ДЕКАБРЬ 2018 ПРИМЕНЕНИЕ ОБЛАЧНЫХ ТЕХНОЛОГИЙ НА ФИНАНСОВОМ РЫНКЕ - ДОКЛАД ДЛЯ ОБЩЕСТВЕННЫХ КОНСУЛЬТАЦИЙ

Страница создана Ростислав Коршунов
 
ПРОДОЛЖИТЬ ЧТЕНИЕ
декабрь 2018

           ДОКЛАД   применение облачных
ДЛЯ ОБЩЕСТВЕННЫХ
     КОНСУЛЬТАЦИЙ   технологий
                    на финансовом рынке

                    Москва
Содержание
Введение................................................................................................................................................ 2

1. Понятие облачных технологий и подходы к их применению............................... 3

2. Облачная инфраструктура финансового рынка......................................................... 5
    2.1. Cервисы облачной инфраструктуры............................................................................................5
    2.2. Бизнес-модели участников облачной экосистемы......................................................................9
    2.3. Условия развития облачной инфраструктуры на финансовом рынке....................................12

3. Управление рисками и регулирование в сфере
   облачных сервисов................................................................................................................... 14

4. Актуальные проблемы применения облачных технологий
   на финансовом рынке в России и предложения
   по созданию условий для их развития.......................................................................... 17

Заключение........................................................................................................................................ 19

Вопросы для участников рынка............................................................................................ 20

Приложения....................................................................................................................................... 21
    Приложение 1. Рекомендации Европейской службы банковского надзора (EBA).......................21
    Приложение 2. Рекомендации Управления по финансовому регулированию
    и надзору Великобритании (FCA)......................................................................................................23
    Приложение 3. Рекомендации Денежно-кредитного управления Сингапура (MAS).....................25

  Комментарии, включая ответы на поставленные в докладе вопросы, а также
  предложения и замечания просим направлять по адресу fintech@cbr.ru.

                             © Центральный банк Российской Федерации, 2018
применение облачных технологий
2     на финансовом рынке

    Введение

       В данном докладе раскрываются основные подходы к применению облачных техноло-
    гий и созданию облачной инфраструктуры на финансовом рынке, описываются сцена-
    рии применения и реализации облачных сервисов финансовыми организациями в разных
    странах, а также проводится анализ подходов финансовых регуляторов к управлению ри-
    сками и регулированию в соответствующей сфере.
       Целью доклада является определение возможных областей применения облачных тех-
    нологий в финансовом секторе, а также определение мероприятий, необходимых для раз-
    вития облачных сервисов для финансового рынка и выработка рекомендаций и подходов
    к соответствующему регулированию.
применение облачных технологий
                                                                      на финансовом рынке       3

1. Понятие облачных технологий и подходы
к их применению

   Облачные технологии – это модель            Существуют следующие модели услуг
обеспечения удобного сетевого досту-        в форме облачных сервисов:
па по требованию к фонду конфигурируе-
мых ресурсов (от систем хранения данных     IaaS (Infrastructure as a Service)
до бизнес-услуг), которые могут быть опе-      В данной модели потребитель услуг
ративно предоставлены, масштабированы       не работает с аппаратным обеспечением
и освобождены с минимальными эксплу-        напрямую, а получает по подписке пред-
атационными затратами и обращениями         настроенные виртуальные серверы, обла-
к поставщику.                               дающие заданной мощностью, простран-
   Облачная инфраструктура формирует        ством для хранения и доступом к сетям.
необходимые условия для реализации со-         Потребитель    услуг   самостоятельно
вместных инициатив между финансовы-         управляет арендованными вычислитель-
ми организациями, финтех-компаниями         ными ресурсами, а также настраивает про-
и организациями иных секторов экономи-      граммное обеспечение для эксплуатации
ки, позволяет оперативно создавать новые    и развития своих приложений – например,
бизнес-модели и ускоряет вывод новых        в рамках управления базами данных, хра-
продуктов на рынок.                         нения электронных документов (ЭД) или
   Облачные сервисы разделяются на не-      систем для координации бизнес-процессов.
сколько моделей предоставления услуг –
от базовых инфраструктурных сервисов        PaaS (Platform as a Service)
до комплекса готовых бизнес-функций, на-      В данной модели потребитель услуг по-
пример сервисов учетно-операционной де-     лучает платформу с готовым набором ком-
ятельности.                                 понентов для развития и эксплуатации

Рисунок 1
Форматы предоставления облачных услуг

                                                                   Автоматизированные бизнес-
                                                                   процессы, соответствующие
                                                                   регуляторным требованиям

                                                                    Облачное
                                                                    автоматизированное
                                                                    рабочее место

                                                                    API и реализующие
                                                             API    их компоненты,
                                                                    среда разработки

                                                                    Типовые сервера
                                                                    без настройки

                                                                    Аппаратное
                                                                    обеспечение

    IaaS        PaaS         SaaS           BaaS
применение облачных технологий
4     на финансовом рынке
                                       1. Понятие облачных технологий и подходы к их применению

    собственных приложений, а также среду           BaaS (Bank / Business as a Service)
    управления платформой, позволяющую
                                                      Business as a service является принци-
    быстро прототипировать и развертывать
                                                    пиально новым уровнем применения об-
    новые версии приложения, например мо-
                                                    лачных технологий, где клиенту предостав-
    бильный банк-клиент, систему управления
                                                    ляются не технологические возможности,
    взаимоотношениями с клиентами (CRM)
                                                    а готовый автоматизированный бизнес-
    и автоматизированную банковскую систе-
                                                    процесс по модели подписки, которая по-
    му (АБС).
                                                    зволяет гибко управлять объемом работ,
    SaaS (Software as a Service)                    переданных на аутсорсинг.
                                                      Например, если в модели SaaS потре-
       В данной модели клиент получает уже
                                                    битель заказывает облачную автоматизи-
    готовую функциональность в приложении,
                                                    рованную банковскую систему, в которой
    при этом развитие и сопровождение прило-
                                                    будет работать и выстраивать бизнес-про-
    жения остается в зоне ответственности по-
                                                    цессы самостоятельно, то в BaaS он за-
    ставщика услуги SaaS. Например, клиент
                                                    казывает готовые учетно-операционные
    может купить подписку на облачный CRM,
                                                    сервисы, не требующие затрат на их орга-
    систему автоматизации бухгалтерского
                                                    низацию.
    учета или кадрового делопроизводства.
применение облачных технологий
                                                                              на финансовом рынке    5

