ریسک فناوری و حسابرسی فناوری، اصلا در بانک‌ها وجود ندارد

خلاصه مدیرتی:

نظارت بر سیستم بانکی، یکی از وجوه لاینفک سیستم‌های اقتصادی مدرن است و عمدتا مشتمل بر سازوکارهایی برای نظارت بر عملکرد بانک‌هاست تا امنیت مالی سپرده‌گذاران، دولت و سیستم اقتصادی را به عنوان یک کل واحد تضمین کند و آنها را از فروپاشی سیستم بانکی و تبعات آن، دور نگاه دارد.

ارتباط مسائل پولی و بانکی با اقتصاد ملی، موجب طرح این پرسش شده که چگونه می‌توان مناسب‌ترین سازوکارها را برای نظارت بر بانک‌ها و مؤسسات مالی به کار گرفت، زیرا هر زمان بحران اقتصادی یا فساد مالی در جامعه رخ می‌دهد، تمام یا بخشی از مشکل، متوجه نظام نظارت بر مؤسسات مالی و بانک‌ها می‌شود.

در نود و پنجمین میزگرد آنلاین (اولین میزگرد سال ۱۴۰۱)،  از سلسله نشست‌های تخصصی بانکداری و اقتصاد دیجیتال که ۱۹ فروردین ۱۴۰۱ برگزار شد، موضوع «ریسک فناوری اطلاعات و امنیت در نظام بانکی» با حضور محمد صادقی، معاون فناوری اطلاعات بانک اقتصاد نوین و آیدین علیزاد پروین، رئیس گروه نظارت بر ریسک فناوری اطلاعاتِ اداره ارزیابی سلامت بانک مرکزی، موردبحث و تبادل‌نظر قرار گرفت. خلاصه این میزگرد، پیش‌روی شماست.

• مستند: حداقل الزامات، تاخیر فراوان

پروین: در مستندِ «حداقل الزامات ناظر بر ریسک فناوری اطلاعات موسسات اعتباری» باید به کلمه «حداقل» توجه شود. اگر قرار بود الزامات شامل بسیاری از موارد باشد، کلمه «حداقل» استفاده نمی‌شد. نظارت بانک مرکزی، یک نظارت ریسک‌محور است. ریسک‌های مختلف مانند اعتباری، شهرت، نقدینگی، عملیاتی و… بر شرایط بانک‌ها مترتب است. ریسک فناوری اطلاعات، یکی از شاخه‌های ریسک عملیاتی است. بازل و دیگر اسناد معتبر، این موضوع را تایید می‌کنند. ما باید این ریسک را کنترل و مدیریت کنیم. یکی از اهداف گروه ریسک فناوری اطلاعات بانک مرکزی، چارچوب‌بخشی و استانداردسازی فعالیت‌های بانک‌ها بر اساس استاندارد روز دنیاست. هدف دوم ارتقای جایگاه فناوری اطلاعات در موسسات اعتباری است. هدف سوم یکپارچه‌سازی نظارت است. همچنین تقویت ساختارهای مدیریت ریسک و حسابرسی فناوری اطلاعات در بانک‌ها به صورت تخصصی توسط افراد متخصص و تقویت حاکمیت فناوری اطلاعات از اهداف دیگر است. ضمنا تنوع سرویس‌ها و زیرساخت‌های بانکداری الکترونیکی، خصوصا بعد از کرونا، نظارت روی سرویس‌ها با چارچوب مشخص در شبکه بانکی را ضروری می‌سازد.

نکته مهم اینکه این مستند، اولین مستند جامع در این زمینه است که یکپارچه‌سازی را مدنظر قرار داده و معیارهای بازرسی و انتظارات رگولاتور مشخص شده است. بانک‌ها هم باید اقدامات مشخصی در این حوزه انجام دهند و بابت میزان انطباق‌شان نسبت به این مستند پاسخگو باشند. درباره استانداردهای مختلف در حوزه‌های گوناگون، ۱۰ فصل تخصصی مانند معماری، امنیت، دیتاسنتر و… در این مستند داریم. برای تهیه این مستند، تقریبا بیش از ۲۰۰۰ نفر- ساعت، زمان صرف شده است. این مستند، یک مستند پایه، جزء ضوابط ابلاغی بانک مرکزی و لازم‌الاجراست. درخصوص نظارت بر فناوری اطلاعات، از سال ۲۰۰۰ به بعد، مستند داریم و حدود ۲۲ سال است که بانک‌های مرکزی دنیا در این حوزه، در حال فعالیت هستند. در این زمینه، تجربیات بسیار زیادی وجود دارد اما متاسفانه ما تاخیر داشته‌ایم.

• مستند: از غفلت‌ها تا چالش‌های اجرایی

صادقی: ما خیلی دیر به این موضوعات وارد شده‌ایم و زمان تدوین دستورالعمل‌ها و بخشنامه‌ها در بانک مرکزی، این حوزه مغفول مانده است. بنده با این سیستم‌ها و چارچوب‌ها موافق بودم، چون الزامی بوده و ما نیز باید نظم و نسق می‌داشتیم و استانداردهایی را رعایت می‌کردیم اما وقتی قرار بر اجرای انواع استانداردها طی دو سه سال باشد و اجرا، در فشار، انجام ‌شود، ایراداتی دارد یا اجرای آن ناقص انجام می‌شود. این مستند، خوب است اما دیر اجرا شده و چون قبلا یک‌سری کارها، اجرا نشده، در مستند، همه‌چیز و حداقل‌هایی از همه جنبه‌ها ارائه شده است. وقتی همه‌چیز در مستند ذکر می‌شود اما نام آن را «حداقلی» می‌گذاریم، در اجرا با مشکل مواجه می‌شویم. یک‌سری الزاماتی هم قاعدتا خود بانک مرکزی باید رعایت کند. یکی از بندهای این مستند در حوزه معماری و ساختار سازمانی می‌گوید معاون فناوری باید هشت سال در حوزه آی‌تی و هشت سال در حوزه بانکی کار کرده باشد. این در حالی است که در انتصابات جدید، خود بانک مرکزی هم اینها را کنترل نمی‌کند!

نکته دیگر اینکه وقتی پایه سیستم‌ها، ‌آی‌تی‌محور است، باید در ریسک‌های عملیاتی، ریسک فناوری نیز به طور کامل و جامع دیده شده باشد در حالی که این ریسک، «اصلا» در بانک‌ها دیده نشده است. کلمه «اصلا» را عمدا به کار می‌برم. همچنین در حسابرسی داخلی بانک‌ها، «اصلا» حسابرسی فناوری وجود ندارد و «اصلا» متخصص در این حوزه نداریم. در حوزه ریسک، نیروی بسیار کمی داریم و در عرصه ریسک فناوری «اصلا»! هرچند در این مستند، حداقل‌ها ذکر شده اما مباحثی در حوزه فناوری داریم که دوستان در نوشتن آن غافل بوده‌اند یا بعدا خواهند نوشت. موضوع اول، نیروی انسانی است و موضوع دوم اینکه ما با سازمان‌هایی در حال کار هستیم که آنها ریسک فناوری به ما وارد می‌کنند. همچنین این مستند به جزییاتی مانند طراحی و نگهداری سیستم جامع ورود کرده که نیاز نبود. دوستان باید واقعیت مملکت را هم می‌دیدند. ظاهرا مستند، ‌با نگاه آن‌طرفی‌، نوشته شده است! در بانک‌های ما، سه چهار سیستم بیشتر وجود ندارد. با وضعیت پیمانکاران موجود در زمینه توسعه سیستم‌ها، پیاده‌سازی بسیاری از موارد مستند امکان‌پذیر نیست.

در حوزه شبکه و برون‌سپاری‌ها هم همین‌طور است. درباره شناسایی مشتریان هم خود بانک مرکزی زمان زیادی صرف کرده تا این موارد را تصویب کند و هنوز در بخش‌هایی، قوانین لازم وجود ندارد و مشکل داریم. در حوزه مراکز داده نیز مباحثی مانند چگونگی کنترل مانورهای دوره‌ای یا اقدامات لازم در زمینه حسابرسی داخلی حوزه فناوری یا ریسک دیده نشده و بیشتر بر روی بعد فنی تمرکز کرده‌اند. در حوزه شبکه هم عنوان شده فلان استاندارد مثلا FCAPS باید مدنظر باشد. وقتی موضوعی را مکلف می‌کنیم، باید بدانیم برخی بانک‌ها با استانداردهای دیگر پیش رفته‌اند. در مجموع، مستند، بسیار گسترده است.

• مهلت ۲۴ ماهه برای تطبیق

پروین: اظهارات آقای صادقی را درباره اینکه این مستند، باید زودتر ابلاغ می‌شد، قبول دارم. البته این موضوع را از نگاه کارشناسی، نه از جایگاه مسئول در بانک مرکزی عرض می‌کنم. با این حال، بانک مرکزی تا چه زمانی باید منتظر باشد یک بانک، صورت‌های مالی نمونه را دریافت کند و معطل پیمانکار باشد؟ البته قصد ندارم زحمات پیمانکاران را نادیده بگیرم اما بالاخره بانک‌ها باید مقداری استقلال در این زمینه داشته باشند. در حوزه هیات‌مدیره نیز همین‌طور. تا حالا شبکه بانکی از این موضوع، غافل بوده است. بالاخره با توجه به اینکه تمام سرویس‌های مملکت به سمت بانکداری الکترونیکی می‌رود، آیا نباید عضو هیات‌مدیره، ‌آی‌تی بلد باشد؟ ۱۰ سال فرصت بدهیم تا ‌آی‌تی یاد بگیرند؟! کی قرار است حاکمیت داده را اجرا کنیم؟ کمیته عالی به همین خاطر مطرح شد. اینکه باید معاونتی وجود داشته باشد در حالی که بعضی بانک‌ها، حتی آن معاونت را ندارند. حسابرسی و مدیریت ریسک باید انجام شود. آیا ‌آی‌تی در بانک‌ها به حسابرسی نیاز ندارد؟ مگر می‌شود نداشته باشد؟!

ماده ۱۲۷ این مستند که آخرین ماده است، از بانک‌ها خواسته برنامه زمان‌بندی ۲۴ ماهه برای تطبیق حوزه‌ آی‌تی با مفاد این الزامات ارائه دهند. انتظار می‌رود در این مدت، انطباق شکل بگیرد. یک بخش از تمام مقرره‌های بانک مرکزی که به شبکه بانکی ابلاغ می‌کند، اقدامات انضباطی است مانند ماده ۱۲۵ و ۱۲۶ همین مستند که از مجازات‌هایی صحبت کرده است. البته امیدواریم کار به آنجا نکشد! ما واقعا به دنبال این هستیم که انطباق انجام شود.

