ИТ и бизнес должны идти рука об руку

Специалист в области ИТ должен не только выполнять предъявляемые требования, но и сам предлагать наиболее оптимальные с его точки зрения решения, считает директор по ИТ Нордеа Банка Аркадий ЗАТУЛОВСКИЙ. В интервью НБЖ эксперт поделился своим видением проблем развития ИТ-отрасли и рассказал о проектах Нордеа Банка.

«ИТ-СТРАТЕГИЯ – ЦЕЛЬ К КОТОРОЙ МЫ ИДЕМ. ИТ-АРХИТЕКТУРА – СВОЕГО РОДА ТАКТИКА»

НБЖ: Нередко смысл терминов «ИТ-стратегия» и «ИТ-архитектура» смешивают, поскольку они тесно пересекаются. Без выработанной стратегии сложно выбрать архитектуру, а при неправильной архитектуре невозможно реализовать стратегию. Скажите, пожалуйста, какое понимание вы вкладываете в эти понятия, как вы их разграничиваете?

А. ЗАТУЛОВСКИЙ: Я считаю, что оба эти термина имеют свои четкие дефиниции. ИТ-стратегия – это цель, к которой мы идем, направление нашего пути. ИТ-архитектура – это своего рода тактика, то есть способ достижения поставленных перед нами целей. ИТ-архитектура изменяется во времени: пять лет назад была одна, сейчас она в большинстве банков другая. Я думаю, что через несколько лет ИТ-архитектура однозначно изменится хотя бы по той причине, что облачные вычисления и поддержка WEB-сервисов прикладным банковским ПО серьезно придут в нашу реальную жизнь и это окажет на ИТ-архитектуру огромное влияние.

НБЖ: Что представляют собой ИТ-стратегия и ИТ-архитектура Нордеа Банка?

А. ЗАТУЛОВСКИЙ: В этом вопросе мы шли по классическому, стандартному пути: вначале разрабатывалась бизнес-стратегия банка, под которую создавалась ИТ-стратегия. Понятно, мы использовали определенный шаблон, который группа Nordea нам рекомендовала. ИТ-стратегия у нас классифицируется по разделам бизнес-стратегии, поэтому формально она называется Бизнес ИТ-стратегия.

Первая ИТ-стратегия в нашем банке писалась в начале 2008 года, и мы продолжаем ей следовать, лишь немного ее расширив. Это означает, что в целом она все еще верна. Если произойдут серьезные изменения в бизнес-стратегии банка, это, безусловно, повлияет и на работу нашего подразделения. В таком случае, возможно, что-то придется менять.

Кстати, последний кризис никак не повлиял на нашу ИТ-стратегию. По сути, для нашего банка кризис с точки зрения ИТ был чрезвычайно успешным временем. Бюджетирование ИТ-проектов в то время у нас сильно не сократилось, что позволило запустить множество серьезных проектов, среди которых, например, такие дорогостоящие, как смена АБС и построение хранилища данных, стартовавшие в 2008–2009 годах.

ИТ-архитектура сейчас в стадии изменения, поскольку проект новой АБС, подразумевающий переход от децентрализованной к централизованной АБС, очень сильно влияет на ИТ-архитектуру. Кроме того, второй процесс – все более широкое использование интеграционных решений – также в значительной степени влияет на ИТ-архитектуру.

Что касается инфраструктуры, то в банке сейчас происходит множество процессов по ее изменению. С одной стороны, мы осуществляем интеграционные проекты с Nordea. С другой – сама жизнь диктует нам необходимость многих изменений, таких, например, как использование коммерческих дата-центров, централизация инфраструктуры, запуск disaster recovery проекта. Все эти процессы серьезным образом изменят ИТ-архитектуру банка, особенно в части инфраструктуры.

НБЖ: Как вы считаете, изменилась ли структура спроса на ИТ-услуги со стороны российских банков в посткризисный период? Если изменилась, то каким образом?

А. ЗАТУЛОВСКИЙ: Я не могу говорить за все российские банки. Но если речь идет о спросе на ИТ-услуги со стороны бизнеса Нордеа Банка, то больших изменений я не заметил. По ряду причин – и кризис здесь не главное – бизнес сейчас стал гораздо более серьезно относиться к экономической эффективности проектов, а это, в свою очередь, влияет на ИТ-услуги. У нас все проекты в обязательном порядке открываются при наличии утвержденного бизнес-кейса. Это требование Nordea, и я считаю, что это правильный подход, который ставит заслон для «мертворожденных» проектов.

