O INFORMATYCE JĘZYKIEM BIZNESU

Transkrypt

1 IT w bankowości 1

2 2 O INFORMATYCE JĘZYKIEM BIZNESU

3 Spis treści IT dla banków Barbara Mejssner IT w bankowości myśli nieuczesane Stanisław Matczak Dostęp do aktualnych informacji to większa konkurencyjność Marcin Mazur, QlikTech Spokojny sen z backupem środowisk wirtualnych Tomasz Krajewski, Veeam Software Rosnąca ilość danych vs rosnąca ilość regulacji prawnych Marek Świerad, Hitachi Data Systems Strategiczna rewizja bezpieczeństwa IT w bankowości Mariusz Rzepka, Fortinet Mobilność rozwija bankowość czyli jak skorzystać na bankowości mobilnej Dariusz Mazurek, Capgemini Polska W poszukiwaniu idealnego dopasowania Paweł Wróblewski, Findwise Trend na cloud Maciej Gawroński, Bird & Bird Rekomendacja D Jakub Bojanowski, Deloitte Bankowość innowacyjna? Katarzyna Rybicka, Alior Bank Bank 3.0 fragment książki Brett King

4 IT dla banków Barbara Mejssner Sektor finansowy jest największym i jednym z bardziej zaawansowanych odbiorców we wdrażaniu rozwiązań IT. Według niektórych szacunków, jego udział sięga 40 proc. wartości wszystkich zamówień. Rozwój informatyki bankowej w oczywisty sposób związany jest z rozwojem technologii informatycznych. Rok 2013 nowe technologie i nowa Rekomendacja D Rok 2013 to rok nowego spojrzenia na polską informatykę bankową przez organy nadzoru. Komisja Nadzoru Finansowego ogłosiła w tym roku Rekomendację D dotyczącą zarządzania technologiami informacyjnymi i bezpieczeństwem środowiska teleinformatycznego w bankach. Ostateczny tekst Rekomendacji D został przyjęty 8 stycznia 2013 r. Najważniejsze powody wydania rekomendacji, to poprawa jakości zarządzania, nadzoru i poziomu bezpieczeństwa IT w bankach. Poprzednia obowiązywała od roku 2002, jednak tym czasie nastąpił znaczący postęp technologiczny i wzrosła zależność banków od systemów informatycznych. Dlatego też wprowadzono zapisy dotyczące m.in. zarządzania danymi (w tym ich jakością), zasad współpracy pomiędzy obszarami biznesowymi i technicznymi, systemu informacji zarządczej obszarów technologii informacyjnej i bezpieczeństwa teleinformatycznego oraz tzw. przetwarzania w chmurze. Doprecyzowano również oczekiwania nadzorcze, dotyczące m.in.: planowania strategicznego w obszarze technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, wdrażania nowych i modyfikacji istniejących rozwiązań informatycznych, współpracy z zewnętrznymi dostawcami usług oraz zarządzania ryzykiem związanym z bezpieczeństwem środowiska teleinformatycznego. Osiągnięcie zgodności z Rekomendacją będzie wymagało inwestycji na różnych polach bankowej informatyki. Większość banków w tym celu musiała podjąć się wdrożenia różnej skali projektów IT. Nowe trendy i nowe możliwości zwiększenie bankowych wydatków na IT w 2013 Badanie przeprowadzone przez BS&T 2013 Banking IT Outlook Survey wskazuje, że banki na świecie planują w tym roku zwiększenie wydatków na rozwiązania IT. Instytucje te testują lub wdrażają m.in.: biometryczną identyfikację klienta, rachunki zsynchronizowane z kontem na profilu społecznościowym, czy wirtualne lub zautomatyzowane oddziały. Jednym z najgorętszych tematów pozostaje mobilność znak obecnych czasów. Świat wchodzi w erę bankowości mobilnej i nie ma od tego odwrotu. Według Capgemini liczba mobilnych transakcji płatniczych wyniosła 4,6 miliardów w 2010 r. i wzrośnie do 48,8 proc. w skali roku, w 2013 do 15,3 mld euro. Tradycyjna bankowość odchodzi w przeszłość. Za trzy lata smartfony staną się głównym kanałem dostępu do usług bankowych. Mobilność pozwala też objąć usługami finansowymi wykluczone dotąd rejony świata. Potencjalnie, 7 miliardów ludzi może korzystać z usług bankowych poprzez urządzenie, które nosi przy sobie. Pięć lat temu w Afryce nie istniała infrastruktura płatnicza. Dziś w Kenii 40 proc. PKB przepływa przez systemy płatności mobilnych, a takie same zmiany zachodzą w innych krajach regionu. W ubiegłym roku banki w Polsce wprowadziły karty zbliżeniowe zintegrowane z kartą SIM telefonu komórkowego. Na razie technologia ta dostępna jest jedynie dla posiadaczy najnowszych smartfonów, jednak instytucje 4

5 finansowe pracują nad tym, by mobilne płatności nie wymagały telefonu z modułem NFC (Near Field Communication komunikacja bliskiego zasięgu). Rozwiązanie to może w przyszłości przyczynić się do redukcji użycia tradycyjnych kart płatniczych. W mobilnej bankowości dużo będzie się działo. Rok 2013, to w bankach także coraz szersze wdrożenia rozwiązań do analizy wielkich wolumenów danych (Big Data). Big Data opisywane jest często poprzez określenie 4V: Volume duża ilość danych, Variety duża różnorodność danych, Velocity szybkość pojawiania się nowych danych, Value wartość. Od szybkiej analizy danych zależy dziś konkurencyjność na rynku. Organizacja, która ma 15 mln klientów, 10 kanałów informacji i 900 produktów przy wykorzystaniu tradycyjnych metod na wybór najlepszego kanału i oferty, obliczenie najwyższego zwrotu inwestycji musi przeznaczyć średnio 5 godzin 45 minut, dzięki BD zrobi to w minutę. Barbara Mejssner Dziennikarz, analityk rynku ITC. Stały współpracownik agencji badania rynku teleinformatycznego DiS. Pracowała dla takich tytułów prasowych jak: Miesięcznik Manager, Prawo i Gospodarka, Gazeta Prawna, Teleinfo, Computer Reseller News, Rzeczpospolita, Magazyn Dyrektorów IT CIO, Menedżer Motoryzacji, IT Reseller, Cyfrowa Polska, Kadra Kierownicza w Administracji. W latach współautorka dodatku Rzeczpospolitej Teleinformatyka w Polsce. Specjalizuje się w tematyce dotyczącej informatyki dla biznesu. 5

