Обзор подготовлен CNA

версия для печати

Бардак в российских банках: кто виноват?

Бардак в российских банках: кто виноват?

Обычный клиент банка часто сталкивается с мелкими, но неприятными проблемами – то операционистка не хочет или не может заполнить многочисленные поля в платежке, то менеджер кредитного отдела "вдруг" вспоминает о комиссии, о которой не заикался во время подписания договора. У крупных клиентов проблемы более весомые: бухгалтеры рвут на себе волосы, когда на зарплатные карты сотрудников деньги приходят с многодневной задержкой. Нервозность бухгалтерии понять можно – заполнение прорвы бумаг гарантирует потерю какой-нибудь цифры в 20-значных номерах личных счетов сотрудников. А ведь нужно еще правильно вписать корреспондентский счет, ОГРН, ОКУД... и еще множество многозначных чисел, которые не всегда удается удержать в голове.

Конечно, прогресс проникает даже в консервативную бухгалтерскую среду, поэтому только минипредприятия численностью 10-20 сотрудников продолжают возиться с бумагой и курьерами. Более крупные организации пользуются системами "банк-клиент", отправляя всю документацию через фронт-офисные формы, где опечатки практически исключены. Однако задержки, непроплаты и прочие неприятности все равно продолжают регулярно трепать нервы как бухгалтерам, так и банковским служащим. Логично предположить, что виноват банк, а также бардак в его бизнес-процессах.

Например, недавний инцидент в ВТБ24 приоткрывает завесу над внутренними банковскими проблемами, которые куда более серьезны, чем неопытная операционистка. Как стало известно, 17 августа 2009 года в рамках госконтракта Министерством промышленности и торговли РФ на расчетный счет Института проблем естественных монополий, открытый в банке ВТБ24, были перечислены денежные средства в размере 7,5 млн руб. А уже через два дня институт обнаружил загадочное списание с его счета более 5 млн руб. Согласно выписке по счету, деньги были похищены на следующий день после их зачисления путем перевода различных сумм на счета физических лиц по несуществующим агентским договорам и, по информации банка, сразу же были обналичены через банкоматы. Кроме того, в результате этого инцидента институту "стало известно, что аналогичных случаев в работе банка ВТБ24 за последнее время было несколько сотен".

ВТБ24 ограничился кратким заявлением: "По всем признакам, причиной потери денег стало неаккуратное обращение сотрудников данной организации с секретным криптографическим ключом электронно-цифровой подписи (ЭЦП) и паролем доступа к системе "Банк-Клиент Онлайн"".

Банкиры могут назвать как минимум шесть причин, по которым обычный человек относится к ним как к кровососам, стяжателям и классовым врагам. Как ни странно, почти все эти причины связаны с ИТ – то есть самой точной, надежной и понятной частью любого бизнес-процесса. Оставшиеся немногочисленные проблемы, как правило, вызваны "человеческим фактором": персоналом и законотворчеством. Начнем с "западных капиталистов", так как их трудности лежат на поверхности.

"Западная" проблема

Российский обыватель свято верит в надежность "швейцарских счетов", потому что во всех советских фильмах про шпионов говорится о неприступности сейфовых ячеек Швейцарии и Люксембурга. На самом же деле западные банки пришли на российский рынок сквозь тернии, а потому изрядно подрастеряли свои качества. Из-за неповоротливости российского законотворчества крупные банки сначала могли открывать только так называемые Representative offices – обычные представительства. Затем Центробанк дал отмашку на лицензирование банковской деятельности, и многие западные организации получили возможность начать в России банковские операции. Казалось бы, все отлично.

А на самом деле получился бардак. Например, головной офис банка UBS находится, естественно, в Швейцарии. Так как Европа поделена на множество государств с общей историей и экономикой, худо-бедно банкиры разных стран свели отчетности, платежки, всевозможные формы и приказы в единый формат – у UBS нет проблем с платежами в Европе. Но в России, как обычно, свои законы и "особый путь". Мало того, что фактически ни один платежный документ по формату не совместим с европейским аналогом, так еще всплывают совсем уж смехотворные трудности вроде невозможности совместить кириллицу и латиницу.