Перед банковским бизнесом всю жизнь стояли задачи повышения эффективности, обеспечения поддержки требований бизнеса, снижения затрат и т.д. И кризис здесь мало что мог изменить. Возможно, теперь бизнес стал более придирчиво относиться к затратам ИТ, так как бюджеты подсократились.

Что касается нашего банка, то у нас как раз в 2008–2009 годах начался процесс более тесного взаимодействия с бизнесом. За последние полтора года мы стали намного лучше понимать друг друга. Многие сотрудники банка и со стороны бизнеса, и со стороны ИТ приложили усилия к тому, что сейчас по многим проектам мы идем рука об руку. И это серьезное достижение.

Кризис же был для нас в какой-то степени положительным явлением, поскольку позволил остановиться и немного по-другому взглянуть на жизнь, на направление нашего движения.

«СЕЙЧАС ВСЕ СЕРЬЕЗНЫЕ БАНКИ ВЫБИРАЮТ ПОДХОД «BEST OF BREED»

НБЖ: В банке осуществляется много интеграционных проектов. Чем продиктована их необходимость? Какие из них вы бы выделили?

А. ЗАТУЛОВСКИЙ: В нашем банке интеграционные проекты делятся на две большие части. Одна часть – это проекты, связанные с интеграцией в Группу Nordea. Другая часть – проекты, касающиеся интеграции используемого прикладного ПО.

Рассмотрим первую группу интеграции. С конца 2009 года и особенно в 2010 году мы очень серьезно занялись интеграцией Нордеа Банка и Группы Nordea. Мы практически уже закончили процесс принятия и адаптации всех ИТ-политик Nordea, внедрили в нашем ИТ-подразделении Nordea IT Operational Model, проектное управление в соответствии с Nordea Project Management. Также у нас заканчивается внедрение Software Development Process. Все эти процессы означают переход на правила Nordea, и мы практически в конце данного пути. Безусловно, эти проекты отнимают у нас много сил и ресурсов. Но все же я не могу сказать, что они давались нам очень сложно, потому что ко времени начала их реализации у нас уже был определенный свод ИТ-политик и правил. Деятельность ИТ в банке была не хаотичной, а упорядоченной. Просто регламентация немного изменилась в соответствии с правилами Nordea. Произошло это все достаточно безболезненно, подняло наш уровень зрелости и объективно помогает нам в работе. Это что касается интеграции ИТ-политик.

Если говорить об интеграции инфраструктур, то здесь осуществляются гораздо более масштабные, сложные и длительные работы, которые подразумевают организацию единого домена с Nordea, канала взаимодействия инфраструктур и другие различные решения. Все эти процессы у нас активно продвигаются.

Вторая группа интеграционных проектов, как я уже сказал, связана с интеграцией прикладного ПО. Никаких новшеств по сравнению с другими банками в этой сфере у нас нет. В какой-то степени мы догоняем ведущие в этом отношении банки, потому что позже начали процесс.

Сейчас все серьезные банки выбирают подход «best of breed», соответственно, нет такого вендора, который полностью «закрыл» бы все потребности банка своим ПО. В силу объективных причин используется и будет использоваться в дальнейшем прикладной софт от разных производителей. Это будут разные системы, которые надо интегрировать между собой для того, чтобы снижать операционные риски, трудоемкость и себестоимость процесса. Мы идем этим путем, как и большинство других крупных банков. У нас уже есть необходимые сервисы, которые работают, и в течение ближайших двух лет, я считаю, их количество сильно вырастет.

НБЖ: Какие последние ИТ-проекты в банке вы считаете наиболее успешными?

А. ЗАТУЛОВСКИЙ: 2010 год был очень сложным, потому что в банке шло порядка 30 проектов. Сразу оговорюсь, что список проектов на этот год – не меньше.

Безусловно, я бы выделил два очень серьезных проекта, о которых уже упомянул выше. Во-первых, проект новой АБС. В прошлом году мы запустили первый филиал на неделю раньше запланированного срока. Но больше всего порадовали даже не сроки, а качество работы: филиал перешел на АБС без какой-либо заминки, обслуживание клиентов не прерывалось ни на мгновение. А когда все происходит тихо и спокойно, это показатель хорошей подготовительной работы.

Хочу подчеркнуть, что в рамках данного проекта бизнес и ИТ прекрасно работали вместе, не сваливая друг на друга решение тех или иных задач, как это порой бывает, а, наоборот, помогая друг другу в случае необходимости своими ресурсами.

Второй проект, который я хотел бы выделить, – хранилище данных. Данный проект сложен сам по себе. Для нас его сложность усугубилась еще и тем, что он «накладывался» на проект смены АБС. Получалось так, что, с одной стороны, мы разрабатываем хранилище данных, с другой – тут же меняем источники данных и параллельно продвигаемся дальше. Ситуация, когда два таких сложных и трудоемких проекта идут одновременно, непроста и несет огромное количество рисков и сложностей.

