x
محتوای اختصاصی کاربران ویژهورود به سایت

فراموشی رمز عبور

با شبکه های اجتماعی وارد شوید

ورود با گوگل
ورود با توییتر

عضو نیستید؟ عضو شوید

ثبت نام سایت

با شبکه های اجتماعی وارد شوید

ورود با گوگل
ورود با توییتر

عضو نیستید؟ وارد شوید

فراموشی رمز عبور

وارد شوید یا عضو شوید

جشنواره نوروزی آنر

اقتصاد دیجیتال

حسابرسی فناوری اطلاعات به بن‌بست دستیابی به مفهوم مشترک رسیده است

سمانه سمیع تحریریه

۲۴ آذر ۱۴۰۴

زمان مطالعه : ۶ دقیقه

دیدگاه‌های مطرح‌شده از سوی بانک مرکزی، حسابرسان و مدیران صنعت پرداخت نشان می‌دهد حسابرسی فناوری اطلاعات در شبکه بانکی ایران هنوز حتی به درک مفهومی مشترک نرسیده و با اختلاف‌نظرها و چالش‌های جدی روبه‌روست. در حالی‌ که بانک مرکزی با تأکید بر ماهیت حاکمیتی این نوع حسابرسی، تایید، اعتباربخشی و نظارت بر گزارش‌های حسابرسی IT بانک‌ها را حق مستقیم رگولاتور می‌داند، فعالان این حوزه معتقدند بدون شکل‌گیری زبان مشترک، آموزش‌های تخصصی و یک چارچوب نهادی شفاف، این رویکرد به نتایج اثربخش و عملیاتی نخواهد رسید.

به گزارش پیوست، آیدین علیزادپروین رئیس گروه نظارت بر ریسک فناوری اطلاعات بانک مرکزی در پیش‌نشست‌های دوازدهمین همایش سالانه بانکداری نوین و نظام‌های پرداخت، با تأکید بر ماهیت حاکمیتی حسابرسی فناوری اطلاعات، اعلام کرد بانک مرکزی مرجع اصلی تایید، اعتباربخشی و نظارت بر گزارش‌های حسابرسی IT بانک‌هاست.

او ادامه داد: نمی‌شود ضوابط نظارتی بانک مرکزی ابلاغ شود، اما ارزیابی اثربخشی کنترل‌ها و اعتبار گزارش‌ها در اختیار نهادهای نامشخص یا کسب‌وکارهای شکل‌گرفته خارج از چارچوب رگولاتوری باشد. همان‌طور که صورت‌های مالی بانک‌ها پس از حسابرسی، توسط بانک مرکزی اعتباربخشی می‌شوند، گزارش‌های حسابرسی فناوری اطلاعات نیز باید مورد تایید مستقیم بانک مرکزی قرار گیرند.

محرمانگی، خط قرمز حسابرسی فناوری اطلاعات است

او با اشاره به ریسک بالای افشای اطلاعات تأکید کرد: گزارش‌های حسابرسی حاوی جزئیات آسیب‌پذیری‌ها و نقایص زیرساختی بانک‌هاست و صددرصد محرمانه محسوب می‌شود. به همین دلیل، تعیین صلاحیت موسسات و حتی افراد حسابرس IT ضروری است و باید مشخص شود هر حسابرس در کدام بانک صلاحیت ورود و فعالیت دارد. حسابرسی فناوری اطلاعات لزوما شبیه حسابرسی مالی نیست و نیازمند متخصصانی است که تجربه عملیاتی مستقیم در حوزه IT، زیرساخت، مرکز داده، امنیت، برون‌سپاری و مدیریت خدمات داشته باشند. ورود بی‌رویه و فشار برای تسریع این فرآیندها، تنها باعث کندی، پیچیدگی و افزایش ریسک‌های امنیتی خواهد شد. امروز فناوری اطلاعات به‌طور مستقیم با ریسک‌های عملیاتی، شهرت و حتی بازار گره خورده و دیگر نمی‌توان آن را یک ریسک حاشیه‌ای دانست. هوش مصنوعی  در کنار فرصت‌ها، یک منبع جدید ریسک است که باید پیش از استقرار، به‌دقت ارزیابی شود.

