ضرورت‌ها و چالش‌های اجرای بخشنامه “الزامات ناظر بر ریسک فناوری اطلاعات”

دکتر مسعود ظهرابی، عضو کمیته عالی فناوری اطلاعات بانک ملی ایران و عضو هیات مدیره شرکت پرداخت الکترونیک سداد در گفت‌وگو با «سیمای بانکداری»، اظهار داشت: موضوع حسابرسی فناوری اطلاعات از حدود یک دهه پیش در سطح جهانی مطرح شده، اما در کشور ما عمر آن به حدود ۳ سال می‌رسد. از این ۳ سال نیز شاید تنها یک سال است که بانک‌ها و شرکت‌های بانکی به‌طور جدی‌تر به آن ورود کرده‌اند. اداره سلامت نظام بانکی کشور، تحت نظر بانک مرکزی، از سال ۱۳۹۵ و ۱۳۹۶ تصمیم به کار روی چنین موضوعی گرفت و در نهایت در سال ۱۴۰۰ بخشنامه‌ای تحت عنوان “حداقل الزامات ناظر بر ریسک فناوری اطلاعات” به تمامی بانک‌ها و مؤسسات مالی و اعتباری ابلاغ شد.

ظهرابی با بیان اینکه در سال‌های ابتدایی، این موضوع جدیت و تمرکز کافی را از سوی مجموعه‌های بانکی دریافت نکرد، گفت: اما از زمانی که دکتر فرزین ریاست بانک مرکزی را بر عهده گرفت، سخت‌گیری‌ها در خصوص رعایت این بخشنامه در حوزه فناوری اطلاعات افزایش یافت. این موضوع با ورود دکتر مومن واقفی به‌عنوان معاونت فناوری‌های نوین بانک مرکزی، بیش از پیش مورد توجه قرار گرفته است.

وی در ادامه افزود: به‌عنوان نمونه، دکتر مومن واقفی در یکی از مصاحبه‌های اخیر خود تأکید کرده که بانک‌ها موظفند هر شش ماه یک بار گزارش‌های مربوط به حسابرسی فناوری اطلاعات خود را در سامانه‌ای به نام “مهتاب” بارگذاری کنند. این سامانه برای پایش و ارزیابی عملکرد بانک‌ها توسط بازرسان فناوری اطلاعات بانک مرکزی طراحی شده است.

ظهرابی با اشاره به اینکه بانک مرکزی بر اساس گزارش‌های ارائه ‌شده و بررسی‌های میدانی، بانک‌ها را رتبه‌بندی می‌کند، گفت: این رتبه‌بندی می‌تواند از سطح بسیار ضعیف تا عالی متغیر باشد. البته در حال حاضر، سطح عالی در میان بانک‌ها کمتر مشاهده می‌شود. اگر در ارزیابی‌ها یک بانک برای دو بار متوالی بسیار ضعیف ارزیابی شود یا گزارش‌های خود را به‌موقع در سامانه بارگذاری نکند، این موضوع می‌تواند به تشکیل مجمع آن بانک لطمه وارد کند. به ‌عنوان‌ مثال، احتمال دارد مجمع بانک‌هایی که این موارد را رعایت نمی‌کنند، برگزار نشود.

عضو هیات مدیره شرکت پرداخت الکترونیک سداد با تاکید بر اینکه رویکرد فعلی بانک مرکزی  به‌جای اعمال فشار قهری، ارایه دادن فرصت بیشتر به بانک‌ها برای انطباق با الزامات است، تصریح کرد: به ‌عنوان مثال، قرار بود بانک‌ها از سال ۱۴۰۰ طی دو سال الزامات مورد نظر را اجرایی کنند، اما با توجه به مشکلات و عدم تحقق کامل این هدف، بانک مرکزی یک سال دیگر نیز به بانک‌ها مهلت داده است. این مهلت از ابتدای سال ۱۴۰۳ آغاز شده و تا پایان امسال که دو ماه باقی مانده است، ادامه دارد.