6 IT w bankowości myśli nieuczesane Stanisław Matczak Słyszałem kiedyś rozmowę pomiędzy informatykiem pracującym w start-up ie, a informatykiem pracującym w banku. Ten pierwszy zapytał drugiego o to, jak się pracuje w banku. Na co padła odpowiedź: wiesz, stary, tak samo jak u was, z tym że nie musimy martwić się o monetyzację. Coś w tym jest, jednakże rzeczywistość jest trochę bardziej skomplikowana. Tworzenie i utrzymywanie systemów IT dla banku w swojej istocie jest takie samo jak tworzenie systemów IT dla każdego innego odbiorcy tak samo mamy wymagania, powstaje projekt, później kod, testujemy, usuwamy błędy, instalujemy na środowisku produkcyjnym Ale jednocześnie praca dla banku ma swoją specyfikę. Ta specyfika objawia się w tym, że pewne rzeczy są w tej pracy trochę inne lub są trochę trudniejsze w porównaniu z wytwarzaniem oprogramowania dla innych odbiorców. Pierwszym elementem, który może różnicować, jest współpraca z klientem. Banki to duże instytucje, z reguły podzielone są one na wiele departamentów i zespołów, a każdy z tych zespołów ma swoją własną specyfikę pracy. Wprowadzając nowy produkt (czy też nową funkcjonalność w systemie) musimy skonfrontować się z tym, że każdy z zespołów będzie patrzył na nasz produkt X trochę inaczej. Oddziały będą musiały produkt X sprzedać. Helpdesk będzie musiał odpowiadać na pytania dotyczące produktu X. Księgowość będzie sprawdzała poprawność księgowań pochodzących z produktu X. Oddział internetowy będzie chciał wprowadzenia obsługi produktu X przez serwis transakcyjny oraz bankowość mobilną. Mamy tu do czynienia z całym szeregiem wymagań definiowanych przez wielu uczestników. Jeżeli mamy operatywnego właściciela produktu, który jest w stanie obsługiwać komunikację między różnymi działami banku oraz jest w stanie pełnić rolę łącznika między tymi działami a działem IT to jesteśmy w świetnej sytuacji. Jeżeli nie mamy takiej osoby czeka nas cała masa wyzwań i roboty komunikacyjnej. Pracując w banku zmieniamy bankowe systemy informatyczne. Te systemy najkrócej można określić tak: są one duże, skomplikowane oraz w wielu przypadkach odziedziczone. Architektura systemu informatycznego banku jest z reguły czymś, co narastało przez lata i jest wypadkową różnego rodzaju decyzji, strategii biznesowych, zmian, eksperymentów, przejęć lub połączeń. Odpowiedź na wiele pytań dlaczego tak to jest zbudowane? brzmi bo tak to kiedyś zostało zrobione i nigdy nie było czasu ani pieniędzy, żeby to poprawić. No i systemy odziedziczone czyli systemy napisane dawno temu, w technologii której nikt współcześnie już nie stosuje. A jednocześnie systemy tak skomplikowane i rozległe, że koszt ich wymiany na nowszy model wyraża się w sporej ilości cyfr. Czasami informatycy w banku mają sporo wspólnego z archeologami Na to wszystko nakłada się potrzeba szybkiego wprowadzania zmian, która jest wymuszana przez szybko zmieniające się otoczenie i prawne, i finansowe, i technologiczne. Zobaczmy, ile produktów finansowych w ostatnich latach powstało i w przypadku niektórych z nich już przeminęło. Był czas popularności lokat z codzienną kapitalizacją. Polisolokaty. Otwieranie kont oraz lokat bez fizycznej wizyty w banku. Cała bankowości mobilna na urządzenia przenośne. Cała gama systemów i dodatków wspierających zarządzanie domowym budżetem. 6

7 Trwa tutaj nieustanny wyścig ci najszybsi chcą być innowatorami i zgarniać jak największą część rynkowego tortu. Ci wolniejsi muszą nadrabiać straty, żeby nie zostać za bardzo w tyle. Tworząc system IT dla banku musimy zadbać o odpowiednią jakość tego systemu. Każdy błąd w systemie może mieć poważne konsekwencje finansowe, prawne oraz wizerunkowe. Niedostępność systemu bankowości internetowej będzie szybko odnotowana przez media. Brak zrealizowania przelewu a firmy przekazują sobie przez banki naprawdę duże pieniądze może powodować roszczenia finansowe klientów. Dziura w zabezpieczeniu bankowości mobilnej może prowadzić do konieczności pokrycia kosztu fraudów i nieodwracalny spadek prestiżu banku. Jakość systemu to również jakość zmian w tym systemie i tutaj mamy rozdarcie pomiędzy bądźmy zwinni i dostarczajmy szybko, a jesteśmy bankiem, musimy dokładnie sprawdzić działanie całego release u. Mamy rozdarcie pomiędzy procedurami sprawdzania zmian, a koniecznością przeniesienia pewnych poprawek na przykład poprawek bezpieczeństwa bardzo szybko. Mamy rozdarcie pomiędzy chęcią sprawdzenia zmian na środowisku jak najbardziej zbliżonym do produkcji, a kosztami stworzenia oraz utrzymania takiego środowiska. Jakość systemu to czasami również informatyka śledcza w praktyce. W banku nie można sobie pozwolić na stwierdzenie nasz system czasami nie działa prawidłowo i nie wiemy dlaczego. Nie możemy powiedzieć: od czasu do czasu odrzucamy 10 przelewów z powodu nieznanego błędu. Musimy sprawdzić każdy incydent, znaleźć jego przyczynę i wyeliminować ją, żeby problem się nie powtórzył w przyszłości. W praktyce oznacza to żmudne siedzenie nad logami, kodami i danymi w bazie. A to wszystko przy masie zmian, które wchodzą do systemu i modyfikują jego działanie. Konieczność szybkiego wprowadzania zmian w dużych i skomplikowanych systemach połączona z wymaganiami jakościowymi sprawia, że rozwój systemów bankowych przypomina czasami łączenie ognia z wodą. Jednego temu biznesowi nie można odmówić. Jest w nim naprawdę ciekawie. Stanisław Matczak Od ponad 13 lat pracuje w branży IT przy rozwoju dużych systemów informatycznych dedykowanych dla instytucji finansowych. W przeszłości analityk, programista, projektant, kierownik projektu oraz koordynator ds. bankowości elektronicznej banku. Obecnie kierownik zespołu odpowiedzialnego za optymalizacje oraz R&D w systemach IT banku Nordea. Założyciel i współtwórca portalu Trzecia kawa ( który gromadzi artykuły dotyczące różnych zagadnień wytwarzania oprogramowania. Prywatnie zajmuje się prowadzeniem warsztatów komunikacyjnych dla małżeństw i jest fanem nocnych imprez na orientację. 7

8 Dostęp do aktualnych informacji to większa konkurencyjność Marcin Mazur, QlikTech Wahania na giełdzie sprawiają, że zarządzający ryzykiem w sektorze finansowym cierpią z powodu ograniczonego dostępu do aktualnych informacji, co utrudnia im podejmowanie właściwych decyzji. Ten fakt potwierdziło międzynarodowe badanie przeprowadzone przez firmę badawczą Lepus na zlecenie QlikTech lidera rozwiązań Business Discovery systemów Business Intelligence dających pełną kontrolę nad analizą danych użytkownikom biznesowym. Zaledwie pięć procent przebadanych osób decyzyjnych powiedziało, że posiada dostęp do aktualnych danych dotyczących zarządzania ryzykiem. Informacja ta jest dość szokująca, zwłaszcza jeżeli weźmiemy pod uwagę kwestię, jak istotny dla menadżerów zarządzania ryzykiem jest dostęp do aktualnych i dokładnych informacji. Przecież decyzje podejmowane ad hoc mogą mieć negatywne konsekwencje finansowe. Badania pokazały również, że 38 procent firm potrzebuje ponad czterech dodatkowych godzin po zakończeniu pracy na uzyskanie aktualnych danych finansowych, chociaż 60 procent z nich wskazało, że informacje starsze niż 4 godziny są bezużyteczne. Finansiści muszą być elastyczni i posiadać natychmiastowy dostęp do informacji dotyczących zarządzania ryzykiem, aby móc podejmować natychmiastowe, ale trafne decyzje. Dodatkowo, dane rynkowe powinny być połączone z danymi wewnętrznymi. Te firmy z sektora finansowego, które będą w stanie dostarczyć swoim menadżerom zarządzającym ryzykiem wartościowe informacje, osiągną przewagę rynkową. Jednak jak to zrobić? Oto pięć uzupełniających się porad. 1. Upewnij się, że właściwe dane docierają do właściwych użytkowników Jedną z rzeczy, które może zrobić firma, jest upewnienie się, że nie tylko kadra zarządzająca lub dział IT mają dostęp do danych i informacji dotyczących zarządzania ryzykiem, ale również osoby, które codziennie z nimi pracują. Tradycyjne systemy BI mają odgórne podejście, w którym dostęp do wszystkich danych jest scentralizowany, co powoduje, że poziom wykorzystania narzędzi BI w firmie jest niski. Przykład demokratyzacji dostępu do danych: BRE Bank BRE Bank wdrożył nowoczesne rozwiązanie BI, w oparciu o platformę QlikView Business Discovery, w departamencie controllingu. Ze względu na rozległą strukturę bank korzysta z wielu narzędzi i technologii, które zostały wypracowane w trakcie 25-letniej działalności na rynku. BRE Bank poszukiwał narzędzia, które umożliwiłoby łatwą i szybką wizualizację danych pochodzących z różnych źródeł. Ważnym kryterium była też efektywność kosztowa. Badając rynek rozwiązań Business Intelligence oraz możliwości oprogramowania oferowanego przez największych dostawców, przedstawiciele BRE Banku doszli do wniosku, że platforma QlikView najlepiej odpowiada ich potrzebom. Jako pierwszy obszar wdrożenia wybrano alokację kosztów najbardziej skomplikowany, wielopoziomowy proces podziału i przypisywania kosztów do poszczególnych jednostek organizacyjnych. Sukces był możliwy nie tylko ze względu na wydajność i elastyczność QlikView, ale też dzięki odpowiedniemu opisowi procesu oraz bezpośredniemu zaangażowaniu działu controllingu BRE Banku. Projektant QlikView wraz z analitykami BRE Banku 8

