осуществлении своей операционной деятельности, и возможный ущерб от них.

Инструменты для проведения такого анализа влияния на бизнес известны. Можно опираться на международные или отечественные стандарты и лучшие практики.

По своему опыту мы можем сказать, что в России уже есть кредитные организации, которые на регулярной основе проводят подобный анализ и на основе его результатов выстраивают системы информационной безопасности и процессы управления операционной надежностью в своих организациях.

Описание анализа

Проведение анализа состоит из шести этапов: 1) инициация, 2) определение границ анализа, 3) разработка шкалы критичности, 4) обследование процессов финансовых организаций, 5) анализ данных, 6) подведение итогов.

Третий и четвертый этапы могут проводиться параллельно. К третьему этапу обычно возвращаются повторно после анализа данных, если понимают, что шкалу критичности необходимо поправить. Рассмотрим подробнее, что входит в каждый этап.

Первый этап — инициация

На старте нужно собрать команду и определиться с целями анализа. Мы рекомендуем включать в команду специалистов следующих направлений: информационная безопасность, информационные технологии, управление рисками, а также представителей бизнеса и представителей бизнес-юнитов, понимающих как устроены бизнес-процессы внутри компании. Формируя цели анализа, можно опираться на текущую ситуацию и задачи организации в настоящий момент.

Рассмотрим пример. Представьте, что вы директор по ИБ в банке, который входит в первую сотню. На вашу кредитную организацию распространяется Положение № 787-П Банка России. Очевидная цель — соответствовать требованиям Центробанка. Это и становится ключевым обоснованием для выделения средств, но практика показывает, что ресурсы будут выделяться очень ограниченные. Наша рекомендация — брать цели крупнее, учитывающие бизнес-цели организации.

Цели могут быть оформлены в аналитический отчет, который готовится для принятия решений руководством. Помимо этого может быть рассмотрен бизнес-кейс, где описаны планируемые изменения в организации. К рабочим инструментам можно отнести и дорожную карту, разработанную на несколько лет. В рамках этих стратегических планов полезно посмотреть, чем компания рискует и как события могут повлиять на ее доходы.

Второй этап — формирование границ анализа

После того, как мы определились с целями дальнейшего развития, переходим к формированию границ анализа. Для этого необходимо определить ключевые финансовые продукты (услуги) для вашей организации. Обязательно нужно учесть те продукты, которые планируется запустить в рамках стратегии развития.

Вернемся к нашему примеру. Анализируя, какие требования содержатся в Положении № 787-П Банка России, мы видим, что, по мнению регулятора, клиент всегда должен иметь возможность получить свой вклад — это соответствует Закону о защите прав потребителей. Необходимо понять, как это может повлиять на доходы организации. Например, возможность получения кредита онлайн или оформления кредитной заявки может напрямую повлиять на доходы, потому что банки зарабатывают в основном на процентах с кредитов и на комиссии с проведения операций. Мы рекомендуем обратить внимание прежде всего на те финансовые продукты, которые приносят банкам наибольший доход.

Второй важный фактор, который необходимо учитывать, — стратегия развития организации. Компания может делать ставку на развитие финансового продукта, который на данный момент не приносит много денег, в расчете на то, что через три года ситуация изменится и прибыль значительно вырастет. Конечно, развитие таких продуктов, а также то, что для этого потребуется, должно быть учтено при анализе.

Следующий шаг — описание бизнес-процессов оказания услуг организации и их владельцев. По нашим наблюдениям, финансовые отрасли всегда хорошо регламентируют свои бизнес-процессы. Можно проследить, какое подразделение за какой участок отвечает и кто владеет каждым процессом.

Когда сформированы границы анализа, можно приступить к определению сроков проведения этого анализа, и важно с ними не ошибиться. Например, если анализ будет длиться два года, то за этот период может сильно измениться ландшафт IT-инфраструктуры или набор предлагаемых услуг. Когда компания получит результаты анализа, они могут оказаться неактуальными. Поэтому анализ процессов должен в идеале длиться от двух до шести месяцев.

Третий этап — шкала критичности

Следующий этап — разработка шкалы критичности. Для ее формирования необходимо составить перечень последствий, которые могут наступить в случае инцидента операционной надежности, и присвоить каждому последствию уровень критичности воздействий.

В качестве показателей критичности можно использовать денежные или процентные суммы, связанные с получением дохода или с его возможной потерей. Помимо этого можно использовать качественные характеристики, например показатели, связанные с репутационным ущербом. К этой шкале всегда можно вернуться и актуализировать ее в зависимости от новых факторов.

