Bankowość i Finanse | Technologie | Low-code/no-code: gdzie jesteśmy, dokąd zmierzamy?
Upowszechnienie tzw. citizen development, czyli tworzenia aplikacji przez pracowników spoza działów IT, w szczególności biznesowych, nie jest jedyną korzyścią, związaną z przejściem instytucji finansowej na platformy typu low-code i no-code (LCNC). Mamy wszak do czynienia z gruntowną zmianą paradygmatu, której efektem będzie przede wszystkim eliminacja silosowych struktur i ograniczenie negatywnego wpływu długu technologicznego na funkcjonowanie organizacji. To z kolei daje podstawę do pełniejszego uwzględnienia metodyk zwinnych, niezbędnych, by współczesne banki były w stanie stawiać czoło ambitnym startupom czy graczom z rynku bigtech.
O tym, jak rozwiązania niskokodowe i bezkodowe mogą wpłynąć na dalszy przebieg digitalizacji branży bankowej, także w kontekście bezpieczeństwa teleinformatycznego instytucji finansowych czy też specyficznych uwarunkowań prawno-regulacyjnych dla tej branży, jak również o prawidłowym kształtowaniu relacji pomiędzy dostawcą technologii a bankiem dyskutowano podczas debaty eksperckiej „Miesięcznika Finansowego BANK”, zatytułowanej „Kiedy bankowiec staje się programistą. Rola aplikacji low-code i no-code w transformacji cyfrowej instytucji finansowych”. Dyskusję moderował Paweł Minkina, redaktor naczelny miesięcznika i wiceprezes Centrum Procesów Bankowych i Informacji, a partnerem debaty była firma ServiceNow.
160 aplikacji w cztery lata
To, że sektor finansowy powinien podlegać ustawicznej transformacji cyfrowej, wykorzystując w tym celu nowe możliwości, jest kwestią oczywistą. W tym kontekście, jak zauważył Paweł Minkina, kluczowe jest pytanie, jak kreować ścieżkę rozwoju instytucji, by rozwiązania typu LCNC stały się istotnym elementem strategii banku, przynosząc zarazem wymierną korzyść biznesową. Kluczowym wyzwaniem dla współczesnych instytucji finansowych jest kreowanie szeroko rozumianego doświadczenia klienta, obejmującego nie tylko intuicyjny interfejs czy przyjazną formę komunikacji, ale kompleksową strategię, pozwalającą tradycyjnym bankom konkurować z ofertą fintechów czy neobanków – podkreślił Tomasz Kołodziejak, przedstawiciel ServiceNow, powołując się na rezultaty badań firmy doradczej Forrester Research. To z kolei stawia przed bankami całkiem nowe wymogi w obszarach takich jak szybkość i zwinność działania, skalowalność procesów, ale również zarządzanie długiem technologicznym, który nie zawsze powinien być postrzegany jedynie jako problem. – Trzeba nauczyć się jak najlepiej wykorzystywać już poczynione inwestycje w technologię – dodał Tomasz Kołodziejak.
Wsparciem w realizacji tych wszystkich zadań może być tworzenie nowych czy też modyfikacja istniejących aplikacji przez pracowników niezwiązanych z departamentami IT. Adam Kopiński, przedstawiciel ServiceNow, podał przykład jednego z polskich banków, w którym departamenty biznesowe przygotowały aż 160 aplikacji niskokodowych i bezkodowych na przestrzeni zaledwie czterech lat. Przedstawiciele podmiotów, korzystających z tego rodzaju rozwiązań, wskazują przede wszystkim na możliwość adaptacji do indywidualnych potrzeb nie tylko banku, ale wręcz jego poszczególnych departamentów. Dzięki wdrożeniom LCNC działy IT mogą się skoncentrować na tworzeniu kompleksowych ram dla funkcjonowania środowiska informatycznego tak, by poszczególne jego komponenty współpracowały ze sobą i nie generowały wzajemnych zakłóceń. To ma kluczowe znacznie nie tylko z punktu widzenia tworzenia kolejnych aplikacji, ale przede wszystkim z uwagi na ich późniejsze utrzymanie.