2. Облачная инфраструктура
финансового рынка

2.1. Cервисы облачной                         ко случаев создания изначально облачных
                                              банковских ИТ-систем.
инфраструктуры
                                                   Примеры:
  В данном разделе рассматриваются воз-            • DBS Bank (Сингапур) открыл в Ин-
можные сценарии предоставления услуг                 дии банк DigiBank – мобильный банк-
с использованием облачных технологий                 клиент в публичном облаке, который
для финансового рынка.                               использует учетно-операционную си-
                                                     стему материнского банка, размещен-
  Инфраструктурные услуги
                                                     ную на частной инфраструктуре.
  На сегодняшний день в международной
                                                   • Atom Bank (Великобритания) – мо-
практике существует успешный опыт пе-
                                                     бильный банк без отделений и веб-
реноса в облачную инфраструктуру крити-
                                                     сайта, развивается на облачной инте-
ческих бизнес-функций, таких как учетно-
                                                     грационной платформе от поставщика
операционная деятельность, управление
                                                     MuleSoft (США). Использование об-
рисками и информационная безопасность
                                                     лачной интеграционной платформы
(ИБ). При этом, как правило, используется
                                                     (integration Platform as a Service, iPaaS1)
публичная облачная инфраструктура от од-
                                                     позволило Atom Bank реализовать пол-
ного из технологических гигантов, таких
                                                     ностью сквозную цифровую обработ-
как Amazon, Microsoft или Google.
                                                     ку (straight-through processing) заявок
  Примеры:                                           на ипотеку.
  • Крупнейший цифровой банк Capital               • OakNorth Bank (Великобритания) пре-
    One (США) в 2015 г. полностью ми-                доставляет кредитные и депозитные
    грировал свои среды разработки и те-             продукты малому и среднему бизне-
    стирования ИТ-систем на Amazon Web               су в режиме онлайн, используя облач-
    Services (AWS, США), а в 2017 г. вы-             ную автоматизированную банковскую
    строил процессы миграции основных                систему компании Mambu (Германия).
    сервисов на AWS и сформировал ко-                Запуск АБС в облаке формата PaaS
    манду в несколько тысяч сертифициро-             позволил ускорить вывод продуктов
    ванных облачных инженеров. К концу               на рынок с нескольких раз в квартал
    2018 г. Capital One планирует отказать-          до нескольких раз в неделю, что дает
    ся от 5 из 8 собственных дата-центров            возможность быстро адаптироваться
    в пользу облачной инфраструктуры                 к изменению требований клиентов.
    в формате PaaS.                                • Мобильный банк Monzo (Великобри-
  • Цифровой банк Bunq (Нидерлан-                    тания) разработал облачную АБС для
    ды) полностью мигрировал свои ИТ-                того, чтобы размещать свои систе-
    системы на IaaS от Amazon Web                    мы на инфраструктуре Amazon Web
    Services за два года. Bunq удаленно              Services. Соответствие требованиям
    предоставляет свои услуги клиентам               Управления по финансовому регули-
    в Нидерландах, Германии, Австрии,                рованию и надзору Великобритании
    Италии и Испании из дата-центра
    Amazon во Франкфурте.
  Помимо сценариев миграции сложив-           1
                                                  iPaaS – платформа для интеграции облачных серви-
шейся инфраструктуры на публичную об-             сов между собой, а также облачных сервисов с ло-
лачную инфраструктуру, известно несколь-          кальными ИТ-системами компании-потребителя.
применение облачных технологий
6        на финансовом рынке
                                               2. Облачная инфраструктура финансового рынка

           (FCA) к аудиторскому следу2 операций                Пример: разрабатываемое ПАО «Ро-
           в ИТ-системах обеспечивается техно-              стелеком» облачное решение, обеспечи-
           логией CloudTrail от AWS3.                       вающее подписание собранных банка-
       Безопасность как услуга                              ми биометрических персональных данных
       Традиционно каждая организация вне-                  и их передачу в Единую биометрическую
    дряла решения по информационной безо-                   систему.
    пасности на собственной инфраструктуре.                    Облачная среда для обмена данными
    Переход от частных решений к облачным                      Связующим элементом облачной ин-
    позволяет внедрять высококачественные                   фраструктуры для финансового сектора
    и современные системы информацион-                      является среда для обмена данными на ос-
    ной безопасности при совокупном сниже-                  нове открытых API, обеспечивающая инте-
    нии стоимости владения для организации                  грацию между облачными компонентами
    за счет отказа от установки и сопрово-                  поставщика инфраструктуры и частными
    ждения программного и аппаратного обе-                  компонентами одного из клиентов-участ-
    спечения, а также сокращения расходов                   ников. Например, облачная АБС и облач-
    на персонал, обслуживающий указанное                    ный шлюз к платежной системе могут быть
    оборудование.                                           интегрированы с частной реализацией мо-
       Наиболее широко распространены об-                   бильного банка-клиента. В другом случае
    лачные решения по безопасности, пред-                   кредитная организация может интегриро-
    ставляющие собой:                                       вать свой процесс рассмотрения кредитных
       • антивирусные сервисы;                              заявок с сервисами, которые предостав-
       • сервисы защиты от спама;                           ляет облачный поставщик KYC-аналитики
       • сервисы защиты хранения информа-                   или альтернативного кредитного скоринга.
         ции;                                                  При этом у потребителя услуги должна
       • сервисы защиты от мошенничества                    быть возможность параллельно использо-
         и DDoS-атак.                                       вать сервисы нескольких поставщиков с
       Также распространение получают прин-                 целью определения наиболее подходяще-
    ципиально новые сервисы по безопасно-                   го для решения конкретных задач. Таким
    сти:                                                    образом, «облако» является форматом
       • Облачные решения, предоставляющие                  предоставления услуги обмена данными,
         услуги по хранению и использованию                 а открытые API – способом публикации
         закрытых ключей электронной подпи-                 и использования этой услуги.
         си.                                                    Примеры:
       Пример: облачная подпись CryptoPro                       • Компания SaltEdge (Канада) предо-
    (Россия).                                                     ставляет поставщикам платежных ус-
       • Облачные решения, обеспечивающие                         луг доступ к информации о счете и ка-
         дистанционное подписание / заверение                     налам инициирования платежей через
         предоставляемой информации (до-                          единый API-шлюз.
         кументов) с последующей передачей                      • Технологическая компания SnapLogic
         подписанной информации третьим ли-                       (США) предоставляет универсальную
         цам.                                                     платформу для интеграции источников
                                                                  данных и ИТ-систем в облаке с локаль-
                                                                  ными ИТ-системами в формате услуги.
    2
         Аудиторский след – хронологическая последова-         Учетно-операционные сервисы
        тельность записей аудита, которые содержат до-
        казательства изменения данных в результате вы-
                                                               Подобные виды сервисов являются ак-
        полнения бизнес-процесса или системной функции.     туальными для быстрого выхода новых
    3
        AWS CloudTrail – сервис в облачной инфраструкту-    участников на финансовый рынок. Сервис
        ре Amazon, позволяющий вести журналы всех дей-      облачного бэк-офиса не потребует значи-
        ствий в учетной системе потребителя и проводить
                                                            тельных капиталовложений, так как ИТ-
        аудит операционных рисков.
применение облачных технологий
                    2. Облачная инфраструктура финансового рынка
                                                                                     на финансовом рынке    7

