ریسکهای آنلاین در کمین بانکها
به گزارش دنیای بانک در آخرین روز مرداد 1400 بود که کمیسیون مقررات و نظارت موسسات اعتباری بانک مرکزی حداقل الزامات ناظر بر ریسک فناوری اطلاعات بانکها و مؤسسات اعتباری را در 127 ماده تصویب و به بانکها ابلاغ کرد. بر اساس این دستورالعمل همه بانکهای کشور موظف به تشکیل یک کمیته عالی فناوری اطلاعات زیر نظر هیات مدیره شدند که هدف آن یاری رساندن به هیات مدیره هم در امر سیاستگذاری و هم راهبردی در حوزه فناوری اطلاعات اعلام شده است.
اکنون و با نزدیک شدن به یک سالگی ابلاغ این دستورالعمل مهم و حداقلی نظارت بر ریسک فناوری اطلاعات بانکها چند سوال مطرح است که به نظر می رسد بانک مرکزی باید درباره آنها شفافسازی کند. پایگاه خبری دنیای بانک، در سلسله گزارشی به بررسی و کالبدشکافی ابعاد مختلف حداقل الزامات ناظر بر ریسک فناوری اطلاعات می پردازد و این سوالها در گزارش نخست مطرح است:
- آیا همه بانکها الگوی مدنظر جهت شناسایی و کنترل ریسک فناوری اطلاعات تدوین و ارائه کردهاند؟
- آیا طرح جامع فناوری اطلاعات بانکها مصوب و اجرایی شده است؟
- اجراز صلاحیت معاونان فناوری اطلاعات بانکها از سوی کدام مراجع احراز میشود؟
- آیا الزامات و شاخصهای مدنظر بانک مرکزی در خصوص اعضای کمیته عالی فناوری اطلاعات بانکها رعایت شده است؟
- آیا بانکها گزارش دورهای از میزان میزان انطباق عملکرد فناوری اطلاعات خود را به معاونت نظارت بانک مرکزی ارسال کردهاند؟
- کدام بانکها در یک سال اخیر تیم پاسخ به رخداد را تشکیل و فعال کردهاند؟
-
معماری فناوری اطلاعات بانکها
ساختار کلی فناوری اطلاعات بانکها بر اساس اعلام بانک مرکزی باید بر چارچوبی بنا شود که بتواند ریسک ارائه و استفاده از خدمات بانکداری الکترونیکی را شناسایی کند و به همین دلیل هر بانکی باید معماری فناوری اطلاعات را بر مبنای الگوهایی تعریف شده موسوم به توگف، بایان و البته چارچوب ملی معماری سازمانی ایران و یا ترکیبی از آنها و در حوزه سرویس با رویکرد معماری سرویسگرا ، طراحی و تدوین کند.
-
معاون فناوری اطلاعات معرفی کنید
بانک مرکزی همه بانکها را مکلف کرده تا طرح جامع فناوری اطلاعات را مصوب و در فواصل زمانی مناسب به روز رسانی کنند. و ساختار سازمانی و شرح وظایف و اختیارات حوزه فناوری اطلاعات بانک را جهت دستیابی به معماری فناوری اطلاعات تصویب و به اجرا گذارند.
به این ترتیب هر بانکی باید در ساختار سازمانیاش یک سمت معاونت با عنوان معاونت فناوری اطلاعات زیر نظر مستقیم مدیرعامل ایجاد کند و فرد معرفی شده هم باید هم دارای 3 ویژگی باشد که عبارت است از:
- حداقل 8 سال سابقه کار مرتبط با فناوری اطلاعات در حوزه بانکی
- تحصیلات دانشگاهی، حداقل کارشناسی ارشد در رشتههای مهندسی کامپیوتر، مهندسی فناوریاطلاعات، علوم کامپیوتر و مدیریت فناوریاطلاعات
- احراز صلاحیت توسط مراجع ذیصلاح.
-
کمیته عالی با اختیارات ویژه
افزون بر اینکه هر بانک باید یک معاونت فناوری اطلاعات باشد، هیات مدیره بانک هم وظیفه دارد با هدف انجام صحیح و دقیق وظایف خود در حوزه فناوری اطلاعات، کمیته عالی فناوری اطلاعات تشکل دهد که 9 ماموریت برای این کمیته تعریف و تعیین شده است. این ماموریتها شامل موارد زیر میشود:
- تدوین اهداف کلان، سیاستگذاری، برنامهریزی و راهبری سرمایهگذاری و توسعه خدمات فناوری اطلاعات و نظارت بر حسن اجرای آنها
- نظارت بر حسن اجرای مقررات ابلاغی از سوی بانک مرکزی (از جمله ناظر بر ریسک فناوری اطلاعات بانکها) در حوزه فناوری اطلاعات
- نظارت بر اجرای صحیح و بهموقع مصوبات هیئت مدیره در حوزه فناوری اطلاعات
- ارائه نظر مشورتی در خصوص موضوعات ارجاعی از سوی هیئت مدیره در حوزه فناوری اطلاعات
- نظارت بر فرآیند حسابرسی فناوری اطلاعات در بانکها
- نظارت بر فرآیندها و منابع فناوری اطلاعات از منظر توجیه اقتصادی، کارآیی و اثر بخشی
- نظارت بر فرآیند مدیریت ریسکهای فناوری اطلاعات در بانکها
- نظارت بر حسن اجرای تمامی فرآیندهای امنیت اطلاعات بانکها
- تدوین برنامههای کلان آموزشی و پژوهشی در جهت توسعه فناوری اطلاعات با رویکردهای تخصصی.