Тем не менее подразделение ИТ, которое занимается данным проектом, довольно успешно работает над ним, удерживаясь в рамках календарного плана, бюджета и скоупа проекта.

НБЖ: На какой срок рассчитан этот проект?

А. ЗАТУЛОВСКИЙ: Примерно на четыре года. В 2009 году был пройден первый этап. В 2010 году начался второй этап, и сейчас он должен завершиться. Далее будет третий и четвертый этапы.

Отмечу, что данный проект – первый в банке в области ИТ, где очень большая часть работы выполняется аутсорсерами. Хотя в проекте новой АБС мы тоже использовали аутсорсинг, но в этом проекте процент работ, выполняемых аутсорсерами, значительно выше.

«ИТ-АУТСОРСИНГ: СУЩЕСТВУЕТ МЕНТАЛЬНЫЙ БАРЬЕР, КОТОРЫЙ ОЧЕНЬ ТРУДНО ПРЕОДОЛЕТЬ»

НБЖ: ИТ-аутсорсинг в банке – каков ваш взгляд на эту проблему?

А. ЗАТУЛОВСКИЙ: Совершенно определенно, что ИТ-аутсорсинг в банке есть и будет. Сейчас аутсорсинг – это абсолютно реальная сила, реалии рынка, которые не использовать просто нельзя. Другой вопрос – что надо четко понимать, где аутсорсинг дает эффект, а где нет. Пока на российском рынке я не вижу серьезной экономической эффективности аутсорсинга.

Что реально ИТ-аутсорсеры могут дать банку? Во-первых, новые компетенции. Когда приходится быстро внедрять что-то новое, конечно, можно развивать свои компетенции, но для этого необходимо достаточно много времени. Область ИТ меняется крайне быстро, появляются новые технологии. Получить от них быстрый эффект как раз и помогают аутсорсеры. Поэтому, например, проводя интеграцию, мы сразу решили взять аутсорсера. Работаем с ним достаточно успешно, при этом спокойно, не торопясь, развиваем свои компетенции. Ведь аутсорсер все равно не работает сам по себе, он взаимодействует со специалистами из банка. В процессе такого сотрудничества наши люди обучаются и развиваются.

В этом вопросе есть еще одна сторона – проблема аутсорсинга инфраструктуры, который в России очень слабо развит. Существует барьер, который очень сложно преодолеть, – ментальный: нам свойственно тотальное недоверие друг к другу. Помните, в 1990-х годах все считали, что главная проблема для банков – это опасность того, что будут украдены списки их клиентов. Остатки этой психологии живы до сих пор.

Другое препятствие на пути развития данного вида аутсорсинга состоит в том, что законодательство в настоящее время, особенно закон о персональных данных, начинает выставлять определенные формальные требования, и не все аутсорсеры им соответствуют.

Тем не менее я думаю, что в течение ближайших трех лет аутсорсинг инфраструктуры получит свое развитие. Я вижу, как широко он используется на Западе, и думаю, мы пойдем по тому же пути. Ведь объективно к этому есть все предпосылки. Многие банки растут, соответственно увеличиваются ЦОДы (центры обработки данных). Хорошо, если у каких-то кредитных организаций есть ЦОДы с большими запасами места и мощности, но я не думаю, что таких банков много. Соответственно появляется необходимость в коммерческих ЦОДах. Естественно, возникает вопрос: зачем держать своих администраторов в банке, не проще ли воспользоваться услугами администраторов коммерческого ЦОДа и получить реальный экономический эффект?

Я думаю, что сейчас серьезные системные интеграторы в России уже готовы предоставлять нормальные сервисы. Я знаю несколько банков, которые работают по такой схеме, и уверен: «все там будем».

НБЖ: Какие требования предъявляет сегодня российский банковский бизнес, и в частности Нордеа Банк, к сервис-провайдерам и ИТ-консультантам?

А. ЗАТУЛОВСКИЙ: Рынок становится более зрелым, поэтому кроме наличия необходимых сертификатов, лицензий и фиксации SLA (Service Level Agreement) в контракте (т.е. выполнения всех нужных формальных требований, что было самым важным еще вчера) мы следим еще и за тем, чтобы все эти требования реально соблюдались.

Возьмем, например, телеком-провайдеров, работа с которыми очень показательна в данном случае. Практически все они подписывают SLA, и большинство из них его не выполняет. Если раньше мы считали, что SLA просто фактом своего наличия снижает риски взаимодействия с телеком-провайдерами, то сейчас понимаем, что это не так.

