Miesięcznik Finansowy BANK: Współczesny konsument jest bardzo wymagający, oczekujący jednocześnie bezpieczeństwa, wygody i dostępności usług bankowych 24 godziny na dobę. Jak tworzyć narzędzia odpowiedzialne za procesy kredytowe, by być w stanie spełniać zarówno oczekiwania klienta, jak i wymogi regulacyjne?
Jakub Rabong: Mamy do czynienia z koegzystencją czterech interesariuszy: szeroko rozumianych regulatorów, klientów końcowych, banków jako instytucji finansujących i oczywiście dostawców rozwiązań informatycznych, którzy tworzą systemy zgodnie z wymaganiami banków. Ich współdziałanie na rzecz wyznaczenia i respektowania standardów nowoczesnej bankowości sprawia, że może być ona bezpieczna, prosta i przynieść korzyść każdemu z tych czterech podmiotów. Rzecz w tym, że w świecie online zapewnienie wysokiego poziomu bezpieczeństwa w obszarze kredytowym napotyka na szereg wyzwań. Przykładowo, mamy do czynienia z systemami, liczącymi sobie nawet po kilkanaście lat, które nie zawsze były należycie aktualizowane i dostosowywane do dynamicznie zmieniającej się infrastruktury. Skutkuje to pewnymi zaszłościami w najstarszych systemach banku lub ewentualnie w modelach oceny ryzyka kredytowego, które liczą zdolność kredytową i faktycznie bazują na danych historycznych. Powstałe mechanizmy czasami nie współgrają z obecnymi wymaganiami klientów, którzy oczekują, by formularz kredytowy był jak najprostszy, wychodząc z założenia, że bank ma pełną wiedzę na temat wnioskodawcy. Konsument oczekuje też, aby instytucja finansowa przejęła odpowiedzialność za bezpieczeństwo operacji wykonywanych w kanałach zdalnych.
Zarówno banki, jak i dostawcy systemów IT czy też regulatorzy muszą sprostać tym oczekiwaniom, co nie jest łatwym wyzwaniem, zwłaszcza że współczesny konsument chciałby, żeby jego wniosek był rozpatrywany jak najszybciej, a najlepiej w czasie rzeczywistym. Aby osiągnąć ten cel, należy tak skrócić łańcuch dostaw rozwiązań technologicznych, żeby przenieść odpowiedzialność na niższe kanały i móc wdrażać je mniejszymi partiami, w mniejszym zespole, ale częściej. Wtedy nie mamy wielkich, kilkuletnich wdrożeń danego usprawnienia, tylko dzielimy je na dwutygodniowe sprinty, a po ich zakończeniu dostarczamy wersję do banku w celu weryfikacji postępu prac. Dzięki temu jesteśmy w stanie dostarczać funkcjonalności systemu szybciej, częściej i z wykorzystaniem mniejszych zasobów. W świecie IT i po stronie ekspertów banku jest coraz większe zapotrzebowanie na specjalistów w określonej dziedzinie, czy to w zakresie ryzyka kredytowego, modelowania produktów czy też procesów. Dlatego idealnym remedium jest podzielenie dużych projektów na mniejsze części realizowane przez specjalistyczne zespoły.
Przy tak wysokim zaawansowaniu technologicznym architektury IT w bankach nietrudno o dług technologiczny. Jak ograniczyć ten problem, także w kontekście koegzystencji nowego elementu infrastruktury z dotychczasowymi systemami, które mogą pochodzić sprzed kilku czy nawet kilkunastu lat?
Wachlarz produktów VSoft to kilkanaście konektorów do baz informacyjnych, które istnieją w Polsce i są wiodącymi graczami jeżeli chodzi o dostarczanie danych czy to od strony klienta, transakcji czy też ewentualnie weryfikacji pewnych działań fraudowych. Posiadamy również doświadczenie w integracji z kilkudziesięcioma różnymi innymi mniejszymi podmiotami. Takich baz jest naprawdę wiele na rynku, a podmioty, które je udostępniają funkcjonują już szereg lat dostarczając strukturę danych, która jest usystematyzowana, kompletna i dobrej jakości. Jeżeli chodzi o połączenia do zewnętrznych baz danych, udostępnianych przez podmioty, z którymi jako VSoft współpracujemy, możemy je podzielić na te, które obecnie uważamy jako krytyczne dla nowoczesnego procesu kredytowego, np. BIK, Kontomatik, oraz na takie, które wspierają ocenę klienta czy też transakcji, np. baza nowych firm, moduł MPA. Natomiast odmienna sytuacja jest w przypadku gdy bank czy inna instytucja finansowa chce zintegrować nowoczesne narzędzia z aplikacjami, które mają kilkanaście lat i nie były aktualizowane – a to często przy realizacji dużych projektów jest wyzwaniem dla obu stron – zarówno dla instytucji, jak i dla dostawcy IT. Konieczna jest przy tym nie tylko sama migracja do nowszej wersji, ale również przegląd istniejących procesów i dostosowanie ich kształtu do nowych rozwiązań.