Четвертый этап — обследование

На практике четвертый этап выходит самым ресурсоемким и длительным. Он включает в себя картирование основных бизнес-процессов и исследование технологических участков. На этом этапе уже должно быть установлено, как то или иное событие скажется на бизнес-процессах компании. На рисунке представлен типовой бизнес-процесс обслуживания клиента.

На его примере мы видим, что бизнес-процесс неразрывно связан с определенными информационными системами (ИС), которые помогают его осуществлять. ИС, в свою очередь, напрямую зависят от той инфраструктуры, на которой они развернуты. Если происходит какое-то негативное событие, оно может привести к деградации или даже полной остановке бизнес-процесса, что приводит к потере доходов финансовой организацией.

Для того чтобы качественно обеспечивать операционную надежность, необходимо выявить взаимосвязи между бизнес-процессами, информационными системами, которые их обслуживают, и инфраструктурой, на которой все это развернуто.

Пятый этап — анализ данных

На данном этапе необходимо провести анализ последствий негативных событий и ранжировать возможный ущерб. Мы рекомендуем изучить опыт российских и зарубежных компаний: посмотреть причины и размеры ущербов, которые понесли финансовые организации за последние несколько лет.

Следующий шаг — расчет пороговых показателей (целевое временное восстановление, допустимое время простоя и пр.) и результаты обследования. Анализируем, как то или иное событие скажется на ущербе и к каким последствиям это приведет.

После этого финансовой организации необходимо будет ранжировать возможный для себя ущерб. На этом этапе нужно не только посчитать финансовый ущерб по критичности, но и понять, примерно какие суммы может потерять организация.

Далее продукты ранжируются по пороговым показателям: например, на какое время допустимо прерывание услуги (на один час, четыре часа, сутки). Бизнес-процессы классифицируются по критичности. Нередко один бизнес-процесс является частью нескольких финансовых услуг, и его остановка может нанести ущерб по нескольким услугам. Такой бизнес-процесс считается критичным и выносится на первый уровень.

Вся полученная информация может быть оформлена в табличном виде либо в любом удобном вам фреймворке. На рисунке представлен пример, как это может выглядеть.

Шестой этап — подведение итогов

В рамках этого этапа разрабатываются меры по обеспечению непрерывности бизнеса и корректируется план обеспечения непрерывности и восстановления деятельности (ОНиВД) на основе полученных данных.

Помимо этого мы рекомендуем оформить аналитический отчет для руководства с указанием мер, последовательности их внедрения и их стоимости, а также посмотреть, какие из предложенных мер можно отнести к инвестиционной части, а какие списать как операционные расходы.

Приведем пример. Мы прошли все этапы и поняли, что в следующем году для обеспечения стабильной работы нашей финансовой организации необходимо:

  • создать еще один серверный кластер для резервирования данных с ERP-системы;
  • пересмотреть договор с компанией, которая поддерживает наше сетевое оборудование, сократить SLA до двух часов;
  • расширить штат техподдержки;
  • внедрить систему защиты от целевых атак.

Часть этих расходов, например покупка серверов для резервирования ERP и внедрение системы защиты от целевых атак, можно отнести к инвестиционному проекту, но только в том случае, если мы сможем показать руководству, какой будет ожидаемый эффект от этих вложений, какой ущерб мы сможем предотвратить в случае наступления негативного события.

Другие два пункта, скорее всего, будут отнесены к операционным расходам, но и их увеличение также нужно обосновать, показав ущерб, который мы планируем предотвратить.

Работая над данной статьей, я хотел уйти от привычной схемы, согласно которой затраты на обеспечение операционной надежности — это всегда операционные расходы. Подчеркну, что с применением аналитического подхода они могут начать восприниматься как инвестиции в развитие финансовой организации, но для этого, безусловно, нужно провести большую и сложную работу, а также подняться на уровень бизнес-процессов всей организации, чтобы сделать ее качественно.

Такой анализ — это лишь один из элементов системы управления операционной надежностью, его можно использовать для развития IT-инфраструктуры и обоснования выделения средств на ее модернизацию.

Результаты такого анализа наглядно показывают топ-менеджменту финансовых организаций, как связаны требуемые операционные расходы с возможным ущербом или, наоборот, с увеличением доходов и прибыли.






Новости Релизы
Сейчас на главной

ПЕРЕЙТИ НА ГЛАВНУЮ