Требования регуляторов, специализированные приложения и ИТ-инфраструктура

КИС

В последние годы отчетливо проявляется тенденция к более жесткому регулированию тех или иных аспектов управления организациями, прежде всего в США и других развитых странах мира. Свое отражение эта тенденция нашла в разработке национальными и международными регулирующими органами ряда законов, нормативных актов и соглашений; наиболее известными из них являются SOX (Sarbanes-Oxley Act) и соглашение по банковскому надзору Basel II. Если SOX подготовлен в США для контроля за финансовой отчетностью организаций и предприятий этой страны и затрагивает только те иностранные компании, чьи акции котируются на американских биржах, то соглашение Basel II принято большинством стран мира, включая Россию.

Для организаций обеспечение соответствия требованиям регуляторов - это довольно сложный, затратный и постоянно осуществляемый проект или даже несколько таких проектов - в случае, когда необходимо обеспечить одновременное соответствие требованиям ряда регуляторов (см. PC Week/RE, N 7/2006, с. 31). И значительную часть затрат на такой проект составляют затраты на его ИТ-составляющую, на изменения информационных систем организаций.

На Западе уже возникло несколько сегментов ИТ-рынка в связи с увеличением спроса на услуги по обеспечению соответствия компаний и организаций требованиям регулирующих органов. Очевидно, что эта ситуация повторится и в России по мере ввода в действие соответствующих отечественных и международных нормативных актов, законов и соглашений, и возможности, которые в связи с этим открываются перед ИТ-компаниями, уже многими осознаны.

Приведение управления организациями и предприятиями в соответствие c требованиями регуляторов требует серьезных изменений их информационных систем, что выражается прежде всего в разработке/приобретении и внедрении новых специализированных программных продуктов для реализации требований конкретных законов и соглашений (SOX, Basel II и т. д.), а также для управления документами в широком смысле, включая обработку и хранение их электронных образов. Но в 2005 г. заговорили и о более глубоком влиянии требований регуляторов на развитие информационных систем организаций в целом, на их ИТ-инфраструктуру.

Специализированные приложения для Basel II

Аналитические компании, исследующие ИТ-рынок, отреагировали на появление этих новых программных продуктов выпуском посвященных им исследований. В частности, Gartner (www.gartner.com) осенью минувшего года опубликовала свой первый "магический квадрант" (см. рис. 1) - Basel II Risk Management Application Software Magic Quadrant, посвященный компаниям - разработчикам ПО для управления рисками согласно требованиям соглашения Basel II.

Рис. 1. Магический квадрант по приложениям управления рисками согласно Basel II

Так как отдельные положения Basel II уже применяются на практике, а все российские банки по решению ЦБ РФ должны с 2009 г. соответствовать требованиям этого соглашения, имеет смысл ознакомиться с данным исследованием. Кроме того, проблемы разработки специализированных приложений для реализации требований конкретных регуляторов, как национальных, так и международных, а также внутренних (таковыми можно считать директивные документы организаций, требующих внедрения систем внутреннего контроля и аудита, систем менеджмента качества и т. д.), на программно-техническом уровне имеют довольно общий характер. Да и на содержательном уровне - например, на уровне управления рисками - они тоже близки, поэтому ряд софтверных компаний, участников этого исследования Gartner, разрабатывают свои продукты, ориентируясь на требования сразу нескольких регуляторов. Так что ознакомление с данным исследованием будет полезно не только тем, кто связан с информационными системами банков.                                                                            

Международное соглашение по банковскому надзору Basel II Capital Accord (Basel II) является расширением соглашения Basel I (www.bis.org/publ/bcbsc111.htm), принятого в 1988 г. В фокусе последнего находились проблемы управления кредитными и рыночными рисками, операционные же риски были на втором плане. В Basel II (www.bis.org/publ/bcbsca.htm) значительно расширен по сравнению с его предшественником и спектр рисков, прежде всего операционных, и набор проблем управления финансовым учреждением.

Рынок специализированных приложений для управления рисками согласно требованиям Basel II только начинает развиваться, и разработчики этих продуктов используют множество подходов и методологий как на уровне предметной области (различные методики и модели рисков, данных, управления...), так и на программно-техническом уровне (архитектура и состав продуктов), который далее в основном и рассматривается.