9 na bieżąco dostosowywali działający prototyp do odkrywanych wyjątków i przypadków szczególnych. To pozwoliło osiągnąć lepszy rezultat w krótszym czasie, mniejszym nakładem pracy i jednocześnie udostępniając specjalistyczne aplikacje wielu analitykom biznesowym. 2. Zapewnij sprawną analizę danych bez konieczności angażowania działu IT Zaledwie 36 procent respondentów w ankiecie QlikTech, było w stanie we właściwym czasie sporządzić portfelową analizę zarządzania ryzykiem. Zarządzający ryzykiem w sektorze finansowym są uzależnieni od działu IT, który odpowiada na ich zapytania, zwłaszcza jeżeli chcą oni wyjść poza predefiniowaną ścieżkę analizy danych w istniejącym systemie. Nawet jeśli poproszą dział IT o stworzenie nowej ścieżki, czy też nowego raportu, mogą upłynąć tygodnie, a nawet miesiące zanim otrzymają nowy model analizy. Taka sytuacja skłania pracowników do powrotu do arkuszy kalkulacyjnych w Excelu, które pomimo wielu niedoskonałości są dostępne i łatwe w adaptacji. Badania Lepus pokazują, że wiele decyzji w sektorze finansowym podejmuje się na bazie przeterminowanych informacji. W rzeczywistości duża liczba menadżerów (42 procent) wciąż używa statycznych arkuszy kalkulacyjnych, więc nie mają szansy na pogłębioną analizę i uzyskanie szczegółowego wglądu. Ponadto 31 procent menadżerów twierdzi, że muszą polegać na informacjach, które są aktualizowane tylko raz w miesiącu. Wadą statycznych arkuszy kalkulacyjnych takich jak Excel jest fakt, że nie zostały one zaprojektowane by integrować i analizować dane, nie mówiąc już o interakcji czy współpracy użytkowników. Ponadto różnego rodzaju arkusze kalkulacyjne często prowadzą do różnych wersji raportów. Użytkownicy biznesowi potrzebują prostego i skutecznego narzędzia do szybkiego poruszania się pośród danych, by podejmować istotne decyzje. Przykład uwolnienia działu IT od natłoku zapotrzebowań ze strony działów biznesowych: Credit Agricole CIB Zarządzanie ryzykiem jest skomplikowanym obszarem, który wymaga monitorowania wielu czynników i ograniczeń. Dla Credit Agricole CIB, inwestycyjnej i korporacyjnej dywizji banku francuskiej grupy finansowej Credit Agricole, sam monitoring nie wystarczał by zapewnić właściwe oszacowanie ryzyka. Aby uzyskać czas potrzebny na właściwą analizę, zdecydowano się na konsolidację danych z różnych zespołów ryzyka w ramach Credit Agricole CIB. Utrudnieniem była ilość arkuszy pochodzących z zasobów systemów back office i front office. Jednakże dzięki połączeniu danych w jednym systemie, Credit Agricole CIB zapewnił możliwość samodzielnej analizy dla wszystkich zespołów ryzyka i stworzył niezależny wgląd w długoterminowe trendy. 3. Zadbaj o dostęp zdalny, aby dane były dostępne z każdego miejsca i o każdej porze Tablety i smartfony zadomowiły się w dzisiejszym świecie. Również coraz więcej firm wspiera pracę zdalną. Ten rodzaj pracy staje się równie powszechny w sektorze finansowym, jak i w innych branżach. Eksperci IDC spodziewają się, że do roku 2015 około 37 procent pracowników na świecie będzie pracowało zdalnie 1. 1 Informacja prasowa IDC, Liczba pracowników zdalnych osiągnie w miliarda, styczeń

10 Forrester przewiduje natomiast, że desktopy i laptopy będą zastępowane przez ich mobilne odpowiedniki, a skrzynki owe przeniosą się do chmury 2. Inne badania pokazują, że ponad 90 procent pracowników biurowych wierzy, że technologie mobilne nie tylko są użyteczne, ale wręcz niezbędne w ich biznesie. Pracownicy spędzają ze sobą coraz mniej czasu, jednakże powinni nadal razem lub w pojedynkę móc podejmować decyzje. Tradycyjne systemy Business Intelligence skierowały się ku mobilności, lecz nie zapewniają wystarczających możliwości analitycznych, które pozwalałyby na podjęcie w podróży właściwych decyzji. Przykład mobilnego rozwiązania analitycznego: TEB Bank TEB (turecki bank, posiadający ponad 500 oddziałów i zatrudniający ponad 9 tys. pracowników) potrzebował poprawić wydajność w całej organizacji, umożliwić pracownikom monitorowanie funkcjonowania poszczególnych oddziałów oraz wspomóc podejmowanie ważnych decyzji biznesowych dzięki aplikacji na ipada. Działania banku obejmują usługi dla klientów korporacyjnych, indywidualnych, małych i średnich przedsiębiorstw, firm sektora detalicznego, jak również finasowanie projektów, zarządzanie funduszami czy usługi powiernicze. Po wdrożeniu rozwiązania QlikView Business Discovery, dyrektorzy regionalni w TEB oraz menadżerowie wyższego szczebla mają zapewniony dostęp do QlikView na ipadach, dzięki czemu mogą lepiej monitorować wydajność poszczególnych oddziałów 2 Forrsights: Analityka, Mobilność i współpraca napędza wzrost inwestycji w technologie, grudzień 2011 i mieć całościowy wgląd we wszystkie aktywności, włącznie ze sprzedażą i bankowością korporacyjną, a także analizą ryzyka. Uzyskują dodatkową elastyczność w dostępie do aktualnych danych, wszędzie tam, gdzie jest to możliwe, będąc dzięki temu na bieżąco z informacjami o udziałach w rynku czy wynikach swojego oddziału. Należy podkreślić, że aplikacja dostępna przez teblet jest dokładnie tą samą aplikacją, która jest dostępna na komputery stacjonarne z tą samą funkcjonalnością i tym samym poziomem możliwości zaawansowanych analiz biznesowych. 4. Zapewnij dostęp do Big Data, tak aby każdy mógł wyciągać wnioski Ilość danych na świecie wzrasta w błyskawicznym tempie. Big Data zapewnia informacje, które pomagają nam w dokonywaniu ważnych decyzji. Jednakże finansiści potrzebują zagłębić się w dane bardziej niż inne branże. Na przykład menedżer ds. ryzyka może potrzebować dostępu do danych na temat poszczególnych transakcji w obrębie portfolio, aby ocenić ryzyko danego kontrahenta. Aby móc to zrobić, menadżer potrzebuje wszystkich danych, a nie tylko informacji zbiorczych. Wyzwaniem jest maksymalizacja wartości płynących z ogromnych zbiorów danych, bez konieczności ponoszenia ogromnych inwestycji w rozwiązania do Big Data. Przykład wykorzystania potencjału Big Data: Jako przykład może posłużyć globalny bank, mający ponad tysiąc oddziałów na świecie, więcej niż trzy miliony klientów i przeprowadzający setki milionów operacji bankowych rocznie. Bank stoi w obliczu wyzwań związanych z analizą wszystkich danych generowanych przez jego oddzielne sieci krajowe oraz transakcje dokonywane przez klientów. Jak analizowane są w tym banku dane klienta, który otwiera konto w jednym oddziale, zmienia 10