инфраструктура, обслуживающий персо-                 является необходимость развертывания
нал и операционные процессы включены                 инфраструктуры для запуска соответству-
в формат услуги, которую можно масшта-               ющего решения на стороне организации.
бировать пропорционально изменениям ко-                 Возможность создать бизнес-приложе-
личества выполненных операций.                       ние на основе технологии распределенных
   Поставщиком такой услуги может быть:              реестров из типовых шаблонов и впослед-
   • Финансовая организация, предостав-              ствии развернуть его на облачной инфра-
     ляющая сегмент своего бэк-офиса                 структуре с минимальными временными
     в формате Bank as a service.                    издержками позволит ускорить время вы-
   Пример: необанк для юридических лиц               вода продукта на рынок, снизить стоимость
«Дело Банк» (Россия) работает по лицен-              его запуска и в результате предложить бо-
зии «СКБ-банка».                                     лее выгодные и конкурентные условия для
   • Технологическая компания, которая               партнеров и потенциальных клиентов.
     дополнительно к автоматизации бэк-                   Примеры:
     офиса предлагает прочие функции, ре-                 • Microsoft (США) предоставляет шабло-
     ализованные самостоятельно или че-                     ны в рамках облачного решения Azure
     рез партнеров.                                         Blockhain Workbench, Amazon (США) –
   Пример: компания «Центр финансовых                       в рамках Amazon Web Services
технологий» (ЦФТ) (Россия) предоставля-                     Blockchain.
ет облачную автоматизированную банков-
                                                        RegTech-сервисы
скую систему.
                                                        Закономерным продолжением размеще-
   Доступ к платежным системам                       ния операционной деятельности на облач-
   Поставщик облачной платформы может                ной инфраструктуре является реализация
предоставлять шлюзы к платежным систе-               облачных RegTech-сервисов, включая услу-
мам по модели подписки аналогично арен-              ги формирования обязательной финансо-
де учетно-операционных услуг. В такой                вой отчетности и ее передачи финансово-
схеме он создает безопасную и масштаби-              му регулятору и государственным органам.
руемую интеграцию с платежными систе-                   Одним из ключевых преимуществ осу-
мами, например с системами платежных                 ществления деятельности финансового
карт или системами быстрых платежей.                 рынка на облачной инфраструктуре может
В свою очередь, организация-клиент, раз-             стать создание среды, обеспечивающей
местив свое приложение внутри контура                своим клиентам автоматическое исполне-
облака, сможет получить упрощенную схе-              ние базовых регуляторных требований.
му интеграции с платежными системами,
                                                          Примеры:
существенно сократив затраты на инфра-
                                                          • Компания nCino4 (США) обеспечивает
структуру, необходимую для подключения
                                                            предоставление обязательной отчет-
к ним.
                                                            ности.
  Пример:                                                 • Компания Tradle5 (США) обеспечи-
  • Компания Ant Financial (Китай) созда-                   вает анализ кредитных рисков и про-
    ла торговую площадку облачных услуг                     ведение процедур, направленных на
    с облачной автоматизированной бан-
    ковской системой и шлюзом к процес-              4
                                                         nCino – технологическая компания, которая предо-
    сингу AliPay.                                        ставляет облачные решения для банковского секто-
  Шаблонные приложения на основе                         ра. Обладает собственной разработкой банковской
                                                         операционной системы, которая позволяет оптими-
технологии распределенных реестров                       зировать внутренние процессы банков при цифро-
  В настоящее время обязательным усло-                   визации своих процессов.
вием для подключения к системам, осно-               5
                                                         Tradle – технологическая компания, которая зани-
ванным на технологии распределенных ре-                  мается разработкой решений на основе технологии
                                                         распределенных реестров, связанных с KYC и со-
естров (distributed ledger technology, DLT),
                                                         блюдением международных норм.
применение облачных технологий
8     на финансовом рынке
                                                     2. Облачная инфраструктура финансового рынка

    Рисунок 2
    Основные компоненты перспективной облачной
    инфраструктуры финансового рынка

     BaaS              Бэк-офис
                                           Процессинг,
                                           выпуск карт
                                                                   Супермаркет
                                                                   финансовых услуг
                                                                                            Идентификация
                                                                                            физических лиц
                                                                                                              Удостоверяющий
                                                                                                              центр (ИБ)

                                           Шлюзы к
     SaaS              APM к АБС           платежным
                                           системам
                                                                   Бизнес-аналитика         RegTech           Облачный ЭДО

                                                                                                              Сервисы ИБ
     PaaS              Портал
                       разработчика
                                           Шаблоны
                                           приложений на DLT
                                                                           Облачная интеграция (iPaaS)        для разработчиков
                                                                                                              приложений

                                                                     Открытые API          Партнерские API    Аутентификация

                                                                     Обмен                 Интеграция         Облачная
                                                                     сообщениями           данных             подпись

                                                                   Хранилище                                  Вычислительная
                       Вычислительные      Базы данных,                                     Хранилище         инфраструктура
                                                                   юридически
                       мощности            хранилища файлов                                 закрытых ключей   общего назначения
                                                                   значимых ЭД
     IaaS
                       Оптимизированная инфраструктура (Big Data, Machine Leaning, DLT)                       Аппаратная
                                                                                            Каналы связи
                                                                                                              криптография

         соответствие требованиям по противо-                           Торговая площадка облачных услуг
         действию отмыванию денег и финан-                              Торговая площадка представляет собой
         сированию терроризма (ПОД / ФТ).                            комплексный набор облачных услуг, при
       Супермаркет финансовых услуг                                  этом способ реализации некоторых из них
       Помимо сервисов, автоматизирующих                             можно выбирать из нескольких вариантов
    исполнение регуляторных требований, об-                          от компаний-конкурентов. Такая среда мо-
    лачная инфраструктура может предлагать                           жет включать в себя единый подход к по-
    торговую площадку для публикации инно-                           строению программных интерфейсов (API),
    вационных решений от нишевых компаний,                           возможность размещения своих приложе-
    например услуг по применению машинно-                            ний на инфраструктуре площадки, типовые
    го обучения в кредитном скоринге, андер-                         договоры, а также унифицированные под-
    райтинге или автоматизации маркетинго-                           ходы к измерению показателей доступно-
    вых кампаний.                                                    сти сервисов, выставления счетов и опла-
       В этом формате инновационные компа-                           ты облачных услуг.
    нии одновременно получат среду для раз-                               Примеры:
    мещения своих услуг и коллективный до-                                • Компания Ant Financial6 (Китай) соз-
    ступ к дорогостоящей инфраструктуре                                     дала торговую площадку облачных ус-
    и информационным платформам. Таким                                      луг, выстроенную по принципу Bank as
    образом, у финансово-технологических                                    a Service. В облачную инфраструкту-
    компаний появляется возможность сокра-                                  ру Ant Financial могут встраиваться как
    тить издержки на поддержку инфраструк-
                                                                     6
                                                                         Ant Financial (Китай) была выделена из холдинга
    туры и каналов продвижения своих услуг.
                                                                         Alibaba в 2011 году. Основным направлением Ant
       Пример:                                                           Financial является Alipay – крупнейший китайский
       • Международная финансовая группа                                 сервис онлайн-платежей. Помимо платежной систе-
                                                                         мы, Ant Financial ведет бизнес в области кредито-
         ING предоставляет возможность при-                              вания и управления частными капиталами, а также
         обретать через свою платформу как                               развивает фонд краткосрочных инвестиций, систе-
         собственные финансовые продукты,                                му оценки кредитоспособности клиентов Sesame
                                                                         Credit и другие технологические решения в области
         так и продукты своих конкурентов.                               платежей.
применение облачных технологий
                          2. Облачная инфраструктура финансового рынка
                                                                                     на финансовом рынке    9

