کربنکینگ و اجزای سیستم های بانکی

کربنکینگ و اجزای سیستم های بانکی

معرفی کربنکینگ و اجزای سیستم های بانکی Core Banking و سامانه های مربوط به سیستم یکپارچه بانکی همراه با شناخت اجزای نرم افزارهای کر بنکینگ در ساختار مالی و بانکی. با من مهدی محمدی همراه باشید
مهدی محمدی مهدی محمدی معمار و طراح سیستم های بانکی و مالی Fintech

فهرست مطالب

  1. کربانکینگ چیست؟
  2. مروری بر خدمات هسته بانکی، خدمات کربانکینگ
  3. سرویس ها و محصولات بانکی
  4. پذیرش سپرده
  5. ارائه تسهیلات بانکی
  6. حواله های بانکی
  7. کالکشن ها
  8. تسویه مالی
  9. اعتبارنامه ها و ضمانت نامه ها
  10. کارت اعتباری Credit Crad
  11. کارت بدهی Debit Card
  12. چالش های سیستم های بانکی و مالی در عصر فناوری اطلاعات
  13. ریسک های فناوری اطلاعات در کربانکینگ
  14. تاثیر ریسک های آی تی روی سیستم های بانکی
  15. مدیریت ریسک در فناوری اطلاعات
  16. کنترل ریسک ها در فناوری اطلاعات
  17. ویژگی های کنترل های آی تی در ارزیابی و مدیریت ریسک
  18. سیستم های کنترل داخلی بانک ها
  19. انواع کنترل های آی تی در بانک ها
  20. پیاده سازی کنترل های IT در بانک ها
  21. کنترل های عمومی در فناوری اطلاعات
  22. کنترل های نرم افزاری در فناوری اطلاعات
  23. انواع سامانه متمرکز کربنکینگ ایرانی و خارجی
  24. اجزا و سامانه های کر بانکینگ Core Banking
  25. ماژول ها و فانکشن های نرم افزار کربانکینگ
  26. جمع بندی

 

کربنکینگ Core Banking و اجزای سیستم های بانکی

 

در این مقاله قصد دارم شما را با مفهوم کربانکینگ و ماژول های مهم و مشترک سیستم های کر بنکینگ Core Banking آشنا کنم و در مورد اونها و عملکرد و نقش اصلیشون در سیستم های بانکی توضیح بدم. در این مقاله ماژول هایی مانند کارت، اینترنت، تلفن‌بانک، پیامک، موبایل و بانکداری باز (Open API)، سپرده و تسهیلات و .. را براتون توضیح میدم. بصورت کلی این ماژول ها و بخش در سرفصل های مدیریت اطلاعات پایه، مدیریت مشتریان، حسابداری، سپرده، پرداخت، تسهیلات، ارزی و بین الملل، اوراق بهادار، اتوماسیون شعب، کانال های الکترونیکی دسته بندی میشن.برای آشنا شدن با زیرسیستم های نرم افزارهای بانکی و مالی در این مقاله با من مهدی محمدی، همراه باشید. 

 

کربنکینگ Core Banking چیه؟

برای اینکه بدونیم کربنکینگ چیست و اساسا مفهوم سیستم متمرکز بانکی یعنی چه؟ باید با یک تعریف استاندارد در مورد کوربنکینگ شروع کنم: کر بانکینگ یا همون بانکداری متمرکز (حساب متمرکز و تسهیلات متمرکز و ...)در مقابل بانکداری غیر متمرکز به سیستمی گفته میشه که همه اطلاعات بانک در یک دیتاسنتر مشخص ذخیره میشه و همه شعب و مشتریا از اون دیتابیس و زیرساخت و لاجیک سرویس میگیرن و اینطوری نیست که اطلاعات مشتریان و شعب و پرسنل بصورت جزیره ای در جاهای مختلف ذخیره شده باشه. همه اطلاعات بصورت متمرکز در Core ذخیره و نگهداری میشن و همه چیز بصورت تحت و بر بستر اینترنت یا شبکه تلفنی و یا ماهواره ای قرار داره. بعضی بانک ها محصول آماده کوربانکینگ را خریداری میکنند و بعضی دیگر خودشون این سامانه متمرکز Core Banking را  تولید میکنند.تقریبا تعریف کربنکینگ و مفهوم سیستم یکپارچه بانکی همین هست.

فناوری اطلاعات به ما این امکان را میدهد که سیستم های بزرگ و قوی تری را تولید کنیم و سیستم های مالی و بانکی هم از این عصر دیجیتال بهره لازم را باید ببرند. در مورد بانک ها و سیستم های مالی هم از این قائده مستثنی نیستند و فناوری اطلاعات Information Technology تاثیر زیادی را روی حوزه بانکداری گذاشته است.

سرعت زیاد فناوری اطلاعات در جهان نیز تاثیر زیادی روی سیستم های مالی و اعتباری گذاشته است و علاوه بر افزایش سرعت و دقت در محاسبات و پردازش های داخلی سیستم های نرم افزاری بانکی باعث شده است که بانک ها و موسسات مالی بتوانند خدمات  محصولات متنوع و جدیدی به مشتریان خود عرضه کنند.به گونه ای که امروز سیستم های مالی و بانکی بدون استفاده از ابزارهای دیجیتال نخواهند توانست کار کنند.

روش های پرداخت Delivery Channels براساس تکنولوژی های جدید فناوری اطلاعات در بانک ها اضافه میشوند و به مشتریان ارائه میشوند . انتقال وجه ها و تسویه حساب ها و محاسبه سود ها میتوانند در زمان کمی محاسبه و اعلام شوند و در نهایت به بانک ها این امکان داده می شود که حجم بسیار زیادی از پردازش ها و گردش مالی و مشتریان را بتوانند هندل کنند.

 

 

ماژول های بانکی

 

بانک ها موتور محرکه رشد و توسعه اقتصاد هر کشوری هستند و سرعت رشد بانک ها باعث رشد و توسعه کشورها خواهد شد. بانک ها نقش حیاتی در توسعه اقتصاد هر جامعه ای دارند. رشد فناوری اطلاعات در بانک ها منجر به مفهومی به نام Core Banking Software یا همان نرم افزار کربنکینگ شده است که ماژولهای هسته ای متنوعی را به مشتریان ارائه میکند از جمله :

 

  • ماژول وام و پردازش وام Loan Processing
  •  ماژول ضمانت ها و تضمین ها Sanctioning
  • نگهداری امنیتی مستندات و اسناد و داکیومنت ها Safe keeping of security documents
  • حسابداری معاملات روزانه Accounting of day-to-day transactions
  • دریافت و پرداخت پول نقد و چک ها Receipts & payments of cash/ cheques
  • به روز رسانی دفترچه حساب روزانه Updating Passbooks
  • استفاده از دستگاه های ATM و POS
  • استفاده از اینترنت بانک و موبایل بانک
  • استفاده از Virtual Channel ها مانند تلفن بانک و اس ام اس بانک و ویدیو بانک و ..

تمامی قابلیت های بالا و چندین ده ها ماژول جدا با استفاده از Core Banking در دسترس قرار خواهد گرفت و در واقع کور بانکینگ یک سیستم مرکزی یکپارچه و ساختار دیتابیس و سرور مرکزی است که صدها ماژول مالی را در اختیار بانک ها قرار میدهد.

 

ماژول های بانکی

 

هیچ استانداردی برای ماژول ها یا همون محصولات (سرویس های) داخل نرم افزارهای سیستم متمرکز بانکی وجود نداره و نمیشه بصورت قطعی و استاندارد گفت ماژول هاش ایناست، هر بانکی به تناسب نیازهای خودش و بیزینس اصلیش میاد و یه سری محصولات را تعریف میکنه . حتی Flow و لاجیک هر سرویس ممکنه از بانکی به بانک دیگه تغییر بکنه و ادارات مختلف (که برای محصولات و سرویس های مختلف بانکی) در بانک ها هستند میان و لاجیک بیزینس اون محصولو مشخص میکنند مثلا اداره خزانه داری برای محصول خزانه داری لاجیکشو مشخص میکنه و کارهاشو پشتیبانی میکنه. در کل میشه گفت استاندارد مشخصی وجود نداره ولی یه سری قوانین و اصول کلی و سرویس های اصلی بانکی هستند که در ادامه مقاله من مهدی محمدی براتون توضیحشون خواهم داد. برای درک بهتر ماژول های کر بانکینگ ابتدا بهتره خدمات بانکیو بیشتر و بهتر بشناسیم.