• سنگ بزرگ

صادقی: الان ما هم‌جهت با یکدیگر فکر می‌کنیم. بنده در مخالفت با مستند صحبت نمی‌کنم و معتقدم مستند، لازم و خوب است اما درخصوص نحوه اجرا مسئله دارم. وقتی برای اجرای آن، از بالا شروع می‌کنیم، بهتر است همان کارهایی که بانک مرکزی می‌تواند انجام دهد، بگوید تا بانک، همین الان اجرا کند. چرا باید دو سال زمان ببرد؟ چون برخی از این موارد، دو ساله انجام نمی‌شود. فصل دوم ماده دوم می‌گوید موسسه اعتباری موظف است معماری فناوری اطلاعات را بر مبنای توگف، بایان و چارچوب ملی معماری سازمانی ایران یا ترکیبی از آنها و در حوزه سرویس با رویکرد معماری سازمانی سرویس‌گرا طراحی و تدوین نماید. این در حالی است که الان با کربنکینگ‌ها و شرکت‌هایی که داریم، این امر نشدنی است. چارچوب ملی معماری سازمانی ایران که چند سال پیش ابلاغ شده، روی هواست و کنار رفته است! یعنی آنچه در این مستند نوشته شده، قابل اجرا نیست. به نظرم بانک مرکزی، ابتدا باید آنچه وظیفه خودش است، اجرایی و سپس بانک‌ها را الزام کند که این کارها را انجام دهد. بانک ما (اقتصاد نوین)، هنوز برنامه خود را به بانک مرکزی نداده اما سه چهار ماه پیش، آن را بررسی کردیم و می‌دانیم چه بخش‌هایی را می‌توانیم انجام دهیم، با این حال، شاید به موارد اساسی که بانک مرکزی، به دنبال آن است، نرسیم. به طور کلی، با اینکه این مستند، «حداقل» الزامات است اما با وضعیت مملکت، دستیابی به امنیت آی‌تی در بانک‌ها بر اساس مستند، به خاطر سنتی بودن بانک‌ها، یک سنگ بزرگ است.

• فضای تعامل

پروین: بانک‌ها موظف هستند از بانک مرکزی به عنوان رگولاتور یا ناظر تبعیت کنند اما در فضای تعاملی، قطعا کار بهتر انجام می‌شود. ما به دنبال این هستیم که موضوع را در فضای تعاملی جلو ببریم. این کار، هم به نفع بانک است و هم بانک مرکزی. برنامه ما، ادامه پشتیبانی از این مستند، بازرسی‌های دوره‌ای و انطباق آن در بانک‌هاست. درخصوص مدیریت امنیت نیز تمرکز، لازم است. می‌توان از تجربیات خوب بین‌المللی در این زمینه استفاده کرد. یک ساختار حاکمیتی باید برای این موضوع، طراحی شود که در این ساختار، هرکس وظایف خود را در سطوح مختلف بداند و بانک‌ها هم بخشی از این موضوع هستند.

• از ریسک تمرکز تا پیشنهاد

صادقی: ما در این میزگرد بیشتر به سراغ امنیت رفتیم اما بحث ریسک هم مطرح است. در حوزه ریسک، ما با ریسک تمرکز مواجه هستیم. بانک مرکزی، در بسیاری موارد، خودش نقطه تمرکز شده که همین امر، برای نظام بانکی، ریسک، ایجاد کرده است. ما با یک‌سری سازمان‌ها مانند ثبت احوال در ارتباط هستیم که اگر درست کار نکنند، دچار اختلال می‌شویم. باید این ریسک‌ها را بسنجند و حل کنند. پیشنهاد بعدی اینکه حتما این مستند را دسته‌بندی و اولویت‌بندی کنند و مرحله‌ به مرحله پیش بروند. درباره استانداردسازی سیستم‌ها، وقتی ما سرویس‌گرایی نداریم، توگف یا سرویس‌گرا کردن آن،بانکداری باز، شناسایی مشتریان و استانداردسازی شبکه‌ها یا سیستم‌ها قابل اجرا نیست. اینها را می‌توان در وهله‌های بعدی بررسی کرد و اولویت پایین‌تری برای آن قائل شد. همچنین مواد و بندهای مستند فعلی، هیچ‌کدام وزن ندارند و این امر، نقطه ضعف بزرگ ماده‌ها و تقسیم‌بندی آنهاست.

از مجموع بندها و زیربندها، ماده‌ها و زیرماده‌ها که شامل ۲۷۲ موضوع است، ۱۶۶ مورد، همین الان قابل پوشش و اجراست. ۲۴ درصد آنها که ۶۵ مورد است، در حال اجراست. درباره ۴۱ مورد که ۱۵ درصد را شامل می‌شود، هنوز کاری انجام نداده‌ایم. ۵۰ تا ۶۰ درصد مواردی که رعایت نکرده‌ایم، اتفاقا در حوزه ساختار سازمانی و معماری است که شاید در اختیار بنده نیست و اصلا ساختاری وجود نداشته است.

پادکست : رادیو عصر پرداخت

مدیرمسوول:  عبداله افتاده

مهمانان:  محمد صادقی، معاون فناوری اطلاعات بانک اقتصاد نوین و آیدین علیزاد پروین، رئیس گروه نظارت بر ریسک فناوری اطلاعاتِ اداره ارزیابی سلامت بانک مرکزی

موسیقی : معین صالحی

اسپانسر : شرکت به‌­پرداخت ملت

مشروح این خبر را در ادامه بخوانید

ریسک فناوری و حسابرسی فناوری، اصلا در بانک‌ها وجود ندارد

• نظارت بر سیستم بانکی یکی از وجوه لاینفک سیستم‌های اقتصادی مدرن است و عمدتا مشتمل بر سازوکارهایی برای نظارت بر عملکرد بانک‌هاست تا امنیت مالی سپرده‌گذاران، دولت و سیستم اقتصادی را به عنوان یک کل واحد تضمین کند و آنها را از فروپاشی سیستم بانکی و تبعات آن، دور نگاه دارد.ارتباط مسائل پولی و بانکی با اقتصاد ملی، موجب طرح این پرسش شده که چگونه می‌توان مناسب‌ترین سازوکارها را برای نظارت بر بانک‌ها و مؤسسات مالی به کار گرفت، زیرا هر زمان بحران اقتصادی یا فساد مالی در جامعه رخ می‌دهد، تمام یا بخشی از مشکل، متوجه نظام نظارت بر مؤسسات مالی و بانک‌ها می‌شود.بحث نظارت بر نظام بانکی و مؤسسات مالی در کشور، برای اولین بار در قانون بانکی و پولی کشور مصوب سال ۱۳۳۹ مطرح و بر عهده شورای پول و اعتبار قرار داده شد. این در حالی است که این شورا، وظیفه سیاست‌گذاری در امور پولی و مالی کشور را نیز برعهده دارد. در قانون پولی و بانکی مصوب سال ۱۳۵۱ و اصلاحیه آن در سال ۱۳۹۴، وظیفه نظارت بر نظام بانکی و مؤسسات مالی، به بانک مرکزی سپرده شد. همچنین می‌توان به قانون تنظیم بازار غیرمتشکل پولی مصوب سال ۱۳۸۳ و قانون برنامه پنج‌ساله پنجم توسعه جمهوری اسلامی ایران مصوب سال ۱۳۸۹، درخصوص واگذاری امر نظارت بر نظام بانکی و مؤسسات مالی به بانک مرکزی نیز اشاره کرد.ویژگی مشترک قوانین یادشده، تجمیع وظیفه سیاست‌گذاری در امور پولی و بانکی و امر نظارت در یک نهاد است؛ بی‌آنکه تعریفی دقیق از مفهوم نظارت، اهداف نظارت، اهمیت آن، محدوده اختیارات و وظایف نهاد ناظر در امر نظارت بر بانک‌ها و مؤسسات مالی ارائه شود. در همین ارتباط، ارائه‌کنندگان طرح پیشنهادی تحول در نظام بانکی، ارائه مفهوم و تعریف واژه نظارت و چگونگی آن را بر عهده بانک مرکزی که طی آیین نامه‌ای به تصویب هیأت وزیران خواهد رسید، واگذار کرده‌اند.یکی از ایرادات اساسی ساختار بانک مرکزی که وظیفه نظارت بر نظام بانکی و مؤسسات مالی را بر عهده دارد، عدم استقلال آن و وابستگی به قوه مجریه است. از تعیین و انتصاب رئیس بانک مرکزی تا تبعیت کامل از سیاست‌های اقتصادی قوه مجریه، اصل استقلال بانک مرکزی به عنوان نهاد ناظر بر نظام بانکی، نقض و چالش اساسی این نهاد به شمار می‌آید. با اجرایی شدن اصل ۵۵ قانون اساسی، بانک‌ها، اولین نهادی بودند که از بدنه دولت خارج شدند و بانک‌ها و مؤسسات مالی غیردولتی یا به تعبیری خصوصی شکل گرفتند. به هر حال، امروز شاهدیم موضوع نظارت بانک مرکزی بر نظام بانکی، همچنان از ساختار دقیقی پیروی نمی‌کند. به اعتقاد بسیاری از کارشناسان، اکنون بانک مرکزی، علاوه بر نظارت، وارد حیطه اجرا شده که این امر خود، به تنهایی خطر بزرگی را برای نظام بانکی به دنبال دارد.

  از این‌رو، در نود و پنجمین میزگرد آنلاین از سلسله نشست‌های تخصصی بانکداری و اقتصاد دیجیتال (اولین میزگرد در سال ۱۴۰۱)، با موضوع «ریسک فناوری اطلاعات و امنیت در نظام بانکی» که با حضور محمد صادقی، معاون فناوری اطلاعات بانک اقتصاد نوین و آیدین علیزاد پروین، رئیس گروه نظارت بر ریسک فناوری اطلاعاتِ اداره ارزیابی سلامت بانک مرکزی، برگزار شد، این موضوع، از زاویه دید متفاوت، موردبحث و تبادل‌نظر قرار گرفت. آنچه پیش‌روی شماست، مشروح این گفت‌وگوست. حامی این میزگرد، شرکت به‌پرداخت ملت است.

   

  • آقای دکتر پروین! مهرماه پارسال، از طرف شما مستندِ حداقل الزامات ناظر بر ریسک فناوری اطلاعات موسسات اعتباری به این موسسات و بانک‌ها ابلاغ شد. برای ورود به بحث، بفرمایید چرا این مستند به شبکه بانکی ارائه شد. اهداف‌‌تان چه بود؟ تجربیات جهانی در این زمینه چگونه است و آیا رگولاتورهای سایر نقاط دنیا، به همین شیوه‌ای که ما عمل می‌کنیم، به این مباحث ورود می‌کنند؟