В дело вступают доблестные ИТ-шники. Написать небольшой шлюз-фильтр для перевода одного формата в другой вроде бы несложно, однако гениальным программистам, как всегда, мешает глупый и упертый босс: большинство иностранных банков попытались ввести локальную версию своего основного софта. Некоторые даже не стали локализовывать его, а ведь в 90-ые немногие могли похвастаться приличным знанием хотя бы английского языка. В результате вся "российская" документация дублировалась на бумаге, а "иностранная" – в программной системе головного офиса. Пока клиентов было немного и все они были крупными ("Газпром", "Мечел", "Транснефть"), проблем не было. Но начался "потребительский бум" и бурный рост спроса на мелкие кредиты.

У банков возникла проблема: необходимо было автоматизировать весь процесс отчетности. Фактически это означало "двойную бухгалтерию". И тут начались классические "ИТ-пляски с бубном". Полная локализация программного обеспечения требовала пару-тройку лет работы высокооплачиваемых специалистов. Но быстрые деньги застят глаза и разум, поэтому большая часть иностранных банков начала нанимать российских, а то и индийских программистов с сомнительной профессиональной репутацией. Разношерстные компьютерщики быстро сотворили сотни надстроек, фильтров и шлюзов под узкие места, и изначально стройные и четко продуманные иностранные банковские системы превратились в елки, наряженные трехлетними девочками. При этом любой увольняющийся программист  создавал новые проблемы, так как его модули никем не документировались.

Доходило до откровенного "саботажа". Soсiete General в свое время отличился тем, что их так называемый end of day был смещен на 3-5 часов. То есть сотрудники исправляли свои "ляпы" чуть ли не половину рабочего времени, из-за чего платежные поручения клиентов обрабатывались с многочасовой задержкой, а сотрудникам приходилось приводить в порядок "кассу" пару внеурочных часов каждый вечер. Понятно, что такой режим работы создавал дополнительную проблему – текучку квалифицированных кадров.

Неудавшееся спасение "западников"

Есть только два способа разрешения ситуации: полностью локализовать иностранный софт или воспользоваться российскими разработками. Но тут в оркестре снова начинается разлад. Индийскому программисту чрезвычайно сложно объяснить особенности формата платежки по форме Центробанка, тем более что инструкция 2-П от ЦБ меняется каждый год. Российский же программист готов разбить головой клавиатуру в щепки в попытках примирить кириллицу с отчетностью западного головного офиса – одна буква "я" имеет почти десяток транслитерационных написаний.

Однако банкиры, как правило, далеки от ассемблера, поэтому продолжают попытки скрестить отчетности. Ситуация уже практически анекдотичная: один западный банковский PR-гений выдумал новый термин для того, чтобы политкорректно назвать банальную локализацию или адаптацию, – "гармонизация программного обеспечения". Название придумали, но ничего не изменилось. По-прежнему ЦБ требует отчетность в своем формате, головные офисы – в своем, а несчастные служащие российских "дочек" иностранных банков продолжают выполнять двойную работу.

Но это еще "цветочки". На сегодняшний день в России достаточно качественного программного обеспечения для рублевых операций. Пять компаний, не считая мелких, выпустили весьма приличные продукты, однако все они ориентированы на обход требований госслужб. Например, при операциях с экспортом-импортом требуются как минимум паспорт сделки, пять обязательных форм справок, причем с "мокрой печатью" и двумя подписями, и еще куча документации и бухгалтерии. Если нужно полностью соответствовать рекомендациям ФАПСИ, то необходимо получить лицензию на поддержку криптографии, соответствующей ГОСТ. Обычно у крупных западных банков, которые хотят локализовать свои системы "банк-клиент" с западной криптографией, лицензирование по ГОСТ занимает около полугода, а небольшим кредитным организациям это вообще не под силу. По словам представителя одного из крупнейших банков в Европе, данную процедуру смог пройти только российский филиал голландского ING, который не работает с физическими лицами и небольшими компаниями. Никаких особых преимуществ или преференций от лицензии ING не получил. Отметим, что использование собственных, даже самых совершенных, криптографических систем не предохраняет банк от возможных судебных издержек. Клиент может пожаловаться в суд на мошенничество со стороны банка, опираясь на несоответствие системы шифрования ГОСТ.

Примеры ИТ-неудач слишком многочисленны. Самые громкие провалы не скрываются даже самими участниками слияний или поглощений в банковской среде. Raiffaisen и "Импэкс" до сих пор не решили свои проблемы (большей частью связанные с агрессивным набором кредитного портфеля "Импэксом"), а Societe General и "Росбанк" вообще не смогли хоть как-то интегрироваться. Итальянский UniCredit попытался ворваться на российский рынок с покупкой "Международного Московского банка", но тоже чересчур оптимистично оценил российскую действительность.

Альцгеймер

Еще одна проблема ИТ-отделов заключается в том, что банкиры в общей массе не способны выдать грамотное, понятное программисту техническое задание, причем не по своей вине. Центробанк банально "забывает" вовремя предупредить банки об изменениях в форматах и процедурах. Вендоры, работающие на банки, как правило, получают инструкции по доработке программного обеспечения в лучшем случае после публикации в "Российской газете" или на сайте "Гаранта". Поскольку обычно финансовые циркуляры вступают в силу через 10 суток после опубликования, представьте, во что превращается работа программистов и UI-дизайнеров: аврал, аврал и еще раз аврал с кучей мелких "ляпов" и ошибок, впоследствии затыкаемых очередными "заплатками", сделанными "на коленке". Часто "заплатки" подключаются сразу, даже без QA, что добавляет неразберихи.

Герман Тишендорф,
независимый консультант, ex-CIO "Райффазенбанка" и банка "Ренессанс Кредит"

Конечно, мне приходилось сталкиваться со многими проблемами. Часть из них успешно решалась, часть же настолько сложна, что необходима постоянная работа по их исправлению. Ряд проблем, возможно, вообще не имеет решения в текущее время. Политика Центробанка предполагает использование своих стандартов отчетности и делопроизводства и попытки оптимально интегрировать международные и внутрироссийские стандарты. Из-за этого проблемы вендоров становятся проблемами банков.

Я слышал о разработке российской системы, которая способна обеспечить взаимодействие между Системой валовых расчетов в режиме реального времени по крупным, срочным платежам (БЭСП Банка России) и системой SWIFT. Но пока слабо верится, что эта система будет более удобна, чем нынешние методы, которые используют банки. Да и вообще, примеров удачных "скрещиваний" российских и зарубежных программных комплексов очень немного.

Я бы отдельно отметил невероятно жесткое и децентрализованное преследование должников. До сих пор ведь толком не решен вопрос со всеобщей базой недобросовестных заемщиков. В Европе, конечно, тоже есть коллекторские агентства, но они работают исключительно через полицию, поэтому ни о каких угрозах и преследованиях речи быть не может – все ограничивается штрафами.

Социальное бремя

С российскими кредитными учреждениями ситуация несколько иная. Как правило, им довольно редко приходится заниматься международными платежами, поэтому заполнение формуляров на транслите для отправлений по SWIFT вполне можно доверить немногочисленным, но проверенным клеркам. Автоматизация все же нужна, так как количество россиян, проживающих за рубежом, неуклонно возрастает, а мелкий импорт-экспорт процветает, несмотря на кризис, но это пока не самая большая проблема. Настоящая "головная боль" – социальная функция. Это бремя легло на единственный и старейший "народный" банк России – "Сбербанк". Даже фактически государственный ВТБ сумел избежать "общественной нагрузки", в то время как подчиненным г-на Грефа приходится выполнять ИТ-функции методами XIX века.

"Сбербанк", кроме обычных банковских операций, занимается пенсиями, зарплатами госслужащих и бюджетников, большинство из которых живет отнюдь не в городах с многочисленными банковскими или хотя бы почтовыми отделениями. Зимний полет вертолета с инкассатором в поселок Уэлен обходится дороже, чем сумма месячных выплат, хранящаяся в сумке инкассатора. При этом опять же необходимо вести отчетность – в областном центре банковские клерки вбивают данные с килограммов макулатуры, проверяя подписи, паспортные данные и прочие реквизиты получателей. В результате "Сбербанк" из коммерческого кредитного предприятия превратился в эдакую социальную сиделку, которая готова пожертвовать своей молодостью, ухаживая за безнадежно больной старухой.

Естественно, госбанк должен нести некоторое социальное бремя, однако подобный перекос в сторону "Сбербанка" порождает еще одну проблему: крайне низкие зарплаты ИТ-специалистов: если в крупнейшем госбанке платят мало, то почему частный капиталист должен платить больше? Средний программист может рассчитывать не более чем на 2-3 тыс. долл. в "дочках" иностранных банков в Москве, где доход 2000 долл. является минимальным  для среднего класса.

Государственные и мелкие частные кредитные организации платят 30 тыс. руб. специалисту, обладающему навыками программирования на C под Unix/Linux, отлично владеющему PHP/JS/Java/CGI и иногда даже основными графическими пакетами. Представьте, кого тогда набирают HR-службы банков на ИТ-должности, если каждый программист с опытом знает, что в банке ему будут платить гроши, но требования будут более чем жесткие? Из этого дикого капитализма рождается еще одна весьма распространенная проблема...

Фрод и головотяпство

Обычно банки не любят рассказывать про 2-4% потерь на невозвратных кредитах. И уж тем более даже не заикаются о том, что служащие кредитных организаций часто не прочь побаловаться деньгами клиентов. Грамотные директора заранее закладывают на потери от фишинга, фроддинга и различных неувязок внутренней безопасности до 4% оборота. В Bank of Scotland после недавнего "провала" волевым решением ввели должность "ИТ-маршала", который занимается исключительно отслеживанием внутренних сообщений на предмет подозрительных транзакций. На эту должность берут только отставных полицейских со стажем и без единого административного правонарушения.

Но копеечные зарплаты и соблазн больших денег – испытание, из которого мало кто выходит "чистым". Для проведения крупных транзакций и доступа к большинству счетов используются электронные ключи, неподконтрольные ИТ-отделу. Их несколько видов, но принцип одинаков: hardware-шифрование "на лету" с раздельным ключом. По идее за ключ должен отвечать начальник финансового, кредитного или транзакционного отдела, но на деле криптографическая флеш-карта передается секретарю, который по внутренней почте или бэк-офису подтверждает сделки банальным вставлением ключа в USB-разъем. Иногда особенно ленивые руководители отдают секретарям и подтверждающий ключ. А сколько можно насчитать секретарей, которые за 20-30 тыс. руб. в месяц готовы оставаться кристально честными и неподкупными, особенно при наличии электронного ключа с возможностью подправить баланс в электронной отчетности?

Однако внутренние преступления расследуются достаточно просто. Использование легального ключа исключает возможность найти ложную транзакцию в логах. Но тут начинает работать "человеческий фактор": нетрудно вычислить среди десятков или даже сотен служащих "черную овечку". Овечка вылетит из банка под весьма благовидным предлогом, но навсегда потеряет возможность работать в кредитных организациях.

Внутренние проблемы банки предпочитают решать самостоятельно, поэтому подобные скандалы редко освещаются в прессе. Другое дело – взлом извне или приведенный выше инцидент в ВТБ24. Полный доступ к базе транзакций, невозможность отследить вторжение – рай для любого мошенника. Но есть и подводные камни: все современные банковские системы защищены снаружи очень хорошо. Ни классический "фрод", ни "сниффинг" не помогут. Самая простейшая криптосистема MD5 будет взламываться мошенником несколько суток, пока он не доберется до операционной системы старых немецких банкоматов Diebold. Это максимум возможностей хакера, не имеющего инсайдера в банке.

Взломать банковскую систему снаружи можно только во время не частых, но все же многочисленных обновлений софта. Существует ряд способов заблокировать старые банкоматы, работающие на Windows 2000 (наверняка многие видели "зависшие" синие экраны), но все они связаны с примитивной ошибкой доступа к com.exe через панель браузера. Большего добиться невозможно, да и синие экраны обычно следствие не хакерских атак, а банального перебоя электропитания. В этом случае хакер зарабатывает не на украденных деньгах, а на гонораре от конкурирующего мелкого банка, который "заказал" жертву на пару суток неразберихи в платежах. К счастью, в России этот вид мошенничества не распространен, хотя вовсю процветает среди мелких банков различных популярных оффшоров. Единственный способ взлома извне – примитивный "скимминг": установка мошеннических считывающих устройств на банкоматы с целью получения данных магнитной полосы карты и ПИН-кода.