Архитектура и состав приложений управления рисками

Приложение управления рисками согласно Basel II, по определению Gartner, - это платформа интегрированного управления рисками (integrated risk management platform, другой вариант перевода - интегрированная платформа управления рисками - тоже верен, но не подчеркивает специфики этой платформы как инструмента единого управления совокупностью всех рисков), которая обеспечивает сбор и подготовку данных, вычисление и формирование отчетов об элементах риска, возникающих в компании, принадлежащей к финансовой отрасли, при выполнении текущих и предполагаемых операций. Но это определение относится, как отмечают сами аналитики из Gartner, пока скорее к области желаемого, сейчас же на рынке представлены разнообразные по архитектуре и составу продукты.

Приложения этого типа содержат компоненты для моделирования и хранения данных, извлечения их из источников, т. е. в целом для управления данными. Включают они и компоненты риск-механизма (risk engine components) для кредитного, рыночного и операционных рисков, которые обеспечивают основные вычисления для выявления, учета и моделирования факторов риска, измерения капитала и стресс-тестирования. В ряде продуктов есть средства формирования отчетов с возможностями (разной степени) контекстуального анализа, формирования отчетов по шаблонам и их адаптации под конкретные требования клиента, а также функции оповещения о чрезвычайных ситуациях.

Таким образом, можно выделить три слоя в приложении управления рисками (см. рис. 2): управление данными (Gartner явно об этом не говорит, но, очевидно, результатом этого слоя являются хранилище или витрины данных, возможно даже, в виде файлов), риск-механизм и формирование отчетности. Аналитики из Gartner отмечают, что интеграция этих слоев в большинстве существующих продуктов несовершенна, поставщики, как правило, концентрируют свои усилия на одном из этих слоев и на одной из групп рисков - кредитных и рыночных или операционных.

Рис. 2. Архитектура приложений управления рисками согласно Basel II

и компании, выпускающие продукты в рамках этой архитектуры

Некоторые разработчики данных продуктов исходят из представления о наборе инструментов на базе платформы, другие - об адаптированном или специально разработанном для конкретного заказчика приложении, третьи - о приложении в виде набора отдельных, не связанных между собой риск-модулей, каждый из которых предназначен для определенного типа рисков, и т. д. Тем не менее аналитики полагают, что существует тенденция развития всех этих продуктов в направлении платформы интегрированного управления рисками.

Лидеры

Несмотря на незрелость этого рынка, аналитики из Gartner признали его лидерами сразу девять компаний, что несколько странно. Большинство из них - небольшие фирмы, специализирующиеся в области управления рисками и, как правило, не только разрабатывающие программные продукты, но часто действующие и как консультанты.

Фирма Algorithmics - один из ветеранов в области разработки решений для управления рисками. Ее комплект Algo Suite v.4.5, по оценке Gartner, обладает наибольшей функциональностью среди всех продуктов, рассмотренных в рамках данного исследования.

Компания FinArch предлагает продукт Financial Studio v.2.5 Basel II, разработанный на основе технологий Microsoft (SQL, NT Server и .NET). Число его пользователей быстро растет, несмотря на долгий цикл продаж средств управления рисками в соответствии с требованиями Basel II. Продукт обладает мощными средствами анализа кредитных рисков, а также функциональностью для анализа соответствия требованиям других регуляторов (IAS 32/39 и Sarbanes-Oxley). Компоненты риск-механизма для операционных рисков работают только с моделью базисных индикаторов при стандартизованном подходе.

Более десяти лет действует на рынке средств управления рисками/активами (risk/asset) и обязательствами (liability) фирма Fermat. Ее решение CAD-BII отличают мощные средства анализа, для управления данными кредитных и рыночных рисков используется СУБД Oracle, а для формирования отчетности применяются продукты Business Objects и Cognos.

Компания Fair Isaac известна в финансовой отрасли своими продуктами для анализа действий злоумышленников и кредитных рисков. В качестве решения для Basel II она предлагает совокупность своих продуктов, ядром которой является Blaze Advisor v.6.0, но среди них отсутствуют компоненты для управления операционными рисками.

