- обеспечивать следующие требования парольной политики:
а) все пользователи вводят уникальный идентификатор и пароль для получения доступа в систему;
б) после определенного количества неудачных попыток (3 раза) отдельного пользователя получить доступ система закрывает доступ этого пользователя. Вновь открыть доступ может только администратор системы. Система ведет счет неудачных попыток и протоколирует их;
в) хранимые в системе пароли должны быть зашифрованы и составлять как минимум 8 символов. При этом предусматривается возможность устанавливать различную длину пароля для различных групп пользователей;
г) система содержит словарь неприемлемых паролей и обеспечивает возможность запрещать ввод новых паролей, если они присутствуют в этом списке;
д) система периодически (1 раз в месяц) требует изменения паролей пользователями;
е) система не позволяет повторного использования старых паролей;
ж) число одновременных рабочих сессий для каждого пользователя ограничено;
з) пользователям сообщается о предыдущих удачных/неудачных попытках доступа к системе в момент входа, включая время завершения предыдущего сеанса;
и) предусматривается возможность ограничивать время и рабочее место (IP-адрес, МАС-адрес или имя компьютера) пользователей в системе;
к) соединение с системой должно автоматически обрываться, если пользователь не работает в ней определенное количество времени;
- иметь опыт успешных внедрений на территории России, а также иметь возможность локальной поддержки.
Что касается детальных требований, то их, разумеется, невозможно изложить в достаточном объеме в рамках статьи, поэтому перечислим лишь некоторые специфические требования. Система должна:
- осуществлять автоматизированную подготовку писем для рассылки заинтересованным сторонам (клиентам, налоговой инспекции и т.п.) по группам счетов/клиентов. Формирование выписок по счетам клиентов, писем клиентам производится в формате, необходимом для их автоматической упаковки в конверты;
- осуществлять автоматическую проверку остатка денежных средств на счете клиента перед списанием средств со счета;
- осуществлять расчет текущего и планового (с учетом будущих и неподтвержденных платежей) остатка денежных средств на счете клиента на любую дату;
- осуществлять контроль остатка по счету с учетом установленных лимитов. При превышении лимитов по операции или остатку на счете необходима дополнительная авторизация;
- иметь процедуру авторизации при открытии нового счета в системе, без которой новый счет не может быть задействован для каких-либо операций;
- иметь возможность как полностью блокировать операции по счету клиента, так и разрешать только дебетовые или кредитовые операции. Изменение статуса счета производится уполномоченным сотрудником;
- иметь возможность постановки платежа в картотеку с автоматическим контролем остатка по счету плательщика и отражением последующих операций во внебалансовом учете и на балансовых счетах;
- предусматривать возможность формирования автоматических операций. Такие операции настраиваются по произвольным шаблонам и имеют возможность формироваться по заранее определенному графику (stand-by orders). Примером таких операций может быть ежемесячное списание сумм коммунальных платежей сотрудников организации с ее расчетного счета;
- иметь возможность копировать создаваемые отчеты в файлы, доступные для других офисных приложений с целью их дальнейшей обработки (например, Excel, Access);
- отслеживать все стадии жизненного цикла кредита, начиная от предоставления заявки до закрытия договора;
- автоматически рассчитывать сумму резерва и подготавливать для последующего подтверждения и авторизации соответствующие проводки на сумму создаваемого резерва на потери по ссудам;
- формировать отчетность по контролю позиции банка с учетом платежей банка и клиентов, заявок на покупку/продажу валюты. Отчеты формируются по корреспондентским счетам с учетом платежей банка и клиентов, в том числе ожидаемый возврат кредитов;
- иметь возможность автоматического переноса остатков на другие балансовые счета в случае требований учета (например, закрытие парных счетов);
- автоматически осуществлять проводки на основании введенной и авторизованной информации о заключенной сделке и формировать соответствующие платежи;
- предусматривать формирование специальных контрольных отчетов (отчет по операциям, где произошло превышение лимитов; список исправительных проводок и проводок в предыдущих операционных днях; список проводок, где условия могут быть некорректными - например, дебетовая проводка на счет доходов, большие суммы по транзакции или по клиенту, проходящие через кассу, большие суммы, проходящие по расходным счетам, список счетов, по которым за настраиваемый период отсутствовало движение средств (dormant accounts), отчет по суммам, находящимся на счете дольше определенного периода, или операциям, незавершенным в течение заданного промежутка времени, отчет по операциям со счетами доходов и расходов, введенными вручную).
Система "клиент-банк" должна быть сертифицирована ФАПСИ.
Анализируя процесс выбора банковской системы и, в частности, требования банков, нельзя не сказать о двух основных из существующих на рынке классах таких систем, российских и зарубежных, и их различиях.
Безусловно, среди российских систем есть лидеры и аутсайдеры, решения этих систем имеют некоторую специализацию. Но, если говорить в целом, все-таки они близки по духу, идеологии и функциональным возможностям и существенно отличаются от зарубежных систем.
Именно российские системы мы и рассмотрим, сосредоточившись на их недостатках, так как недостатки зарубежных систем в основном сводятся к нескольким общеизвестным фактам: относительно высокой стоимости решения и его сопровождения, сложности с поддержкой в российских условиях (прежде всего это касается отчетности ЦБ РФ), более долгим внедрением системы. В остальном же зарубежные системы представляют собой действительно надежные и функционально полные решения, которые несут в себе прогрессивные банковские технологии, а также опыт и практику банковского дела стран с развитой экономикой.
В чем же заключаются основные недостатки российских систем?
1. Российские системы не являются контрольно-ориентированными. Они слабо поддерживают процедуры внутреннего контроля и аудита. В них практически отсутствуют механизмы сверок, контрольных отчетов, принудительных процедур, механизмы минимизации, предотвращения и поиска ошибок.
2. Они слабы сточки зрения информационной безопасности. Это проявляется в невозможности настройки правильной парольной политики, адекватной системы разграничения прав, протоколирования действий пользователей, в слабой защите на системном уровне, отсутствии специализированного функционала для администраторов безопасности.
3. Ограниченный функционал по новым для нас направлениям банковской деятельности (рынок денег, FOREX, дилинг, операции с производными ценными бумагами, векселями, современные формы кредитования).
4. Недостаток или полное отсутствие механизмов автоматизации управления банком (управленческой отчетности, онлайн-анализа рентабельности продуктов и услуг, прибыльности клиентов, средств моделирования, механизмов автоматизации управления активами и пассивами), слабая визуализация управленческой информации.
5. Сложности с поддержкой Международных стандартов бухгалтерского учета.
6. Отсутствие автоматизации таких банковских функций, как риск-менеджмент, внутренний аудит, казначейство, в частности управление ликвидностью.
7. Недружелюбный интерфейс. Как правило, западные системы имеют более удобный для работы интерфейс. Это связано с тем, что в российской практике обычно разработчики не выделяют специалистов - дизайнеров интерфейса, который создается обычными программистами и впоследствии модифицируется в связи с предложениями клиентов.
Тем не менее, несмотря на эти недостатки и учитывая, что некоторые из них не очень актуальны для многих банков, большинство по-прежнему выбирает российские системы, хотя процесс установки зарубежных систем в последнее время существенно активизировался.
Организация процесса выбора системы
После того как обоснована необходимость внедрения новой банковской информационной системы и сформулированы основные требования к ней, можно приступать непосредственно к процессу выбора. Как мы уже отмечали, в рамках данной статьи мы будем говорить о сторонних системах.
Выбор АБС является принципиальным для успеха всей работы по замене старой системы на новую. И не только потому, что необходимо выбрать действительно адекватную требованиям и задачам банка систему и найти достойного бизнес-партнера, но и потому, что именно на этой стадии необходимо заложить правильный фундамент взаимоотношений с компанией - поставщиком решения. Именно на этой стадии будущие проблемы еще можно устранить, построив процесс выбора максимально продуманно, согласованно, минимизируя риски и заранее готовясь к сложностям.
Основными этапами выбора АБС являются проведение тендера на выбор системы и заключение контракта.
Приведем аргументы в пользу тендерной формы выбора системы:
- независимость и относительная объективность решения (посредством тендера оценивается максимальное количество решений, и в этом процессе участвуют многие специалисты банка, а иногда и привлеченные эксперты и консультанты;
- удобство и эффективность (удобство проявляется во взаимодействии с поставщиками, получении информации, также тендер позволяет оптимизировать использование банковских специалистов в этом процессе, которые должны активно участвовать в выборе, но не могут приостановить свою непосредственную работу);