اصــول مــدیریت ریــسك بانكداری الكترونیك

اصــول مــدیریت ریــسك مربــوط بــه بانكداری الكترونیك شناسایی شـده در ایـن گــزارش در ســه زمینــه موضــوعی وســیع قرارمیگیرد كه اغلب با یكدیگر هم پوشانی دارند .

البته این اصول بوسیله نظم ترجیحی یا اهمیت ، وزن داده نمی شوند ، زیـرا چنـین  وزنی به مرور زمان تغییر پیدا مـی كنـد . از همین رو ترجیح داده می شود تا بی طـرف ماند و از چنین الویت بندی اجتناب كرد .

با درگاه پرداخت ePayBank.ir با خیال راحت و باسودگی میتوانید تراکنش های بانکی خود را مدیریت نمایید. درگاه پرداخت ePayBank.ir تنها برای پذیرندگان احراز هویت شده توسط خود درگاه پرداخت ePayBank.ir ارایه می گردد.

تمامی تراکنش های درگاه پرداخت ePayBank.ir بصورت امن پردازش می شوند.

‰الف ـ مراقبت مدیریت و هیأت مـدیره (اصول ١تا٣) :

١ـ مراقبت موثر مدیریت در فعالیتهایمربوط به بانكداری الكترونیك

٢ـــ ایجــاد یــك فرآینــد جــامع كنتــرلایمنی

٣ـ برخورداری از یك نظارت مدیریت و پشتكار دقیـق و جـامع در روابـط بـا منـابع بیرونی و سایر وابستگی ها به شخص ثالث

‰ب ـ كنترل های ایمنی (اصول ٤تا١٠) :

٤ـــ احــراز هویــت مــشتریان بانكهــای الكترونیك

٥ـ پذیرش مسئولیت حـسابدهی بـرای معاملات بانكداری الكترونیك

٦ـــ تــدابیر مناســب بــرای اطمینــان از تفكیك وظایف

٧ـ ایجـاد كنتـرل هـای مناسـب بـرای  صــدور مجــوز درون نظامهــای بانكــداری الكترونیك ، پایگاههای داده ها و كاربری ها

٨ ـ یكپـارچگی داده هـا در معـاملات ، سوابق و اطلاعات بانكداری الكترونیك

٩ـــ انجــام حــسابرسی هــای روشــن از معاملات در بانكداری الكترونیك

١٠ـ محرمانه بودن اطلاعات كلیدی بانك.

‰ج ـ مدیریت ریسك شهرتی و قـانونی (اصول ١١تا١٤) :

١١ـ افشای مناسب خـدمات بانكـداری الكترونیك

١٢ـ حفـظ حـریم خـصوصی اطلاعـات مشتریان

١٣ـ ظرفیت سازی ، تداوم سبك و كـار و نیز برنامه ریزی اضطراری برای اطمینان از در دسترس بودن سیستم ها و خـدمات بانكداری الكترونیك

١٤ـ برنامه ریزی پاسخ به حوادث

‰ الف ـ مراقبت مدیریت و هیأت مدیره ( اصول ١تا٣)

هیأت مـدیره و مـدیران ارشـد مـسئول  تدوین استراتژی تجاری بانكداری هـستند ، یك تصمیم استراتژیك روشن در این زمینه لازم است به این منظور اتخاذ شود كـه آیـا  هیأت مدیره تمایل دارد تـا بانـك خـدمات معــاملات بانكــداری الكترونیــك را قبــل از شروع ، ارائه دهد یا خیر ؟

به طور خاص هیأت مدیره باید اطمینان حاصل كند كه آیـا برنامـه هـای بانكـداری  الكترونیك به روشنی با اهـداف اسـتراتژیك بنگاه درهم آمیخته است ؟ و آیا یك تحلیل ریسك از فعالیت های بانكداری الكترونیـك به عمل آمده و نیزآیا فرآینـدهای مناسـبی بـــرای كـــاهش ریـــسك هـــای مـــشخص درنظرگرفته شده است ؟

