اساس نوآوری با رگولاتور ساختار موازی ندارد/ ذات API ناامن است
در گفت و گو با مدیرعامل فرابوم چالش های بانکداری باز تشریح شد؛
اگر یک نهاد ثالث به عنوان سرویس گیرنده بخواهد API بگیرد باید یک رابط یا آشنا در بانک اول داشته باشد؛ چون بانکداری باز در هیچ یک از بانکهای ایران واحد متولی به این نام ندارد؛ بعضی از بانکها نام آن را بانکداری شرکتی، بعضی بانکداری شخصی و بعضی دیگر بانکداری تجاری گذاشتهاند و برخی هم آن را به آیتی سپردهاند که اتفاقاً آیتی در این مسئله دخیل نیست؛ چرا که مفهوم بانکداری باز بیشتر از جنس مدل کسب و کاری است و فناوری اطلاعات نقش فنی و اجرایی بر عهده دارد.
به گزارش پایگاه خبری بانکداری الکترونیک ، صادق فرامرزی مدیرعامل فرابوم در گفت و گو با ماهنامه بانکداری آینده به طرح مشکلات پیادهسازی بانکداری باز در بانکها پرداخت.در بیان راهکارها نیز سخن به میان رفته است؛ از جمله اینکه لزوم ایجاد تعادل بین امنیت و ریسک برای ارائۀ خدمات از طریق Open API به این معنی که مدیران با مقوله ریسک منطقی برخورد کنند؛با هم این گفت و گو را می خوانیم:
* آقای فرامرزی، لطفاً به محور اول از زاویه خارج از بانک اشاره کنید. به نظرتان بانکداری باز به عنوان یک پارادایم (الگوی) فکری چقدر در ذهن مدیران نهادینه شده است؟
مطالعۀ تحلیل ها و گزارش های بین المللی نشان می دهد که سفر اکوسیستم بانکداری در دنیا در سه مرحله تعریف شده است؛
مرحلۀ اول، حالتی است که در آن بانک ها خدمات و محصولات را به صورت درون سازمانی یا به کمک پیمانکارانشان تعریف میکنند و در اختیار کاربران خود قرار می دهند. این مرحله شامل تحول دیجیتالی نیز می شود که محصولات و کانال هایی مانند موبایل بانک و اینرنت بانک در آن به صورت انحصاری توسط بانک طراحی و ارائه می شود. این مرحله که به صورت انحصاری در اختیار بانک است و می تواند باعث افزایش دیجیتالی شدن بانک شود، همچنان حالتی است که از آن تحت عنوان بانکداری سنتی یاد می شود. مراد از سنتی در این مرحله این است که بانک برای ارائۀ خدمات خود به صورت اختصاصی عمل کرده و وارد پارادایم اقتصاد اشتراکی نشده است.
مرحلۀ دوم، معرف وضعیتی است که بانک، خدمات خود را در بستر بانکداری باز در اختیار موجودیتی به نام نهاد ثالث قرار می دهد و این موجودیت، خدمات و محصولات را به سفر مشتری بانک اضافه می کنند. در این مرحله بانک وارد پارادایم اقتصاد اشتراکی شده است؛ اما اکوسیستمی به معنای جامع حول آن شکل نگرفته است.
مرحلۀ سوم که در دنیا در حال برنامه ریزی است و رویکرد اجرایی ما در همین مرحله است، حالتی است که بانک ایجاد کنندۀ یک اکوسیستم است و در کنار خدمات مالی، رهبری یک ارکستریشن از خدمات غیر مالی را نیز بر عهده می گیرد. این مرحله وضعیتی است که در اصطلاح Bank as a Platform تعاملات مالی و غیر مالی را بین اجزای مختلف اکوسیستم ایجاد و مدیریت می کند؛ ولی به نظرم هنوز در بانکداری سنتی گیر کردهایم. تصور میکنیم؛ بانکداری دیجیتال راهاندازی کردهایم؛ ولی در واقعیت بانکداری دیجیتال با مفهوم الکترونیک راهاندازی شده است که کماکان به open API نمیتوانیم بیندیشیم.
