ریسک‌های آنلاین در کمین بانک‌ها

1401-05-25
0

به گزارش دنیای بانک در آخرین روز مرداد 1400 بود که کمیسیون مقررات و نظارت موسسات اعتباری بانک مرکزی حداقل الزامات ناظر بر ریسک فناوری اطلاعات بانک‌ها و مؤسسات اعتباری را در 127 ماده تصویب و به بانک‌ها ابلاغ کرد. بر اساس این دستورالعمل همه بانک‌های کشور موظف به تشکیل یک کمیته عالی فناوری اطلاعات زیر نظر هیات مدیره شدند که هدف آن یاری رساندن به هیات مدیره هم در امر سیاست‌گذاری و هم راهبردی در حوزه فناوری اطلاعات اعلام شده است.
اکنون و با نزدیک شدن به یک سالگی ابلاغ این دستورالعمل مهم و حداقلی نظارت بر ریسک فناوری اطلاعات بانک‌ها چند سوال مطرح است که به نظر می رسد بانک مرکزی باید درباره آنها شفاف‌سازی کند. پایگاه خبری دنیای بانک، در سلسله گزارشی به بررسی و کالبدشکافی ابعاد مختلف حداقل الزامات ناظر بر ریسک فناوری اطلاعات می پردازد و این سوال‌ها در گزارش نخست مطرح است:

  1. آیا همه بانک‌ها الگوی مدنظر جهت شناسایی و کنترل ریسک فناوری اطلاعات تدوین و ارائه کرده‌اند؟
  2.  آیا طرح جامع فناوری اطلاعات بانک‌ها مصوب و اجرایی شده است؟
  3. اجراز صلاحیت معاونان فناوری اطلاعات بانک‌ها از سوی کدام مراجع احراز می‌شود؟
  4.  آیا الزامات و شاخص‌های مدنظر بانک مرکزی در خصوص اعضای کمیته عالی فناوری اطلاعات بانک‌ها رعایت شده است؟
  5. آیا بانک‌ها گزارش دوره‌ای از میزان میزان انطباق عملکرد فناوری اطلاعات خود را به معاونت نظارت بانک مرکزی ارسال کرده‌اند؟
  6. کدام بانکها در یک سال اخیر تیم پاسخ به رخداد را تشکیل و فعال کرده‌اند؟

  • معماری فناوری اطلاعات بانک‌ها

ساختار کلی فناوری اطلاعات بانک‌ها بر اساس اعلام بانک مرکزی باید بر چارچوبی بنا شود که بتواند ریسک ارائه و استفاده از خدمات بانکداری الکترونیکی را شناسایی کند و به همین دلیل هر بانکی باید معماری فناوری اطلاعات را بر مبنای الگوهایی تعریف شده موسوم به توگف، بایان و البته چارچوب ملی معماری سازمانی ایران و یا ترکیبی از آنها و در حوزه سرویس با رویکرد معماری سرویس‌گرا ، طراحی و تدوین کند.

  • معاون فناوری اطلاعات معرفی کنید

بانک مرکزی همه بانک‌ها را مکلف کرده تا طرح جامع فناوری اطلاعات را مصوب و در فواصل زمانی مناسب به روز رسانی کنند. و ساختار سازمانی و شرح وظایف و اختیارات حوزه فناوری اطلاعات بانک را جهت دستیابی به معماری فناوری اطلاعات تصویب و به اجرا گذارند.
به این ترتیب هر بانکی باید در ساختار سازمانی‌اش یک سمت معاونت با عنوان معاونت فناوری اطلاعات زیر نظر مستقیم مدیرعامل ایجاد کند و فرد معرفی شده هم باید هم دارای 3 ویژگی‌ باشد که عبارت است از:

  • حداقل 8 سال سابقه کار مرتبط با فناوری اطلاعات در حوزه بانکی
  • تحصیلات دانشگاهی، حداقل کارشناسی ارشد در رشته‌های مهندسی کامپیوتر، مهندسی فناوری‌اطلاعات، علوم کامپیوتر و مدیریت فناوری‌اطلاعات
  • احراز صلاحیت توسط مراجع ذی‌صلاح.

