شاخصه های مطرح در نظارت هوشمند بانک مرکزی/ نگاه مدیران IT بانکها به مقوله نظارت جدی نیست/تکنولوژی های مورد نیاز نظارت هوشمند
در گفنگو با عباس رادور زنگنه، عضو هیات مدیره شرکت داده کاوان پیشرو تشریح شد:
در بحث نظارت هوشمند بانک مرکزی باید به سه وظیفه اصلی خود(سیاست گذاری ،نظارتی وعملیاتی ) دقت کند به طوریکه به وظایف عملیاتی نگاه حداقلی داشته باشدزیرا برای وظایف عملیاتی ظرفیت کافی در کشور وجود دارد ودر مقابل دروظایف سیاستگذاری و نظارتی حداکثری نگاه کند./مدیران IT بانکها با مقوله نظارت به صورت عملیاتی و جدی برخورد نمیکنند ، این نیاز باید از سوی مدیریت ارشد بانک القا شود و یک برنامه مشخص در حوزه سیستمهای هوشمند بانک در بعد نظارتی ایجاد گردد./ مجموعهای از تکنولوژیها مثل Data warehouse و Data Mining و BI و مفاهیم و قواعد کسب و کار (مدیریت ریسک ومبارزه با پولشویی )در کنار همدیگر می توانند بحث نظارت هوشمند را چه در داخل بانک و چه در قالب رگولاتور دنبال کنند.
آزاده محسنی- نظارت هوشمند در صنعت بانکداری امروز جهان ،اصلی ترین بستر نظارت از سوی مقام ناظر نسبت به کلیه عملیات بانکی است که در بازل 3 نیز روی آن بسیار تاکید شده و از توصیه های مهم این کمیته به بانکهای دنیاست. علاوه براین کارشناسان داخلی نیز بر آنند که تاخیر در پیاده سازی نظارت هوشمند در ایران می تواند بانکداری را با چالش های اساسی روبرو کند .
اینکه بانک مرکزی در ایران قرار است چگونه این بستر را فراهم کند و بانکها نیز بتوانند زمینه اجرایی شدن این نظارت را در فرایندهای مختلف بانکی در داخل بانک فراهم کنند ، همچنین هر کجا تراکنشی صورت می گیرد چگونه قابل نظارت باشد محور اصلی گفتگوی خبرنگار پایگاه خبری بانکداری الکترونیک باعباس رادور زنگنه، هیات مدیره شرکت داده کاوان پیشرو است.
وی معتقد است مدیران IT بانکها با مقوله نظارت به صورت عملیاتی و جدی برخورد نمیکنند. همچنین در بحث نظارت هوشمند بانک مرکزی باید به سه وظیفه اصلی خود(سیاست گذاری ،نظارتی وعملیاتی ) دقت کند . گفتگو با وی از پی می آید:
************************************************
نظارت هوشمند نیاز جدی صنعت بانکداری در ایران است ودر خارج از کشور نیز به این مسایل جدیتر پرداخته شده است در ایران تا چه اندازه به این نیاز پرداخته شده است؟
بحث نظارت در شبکه بانکی که شبکه رگولیت است یعنی مجموعهای از ضوابط بر نهادهای مالی اعمال میشود و این نهادها باید این ضوابط را لحاظ کنند، به عنوان یک نیاز جدی همیشه وجود داشته و تا حدی اجرا هم میشده ، با این تفاوت که جنس نظارت متفاوت بوده است. در کشور ما بانک مرکزی در مجموعه ضوابطی که برای نهادهای پولی تعریف کرده است این نظارت را داشته است بطور مثال همیشه سپرده قانونی ، ضریب نقدینگی و نسبتهای سرمایه ثابت را کنترل میکند.بنابراین تلاش کرده مجموعهای از ضوابط تعریف شده را کنترل کند , اما کنترل غیر هوشمند بوده است یعنی صرفا گزارشی به صورت offline از دل بانک آماده میشود در اختیار بانک مرکزی قرار میگیرد و بانک مرکزی بر مبنای آن کنترل را انجام میدهد. بعضا حسابرسیها و نظارتهای بازرس گونهای را هم انجام میدهد.