  پروین: ابتدا توضیح مقدماتی می‌دهم و سپس وارد اهداف می‌شوم. باید به کلمه «حداقل» در حداقل الزامات توجه شود. آنچه وجود دارد مستندی ناظر بر منابع مختلف است که ریسک فناوری اطلاعات در یک بانک می‌تواند داشته باشد. اگر قرار بود زمانی الزاماتی ابلاغ شود که شامل بسیاری از موارد مختلف باشد، کلمه «حداقل» استفاده نمی‌شد. همان‌طور که می‌دانید نظارت بانک مرکزی، یک نظارت ریسک‌محور است. به این معنا که ریسک‌های مختلفی که در شبکه بانکی موجود است، احصا می‌شود و نظارت بر این مبنا، تعریف شده است. ریسک‌های مختلفی بر شرایط بانک‌ها مترتب است مانند ریسک اعتباری، ریسک شهرت، ریسک نقدینگی و نظایر آن. یکی از ریسک‌های مهم در این زمینه که از دید ناظران، در تمام دنیا به آن اهمیت داده می‌شود، ریسک عملیاتی است که شاخه‌های مختلفی دارد و الان به آن ورود نمی‌کنیم. ریسک فناوری اطلاعات، یکی از شاخه‌های ریسک عملیاتی است و اهمیت بسیاری دارد. بازل و دیگر اسناد معتبر این موضوع را تایید می‌کنند. ما باید این ریسک را کنترل و مدیریت کنیم. بانک‌ها از یک‌سو و بانک مرکزی به عنوان رگولاتور و ناظر بر شبکه بانکی، از سوی دیگر، باید به آن چارچوب بدهند. یکی از اهدافی که گروه ریسک فناوری اطلاعات در حوزه نظارت بانک مرکزی داشته، چارچوب‌بخشی و استانداردسازی فعالیت‌های بانک‌هاست. اینکه بتوانیم یک‌سری استاندارد روز دنیا و بهترین تجربیات یا همان best practice را در حوزه آی‌تی و بانکی به بانک‌ها الزام کنیم و بانک‌ها، فعالیت خود را بر اساس آن انجام دهند. البته این موضوع به این معنا نیست که فعالیت بانک‌ها، استاندارد است. شفاف عرض کنم که بانک‌ها به این مساله توجه دارند اما رگولاتور هم وظیفه نظارتی خود را دارد. استانداردهای بین‌المللی و بعضا best practiceهای ملی، در این مستند، استفاده شده‌اند. هدف دیگر که از اهداف مهم این مستند است، ارتقای جایگاه فناوری اطلاعات در موسسات اعتباری است. با توجه به اینکه بنده سال‌ها در حوزه ‌آی‌تی بانک مرکزی، در بخش نظارت مشغول بوده‌ام، باید عرض کنم متاسفانه فناوری اطلاعات، عموما به عنوان یک حوزه خدماتی و یک‌سری کارهای مشخص درنظر گرفته می‌شود در حالی که آی‌تی باید جایگاه مشخصی در شبکه بانکی در بانکداری امروز داشته باشد. فعالان حوزه آی‌تی، جزء اقشار زحمتکش در این حوزه هستند و جایگاه آی‌تی باید جایگاه مدیریتی و بالادستی باشد. بنابراین اهمیت و ارتقای جایگاه فناوری اطلاعات، یکی دیگر از اهداف این مستند است. در طول سال‌های گذشته که بخش نظارت بانک مرکزی به بازرسی در حوزه فناوری اطلاعات بانک‌ها اقدام کرده، به یک‌سری اشکالات و چالش‌ها رسیده که اینها به خاطر نبود چارچوب‌های مشخص نظارتی است. پس یکی از اهداف می‌تواند پوشش دادن به این چالش‌ها و مشکلات باشد. هدف بعدی، یکپارچه‌سازی نظارت است؛ یعنی نظارت یکپارچه مبتنی بر دانش بازرسی و حسابرسی، به صورت علمی، مبتنی بر مستندات و استانداردهای روز دنیا باشد. این کار، انجام نشده بود. این مستند، اولین مستند جامع در این زمینه است که یکپارچه‌سازی را مدنظر قرار داده و معیارهای بازرسی و انتظارات رگولاتور برای بانک مرکزی مشخص است و بانک‌ها هم باید اقدامات مشخصی در این زمینه انجام دهند و بابت میزان انطباق‌شان نسبت به این مستند پاسخگو باشند. همچنین به اهداف دیگر مستند مانند تقویت ساختارهای مدیریت ریسک و حسابرسی فناوری اطلاعات در بانک‌ها به صورت تخصصی می‌توان اشاره کرد؛ یعنی انجام کار توسط افراد متخصص و باتجربه که زمینه فعالیت در حوزه فناوری اطلاعات را دارا باشند و بتوانند حسابرسی فناوری اطلاعات را پیش ببرند. تقویت حاکمیت فناوری اطلاعات نیز از جمله اهداف دیگر است که داکیومنت‌های روز دنیا نیز به آن اشاره دارند. همچنین تنوع سرویس‌ها و زیرساخت‌های شبکه بانکی و بانکداری الکترونیکی، خصوصا طی دو سه سال اخیر بعد از پاندمی کرونا، نظارت بر روی سرویس‌ها با چارچوب مشخص در شبکه بانکی را ضروری می‌سازد. درباره استانداردهای مختلف در حوزه‌های مختلف، باید عرض کنم ۱۰ فصل تخصصی مانند معماری، امنیت، دیتاسنتر و… در این مستند داریم. از جمله استانداردهای مطرح مانند استاندارد ۲۷۰۰۱ در حوزه مدیریت امنیت که سال‌هاست ادبیات آن در شبکه بانکی در سازمان‌ها وجود دارد. استاندارد دیگر PCI DSS یا ۳۷۵۰۰ در حوزه قراردادها و برون‌سپاری است یا best practiceهای دیگر مانند FCAPS در حوزه شبکه یا D300 که معیار ملی در حوزه مرکز داده و ATIL است و سایر استانداردها که در این مستند، دیده می‌شود و مرجع قرار گرفته است. برای تهیه این مستند، تقریبا بیش از ۲۰۰۰ نفرساعت زمان گذاشته شده است. در این زمینه، نیاز بانک مرکزی به عنوان رگولاتوری در این حوزه، توجه به مبناها و گزارش‌های بازرسی در طول ۱۰ تا ۱۵ سال گذشته، نظر صاحبنظران و نخبگان بانکی و غیربانکی و مطالعات تطبیقی، لحاظ شده است. درخصوص بخش دوم سوال شما در حوزه تجربیات جهانی نیز باید عرض کنم درخصوص نظارت بر فناوری اطلاعات از سال ۲۰۰۰ به بعد، مستند داریم و حدود ۲۲ سال است که بانک‌های مرکزی دنیا در این حوزه کار کردند و در حال فعالیت هستند. فدرال رزرو در این زمینه، پیشرو است و مستندات بسیار جزئی دارد. در بانک مرکزی آلمان، انگلستان و حتی در گزارش‌های بانک جهانی، این موضوع، خصوصا در حوزه امنیت مطرح بوده است. گزارشی در سال ۲۰۱۹ بررسی کرده بود تمام بانک‌های مرکزی دنیا در حوزه امنیت سایبری چه کار کرده‌اند. تقریبا می‌توان گفت حدود ۸۰ تا ۹۰ درصد کشورهای دنیا، بسته به چارچوب نظارتی و شرایط خودشان، در این زمینه کار کرده بودند. بانک‌های مرکزی آسیایی مانند هندوستان و حتی بنگلادش و در آفریقا، نیجریه و کنیا، در این زمینه داکیومنت دارند و رگولاتوری آنها، سال‌ها پیش در حوزه مدیریت ریسک و امنیت و حوزه‌های مختلف دیگر، به فراخور نیاز خودشان، مستنداتی را ابلاغ کردند. ما حتی ساختارهای بازرسی و حسابرسی بانک‌های مرکزی دنیا را قبل از ابلاغ این مستند، بررسی کردیم. در بسیاری از بانک‌های مرکزی دنیا که بزرگ‌تر یا حتی کوچک‌تر هستند، این ساختارها وجود دارد مانند بانک مرکزی فرانسه، هلند و حتی صربستان. این موارد، بررسی و کار شده و مطالعات تطبیقی در دنیا انجام شده است. در این زمینه، تجربیات بسیار زیادی وجود دارد. متاسفانه ما تاخیر داشته‌ایم.

  • این حداقل الزاماتی که در ابتدای مستند ذکر شده، به این معناست که بانک‌ها ملزم هستند دقیقا مو به مو، بر اساس آنچه در مستند آمده، اقدامات خود را در حوزه فناوری انجام دهند یا این مستندی است که به بانک‌ها پیشنهاد می‌کند؟

  پروین: خیر. پیشنهادی نیست و الزام است اما وقتی می‌گوییم «حداقلی»،  به این دلیل است که حداقل مواردی است که انجام می‌دهند و بسیار فراتر از این موارد، توسط بانک‌ها قابل پیاده‌سازی است. بنابراین این مستند، یک مستند پایه محسوب می‌شود که جزء ضوابط ابلاغی بانک مرکزی است و لازم‌الاجراست.

  • در ادامه مباحث، درخصوص زاویه دید کارشناسی دیگر مبنی بر اینکه شاید چندان به صلاح نباشد بانک مرکزی به جزییات وارد شود، خواهیم پرداخت. بر اساس مستندی که بنده دارم از معماری سازمانی گرفته تا برون‌سپاری، امنیت، مرکز داده، نوع شبکه و ارتباطات در آن اشاره شده است. آقای صادقی! با توجه به اینکه این مستند، پارسال ابلاغ شده، قاعدتا جنابعالی آن را در بانک خودتان به کار گرفته‌اید. اصل ارائه چنین مستنداتی از سمت رگولاتورها منطقی است؟ آیا مستند ارائه‌شده به بانک‌ها کمکی کرده است؟ بالاخره انتهای این ماجراها، بانک در برابر مشتری و حاکمیت، مسوول است و باید پاسخگو باشد. بنابراین بانک چون پاسخگوست، آیا خودش نمی‌تواند با روش‌های بهینه‌تر، کمتر یا بیشتر از آنچه در این مستند آمده، مدیریت این اوضاع را به طور مستقل برعهده بگیرد یا اینکه شما معتقدید رگولاتور باید در نحوه اجرا و به‌کارگیری فناوری ورود کند؟