11 kilkukrotnie adres zamieszkania w ciągu kilku lat i dokonuje większości operacji bankowych za pośrednictwem oddziału znajdującego się blisko jego miejsca pracy? Przychody za usługi, z których klient zdecydował się skorzystać lub depozyty, które otworzył będą przypisywane oddziałowi, w którym otworzył konto. Również ten oddział będzie dokonywał większości działań spersonalizowanego marketingu bezpośredniego w stosunku do tego klienta, co jest nie lada problemem, zważywszy na to, że 90% dokonywanych przez niego transakcji odbywa się za pośrednictwem innej placówki. Aby zaradzić tej sytuacji, ów bank stworzył aplikację QlikView, która dostarczyła osobom decyzyjnym lepsze wyniki analiz, pozwalające na podjęcie korzystniejszych decyzji. Aplikacja pobiera informacje z wielu źródeł włączając w to wieloterabajtowe hurtownie danych Teradata, monitoruje wszystkie rekordy transakcji, pozwalając bankowi na zrozumienie zachowań klienta i umożliwiając mu tym samym lepsze wykorzystanie ukierunkowanego cross-sellingu (tzw. sprzedaży wiązanej). Dodatkowo pozwala na zaoferowanie klientowi wyższej jakości obsługi i zapewnienie dokładniejszego przydzielania nagród wewnętrznych i odszkodowań. Skutkiem podjętych działań była 3-procentowa poprawa salda depozytowego ponad ustalone cele, która jest wielką sumą biorąc pod uwagę globalną pozycję banku. 5. Zapewnij podejmowanie decyzji w oparciu o dane Wiele organizacji finansowych wciąż zmaga się z danymi. Firmy wiedzą, że dane są wartościowe, ale nie potrafią znaleźć łatwego sposobu udostępnienia ich pracownikom. Kluczem do biznesu opierającego się na danych jest umożliwienie i zachęcenie ludzi do korzystania z liczb i danych do analiz tak często, jak korzystają z ekspresu do kawy. Dane to instynktowna część życia w miejscu pracy. Pytaniem nie powinno być ile danych mogę fizycznie przeanalizować?, tylko jak mogę wykorzystać dane do podjęcia lepszych decyzji?. To właśnie zmiana podejścia do danych sprawi, że pracownicy finansowi będą mieli mniejsze problemy z wykorzystaniem aktualnych informacji. Przykład podejmowania decyzji w oparciu o dane, a nie tylko intuicję: BankPlus BankPlus mający ponad 60 biur w 33 lokalnych społecznościach jest niezależnym bankiem społecznym, skupionym na dostarczaniu najwyższej jakości usług klientom i wysokiego zwrotu z inwestycji swoim udziałowcom. Po napotkaniu problemów związanych z raportowaniem, BankPlus zaimplementował aplikację LoanOwl stworzoną przez partnera QlikView, firmę IPC Global. Aplikacja ta jest dedykowana firmom z sektora finansowego i bankowości aby uzyskać lepsze zrozumienie w procesie udzielania pożyczek swoim klientom, jak również lepiej administrować kredytami i uzyskać zgodność z obowiązującymi przepisami. Dzięki LoanOwl, BankPlus może podejmować lepsze decyzje zarządcze, uzyskał dokładniejszy wgląd w dane, poprawił strukturę zatrudnienia i zmniejszył ilość roboczogodzin poświęcanych na współpracę z działem IT przy tworzeniu raportów. Ponadto dzięki lepszemu wglądowi w dane firma wie teraz kiedy powinna zmienić ofertę pożyczkową i odpowiednio dostosować jej wytyczne. Konkluzja: dobrze oszacowane ryzyko Przed kryzysem większość firm z branży finansowej formowała swoje struktury w rozdzielne silosy, zwłaszcza w obrębie zarządzania ryzykiem, co sprawiało, że współpraca pomiędzy odrębnymi strukturami organizacyjnymi była mało zadowalająca. Takie podejście ograniczało odpowiednie znaczenie zarządzania ryzykiem i utrudniało rozwój organizacji jako 11

12 całości, gdyż poszczególne departamenty wdrażały systemy i procesy operacyjne, które nie uzupełniały się wzajemnie. Co więcej, ponieważ informacje na temat ryzyka związanego ze strategiami biznesowymi dostępne menedżerom wyższego szczebla były niewystarczające, złudne poczucie bezpieczeństwa mogło prowadzić do podejmowania nieoptymalnych decyzji biznesowych. Należy przypuszczać, że w momencie, gdy firmy będą mogły uzyskać aktualne informacje dotyczące ryzyk, będą w stanie szybciej reagować na zmieniające się warunki rynkowe i zwiększać trafność prognoz dotyczących przyszłości rynku. W celu uniknięcia złych decyzji, instytucje finansowe powinny dążyć do utworzenia w pełni zintegrowanej infrastruktury, zapewniającej całościowy, wizualnie intuicyjny przegląd ryzyk. Badania QlikTech pokazują, że podczas prezentacji danych, duża ich część (42%) nadal jest podawana w formie statycznego arkusza kalkulacyjnego, a ponad jedna trzecia (34%) nie ma możliwości dokładniejszego wglądu w celu uzyskania szczegółów. Ponieważ rynki finansowe zmieniają się tak szybko, menedżerowie zarządzający ryzykiem muszą być w stanie dopasować swój sposób myślenia do analizowanej sytuacji biznesowej. Gdy chcą oszacować ryzyko związane z ekspozycją biznesu na dług hiszpański lub dowiedzieć się, jak wrażliwe na zmieniające się ceny ropy jest ich amerykańskie portfolio, potrzebują systemów z danymi, które pozwolą im na szybsze dokonanie tego typu analiz. Zintegrowana infrastruktura informatyczna sama w sobie nie jest więc wystarczająca. Potrzebne są również zaawansowane, ale łatwe w wykorzystaniu techniki analityczne oraz sprawne kanały komunikacji między poszczególnymi departamentami tak, by menedżerowie mieli pełne informacje na temat ryzyka. W tym celu rozwiązania business discovery powinny zawierać interaktywne pulpity oceny ryzyka, które mogą być ściśle dopasowane do indywidualnych potrzeb i pozwalają sprawnie analizować ryzyko. Biznes i ryzyko od zawsze szły ze sobą w parze. Im wyższe ryzyko, tym wyższy zysk. Szczególnie w przypadku sektora bankowego wzmocnienie struktury zarządzania ryzykiem jest decyzją kluczową, gdyż powrót do dobrej koniunktury gospodarczej po recesji rozpoczętej pięć lat temu jest znacznie trudniejszy z powodu skomplikowanej sytuacji w strefie euro i zaostrzenia polityki fiskalnej na całym świecie. Marcin Mazur Regional Director, Eastern Europe, Greece and Israel Marcin rozpoczął pracę w QlikTech w 2012 roku. Jego obowiązki obejmują zarządzanie regionem Europy Wschodniej, Grecji oraz Izraela. Jego celem jest wzmacnianie pozycji QlikTech w regionie i dzięki temu rozszerzanie działalności na inne rynki. Marcin ma ponad 15-letnie doświadczenie w branży oprogramowania dla biznesu. W swojej karierze pracował dla międzynarodowych organizacji takich jak: Peoplesoft (Solutions Sales & Business Development Manager), Cromwell (Dyrektor generalny) czy Oracle (Dyrektor sprzedaży). Przed rozpoczęciem pracy w QlikTech, Marcin zajmował stanowisko Partner Account Managers Lead w firmie Microsoft, gdzie zajmował się zarządzaniem kanałem partnerskim rozwiązań biznesowych. W wolnym czasie Marcin spędza czas z rodziną, gra w koszykówkę oraz czyta książki. 12