* آیا اعتقاد دارید یا نمیتوانید فکر کنید؟
معتقدم؛ این نوع اعتقادات انتزاعی به وجود میآیند؛ به تعبیر دیگر مجبور میشویم اینطور بیندیشیم؛ بنابراین بانکها نیز مجبور شدند اینطور بیندیشند. شروع آن از حاکمیت است؛ یعنی روزی حاکمیت دستور میدهد که بانکها مراکز نوآوری ایجاد کنند؛ بنابراین همه چنین میکنند. حاکمیت دستور میدهد؛ سند بانکداری اقتصاد دیجیتال منتشر کنند همه یاد بانکداری دیجیتال میافتند؛ به تعبیر دیگر این ادبیات سر زبانها میافتد؛ البته این کار اتفاق عجیب و بدی نیست. یادگیری همین جا به وجود میآید. به نظرم دورة بانکداری دیجیتال و بانکداری باز در ایران دورة آموزش به مدیران را سپری میکند که این دوره منجر به تغییر پارادایم میشود؛ به تعبیری ذهن مدیران تغییر میکند.
* این تعبیر شما مربوط به درون بانکهاست؛ ولی جامعة خارج از بانک خیلی پیشروتر این ادبیات را دریافته و حتی عملی کرده است.
دقیقاً فینتکها، استارتاپ ها و مشتریها علاقهمندند که سرویس را به راحتی و بدون حضور در شعبه دریافت کنند.
* از دو منظر به موضوع نگاه کنید؛ بخش اول مشتریان بانک هستند که از محصولات مختلف بانکی استفاده میکنند. بخش دوم صاحبان ایده و محصول که متقاضی API هستند. آیا بانکها ممکن است به بخش اول مشتریان خود بسنده کرده باشند؟
ما ابری از بانکها و سرویسدهندههای دیگر همچون گمرک، شهرداری، بیمه، بورس، مالیات و … داریم زیر این ابر هم ابر دیگری از سرویسگیرندگان (نهادهای ثالث) قرار دارند زیر این ابر نیز ابر دیگری قرار دارد که بنا به مدل کسب و کار ی سرویسدهندگان می توانند B2B یا B2C باشند و اصلاً موضوع بحث من نیست. اصلاً موضوع بحث من نیست؛ اگر یک نهاد ثالث به عنوان سرویس گیرنده بخواهد API بگیرد باید یک رابط یا آشنا در بانک اول داشته باشد؛ چون بانکداری باز در هیچ یک از بانکهای ایران واحد متولی به این نام ندارد؛ بعضی از بانکها نام آن را بانکداری شرکتی ، بعضی بانکداری شخصی و بعضی دیگر بانکداری تجاری گذاشتهاند و برخی هم آن را به آیتی سپردهاند که اتفاقاً آیتی در این مسئله دخیل نیست؛ چرا که مفهوم بانکداری باز بیشتر از جنس مدل کسب و کار ی است و فناوری اطلاعات نقش فنی و اجرایی بر عهده دارد.
در نتیجه یک متقاضی API با استفاده از یک رابط یا آشنا میتواند به بانک برسد و با آشنای دیگر، آن بانک را قانع کند که به او API بدهند. اما این قضیه چندین ماه طول میکشد. بعد از پایا ن کار آن فرد به دلیل نیاز بازار و توسعۀ محصول خود به این نتیجه می رسد که یک بانک و یک سرویس کافی نیست؛ بنابراین مرتب سراغ بانکهای دیگر میرود در این حالت دو اتفاق مهم میافتد؛ اول اینکه مهمترین ابزار زنده ماندنش را که زمان است از دست میدهد. دوم اینکه اگر هم موفق شود و زمان را از دست ندهد با انبوهی از مدلهای مختلف API و روال های متنوع مواجه میشود و یک تصویر وحشتناکی برای او شکل میگیرد. اینجاست که پلتفرمها به میان میآیند و نقش تسهیل گری شکل میگیرد تا به او API دهند؛ بنابراین این کسب و کار ها هستند که بانکها و مؤسسات دیگر را مجبور به ارائۀ API میکنند.
به نظر میرسد؛ مدیران بانکی شاید به دلیل الزامات حاکمیتی قائل به این هستند؛ ولی بدنه دچار مشکل است؛ به ویژه بانکهای خصوصی چون کماکان سنتی فکر میکنند.
* من تصور میکردم کاملاً برعکس است و دولتیها سنتیتر میاندیشند.
هر دو مدل وجود دارد. مدیرعامل و هیئت مدیره نمیتوانند با آن موافقت نکنند؛ چون دولت تأکید میکند که باید امکان دسترسی را فراهم کنند.