       традиционные банки, так и финтех-                      • Компания-разработчик программных
       стартапы. В число сервисов, предо-                       продуктов для цифрового банкинга
       ставляемых самой Ant Financial, входят                   Backbase (Нидерланды) интегрирует
       шлюз к процессингу AliPay и облачная                     данные и функциональность традици-
       АБС.                                                     онных банковских систем с финтех-
     • Банк Fidor Solutions (Германия) соз-                     компаниями в единый цифровой кли-
       дал в ЕС аналогичную платформу Bank                      ентский интерфейс.
       as a Service, в которую входят облачная                Торговая площадка Open Banking
       АБС, шлюз к процессингу и супермар-                 Marketplace от Backbase предоставляет ус-
       кет финансовых услуг. Fidor Solutions               луги широкого спектра провайдеров. Сре-
       предоставляет банкам возможность                    ди услуг есть такие категории, как иден-
       использовать собственную лицензию                   тификация,     аутентификация,   подпись
       на банковскую деятельность и облег-                 транзакций, финансовые сообщения, пла-
       ченную интеграцию с сервисами из су-                тежи, борьба с мошенничеством и соблю-
       пермаркета услуг. У стартапов, раз-                 дение процедур KYC.
       вивающихся без привязки к одному
       банку-партнеру, есть возможность за-                2.2. Бизнес-модели
       пускать свою деятельность с использо-
       ванием банковской лицензии Fidor.                   участников облачной
     • Аналогично (за счет реализованных                   экосистемы
       механизмов интеграции с партнера-
       ми) N26 (Германия) является универ-                    У финансовых организаций должна
       сальным цифровым банком. Первона-                   быть возможность сократить свои издерж-
       чально банк работал в формате BaaS                  ки благодаря «коллективной» реализации
       c аутсорсингом учетно-операционно-                  тех функций, которые не являются их кон-
       го функционала Wirecard7, затем по-                 курентным преимуществом. В первую оче-
       лучил собственную банковскую лицен-                 редь это касается автоматизированных
       зию и перевел счета клиентов на свою                банковских систем, подготовки регулятор-
       инфраструктуру. После этого N26 стал                ной отчетности и сертифицированной крип-
       развивать функционал финансового                    тографии.
       маркетплейса, предоставляя продук-                     Применение облачных решений позво-
       ты партнеров через свой интерфейс.                  ляет снизить барьеры выхода на рынок для
       В частности, страховые продукты                     инновационных компаний. Упрощение ин-
       в N26 предоставляет Allianz, являю-                 теграции между участниками финансового
       щийся одновременно их инвестором,                   и технологического секторов будет способ-
       а трансграничные переводы организо-                 ствовать снижению транзакционных издер-
       ваны через TransferWise8.                           жек и повышению прозрачности схем аут-
                                                           сорсинга, что повысит скорость адаптации
                                                           финансовых организаций к меняющимся
7
    Wirecard (Германия) – интернет-компания с банков-      условиям на рынке.
    ской лицензией, которая имеет партнерские согла-
    шения с Visa, MasterCard и большинством популяр-
                                                              Стоит отметить, что комплексные ре-
    ных платежных систем.                                  шения в облачной инфраструктуре могут
8
    TransferWise (Великобритания) – сервис недорогих       быть качественнее решений, реализуемых
    трансграничных денежных переводов, основанный          на собственной инфраструктуре. Напри-
    на минимизации фактической конверсии валюты.           мер, доступ к максимально широкому на-
    При переводе за границу система зачисляет исхо-
    дящую валюту на свой технический счет в той же         бору данных дает преимущество в таких
    стране, передает в страну назначения сообщение         областях, как кредитный скоринг, противо-
    о переводе, и платежная система в стране назначе-      действие мошенничеству, отмыванию де-
    ния перечисляет локальную валюту со своего тех-
    нического счета на счет получателя, в результате
                                                           нег и финансированию терроризма.
    чего операции конверсии минимизируются.
применение облачных технологий
10     на финансовом рынке
                                        2. Облачная инфраструктура финансового рынка

        Развитие облачной финансовой инфра-            Основной целью такой организации яв-
     структуры создаст конкурентную среду, ко-       ляется соблюдение баланса между финан-
     торая ускорит рост финансового сектора.         совой устойчивостью и наличием возмож-
     С целью повышения лояльности клиентов           ности предлагать клиентам финансовые
     и максимального увеличения своих конку-         продукты на выгодных, конкурентных усло-
     рентных преимуществ финансовые и тех-           виях.
     нологические компании будут наращивать             Пример: крупные финансовые группы –
     ключевые компетенции, на основе которых         Credit Agricole (Франция), Allianz (Герма-
     могут выстраиваться различные бизнес-           ния), Сбербанк (Россия).
     модели (см. рисунок 3).                            Технологическая компания – организа-
        Описание бизнес-моделей:                     ция, которая обладает экспертизой в обла-
        Нишевая финтех-компания – органи-            сти создания высоконагруженных, масшта-
     зация, обладающая экспертизой в узкой           бируемых и гибких ИТ-систем. Ключевая
     области, такой как дистанционное банков-        компетенция интегратора заключается
     ское обслуживание или кредитный скоринг         в возможности реализовать «под ключ» го-
     на основе анализа пользовательского по-         товое ИТ-решение для потребителя, состо-
     ведения розничного клиента в сети Интер-        ящее из множества различных ИТ-систем.
     нет.                                               Для развития и поддержки облачной ин-
       Пример: Рокетбанк (Россия) специали-          фраструктуры технологическая компания
     зируется на предоставлении удобного мо-         может предлагать следующие услуги:
     бильного банка-клиента, работая на базе            ±± Реализация открытых API, что вклю-
     инфраструктуры другого банка в формате                чает в себя разработку стандарт-
     BaaS по лицензии Киви Банка.                          ных программных интерфейсов к ИТ-
       Дистрибьютор – организация, которая                 системам финансовых организаций,
     является супермаркетом финансовых про-                а также предоставление технологи-
     дуктов, где потребители могут сравнить                ческой среды для обмена сообщени-
     предложения и заключить сделку с тем, кто             ями.
     предложил более выгодные условия, не по-          Пример: компания SaltEdge (Канада)
     кидая платформу. Ключевой компетен-             предоставляет услуги по интеграции вну-
     цией дистрибьютора является постепен-           тренних ИТ-систем участников финансо-
     ное наращивание клиентской базы за счет         вого рынка с использованием открытых
     большого числа поставщиков и привлече-          API в соответствии с требованиями Второй
     ние новых поставщиков путем увеличения          платежной директивы (PSD2)9.
     числа клиентов (так называемый «эффект            ±± Размещение нескольких конкуриру-
     платформы»).                                          ющих сервисов на торговой площад-
        Пример: финансовая группа ING (Нидер-              ке облачных услуг, где клиенты могут
     ланды) предоставляет возможность при-                 пилотировать бизнес-услуги (BaaS)
     обретать через свою платформу как соб-                нескольких поставщиков параллель-
     ственные продукты, так и продукты других              но и развивать сотрудничество с ком-
     банков.                                               паниями, предоставляющими наибо-
        Продуктовая фабрика – финансовая                   лее подходящие решения. Торговая
     организация, которая специализирует-                  площадка облачных услуг может
     ся на разработке бизнес-процессов и вы-               упрощать заключение контрактов
     воде на финансовый рынок таких услуг,                 между участниками, подписавшими
     как предоставление кредитов, размеще-                 рамочный договор с площадкой, пре-
     ние депозитов, страховых продуктов, ус-               доставлять услуги хостинга, монито-
     луг по управлению финансами, проведение               ринга качества предоставления ус-
     операций с гарантиями и аккредитивами,                луг, биллинга (выставления счетов)
     прочих сопутствующих услуг.                     9
                                                         https://eur-lex.europa.eu / eli / dir / 2015 / 2366 / oj.
применение облачных технологий
                    2. Облачная инфраструктура финансового рынка
                                                                                    на финансовом рынке    11

Рисунок 3
Бизнес-модели участников облачной экосистемы

                  Пользователь

                  Нишевый финтех:
                  Приложения для конечного пользователя

                Дистрибьютор                     Продуктовая фабрика         Нишевый финтех:
                                                                            бэк-офисная функция
                                                            кредиты
                                                            депозиты
                                                            платежи

                                                            страховки

                                              Технологическая компания:
                                              ПОСТАВЩИК OPEN API

                                              Технологическая компания:
                                              ТОРГОВАЯ ПЛОЩАДКА ОБЛАЧНЫХ УСЛУГ (BaaS/SaaS)

                                              Технологическая компания:
                                              ПОСТАВЩИК ТЕХНОЛОГИЧЕСКИХ ОБЛАЧНЫХ УСЛУГ

