شاخصه های مطرح در نظارت هوشمند بانک مرکزی/ نگاه مدیران IT بانک‌ها به مقوله نظارت جدی نیست/تکنولوژی های مورد نیاز نظارت هوشمند

آزاده محسنی- نظارت هوشمند در صنعت بانکداری امروز جهان ،اصلی ترین بستر نظارت از سوی مقام ناظر نسبت به کلیه عملیات بانکی است که در بازل 3 نیز روی آن بسیار تاکید شده و از توصیه های مهم این کمیته  به بانکهای دنیاست. علاوه براین کارشناسان داخلی نیز بر آنند که تاخیر در پیاده سازی  نظارت هوشمند در ایران می تواند بانکداری را با چالش های اساسی روبرو کند .

اینکه بانک مرکزی در ایران قرار است چگونه این بستر را فراهم کند و بانکها نیز بتوانند زمینه اجرایی شدن این نظارت را در فرایندهای مختلف بانکی در داخل بانک فراهم کنند ، همچنین هر کجا  تراکنشی صورت می گیرد چگونه قابل نظارت باشد محور اصلی گفتگوی  خبرنگار پایگاه خبری بانکداری الکترونیک باعباس رادور زنگنه، هیات مدیره  شرکت داده کاوان پیشرو است.

وی معتقد است مدیران IT بانک‌ها با مقوله نظارت به صورت عملیاتی و جدی برخورد نمی‌کنند. همچنین در بحث نظارت هوشمند بانک مرکزی باید به سه وظیفه اصلی خود(سیاست گذاری ،نظارتی وعملیاتی ) دقت کند . گفتگو با وی از پی می آید:

************************************************

نظارت هوشمند نیاز جدی صنعت بانکداری در ایران است ودر خارج از کشور نیز به این مسایل جدی‌تر پرداخته شده است در ایران تا چه اندازه به این نیاز پرداخته شده است؟

 بحث نظارت در شبکه بانکی که شبکه رگولیت است یعنی مجموعه‌ای از ضوابط بر نهاد‌های مالی اعمال می‌شود و این نهادها باید این ضوابط را لحاظ کنند، به عنوان یک نیاز جدی همیشه وجود داشته و تا حدی اجرا هم می‌شده ، با این تفاوت که جنس نظارت متفاوت بوده است. در کشور ما بانک مرکزی در مجموعه ضوابطی که برای نهادهای پولی تعریف کرده است این نظارت را داشته است بطور مثال همیشه سپرده قانونی ، ضریب نقدینگی و نسبت‌های سرمایه ثابت را کنترل می‌کند.بنابراین تلاش کرده مجموعه‌ای از ضوابط تعریف شده را کنترل کند , اما کنترل غیر هوشمند بوده است یعنی صرفا گزارشی به صورت offline از دل بانک آماده می‌شود در اختیار بانک مرکزی قرار می‌گیرد و بانک مرکزی بر مبنای آن کنترل را انجام می‌دهد. بعضا حسابرسی‌ها و نظارت‌های بازرس گونه‌ای را هم انجام می‌دهد.

در بانکداری جهانی چگونه به نظارت پرداخته شده است؟

 مدتی است که در بانکداری بین‌الملل به بحث نظارت جدی‌تر پرداخته‌اند . به طوریکه از سال 1974 کمیته «بازل» تشکیل شد که یکی از زیر مجموعه‌های بانک تسویه بین‌المللی (Bank of international settlelment) است و هدفش این است که مجموعه‌ای از مقررات را برای سلامت و عدم تهدید شبکه بانکی تعریف کند و برای آن قالب‌های نظارتی دربیاورد. سپس بازل 2 ایجاد شد و پس از ایجاد بحران‌های اقتصادی که طی آن مشخص شد نتوانسته‌اند شبکه مالی را به خوبی نظارت کنند بازل 3 را تعریف کردند، بنابراین مدام در حال بروزآوری است.

 در مدل جدید که اسم آن را نظارت هوشمند می‌گذاریم ابزار IT به شدت می‌تواند به ناظر و بانک‌ها کمک کند .بانک‌ها حجم اطلاعات بالایی دارند و با این حجم داده و روش‌های سنتی معمولی نمی‌توان نظارت کرد به خصوص با وجود مباحث پیچیده‌ای که رگولاتورها مدنظرشان است مثل مدیریت ریسک و … امکان ندارد با روش‌های سنتی بتوان نظارت کرد اینجاست که تکنولوژی‌های مختلف به کمک می‌آید.