Piotr Skopiński, dyrektor Wydziału Rozwiązań Cyfrowych w Banku Millennium, zwrócił uwagę na możliwe, fatalne konsekwencje braku nadzoru nad kreatywnością citizen deweloperów ze strony departamentu IT. Nietrudno sobie wszak wyobrazić sytuację, kiedy za tworzenie aplikacji odpowiada de facto jeden pracownik pionu biznesowego, wówczas jego odejście z pracy skutkowałoby faktyczną utrata wsparcia dla wypracowanych rozwiązań. – Dlatego stosujemy zasadę, że po przekroczeniu pewnej skali wykorzystania aplikacji, w tym rozejściu się jej na większą liczbę zespołów, odpowiedzialność za jej utrzymanie przejmuje departament IT – zauważył reprezentant Banku Millennium.
Za przyjęciem takiego podejścia przemawiają również względy regulacyjne i compliance. Chodzi o to, by nie utracić nadzoru nad realizacją określonych procesów, który mógłby wiązać się z zagrożeniem dla ciągłości działania czy powtarzalności – nadmienił Paweł Gula, prezes zarządu spółki VerdIT. Jego zdaniem, LCNC może odegrać nieocenioną rolę w kreowaniu rozwiązań optymalizujących powtarzalne procesy wewnętrzne, podczas gdy komponenty krytyczne dla ciągłości działania, w rodzaju systemów corowych, powinny pozostać domeną tradycyjnego modelu dostarczania rozwiązań.
Plusy i minusy citizen development
Celem wdrożeń niskokodowych powinno być nie tylko niwelowanie deficytów kadrowych w obszarze IT, ale również optymalne wykorzystanie posiadanych zasobów ludzkich – sugerował Łukasz Ładziak, dyrektor Biura Rozwoju Aplikacji Biznesowych w PKO Banku Polskim. Jego zdaniem, angażowanie wykwalifikowanych programistów w realizację prostych procesów, których w instytucjach finansowych nie brak, oznaczałoby czyste marnotrawstwo. Użycie komponentów niskokodowych w takich przypadkach pozwala na szybkie zautomatyzowanie tych działań. Z kolei aplikacje bezkodowe powinny być domeną pionów biznesowych, które korzystałyby z nich pod nadzorem ze strony departamentów IT. – Biznes nie powinien w ogóle zajmować się kodowaniem, gdyż skutkowałoby to ryzykiem utraty kontroli nad tymi procesami przez departamenty IT – dodał przedstawiciel największego polskiego banku.
Kluczową rolę narzędzi LCNC w usprawnieniu szeregu procesów pomocniczych dostrzegają również instytucje otoczenia okołobankowego. Jacek Więcki, dyrektor Departamentu Strategii i Rozwoju IT w KIR podkreślił, iż wszelkie tego typu działania powinny być odpowiednio opisane, zdefiniowane i przewidywalne, by spełniać wymogi określone w regulacjach. Automatyzacja tego obszaru przy użyciu rozwiązań niskokodowych umożliwia znaczące odciążenie pionów odpowiedzialnych za development, dzięki czemu mogą się one skupić na zadaniach najistotniejszych. Maciej Jeruzal, dyrektor Biura Automatyzacji Procesów w Departamencie Transformacji Cyfrowej Nest Banku, wskazał, iż upowszechnienie citizen development może skutkować łatwiejszymi relacjami na linii biznes – IT. – Dopóki nie dysponowaliśmy rozwiązaniami low-code, zawsze był problem z tłumaczeniem języka biznesowego na język IT – podkreślił przedstawiciel Nest Banku. Ma to znaczenie również i z tej perspektywy, że wielu przedstawicieli pionów biznesowych nie najlepiej odnajduje się w sferze stricte technicznej.