      и расчетов по предоставляемым ус-                   через открытые API и торговые площадки
      лугам.                                              облачных услуг. Open API является техни-
  Примеры: финансово-технологическая                      ческим средством интеграции участников
компания Ant Financial (Китай), банк Fidor                экосистемы. Стоит отметить, что торговые
Solutions (Германия).                                     площадки облачных услуг могут снижать
  ±± Предоставление подписки на облач-                    транзакционные издержки на интеграцию
       ные версии популярных ИТ-решений,                  за счет сопутствующих услуг (например,
       которые обладают высокой стоимо-                   биллинг и мониторинг качества предостав-
       стью и требуют больших затрат на са-               ления услуг).
       мостоятельное сопровождение.                         Примеры:
   Примеры: Amazon (США), Microsoft                         • Фабрика финансовых продуктов мо-
(США), Oracle (США), Ростелеком (Россия).                     жет интегрироваться с поставщиком
   На рисунке 3 изображены бизнес-моде-                       банка-клиента.
ли, или типовые направления деятельно-                      • Дистрибьютор объединяет предложе-
сти, участников облачной экосистемы фи-                       ния нескольких продуктовых фабрик.
нансового сектора.                                          • Поставщик Open API обеспечива-
   Для создания наиболее конкурентного                        ет обмен данными между нескольки-
предложения нишевые финтех-компании,                          ми другими участниками и на этой ос-
дистрибьюторы финансовых продуктов                            нове создает дополнительные услуги:
и продуктовые фабрики могут интегриро-                        управление согласиями на обработку
ваться друг с другом в любых сочетаниях                       персональных данных или альтерна-
применение облачных технологий
12     на финансовом рынке
                                              2. Облачная инфраструктура финансового рынка

     Рисунок 4
     Адаптация бизнес-стратегии с акцентом на ключевые компетенции

                      Финансовая                                          Поставщик
                                              Регуляторные
                      организация             ограничения,                облачных
                                              отсутствие                  услуг
                                              стандартов
                           ключевая
                           компетенция

                           непрофильная
                           компетенция

                           низкоэффективная
                           непрофильная                                         ключевая
                           компетенция                                          компетенция

                      Финансовая                                          Поставщик
                      организация                                         облачных
                                               Экосистема                 услуг
                           ключевая
                                               облачных
                           компетенция         технологий

                           непрофильная
                           компетенция

                                                                                ключевая
                           аутсорсинг                                           компетенция

          тивный кредитный скоринг для продук-               ются для работы на облачной инфраструк-
          товой фабрики.                                     туре, применение данных технологий в фи-
        • Продуктовая фабрика может прово-                   нансовом секторе ограничено. Это связано
          дить интеграцию с несколькими постав-              прежде всего с отсутствием готовых пра-
          щиками альтернативного ­скоринга.                  вил и механизмов, обеспечивающих долж-
        Таким образом, в условиях развития                   ный уровень управления операционными
     облачной инфраструктуры у финансовых                    и регуляторными рисками, возникающими
     и технологических компаний появится воз-                при аутсорсинге критически важных функ-
     можность адаптировать стратегию с учетом                ций финансовых организаций.
     своих конкурентных преимуществ, оптими-                    Практическая возможность и целесоо-
     зируя существующие издержки за счет пе-                 бразность размещения бизнес-критичных
     ревода части своих процессов на облачную                операций в облачной инфраструктуре за-
     инфраструктуру.                                         висит от прозрачности и исполнимости ре-
                                                             гуляторных требований по управлению ри-
     2.3. Условия развития                                   сками аутсорсинга, а также от отсутствия
                                                             в них демотивирующих факторов.
     облачной инфраструктуры                                    Значительная часть инновационных
     на финансовом рынке                                     решений в финансовой сфере основана
                                                             на формировании продвинутой аналитики,
        В то время как проникновение облачных                качество которой зависит от возможности
     услуг находится на высоком уровне и все                 объединить максимально широкий набор
     больше информационных систем компаний                   данных. Одной из ключевых предпосылок
     из реального сектора первоначально созда-               развития экосистемы облачных финансо-
применение облачных технологий
                   2. Облачная инфраструктура финансового рынка
                                                                              на финансовом рынке    13

вых сервисов является наличие регулятор-               Так, наиболее активное развитие облач-
ных требований, устанавливающих обязан-             ных финансовых услуг происходит в Евро-
ность предоставлять персональные данные             пе, где в рамках Второй платежной директи-
по запросу третьего лица, получившего со-           вы и инициативы Open Banking внедряются
гласие клиента на эту операцию. В зару-             открытые API, а также введен режим пере-
бежной практике такой механизм получил              носимости персональных данных в рамках
название переносимости персональных                 General Data Protection Regulation (GDPR).
данных (data portability).
применение облачных технологий
14        на финансовом рынке

     3. Управление рисками и регулирование
     в сфере облачных сервисов

        При использовании облачных сервисов                            В число регуляторов, разработавших ре-
     на финансовом рынке возникают следую-                          комендации по управлению риском облач-
     щие риски:                                                     ного аутсорсинга, входят:
        • влияние неблагоприятных инцидентов                           • Европейская служба банковского над-
          (аварий) на стороне поставщика на ос-                          зора (European Banking Authority, EBA)3;
          новную деятельность и деловую репу-                          • Управление по финансовому регули-
          тацию организации;                                             рованию и надзору Великобритании
        • регуляторные риски, которые возника-                           (Financial Conduct Authority, FCA)4;
          ют в связи с потерей контроля за ме-                         • Денежно-кредитное управление Син-
          рами по защите персональных данных;                            гапура (Monetary Authority of Singapore,
        • концентрация критических функций                               MAS)5;
          на инфраструктуре небольшого коли-                           • Комиссия по регулированию банков-
          чества поставщиков (с точки зрения                             ской деятельности Китая (China Banking
          количества точек отказа это анало-                             Regulatory Commission, CBRC)6;
          гично ситуации, при которой большую                          • Управление денежного обращения
          долю розничного рынка контролирует                             Гонконга (Hong Kong Monetary Authority,
          один или несколько банков, как в Рос-                          HKMA)7;
          сии и Великобритании).                                       • Федеральный совет по рассмотрению
        Управление рисками облачных серви-                               финансовых институтов США (Federal
     сов входит в дисциплину управления опе-                             Financial Institutions Examination Council,
     рационными рисками, в частности рисками                             FFIEC)8.
     аутсорсинга. Управление операционными                             Рекомендации относительно регулиро-
     рисками регулируется на общих основа-                          вания применения облачных технологий
     ниях рекомендаций Базельского комитета                         следуют единому подходу, в котором об-
     по банковскому надзору, применяющихся                          лачные технологии позиционируются в ка-
     во всех странах, которые их имплементи-                        честве формы аутсорсинга.
     руют в рамках локальных нормативных ак-                           В то время как рекомендации FCA
     тов1 (Principles for the Sound Management of                   в большей степени являются инструментом
     Operational Risk, BCBS 195)2.                                  для старта дискуссии с технологическими
        Хотя общие рекомендации по управле-                         компаниями и аудиторами, рекомендации
     нию операционными рисками не теряют
     своей актуальности при активном развитии
                                                                    3
                                                                        https://www.eba.europa.eu / regulation-and-
                                                                        policy / internal-governance / recommendations-on-
     и внедрении облачных технологий, процес-                           outsourcing-to-cloud-service-providers.
     сы и методология управления операцион-                         4
                                                                        https://www.fca.org.uk / publication / finalised-
     ными рисками требуют изменений. В связи                            guidance / fg16–5.pdf.
     с этим регуляторы опубликовали рекомен-                        5
                                                                        http://www.mas.gov.sg / Regulations-and-Financial-
     дации, которые отличаются по уровню де-                            Stability / Regulatory-and-Supervisory-Framework / Risk-
                                                                        Management / Operational-Risk.aspx.
     тализации и обязательности их исполнения
                                                                    6
                                                                        http://www.cbrc.gov.cn / chinese / home / docView / 200 90
     (см. таблицу 1).
                                                                        6 304 236EC33D19A1CCDFF1B0985B7F10 000.html.
                                                                    7
                                                                        http://https://www.hkma.gov.hk / media / eng / doc / key-
                                                                        functions / banking-stability / supervisory-policy-
                                                                        manual / SA-2.pdf.
     1
         https://www.bis.org / publ / bcbs / b3prog_dom_impl.htm.   8
                                                                        https://ithandbook.ffiec.gov / it-booklets / outsourcing-
     2
         https://www.bis.org / publ / bcbs195.htm.                      technology-services.aspx.
применение облачных технологий
            3. Управление рисками и регулирование в сфере облачных сервисов
                                                                                                        на финансовом рынке                15