همچنین هیأت مدیره و مـدیران ارشـد باید مطالعات مستمری بـه منظـور ارزیـابی نتایج فعالیت های بانكـداری الكترونیـك در برابر برنامـه هـا و اهـداف تجـاری مؤسـسه  متبوع خود ، داشته باشند .  علاوه بر این ، آنها باید اطمینان حاصـل كنند كـه ابعـاد ریـسك ایمنـی و عملیـاتی  استراتژیهای تجاری بانكداری الكترونیك آن نهاد ، به نحو مناسبی مورد ملاحظه و توجه قرار گرفته اند .

در اختیار نهادن خدمات مالی از طریـق اینترنت به نحـو چـشمگیری ریـسك هـای  بانكداری سنتی را اصلاح یـا حتـی افـزایش میدهد (به عنوان مثال از لحاظ ریسكهای اســتراتژیك ، شــهرت ، عملیــات ، اعتبــار و نقدینگی ) از همین رو لازم اسـت گامهـایی به منظور اطمینان از این امر برداشـته شـود

كه فرآیندهای موجـود مـدیریت ریـسك از قبیل فرآیندهای كنترل امنیت ، پشت كـار جدی و فرآیندهای مراقبتی برای روابـط بـا منابع بیرونی به نحو درستی مـورد ارزیـابی قرار بگیرند و به منظور جای دادن خـدمات  بانكداری الكترونیك بهینه شوند .

اصل یك ـ هیأت مدیره و مدیریت ارشد  بایستی مراقبت مدیریتی موثری روی ریسك  های مرتبط با فعالیت های بانكداری الكترونیك  از قبیل تعبیه سیاستهای حسابرسی و كنترلی   ویژهای به منظور فائق آمدن بر این ریسكها   داشته باشد.

  مراقبــــت مــــدیریتی دقیــــق بــــرای درنظرگرفتن كنترل های داخلی مـوثر روی فعالیت های مربوط به بانكداری الكترونیـك ضروری است .

 علاوه بر ویژگیهای خـاص كانـال توزیـع اینترنت كه در مقدمه روی آن بحـث شـد ،  جنبه هـای زیـر از بانكـداری ممكـن اسـت  چـالش هـای قابـل توجـه ای را نـسبت بــه  فرآیندهای مدیریت ریسك سنتی ایجادكند

عناصر اصلی كانال تحویل (اینترنت و تكنولوژیهای مرتبط با آن) خارج از كنتـرل مستقیم بانك هستند. 3/4 اینترنــت ارائــه خــدمات را در چنــد مرجع قضایی ملی از جمله آنهایی را كـه در محدوده های فیزیكی خدمت رسـانی بانـك قرار ندارند ، تسهیل می كند .

پیچیــدگی موضـــوعات مـــرتبط بـــا بانكداری الكترونیك زبـان و مفـاهیم بـسیار فنی را شامل می شوند كه در بسیـــــاری اوقـــات خـــارج از تجربـــه ســـنتی هیأت مدیره و مدیریت ارشد است .

 بــه لحـــاظ ویژگــی منحـــصربفرد بانكداری الكترونیك ، پروژه های جدید این رشته كـه ممكـن اسـت تـأثیر مهمـی روی  وضعیت و اسـتراتژی ریـسك بانـك داشـته  باشد ، باید بوسیله هیأت مدیره و مـدیریت  ارشــد مــورد بررســی قــرار گرفتــه و یــك استراتژی مناسب برمبنای تحلیـل هزینـه ـ فایده در نظرگرفته شود .

 بدون یـك مطالعـه اسـتراتژیك بـه منظور ارزیابی مستمركار ، بانكها درمعـرض ریسك بـرآورد پـائین هزینـه و یـا تخمـین  بــیش از انــدازه بازگــشت پــول ناشــی از ابتكارات بانكداری الكترونیك قرار دارند .

