Systemy bankowe do wymiany

Banki w Polsce stają w obliczu konieczności unowocześnienia systemów centralnych. Proces wymiany może potrwać nawet kilka lat.

Systemy centralne, które przed ponad dekadą odmieniły oblicze polskiej bankowości, wciąż pozostają w użyciu. Wyznaczony im cel został zrealizowany z nawiązką. Wprowadzenie tzw. odmiejscowienia rachunków było ogromną zmianą jakościową w korzystaniu z bankowych usług. Przetwarzający w czasie rzeczywistym system centralny umożliwił także wprowadzenie nowoczesnych produktów finansowych, co przyspieszyło skracanie dystansu do rynków rozwiniętych. Dotychczasowa federacja rozproszonych systemów oddziałowych zmieniła się w jeden spójny system. Dziś trudno sobie wyobrazić inny model działania. Jednak to był dopiero początek dynamicznych zmian na bankowym rynku wraz z popularyzacją kart płatniczych, bankomatów, telefonu (głosu), a przede wszystkim Internetu jako kanału dostępu klientów do rachunków i kolejnego kanału dystrybucji produktów i usług bankowych. Dziś do tego grona dołącza dostęp z poziomu telefonów komórkowych i smartfonów. To wszystko muszą udźwignąć systemy centralne, których korzenie sięgają lat 80. Zostały stworzone z myślą o obsłudze klienta w oddziale. W polskich bankach zaczęły pojawiać się od połowy lat 90. do pierwszych lat nowego milenium. Najstarsze pozostają w użyciu już dobrze ponad 10 lat. W świecie technologii teleinformatycznych to przepaść. Dlatego coraz częściej pojawiają się sygnały, że banki szykują się do projektów wymiany lub solidnej aktualizacji systemów centralnych. Zdarza się, że stanowią one coraz większą barierę w rozwoju banku.

Czas na wyższą wersję

"Dla nas system centralny jest bardzo wydajnym kalkulatorem z zaszytymi standardami produktów bankowych, dzięki którym odpowiednio nalicza, pozwala na parametryzację".

Henryk Baniowski, CIO Alior Banku

O potrzebie zmian komunikują dostawcy, ale także same banki. Jednym z nich jest Kredyt Bank, który wdraża nową wersję systemu centralnego, aktualizując używany system Profile do 7.3, wdrożony w banku 12 lat temu. System wdrażał i obsługiwał wówczas Computerland, a obecnie Sygnity. Obecnie stosowana wersja nie zapewnia już odpowiedniej wydajności i pochłania nieakceptowalny poziom nakładów pracy i kosztów rozwoju nowych produktów i usług. Ponadto rośnie ryzyko awarii, która powoduje przerwy w działaniu banku. Bank zdecydował się na kontynuację korzystania z Profile w ramach posiadanej licencji. "Aktualizacja będzie w rzeczywistości wdrożeniem systemu od początku, gdyż nowa wersja zdecydowanie się różni, od tej którą stosujemy" - mówi Izabela Kuśmierz-Latała, dyrektor Biura Zarządzania Programem Backend Optimization. Przy tej okazji zostanie zbudowana nowa warstwa SOA. Bank z początkiem czerwca br. wszedł w fazę analizy wymagań nowej wersji systemu, w której jest wspomagany przez HP Polska. Etap ten poprzedziły roczne przygotowania. Po etapie analizy bank czeka podpisanie umowy na wdrożenie. Harmonogram zakłada, że testy systemu powinny ruszyć w II kw. 2013, a zakończenie wdrożenia pod koniec 2013. Zmianę systemu centralnego planuje także Bank Gospodarstwa Krajowego, który zamierza zmienić stosowany system Asseco Poland def2000. System def2000 funkcjonuje w Banku Pocztowym i jest szeroko stosowany przez banki spółdzielcze - jego cena i funkcjonalność odpowiadają temu segmentowi. Z kolei z def3000/CB korzystają m.in.: DB PBC, Allianz, Getin, DNBNord, Eurobank, Meritum, Toyota Bank. Asseco ma łącznie 11 klientów używających systemu def3000/CB wśród banków komercyjnych.