Таблица 1

Сравнение подходов к регулированию аутсорсинга (в том числе облачных услуг) в финансовом секторе
                       FCA (Великобри-      EBA (ЕС)         MAS (Сингапур)     HKMA (Гонконг)     CBRC (Китай)            FFIEC (США)
                            тания)
Задачи                Информирование, Регулирование        Регулирование      Регулирование      Регулирование        Регулирование
                      мониторинг       и надзор            и надзор           и надзор           и надзор             и надзор
Степень вовлечения    Детальные реко­ CBRC                 Методические       Верхнеуровневые    Верхнеуровневые      Методические
регулятора            мендации                             рекомендации       требования         требования, публи­   рекомендации
                                                                                                 кация ежегодного     (очень подробные)
                                                                                                 отчета по рискам
                                                                                                 аутсорсинга в фи­
                                                                                                 нансовом секторе,
                                                                                                 мониторинг кон­
                                                                                                 центрации рисков
                                                                                                 среди поставщи­
                                                                                                 ков, организация
                                                                                                 оперативного об­
                                                                                                 мена информации
                                                                                                 о рисках между
                                                                                                 банками
Обязательность ис­    Нет            Да             Да             Да                            Да                   Да
полнения рекомен­
даций
Роль регулятора в за­ Информирование Информирование Информирование Согласование                  Согласование         Уведомление, со­
ключении сделки                                                                                                       гласование (стра­
                                                                                                                      ховые организа­
                                                                                                                      ции)
Требования к управле­ Пропорциональны Пропорциональны Пропорциональны Пропорциональны Без градации                    Без градации
нию рисками           рискам             рискам             рискам             рискам             по уровню риска,    по уровню риска
                                                                                                  верхнеуровневые
                                                                                                  определения для
                                                                                                  максимальной сво­
                                                                                                  боды действий
Обеспечение аудита    Возможность оч­ Возможность оч­ Дистанционный            Возможность оч­ Возможность оч­        Возможность оч­
и надзора             ной инспекции      ной инспекции, до­ надзор             ной инспекции, до­ ной инспекции       ной инспекции, до­
                      (на основании дей­ ступ к помещени­                      ступ к помещени­                       ступ к помещени­
                      ствующих норма­ ям поставщика                            ям поставщика                          ям поставщика
                      тивных и правовых
                      актов)
Аутсорсинг критиче­ Разрешен             Разрешен           Разрешен           Разрешен           Запрещен            Разрешен
ских функций
Субподряд             Верхнеуровневые Требования к раз­ Требования к обе­ Не регулируется         Не регулируется     Требования к раз­
                      требования к ана­ граничению от­      спечению воз­                                             граничению от­
                      лизу рисков суб­ ветственности,       можности аудита                                           ветственности,
                      подряда            требования к со­ по всей цепочке                                             требования к со­
                                         гласованию зна­                                                              гласованию зна­
                                         чимых действий                                                               чимых действий
                                         и уведомлению                                                                и уведомлению
                                         о значимых собы­                                                             о значимых собы­
                                         тиях                                                                         тиях
Аутсорсинг            Верхнеуровне­      Разрешен при от­ Разрешен при им­ Разрешен при им­ Только с юрис­            Разрешен при им­
в третьих странах     вые требова­       сутствии блокиру­ плементации всех плементации всех дикциями, подпи­         плементации всех
                      ния к анализу ри­ ющих страновых регуляторных тре­ регуляторных тре­ савшими межпра­            регуляторных тре­
                      сков аутсорсинга рисков               бований на уровне бований на уровне вительственные        бований на уровне
                      за пределами Ве­                      контракта и отсут­ контракта. HKMA соглашения             контракта и отсут­
                      ликобритании                          ствии блокирую­ может запраши­                            ствии блокирую­
                                                            щих страновых ри­ вать данные о по­                       щих страновых ри­
                                                            сков               ставщике у регу­                       сков
                                                                               ляторов третьих
                                                                               стран
Обеспечение непре­    Наличие альтерна­ Наличие альтерна­ Наличие альтер­      Наличие альтер­    Регулярные учения   Регулярные учения
рывности деятель­     тивного поставщи­ тивного поставщи­ нативного постав­ нативного постав­ по противодей­          по противодей­
ности                 ка и стратегии вы­ ка и стратегии вы­ щика, регулярные щика или возмож­ ствию неблагопри­       ствию неблагопри­
                      хода, регулярное хода, регулярное учения по противо­ ности запустить        ятным инцидентам    ятным инцидентам
                      обновление планов обновление планов действию небла­ функцию вну­            и соответствующая
                      обеспечения не­    обеспечения не­    гоприятным инци­ три компании, ре­ отчетность регуля­
                      прерывности дея­ прерывности дея­ дентам                 гулярные учения тору, запуск уче­
                      тельности          тельности                             по противодей­     ний по требованию
                                                                               ствию неблагопри­ регулятора
                                                                               ятным инцидентам
применение облачных технологий
16     на финансовом рынке
                                                    3. Управление рисками и регулирование в сфере облачных сервисов

     Защита данных    Требования к ана­ Юридически        Юридически обя­      Юридически обя­      Упоминание          Юридически обя­
                      лизу киберрисков обязывающие        зывающие тре­        зывающие тре­        в формате кратких   зывающие тре­
                                        требования        бования к защите     бования к защите     тезисов о конфи­    бования к защите
                                        к защите данных   конфиденциаль­       конфиденциаль­       денциальности       данных в контрак­
                                        в контракте       ности в контракте,   ности в контракте,                       те, включая уве­
                                                          отделение данных     отделение данных                         домления об ава­
                                                          от прочих клиен­     от прочих клиен­                         риях
                                                          тов поставщика       тов поставщика
                                                          аутсорсинговых       аутсорсинговых
                                                          услуг, миграция      услуг, миграция
                                                          и удаление данных    и удаление данных
                                                          после расторжения    после расторжения
                                                          контракта            контракта

     прочих регуляторов обязательны к испол-                       достаточно соответствующих мер предо-
     нению.                                                        сторожности, в Китае аутсорсинг разрешен
        В Китае и Гонконге требования являют-                      только в юрисдикциях, где подписаны меж-
     ся относительно верхнеуровневыми, в ЕС –                      правительственные соглашения.
     детальными. В Сингапуре и США регулято-                          В ряде юрисдикций необходимо только
     ры создали методические рекомендации                          уведомление о заключении сделки на аут-
     (наиболее подробные из них – в США).                          сорсинг с риском материального ущерба
        Регулятор в Китае имеет наибольшую                         (например, в Сингапуре). В других юрис-
     степень вовлеченности в процесс исполне-                      дикциях установлена процедура согласо-
     ния требований. CBRC собирает максимум                        вания заключения сделки с регулятором –
     данных, согласовывает все значимые шаги                       например, в Гонконге (все финансовые
     своих поднадзорных организаций и готовит                      организации), США (субъекты страхового
     для них аналитику.                                            дела) и Китае (субъекты страхового дела
        Примечательно, что CBRC запреща-                           и биржи).
     ет аутсорсинг ключевых банковских си-                            Важной чертой рассмотренных рекомен-
     стем. С другой стороны, MAS, евро-                            даций является прозрачность аутсорсин-
     пейские и американские регуляторы                             га для финансового регулятора – с учетом
     не видят необходимости в запрете аутсор-                      надлежащего управления рисками участ-
     синга ключевых банковских ИТ-систем,                          ники рынка могут выстраивать цепочки
     если соблюдены все правила управления                         субподряда без права переложить ответ-
     операционными рисками. Такой же прин-                         ственность на третью сторону. При этом
     цип действует в отношении аутсорсин-                          финансовая организация обязана обеспе-
     га в третьих странах – в то время как для                     чить условия для эффективного проведе-
     большинства рассмотренных регуляторов                         ния аудита и надзорных мероприятий.
применение облачных технологий
                                                                       на финансовом рынке    17