 عــلاوه بـــر آن ، هیــأت مـــدیره و مدیریت ارشد باید اطمینان حاصل كنند كه بانك مادامیكه دانش و تجربـه فنـی لازم را  بــرای مراقبــت مــوثر و كارآمــد از مــدیریت ریــسك پیــدا نكــرده وارد فعالیــت هــای بانكــداری الكترونیــك جدیــد نــشود و یــا تكنولوژی های جدید را در اختیار نگیرد.

 تجربــه فنــی مــدیریت و پرســنل بایستی با ماهیت فنی و پیچیدگی كار برای بانكـــداری الكترونیـــك و تكنولوژیهــــای دربرگیرنده آن ، متناسب باشد .

 در این زمینـه ، تجربـه فنـی كـافی بدون توجه به آنكه سیـستم هـا و خـدمات  بانكداری الكترونیك در درون بانك مدیریت می شـود یـا اینكـه مـدیریت آن بـا منـابع  بیرونی و اشخاص ثالث است ، ضرورت دارد.

 فرآیندهای مراقبت مـدیریت ارشـد باید پویا عمل كند تا اینكه بتوانـد بـه نحـو  موثری هنگـام بـروز مـشكلات در سیـستم  های بانكداری الكترونیك یا نقض امنیتـی از خود واكنش نشان دهند .

ریسك شهرتی روبه ازدیاد مرتبط با الزامات بانكداری الكترونیك ، لـزوم كنتـرل دقیق قابلیـت عمـل متقابـل سیـستم هـا و رضایت مشتری همراه بـا گـزارش مطلـوب  حوادث به هیأت مدیره و مـدیریت ارشـد را مطرح می كند .

 ســرانجام هیــأت مــدیره و مــدیریت ارشــد بایــد اطمینــان پیــدا كننــد كــه فرآیندهای مدیریت ریـسك بـرای فعالیـت هــای بانكــداری الكترونیــك در چــارچوب مدیریت ریسك كلی بانك قرار دارد .

 سیاســـتها و فرآینـــدهای موجـــود مدیریت ریسك باید مورد ارزیابی قرار گیرد تا اطمینان حاصل شود كه آیا آنها به انـدازه كافی نیرومند هستند تا بتوانند ریسك های جدیــد ناشــی از فعالیــت هــای بانكــداری الكترونیك برنامه ریـزی شـده یـا جـاری را  پوشش دهند .

 در زمینه مدیریت ریسك بایـد گـام های بیشتری بـه شـرح زیـر توسـط هیـأت  مدیره و مدیریت ارشد برداشته شود :

تعریــف روشــنی از اشــتیاق ریــسك سازمان در رابطه با بانكداری الكترونیك بـه عمل آید .

تعیــــین نماینــــدگان كلیــــدی و مكانیزمهای گزارشگری از جمله روش های بالا بردن ایمنی برای حـوادثی كـه ایمنـی ، عملكرد بدون عیب و نقص یا شـهرت بانـك را تحت تأثیر قـرار مـی دهـد ( مـسایلی از قبیل نفوذ به شبكه ، نقض امنیت كاركنـان و هرگونــــه سوءاســــتفاده از تــــسهیلات كامپیوتری)

باید هرگونه فاكتورهـای منحـصربفرد ریسك مرتبط ، به منظور اطمینان از اینكـه امنیت ، یكپارچگی و دسترسی به تولیـدات و خدمــات بانـكداری الكترونیـك حفـــظ میشود ، مـورد توجـه قـرار گیـرد در ایـن  زمینه برای طرفهـای ثالـث كـه بـه عنـوان  منابع بیرونی ، سیستم هـا و كـاربری هـای  كلیدی را در اختیار دارنـد نیـز بایـد اقـدام مشابهی انجام شود .