13 Spokojny sen z backupem środowisk wirtualnych Tomasz Krajewski, Veeam Software Wszyscy pracownicy odpowiadający za bezpieczeństwo danych w bankach począwszy od CIO a skończywszy na administratorach mają świadomość, że backup to dziedzina, w której nie może być mowy o żadnych błędach czy zaniedbaniach. W centrum danych, w którym wirtualizacja jest niezwykle istotna, kopie zapasowe maszyn wirtualnych są bardzo ważne dla stabilności działania instytucji finansowej. Niestety, z naszej praktyki wynika, że nadal wiele instytucji finansowych wykorzystuje stare metody ochrony danych lub nie wykorzystuje w pełni potencjału nowoczesnych systemów do backupu. Obecnie wirtualizacja jest jednym z naturalnych elementów rozwoju infrastruktury IT, o czym wiedzą zarówno CIOs, jak i managerowie IT w bankach. Silna pozycja tej technologii wynika z szeregu korzyści, które ze sobą niesie. Zastosowanie wirtualizacji w środowisku informatycznym umożliwia zastąpienie wielu fizycznych maszyn jednym serwerem o większej mocy obliczeniowej. Dzięki temu niwelowany jest problem przypisywania jednej aplikacji krytycznej dla banku do jednego serwera. Niezwykle ważne jest zwiększenie efektywności operacyjnej. Gromadzone dane mogą być odtwarzane w trybie natychmiastowym, bez zbędnych i kosztownych przestojów. Wirtualizacja zapewnia dostęp do środowiska informatycznego nie tylko lokalnie lecz również zdalnie z niemal każdego urządzenia komputera, telefonu, tabletu czy terminala. Dzięki wirtualizacji desktopów bank może zarządzać obrazami komputerów z jednej scentralizowanej lokalizacji. Również wprowadzanie nowych usług czy produktów jest łatwiejsze. IT może uruchomić nową aplikację na potrzeby użytkowników biznesowych bez potrzeby zakupu i konfiguracji nowego sprzętu. W skrócie oznacza to, że przygotowanie aplikacji do działania w środowisku produkcyjnym jest prostsze i szybsze. Nic więc dziwnego, że wirtualizacja stała się standardem w instytucjach finansowych. Nie bez znaczenia pozostaje możliwość obniżenia całkowitych kosztów posiadania (TCO). Mniej fizycznych serwerów to mniejsza konsumpcja energii elektrycznej nawet o 70-80%, a dzięki mniejszej powierzchni serwerowni zmniejsza się także konieczność jej chłodzenia. Bezpośrednia redukcja kosztów to nie wszystko. Należy wziąć pod uwagę również korzyści finansowe wynikające ze sprawniejszego zarządzania infrastrukturą i lepszego wykorzystania zasobów ludzkich. Przy mniejszej ilości serwerów potrzebna jest mniejsza ilość administratorów przypisanych do opieki nad konkretnym systemem lub aplikacją. Uwolnione zasoby można wykorzystać do pracy nad kolejnymi aplikacjami i rozwojem istniejących produktów. Dodatkową korzyścią są też niższe koszty utrzymania systemu mniej serwerów to niższe nakłady na serwis sprzętu. Gdy w infrastrukurze wdrażana jest wirtualizacja niezbędnym elementem jest inwestycja w jej bezpieczeństwo. Choć konieczność ochrony danych w dzisiejszych czasach wydaje się rzeczą oczywistą, badania pokazują, że aż 19% firm nie wykonuje 13

14 kopii bezpieczeństwa środowisk wirtualnych za pomocą żadnego narzędzia. To z kolei naraża firmy na utratę danych i wynikające z tego poważne straty, zarówno finansowe, jak i wizerunkowe. W bankowości bezpieczeństwo danych nie podlega dyskusji, a kadra menedżerska zdaje się być przyzwyczajona do poczucia bezpieczeństwa, które często jest złudne. Bezpieczeństwo danych w instytucjach finansowych jest kluczowe, ponieważ od niego zależy zaufanie klientow i reputacja banku. Nie bez znaczenia pozostają tez wymogi legislacyjne nakazujące odpowiednie zabezpieczanie wrażliwych danych znajdujących się w systemach bankowych. Dla wielu dyrektorów finansowych i dyrektorów ds. informacji bezpieczeństwo danych jest po prostu czymś oczywistym. Ponieważ zakupiono odpowiednie oprogramowanie, wdrożono procedury i wyszkolono personel techniczny, kadra zarządzająca żyje w przeświadczeniu, że dane są odpowiednio chronione. Jednak wraz z wejściem nowych technologii, takich jak wirtualizacja i cloud computing, zasady gry uległy zmianom, do których należy się dostosować. Przede wszystkim trzeba pamiętać, że backup musi objąć całość infrastruktury: od systemu operacyjnego przez aplikacje aż po pełne bazy danych. Awarie zdarzają się i będą się zdarzać zawsze. Przestoje kluczowych systemów, a nawet systemów mniej istotnych dla core biznesu jak Backoffice czy portal intranet są wpisane w działalność specjalistów ds. bezpieczeństwa. Dlatego też, gdy myślimy o awariach, właściwie postawione pytanie brzmi nie czy, ale kiedy kolejna z nich się wydarzy. Niestety, jak to w życiu bywa, złośliwość rzeczy martwych potrafi objawić się w najmniej odpowiednim momencie. Istotne wówczas będzie, jak szybko i w jakim stopniu dokładności, dział IT będzie w stanie przywrócić system do normalnej pracy. O ile w tradycyjnym modelu wykonywanie kopii zapasowych zdawało się być opanowane, tak wirtualizacja i jej specyfika postawiły działy IT przed całkowicie nowymi wyzwaniami. Tradycyjne systemy backupowe, które polegały na instalacji agentów na każdej z maszyn z osobna, nie potrafiły zwyczajnie nadążyć za szybkością i elastycznością jaką daje wirtualizacja. Wyzwaniem stało się zatem efektywne tworzenie kopii zapasowych środowisk wirtualnych oraz ich odtworzenie do działania. W końcu kopia zapasowa jest tak dobra, jak szybkość i efektywność, z którą można ją przywrócić. Wirtualizacja wymaga dedykowanych rozwiązań do backupu, które zapewniają ciągłość działania systemu, od tego zależna jest praca bardzo wielu osób. W końcu dzięki znacznej konsolidacji, na jednej maszynie pracuje nawet kilkadziesiąt niezależnych instalacji systemów operacyjnych. Należy pamiętać, że procesy uruchamiania i usuwania wirtualnych maszyn zachodzą bardzo dynamicznie, tym samym całe wirtualne środowisko stale się zmienia i niezbędne jest zapewnienie backupu, który możliwie jak najszybciej umożliwi odzyskanie danych i przywrócenie płynności pracy w razie awarii. Decydując o systemie ochrony infrastruktury wirtualnej warto kierować się kilkoma zasadami: Należy używać oprogramowania przeznaczonego do ochrony danych stworzonego specjalnie dla środowisk wirtualnych Rozwiązania do backupu poprzedniej generacji, zazwyczaj traktują każdy serwer jako fizyczną maszynę, a w dobie wirtualizacji jest to dalekie od stanu faktycznego. Tym samym założenie, że wszystkie serwery są takie same przyczynia się do ogromnego spadku efektywności w sytuacji backupu i odzyskiwania aplikacji czy danych przy zmianie małej ilości danych rozpoczynane są długotrwałe procesy zachowania wszystkich danych. Zupełnie inaczej jest w przypadku dedykowanych rozwiązań do backupu w środowiskach wirtualnych, których budowa umożliwia bezpośrednie połączenie 14