Продукт Enterprise Risk Assessor компании Methodware используется во многих отраслях как мощный риск-механизм, но ее предложение для Basel II пока ограничено компонентами для операционных рисков и формирования отчетов.

Предложение фирмы Reveleus/i-flex, входящей в группу i-flex solutions, для Basel II включает мощные средства анализа кредитных рисков, которые были дополнены приобретением компонента Ortos для операционных рисков.

Basel II Capital Manager v.1.5 компании SunGard был выпущен в декабре 2003 г. и поддерживается ее подразделением BancWare. Этот продукт отличают развитые возможности управления данными и набор встроенных моделей анализа.

В группу лидеров Gartner включила и две хорошо известные крупные компании.

Фирма Business Objects в первую очередь является разработчиком аналитических (BI) инструментов. Но она также проявляет активность в сегментах CPM (сorporate performance management, управление эффективностью предприятия) и ПО управления рисками по Basel II. Business Objects не располагает собственным риск-механизмом, предпочитая предлагать решения своих партнеров - специалистов в этой области. Ее модуль Data Integrator часто покупается отдельно от ее же средств отчетности, поэтому продукты Business Objects нередко сочетаются с продуктами конкурентов в самых разнообразных конфигурациях ПО для Basel II.

Компания SAS в июне 2003 г. приобрела продукт OpRisk Analytics, который вместе с Credit Risk Management v.4.1 и является ее предложением в области ПО для Basel II в рамках SAS Intelligence Solutions.

Преследователи и провидцы

В "группу преследователей" Gartner включила две компании: Riskmanagement Concepts Systems (RCS) и SAP AG. Первая из них является небольшой фирмой, специализирующейся на разработке компонентов аналитики для операционных и кредитных рисков. Наиболее сильны ее позиции в области операционных рисков благодаря продукту OpRisk Suite. Другой ее продукт, INTECRS, - это механизм ранжирования (rating engine) индивидуальных оценок кредитных рисков.

Решение второй в области ПО для Basel II предназначено для управления кредитными рисками и полностью интегрирует управление данными, вычисление кредитных рисков, инфраструктуру для использования собственных внутренних моделей банков и средства формирования отчетности. Это решение может быть задействовано независимо от других приложений SAP AG, хотя, по мнению аналитиков из Gartner, оно нацелено прежде всего на те организации, которые уже являются пользователями других продуктов SAP AG.

К группе провидцев Gartner также отнесла две компании: Quadrus Financial Technologies Inc. (QFTI) и Raft International.

Фирму Quadrus отличает новаторский подход к управлению данными. В ее продукте QuIC Engine v.2.5 реализован благодаря интеграции с базами данных очень быстрый риск-механизм, использующий обширные математические библиотеки. Открытая архитектура этого продукта позволяет наращивать и возможности интеграции, и число используемых библиотек.

Компания Raft International в течение 10 лет разрабатывает продукты для управления рисками для организаций, действующих в сфере финансовых услуг и на энергетических рынках. В области управления операционными рисками по Basel II у нее солидное предложение в виде продукта Raft Radar v.4.0, в котором выделяются компоненты управления данными и риск-механизма. Если Raft сможет использовать возможности управления кредитными рисками своего продукта Raft Credit v.1.15, который используется в энергетическом секторе, в своем предложении для Basel II, то, по мнению аналитиков Gartner, оно может получить широкое признание.

Нишевые игроки

Для продуктов фирм, включенных в этот квадрат, характерен, по мнению Gartner, относительно узкий подход к соглашению Basel II, акцент на том или ином его аспекте. И для организаций, которым присущ такой же подход, эти продукты будут, вполне возможно, лучшим выбором.

Из известных компаний к этому квадранту отнесены Oracle, IBM, Cognos.

Фирма Cognos, подобно Business Objects, является прежде всего разработчиком средств аналитики (BI) и формирования отчетности. Но ее предложение для Basel II, по оценке Gartner, значительно уступает предложению Business Objects, так как, включая развитые средства формирования отчетности, не предлагает функциональности для моделирования и управления данными. Предложение Cognos также не включает собственной реализации риск-механизма.