 

مروری بر خدمات بانکی

اصلی ترین عمل و فانکشن سیستم های بانکی و نرم افزار سیستم متمرکز بانکی  پذیرفتن سپرده (Acceptance of Deposit) و دادن وام ( Lending of Money ) است و در کنار اینها فانکشن ها و عملیات دیگری مانند چک بانکی ( Demand Draft که این چک توسط مسئول شعبه بانکی امضا میشود و با چک هایی که توسط مشتریان صادر میشود متفاوت است. و این چک های بانکی نیاز به امضا توسط کسی برای وصول ندارند و توسط خود مسئول شعبه امضا و صادر میشوند) و یا ضمانتنامه بانکی ( Bank Guarantees ) و یا صدور اعتبار نامه بانکی ( Letter of Credits) و ... هم در بانک ها وجود دارند. ویژگی های کلیدی و شاخص های اصلی بیزینس های بانکی به شرح زیر هستند:

  • حفاظت از حجم و مقدار زیادی از اقلام مالی و پولی (Monetary Items) مثلا پول نقد Cash و یا اقلام قابل مذاکره (Negotiable Instruments) که حفاظت فیزیکی این اقلام و لوازم باید تامین شوند.
  • سروکار داشتن با حجم زیادی (تعداد Number ، تنوع Variety و ارزش Value) از تراکنش ها
  • عملیاتی یکپارچه که باید در یک شبکه بزرگ و گسترده از شعبه های فیزیکی، دفاتر و دپارتمان ها انجام شوند که از لحاظ جغرافیایی از هم دور هستند.
  • به دلیل اینکه بانک ها بطور مستقیم با یه موجودیت مهم و ارزشمند به نام پول سروکار دارند، همین احتمال تقلب و دزدی و Fraud رو زیاد میکنه، به همین دلیل بانک ها باید سطح بالایی از استانداردهای امنیت اطلاعات و اعتبارسنجی و صحت سنجی چندمرحله ای Multi Point Authentication رو فراهم کنند.

 

خدمات کوربانکینگ

 

سرویس ها، خدمات Services و محصولاتی Products که توسط بانک ها ارائه میشود:

از لحاظ ارائه خدمات بانکی تنوع زیادی بین بانک های مختلفی وجود دارد. بانک ها هر کدام میتوانند رنج متفاوتی از خدمات و محصولات را ارائه کنند که با بانک دیگری متفاوت میتواند باشد.به همین دلیل ضروری نیست که همه بانک ها مجبور باشند همه سرویس ها و محصولات بانکی را عرضه کنند.اگر چه که خدماتی اصلی که مربوط به  سپرده Deposit هستند توسط اکثر بانک ها ارائه میشوند.

برای اینکه بفهمیم اتوماتیک شدن عملیات توسط نرم افزار کربنکینگ چگونه روی سرویس ها و خدمات بانکی تاثیر میگذارد، لازم است ابتدا سرویس ها و محصولات اصلی حوزه خدمات بانکی را بشناسیم:

 

پذیرش سپرده Acceptance of Deposit: سپرده توسط مشتریان Customers به بانک ارائه می شود و انواع و فرمت های مختلفی دارد و بریا یک زمان از پیش تعریف شده به بانک ارائه می شود. دپوزیت سوخت رشد بانک ها هستند و تقریبا مهمترین سرویس همه بانک های تجاری این سرویس است.بانک های تجاری سپرده را در فرمت های مختلفی دریافت میکنند مثلا:

  • سپرده های مدت دار Term Deposit که خود این انواع مختلفی دارند مثلا Short-Term Deposit سپرده کوتاه مدت یا Long-Term Deposit که سپرده بلند مدت هستند و از بانکی به بانکی این Term ها میتونه فرق کنه و درصد سودشون متفاوت باشه.
  • سپرده های بانکی پس انداز Saving Bank Deposit که همون Saving Account ها هستند یعنی حساب پس انداز هستند که اینها درسته که یه سود معمولی کوتاه مدتی رو ممکنه بدند و در واقع Pay Interest Rate  که همون نرخ سودسپرده هست، داشته باشند ولی اینکه کلا پولتونو میزارین یه جای امنی و قابل اعتماده و همیشه در دسترستون هست این گزینه رو جذاب کرده در واقع کار اصلیش Parking Cash for Short-Term Usage است. ممکنه Saving Account ها یه سری محدودیت هایی داشته باشند مثلا برای برداشت از حسابتون بگه زودتر از فلان موعد نمیتونین برداشت وجه داشته Withdraw Fund داشته باشید ولی در کل مدل های بانک ها خیلی منعطفه برای این نوع حساب پس اندازها که به مشکلی براش نخورین و بتونین همواره بهش دسترسی داشته باشین.
  • مدل بعدی سپرده های حساب جاری Current Account Deposit هستند که به حسابی میگیم جاری که 2 تا ویژگی داره: اولا اینکه بانک به دارندگان این حساب ابزاری برای پرداخت و داد و ستد ارائه میکنه مثل دسته چک دوما اینکه از ذخیره نقدی بانک و موسسه برای پرداخت افراد و شرکت ها و دادن تسهیلات استفاده میکنند

 

سپرده بانکی

 

  • مدل بعدی سپرده ها Recurring Deposit یعنی سپرده های مکرر هستند که واسه افرادی که درآمد ثابتی دارند و حقوق بگیر هستند استفاده میشه که به بانک این اجازه رو میده که هر ماه مبلغی از حقوق اون شخص رو برداره و  سپرده کنه و با یه نرخی بهش سود بده. در واقع این میتونه یه حالتی از Term Deposit ها باشه.
  • مدل بعدی سپرده ها Saving Cum Term Deposit ها یا اسم دیگه ش Sweep Account هستند که افراد میگن همیشه یه مینیمم مبلغ تو حساب من بمونه و نتونم بهش دست بزنم و به اون مبلغه سود تعلق میگیره.
  • و حالت های دیگر سپرده ها که هر بانکی میتونه براساس خلاقیت تیم بیزینسیش این مدل سپرده ها رو تعریف کنه.

 

ارائه تسهیلات بانکی Garanting Of Advanced تسهیلاتی که به رشد منجر میشه و توسط بانک ها اعطا میشه: رشد و پیشرفت کسب و کارها معمولا توسط تسهیلات و کمکی که بانک های تجاری به شکل های مختلف میکنند اتفاق میفته و انواع مختلفی داره مثلا: اعتبار پولی، یا چک برگشتی، پرداخت صورتحساب ها، تخفیف روی  صورتحساب ها، وام های مدت دار Term Loans و غیره. علاوه بر تسهیلات سنتی، بانک ها تسهیلات نوینی هم ارائه میکنند. تسهیلاتی مانند انتشار و فرش اوراق تجاری(اوراق سهام) Issuance of Commercial Papers و یا تسهیلاتی مثل وام بازرگانی خارجی External Commercial Borrowing و یا فروش اعتباری اوراق بهادار و یا وام مسکن Housing Loans، وام تحصیلی Educational Loansو یا وام خودرو Car Loans و غیره.

ECB یا همون External Commercial Borrowing تسهیلات و ابزارهایی است که توسط بانک ها به مشتریان شرکتی و شرکت های بخش عمومی Public Sector هاشون داده میشه تا بتونن به پول بین المللی دسترسی داشته باشند.

 

حواله بانکی

 

حواله های بانکی Remittances انتقال وجه : حواله بانکی یعنی جابجایی پول Funds از یک نقطه به نقطه ای دیگر. دو مدل رایج و دسته بندی کلی برای Fund Remittance یعنی حواله کردن وجود دارد: روش اول حواله کاغذی Draft و روش دوم جابجایی از طریق تلگراف و یا ایمیل Email/Telegraphic Transfer است.