15 z infrastrukturą wirtualną. Umożliwiają one dostosowanie backupu do specyfiki systemu i zachowywanie na bieżąco jedynie zmieniających się elementów, bez obciążenia całego systemu. Dzięki wykorzystaniu kopii migawkowych możliwy jest backup online, bez konieczności przerywania działania aplikacji. Istotne w systemach dedykowanych jest także przyspieszone odzyskiwanie danych w momencie wystapienia awarii oraz selektywne odzyskiwanie fragmentów danych. Choć część dotychczas tworzonych rozwiązań do backupu jest dostosowywanych do środowiska zwirtualizowanego, należy mieć na uwadze, że nie są to rozwiązania dedykowane, a tym samym wraz ze wzrostem ilości zwirtualizowanych maszyn będą oferować coraz mniejszą elastyczność, efektywność i funkcjonalność działania. Warto wybierać rozwiązania nie korzystające z agentów instalowanych na poszczególnych maszynach Konsolidacja systemów wiąże się z przeniesieniem wielu instalacji systemów operacyjnych na jedną maszynę. Jeśli w każdym z tych systemów musi zostać zainstalowany agent backupowy, to dochodzi do marnotrawienia pamięci operacyjnej. Nadmiernie obciążone środowisko produkcyjne wpływa na zmniejszenie efektywności działania, na co instytucje finansowe zwyczajnie nie mogą sobie pozwolić. Backup danych powinien opierać się na kilku warstwach Czasy przechowywania wszystkich kopii zapasowych na taśmach odchodzą w niepamięć. Obecnie centra danych wykorzystują wielowarstwowe podejście do przechowywania i zabezpieczania danych: backup do lokalnego dysku; migawki przechowywane na pamięciach masowych; replikacja VM; archiwalna kopia na taśmie lub w chmurze. Takie podejście zapewnia szybki dostęp do poszczególnych aplikacji i danych, zabezpieczenie w przypadku awarii oraz długotrwałe przechowywanie danych. Ponadto, tego typu rozwiązanie tworzy częste punkty przywracania i zapewnia łatwy dostęp do danych, ich weryfikacji oraz do testowania systemu. Warto ograniczać ilość danych do backupu dzięki deduplikacji W tworzeniu kopii zapasowych kluczowe jest to, jak szybko dane mogą zostać odtworzone. Niestety bardzo często odzyskanie zasobów wiąże się z koniecznością zaimportowania ogromnej liczby danych. Deduplikacja usuwa nadmiarowe dane z kopii zapasowej dzięki identyfikacji unikatowych bloków danych i przechowywaniu ich tylko raz. Przykładem jest odtwarzanie maszyn wirtualnych z desktopami dla wielu maszyn system operacyjny i jego dane są dokładnie te same. Bezpieczeństwo, efektywność, funkcjonalność i niezawodność, to wszystko cechy dobrego rozwiązania do ochrony danych i tworzenia kopii zapasowych maszyn wirtualnych. Decydując się na wirtualizację infrastruktury IT należy pamiętać o uzupełnieniu jej o rozwiązania do backupu. W niezwykle wymagającym środowisku branży finansowej szczególny nacisk kładzie się na stuprocentową dokładność, sprawny dostęp do wszystkich danych i bezpieczeństwo ich przechowywania. Dobór odpowiedniego rozwiązania informatycznego umożliwi pełne przywrócenie maszyn wirtualnych w zaledwie kilka minut, a ciągłe monitorowanie zadań i sesji kopii roboczych zapewni nieprzerwaną ochronę. Dedykowane rozwiązanie do backupu środowisk wirtualnych może sprawić, że kadra zarządzająca banków, firm ubezpieczeniowych i innych firm świadczących usługi finansowe naprawdę będzie mogła spać spokojnie. 15

16 Wdrożenie w Raiffeisen Bank Polska Dział informatyczny Raiffeisen Bank Polska S.A. nadzoruje dwa centra danych i obsługuje 100 lokalizacji na terenie całej Polski. Ponad 3000 pracowników regularnie korzysta z aplikacji, które wspomagają codzienną pracę i komunikację. Jak dla każdej instytucji finansowej, tak i dla tego banku niezwykle ważne było bezpieczeństwo danych i możliwość korzystania z kopii zapasowych w każdym momencie. Niestety narzędzie do backupu maszyn wirtualnych, z którego dział IT korzystał przed wprowadzeniem rozwiązania Veeam, działało niespójnie i wolno. Tym samym bank nie mógł polegać na kopiach zapasowych. Jak twierdzi dział serwerów i systemów operacyjnych dotychczasowy system backupu był bardzo skomplikowany i niezbyt solidny, ograniczony był także wgląd w zestawy kopii zapasowych. Rozwiązaniem problemów Raiffeisen Bank Polska okazało się wdrożenie rozwiązania Veeam Backup & Replication, spełniającego wszystkie wymagania w zakresie elastycznego i niezawodnego tworzenia kopii zapasowych. System oferowany przez Veeam udostępnia szeroką gamę funkcji, takich jak replikacja, odzyskiwanie aplikacji i scentralizowane zarządzanie. Po wdrożeniu rozwiązanie zostało docenione za szybkość, niezawodność i efektywność działania. Obecnie bank ma dostęp do wszystkich zadań i sesji tworzenia kopii zapasowych, a w razie problemów maszyny wirtualne przywracane są w kilka minut, dzięki funkcji błyskawicznego odzyskiwania bezpośrednio ze skompresowanego i zdeduplikowanego pliku kopii. Kolejną ważną funkcją z punktu widzenia działu IT jest niemal ciągła ochrona danych zapewniana przez Veeam Backup & Replication. Dzięki niej można rejestrować zmiany i aktualizować obrazy maszyn wirtualnych nawet co kilka minut na potrzeby replikacji miejscowej i zewnętrznej. Wybrane rozwiązanie Veeam zapewniło obniżenie kosztów i zmniejszenie złożoności systemu, co było bardzo ważne dla banku. Tomasz Krajewski Solutions Architect, Veeam Software. W branży IT od 1994 roku. Projektant rozwiązań, specjalista w zakresie wirtualizacji, usług terminalowych i zarządzania. Przez wiele lat specjalizował się w rozwiązaniach opartych o platformy Microsoft i VMware. Obecnie pracuje w polskim oddziale firmy Veeam. Odpowiedzialny jest za wsparcie technologiczne największych projektów z zakresu zabezpieczania i zarządzania środowiskami wirtualnymi. Z zamiłowania jest muzykiem, producentem muzycznym. Pasjonuje się również kinem i grami komputerowymi. MCSE, VCP. Firma Veeam specjalizuje się w nowoczesnej ochronie danych (Modern Data Protection ). Wyraźnie dostrzega zmianę wymagań stawianych technologiom IT i uważa, że przedsiębiorstwa nie mogą już sobie pozwolić na akceptowanie zjawiska trudnej trójki związanego ze starszymi systemami backupu wysokich kosztów, dużego stopnia złożoności i brakujących funkcji. Veeam oferuje wydajne, łatwe w obsłudze i przystępne cenowo rozwiązania, które zostały stworzone na potrzeby wirtualizacji (Built for Virtualization ) i chmury obliczeniowej, a więc doskonale pasują do nowoczesnych centrów danych. 16