Александр Чухланцев,
ex-CIO и ex-COO банков "Ренессанс Кредит", Barclays и др.

С моей точки зрения, основные задачи CIO крупного банка – это повышение прозрачности ИТ и объяснение эффективности инвестиций в ИТ. Также важно правильно расставлять приоритеты задач, которые поступают от многочисленных внутренних заказчиков. Поскольку я работал в крупных банках в основном в период трансформации бизнеса, много проблем было связано с уже существовавшей ИТ-архитектурой, которая не всегда легко поддавалась изменениям. В более мелких банках задачи в принципе те же, единственное – заказчиков меньше, поэтому выбирать приоритеты легче. Но с другой стороны, больше ограничений по бюджету для ИТ-отдела.

"Дочки" иностранных банков в России я бы разделил на две группы с различной историей – развившиеся в России в основном органически (ярчайший пример – "Ситибанк") и сделавшие в нашей стране приобретения ("Райффайзен", Barclays и т.д.).  Соответственно, у банков первой группы основные проблемы были связаны с соответствием требованиям ЦБ в области учета и отчетности. Вторая группа столкнулась с несоответствием ИТ-архитектуры корпоративным требованиям в области инфраструктуры, приложений, информационной безопасности, управления рисками и отчетности.

Нужно отметить, что ЦБ иногда объявляет об изменениях "правил игры" неожиданно, чаще Центробанк предупреждает заранее, но до последнего момента на поясняет детали требований учета и отчетности. В этом случае тоже, естественно, начинается аврал.

Где деньги, Зин?

Последняя серьезная проблема технических служб банков заключается в нестыковке европейских и российских норм зачисления денег на баланс. В старой и ветхой Европе сохранилось разделение value dating и booking dating – термины говорят сами за себя: можно зачислить вчера, а пользоваться только завтра. Этот исторический казус связан с медлительностью железнодорожных перевозок начала прошлого века – "утром деньги, вечером стулья". Однако он прочно прижился в банковской сфере, поскольку дает возможность совершать "отложенные" или гарантированные платежи в формате кратких фьючерсов.

В России такой практики никогда не было. Изначально в российском банкинге value = booking и никак иначе. Если вы зачислили деньги на чей-то счет, то сегодня или максимум с завтрашнего утра реципиент может пользоваться переведенной суммой как ему заблагорассудится.

Использовать разницу между зачислением денег и "открытием" счета несложно – банку это очень выгодно, но российские производители софта работают строго по правилам ЦБ и Минфина. То есть об отличии слов value и  booking они знают, но отпрограммировать этот казус не смеют из сугубо патриотических чувств. Только немногие иностранные банки вовремя сориентировались и воспользовались этой небольшой, но очень вкусной разницей в правилах.

Итог

На данный момент российские банки при всей неотлаженности бизнес-процессов для частного клиента оказываются намного удобнее и надежнее иностранных, так как им не приходится решать головоломные задачи, как скрестить разные отчетности, аврально исправлять программное обеспечение и удерживать правдами и неправдами надежный и квалифицированный персонал.

Многие CIO и постоянно контактирующие с ИТ-отделами банковские служащие довольно похоже охарактеризовали угрозы для нормальной работы банка. Как ни странно, в первую очередь они связаны с клиентами. Крупные клиенты, как правило, имеют отлично налаженную отчетность, поэтому проблем не создают, к тому же их немного. Зато мелких много. Ввиду их низкой корпоративной культуры постоянно возникают проблемы с платежами, безопасностью и поддержкой, что слишком часто заканчивается скандалами, авралами и нервотрепкой.

Второй угрозой спокойствию ИТ-отдела являются сами служащие: младший персонал часто ошибается ввиду невысокой квалификации, старший же часто пренебрегает требованиями безопасности.

Двойная отчетность и изменения требований Центробанка хоть и являются серьезным неудобством, но всеми воспринимается как данность, от которой пока нет лекарства.

Генри Шеппард

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS