نوآوري تكنولوژيك و رقابت ميان سازمانهاي بانكداري كه قصد ورود به اين حرفه را دارند اين امكان را به وجود آورده تا طيف گستردهاي از انواع توليدات و خدمات بانكي، قابل دسترسي و ارائه به مشتريان كوچك و بزرگ باشد. امكاني كه از طريق كانال توزيع الكترونيك فراهم ميشود و روي هم رفته به آن “بانكداري الكترونيك ” ميگويند.
“كميته بازل“ اصولي مربوط به مديريت ريسك در بانكداري الكترونيك را شناسايي كرده كه ميتواند براي نهادهاي بانكي در گسترش بينش آنها نسبت به سياستها و فرآيندهاي بانكداري الكترونيك سودمند باشد .
از آنجا كه وضعيت هر بانك با بانك ديگر متفاوت است ، از همين رو هر بانك شيوه خاص مناسب با مقياس عمليات بانكداري الكترونيك خودش را لازم دارد.
اين گزارش دربرگيرنده ضمائمي است كه در آن برخي مثالها در مورد رويه هاي مربوط به كاهش ريسك در قلمرو بانكداري الكترونيك به عنوان پشتيباني كننده اصول مديريت ريسك ميآيد .
اميد است اين رويه ها منطبق با نيازهاي خاص ملي و وضعيت ريسك هر مورد، در جائيكه لازم باشد، به مورد اجرا گذاشته شود و راه حل هاي فني توسط موسسات و نهادهاي تعيين كننده استاندارد، همگام با تكامل تكنولوژي ارائه شون
مديريت خطر (ريسك) ، اصول بانكداري الكترونيك
خلاصه اجرايي :
ويرايش ژوئيه 2003
ادامه نوآوري تكنولوژيك و رقابت ميان سازمانهاي بانكداري موجود و سازمانهايي كه قصد ورود به اين حرفه را دارند ، اين امكان را به وجود آورده تا طيف گستردهاي از انواع توليدات و خدمات بانكي، قابل دسترس و ارائه به مشتريان كوچك و بزرگ باشد . امكاني كه از طريق كانال توزيع الكترونيك فراهم مي شود و روي هم رفته به آن بانكداري الكترونيك ميگويند .
در اين ميان ، البته ، توسعه سريع قابليتهاي بانكداري الكترونيك هم مخاطرات و هم سودمنديهايي را همراهدارد.
كميته بازل در مورد نظارت بانكي انتظار دارد ، چنين مخاطراتي به طور مستمر از طريق نهادهاي بانكي طبق مشخصات پايه و چالشهاي مربوط به ارائه خدمات بانكداري الكترونيك تشخيص ، بيان و در مورد آنها چارهجويي شود .
اين مشخصات ، سرعت غيرمنتظره تغييرات مربوط به ابداعات تكنولوژيك در زمينه ارائه خدمات به مشتري ، ماهيت جهاني شبكه هاي الكترونيك باز ، يكپارچه شدن كاربردهاي بانكداري الكترونيك با سيستم هاي كامپيوتري و وابستگي رو به افزايش بانكها به طرفهاي ثالث كه تكنولوژي اطلاعات لازم را فراهم ميكنند ، را دربرميگيرد .
در حاليكه عوامل بالا ذاتاً مخاطرات جديدي به وجود نمي آورند ، كميته خاطر نشان ميكند كه اين ويژگيها ، باعث افزايش و بهينه سازي برخي از ريسك هاي سنتي مرتبط با فعاليتهاي بانكداري ، به ويژه عمليات استراتژيك ، قانوني و به لحاظ شهرت شده است و از همين رو، روي وضعيت كلي ريسك هاي مربوط به بانكداري تأثير مي گذارد .
بر اساس اين نتايج ، كميته اين نكته را در نظر مي گيرد كه گرچه اصول مديريت ريسك موجود مي تواند قابليت كاربرد در فعاليتهاي بانكداري الكترونيك داشته باشد، با اينحال بهتر است چنين اصولي را به وجود آورد ، تطبيق و در برخي موارد گسترش داد تا بتوان برچالشهاي مديريت ريسك ويژه ناشي از فعاليت هاي بانكداري الكترونيك فائق آمد .
از همين رو كميته اعتقاد دارد كه بر هيأت مديره و مديريت ارشد بانكها واجب است تا گامهايي را به منظور اطمينان از اين موضوع بردارند كه مؤسسات متبوع آنها، در جاهائيكه لازم است ، سياستهاي مديريت ريسك موجود را بازنگريوبهينهسازي كنند تافعاليت هاي بانكداريالكترونيكبرنامهريزي شده يا جاري را هم دربرگيرد .
كميته همچنين اعتقاد دارد كه بايد كاربردهاي بانكداري الكترونيك با سيستمهايقديميدرهمآميختهو بدينوسيله مديريتريسكيكپارچهايطراحيشود .
به منظور تسهيل اين فرآيند ، كميته چهارده اصول مربوط به مديريت ريسك در بانكداري الكترونيك را شناسايي كرده است
كه ميتواند براي نهادهاي بانكي در گسترش بينش آنها نسبت به سياستها و فرآيندهاي بانكداري الكترونيك ، سودمند باشد .
اين اصول مربوط به مديريت ريسك به عنوان نيازهاي مطلق يا حتي بهترين رويهها مطرح نمي شوند . كميته بر اين باور است كه تعيين جزئيات نيازهاي مربوط به مديريت ريسك در زمينه بانكداري الكترونيك مي تواند ضد توليد باشد ، زيرا خيلي زود مطالب به واسطه سرعت تغييرات مربوط به ابداعات تكنولوژيك، در عرصه ارائه خدمات به مشتري ، كهنه ميشوند .
از همين رو كميته ترجيح مي دهد تا انتظارات نظارتي و راهنمايي را در قالب اصول مديريت ريسك به منظور ارتقاء سطح ايمني و سلامت فعاليتهاي بانكداري الكترونيك مطرح و قابليت انعطاف لازم در اجرا را نيز در نظر گيرد .
علاوه بر اين ، كميته اين موضوع را مورد توجه قرارداده كه وضعيت هربانك با بانك ديگر متفاوت است و ازهمين رو،هربانك شيوه خاص مناسب با مقياس عمليات بانكداري الكترونيك خودش را لازم دارد .
به همين دليل ، اصول مديريت ريسك منتشر شده از سوي كميته تلاش نمي كند تا راه حل هاي فني مشخص يا استانداردهايي مربوط به بانكداري الكترونيك ارائه كند .
راه حل هاي فني بايد توسط مؤسسات و نهادهاي تعيين كننده استاندارد، همگام با تكامل تكنولوژي ارائه شوند .
با اينحال ، اين گزارش در برگيرنده ضمائمي است كه در آن برخي مثالها در مورد رويههاي مربوط به كاهش ريسك در قلمرو بانكداري الكترونيك به عنوان پشتيباني كننده اصول مديريت ريسك ميآيد .
در نهايت انتظار مي رود اصول مديريت ريسك و رويههاي دقيق مشخص شده در گزارش به عنوان ابزارهايي مورد استفاده سرپرستان ملي قرار گيرد و منطبق با نيازهاي خاص ملي و وضعيت ريسك هر مورد، در جائيكه لازم باشد، به مورد اجرا گذاشته شود .
در برخي موارد ، به اصولي اشاره شده كه در راهنما و دستورالعملهاي قبلي مربوط به سرپرستي بانك نيز مورد توجه قرار داشتهاند . هرچند برخي مسايل مانند مديريت با منابع بيروني ، كنترلهاي ايمني و مديريت ريسك قانوني و مبتني برشهرت، به دليل ويژگيهاي منحصر بفرد كانال توزيع اينترنت ، نياز به تشريح بيشتري دارند .
اصول مديريت ريسك به منظور شفافيت روي سه محور موضوعي گسترده ولي در عين حال هم پوشاني، به شرح زير ، قرار ميگيرند :
مراقبت مديريت و هيأت مديره
كنترل هاي ايمني
مديريت ريسك شهرتي و حقوقي
مراقبت مديريت و هيأت مديره:
از آنجاكه هيأت مديره و مديران ارشد مسئول تدوين استراتژي تجاري مؤسسه متبوع خود و ايجاد يك نقش مديريتي موثر روي ريسك ها هستند ، از آنها انتظار ميرود يك تصميم استراتژيك شفاف، مستند و از روي آگاهي درباره اين موضوع اتخاذ كنند كه بانك چگونه ميخواهد خدمات بانكداري الكترونيك ارائه دهد .
تصميم اوليه بايد برمبناي قابليتهاي حسابرسي معين ، سياست ها و كنترلها به منظور فائق آمدن بر اين ريسكها باشد و مواردي را هم كه در جريان عمليات فرامرزي رخ مي دهد نيز دربرگيرد .
انتظار مي رود ، مراقبت مديريتي موثر ، شامل مرور و تصويب جنبه هاي كليدي فرآيند كنترل ايمني بانك از قبيل توسعه و نگهداري زيرساخت كنترل ايمني باشد كه به نحو مطلوبي سيستمهاي بانكداري الكترونيك و دادههاي مربوط به هر دو تهديد دروني و بيروني را محافظت ميكنند.
اين مراقبت همچنين بايد فرآيند جامع فائق آمدن بر ريسك هاي مرتبط با پيچيدگي رو به افزايش و اتكا روزافزون به روابط با منابع بيروني و تكيه به شخص ثالث ، به منظور اجراي اعمال بانكداري الكترونيك دچار بحران را در برگيرد .
كنترلهاي ايمني :
درحاليكه هيأت مديره مسئوليت دارد تا نسبت به وجود فرآيندهاي كنترل ايمني مناسب براي بانكداري الكترونيك اطمينان حاصل كند ، ماهيت اين عمليات نياز مديريتي ويژه اي را در رابطه با چالشهاي امنيتي تشديد شده ناشي از بانكداري الكترونيك بوجود مي آورد .
اين امر از طريق اعمال روشهاي مناسبي براي اعطاي مجوزهاي مربوط به احراز هويت و كنترل هاي فيزيكي و منطقي دستيابي انجام ميگيرد . همچنين بايد امنيت كافي براي زيرساختها به منظور حفظ قلمروهاي مناسب و محدوديتهاي ناشي از فعاليتهاي كاربران بيروني و دروني و نيز يكپارچگي اطلاعات و سوابق معاملات ، مورد توجه باشد .
علاوه برآن بايد از وجود سرنخهاي حسابرسي روشن براي همه معاملات مربوط به بانكداري الكترونيك اطمينان حاصل كرد و نسبت به اتخاذ تدابيري براي نگهداري محرمانه اطلاعات كليدي اين نوع بانكداري متناسب با حساسيت چنين اطلاعاتي همتگماشت .
گرچه حفاظت از مشتري و قوانين حفظ حريم خصوصي افراد در مراجع قضايي گوناگون با يكديگر فرق ميكند با اينحال بانكها به طوركلي يك مسئوليت روشن دارند كه تا حد ممكن ، سطح معيني
از آرامش و راحتي را براي مشتريان خود در زمينه افشاءو حفاظت از اطلاعات مشتري فراهم آورند . اين راحتي بايد به همان ميزاني باشد كه آنها هنگام فعاليت از طريق كانالهاي توزيع سنتي بانكداري ، احساس ميكنند .
براي كاهش ريسك شهرتي و قانوني مرتبط با فعاليت هاي بانكداري الكترونيك كه هم در سطح داخلي و هم در سطح فرامرزي انجام مي شود ، بانكها بايد اطلاعات آشكار كافي در وب سايت خود قرار دهند و تدابير لازم را به منظور اطمينان نسبت به رعايت حريم خصوصي مشتري در مراجع قضايي كه بانك در آنها ، خدمات بانكداري الكترونيك ، ارائه ميدهد، فراهم كنند .
مديريت ريسك شهرتي و قانوني:
به منظور حفاظت از بانكها در قبال ريسك شهرتي ، قانوني و تجاري ، خدمات بانكداري الكترونيك بايد برپايه زمان بندي دقيق و ثابتي در رابطه با انتظارات بالاي مشتري استوار باشد تا بتوان به سرعت در صورت تقاضا، نيازهاي مربوط به دسترسي به معاملات بالقوه زياد را تأمين كرد .
بانك بايد توانايي ارائه خدمات بانكداري الكترونيك به همه كاربرهاي نهايي را داشته باشد و بايد بتواند چنين توانايي را درهمه شرايط ، حفظ كند .
در نظر گرفتن مكانيزم هاي پاسخ موثر به حوادث نيز به منظور كاهش ريسكهاي شهرتي ، قانوني و عملياتي ناشي از رويدادهاي غيرمنتظره از قبيل حملات دروني و بيروني كه ممكن است روي ارائه سيستمها و خدمات بانكداري الكترونيك ، تأثير بگذارد ، كاملاً حياتي است .
از همين رو به منظور تأمين نيازهاي مشتريها ، بانكها بايد ظرفيت ، تداوم كارو برنامه ريزي اضطراري موثري را داشتهباشند .
بانكها همچنين بايد برنامه ريزيهاي مناسبي را براي پاسخ به حوادث به عملآورده و از جمله استراتژيهاي ارتباطي معيني را تدوين كرده باشند . استراتژيهايي كه برمبناي آنها تداوم كار ، كنترل ريسك شهرتي و محدود كردن مسئوليتهاي ناشي از بروز اختلال در خدمات بانكداري الكترونيك ، كاملاً در نظرگرفته مي شود .
اصول مديريت ريسك براي بانكداري الكترونيك :
سالهاست كه بانكها به ارائه خدمات بانكي به مشتريان خود از راه دور مشغول هستند . انتقال الكترونيكي وجوه ، ازجمله پرداختهاي كوچك و نظامهاي مديريت نقدي شركتي و نيز ماشينهاي خودكار قابل دسترسي توسط عامه مردم براي برداشت پول و مديريت خرده حسابها جزو ساختارهاي متعارف نظام بانكي جهاني است .
با اينهمه ، پذيرش روبه افزايش اينترنت درسطح جهان به عنوان يك كانال تحويل توليدات و خدمات بانكي ، امكانات بازرگاني جديدي را براي بانكها و امتيازات خدماتي براي مشتريان آنها به وجود ميآورد .
اين توليدات و خدمات ضمن آنكه فعاليتهاي سنتي از قبيل دسترسي به اطلاعات مالي ، دريافت وام و گشايش حسابهاي سپرده را شامل مي شوند ، فعاليتهاي نسبتاً جديدي از قبيل ارائه خدمات پرداخت الكترونيكي صورت حسابها، تأمين پايانههاي شخصي مالي ، تجمع حسابها و ايجاد بازار الكترونيكي تبادل اطلاعات تجاري را هم دربرميگيرند .
با اينحال امتيازات مهم ابداعات تكنولوژيك و توسعه سريع توانائيهاي بانكداري الكترونيك دربرگيرنده هم ريسكها و هم امتيازاتي است . از همين رو لازم است كه بانكها با احتياط اين ريسكها را شناسايي و اداره كنند.
اين پيشرفتها ، كميته نظارت بربانكداري “بازل” را برآن داشت تا درسال 1998 يك مطالعه مقدماتي روي معضلات مديريت ريسك بانكداري الكترونيك و پول الكترونيك ، انجام دهد .
مطالعه فوق نشان داد كه نياز روشني به كاربيشتر درقلمرو مديريت ريسك بانكداري الكترونيك وجود دارد و از همينرو اين مأموريت به يك گروه كاري متشكل از سرپرستان بانكها و بانكهاي مركزي سپرده و بدين ترتيب “گروه بانكداري الكترونيك” ، در نوامبر 1999 تشكيل شد .
كميته بازل در اكتبر 2000، گزارش “گروه بانكداري الكترونيك” خود را در مورد مديريت ريسك مسايل نظارتي ناشي از توسعه بانكداري الكترونيك انتشار داد .
اين گزارش ريسك هاي اصلي مرتبط با فعاليتهاي بانكـــداري الكترونيك را درقالب ريسك استراتژيك ، ريسك شهرت ، ريسك عملياتي ( شامل ريسك امنيتي و ريسك حقوقي ) وريسك هاي اعتباري ، بازاري و نقدينگي، طبقه بندي ميكند .
“گروه بانكداري الكترونيك” از گزارش خود نتيجه ميگيرد كه فعاليتهاي بانكداري الكترونيك مخاطراتي (ريسكهايي ) را شناسايي نكرد كه بيش از آن در كارهاي كميته بازل مطرح نشدهباشد.
با اينحال ، اين گزارش تأكيدميكند كه بانكداري الكترونيك برخي از اين ريسكهاي سنتي را افزايش و بهينه ميكند . از همين رو روي نظام بانكي، بويژه در ابعاد ريسك استراتژيك ، ريسك عملياتي و ريسك شهرتي، تأثير مي گذارد؛ به گونهاي كه قطعاًگسترش سريع و پيچيدهتر شدن تكنولوژي مربوط به بانكداري الكترونيك، اين امر را برجسته ميكند .
الف ـ چالشهايمديريتريسك:
گروه بانكداري الكترونيك در بررسي ويژگيهاي پايه بانكداري الكترونيك ( و به عبارتي كلي تر تجارت الكترونيك )، شماري از چالش هاي مديريت ريسك را به شرح زير برميشمرد :
سرعت تغييرات مربوط به ابداعات تكنولوژيك در ارائه خدمات به مشتري در بانكداري الكترونيك غيرمترقبه است .
از لحاظ تاريخي ، كاربردهاي جديد بانكداري در مدت زمان نسبتاًطولاني و پس از آزمايشهاي عميقي كه روي آنها به وجودآمد ، به مورد اجرا گذاشته شد.
اما امروز ، بانكها تحت فشار رقابتي براي ارائه كاربردهاي تجاري جديد در چارچوب مدت زماني بسيار فشرده قراردارند . مدت زماني كه اغلب از ايده تا توليد ، چند ماه بيشتر به طول نميانجامد.
اين رقابت چالشهاي مديريت را به منظور اطمينان از اين نكته كه آيا به اندازه كافي ارزيابي استراتژيك ، تجزيه و تحليل ريسك و مطالعات ايمني ، قبل از اجراي موارد جديد از كاربريهاي مربوط به بانكداري الكترونيك به عمل آمده يا خير ، را تشديد ميكند .
در اين ميان طبعاً وب سايتهاي معاملاتي بانكداري الكترونيك و روابط با كاربريهاي كلان و جزء ، تا حد ممكن با سيستم هاي كامپيوتري قديمي يكپارچه مي شود تا اجازه دهد پردازش الكترونيك عمليات به صورت مستقيمتري صورتگيرد.
چنين پردازش خودكار و مستقيمي به نوبه خود باعث كاهش خطاهاي انساني و سوء استفاده ناشي از پردازش هاي دستي ميشود ولي در عين حال وابستگي به طراحي سيستم هايي كه بتوانند به راحتي با يكديگر عمل كنند ، را افزايش ميدهد .
بانكداري الكترونيك وابستگي بانكها را به تكنولوژي اطلاعات اضافه ميكند و از همين رو برپيچيدگي فني بسياري از مسايل عملياتي و امنيتي مي افزايد و روند مربوط به مشاركت ، اتحاد و استفاده از منابع بيروني و طرفهاي ثالث را گسترش ميدهد . اقداماتي كه بسياري از آنها فاقد نظم و قانون معيني هستند .
اين پيشرفت باعث ايجاد مدلهاي جديدي شده كه بانكها و موسسات غيربانكي از قبيل ارائه دهندگان خدمات اينترنت ، شركتهاي مخابرات و ساير شركتهاي تكنولوژي را در برميگيرد .
اينترنت به نوبه خود ماهيت جهاني دارد و يك شبكه باز قابل دستيابي از هركجاي دنيا به وسيله طرفهاي ناشناس است كه پيامها را از طريق مكانهاي نامشخص بوسيله وسايل بي سيم به سرعت رو به تكامل ، انتقال ميدهد .
از همين رو تاحدزيادي اهميت كنترلهاي ايمني ، تكنيك هاي احراز هويت مشتري ، حفاظت داده ها، روشهاي تهيه سرنخ هاي حسابرسي و استانداردهاي حفظ حريم خصوصي مشتري را بيشتر ميكند.
ب ـ اصول مديريت ريسك :
بر اساس كارهاي اوليه گروه بانكداري الكترونيك ، كميته نتيجه گيري ميكند ، هرچند اصول مديريت ريسك بانكداري سنتي قابليت كاربرد در فعاليتهاي بانكـــداري الكترونيـــك را دارد ولـــــــــي خصوصيات پيچيده كانال تحويل اينترنت ايجاب ميكند تا اين كاربردها متناسب با بسياري از فعاليتهاي بانكداري “ON-LINE” و چالشهاي مربوط به مديريت ريسك آنها ، طراحي شوند .
از همين رو كميته اعتقاد دارد كه اين برعهده هيأت مديره و مديريت ارشد بانكهاست تا اطمينان پيداكنند كه نهادهاي متبوع آنها درجايي كه لازم بوده ، سياستهاي مديريتي و فرآيندهاي بانكداري الكترونيك برنامه ريزي شده يا جاري را مورد بررسي مجدد قرار داده و بهبود بخشيده اند .
علاوه برآن ، از آنجا كه كميته اعتقاد دارد كه بانكها بايد روش مديريت ريسك يكپارچه اي را براي همه فعاليتهاي بانكداري الكترونيك خود اعمال كنند ، به همين دليل ، حياتي است كه نظارت مديريت ريسك مربوط به فعاليت هاي بانكداري الكترونيك در حد توان بانك ، به عنوان جزو لاينفك مديريت كلي ريسك بانك قرار گيرد .
براي تسهيل اين پيشرفتها، كميته از گروه بانكداري الكترونيك تقاضا كرد تا اصول كليدي مديريت ريسك را شناسايي كنند . اصولي كه مي تواند به بانكها براي گسترش سياستهاي نظارتي موجود آنهــــــا و فرآيندهاي لازم براي پوشش فعاليتهاي بانكداري الكترونيك و به نوبة خود تحويل ايمن و بدون نقص توليدات و خدمات بانكداري كمك كند .
اصول مديريت ريسك براي بانكداري الكترونيك كه در اين گزارش شناسايي شده اند ، به عنوان نيازهاي مطلق يا حتي بهترين رويه ها مطرح نميشوند ، بلكه صرفاً به عنوان راهنمايي و به منظور ارتقاء سطح فعاليتهاي ايمن و بدون نقص بانكداري الكترونيك به ميان مي آيند.
كميته بر اين باور است كه تعيين جزئيات نيازهاي مديريت ريسك در حوزه بانكداري الكترونيك ، ممكن است ضد توليد باشد ، زيرا اين احتمال مي رود اين جزئيات به واسطه سرعت تغييرات مربوط به ابداعات تكنولوژيك و توليدات ، كهنه شود .
از همين رو اصولي كه در اين گزارش گنجانيده شده فقط به بيان انتظارات نظارتي مربوط به كل فعاليت هاي نظارتي بانك به منظور اطمينان از ايمني و عدم وجود نقص در نظام مالي مي پردازد ، تا اينكه بخواهد مقررات دقيقي را مطرح كند .
كميته اين نظر را دارد كه چنين انتظارات نظارتي بايد متناسب با كانال توزيع بانكداري الكترونيك طراحي و تطبيق داده شود ، گرچه نبايد در اصول، با آنچه كه در ساير كانالهاي توزيع مربوط به فعاليتهاي بانكداري انجام مي شود ، متفاوت باشد .
بنابراين اصولي كه در زيرآمده تا حد زيادي برگرفته و در انطباق با اصول نظارتي قرار دارد كه پيش از اين ، طي سالها از سوي كميته يا سرپرستان ملي تجربه شده است .
در برخي زمينه ها ، از قبيل مديريت روابط با منابع بيروني ، كنترل هاي ايمني و مديريت ريسك شهرتي و حقوقي ، مشخصات و ويژگيهاي كانال توزيع اينترنت نياز به اصول مشروح تري را نسبت به آنچه كه تاكنون مطرح شده ، به ميان مي آورد .
كميته تشخيص مي دهد كه بانكها نيازدارند تا فرآيندهاي مربوط به مديريت ريسك را متناسب با وضعيت ريسك مربوط به خود ، ساختار عملياتي و فرهنگ حاكم بر بنگاه و نيز طبق نيازمنديهاي مديريت ريسك ويژه و سياستهاي تعيين شده از سوي ناظران بانك در مراجع قضايي خاص ، توسعه دهند .
