CC BY
363
№ 1 2006
А.А. Жуков, Н.В. Третьяк
Технология аудита банковских информационных систем
В настоящее время наблюдается повышенный интерес компаний к относительно новой для российского рынка информационной услуге — аудиту информационных систем. Резкое увеличение спроса на данную услугу, ее актуальность и необходимость объясняются зависимостью современных компаний от эффективного функционирования информационных систем.
Особую роль информационные технологии играют в банковском секторе, где они выступают в качестве инструмента поддержки и развития бизнеса. Именно уровень совершенства 1Т-инфраструктуры банка определяет качество и скорость обслуживания клиентов, спектр предоставляемых банком услуг, место банка в меж-конкурентной борьбе, а также оказывает существенное влияние на общую оценку привлекательности банка в глазах клиентов и инвесторов.
Необходимость предъявления особых требований к эксплуатационным характеристикам аппаратных и программных комплексов банка обуславливают следующие факторы: повышение сложности современных банковских информационных систем, необходимость обработки и передачи больших объемов данных в минимальные сроки, территориальная удаленность структурных подразделений банка, потребность в обеспечении многопользовательского доступа к информации в режиме реального времени, необходимость сопряжения различных программных платформ, а также вопросы безопасности хранения и передачи банковских сведений. В связи с этим имеет место объективная необходимость проведения периодических ревизий 1Т-инфраструктуры с целью определения потребности в совершенствовании используемых технологий.
Актуальность аудита
информационных систем в банках
Процесс развития информационных технологий во многих российских банках может быть охарактеризован как эволюционный, прошедший путь от автоматизации отдельных операций до внедрения программных продуктов, нацеленных на решение комплексных задач. Увеличение спектра предоставляемых банками услуг привело к появлению на рынке прикладных систем, автоматизирующих различные участки банковской деятельности. Приобретение банками по мере необходимости и / или по мере возможности (в том числе и финансовой) отдельных программных систем наряду с поддержкой собственных разработок способствовало формированию разнородной, сложной и плохо управляемой совокупности программнотехнических и системных платформ.
Действительно, информационные системы (ИС) многих современных российских банков базируются на наборах программных продуктов, сочетающих собственные разработки и «коробочные» продукты сторонних компаний, функционирующих на разных платформах и частично автоматизирующих направления деятельности банка.
Среди российских компаний, занимающихся разработкой АБС, можно выделить несколько лидеров: «Диасофт» (АБС «Diasoft 5NT(e)»), «R-Style Softlab» (АБС «РБ-Вапк»),«Кворум» (АБС «Кворум» и АБС «NEXT»), «БИС»-Банковские информационные системы (АБС «БИСквит»), «Форс» (АБС «ВА-Банк XL»), «ЦФТ» — Центр финансовых технологий (АБС «ЦФТ-Банк»), «Инверсия» (АБС «Банк XXI Век», InvoBank), «ПрограмБанк» (АБС «Центавр-Дельта», «Гефест»).
№ 1 2006
Системы автоматизации банковской деятельности компании «Диасофт» используют более 1 / 3 российских банков из первой сотни. Среди них: Сбербанк РФ, Внешторгбанк, АБ «Газпромбанк», «АК Барс» Банк, АКБ «Национальный резервный банк», АИК «Нижегородпромстройбанк», АКБ «Росбанк». Среди иностранных клиентов компании «Диасофт» — банки, действующие на территории России: ABN AMRO, BNP Paribas, Deutsche Bank, Dresdner Bank, ING Bank, Societe Generale и др.
Клиентами компании R-Style Softlab являются АКБ «Московский залоговый банк», КБ «Бум-банк», «ПотенциалБанк», банк «Девон-Кредит», КБ «Держава», банк «Стройкредит» и др. Решения компании «Кворум» используют в своей деятельности НОМОС-Банк, Московский кредитный банк, банк «Абсолют», «Транскапитал» «ЭКСПО-БАНК», Газэнергопромбанк, Российский банк развития и др. Среди клиентов компании «БИС» — «Внешторгбанк», Внешторгбанк 24, банк «Уралсиб», Европейский трастовый банк, Славянский банк, а также Российский сельскохозяйственный банк.
