Построение процесса управления операционными ИТ рисками

1. Построение процесса управления операционными ИТ рисками Иван Ермаков EMC Consulting Russia & CIS 21 ноября Минск

2. Роль ИТ в современной финансовой организации Методология управление ИТ рисками на примере реализованного проекта Достигнутые результаты Содержание

3. Роль ИТ в современной финансовой организации • « … банк это ит- провайдер с банковской лицензией …» • Тенденции • Автоматизация бизнес-процессов • рост значимости электронных каналов взаимодействия с клиентами • быстрое развитие сервисов самообслуживания • Развитие Интернет – банков

4. Риск профиль банка • Риск профиль банка • Операционные риски – 15 – 30%. • Эксперты: 30 – 70% операционных рисков приходится на ИТ риски. • ИТ риски должны рассматриваться наравне с остальными видами риска. • Управление ИТ рисками позволяет достичь значимых для Бизнеса результатов (рейтинг, страховые тарифы, резервирование средств)

5. Риски, связанные с ИТ • Операционные • Выполнение требований регуляторов • Финансовые • Инвестиции в ИТ

6. BIA & IT RA • BusinessImpactAnalysis • Понимание влияния и стоимости простоя информационных систем • Параметры восстановления – директивный срок и допустимый диапазон потери данных • Анализ ИТ рисков • Сопоставление требований к бизнес-приложениям и возможностей ИТ инфраструктуры • Выстроили процесс постоянно контроля ИТ рисков с участиемэксперта ЕМС

7. Стоимость простоя – На примере сбоя 13 марта 2012(9:38–10:00) Общие_потери: Потери_доходов + Потери_от_снижения_производительности_труда + недополученные_будущие_доходы = 598 000 руб. + 350 000 руб. + 1 1 200 000 руб. = 2 193 000 руб.

8. Анализ технических рисков в ИТ Обследование инфраструктуры на соответствие требованиям BCDR) • На основе BIA предложить требования к архитектуре технических решений в зависимости от класса критичности. • Провести анализ соответствия текущих архитектур эталонным и выявить расхождения.

9. Методология • Disaster avoidance • Защита оперативных данных и приложений • Понимание архитектуры ИТ сервисов • Контроль изменение и управление проектами • Взаимоотношение с вендорами и провайдерами услуг • Процессу управления ИТ • ЦОД • Risk response • Планы аварийного восстановления • СРК

10. Пример анализа на наличие единичных точек отказа (SPOF)

11. Пример целевой архитектуры

12. Пример целевой архитектуры

13. Выделенный ИТ Архитектор • Работа над планомерном снижением рисков незапланированного простоя в инфраструктуре (disaster avoidance) • Обладает экспертизой в смежных областях, включая области сопряжения технологий различных вендоров • Экспертиза проектов (снижение проектных рисков) • Взаимодействие с архитекторами Банка

14. Функции, задействованные в сквозном бизнес-процессе. Здесь «функция» = «информационная система». 1 2 - 3 . 4 5 Основная БД ИБС Core: Гл. Книга, Шлюз ВТС, … Core Banking: МБР, Отчетность, РКО, … Securities: Core Депозитарий, Дов. Упр. Retail Loans Securities: Front-, Back- Office

15. Карты особенно удобны для использования при аварийном восстановлении: Простой и понятный формат; Наглядные диаграммы для типовых действий; Примеры системных команд. Гарант успешного реагирования на сбои. Разработка карт первичного реагирования и диагностики – резюме

16. Эффект от программы • Повышение производительность труда • ИТ подразделение • Функциональные подразделения • Снижение аварийности (на 48%) • Повышение доступности • Снижение проектных рисков • Успешное прохождение Банком аудита системы BCM

17. Портфель услуг ЕМС • BIA, CoD • Анализ ИТ рисков • BCDR и DRP • Резидентные сервисы