-
اعضای کمیته چگونه انتخاب میشوند؟
دستورالعلمل حداقل الزامات ناظر بر ریسک فناوری اطلاعات بانکها تاکید دارد که رئیس و نایب رئیس و اعضای کمیته عالی فناوری اطلاعات بانکها توسط هیات مدیره انتخاب میشوند و رئیس این کمیته باید از میان اعضای غیراجرایی هیات مدیره انتخاب شده و فرد معرفی شده هم باید با فناوری اطلاعات و عملیات بانکی آشنایی کافی داشته باشد. تعداد اعضای این کمیته هم حداقل 5 نفر خواهد بود و اگر هم قرار باشد تعداد اعضا بیشتر باشد، جمع اعضا باید حتما فرد باشد نه زوج یعنی هیچ بانکی حق ندارد تعداد اعضای کمیته فناوری اطلاعات خود را به صورت 6، 8 و تابعی از اعداد زوج انتخاب کند و حتما باید 2 از اعضای هیئت مدیره با احتساب رئیس کمیته در آن عضویت داشته باشند. به گونهای که اکثریت اعضای آن باید دارای تخصص و تجربه لازم در زمینه فناوری اطلاعات بوده و حداقل یک نفر از اعضاء از خارج موسسه اعتباری یا همان بانک انتخاب شود.
این دستورالعمل میگوید: رئیس هیات مدیره بانک نمیتواند همزمان ریاست کمیته عالی فناوری اطلاعات را بر عهده بگیرد و مدت تصدی مسئولیت اعضای کمیته عالی فناوری اطلاعات با اتمام مدت تصدی مسئولیت اعضای هیئت مدیره پایان مییابد، هرچند انتصاب مجدد هریک از اعضاء مانعی ندارد و معاون فناوری اطلاعات بانک بهعنوان دبیر کمیته و بدون حق رأی در جلسات کمیته حضور مییابد. البته کمیته فناوری اطلاعات بانکها در صورت لازم میتوانند از کارشناسان دارای دانش و مهارتهای تخصصی مورد نیاز از داخل و خارج از مؤسسه اعتباری) به منظور مشاوره استفاده کنند.
واحد حسابرسی اختیاری یا اجباری
ماده 7 دستورالعمل حداقل الزامات ناظر بر ریسک فناوری اطلاعات بانکها مقرر میدارد: بانکها میتوانند در راستای وظایف نظارتی کمیته عالی فناوری اطلاعات، واحدی را تحت عنوان واحد حسابرسی فناوری اطلاعات تشکیل دهند. با این حساب مشخص نیست که قید کلمه میتواند به معنای اختیاری بودن تشکیل واحد حسابرسی فناوری اطلاعات است یا اینکه بانکها ملزم به تشکیل چنین واحدی هستند؟ واحد ویژه فناوری اطلاعات چه مسئولیتی بر عهده دارد و در صورتی که بانکی نخواهد این واحد را تشکیل دهد، نظارت بر قراردادها، معاملات و پروژههای بانک با شرکتها در حوزه فناوری اطلاعات چگونه صورت میگیرد؟
-
10 ماموریت حسابرسان فناوری اطلاعات بانکها
بانک مرکزی 10 ماموریت برای واحد حسابرسی فناوری اطلاعات بانکها تعیین کرده که از جمله میتوان به نظارت بر فرآیندها، اسناد، قراردادها، معاملات و پروژهها اشاره کرد. این 10 ماموریت عبارت است از:
- تهیه برنامه جامع حسابرسی فناوری اطلاعات مؤسسه اعتباری و هدایت و راهبری فرآیندهای مرتبط بر اساس آخرین نسخه چارچوب حسابرسی فناوری اطلاعات ایساکا
- حسابرسی فناوری اطلاعات حداقل شامل فرآیندها، اسناد، قراردادها، معاملات، پروژهها و گزارشهای تهیه شده مربوط به حوزه فناوری اطلاعات بانک
- ارزیابی دورهای میزان انطباق عملکرد فناوری اطلاعات بانک با مفاد الزامات و ارائه گزارش به معاونت نظارت بانک مرکزی و کمیته عالی فناوری اطلاعات در مقاطع 6 ماهه
- ارزیابی میزان تحقق سیاستها و برنامههای مؤسسه اعتباری و مصوبات هیئت مدیره در حوزه فناوری اطلاعات و ارائه گزارش به کمیته عالی فناوری اطلاعات
- ارزیابی فرآیندهای فناوری اطلاعات از منظر توجیه اقتصادی، کارایی و اثربخشی
- ارزیابی کارآمدی منابع فناوری اطلاعات از قبیل نیروی انسانی، تجهیزات و سامانهها
- نظارت بر حسابرسی فناوری اطلاعات خارجی (برون سپاری شده)
- دریافت و بررسی پیشنهادها و توصیههای حسابرسان مستقل در ارتباط با حوزه فناوری اطلاعات و پیگیری آنها
- انجام حسابرسیهای موردی در صورت لزوم بنا به درخواست معاونت نظارت بانک مرکزی و یا کمیته عالی فناوری اطلاعات بانک
- انجام فعالیتهای پژوهشی در حوزه حسابرسی فناوری اطلاعات.
از دیگر مسئولیتهای مهم بانکها برای کاهش ریسک در حوزه فناوری اطلاعات، این است که هر بانکی وظیفه دارد تا گروه ویژه با عنوان تیم پاسخ به رخداد را زیرمجموعه معاونت فناوری اطلاعات به همراه تبیین مسئولیتها و شرح وظایف، مطابق با دستورالعملهای کمیته پدافند غیرعامل کشوری تعیین کند.