Клиенты компании «Форс»: Внешэкономбанк, ИнвестСбербанк, БИН-Банк, Банк «Зенит» и др. Разработки компании «ЦФТ» внедрены в АвтоВАЗбанке, Автоградбан-ке, «АК БАРС», Инвестсбербанке, Мастер-Банке, Первом Республиканском банке, в филиалах НОМОС-Банка и др. Партнеры компании «Инверсия» — КБ «Глобэкс», Российский банк развития, АКБ «Экспресс-Волга», Академхимбанк, АКБ «ТрансКредитБанк» и др. Разработки компании «ПРо-грамБанк» внедрены в КБ «Дельтабанк», КБ «Химмашбанк», КБ «Красбанк» и др.
Среди зарубежных банковских программных комплексов можно отметить «Simbols», «Midas DBA», «Globus», «Bankmaster» и пр.
Отсутствие системного подхода к автоматизации и низкая интеграция отдельных банковских подсистем приводят к тому, что многие организации в силу ряда причин (моральное старение оборудова-
ния и программного обеспечения, неспособность существующей ИС обеспечить поддержку развивающегося бизнеса) определяют неадекватность ранее вложенных средств в информационные системы и ищут пути решения этой проблемы.
В настоящее время на российском рынке аппаратно-программного обеспечения в области банковских технологий предлагаются разные решения как российских, так и зарубежных производителей, позволяющие автоматизировать полный спектр совершаемых банками операций. Однако, в связи с тем что каждая фирма — разработчик ИС старается максимально сократить сроки разработки за счет типизации и унификации тиражируемого решения (что существенно влияет на его эксплуатационные характеристики), возникает другая проблема — адаптация программных средств к условиям конкретного объекта автоматизации. В результате перед банками встает вопрос о необходимости изменения существующей ИС, что предполагает либо полную замену ИС (это потребует от банка существенных временных, трудовых и финансовых затрат), либо модернизацию существующей ИС. Для поиска ответов на вопросы по обеспечению оптимального использования 1Т-ресурсов необходимо проводить аудит ИС.
Предмет аудита ИС
В настоящий момент наблюдается увеличение числа компаний, специализирующихся на оказании услуг в области аудита ИС. Анализ различных информационных источников показал, что большинство таких российских и западных компаний имеет «финансовые» корни, в результате чего, как правило, команда для работы над проектом по аудиту информационных систем формируется из профессиональных экономистов, при этом число технических специалистов невелико. Уровень профессиональной подготовки сотрудников этих компаний различен, что оказывает серьезное влияние на качество выполняемых ра-
А. А. Жуков, Н. В. Третьяк
Технология аудита банковских информационных систем
№ 1 2006
бот, а также на техническую грамотность и достоверность полученных в результате аудита заключений и рекомендаций.
Анализ перечня услуг, предоставляемых компаниями в рамках аудита ИС, показал, что в настоящее время существует смешение понятий «финансовый аудит» и «аудит технологий» (аудит ИС), что объясняется заимствованием термина «аудит» из области финансов. Такая ситуация приводит к тому, что аудит ИС сводится к аудиту предметной области (банковской специфики), а не к оценке применяемых в банке технологий.
Под термином «аудит информационной системы» понимается системный процесс получения и оценки объективных данных о текущем состоянии ИС, действиях и событиях, происходящих в ней, устанавливающий степень соответствия созданной 1Т-инфраструктуры требованиям обеспечения существующих процессов. Цель аудита — оценить эффективность использования ИС, адекватность ИС характеру и объему бизнеса, текущий статус и перспективы развития ИС в соответствии с потребностями бизнеса.
В процессе аудита любой информационной системы очень важно разграничивать предметную информацию и технологическую информацию. Предметная информация описывает структуру информации о происходящих в системе бизнес-процессах, данные обо всех выполняемых в системе операциях, отражающих содержательную направленность предметной области, а технологическая — технические параметры, обеспечивающие функционирование предметной части. Эта информация и является предметом аудита ИС. Именно на основе анализа технических параметров делается вывод о состоянии ИС, о ее недостатках, а затем формулируются предложения по их устранению.
Объекты аудита
Набор услуг, предлагаемых компаниями в рамках аудита ИС, довольно разнооб-
разен и определяется тем, какие элементы компания-аудитор включает в понятие «информационные системы». Обязательной стандартной процедурой при проведении аудита ИС является уточнение границ исследования системы (описание того, что будет рассматриваться как компонент системы, а что как внешнее воздействие), а также выбор точки зрения аудитора на процесс аудита.