علاوه بر اين رويه هاي متعدد مديريت ريسك بانكداري الكترونيك مشخص شده در اين گزارش ، در عين حال كه نمايانگر رويه هاي مطلوب صنايع امروز است ، نبايد به عنوان رويه هايي از هر جهت كامل و قطعي ، تلقي شوند ، زيرا بسياري از كنترل هاي ايمني و ساير تكنيك هاي مديريت ريسك به سرعت و همگا م با تكنولوژيها و كاربردهاي تجاري جديد ،دچار تكامل مي شوند .
مسائل فني نياز به آن دارند تا به تدريج و همزمان با تكامل تكنولوژي هم توسط بانكها و هم نهادهاي تعيين استاندارد ، حل و فصل شوند .
علاوه بر آن ، از آنجا كه صنعت ، به حل مسايل فني بانكداري الكترونيك از جمله چالش هاي ايمني آن اهتمام مي ورزد ، احتمالاًابداعات و راه حل هاي متنوع موثر و مقرون به صرفه اي مربوط به مديريت ريسك ظهور پيدا خواهند كرد .
اين راه حل ها ، احتمالاً مسايل مربوط به اين حقيقت را شامل مي شوند كه بانكها در اندازه ، پيچيدگي و فرهنگ مديريت ريسك با يكديگر فرق مي كنند و اينكه مراجع قضايي ،چارچوبهاي قانوني و مقرراتي متفاوتي با يكديگر دارند .
به همين دليل ، كميته اعتقاد ندارد كه يك روش يكسان و تك اندازه مديريت ريسك بانكداري الكترونيك مناسب است . از همين رو توصيه مي كند تا رويه هاو استانداردهاي خوب به منظور فائق آمدن بر ابعاد ريسكي اضافه ناشي ازكانال تحويل بانكداري الكترونيك ، با يكديگر مبادله شوند .
انتظار مي رود ، همگام با اين نسخه نظارتي ، اصول مديريت ريسك و رويه هاي مناسبي كه در اين گزارش به آنها اشاره رفته ، بتوانند به عنوان ابزارهايي در خدمت ناظران ملي ، مورد استفاده قرار گرفته تا به مورد اجرا گذاشته شوند و مطابق با نيازهاي ملي ويژه در جائيكه لازم باشد ، انعكاس يابند تا بدينوسيله به انجام فعاليت ها و عمليات بانكداري الكترونيك امن و بي عيب و نقص كمك كند .
كميته تشخيص مي دهد كه وضعيت ريسك هر بانك با ديگري متفاوت است و ازهمين رو نياز به يك روش كاهش ريسك متناسب با مقياس عمليات بانكداري الكترونيك همان بانك دارد ، ضمن آنكه ماديت ريسك هاي موجود و علاقمندي و توانايي آن نهاد در مديريت اين ريسك ها هم اهميت پيدا مي كند.
اختلافات فوق ، نشان از اين نكته دارد كه قصد آن بوده تا اصول مديريت ريسك ارائه شده در اين گزارش از قابليت انعطاف كافي براي اجرا بوسيله تمام نهادهاي مربوط، در همه مراجع قضايي، را دارا باشد.
ناظران ملي ، ماديت ريسك هاي مرتبط با فعاليت هاي بانكداري الكترونيك را در يك بانك خاص مورد ارزيابي قرارميدهند تا در يابند آيا به اندازه كافي اصول مديريت ريسك مربوط به بانكداري الكترونيك در چارچوب مديريت ريسك رعايت شده است .
اصول مديريت ريسك براي بانكداري الكترونيك :
اصول مديريت ريسك مربوط به بانكداري الكترونيك شناسايي شده در اين گزارش در سه زمينه موضوعي وسيع قرارميگيرد كه اغلب با يكديگر هم پوشاني دارند .
البته اين اصول بوسيله نظم ترجيحي يا اهميت ، وزن داده نمي شوند ، زيرا چنين وزني به مرور زمان تغيير پيدا مي كند . از همين رو ترجيح داده مي شود تا بي طرف ماند و از چنين الويت بندي اجتناب كرد .
الف ـ مراقبت مديريت و هيأت مديره (اصول 1تا3) :
1ـ مراقبت موثر مديريت در فعاليتهاي مربوط به بانكداري الكترونيك
2ـ ايجاد يك فرآيند جامع كنترل ايمني
3ـ برخورداري از يك نظارت مديريت و پشتكار دقيق و جامع در روابط با منابع بيروني و ساير وابستگي ها به شخص ثالث
ب ـ كنترل هاي ايمني (اصول 4تا10) :
4ـ احراز هويت مشتريان بانكهاي الكترونيك
5ـ پذيرش مسئوليت حسابدهي براي معاملات بانكداري الكترونيك
6ـ تدابير مناسب براي اطمينان از تفكيك وظايف
7ـ ايجاد كنترل هاي مناسب براي صدور مجوز درون نظامهاي بانكداري الكترونيك ، پايگاههاي داده ها و كاربري ها
8 ـ يكپارچگي داده ها در معاملات ، سوابق و اطلاعات بانكداري الكترونيك
9ـ انجام حسابرسي هاي روشن از معاملات در بانكداري الكترونيك
10ـ محرمانه بودناطلاعاتكليديبانك.
ج ـ مديريت ريسك شهرتي و قانوني (اصول 11تا14) :
11ـ افشاي مناسب خدمات بانكداري الكترونيك
12ـ حفظ حريم خصوصي اطلاعات مشتريان
13ـ ظرفيت سازي ، تداوم سبك و كار و نيزبرنامه ريزي اضطراري براي اطمينان از در دسترس بودن سيستم ها و خدمات بانكداري الكترونيك
14ـ برنامه ريزي پاسخ به حوادث
الف ـ مراقبت مديريت و هيأت مديره ( اصول 1تا3)
هيأت مديره و مديران ارشد مسئول تدوين استراتژي تجاري بانكداري هستند ، يك تصميم استراتژيك روشن در اين زمينه لازم است به اين منظور اتخاذ شود كه آيا هيأت مديره تمايل دارد تا بانك خدمات معاملات بانكداري الكترونيك را قبل از شروع ، ارائه دهد يا خير ؟
به طور خاص هيأت مديره بايد اطمينان حاصل كند كه آيا برنامه هاي بانكداري الكترونيك به روشني با اهداف استراتژيك بنگاه درهم آميخته است ؟ و آيا يك تحليل ريسك از فعاليت هاي بانكداري الكترونيك به عمل آمده و نيزآيا فرآيندهاي مناسبي براي كاهش ريسك هاي مشخص درنظرگرفته شده است؟
همچنين هيأت مديره و مديران ارشد بايد مطالعات مستمري به منظور ارزيابي نتايج فعاليت هاي بانكداري الكترونيك در برابر برنامه ها و اهداف تجاري مؤسسه متبوع خود ، داشته باشند .
علاوه بر اين ، آنها بايد اطمينان حاصل كنند كه ابعاد ريسك ايمني و عملياتي استراتژيهاي تجاري بانكداري الكترونيك آن نهاد ، به نحو مناسبي مورد ملاحظه و توجه قرار گرفتهاند .
در اختيار نهادن خدمات مالي از طريق اينترنت به نحو چشمگيري ريسك هاي بانكداري سنتي را اصلاح يا حتي افزايش ميدهد (به عنوان مثال از لحاظ ريسكهاي استراتژيك ، شهرت ، عمليات ، اعتبار و نقدينگي ) از همين رو لازم است گامهايي به منظور اطمينان از اين امر برداشته شود كه فرآيندهاي موجود مديريت ريسك از قبيل فرآيندهاي كنترل امنيت ، پشت كار جدي و فرآيندهاي مراقبتي براي روابط با منابع بيروني به نحو درستي مورد ارزيابي قرار بگيرند و به منظور جاي دادن خدمات بانكداري الكترونيك بهينه شوند .
اصل يك ـ هيأت مديره و مديريت ارشد بايستي مراقبت مديريتي موثري روي ريسك هاي مرتبط با فعاليت هاي بانكداري الكترونيك از قبيل تعبيه سياستهاي حسابرسي و كنترلي ويژهاي به منظور فائق آمدن بر اين ريسكها داشتهباشد.
مراقبت مديريتي دقيق براي درنظرگرفتن كنترل هاي داخلي موثر روي فعاليت هاي مربوط به بانكداري الكترونيك ضروري است .
علاوه بر ويژگيهاي خاص كانال توزيع اينترنت كه در مقدمه روي آن بحث شد ، جنبه هاي زير از بانكداري ممكن است چالش هاي قابل توجه اي را نسبت به فرآيندهاي مديريت ريسك سنتيايجادكند.
عناصر اصلي كانال تحويل (اينترنت و تكنولوژيهاي مرتبط با آن) خارج از كنترل مستقيم بانك هستند.
اينترنت ارائه خدمات را در چند مرجع قضايي ملي از جمله آنهايي را كه در محدوده هاي فيزيكي خدمت رساني بانك قرار ندارند ، تسهيل مي كند .
پيچيدگي موضوعات مرتبط با بانكداري الكترونيك زبان و مفاهيم بسيار فني را شامل مي شوند كه در بسيـــــاري لوقات خارج از تجربه سنتي هيأتمديره و مديريت ارشد است .
به لحاظ ويژگي منحصربفرد بانكداري الكترونيك ، پروژه هاي جديد اين رشته كه ممكن است تأثير مهمي روي وضعيت و استراتژي ريسك بانك داشته باشد ، بايد بوسيله هيأت مديره و مديريت ارشد مورد بررسي قرار گرفته و يك استراتژي مناسب برمبناي تحليل هزينه ـ فايده در نظرگرفتهشود .
بدون يك مطالعه استراتژيك به منظور ارزيابي مستمركار ، بانكها درمعرض ريسك برآورد پائين هزينه و يا تخمين بيش از اندازه بازگشت پول ناشي از ابتكارات بانكداري الكترونيك قرار دارند .
علاوه بر آن ، هيأت مديره و مديريت ارشد بايد اطمينان حاصل كنند كه بانك ماداميكه دانش و تجربه فني لازم را براي مراقبت موثر و كارآمد از مديريت ريسك پيدا نكرده وارد فعاليت هاي بانكداري الكترونيك جديد نشود و يا تكنولوژي هاي جديد را در اختيار نگيرد.
تجربه فني مديريت و پرسنل بايستي با ماهيت فني و پيچيدگي كار براي بانكداري الكترونيك و تكنولوژيهاي دربرگيرنده آن ، متناسب باشد .
در اين زمينه ، تجربه فني كافي بدون توجه به آنكه سيستم ها و خدمات بانكداري الكترونيك در درون بانك مديريت مي شود يا اينكه مديريت آن با منابع بيروني و اشخاص ثالث است ، ضرورت دارد .
فرآيندهاي مراقبت مديريت ارشد بايد پويا عمل كند تا اينكه بتواند به نحو موثري هنگام بروز مشكلات در سيستم هاي بانكداري الكترونيك يا نقض امنيتي از خود واكنش نشان دهند .
ريسك شهرتي روبه ازدياد مرتبط با الزامات بانكداري الكترونيك ، لزوم كنترل دقيق قابليت عمل متقابل سيستم ها و رضايت مشتري همراه با گزارش مطلوب حوادث به هيأت مديره و مديريت ارشد را مطرح مي كند .
سرانجام هيأت مديره و مديريت ارشد بايد اطمينان پيدا كنند كه فرآيندهاي مديريت ريسك براي فعاليت هاي بانكداري الكترونيك در چارچوب مديريت ريسك كلي بانك قرار دارد .
سياستها و فرآيندهاي موجود مديريت ريسك بايد مورد ارزيابي قرار گيرد تا اطمينان حاصل شود كه آيا آنها به اندازه كافي نيرومند هستند تا بتوانند ريسك هاي جديد ناشي از فعاليت هاي بانكداري الكترونيك برنامه ريزي شده يا جاري را پوشش دهند .
در زمينه مديريت ريسك بايد گام هاي بيشتري به شرح زير توسط هيأت مديره و مديريت ارشد برداشته شود :
تعريف روشني از اشتياق ريسك سازمان در رابطه با بانكداري الكترونيك به عمل آيد .
تعيين نمايندگان كليدي و مكانيزمهاي گزارشگري از جمله روش هاي بالا بردن ايمني براي حوادثي كه ايمني ، عملكرد بدون عيب و نقص يا شهرت بانك را تحت تأثير قرار مي دهد ( مسايلي از قبيل نفوذ به شبكه ، نقض امنيت كاركنان و هرگونه سوءاستفاده از تسهيلات كامپيوتري)
بايد هرگونه فاكتورهاي منحصربفرد ريسك مرتبط ، به منظور اطمينان از اينكه امنيت ، يكپارچگي و دسترسي به توليدات و خدمــات بانـكداري الكترونيـك حفـــظ ميشود ، مورد توجه قرار گيرد در اين زمينه براي طرفهاي ثالث كه به عنوان منابع بيروني ، سيستم ها و كاربري هاي كليدي را در اختيار دارند نيز بايد اقدام مشابهي انجام شود .
قبل از آنكه بانك فعاليت هاي بانكداري الكترونيك فرامرزي خود را انجام دهد ،بايد از اينكه پشتكارلازم براي آن كار وجود دارد و تحليل ريسك نيز به عمل آمده ، اطمينان حاصل شود .
اينترنت تا حد زيادي توانايي بانك را براي توزيع توليدات و خدمات در تقريباً يك قلمرو جغرافيايي نامحدود وراي مرزها تسهيل ميكند .
چنين فعاليت هاي بانكداري الكترونيك فرامرزي ، بويژه چنانچه بدون حضور فيزيكي با مجوز در كشور ميزبان باشد ، به طور بالقوه اي بانك را در معرض تهديد ناشي از ريسك هاي حقوقي ، مقرراتي و كشوري قرار مي دهد ، زيرا تفاوت هاي قابل ملاحظه اي بين حوزههاي قضايي گوناگون در اين رابطه وجود دارد .
بستگي به دامنه و پيچيدگي فعاليتهاي مربوط به بانكداري الكترونيك ، دامنه و ساختار برنامه هاي ريسك مديريتي در سازمانهاي بانكي گوناگون با يكديگر متفاوت است .
منابعي كه به اين منظور به كار مي آيد تا برخدمات بانكداري الكترونيك نظارت كند ، بايستي با عملكرد حياتي و عملياتي سيستم ها ، قابليت آسيب پذيري شبكه ها و حساسيت اطلاعات ارسالي ، سازگار باشد.
اصل 2ـ هيأت مديره و مديريت ارشد بايستي جنبه هاي كليدي فرآيند كنترل ايمني بانك را مورد بررسي قرار دهند و آنها را تصويب كنند .
هيأت مديره و مديريت ارشد بايستي برتوسعه و حفظ تداوم يك زيرساخت كنترل ايمني كه به نحو مناسبي سيستمهاي بانكداري الكترونيك و اطلاعات ناشي از خطرات دروني و بيروني را حفاظت ميكند، نظارت داشته باشد .
اين امر بايد ايجاد كنترل هاي مناسب براي مجوز دسترسي فيزيكي و منطقي و امنيت كافي زير ساختي به منظور حفظ مناسب مرزها و محدوديت ها در حوزه فعاليتهاي داخلي و بيروني كاربر را شامل شود .
حفاظت از سرمايه هاي بانك يكي از وظايف مربوط به امانت داري هيأت مديره و يكي ازمسئوليت هاي اساسي مديريت ارشد است .
با اينحال ، اين امر بخاطر ريسك هاي پيچيده امنيتي مرتبط با عمليات درون شبكه عمومي اينترنت و به كارگيري تكنولوژيهاي ابداعي ، يك وظيفه چالش برانگيز در محيط به سرعت روبه تكامل بانكداري الكترونيك به شمار ميرود.
به منظور اطمينان از كنترل هاي امنيتي مناسب براي فعاليت هاي مربوط به بانكداري الكترونيك ، هيأت مديره و مديريت ارشد نياز دارد تا اطمينان حاصل كند كه آيابانك از يك فرآيندامنيتي جامع برخوردار است ؟ اين فرآيند شامل سياستهاو روشهايي مي شود كه كليه امنيت بالقوه موارد مربوط به خارجي ودروني را از لحاظ جلوگيري از وقوع و پاسخ به حادثه ، در برمي گيرد .
عناصر اصلي يك فرآيند موثر ايمني در بانكداري الكترونيك عبارتند از :
مشخص كردن مسئوليت روشن براي مديريت وپرسنل در نظارت برتعيين و حفظ سياستهاي امنيتي شركت
برقراري كنترل هاي فيزيكي كافي به منظور اجتناب از دسترسي غيرمجاز به محيط كامپيوتري
در نظرگرفتن كنترلهاي منطقي كافي به منظور اجتناب از دسترسي غيرمجاز داخلي و خارجي به كاربري ها و پايگاههاي اطلاعات بانكداري الكترونيك
بررسي منظم و آزمايش كنترلهاي ايمني ازجمله ردگيري مداوم پيشرفتهاي ايمني اين صنعت و ارتقاء سطح نرم افزارهاي مناسب ، بسته هاي ارائه خدمات و نيز ساير تدابير لازم .
ضميمه يك دربرگيرنده شماري تدابير مناسب اضافي به منظور اطمينان از امنيت بانكداري الكترونيك است .
اصل 3 ـ هيأت مديره و مديريت ارشد بايد يك فرآيند نظارتي و پشت كار منظم و مداوم براي مديريت روابط با منابع بيروني بانك و يا ساير وابستگي ها به اشخاص ثالث كه بانكداري الكترونيك را پشتيباني ميكنند ، داشته باشند .
اتكا روبه افزون به شركا و ارائه دهندگان ثالث خدمات براي انجام كارهاي حياتي بانكداري الكترونيك كنترل مستقيم مديريت بانك را كاهش مي دهد .
از همين رو اتخاذ فرآيند جامعي براي مديريت ريسك هاي مرتبط با منابع بيروني و ساير وابستگي ها به اشخاص ثالث ضرورت دارد .
اين فرآيند بايد فعاليت هاي طرفهاي ثالث از جمله شركا و ارائه دهندگان بيروني خدمات و حتي پيمانكاران فرعي را كه ممكن است تأثيرمادي روي بانك داشته باشد ، در بربگيرد .
از لحاظ تاريخي ، منابع بيروني اكثراً محدود به يك ارائه دهنده واحد خدمات براي يك كار معين ميشود ولي در سالهاي اخير روابط منابع بيروني بانكها از لحاظ مقياس و پيچيدگي بخاطر پيشرفتهاي تكنولوژي اطلاعات و ظهور بانكداري الكترونيك ، زياد شده است .
به اين پيچيدگي بايد اين حقيقت را نيز افزود كه ارائه دهندگان منابع بيروني خدمات بانكداري الكترونيك ، ممكن است به صورت پيمانكاري انجام برخي از كارها را به پيمانكاران فرعي ديگري واگذار كنند يا اينكه اين فعاليت ها در يك كشور خارجي انجام شود .
علاوه برآن كاربري ها و خدمات بانكداري الكترونيك از لحاظ تكنولوژيك بسيارپيشرفته، به لحاظ اهميت استراتژيك، رشد كرده است .
برخي زمينه هاي ثابت بانكداري الكترونيك به شمار اندكي فروشندگان متخصص به عنوان اشخاص و ارائه دهندگان ثالث خدمات، متكي است .
اين پيشرفتها تمركز بيشتري روي ريسك هايي به وجود مي آورد كه هم از نقطه نظر يك صنعت و هم به لحاظ سيستميك ، باعث جلب توجه مي شود .
همه اين فاكتورها نياز به يك ارزيابي جامع و مداوم را از روابط با منابع بيروني و ساير نقاط اتكاء، از جمله آنهائيكه مرتبط با معضلات وضعيت ريسك بانك هستند و نيز توانائيهاي نظارتي مديريت ريسك ، مطرحميكند .
نظارت هيأت مديره و مديريت ارشد بر روابط با منابع بيروني و اشخاص ثالث به طور خاص بايد روي اطمينان از موارد زير باشد :
مطالعه و پيگيري مناسبي براي بررسي توانمندي و قدرت زيست مالي هرگونه ارائه كننده ثالث خدمات يا شريك قبل از آنكه وارد مرحله عقد قرارداد براي ارائه خدمات بانكداري الكترونيك شود ، انجام گيرد .
در قرار داد ، قابليت حسابدهي همه طرفهاي منابع بيروني يا شراكتي بايستي به روشني تعريف شود. به عنوان مثال بايد تعريف روشني از مسئوليت هاي مربوط به ارائه اطلاعات و دريافت اطلاعات از ارائه كننده خدمات به عمل آيد .
تمام سيستم هاي عمل بانكداري الكترونيك مرتبط با منابع بيروني تابع مديريت ريسك و سياستهاي امنيتي و نيز حفظ حريم خصوصي افراد ، طبق استانداردهاي خود بانك هستند .
بايستي از عمليات منابع بيروني ، حسابرسي هاي مقطعي داخلي يا خارجي انجام گيرد . اين حسابرسي دست كم بايد در همان محدوده و اندازه اي باشد كه گويي انجام عمليات توسط خود بانك صورت ميگرفت .
طرحهاي مناسب براي هر نوع حادثه محتمل الوقوع براي فعاليت هاي بانكداري الكترونيك مرتبط با منابع بيروني بايد وجود داشته باشد .
ضميمه 2 شماري از رويه هاي مناسب ديگر براي مديريت سيستم هاي بانكداري الكترونيك مرتبط با منابع بيروني و وابستگي به اشخاص ثالث را فهرست ميكند.
ب ـ كنترل هاي ايمني ( اصول 4 تا 10)
درحاليكه هيأت مديره مسئوليت دارد تا اطمينان حاصل كند كه فرآيندهاي كنترل ايمني مناسب براي بانكداري الكترونيك وجود دارد ، ماهيت اين فرآيندها به توجه مديريتي ويژه اي نياز دارد ، زيرا چالشهاي ايمني پيشرفته اي را در بانكداري الكترونيك به وجود ميآورند .
مسايل زير به ويژه در اين زمينه حائز اهميت هستند :
احراز
عدم پذيرش
يكپارچگي داده ها و معاملات
جداسازي وظايف
كنترل هاي مجوز
نگهداري سرنخ حسابرسي
محرمانه نگه داشتن اطلاعات كليدي بانك
اصل 4ـ بانك ها بايد تدابير مناسب را به منظور احراز هويت و تأئيد مشتريهايي كه با آنها در اينترنت كار ميكنند ، اتخاذكنند .
دربانكداري ضروري است كه درخواست يك ارتباط يا دسترسي به معاملات از لحاظ قانوني بودن تأئيد شود . بنابراين بانكها بايد شيوههاي قابل اطميناني را براي تأئيد هويت و مجوز دهي به مشتريان جديد و نيز تصديق هويت و تأئيد مشتريان قبلي كه قصد شروع عمليات الكترونيك را دارند ، مورد استفاده قراردهند .
احراز هويت مشتريان هنگام ريشه يابي حساب در كاهش ريسك سرقت هويت و به كارگيري حساب جعلي و پول شويي مهم است .
كوتاهي بانك به لحاظ عدم توجه كافي به احراز هويت مشتريان منجر به آن مي شود تا اشخاص غيرمجاز به حسابهاي بانكهاي الكترونيك دسترسي پيدا كنند وبدين ترتيب خسارت مالي و تخريب شهرت بانك را به وجود آورد . البته اين امر مي تواند از طريق تقلب و افشاي اطلاعات محرمانه يا سهواً درقالب يك فعاليت مجرمانه صورت گرفته باشد .
احراز هويت و صدور مجوز براي دسترسي به سيستم هاي بانكي در يك محيط شبكه اي كاملاً باز و الكترونيك كار مشكلي است .
اعطاي مجوز قانوني به كاربر مي تواند از طريق تكنيك هاي گوناگوني كه اصطلاحاً “ SPOOFING ” نام دارد ، تحريف شود .
نفوذگران نيز مي توانند از طريق استفاده از دستگاههاي “ SNIFFER ” روي ارتباط هاي قانوني تأثير گذاشته تا فعاليت هاي مجرمانه يا موذيانه انجام دهند .
فرآيندهاي كنترل احراز هويت علاوه بر اين مي توانند از طريق ايجاد تغيير در پايگاههاي اطلاعاتي احراز هويت ، دچار آسيب شوند.