در بانکداری جهانی چگونه به نظارت پرداخته شده است؟
مدتی است که در بانکداری بینالملل به بحث نظارت جدیتر پرداختهاند . به طوریکه از سال 1974 کمیته «بازل» تشکیل شد که یکی از زیر مجموعههای بانک تسویه بینالمللی (Bank of international settlelment) است و هدفش این است که مجموعهای از مقررات را برای سلامت و عدم تهدید شبکه بانکی تعریف کند و برای آن قالبهای نظارتی دربیاورد. سپس بازل 2 ایجاد شد و پس از ایجاد بحرانهای اقتصادی که طی آن مشخص شد نتوانستهاند شبکه مالی را به خوبی نظارت کنند بازل 3 را تعریف کردند، بنابراین مدام در حال بروزآوری است.
در مدل جدید که اسم آن را نظارت هوشمند میگذاریم ابزار IT به شدت میتواند به ناظر و بانکها کمک کند .بانکها حجم اطلاعات بالایی دارند و با این حجم داده و روشهای سنتی معمولی نمیتوان نظارت کرد به خصوص با وجود مباحث پیچیدهای که رگولاتورها مدنظرشان است مثل مدیریت ریسک و … امکان ندارد با روشهای سنتی بتوان نظارت کرد اینجاست که تکنولوژیهای مختلف به کمک میآید.
نظارت از چه ابعادی اعمال می شود؟
نظارت دوبعدی است یعنی نمیتوان فقط انتظار داشت که مثلا بانک مرکزی در داخل بانکها نظارت داشته باشد بلکه نظارتی که به اندازه نظارت رگولاتور اهمیت دارد نظارت داخلی بانکها است (Internal Auditing) .
در حال حاضر مباحث جدیدی هم مثل حاکمیت شرکتی شکل گرفته است. یکی از مباحثی که در این حوزه دنبال میشود بحث نظارت روی عملکرد بانک در قالبهای مختلف است که سهامداران بانک خیالشان آسوده باشد که بانک سلامت و شاخصها تحت کنترل است. از یک نگاه کلانتر بانک مرکزی هم میتواند همین نگاه را داشته باشد یعنی مجموعهای از شاخصهایی که از بعد تنظیم مقررات بانکی میتواند بر ان نظارت داشته باشد.
چه تکنولوژیهایی در بحث نظارت هوشمند مطرح می شود؟
به نظر میرسد فضا به آن سمت میرود که مجموعهای از تکنولوژیها و مفاهیم و قواعد کسب و کار در کنار همدیگر می توانند بحث نظارت هوشمند را چه در داخل بانک و چه در قالب رگولاتور دنبال کنند و در اینجا تکنولوژیهای مختلف درگیر میشوند از جمله بحث Data warehouse که بحث مهمی است یعنی دادهها در قالب انبار داده نظم پیدا کنند ،دیتاها بعد پیدا کنند و سپس در بعد زمانی، مکانی و … حرکت کنند. وقتی دادهها وارد Data where house میشوند تکنولوژی دیگری به بانک کمک میکند یعنی Data Mining به این معنا که تلاش میشود دادهکاوی انجام شود به طوریکه دادهها را در ابعاد مختلف مرتب و پس از آن اطلاعات استخراج میشود . بسیاری از بانکها بحث Data Mining رادر بحث (Marketing) بازاریابی استفاده میکنند به طوریکه چگونه به سمت مشتریان جدید بروند محصولات جدید را چگونه عرضه کنند و … علاوه بر آن عملیات داخلی بانک را هم با استفاده از آن میتوانند مانیتور کنند. اما یکی از پرکاربردترین مباحث Data Mining بحث نظارت است که به نوعی میتوان گفت بدون آن یک نظارت هوشمند معنایی ندارد یکی از تکنولوژیهای دیگری که میتواند کمک کند بحث هوش تجاری (BI) است به طوریکه کمک میکند ، دیتاها چه در قالب data warehouse و چه در قالب Data Mining تبدیل به اطلاعات شده و در قالبهای درست و قابل درک در اختیار مراجع قرار گیرد از سوی دیگر قواعد کسب وکار هم اهمیت مییابد .