В данной статье в процессе аудита информационной системы банка предлагается рассмотреть следующие подсистемы и связи между элементами этих подсистем:
• информационное обеспечение ИС;
• техническое обеспечение ИС;
• программное обеспечение ИС.
В качестве элементов информационного обеспечения будем выделять: состав объектов отражаемой предметной области (структура данных), набор показателей, документов, классификаторов, файлов, баз данных и баз знаний, а также способы представления, накопления, хранения, преобразования и передачи информации.
Техническое обеспечение включает требования к архитектуре аппаратных средств, телекоммуникационные средства связи, унификацию аппаратных решений и сетевые интерфейсы, локальные сети.
Программное обеспечение определим как совокупность СУБД, прикладных и операционных систем, а также интерфейсы между данными системами.
Далее рассмотрим подробнее основные инструменты и последовательность действий, рекомендуемых при проведении аудита ИС и позволяющих выявить недостатки в организации информационного, технического и программного обеспечения.
Технологии аудита ИС банка
ИС является структурой, состоящей из множества элементов и связей между ними. Понятия «элемент» и «связи» являются абстрактными, т. е. имеют со-
№ 1 2006
вершенно разную смысловую нагрузку, поэтому для их упорядочения необходим системный подход. Одним из наиболее адекватных средств их упорядоченного представления является иерархическое структурирование. В связи с этим ИС можно представить как совокупность взаимосвязанных, иерархически упорядоченных элементов. Действительно, функциональную сложность систем можно представить в виде графа: сложность информационного обеспечения, топология размещения информации по серверам баз данных и клиентским местам — граф, топология сети — граф. Однако процесс построения иерархически упорядоченных элементов подразумевает анализ отдельных составляющих элементов информационной системы. Для проведения более качественного и разностороннего анализа требуется представление, позволяющее увязывать между собой различные элементы ИС. В качестве такого инструмента взаимодействия предлагается использовать матрицы перекрестных ссылок: «объекты (дан-
ные) — прикладные системы», «прикладные системы — каналы связи» и др. Графическая иллюстрация данного подхода приведена на рис. 1.
♦ ♦
♦
♦
♦ ♦
♦
♦
Рис. 1. Графическая иллюстрация подхода к аудиту элементов ИС
В процессе аудита ИС можно выделить несколько основных этапов, приводящих к конечному результату, позволяющему сформировать заключение о состоянии ИС:
• построение матрицы «операции — прикладные системы»;
• построение и анализ матрицы «информационные объекты — прикладные системы»;
• анализ интерфейсов между прикладными системами:
- построение матрицы «прикладные системы — прикладные системы»;
- построение матрицы «информационные объекты — прикладные системы — интерфейсы между прикладными системами»;
• анализ хранилищ данных и СУБД;
• анализ аппаратных платформ и технического обеспечения:
- анализ аппаратных платформ;
- анализ сетевых интерфейсов и сетей.
Рассмотрим эти этапы и их содержание. В табл. 1 приведена матрица «операции — прикладные системы».
Поскольку целевым назначением ИС является комплексная автоматизация направления деятельности банка, первый этап анализа ИС заключается в исследовании степени покрытия прикладными системами банка различных групп операций (формирование заявки на кредит, формирование договора вклада, открытие счета; выдача перевода и др.) по всем направлениям деятельности банка (кредиты, РКО, пластиковые карты и др.).
Анализ матрицы «операции — прикладные системы» позволяет выявить перечень неавтоматизированных операций и участков, исследовать данный перечень на предмет возможности и необходимости автоматизации с целью сокращения времени совершения операций и количества возможных ошибок, неизбежно возникающих в процессе ручной обработки данных.
А.А. Жуков, Н.В. Третьяк
Технология аудита банковских информационных систем
№ 1 2006
Таблица 1
Операции — прикладные системы
Направления деятельности Ді Д І2 Д п
Операции Прикладные системы 0іі 012 013 02і 022 СО 2 0 02п Опі 0пп
Пі ♦ ♦ ♦ ♦
П2 ♦
♦ ♦ ♦ ♦ ♦
Пп ♦ ♦
Рассмотрим построение и анализ матрицы «информационные объекты — прикладные системы» (табл. 2). Ценность банковской информации, а также необходимость обеспечения ее достоверности и сохранности предъявляет особые требования к процес-
прикладные системы, входящие в ИС банка, перечень объектов, а также для каждого информационного объекта следует определить признак его использования в соответствии с основными операциями метода CRUDS (Create, Read, Update, Delete and Search).