بنابراين حياتي است كه بانكها براي شناسايي مناسب و اطمينان از اينكه احراز هويت و مجوزها به هرفرد ، عامل يا سيستم به درستي و از طريق به كارگيري روشهاي منحصر بفردي صورت ميگيرد كه عملي هستند و سيستم ها يا افراد غيرمجاز را در برنمي گيرند، سياستهاورويههايرسمياتخاذكنند.
بانكها مي توانند روشهاي متفاوتي را ازجمله PIN ( شماره شناسايي شخصي ) ، رمزواژه ، كارتهاي هوشمند ، سيستم هاي زيست سنجي (BIOMETRICS) و گواهينامههاي ديجيتال ، براي احراز هويت، در نظر بگيرند .
اين روش ها مي توانند يا يك عامل مجرد و يا چند عامل باشند ( هم استفاده از رمزواژه وهم تكنولوژي زيست سنجي براي احراز هويت ).
در كل استفاده از روش احراز چندعاملي ، اطمينان قويتري به وجود ميآورد .
بانك بايد تعيين كند كدام روش احراز را برپايه ارزيابي مديريت از خطري كه در كل يا بوسيله عناصر فرعي متوجه نظام بانكداري الكترونيك است ، مورد استفاده قرار دهد .
تحليل خطر بايد توانائيهاي عملياتي نظام بانكداري الكترونيك را ( ازقبيل انتقال وجه ، پرداخت صورت حساب ، ريشه يابي وام ، تجمع حساب و غيره ) از لحاظ حساسيت و ارزش اطلاعات ذخيره شده، همراه با راحتي مشتريان و استفاده از روش احراز هويت ، مورد ارزيابي قرار دهد .
فرآيندهاي قوي احراز و شناسايي مشتري ، به ويژه در مورد بانكداري الكترونيك فرامرزي اهميت دارد و اين اهميت ناشي از مشكلات اضافي است كه ميتواند هنگام انجام تجارت الكترونيك با مشتريان فرامرزي رخ دهد ، ضمن آنكه در اين زمينه ، خطر بيشتر تجسم سازي هويت و مشكل بيشتر در انجام بررسي هاي اعتباري موثر روي مشتريان بالقوه هم اهميت دارد .
توصيه مي شود به همان نحو كه شيوههاي احراز هويت تكامل پيدا ميكنند
بانكها نير به بررسي و اتخاذ رويه درست صنعتيدراينزمينهبپردازندتامطمئنشوندكه:
پايگاههاي اطلاعات مربوط به احراز هويت كه به حسابهاي مشتري بانكداري الكترونيك دسترسي پيدا مي كنند يا سيستم هاي حساس، از لحاظ آسيبپذيري و فساد محافظت مي شوند .
هرگونه آسيب پذيري در اين زمينه، بايد قابل كشف باشد و سرنخ هاي حسابرسي بايستي به عنوان مستندات چنين تلاشهايي وجود داشته باشند .
هرگونه اضافه ، حذف يا تغيير در پايگاه اطلاعات احراز هويت فرد ، عامل يا سيستم بايستي كاملاً با مجوز مراجع صلاحيت دار باشد .
بايد تدابير لازم به منظور كنترل روابط در سيستم بانكداري الكترونيك وجود داشته باشد . اين كنترل بايد به گونه اي باشد تا اشخاص ثالث ناشناخته نتوانند مشتريان شناخته شده را جابجا كنند .
نشست هاي مربوط به احراز هويت بانكداري الكترونيك بايستي در تمام مدت برگزاري جلسه كاملاً محرمانه باشد . در صورت وقوع هر گونه رخنه امنيتي ، نشستها بايد احراز هويت مجدد كنند .
اصل 5 ¬ــ بانكها بايد روش هايي را براي احراز هويت معاملات مورد استفاده قرار دهند كه باعث ارتقاء پذيرش (NON- REPUDIATION ) مي شود و قابليت حسابرسي براي معاملات بانكداري الكترونيك به وجود ميآورد .
پذيرش در برگيرنده اثبات بيشتر منشأ يا تحويل اطلاعات الكترونيك به منظور حفاظت ارسال كننده در برابر تكذيب كاذب گيرنده اطلاعات براي دريافت آن اطلاعات است يا براي حفاظت از گيرنده در برابر تكذيب دروغين ارسال كننده ، مبني بر آن است كه اطلاعات ارسال شده است .
ريسك مربوط به عدم پذيرش معاملات هم اكنون به عنوان يك معضل در معاملات متعارف از قبيل كارتهاي اعتباري يا معاملات اوراق بهادار مطرح است .
هرچند بانكداري الكترونيك، اين ريسك را به واسطه مشكلات مربوط به احراز مثبت هويت ها و صلاحيت طرفهايي كه عمليات را شروع مي كننند ، عوامل بالقوه اي كه سعي در تغيير يا ربايش معاملات الكترونيك دارند و نيز كاربران بالقوه بانكداري الكترونيك كه ادعا ميكنند، عمليات به شيوه تقلب آميزي تغيير داده شده است ، افزايش ميدهد .
به منظور غلبه بر اين نگرانيهاي افزايشيافته ، بانكها نياز دارند تا تلاشهاي معقولي را متناسب با ماديت و نوع معاملات بانكداري الكترونيك به منظور اطمينان از موارد زير به عمل آورند :
سيستم بانكداري الكترونيك به گونهاي طراحي شود تا هرگونه احتمالي مبني بر آنكه كاربران مجاز معاملان ناخواستهاي را شروع كنند ، كاهش و يا اينكه مشتريان را كاملاً متوجه خطرات مرتبط با هرگونه عملياتي كنيد كه آنها انجام ميدهند .
تمامي طرحهاي مرتبط با اين عمليات بايد از لحاظ مثبت بودن، احراز هويت شوند و كنترل روي كانال احراز هويت شده به عمل آيد.
اطلاعات عمليات مالي از لحاظ تغيير محافظت و هرگونه تغييري قابل كشف باشد .
بانكها تكنيك هاي گوناگوني را به كار ميگيرند تا به ايجاد پذيرش كمك و اطمينان به وجود آورد كه محرمانه بودن و يكپارچگي عمليات بانكداري الكترونيك با استفاده از گواهينامههاي ديجيتالي در زير ساختهاي كليدي عمومي صورت مي گيرد .
بانك ممكن است گواهينامه ديجيتالي براي يك مشتري يا طرف مقابل به منظور شناسايي و احراز هويت منحصر بفرد آنها صادر كند وبه اين وسيله باعث كاهش عدم پذيرش عمليات شود .
گرچه در برخي كشورها حقوق مشتري براي رد يك ادعا در مورد معاملات ، تحت چارچوب قانوني خاصي قرار مي گيرد ولي قوانيني در محاكم ملي معين تصويب شده تا امضاءهاي ديجيتالي از لحاظ قانوني ، لازم الاجرا شوند .
احتمال مي رود ، پذيرش قانوني گسترده تر اين تكنيك ها در سطح جهان با تكامل تكنولوژي روبه افزايش رود .
اصل 6 ـ بانكها بايد اطمينان حاصل كنند كه تدابير مناسب براي ارتقاء جداسازي كافي وظايف نظامهاي بانكداري الكترونيك ، پايگاههاي داده ها و كاربري ها وجود دارد .
جدا سازي وظايف يك تدبير پايه كنترل داخلي است كه به منظور كاهش ريسك تقلب در سيستمها و فرآيندهاي عملياتي و اطمينان نسبت به آنكه داراييهاي شركت و معاملات به درستي مجوز داده ، ثبت و حفاظت ميشوند ، طراحي شده است .
جداسازي وظايف ، امري حياتي براي اطمينان از صحت و يكپارچگي دادههاست و به منظور جلوگيري از اعمال جعل و تقلب بوسيله يك شخص صورت ميگيرد .
چنانچه وظايف به اندازه كافي از يكديگر تفكيك شده باشند ، ارتكاب جعل فقط از طريق تباني امكان پذير خواهد بود .
خدمات بانكداري الكترونيك نياز به بهينه سازي راههايي دارد كه درآنها جداسازي وظايف انجام و حفظ شده باشد ، زيرا عمليات در سيستم هاي الكترونيك در جايي صورت مي گيرد كه هويت ها ميتوانند نقابدار و جعل شوند .
علاوه بر اين ، در كاربري هاي بانكداري الكترونيك،كارهايعملياتيومعاملاتيدر بسيارياوقات،بيشترفشردهويكپارچهميشوند.
ازهمينرو كنترل هاييكهدرشيوه سنتي براي جداسازي وظايف به كارميرود، به منظور اطمينان از اعمال سطح مناسبي از كنترل ، بايد مورد بررسي مجدد قرارگيرد .
از آنجا كه دسترسي به پايگاههاي دادههايي كه از لحاظ امنيتي ضعيف باشند به راحتي از طريق شبكه هاي داخلي يا خارجي امكان پذير است ، از همين رو روش هاي مجوز دهي و شناسايي بسيار دقيق ، ايمن و بي عيبي همراه با حفظ سرنخ هاي حسابرسي بايد مورد تأكيدباشد.
رويه هاي متداول براي انجام و حفظ جداسازي وظايف در محيط بانكداري الكترونيك شامل موارد زير است :
طراحي فرآيندهاي عمليات ، معاملات و سيستم ها بايد به گونه اي باشد تا اطمينان حاصل شود كه هيچ كارمند يا ارائه دهنده بيروني خدمات نتواند به تنهايي داخل شود ، كسب مجوز كند و يك معامله را به انجام برساند .
جداسازي بايد براي داده هايي شروع شود كه استاتيك باشند . ( ازجمله محتواي صفحه(WEB و آنهائيكه مسئوليت تأئيد يكپارچگي را دارند.
سيستم هاي بانكداري الكترونيك بايد از لحاظ آنكه وظايف جداسازي نميتواند ميان بر (BYPASS) شود ، مورد آزمايش قرار گيرند .
جداسازي وظايف بايد ، هم براي آنهايي كه سيستم هاي بانكداري الكترونيك را اعمال و هم آنهايي كه اين سيستم ها را مديريت مي كنند، برقرارشود.
اصل 7 ـ بانكها بايد اطمينان پيداكنند كه كنترل هاي مناسب مجوز دهي و امتيازات دسترسي براي سيستم ها ، پايگاههاي داده ها و كاربريهاي بانكداري الكترونيك وجود دارند .
به منظور انجام وظايف جداسازي ، بانكها احتياج به آن دارند تا دسترسي به مجوز دهي را كاملاًوبهطوردقيقكنترلكنند.
عدم اعمال كنترل هاي كافي مجوزدهي ميتواند شرايطي فراهم آورد تا افراد به تغيير مجوز خود بپردازند و با نفوذ به فرآيند جداسازي سيستم ها،به پايگاهدادهها و كاربريهايي كه مجوز آنها را ندارند ، دسترسي پيدا كنند .
در سيستمهاي بانكداري الكترونيك ، حقوق دسترسي و مجوز دهي مي تواند يا به صورت تمركز يافته ويا به روش توزيعي دردرون پايگاه دادههاي بانك ذخيره شود ، از همين رو حفاظت از اين پايگاهها به لحاظ رخنه يا فساد در راستاي كنترل دقيق مجوز دهي ضروري است .
ضميمه 3 ، شماري رويه هاي مناسب را به منظور كمك به اعمال كنترل مناسب روي مجوز دهي و حقوق دسترسي به سيستم ها و نيزكاربري هاي بانكداري الكترونيك ، مشخص مي كند.
اصل 8-بانك ها بايد اطمينان پيداكنند كه تدابير مناسب براي حفاظت از يكپارچگي داده ها در معاملات، سوابق و اطلاعات بانكداري الكترونيك وجود دارد.
يكپارچكي اطلاعات به اين امر اطلاق ميشود كه اطلاعات در حال عبور يا به صورت ذخيره، بدون مجوز تغييري پيدانكند.
عدم حفظ يكپارچگي اطلاعات معاملات و سوابق مي تواند بانك را در معرض خسارت هاي مالي و نيز ريسك هاي قابل توجه حقوقي و شهرتي قرار دهد.
ماهيت اينترنت از لحاظ فرآيندهايي كه در بانكداري الكترونيك مستقيماً عمل ميكنند به گونه اي است كه برنامه ريزي براي تشخيص اشتباهات يا فعاليتهاي اخلال گرانه را از لحاظ كشف در مراحل اوليه كار مشكل ميكند.