Draft ها (حواله های بانکی) توسط یک شعبه یک بانک تولید میشوند اصطلاحا Issue میشن توسط بانک و این برگه حواله در نقطه ای دیگر توسط شعبه دیگری از اون بانک قابل دریافت و نقد شدن است و یا اگر شعبه ای از اون بانک وجود نداشته باشد میتونه حتی شعبه ای از یک بانک دیگری باشد ( البته این دو تا بانک از قبل توافقنامه ای با هم نوشتن که حواله های همدیگرو نقد کنند) این Draft ها به متقاضی حواله داده میشن Draft Handed to Applicant میشن و متقاضی میبره جای دیگه نقدش میکنه.

تو حالت حواله ایمیل و تلگرافی دیگه چیزی Instrument به متقاضی applicant داده نمیشه. در این حالت مسئولیت این جابجایی با خود شعبه است و معمولا دریافت کننده وجه Payee یعنی همون مقصد یک صاحب حساب در شعبه Account Holder است. انتقال وجه بصورت الکترونیکی Electronic Transfer Funds  هم یک حالتی از حواله بانکی است که انتقال وجه بین دو تا مرکز جدا رو بصورت الکترونیکی خیلی راحت کرده.در حال حاضر اکثر بانک ها این روش انتقال وجه بصورت الکترونیکی را پیاده سازی کردند و این امکان رو روی دستگاه های موبایل یا وب سایت برای مشتریاشون بصورت آنلاین فراهم کردند که با چند تا کلیک مشتری میتونه انتقال وجه داشته باشه.

 

کالکشن ها Collections توسط بانک: کالکشن یعنی جمع آوری و اندوخته ها توسط بانک از سمت Behalf مشتری است. مشتریان میتوانند اقلام مختلفی از قبیل چک Cheque، حواله پرداخت Draft، سفارش پرداخت Pay Order، چک مسافرتی Traveler Cheque، ضمانت بهره Interest Warrants و یا سفارش بازپرداخت مالیات Tax Refound Order و غیره را از بانک درخواست کرده و یا توسط بانک انجام دهند. خوب برای همه این موارد بانک مبالغ ، وجوه و مستندات را دریافت میکند و در اختیار دارد. همچنین مبالغی که مشتریان به عنوان Deposit میدهند نیز بانک جمع آوری میکند. حتی بعضی مواقع سایر ارگان ها مثال اداره پست نیز بعضی مستندات و مدارک را در اختیار بانک ها قرار میدهد.

 

تسویه حساب بانکی

 

Clearing نقل و انتقال بانکی | تسویه:  کل فرآیند انجام یک تراکنش از شروع تا پایان و جابجا شدن پولو بطور کامل بهش clearing میگن. یعنی از لحظه ای که بانک مسئولیت یک تراکنش و جابجایی رو به عهده میگیره تا جایی که این پول دقیقا به حساب مقصد بشینه رو میگیم clearing یا همون تسویه حساب شدن.  فرآیند clearing یعنی تعهد پرداخت. حالا فرقی نمیکنه این پرداخت بصورت چک باشه و یا بصورت جابجایی پول بصورت الکترونیکی باشد. هدف جابجایی پول واقعی از یک حساب و از یک نقطه به یک حساب و یه نقطه دیگر است. در واقع وقتی شما پولیو به حساب کسی واریز میکنید، اون لحظه پول در عرض 1 ثانیه واریز میشه ولی اینکه این پول واقعا جابجا بشه کار زمانبری هست و به این Clearing تسویه میگیم. 

برای انجام و راحتتر شدن فرآیند کلیرینگ یه جاهایی به اسم Clearing House شکل گرفتند و ایجاد شدند. در واقع clearing house ها موسساتی هستند که فرآیند مبادله پرداخت و موارد امنیتیشو انجام میدن و کارشون دقیقا همون Clearance یا تسویه است.هدف و وظیفه اصلی این House در این است که بین دو تا مرکزی که قرار با هم تسویه کنند قرار میگیره و ریسک حاصل از عدم تسویه شرکت مبدا رو به حداقل میرسونه.همچنین ای Clear house ها برای جابجایی های بین بانکی هم باید ریسک های تسویه Cost risk و Settelment Risk و Operational Risk رو به حداقل برسونند.مثلا اداره پست یکی از اعضای این خونه هست که کار جابجایی رو انجام میتونه بده.

دو مدل باید تسویه انجام بشه یکی برای تراکنش هایی که بصورت چک هستند و بصورت یه کاغذی هستند که با جوهر روشون نوشته شده که به اینها MICR یعنی Magnetic Ink Character Recognition میگیم و یه دستگاه هایی هستند که چک ها رو بررسی میکنند و اعتبار سنجی میکنند و ... براساس MICR کدها که یه عدد 9 رقمی هستند معمولا کار میکنند و مدل دیگر تسویه تراکنش های الکترونیکی هستند ECB یا همون Electronic Clearing Service هستند که بصورت گسترده استفاده میشن و خود ECB دو تا حالت داره ECB Credit و ECB Debit. 

 

نرم افزار کوربانکینگ

 

در مدل ECB Credit معمولا یه دریافت کننده و هزاران ارسال کننده Fund داریم مثل خدمات عمومی بیمه و ... در این مدل ذینفع (گیرنده وجوه) از مشتریان خود این اجازه رو داره که در زمان مشخص مبلغ مشخصی رو برداشت کنه مثل خدمات بیمه کشوری یا مالیات حقوق و .

در مدل ECB Debit یک حساب منفرد هست که باید پول پرداخت کنه و به تعدادی حساب دیگه باید واریز بشه مثل پرداخت حقوق توسط شرکت های بزرگ.

بانک هایی که سیستم کربانگینگ دارند به راحتی میتونند حساب هاشونو حتی از جاهای مختلف Clear کنند و این شرایط و تسهیلات الان برای اکثر مشتریان بانک ها وجود دارد.

نامه های اعتباری (اعتبارنامه) و ضمانت نامه Letters Of Credit and Guarantees: صادر کردن Issuing اعتبارنامه و ضمانت نامه ها دو تا از خدمات اصلی بانک ها  برای مشتریانی که به فعالیت های تجاری و صنعتی و بیزینسی مشغول هستند، می باشد. مثلا نامه اعتباری LC همان Letter of Credit تعهدی است که توسط بانک به به گیرنده( کسی که سرویس یا کالایی را فراهم کرده یا فروخته است) و این LC برای پرداخت به او صادر میشود و اینکار از طرف خریدار براساس میزان قوانین و شرایط LC ایجاد  میشود.از اونور برای گارانتی - ضمانتنامه توسط مشتری درخواست میشود تا به فروشنده و ارائه کننده کالاها و خدمات تسلیم کند تا عملکرد پیمانکاری یا کیفیت کالای خریداری شده را تضمین کند.

 

کارت اعتباری Credit Card: پردازش و اقدامات صدور کارت های اعتباری معمولا در یک بخش جداگانه در دفتر مرکزی بانک انجام میشود.حق الزحمه کارت های اعتباری معمولا توسط شعب مشخصی دریافت میشوند و بسیاری از بانک ها به عنوان مرکز پرداخت Cash Point عمل میکنند و در صورت نیاز به صاحب کارت Card Holder مبلغ مشخصی وجه نقد نیز پرداخت میکنند.بسیاری از کارت های اعتباری که توسط بانک ها صادر میشوند به شبکه ای از کارت های اعتباری بین المللی مانند ویزاکارت Visa Card و مسترکارت Master Card و ... نیز متصل می شوند.ما تو ایران در حال حاضر کارت اعتباری نداریم و دبیت کارد داریم.

 

کارت اعتباری

 

کارت بدهی Debit Card: کارت های بدهی توسط بانک برای صاحب یک حساب صادر میشوند. کارت های Debit معمولا توسط اداره مرکزی بانک صادر می شوند. کارت های بدهی معمولا برای برداشت وجه از دستگاه های ATM و یا خرید اینترنتی و یا خرید های حضوری از دستگاه POS استفاده می شوند. کارت های بدهی با شبکه بین بانکی متصل هستند و به محض برداشت وجهی از کارت Debit مانده حسای مشتری محاسبه شده و به وی اطلاع داده می شود.