Таблица 2
Информационные объекты — прикладные системы
Операции Прикладные системы 0і 02 03 04 05 06 07 0n
Пі CRU CRD CRD CRUS CRUS
П2 RS CRD RS R
CRD CRUS
Пп CRU RS CRD
сам изменения состояния данных в информационной системе. В связи с этим особое внимание уделяется вопросам целостности и непротиворечивости данных, что подразумевает осуществление контроля вводимых данных и поддержки связей между ними.
Для построения матрицы «информационные объекты — прикладные системы» (табл. 2) сначала необходимо установить:
Под объектом будем понимать часть системы, которая выделена по какому-либо признаку, сформулированному заинтересованным лицом (в нашем случае — аудитором ИС), отражающим основные понятия предметной области (например, клиент, счет, проводка, договор, курс и др.). В качестве прикладных систем будем рассматривать системы, автоматизирующие
№ 1 2006
отдельные направления банковской деятельности (например, АБС, «Обменный пункт», «Кредиты» и др.).
Матрица позволяет установить факт использования информационных объектов в существующих прикладных системах, выявить «двойной ввод информации», а также «узкие» места, которые могут привести к нарушению целостности данных.
Цель такого анализа — определение уровня интеграции данных, что подразумевает оценку качества организации пространства данных, включая организацию пространства справочной информации, уровня нормализации данных, общего интерфейса доступа к данным, интегрированных средств поиска и пр. Недостатками
интеграции являются дублирование ввода информации в различные системы или отсутствие необходимой в системе информации при ее наличии в другой системе (компонента ИС). Например, в случае если один и тот же информационный объект (О7) создается в нескольких прикладных системах (П1, П4, П7), то данный факт должен быть в дальнейшем рассмотрен в процессе аудита, на предмет наличия интерфейсов между системами, отсутствие которых может привести к нарушению целостности данных.
Рассмотрим процедуру анализа интерфейсов между прикладными системами. Общий вид матрицы «прикладные системы — прикладные системы» приведен в табл. 3.
В процессе построения матрицы наличие интерфейсов между системами от-
мечается символом «♦». Однако данная матрица имеет существенный недостаток: она нацелена на анализ отдельных элементов информационной системы и дает представление лишь о факте наличия / отсутствия интерфейсов между системами. Для всестороннего анализа организации интерфейсов между прикладными системами воспользуемся матрицей, увязывающей между собой информационные объекты, прикладные системы и интерфейсы между прикладными системами.
Рассмотрим построение матрицы «информационные объекты — прикладные системы — интерфейсы между прикладными системами» (табл. 4).
Анализ данных позволяет оценить степень интеграции с внешними и внутренними системами, а также объемы передаваемой информации и сформулировать критерии оценки аппаратных платформ и технического обеспечения. Необходимость обработки больших объемов данных в минимальные сроки определяет высокие требования к производительности СУБД. Поэтому, прежде чем перейти к анализу аппаратных средств, следует оценить существующие базы и хранилища данных.
Рассмотрим процедуру анализа хранилищ данных и СУБД. В связи с постоянным ростом объема данных в процессе функционирования и развития банка необходим постоянный мониторинг темпов прироста объема хранимой информации в струк-
Таблица 3
Прикладные системы — прикладные системы
Прикладные системы Прикладные системы Пі П2 П3 П4 П5 П6 П7 Пп
Пі ♦ ♦
♦ ♦
П п ♦
А.А. Жуков, Н.В. Третьяк
Технология аудита банковских информационных систем
№ 1 2006
Таблица 4
Информационные объекты — прикладные системы — интерфейсы между прикладными системами
№ п / п П1, П2 (направление обмена) Тип обмена Передаваемые объекты Объемы передаваемой информации Периодичность
Иі
И2
турных подразделениях банка, а также осуществление прогноза объемов роста данных за период. Для анализа имеющихся хранилищ данных и СУБД используется матрица, приведенная в табл. 5.