همچنین اگر داخل صنعت بانکداری یک کشور نظارت شود اما نظارت بر ریسکهای بانک صورت نگیرد این نظارت معنی ندارد پس مفهومی به نام مدیریت ریسک اهمیت مییابد که مثال قواعد کسب و کار است و بحث دیگر اعتبارسنجی است .پس این مفاهیم در یک سطح و تکنولوژیها در سطح دیگر سبب میشود که بانکها و بانک مرکزی قابلیت بسیاری برای نظارت را داشته باشند.
ـ در بازل 3 روی چه حوزههایی بیشتر تاکید شده است؟
البته جهان در ابتدای راه بازل 3 است، برآورد میشود که کشورهای هدف بازل 3 تا سالهای 2025 قواعد بازل3 را رعایت کنند و زیرساخت نظارتش را داشته باشند بحث کوتاهمدت نیست و مباحث پیچیدهای مطرح میشود مثل بحث نقدینگی که بحث بسیار پیچیدهای است و بانکها باید خود را برای شرایطی که بازل 3 از مدیریت نقدینگی تعریف کرده است آماده کنند . به هر حال بحث کوتاهمدت نیست حتی در اروپا که پیشتاز است.
ـ در ایران چگونه است ما در کدام سطح از بازلها هستیم؟
ما حتی بازل 2 هم نیستیم اما حداکثر اتفاقی که افتاده است اینکه ما با این واژگان آشنا شدیم ،مفاهیم در داخل بانکها در حال جستجو شدن است مثلا وقتی از بازل صحبت می شود بحث جدی ریسک است و حداقل لغت ریسک در موسسات مالی مطرح است و ریسک در بانکها جا افتاده است به طوریکه الان اداره ریسک داریم ،در گزارش مجمع و هیئت مدیره گزارش ریسک داده میشود ولی فوق العاده سنتی و محدود صورت میگیرد .
ریسکهایی که در بانکها به صورت حداقلی و بدون ابزارهای کامل مدیریت میشود ریسک اعتباری، ریسک بازار وریسک عملیاتی است که این ریسکها تعریف شده است. بانک مرکزی هم تا حدودی بخشی از واژگان این ریسکها را درگیر کرده است مثل بحث کفایت سرمایه که یکی از پایههای بازل است و بانک مرکزی آییننامه ابلاغ کرده است که خود این مساله نکته مثبتی محسوب میشود .گزارش offline هم میگیرد اما این تمام کار نیست. اگر بخواهیم جدیتر و مکانیزهتر وارد بحث نظارت شویم باید دید چه نرمافزارهایی میتواند درگیر شود البته تقسیمبندی خیلی سخت است.
ـ آیا این تقسیمبندی طبق استانداردهای جهانی است؟
استانداردی در حوزه نرمافزارهای نظارتی تا کنون ندیدم .استاندارد مالی در حوزه مفهوم است مثل بازل، اعتبارسنجی یا پولشویی . پس در حوزه مفهوم ما این استانداردها را داریم اما در حوزه application در سطح تکنولوژی استاندارد خاصی در نرمافزارهای این حوزه نداریم مثل استانداردی که در حوزه عملیات بانکی مثل 8583ISO وجود دارد .
اگر بخواهیم مدل مفهومی نظارت را تعریف کنیم تعدادی نرمافزار را میتوانیم اسم ببریم که هم بانکهای خارج از کشور و هم شرکتهای ارایهدهنده خدمات به این سمت حرکت میکنند پس به نظر میرسد که کم کم یک استانداردی در حال شکل گیری است یعنی بدون اینکه یک مرکز بینالمللی استانداردها را تعریف کند نهادهای فعال در این بازار یک ترکیب استانداردگونهای را شکل میدهند.
در بحث نرمافزار ما یک بحث مهم داریم مثل softwareهای مدیریت ریسک مثل ریسکهای اعتباری، بازار، عملیاتی و… که بازل هم آنها را تعریف کرده است پس یک software وجود دارد به نام Riskmanagement که از دیتاهای عملیاتی بانک و دیتاهایی که در Data warehouse شکل میگیرد استفاده میکند. برای اینکه ریسکهای مختلف را در قالب داشبوردها و گزارشات و آنالیزهای مختلف در اختیار بانک قرار دهد بهتر است مدیریت ارشد یک بانک تمام این ریسکها را بتواند به صورت روزانه مشاهده کند و هرگونه تغییری رادر شرایط ریسک اعتباری بانک ببیند و آنالیزورهای بانک بتوانند سریع وضعیت بانک را مشاهده کنند . همین اتفاق هم برای رگولاتور بیفتد یعنی داشبورد online نظارتی از وضعیت بانکها داشته باشد و بتواند بلافاصله وقتی اتفاقی در بانک میافتد بر مبنای شاخصهایی که از دید رگولاتوری مهم است نظارت میکند .