نظارت از چه ابعادی اعمال می شود؟

نظارت دوبعدی است یعنی نمی‌توان فقط انتظار داشت که مثلا بانک مرکزی در داخل بانک‌ها نظارت داشته باشد بلکه نظارتی که به اندازه نظارت رگولاتور اهمیت دارد نظارت داخلی بانک‌ها است (Internal Auditing) .

در حال حاضر مباحث جدیدی هم مثل حاکمیت شرکتی شکل گرفته است. یکی از مباحثی که در این حوزه دنبال می‌شود بحث نظارت روی عملکرد بانک در قالب‌های مختلف است که سهامداران بانک خیالشان آسوده باشد که بانک سلامت و شاخص‌ها تحت کنترل است. از یک نگاه کلان‌تر بانک مرکزی هم می‌تواند همین نگاه را داشته باشد یعنی مجموعه‌ای از شاخص‌هایی که از بعد تنظیم مقررات بانکی می‌تواند بر ان نظارت داشته باشد.

چه تکنولوژیهایی در بحث نظارت هوشمند مطرح می شود؟

 به نظر می‌رسد فضا به آن سمت می‌رود که مجموعه‌ای از تکنولوژی‌ها و مفاهیم و قواعد کسب و کار در کنار همدیگر می توانند بحث نظارت هوشمند را چه در داخل بانک و چه در قالب رگولاتور دنبال کنند و در اینجا تکنولوژی‌های مختلف درگیر می‌شوند از جمله بحث Data warehouse که بحث مهمی است یعنی داده‌ها در قالب انبار داده نظم پیدا کنند ،دیتاها بعد پیدا کنند و سپس در بعد زمانی، مکانی و … حرکت کنند. وقتی داده‌ها وارد Data where house می‌شوند تکنولوژی دیگری به بانک کمک می‌کند یعنی Data Mining به این معنا که تلاش می‌شود داده‌کاوی انجام شود به طوریکه داده‌ها را در ابعاد مختلف مرتب و پس از آن اطلاعات استخراج می‌شود . بسیاری از بانک‌ها بحث Data Mining رادر بحث (Marketing) بازاریابی استفاده می‌کنند به طوریکه چگونه به سمت مشتریان جدید بروند محصولات جدید را چگونه عرضه کنند و … علاوه بر آن عملیات داخلی بانک را هم با استفاده از آن می‌توانند مانیتور کنند. اما یکی از پرکاربردترین مباحث Data Mining بحث نظارت است که به نوعی می‌توان گفت بدون آن یک نظارت هوشمند معنایی ندارد یکی از تکنولوژی‌های دیگری که می‌تواند کمک کند بحث هوش تجاری (BI) است به طوریکه کمک می‌کند ، دیتاها چه در قالب data warehouse و چه در قالب Data Mining تبدیل به اطلاعات شده‌ و در قالب‌های درست و قابل درک در اختیار مراجع قرار گیرد از سوی دیگر قواعد کسب وکار هم اهمیت می‌یابد .

همچنین اگر داخل صنعت بانکداری یک کشور نظارت شود اما نظارت بر ریسک‌های بانک صورت نگیرد این نظارت معنی ندارد پس مفهومی به نام مدیریت ریسک اهمیت می‌یابد که مثال قواعد کسب و کار است و بحث دیگر اعتبارسنجی است .پس این مفاهیم در یک سطح و تکنولوژی‌ها در سطح دیگر سبب می‌شود که بانک‌ها و بانک مرکزی قابلیت بسیاری برای نظارت را داشته باشند.

‌ـ در بازل 3 روی چه حوزه‌هایی بیشتر تاکید شده است؟

 البته جهان در ابتدای راه بازل 3 است، برآورد می‌شود که کشورهای هدف بازل 3 تا سال‌های 2025 قواعد بازل3 را رعایت کنند و زیرساخت‌ نظارتش را داشته باشند بحث کوتاه‌مدت نیست و مباحث پیچیده‌ای مطرح می‌شود مثل بحث نقدینگی که بحث بسیار پیچیده‌ای است و بانک‌ها باید خود را برای شرایطی که بازل 3 از مدیریت نقدینگی تعریف کرده است آماده کنند . به هر حال بحث کوتاه‌مدت نیست حتی در اروپا که پیشتاز است.