  • کمیته عالی با اختیارات ویژه

افزون بر اینکه هر بانک باید یک معاونت فناوری اطلاعات باشد، هیات مدیره بانک‌ هم وظیفه دارد با هدف انجام صحیح و دقیق وظایف خود در حوزه فناوری اطلاعات، کمیته عالی فناوری اطلاعات تشکل دهد که 9 ماموریت برای این کمیته تعریف و تعیین شده است. این ماموریت‌ها شامل موارد زیر می‌شود:

  1. تدوین اهداف کلان، سیاست‌گذاری، برنامه‌ریزی و راهبری سرمایه‌گذاری و توسعه خدمات فناوری اطلاعات و نظارت بر حسن اجرای آن‌ها
  2. نظارت بر حسن اجرای مقررات ابلاغی از سوی بانک مرکزی (از جمله ناظر بر ریسک فناوری اطلاعات بانک‌ها) در حوزه فناوری اطلاعات
  3. نظارت بر اجرای صحیح و به‌موقع مصوبات هیئت مدیره در حوزه فناوری اطلاعات
  4. ارائه نظر مشورتی در خصوص موضوعات ارجاعی از سوی هیئت مدیره در حوزه فناوری اطلاعات
  5. نظارت بر فرآیند حسابرسی فناوری اطلاعات در بانکها
  6. نظارت بر فرآیندها و منابع فناوری اطلاعات از منظر توجیه اقتصادی، کارآیی و اثر بخشی
  7. نظارت بر فرآیند مدیریت ریسک‌های فناوری اطلاعات در بانکها
  8. نظارت بر حسن اجرای تمامی فرآیندهای امنیت اطلاعات بانکها
  9. تدوین برنامه‌های کلان آموزشی و پژوهشی در جهت توسعه فناوری اطلاعات با رویکردهای تخصصی.

  • اعضای کمیته چگونه انتخاب می‌شوند؟

دستورالعلمل حداقل الزامات ناظر بر ریسک فناوری اطلاعات بانک‌ها تاکید دارد که رئیس و نایب رئیس و اعضای کمیته عالی فناوری اطلاعات بانک‌ها توسط هیات مدیره انتخاب می‌شوند و رئیس این کمیته باید از میان اعضای غیراجرایی هیات مدیره انتخاب شده و فرد معرفی شده هم باید با فناوری اطلاعات و عملیات بانکی آشنایی کافی داشته باشد. تعداد اعضای این کمیته هم حداقل 5 نفر خواهد بود و اگر هم قرار باشد تعداد اعضا بیشتر باشد، جمع اعضا باید حتما فرد باشد نه زوج یعنی هیچ بانکی حق ندارد تعداد اعضای کمیته فناوری اطلاعات خود را به صورت 6، 8 و تابعی از اعداد زوج انتخاب کند و حتما باید 2 از اعضای هیئت مدیره با احتساب رئیس کمیته در آن عضویت داشته باشند. به گونه‌ای که اکثریت اعضای آن باید دارای تخصص و تجربه لازم در زمینه فناوری اطلاعات بوده و حداقل یک نفر از اعضاء از خارج موسسه اعتباری یا همان بانک انتخاب شود.
این دستور‌العمل می‌گوید: رئیس هیات مدیره بانک نمی‌تواند همزمان ریاست کمیته عالی فناوری اطلاعات را بر عهده بگیرد و مدت تصدی مسئولیت اعضای کمیته عالی فناوری اطلاعات با اتمام مدت تصدی مسئولیت اعضای هیئت مدیره پایان می‌یابد، هرچند انتصاب مجدد هریک از اعضاء مانعی ندارد و معاون فناوری اطلاعات بانک به‌عنوان دبیر کمیته و بدون حق رأی در جلسات کمیته حضور می‌یابد. البته کمیته فناوری اطلاعات بانک‌ها در صورت لازم می‌توانند از کارشناسان دارای دانش و مهارت‌های تخصصی مورد نیاز از داخل و خارج از مؤسسه اعتباری) به منظور مشاوره استفاده کنند.
واحد حسابرسی اختیاری یا اجباری
ماده 7 دستورالعمل حداقل الزامات ناظر بر ریسک فناوری اطلاعات بانک‌ها مقرر می‌دارد: بانکها می‌توانند در راستای وظایف نظارتی کمیته عالی فناوری اطلاعات، واحدی را تحت عنوان واحد حسابرسی فناوری اطلاعات تشکیل دهند. با این حساب مشخص نیست که قید کلمه می‌تواند به معنای اختیاری بودن تشکیل واحد حسابرسی فناوری اطلاعات است یا اینکه بانک‌ها ملزم به تشکیل چنین واحدی هستند؟ واحد ویژه فناوری اطلاعات چه مسئولیتی بر عهده دارد و در صورتی که بانکی نخواهد این واحد را تشکیل دهد، نظارت بر قراردادها، معاملات و پروژه‌های بانک با شرکت‌ها در حوزه فناوری اطلاعات چگونه صورت می‌گیرد؟