Struktura danych jest mniej więcej zawsze taka sama, tzn. mamy obiekty klientów, obiekty produktów, zabezpieczeń oraz pewne kwestie związane z dokumentacją, kartotekami klientów oraz kartotekami pracowników. Oczywiście w każdej instytucji jest to inaczej opisane i różnią się relacje pomiędzy aplikacjami w strukturze bazodanowej, natomiast logika biznesowa jest przeważnie jednakowa. Uzgodnione wymagania biznesowe oraz posiadana dokumentacja techniczna to podstawa do poprawnej i szybkiej implementacji rozwiązania dla naszych klientów. Wtedy migracja jest de facto bezbolesna. Jako VSoft mamy bogate doświadczenie w integracji z systemami centralnymi w bankach. Stąd wiemy, jakie dane się tam znajdują oraz jakie usługi są udostępniane.
Wyzwaniem dla klienta jest określenie, co chciałby mieć w nowym systemie, jakie dane, w jaki sposób je zmigrować oraz co poprawić w poszczególnych etapach migracji. Oprócz tego ważnym aspektem są także zgody na przetwarzanie danych, czy są aktualne, czy jednak z uwagi na RODO musimy je zaktualizować, a jeśli tak, to w jaki sposób. Takich elementów implementacyjnych jest bardzo dużo. Do tego dochodzi kwestia, czy przenosimy tzw. klientów nieistniejących, czyli kartoteki nieistniejące i zamknięte produkty, oraz decyzja co z nimi robimy, jeżeli nie zostaną przeniesione. W ramach naszych prac dzielimy to na kilka punktów, które przechodzimy po kolei z klientem, każdy z nich uzupełniamy, precyzujemy i dopiero wtedy mamy pełny obraz sytuacji, co robić z danym systemem.
Informacja kredytowa jest pozyskiwana z bardzo różnych źródeł. Na ile systemy kredytowe są w stanie w sposób zautomatyzowany agregować i weryfikować wiedzę, która może pochodzić ze wspomnianych przez pana zaufanych baz, ale również np. z mediów społecznościowych?
Systemy, które oceniają ryzyko nadużyć, są dzielone na dwie warstwy. Pierwsza, automatyczna, w której banki mające określone wymagania w tym zakresie, integrują się z dostawcami rozwiązań ograniczających ryzyko np. fraudów, weryfikują klientów w zakresie onboardingu, czy też udostępniają rozwiązania podpisania dokumentacji całkowicie online lub sterują wypłatami środków. Druga warstwa to czynności, które są monitorowane przez pracowników i zarządzane w sposób hierarchiczny. Część elementów zarządzana jest z poziomu parametrów biznesowych/technicznych, a część poprzez modyfikację algorytmów w systemach np. low-code, takich jak VSoft archITekt. Ostatnim obszarem, niezwykle ważnym w dzisiejszych czasach jest obszar ekspertów cyberbezpieczeństwa, którzy monitorują stopień penetracji systemów innymi systemami oraz pewnych elementów, które w kanale online są szczególnie ważne. Obecnie obserwujemy nie tylko zdarzenia, które dzieją się automatycznie, np. podstawianie fałszywych stron banków, przejmowania kodów BLIK, przejęcia kontroli nad lub podszywanie się za konsultantów telefonicznych. Dla części elementów działania podejmowane są w zasadzie w ciągu kilku milisekund, a dla części uruchamiane są działania zapobiegawcze czy też weryfikacyjne.
Jak zatem powinien wyglądać proces wdrażania takich rozwiązań, bo jest to przecież pewnego rodzaju innowacja dla banku? Chodzi nie tylko o uniknięcie luki cyberbezpieczeństwa, ale i o to, by niespodziewanym przestojem nie narazić na szwank reputacji instytucji…
Zawsze podkreślam, że jeden wykryty albo – co gorsza – niewykryty fraud lub nadszarpnięta reputacja wskutek jakichś luk czy uchybień to o wiele większy koszt dla banku niż zainwestowanie w dobrego dostawcę, który wdroży pewne procesy i rozwiązania. Skutki zepsutej reputacji, utraty danych czy działalności przestępczej, którą bank wykryje za późno albo nie wykryje wcale, mogą być bardzo poważne i długotrwałe. I tutaj nie tylko VSoft, ale także inne podmioty, które są ekspertami w dziedzinie cyberbezpieczeństwa, podkreślają, że musimy przewidywać działania przestępcze, co jest o tyle trudne, że liczy się czas reakcji, ten łańcuch pomiędzy wykryciem, analizą, implementacją i zabezpieczeniem w banku. Ten proces bywa często zbyt długi, a trzeba pamiętać, że przestępcy działają bardzo szybko. Dlatego tak istotne jest, aby proces wdrożeniowy był jak najszybszy, ale i jak najbardziej zabezpieczony.
Po 16 latach kreowania procesów w instytucjach finansowych, przyszedł czas na zmiany i przeniesienie do branży IT, w której jednak pozostały zamiłowania do żeglarstwa, testowania gier (głównie z serii Battlefield) i wioślarstwa – ergometr przydaje się w garażu jak nigdy wcześniej w tych czasach.