‌ـ در ایران چگونه است ما در کدام سطح از بازل‌ها هستیم؟

 ما حتی بازل 2 هم نیستیم اما حداکثر اتفاقی که افتاده است اینکه ما با این واژگان آشنا شدیم ،مفاهیم در داخل بانک‌ها در حال جستجو شدن است مثلا وقتی از بازل صحبت می شود بحث جدی ریسک است و حداقل لغت ریسک در موسسات مالی مطرح است و ریسک در بانک‌ها جا افتاده است به طوریکه الان اداره ریسک داریم ،در گزارش مجمع و هیئت مدیره گزارش ریسک داده می‌شود ولی فوق العاده سنتی و محدود صورت می‌گیرد .

ریسک‌هایی که در بانک‌ها به صورت حداقلی و بدون ابزارهای کامل مدیریت می‌شود ریسک اعتباری، ریسک بازار وریسک عملیاتی  است که این ریسک‌ها تعریف شده است. بانک مرکزی هم تا حدودی بخشی از واژگان این ریسک‌ها را درگیر کرده است مثل بحث کفایت سرمایه که یکی از پایه‌های بازل است و بانک مرکزی آیین‌نامه ابلاغ کرده است که خود این مساله نکته مثبتی محسوب می‌شود .گزارش offline هم می‌گیرد اما این تمام کار نیست. اگر بخواهیم جدی‌تر و مکانیزه‌تر وارد بحث نظارت شویم باید دید چه نرم‌افزارهایی می‌تواند درگیر شود البته تقسیم‌بندی خیلی سخت است.

‌ـ آیا این تقسیم‌بندی طبق استانداردهای جهانی است؟

استانداردی در حوزه نرم‌افزارهای نظارتی تا کنون ندیدم .استاندارد مالی در حوزه مفهوم است مثل بازل، اعتبارسنجی یا پولشویی . پس در حوزه مفهوم ما این استاندارد‌ها را داریم اما در حوزه application در سطح تکنولوژی استاندارد خاصی در نرم‌افزارهای این حوزه نداریم مثل استانداردی که در حوزه عملیات بانکی مثل 8583ISO وجود دارد .

 اگر بخواهیم مدل مفهومی نظارت را تعریف کنیم تعدادی نرم‌افزار را می‌توانیم اسم ببریم که هم بانک‌های خارج از کشور و هم شرکت‌های ارایه‌دهنده خدمات به این سمت حرکت می‌کنند پس به نظر می‌رسد که کم کم یک استانداردی در حال شکل گیری است یعنی بدون اینکه یک مرکز بین‌المللی استانداردها را تعریف کند نهادهای فعال در این بازار یک ترکیب استانداردگونه‌ای را شکل می‌دهند.

 در بحث نرم‌افزار ما یک بحث مهم داریم مثل softwareهای مدیریت ریسک مثل ریسک‌های اعتباری، بازار، عملیاتی و… که بازل هم آنها را تعریف کرده است پس یک software وجود دارد به نام Riskmanagement که از دیتاهای عملیاتی بانک و دیتاهایی که در Data warehouse شکل می‌گیرد استفاده می‌کند. برای اینکه ریسک‌های مختلف را در قالب داشبوردها و گزارشات و آنالیزهای مختلف در اختیار بانک قرار دهد بهتر است مدیریت ارشد یک بانک تمام این ریسک‌ها را بتواند به صورت روزانه مشاهده کند و هرگونه تغییری رادر شرایط ریسک اعتباری بانک ببیند و آنالیزورهای بانک بتوانند سریع وضعیت بانک را مشاهده کنند . همین اتفاق هم برای رگولاتور بیفتد یعنی داشبورد online نظارتی از وضعیت بانک‌ها داشته باشد و بتواند بلافاصله وقتی اتفاقی در بانک می‌افتد بر مبنای شاخص‌هایی که از دید رگولاتوری مهم است نظارت می‌کند .

پس می‌توان از یک software با عنوان بحث مدیریت ریسک نام برد یک software دیگر بحث مبارزه با پولشویی است که این فاکتور از منظر رگولاتور بسیار مهم است. شاید به جرات بتوان گفت خود نهاد عملیاتی بانک آنقدر برایش مهم نیست که برای رگولاتور مهم است .در اینجا هم بحث استاندارد مفهومی داریم مثلا FATF که یک مجموعه و نهاد بین‌المللی است و مقرراتی را برای پولشویی درمی‌آورد.