4. Актуальные проблемы применения облачных
технологий на финансовом рынке в России
и предложения по созданию условий для
их развития

   На финансовом рынке в России су-            • отсутствие практики применения об-
ществует большое количество постав-              лачных сервисов у поднадзорных орга-
щиков облачных услуг, покрывающих                низаций;
потребности организаций в гибкой инфра-        • системный риск, возникающий в ре-
структуре, на которой развернуты соб-            зультате распространения облачных
ственные ИТ-системы (IaaS, PaaS), а также        решений ненадлежащего качества.
предоставляющих коробочные корпора-            В результате проведенного анализа
тивные ИТ-системы (SaaS). Из специфиче-      практик применения и регулирования об-
ских решений для сферы банковских услуг,     лачных технологий на финансовом рынке
массово поставляемых как сервис, на рын-     представляется целесообразным рассмо-
ке существуют предложения в сфере АБС,       треть следующие предложения по разви-
дистанционного банковского обслужива-        тию облачных сервисов на российском фи-
ния, процессинга и эквайринга платежных      нансовом рынке:
карт.                                          • согласование проектов и направлений
   В частности, ЦФТ в течение нескольких         работы Банка России в сфере развития
лет предоставляет услуги по аренде АБС,          открытых API, создания платформен-
развернутой на облачной инфраструктуре           ных решений, таких как маркетплейс
компании. Рокетбанк, предлагающий фи-            для финансовых услуг и продуктов, си-
зическим лицам услуги мобильного бан-            стемы быстрых платежей, системы пе-
кинга, приобретает у банков-партнеров ус-        редачи финансовых сообщений, и раз-
лугу формата BaaS.                               вития облачных сервисов;
   Применение облачных технологий на           • проведение анализа и определение
финансовом рынке Российской Федерации            состава облачных сервисов на финан-
связано с рядом рисков:                          совом рынке и регуляторных барьеров
   • отсутствие структурированной инфор-         для их развития;
     мации у участников рынка о перечне        • публикация лучших практик управле-
     доступных облачных сервисов и усло-         ния рисками аутсорсинга с применени-
     виях их использования;                      ем облачных технологий;
   • высокая стоимость перехода на об-         • создание типовых положений догово-
     лачные решения по причине исполь-           ров на аутсорсинг с учетом требований
     зования участниками рынка большо-           финансового регулятора к поставщику
     го количества программ собственной          ИТ-услуг, в том числе в области управ-
     разработки, а также глубокой кастоми-       ления рисками, аудита и надзора;
     зации унаследованных решений;             • стимулирование развития практики
   • отсутствие четко описанных регуля-          квалифицированного аудита и серти-
     торных ограничений к применению об-         фикации поставщиков услуг в сфере
     лачных сервисов;                            облачных технологий путем установ-
   • отсутствие механизмов валидации ка-         ления требований к договорам и зна-
     чества сервисов, предоставляемых            кам качества согласно уровню зрело-
     провайдерами облачных сервисов;             сти внутреннего контроля;
применение облачных технологий   4. Актуальные проблемы применения облачных технологий на финансовом
18   на финансовом рынке              рынке в России и предложения по созданию условий для их развития

     • определение целесообразности вве-              Успешная реализация данных инициа-
       дения специального режима надзора           тив создаст благоприятные условия для ин-
       за системно значимыми поставщика-           новаций в области облачных финансовых
       ми ИТ-услуг совместно с Минкомсвя-          услуг, основанных на стабильной, безопас-
       зью России.                                 ной и экономически эффективной инфра-
                                                   структуре.
применение облачных технологий
                                                                    на финансовом рынке    19

Заключение

  Ключевым фактором эффективности облачной инфраструктуры является возмож-
ность размещать в облаке капиталоемкие функции, такие как учетно-операционная дея-
тельность, подготовка обязательной отчетности и обеспечение безопасности.
   Для развития облачной инфраструктуры финансового рынка необходимо создать бла-
гоприятные условия с прозрачными и выполнимыми требованиями к управлению опера-
ционными рисками. В 2019 г. Банк России совместно с участниками финансового рынка
планирует рассмотреть вопросы, связанные с разработкой рекомендаций для финансо-
вых организаций в целях использования ими облачных технологий.
   Международный опыт показывает, что активное развитие облачных финансовых услуг
происходит в странах, где финансовый регулятор принимает меры, направленные на раз-
витие конкуренции. Важно отметить, что создание облачной инфраструктуры финансово-
го рынка делает необходимой гармонизацию отдельных направлений развития финансо-
вых технологий, что в первую очередь относится к развитию открытых API и технологий
RegTech, а также построению и развитию платформенных решений в финансовом секто-
ре.
   Стимулирование рынка облачных услуг ускорит развитие финансового рынка Россий-
ской Федерации, в ходе которого традиционные участники рынка и технологические ком-
пании будут искать оптимальное сочетание собственных компетенций и партнерских со-
глашений, позволяющее конкурировать за клиентов в условиях цифровой экономики.
применение облачных технологий
20    на финансовом рынке

     Вопросы для участников рынка

       1. В каких моделях предоставления об-      Обоснуйте выбранные вами варианты
     лачных услуг (IaaS, PaaS, SaaS, BaaS) вы   реализации облачных решений в указан-
     видите наибольший потенциал для участ-     ных сферах. На ваш взгляд, такой опера-
     ников финансового рынка?                   тор или поставщики должны быть госу-
       2. Какие из моделей предоставления       дарственными и (или) частными?
     облачных услуг вы используете? Приве-         4. Перечислите барьеры развития об-
     дите краткое обоснование, опишите пи-      лачных технологий на финансовом рынке
     лотные проекты и примеры внедрения.        (с аргументацией).
        3. В каких сферах применения облач-        5. Какие предложения по развитию об-
     ных технологий целесообразно использо-     лачных сервисов, содержащиеся в докла-
     вание единого оператора, а в каких – не-   де, наиболее перспективны для реализа-
     скольких поставщиков:                      ции и почему?
        • инфраструктурные услуги;                 6. Какие еще мероприятия по разви-
        • безопасность как услуга;              тию облачных сервисов с участием ре-
        • облачная среда для обмена данны-      гулятора / участников финансового рынка
          ми;                                   вы считаете целесообразными?
        • учетно-операционные сервисы;
                                                   7. Какие аспекты применения облач-
        • доступ к платежным сервисам;
                                                ных технологий должны быть отражены
        • шаблоны приложений на распреде-
                                                в рекомендациях Банка России по предо-
          ленных реестрах;
                                                ставлению соответствующих услуг участ-
        • RegTech-сервисы;
                                                никам финансового рынка?
        • супермаркет финансовых услуг;
        • торговая площадка облачных услуг.
применение облачных технологий
                                                                      на финансовом рынке    21