پس میتوان از یک software با عنوان بحث مدیریت ریسک نام برد یک software دیگر بحث مبارزه با پولشویی است که این فاکتور از منظر رگولاتور بسیار مهم است. شاید به جرات بتوان گفت خود نهاد عملیاتی بانک آنقدر برایش مهم نیست که برای رگولاتور مهم است .در اینجا هم بحث استاندارد مفهومی داریم مثلا FATF که یک مجموعه و نهاد بینالمللی است و مقرراتی را برای پولشویی درمیآورد.
پولشویی در سه مرحله اتفاق میافتد یک مرحله ورود پولهای خرد و پولهایی که چندان حاشیه ندارد یک مرحله تجمیع این پولهای خرد و مرحله دیگر بیرون آمدن از یک بانک و حساب به بانک و حساب دیگر است این سه مرحله بسیار پیچیده است و بدون ابزار Data warehousing و Data Mining قابلیت پیدا کردن و ردیابی پولشویی وجود ندارد و اینجاست که مفاهیم در نهادی مثل FaTF شکل میگیرد و تکنولوژیهایی مثل Data warehousing و datamining و BI دوباره کنار هم قرار میگیرند و software به نام مبارزه با پولشویی شکل میگیرد و بانکها و نهادهای نظارتی میتوانند از آن استفاده کنند.
نرمافزار دیگری که جزو نرمافزارهای نظارتی است بحث Fraud ditection است که Fraud در قالبهای مختلف برای ادارههای بازرسی بانکها مهم است Fraud در دوشاخه بررسی میشود یکی اینکه خود بانک تخلفات را تشخیص دهد که ممکن است تشخیص تخلفات برای رگولاتور هم مهم و باید به رگولاتور نیز گزارش داده شود که در اینجا بحث داشبوردهای online را داریم که بر مبنای تراکنشها و مدل آنها تخلف شناخته میشود و بلافاصله هم در داخل بانک وهم در رگولاتور قابل مشاهده است این یک شکل تشخیص تخلف است و شکل دیگر اینکه بیشتر به مشتری کمک میکنید که اصطلاحا به آن Fraud ditection online گفته میشود که ویزا و مستر هم به سمت آن رفتهاندبه طوریکه مشتری وقتی تراکنش انجام میدهد مجموعهای از ملاحظات تشخیص تخلف در لحظه انجام تراکنش لحاظ شود یعنی بانک کنترل کند که این تراکنش میتواند یک تراکنش متقلبانه باشد یعنی از نظر زمانی و مالی با وضعیت مشتری سازگار است یا خیرپس اگر یک تراکنش ریسک داشته باشد بانک اگر سیستم Frauditection آنلاین داشته باشد میتواند همان لحظه تخلف را تشخیص دهد یا تشخیص تخلف مکانی ممکن است مطرح باشد که در جاهای مختلف با بعد مسافتی زیاد تراکنش انجام شده که سریع میتوان شک کرد و به صورت آنلاین fraud را تشخیص داد.
–در حال حاضر در ایران چه سطح از شناسایی fraud را داریم؟
بسیار محدود است و بیشتر به صورت تئوری مطرح شده است ولی به صورت عملیاتی و اینکه یکی از الزامات کار باشد مثل سیستم کربنکینگ یا کارت ، وجود ندارد.
