ضرورت تعیین استاندارهای روشن در حوزه حسابرسی فناوری اطلاعات در نظام بانکی

به گزارش خبرنگار ایبنا، الهام چیت سازان، مدیر اداره مطالعات و مقررات بانکی بانک مرکزی در نشست تحلیلی «ظرفیت‌ها و چالش‌های حسابرسی فناوری اطلاعات در زیست‌بوم بانکی» با تاکید بر ضرورت ایجاد چارچوبی منسجم و زبان مشترک در این حوزه گفت: موضوع تعیین صلاحیت حسابرسان فناوری اطلاعات از جمله مباحثی است که باید با دقت و در چارچوب نهادی مشخص به آن پرداخته شود. به‌طور طبیعی، نه امکان ارائه فهرست‌های جزئی و موردی وجود دارد و نه اساسا صحیح است که هر معیار یا مصداقی به‌صورت پراکنده مطرح شود؛ بلکه باید مرجع متولی مشخصی وجود داشته باشد که حداقل معیار‌های لازم را تعریف و بر اساس آنها فرآیند تأیید صلاحیت را سامان‌دهی کند.

وی افزود: در حوزه بانکی، وقتی از حسابرسی فناوری اطلاعات صحبت می‌کنیم، باید روشن شود دقیقا درباره چه موضوعی بحث می‌کنیم. آیا تمرکز بر سامانه‌ها، سیستم‌ها و زیرساخت‌هایی است که باید ریسک‌های عملیاتی در آنها کنترل شود و در برابر حملات سایبری تاب‌آوری داشته باشند یا بحث کنترل‌های داخلی و نقش فناوری اطلاعات در قابلیت اتکای گزارشگری مالی و اطلاعاتی بانک‌ها مطرح است همچنین موضوع امنیت داده‌ها، حملات سایبری و ریسک‌های عملیاتی هر یک ابعاد متفاوتی دارند. اگرچه همه این موارد ذیل عنوان کلی حسابرسی فناوری اطلاعات قرار می‌گیرند، اما لازم است به تفکیک و با جزئیات به آنها پرداخته شود.

چیت‌سازان با اشاره به چالش‌های موجود در بدنه حرفه‌ای حسابرسی اظهار داشت: خود شرکای موسسات حسابرسی و مدیران این موسسات اذعان دارند که در حال حاضر نیروی انسانی آموزش‌دیده و متخصص در حوزه حسابرسی فناوری اطلاعات به اندازه کافی در اختیار ندارند. این مسئله ایجاب می‌کند که یا نیرو‌های متخصص جذب شوند یا برنامه‌های آموزشی هدفمند برای ارتقای توانمندی حسابرسان موجود طراحی و اجرا شود بدیهی است که بدون آموزش و زبان مشترک، نمی‌توان انتظار داشت که حسابرسی فناوری اطلاعات به‌درستی اجرا شود.

وی ادامه داد: حتی در سطح مفهومی نیز لازم است به یک درک مشترک برسیم. ممکن است از منظر برخی صاحب‌نظران، حسابرسی فناوری اطلاعات عمدتا یک موضوع فنی و آی‌تی‌محور تلقی شود و سهم کمتری برای حسابرسی و مالی قائل شوند، در حالی که از دیدگاه دیگران، ترکیب این دو حوزه متفاوت است. پیش‌نیاز هرگونه مقرره‌گذاری و نظارت موثر، رسیدن به یک تعریف و زبان مشترک درباره موضوعی است که قرار است درباره آن صحبت کنیم و از اشخاص تحت نظارت چه انتظاری داشته باشیم.

مدیر اداره مطالعات و مقررات بانکی بانک مرکزی تصریح کرد: پس از دستیابی به این چارچوب و زبان مشترک، می‌توان درباره نحوه پیاده‌سازی آن در سطح شبکه بانکی و حتی موسسات پولی و اعتباری تصمیم‌گیری کرد. موسسات سپرده‌پذیر، اعم از بانک‌ها، صندوق‌های قرض‌الحسنه و تعاونی‌های اعتباری، همگی با سپرده‌های مردم یا اعضای خود سروکار دارند و از این منظر، ماهیت عملیات آنها تفاوتی ندارد. بنابراین، لازم است مشخص شود آیا یک چارچوب کلی برای همه این نهاد‌ها کفایت می‌کند یا باید متناسب با نوع فعالیت و اندازه آنها، چارچوب‌های اختصاصی طراحی شود.

وی با اشاره به نقش حسابرسان مستقل در نظام نظارتی گفت: همان‌گونه که در حال حاضر حسابرسان مستقل به‌عنوان بازوی نظارتی بانک مرکزی، اقلام نظارتی مشخصی را در بانک‌ها بررسی و گزارش می‌کنند، در حوزه فناوری اطلاعات نیز باید جایگاه و نقش حسابرسان به‌روشنی تعریف شود. اینکه حسابرسی فناوری اطلاعات به‌صورت گزارشی مستقل ارائه شود یا در قالب گزارش حسابرسی موجود ادغام شود، موضوعی است که نیازمند بررسی کارشناسی و تدوین استاندارد‌های مشخص است.

چیت سازان در پایان تاکید کرد: بسیاری از چالش‌های موجود، ریشه در نبود چارچوب شفاف، زبان مشترک و استاندارد‌های روشن دارد. اگر این مبانی به‌درستی تعریف شود، مسیر مقرره‌گذاری، نظارت و اجرا نیز هموارتر خواهد شد و می‌توان انتظار داشت که حسابرسی فناوری اطلاعات به‌عنوان ابزاری موثر در ارتقای سلامت و تاب‌آوری شبکه بانکی کشور ایفای نقش کند.