هدف بانک مرکزی کاهش ریسک‌های فناوری اطلاعات است

به گزارش خبرنگار ایبنا، آیدین علیزادپروین، رئیس گروه نظارت بر ریسک فناوری اطلاعات بانک مرکزی در نشست تحلیلی «ظرفیت‌ها و چالش‌های حسابرسی فناوری اطلاعات در زیست‌بوم بانکی» با اشاره به نقش محوری بانک مرکزی به‌عنوان مرجع صلاحیت‌دار در فرآیند حسابرسی مستقل فناوری اطلاعات تاکید کرد و گفت: لازم است نقش، مسئولیت‌ها و الزامات این حوزه با دقت و نگاه تخصصی تبیین شود، چراکه ریسک‌های مترتب بر آن، به‌ویژه ریسک افشای اطلاعات، بسیار جدی و حساس است.

علیزاد‌پروین با اشاره به بحث مطرح‌شده در رابطه با ترجمه مفهوم «IT Audit» گفت: در سال‌های فعالیت خود، چه در حوزه عملیات فناوری اطلاعات و چه در حوزه نظارت، بار‌ها با این پرسش مواجه شده‌ایم که آیا واژه حسابرسی، ممیزی یا ارزیابی ترجمه دقیق‌تری برای IT Audit است یا خیر. پس از بررسی‌های متعدد و تجربه عملی، به این جمع‌بندی رسیده‌ایم که تمرکز بیش از حد بر واژه‌ها راهگشا نیست؛ آنچه اهمیت دارد، چارچوب، استاندارد، خروجی گزارش و اثربخشی آن در نظام نظارتی است. در اسناد بین‌المللی، از جمله داکیومنت‌های فدرال رزرو، این مفاهیم عملا در یک معنا به کار می‌روند و تفاوت ماهوی میان آنها قائل نمی‌شوند.

وی افزود: آنچه برای ما به‌عنوان نهاد ناظر اهمیت دارد، این است که خروجی فرآیند حسابرسی یا ارزیابی فناوری اطلاعات، بتواند در تصمیم‌گیری‌های نظارتی و ارتقای تاب‌آوری موسسات اعتباری موثر باشد. بنابراین، استفاده از هر واژه‌ای که به این هدف کمک کند، مسئله اصلی نیست بلکه کیفیت اجرا، گزارشگری و اثربخشی آن اهمیت دارد.

رئیس گروه نظارت بر ریسک فناوری اطلاعات بانک مرکزی با اشاره به تفکیک حسابرسی داخلی و حسابرسی مستقل فناوری اطلاعات تصریح کرد: در دنیا از دهه ۱۹۸۰ میلادی، به‌ویژه در کشور‌های پیشرفته، اسناد و چارچوب‌های مشخصی در خصوص حسابرسی مستقل فناوری اطلاعات تدوین شده است. ما باید به‌طور شفاف میان حسابرس داخلی فناوری اطلاعات، حسابرس مستقل و نقش نهاد ناظر تفکیک قائل شویم. بدون این تفکیک، امکان اعمال نظارت موثر وجود ندارد.

وی با اشاره به ابلاغ ضوابط حداقل الزامات ناظر بر ریسک فناوری اطلاعات در سال ۱۴۰۰ گفت: چهار سال از ابلاغ این ضوابط گذشته است. در آن زمان به‌صراحت اعلام کردیم که بانک‌ها باید ساختار حسابرسی داخلی فناوری اطلاعات داشته باشند، ریسک فناوری اطلاعات را شناسایی و مدیریت کنند و بلوغ مدیریت فناوری اطلاعات خود را ارتقا دهند. بخشی از این الزامات اجرا شده، بخشی در حال اجراست و بخشی نیز هنوز محقق نشده است. البته باید اذعان کرد که وضعیت امروز نسبت به چهار سال قبل بهبود یافته، اما همچنان با نقطه مطلوب فاصله داریم.

علیزاد‌پروین با انتقاد از نگاه هزینه‌محور به فناوری اطلاعات در برخی بانک‌ها اظهار داشت: متاسفانه در برخی مدیریت‌های سنتی، فناوری اطلاعات هنوز به‌عنوان هزینه دیده می‌شود، نه سرمایه که گاهی ترجیح داده می‌شود به‌جای سرمایه‌گذاری در زیرساخت‌های حیاتی فناوری اطلاعات، شعب فیزیکی جدید ایجاد شود، در حالی که ارزیابی برخی مراکز داده بانک‌ها نشان می‌دهد که در مواردی با شرایطی نزدیک به فاجعه مواجه هستیم. این نگاه ریسک فناوری اطلاعات را تشدید می‌کند و در زمان بحران، آثار آن آشکار می‌شود.

وی افزود: در بحران‌های اخیر نیز به‌وضوح مشاهده کردیم که ریسک فناوری اطلاعات و ریسک سایبری به اندازه کافی جدی گرفته نشده است. ما در کشور اسناد حداقل الزامات ناظر بر ریسک فناوری اطلاعات را عمدتا در شبکه بانکی داریم، اما در بسیاری از صنایع حیاتی دیگر چنین اسنادی وجود ندارد. از همین تریبون تاکید می‌کنم که صنایع حیاتی کشور باید فناوری اطلاعات و ریسک‌های مرتب بر آن را به‌صورت جدی در دستور کار قرار دهند.

رئیس گروه نظارت بر ریسک فناوری اطلاعات بانک مرکزی با اشاره به وضعیت فعلی حسابرسی مستقل فناوری اطلاعات گفت: یکی از چالش‌های جدی امروز، ورود افراد و جریان‌های غیرتخصصی به این حوزه است. در همه دنیا، حسابرسی فناوری اطلاعات توسط افرادی انجام می‌شود که دانش عمیق فناوری اطلاعات دارند و در کنار آن، آموزش‌های تخصصی حسابرسی، ریسک و چارچوب‌های مرتبط را گذرانده‌اند. صرف بستن قرارداد با چند فرد بدون تعیین صلاحیت حرفه‌ای و فنی، نه‌تنها کمکی به نظام بانکی نمی‌کند، بلکه بازار را دچار اختلال می‌کند.

وی تصریح کرد: گزارش‌هایی که در این حوزه تهیه می‌شود، باید مشخص باشد چه نهادی آنها را اعتباربخشی می‌کند. همان‌طور که گزارش‌های مالی پس از سال‌ها تجربه، سازوکار اعتباربخشی مشخصی در بانک مرکزی دارد، گزارش‌های حسابرسی فناوری اطلاعات نیز باید مورد تایید بانک مرکزی قرار گیرد. نمی‌توان گزارش‌هایی تولید کرد که نه اعتباربخشی شده‌اند و نه مشخص است چگونه قرار است در فرآیند نظارتی استفاده شوند.

علیزاد‌پروین با تاکید بر محرمانگی شدید گزارش‌های حسابرسی فناوری اطلاعات گفت: این گزارش‌ها حاوی جزئیات آسیب‌پذیری‌ها و نقاط ضعف زیرساخت‌های فناوری اطلاعات بانک‌هاست و به‌هیچ‌وجه قابل افشا نیست. ریسک افشای اطلاعات در این حوزه بسیار بالاست و افرادی که به این اطلاعات دسترسی پیدا می‌کنند، باید از نظر صلاحیت حرفه‌ای، فنی و امنیتی به‌دقت ارزیابی شوند. فرآیند حسابرسی فناوری اطلاعات از این منظر، کاملا متفاوت از حسابرسی مالی است.

وی گفت: تعیین صلاحیت موسسات و افراد فعال در حوزه حسابرسی فناوری اطلاعات، یک ضرورت اجتناب‌ناپذیر است؛ حتی باید مشخص شود که یک حسابرس فناوری اطلاعات، صلاحیت ورود به حسابرسی کدام بانک را دارد. خواهش ما این است که اجازه داده شود بانک مرکزی به‌عنوان رگولاتور، نقش خود را در این حوزه ایفا کند. ورود بی‌ضابطه و غیرتخصصی، نه‌تنها کار را تسهیل نمی‌کند، بلکه فرآیند را کندتر، پیچیده‌تر و پرریسک‌تر خواهد کرد. هدف نهایی ما، ارتقای اثربخشی نظارت، کاهش ریسک‌های فناوری اطلاعات و افزایش تاب‌آوری شبکه بانکی کشور است.

علیزاد‌پروین گفت: اقداماتی که پیش‌تر در قالب پایلوت انجام شده، ناظر بر اجرای مدل بلوغ در این حوزه بوده است. اساسا بسیاری از فعالان، مدل بلوغ حسابرسی فناوری اطلاعات را به‌درستی نمی‌شناسند. مسئله اصلی این است که وقتی از حسابرسی صحبت می‌کنیم، با یک فعالیت کاملا تخصصی روبه‌رو هستیم که باید صرفا توسط افراد خبره، دارای تخصص و تجربه انجام شود. این سه مولفه تخصص، خبرگی و تجربه باید به‌صورت توامان وجود داشته باشد و سوال جدی این است که چه میزان از این الزامات در حال حاضر در این حوزه تامین شده است.

وی افزود: حسابرسی فناوری اطلاعات یک پروژه مقطعی نیست که بتوان آن را صرفادر قالب پایلوت و در دامنه‌ای محدود اجرا کرد که این موضوع، یک بحث حاکمیتی است و اگر بانک مرکزی به این جمع‌بندی برسد که چارچوبی را ابلاغ کند، آن چارچوب باید با در نظر گرفتن شرایط تمامی بانک‌ها و اشخاص تحت نظارت، به‌صورت لازم‌الاجرا در کل شبکه بانکی پیاده‌سازی شود. پایلوت، مفهومی پروژه‌محور است و در جایی کاربرد دارد که با اجرای محدود، بخواهیم ریسک‌های اجرایی یک پروژه را بسنجیم؛ اما حسابرسی فناوری اطلاعات، از جنس مقرره‌گذاری و نظارت حاکمیتی است.

وی با اشاره به رویکرد ریسک‌محور در نظارت تصریح کرد: برای اینکه نظارت موثر انجام شود، باید حداقل الزامات ناظر بر ریسک فناوری اطلاعات به‌روشنی تعریف شود این الزامات بر اساس فصول مختلف و منابع تولیدکننده ریسک طراحی می‌شوند. به‌عنوان مثال مرکز داده یکی از منابع مهم ریسک فناوری اطلاعات است که ماهیتی عملیاتی دارد و همه ریسک‌های آن الزاما امنیتی نیست که امنیت، تنها یکی از منابع تولیدکننده ریسک در این حوزه است در کنار آن، موضوعاتی مانند برون‌سپاری، مدیریت پروژه و تحویل خدمات فناوری اطلاعات، از چالش‌های جدی امروز شبکه بانکی محسوب می‌شوند.

وی ادامه داد: اگر قرار باشد این مسیر به‌درستی طی شود، آموزش و تربیت نیروی متخصص نقش کلیدی دارد چرا که نمی‌توان انتظار داشت افرادی که دانش و مهارت تخصصی در این حوزه ندارند، وارد حسابرسی فناوری اطلاعات شوند. همان‌طور که یک متخصص آی‌تی نمی‌تواند بدون دانش حسابداری درباره صورت‌های مالی اظهار نظر کند، حسابرسی فناوری اطلاعات نیز نیازمند شناخت عمیق چارچوب‌ها، استاندارد‌ها و مدیریت ریسک فناوری اطلاعات است.

وی در پایان خاطرنشان کرد: فناوری اطلاعات امروز به یکی از مهم‌ترین دارایی‌های بانک‌ها تبدیل شده و ضریب نفوذ آن در تمامی فرایند‌ها افزایش یافته است. هرگونه اختلال در این حوزه، علاوه بر ریسک عملیاتی، می‌تواند به ریسک شهرت و خدشه‌دار شدن اعتماد عمومی منجر شود. حسابرسی فناوری اطلاعات، ابزاری موثر برای شناسایی این ریسک‌ها، ارزیابی کنترل‌ها و ارائه گزارش‌های کاربردی به بانک‌ها و نهاد ناظر است این چرخه اصلاح و بهبود باید به‌صورت مستمر ادامه یابد تا تاب‌آوری، تداوم کسب‌وکار و سلامت شبکه بانکی کشور تقویت شود.