-همانطور که گفتید خیلی از اطلاعات و دیتاها را شاید رگولاتور هم بخواهد داشته باشد آیا باید شبیه کربنکینگ که یک سیستم یکپارچه است، باشد و این نرمافزارها نیز باید این یکپارچگی و انسجام را داشته باشند یا خیر؟
خیر یک سیستم integrated مدنظر نیست بیشتر یک نظام تبادل اطلاعات مدنظر است در کربنکینگ سیستم integratedداریم به طوری که تمام اجزا هماهنگ با هم کار میکنند شما نمیتوانید این را در بعد نظارتی هم درگیر کنید ولی باید یک مقررات را تعریف کنیم مثلا مقررات نظارت الکترونیک یا نظارت هوشمند. بطور مثال پیشنهادی این است که از زیرساخت کملز (camels) استفاده کند که زیرساختی است که اصطلاحا به آن زیرساخت مدیریت شاخصهای سلامت بانکی میگویند که هر کدام از حروف آن مخفف یک چیز است (C) کفایت سرمایه (A) کیفیت داراییها (M) شاخصهای سلامت مدیریت (E) شاخصهای درآمد و سودآوری (L) حساسیت روی ریسکهای بازار که این ساختار خوبی برای استخراج شاخصهای سلامت بانکی است که البته در کنارش میتواند یکسری شاخصهای بومی اضافه کند که در این راستا هر بانکی میخواهد نظارت کند ، شاخصهای سلامت بانک را درمیآورد و بانکها باید روی ساختار اطلاعاتی مناسبی این اطلاعات را در بیاورند به طوریکه بانک در داخل خود data warehouse و data mining ایجاد کند ، نرمافزارهای مختلف هوش تجاری را پیادهسازی کند و سپس طبق پروتکلی که بانک مرکزی تعریف میکند به صورت آنلاین به بانک مرکزی گزارش دهد یعنی یک نظام اطلاعاتی ایجاد شود .در پولشویی هم همینطور باید باشد،هر بانکی باید software پولشویی داشته باشد اما به بانک مرکزی هم دیتاها را گزارش دهد به نوعی هر بانکی به تنهایی در حوزه نظارت هوشمند در قالبهای مختلف که عنوان شد باید توانمند باشد سپس بانک مرکزی یک ساختار تجمیع اطلاعات و پروتکل ارسال اطلاعات را داشته باشد.
-با توجه به آنچه گفته شد و شرایط الان کشور را اگر در نظر بگیریم این پازلها چطور باید کنار هم قرار بگیرند با توجه به امکاناتی که داریم و چقدر رسیدن به نظارت هوشمند زمان میبرد و به عبارتی بانک مرکزی از کجا باید آغاز کند؟
-اصولا بانکهای مرکزی در دنیا دو روش را دنبال میکنند یکسری از آنها preactive هستند و قبل از اینکه بازار بانکی به سمت موضوعی حرکت کند بانک مرکزی مطالعه ، قوانین و مقررات را صادر ،زیرساختهای نرمافزاری را تولید کرده و ساختار اجرایی را استخراج و ابلاغ هم کرده است به عبارتی central bank lead هستند یعنی بانک مرکزی موضوع را رهبری میکند.
یکسری بانکهای مرکزی passive هستند یعنی اجازه میدهند شبکه بانکی در یک موضوعی جلو برود و سپس ورود پیدا میکنند ، نظم میدهند و ابلاغ و تایید میکنند .به نظرم بانک مرکزی ما مابین این دو است مثلا در مورد شاپرک ، انتظار این بود که بانک مرکزی مطالعه دقیق و عمیق در حوزه پذیرش بانکداری الکترونیک داشته باشد کاری که همه دنیا کردو برمبنای آن قوانین و مقررات را استخراج میکرد اما چون ابزار لازم را نداشت و روی موضوع مسلط نبود pspها را پشت بانکها برد و مشکلات عجیبی اتفاق افتاد در حالی که بانک مرکزی شاپرک را باید 10 سال پیش تعریف میکرد .
در حوزه نظارت هم بانک مرکزی باید ابتدا تعریف خود را از نظارت داشته باشد .یک طرف به نقش رگولاتوری و یک بعد دیگر به بخش سیاستگزاری برمیگردد اصولا بانکهای مرکزی سه وظیفه جدی و اصلی دارند یکی در مقام سیاستگذار دیگری مقام نظارتی و دیگری وظایف عملیاتی دارند.مثل سوئیچ ملی شتاب، ACH و… اما در ایران گاهی این سه وظیفه با هم خلط میشود و برای همین ما از آن ضربه خواهیم خورد. اگر در بعد نظارت هوشمند درنظر بگیریم در هر سه وظیفه، بانک مرکزی میتواند برنامه داشته باشد مثلا در حوزه سیاستگذاری تعیین کند نظارت بانک مرکزی باید چه باشد نظارت داخلی بانکها چه باید باشد یعنی از بانکها بخواهد که در داخل بانک این نظارت را انجام دهند در بعد نظارتی در واقع بانک مرکزی همه اینها را نظارت میکند یعنی برای نظارت دایره اجرایی باید داشته باشد و به صورت روزمره و در بازههای زمانی بتواند انجام دهد در بعد عملیاتی هم باید یکسری زیرساختها را انجام دهد دلیلی ندارد همیشه تمام بار را خود انجام دهد نقدی که در ارتباط با سوئیچهای تراکنشها هست این است که بانک مرکزی دارد تمام بار شتاب را به دوش میکشد میشود از ظرفیتها استفاده کرد و دو یا سه سوئیچ ملی داشته باشیم و در وظایف سیاستگذاری و نظارتی روی اینها کنترل داشته باشد.