بنابراين مهم است كه بانك ها فرآيندهاي مستقيم را به گونه اي به مرحله اجرا بگذارند كه از يكپارچگي و بي عيب و نقص بودن داده ها، اطمينان حاصل شود.
چون بانكداري الكترونيك از طريق شبكه هاي عمومي انتقال پيدا مي كند، از همين رو عمليات در معرض تهديد مضاعفي از فساد اطلاعاتي ، سوء استفاده ونيز ايجاد اختلال در سوابق قرار ميگيرد.
بنابراين بانك ها بايد اطمينان حاصل كنند كه تدابير كافي به منظور اطمينان از درستي كار آنها ، كامل بودن قابليت اطمينان عمليات بانكداري الكترونيك ، سوابق و اطلاعات، در نظر گرفته شده است.
در مورد اطلاعات ، اين حصول اطمينان بايد نسبت به اطلاعاتي باشد كه خواه روي اينترنت ارسال شده است، خواه در پايگاه
دادههاي داخل بانك وجود دارد وياازسوي يكارائهكنندهثالثخدماتبه نمايندگي ازسويبانكمخابرهياذخيرهشدهاست.
رويه هاي معمول مورد استفاده براي حفظ يكپارچگي اطلاعات در محيط بانكداري الكترونيك ، شاملمواردزيرهستند:
معاملات بانكداري الكترونيك بايد به گونهاي انجام شوند كه كاملاً آنها را در برابر آسيب پذيري در سراسر و كل فرآيند ، مقاوم كند.
سوابق بانكداري الكترونيك بايد به گونهاي ذخيره و قابليت دسترسي به آنها ايجاد و بهينه شود كه آنها را در برابر آسيبپذيري كاملاً مقاوم كند .
عمليات بانكداري الكترونيك و فرآيندهاي كنترل سوابق بايد به گونه اي طراحي شوند كه آنها را از لحاظ ايجاد مانع بر سر راه كشف تغييرات غير مجاز ، غير ممكن كند.
تغيير كافي در سياست هاي كنترل از جمله روش هاي بررسي و آزمايش بايد در محل وجود داشته باشد تا بتواند بانكداري الكترونيك را در برابر هر گونه تغييرات كه ممكن است به اشتباه يا غير عمد در كنترلها يا قابليت اطمينان داده ها رخ دهد، محافظت كند.
هر گونه رخنه در سوابق بانكداري الكترونيك بايد بوسيله فرآيندهاي عملياتي، رسيدگي و حفظسوابق،كشفشود.
اصل 9- بانك ها بايداطمينان پيدا كنند كه سرنخ هاي حسابرسي شفاف براي همه عمليات بانكداري الكترونيك ، وجوددارد.
در ارائه خدمات مالي روي اينترنت براي بانك ها مشكل است تا كنترلهاي داخلي را اعمال و سرنخ هاي حسابرسي روشني را حفظ كنند، چنانچه اين تدابير با محيط بانكداري الكترونيك تطبيق داده نشود.
بانك ها نه تنها براي اطمينان از كنترل مؤثر داخلي در محيط هاي كاملاً خودكار با چالش مواجه هستند، بلكه اين كنترل ها مي تواند به ويژه براي تمام وقايع و كاربريهاي حياتي بانكداري الكترونيك ، حسابرسي شوند.
محيط كنترل داخلي براي يك بانك چنانچه نتواند سرنخ هاي حسابرسي روشني را براي فعاليتهاي بانكداري الكترونيك حفظ كند، ممكن است ضعيف شود.
اين امر از آن روست كه بيشتر اگر نه همه، سوابق و شواهد مربوط به پشتيباني از معاملات بانكداري الكترونيك به صورت الكترونيك هستند.
در تصميمگيري روي اين نكته كه تا كجا اين سرنخ هاي حسابرسي رابايد حفظ كرد ، انواع معاملات زير در بانكداري الكترونيك ، بايد ملاحظه شوند:
گشايش ، بهبود و مسدود كردن حساب مشتري
هر گونه معامله اي كه نتايج مالي داشته باشد.
هر گونه اعطاي مجوزي كه به مشتري اجازه مي دهد تا از محدوده خاصي بالاتر رود.
هر گونه اعطاي مجوز ، بهبود يا لغو حقوق و امتيازات دسترسي به سيستم ها
ضميمه 4-چند رويه مناسب را براي كمك به اطمينان از اينكه سرنخ هاي حسابرسي روشني براي عمليات بانكداري الكترونيك وجود داشته باشند، مشخص ميكند.
اصل 10- بانك ها بايد تدابير مناسب را به منظور حفظ محرمانه بودن اطلاعات كليدي بانكداري الكترونيك اتخاذ كنند.اين تدابير بايد با حساسيت اطلاعاتي كه مخابره يا در پايگاه هاي اطلاعات ذخيره مي شود، متناسب باشد.
محرمانه بودن به منظور اطمينان از اين نكته است كه اطلاعات كليدي فقط براي بانك نگهداري مي شوند و قابل ملاحظه يا استفاده توسط مراجع غير مجاز نيست.
سوء استفاده يا افشاي غير مجاز اطلاعات، بانك را در معرض هم ريسك حقوقي وهم ريسك شهرتي قرار ميدهد.
ظهور بانكداري الكترونيك ، چالشهاي امنيتي اضافي را براي بانك ها به ميان ميآورد، زيرا اين بحث را تقويت ميكند كه
اطلاعات مخابره شده روي شبكه عمومي يا ذخيره شده در پايگاه اطلاعات ممكن است بوسيله اشخاص غيرمجاز قابل دسترسي باشد ، يا اينكه به طريقي كه مشتري در ارائه اطلاعات قصد نداشت تا همه بدانند، مورد استفاده قرار گيرد.
علاوه بر آن ، استفاده روزافزون ارائهكنندگان خدمات ممكن است اطلاعات
كليدي بانكي را در دسترس ديگران قراردهد.
براي رفع چالش هاي مربوط به حفظ محرمانه بودن اطلاعات كليدي ، بانك ها نياز به آن دارند تا اطمينان حاصل كنندكه:
تمام اطلاعات و سوابق محرمانه فقط توسط افراد، عوامل يا سيستم هايي كه صلاحيت و مجوز لازم را دارند، قابل دستيابي است.
تمام اطلاعات محرمانه بانكي در وضع ايمني نگهداري و دربرابر رويت غير مجاز يا دستكاري هنگام ارسال در شبكه هاي عمومي، خصوصي يا داخلي، حفاظت ميشوند.
استاندارد و كنترل هاي بانك ها براي استفاده از اطلاعات و حفاظت ، بايستي هنگامي كه اشخاص ثالث امكان دستيابي به داده ها از طريق روابط يا منابع بيروني را دارند، كاملاً رعايت شود.
تمام دستيابي ها به اطلاعات محرمانه قفل شوند و تلاش هاي مناسبي براي اطمينان از اينكه قفل هاي دستيابي در برابر رخنه مقاوم هستند ،به عمل آيد.
ج-مديريت ريسك حقوقي و شهرتي(اصول 11تا 14)
حفاظت خاص مشتري و مقررات و قوانين مربوط به حريم آنها در يك مرجع قضايي با مرجع قضايي ديگر فرق مي كند.
با اين حال بانك ها در كل مسئوليت روشني دارند تا راحتي لازم را درمورد افشاي اطلاعات ، حفاظت از اطلاعات خصوصي مشتري و ارائه اطلاعات بازرگاني ، براي مشتريان خود فراهم آورند.
اين راحتي بايد متناسب با سطحي باشد كه آنها مي داشتند، چنانچه داد و ستد معاملاتي آنها از طريق كانالهاي توزيع بانكي سنتي انجام مي شد.
اصل 11- بانك ها بايد اطمينان حاصل كنند كه اطلاعات كافي در وب سايت آنها وجود دارد تا به مشريان بالقوه اجازه دهد تايك نتيجه گيري آگاهانه درباره وضعيت شناسايي ومقررات بانك قبل از آنكه وارد مراحل بانكداري الكترونيك شوند، بدست آورند.
به منظور كاهش ريسك هاي قانوني و شهرت مرتبط با فعاليت هاي بانكداري الكترونيك كه هم در داخل و هم در وراي مرزها صورت مي گيرد، بانك ها بايد اطمينان حاصل كنند كه اطلاعات كافي در وب سايت آنها وجود دارد تا به مشتريان اجازه دهد قبل از وارد شدن به عمليات بانكداري الكترونيك به نتيجه گيري آگاهانهتر برسند.
مثالهايي از اين اطلاعات كه در كل، وضعيت شناسايي و هويت بانك را در بر مي گيرد ، از اين قرار است:
نام بانك و محل اداره مركزي آن (ادارات محلي در صورتي كه نياز باشد)
شناسه مرجع يا مراجع نظارتي اصلي بانك, مسئول نظارت در اداره مركزي بانك
چطور مشتريان مي توانند با مركز خدمات مشتري بانك در مورد مشكلات مربوط به ارائه خدمات، شكايات و سوء استفاده هاي مشكوك از حساب ها و غيره تماس بگيرند.
چطور مشتريها مي توانند به برنامه طرح شكايت مشتري (OMBUDSMAN)دسترسي داشته و آن را مورد استفاده قرار دهند.
چطور مشتريها مي توانند به اطلاعات مربوط به درخواست غرامت ملي ، پوشش بيمه وديعه در سطح حفاظتي كه آنها توان آنرا دارند يا پيوند به وب سايت هايي كه اينگونه اطلاعات را در اختيار آنها مي گذارد، دسترسي داشته باشند.
ساير اطلاعاتي كه مناسب است و مي تواند مورد نياز مراجع قضايي باشد.
اصل 12- بانك ها بايد تدابير مناسب را به منظور اطمينان از تبعيت با نيازهاي خصوصي مشتري مرتبط با مراجع قضايي كه در آن بانك توليدات و خدمات بانكداري الكترونيك را ارائه مي دهد، اتخاذ كنند.
حفظ اطلاعات مربوط به حريم خصوصي مشتري يك مسئوليت كليدي براي بانك به شمار مي آيد. سوء استفاده يا افشاي غير مجاز اطلاعات محرمانه مشتري، بانك را در معرض ريسك حقوقي و شهرتي قرار مي دهد.
براي رفع اين چالش ها ، در مورد حفظ حريم خصوصي اطلاعات مشتري ، بانك ها بايد تلاش هاي معقولي را به منظور اطمينان از اتخاذ تدابير زير به عمل آورند:
سياستهاي حريم خصوصي مشتري بانك و استانداردهايي كه در اين زمينه رعايت ميشود بايد كاملاً مطابق با همه مقررات حفظ حريم و قوانين مربوط به آن در مراجع قضايي باشد كه در آن توليدات و خدمات بانكداري الكترونيك ، ارائه ميشود.
مشتريها بايد در مورد سياستهاي مربوط به حفظ اطلاعات خصوصي بانك و مسايل مرتبط با آن در استفاده از خدمات و توليدات بانكداري الكترونيك ، اطلاع پيداكنند.
مشتريها ممكن است تمايلي نداشته باشند تا اجازه دهند كه بانك ها اطلاعات شخصي مربوط به آنها را در زمينه هايي از قبيل نيازهاي شخصي ، علايق ، وضعيت مالي يا فعاليت بانكي ، به منظور بازاريابي متقابل در اختيار شخص ثالث قرار دهند.
اطلاعات مشتري نبايد براي مقاصدي وراي آنچه به طـــور مشخـــــص مجاز
شمرده شده يا براي مقاصدي وراي آنچه مشتري مجاز مي داند ، مورد استفاده قرارگيرد.
استانداردهاي بانك براي استفاده از اطلاعات مشتري بايد زماني كه شخص ثالث به اطلاعات مشتري از طريق روابط با منابع بيروني دسترسي پيدا مي كند، رعايت شود.
ضميمه پنج، چند سياست كاري مناسب را به منظور حفظ حريم اطلاعات خصوصي مشتري در بانكداري الكترونيك ، معرفي مي كند.
اصل 13-بانك ها بايد ظرفيت مؤثر ، تداوم داد و ستد و برنامه ريزي وضعيت اضطراري داشته باشند تا بدينوسيله بتوانند از عملكرد مناسب سيستم ها و خدمات بانكداري الكترونيك اطمينان حاصل كنند.
