1© Корпорация EMC, 2012 г. Все права защищены. Построение процесса управления операционными ИТ рисками Иван Ермаков EMC Consulting Russia & CIS 21 ноября Минск
2© Корпорация EMC, 2012 г. Все права защищены. Содержание Роль ИТ в современной финансовой организации Методология управление ИТ рисками на примере реализованного проекта Достигнутые результаты
3© Корпорация EMC, 2012 г. Все права защищены. Роль ИТ в современной финансовой организации « … банк это ит- провайдер с банковской лицензией …» Тенденции Автоматизация бизнес-процессов рост значимости электронных каналов взаимодействия с клиентами быстрое развитие сервисов самообслуживания Развитие Интернет – банков
4© Корпорация EMC, 2012 г. Все права защищены. Риск профиль банка –Операционные риски – 15 – 30%. Эксперты: 30 – 70% операционных рисков приходится на ИТ риски. ИТ риски должны рассматриваться наравне с остальными видами риска. Управление ИТ рисками позволяет достичь значимых для Бизнеса результатов (рейтинг, страховые тарифы, резервирование средств)
5© Корпорация EMC, 2012 г. Все права защищены. Риски, связанные с ИТ Операционные Выполнение требований регуляторов Финансовые –Инвестиции в ИТ
6© Корпорация EMC, 2012 г. Все права защищены. BIA & IT RA Business Impact Analysis –Понимание влияния и стоимости простоя информационных систем –Параметры восстановления – директивный срок и допустимый диапазон потери данных Анализ ИТ рисков –Сопоставление требований к бизнес-приложениям и возможностей ИТ инфраструктуры Выстроили процесс постоянно контроля ИТ рисков с участием эксперта ЕМС
7© Корпорация EMC, 2012 г. Все права защищены. Стоимость простоя – На примере сбоя 13 марта 2012 (9:38–10:00) Общие_потери: Потери_доходов + Потери_от_снижения_произво дительности_труда + недополученные_будущие_дох оды = руб руб руб. = руб.
8© Корпорация EMC, 2012 г. Все права защищены. Анализ технических рисков в ИТ Обследование инфраструктуры на соответствие требованиям BCDR) На основе BIA предложить требования к архитектуре технических решений в зависимости от класса критичности. Провести анализ соответствия текущих архитектур эталонным и выявить расхождения.
9© Корпорация EMC, 2012 г. Все права защищены. Методология Disaster avoidance –Защита оперативных данных и приложений Понимание архитектуры ИТ сервисов –Контроль изменение и управление проектами –Взаимоотношение с вендорами и провайдерами услуг –Процессу управления ИТ –ЦОД Risk response –Планы аварийного восстановления –СРК
10© Корпорация EMC, 2012 г. Все права защищены. Пример анализа на наличие единичных точек отказа (SPOF)
11© Корпорация EMC, 2012 г. Все права защищены. Пример целевой архитектуры
12© Корпорация EMC, 2012 г. Все права защищены. Пример целевой архитектуры
13© Корпорация EMC, 2012 г. Все права защищены. Выделенный ИТ Архитектор Работа над планомерном снижением рисков незапланированного простоя в инфраструктуре (disaster avoidance) Обладает экспертизой в смежных областях, включая области сопряжения технологий различных вендоров Экспертиза проектов (снижение проектных рисков) Взаимодействие с архитекторами Банка
14© Корпорация EMC, 2012 г. Все права защищены. Функции, задействованные в сквозном бизнес- процессе. Здесь «функция» = «информационная система» Core Banking: МБР, Отчетность, РКО, … Securities: Core Депозитарий, Дов. Упр. Securities: Core Депозитарий, Дов. Упр. Retail Loans Securities: Front-, Back- Office Core: Гл. Книга, Шлюз ВТС, … Основная БД ИБС Основная БД ИБС
15© Корпорация EMC, 2012 г. Все права защищены. Разработка карт первичного реагирования и диагностики – резюме Карты особенно удобны для использования при аварийном восстановлении: –Простой и понятный формат; –Наглядные диаграммы для типовых действий; –Примеры системных команд. Гарант успешного реагирования на сбои.
16© Корпорация EMC, 2012 г. Все права защищены. Эффект от программы Повышение производительность труда – ИТ подразделение – Функциональные подразделения Снижение аварийности (на 48%) Повышение доступности Снижение проектных рисков Успешное прохождение Банком аудита системы BCM
17© Корпорация EMC, 2012 г. Все права защищены. Портфель услуг ЕМС BIA, CoD Анализ ИТ рисков BCDR и DRP Резидентные сервисы