بانک‌ها در اجرای بخشنامه با مشکل مواجه هستند

ظهرابی در ادامه افزود: البته مشخص است که هنوز در بسیاری از بانک‌ها، فرهنگ‌سازی و آموزش کافی در این حوزه انجام نشده است و بانک‌ها به‌شدت در اجرای بخشنامه “حداقل الزامات ناظر بر ریسک فناوری اطلاعات” با مشکل مواجه هستند. یکی از معضلات اصلی این است که نیروی متخصص کافی در این زمینه در کشور وجود ندارد و این کمبود باعث شده است حتی بانک‌هایی که واقعاً قصد دارند به سمت پیاده‌سازی این الزامات بروند، دچار چالش شوند و این سؤال مطرح شود که این کار را با چه کارشناسی، با چه ادبیاتی و چگونه باید انجام دهند.

عضو کمیته عالی فناوری اطلاعات بانک ملی ایران، لازمه پیشبرد حسابرسی فناوری اطلاعات را چند اتفاق به ‌طور همزمان دانست و گفت:  اولین و مهم‌ترین موضوع، آموزش و فرهنگ‌سازی است. کارشناسی که قرار است در بانک روی حسابرسی فناوری اطلاعات کار کند، باید دانش و مهارت کافی داشته باشد تا بتواند به مجموعه خود کمک کند. این در حالی است که بخشنامه “حداقل الزامات ناظر بر ریسک فناوری اطلاعات” شامل ۱۰ فصل گسترده است که هر فصل به موضوعی متفاوت اختصاص دارد که معماری، برون‌سپاری، کربنکینگ، زیرساخت شبکه، امنیت و ریسک، از جمله آن‌هاست.

وی اضافه کرد: البته برخی از این موضوعات به ‌شدت فنی و تکنیکال هستند، مانند کربنکینگ، زیرساخت و شبکه. در مقابل، برخی دیگر بیشتر سیستماتیک، فرآیندی و مدیریتی هستند که معماری و برون‌سپاری، از جمله آن‌هاست. به همین دلیل، به نظر می‌رسد که در هر سیستم بانکی حداقل دو متخصص نیاز است که شامل یک نفر با تحصیلات مرتبط با مهندسی کامپیوتر یا فناوری اطلاعات برای بخش‌های فنی و یک نفر دیگر با تحصیلات مرتبط با مهندسی صنایع یا مدیریت فناوری اطلاعات برای بخش‌های مدیریتی و سیستماتیک می شود.

ظهرابی در ادامه افزود: در این میان، بانک مرکزی نیز نقش بسیار مهمی دارد؛ جناب آقای دکتر پروین و همکاران وی در این مجموعه به‌عنوان رگولاتور بالا‌دستی وظیفه دارند اقدامات لازم را انجام دهند و موارد ضروری را به بانک‌های مختلف ابلاغ کنند. برداشت من این است که با توجه به اینکه سه سال از ابلاغ بخشنامه “حداقل الزامات ناظر بر ریسک فناوری اطلاعات” گذشته است، احتمالاً طی ۲ تا ۳ ماه آینده نسخه دوم این بخشنامه منتشر خواهد شد.

وی تصریح کرد: یکی از چالش‌هایی که بانک‌ها در موضوع حسابرسی فناوری اطلاعات با آن مواجه هستند، جایگاه این فعالیت در ساختار بانک است. این بخشنامه از سه سال پیش تأکید کرده بود که همه بانک‌ها باید یک کمیته حاکمیتی شامل اعضای هیات ‌مدیره تحت عنوان “کمیته عالی فناوری اطلاعات” داشته باشند. این کمیته در همه بانک‌ها شکل گرفته است. برخی بانک‌ها موضوعات حسابرسی فناوری اطلاعات خود را در قالب این کمیته انجام می‌دهند و برخی دیگر در اداره حسابرسی داخلی خود بخشی به نام “حسابرسی فناوری اطلاعات” ایجاد کرده‌اند.

ظهرابی خاطرنشان کرد: بانک مرکزی نیز یک کمیته حسابرسی فناوری اطلاعات درون خود تشکیل داده است که در آن جمعی از صاحب‌نظران حضور دارند. این کمیته به دنبال ایجاد یک ساختار مؤثر برای مدیریت حسابرسی فناوری اطلاعات است.