قبل از آنكه بانك فعالیـت هـای بانكداری الكترونیك فرامـرزی خـود را انجام دهد ،بایـد از اینكـه پـشتكارلازم بــرای آن كــار وجــود دارد و تحلیــل ریسك نیز بـه عمـل آمـده ، اطمینـان حاصل شود .

 اینترنت تا حد زیادی توانایی بانـك را برای توزیـع تولیـدات و خـدمات در تقریبـاً یك قلمرو جغرافیایی نامحدود ورای مرزهـا تسهیل میكند .

چنـــین فعالیـــت هـــای بانكـــداری الكترونیك فرامرزی ، بـویژه چنانچـه بـدون حضور فیزیكی بـا مجـوز در كـشور میزبـان  باشد ، به طور بالقوه ای بانك را در معـرض  تهدیــد ناشــی از ریــسك هــای حقــوقی ، مقرراتـی و كـشوری قـرار مـی دهـد ، زیـرا تفاوت های قابل ملاحظه ای بین حوزههای قضایی گوناگون در این رابطه وجود دارد .  بـــستگی بـــه دامنـــه و پیچیـــدگی فعالیتهای مربوط به بانكداری الكترونیك ، دامنه و ساختار برنامه های ریسك مدیریتی در سازمانهای بـانكی گونـاگون بـا یكـدیگر  متفاوت است .

منابعی كه به این منظور به كار می آید  تا برخـدمات بانكـداری الكترونیـك نظـارت كند ، بایستی با عملكرد حیـاتی و عملیـاتی سیستم ها ، قابلیت آسیب پذیری شبكه هـا و حساسیت اطلاعات ارسالی ، سازگار باشد.

اصل ٢ـ هیـأت مـدیره و مـدیریت  ارشد بایستی جنبه های كلیدی فر آینـد  كنترل ایمنی بانك را مورد بررسی قرار  دهند و آنها را تصویب كنند .

هیأت مدیره و مـدیریت ارشـد بایـستی برتوســعه و حفــظ تــداوم یــك زیرســاخت كنتــرل ایمنــی كــه بــه نحــو مناســبی سیستمهای بانكداری الكترونیك و اطلاعات ناشی از خطرات درونی و بیرونی را حفاظت میكند، نظارت داشته باشد .  این امر باید ایجاد كنترل هـای مناسـب برای مجوز دسترسـی فیزیكـی و منطقـی و  امنیت كافی زیر سـاختی بـه منظـور حفـظ مناســب مرزهــا و محــدودیت هــا در حــوزه فعالیــتهــای داخلــی و بیرونــی كــاربر را شامل شود .

حفاظت از سرمایه هـای بانـك یكـی از  وظایف مربوط به امانت داری هیأت مدیره و یكی ازمسئولیت های اساسی مدیریت ارشد است .

با اینحال ، این امر بخاطر ریـسك هـای پیچیـده امنیتــی مـرتبط بــا عملیــات درون شــبكه عمــومی اینترنــت و بــه كــارگیری تكنولوژیهـــای ابـــداعی ، یـــك وظیفـــه چالش برانگیز در محـیط بـه سـرعت روبـه  تكامل بانكداری الكترونیك به شمار میرود.  بــه منظــور اطمینــان از كنتــرل هــای امنیتی مناسب برای فعالیت های مربوط بـه بانكــداری الكترونیــك ، هیــأت مــدیره و مدیریت ارشد نیاز دارد تا اطمینـان حاصـل كند كه آیابانك از یك فرآیندامنیتی جـامع برخــوردار اســت ؟ ایــن فرآینــد شــامل سیاســتهاو روشــهایی مــی شــود كــه كلیــه امنیــت بــالقوه مــوارد مربــوط بــه خــارجی ودرونــی را از لحــاظ جلــوگیری از وقــوع و پاسخ به حادثه ، در برمی گیرد .