در موسسه مطبوعاتی بازار پول و ارز تهیه شد؛
به گزارش خبرنگار ایبنا، مسعود ظهرابی عضو هیات مدیره شرکت پرداخت الکترونیک سداد در نشست تحلیلی «ظرفیتها و چالشهای حسابرسی فناوری اطلاعات در زیستبوم بانکی» با تاکید بر نقش فناوری اطلاعات در حکمرانی امنیت سایبری بانکها و نهادهای مالی گفت: نخستین محور مهم در بحث حسابرسی فناوری اطلاعات، جایگاه این نوع حسابرسی در چارچوب حکمرانی امنیت سایبری نظام بانکی است؛ موضوعی که در سطح جهانی نیز ذیل استانداردها و چارچوبهای متعددی مورد توجه قرار گرفته است.
وی افزود: در دنیا الزامات متنوعی در این حوزه وجود دارد؛ از مقررات بانک مرکزی اروپا و الزامات مرتبط با نهادهای ناظر پولی گرفته تا چارچوبهایی که توسط انجمنهای حرفهای مانند ISACA معرفی شدهاند، از جمله چارچوب COBIT، همچنین استانداردهای مختلف ایزو که سالهاست در حوزه امنیت اطلاعات، مدیریت ریسک و حاکمیت فناوری اطلاعات مورد استفاده قرار میگیرند.
ظهرابی با اشاره به بخشنامه اخیر بانک مرکزی در رابطه با حسابرسی فناوری اطلاعات تصریح کرد: بخشنامهای که بانک مرکزی صادر کرده، حوزههای بسیار گستردهای را پوشش میدهد؛ از موضوعات کاملا فنی مانند زیرساخت دیتاسنتر و امنیت شبکه گرفته تا حوزههای فرایندی نظیر معماری سازمانی و ساختارها که به نطر میرسد نفس این اقدام بسیار ارزشمند است.
وی یکی از چالشهای اساسی را ابهام در مفهوم حسابرسی فناوری اطلاعات دانست و اظهار کرد: باید بهصورت جدی بررسی شود که آیا ترجمه واژه IT Audit به حسابرسی فناوری اطلاعات از ابتدا ترجمه دقیقی بوده یا خیر چرا که حسابرسی در تعریف کلاسیک خود، مفاهیم مشخصی دارد، در حالی که آنچه امروز در بسیاری موارد انجام میشود، بیشتر شبیه ارزیابی، پایش یا نظارت است، اما اگر از ابتدا به این فرآیند ارزیابی فناوری اطلاعات یا پایش فناوری اطلاعات گفته میشد، شاید مسیر اجرایی و انتظارات نیز متفاوت شکل میگرفت. این موضوع نیازمند جلسات کارشناسی عمیق و گفتوگوهای چندساعته است.
عضو هیاتمدیره شرکت پرداخت الکترونیک سداد با طرح پرسشی در رابطه با متولی این حوزه افزود: همکاری دستگاههای مختلف برای پیشبرد این موضوع ضروری است، اما باید روشن شود که نقش هر نهاد چیست برای مثال، انجمن علمی حسابرسی فناوری اطلاعات که زیر نظر وزارت علوم شکل گرفته، ماموریت علمی و پژوهشی دارد؛ اما آیا باید وارد حوزه اجرا شود؟ همچنین اخیرا کمیسیون حسابرسی فناوری اطلاعات در سازمان نظام صنفی رایانهای تشکیل شده است. پرسش اینجاست که هدف، برنامه و خروجی این کمیسیون دقیقا چیست و چگونه با سایر نهادها همافزایی خواهد داشت.
ظهرابی با اشاره به چندگانگی نهادهای تصمیمگیر در حوزه امنیت سایبری اظهار کرد: در حال حاضر با نوعی پراکندگی و بعضا تعارض در بخشنامهها و الزامات مواجه هستیم؛ از پدافند غیرعامل گرفته تا مرکز کاشف و سایر نهادهای مرتبط که این وضعیت برای بانکها که یکی از مهمترین دغدغههایشان امنیت اطلاعات است چالشبرانگیز شده است که در نهایت باید مشخص شود که حرف آخر را چه نهادی میزند.
وی تاکید کرد: تجربه جهانی نشان میدهد که در حوزه نظام بانکی، مرجع نهایی تصمیمگیری و تایید گزارشهای حسابرسی فناوری اطلاعات، بانک مرکزی هر کشور است. وقتی گزارش نهایی قرار است مبنای تصمیمگیری نظارتی قرار گیرد، طبیعی است که بانک مرکزی باید آن را تایید کند ممکن است در صنایع دیگر مانند تلکام یا بیمه سازوکار متفاوتی وجود داشته باشد، اما در نظام بانکی، نقش بانک مرکزی غیرقابل جایگزین است.
ظهرابی با انتقاد از نگاه تقلیلگرایانه به چارچوب COBIT گفت: چارچوب COBIT یک ابزار جامع برای حاکمیت فناوری اطلاعات است، نه راهحل کامل حسابرسی فناوری اطلاعات. ISACA برای تکمیل این اکوسیستم، چارچوبهای دیگری مانند ITAF، CISA و سایر استانداردها را توسعه داده است. اگر COBIT بهتنهایی پاسخگو بود، اساسا نیازی به توسعه این چارچوبهای مکمل وجود نداشت. هر یک از این ابزارها بخشی از پازل حکمرانی، مدیریت و حسابرسی فناوری اطلاعات را تکمیل میکنند.
عضو هیئتمدیره سداد با اشاره به چالش نیروی انسانی در این حوزه گفت: ما الزاماتی را تعریف کردهایم، اما هنوز نیروی انسانی متناسب با آن را تربیت نکردهایم و حسابرسی فناوری اطلاعات نیازمند ترکیبی از تخصصهای فنی، امنیتی، فرایندی و مدیریتی است که برخی افراد باید متخصص دیتاسنتر و امنیت باشند و برخی دیگر در حوزه معماری سازمانی، برونسپاری و مدیریت فناوری اطلاعات تخصص داشته باشند. این نیروها بهصورت طبیعی و یکشبه ایجاد نمیشوند.
وی با اشاره به مشکلات اخیر برخی بانکها و شرکتهای پرداخت افزود: بخش قابل توجهی از شبهات و چالشها در حوزه خرید و مناقصات فناوری اطلاعات بانکهاست. اگر سازوکارهای صحیح حاکمیت و حسابرسی فناوری اطلاعات بهدرستی مستقر شود، میتواند شفافیت را افزایش داده و از بروز بسیاری از این مسائل جلوگیری کند.
ظهرابی در پایان گفت: پیشنهاد میشود تا زمان بلوغ ساختارها، کمیتههای عالی فناوری اطلاعات در بانکها با حضور اعضای هیات مدیره، معاون فناوری اطلاعات، اعضای خبره داخلی و مستقل بیرونی تشکیل شود. حسابرسی فناوری اطلاعات ماهیت نظارتی دارد و نمیتواند در اختیار واحد فناوری اطلاعات بانک باشد، اما تربیت نیروی متخصص و شکلگیری این ساختارها نیازمند زمان و برنامهریزی تدریجی است. این مسیر باید با اجماع نهادی، نقشآفرینی محوری بانک مرکزی و نگاه حرفهای و مرحلهای دنبال شود.