به منظور حفاظت بانك ها در قبال ريسك هاي شهرت، قانوني و تجاري ، خدمات بانكداري الكترونيك بايد طبق انتظارات مشتري، به صورت مستمر و به موقع انجام شود.
براي نيل به اين هدف ، بانك بايد اين قابليت را داشته باشد تا خدمات بانكداري الكترونيكرابه مصرفكنندگان نهاييازطريق منابع دست اول(مانندسيستمهاوكاربريهاي داخلي خود بانك)يا از طريق منابع دست دوم (مانند سيستم ها و كاربري هاي ارائه دهندگان خدمات)،برساند.
در همين حال بايد سيستم هاي يدك اضطراري از لحاظ تعمير و نگهداري، همواره در وضعيت آماده باشند تا هنگامي كه مشكلي براي سيستم اصلي به وجود ميآيد يا موقعي كه بحراني، اخلال در كار را سبب مي شود، قطع سيستم رخ ندهد يا به حداقل كاهش پيدا كند.
چالش هاي مربوط به حفظ و دستيابي مداوم به سيستم ها و كاربريهاي بانكداري الكترونيك ، به ويژه هنگام تقاضاي زياد براي استفاده از سيستم در زمان اوج ميتواند قابل ملاحظه باشد.
علاوه بر آن ، انتظارات بالاي مشتري در مورد زمان كوتاه پردازش عمليات و دسترسي مداوم 24 ساعته و 7روز در هفته، به نوبه خود اهميت در نظر گرفتن ظرفيت كافي، تداوم تجارت و برنامه ريزي اضطراري را افزايش داده است .
براي آنكه تداوم ارائه خدمات بانكداري الكترونيك به مشتريها تا آن حد كه آنها انتظاردارند، حفظ شود ، بانكها نياز به آن دارند تا اطمينان حاصل كنند كه:
ظرفيت سيستم بانكداري الكترونيك فعلي و پيش بيني مقدار مورد نياز براي آن در آينده براساس پويايي كلي بازار تجارت الكترونيك و نرخ جذب مشتري اين گونه توليدات و خدمات مورد تحليل قرارميگيرد.
تخمين هاي مربوط به ظرفيت پردازش معاملات بانكداري الكترونيك بايد مرتب انجام و آزمايش هاي تنش به عملآيد ، ضمن آنكه همه اين ها هر چند وقت يكبار دوباره ملاحظه شوند.
تداوم تجارت مناسب و برنامه هاي اضطراري براي فرآيندهاي بانكداري الكترونيك در زمان بحراني واينكه سيستمهاي تحويل بايد موجود باشند و مرتب آزمايش شوند.
ضميمه 6-چند ظرفيت مطلوب مربوط به تداوم تجارت و برنامه ريزي اضطراري را مشخص ميكند.
اصل 14- بانك ها بايد برنامه هاي مناسبي را براي پاسخ به حوادث داشته باشند تا در صورت وقوع رويداد هاي غيرمترقبه ، (به عنوان مثال حملات داخلي و خارجي كه ممكن است مانع ارائه سيستم ها و خدمات بانكداري الكترونيك شود) بتوانند اثرات آنها را كاهش و بر آنها فائق آيند.
مكانيزم مؤثر پاسخ به حوادث در كاهش ريسك هاي حقوقي ، شهرت و عملياتي ناشي از حوادث غير مترقبه از قبيل حملات داخلي و خارجي كه ممكناست بر عملكرد سيستم ها و خدمات بانكداري الكترونيك اثر نامطلوب بگذارد ، حياتي هستند.
بانك ها بايد نقشه هاي مناسبي براي پاسخ به حوادث تهيه و از جمله استراتژيهاي ارتباطي مؤثري را تدوين كنند. تدوين اين استراتژيها براي اطمينان نسبت به تداوم تجارت، كنترل ريسك شهرت و محدود كردن تعهدات مرتبط با اخلال در خدمات بانكداري الكترونيك از جمله زماني كه از سيستم ها و عمليات منابع بيروني ريشه ميگيرد، انجام ميشود.
براي اطمينان از پاسخ مؤثر به حوادث پيش بيني نشده ، بانك ها بايد بوجودآورند:
نقشه هاي مربوط به پاسخ به حادثه براي بازگردانيدن خدمات و سيستم هاي بانكداري الكترونيك تحت سناريوها ، در نقاط جغرافيايي و وضعيت هاي تجاري گوناگون –تجزيه و تحليل سناريو بايد احتمال ريسكي را كه اتفاق ميافتدوتأثيرآن بربانكرا همشاملشود.سيستمهايبانكداري الكترونيككه به منابع بيرونيوارائهدهندگان ثالث خدمات مربوط ميشوند، جزء لاينفك اين برنامه ها به شمار مي روند.
مكانيزم هاي شناسايي حادثه يا بحران به محض آنكه روي بدهد ،ارزيابي چند و چون آنها . كنترل ريسك شهرت ناشي از اخلال در ارائه خدمات.
اين يك استراتژي ارتباطي بايد به اندازه كافي بازار بيروني و نگراني رسانهها را مد نظر داشته باشد. نگراني كه ممكن است ناشي از رخنه امنيتي و حملات مستقيم يا از كار افتادن سيستم هاي بانكداري الكترونيك باشد.
يك فرآيند روشن براي خبر كردن سريع مراجع قانون گذاري مربوط در صورت وقوع رخنه امنيتي يا رخ دادن حوادث منجر به اخلال در سيستم ها.
تيم هاي پاسخ به حادثه با قدرت و اختيار آنكه در شرايط اضطراري عمل كنند و به اندازه كافي در زمينه تجزيه و تحليل سيستم هاي پاسخ كشف و اهميت بازده مربوطه ، آموزش ديده باشند .
يك زنجيره روشن از فرماندهي كه هم عمليات مربوط به منابع بيروني و هم منابع دروني راكنترل مي كند. اين كنترل بهمنظور اطمينان از اين امر انجامميشودكه اقدام فوريمتناسببااهميتحادثهبهعملآيد.
علاوه بر آن ، روش هاي ارتباطي داخلي مناسبي بايد به اين منظور طراحي كرد كه از جمله در صورت لزوم آگاه كردن هيأت مديره را در برمي گيرد.
فرآيندهايي كه اطمينان ميدهد، تمام طرفهاي خارجي مربوط، از جمله مشتريان بانك طرفهاي متقابل ورسانهها به نحو مطلوب و در مدت زمان كافـــي از اخلال در سيستم ها و تحولات ناشي از راه اندازي مجدد سيستم ، اطلاع پيدا ميكنند.
فرآيندي برايگردآوريوحفظشواهد قانوني به منظور تسهيل در بررسيهاي بعد از حادثه بانكداريالكترونيك و نيز كمك در محاكمه حملهكنندگان.
• ضميمه1- رويه هاي كنترل ايمني مناسب براي بانكداري الكترونيك:
1-ترتيبات امنيتي بايد ايجاد و حفظ شود و در چارچوب آن اعطاي مجوزهاي لازم به همه كاربران سيستم و كاربريهاي بانكداري الكترونيك، شامل همه مشتريان ، كاربران داخلي بانك و ارائه دهندگان بيروني خدمات صورت گيرد.
كنترل هاي منطقي دستيابي به منظور پشتيباني از جداسازي مناسب وظايف نيز بايد اعمال شود.
2-اطلاعات و سيستم هاي بانكداري الكترونيك بايد طبق حساسيت اهميت آنها طبقه بندي حفاظتي شود.مكانيزم مناسب از قبيل رمز گذاري،كنترل دسترسي و برنامه هاي بازيافت داده ها ،براي حفاظت از همه سيستم هاي حساس و پر مخاطره بانكداري الكترونيك از قبيل سرورها،پايگاه داده ها و كاربري ها،در نظر گرفته شود.
3-ذخيره داده هاي پر مخاطره يا حساس در كامپيوترهاي روميزي و روپايي (DESKTOP-LAPTOP)بايد به حداقل كاهش يافته و به نحو مناسبي از طريق رمزگذاري ،كنترل دسترسي برنامههاي بازيافت اطلاعات حفاظت شوند.
4-كنترلهايفيزيكي كافيبايدبه منظور ممانعتازدسترسيغيرمجازبهسيستمهاي حياتيبانكداريالكترونيك،سروها ،پايگاه داده ها و كاربري ها وجود داشته باشند.
5-تكنيك هاي مناسب بايد به منظور كاهش تهديدهاي خارجي بر سيستم هاي بانكداري الكترونيك،از جمله استفاده از موارد زير در نظر گرفته شوند:
نرم افزار جاروب ويروس در همه نقاط حياتي ورودي (از قبيل سرورهاي دسترسي از راه دورـ سرورهاي PROXY مربوط به پست الكترونيك)روي همه كامپيوترهاي روميزي.
نرم افزار كشف رخنه، ساير ابزارهاي ارزيابي ايمني بايد به طور متناوب به بررسي شبكه ها، سرورها و ديوارهاي آتش ،براي تشخيص نقاط ضعف يا تجاوز به حريم هاي امنيتي و كنترل ها،بپردازند.
آزمايشنفوذشبكههايداخليوخارجي
6- فرآيند انجام بررسي هاي شديد امنيتي بايستي براي همه كاركنان و ارائه كنندگان خدماتي كه پست هاي حساس دارند،اعمال شود.
• ضميمه 2- رويه هاي مناسب براي اداره سيستم ها و خدمات بانكداري الكترونيك ارائه شدهازسويمنابعبيروني.
1-بانك ها بايد تدابير مناسب براي ارزيابي تصميمات اتخاذ شده از سوي ارائه دهندگان بيروني خدمات بانكداري الكترونيك را در نظر بگيرند.
مديريتبانكبايد به روشنيهدفهاي استراتژيك ،امتيازات و هزينه هاي مربوط به استفاده از منابع بيروني وطرحهاي ثالث براي بانكداري الكترونيك را شناسايي كند.
تصميم مربوط به واگذاري يك كار كليدي يا انجام خدمات بانكداري الكترونيك به منبع بيروني بايد با استراتژيهاي تجاري بانك سازگار و بر اساس يك نياز تجاري تعريف شده استوار باشد، ضمن آنكه ريسك خاص مربوط به منبع بيروني را هم در نظر بگيرد.
تمامي زمينه هاي متأثر بانك بايد دريابند كه چگونه ارائه دهندگان خدمات از استراتژي بانكداري الكترونيك بانك ها حمايت به عمل آورده و با ساختار عملياتي آن متناسب مي شوند.
بانك ها بايد قبل از انتخاب يك ارائه دهنده بيروني خدمات بانكداري الكترونيك و نيز درفواصل مناسب بعد از آن، تحليل ريسك داشته باشند.
بانكها بايد فرآيندهايي را براي انتخاب پيشنهادها از ميان چند ارائه دهنده خدمات بانكداري الكترونيك طراحي و معيار انتخاب از ميان پيشنهادهاي مختلف را مورد ملاحظه قرار دهند.
زماني كه يك ارائه دهنده، بالقوه خدمات شناسايي شد،بانك بايد يك بررسي جامع، از جمله تحليل ريسك از قدرت مالي ارائه دهنده خدمات ، شهرت، سياست ها و كنترل هاي مديريت ريسك و نيز قابليت انجام تعهدها داشته باشند.
پس از آن بانك ها بايد به طور مرتب و به طريق مناسب بررسي هاي مستمري را انجام دهند و قابليت ارائهكننده خدمات را براي انجام خدمات و تعهدات مديريت ريسك در طول مدت قرارداد، مدنظر قرار دهند.
بانك ها بايد اطمينان حاصل كنند كه منابع كافي براي نظارت بر فعاليت منابع بيروني پشتيباني كننده از بانكداري الكترونيك وجود دارد.
مسئوليت هاي نظارت بر ترتيبات منابع بيروني بانكداري الكترونيك بايد به روشني مشخص شود.
يك استراتژي مناسب خروج از لحاظ مديريت ريسك بايد براي بانك وجود داشته باشد ، زمانيكه ضرورت خاتمه دادن به قرارداد روابط با منابع بيروني مطرحشود.