Dojrzeć do zmiany

"Jeżeli system centralny należy wymieniać co 10 lat, to jesteśmy właśnie w takim momencie. Zapewne w bankach pojawił się już taki temat. Różne są jednak decyzje, czy rozpoczynać, czy może odczekać jeszcze dwa lub trzy lata" - mówi Sławomir Ziajka, dyrektor Departamentu Planowania i Rozwoju Produktów w Pionie Banków Komercyjnych Asseco Poland. Podkreśla jednak, że banki wprost tego nie komunikują. Proces generalnych zmian w centralnym systemie jest bardzo skomplikowany. Ci, którzy podejmą go dziś, uruchomią nowy system za 2-3 lata, ponieważ tyle pochłania odpowiednie przygotowanie całej operacji. "Konieczne jest mentalne przygotowanie do tego przedsięwzięcia. Poprzednie projekty tej skali odciskały swoiste piętno na organizacji i personelu. Jest to skomplikowana operacja na żywym organizmie. Przeprowadzana bez znieczulenia" - opisuje obrazowo Sławomir Ziajka. Zmiana systemu centralnego może wynikać z faktu wygaszania wsparcia przez dostawcę. Asseco nie ukrywa, że to def3000/CB będzie strategicznym i dalej rozwijanym produktem. "Tak, aby nadążał za potrzebami banków wykorzystujących nasz system" - przekonuje Sławomir Ziajka. W wyniku międzynarodowej ekspansji w grupie Asseco znalazły się jeszcze inne systemy centralne, popularne na rynkach regionalnych w Europie.

Dominacja zagranicy

"Konieczne jest mentalne przygotowanie do tego przedsięwzięcia. Poprzednie projekty tej skali odciskały swoiste piętno na organizacji i personelu. Jest to skomplikowana operacja na żywym organizmie. Przeprowadzana bez znieczulenia".

Sławomir Ziajka, dyrektor Departamentu Planowania i Rozwoju Produktów w Pionie Banków Komercyjnych Asseco Poland

Historia polskiej bankowości w latach 90. była znaczona procesem prywatyzacji, połączeń, sprzedaży zagranicznym inwestorom. Miało to po części wpływ na wybór dostawcy systemu centralnego. W efekcie rynek zdominowali producenci zagraniczni. Choć w erze oddziałowej, poprzedzającej centralizację, polskie oprogramowanie zyskało na znaczącej popularności. Był to jednak czas podstawowej informatyzacji polegającej na zastąpieniu papierowych arkuszy i maszynowych kalkulatorów pierwszymi komputerami PC i serwerami. Na rynku systemów centralnych dla banków komercyjnych lokalni dostawcy odegrali jedynie rolę partnerów wdrożeniowych, poddostawców, do dziś generujących sobie przychody z umów utrzymaniowych. Od tej reguły są oczywiście wyjątki - na przykład w 2004 r. w banku BGŻ ruszył system Eurobank Online napisany specjalnie dla niego. Aplikację utrzymuje dziś Asseco Poland (po wielu etapach konsolidacji rynku). BGŻ notabene przeprowadził niedawno wiele projektów unowocześniających stosowane systemy IT.

Czy polski system centralny mógłby odnieść sukces? Najbardziej prawdopodobnie w zakresie bankowości detalicznej - stosunkowo najmniej skomplikowanej pod względem wymagań - a ewolucja potrzeb klientów była widoczna gołym okiem. Wiedza na ten temat była najbardziej powszechna w odróżnieniu od niemal nieznanej wówczas w naszym kraju bankowości korporacyjnej czy inwestycyjnej. "Było kilka polskich firm z potencjałem. Gdyby sięgnęły po doświadczonych specjalistów z wewnątrz banków, pozyskałyby klientów" - wspomina Sławomir Ziajka. Zagraniczni dostawcy mieli nieporównywalnie więcej wiedzy, doświadczenia, referencji i wygrywali w przetargach. Jednym z charakterystycznych znaków tamtych czasów był fakt, że postępowania przetargowe potrafiły ciągnąć się latami, ale uzasadniała to skala planowanego projektu. Jeżeli w banku pojawiał się zagraniczny inwestor, często przywoził ze sobą system centralny i tak potrzebne na miejscu know-how.