Na możliwość zmiany tego paradygmatu poprzez wdrażanie LCNC wskazywał też Piotr Skopiński, jego zdaniem, jest to warunek niezbędny, by tradycyjne instytucje finansowe były w stanie rywalizować z fintechami, których kadrę aż w 80% stanowią fachowcy z obszaru IT, podczas gdy w bankowości proporcja jest odwrotna – na 10 zatrudnionych aż siedem osób przypada na sferę biznesu. Tymczasem oczekiwania względem sektora zmierzają w kierunku większego udziału produktów zaawansowanych technologicznie. – Żeby konkurencja była wyrównana, musimy wyrównać proporcje ludzi świadomych technologicznie, rozumiejących technologie – dodał reprezentant Banku Millennium. Bez tego, jak podkreślał Jacek Więcki, trudno mówić o skutecznej komunikacji pomiędzy pionami odpowiedzialnymi za biznes i IT. – Mam doświadczenia z kilku banków i wiem, że język naturalny, opisujący potrzebę biznesową, zawsze w jakimś stopniu odstaje od sfery technicznej – dodał przedstawiciel KIR. Jego zdaniem, zbyt optymistyczne byłoby przyjęcie założenia, iż każdy dział biznesu będzie w stanie realizować działania technologiczne. Jacek Więcki wskazał na inne wyzwanie, wiążące się z tą sferą. – Jeśli biznes zbytnio skupia się na sferze IT, nie jest w stanie poświęcić się aspektom stricte biznesowym – ocenił przedstawiciel KIR.
LCNC: jeszcze usługa, czy już produkt?
Choć wdrożenie rozwiązań niskokodowych daje bankom całkiem nowe możliwości, to jednak idea citizen development nie jest nowa. – Po prostu zaczynamy ją wykorzystywać w znacznie większym stopniu aniżeli jeszcze kilka lat temu – zauważył Adam Kopiński. Jego zdaniem, o używaniu LCNC w bankowości można mówić de facto od czasu, kiedy bankowcy zaczęli tworzyć własne skrypty, posługując się aplikacją Excel. – Różnica między tamtymi a obecnymi doświadczeniami jest taka, że im powszechniejsze użycie narzędzi nisko- i bezkodowych, tym większe skutki niesie ono nie tylko dla danego departamentu, ale również klienta końcowego – akcentował reprezentant ServiceNow.
O tym, jakie wyzwania mogą być adresowane poprzez wdrożenia LCNC, opowiadał Mateusz Stefański, dyrektor Departamentu Architektury, Ciągłości Działania i Ryzyka IT w Alior Banku. Pierwszym z nich jest wyposażenie w nowoczesne rozwiązania wszystkich tych stanowisk pracy, które dotychczas bazowały na arkuszach Excela. Jest to wskazane również ze względu na wymogi prawne, jakie narzuciła na banki Rekomendacja D w zakresie zarządzania ryzykiem modeli. – To jest przestrzeń, która pozwala usprawnić przekazanie biznesowi pełnych kompetencji do tworzenia warstwy personalnej automatyzacji, personalnego LCNC i zbudowania rejestrów, co pozwala nam zarządzać dynamiką zmiany – zapewnił przedstawiciel Alior Banku.
Równie istotnym zadaniem dla low-code może być usprawnienie pracy grupowej poprzez dostarczenie łączników dla tzw. procesów przerwanych, gdzie kontynuacja działania pomiędzy poszczególnymi etapami możliwa była dotąd tylko dzięki fizycznej interwencji człowieka. Ostatni, najbardziej zaawansowany etap wyznaczają platformy, dzięki którym można tworzyć rozległe aplikacje. Mariusz Sudoł, dyrektor Departamentu Compliance w Nest Banku, akcentował znaczenie citizen development dla eliminacji struktur silosowych, które wraz ze wdrażaniem narzędzi LCNC i nowej metodyki pracy sukcesywnie ustępują miejsca interdyscyplinarnym zespołom. Równocześnie jednak należy brać pod uwagę ryzyka towarzyszące tej formule współpracy pomiędzy bankami a dostawcami technologii, szczególnie w kontekście prawno-regulacyjnym. – W kontekście prawnym należy rozstrzygnąć, czy to, co otrzymujemy od dostawcy, jest tylko usługą, czy już pewnego rodzaju produktem – zwrócił uwagę przedstawiciel Nest Banku.