سایر فعالیت های بانکی: در ادامه بخشی از فعالیت های بانک ها را بررسی میکنیم. بعضی از این موارد در ادامه توضیح داده خواهند شد:

فعالیت های بک آفیس Back Operation : تمامی فعالیت هایی که در دفاتر و ادارت مرکزی بانک ها انجام میشود رو back operation میگیم مانند سیستم های مدیریت اطلاعات Management Information System:MIS و یا سیستم های گزارش گیری Reorting System و یا دفاتر کل.

بانکداری خرده فروشی Retail Banking: این بخش در واقع همون خدمات فرانت آفیس است Front Office Operation که خدمات خرده فروشی را به مشتریان ارائه میکند.

افراد دارای ارزش خاص بالا High Net Worth Individuals خدمات HNI: ارائه خدمات و سرویس های VIP به دسته ای از افراد دارای ارزش خالص بالا  که براساس میزان سپرده یا میزان تراکنش مشخص می شوند و سطح بالایی از سپرده یا تراکنش را دارند.

مدیریت ریسک Risk Management: ریسک ها در حوزه بانکی بسیار زیاد و گسترده هستند و مدیریت این ریسک ها باید در حوزه های استراتژیکی، عملیاتی، تاکتیکی و فناوری اطلاعات بانک انجام شود. با رعایت استانداردها، رویه ها و دستورالعمل های ارائه شده، مدیریت ریسک به بهترین نحو میتواند انجام شود.

سرویس های خاص Specialized Service: بانک ها همچنین سرویس های خاصی مانند بیمه نامه Insurance Broking ،ادعاها، تحریریه، بیمه های عمر، بیمه های غیر عمر و ... را ارائه کنند.البته سرویس هایی مانند بیمه جزو ماژول های بانکی نیستند ولی میتوانند توسط بانک ها ارائه شوند ولی به عنوان فعالیت های کوربانکینگ مطرح نیستند و همچنین ممکن است بانک ها همه سرویس های مربطوره را خودشان انجام ندهند مثلا سرویس تحریریه توسط یکی از شرکت های تابعه بانک ها انجام شود.

کوربانکینگ

 

چالش های سیستم های بانکی در عصر فناوری اطلاعات

وابستگی سیستم های بانکی به تکنولوژی های فناوری اطلاعات برای اکثر سرویس های بانکی منجر به چالش هایی می شود. ریسک ها و خطرات فناوری اطلاعات نیز به شکل های جدیدی ظهور میکنند و دیده می شوند. بیزینس بانکی و فرآیندهای تجاری بانک باید این مجموعه از خطرات جدید، تهدیدها و چالش های فناوری اطلاعات را در نظر بگیرند. در زیر به برخی از این موارد میپردازم:

  • تغییرات مکرر و یا منسوخ شدن فناوری و تکنولوژی های قدیمی:فناوری ها و تکنولوژی ها به سرعت در حال تغییر هستند و به سرعت منسوخ میشوند. به همین دلیل همیشه این تهدید وجود دارد که سرمایه گذاری روی تکنولوژی های جدید منجر به از دست رفتن سرمایه بعد از مدتی شود، مگر اینکه برنامه ریزی صحیحی برای این موضوع انجام شود.
  • تعدد و پیچیدگی سیستم ها: هسته اصلی خدمات بانکی معمولا یکسان باقی میماند اما با استفاده از تکنولوژی و فناوری اطلاعات نحوه ارائه این خدمات بانکی همواره به مقدار چشمگیری میتواند تغییر کند.معماری فناوری استفاده شده برای خدمات بانکی میتوانند شامل چندین سیستم عامل دیجیتالی باشند و بسیار پیچیده هستند. از اینرو پرسنل بانک ها امروزه باید مهارت کافی فناوری اطلاعات را داشته باشند یا بخش مدیریت فناوری بانک را باید برای این موضوع در نظر گرفت.
  • انواع مختلف کنترل برای انواع مختلف تکنولوژی: استقرار هر فناوری جدید انواع خطرات جدیدی و ریسک هایی را نیز ایجاد میکند و این ریسک ها باید مطابق با استانداردها و سیستم های اطلاعاتی مستقر در بانک قابل کنترل باشند.
  • مطابقت متناسب با اهداف تجاری و الزامات قانونی / نظارتی: بانک ها علاوه بر الزامات قانونی و نظارتی پیش بینی شده باید اطمینان حاصل کنند که سیستم کوربانکینگ و سایر سیستم های اطلاعاتی مستقر شده،کلیه اهداف و نیازهای تجاری بانک را برآورده میسازند.
  • وابستگی به وندورهای بیرونی Vendors به دلیل برون سپاری خدمات فناوری اطلاعات: در سیستم های بانکی مجهز به کوربنکینگ، بانک برای بخش مدیریت فناوری اطلاعات خود نیاز به افراد با مهارت های مختلف در دامنه های تخصصی دارد. از اینرو این خدمات معمولا به بخش خصوصی و بیرونی Vendors ها واگذار میشود مثلا شرکت های آی تی بیرونی اینکار را برای بانک انجام میدهد و همین موضوع باعث وابستگی تکنولوژیکی سنگینی میشود و باعث ریسک های سمت Vendor میشود که بانک ها باید با قراردادها، کنترل ها و نظارت های مناسب مدیریت شوند.
  • خطرات مرتبط با تمرکز سمت Vendorها: ممکن است چندین وندور بانکی خدمات مختلف بانک را تامین کنند و هرکدام سرویس های متفاوتی را ارائه کنند. برای مثال خدمات نرم افزار سخت افزار، شبکه و ... ممکن است توسط شرکت های بیرونی مختلفی ارائه شوند و یا توسط یک شرکت ارائه شوند و هردو حالت باعث ریسک سنگین وابستگی بانک به یک یا چندین شرکت میشود.
  • تفکیک وظایف Segregation of Duties: بانک ها از یک ساختار سازمانی کاملا تعریف شده با نقش های مشخص Rule ها و مسئولیت های Responsibilities های واضح برخوردار هستند. خوب این ساختار سازمانی مشخص و دسترسی ها و وظایف مشخص باید بطور روشن و واضح و دقیق در نرم افزار Core Banking نیز منطبق و پیاده سازی شوند.این یک موضوع بسیار High Risk است زیرا کوچکترین تداخل نقشی میتواند فرصت بزرگی برای رفتارهای کلاهبردارانه Fraudulent Activities باشد. به عنوان مثال اگر یک کارمند بانک بتواند فرایند وام را شروع کرده، اعتبارسنجی کند و در نهایت خودش هم بتواند وام Loan را اعطا کند در این سیستم نمی توان ریسک نقش را در نظر نگرفت و حتما احتمال کلاهبرداری وجود دارد.
  • تهدیدات خارجی که منجر به کلاهبرداری و جرایم سایبری خواهند شد: سیستم های کر بنکینگ امکان دسترسی مشتری به سیستم بانکی را در هر لحظه و از هرجایی از طریق بستر اینترنت میدهد. این یعنی سیستم های بانکی که قبلا فقط توسط کارمندان بانک Employees در دسترس از داخل بانک بودند امروزه از هر جای دنیا توسط هر کسی قابل دسترس هستند. در دسترس دادن و سهولت دسترسی به اطلاعات امری مهم است ولی باید دانست خود این کار امری مخاطره آمیز است و هکرها و تهدیدها میتوانند از این فرصت برای رفتارهای کلاهبردارانه و خرابکارانه استفاده کنند.
  • تاثیر بیشتر به دلیل اقدامات عمدی و غیرعمدی کارمندان داخلی: در سیستم های پیچیده و بزرگ تکنولوژیکی، کارمندان و کارکنان معمولا ضعیف ترین لینک این سیستم هستند. این موضوع در بانک ها چون مستقیما با پول در ارتباط هستند بسیار مهم تر می شود. به همین دلیل رفتار و خطای عمدی و غیرعمدی کارکنان سیستم میتواند منجر به تهدیدات جدی در کل سیستم شود. 
  • تکنیک های جدید مهندسی اطلاعات منجر به از دست رفتن اطلاعات محرمانه می شود: کلاهبرداران از تکنیک های جدید مهندسی اجتماعی مانند معاشرت با کارکنان بانک ها و استخراج اطلاعات استفاده میکنند که برای ارتکاب کلاهبرداری و فعالیت های غیرمجاز این اطلاعات استفاده میکنند. به عنوان مثال: استخراج اطلاعات کلمه عبور کارمندان بانک که به عنوان مشتری های اصلی بانک با سطوح دسترسی بالاتر هستند میتواند زمینه کلاهبرداری را فراهم کند.
  • نیاز به فرآیندهای حاکمیتی Governance Processes برای مدیریت کافی فناوری و امنیت اطلاعات: کنترل در سیستم های CBS هم باید از منظر کلان و تجاری و از هم منظر تکنولوژیکی و دسترسی انجام شود. از آنجایی که فناوری تبدیل کننده Enabler کلیدی در بانک و تبدیل کننده بانک به یک بانک سراسری و کشوری است، مدیریت ارشد بانک باید در فرآیند هدایت و نحوه استقرار فناوری اطلاعات در بانک نقش داشته باشد و سیاست های مناسبی را اتخاذ کند.
  • نیاز به اطمینان از تداوم فرآیندهای تجاری در صورت بروز مشکلات اساسی: وابستگی زیاد به فناوری اطمینان از انعطاف پذیری فناوری را برای اطمینان از عدم موفقیت در خدمات بانکی امری ضروری و حیاتی میکند. از اینرو یک برنامه استمرار مشاغل مستند با فناوری و سیستم های اطلاعاتی کافی باید برنامه ریزی، پایش و اجرا شود.

 

مدیریت ریسک در کربانینگ

 

ریسک های فناوری اطلاعات در Core Banking و ارزیابی ریسک Risk Assesment در کر بانکینگ

همه سیستم های Enterprise و سازمانی و پیچیده برای ایجاد ارزش و منافع بیشتر برای ذینفعانشان ایجاد میشوند و وجود دارند. این ارزش Value میتواند بصورت ارزش مالی یا افزایش سود و سهام یا توسعه ارزش های موسسات غیرانتفاعی non-Profit و غیردولتی باشد.بانک ها چه دولتی باشند و چه خصوصی، در تلاش هستند سود برای ذینفعان خود ایجاد کنند. همه بیزینس ها و کسب و کارها در این مسیر خلق ارزش دارای ریسک هایی هستند ولی بانک ها به مراتب بیشتر در معرض ریسک ها و خطرات هستند. از سوی دیگر سیستماتیک و اتوماتک شدن کارها توسط نرم افزارها خود نوع جدیدی از ریسک ها و خطرات را ایجاد میکند و از اینرو بانک ها نیز در معرض این ریسک ها و مخاطرات جدید هستند. پس بدیهی هست بانک هایی که نرم افزاری میشوند در معرض ریسک های جدید زیادی هستند و باید همه این ریسک ها شناسایی و ارزیابی شوند Assesment و سپس برای همه این ریسک ها با پلن و استانداردهایی حذف و یا کاهش Risk Mitigation شوند.

تعریف ریسک: برای ریسک چندین تعریف وجود دارد:

از دید سازمان استاندارد بین المللی ISO که همان International Organization of Standards است ریسک عدم قطعیت در رسیدن به اهداف و Objective ها است و ریسک میتواند مثبت یا منفی باشد.

در تعریف ساده لغوی، ریسک میتواند یه اتفاق مستعد ضرر باشد که میتواند به نتایج یا برنامه ها و یا چیزهای دیگر خسارت و ضرر وارد کند. به عنوان مثال امنیت ناکافی Inadequate Security میتواند توسط یک هکر مورد سواستفاده قرار گیرد.

آنالیز ریسک Risk Analysis: فرآیندی است که در آن ریسک های امنیتی شناسایی میشوند و اندازه-بزرگی Magnitude و میزان تاثیر Impact آن بر سازمان یا کسب و کار مشخص میشوند.سیستم های اطلاعاتی به خودی خود میتوانند تعداد زیادی ریسک مستقیم و غیرمستقیم ایجاد کنند. این ریسک ها منجر به یک فضای خالی Gap بین محافظت از سیستم System Protection و محافظت انجام شده Applied Protection شود. این فضای خالی Gap به این دلایل میتواند ایجاد شود:

  • استفاده گسترده از تکنولوژی و ارتباط بین سیستم ها که محدودیت Constraint های زمان و مکان را از بین برده است
  • تحول و تغییر ساختار مدیریت و کنترل و نظارت
  • جذابیت انجام حملات غیرمتعارف دیجیتال

ریسک ها برای تخفیف و کاهش و حذف Mitigation ابتدا ارزیابی ریسک Risk Assement میشوند. یعنی شناسایی تهدیدها Threat ها و نا امنی ها Vulnerabilities ی سیستم و شناسایی اینکه این آسیب پذیری و خطر در صورت اتفاق میزان تاثیرش Impact روی سیستم و میزان اندازه ش Magnitude چقدر است و اینکه چقدر خطرناک و مضر و خطرناک است و میزان از دست دادن دارایی و ضرر و زیان در صورت وقوع این ریسک چقدر است.

 

تاثیر ریسک های IT روی سیستم های بانکی

ریسک های IT علاوه بر خطرات عملیاتی و تاثیر مستقیمی Direct Risk که خواهند داشت تاثیرات غیرمستقیمی مانند ریسک های اعتباری و ریسک های بازار را نیز میتواند تشدید کنند. یعنی Indirect Risk ها لزوما ریسک نیستند ولی میتوانند ریسک های دیگر را ایجاد و یا تشدید کنند.

با توجه به افزایش اعتماد و استفاده مشتریان از کانال های دیجیتال بانکیبرای انجام معاملات و تراکنش ها، تهدیدات امنیتی و ریسک های مربوط با امنیت نرم افزار علاوه بر تاثیر مستقیم و مخربی که دارند به اعتبار و شهرت بانک و کل سیستم بانکی میتوانند ضربه وارد کنند.همچنین اجرای نادرست و ناکافی و نامناسب فناوری اطلاعات و امنیت اطلاعات خود میتواند ضربه بزرگ استراتژیکی را به بانک وارد کند.

خطرسازگاری، در صورت عدم رعایت الزامات قانونی و یا نظارتی، ناشی از فناوری اطلاعات میتواند اتفاق بیفتد.این مسائل در نهایت پتاسنیل تاثیرگزاری روی ایمنی و صداقت یک بانک را دارد و در موارد شدید ممکن است به بحران سیستمی Systematic Crisis منجر شود. یک سری ریسک های جدید آی تی هم هستند که میتوانند تاثیر چشمگیر و بحرانی روی بانک بگذارند:

  • خطرات بیرونی هکرها که حملاتی مانند ویروس های کامپیوتری یا حملات سروری و  Denial of Service هستند و یا نشت اطلاعات مشتریان و شرکت ها و به طبع آن اخاذی ها و ...
  • رشد پتانسیل سواستفاده Abuse یا استفاده ناصحیح Misuse از سیستم های اطلاعاتی که بر روی حریم خصوصی Privacy و ارزش های اخلاقی Ethical Values ها تاثیر میگذارد و نیازمندهای الزامات برای در دسترس بودن در کنار استحکام و امنیت را افزایش میدهد.
  • حملات فیشینگ Phishing Attack از طریق بانکداری اینترنتی. حملات فیشینگ تلاش برای دسترسی به اطلاعات محرمانه ای مانند نام کاربری و رمز و اطلاعات کارت های اعتباری و .. است که برای اهداف تخریبی معمولا به عنوان یه واسطه یا نهاد قابل اعتماد خودشونو جا میزنند و از این طریق اطلاعات رو سرقت میکنند.