17 Rosnąca ilość danych vs rosnąca ilość regulacji prawnych Marek Świerad, Hitachi Data Systems W dzisiejszym napędzanym przez informacje świecie dane stanowią podstawę efektywnego działania i wprowadzania innowacji przez instytucje finansowe. Jednak gwałtowny wzrost ilości danych i związana z nim rosnąca ilość regulacji stają się coraz większym wyzwaniem. Wiele organizacji zmaga się z mnogością przepisów, które trzeba poznać, by spełniać wymogi zgodności w zakresie zarządzania posiadanymi przez nie cennymi informacjami. Według statystyk ilość danych biznesowych zwiększa się niezwykle szybko, a ich przewidywany wzrost liczony rok do roku wynosi 56%. Teoretycznie istnieją tysiące tekstów ustaw wpływających na działanie spółek. Zawierają one ponad wymogów prawnych regulujących działalność spółek międzynarodowych. Jeszcze więcej komplikacji wprowadza proponowany przez Komisję Europejską projekt regulacji mający na celu ujednolicenie i zharmonizowanie przepisów w zakresie ochrony danych w Unii Europejskiej. Nic więc dziwnego, że w starciu z taką zaporą prawnych i regulacyjnych wymogów wiele organizacji poszukuje specjalistycznego doradztwa z zakresu zarządzania, przechowywania, archiwizowania i odzyskiwania danych. Ma to na celu zachowanie zgodności z przepisami oraz zapewnienie, że cenne informacje danej organizacji będzie można łatwo przekuć na innowacyjne rozwiązania. Rosnąca ilość regulacji ma ogromny wpływ na organizacje działające w granicach UE, dostosowanie działań do nowych przepisów jest szczególnie ważne w branży usług finansowych. Istnieje duża ilość zróżnicowanych regulacji, między innymi: Solvency II, Dodd-Frank, Ustawa Gramm Leach Bliley (GLBA), Bazylea III oraz nowe prawa podatkowe. Rozrastają się również regulowane przez państwo inicjatywy dot. prywatności oraz nowe zasady związane z odtwarzaniem danych i systemów po katastrofie, prywatnością konsumentów, praniem pieniędzy i bezpieczeństwem informacji. Wiele z tych regulacji różni się od siebie pomiędzy jurysdykcjami, a w przypadku organizacji działających na wielu rynkach wymagane jest wspólne i zintegrowane międzynarodowe podejście do zagadnień bezpieczeństwa, przechowywania i usuwania danych. Na domiar złego, nawet jeśli wydaje się nam, że już uporaliśmy się z daną ustawą, może okazać się że jej treść zdążyła ulec zmianie, a polityki i procesy dopiero co wprowadzone, straciły rację bytu. Wydaje się więc być jasne, że organizacje nie mogą sobie pozwolić na zajmowanie się każdym wymogiem prawnym z osobna. Zamiast tego potrzebne jest holistyczne podejście związane z nadzorem nad danymi (z ang. Information Governance). Podejście, które można dostosować do wysoce regulowanego środowiska, lecz które jednocześnie jest przystępne i przejrzyste dla systemów biznesowych w ramach działalności banku. Pewien nowy akt prawny, który obecnie znajduje się w fazie projektu, zapowiada wielką zmianę dla przedsiębiorstw działających na terytorium Europy. Komisja Europejska zamierza ujednolicić i zharmonizować ochronę danych w UE za pomocą Ogólnego rozporządzenia o ochronie danych (GDPR), oraz dyrektyw dot. sądownictwa i policji. Przyjęcie planowane jest na 2014 r., natomiast rozporządzenie powinno wejść w życie w 2016 r. Obecnie toczy się dyskusja nad wprowadzeniem bezwzględnego reżimu przestrzegania norm związanych z ochroną danych pod groźbą kary sięgającej 2% międzynarodowych obrotów spółki. Jeżeli propozycja ta wejdzie w życie, organizacje będą zmuszone zastanowić się na nowo nad metodami zachowania zgodności z przepisami, w obrębie całej swojej działalności. 17

18 Nie dziwi więc fakt, że wiele przedsiębiorstw szuka sposobu, który pozwoli im efektywnie rozwiązać ten problem zapewnienia zgodności. Ale od czego zacząć? Nadzór nad danymi Badanie przeprowadzone przez IDC wykazało, że błędy i problemy w firmach, których siłę napędową stanowią dokumenty doprowadziły do poważnych problemów w zakresie ryzyka biznesowego i/lub zgodności z wymogami w przypadku 75,9% firm. Aż 24,9% z nich utraciło głównych klientów w wyniku problemów w procesach związanych z dokumentami, natomiast 17,3% zapłaciło co najmniej USD w ramach ugód finansowych. Nadzór nad danymi (Information Governance) odnosi się do metod kontrolowania informacji w organizacjach w celu przestrzegania wymogów prawnych, środowiskowych i operacyjnych. Oficjalna definicja nadzoru nad danymi według Gartnera to:...takie określenie zakresu uprawnień decyzyjnych i odpowiedzialności, które zachęca do pożądanych zachowań w zakresie wyceny, tworzenia, przechowywania, użytkowania, archiwizowania i usuwania informacji. W jego skład wchodzą procesy, zadania, standardy oraz metryki, które gwarantują efektywne i wydajne wykorzystanie informacji, by osiągać cele danej organizacji 1. Odnosi się więc do ważnych kwestii, 1 Debra Logan, Wicedyrektor ds. Badań: Blog firmy Gartner: Czym jest Nadzór nad danymi? Dlaczego jest tak trudny? (Styczeń, 2012 r.) debra_logan/2010/01/11/what-is-informationgovernance-and-why-is-it-so-hard/ z którymi mają do czynienia kluczowi interesariusze w przedsiębiorstwach. Dla przykładu CIO może zadać pytanie: Jak długo musimy przechowywać informacje?, podczas gdy Kierownik ds. Kontroli Wewnętrznej może zapytać: W jaki sposób możemy zagwarantować zachowanie zgodności w różnych jurysdykcjach?, natomiast Kierownik ds. Dokumentacji może zastanawiać się: Jaka będzie nasza odpowiedź na żądanie o informacje ze strony organu regulacyjnego?. W rozumieniu HDS Information Governance to kompleksowy program składający się z mechanizmów kontroli, procesów i technologii stworzonych w celu wsparcia organizacji w zakresie maksymalizacji wartości ich danych. Jednocześnie program ten ma za zadanie minimalizację związanych z tym zagrożeń i kosztów. Wobec tego każda instytucja finansowa, której zależy na gwarancji zachowania zgodności, musi najpierw ocenić poziom dojrzałości na jakim znajduje się jej nadzór nad danymi. Następnym krokiem banku powinno być wprowadzenie odpowiedniej polityki celem upewnienia się, że jego dane wspierają ustaloną strukturę. Zrozumienie wymagań w zakresie zasobów regulacyjnych, biznesowych i korporacyjnych pozwoli bankom określić metody stosowania najlepszych praktyk. To natomiast wskaże im w jakich obszarach mogą zyskać na wprowadzonych procesach i zdefiniowanych politykach, które działania będą wspierać ich wymagania, a także w jaki sposób mogą w przyszłości efektywnie zarządzać kosztami. Nadzór nad danymi oznacza stworzenie trwałych fundamentów, na których możliwe będzie kreowanie przyszłości organizacji, ustalenie struktury zarządzania zasobami w sposób efektywny kosztowo i określenie kluczowych elementów lub kwestii sprawiających obecnie największe trudności. Proces ten może trwać od czterech do sześciu tygodni, ale jeżeli 18