Z przyjęciem właściwej klasyfikacji wiążą się określone skutki natury prawnej, jako że dostawca produktu przejmuje odpowiedzialność za rezultat jego wdrożenia. Mariusz Sudoł powiedział, że obecne przepisy nie ułatwiają zadania, nie definiują bowiem precyzyjnie, jak traktować taką usługę. – Sądzę, że kwestia ta powinna być zaadresowana poprzez właściwe uregulowanie w umowie. W bankowości mamy obowiązek sformalizowanego podejścia do zasad zarządzania ryzykiem bankowym – przestrzegał przedstawiciel Nest Banku. Kwestie te nabierają szczególnego wymiaru w obliczu wejścia w życie rozporządzenia DORA, które w pewnych zakresach niejako konsumuje dotychczasowe postanowienia Rekomendacji D i podnosi ich znaczenie w kontekście ich charakteru prawnego: o ile odstępstwo od rekomendacji, będącej regulacją miękką typu soft law, jest pewną nieprawidłowością, którą można jednak próbować tłumaczyć lub uzasadniać w myśl zasady comply or explain, to niespełnienie wymogów bezpośrednio skutecznego rozporządzenia DORA będzie jednoznacznym twardym naruszeniem prawa unijnego i bez porównania będzie traktowane bardziej surowo.
Dla kogo low-code, dla kogo no-code?
Dodatkowym czynnikiem, istotnie zmieniającym zakres odpowiedzialności obu partnerów, jest równoległy trend do migracji chmurowej, nadmienił Piotr Skopiński. Zdaniem Jacka Więckiego, z punktu widzenia takich regulacji jak DORA czy NIS2 najważniejsze będzie zapewnienie rozliczalności tego rodzaju wdrożeń, zarówno jeśli chodzi o dane, jak i bezpieczeństwo. – Rozwiązaliśmy ten dylemat przez budowanie centrów kompetencyjnych – powiedział Mateusz Stefański. Zwrócił uwagę, iż platforma LCNC stanowi swego rodzaju odmianę chmury publicznej, dlatego ma do niej zastosowanie zarówno tzw. komunikat chmurowy KNF, jak i standard Polish Cloud 2.0. Drugim elementem jest centrum kompetencyjne low-code, który służy jako wsparcie dla działań biznesowych. Do tego wszystkiego dochodzi trzeci, najbardziej skomplikowany element, czyli zbudowanie dobrego governance danych. Chodzi o doprecyzowanie dostępu do określonych zasobów danych dla określonych procesów biznesowych.
Przedstawiciel Alior Banku podkreślał, iż zadanie to jest znacznie bardziej problematyczne, jeśli dotyczy danych nieustrukturyzowanych. Generalnie kwestia zarządzania danymi, także w kontekście LCNC, wywołuje największe kontrowersje. – Nie możemy wdrożyć low-code i dać do niego dostępu wszystkim jednostkom biznesowym, musi być nad tym jakaś kontrola, swoiste centrum kompetencyjne – podkreślił Maciej Jeruzal. Jego zdaniem, taki zespół musi łączyć w sobie elementy biznesu i IT, równocześnie znajdując się niejako pomiędzy tymi obszarami, by móc nadzorować zarówno proces wytwórczy, migracje między środowiskami, jak i procesy wdrożeniowe.