مدیریت بانکداری باز ، شامل چندین فرایند است که از میان این فرایندها چند بخش آن عذابآور است از جمله انطباق با قوانین، مدیریت ریسک و مدیریت امنیت که این دو بخش آخر وحشتناک هستند.
ابزاری که امروز به عنوان مانع برای حرکت صحیح از آن استفاده میشود بخش مدیریت ریسک و مدیریت امنیت در بانکهاست. ذات بانکداری باز توجه و حرکت به سمتی است که در آن رویکرد Closeness جای خود را به رویکرد Openness می دهد. این رویکرد از وضعیت کاملاً بسته تا وضعیت کاملاً باز یک طیف را تشکیل می دهد و در هر قسمت از این طیف میزان مالکیت، کنترل، ریسک و امنیت و نوآوری حالت های متعددی را دربر می گیرد؛ بنابراین ممکن است بعضی معتقد باشند که ما قرار گرفتن در نقطه ای از این طیف را قبول داریم که همه چیز به صورت کاملاً باز باشد و در عمل وقتی نظر بخش امنیت و ریسک منفی باشد در نتیجه فرایند در همانجا متوقف میشود به همین دلیل میبینیم که در بانکهای بزرگ و کوچک هیچ اتفاقی نمیافتد. در صورتی که ما در جانمایی خودمان در طول طیف مطرحشده، تمامی دغدغه های اکوسیستم بانکی و پرداخت را برای تمام اجزای ذینفع در نظر می گیریم و اتفاقاً مقولۀ تطبیق پذیری با رگولاتوری را نیز با توجه ویژه دنبال می کنیم.
* آیا میتوان چنین نتیجه گرفت که بانکها به جای اینکه ساختار ایجاد کنند با ایجاد مراکز نوآوری عملاً مسئله را پنهان کردهاند؟
بعضی از اقدامات صرفاً با هدف انجام تکالیف انجام شدهاند؛ البته این هم بد نیست به هر حال وقتی قانونگذار یا حاکمیت، شما را مجبور به کاری میکند؛ یعنی خودتان به این نتیجه نرسیدهاید و شما را مجبور میکنیم که آن را انجام دهید و یک سال بعد سراغتان میآید تا خروجی کارتان را ببیند؛ بنابراین نباید اینها را مرتبط با یکدیگر در نظر گرفت؛ مثلاً مراکز نوآوری انتزاعی به وجود آمدند.
امروز بانکها معتقدند که باید سامانهها را خودمان بنویسیم که از منظر مراحل شکلگیری اکوسیستم بانکداری، همان مرحلۀ اول و سنتی است ولو اینکه دیجیتالی باشد؛ به بیان دیگر بانک دگردیسی مالکیت و حاکمیت را نمیپذیرد و کماکان اصرار دارد همۀ کانالها در مالکیت خودش باشد. این رویکرد چیز عجیب و غریبی نیست؛ اما نکتة بسیار مهم که در بعضی بانک ها حل شده است و برای آن فرایند وجود دارد؛ ولی در بعضی دیگر مشاهده یا تجربه نمی شود، «مدیریت ریسک» است. چرا لایة میانی نمیتواند تصمیمگیری کند و میگوید باید رگولاتور بالای سر من باشد؟ چون نمیتواند ریسک کند. اساس نوآوری Open Innovationها است و اساس Open Innovation حداقل با رگولاتور ساختار موازی ندارد؛ تعبیر دیگر آن این است که باید صبر کنیم تا رگولاتور تصمیم بگیرد. همیشه نوآوری از مقررات، پیشروتر است و تجربۀ جهانی هم این موضوع را به صورت کامل تأیید می کند؛ به همین دلیل در مستندات جدید از مقررات چیزی نمیگوید؛ بلکه از کلمة انطباق یا Compliance استفاده میکند؛ به تعبیر دیگر قانون وجود دارد و شما باید خود را با آن منطبق کنید؛ یعنی در جاهایی باید ریسک را بپذیرید.
