Wywiad z Bartłomiejem Knapikiem, Release & Platform Managerem w FINGO odpowiedzialnym za rozwój platformy SaaS do sprawozdawczości regulacyjnej.

Co ma wspólnego mydło i śrubka do rakiety kosmicznej z konserwatyzmem technologicznym w branży fintech? Jak chmura obliczeniowa może pomóc tym bankowcom, którzy mniej patrzą na funkcjonalności, parametry czy moc obliczeniową, a bardziej chcą “świętego spokoju”? O tym, i nie tylko, w rozmowie z Bartłomiejem Knapikiem, Release & Platform Managerem odpowiedzialnym za rozwój platformy SaaS FINGO Systems.

Podczas jednej z naszych pierwszych rozmów, kiedy starałem się zrozumieć jaką wartość dostarczamy klientom, porównałeś nasze oprogramowanie do środków czystości.

Firmy korzystają z naszych produktów dlatego, że muszą. Są przydatne, bezpieczne, niezawodne i niezbędne w pracy. Trochę jak z mydłem: jest niezbędne właściwie dla każdego, ciężko sobie wyobrazić funkcjonowanie bez niego, ale raczej plakatu z nim na ścianie nikt wieszał nie będzie.

Nasze rozwiązania dostępne są obecnie w chmurze, a klienci korzystają z nich w ramach usługi SaaS. Jak dziś nazwałbyś to, co oferujemy klientom?

Święty spokój!  Chodzi o to, aby pracownik banku, który jest ekspertem od księgowości, nie musiał być również ekspertem od security, sieci IT i utrzymania systemów. Ma się zalogować i zrobić swoje – bez ciągłego wsparcia administratora, aktualizacji oprogramowania i zakupów coraz mocniejszego sprzętu. Zatem „święty spokój” jest tym, co staramy się dostarczać.

Mówimy o kilku aplikacjach, z których korzysta ponad 500 instytucji finansowych. Skąd pomysł, aby to wszystko przenieść do chmury?

System, z którego przez kilkanaście lat korzystali nasi klienci, ma swoje korzenie w czasach upadku Lehman Brothers. Na początku wprowadzania regulacji klienci musieli składać dwa sprawozdania XBRL z kluczowymi danymi. Dziś jest to o wiele bardziej złożone, a sposób przygotowywania sprawozdań różni się w zależności od typu instytucji finansowej i raportu. Wśród nich są zarówno stosunkowo niewielkie dokumenty, które dostarczane nadzorcom codzienne, jak również obszerne roczne sprawozdania zawierające dużą liczbę danych. Im większy bank, tym więcej rzeczy nadzorcy chcą o nim wiedzieć.

W dodatku tych nadzorców jest kilku, a regulacje regularnie się zmieniają i powstają nowe. W efekcie administrowanie oprogramowaniem nadążającym za tymi zmianami robi się problematyczne. W banku instalowaniem i aktualizacją oprogramowania zajmuje się administrator, który ma masę obowiązków. Aplikacja, która wymaga ciągłej uwagi, aktualizacji i modernizacji sprzętu zajmuje mu cenny czas. W efekcie u klientów, których mamy setki, muszą być setki administratorów. Do tego dochodzi regularna wymiana sprzętu. Po zsumowaniu robi się spory koszt.

A w sprzęt nie da się inwestować w nieskończoność.

W końcu przychodzi moment, że sprzęt jest słaby, wymagania są coraz większe, zaczynają się problemy z wydajnością, a pracownik, który ma obsługiwać system czeka i czeka zanim coś mu się przeliczy. To jest oczywiście skrajny przypadek, bo monitorujemy czasy różnych operacji. Jednak aby nie doprowadzać do takiej sytuacji w przypadku aplikacji desktopowych musimy podnosić wymagania sprzętowe nadążając za coraz nowymi wymaganiami.

Na chmurze to my przejmujemy od klienta temat wydajności. Skalowanie w górę i w dół jest relatywnie proste i nie angażuje admina w banku, bo admini są u nas. Monitorujemy wydajność aplikacji, sprawdzamy parametry, w razie potrzeby podbijamy wirtualną maszynę w minutach lub dziesiątkach minut bez konieczności przechodzenia przez cały proces zakupowy, instalacji, konfiguracji sprzętu itd. Efekt w porównaniu do zakupu nowych komputerów czy serwerów jest właściwie natychmiastowy. Pracownik wykonuje swoją pracę szybciej, może jej wykonać więcej albo skupić się na bardziej skomplikowanych rzeczach.