Piotr Skopiński sugerował, że znacznie bardziej restrykcyjne podejście należy stosować w przypadku wdrażania rozwiązań LCNC dostępnych dla klientów, aniżeli w procesach wewnątrzbankowych. Jego zdaniem, bezpieczeństwo powinno być zapewniane w ramach procesu produkcyjnego, niezależnie od tego, czy posługuje się on narzędziami niskokodowymi, czy tradycyjnie tworzy aplikacje. Na specyficzne wyzwanie, towarzyszące citizen developmentowi, wskazał Łukasz Ładziak. – Proces produkcyjny może być właściwy, ale w samej platformie LCNC mogą być podatności, nad którymi nie mamy kontroli, bo jako klient czy użytkownik nie tworzymy tej platformy. Nie mamy nawet prawa do tego kodu, i to jest pewne wyzwanie w zakresie odpowiedzialności – przestrzegał reprezentant PKO Banku Polskiego.
I tu ponownie należy się odwołać do regulacji, na co zwrócił uwagę prezes zarządu VerdIT. – Część zadań jesteśmy w stanie przekazać użytkownikom biznesowym na platformie LCNC, do pozostałych z nich mogą mieć zastosowanie procedury bankowe, które są determinowane koniecznością spełnienia wymogów regulacyjnych – dodał Paweł Gula. Te ograniczenia oczywiście nie implikują popadania w skrajną ostrożność. Wręcz przeciwnie, są obszary, gdzie znaczące uproszczenie i przyspieszenie działania z wykorzystaniem LCNC nie generuje wyzwań regulacyjnych. Dlatego właśnie domeną LCNC powinny być w pierwszej kolejności działania proste i powtarzalne, bowiem – jak przypominał Łukasz Ładziak – nawet pozornie proste korekty w skomplikowanych systemach nie powinny być traktowane jako prosta zmiana elementu, gdyż powiązana z nim logika biznesowa nierzadko sprawia, iż ruszenie jednego tylko składnika powoduje trudne do oszacowania konsekwencje, żeby ich uniknąć, trzeba dokonać gruntownych zmian w różnych segmentach kodu.
Biznes i IT to w dalszym ciągu odrębne światy
Biznes staje się coraz bardziej świadomy technologicznie, a wykorzystanie rozwiązań niskokodowych wspiera transformację banków w kierunku zwinnym, zorientowanym na produkcie i wartości, a nie na projektach. Nie oznacza to oczywiście zatarcia podziałów odpowiedzialności pomiędzy biznesem i pionami technologicznymi – zaznaczył Piotr Skopiński. Jego zdaniem, w dalszym ciągu należy rozróżniać te dwie sfery, gdyż każda z nich ma swoje zadania, ważne, by ludzie odpowiedzialni za oba obszary rozumieli się wzajemnie. Zdaniem Mariusza Sudoła, jednym z istotnych atutów rozwiązań niskokodowych jest pozostawienie sporej części kompetencji i projektów po stronie banku, zaś dostawcy technologii winni być partnerem w działaniach edukacyjnych dla zespołów bankowych. Należy wreszcie pamiętać, iż dzisiejszy biznes bankowy różni się od tego sprzed dekady – pandemia przyspieszyła migrację do kanałów zdalnych, same produkty też ewoluują w kierunku cyfrowym.
Adam Kopiński zauważył, iż obecnie mniej niż połowa aplikacji zawiera usługi stricte bankowe, same zaś instytucje finansowe stały się dostawcami innego rodzaju dóbr, jak różnego rodzaju produkty wspierające funkcjonowanie we współczesnym świecie. Takim przykładem wskazanym przez Piotra Skopińskiego jest BLIK, który powstał z potrzeby prostego dokonywania płatności i przesyłania pieniędzy. Jacek Więcki odniósł się z kolei do usługi cyfrowej tożsamości i podpisu cyfrowego, które pozwalają na elektroniczną realizację procesów wspierających klienta end-to-end w celu identyfikacji lub podpisu w formie odręcznej – jak to odbywało się jeszcze niedawno przed pandemią, obecnie dynamicznie rozwijanych przez KIR i upowszechnianych m.in. przez banki.
W dalszej części dyskusji nie mogło zabraknąć odniesienia do potrzeby świadomości pracowników w zakresie cyberzagrożeń, gdyż – jak podkreślali uczestnicy spotkania – najsłabszym punktem w systemie jest nadal człowiek.