در بحث نظارت هوشمند هم بانک مرکزی باید به این سه وظیفه اصلی خود دقت کند حداقل به وظایف عملیاتی خود بپردازد زیرا برای وظایف عملیاتی حداکثر ظرفیت در کشور وجود دارد و تا جایی که میشود با نگاه حداقلی به وظایف عملیاتی نگاه کند در سیاستگذاری و در وظایف نظارتی حداکثری نگاه کند.
-به نظر میرسد بانک مرکزی در رعایت حدود وظایف نظارتی و اجرایی باید در حوزه نظارت هوشمند نیز دقت داشته باشد تا مشکلی که برای پایانههای فروش ایجاد شد، تکرار نشود؟
دقیقا ،در بحث موبایل پیمنت بحثی به نام سپاس مطرح شد اگر واقعا بانک مرکزی در سه حوزه وظایف خود به این موضوع نگاه میکرد شرایط موبایل پیمنت در کشور ما خیلی بهتر بود در حالیکه تمام تمرکزش روی وظایف عملیاتی بود اگر از بانک مرکزی بپرسیم در حوزه طرح سپاس چه میکنید میگوید من سوئیچ سپاس را راهاندازی میکنم یعنی وظیفه عملیاتی را گرفته است ولی اگر در حوزه سیاستگذاری سوال شود هنوز هیچکس نمیداند ذینفعان موبایل پیمنت چه کسانی هستند و چه وظایفی دارند .
-وظیفه بانکها در حوزه نظارت هوشمند چیست؟
یک بعد داخلی (Internal) است به طوری که صاحبان بانک و مدیران ارشد مطمئن باشند که بانک وضعیت خوبی دارد یعنی بانک باید به صورت داخلی مدیریت ریسک را انجام دهند پس بحث نرمافزاری به نام مدیریت ریسک مطرح میشود بانک باید بتواند Fraud Ditection و اعتبارسنجی درست را انجام دهد بدون این ابزارها بانکها دچار ریسک میشوند در اختلاس معروفی که اتفاق افتاد یکی از موضوعات اعتبارسنجی بود که وجود نداشت. از باب حاکمیت شرکتی مدیران بانک و سهامداران باید این خواسته را داشته باشند که نرمافزارهای نظارت استفاده شود.
-با توجه به آنچه گفته شد وظایف بانک مرکزی و بانکها باید مشخص شود اما با توجه به شرایط داخلی یکسری فقدانها و نقصانها وجود دارد در این خصوص توضیح دهید؟
باید این نظارت تبدیل به یک دغدغه شود همانطور که موبایل بنکینگ، ATM، Pos و… دغدغه است این حس در بعد نظارتی در داخل بانکها دیده نمیشود به خصوص در بخش IT بانکها یک وظیفه قطعی نیست یعنی مدیران IT بانکها با قضیه نظارت مقداری به صورت فانتزی برخورد میکنند به صورت عملیاتی و جدی برخورد نمیشود شاید این نیاز باید از سوی مدیریت ارشد بانک القا شود و باید یک برنامه مشخص در حوزه سیستمهای هوشمند بانک در بعد نظارتی داشته باشد همانطور که در ابتدای هر سال برای بانکها در حوزه ATM، Pos و انتقال وجه سه وجهی و… شاخص تعیین میکنیم، در حوزه نظارت هم باید این برنامهها دیده شود.
-شاید به عادت بانکها هم برگردد که همیشه منتظرند چیزی از طرف بانک مرکزی به آنها ابلاغ شود و با مقداری مقاومت آن را بپذیرند؟
همانطور که گفتم ارتباط دو سویه است فرهنگ باید داخل بانکها شکل بگیرد و ارایهدهندگان این محصولات سمینارهای مختلف بگذارند و با بانکها تعامل برقرار کنند این نیاز تکرار و حس شود بانک مرکزی هم در حوزه سیاستگذاری این را ابلاغ کند و همه آنچه که برای نظارت سنتی صورت میگیرد برای نظارت هوشمند هم عملیاتی شود در نظارت هوشمند در ابتدا مدل مفهومی را تعریف و طراحی کند و وظایف خودش و بانک را مشخص کند.
–نهاد جانبی مثل نهادهای اعتبارسنجی چقدر نقش دارند؟
در واقع وقتی ما اعتبارسنجی داریم یک pre auditing انجام میدهیم یا یک پیش نظارت و بسیاری از ریسکهای بانک را کم میکنیم که بعدا مدیریت ریسک کارش راحتتر باشد.
اصولا باید در شبکه بانکی دو بعد اعتبارسنجی را داشته باشیم یکی بعد بین بانکی یا Credit Bureauاست یا ادارات اعتبارسنجی که ممکن است مستقل و خصوصی و یا داخل بانک مرکزی باشند که وظیفه آنها تجمیع اطلاعات با ابزار مناسب اطلاعاتی است که نمره اعتباری را در نهایت استخراج میکنند این بعد اول اعتبارسنجی است که در کشور ما یکسری حرکتهایی شده ولی هنوز به لحاظ فرهنگی و فنی و سیاستگذاری مشکل داریم در بعد فرهنگی به طور مثال بانکها دوست ندارند اطلاعات خود را سهیم کنند در حالیکه دراین مدل یک الزام اشتراکگذاری دیتاها است دیگر اینکه ما سیاست مشخصی نداریم البته یک مجموعه خصوصی که متعلق به یک بانک است را داریم که فقط برای آن بانک انجام میدهد تا جایی که من اطلاع دارم بانک مرکزی نهادی به اسم بخش خصوصی اعتبارسنجی را تعریف نکرده است البته یکی متعلق به بانک مرکزی است (شرکت اعتبارسنجی ایرانیان) که در حال حاضر کار میکند که در اینجا هم دوباره نقش سیاستگذاری و عملیاتی یکی شده است و خود بانک مرکزی دخیل شده است در حالی که بهتر بود نهادی به اسم اعتبارسنجی ایجاد میکرد ،روش اعطاء مجوز آن را مشخص ، سرمایه اولیه را تعیین وهیئت مدیره را کنترل میکرد اما در حوزه سیاستگذاری نه اجرا .در واقع فقط سیاستگذار و ناظر باشد نه مجری .
ولی اعتبارسنجی را تنها در این قالب نمیتوان نگاه کرد ما یک enternal credit scoring هم نیاز داریم یعنی هر موسسه مالی که با مشتری سروکار دارد یک اعتبارسنجی داخلی دارد و فقط بانکها هم نیستند بلکه برخی موسسات مثل شرکتهای بیمه هم به این نیاز دارد آنها میتوانند از دیتاهای Credit Bureauها استفاده کنند ،از دیتاهای خود هم استفاده کنندو ملاحظات اختصاصی بانک یا موسسه مالی را هم لحاظ کنند که اصطلاحا score cardهای اختصاصی میگویند و اعتبارسنجی داخلی را هم انجام دهند اگر ما هر دو نهاد global و enternal را داشته باشیم آن زمان میتوانیم بگوییم که یک ابزار اعتبارسنجی خوب داریم که به بعد نظارتی ما کمک میکند که در اینجا هم در ابتدای راه هستیم.
–سازمانهای جانبی دیگر مثل سازمان حسابرسی هم ممکن است در این مساله دخیل باشند آیا حوزه حسابرسی IT با بحث نظارت هوشمند ارتباط پیدا میکند؟
در پازل یکی از ریسکها IT است که مجموعهای از ملاحظات را برای آن در نظر گرفتهاند وقتی گفته میشود که یکسری قواعد را لحاظ کنید تا دچار ریسک IT نشوید قطعا چیزی به اسم نظارت هم شکل میگیرد چرخه همیشگی سیاست، اعمال سیاست و نظارت روی آن شکل میگیرد، بنابراین بعید نیست که در آینده یکی از مباحث ما نظارت IT باشد به طور مثال بانک مرکزی کارهایی انجام داده اما بیشتر در حوزه امنیت IT است .