Elastyczny dostawca

Obok zakończenia wsparcia dla systemu lub platformy sprzętowej, na której działa system, sytuacja stawiająca bank przed podjęciem decyzji, co dalej z systemem centralnym, są oczekiwania wobec tempa realizacji zmian i jakość współpracy z dostawcą systemu. Henryk Baniowski, dziś CIO Alior Banku, w banku BPH przygotowywał konwersję środowisk oddziałowych na potrzeby wdrażanego wówczas systemu centralnego Profile. Ten sam system w najnowszej wersji wybrał do budowy od podstaw nowego banku. "Dobre doświadczenia odegrały rolę, ale najważniejszy był fakt, że producent systemu pozwala bankowi na jego samodzielny rozwój, udostępnia kody źródłowe tego systemu" - podkreśla Henryk Baniowski. Na taki rodzaj współpracy zdecydowała się tylko firma Fidelity, do której obecnie należy system Profile po przejęciu poprzedniego właściciela - Sanchez Computer Associates. Partnerem wdrażającym było HP Polska.

"Dziś wprowadzenie do ofert banku nowego produktu wymaga częstokroć niemalże tworzenia nowego oprogramowania (tzw. kastomizacji), które nie jest wspierane przez producentów systemów centralnych w nowszych wersjach oprogramowania, potęgując tym samym ryzyko błędów i awarii".

Piotr Ligenza, dyrektor rozwoju biznesu w Postive Advisory

Możliwość samodzielnego rozwoju kodu źródłowego daje bankowi niezależność oraz istotną swobodę w ubieraniu własnych pomysłów w produkty i usługi bankowe. Systemy bywają bowiem "czarną skrzynką" rozwijaną przez dostawców, którzy robią to na indywidualne potrzeby klienta, tworząc mutację systemu lub wprowadzając standard systemu na bazie zapotrzebowania od różnych klientów, aktualizowany w kolejnych wydaniach. Nowości są już dostępne dla wszystkich, co ogranicza możliwość wyróżnienia się na rynku unikatową ofertą. Są banki, które mogą tego nie akceptować. Alior Bank brał pod uwagę także innych dostawców, ale tylko Fidelity było wystarczająco elastyczne. "Profile od moich czasów w BPH rozwinął się, oferuje m.in. 24-godzinny tryb pracy z przetwarzaniem końca dnia w tle. Dostępne są nowocześniejsze narzędzia i technologie do budowy własnych funkcjonalności" - mówi Henryk Baniowski. Wybór systemu był podyktowany także technologią, na jakiej będzie w stanie pracować. To kolejny z powodów, dla których wymiana systemu może okazać się niezbędna - używana wersja pracuje na serwerach, które nie mają już dłużej wsparcia technologicznego.

"Przy wyborze systemu było dla nas ważne także to, że nie będziemy betatesterem rozwiązania, znaliśmy możliwości Profile" - mówi Henryk Baniowski. Bank zdecydował się jednak na innowacyjne w skali świata postawienie systemu na serwerach z technologią Intel, podczas gdy dominującą platformą jest mainframe czy RISC.