او اضافه کرد: تجربه بحران‌ها و حتی جنگ ۱۲روزه اخیر نشان داده تداوم کسب‌وکار، تاب‌آوری و مدیریت ریسک سه ضلع جدایی‌ناپذیر هستند و گزارش‌های ریسک فناوری اطلاعات باید از سطح بایگانی خارج شده و به سطح حاکمیت سازمان‌ها برسند. بانک مرکزی در حال کار روی تدوین چارچوب مشخصی است تا حسابرسی فناوری اطلاعات به‌عنوان بازوی نظارتی رگولاتور به‌صورت اثربخش در شبکه بانکی اجرا شود.

حسابرسی IT با آموزش و تجربه واقعی شروع می‌شود

محسن غلامرضایی عضو شورای جامعه حسابداران رسمی ایران هم با انتقاد صریح از وضعیت فعلی حسابرسی فناوری اطلاعات در شبکه بانکی گفت: وقتی بسیاری از بانک‌ها هنوز هیچ گزارش عملکرد منسجم و داخلی از فناوری اطلاعات خود ندارند، صحبت از حسابرسی IT  بی‌معناست.حسابرسی IT بدون استقرار حسابرسی داخلی و نظام گزارش‌دهی شفاف در بانک‌ها، صرفا به تولید چند گزارش کم‌اثر منجر می‌شود. اول باید حسابرسی داخلی بانک‌ها درست شکل بگیرد، نهاد پاسخ‌گو و گزارش‌دهنده آماده شود و بعد سراغ حسابرسی فناوری اطلاعات برویم.

او با هشدار نسبت به تکرار تعارض‌های نهادی گذشته توضیح داد:  اگر بدون بلوغ نهادی و چارچوب روشن وارد حسابرسی IT شویم، یک پروژه اختلاف‌زای جدید شکل می‌گیرد. امروز داده‌های مالی و عملیاتی باید به‌گونه‌ای تولید شوند که هم برای تصمیم‌گیری مدیریتی قابل استفاده باشند و هم توسط ماشین و هوش مصنوعی خوانده شوند.باید از آموزش‌های اجرایی، داده‌محور و مبتنی بر تجربه واقعی شروع کنیم. نه کلاس‌های صرفاً نظری بدون داده و خروجی.هرچه زودتر باید گزارشگری، استانداردسازی داده و شفافیت را جدی بگیریم. تازه اگر امروز شروع کنیم، در ابتدایی ترین بخش مسیر هستیم.

بدون زبان مشترک، حسابرسی فناوری اطلاعات اثربخش نمی‌شود

الهام چیت‌سازان، مدیر اداره مطالعات و مقررات بانک مرکزی هم با تأکید بر نبود تعریف واحد از حسابرسی فناوری اطلاعات در شبکه بانکی تشریح کرد: امروز اگر از هر یک از متخصصان و مدیران این حوزه بپرسیم حسابرسی IT چیست، احتمالاً تعاریف متفاوتی می‌شنویم و همین نشان می‌دهد که هنوز به یک زبان مشترک نرسیده‌ایم. تا زمانی که ندانیم دقیقاً منظورمان از حسابرسی فناوری اطلاعات چیست، نمی‌توان انتظار اثربخشی واقعی داشت. آیا تمرکز بر سامانه‌ها، زیرساخت‌ها و ریسک‌های عملیاتی و امنیت سایبری است؟ یا بر کنترل‌های داخلی، گزارشگری و قابلیت اتکای اطلاعات؟ این حوزه‌ها اگرچه همگی ذیل حسابرسی IT قرار می‌گیرند، اما باید از هم تفکیک و شفاف شوند.

او اضافه کرد: بانک مرکزی نمی‌تواند و نباید مجوز اولیه یا استاندارد حرفه‌ای حسابرسان را صادر کند، اما می‌تواند معیارها و الزامات مشخصی تعیین کند. مثلاً بگوید مؤسسات یا حسابرسانی که قصد فعالیت در بانک‌ها را دارند، علاوه بر شرایط عمومی، باید چند معیار تخصصی مشخص را داشته باشند.حتی خود موسسات حسابرسی اذعان دارند که نیروی انسانی آموزش‌دیده کافی در حوزه حسابرسی فناوری اطلاعات ندارند. بدون آموزش تخصصی و بدون توافق بر سر مفهوم و دامنه حسابرسی IT، هر مدلی با مقاومت یا ناکارآمدی مواجه می‌شود.

او افزود: بانک، صرفا یک بنگاه اقتصادی نیست. ریسک شهرت، ریسک اجتماعی و آثار گسترده فناوری اطلاعات در بانک‌ها قابل قیاس با سایر شرکت‌ها نیست. بنابراین نمی‌توان نسخه‌ای که برای یک بنگاه غیرمالی نوشته شده را عیناً برای بانک‌ها یا موسسات سپرده‌پذیر اجرا کرد. ضمنا بانک مرکزی در حال حاضر در مرحله آسیب‌شناسی و عارضه‌یابی است و دستورالعمل نهایی حسابرسی فناوری اطلاعات هنوز تدوین نشده است. هدف این است که پس از رسیدن به زبان مشترک، چارچوب مشخص و فرهنگ‌سازی لازم، ضوابطی تدوین شود که در سطح کل شبکه بانکی و نهادهای پولی قابل اجرا و اثربخش باشد.

حسابرسی IT مسئله حاکمیت شرکتی است

مسعود ظهرابی، عضو هیئت‌مدیره شرکت پرداخت الکترونیک سداد هم با اشاره بر نگاه حاکمیتی به حسابرسی فناوری اطلاعات گفت: بحث حسابرسی IT قبل از آنکه فنی باشد، یک موضوع حاکمیت شرکتی است و هدف اصلی آن ایجاد شفافیت، نظارت و پایش کلان در سازمان‌هاست.

او با اشاره به تجربه نظام بانکی کشور افزود: دلیل شکل‌گیری کمیته‌های عالی فناوری اطلاعات و کمیته‌های ریسک در بانک‌ها، دقیقاً دغدغه‌های حاکمیتی است. بخشنامه حداقل الزامات ناظر بر ریسک فناوری اطلاعات که توسط بانک مرکزی ابلاغ شد نیز از همین نگاه حاکمیتی می‌آید. در دوره تحول دیجیتال و هوش مصنوعی، چارچوب‌ها به‌سرعت به‌روزرسانی می‌شوند. امروز حتی چارچوب‌های جدیدی برای مدیریت ریسک هوش مصنوعی طراحی شده، چون اگر فناوری را وارد سازمان کنیم اما شیوه کار با آن و ریسک‌هایش را نشناسیم، آسیب‌هایش از مزایایش بیشتر می‌شود.»

ظهرابی فناوری‌هایی مانند بلاک‌چین و هوش مصنوعی را «چاقوی دولبه» توصیف کرد و افزود: مسئله اصلی دیگر خود IT نیست؛ دنیا از IT Governance عبور کرده و به Information & Technology Governance رسیده است. مزیت رقابتی امروز، داده و اطلاعات است و فناوری صرفاً ابزاری برای مدیریت آن به حساب می‌آید.

https://pvst.ir/n5i
سمانه سمیعتحریریه

    همه‌چیز از یک مطلب به اسم «اسپایدرزن» که در دوره ارشدم نوشته بودم شروع شد. درحالی که ۱۰ سال کارمند آژانس هواپیمایی بودم در همان روزها احساس کردم چقدر نوشتن را دوست دارم. از دی ۹۸ با کار در آژانس روابط عمومی پرسش و تولید محتوا شروع کردم. بعد از مدتی نوشتن بخش شرکت‌گردی پیوست را به عهده گرفتم و حالا خبرنگار ثابت پیوستم و دقیقا اینجا و در همین نقطه احساس می‌کنم از اینکه به پیوست، پیوستم خوشحالم.

    تمام مقالات
    این مطالب را هم بخوانید:

    0 نظر

    ارسال دیدگاه

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    *

    درباره پیوست بیشتر بدانید

    شما در حال مطالعه وبسایت ماهنامه پیوست هستید.

    برای بوکمارک این نوشته
    Back To Top
    جستجو