│ │ │стратегии ИТ по всем функциональным│ │
│ │ │подразделениям банка │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Низкий уровень│Отсутствие регламентов и│Мы рекомендуем разработать и утвердить процедуры│ !! │
│документирования │документирования │документирования для основных технических и│ │
│ключевых процессов в│ИТ-процедур повышает│операционных процессов в области ИТ и│ │
│области ИТ. В ходе│уровень операционных и│осуществлять регулярный контроль за выполнением│ │
│обследования мы│системных рисков банка.│этих процедур со стороны руководства банка.│ │
│отметили, что│Также при этой ситуации│Необходимо разработать процедуры, которые│ │
│отсутствуют │затруднен контроль за│обеспечат возможность последующего контроля за│ │
│внутренние регламенты│функционированием ИТ и│соблюдением указанных процессов и стандартов ИТ │ │
│и документирование│их эффективностью.│ │ │
│большинства │Помимо этого, отсутствие│ │ │
│направлений │надлежащей документации│ │ │
│деятельности ИТ-служб│повышает риск│ │ │
│ │зависимости от ключевых│ │ │
│ │сотрудников службы ИТ,│ │ │
│ │их опыта и знаний │ │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Отсутствие системы│Неадекватная │Мы рекомендуем внедрить систему анализа│ !! │
│анализа инвестиций в│инвестиционная политика│инвестиций в ИТ. Мы полагаем, что политика│ │
│ИТ. В ходе обзора мы│резко увеличивает риски│инвестиций в области ИТ должна включать│ │
│отметили, что процесс│дефицита бюджета,│следующие пункты: определение ответственных за│ │
│бюджетного │конфликта ресурсов│этот процесс сотрудников банка; │ │
│планирования, в том│/инвестиций, а также│систему показателей и алгоритм расчета│ │
│числе и для ИТ,│риск низкой окупаемости│инвестиций в области ИТ; │ │
│ведется на регулярной│инвестиций в области ИТ.│расчет инвестиционной политики в области ИТ и│ │
│основе. Однако в│Возможно неэффективное│окупаемости инвестиций с финансовой и│ │
│банке отсутствуют│использование ресурсов│нефинансовой точек зрения; оценка всех возможных│ │
│процедуры оценки│банка. В случае│альтернативных вариантов инвестиций в ИТ; │ │
│эффективности │отсутствия │анализ передового опыта отрасли при выборе│ │
│вложений в ИТ,│предварительного │инвестиций в области ИТ; │ │
│практика отношения к│планирования в области│постоянный процесс совершенствования│ │
│расходам на ИТ как к│инвестиций в ИТ высшее│инвестиционной политики в области ИТ. │ │
│внутренним │руководство может│Как дополнительные моменты и показатели, которые│ │
│инвестициям │недооценить их│необходимо учитывать при осуществлении│ │
│ │значимость для│инвестиционной политики, мы рекомендуем│ │
│ │деятельности банка и│анализировать следующие параметры: процент│ │
│ │принимать управленческие│ИТ-проектов (от общего числа), не укладывающихся│ │
│ │решения, не владея│в бюджет; │ │
│ │реальной информацией об│процент ИТ-проектов, для которых не│ │
│ │отдаче от ИТ │производилась предварительная оценка│ │
│ │ │эффективности инвестиций; процент ИТ-проектов,│ │
│ │ │которые после внедрения не достигли требуемых│ │
│ │ │инвестиционных показателей (нормы рентабельности│ │
│ │ │и времени самоокупаемости); число ИТ-проектов,│ │
│ │ │при осуществлении которых, несмотря на наличие│ │
│ │ │утвержденного бюджета, возникли инвестиционные│ │
│ │ │конфликты (недостаток или несвоевременность│ │
│ │ │инвестиций); │ │
│ │ │время между возникновением отклонения в│ │
│ │ │осуществлении проекта и решением этой проблемы│ │
│ │ │руководством; процент ИТ-проектов, которые после│ │
│ │ │внедрения так и не достигли требуемых│ │
│ │ │бизнес-целей │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Отсутствие │Отсутствие системы│Мы рекомендуем следующие мероприятия:│ !!! │
│риск-менеджмента в│управления рисками ИТ│сформировать функцию управления рисками внутри│ │
│области ИТ. Анализ│может привести к│подразделения ИТ; │ │
│рисков в сфере ИТ│увеличению числа│распределить, задокументировать и утвердить на│ │
│осуществляется только│проектов, незаконченных│уровне высшего руководства систему│ │
│в отдельных, наиболее│вовремя или вышедших за│ответственности и процедуры риск-менеджмента; │ │
│критичных, случаях на│рамки бюджета. Это также│разработать систему классификации и оценки│ │
│нерегулярной основе.│приводит к увеличению│рисков ИС; │ │
│При этом не│количества нештатных│анализировать результаты ИТ-проектов в ходе и│ │
│существует │ситуаций и сбоев в│после их завершения с точки зрения управления│ │
│методологии оценки и│работе информационных│рисками; │ │
│управления рисками и│систем. Неадекватное│сформировать системы превентивных мер,│ │
│утвержденных │управление рисками может│направленных на предотвращение и снижение рисков│ │
│внутренних процедур│подорвать финансовое и│ │ │
│на этот счет │стратегическое положение│ │ │
│ │банка │ │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│В банке отсутствует│Низкий уровень│Создание комитета по ИТ или│ !! │
│информационно-техно- │информирования высшего│информационно-технологического комитета при│ │
│логический комитет│руководства о проблемах│правлении поможет оптимизировать работу│ │
│при правлении │в области ИТ; проблемы│подразделения ИТ и упростит процесс│ │
│ │решаются недостаточно│урегулирования проблем, с которыми сталкивается│ │
│ │оперативно. │подразделение ИТ. Комитет по ИТ должен│ │
│ │Неэффективная система│оперативно решать стратегические задачи в│ │
│ │контроля за ИТ повышает│области ИТ, а также обеспечивать получение│ │
│ │внутренние риски │своевременной ответной реакции (обратную связь).│ │
│ │ │Кроме этого, комитет по ИТ будет способствовать│ │
│ │ │повышению эффективности контроля за│ │
│ │ │деятельностью ИТ-служб │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Неэффективное │Низкое качество│Необходимо разработать четкую процедуру,│ ! │
│построение │обслуживания │регламентирующую права и обязанности│ │
│обслуживания │пользователей, │пользователей и сотрудников ИТ. Мы рекомендуем│ │
│пользователей ИС. Мы│неоперативность решения│разработать базу данных службы технической│ │
│отметили, что│проблем и ликвидации│поддержки с тем, чтобы все заявки пользователей│ │
│отсутствуют │сбоев в информационных│регистрировались сотрудниками ИТ. Этот│ │
│внутренние │системах. В результате│внутренний инструмент позволит оптимизировать│ │
│регламенты, │повышается риск сбоя│деятельность специалистов ИТ и проводить│ │
│регулирующие │систем, который может│мониторинг их работы. Кроме того, база данных│ │