  صادقی: ابتدا از آقای پروین و همکاران‌شان بابت تهیه مستند تشکر می‌کنم. ایشان در پایان صحبت‌‌شان به مساله عقب افتادن این مستندات و ورود دیرهنگام رگولاتور و بانک‌ها اشاره کردند. فناوری، خواسته یا ناخواسته در نظام بانکی و سایر صنایع، به عنوان ستون و پیشران اصلی سازمان‌ها استفاده می‌شود. فارغ از اینکه برخی سازمان‌ها از آن خوششان نیاید و برخی نهادها از آن استفاده می‌کنند، جایگاه فناوری در سازمان‌ها و بانک‌ها از نظر ارائه سرویس، پیش‌نیاز ارائه سرویس و پیشران ارائه خدمات بهینه به مجموعه خودشان و مشتریان کاملا مشخص است و همه به آن اذعان دارند. موضوع این است که ما خیلی دیر به این موضوعات وارد شدیم و بانک مرکزی، مانند همه بخش‌های دیگر، این قسمت را مدنظر قرار نداده است. وقتی در بانک مرکزی به سمت تدوین دستورالعمل‌ها و بخشنامه‌ها رفته‌اند، این حوزه مغفول مانده است. البته در برخی حوزه‌های دیگر مانند سپرده‌ها، تسهیلات، ضمانت‌نامه و مباحث ارزی به خوبی پیش رفته‌ اما در عرصه ‌آی‌تی، عقب‌افتادگی زیادی در حوزه قانون‌گذاری داریم. موضوع، این‌طور نیست که صرفا به آی‌تی متصل باشد بلکه قسمتی از موضوعات ما در بانک، آی‌تی است اما در ارتباط با همه‌چیز است. از آنجا که اسکلت ارائه خدمات به مشتریان، ‌آی‌تی است، همه بخش‌هایی که بانک‌ها خدمت می‌دهند، ‌آی‌تی حضور موثر و بدیهی دارد. با این وجود، آن‌طور که باید، از حیث قانون‌گذاری به آن توجه نشده و الان، ناگهان در دو سه سال اخیر، تعداد زیادی سیستم، قانون و دستورهای مختلف در این حوزه داشته‌ایم و زیرسیستم‌های مختلفی همراه با فشارهای زیادی به فناوری بانک‌ها وارد شده است. البته بنده خودم با این سیستم‌ها موافق بودم چون الزامی بوده و ما باید نظم و نسقی می‌داشتیم که تا حالا نداشتیم و باید استانداردهایی را رعایت می‌کردیم که نکرده بودیم. طی دو سه سال قرار بر اجرای همه اینها شد و وقتی اجرا، در فشار، انجام می‌شود، نواقص و ایراداتی خواهد داشت و یا اجرای آن ناقص است. آنچه دوستان بانکی اشاره دارند این است که قبلا همه جوانب بررسی شود. وقتی فشار، زیاد می‌شود، بررسی این جوانب به طور کامل انجام نمی‌شود. یک‌سری مشکلاتی در اجرا هم داریم که در دو سه سال اخیر شاهد آن بوده‌اید. با این حال، بنده با اصل موضوع، چندان مخالف نبودم. این مستند، خوب است اما دیر اجرا شده و چون قبلا یک‌سری کارها، اجرا نشده، در مستند، همه‌چیز و حداقل‌هایی از همه جنبه‌ها ارائه شده است. وقتی همه‌چیز در مستند ذکر می‌شود و نام آن را «حداقلی» می‌گذاریم، در اجرا با مشکل مواجه می‌شویم. یک‌سری الزاماتی هم قاعدتا خود بانک مرکزی باید رعایت کند. یکی از بندهای این مستند در حوزه معماری و ساختار سازمانی می‌گوید معاون فناوری باید هشت سال در حوزه آی‌تی و هشت سال در حوزه بانکی کار کرده باشد. این در حالی است که در انتصابات جدید، خود بانک مرکزی هم اینها را کنترل نمی‌کند! بنده فقط به یک مورد اشاره کردم. بقیه موارد هم همین‌طور است. در صفحه اول، فصل دوم، وقتی درباره معماری سازمانی صحبت می‌کند، به این موضوع اشاره دارد که در کمیته دو عضو هیات‌مدیره مسلط به مباحث فناوری حضور داشته باشند. قاعدتا رئیس کمیته باید کاملا مسلط باشد در حالی که در بانک‌های ما، عضو هیات‌مدیره‌ای که در زمینه فناوری متخصص باشد، وجود ندارد؛ یعنی کسی که مسلط باشد، نداریم و این امر، مساله‌ساز است. البته بنده کلیت را قبول دارم و در ساختار، به خوبی ورود کرده است. ما بررسی زیادی روی این مستند در بانک خودمان انجام دادیم. بیشترین موردی که کار نکرده بودیم، در حوزه ساختار و معماری بوده است. این امر نشان ‌داد فناوری، مدنظر قرار نگرفته و جایگاه مناسبی در بانک‌ها حتی در بانک‌های خصوصی که جوان هستند و عمر کوتاهی دارند، ندارد. وقتی درباره ریسک صحبت می‌کنیم، باید دقت کنیم زمانی که پایه سیستم‌ها، ‌آی‌تی‌محور است، باید در ریسک‌های عملیاتی، ریسک فناوری، به طور کامل و جامع دیده شده باشد در حالی که «اصلا» در بانک‌ها دیده نشده است. کلمه «اصلا» را عمدا به کار می‌برم. همچنین در حسابرسی داخلی بانک‌ها، اصلا حسابرسی فناوری وجود ندارد و اصلا متخصص در این حوزه نداریم. در حوزه ریسک، نیروی بسیار کمی داریم و در ریسک فناوری اصلا. در این شرایط، در این مستند، حداقل‌ها ذکر شده اما مباحثی در حوزه فناوری داریم که به نظرم دوستان در نوشتن آن غافل بوده‌اند یا بعدا خواهند نوشت. موضوع اول، نیروی انسانی است و موضوع دوم اینکه ما با سازمان‌هایی در حال کار هستیم که آنها ریسک فناوری به ما وارد می‌کنند که این موضوع، در مستند، کاملا دیده نشده و به جای آن در برخی موارد، به جزییات و مباحثی ورود کرده‌اند که می‌توانستند به این حوزه وارد نشوند مانند زمانی که روی طراحی و نگهداری سیستم جامع صحبت می‌کنیم. در این زمینه، دوستان باید واقعیت مملکت را هم مشاهده می‌کردند. ظاهرا مستند، ‌آن‌طرفی نوشته شده است! اگر واقعی نگاه کنیم، در بانک‌های ما، سه چهار سیستم بیشتر وجود ندارد و اگر با دقت نگاه می‌کردند، با وضعیت پیمانکاران موجود، توسعه سیستم‌ها و فشار زیاد بر روی توسعه، امکان پیاده‌سازی بسیاری از اقداماتی که مطرح شده، نداریم. در زمینه شبکه نیز همین موضوع را داریم. در برون‌سپاری‌ها هم همین‌طور یا وقتی درباره شناسایی مشتریان صحبت می‌کنیم، خود بانک مرکزی، زمان زیادی صرف کرده تا همین موارد را تصویب کند و هنوز در بخش‌هایی، بانک مرکزی، قوانین لازم را ارائه نداده و ما مشکل داریم. به طور کلی، تهیه مستند، کار خوبی است اما می‌توانست در کلیات بیشتر وارد شود و جامع‌نگرتر باشد اما وقتی به فصول بعدی می‌رسیم، با جزییات بیشتری ورود کرده و وارد مباحثی شده که لزومی نداشته و در برخی موارد نیز فراموش کرده ورود کند. وقتی از مراکز داده صحبت می‌شود، مباحثی مانند اینکه مانورهای دوره‌ای کامل آنها چطور کنترل می‌شود یا در زمینه حسابرسی داخلی حوزه فناوری یا ریسک چه کارهایی باید انجام دهیم، دیده نشده و بیشتر بر روی بعد فنی تمرکز کرده‌اند که اینها را در بانک‌ها داریم یا در حوزه شبکه، عنوان شده فلان استاندارد مثلا FCAPS باید باشد. وقتی موضوعی را مکلف می‌کنیم، باید بدانیم برخی بانک‌ها با استانداردهای دیگری پیش رفته‌اند مثلا خود ما با ISO 20000 مبتنی بر ITIL بسیاری از هم‌پوشانی‌ها را انجام دادیم. از آنجا که آقای پروین اشاره کردند این موضوع برای بانک‌ها، الزام‌آور است، اگر در اجرا، این موارد بهتر دیده می‌شد، کمک بیشتری به ما می‌کرد. مستند، بسیار گسترده است و تقریبا ۲۷۲ ماده دارد که درباره هرکدام از آنها می‌توان صحبت کرد.

  • آقای پروین! شما مستندی ارائه داده‌اید که نام آن را حداقلی گذاشته‌اید اما با وضعیت موجود، حداقل شما، ایده‌آ‌لی است که از دید خیلی‌ها، جا مانده است. همان‌طور که آقای صادقی به درستی اشاره کردند در بین اعضای هیات‌مدیره بانک‌ها، حداقل باید دو نفر با دید ‌آی‌تی و متخصص این حوزه با فهم درست از آن، وجود داشته باشند که بانک را به درستی راهبری کنند. فکر می‌کنم به جز دو سه بانک، متخصص ‌آی‌تی، به شکلی که تخصصی کار کرده باشند، نداریم. همچنین در بسیاری از انتصابات که در معاونت‌های فناوری بانک‌ها در حال رخ دادن است، حداقل هشت سال سابقه، به عنوان الزام اصلا رعایت نمی‌شود و نیز در بسیاری از مباحث دیگر مانند کربنکینگ با محدودیت‌هایی که در کشور وجود دارد، مشکل داریم. با توجه به این موارد، لطفا درخصوص اظهارات آقای صادقی پاسخ‌تان را مطرح بفرمایید.

  پروین: ضمن تشکر از نکات آقای صادقی، باید اصلاح کنم این مستند، ۱۲۷ ماده است که ایشان بالای ۲۰۰ ماده اشاره کردند. به مثال‌هایی مانند سامانه جامع بانکداری برون‌سپاری هم اشاره کردند. در این زمینه، شفاف عرض کنم ما یا باید متوقف شویم و هیچ‌کاری نکنیم و ببینیم بالاخره چه اتفاقی می‌افتد یا حرکت کنیم. مثلا برون‌سپاری در شبکه بانکی، بالاخره کی قرار است درست شود؟ بازرس چه زمانی قرار است داخل بانک بگوید فلان دیتا را لازم دارد ولی بانک بگوید دیتا دست پیمانکار است و اینکه پیمانکار، دیتا نمی‌دهد به این علت است که قراردادش طوری نوشته شده که دیتا نمی‌دهد و شش ماه دیگر پیگیری کنید! در این حالت، اگر دست روی دست بگذاریم، ممکن است اتفاقی مانند شبکه کارت سوخت رخ دهد. البته نمی‌خواهم زحمات آن سازمان‌ را زیرسوال ببرم اما بالاخره حرکت باید از یک نقطه شروع شود. صحبت ایشان را قبول دارم که کاش این مستند و چنین مقرراتی زودتر ابلاغ می‌شد. این موضوع را از نگاه کارشناسی نه از جایگاه مسوول در بانک مرکزی عرض می‌کنم. بنده به عنوان کارشناس شبکه بانکی در داخل بانک، این موضوع را می‌پذیرم. در زمینه کُر، تا چه زمانی باید منتظر باشیم یک‌سری پیمانکارهای محدود، بانک‌ها را در دست بگیرند و یک‌سری بانک‌ها، آش را با جاش تحویل دهند! این شرکت‌ها به بانک‌ها می‌گویند اگر قرار است فلان patch را برای کر داشته باشید، قرارداد آن مرکز داده را هم با ما ببندید! آن patch هم مثلا فلان ورژن صورت‌های مالی است که شش ماه پیش ابلاغ کردیم. بانک مرکزی تا چه زمانی باید منتظر باشد یک بانک صورت‌های مالی نمونه را دریافت کند و معطل پیمانکار باشد؟ البته قصد ندارم زحمات پیمانکاران را نادیده بگیرم. آنها هم بسیار زحمت می‌کشند. اینها مثال است. بالاخره بانک‌ها باید مقداری استقلال در این زمینه داشته باشند. در زمینه هیات‌مدیره نیز همین‌طور است. تا حالا شبکه بانکی از این موضوع، غافل بوده است. بالاخره با توجه به اینکه تمام سرویس‌های مملکت به سمت بانکداری الکترونیکی می‌رود، آیا نباید عضو هیات‌مدیره، ‌آی‌تی بلد باشد؟ ۱۰ سال فرصت بدهیم تا ‌آی‌تی یاد بگیرند؟! کی می‌خواهیم بحث حاکمیت داده را اجرا کنیم؟ کمیته عالی به همین خاطر مطرح شد و اینکه معاونتی باید وجود داشته باشد در حالی که بعضی بانک‌ها، حتی آن معاونت را هم ندارند. حسابرسی و مدیریت ریسک باید انجام شود. آیا فناوری اطلاعات در بانک‌ها به حسابرسی نیاز ندارد؟ مگر می‌شود نداشته باشد؟! داکیومنت‌ها و چارچوب‌ها را در دنیا ببینید. زمانی مصاحبه می‌کنیم و شعار می‌دهیم که سرویس‌های آن‌چنانی راه‌اندازی می‌کنیم، از آن طرف مرکز داده ما، افزونگی در حد TIA-942، TR2 را ندارند اینها باید تناسب داشته باشد. اگر در زیرساخت‌مان سرمایه‌گذاری می‌کنیم، باید تعادلی وجود داشته باشد. از یک طرف سرویس‌ها را به سرعت گسترش می‌دهیم، اپلیکیشن می‌نویسیم تا از بانک دیگر عقب نمانیم، از آن طرف، بحث امنیت مطرح است. در این زمینه، چه‌کار کرد‌ه‌ایم و چه‌کار داریم می‌کنیم. آیا مدیریت ریسک، تاثیری در حاکمیت دارد؟ در حاکمیت، مدیریت ریسک، باید در جایگاه بالایی قرار داشته باشد و در تصمیم‌گیری‌ها موثر باشد. برخی مواقع اپلیکیشن می‌نویسیم در حالی که ریسک آن را لحاظ نکرده‌ایم و فقط در اینترنت قرار می‌دهیم. بحث دیگر حقوق مشتریان است. یکی از وظایف بانک مرکزی و بانک‌ها، صیانت از حقوق مشتریان است. البته ما در حوزه ریسک فناوری اطلاعات و نظارت، خودمان را در کنار بانک‌ها می‌بینیم و بحث ما، تعاملی است. بالاخره حرکت باید از یک جایی شروع می‌شد. بحث‌های مختلفی درباره هشت سال سابقه کار مرتبط با فناوری اطلاعات وجود دارد. قبول دارم ممکن است جاهایی نداشته باشیم اما آیا قبول دارید حوزه فناوری اطلاعات باید در دست متخصصان آن باشد و افرادی باشند که در این زمینه کار کرده باشند؟ بله اصلاح اینها زمان خواهد برد اما اعتقاد ما این است باید از نقطه‌ای شروع می‌کردیم که شروع کردیم و این حرکت، بهتر از یک‌جا ایستادن است. تکنولوژی در حال پیشرفت است و این مستند هم متناسب با تغییرات تکنولوژی و شرایط بانک‌ها، ورژن‌های بعدی خواهد داشت. فیدبک‌های بانک‌ها را هم دریافت کرده‌ایم که به طور کلی خوب بوده و اعتقاد شخصی‌ام این است که باید حرکت کنیم.