Для нас гораздо более важным является наличие у телеком-провайдера системы поддержки, т.е. мы хотим понимать, насколько эффективна их внутренняя система организации мониторинга каналов. И в связи с этим – насколько быстро и качественно телеком-провайдеры могут решать возникающие проблемы.

Компетенция и отлаженные внутренние процессы – это два ключевых понятия, которые сейчас очень важны для нас при работе с любым аутсорсером.

Нас интересует реальная компетенция провайдера, а также его желание тесно и конструктивно взаимодействовать с заказчиком.

Раньше мы обращали меньше внимания, сейчас – гораздо больше, на степень зрелости самой компании-аутсорсера. В настоящее время по многим областям в ИТ очень четко видно, как «расслоились» компании – например, те же производители банковских систем. Есть организации, которые стали профессиональными промышленными производителями прикладного ПО. Есть другие, которые все еще остались «компанией в подвале», как я это называю. В таких компаниях не налажены внутренние процессы, это просто некое количество людей, которые объединились, чтобы написать какой-либо софт. Они постепенно уйдут с рынка, потому что не выдержат конкуренции.

То же самое происходит, если мы говорим о компаниях, оказывающих консультационные услуги. Меня, например, совсем не устраивают консалтеры, которые просто умеют писать красивые документы. Если я плачу, а цены у них всех немалые – они научились составлять достойные прайсы, – то я хочу, чтобы люди реально отрабатывали эти деньги. Вот с этим как раз, на мой взгляд, есть проблема. Особенно это касается сотрудничества в более сложных сферах, чем сервис инфраструктур, где все четко и детерминировано. В таких, например, как вопросы разработки софта, где очень много «пограничных» моментов, связанных с формализацией требований. Серьезные специалисты сами предлагают наиболее эффективные решения, другие действуют по принципу «чего изволите», а когда решение получается неэффективным, говорят: вы же сами это просили. Для меня это показатель низкого уровня квалификации.

Возможно, это основано на моих запросах к ИТ-специалистам: специалист должен не просто следовать за требованиями, он должен «пропускать» их через себя и предлагать самое лучшее решение. В этом случае айтишник становится бизнес-партнером. А это сейчас веление времени.

«КАЖДЫЙ ПРОЕКТ ТРЕБУЕТ РЕСУРСОВ, И БИЗНЕС ЭТО ПОНИМАЕТ»

НБЖ: Есть мнение, что ИТ – это одна из самых затратных статей расходов для банка. Каково ваше мнение на этот счет?

А. ЗАТУЛОВСКИЙ: Вопрос для меня неоднозначный. Так и подмывает сказать, что эта статья – не дороже денег. Здесь важен не объем затрат, это неправильный подход. Ведь, к примеру, инвестиционный банкинг тоже предполагает серьезные затраты, но смотрят не на них, а на полученную прибыль.

Когда говорят об огромных деньгах, которые «съедают» ИТ, то чаще всего это происходит в случаях, если люди смотрят исключительно на затраты и больше их ничего не интересует. Хочется сказать: давайте вообще не будем ничего тратить, поставим персональные компьютеры, и пусть банк работает. И что мы получим?

Все разговоры о больших затратах на ИТ стали следствием того, что никто не хотел разбираться, что же именно в ИТ происходит, на что расходуется ИТ-бюджет. С этой точки зрения есть универсальный подход – бизнес-кейс. Когда открывается новый проект, в него включаются все затраты. По правилам Nordea, включаются и все внутренние затраты. Подобный подход позволяет понять, что затратили и что получили на выходе.

Если мы выбрали определенную стратегию, согласно которой необходимо, скажем, внедрять централизованное решение, и мы понимаем, что это даст серьезный эффект, то инвестиции необходимы. Каждый проект требует каких-то ресурсов, и бизнес понимает, что без этих ресурсов проекта просто не будет. Нельзя считать, что это ИТ-затраты. По сути, это бизнес-затраты.

В чистом виде расходы на ИТ – это расходы на серверы, которые поддерживают LAN & WAN, на активное сетевое оборудование, персональные компьютеры – и все. И здесь, кстати, нужно не так много денег.

Подчеркну: как только затраты становятся прозрачными, как только есть четкое объяснение, почему они именно такие, а не другие, почему нужно закупать именно такое оборудование, а не иное, все сразу становится на свои места. И у нас в банке по вопросам такого рода всегда идет нормальный диалог.

НБЖ: Накладывает ли какую-то специфику на вашу деятельность то, что Нордеа Банк – российская «дочка» европейской банковской группы Nordea?