Приложения

Приложение 1.                                 • страна, в которой зарегистрирова-
                                                ны поставщик облачных услуг и его
Рекомендации                                    субпод­рядчики;
Европейской службы                            • факт аутсорсинга критически важных
банковского надзора (EBA)                       бизнес-операций;
                                              • оценка взаимозаменяемости постав-
   В июне 2018 г. EBA провела обществен-        щика облачного сервиса (легко, трудно
ные консультации по руководящим прин-           или невозможно);
ципам в отношении аутсорсинга функций         • альтернативный поставщик услуг.
поставщиков облачных услуг. С 1 июля
2018 г. данные рекомендации применяются     Взаимодействие с надзорным
к кредитным организациям, инвестицион-      органом при заключении
ным фондам и платежным организациям.        сделки
Анализ и планирование                         Компании должны информировать ком-
                                            петентные органы о том, каким сторонним
аутсорсинга                                 поставщикам облачных услуг передаются
   Организациям необходимо проводить        процессы компании. Информировать необ-
всестороннюю оценку рисков передачи         ходимо о следующем:
функций на аутсорсинг, возможности опе-       • наименование поставщика облачных
ративного реагирования на сбои, возмож-         услуг и наименование материнской
ные правовые и репутационные риски              компании (при наличии);
от наступления таких последствий. Компа-      • описание деятельности и данных, под-
ния также должна оценить риск материаль-        лежащих передаче внешнему постав-
ного ущерба и риск нарушения конфиден-          щику;
циальности данных.                            • страна или страны, где будет предо-
   Организация должна вести реестр ин-          ставляться облачная услуга (включая
формации о всех своих процессах, которые        местоположение данных);
были переданы сторонним поставщикам           • дата начала передачи процессов
облачных услуг. В данном реестре должна         на аутсорсинг и самая поздняя дата
содержаться как минимум следующая ин-           продления договора аутсорсинга.
формация:
   • тип аутсорсинга (модель облачного      Условия для осуществления
     сервиса и наличие публичной инфра-     аудита и надзора
     структуры);
                                               Поднадзорная    организация    должна
   • стороны, получающие облачные услу-
                                            иметь письменное разрешение со стороны
     ги в рамках соглашения об аутсорсин-
                                            поставщика облачных услуг на полный до-
     ге;
                                            ступ к служебным помещениям аутсорсин-
   • доказательства одобрения аутсорсин-
                                            говой компании, включая полный доступ
     га органом управления или его ответ-
                                            к устройствам, системам, сетям и данным,
     ственным уполномоченным;
                                            которые используются для предоставле-
   • наименование любых субподрядчиков,
                                            ния услуг, переданных на аутсорсинг, в том
     если такие есть;
                                            числе и для аудиторов клиента.
применение облачных технологий
22     на финансовом рынке
                                        Приложения

        В рекомендациях отмечается важность          и их обработкой, при работе со сторонними
     проведения аудиторской проверки постав-         поставщиками облачных услуг.
     щика облачных услуг. Учитывая то, что              Организация также должна обращать
     облачные решения имеют сложную тех-             внимание на субподрядчиков аутсорсин-
     нологическую структуру, клиент должен           говой компании и согласовывать цепоч-
     проверить, что сотрудники, проводящие ау-       ку оказания аутсорсинговых услуг только
     дит, обладают необходимыми навыками             в том случае, если субподрядчик соответ-
     и знаниями для проведения эффективного          ствует тем же требованиям, что и основной
     аудита.                                         подрядчик.

     Защита данных                                   План выхода
        Договор на аутсорсинг должен обязы-             Согласно рекомендациям EBA, необхо-
     вать поставщика услуг аутсорсинга защи-         димо предусмотреть план действий на слу-
     щать конфиденциальность информации,             чай непредвиденных обстоятельств и стра-
     передаваемой финансовой организацией.           тегию выхода из соглашения на аутсорсинг.
     В соответствии с руководящими принципа-         Организация должна планировать и осу-
     ми Комитета европейских банковских над-         ществлять меры по поддержанию непре-
     зирателей (CEBS) организациям следует           рывности своей деятельности в том слу-
     внедрять механизмы обеспечения непре-           чае, если предоставление услуги не может
     рывности услуг, предоставляемых постав-         быть исполнено должным образом. Дан-
     щиком.                                          ные меры должны включать планирование
        Как указано в руководящем положении          на случай непредвиденных обстоятельств
     CEBS, организация должна проявлять осо-         и четко определенную стратегию выхо-
     бую осторожность при работе с аутсорсин-        да. Также следует предусмотреть, чтобы
     говыми компаниями за пределами Европей-         при прекращении работы с аутсорсинго-
     ской экономической зоны из‑за возможных         вой компанией не было ущерба для непре-
     рисков защиты данных и возникающих              рывности и качества предоставляемых ус-
     рисков в области эффективного надзо-            луг своим клиентам. Для этого необходимо
     ра со стороны контролирующего органа.           разработать соответствующий «план выхо-
     Организация должна оценивать риски,             да» и определить возможные альтернатив-
     связанные с местоположением данных              ные решения.
применение облачных технологий
                                             Приложения
                                                                       на финансовом рынке    23

Приложение 2.                                 Также организация должна обеспечить на-
                                              личие сотрудников, обладающих необходи-
Рекомендации Управления                       мыми навыками, компетенциями и ресур-
по финансовому                                сами для надзора и проверки деятельности
регулированию и надзору                       сторонних провайдеров для мониторин-
                                              га и управления рисками, возникающими
Великобритании (FCA)                          в ходе работы с данным подрядчиком. Кро-
                                              ме того, необходимо убедиться, что суще-
   В 2015 г. FCA начало проводить кон-
                                              ствуют приемлемые механизмы разреше-
сультации по применению облачных реше-
                                              ния споров.
ний, после чего в 2016 г. была опубликова-
                                                 Аутсорсинговые услуги могут оказы-
на первая версия рекомендаций. В 2018 г.
                                              ваться с привлечением нескольких субпо-
была опубликована обновленная редакция,
                                              дрядчиков, и, если организация напрямую
в которой были отражены рекомендации
                                              не заключает договор с одной аутсорсин-
EBA.
                                              говой компанией, она должна рассмотреть
Анализ и планирование                         механизмы субподряда и определить,
                                              не запрещен ли этот вид деятельности для
аутсорсинга                                   данной организации.
   Финансовая организация должна управ-          Помимо прочего, организация должна
лять рисками, возникающими в результате       иметь комплекс мер по управлению изме-
перевода процессов на аутсорсинг:             нениями оказываемых ей услуг, а также
   • проводить оценку рисков, определять      понимать, как будет проводиться тестиро-
     меры по их устранению;                   вание изменений с целью снижения воз-
   • задокументировать       проведенную      можных рисков.
     оценку;                                     В части непрерывности бизнеса потре-
   • определять лучшие практики в от-         битель облачных услуг должен предусмо-
     расли, включая требования к системе      треть механизмы по обеспечению работы
     управления данными, управления ки-       своих процессов в случае возникновения
     беррисками, а также все регулятор-       сбоев на стороне аутсорсинговой компа-
     ные требования, применимые к его де-     нии. В том числе необходимо на регуляр-
     ятельности;                              ной основе проводить тестирование и об-
   • проверять, имеются ли юридические        новление механизмов функционирования
     и нормативные риски, если аутсорсин-     своих процессов, которые переданы аут-
     говая компания и сотрудники находят-     сорсинговой компании с целью повышения
     ся в разных юрисдикциях;                 их эффективности.
   • обеспечивать в рамках договора устра-
     нение контрагентом возникших нару-       Взаимодействие с надзорным
     шений и последствий прочих неблаго-      органом при заключении
     приятных событий.                        сделки
   Потенциальный потребитель должен
оценивать способность провайдера облач-         Руководство FCA не является обяза-
ных услуг придерживаться международных        тельным и носит рекомендательный харак-
стандартов и учитывать аттестацию или         тер, который должен являться сигналом
сертификацию соответствия стандартам,         для рынка о положительном отношении
в том числе ISO 27000.                        регулятора к инновациям. Аналогично Де-
   Организация-потребитель должна иметь       нежно-кредитному управлению Сингапу-
четкое представление о предоставляемой        ра FCA определяет облачные услуги как
услуге и о сфере ответственности со сво-      форму аутсорсинга. Использование орга-
ей стороны и со стороны поставщика услуг.     низацией облачных решений сохраняет ее
Вы также можете почитать