Присутствие корпорации IBM в этом квадранте основано на наборе развитых средств управления данными и интеграции (WebSphere, DB2 и Bank Datawarehouse, BDW), а также на способности внедрять ПО множества своих партнеров. В качестве компонентов риск-механизма IBM предлагает продукты таких своих партнеров, как Fair Isaac, Reveleus, Fermat, Algorithmics и SAS, а также Centerprise.

Составление этого магического квадранта в целом произошло до вхождения корпорации Oracle в состав инвесторов компании i-flex solutions, разработчика базового банковского ПО и ПО управления рисками, в связи с чем этот факт не нашел отражения в данном исследовании. Деятельность Oracle в области ПО для Basel II аналитики из Gartner оценили как находящуюся в процессе становления и нацеленную пока в основном на пользователей других ее продуктов. Для Basel II корпорация предлагает продукт Regulatory Capital Manager, входящий в состав комплекта Oracle Financial Services Applications, дополнительно можно использовать концентратор данных Financial Services Accounting Hub. В целом подход Oracle в области ПО для Basel II идет от управления эффективностью предприятия (CPM) и предполагает интеграцию ключевых индикаторов рисков и ключевых индикаторов эффективности. Между тем, как утверждает Алена Дробышевская, старший консультант Oracle СНГ по бизнес-приложениям для финансовых институтов, по условиям подписанного в декабре 2005 г. с компанией Reveleus/i-flex соглашения Oracle получила право продавать решение Reveleus Basel II как часть портфеля продуктов для финансовых институтов, и для Basel II оно является основным предложением Oracle. В России и странах СНГ корпорация Oracle продвигает это решение совместно со своими глобальными и локальными партнерами.

Рынок программных продуктов для Basel II развивается динамично, и очередной посвященный этому рынку "магический квадрант" Gartner, который станет известен во второй половине нынешнего года, наверняка будет значительно отличаться от рассматриваемого в данном исследовании. Появятся и новые компании, произойдут и перемещения между квадрантами. Уже можно предсказать, что благодаря приобретениям корпорация Oracle окажется в квадранте лидеров.

Российский подход к созданию приложений для Basel II

Безусловно, часть из представленных продуктов для Basel II найдет применение в российских банках. В то же время, наверное, некоторые отечественные банки и компании, действующие на рынке банковской автоматизации, постараются предложить свои решения в этой области.

В частности, специалисты компании Intersoft Lab полагают, что наиболее естественный способ создания российских решений для Basel II заключается в том, чтобы опереться на существующие финансовые хранилища данных. "Чтобы быть полностью корректными, следует говорить даже не о хранилищах данных, а о хранилищах сделок, - говорит Юлия Амириди, заместитель генерального директора Intersoft Lab по маркетингу и работе с партнерами. - Только эту функциональность можно отождествить со слоем "управления данными" в архитектуре продуктов для риск-менеджмента (по Gartner). В решении традиционных задач управления и подготовки отчетности сделки служат основой для расчета доходности банковских продуктов и клиентов, подготовки обязательной отчетности для ЦБ РФ (в частности, для расчета нормативов), налоговой отчетности, отчетов по МСФО и т. д. Добавляя компоненты риск-механизма, можно эволюционно получить решения для Basel II. В России основным технологическим препятствием на пути внедрения систем управления рисками является организация слоя "управления данными". Это результат слабой интегрированности источников первичных данных для риск-менеджмента. Преодолеть это препятствие можно, перенося в хранилище портфели сделок либо собирая отдельные сделки. В последнем случае будет получена информационная основа для комплексного управления рисками. Портфельный подход потребует дополнительных технологических операций по приведению сделок к единому формату для расчета операционных рисков и риска ликвидности".

В марте 2006 г. Intersoft Lab объявила о поддержке в хранилище данных "Контур Корпорация" механизмов для сбора и обработки сделок. В комплексных системах для управления эффективностью бизнеса (BPM, business performance management) полученное хранилище сделок становится базисом для функционирования риск-модулей от внешних поставщиков.

Такое решение, как утверждают специалисты Intersoft Lab, построено в соответствии с рекомендациями Gartner и позволяет гибко подойти к реализации требований Basel II в условиях незрелости рынка инструментов управления рисками, а также минимизировать стоимость проекта за счет использования для управления данными существующих в банках хранилищ сделок.

