Согласно отчету Банка России за 2022 год, операционные расходы всей банковской системы составили 2 трлн 744 млрд рублей. Доходная часть — а именно процентные и комиссионные доходы банков примерно пропорционально выросли в 2022 году по сравнению с 2021 годом, и из всех полученных доходов примерно половина ушла на операционную деятельность.
Давайте рассмотрим, как распределяются затраты в финансовой организации. Как уже было подмечено, около половины доходов уходит на операционную деятельность. Кроме того, организация создает резервы, платит налоги и несет другие накладные расходы. В итоге остается прибыль, часть которой акционеры могут отправлять в качестве инвестиций на развитие бизнеса. Допустим, бенефициары компании решают максимизировать прибыль. Такой подход сильно сокращает операционные расходы. А это, в свою очередь, ведет к тому, что уровень качества услуг для клиентов заметно снижается, и, как следствие, в финансовой организации в дальнейшей перспективе снижается доходная часть. С другой стороны, если не сдерживать операционные расходы, в том числе и на обеспечение безопасности услуг, они будут стремиться к уровню доходов, а бенефициары могут остаться без прибыли и возможности инвестирования в развитие бизнеса.
Чтобы найти «золотую середину» в определении размера расходов на обеспечение операционной надежности, нужно связать события (инциденты), с которыми сталкивается финансовая организация при осуществлении своей операционной деятельности, и возможный ущерб от них. Инструменты для проведения такого анализа влияния на бизнес известны. Можно опираться на международные или отечественные стандарты и лучшие практики.
По своему опыту мы можем сказать, что в России уже есть кредитные организации, которые на регулярной основе проводят подобный анализ, и на основе его результатов выстраивают системы информационной безопасности и процессы управления операционной надежностью в своих организациях.
Описание анализа
Проведение анализа состоит из шести этапов: первый — инициация, второй — определение границ анализа, третий — разработка шкалы критичности, четвертый — обследование процессов финансовых организаций, пятый — анализ данных и шестой — подведение итогов.
Третий и четвертый этапы могут проводиться параллельно. К третьему этапу обычно возвращаются повторно после анализа данных, если понимают, что шкалу критичности необходимо поправить. Рассмотрим подробнее, что входит в каждый этап.
Первый этап — инициация
На старте нужно собрать команду и определиться с целями анализа. Мы рекомендуем включать в команду специалистов следующих направлений: информационная безопасность, информационные технологии, управление рисками, представители бизнеса и представители бизнес-юнитов, понимающие как устроены бизнес-процессы внутри компании. Формируя цели анализа, можно опираться на текущую ситуацию и задачи, которые есть у организации в настоящий момент.
Рассмотрим пример. Представьте, что вы директор по ИБ в банке, который входит в первую сотню. На вашу кредитную организацию распространяется требование 787-П. Цель, которая на поверхности, — соответствовать требованиям Банка России. Это и становится ключевым обоснованием для выделения средств, но практика показывает, что ресурсы будут выделяться очень ограниченные. Наша рекомендация — брать цели крупнее, учитывающие бизнес-цели организации.
Цели могут быть оформлены в аналитический отчет, который готовится для принятия решений руководством. Помимо этого, может быть рассмотрен бизнес-кейс, где описаны планируемые изменения в организации. К рабочим инструментам можно отнести и дорожную карту на несколько лет вперед. В рамках этих стратегических планов полезно посмотреть, чем компания рискует и как события могут повлиять на ее доходы.
Второй этап — формирование границ анализа
После того, как мы определились с целями дальнейшего развития переходим к формированию границ анализа. Для этого необходимо определить ключевые финансовые продукты (услуги) для вашей организации. Обязательно нужно учесть те продукты, которые планируется запустить в рамках стратегии развития.
Вернемся к нашему примеру. Анализируя, какие требования содержатся в Положении 787-П Банка России, мы видим, что по мнению регулятора клиент всегда должен иметь возможность получить свой вклад, что соответствует закону о защите прав потребителей. Необходимо понять, как это может повлиять на доходы организации. Например, возможность получения кредита онлайн или оформления кредитной заявки может напрямую повлиять на доходы, потому что банки зарабатывают в основном на процентах с кредитов и на комиссии с проведения операций. Мы рекомендуем обратить внимание прежде всего на те финансовые продукты, которые приносят банкам наибольшее количество доходов.
Второй важный фактор, который необходимо учитывать, — стратегия развития организации. Компания может делать ставку на развитие того финансового продукта, который на данный момент, не приносит много денег, но через три года ситуация изменится и прибыль значительно вырастет. Конечно, развитие таких продуктов, а также то, что для этого потребуется, должно быть учтено при анализе.
Следующий шаг — описание бизнес-процессов оказания услуг организации и их владельцев. По нашим наблюдениям, финансовые отрасли всегда хорошо регламентируют свои бизнес-процессы. Можно проследить, какое подразделение за какой участок отвечает, и кто владеет каждым процессом.
Когда сформированы границы анализа, можно приступить к определению сроков проведения этого анализа, важно с ними не ошибиться. Например, если анализ будет длиться два года, то за этот период могут сильно поменяться ландшафт ИТ-инфраструктуры или предлагаемые услуги. Когда компания получит результаты анализа, то они могут оказаться неактуальными. Поэтому анализ процессов должен в идеале длиться от 2 до 6 месяцев.
Третий этап — шкала критичности
Следующий этап — разработка шкалы критичности. Для ее формирования необходимо составить перечень последствий, которые могут наступить в случае инцидента операционной надежности, и присвоить каждому последствию уровня критичности воздействий.
В качестве показателей критичности можно использовать денежные или процентные суммы, связанные с получением дохода или с его возможной потерей. Помимо этого, можно использовать качественные характеристики, например, показатели, связанные с репутационным ущербом. К этой шкале всегда можно вернуться и актуализировать ее в зависимости от новых факторов.
Четвертый этап — обследование
На практике четвертый этап выходит самым ресурсоемким и длительным. Он включает в себя картирование основных бизнес-процессов и исследование технологических участков. На этом же этапе уже должно быть установлено, как то или иное событие скажется на бизнес-процессах компании. На картинке представлен типовой бизнес-процесс обслуживания клиента.
На его примере мы видим, что бизнес-процесс неразрывно связан с определенными информационными системами (ИС), которые помогают его осуществлять. ИС в свою очередь напрямую зависят от той инфраструктуры, на которой они развернуты. Если происходит какое-то негативное событие, оно может привести к деградации или даже полной остановке бизнес-процесса, что в свою очередь приводит к потере доходов финансовой организацией.
Для того, чтобы качественно обеспечивать операционную надежность, нам необходимо выявить взаимосвязи между бизнес-процессами, информационными системами, которые их обслуживают и инфраструктурой, на которой все это развернуто.
Пятый этап — анализ данных
На данном этапе нам необходимо провести анализ последствий негативных событий и ранжировать возможный ущерб. Мы рекомендуем изучить опыт российских и зарубежных компаний: посмотреть причины и размеры ущербов, которые понесли финансовые организации за последние несколько лет.
Следующий шаг — расчет пороговых показателей (целевое временное восстановление, допустимое время простоя и пр.) и результаты обследования. Анализируем, как то или иное событие скажется на ущербе и к каким последствиям приведет.
После этого финансовой организации необходимо будет ранжировать возможный для себя ущерб. На этом этапе нужно посчитать финансовый ущерб не только по критичности, но и примерно понять, какие суммы может потерять организация. Далее продукты ранжируются по пороговым показателям: например, насколько допустимо прерывание услуги (на один час, четыре, сутки). Бизнес-процессы классифицируются по критичности. Нередко один бизнес-процесс является частью нескольких финансовых услуг, и его остановка может привести к ущербу по нескольким услугам. Такой бизнес-процесс считается критичным и выносится на первый уровень.
Вся полученная информация может быть оформлена в табличном виде, либо в любом удобном вам фреймворке. На рисунке представлен пример, как это может выглядеть.
Шестой этап — подведение итогов
В рамках этого этапа разрабатываются меры по обеспечению непрерывности бизнеса и корректируется план обеспечения непрерывности и восстановления деятельности (ОНиВД) на основе полученных данных.
Помимо этого, мы рекомендуем оформить аналитический отчет для руководства с мерами, последовательностью их внедрения и их стоимостью. А также посмотреть, что из предложенных мер можно отнести к инвестиционной части, а что будет списано как операционные расходы.
Приведем пример. Мы прошли все этапы и поняли, что в следующем году для обеспечения стабильной работы нашей финансовой организации нам необходимо:
- Создать еще один серверный кластер для резервирования данных с ERP-системы.
- Пересмотреть договор с компанией, которая поддерживает наше сетевое оборудование, сократить SLA до двух часов.
- Расширить штат техподдержки.
- Внедрить систему защиты от целевых атак.
Часть этих расходов, например, покупка серверов для резервирования ERP и внедрение системы защиты от целевых атак, можно отнести к инвестиционному проекту, но только в том случае, если мы сможем показать руководству, какой будет ожидаемый эффект от этих вложений, какой ущерб мы сможем предотвратить в случае наступления негативного события.
Другие два пункта, скорей всего будут отнесены к операционным расходам, но и их увеличение также нужно будет обосновать, показав ущерб, который мы планируем предотвратить.
Работая над данной статьей, нам хотелось уйти от привычной схемы, что затраты на обеспечение операционной надежности — это всегда операционные расходы. Хотим подчеркнуть, что с применением аналитического подхода, они могут начать восприниматься как инвестиции в развитие финансовой организации, но для этого, безусловно, нужно провести большую и сложную работу, а также подняться на уровень бизнес-процессов всей организации, чтобы сделать ее качественно.
Такой анализ — это лишь один из элементов системы управления операционной надежностью, его можно использовать для развития ИТ-инфраструктуры и обоснования выделения средств на ее модернизацию. Результаты такого анализа наглядно показывают топ-менеджменту финансовых организаций, как связаны требуемые операционные расходы с возможными ущербами или, наоборот, с увеличением доходов и прибыли.