* برای پذیرفتن ریسک باید چه اقداماتی انجام داد؟
باید اندازه مدیریت ریسک تعریف شود؛ مثلاً من برای پنج هزار تومان به دادگاه احضار نشوم؛ چون مدیریت ریسک تعریف نشده است نحوۀ برخورد با مبلغ پنج هزار تومانی با 10 میلیارد تومانی برابر است. چطور باید انتظار داشت کارمند بانک API باز را در اختیارم بگذارد و پای همة آسیبهای آن بایستد. مشتری مدعی است که من مالک دیتای خود هستم شما چهکاره هستید که نمیگذارید دیتای من در اختیار فلان شرکت قرار گیرد؟ مشتری درست میگوید؛ اما اگر اتفاقی برای دادهاش بیفتد، از بانک شکایت میکند؛ چون مدیریت ریسک، تنظیمشده نیست. بر همین اساس بانکها به ویژه بانکهای بزرگ میگویند تا قانونگذار، مقرراتِ مشخص ابلاغ نکند ما کاری انجام نمیدهیم با اینکه این وظیفه را بر عهدۀ امنیت قرار دادهاند؛ اما امنیت هم نمیتواند تصمیم بگیرد و در رابطه با چیزی که نمی تواند تصمیم بگیرد، آن را رد می کند و این ضربۀ جدی به رشد اکوسیستم و توسعۀ کسب و کار ها می زند.
* یعنی باید کسی باشد که مسئولیت را بر عهده بگیرد؟
بحث مدیریت ریسک کلان تر از این است که یک شخص یا یک طرف مسئولیت آن را بپذیرد. زمانی که صحبت از ریسک می شود اولاً باید میزان آن و اینکه چه مخاطراتی را می تواند ایجاد کند، مشخص شود؛ اما مسئلۀ مهم تر مدیریت ریسک و پذیرش آن در سطحی است که برای بازیگران اکوسیستم بانکداری باز معقول باشد؛ یعنی ذینفعان چنین صنعتی که شامل بانک، پلتفرم بانکداری باز ، نهادهای ثالث و مشتریان نهایی هستند، از منظر ریسک و مدیریت آن نیاز به تحلیل و کار کارشناسی دارد.
* آقای فرامرزی، لطفاً به نقش بومها برای بهبود فضا اشاره کنید؟
به GDP انگلستان در سال گذشته یک میلیارد پوند فقط به دلیل حرکت در عرصۀ بانکداری باز افزوده شد و پیش بینی می شود تا سال 2022 ارزش بانکداری باز در این کشور چهار برابر شود و به عدد 7.2 میلیار پوند برسد؛ در نتیجه این مسئله نشان میدهد که بانکداری باز ، یک باید است؛ چون سبب میشود یک سری کسب و کار نهان که زیر سایۀ بانکها امکان عرض اندام نداشتند زاده شوند و بهتر عمل کنند.
یکی از مباحث ما در سطح ایران و یکی از مباحثمان در سطح جهان همین است. مقررات در دنیا میگوید؛ من به اندازۀ کافی کارهایم را انجام دادهام و انجام هم میدهم و اساساً وقتی به جای فینتک صحبت میکنید؛ یعنی فناوری مالی که با پول طرف است؛ بنابراین قوانین در همه جای دنیا سختگیرانه است و کسی که میخواهد امکانات و سرویس دهد ریسک خود را با این قوانین منطبق میکند. همیشه مقررات در حال رشد هستند؛ ولی از نوآوری عقبترند. در ایران هم به همین شکل است.
به نظرم بانکهای بزرگ که تصمیمگیری در آنها بسیار دش وار است صبر میکنند قانونگذار برای آنها تصمیم بگیرد؛ بنابراین در بازار بانکداری باز عقب میافتند و اساساً شاید نباید به سراغ بانکداری باز به مفهومی که دربارۀ آن صحبت کردیم، بروند؛ اما چون مشتری خواهان است چیز عجیب و غریبی ایجاد میشود و سرویسها به صورت حداقلی ارائه میشوند در این صورت چیزی به نام حاکمیت زاده میشود که رقیب بازار خصوصی پلتفرمهاست؛ به تعبیر دیگر حاکمیت، سامانهای ایجاد میکند و میخواهد که از او سرویس دریافت کنند. نکتهای که در اینجا باید به آن اشاره کنم این است که حاکمیت نباید در این بازار شروع به رقابت کند.
به این ترتیب، بانکهای بزرگ دچار مشکل هستند؛ چون باید صبر کنند تا قانونگذار برای آنها تصمیم بگیرد و اگر بانک بزرگی این مسیر را بشکند به سرعت جلو خواهد رفت.
* اصلی وجود دارد و آن اینکه ریسک را در خود نگه ندارید. بانکهای بزرگ باید به این اصل توجه کنند و ریسک خود را به ساختارهای خارج از خود منتقل کنند.
مهمتر اینکه ریسک را اندازهگیری کنند. مدیریت ریسک یعنی برآورد اینکه چه از دست میدهید و چه چیزی به دست میآورید.
* لطفاً به راهکارها اشاره کنید؛ مثلاً وقتی احساس ریسک میکنید، ساختارهایی وجود دارد که میتوانید آنها را منتقل کنید.
من هم به عنوان پلتفرم بانکداری باز یک نقطه ریسک هستم. بانک مالکیت و دیتای مشتری را میخواهد. اگر این قسمت قانونمند شود احراز هویت، در بزرگی را باز خواهد کرد. احراز هویت، مانع بسیاری از کارهاست؛ بنابراین به نظرم این نکته بسیار مهم است که بانکها دنبال راهکاری نباشند که ریسک را به چه کسی منتقل کنند.
* مثلاً بانک ملی با بوم مشارکت کرد؛ اما آیا نمیتواند اعتماد کند؟
شراکت و سرمایهگذاری و بانکداری موضوعات کاملاً متفاوتی از یکدیگر هستند. حتماً در این شکل از مشارکت، تعامل به صورت بهتری انجام می شود؛ اما یک شرایط دوگانه در همین رابطۀ مشارکت نیز وجود دارد. زمانی که من به عنوان مدیرعامل یک پلتفرم بانکداری باز در رابطه با ایجاد اکوسیستم و توسعۀ شرکت ایفای نقش می کنم و سعی در تسهیلسازی ارائۀ خدمات از سمت سرویس دهندگان به سرویس گیرندگان (کسب و کارها) را برنامهریزی و هدایت می کنم، در برخورد با موانع و دست اندازها معترض هستم؛ اما در طرف دیگر میز هم یک بانک نشسته است که چون اندازۀ ریسک مشخص نیست، ممکن است؛ اگر خودم آن طرف میز نشسته بودم، مقاومت هایی را از خودم نشان می دادم؛ بنابراین تحت شرایطی که رگولاتوری در این صنعت وجود ندارد و چرخ-دنده های اجزای این اکوسیستم هنوز کامل به هم گیر نکرده است، تعریف حوزۀ ریسک و میزان آن و از همه مهمتر مدیریت ریسک، مقوله ای است که باید در مورد آن بحث و گفتوگو شود و به یک تعامل سازنده رسید. برآورد میزان ریسک و مدیریت آن، تعامل بین یک پلتفرم بانکداری باز و بانک را در غیاب رگولاتور، بهبود می دهد. ما در زمینة تکنولوژی و درخواست در حوزة مشتریان خیلی جلو هستیم؛ اما در بخش پلتفرمها و انتقال API از سمت سرویس دهنده به سرویس گیرنده، چندان امکانپذیر نیست. ما هنر دیگری هم داریم و آن اینکه APIها را با یکدیگر ترکیب و به محصول تبدیل میکنیم؛ مثل بازار متشکل ارزی .
بازار متشکل ارزی با ترکیب سه API ساده استعلام تراکنش، انتقال وجه و گزارش صورت-حساب، ایجاد شد؛ بنابراین میتوان از ترکیب API شهرداری و بانک ایکس برای یک مشتری خاص یک محصول ایجاد کرد. امروز Open Innovation در بحث سامانههای یکپارچه به شدت انقلاب به راه انداخته است.
هنر بومها را صرفاً در تجمیع و انتقال API نبینید. به نظرم اینها در ترکیب API و تولید محصولات جدید میتوانند نقش بسیاری داشته باشند.
نکتۀ دیگری که در مورد آن در وزارت اقتصاد صحبت شد تشکیل سندباکس ملی است. امروز استارتاپ ها اماننامه میخواهند، میگویند؛ شش ماه بعد از روزی که شروع به کار کردیم به ما فرصت دهید؛ همانطور که میدانید ذات استارتاپ با سعی و خطا و تجربه عجین است؛ چون در مواردی طراحان آن با قوانین آشنا نیستند و میتواند هزاران اتفاق بیفتد. این نکته هم در حوزۀ بانکداری باز بسیار اهمیت دارد.