 

مدیریت ریسک در بانک

 

مدیریت ریسک در فناوری اطلاعات

مدیریت ریسک موثر با درک روشنی از از اشتهای ریسک Risk Appetite بانک و شناسایی مواجهه با ریسک های سطح بالا آغاز میشود.بعد از شناسایی اشتهای ریسک(میزان محتمل بودن ریسک) و شناسایی احتمال قرارگیری در معرض آن ریسک، استراتژی برای مدیریت ریسک میتوانند ایجاد شود و مسئولیت ها مشخص شوند. براساس نوع ریسک، پروژه و نوع و میزان تاثیر ریسک روی بیزینس، هیت مدیره و مدیر ارشد سازمان ضروری است که یکی از حالت های زیر را برای مواجهه با ریسک انتخاب کرد:

  • اجتناب از ریسک Avoid: حذف ریسک وگریز از رخداد ریسک با حذف فرآیند بیزینسی که منجر به ریسک میشود و یا تغییر در آن فرآیند و مدل.
  • کاهش خطر ریسک Mitigate: پیاده سازی ساختارهای کنترلی آن فرآیند، استفاده از تکنولوژی های امنیتی برای محافظت از ساختار فناوری اطلاعات.
  • انتقال ریسک Transfer: آگاه بودن از ریسک و پذیرش آن ولی انتقال دادن خطرات ریسک به سمت بیمه.
  • پذیرش ریسک Accept: بصورت رسمی و آگاهانه مطلع باشیم که این ریسک وجود دارد و اتفاق میفتد و آن را مانیتور Monitor کنیم.

بعضی از ریسک های حوزه بانکی بصورت مثال:

  1. از دست دادن اطلاعات محرمانه
  2. دسترسی غیرمجاز به اطلاعات مشتریان
  3. ناکافی بودن و ناصحیح بودن گزارشات که منجر به گرفتن تصمیمات ناصحیح می شوند
  4. از دست دادن دیتا و اطلاعات بخاطر خطا در سیستم
  5. از دست دادن پول، اعتبار و یا کل بیزینس بخاطر رفتارهای کلاهبردارانه
  6. تاثیر عدم انطباق استانداردهای بانکی و امنیتی و سطوح دسترسی با نرم افزارهای واحد فناوری اطلاعات

مثال هایی از مکانیزم های ارزیابی ریسک های فناوری اطلاعات: اتوماسیون و نرم افزاری شدن، همه واحدهای بانکی را براساس نوع بخش و واحد مستعد رخداد ریسک های مختلفی میکند که بعضی از آنها به عنوان مثال عبارتند از:

  • تغییر غیرمجاز بعضی اطلاعات بر یکپارچگی اطلاعات سیستم تاثیر میگذارد
  • نبودن سیستم های لاگ و نظارت و تایید
  • تراکنش های غیرمجاز
  • ثبت اطلاعات غیرمجاز، حذف غیرمجاز اطلاعات، تغییر غیرمجاز اطلاعات و دیتاهای سیستم
  • تراکنش های بدون سند و منبع
  • تغییر اطلاعات با اطلاعات کاربری دیگران
  • ورودی ها و داده های اشتباه
  • پنهان کردن خروجی های نادرست و اشتباه
  • تغییر نادرست و غیرمجاز درصد سود سپرده و ...
  • محاسبه نادرست بهره و سود بانکی
  • افزایش سقف اعتبار بصورت غیرمجاز و ناصحیح
  • پرداخت و وصول حواله های تقلبی
  • پرداخت چک های متوقف شده - بلوکه شده
  • پرداخت دوباره و چندباره حواله های بانکی
  • افتتاح حساب بانکی بدون تطابق اطلاعات مشتری با سامانه مرکزی و استاندارد

 

ریسک در کربانکینگ

 

ارزیابی ریسک و مدیریت ریسک باید بصورت یک فرآیند همواره بررسی و نظارت و انجام شوند و این یک فرایند داینامیک است. بعضی از نشانه های ریسک Risk Indicator ها عبارتند از:

  • عدم اهمیت و اولویت دادن به فرآیند امنیت اطلاعات در فناوری اطلاعات
  • تصور غلط اینکه نرم افزار همه چیز را کنترل و مراقبت میکند و نیازی به چک کردن دوباره نیست
  • کمبود شفافیت در فعالیت های بخش آی تی و عدم نظارت بر مسئولیت های آنها
  • کمبود کنترل ورودی ها
  • کمبود اطلاعات و شواهد
  • نبود امکان کنترل دسترسی
  • عدم وجود مسیرهای حسابرسی Audit Trails 
  • نبودن Dual Check برای تراکنش های حساس و مهم و بزرگ
  • نبودن مسیری برای Disaster Recovery Plan و نبود پلن های مواجه به اتفاقات مهم و نبود پروتکل های مواجه
  • عدم کنترل هایی که منجر به وسوسه های کلاهبرداری شود
  • عدم بررسی وندورهای بیرونی برای قابل اعتماد بودن نرم افزارهایشان
  • وابستگی بیش از حد و طولانی مدت به اپراتورهای بخش های مختلف نرم افزارها
  • وابستگی طولانی مدت و بیش از حد به ناظران و مدیران بخش ها

 

کنترل ساختارهای فناوری اطلاعات و اهمیت آن

کنترل عبارت است از سیاست ها Policies و رویه ها Procedures و الگوها Practices و ساختارهای سازمانی Organization Structures  که طراحی می شوند برای اینکه امنیت قابل قبولی و اطمینان Assurance را برای سیستمی که قرار است به اهداف بیزینسی برسد Business Objectives تامین کنند و به اهداف بیزینس برسانند و از اتفاقات غیرمنتظره و ناگوار جلوگیری کنند و آنها را شناسایی کنند.

در همین راستا کنترل های آی تی نیز برای برای دستیابی به اهداف کنترل و از طریق مجموعه خاصی از رویه های کنترل اجرا می شوند.تعریف ساختارهای کنترلی در یک سیستم وظیفه و جزو مسئولیت های مدیریت است. انجام این کنترل ها یعنی تعریف واضح خط مشی ها و فرآیندها و پروتکل ها در راستای مانیتورینگ واحد IT برای حصول اهداف بیزینس توسط سیستم های فناوری اطلاعات است. کنترل های فناوری اطلاعات نقش های دوگانه زیر را میتوانند ایفا کنند:

  • فناوری اطلاعات سیستم را در راستای رسیدن به Business Objective ها فعال خواهد کرد.
  • فناوری اطلاعات باید به کاهش ریسک Mitigate در سیستم کمک کند.

 

کنترل ریسک در کربانکینگ

 

بسیاری از مسائل و ریسک ها نیاز به کنترل های آی تی دارند.از نیاز به کنترل هزینه ها Costs و رقابتی ماندن در بازار Competitive گرفته تا نیاز به انطباق Compliance با قوانین و ساختارهای داخلی و بیرونی و حکومتی میتوانند توسط کنترل های فناوری اطلاعات انجام شوند. کنترل های آی تی قابل اعتماد بودن و بهینه بودن ساختار را ارتقا میبخشند و به سازمان اجازه میدهند طرح های مقابله با ریسک را بهتر اجرا کنند.

هر کنترلی که باعث کاهش یا تشخصی کلاهبرداری Fraud یا حملات سایبری Cyber Attack شود، استحکام Resiliency سازمان را افزایش خواهد داد زیرا به سازمان کمک میکند تا خطرات و ریسک ها را کشف کرده و خود را برای آنها آماده کند. استحکام و پایداری سازمان نتیجه یک سیستم با کنترل های قوی است که سازمان را قادر میکند که به خوبی مدیریت شود و چالش ها و اختلالات Disruptions را بصورت یکپارچه و نرم Seamlessly پیش بینی و حل کند.

 

ویژگی های کلیدی Key Indicators کنترل های فناوری اطلاعات

  • توانایی اجرا و برنامه ریزی کارهای جدید مانند زیرساخت های IT و ارتقا مورد نیاز برای پشتیبانی از محصولات و خدمات جدید
  • توسعه و پیاده سازی پروژه ها در زمان مشخص با هزینه پیش بینی شده Budget که منجر به تولید سرویس ها در زمان های مناسب و بصورت Cost Effective می شود و قدرت سازمان را در مقایسه با رقبا بالاتر خواهد برد.
  • امکان تخصیص منابع بصورت پیش بینی شده
  • در دسترس بودن Availability و قابل اطمینان بودن Reliability سرویس های فناوری اطلاعات در سازمان برای مشتریان، ذینفعان و خود بیزینس و رابط های خارجی
  • ارتباط مشخص و واضح با مدیریت سیستم روی شاخص های کلیدی کنترل
  • توانایی مقابله در مقابل تهدیدات امنیتی و بیرونی سیستم و ریکاور کردن خطرات و مشکلات بصورت کارا و موثر
  • استفاده کارآمد و بهره بردن از یک مرکز پشتیبانی مشتریان Customer Support Service و یا Help Desk
  • افزایش آگاهی امنیتی به کاربران و افزایش فرهنگ آگاهی های امنیتی

 

سیستم کنترل داخلی Internal Control در بانک

هدف سیستم کنترل داخلی اطمینان از اجرای درست و کارآمد بیزینس، پیروی از سیاست های مدیریت و انجام آنها، صیانت از دارایی ها از طریق پیگیری و جلوگیری از کلاهبرداری و خطا، اطمینان از صحت و کامل بودن اطلاعات و سوابق تراکنش ها و اطلاعات حسابداری در سیستم و تهیه به موقع اطلاعات مالی است.به عنوان مثال کنترل های داخلی در بانک باید مطمئن شوند اقدامات اپراتورها و تراکنش ها دقیقا در راستای استانداردها و پارامترهایی هستند که بانک تعریف کرده است. کنترل های داخلی باید اطمینان حاصل کنند که دستورالعمل ها و سیاست های بانک نقض نمی شوند.