پولشویی در سه مرحله اتفاق می‌افتد یک مرحله ورود پول‌های خرد و پول‌هایی که چندان حاشیه ندارد یک مرحله تجمیع این پول‌های خرد و مرحله دیگر بیرون آمدن از یک بانک و حساب به بانک و حساب دیگر است این سه مرحله بسیار پیچیده است و بدون ابزار Data warehousing و Data Mining قابلیت پیدا کردن و ردیابی پولشویی وجود ندارد و اینجاست که مفاهیم در نهادی مثل  FaTF شکل می‌گیرد و تکنولوژی‌هایی مثل Data warehousing و datamining و BI دوباره کنار هم قرار می‌گیرند و software به نام مبارزه با پولشویی شکل می‌گیرد و بانک‌ها و نهادهای نظارتی می‌توانند از آن استفاده کنند.

 نرم‌افزار دیگری که جزو نرم‌افزارهای نظارتی است بحث Fraud ditection است که Fraud در قالب‌های مختلف برای اداره‌های بازرسی بانک‌ها مهم است Fraud در دوشاخه بررسی می‌شود یکی اینکه خود بانک تخلفات را تشخیص دهد که ممکن است تشخیص تخلفات برای رگولاتور هم مهم و باید به رگولاتور نیز گزارش داده شود که در اینجا بحث داشبوردهای online را داریم که بر مبنای تراکنش‌ها و مدل آنها تخلف شناخته می‌شود و بلافاصله هم در داخل بانک وهم در رگولاتور قابل مشاهده است این یک شکل تشخیص تخلف است و شکل دیگر اینکه بیشتر به مشتری کمک می‌کنید که اصطلاحا به آن Fraud ditection online گفته می‌شود که ویزا و مستر هم به سمت آن رفته‌اندبه طوریکه مشتری وقتی تراکنش انجام می‌دهد مجموعه‌ای از ملاحظات تشخیص تخلف در لحظه انجام تراکنش لحاظ شود یعنی بانک کنترل کند که این تراکنش می‌تواند یک تراکنش متقلبانه باشد یعنی از نظر زمانی و مالی با وضعیت مشتری سازگار است یا خیرپس اگر یک تراکنش ریسک داشته باشد بانک اگر سیستم Frauditection آنلاین داشته باشد می‌تواند همان لحظه تخلف را تشخیص دهد یا تشخیص تخلف مکانی ممکن است مطرح باشد که در جاهای مختلف با بعد مسافتی زیاد تراکنش انجام شده که سریع می‌توان شک کرد و به صورت آنلاین fraud را تشخیص داد.

–در حال حاضر در ایران چه سطح از شناسایی fraud را داریم؟

بسیار محدود است و بیشتر به صورت تئوری مطرح شده است ولی به صورت عملیاتی و اینکه یکی از الزامات کار باشد مثل سیستم کربنکینگ یا کارت ، وجود ندارد.

-همانطور که گفتید خیلی از اطلاعات و دیتاها را شاید رگولاتور هم بخواهد داشته باشد آیا باید شبیه کربنکینگ که یک سیستم یکپارچه است، باشد و این نرم‌افزارها نیز باید این یکپارچگی و انسجام را داشته باشند یا خیر؟