  • فارغ از اینکه بانک‌ها باید در راس هرم‌شان، هیات‌مدیره‌ای باشد که فهم ‌آی‌تی داشته باشد تا مباحثی که اشاره کردید و موضوعات بزرگ‌تر از آن که در چارچوب کسب‌وکاری بانک‌ها مطرح است، دنبال کنند، به قول یکی از مهمانان پنج شش برنامه قبل، ما در حوزه نظارت بانک مرکزی نیز این ضعف را داریم. در این بخش نیز چندان از مدیرانی که فهم درست و کامل از آی‌تی داشته باشند، غنی نیستیم و تعدادشان، کم است؛ یعنی مشکل نه تنها در بانک‌ها، بلکه در بانک مرکزی هم وجود دارد. این موضوع را تایید می‌کنید؟

  پروین: اجازه بدهید نه تایید کنم نه رد. این، سوالی است که مدیران ارشد باید پاسخ بدهند. با توجه به فعالیت بنده از سال ۱۳۷۵ در حوزه فناوری اطلاعات، واقعیت مملکت این است که تعداد متخصصان آی‌تی، کم است. خصوصا اینکه اخیرا مهاجرت بسیار حاد شده و به‌ویژه در حوزه امنیت، با کمبود متخصص مواجه هستیم و در سال‌های آینده نیز احتمالا با توجه به دیتای منتشرشده، به نظر می‌رسد مهاجرت بیشتر می‌شود. به هر حال باید بتوانیم آن را با نیروی متخصص جدید و تربیت نیروهای تازه‌نفس حل کنیم. کار بانک، لحظه‌ای است و امکان توقف در آن نیست و به هرحال باید جبران شود. درباره هیات‌مدیره، حاکمیت فناوری اطلاعات می‌گوید هیات‌مدیره، بازوی تخصصی داشته باشد و دو عضو هیات‌مدیره، داخل کمیته عالی فناوری اطلاعات باشد. این کمیته یک بازوی تخصصی و نظارتی برای خود هیات‌مدیره است مانند کمیته‌های دیگر، یک‌سری افراد هستند که در آن فقط دو عضو هیات‌مدیره نیستند و اعضای دیگری هم آنجا حضور دارند که صاحبنظر باشند تا به هیات‌مدیره برای تصمیم‌گیری کمک کنند. اینکه تا حالا نبوده، بدیهی است و هیات‌مدیره کمتر به ‌آ‌ی‌تی می‌پرداختند و ممکن است یک‌سری پروژه‌های حوزه ‌آی‌تی، در لایه هیات‌مدیره متوقف می‌شده یا دید مناسبی نسبت به آن وجود نداشته است. این کمیته می‌تواند به هیات‌مدیره کمک کند و خروجی‌های کمیته‌ها می‌تواند همین گزارش‌ها باشد و بگوید این گزارش‌ها لازم است. این کمیته، بازویی است که جریان فناوری اطلاعات را در داخل بانک‌ها ارتقا می‌دهد. لزوما ما انتظار نداریم همه اعضای هیات‌مدیره در این حوزه، متخصص باشند، چون بانک است و تخصص‌شان چیز دیگری است. اگر این کمیته عالی، به درستی تشکیل شود که البته ترکیب آن در نسخه‌های بعدی کامل‌تر خواهد شد، می‌تواند یک بازوی تخصصی و نظارتی مناسبی در بانک، برای اقدامات در حوزه ‌آی‌تی باشد و وظایف آن، اهداف کلان و برنامه‌‌ریزی نیز به طور دقیق ذکر شده است. این‌، همان IT stream committee  است که تقریبا در تمام بانک‌های دنیا داریم و وظایف و مسوولیت‌های آن دقیقا ذکر شده است مانند نظارت بر فرایند مدیریت ریسک، آموزش و پژوهش، نظارت بر اجرای مصوبات هیات‌مدیره و نظایر آن.

  • در همین مستند از بانک‌ها خواسته شده در بازه‌های مختلف زمانی، اجرای مفاد دستورالعمل را در کارتابل مهتاب بارگذاری کنند. به نظر می‌رسد بانک مرکزی با مدل خوداظهاری در این زمینه، پیش می‌رود. جنابعالی رفتار و عملکرد بانک‌ها را از شش هفت ماه قبل تا کنون، چگونه ارزیابی می‌کنید و راستی‌آزمایی شما به چه شکل است؟ در این رابطه، بحث به‌کارگیری رگ‌تک‌ها در حوزه نظارتی نیز موضوعی است که بسیاری از رگولاتورها در دنیا دنبال می‌کنند. متاسفانه در کشور ما، نشنیده‌ام اقدام مشخصی در این حوزه تا حالا اتفاق افتاده باشد. اگر در این زمینه، کاری صورت گرفته، ممنون می‌شوم بفرمایید.

  پروین: ماده ۱۲۷ این مستند که آخرین ماده است، از بانک‌ها خواسته برنامه زمان‌بندی ۲۴ ماهه برای تطبیق حوزه‌ آی‌تی با مفاد این الزامات ارائه دهند و بر این موضوع، تصریح شده است. بخشی از کار، این است که بانک‌ها برنامه‌ای را مستند کنند و تجزیه و تحلیل خودشان و شرایطی که دارند، ارائه نمایند و یک برنامه زمان‌بندی مشخصی برای اجرا داشته باشند. برای این منظور، بانک‌ها در قالب فرم به مهتاب برنامه می‌دهند و بخشی از آن، برنامه اولیه با پیش‌بینی است که تولرانس دارد. اقداماتی که در چارچوب هرکدام از این ماده‌ها قرار است انجام دهند، هر شش ماه در کارتابل مهتاب اظهار خواهند کرد تا بدانیم این کار، چگونه جلو می‌رود و الان بانک در چه شرایطی است و کار، پایش شود. بنابراین بخشی از این کار، غیرحضوری است اما اصل کار ما در گروه ریسک فناوری اطلاعات نظارت on site است؛ یعنی خوداظهاری بانک‌ها با توجه به کارهایی که انجام داده‌اند و مدارکی که گرفته‌اند، صورت گرفته و مستندات، ارائه می‌دهند. بخش مهم‌تر این است که بازرسان ما در گروه، به بانک مراجعه می‌کنند و میزان انطباق‌شان را طبق چک‌لیست‌هایی که برای این کار طراحی شده، بررسی می‌کنند. چک‌لیست مشخصا ماده به ماده، به موضوعات پرداخته و این کار، به صورت حضوری، در بانک، راستی‌آزمایی و صحت‌سنجی خواهد شد. این بخش هم در حال اجراست. با توجه به اینکه بانک‌ها گام به گام پیش می‌روند، ما هم نباید بحث تعامل را فراموش کنیم چون آغاز کار است و حجم کار را بالا می‌برد. ما خودمان را در کنار بانک‌ها می‌بینیم تا کمکی برای پیاده‌سازی استانداردها و best practiceها باشد. البته بازرسان ما مراجعه می‌کنند و عدم تطبیق را با توجه به بندها و ماده‌ها به صورت تخصصی در حوزه‌های مختلف امنیت، مرکز داده و… به بانک گزارش می‌دهند و این چرخه تا زمانی که اصلاح شود، ادامه دارد. مجددا بازرس ما مراجعه می‌کند، زمان اختصاص داده می‌شود و شرایط، بررسی می‌شود و تا زمانی که انطباق به طور کامل، از دیدگاه گروه بازرسی و خود بانک شکل نگرفته باشد، این چرخه ادامه پیدا می‌کند. پس کارتابل مهتاب صرفا برای خوداظهاری است و ما اطلاعات اولیه را از بانک‌ها دریافت می‌کنیم که چه اقداماتی انجام داده‌اند اما کار اصلی، بازرسیِ حضوری خواهد بود. درباره رگ‌تک‌، در حوزه نظارت، کاری انجام نشده و شاید خارج از این حوزه، کارهایی انجام شده اما بنده هم چیزی ندیده‌ام و اقدام مشخصی انجام نشده است. البته در شرح وظایف ما نیست.

  • اگر بانکی این حداقل‌ها را تمکین را نکند، جریمه می‌شود؟ آیا چرخه، مدت زمان مشخصی ندارد که بالاخره تا کی ادامه دارد و باز است؟ بالاخره همه این حوزه‌ها، فعال نیستند.

  پروین: ۲۴ ماه از زمان ابلاغ، برای بانک‌ها، مهلت تعیین شده و انتظار می‌رود در این مدت، انطباق شکل بگیرد. تمام مقرره‌های بانک مرکزی که به شبکه بانکی ابلاغ می‌کند، یک بخش آن، اقدامات انضباطی است مانند ماده ۱۲۵ و ۱۲۶ همین مستند که دقیقا از مجازات‌هایی صحبت شده است. البته امیدواریم کار به آنجا نکشد. ما واقعا به دنبال این مباحث نیستیم بلکه به دنبال این هستیم که انطباق انجام شود و بعد از آن، حرکت‌ها و گام‌های بعدی را به کمک بانک‌ها و کارشناسان دیگر برداریم. مقررات بانکی در بانک مرکزی، همگی الزام‌آور است و مجازات خاص خود را دارد که دوستان می‌دانند.

  • مجموع عملکرد بانک‌ها از شش هفت ماه گذشته تا الان را چگونه ارزیابی می‌کنید؟

  پروین: تقریبا اکثر بانک‌ها، برنامه داده‌اند و بخشی هم با توجه به شرایط کنونی، زمان خواسته‌اند. بانک‌های ما، اندازه‌های متفاوتی دارند. به هرحال با توجه به محدودیت‌ها و شرایط، ما این موضوع را درک می‌کنیم و شرایط همه، یکسان نیست اما تقریبا اکثر آنها با ارتباطات و جلساتی که داریم، اقدام کرده‌اند. ما یک دوره آموزشی کامل در موسسه علوم بانکداری برای این مستند برگزار کردیم. دو جلسه مباحثه با حضور بسیاری از بانک‌ها داشتیم و جلساتی را با فعالان این حوزه در بانک‌ها برگزار کردیم. بانک‌ها هم بعضا سوالاتی داشته‌اند و مکاتباتی انجام داده‌اند که همه آنها را پاسخ دادیم و شفاف کردیم. هرچند یکی از خصوصیات این مستند، شفاف بودن است. هرچند شما اشاره کردید بانک مرکزی وارد اجرا شده که بعدا درباره آن صحبت می‌کنیم. این مستند توسط افراد فنی نوشته شده و می‌توانست واجد یک‌سری کلیاتی باشد که چیزی از آن درنیاید اما موضوعات شفاف‌تر و مشخص‌تر ذکر شده است. با این حال، سوالاتی مطرح بوده که درست است، چون شروع کار بوده و به آنها پاسخ دهیم. تقریبا همه بانک‌ها، کار را شروع کرده‌اند. برخی بانک‌ها، برنامه کامل داده‌اند و برخی دیگر، کامل نبوده است. ما برنامه‌ها را پایش می‌کنیم، چون برنامه‌ها باید متناسب با مواد باشد؛ یعنی مشخصا این تناسب، مهم است. مثلا اگر پروژه، مدیریت امنیت اطلاعات است، پروژه بزرگی است و طبیعتا زمان بیشتری را می‌طلبد. بعضی ماده‌ها، زمان کمتری نیاز دارد و باید این تناسب وجود داشته باشد. در نهایت، مسوولیت با خود بانک خواهد بود. در مجموع، تقریبا تمام بانک‌ها، اقداماتی را انجام داده‌اند و شروع کرده‌اند.