  • 10 ماموریت حسابرسان فناوری اطلاعات بانک‌ها

بانک مرکزی 10 ماموریت برای واحد حسابرسی فناوری اطلاعات بانک‌ها تعیین کرده که از جمله می‌توان به نظارت بر فرآیندها، اسناد، قراردادها، معاملات و پروژه‌ها اشاره کرد. این 10 ماموریت عبارت است از:

  1. تهیه برنامه جامع حسابرسی فناوری اطلاعات مؤسسه اعتباری و هدایت و راهبری فرآیندهای مرتبط بر اساس آخرین نسخه چارچوب حسابرسی فناوری اطلاعات ایساکا
  2. حسابرسی فناوری اطلاعات حداقل شامل فرآیندها، اسناد، قراردادها، معاملات، پروژه‌ها و گزارش‌های تهیه شده مربوط به حوزه فناوری اطلاعات بانک
  3. ارزیابی دوره‌ای میزان انطباق عملکرد فناوری اطلاعات بانک با مفاد الزامات و ارائه گزارش به معاونت نظارت بانک مرکزی و کمیته عالی فناوری اطلاعات در مقاطع 6 ماهه
  4.  ارزیابی میزان تحقق سیاست‌ها و برنامه‌های مؤسسه اعتباری و مصوبات هیئت مدیره در حوزه فناوری اطلاعات و ارائه گزارش به کمیته عالی فناوری اطلاعات
  5.  ارزیابی فرآیندهای فناوری اطلاعات از منظر توجیه اقتصادی، کارایی و اثربخشی
  6.  ارزیابی کارآمدی منابع فناوری اطلاعات از قبیل نیروی انسانی، تجهیزات و سامانه‌ها
  7. نظارت بر حسابرسی‌ فناوری اطلاعات خارجی (برون سپاری شده)
  8. دریافت و بررسی پیشنهادها و توصیه‌های حسابرسان مستقل در ارتباط با حوزه فناوری اطلاعات و پیگیری آن‌ها
  9. انجام حسابرسی‌های موردی در صورت لزوم بنا به درخواست معاونت نظارت بانک مرکزی و یا کمیته عالی فناوری اطلاعات بانک
  10.  انجام فعالیت‌های پژوهشی در حوزه حسابرسی فناوری اطلاعات.

از دیگر مسئولیت‌های مهم بانک‌ها برای کاهش ریسک در حوزه فناوری اطلاعات، این است که هر بانکی وظیفه دارد تا گروه ویژه با عنوان تیم پاسخ به رخداد را زیرمجموعه معاونت فناوری اطلاعات به همراه تبیین مسئولیت‌ها و شرح وظایف، مطابق با دستورالعمل‌های کمیته پدافند غیرعامل کشوری تعیین کند.

1401-05-25
0
نمایش بیشتر
تصویر بهاره صفاری

بهاره صفاری

سردبیر دنیای بانک

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا