اصــول مــدیریت ریــسک بانکداری الکترونیک

اصــول مــدیریت ریــسک مربــوط بــه بانکداری الکترونیک شناسایی شـده در ایـن گــزارش در ســه زمینــه موضــوعی وســیع قرارمیگیرد که اغلب با یکدیگر هم پوشانی دارند .

البته این اصول بوسیله نظم ترجیحی یا اهمیت ، وزن داده نمی شوند ، زیـرا چنـین  وزنی به مرور زمان تغییر پیدا مـی کنـد . از همین رو ترجیح داده می شود تا بی طـرف ماند و از چنین الویت بندی اجتناب کرد .

با درگاه پرداخت ePayBank.ir با خیال راحت و باسودگی میتوانید تراکنش های بانکی خود را مدیریت نمایید. درگاه پرداخت ePayBank.ir تنها برای پذیرندگان احراز هویت شده توسط خود درگاه پرداخت ePayBank.ir ارایه می گردد.

تمامی تراکنش های درگاه پرداخت ePayBank.ir بصورت امن پردازش می شوند.

‰الف ـ مراقبت مدیریت و هیأت مـدیره (اصول ١تا٣) :

١ـ مراقبت موثر مدیریت در فعالیتهایمربوط به بانکداری الکترونیک

٢ـــ ایجــاد یــک فرآینــد جــامع کنتــرلایمنی

٣ـ برخورداری از یک نظارت مدیریت و پشتکار دقیـق و جـامع در روابـط بـا منـابع بیرونی و سایر وابستگی ها به شخص ثالث

‰ب ـ کنترل های ایمنی (اصول ۴تا١٠) :

۴ـــ احــراز هویــت مــشتریان بانکهــای الکترونیک

۵ـ پذیرش مسئولیت حـسابدهی بـرای معاملات بانکداری الکترونیک

۶ـــ تــدابیر مناســب بــرای اطمینــان از تفکیک وظایف

٧ـ ایجـاد کنتـرل هـای مناسـب بـرای  صــدور مجــوز درون نظامهــای بانکــداری الکترونیک ، پایگاههای داده ها و کاربری ها

٨ ـ یکپـارچگی داده هـا در معـاملات ، سوابق و اطلاعات بانکداری الکترونیک

٩ـــ انجــام حــسابرسی هــای روشــن از معاملات در بانکداری الکترونیک

١٠ـ محرمانه بودن اطلاعات کلیدی بانک.

‰ج ـ مدیریت ریسک شهرتی و قـانونی (اصول ١١تا١۴) :

١١ـ افشای مناسب خـدمات بانکـداری الکترونیک

١٢ـ حفـظ حـریم خـصوصی اطلاعـات مشتریان

١٣ـ ظرفیت سازی ، تداوم سبک و کـار و نیز برنامه ریزی اضطراری برای اطمینان از در دسترس بودن سیستم ها و خـدمات بانکداری الکترونیک

١۴ـ برنامه ریزی پاسخ به حوادث

‰ الف ـ مراقبت مدیریت و هیأت مدیره ( اصول ١تا٣)

هیأت مـدیره و مـدیران ارشـد مـسئول  تدوین استراتژی تجاری بانکداری هـستند ، یک تصمیم استراتژیک روشن در این زمینه لازم است به این منظور اتخاذ شود کـه آیـا  هیأت مدیره تمایل دارد تـا بانـک خـدمات معــاملات بانکــداری الکترونیــک را قبــل از شروع ، ارائه دهد یا خیر ؟

به طور خاص هیأت مدیره باید اطمینان حاصل کند که آیـا برنامـه هـای بانکـداری  الکترونیک به روشنی با اهـداف اسـتراتژیک بنگاه درهم آمیخته است ؟ و آیا یک تحلیل ریسک از فعالیت های بانکداری الکترونیـک به عمل آمده و نیزآیا فرآینـدهای مناسـبی بـــرای کـــاهش ریـــسک هـــای مـــشخص درنظرگرفته شده است ؟

همچنین هیأت مدیره و مـدیران ارشـد باید مطالعات مستمری بـه منظـور ارزیـابی نتایج فعالیت های بانکـداری الکترونیـک در برابر برنامـه هـا و اهـداف تجـاری مؤسـسه  متبوع خود ، داشته باشند .  علاوه بر این ، آنها باید اطمینان حاصـل کنند کـه ابعـاد ریـسک ایمنـی و عملیـاتی  استراتژیهای تجاری بانکداری الکترونیک آن نهاد ، به نحو مناسبی مورد ملاحظه و توجه قرار گرفته اند .

در اختیار نهادن خدمات مالی از طریـق اینترنت به نحـو چـشمگیری ریـسک هـای  بانکداری سنتی را اصلاح یـا حتـی افـزایش میدهد (به عنوان مثال از لحاظ ریسکهای اســتراتژیک ، شــهرت ، عملیــات ، اعتبــار و نقدینگی ) از همین رو لازم اسـت گامهـایی به منظور اطمینان از این امر برداشـته شـود

که فرآیندهای موجـود مـدیریت ریـسک از قبیل فرآیندهای کنترل امنیت ، پشت کـار جدی و فرآیندهای مراقبتی برای روابـط بـا منابع بیرونی به نحو درستی مـورد ارزیـابی قرار بگیرند و به منظور جای دادن خـدمات  بانکداری الکترونیک بهینه شوند .

اصل یک ـ هیأت مدیره و مدیریت ارشد  بایستی مراقبت مدیریتی موثری روی ریسک  های مرتبط با فعالیت های بانکداری الکترونیک  از قبیل تعبیه سیاستهای حسابرسی و کنترلی   ویژهای به منظور فائق آمدن بر این ریسکها   داشته باشد.

  مراقبــــت مــــدیریتی دقیــــق بــــرای درنظرگرفتن کنترل های داخلی مـوثر روی فعالیت های مربوط به بانکداری الکترونیـک ضروری است .

 علاوه بر ویژگیهای خـاص کانـال توزیـع اینترنت که در مقدمه روی آن بحـث شـد ،  جنبه هـای زیـر از بانکـداری ممکـن اسـت  چـالش هـای قابـل توجـه ای را نـسبت بــه  فرآیندهای مدیریت ریسک سنتی ایجادکند

عناصر اصلی کانال تحویل (اینترنت و تکنولوژیهای مرتبط با آن) خارج از کنتـرل مستقیم بانک هستند. 3/4 اینترنــت ارائــه خــدمات را در چنــد مرجع قضایی ملی از جمله آنهایی را کـه در محدوده های فیزیکی خدمت رسـانی بانـک قرار ندارند ، تسهیل می کند .

پیچیــدگی موضـــوعات مـــرتبط بـــا بانکداری الکترونیک زبـان و مفـاهیم بـسیار فنی را شامل می شوند که در بسیـــــاری اوقـــات خـــارج از تجربـــه ســـنتی هیأت مدیره و مدیریت ارشد است .

 بــه لحـــاظ ویژگــی منحـــصربفرد بانکداری الکترونیک ، پروژه های جدید این رشته کـه ممکـن اسـت تـأثیر مهمـی روی  وضعیت و اسـتراتژی ریـسک بانـک داشـته  باشد ، باید بوسیله هیأت مدیره و مـدیریت  ارشــد مــورد بررســی قــرار گرفتــه و یــک استراتژی مناسب برمبنای تحلیـل هزینـه ـ فایده در نظرگرفته شود .

 بدون یـک مطالعـه اسـتراتژیک بـه منظور ارزیابی مستمرکار ، بانکها درمعـرض ریسک بـرآورد پـائین هزینـه و یـا تخمـین  بــیش از انــدازه بازگــشت پــول ناشــی از ابتکارات بانکداری الکترونیک قرار دارند .

 عــلاوه بـــر آن ، هیــأت مـــدیره و مدیریت ارشد باید اطمینان حاصل کنند که بانک مادامیکه دانش و تجربـه فنـی لازم را  بــرای مراقبــت مــوثر و کارآمــد از مــدیریت ریــسک پیــدا نکــرده وارد فعالیــت هــای بانکــداری الکترونیــک جدیــد نــشود و یــا تکنولوژی های جدید را در اختیار نگیرد.

 تجربــه فنــی مــدیریت و پرســنل بایستی با ماهیت فنی و پیچیدگی کار برای بانکـــداری الکترونیـــک و تکنولوژیهــــای دربرگیرنده آن ، متناسب باشد .

 در این زمینـه ، تجربـه فنـی کـافی بدون توجه به آنکه سیـستم هـا و خـدمات  بانکداری الکترونیک در درون بانک مدیریت می شـود یـا اینکـه مـدیریت آن بـا منـابع  بیرونی و اشخاص ثالث است ، ضرورت دارد.

 فرآیندهای مراقبت مـدیریت ارشـد باید پویا عمل کند تا اینکه بتوانـد بـه نحـو  موثری هنگـام بـروز مـشکلات در سیـستم  های بانکداری الکترونیک یا نقض امنیتـی از خود واکنش نشان دهند .

ریسک شهرتی روبه ازدیاد مرتبط با الزامات بانکداری الکترونیک ، لـزوم کنتـرل دقیق قابلیـت عمـل متقابـل سیـستم هـا و رضایت مشتری همراه بـا گـزارش مطلـوب  حوادث به هیأت مدیره و مـدیریت ارشـد را مطرح می کند .

 ســرانجام هیــأت مــدیره و مــدیریت ارشــد بایــد اطمینــان پیــدا کننــد کــه فرآیندهای مدیریت ریـسک بـرای فعالیـت هــای بانکــداری الکترونیــک در چــارچوب مدیریت ریسک کلی بانک قرار دارد .

 سیاســـتها و فرآینـــدهای موجـــود مدیریت ریسک باید مورد ارزیابی قرار گیرد تا اطمینان حاصل شود که آیا آنها به انـدازه کافی نیرومند هستند تا بتوانند ریسک های جدیــد ناشــی از فعالیــت هــای بانکــداری الکترونیک برنامه ریـزی شـده یـا جـاری را  پوشش دهند .

 در زمینه مدیریت ریسک بایـد گـام های بیشتری بـه شـرح زیـر توسـط هیـأت  مدیره و مدیریت ارشد برداشته شود :

تعریــف روشــنی از اشــتیاق ریــسک سازمان در رابطه با بانکداری الکترونیک بـه عمل آید .

تعیــــین نماینــــدگان کلیــــدی و مکانیزمهای گزارشگری از جمله روش های بالا بردن ایمنی برای حـوادثی کـه ایمنـی ، عملکرد بدون عیب و نقص یا شـهرت بانـک را تحت تأثیر قـرار مـی دهـد ( مـسایلی از قبیل نفوذ به شبکه ، نقض امنیت کارکنـان و هرگونــــه سوءاســــتفاده از تــــسهیلات کامپیوتری)

باید هرگونه فاکتورهـای منحـصربفرد ریسک مرتبط ، به منظور اطمینان از اینکـه امنیت ، یکپارچگی و دسترسی به تولیـدات و خدمــات بانـکداری الکترونیـک حفـــظ میشود ، مـورد توجـه قـرار گیـرد در ایـن  زمینه برای طرفهـای ثالـث کـه بـه عنـوان  منابع بیرونی ، سیستم هـا و کـاربری هـای  کلیدی را در اختیار دارنـد نیـز بایـد اقـدام مشابهی انجام شود .

قبل از آنکه بانک فعالیـت هـای بانکداری الکترونیک فرامـرزی خـود را انجام دهد ،بایـد از اینکـه پـشتکارلازم بــرای آن کــار وجــود دارد و تحلیــل ریسک نیز بـه عمـل آمـده ، اطمینـان حاصل شود .

 اینترنت تا حد زیادی توانایی بانـک را برای توزیـع تولیـدات و خـدمات در تقریبـاً یک قلمرو جغرافیایی نامحدود ورای مرزهـا تسهیل میکند .

چنـــین فعالیـــت هـــای بانکـــداری الکترونیک فرامرزی ، بـویژه چنانچـه بـدون حضور فیزیکی بـا مجـوز در کـشور میزبـان  باشد ، به طور بالقوه ای بانک را در معـرض  تهدیــد ناشــی از ریــسک هــای حقــوقی ، مقرراتـی و کـشوری قـرار مـی دهـد ، زیـرا تفاوت های قابل ملاحظه ای بین حوزههای قضایی گوناگون در این رابطه وجود دارد .  بـــستگی بـــه دامنـــه و پیچیـــدگی فعالیتهای مربوط به بانکداری الکترونیک ، دامنه و ساختار برنامه های ریسک مدیریتی در سازمانهای بـانکی گونـاگون بـا یکـدیگر  متفاوت است .

منابعی که به این منظور به کار می آید  تا برخـدمات بانکـداری الکترونیـک نظـارت کند ، بایستی با عملکرد حیـاتی و عملیـاتی سیستم ها ، قابلیت آسیب پذیری شبکه هـا و حساسیت اطلاعات ارسالی ، سازگار باشد.

اصل ٢ـ هیـأت مـدیره و مـدیریت  ارشد بایستی جنبه های کلیدی فر آینـد  کنترل ایمنی بانک را مورد بررسی قرار  دهند و آنها را تصویب کنند .

هیأت مدیره و مـدیریت ارشـد بایـستی برتوســعه و حفــظ تــداوم یــک زیرســاخت کنتــرل ایمنــی کــه بــه نحــو مناســبی سیستمهای بانکداری الکترونیک و اطلاعات ناشی از خطرات درونی و بیرونی را حفاظت میکند، نظارت داشته باشد .  این امر باید ایجاد کنترل هـای مناسـب برای مجوز دسترسـی فیزیکـی و منطقـی و  امنیت کافی زیر سـاختی بـه منظـور حفـظ مناســب مرزهــا و محــدودیت هــا در حــوزه فعالیــتهــای داخلــی و بیرونــی کــاربر را شامل شود .

حفاظت از سرمایه هـای بانـک یکـی از  وظایف مربوط به امانت داری هیأت مدیره و یکی ازمسئولیت های اساسی مدیریت ارشد است .

با اینحال ، این امر بخاطر ریـسک هـای پیچیـده امنیتــی مـرتبط بــا عملیــات درون شــبکه عمــومی اینترنــت و بــه کــارگیری تکنولوژیهـــای ابـــداعی ، یـــک وظیفـــه چالش برانگیز در محـیط بـه سـرعت روبـه  تکامل بانکداری الکترونیک به شمار میرود.  بــه منظــور اطمینــان از کنتــرل هــای امنیتی مناسب برای فعالیت های مربوط بـه بانکــداری الکترونیــک ، هیــأت مــدیره و مدیریت ارشد نیاز دارد تا اطمینـان حاصـل کند که آیابانک از یک فرآیندامنیتی جـامع برخــوردار اســت ؟ ایــن فرآینــد شــامل سیاســتهاو روشــهایی مــی شــود کــه کلیــه امنیــت بــالقوه مــوارد مربــوط بــه خــارجی ودرونــی را از لحــاظ جلــوگیری از وقــوع و پاسخ به حادثه ، در برمی گیرد .