  • آقای صادقی! آیا درباره اظهارات آقای پروین، نکته‌ای مدنظر دارید؟

  صادقی: سوالات و پاسخ‌های خوبی مطرح شد. ما الان هم‌جهت با یکدیگر فکر می‌کنیم. در مخالفت با مستند صحبت نمی‌کنیم. بنده موافقم که این اتفاق افتاده اما درخصوص نحوه اجرا، مساله دارم. اینکه عرض کردم ۲۷۲ ماده و آقای پروین فرمودند ۱۲۷ ماده، به این خاطر بود که ذیل هر ماده، زیرمجموعه‌های زیادی دارد و ما ۲۷۲ مورد را آنالیز کردیم. در مملکت ما این‌طور است که وقتی ما باید برنامه‌ای برای اجرا داشته باشیم و آن را بر عهده بانک‌ها می‌گذاریم، تعارف می‌کنیم و اجرایی در کار نخواهد بود! الان دو سه سال در حوزه بانکداری دیجیتال تلاش شده اما شما بانکداری دیجیتال را به بنده نشان بدهید. اینکه بانکداری دیجیتال بالاخره چه شد. این‌قدر صحبت کردیم، متن ارائه شد، جلسه گذاشته شد، پرزنت شد، آخرش به کجا رسیدیم؟! الان پنج گام به جلو حرکت کردیم یا ۱۰ گام یا چقدر؟! ما نمی‌خواهیم این بلا بر سر این مستند بیاید. بنده عرض کردم این مستند، خوب و لازم است و اجرای آن هم دیر شده و وقتی برای اجرای آن، از بالا شروع می‌کنیم، بهتر است همان کارهایی که بانک مرکزی می‌تواند انجام دهد، بگوید تا بانک همین الان اجرا کند. چرا باید دو سال زمان ببرد؟ چون برخی از این موارد، دو سال نمی‌شود. فصل دوم ماده دوم می‌گوید موسسه اعتباری موظف است معماری فناوری اطلاعات را بر مبنای توگپ، بایان و چارچوب ملی معماری سازمانی ایران یا ترکیبی از آنها و در حوزه سرویس با رویکرد معماری سازمانی سرویس‌گرا طراحی و تدوین نماید. در حال حاضر با کربنکینگ‌ها و شرکت‌هایی که داریم، این امر نشدنی است. چارچوب ملی معماری سازمانی ایران که چند سال پیش ابلاغ شده، روی هواست و کنار رفته است؛ یعنی آنچه در این مستند نوشته شده، قابل اجرا نیست. به نظرم بانک مرکزی، ابتدا باید آنچه وظیفه خودش است، اجرایی و سپس بانک‌ها را الزام کند که این کارها را انجام دهد. ما بانکی هستیم که هنوز برنامه خود را به بانک مرکزی نداده‌ایم اما سه چهار ماه پیش، اینها را کاملا بررسی کرده‌ایم و وضعیت‌مان مشخص است که چه بخش‌هایی را می‌توانیم انجام دهیم اما شاید به آن موارد اساسی که بانک مرکزی دنبال آن است، نرسیم. اینکه ما دیتاسنتر ۱، ۲ و ۳ داریم، درست است اما اینکه واقعا آنجا سرویس می‌دهیم، مشخص نیست یا در بخش ساختار سازمانی مستند، وقتی فرایند حسابرسی داخلی فناوری نداریم، چه برنامه‌ای برای نظارت بر آن فناوری می‌خواهیم ارائه دهیم؟! در بسیاری از بانک‌ها این موضوع یا مواردی مانند ریسک، امنیت، آموزش و پژوهش وجود ندارد. این مستند، کار خوبی است اما در برخی موارد، وارد جزییات شده‌ که باید درباره آن صحبت کنیم. وقتی قرار است کلیت را اجرا کنید، به دو سال موکول نکنید. الان هفت ماه گذشته است. بانک‌ها، ما یا شما چه‌کار کرده‌ایم. یک‌سری واقعیت‌ها را خودتان می‌دانید. بالاخره کربنکینگ‌هایی که ما داریم، همین‌ است و کربنکینگ‌های دیگر با وضعیت نیروی انسانی در مملکت میسر نیست. بنده ۲۵ سال است فعالیت می‌کنم که ۴- ۵ سال آن در بانک مشغول هستم و تمام زندگی کاری‌ام در زمینه توسعه، راه‌اندازی، کانورژن و این موارد، سپری شده است. اگر قرار باشد کربنکینگ بنویسم، با چه کسی بنویسم که مبتنی بر استانداردها یا best practiceهایی که شما اشاره کردید، باشد. چنین فردی را ندارم. استفاده از افراد خارجی هم که نشدنی است. پس بهتر است بر روی واقعیت‌هایی که الان وجود دارد، تاکید بیشتر و روی آن، برنامه‌ریزی کنیم. اینها را بانک‌ها اجرا کنند و بقیه را هم تکه‌تکه انجام دهند نه اینکه سنگ بزرگی را برداریم. با اینکه حداقل الزامات است اما با وضعیت مملکت ما، دستیابی به امنیت آی‌تی در بانک‌ها و جایگاه آن، بر اساس مستند، به خاطر سنتی بودن بانک‌ها، سنگ بزرگ است. جایگاه فناوری اطلاعات از نظر کاری، برجسته است اما از نظر ساختار سنتی، جایگاه محکمی ندارد. اگر بخواهیم در حوزه حقوق و دستمزد، تمایز برای آی‌تی قائل شویم، در حوزه امنیت، زیرساخت، نرم‌افزار و… با مشکل مواجه هستیم. نیروی انسانی که پشت باجه است با نیروی انسانی که در حوزه امنیت یا ادمین دیتابیس است، حتما تفاوت حقوقی دارد اما در بانک‌ها، این تمایز را نداریم. همه این محدودیت‌ها و مقدور بودن‌ها را باید ببینیم، سپس بر این اساس، مستند بدهیم، بر اساس مستند، پلن داشته باشیم و آن پلن، باید فورس شود مانند کاری که در دو سه سال اخیر صورت گرفته است. البته به درست یا غلط بودن آن کار ندارم. بیشتر موافقم که اقدامات صورت‌گرفته در بانک مرکزی، خوب بوده اما باید فورس‌هایی اتفاق بیفتد تا کاری انجام شود. اگر منتظر باشید، مستندهایی داده شود و بانک‌ها هم برنامه‌هایی بدهند و تا دو سال دیگر اجرا ‌کنند، معتقدم این کار، نشدنی است و قطعا در جامعه ما اتفاق نمی‌افتد. موارد اساسی، رخ نمی‌دهد و آنچه برجسته نیست، انجام می‌شود. مثلا بنده به عنوان یک بانک به شما آمار می‌دهم که ۷۰ درصد مستند را کامل کرده‌ام، ۲۰ درصد در حال انجام است و ۱۰ درصد، هنوز انجام نشده است. بعد مشخص می‌شود یک درصد از آن ۱۰ درصد، از نظر ارزش و اهمیت کار، به اندازه آن ۷۰ تا ۸۰ درصد کاری که انجام شده، بالاتر است. از این جنبه، مستند، پختگی نداشت. اگر بانک‌ها در دو سه فاز، کار را انجام می‌دادند‌ و سپس بانک مرکزی، فورس می‌کرد که موارد موظفی را همین الان، شروع به اجرا کنند و بقیه هم به‌تدریج اجرا شود، بهتر بود.

  • به نکات درستی اشاره کردید. از آقای دکتر مرتضی ترک‌تبریزی نقل قول کنم که ایشان معتقدند بانکداری دیجیتال، مبتنی بر پذیرش ریسک است نه ریسک‌گریزی. چند سال پیش صحبت از مجوز بانک دیجیتال شد اما این مجوز صادر نشد. این روزها، اخبار بدی در حوزه نئوبانک‌ها می‌شنویم و بانک مرکزی، بسیار به جزییات وارد می‌شود و کار را در حوزه کسب‌و‌کاری برای بانک‌ها سخت می‌کند مانند شتاب و شاپرک. شرکت‌های حاکمیتی زیرمجموعه بانک مرکزی، به حوزه اجرا ورود کرده‌اند. آقای دکتر! آیا در این زمینه هم ورود کرده‌اید یا اینها شامل حال نظارتی شما نمی‌شوند؟

  پروین: خیر. اینها در محدوده کاری ما نیست. درخصوص نکات آقای صادقی و اینکه شما اشاره کردید بانک مرکزی، در برخی موارد، بیش از حد وارد اجرا شده، اگر قرار باشد ما در زمینه مستند الزامات، بیش از این وارد اجرا شویم، همین الان دوستان، متخصصان بانکی و شما، نسبت به این موضوع، ملاحظه دارید و بیش از این هم ورود به جزییات جایز نیست. البته اگر مستند را دقیق مطالعه نمایید، شخصا دخالت در اجرا را قبول ندارم. جنس مستند، رگولاتوری است و درخصوص موارد، می‌توان به جزییات اشاره کرد. برخی موارد، موضوعات مختلف است. مثلا در حوزه امنیت، یک‌سری الزامات و انتظاراتی داریم که جنس آن با معماری سازمانی متفاوت است. جنس موضوعات با توجه به متفاوت بودنش، این تفاوت را در مستند هم منعکس کرده است. بنده هم موافقم نباید به دخالت در اجرا ورود کرد.

  • بله زیرا در نهایت خود بانک‌ها مسوول هستند و خودشان به واسطه اینکه سازمان مالی هستند، به راحتی از کنار مدیریت ریسک و امنیت رد نمی‌شوند ولی به هرحال، با توجه به نامه‌ای که اخیرا در زمینه نئوبانک‌ها ارسال شده، به نظر می‌رسد بانک مرکزی، به حوزه اجراییات ورود کرده که نام و دامنه چه باشد یا نباشد. اینها دست مدیران را در حوزه نوآوری و رقابت می‌بندد و بانک‌ها نمی‌توانند مسیر را به درستی جلو ببرند. نکته دیگر اینکه الان در کشور، در حوزه امنیت و ریسک فناوری، تعدد مراکز تصمیم‌گیر را داریم مانند افتای ریاست جمهوری، پدافند غیرعامل و حتی سازمان فناوری اطلاعات وزارت ارتباطات. تعدد این مراکز، باعث شده مدیران نظام بانکی کلافه و سردرگم شوند. در کنار اینها، رگولاتور بانکی هم وجود دارد. ارزیابی شما از تعد مراکز تصمیم‌گیر در کشور چیست؟ آیا فکر نمی‌کنید این موازی‌کاری‌های بیش از حد، به صلاح کشور نیست؟

  پروین: البته نهادهایی که نام بردید، عموما نهادهایی هستند که در حوزه امنیت فعالند مانند افتا و پدافند. اینها کمتر در حوزه‌های دیگر فعالیت دارند و اگر نام آن را موازی‌کاری بگذاریم، تعدد متولی در حوزه امنیت است. این امر، نافی مسوولیت‌های بانک مرکزی به عنوان رگولاتور بانکی نیست. چرایی این اتفاق و توازی را نمی‌دانم. یادم هست ۱۰ تا ۱۲ سال پیش، در حوزه عملیات امنیت فعالیت می‌کردم. در آن زمان، بخشنامه‌های متعددی از نهادهای مختلف ارسال می‌شد که لازم‌الاجرا بود و بعضا احتمال اینکه نگاه رگولاتورها با همدیگر متفاوت باشد، وجود داشت. مثلا ممکن است نگاه سازمان فناوری اطلاعات با پدافند یکسان نباشد و هرکدام از دیدگاه خودشان، موضوعی را ابلاغ کنند که لازم‌الاجراست. طبیعتا بانک مرکزی، به عنوان رگولاتور تخصصی در این حوزه، باید وظایف خود را انجام دهد. دلیل اینکه این موضوع، موازی‌کاری و باعث کلافگی است و اینکه چرا امروز به این نقطه رسیدیم که با وجود تعدد این مراکز، دچار یک‌سری مشکلات می‌شویم، نمی‌دانم. این امر نشان می‌دهد در حوزه امنیت، هم اشکالات مقرراتی و هم اشکالات اجرایی داریم. اشکالات اجرایی می‌تواند شامل کمبود متخصص و موارد متعدد دیگر باشد.