Ale to jest również duże wyzwanie od strony biznesowej. Przejście na chmurę i zaoferowanie klientom usługi SaaS wiąże się z przejęciem odpowiedzialności za wiele kwestii, które do tej pory należały do banku. Dlaczego uznaliście, że warto?

W filmie, który bankowcy będą znali bardzo dobrze, “Margin call” prezes banku dowiaduje się, że sytuacja w firmie jest tak krytyczna, że za chwilę strata może przewyższyć wartość przedsiębiorstwa. Pyta więc ludzi od zarządzania: co możemy z tym zrobić? Ponieważ nie ma prostych rozwiązań, zapada cisza. Słyszymy wtedy, że „W tym biznesie są trzy sposoby na sukces: być pierwszym, być mądrzejszym albo oszukiwać. Ja nie oszukuję i chociaż wydaje mi się, że mamy w firmie bardzo mądrych ludzi, to najprościej jest być po prostu pierwszym.” I tak właśnie było w naszym przypadku.

Ale trzeba jeszcze uwzględnić perspektywę klienta i jego potrzeby.

W Polsce wielu o tym myślało, ale nikt nie oferował takich rozwiązań w chmurze publicznej. Chcieliśmy więc zrobić technologiczny skok, przesiadając się z tradycyjnej aplikacji desktopowej, która ma kilkanaście lat, w nową działającą w przeglądarce internetowej. Chcieliśmy, żeby nasi klienci jako pierwsi dostali taką ofertę, ponieważ od kilkunastu lat dostarczamy im nie tylko oprogramowanie, aktualizacje i pełne wsparcie techniczne, ale również szereg dodatkowych usług, które często wykraczają poza zakres standardowej oferty.

Wiedzieliśmy, że tym razem musimy zaoferować coś więcej niż tylko nowszą wersję aplikacji. A coś więcej to jest nie oferować aplikacji w ogóle.

Jak to nie oferować aplikacji?

Teraz naszym klientom oferujemy usługę. Po zalogowaniu do niej klienci w wygodny sposób realizują swoją potrzebę biznesową. Nie przejmują się tym, czy mają najwyższą wersję aplikacji, czy mają wystarczająco dobry komputer, czy powinni dodać do niego więcej RAM-u, bo doszły nowe sprawozdania, które są ogromne i wymagają dużo większej mocy obliczeniowej. Aby to wszystko osiągnąć, trzeba przeskoczyć między aplikacją desktopową a webową i zaoferować od razu usługę chmurową.

...która ma swoich zwolenników i przeciwników. Nie obawialiście się, że rynek nie jest jeszcze na to gotowy?

Konserwatywne podejście części branży finansowej jest spowodowane troską o bezpieczeństwo. Wiedzieliśmy, że wchodzimy w coś, co się sprawdza, bo istnieją już firmy, które oferowały rozwiązania chmurowe. My chcieliśmy być po prostu pierwsi w naszym segmencie i tej części świata.

Mówimy o systemie rozwijanym przez 16 lat, na który składa się kilka aplikacji i kilkanaście funkcjonalnych modułów, obsługujących ponad sto rodzajów sprawozdań dla różnych nadzorców.  

Jako organizacja długo dojrzewaliśmy do tej decyzji. Pierwszy krok postawiliśmy pięć lat temu, kiedy nasi senior developerzy podzielili kod na moduły, oddzielając frontend od backendu, żebyśmy mogli myśleć o aplikacji webowej. Od tej pory nowe moduły były tworzone w nowych technologiach, ale stara aplikacja wciąż była tak zwaną desktopówką. Kolejny krok zrobiliśmy, wydając jednemu z największych klientów system oparty o samą aplikację backendową do ciężkich obliczeń: 7 czy 8 komponentów i silnik, który dało się zainstalować na serwerze. Wiedzieliśmy, że skoro to działa, to kolejnym krokiem jest chmura. Kiedy przenieśliśmy na nią nasze testy automatyczne, migracja aplikacji była już tylko kwestią czasu. W końcu nasi szefowie podjęli ostateczną decyzję.

I co wtedy pomyślałeś?