А. ЗАТУЛОВСКИЙ: Это накладывает очень серьезную специфику. Все ИТ-процессы у нас выровнены по отношению к группе. Все проекты в банке открываются с участием представителей Nordea. Есть специальный коллегиальный орган, на котором принимаются самые серьезные решения по проектам: их открытие, переход на другую фазу или закрытие, изменение бюджета, календарного плана и т.д.

У Nordea как у крупной группы есть стандартные политики, которые мы не можем игнорировать, – в частности, по закупкам оборудования, софта. Этим занимается централизованный орган, с которым мы работаем в тесном диалоге, при этом имеем определенную свободу действий здесь, в России. Ведь у нас очень сильно отличаются условия деятельности. Например, глобальные вендоры в России ведут себя не так, как в Европе. Так, Nordea напрямую работает с IBM, Microsoft и другими, мы же не можем этого делать, потому что в России вендоры работают через партнеров. Это уже другая модель работы. Поэтому мы согласовываем основные условия наших контрактов с Nordea.

Положительным моментом для нас является то, что Nordea – серьезная банковская группа, которая заключает глобальные контракты с глобальными вендорами, и мы включаемся в эти контракты, что обычно создает для нас очень хорошие условия для закупок лицензий, «железа» и т.д. Правда, бывают ситуации, когда, заключая договора в России, мы получаем лучшие условия. В таком случае нас никто не заставляет действовать по глобальному контракту. Здесь проявляется скандинавский здравый смысл, нет жестких требований.

«ЧЕМ ВЫШЕ УРОВЕНЬ КИБЕРПРЕСТУПНОСТИ, ТЕМ ВАЖНЕЕ И СЛОЖНЕЕ МЕРЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ»

НБЖ: Проблема информационной безопасности банков не теряет своей актуальности, даже скорее наоборот. О каких современных тенденциях в технологиях обеспечения безопасности в банке можно говорить?

А. ЗАТУЛОВСКИЙ: В прошлом году, особенно в начале, была заметна резкая активизация криминальных групп, которые мошенническим путем похищали деньги у клиентов разных банков. Я знаю достаточно много таких инцидентов. Четко видно, что дело поставлено на поток, действуют не одиночки, это вид бизнеса.

Естественно, банки серьезно занялись повышением безопасности систем «клиент–банк» – в частности, мы полностью перевели всех клиентов-юрлиц на eTokеn, отказались от хранения ключевой информации на незащищенных носителях, чтобы таким образом превентивно усилить меры безопасности для наших клиентов. Сейчас рассматриваем различные варианты аналогичных мер для персональных клиентов.

С одной стороны, расширение использования Интернета, рост филиальной сети, с другой – увеличение активности всевозможных мошенников и преступников поневоле толкают все банки к тому, что надо серьезно заниматься защитой всей внутренней банковской инфраструктуры. И это серьезная тенденция, которая получит свое развитие.

Следующая тенденция, которая также будет усиливаться, по моему мнению, заключается в том, что крупные банки сейчас переходят на централизованные программные решения. А следующий шаг после этого – централизация инфраструктуры банка. Уже многие банки отказываются от отдельных интернет-каналов в регионах, которые остались с тех времен, когда филиалы работали на децентрализованных решениях. Защищать децентрализованную систему очень сложно и дорого. Переход на централизованное решение позволяет сконцентрировать систему защиты.

Сейчас веление времени – внедрять антиспам-системы, системы против spyware, антивирусные системы.

Серьезно начала расти комплексная защита от DDoS-атак. Все основные провайдеры так или иначе озаботились этой проблемой. И самые прозорливые из телеком-провайдеров уже поставили у себя те или иные системы защиты с неким искусственным интеллектом, позволяющим мониторить и отслеживать атаки всевозможных BOT-сетей.

Чем выше уровень киберпреступности, тем важнее и сложнее меры информационной безопасности.

НБЖ: Какие проблемы в первую очередь приходится решать вам как руководителю?

А. ЗАТУЛОВСКИЙ: Одна из главных моих задач – организация взаимодействия с бизнесом. Кроме того, поскольку я отвечаю за ИТ в банке, то должен участвовать в принятии стратегических решений.

В области ИТ сейчас происходят большие изменения. В нашем банке мы изменили свою структуру, чтобы лучше соответствовать современным требованиям. Нам нужны высокопрофессиональные сотрудники и линейные менеджеры, которых мы стремимся растить «изнутри». Для этого банк вкладывает большие деньги в развитие своих сотрудников, в повышение их профессиональных и личностных компетенций. Нам нужны лидеры! И это также важная часть моей работы.