خیر یک سیستم integrated مدنظر نیست بیشتر یک نظام تبادل اطلاعات مدنظر است در کربنکینگ سیستم integratedداریم به طوری که تمام اجزا هماهنگ با هم کار می‌کنند شما نمی‌توانید این را در بعد نظارتی هم درگیر کنید ولی باید یک مقررات را تعریف کنیم مثلا مقررات نظارت الکترونیک یا نظارت هوشمند. بطور مثال پیشنهادی این است که از زیرساخت کملز (camels) استفاده کند که زیرساختی است که اصطلاحا به آن زیرساخت مدیریت شاخص‌های سلامت بانکی می‌گویند که هر کدام از حروف آن مخفف یک چیز است (C) کفایت سرمایه (A) کیفیت دارایی‌ها (M) شاخص‌های سلامت مدیریت (E) شاخص‌های درآمد و سودآوری (L) حساسیت روی ریسک‌های بازار که این ساختار خوبی برای استخراج شاخص‌های سلامت بانکی است که البته در کنارش می‌تواند یکسری شاخص‌های بومی اضافه کند که در این راستا هر بانکی می‌خواهد نظارت کند ، شاخص‌های سلامت بانک را درمی‌آورد و بانک‌ها باید روی ساختار اطلاعاتی مناسبی این اطلاعات را در بیاورند به طوریکه بانک در داخل خود data warehouse و data mining ایجاد کند ، نرم‌افزارهای مختلف هوش تجاری را پیاده‌سازی کند و سپس طبق پروتکلی که بانک مرکزی تعریف می‌کند به صورت آنلاین به بانک مرکزی گزارش دهد یعنی یک نظام اطلاعاتی ایجاد شود .در پولشویی هم همین‌طور باید باشد،هر بانکی باید software پولشویی داشته باشد اما به بانک مرکزی هم دیتاها را گزارش دهد به نوعی هر بانکی به تنهایی در حوزه نظارت هوشمند در قالب‌های مختلف که عنوان شد باید توانمند باشد سپس بانک مرکزی یک ساختار تجمیع اطلاعات و پروتکل ارسال اطلاعات را داشته باشد.

-با توجه به آنچه گفته شد و شرایط الان کشور را اگر در نظر بگیریم این پازل‌ها چطور باید کنار هم قرار بگیرند با توجه به امکاناتی که داریم و چقدر رسیدن به نظارت هوشمند زمان می‌برد و به عبارتی بانک مرکزی از کجا باید آغاز کند؟

-اصولا بانک‌های مرکزی در دنیا دو روش را دنبال می‌کنند یکسری از آنها preactive هستند و قبل از اینکه بازار بانکی به سمت موضوعی حرکت کند بانک مرکزی مطالعه ، قوانین و مقررات را صادر ،زیرساخت‌های نرم‌افزاری را تولید کرده و ساختار اجرایی را استخراج و ابلاغ هم کرده است به عبارتی central bank lead هستند یعنی بانک مرکزی موضوع را رهبری می‌کند.

 یکسری بانک‌های مرکزی passive هستند یعنی اجازه می‌دهند شبکه بانکی در یک موضوعی جلو برود و سپس ورود پیدا می‌کنند ، نظم می‌دهند و ابلاغ و تایید می‌کنند .به نظرم بانک مرکزی ما مابین این دو است مثلا در مورد شاپرک ، انتظار این بود که بانک مرکزی مطالعه دقیق و عمیق در حوزه پذیرش بانکداری الکترونیک داشته باشد کاری که همه دنیا کردو برمبنای آن قوانین و مقررات را استخراج می‌کرد اما چون ابزار لازم را نداشت و روی موضوع مسلط نبود pspها را پشت بانک‌ها برد و مشکلات عجیبی اتفاق افتاد در حالی که بانک مرکزی شاپرک را باید 10 سال پیش تعریف می‌کرد .

 در حوزه نظارت هم بانک مرکزی باید ابتدا تعریف خود را از نظارت داشته باشد .یک طرف به نقش رگولاتوری و یک بعد دیگر به بخش سیاستگزاری برمی‌گردد اصولا بانک‌های مرکزی سه وظیفه جدی و اصلی دارند یکی در مقام سیاست‌گذار دیگری مقام نظارتی و دیگری وظایف عملیاتی دارند.مثل سوئیچ ملی شتاب، ACH و… اما در ایران گاهی این سه وظیفه با هم خلط می‌شود و برای همین ما از آن ضربه خواهیم خورد. اگر در بعد نظارت هوشمند درنظر بگیریم در هر سه وظیفه، بانک مرکزی می‌تواند برنامه داشته باشد مثلا در حوزه سیاستگذاری تعیین کند نظارت بانک مرکزی باید چه باشد نظارت داخلی بانک‌ها چه باید باشد یعنی از بانک‌ها بخواهد که در داخل بانک این نظارت را انجام دهند در بعد نظارتی در واقع بانک مرکزی همه اینها را نظارت می‌کند یعنی برای نظارت دایره اجرایی باید داشته باشد و به صورت روزمره و در بازه‌های زمانی بتواند انجام دهد در بعد عملیاتی هم باید یکسری زیرساخت‌ها را انجام دهد دلیلی ندارد همیشه تمام بار را خود انجام دهد نقدی که در ارتباط با سوئیچ‌های تراکنش‌ها هست این است که بانک مرکزی دارد تمام بار شتاب را به دوش می‌کشد می‌شود از ظرفیت‌ها استفاده کرد و دو یا سه سوئیچ ملی داشته باشیم و در وظایف سیاستگذاری و نظارتی روی اینها کنترل داشته باشد.

 در بحث نظارت هوشمند هم بانک مرکزی باید به این سه وظیفه اصلی خود دقت کند حداقل به وظایف عملیاتی خود بپردازد زیرا برای وظایف عملیاتی حداکثر ظرفیت در کشور وجود دارد و تا جایی که می‌شود با نگاه حداقلی به وظایف عملیاتی نگاه کند در سیاستگذاری و در وظایف نظارتی حداکثری نگاه کند.

-به نظر می‌رسد بانک مرکزی در رعایت حدود وظایف نظارتی و اجرایی باید در حوزه نظارت هوشمند نیز دقت داشته باشد تا مشکلی که برای پایانه‌های فروش ایجاد شد، تکرار نشود؟

دقیقا ،در بحث موبایل پیمنت بحثی به نام سپاس مطرح شد اگر واقعا بانک مرکزی در سه حوزه وظایف خود به این موضوع نگاه می‌کرد شرایط موبایل پیمنت در کشور ما خیلی بهتر بود در حالیکه تمام تمرکزش روی وظایف عملیاتی بود اگر از بانک مرکزی بپرسیم در حوزه طرح سپاس چه می‌کنید می‌گوید من سوئیچ سپاس را راه‌اندازی می‌کنم یعنی وظیفه عملیاتی را گرفته است ولی اگر در حوزه سیاستگذاری سوال شود هنوز هیچ‌کس نمی‌داند ذینفعان موبایل پیمنت چه کسانی هستند و چه وظایفی دارند .

-وظیفه بانک‌ها در حوزه نظارت هوشمند چیست؟

یک بعد داخلی (Internal) است به طوری که صاحبان بانک و مدیران ارشد مطمئن باشند که بانک وضعیت خوبی دارد یعنی بانک باید به صورت داخلی مدیریت ریسک را انجام دهند پس بحث نرم‌افزاری به نام مدیریت ریسک مطرح می‌شود بانک باید بتواند Fraud Ditection و اعتبارسنجی درست را انجام دهد بدون این ابزارها بانک‌ها دچار ریسک می‌شوند در اختلاس معروفی که اتفاق افتاد یکی از موضوعات اعتبارسنجی بود که وجود نداشت. از باب حاکمیت شرکتی مدیران بانک و سهامداران باید این خواسته را داشته باشند که نرم‌افزارهای نظارت استفاده شود.

-با توجه به آنچه گفته شد وظایف بانک مرکزی و بانک‌ها باید مشخص شود اما با توجه به شرایط داخلی یکسری فقدان‌ها و نقصان‌ها وجود دارد در این خصوص توضیح دهید؟

باید این نظارت تبدیل به یک دغدغه شود همانطور که موبایل بنکینگ، ATM، Pos و… دغدغه است این حس در بعد نظارتی در داخل بانک‌ها دیده نمی‌شود به خصوص در بخش IT بانک‌ها یک وظیفه قطعی نیست یعنی مدیران IT بانک‌ها با قضیه نظارت مقداری به صورت فانتزی برخورد می‌کنند به صورت عملیاتی و جدی برخورد نمی‌شود شاید این نیاز باید از سوی مدیریت ارشد بانک القا شود و باید یک برنامه مشخص در حوزه سیستم‌های هوشمند بانک در بعد نظارتی داشته باشد همانطور که در ابتدای هر سال برای بانک‌ها در حوزه ATM، Pos و انتقال وجه سه وجهی و… شاخص تعیین می‌کنیم، در حوزه نظارت هم باید این برنامه‌ها دیده شود.

-شاید به عادت بانک‌ها هم برگردد که همیشه منتظرند چیزی از طرف بانک مرکزی به آنها ابلاغ شود و با مقداری مقاومت آن را بپذیرند؟

همانطور که گفتم ارتباط دو سویه است فرهنگ باید داخل بانک‌ها شکل بگیرد و ارایه‌دهندگان این محصولات سمینارهای مختلف بگذارند و با بانک‌ها تعامل برقرار کنند این نیاز تکرار و حس شود بانک مرکزی هم در حوزه سیاستگذاری این را ابلاغ کند و همه آنچه که برای نظارت سنتی صورت می‌گیرد برای نظارت هوشمند هم عملیاتی شود در نظارت هوشمند در ابتدا مدل مفهومی را تعریف و طراحی کند و وظایف خودش و بانک را مشخص کند.

–نهاد جانبی مثل نهادهای اعتبارسنجی چقدر نقش دارند؟

در واقع وقتی ما اعتبارسنجی داریم یک pre auditing انجام می‌دهیم یا یک پیش نظارت و بسیاری از ریسک‌های بانک را کم می‌کنیم که بعدا مدیریت ریسک کارش راحت‌تر باشد.

 اصولا باید در شبکه بانکی دو بعد اعتبارسنجی را داشته باشیم یکی بعد بین بانکی یا Credit Bureauاست یا ادارات اعتبارسنجی که ممکن است مستقل و خصوصی و یا داخل بانک مرکزی باشند که وظیفه آنها تجمیع اطلاعات با ابزار مناسب اطلاعاتی است که نمره اعتباری را در نهایت استخراج می‌کنند این بعد اول اعتبارسنجی است که در کشور ما یکسری حرکت‌هایی شده ولی هنوز به لحاظ فرهنگی و فنی و سیاستگذاری مشکل داریم در بعد فرهنگی به طور مثال بانک‌ها دوست ندارند اطلاعات خود را سهیم کنند در حالیکه دراین مدل یک الزام اشتراک‌گذاری دیتاها است دیگر اینکه ما سیاست مشخصی نداریم البته یک مجموعه خصوصی که متعلق به یک بانک است را داریم که فقط برای آن بانک انجام می‌دهد تا جایی که من اطلاع دارم بانک مرکزی نهادی به اسم بخش خصوصی اعتبارسنجی را تعریف نکرده است البته یکی متعلق به بانک مرکزی است (شرکت اعتبارسنجی ایرانیان) که در حال حاضر کار می‌کند که در اینجا هم دوباره نقش سیاستگذاری و عملیاتی یکی شده است و خود بانک مرکزی دخیل شده است در حالی که بهتر بود نهادی به اسم اعتبارسنجی ایجاد می‌کرد ،روش اعطاء مجوز آن را مشخص ، سرمایه اولیه را تعیین وهیئت مدیره را کنترل می‌کرد اما در حوزه سیاستگذاری نه اجرا .در واقع فقط سیاستگذار و ناظر باشد نه مجری .

ولی اعتبارسنجی را تنها در این قالب نمی‌توان نگاه کرد ما یک enternal credit scoring هم نیاز داریم یعنی هر موسسه مالی که با مشتری سروکار دارد یک اعتبارسنجی داخلی دارد و فقط بانک‌ها هم نیستند بلکه برخی موسسات مثل شرکت‌های بیمه هم به این نیاز دارد آنها می‌توانند از دیتاهای Credit Bureauها استفاده کنند ،از دیتاهای خود هم استفاده کنندو ملاحظات اختصاصی بانک یا موسسه مالی را هم لحاظ کنند که اصطلاحا score cardهای اختصاصی می‌گویند و اعتبارسنجی داخلی را هم انجام دهند اگر ما هر دو نهاد global و enternal را داشته باشیم آن زمان می‌توانیم بگوییم که یک ابزار اعتبارسنجی خوب داریم که به بعد نظارتی ما کمک می‌کند که در اینجا هم در ابتدای راه هستیم.

–سازمان‌های جانبی دیگر مثل سازمان حسابرسی هم ممکن است در این مساله دخیل باشند آیا حوزه حسابرسی IT با بحث نظارت هوشمند ارتباط پیدا می‌کند؟

در پازل یکی از ریسک‌ها IT است که مجموعه‌ای از ملاحظات را برای آن در نظر گرفته‌اند وقتی گفته می‌شود که یکسری قواعد را لحاظ کنید تا دچار ریسک IT نشوید قطعا چیزی به اسم نظارت هم شکل می‌گیرد چرخه همیشگی سیاست، اعمال سیاست و نظارت روی آن شکل می‌گیرد، بنابراین بعید نیست که در آینده یکی از مباحث ما نظارت IT باشد به طور مثال بانک مرکزی کارهایی انجام داده اما بیشتر در حوزه امنیت IT است .