Odpowiednia warstwa

"Dla nas system centralny jest bardzo wydajnym kalkulatorem z zaszytymi standardami produktów bankowych, dzięki którym odpowiednio nalicza, pozwala na parametryzację" - podkreśla Henryk Baniowski. W przypadku Alior Banku kanały dystrybucji były budowane zupełnie niezależnie, we współpracy z zewnętrznymi dostawcami, ale integracja odbywa się z wykorzystaniem szyny wymiany danych i warstwy middleware realizowanej przez wewnętrzny zespół IT. Idea takiej szyny integracyjnej, na której są zaimplementowane usługi, model SOA pozwala później podchodzić uniwersalnie do różnego rodzaju kanałów dystrybucji. "Obecnie <<dopięcie>> czegokolwiek nie stanowi dla nas problemu" - mówi CIO Alior Banku.

Zdaniem Henryka Baniowskiego, wymiana systemu centralnego to minimum 1,5 roku do 2 lat, w zależności od szkoły prowadzenia projektów i skali generowania czasochłonnej dokumentacji. Jest to okres, w którym trzeba zawrzeć kompromis z biznesem na temat możliwego czasowego zamrożenia wdrażania nowych funkcjonalności. Potrzebna jest niemal pokerowa zagrywka - wstrzymania intensywnego rozwoju na czas głębokich zmian i szybkiego startu po ich wprowadzeniu. Aktualne prace rozwojowe w systemie centralnym w Alior Banku są skoncentrowane na podnoszeniu jego wydajności i dostępności, gdyż bank działa online 24/7, a biznes intensywnie rośnie cały czas, inne zmiany wynikają z naturalnego rozwoju biznesu, implementacji zmian produktowych oraz coraz to nowych inicjatyw w zakresie poszerzania kanałów dystrybucji.

Stabilny rynek

Czy banki zdecydują się na masową zmianę dostawców systemów centralnych czy pozostaną przy dotychczasowych - dziś trudno to ocenić. Rynek systemów, z których korzystają przechodzi od czas do czasu okres konsolidacji. System Profile i firma Sanchez Computer Associates należy od 2004 roku do grupy FIS Global, podobnie jak system Systematics (używa go Pekao SA). Mający korzenie w Indiach iFlex został przejęty przez Oracle. Dobre notowania wśród analityków Gartnera zbiera natomiast Infosys z systemem Finacle w zestawieniu "Magic Quadrant for International Retail Core Banking (IRCB) 2010.

"Rozwiązanie weszło właśnie w idealny wiek dla systemu centralnego. Zostało stworzone na początku tego stulecia i zostało od razu zaprojektowane z myślą o nowoczesnej bankowości wielokanałowej" - mówi Piotr Ligenza, dyrektor rozwoju biznesu w Positive Advisory. Spółka podpisała niedawno umowę partnerską z Infosys. Rozwiązania do obsługi Treasury Backoffice tej firmy wdraża w Banku Polskiej Spółdzielczości. Kolejnym naturalnym krokiem byłoby wdrożenie systemu centralnego. Sektor bankowości spółdzielczej jest w kręgu zainteresowania Positive Advisory. Pozyskanie klienta wśród banków komercyjnych będzie wyzwaniem nie łatwym. Nie wykluczony jest jednak scenariusz, że system Finacle może pojawić się w Polsce w ślad za decyzją zagranicznej centrali. "Infosys jest już liczącym sie w świecie graczem. Duża baza klientów, napędza rozwój systemu" - przekonuje Piotr Ligenza.

System umożliwia m.in. przedstawicielom biznesu łatwe kreowanie nowych produktów i usług bez potrzeby angażowania IT. "Dziś wprowadzenie do ofert banku nowego produktu wymaga częstokroć niemalże tworzenia nowego oprogramowania (tzw. kastomizacji), które nie jest wspierane przez producentów systemów centralnych w nowszych wersjach oprogramowania, potęgując tym samym ryzyko błędów i awarii" - podkreśla Piotr Ligenza. W przypadku systemu Infosys wymianie, przy pojawieniu się nowej wersji, podlega tylko jądro systemu. Jest ono jednak zawsze zgodne z budowanymi przez bank dodatkowymi funkcjonalnościami. System występuje w wersji multientity, która umożliwia centrali dużej grupy udostępniać system w modelu outsourcingu przy zachowaniu całkowitej odrębności danych.