19 organizacja posiada już strukturę i chce zoptymalizować swoje podejście, to dwa tygodnie mogą wystarczyć na jego przeprowadzenie. Podjęcie się tematu nadzoru nad danymi może jednak okazać się wymagającym przedsięwzięciem. Z tego względu wiele organizacji szuka u konsultantów oraz innych specjalistów pomocy w zakresie kształtowania i implementowania ich struktury oraz strategii przewodnich w możliwie najbardziej efektywny sposób. Samodzielne zrozumienie pełnego zakresu wymagań jest dla nich niezwykle trudnym zadaniem. Ważnym fundamentem gwarantującym efektywny nadzór nad danymi jest ocenienie dojrzałości spółki. W tym celu należy najpierw przeprowadzić wywiad wewnątrz banku, by otrzymać pełen obraz posiadanych typów danych. Należy uwzględnić dane ustrukturyzowane i nieustrukturyzowane (m.in. edytor tekstu, arkusz kalkulacyjny i pliki PowerPoint, dane osobowe klientów i wrażliwe dane finansowe, nagrania audio, video, zapis danych z czujników i dane z logów) oraz sposób gromadzenia, przechowywania, używania i zarządzania takimi informacjami w perspektywie długoterminowej. Powyższe operacje należy przeprowadzić w połączeniu z audytem wewnętrznym, który pomoże określić gdzie znajdują się zasoby informacyjne danej organizacji, kto z nich korzysta, czy posiadają znaczenie regulacyjne i w jaki sposób są obecnie chronione. Międzynarodowym organizacjom często wydaje się to bardzo skomplikowane biorąc pod uwagę fakt, że ocena musi obejmować wszystkie jurysdykcje, w których prowadzona jest działalność. Należy też wziąć pod uwagę zmienne wymogi prawne obowiązujące na różnych rynkach. Ponadto szczegółowy przegląd nadzoru nad danymi powinien uwzględniać role i obowiązki związane z tworzeniem i zarządzaniem danymi w organizacji. Ocenie należy poddać także obecne uregulowania, dotyczące zachowania zgodności pomiędzy jednostkami biznesowymi, by zidentyfikować ich słabości oraz mocne strony. W zależności od wielkości i zakresu działalności danego banku może to wymagać wiele wysiłku. Zaangażowanie kluczowych przedstawicieli kierownictwa w tworzenie struktury Information Governance oraz wspieranie opracowywania polityk wspierających tę strukturę jest niezbędne do osiągnięcia sukcesu. Określenie rozmiaru uwzględnionych danych i automatyzacja procesu wdrożenia to klucz do ograniczania kosztów. To także punkt wyjścia do swobodnego czerpania korzyści z zarządzanych danych, przy równoczesnym wspieraniu wymogów regulacyjnych oraz tych związanych z nadzorem. Niezwykle cenne jest skorzystanie z wiedzy zespołu. Dla przykładu Dyrektorzy ds. Informatyki mają wgląd w cały zbiór danych i rozumieją zasady zarządzania w oparciu o polityki. Tymczasem Dyrektorzy ds. Bezpieczeństwa Informacji, Ryzyka i Zgodności posiadają wiedzę na temat prawnych i korporacyjnych wymogów klasyfikacji danych. Równocześnie Business Managerowie często wiedzą w jaki sposób powinno się zarządzać zasobami informacyjnymi, by wspierać wymagania biznesowe z uwzględnieniem ochrony, dostępu i związku pomiędzy różnymi źródłami danych, takimi jak informacje handlowe. Połączenie kompetencji tych osób pozwoli najlepiej odpowiedzieć na pytania dotyczące wymogów, na których zbudowany zostanie nadzór nad danymi. Te pytania to między innymi: Jakie są wymagania odnośnie nadzoru regulacyjnego i wewnętrznego? Które zasoby informacyjne należy sklasyfikować i które aplikacje wymagają stworzenia specjalnej polityki zarządzania danymi? Czy istnieją konkretne wymagania dotyczące przechowywania danych z punktu widzenia przedsiębiorstwa? 19

20 Gdzie znajdują się ich zasoby informacyjne i jak powinny być chronione, biorąc pod uwagę odpowiadające im jurysdykcje? Jak zamierzają zarządzać kosztami związanymi z zarządzaniem danymi dla celów nadzoru? Czy preferują zarządzanie zasobami informacyjnymi w prywatnej chmurze czy poprzez środowisko centrum danych? Szczegółowa ocena stanowi tylko jeden szczebel drabiny prowadzącej do zgodności z przepisami i efektywnego nadzoru nad danymi. Po oszacowaniu przez przedsiębiorstwo dojrzałości we wspomnianych obszarach następny krok stanowi stworzenie trwałej struktury, która obejmuje wszelkie wymagania prawne i regulacyjne, normy biznesowe oraz politykę banku. Uwzględnia ona stworzenie zasad dot. harmonogramu przechowywania danych, klasyfikacji treści firmowych, identyfikacji i tworzenia kopii. Określa także wykorzystywanie metadanych w celu skuteczniejszego wspierania zgodności z regulacjami oraz nadzoru nad danymi. W skrócie, dzięki temu cyfrowy dom jest w stanie ograniczyć ryzyko, od momentu powstania elektronicznie przechowywanych informacji po ich ostateczne usunięcie. Struktura ta stanowi następnie podstawę przebiegu wszelkich cyklów życiowych związanych z pracą w organizacji. Na koniec, po przeprowadzeniu takich szczegółowych prac przygotowawczych organizacja powinna wdrożyć, a następnie egzekwować polityki dot. wszelkich danych posiadanych przez firmę oraz zarządzanych i używanych przez nią. Dotyczy to także wdrożenia polityk nadzoru nad danymi do przydzielonej zawartości poprzez zautomatyzowane narzędzia i migrację danych z obecnych do nowych systemów. Powyżej zaprezentowano zalecane podejście, które organizacja może zastosować w celu efektywnego podejścia do kwestii zachowania zgodności z regulacjami, w sposób najbardziej skuteczny i efektywny kosztowo. Ponadto, wprowadzając procesy służące zwiększeniu efektywności zarządzania zasobami danych, przedsiębiorstwa będą mogły lepiej korzystać z informacji, które stanowią jeden z najcenniejszych zasobów umożliwiających innowacje i rozwój. Efektywny nadzór nad danymi przekłada się na korzyści, które organizacje mogą odnieść w kilku kluczowych obszarach: Przyrost ilości danych: gwarantuje, że dana organizacja może zarządzać, przechowywać, chronić, odkrywać, analizować i korzystać z danych wszelkiego typu w celu realizacji nadzoru i e-odkrywania (e-discovery), prowadząc do wyszukania nowych informacji, które przyczynią się do zdobycia przewagi nad konkurencją. Koszty: zwiększa wydajność biznesową oraz poprawia wykorzystanie dostępnych zasobów, gwarantując jednocześnie możliwość przyszłej aktualizacji infrastruktury zasobów informacyjnych. Złożoność: sprawia, że dane stają się niezależne od aplikacji oraz infrastruktury i gwarantuje, że zasoby informacyjne są łatwiejsze do wyszukania, na przykład do celów audytu. Nie da się ukryć, że ilość i złożoność danych tworzonych, przechowywanych i zarządzanych przez instytucje finansowe gwałtownie rośnie. Zachowanie zgodności ze strukturami prawnymi i regulacyjnymi jest dla banków kwestią kluczową, zwłaszcza, że ilość zagrożeń i potencjalnych kar finansowych znacząco wzrasta. W przypadku gdy firma zawodzi, negatywny wpływ na reputację może okazać się równie szkodliwy. Skuteczne rozwiązanie problemu zachowania zgodności z przepisami i nadzoru nad danymi jest więc niezwykle ważne. Dlatego też, dzięki wprowadzeniu efektywnych praktyk nadzoru 20