2ـ بانك ها بايد روش هاي مناسبي را به منظور اطمينان از كفايت قراردادهاي حاكم بر بانكداري الكترونيك اتخاذكنند.قراردادهاي حاكم بر فعاليت هاي
بانكداري الكترونيك منابع بيروني به عنوان مثال بايد موارد زير را در نظر بگيرد:
تعهدات قراردادي طرفهاي درگير و مسئوليت هاي مربوط به تصميم گيري از جمله تعهد قراردادهاي فرعي مادي، بايد به روشني تعريف شده باشند.
مسئوليت ارائه اطلاعات و دريافت اطلاعات از ارائه كنندگان خدمات بايد به روشني تعريف شوند. اطلاعات دريافتي از ارائه دهنده خدمات بايد به موقع و جامع باشد تا بتواند به بانك اين اجازه را بدهد كه به اندازه كافي سطوح خدمات و ريسك ها را مورد ارزيابي قرار دهد.روش هاي مورد استفاده براي آگاهي رساني در مورد اختلال در ارائه خدمات بانك، نقض امنيتي و ساير اتفاقاتي كه مي تواند يك خطر مادي براي بانك به وجود آورد ،بايد مشخص شود.
مقرراتي كه به ويژه براي پوشش بيمهاي به وجود مي آيد ،مالكيت اطلاعات ذخيره شده در سرورها يا پايگاه هاي دادههاي ارائه كنندگان خدمات و حق بانك براي بازيافت اطلاعات درپي سپري شدن يا اتمام قرارداد، بايد به روشني تعريف شود.
انتظارات عملكرد تحت هردو شرايط عمومي و اضطراري بايد تعريف شوند.
وسايل و ضمانت هاي كافي به عنوان نمونه از طريق اعمال شيوه هاي حسابرسي بايد تعريف شوند تا اطمينان به وجود آيد كه برنامه هاي ارائه كننده خدمات با سياست هاي بانك مطابقت دارد.
براي ترتيبات منابع بيروني فرامرزي، تعيين اين نكته كه قوانين و مقررات كدام كشور از جمله آنهائيكه مربوط به حريم خصوصي و ساير حفاظت هاي مشتري هستند با آنها مطابقت ميكند، ضروري است .
حق بانك براي بررسي مستقل يا حسابرسي امنيتي،كنترل هاي داخلي ، تداوم تجارت و برنامه هاي اضطراري به روشني تعريف شوند.
3ـ بانك ها بايد اطمينان پيدا كنند كه حسابرسي خارجي و داخلي مستقل و متناوب از عمليات منابع بيروني، حداقل در همان سطحي كه مورد نياز مي شود، در صورتيكه چنين عملياتي در سطح داخلي انجام شود، به عمل آيد.
براي روابط با منابع بيروني كه در برگيرنده خدمات و كاربري هاي حياتي و به لحاظ تكنولوژي پيشرفته بانكداري الكترونيك، بانك ها نياز به آن دارند تا به بررسيهاي متناوب ديگري بپردازند كه بوسيله اشخاص ثالث مستقل وبرخوردار از دانش فني كافي ، انجام مي شود.
4ـ بانك ها بايد طرحهاي اضطراري مناسب براي فعاليت هاي بيروني بانكداري الكترونيك داشته باشند.
بانك ها نياز به آن دارند تا براي همه سيستم ها و خدمات بانكداري الكترونيك خود كه به منابع بيروني و طرفهاي ثالث واگذار مي شود، برنامه هاي اضطراري داشته و آنها رابه طور متناوب آزمايش كنند.
طرحهاي اضطراري بايد بدترين سناريو ها را در نظر گيرد تا بتواند در هر شرايطي تداوم خدمات بانكداري الكترونيك را در صورت وقوع هر گونه اختلالي كه تحت تأثير منابع بيروني روي دهد، حفظكنند.
بانك ها بايد تيم مستقلي داشته باشند كه آن تيم مسئول مديريت بازيافت و
ارزيابي اثر مالي اختلال در خدمات بانكداري الكترونيك منابع بيروني است .
5ـ بانك هايي كه خدمات بانكداري الكترونيك رابه اشخاص ثالث واگذارميكنند، بايد اطمينان داشته باشند كه عمليات ، مسئوليت و تعهدات آنها به اندازه كافي روشن است تا نهادهاي خدمترسان بتوانند بررسيهاي خود را با پشتكار و به گونه مؤثري انجام دهند و بر روند كار نظارت داشته باشند.
بانك ها مسئوليت دارند تا اطلاعات لازم در خصوص شناسايي، كنترل و رسيدگي به ريسك هاي مرتبط با خدمات بانكداري الكترونيك را دراختيار نهادهايي بگذارندكه اين گونه خدمات دراختيار آنها قرارمي گيرد.
• ضميمه3-رويههايمناسبصدورمجوز برايكاربريهايبانكداريالكترونيك
1-صدور مجوز و امكان دسترسي شامل همه اشخاص، عوامل يا سيستم هايي ميشود كه فعاليت بانكداري الكترونيك انجام ميدهند.
2-همه سيستم هاي بانكداري الكترونيك بايد به گونه اي ساخته شود كه آنها با يك پايگاه داده هاي معتبر داراي مجوز ، در تعامل باشند.
3-هيچ عامل يا سيستم نبايد به تنهايي اختيار تغيير صلاحيت خود را در پايگاه داده هاي صدور مجوز بانكداري الكترونيك پيدا كند.
4-هر گونه افزايشي در افراد ، عوامل، سيستم يا تغيير امتياز دسترسي در مجوزدهي به پايگاه داده هاي بانكداري الكترونيك بايد از سوي يك منبع كاملاً معتبر باشد.منبعي كه به قدر كافي داراي اختيار و برخوردار از سرنخ هاي حسابرسي باشد و بتوان فعاليت هاي وي را به نحو صحيحي و به موقع نظارت كرد.
5-تدابير لازم بايد وجود داشته باشد تا بتوان مجوز دهي بانكداري الكترونيك را به نحو معقولي در برابر رخنه مقاومكرد.هرگونه رخنه اي بايد از طريق فرآيندهاي مداوم كنترل و بررسي قابل كشف باشد.سرنخهاي حسابرسي كافي،بايد وجود داشته باشد تا بتواند هر گونه اخلالي را مستند كرد.
6-هر گونه پايگاه داده هايي كه در آن رخنه شده باشد ، نبايد مورد استفاده قرارگيرد تا اينكه با يك پايگاه دادههاي معتبر تعويض شود.
7-كنترل هايي بايد وجود داشته باشد تا از تغييرات در سطوح مجوزدهي هنگام انجام عمليات بانكداري الكترونيك اجتناب شود.هر گونه تلاشي براي تغيير مجوزدهي بايستي قفل شود و به اطلاع مديريتبرسد.
• ضميمه 4- رويه هاي مربوط به سرنخ هاي حسابرسي دقيق براي سيستمهاي بانكداري الكترونيك
1-بايد سوابق كافي براي تمام معاملات بانكداري الكترونيك در نظر گرفته شود تا يك سرنخ حسابرسي روشن ايجاد و به حل اختلاف كمك كند.
2-سيستم هاي بانكداري الكترونيك بايد به گونه اي طراحي و نصب شوند تا بتوانند شواهد قانوني را جذب و نگهداري كنند .اين امر بايد طوري صورت گيرد تا بتوان شواهد را كنترل ، از رخنه جلوگيري و شواهد كاذب را گردآوري كرد.
3-در مواقعي كه سيستم هاي پردازش و سرنخ هاي حسابرسي مربوط در مسئوليت يك ارائه كننده ثالث خدمات قراردارد.
بانك بايد اطمينان حاصل كند كه به اطلاعات مربوط به فعاليت هاي حسابرسي مربوط كه توسط ارائه كننده خدمات نگهداري مي شود، دسترسي دارد.
سرنخ هاي حسابرسي نگهداري شده توسط ارائه كننده خدمات بايد با استانداردهاي بانك مطابقت كند.
• ضميمه 5- رويه هاي مناسب براي حفظ خصوصي بودن اطلاعات بانكداري الكترونيك مشتري
1-بانك ها بايد تفكيك هاي رمز نگاري مناسب، پروتكل هاي خاص يا ساير كنترلهاي ايمني را به منظور اطمينان از محرمانه نگهداشتن اطلاعات بانكداري الكترونيك به كار گيرند.
2-بانك ها بايد روش ها و كنترل هاي مناسبي را براي ارزيابي گاه به گاه زير ساخت امنيتي مشتري و پروتكل هاي بانكداري الكترونيك ، مورد توجه قراردهند.
3-بانك ها بايد اطمينان حاصل كنند كه ارائه كنندگان ثالث خدمات سياستهاي
محرمانه نگه داشتن و حفظ حريم خصوصي را كه سازگار باخودشانباشد،اعمالميكنند.
4-بانك ها بايد گام مناسب را براي آگاهيرسانيبهمشتريانبانكداري الكترونيك دربارهمحرمانهبودنوحفظ اطلاعات خصوصي افراد بردارند.اين گام ها عبارتنداز:
اطلاع رساني به مشتريان در مورد سياست حفظ حريم خصوصي افراد از سوي بانك ، حتي الامكان از طريق وب سايت بانك.در اين زمينه استفاده از زبان روشن و فشرده توصيه مي شود تا اطمينان حاصلشود كه مشتري كاملاً سياست مورد بحث را درك مي كند.توضيحات بلند حقوقي، هر چقدر هم دقيق باشد بطور معمول توسطاكثرمشتريهاخواندهنميشود.
آموزشبهمشتريهادرموردلزوم حفاظت ازرمزواژهها،شمارههايشناساييشخصي ياسايردادههايشخصيوبانكيخودشان
در اختيار نهادن اطلاعات مربوط به امنيت عمومي كامپيوترهاي شخصي مشتريها، از جمله مزاياي استفاده از نرمافزار محافظت در قبال ويروس ، كنترل هاي دستيابي فيزيكي و ديوارهاي آتش شخصي براي اتصالات ايستايي(STATIC) اينترنت
• ضميمه 6- ظرفيت مناسب، تداوم تجارت و رويه هاي برنامه ريزي اضطراري براي بانكداري الكترونيك
1-تمام خدمات و كاربري هاي بانكداري الكترونيك، از جمله آنهائيكه توسط ارائه كنندگان ثالث خدمات داده ميشود ، بايستي به لحاظ حياتي بودن، شناسايي و تحت آزمايش قرار گيرند.
2-براي همه خدمات و كاربريهاي حياتي بانكداري الكترونيك ، از جمله موارد بالقوه اخـــــــلال تجاري در مورد خطرات
اعتباري،بازاري،نقدينگي ، حقوقي، عملياتي و شهرتي بانك، بايد ارزيابي خطر انجامشود.
3-معيار عملكرد براي همه خدمات و كاربري هاي بانكداري الكترونيك بايد تعريف شود و سطح خدمات در برابر چنين معياري كنترل شود. تدابير مناسب بايد به منظور اطمينان از اين نكته كه همه سيستمهاي بانكداري الكترونيك قادر به انجام معاملات كوچك و بزرگ هستند اتخاذشود و اينكه عملكرد سيستم ها و ظرفيتها با انتظارت آتي بانك براي رشد در زمينه بانكداري الكترونيك سازگاري دارد.
4-ملاحظاتي بايد براي توسعه روشهاي پردازش اطلاعات به صورت جانشين در نظر گرفته شود تا بتوان زماني كه سيستم هاي بانكداري الكترونيك به نظر مي رسند به ظرفيت هاي تعريف شده خود رسيده اند، آنها را اداره كرد.
5-برنامه هاي تداوم تجارت بانكداري الكترونيك بايد به گونه اي تدوين شود تا بتوان برنامه هاي اتكاء به ارائه كنندگان ثالث خدمات و ساير وابستگي هاي خارجي مورد نياز را تنظيم كرد.
6-برنامه هاي اضطراري بانكداري الكترونيك بايد فرآيندهايي را به منظور از سرگيري يا جانشين كردن قابليتهاي پردازش عمليات بانكداري الكترونيك، بازسازي اطلاعات معاملاتي پشتيبان در صورت وقوع اختلال تجاري ، در برگيرد. اين فرآيندها از جمله بايد اتخاذ تدابيري به ويژه، براي از سرگيري فعاليت سيستم ها و كار بررسي هاي حياتي بانكداري الكترونيك را شامل شود.
*http://egh.blogfa.com/post-28.aspx