یکی از موضوعات مهم در بخشنامه، برون‌سپاری است

عضو هیات مدیره شرکت پرداخت الکترونیک سداد با اشاره به اینکه با توجه به اتفاقات سال ۱۴۰۳ در سیستم بانکی کشور و همچنین تحولات منطقه‌ای، اهمیت فناوری اطلاعات در صنعت بانکی، که ذاتاً صنعتی حساس است، بیش از پیش احساس می‌شود، گفت: یکی از موضوعات مهم در این بخشنامه، بحث برون‌سپاری است. در سیستم بانکی کشور و مجموعه‌های مرتبط با فناوری اطلاعات، همیشه شائبه‌هایی در خصوص برون‌سپاری، مناقصات و مزایدات وجود داشته است. اصلاح این موضوع می‌تواند بسیاری از ابهامات را برطرف کند و به شفافیت بیشتر در این حوزه کمک کند.

ظهرابی اظهار داشت: در سیستم کربنکینگ مشاهده کردیم که چه اتفاقاتی رخ داد و در برخی موارد نیاز به مداخله جدی وجود دارد. در حوزه دیتاسنتر و امنیت شبکه نیز همیشه مساله ریسک، که ذاتاً با عدم قطعیت همراه است. به‌عنوان یک چالش برجسته در سیستم بانکی مطرح بوده است. به اعتقاد من، این بخشنامه نه فقط به دلیل الزامات بانک مرکزی، بلکه به دلیل منافعی که برای خود بانک‌ها دارد، اهمیت زیادی پیدا کرده است.

وی در ادامه افزود: به ‌ویژه پس از ابلاغ قانون جدید بانک مرکزی که سخت‌گیرانه‌تر شده و موارد بیشتری را در بر گرفته است، توجه به این مسایل در صنعتی که دیگر بدون فناوری اطلاعات بی‌معناست، ضروری است. اگر فناوری اطلاعات را از صنعت بانکی حذف کنیم، عملاً چیزی از آن باقی نمی‌ماند.

ظهرابی به ظهور نئوبانک ها اشاره و تصریح کرد: با ظهور نئوبانک‌ها، گسترش پرداخت‌های مدرن، بانک‌های دیجیتال و بدون شعبه و همچنین مطرح شدن بحث‌های مرتبط با ارزهای دیجیتال، کریپتوکارنسی‌ها، ریال دیجیتال و موارد مشابه، نقش فناوری اطلاعات به‌عنوان زیرساخت اصلی سیستم بانکی کاملاً مشخص شده است. این حوزه تکنولوژی و ترندی رو به رشد است و باید از همین حالا برای مدیریت ریسک‌های مربوط به آن در بخش‌های مختلف برنامه‌ریزی کنیم. به همین دلیل، اجرای این بخشنامه در نهایت به سود سیستم بانکی خواهد بود.

وی با اشاره به اینکه دستگاه‌های امنیتی و نظارتی و رگولاتورها نیز می‌توانند از این بخشنامه و گزارش‌های مرتبط با آن بهره‌مند شوند، بیان کرد: این موضوع نه تنها باعث بهبود سیستم بانکی می‌شود، بلکه می‌تواند بسیاری از شبهات را برطرف کند. از سوی دیگر، اگر تمامی بخش‌های اکوسیستم، شامل دانشگاه‌ها به‌عنوان مراکز آموزشی، انجمن‌های علمی، بانک مرکزی، دستگاه‌های مرتبط و از همه مهم‌تر سازمان حسابرسی کل کشور، با هماهنگی یکدیگر عمل کنند، می‌توان از این بخشنامه بهترین استفاده را برد.

ظهرابی در ادامه افزود: یک نکته مهم دیگر این است که همیشه این سوال پیش می‌آید که اگر این بخشنامه اجرایی شود و یک حسابرس مستقل بخواهد حسابرسی فناوری اطلاعات را برای بانک مشخصی انجام دهد، کدام نهاد بر این گزارش صحه می‌گذارد؟ آیا جایگاه سازمان حسابرسی کل کشور در این اکوسیستم به درستی در نظر گرفته شده است؟ این‌ها سوالات و شبهاتی هستند که باید به آن‌ها پاسخ داده شود.

عضو کمیته عالی فناوری اطلاعات بانک ملی ایران در پایان گفت: امیدوارم که این فرآیند به‌خوبی پیش برود و نتایج مثبتی برای سیستم بانکی کشور به همراه داشته باشد. این بخشنامه که جای خالی آن به شدت احساس می‌شد، می‌تواند تحولات مثبتی ایجاد کند و با همکاری سایر دوستان، اتفاقات مفیدی در این حوزه رقم بخورد.