ممیزی حسابرسی IT بیشتر از بعد فنی مدنظر است یعنی شاخصهای ریسک IT را استخراج کنیم که به طور مثال یک بخش آن امنیت IT است بعد یک مجموعه بتواند نظارت را انجام دهد.
حسابرسی مالی هم یک ابزار داخلی بانکها است و معمولا در گزارشاتی که مجمع ارایه میدهد حسابرسی شده است که البته بیشتر به شکل سنتی انجام میشود قطعا آنها هم باید وجود داشته باشد.
-پارامترهای دیگر حسابرسی IT به جز امنیت شامل چه فاکتورهای دیگری است؟
امنیت خیلی مهم است اما راهکارهای دسترسی اطلاعات هم بسیار مهم است به طوریکه کاربران در بانک به چه اطلاعاتی دسترسی دارند یعنی تراز اطلاعاتی این پالسیها بسیار مهم است بعضا دیده میشود که تهدیدات جدی وجود دارد و پالسیهای دسترسی به شکل مدون در بانکها دیده نمیشود .دیگر ملاحظات زنده نگاهداشتن ابزارهای ITبانک است ، همانطور که میدانید قلب یک بانک ابزار IT آن است اینکه روشهای ریکاوری به چه شکل است در صورت وجود مشکل چه skillabilityهایی را میتوان برای بانک مدیریت کرد همه اینها شاخصهایی است که در حوزه ITبانک میتواند لحاظ شود به نظرم بانک مرکزی به شدت میتواند کمک کند به طوریکه ریسکهایی که در ITچه در ابعاد امنیتی و… بانکها داریم را مدون کند سرفصلها مشخص شود و به آن پاسخ داده شود این یک تکلیف برای بانکها خواهد بود اگر این سند استخراج شود بانکها روی آن کار میکنند سپس بانک مرکزی دوباره سیاستگذاری میکند و حال که بانکها مجهز شدند مقام ناظر هم نظارت میکند که بهتر است خودش درگیر نشود و از بخش خصوصی استفاده کند یکسری ممیز این موضوعات را تربیت کند و به آنها خط مشی دهد و آنها ممیزی موضوعاتIT را برای بانکها داشته باشند.
-در بحث نظارت هوشمند کارت هوشمند چه اهمیتی دارد؟
کارت هوشمند امنیت یک تراکنش را به نسبت کارتهای مغناطیسی بالا میبرد استانداردی به اسم Emv (Europay Master Visa) وجود دارد که استاندارد اپلیکیشنهای debit و credit روی کارت هوشمند است که شامل سه نهاد بزرگ متولی پرداخت الکترونیک است که این استاندارد را ایجاد کردهاند که معتبر هست و دنیا هم به آن سمت حرکت میکند و کمکم کارتهای مغناطیسی حذف میشود در اینجا امنیت انجام تراکنش بسیار بالاتر میرود ولی ارتباط چندانی با بحث نظارتی ندارد مگر امنیت را در قالب نظارت تعریف کرد که انجام تراکنش پرداختها با استفاده از کارت هوشمند امنتر میشود اما اگر نظارت را در مباحث کلان داشته باشیم کارت هوشمند فقط در برقراری امنیت تراکنشها میتواند کمک کند.
–وقتی بحث نظارت هوشمند باشد نظارت روی موبایل پیمنت روی pspها و… هم ایجاد خواهد شد؟
آنچه که گفتم انتظارات مقام ناظر از بانکها در ملاحظات امنیت IT است اما یکسری مسایل بین بخشی هم داریم که اپراتور، بانک و psp هم درگیر میشود که این دوباره ممکن است یک قاعده خاص نظارتی هم بطلبد، اشکالی ندارد که برای هر موضوع یک قاعده خاص نظارتی طراحی کنیم این دو با هم در تضاد نیستند که بانکها تکلیفشان معلوم شود و مابقی پروژههایی نیز که بانک مرکزی دنبال میکند هرکدام برای خودشان نظارتشان تعریف شود.