Jeżeli banki zaczną wymieniać systemy, dostawcy mogą liczyć na kontrakty rzędu co najmniej kilkudziesięciu milionów złotych.

Komentarz

Wymiana centralnych systemów bankowych. Bezpieczeństwo transakcji a prawidłowa separacja uprawnień w systemie bankowych

Zapewnienie odpowiednich standardów bezpieczeństwa podczas wymiany centralnych systemów bankowych (CSB) i nie tylko nie powinno być postrzegane jedynie przez pryzmat odpowiednich standardów kodowania dla deweloperów, przeprowadzenia testów penetracyjnych czy zapewnienia kontroli nad migrowanymi danymi. Istotną kwestią często pomijaną na tym etapie jest zbudowanie efektywnego systemu kontroli wewnętrznej w CSB, między innymi w zakresie zapewnienia prawidłowej separacji uprawnień.

Komisja Nadzoru Finansowego dostrzega ryzyko związane z nieprawidłowym podziałem obowiązków (stwarzającym konflikty uprawnień) i porusza tę kwestię w rekomendacji H dotyczącej systemu kontroli wewnętrznej w bankach. Oczywiście, KNF wskazuje jedynie sam cel, a nie sposób jego osiągnięcia przez banki. Doświadczenie jednak pokazuje, że najlepszą kontrolą jest dobrze zaprojektowana kontrola automatyczna wykonywana przez CSB.

Środowisko kontroli definiowane jest we współczesnych przedsiębiorstwach zarówno na warstwie procesów biznesowych, jak i na warstwie systemów, z których procesy biznesowe korzystają. O ile relatywnie prosto jest zdefiniować przebieg procesu, tak aby zapewniał właściwy podział obowiązków, o tyle należy pamiętać, że proces ten ma jeszcze swój wirtualny odpowiednik - przebieg w systemie.

Podczas projektowania i wprowadzania w życie klasycznego środowiska kontroli i procesów biznesowych, wdrażane są mechanizmy polegające na rozdzielaniu czynności pomiędzy uczestników procesów, żeby nie koncentrować w jednym miejscu czynności, których połączenie może powodować nadużycia lub problemy z wykrywaniem i zapobieganiem błędom. Niestety, z naszego doświadczenia wynika, że często procesy te, a w szczególności uprawnienia użytkowników, nie są prawidłowo odwzorowane w systemach informatycznych. Tym samym często dobrze zaprojektowany proces z prawidłową separacją kolidujących zadań w systemie wspierającym ten proces może być realizowany przez jednego użytkownika, ze względu na nieprawidłową definicję uprawnień.

O prawidłową separację uprawnień warto zadbać już na etapach analizy, projektowania i wdrożenia CSB. Podjęcie prac na tych etapach pozwoli zaprojektować system uprawnień biznesowych oraz technicznych w CSB, uwzględniający potencjalne konflikty w uprawnieniach i specyfikę organizacji. By to zrobić, nie należy opierać się wyłącznie na zapewnieniach dostawców, że dany system jest na tyle elastyczny, by spełnić mogące pojawić się w późniejszym terminie wymagania, lecz wewnętrznie określić te wymagania jeszcze przed wdrożeniem. Określenie wymagań w tym zakresie to ogromny wysiłek organizacyjny w postaci analizy biznesowej stanowisk, pełnionych funkcji, a następnie wynikających z nich uprawnień w CSB w kontekście potencjalnych konfliktów interesów stwarzających możliwości dokonywania manipulacji i zatajania niewłaściwych działań.

Z pewnością budowa docelowego modelu autoryzacji w CSB nie jest procesem łatwym czy szybkim, jednak efekt w postaci zapobiegania nieprawidłowościom jest wart wysiłku organizacji.

Krzysztof Radziwon, partner w firmie doradczej KPMG,

Paweł Skowroński, menedżer w firmie doradczej KPMG

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200