با اجرای کنترل های داخلی ریسک ها کاهش خواهند یافت.این کنترل ها باید توسط ابزارها و راه حل های فناوری اطلاعات در شعبه های بانک پیاده سازی شوند. بعضی از کنترل های داخلی در بانک ها و شعبه ها عبارتند از:

  • کار یک کارمند هر چیزی که باشد چه ساده و چه پیچیده باید توسط شخص یا اشخاص دیگری از کارمندان یا سوپروایزر بررسی و چک شود
  • سیستم گردش کار Job Rotation بین کارکنان Staff ها باید وجود داشته باشد و هیچ کسی نباید مدت زیادی روی یک بخش از نرم افزار کار کند
  • اختیارات مالی و اداری هر شخصی در سیستم چه مدیر باشد چه کارمند به وضوح به دیگران باید اطلاع داده شود
  • مدیران شعب باید تایید دوره ای را در مورد رعیات استانداردها، سیستم های کنترلی و رویه های تعیین شده به مراجع کنترل کننده خود ارسال کنند
  • کلیه اتفاقات امنیتی اشتباه و خطاها باید سریعا گزارش شوند تا رویه مقابله با ریسک در پیش گرفته شود
  • موارد مستعد تقلب مانند ارزها (پول ها)، اشیا با ارزش Valuables ، فرم های پیش حواله Draft Forms، رسیدهای سپرده های مدت دار Term Deposit Reciept، چک های مسافرتی Traveler Cheques و سایر چیزها باید در اختیار و تحت نظارت حداقل دو مقام ارشد شعبه باشند

 

کنترل های ریسک در کوربانکینگ

 

کنترل های آی تی در بانک

خطرات و ریسک های فناوری اطلاعات باید با پیاده سازی کنترل های مناسب در محیط اتوماسیون و نرم افزاری، کاهش داده شوند. اینکار با ادغام کنترل ها در ساختار IT انجام میشود. بعضی از کنترل های مرتبط با آی تی عبارتند از: 

  • سیستم باید همه ورود و خروج ها Login,Logout ها را باید ثبت کند.
  • اگر قرار باشد تراکنشی برای یک حساب غیرفعال انجام شود باید سیستم این تراکنش را متوقف کند و اجازه ندهد و اینکار از طریق یک رمز مخصوص و یک سطح امنیتی بالا قابل انجام باشد.
  • سیستم باید بررسی کند که مبلغی که قرار است برداشته شود در محدوده مجاز است یا خیر
  • سیستم باید بررسی کند که بعد از انجام تراکنشی سطح بالانس حساب از محدوده مجاز پایینتر نیاید و اجازه آن پردازش را ندهد
  • دسترسی به سیستم توسط کارمندان و آن سطح از دسترسی فقط باید در ساعات و روزهای مجاز قابل انجام باشد
  • کاربران و کارمندان فقط میتوانند به پوشه ها و فایل های مشخصی دسترسی داشته باشند. کاربران باید فقط براساس نقش آنها در بانک، به اطلاعاتی که ضروری است بدانند دسترسی پیدا کنند، دقت کنید "ضروری و لازم است بدانند برای انجام وظایفشان". این قانون Need To Know Basis هم برای کامندان و هم برای مشتریان باید رعایت شود.
  • کارهایی خاص و غیر روتین مانند افزایش یا کاهش سطح تراکنش Limit Excess و یا مثلا فعال کردن مجدد یک حساب Reactivating Account فقط باید توسط یک سطح دسترسی خاص Supervisory انجام شود و این سطح دسترسی نباید برای همه قابل دسترس باشد.
  • تایم آوت Timeout هر کاربری مشخص شده است. به این معنی که وقتی کاربری وارد سیستم می شود(کارمند - مشتری) و بعد از مدتی که فعالیتی انجام ندهد سیستم باید اتوماتیک کاربر را Logout کند
  • بعد از اینکه پردازش های روز به اتمام رسید دفتر کل نمیتواند باز شود و در دسترس قرار گیرد، مگر با سطح دسترسی خاصی

پیاده سازی کنترل های آی تی در بانک

وقتی ریسکی شناسایی شد باید براش کنترل ایجاد کنیم، طراحی این کنترل ها هزینه بر هستند. در فناوری اطلاعات ما دو مدل کنترل داریم: یکی کنترل های عمومی Genaral Controls و دیگری کنترل های اپلیکیشن Application Control . در زیر به برخی از این کنترل ها خواهیم پرداخت.

 

کنترل های کوربانکینگ و مدیریت ریسک

 

کنترل های عمومی General Controls در فناوری اطلاعات: کنترل های عمومی که به عنوان کنترل های زیرساخت Infrustrcture Controls هم شناسایی میشوند و در لایه های مختلف سیستم های IT و فناوری اطلاعات استفاده میشوند.کنترل های عمومی کنترل های فراگیری هستند و برای کلیه مولفه ها، داده ها و فرآیندهای سیستم برای یک شرکت یا برای یک محیط سیستمی خاص استفاده می شوند. کنترل های عمومی شامل مواردزیر هستند:

  • سیاست های امنیت اطلاعات Information Security Policy: سیاست های امنیتی توسط مدیر ارشد تصویب می شوند و شامل کلیه زمینه های فعالیت بانکی است و نحوه دسترسی به اطلاعات را مشخص میکند
  • مدیریت Administration، دسترسی Access و تایید هویت Authentication: فناوری اطلاعات با سیاست ها و رویه های مناسب که به روشنی سطح دسترسی به اطلاعات و تایید اطلاعات کاربران را مشخص میکند، اداره شود.
  • تفکیک عملکردهای اصلی IT: استقرار ایمن فناوری اطلاعات، بانک را ملزم به داشتن ساختارسازمانی فناوری اطلاعات مجزا با مشخص کردن وظایف مختلف برای پرسنل مختلف در بخش فناوری اطلاعات میکند و عدم درگیری مسئولیت ها و وظایف مطمئن میشود.
  • مدیریت سیستم های تهیه و پیاده سازی: راه حل های نرم افزاری برای کوربانکینگ بیشتر توسعه یافته و به وجود آمده اند و پیاده سازی شده اند، به همین دلیل فرآیند دستیابی و اجرای هر کدام از سیستم ها باید به درستی کنترل شوند.
  • مدیریت تغییر Change Management: راه حل های فناوری اطلاعات که دولوپ شده و Deploy شده اند همواره به دلیل تغییر نیازهای بیزینس و قوانین رگولاتوری سطح بالاتر یا تکنولوژی های جدید باید همواره تغییر کنند و این تغییرات ممکن است روی فرایند Live محصول اجرایی بانک تاثیر بگذارد. بنابراین فرایند مدیریت تغییر باید پیاده سازی شود تا فرآیند انتقال از حالت قدیمی به حالت و محصول جدید به نرمی در حوزه نرم افزار و سخت افزار را مشخص و برنامه ریزی کند. تمامی تغییرات قبل از پیاده سازی باید توسط مدیریت ارشد تایید شوند.
  • پشتیبان گیری Backup، بازیابی Recover و استمرار بیزینس Business Continuity: وابستگی زیاد به حوزه آی تی باعث می شود که بیزینس برای استمرار و پایداری اش مطمئن شود که فناوری اطلاعات از همه دیتاهای بیزینس بک آپ دارد و در شرایط مورد نیاز امکان ریکاور وجود خواهد داشت. این بک آپ و ریکاور هم باید برای دیتاهای On Site و هم برای دیتاهای Off Site در نظر گرفته شود.
  • توسعه Development و پیاده سازی Implementation نرم افزارهای سازمان بصورت مناسب Proper: نرم افزارها فرآیند بیزینس بانک را هدایت میکنند و برای این موضوع مهم باید نرم افزارها به درستی و براساس استانداردهای نرم افزاری تولید و پیاده سازی شوند
  • محرمانگی Confidentiality، یکپارچگی Integrityو در دسترس بودن Availability نرم افزارها و داده ها(CIA): برای اطمینان از محرمانگی، یکپارچگی و در دسترس بودن CIA امنیت مطرح میشود و این مفهوم ایجاد می شود. محرمانگی یعنی حفاظت از اطلاعات مهم و حساس. یکپارچگی یعنی اطمینان از اصالت اطلاعات در همه مراحل پردازش و در همه جا. در دسترس بودن، یعنی امکان ارائه به کاربران در هر شرایطی در صورت نیاز و لزوم. 
  • مدیریت بحران و پاسخ به بحران: در فعالیت های فناوری اطلاعات ممکن است حادثه  بحران ایجاد شود. مهم است این حوادث مدیریت شوند و در صورت رخداد پاسخ مناسبی به آنها داده شود