Mieliśmy na to pół roku, więc powiem dyplomatycznie: to było wyzwanie. Uznaliśmy, że w tym czasie możemy przenieść aplikację, a potem, w kolejnej części, zabezpieczyć ją. Mieliśmy wiedzę techniczną, ale to nie to samo, co utrzymanie systemu na publicznej chmurze w rygorach, które często pozostawiają dużo pola do interpretacji. Musieliśmy więc znaleźć partnera, który nam to porządnie zaudytuje i wtedy się okaże, ile potrzebujemy na to czasu.

I ile to trwało?

Audyt trwał prawie trzy tygodnie a w zaleceniach znalazło się 176 rzeczy, które trzeba było zmienić, dorobić, a w najgorszym wypadku dopisać. Zabezpieczenie tego zajęło drugie pół roku.

Pierwszego klienta zmigrowaliśmy po 9 miesiącach, z czego trzy zajęły najtrudniejsze kwestie, czyli nasze mityczne Compliance.

A co było największym wyzwaniem?

Security oczywiście. Poszło nam całkiem nieźle. Chodziło o to, jak je ulepszyć, zmienić albo zeskalować w dół, bo przy utrzymaniu okaże się, że nasz poziom zabezpieczeń jest za wysoki w stosunku do potrzeb, które mamy zrealizować. Ze względów bezpieczeństwa nie mogę mówić o konkretach, bo szczegóły są tajemnicą.

Kolejnym wyzwaniem był poziom wejścia w procedury i instrukcje, których należy się trzymać.

To, co robimy, można porównać do produkcji śrubek przeznaczonych do rakiety kosmicznej. Niby robi się je tak samo jak te zwykłe, jednak trzeba wiedzieć, czy jest to dokładnie taka śrubka, jaką chcieliśmy, wykonana z takiego materiału, jaki jest wymagany, zrobiona według właściwych rygorów technologicznych. Poza tym wszystko jest sprawdzane na każdym kroku produkcji a za jakość tych kontroli odpowiadają właściwi ludzie. Dodatkowo cały proces można zaudytować.

Wcześniej było tak, że końcowy produkt nas bronił. Dziś podejmujemy zobowiązanie wobec klienta, z którym podpisujemy umowę i na nas spoczywa część ryzyka.

To znaczy?

Gdyby klient zapytał, jak wyglądało zrealizowanie danej wersji oprogramowania, musimy być w stanie wykazać każdą zmianę na środowisku produkcyjnym. Każdy alert, który się pojawił, jest opisany. Wiadomo co, kiedy i dlaczego było robione. Audytor wysłany przez klienta dostanie komplet informacji kto, co, kiedy i dlaczego przeanalizował, jakie były opcje rozwiązania tego czy tamtego problemu i dlaczego wybraliśmy właśnie tę, która została zrealizowana.

Od środków czystości do produkcji kosmicznych śrubek. Tu już chyba widać jak powstaje wartość dla klienta?

Wyobraźmy sobie, że wytworzenie śrubki kosztuje 50 centów, a NASA kupuje ją za 50 dolarów, ponieważ ma ona wszystkie niezbędne certyfikaty, które pozwalają się upewnić, że cały proces produkcji od momentu wydobycia materiału do wytworzenia produktu został odpowiednio zabezpieczony. Wszystkie kroki są testowane, ponieważ zepsuta śrubka w kosmosie kończy się katastrofą.

I dokładnie tak jest z tym mitycznym Compliance w branży finansowej. To właściwie nie jest nic innego, jak proces upewnienia się, że proces wytwarzania oprogramowania jest odpowiednio zabezpieczony i testowany na każdym etapie. 

Dostosowanie poziomu zabezpieczeń to chyba duże wyzwanie?

Żyjemy w czasach, kiedy większość ludzi ma aplikację w telefonie, robi przelewy online i nie wie nawet, gdzie jest najbliższy oddział banku. Wraz ze wzrostem znaczenia bankowości internetowej rosną wymagania w zakresie cyberbezpieczeństwa.

Trzeba jednak pamiętać, że są różne poziomy zabezpieczeń w zależności od stopnia wrażliwości danych. Z jednej strony zabezpieczenia powinny być wystarczająco dobre, żeby spełnić odpowiednie przepisy, ale z drugiej należy pamiętać, że rynek regulowany to też jest biznes i jeśli oferujemy klientowi rozwiązanie chmurowe, to nie może być ono droższe niż wtedy, gdy musiałby kupować nowe laptopy raz w miesiącu. Ten balans musi być zachowany.

Jak klienci przyjmują ten tytułowy święty spokój?‍

Jest grupa entuzjastów chmury wśród prezesów banków i ludzi z IT, która cieszy się, że nareszcie oferujemy takie rozwiązania. I na razie to głównie z nimi mamy kontakt. Domyślam się, że jest również część bardziej konserwatywna, którą możemy nazwać sceptykami oraz tzw. milcząca większość, która będzie chciała działać jak najdłużej po staremu. Z czysto ludzkiego punktu widzenia rozumiem to, bo jeśli nie musisz zrobić czegoś dziś, to pewnie odłożysz to na później. Ale w końcu przychodzi moment, w którym dochodzi do analizy i trzeba się tym zająć. A kiedy spojrzysz na wszystkie kwestie: bezpieczeństwo, konieczność aktualizacji, wydajność, skalowalność i efektywność kosztową, to wybór jest oczywisty.

I nikogo nie trzeba przekonywać?

‍Oczywiście są jeszcze działy bezpieczeństwa i compliance, prezesi, księgowi i działy zakupów, którzy dokładnie analizują naszą propozycję. Musimy pokazać, że mamy lepszą ofertę i jesteśmy lepiej przygotowani niż konkurencja. Dostarczamy w dobrej jakości to samo, co wcześniej, tyle że w nowych w technologiach i w dodatku zdejmujemy z nich odpowiedzialność za wiele rzeczy. Dlatego wydaje mi się, że to nie jest już pytanie czy zdecydować się na to rozwiązanie, a kiedy.

Jakie widzisz możliwości dalszego rozwoju w tym segmencie produktów? Czy to będzie raczej ewolucja, czy kolejna technologiczna rewolucja?

Nasi klienci i partnerzy z branży fintech to często ludzie bardzo konserwatywni w swoim podejściu do technologii. Tacy, którzy mniej patrzą na funkcjonalności i parametry czy moc obliczeniową, bardziej chcą “świętego spokoju”. Ten “święty spokój” bardzo lubi ewolucję, a na słowo rewolucja – wychodzi z pokoju. Rewolucja co jakiś czas owszem przynosi pozytywne efekty, ale w branży, w której masz powierzyć oszczędności swojego życia i związać się z kimś na 30 lat, żeby np. wziąć kredyt mieszkaniowy, celujesz raczej w stabilność, pewność i bezpieczeństwo. Nie spodziewam się więc, że zmiany będą w jakikolwiek sposób rewolucyjne. Dla części naszych klientów to, co w tej chwili robimy w kontekście uchmurowienia, jest tak blisko rewolucji w ich codziennej pracy, że są bardzo ostrożni i analizują każdy krok. ‍

Teraz wszyscy starają się wplatać AI do swoich rozwiązań. Czy widzisz dla niej jakieś zastosowanie w sprawozdawczości?

Oczywiście dążymy do automatyzacji i robotyzacji, ale trzeba pamiętać, że nasze prawo wymaga, aby pod sprawozdaniem podpisała się konkretna osoba. To jest trochę tak jak z bezzałogowym samolotem. Za większość lotu w samolotach pasażerskich już teraz odpowiada autopilot, ale chyba wolelibyśmy, żeby doświadczona załoga wciąż tam była i go kontrolowała. I analogicznie jest u nas. Nie zastąpimy księgowego, ale musimy mu dostarczać bardziej komfortowe i pewne narzędzie pracy.

A w jaki sposób będziecie je ulepszać?‍

Będziemy wsłuchiwać się w to, co robią nasi klienci, a właściwie przyglądać się temu. Na chmurze mamy możliwości analityczne, pozwalające sprawdzić, które funkcjonalności są częściej używane, które mniej. Zobaczymy więc które trzeba ulepszyć.

Ale jest też druga część. Jak sprawić, żeby zadowolony był nie tylko ten, który korzysta z narzędzi, ale również ten, który patrzy na rachunki. Ostatecznie chodzi o to, żeby z tych ogromnych możliwości, jakie daje uchmurowienie, wybrać te, które są w punkt – to znaczy wystarczająco dobre, a jednocześnie optymalne kosztowo.