ممیزی حسابرسی IT بیشتر از بعد فنی مدنظر است یعنی شاخص‌های ریسک IT را استخراج کنیم که به طور مثال یک بخش آن امنیت IT است بعد یک مجموعه بتواند نظارت را انجام دهد.

حسابرسی مالی هم یک ابزار داخلی بانک‌ها است و معمولا در گزارشاتی که مجمع ارایه می‌دهد حسابرسی شده است که البته بیشتر به شکل سنتی انجام می‌شود قطعا آنها هم باید وجود داشته باشد.

-پارامترهای دیگر حسابرسی IT به جز امنیت شامل چه فاکتورهای دیگری است؟

امنیت خیلی مهم است اما راهکارهای دسترسی اطلاعات هم بسیار مهم است به طوریکه کاربران در بانک به چه اطلاعاتی دسترسی دارند یعنی تراز اطلاعاتی این پالسی‌ها بسیار مهم است بعضا دیده می‌شود که تهدیدات جدی وجود دارد و پالسی‌های دسترسی به شکل مدون در بانک‌ها دیده نمی‌شود .دیگر ملاحظات زنده نگاهداشتن ابزارهای ITبانک است ، همانطور که می‌دانید قلب یک بانک ابزار IT آن است اینکه روش‌های ریکاوری به چه شکل است در صورت وجود مشکل چه skillabilityهایی را می‌توان برای بانک مدیریت کرد همه اینها شاخص‌هایی است که در حوزه ITبانک می‌تواند لحاظ شود به نظرم بانک مرکزی به شدت می‌تواند کمک کند به طوریکه ریسک‌هایی که در ITچه در ابعاد امنیتی و… بانک‌ها داریم را مدون کند سرفصل‌ها مشخص شود و به آن پاسخ داده شود این یک تکلیف برای بانک‌ها خواهد بود اگر این سند استخراج شود بانک‌ها روی آن کار می‌کنند سپس بانک مرکزی دوباره سیاستگذاری می‌کند و حال که بانک‌ها مجهز شدند مقام ناظر هم نظارت می‌کند که بهتر است خودش درگیر نشود و از بخش خصوصی استفاده کند یکسری ممیز این موضوعات را تربیت کند و به آنها خط مشی دهد و آنها ممیزی موضوعاتIT را برای بانک‌ها داشته باشند.

-در بحث نظارت هوشمند کارت هوشمند چه اهمیتی دارد؟

کارت هوشمند امنیت یک تراکنش را به نسبت کارت‌های مغناطیسی بالا می‌برد استانداردی به اسم Emv (Europay Master Visa) وجود دارد که استاندارد اپلیکیشن‌های debit و credit روی کارت هوشمند است که شامل سه نهاد بزرگ متولی پرداخت الکترونیک است که این استاندارد را ایجاد کرده‌اند که معتبر هست و دنیا هم به آن سمت حرکت می‌کند و کم‌کم کارت‌های مغناطیسی حذف می‌شود در اینجا امنیت انجام تراکنش بسیار بالاتر می‌رود ولی ارتباط چندانی با بحث نظارتی ندارد مگر امنیت را در قالب نظارت تعریف کرد که انجام تراکنش پرداخت‌ها با استفاده از کارت هوشمند امن‌تر می‌شود اما اگر نظارت را در مباحث کلان داشته باشیم کارت هوشمند فقط در برقراری امنیت تراکنش‌ها می‌تواند کمک کند.

–وقتی بحث نظارت هوشمند باشد نظارت روی موبایل پیمنت روی pspها و… هم ایجاد خواهد شد؟

آنچه که گفتم انتظارات مقام ناظر از بانک‌ها در ملاحظات امنیت IT است اما یکسری مسایل بین بخشی هم داریم که اپراتور، بانک و psp هم درگیر می‌شود که این دوباره ممکن است یک قاعده خاص نظارتی هم بطلبد، اشکالی ندارد که برای هر موضوع یک قاعده خاص نظارتی طراحی کنیم این دو با هم در تضاد نیستند که بانک‌ها تکلیفشان معلوم شود و مابقی پروژه‌هایی نیز که بانک مرکزی دنبال می‌کند هرکدام برای خودشان نظارتشان تعریف شود.