  • آقای صادقی! با توجه به اینکه جنابعالی در حوزه اجرا فعالیت می‌کنید، این تعدد مراکز تصمیم‌گیر، چقدر شما یا سایر معاونت‌های فناوری را در بانک‌ها اذیت کرده است؟

  صادقی: همان‌طور که آقای پروین اشاره کردند، به خاطر مخاطراتی که در یک‌سال و نیم و دوسال اخیر داشتیم و به دلیل حملات سایبری و نقایصی که در سیستم‌های بانکی وجود داشت، چندان نکات امنیتی و استانداردها را رعایت نکردیم. وقتی با حملات سایبری به سمت ما هجوم آوردند، نقص داشتیم و با هر حمله‌ای به سازمان‌ها، شاهد لطمات زیادی از حیث سخت‌افزاری و افشای اطلاعات بودیم. هرچند ما در کشور، این اتفاقات را خیلی پررنگ ندیدیم اما هر جای دیگری اتفاق می‌افتاد، وضعیت بحرانی‌تر می‌شد. با این حال، ما که در حوزه فناوری، فعالیت می‌کنیم، شاهد اتفاقات بدی در حوزه امنیت بودیم. بر این اساس، نهادهای زیادی در مملکت با نامه‌نگاری‌ها و برخوردهای متعدد، پیدا شدند که وحدت فرماندهی در آنها وجود نداشت و اذیت‌کننده بود. پایان سال، در بانک مرکزی با معاونت فناوری‌های نوین، معاونان فناوری و حوزه‌های امنیتی از سازمان‌های مختلف جلسه داشتیم. در این جلسه، یکی از ایرادات معاونت‌ها این بود که هر اتفاقی می‌افتد نمی‌دانیم با چه کسی طرف هستیم و هر نهادی نامه ارسال کرد، چه باید کنیم و چرا وقتی اتفاقی می‌افتد، همه نامه می‌زنند که مراقب باشید و به ما گزارش بدهید یا فلان کار را انجام دهید. معلوم نیست ما باید به حرف چه کسی گوش کنیم و چه کسی به ما کمک می‌کند! بالاخره وقتی نامه‌ای ارسال یا دستوری داده می‌شود، بانک‌ها، همان لحظه که اتفاق افتاده، نیازمند کمک است اما انجام نمی‌شود یا اگر اتفاقی می‌افتد، باید یک جریان اطلاعاتی وجود داشته باشد که فلان اتفاق در این سازمان افتاده و حواس‌مان باشد که ما آن را کنترل کنیم یا گفته شود به این دلایل، این اتفاق، رخ داده است. جریان گردش اطلاعات در این زمینه، ضعیف، مساله‌ساز و اذیت‌کننده است. در روزهایی که اتفاقاتی رخ می‌داد، این نامه‌ها به جای اینکه به ما کمک کند، استرس بیشتری را به مجموعه وارد می‌کرد و چون نامه‌ها به مدیرعامل و هیات‌مدیره ارسال می‌شد و آنها هم در زمینه ‌آی‌تی، متخصص نیستند، استرس می‌گرفتند و بیشتر به ما فشار می‌آورند و کاری که خودمان بلد بودیم هم قاطی می‌کردیم! حوزه اساسی دیگر، نظارت بانک مرکزی است. بنده الان نظارت فناوری جامع نمی‌بینم. البته آقای پروین اشاره کردند که قرار است شروع کنند. با توجه به اینکه چند سال است در شرکت‌های PSP هم حضور دارم، می‌دانم کاشف چندین سال است این ممیزی و بازرسی را دارد اما در بانک مرکزی چنین چیزی را نداریم؛ حتی بازرسی از مراکز داده را نداریم و در سایر موارد در مستند الزامات، نیز چندان بازرسی را شاهد نیستیم و بیشتر خوداظهاری است. شما سراغ رگ‌تک رفتید اما باید عرض کنم اصلا نظارت وجود ندارد. وظیفه رگ‌تک‌ها به عنوان شرکت‌های واسط این است که به بانک‌ها کمک کنند یک‌سری موارد را رعایت کنند و به بانک مرکزی کمک کنند نظارت را کامل انجام دهد. شاید انتظار اینکه بانک مرکزی خودش انجام دهد، چون نیروی متخصص در این حوزه، در بانک‌ها هم چندان وجود ندارد، میسر نباشد. اگر قرار باشد به خاطر عملیاتی شدنِ بسیاری از مواردی که در مستند وجود دارد، سازمانی در بانک ایجاد کنیم که تمام اینها را اجرا کند، باید یک سازمان بزرگ در هر بانک داشته باشیم تا آنچه در مستند به عنوان حداقل الزامات آمده، پیاده‌سازی کنیم. الان این موارد را نداریم. بسیاری از دغدغه‌ها فقط به نامه‌نگاری ختم می‌شود و کاری انجام نمی‌شود. آنچه ما الان باید به سمت آن برویم نه بانک مرکزی، چندان توجه می‌کند و نه خود بانک‌ها. امیدوارم مخاطره‌ای از این جنبه برای ما رخ ندهد. آنچه بیشتر شاهد هستیم، نامه‌نگاری است تا گفته شود ما نامه را قبلا ارسال کرده‌ایم!

  • آقای پوراعظم هم به درستی در گروه اشاره کردند که کاشف بازوی اجرایی بانک مرکزی در حوزه امنیت است. در برنامه‌های قبل هم صحبت شد که متاسفانه بانک مرکزی، به صورت سیستماتیک، داشبورد نظارتی بر روی بانک‌ها ندارد و عملا به شبکه بانکی متصل نیست.

  صادقی: اتفاقا ما بارها در جلسات گفتیم بگذارید فقط کاشف را بشناسیم و با آن سروکار داشته باشیم و با مرکز فضای مجازی افتا، حراست بانک مرکزی، حراست سازمان و… طرف نباشیم. ما و کاشف با همدیگر صحبت کنیم و کاشف با هرکس دوست داشت صحبت کند. این مساله، الان وجود ندارد.

  • شنیده‌ام از طرف اداره امنیت اطلاعات بانک مرکزی با امضای آقای مهاجر، یک نامه به بانک‌ها ارسال شده مبنی بر اینکه یک IP معرفی کرده‌اند که بانک‌ها این IP را باز بگذارند تا بانک مرکزی با آن کربنکینگ و سیستم‌های داخلی که با آن کار می‌کنند، ارزیابی عملکرد کنند. آیا این موضوع را تایید می‌کنید؟

  صادقی: سال قبل، یک نامه‌نگاری در این زمینه انجام شد و ما و سایر بانک‌ها با آقای مهاجر و سایر دوستان صحبت‌هایی انجام دادیم ولی هنوز به جایی نرسیدیم. بنابراین چنین موضوعی مطرح شده اما جزییات آن و اینکه چه‌کار قرار است انجام دهند، مشخص نبود. چون این کار برای بانک‌ها ابهام داشت، همه بانک‌ها این سوال را پرسیده بودند اما هنوز جواب شفافی نداده‌اند.

  • به نظرم این حرکت که نامه به ۳۴ بانک ارسال کنیم و یک IP معرفی کنیم که بانک، باز کند و وارد آن شویم، اشتباه است. اگر کسی با آن IP، سوءاستفاده کند، چه کسی قرار است پاسخگو باشد؟ اینکه بررسی عملکرد امنیتی بانک‌ها نیست. اگر دوستان قرار است فایروال‌ها یا هرچیزی را بررسی کنند، باید با IP ناشناس رخنه کنند تا ببینند می‌توانند رخنه کنند یا خیر، نه اینکه بگویند در را باز کنید تا شما را بررسی کنیم! آقای پروین! ما از این حرکت‌ها در کشور داریم! نمی‌دانم شما در جریان این موضوع بودید یا خیر؟

  پروین: من هم از این موضوع، تعجب می‌کنم. شخصا بعد از ۲۵ تا ۲۶ سال کار کردن در حوزه ‌آی‌تی، باید عرض کنم اصلا این کار، بازرسی فنی نیست. این کار، on site است. شرایط ما با سایر دنیا متفاوت است. فرض کنید قرار است کر را مانیتور کنیم، مگر می‌شود ما اینجا بنشینیم و مانیتور کنیم؟! ما دنبال چنین چیزی نیستیم. بازرسی مستند، on site است، چک‌لیست دارد و بازرس، انطباق آن را چک می‌کند. اگر قرار باشد لود اضافی بر روی کر بانک‌ها، سرویس‌ها و سیستم‌ها بگذاریم، نظارت نیست. نظارت ما مبتنی بر best practiceهای دنیا و علمی است. بازرسانی تربیت شده‌اند که به بانک، مراجعه می‌کنند و انطباق را با روش‌های مختلف مانند مصاحبه و آنچه آموزش دیده‌اند، انجام می‌دهند. اینکه به صورت off site و آنلاین چنین کاری را انجام دهیم، در برنامه ما نیست و به دنبال آن هم نیستیم، ضمن اینکه این کار، مخاطرات دیگری به همراه خواهد داشت که وارد جزییات آن نمی‌شوم.

  • به نظر می‌رسد دوستان بانک مرکزی برای رفع این خطا، باید از نیروهای متخصص استفاده کنند و سربسته عرض‌ کنم افرادی را انتخاب نمایند که شهامت برخورد با تخلفات را داشته باشند. به سوال پایانی رسیدیم. سال ۱۴۰۱ و قرن جدید با تمام سختی‌های آن آغاز شد. برنامه‌های شما در سال جدید چیست و قرار است چه اقداماتی انجام دهید؟ همچنین نکات پایانی جنابعالی را درباره مباحث مطرح‌شده می‌شنویم.

  پروین: برنامه‌های ما، پیگیری جدی همین موارد و پایش آنهاست. یکی پایش به صورت غیرحضوری که خود بانک‌ها خوداظهاری می‌کنند و به‌ویژه پایش حضوری از طریق جلسات با مدیران عامل، مدیران ذیربط و معاونان فناوری. امسال شروع بازرسی‌ها خواهد بود، هرچند پارسال، پایلوت‌هایی داشته‌ایم و فیدبک‌ها را گرفته‌ایم. مجددا با برنامه مشخصی، بازرسی شروع خواهد شد و راستی‌آزمایی، صحت‌سنجی و انطباق در بانک‌ها را خواهیم داشت. همچنین برنامه‌های مکمل دیگر که می‌تواند به بانک‌ها در این زمینه کمک کند، خواهیم داشت تا آتوریتی بانک‌ها را در این زمینه افزایش دهیم که به موقع ابلاغ خواهد شد. امیدوارم بانک‌ها موضوع را جدی بگیرند. این حرکت، شروع شده و حمایت بانک‌ها کمک می‌کند تا کارها پیش برود. البته بانک‌ها موظف هستند از بانک مرکزی به عنوان رگولاتور یا ناظر تبعیت کنند اما در فضای تعاملی، قطعا کار بهتر انجام خواهد شد. ما به دنبال این هستیم که کار را در فضای تعاملی جلو ببریم. این کار، هم به نفع بانک است و هم بانک مرکزی. برنامه ما، ادامه پشتیبانی از این مستند، بازرسی‌های دوره‌ای و انطباق آن در بانک‌هاست. در مجموع مباحث خوبی مطرح شد و زوایایی از موضوع، شفاف شد مانند اینکه نظارت بر ریسک فناوری اطلاعات، جزء وظایف ذاتی بانک مرکزی است و شفاف‌سازی باید انجام می‌شد. ما استقبال می‌کنیم این ادبیات در حوزه رسانه وارد شود. در جلسات، این مباحث مطرح است و رسانه‌ هم در این زمینه، کمک‌کننده است. درخصوص مدیریت امنیت نیز باید عرض کنم تمرکز، لازم است و نکات آقای صادقی، کاملا درست است. می‌توان از تجربیات خوب بین‌المللی در این زمینه استفاده کرد. یک ساختار حاکمیتی باید برای این موضوع، طراحی شود که در این ساختار، هرکس وظایف خود را در سطوح مختلف بداند و بانک‌ها هم بخشی از این موضوع هستند. طبیعی است وقتی مشکلی پیش می‌آید، همه دستپاچه می‌شوند. به هرحال، واکنش در آن لحظه، بسیار مهم است و کمک نهادهای بالادستی را به لحاظ فنی نیاز دارد که این امر نیز یک تصمیم بالادستی می‌طلبد.

  • هرچقدر در این زمینه‌ها صحبت کنیم، کم است. چنانچه قبل از وقوع حادثه درباره آن برنامه نداشته باشیم و تصمیم‌سازی نکنیم، در صورت ورود به بحران، خصوصا با وضعیت فعلی و تعدد نهادهای تصمیم‌گیر مانند پلیس فتا، افتا و پدافند غیرعامل که یقه بانک‌ها را می‌گیرند، با مشکل مواجه می‌شویم و این وضعیت، برازنده مملکت نیست. همان‌طور که در مستندات قانونی نیز اشاره شده، این حوزه، در اختیارات بانک مرکزی است و هماهنگی در نهادهای حاکمیتی کشور باید به جایی برسد که یک نهاد پاسخگو باشد و همه به آن مراجعه کنند و اگر سوال یا دستورالعملی وجود دارد، از کانال بانک مرکزی به بانک‌ها ابلاغ شود نه اینکه هر نهاد، مستقیما ورود کند. حدود دو سال پیش، پلیس فتا به طور مستقل و مستقیم، نامه‌ای را در این حوزه به بانک‌ها ابلاغ کرد که نه برازنده نظام بانکی است و نه حاکمیت بانک مرکزی. امیدوارم با حضور حضرتعالی که در این میزگردها، شرکت و درباره موضوعات، شفاف‌سازی می‌کنید، وضعیت بهتری را شاهد باشیم. قرار بود ما مهمانان دیگری هم داشته باشیم اما متاسفانه به دلایل و ملاحظاتی که معلوم نیست، دوستان حاضر نشدند در برنامه، شرکت کنند. پیشنهاد این است که دوستانِ واحدهای امنیتی و نظارتی، موضوعات را خیلی حساس و امنیتی نکنند. مباحثی که در رسانه صحبت می‌کنیم، قطعا می‌دانیم تا کجا باید ورود کنیم. ما حدود و ثغور خودمان را می‌دانیم و اینکه مباحث محرمانه نباید طرح شود. حضور عزیزان کمک می‌کند متخصصان و مدیران این حوزه، زاویه دید بهتری کسب کنند تا در ادامه راه، کمک‌کننده باشد. خواهش من این است که در ادامه برنامه‌ها که قطعا دوباره به این موضوع برمی‌گردیم، صحبت کنند. نمی‌دانم چرا دوستان امنیتی، همیشه موضوعات را با بدبینی دنبال می‌کنند. این نگاه، خوب نیست و ان‌شاءالله این دوستان نیز بیشتر در این حوزه ورود کنند. آقای صادقی! جنابعالی هم برنامه‌های خود را در سال ۱۴۰۱ و آغاز قرن جدید بفرمایید. همچنین سخن پایانی شما را هم می‌شنویم.

  صادقی: اگر اجازه بدهید بنده جمع‌بندی از مباحث داشته باشم. ما در این میزگرد بیشتر به سراغ امنیت رفتیم، در صورتی که بحث ریسک هم مطرح است. در حوزه ریسک، ما با ریسک تمرکز مواجه هستیم. اینکه سیستم‌های ما متمرکز شده، خودش موجب ریسک شده است. بانک مرکزی، در بسیاری موارد، نقطه تمرکز شده که همین امر، برای نظام بانکی، ریسک، ایجاد کرده است و شرکت‌هایی که با بانک مرکزی کار می‌کنند و ما با آنها کار می‌کنیم، خودش ریسک‌زا شده است. خودتان وضعیت پیامک‌ها را در انتهای سال قبل، مشاهده کردید که در ادامه نیز افزایش نرخ داشتیم. همچنین ما با یک‌سری سازمان‌ها مانند ثبت احوال، به خاطر کنترل‌های لازم بر روی مشتریان و صحت اطلاعات در ارتباط هستیم که اگر این سازمان‌ها درست کار نکنند، در نظام بانکی دچار اختلال می‌شویم. این ریسک‌ها در این حوزه، مطرح نشده اما باید آن را بسنجند و حل کنند. پیشنهاد بعدی اینکه حتما این مستند را دسته‌بندی و اولویت‌بندی کنند و مرحله‌ به مرحله پیش بروند. مثلا بانک‌ها ابتدا این پنج بند یا ماده را اجرا کنند و سه ماه بعد، چند ماده یا بند دیگر را. حتی اگر نام این موضوع، دخالت باشد، بنده مشکلی ندارم و به این موضوع، قائل هستم تا فورس صورت گیرد مانند اتفاقاتی که در بانک مرکزی، طی دو سه سال گذشته، در اجرای سیستم‌ها رخ داد تا برنامه، ارائه و موضوعات اساسی، حل شود. درباره استانداردسازی سیستم‌ها، وقتی ما سرویس‌گرایی نداریم، توگپ یا سرویس‌گرا کردن آن، بانکداری باز، شناسایی مشتریان، استانداردسازی شبکه‌ها یا استانداردسازی و راه‌اندازی سیستم‌ها که مستندها، فلان شکل باشد، قابل اجرا نیست، بلکه می‌توان اینها را در وهله‌های بعدی بررسی کرد و اولویت پایین‌تری را برای آن قائل شد اما اولویت بالاتر به مسائلی که در اختیار خود بانک مرکزی است و مسائل حاد که کل نظام بانکی را تحت‌الشعاع قرار می‌دهد، اختصاص یابد. در این زمینه، باید از بانک‌ها برنامه، خواسته و به اجرا گذاشته شود. مواد و بندهای مستند فعلی، هیچ‌کدام وزن ندارند و این امر، نقطه ضعف بزرگ ماده‌ها و تقسیم‌بندی در ۱۲ فصل است. بنده اینها را در بانک خودمان آنالیز کردم. بندها و زیربندها، ماده‌ها و زیرماده‌ها، شامل ۲۷۲ موضوع است که ۱۶۶ مورد، همین الان قابل پوشش و اجراست. ۲۴ درصد آنها که ۶۵ مورد است، در حال اجراست. همچنین ۴۱ مورد که ۱۵ درصد را شامل می‌شود، هنوز کاری برای آن انجام نداده‌ایم یا رعایت نکرده‌ایم. بیشتر مواردی که رعایت نکرده‌ایم، اتفاقا در حوزه ساختار سازمانی و معماری است که شاید در اختیار بنده نیست و اصلا ساختاری وجود نداشته است. با این عدد، وضعیت ما خوب است اما خودمان اصل موضوع را می‌دانیم. اینکه معماری سازمانی، مستندات، روال‌ها و… را نداریم، شاید وزن آن به اندازه ۵۰ تا ۶۰ درصد مستند الزامات باشد. ما برنامه‌ای برای مواردی که نداریم، رعایت نکردیم و برای برنامه‌های در دست اجرا، تا انتهای سال، اقداماتی مدنظر داریم و به آن می‌رسیم اما درباره یک‌سری موارد، به طور واقع‌بینانه باید عرض کنم، نشدنی است و پیاده‌سازی آن به سادگی میسر نیست. اگر قرار باشد طرح جامع فناوری اطلاعات را تدوین و به درستی اجرا کنیم، قطعا در یکی دو سال اتفاق نمی‌افتد. می‌توان آن را مانند مستندات دیگر به صورت کاغذی در قفسه گذاشت یا اینکه در مستند، گفته شده اطلاعات بانک‌ها باید بر مبنای توگپ، بایان و چارچوب ملی باشد که به این سادگی میسر نمی‌شود. این موضوعات، خارج از اختیار ماست چون پیمانکار بیرونی داریم و پیمانکار باید حضور پیدا کند تا مسائل حل شود. در مجموع، مستند تهیه‌شده را ارزشمند می‌دانم و از دوستان برای ورود به این حوزه و تهیه این مستند، تشکر می‌کنم. امیدوارم به اجرای آن کمک کنند و اثرات آن هم دیده شود. درباره مخاطره‌ای که اشاره کردید دوستان، محتاط شده‌اند و حرف نمی‌زنند، این امر، خوب نیست. این موضوع، نیز از جمله ریسک‌هایی است که دوستان باید درنظر بگیرند و البته نباید برخورد صورت گیرد تا مسائل، راحت‌تر بیان شود زیرا مبحث، فنی است و افراد، به غیر از حل مشکلات، غرضی ندارند.

  • در پایان باید عرض کنم تایید برخی انتصابات توسط بانک مرکزی و سایر نهادها، باعث می‌شود مدیران محتاط‌تر صحبت کنند و بنابر ملاحظاتی، برخی حرف‌ها را که باید مطرح کنند، ابراز نکنند. با این حال، فکر می‌کنم همه دوستان تایید می‌کنند ما در رسانه «عصر پرداخت» به موضوعات تخصصی می‌پردازیم بدون اینکه از گروه، افراد یا مجموعه اقتصادی خاص، جانبداری ویژه کنیم. امیدوارم این نگاه، بیشتر توسعه پیدا کند و دوستان، بیشتر به مباحث ورود کنند. در سه روز پایانی سال گذشته، شاهد بودیم اختلالاتی هرچند کم، حداقل در حوزه تراکنش‌های فروشگاهی وجود داشت. تعدادی از بانک‌ها نیز در روزهای آخر سال، آن‌طور که باید و شاید، سرویس نمی‌دادند. در این موارد، همان‌طور که آقای صادقی اشاره کردند، بحث تمرکز در سیستم‌ها با ورود بانک مرکزی نیز مطرح است. بانک مرکزی اجازه نمی‌دهد بانک‌ها، خودشان، شبکه‌ای شبیه شتاب راه‌اندازی کنند تا هم بار شبکه کاهش پیدا کند و هم ریسک را بردارد و هم اینکه اگر روزی اتفاقی برای این شبکه رخ داد، جایگزینی برای آن وجود داشته باشد تا بتوانیم سرویس را به شکل مناسب به دست مردم برسانیم.