 

کنترل های نرم افزار core banking

 

کنترل های نرم افزار Application Controllدر فناوری اطلاعات: این کنترل ها، کنترل هایی هستند که در داخل خود نرم افزار تعبیه می شوند تا از خطا و ریسک جلوگیری کنند یا شناسایی کنند یا اصلاح کنند. این کنترل ها دقیقا داخل خود نرم افزار تعبیه می شوند تا از دقت و قابل اعتماد بودن پردازش ها مطمئن شوند.کنترل های اپلیکیشن قرار است مطمئن شوند هر تراکنشی مجاز، دقیق و کامل است. بعضی از کنترل های نرم افزاری عبارتند از:

  • ویرایش دیتاها: ویرایش دیتاها فقط برای فیلدهای مجاز باید قابل انجام باشد
  • بالانس تراکنش ها باید یکسان باشد.یعنی میزان بدهی و اعتبار باید یکسان باشد
  • همه تراکنش ها باید دارای کد مخصوص باشند و لاگ شده باشند
  • گزارش خطاها Error Reporting یعنی همه خطاهای سیستم و پردازش ها باید اتوماتیک لاگ و گزارش تولید کنند
  • گزارش حالت های خاص Exception Reporting یعنی همه حالت های خاص و پیش بینی نشده در سیستم باید اتوماتیک لاگ و گزارش تولید کنند

 

انواع کربنکینگ ایرانی در مقایسه با بانکداری متمرکز  خارجی

بانک های ایرانی برای سامانه سیستم متمرکز بانکی خود برای عملیات بانکداری متمرکز الکترونیکی از سیستم یکپارچه بانکی مختلفی استفاده میکنند. بعضی از بانک های ایرانی خود اقدام به توسعه سامانه کر بنکینگ کرده اند و برخی دیگر از کر بنکینگ های خارجی استفاده میکنند. در ایران شرکت های داتین و شرکت توسن با بنکو و فرانگین اقدام به توسعه سیستم یکپارچه بانکی کر بانکینگ کرده اند. سیستم سیستم متمرکز بانکی و سیستم متمرکز سیبا یا نوع انتخابی هر بانک با اجزای سیستم های بانکی مربوطه، براساس نظر و انتخاب اداره خدمات متمرکز آن بانک یا شرکت خدمات انفورماتیک اون بانک، مثل اداره خدمات متمرکز بانک قوامین انتخاب و اقدام به ارائه سرویس تسهیلات متمرکز بانکی میکند. در لیست زیر بانک های ایرانی براساس سامانه کربنکینگ آنها لیست شده اند:

  • بانک تجارت
  • بانک سپه
  • بانک کشاورزی
  • بانک مسکن
  • بانک ملت
  • بانک پاسارگاد
  • بانک ملی
  • بانک پارسیان
  • سیستم بانکداری متمرکز بانک حکمت ایرانیان
  • موسسه مالی عسکریه
  • بانک قوامین

برای اینکه اخبار کوربنکینگ رو بتونید دنبال کنید و با سامانه های بانکداری متمرکز سپه، کر بانکینگ پاسارگاد و توسن و سایر سامانه های مرتبط بیشتر آشنا بشید، میتونید در مقاله توسعه سیستم های نرم افزاری یکپارچه بانکی اطلاعات بیشتری در موردش بخونید.

 

اجزا و سامانه های اصلی Core Banking سیستم کربانکینگ

  • سامانه مدیریت ارتباط با مشتری  (CRM)، باشگاه مشتریان، قرعه کشی و …
  • سامانه های گروه های مشتریان در بانکداری جامع
  • سامانه های مدیریت و تعریف محصولات بانکی
  • سامانه مدیریت سرمایه انسانی
  • سامانه های آماری/  تحلیلی،  MIS،  انبار داده، Big data ، هوش کسب و کار و …
  • سامانه ضد پولشویی
  • سامانه کشف تقلب
  • سامانه های مدیریت مالی و دفاتر کل بانک (GL)
  • سامانه مدیریت دارایی و بدهی
  • سامانه خزانه داری و مدیریت نقدینگی
  • سامانه ارزیابی عملکرد
  • سامانه های اعتبار سنجی
  • سامانه های ریسک (عملیاتی، تطبیق، نقدی، اعتباری، و …)

 

ماژول های کربانکینگ

 

ماژول ها و فانکشن های نرم افزارهای کربانکینگ Core Banking

  • ماژول Saving Account
  • ماژول Current Account
  • ماژول Recurring Deposits
  • ماژول Term Deposits
  • ماژول OD Protection
  • ماژول Retierment
  • ماژول Checking Account
  • ماژول Certificate of deposits
  • ماژول Consumer Loans
  • ماژول Mortgages
  • ماژول Personal Loans
  • ماژول Retail Loans
  • ماژول Lines of Credit
  • ماژول Collection
  • ماژول Origination
  • ماژول Inventory Management
  • ماژول Collateral Management
  • ماژول Funds Transfer
  • ماژول Service Charges
  • ماژول NPA Management
  • ماژول Customer Information System
  • ماژول General Ledger
  • ماژول Clearing
  • ماژول Work Flow
  • ماژول Custom Reports
  • ماژول
  •  Management Information System

جمع بندی

خوب در این مقاله به معرفی ساختار کلی سیستم های بانکی و کر بنکینگ پرداختیم و هسته اصلی ساختار بانکی بانکداری متمرکز Core Banking را مورد بررسی قرار دادیم. با مفهوم ریسک و کنترل در ساختار مالی و بانکی آشنا شدیم و با برخی از ماژول های بانکی مانند حساب و دارایی و وام و سایر خدمات بانکی آشنا شدیم. در مقاله بعدی قرار است در مورد پیاده سازی این ماژول های بانکی در سامانه نرم افزاری متمرکز و یکپارچه بانکی به نام Core Banking Software صحبت کنیم و در آن مقاله به فرآیند فنی و نرم افزاری و تکنیکال این نرم افزار بپردازیم، در مورد معماری نرم افزار کر بنکینگ صحبت خواهیم کرد و در مورد بیزینس لاجیک هرکدام از خدمات آشناتر خواهیم شد.

در صورتی که به این دسته از مقالات سیستم های نرم افزاری مالی و بانکی علاقمند هستید، پیشنهاد میکنم مقاله سوییچ پرداخت Payment Switch را که در آن نوشته بطور کامل به سوییچ های پرداخت و Payment Gateway پرداخته ام را نیز مطالعه کنید.

با من مهدی محمدی در مقاله نرم افزار کربانکینگ، معماری و کامپوننت های آن، همراه باشید

 

مشاوره با من مهدی محمدی

هر سوالی دارید یا درخواست جلسه مشاوره دارید، خوشحال خواهم شد که با هم در ارتباط باشیم