Систематические подходы к развитию ИТ-инфраструктуры с учетом требований регуляторов

Тактический подход к обеспечению соответствия требованиям регуляторов, основанный на принципе "решать проблемы по мере их возникновения", становится неэффективным в связи с увеличением количества требований регуляторов и их усложнением. Поэтому появляются стратегические, носящие системный характер, подходы в данной области, предполагающие, в частности, взятие на вооружение передового опыта, практик и техник вне зависимости от того, требует этого нынешнее законодательство или нет (см. PC Week/RE, N 7/2006, с. 1). По тем же причинам начинают предлагаться и систематические подходы к развитию ИТ-инфраструктуры организаций; эти подходы предназначены, с одной стороны, для минимизации сложности и затрат ИТ-составляющей проектов по обеспечению соответствия требованиям конкретных регуляторов, а с другой - для использования этих проектов с целью повышения эффективности ИТ-инфраструктуры в целом.

Возможно, наиболее сложной и затратной задачей при внедрении новых программных продуктов в рамках этих проектов является обеспечение их информацией. В идеальном случае она должна находиться в базах данных (или формироваться из них), созданных существующими системами и прежде всего основными, "боевыми" системами типа АБС для банков или ERP-систем для предприятий. На практике это далеко не так, и вопрос скорее стоит следующим образом: сколько нужных нам данных мы можем найти в существующих БД организации (40% или 80%)? Оказывается, это соотношение - 40% или 80% (не надо эти цифры воспринимать буквально, речь идет именно о соотношении) - в значительной мере зависит от интегрированности существующих информационных систем организации и от того, как они интегрированы.

Пример из близкой области. В прошлом году компания "Кворум Консалтинг" проанализировала возможность поддержки средствами ИТ стратегического управления банка на основе ключевых показателей эффективности (KPI) в рамках системы сбалансированных показателей (BSC). Базы данных, которые можно было бы использовать для этого, в одном варианте формировались АБС "Кворум", построенной традиционно, по функциональному принципу, а в другом - процессно-ориентированной АБС NEXT. Выяснилось, что процессно-ориентированная система предоставляет гораздо больше данных для анализа, чем функционально-ориентированная. Почему? Да потому, что многие KPI характеризуют бизнес-процессы в целом. И очевидным образом процессно-ориентированная система, в которой бизнес-процессы явно формализованы, смоделированы, автоматизированы, включая мониторинг, содержит существенно больше данных об этих бизнес-процессах, которые можно использовать для формирования KPI или других показателей, чем функционально-ориентированная система, которая автоматизирует фактически те же самые бизнес-процессы. Это обстоятельство замечено и западными аналитиками.

Но показатели, характеризующие бизнес-процессы в целом, необходимы и для реализации многих конкретных требований регуляторов, особенно в части операционных рисков, которые, по сути, и сводятся к явному определению и моделированию бизнес-процессов, их мониторингу и анализу. Следовательно, процессно-ориентированная ИТ-инфраструктура лучше подходит для обеспечения соответствия требований регуляторов, чем более распространенная функционально-ориентированная.

В целом же, поскольку проекты (в части ИТ) по обеспечению соответствия требованиям регуляторов сложны и затратны, при их реализации имеет смысл исходить из принципа Value Driven Compliance, т. е. обеспечение соответствия требованиям регуляторов должно осуществляться так, чтобы организация получила какое-то преимущество, дополнительную ценность помимо удовлетворения требований регуляторов, например благодаря усовершенствованию ИТ-инфраструктуры в целом, оптимизации бизнес-процессов как результата их формализации и моделирования и т. д.

Систематические подходы к развитию ИТ-инфраструктуры организаций c учетом требований регуляторов только начинают формулироваться, но уже можно говорить о таких выводах, как повышение интегрированности основных информационных систем организаций с упором на процессную интеграцию. B качестве базовых технологий для реализации такого подхода предлагаются прежде всего BPM (business process management, управление бизнес-процессами) и SOA (service-oriented architecture, сервисно-ориентированная архитектура).