Поддержание производительности в условиях возрастающей нагрузки на систему
часто приводит к необходимости перехода на новую, более мощную платформу. Поэтому на следующем этапе анализируются существующие аппаратные платформы.
В связи с ростом состава и объема банковских услуг, числа филиалов клиентов, банки должны приобретать более мощное техническое обеспечение. Базовые средства должны обеспечивать возможность переноса прикладной системы на новые аппаратные платформы без какого-либо глубокого изменения прикладного программного обеспечения, сетевых функций, позволяющих объединять различные платформы и, как следствие, создавать
возможность гибкого расширения и наращивания системы (дополнение ее новыми рабочими местами и новыми серверами различных классов). В табл. 6 приведена матрица анализа аппаратных платформ.
Перейдем к анализу сетевых интерфейсов и сетей. Применение локальных, реги-
ональных и глобальных сетей предъявляет повышенные требования к их надежности, отказоустойчивости, пропускной способности каналов и их текущей загрузке, к защите и целостности данных.
Данный анализ особенно необходим при принятии решения об организации взаимодействия с новыми удаленными структурными подразделениями банка. При развертывании нового узла сети следует принимать решения о целесообразности перехода на дополнительные коммутируемые линии, осуществления дублирования основного канала связи или об увеличении его пропускной способности.
Таблица 5
Анализ хранилищ данных и СУБД
Место размещения хранилища (ЦО / филиал / отделение) Название БД/Хранилища СУБД Размер, Гб Скорость роста (Мб в день)
ЦО БДі СУБД Я1 А
ДО БД2 СУБДі Я2 А
Фі ОТ ІП со СУБД2 Я3 Аз
БДз СУБДз Я4 А
Фп бд4 СУБД2 Я5 А5
№ 1 2006
Таблица 6
Анализ аппаратных платформ
Прикладная система Место размещения хранилища (ЦО / филиал / отделение) Платформа Разработчик Поддержка
Пі ЦО, Ф1 Рі *і Сі
П2 ЦО, Ф3, ДО1 Р4 «з С2
Пз фі- ф^ ф Р2 Р2 ИТ-специлисты банка
П4 ЦО Р2 собственная разработка ИТ-специлисты банка
ДО1 - ДО2, Ф1-Ф19 Рз Р4, «6 Сз
Пп ЦО Р2 собственная разработка ИТ-специлисты банка
Одной из основных целей аудита сетей является сокращение стоимости технической поддержки сети. В качестве варианта можно предложить внедрение централизованной системы сетевого управления, которая предоставляет возможность дистанционного конфигурирования, контроля, устранения неисправностей и реализации других функций. Интеграция технологий одного производителя сетевого оборудования, предоставляющего полный набор коммуникационных устройств (концентраторов, коммутаторов, маршрутизаторов), упрощает управление, администрирование, подготовку персонала, снижает суммарную стоимость оборудования, а также повышает эксплуатационную надежность системы в целом. Модернизация сетевых инфраструктур играет существенную роль в процессе расширения банковских услуг, выхода банка на новые рынки.
Предложенный подход к проведению аудита ИС позволяет обнаружить «узкие» места существующей 1Т-инфраструктуры банка, установить причины их возникновения и предложить варианты их устранения. Достоинствами данного подхода являются его простота, универсальность, независимость от предметной области, позволяющая
взаимосвязывать между собой различные элементы ИС и оценивать степень их связанности и влияния друг на друга. Повышая уровень глубины детализации изучения существующей ИС, можно получить более точные и формализованные оценки составляющих элементов информационных систем. Главная стратегическая цель периодических ревизий информационных систем — реализация наиболее адекватно функционирующей ИС, способной обеспечить достижение бизнесом не только текущих, но и перспективных стратегических задач и финансовых показателей без проведения радикальных модификаций 1Т-инфраструктуры.
Источники
1. Ахметов К. Программное и аппаратное обеспечение банков // Компьютер-пресс. 1998. № 8.
2. Дик В. В. Информационные системы в экономике. Учебник. М.: Финансы и статистика, 1996.
3. Таненбаум Э. С., Ван Стеен М. Распределенные системы. Принципы и парадигмы. СПб.: Питер, 2003.
4. http://jetinfo.isib.ru / 2000 / 10 / 1 / агйс!е1. 10.2000161.html — Практика проведения аудита ИС.
А.А. Жуков, Н.В. Третьяк
