عصر تراکنش ۱۰۵؛ مهدی طالب، معاون فناوری اطلاعات بانک صادرات / در سالهای اخیر، بانکها بیش از هر زمان دیگری به شبکهای از شرکتهای فناوری وابسته شدهاند؛ از سامانههای بانکداری متمرکز و پرداخت گرفته تا امنیت سایبری، احراز هویت دیجیتال و تحلیل داده. این وابستگی، اگرچه مزایایی مانند افزایش سرعت نوآوری و کاهش هزینهها به همراه داشته، اما نوعی ریسک ساختاری جدید نیز ایجاد کرده است؛ ریسکی که در ظاهر خارج از بانک قرار دارد، اما در عمل میتواند پایداری، امنیت و اعتبار بانک را بهطور مستقیم تحت تأثیر قرار دهد.
در شرایط فعلی کشور، این ریسکها ابعاد پیچیدهتری نیز پیدا کردهاند. محدودیتهای ناشی از تحریم، دشواری در تخصیص ارز، اختلال در زنجیره تأمین تجهیزات، افزایش تهدیدات سایبری در بستر تنشهای ژئوپلیتیکی و حتی ریسک توقف فعالیت برخی شرکتهای فناوری، سبب شده است مدیریت ریسک تأمینکنندگان از یک موضوع عملیاتی به اولویتی راهبردی تبدیل شود.
تأمینکنندگان فناوری؛ از شریک عملیاتی تا منبع ریسک سیستمی
امروزه بسیاری از خدمات حیاتی بانکها توسط تأمینکنندگان بیرونی ارائه میشود. سامانههای این شرکتها نهتنها به دادههای حساس و زیرساختهای کلیدی دسترسی دارند، بلکه در تجربه مشتری نیز نقش مستقیم ایفا میکنند. در چنین شرایطی، هرگونه اختلال، ضعف امنیتی یا ناتوانی عملیاتی در این شرکتها میتواند بهسرعت به بحرانی در سطح بانک تبدیل شود.
در فضای فعلی کشور، این وابستگی با ریسکهای مضاعفی همراه است. برای مثال، یک شرکت تأمینکننده ممکن است به دلیل محدودیتهای ارزی قادر به تمدید لایسنس نرمافزارهای حیاتی خود نباشد یا در تأمین تجهیزات زیرساختی، مانند سرورها و تجهیزات شبکه، با مشکل مواجه شود. چنین مواردی میتواند به شکل غیرمستقیم اما جدی، تداوم خدمات بانک را تهدید کند.
بازتعریف ریسکها در شرایط خاص ایران
اگرچه ریسکهای کلاسیک تأمینکنندگان همچنان پابرجاست، اما در شرایط فعلی باید با نگاهی بومی و واقعگرایانه بازتعریف شوند:
- ریسک تداوم کسبوکار: علاوه بر تهدیدات معمول، عواملی مانند قطعیهای گسترده، محدودیت دسترسی به زیرساختهای بینالمللی یا آسیبپذیری فیزیکی مراکز داده در شرایط بحران، اهمیت بیشتری یافتهاند. بانکها باید مطمئن باشند تأمینکنندگانشان برنامههای عملیاتی واقعبینانه و قابل اجرا برای شرایط اضطراری دارند.
- ریسک ارزی و زنجیره تأمین: وابستگی برخی تأمینکنندگان به تجهیزات یا خدمات خارجی، آنها را در برابر نوسانات ارزی و محدودیتهای واردات آسیبپذیر میکند. این موضوع میتواند به افزایش هزینهها، کاهش کیفیت خدمات یا حتی توقف کامل سرویس منجر شود.
- ریسک امنیت اطلاعات: در دورههای تنش، حملات سایبری هدفمند علیه زیرساختهای مالی افزایش مییابد. اگر تأمینکنندهای استانداردهای امنیتی کافی نداشته باشد، میتواند به نقطه ورود مهاجمان به بانک تبدیل شود.
- ریسک تمرکز: در بسیاری از موارد و بهدلیل محدودیتهای بازار، بانکها ناچارند با تعداد محدودی تأمینکننده همکاری کنند. این تمرکز، بهویژه در شرایط بحران، میتواند وابستگی خطرناک ایجاد کند.
- ریسک شهرت: در فضای رسانهای امروز، هرگونه اختلال یا افشای اطلاعات، حتی اگر منشأ آن خارج از بانک باشد، مستقیماً به نام بانک ثبت میشود و میتواند اعتماد عمومی را تضعیف کند.
فراتر از قرارداد؛ نیاز به مدیریت پویا
یکی از خطاهای رایج، اتکای بیش از حد به قراردادهاست؛ در حالی که قرارداد تنها نقطه شروع مدیریت ریسک است. در شرایط پرریسک فعلی، بانکها باید رویکردی فعال و مستمر در قبال تأمینکنندگان اتخاذ کنند.
فرایند مدیریت ریسک باید از مرحله انتخاب تأمینکننده آغاز شود. علاوه بر شاخصهای مرسوم مانند قیمت و سابقه همکاری، عواملی همچون ارزیابی دقیق وضعیت مالی، توان تأمین تجهیزات، وابستگی به منابع خارجی، سطح بلوغ امنیتی، وجود تیمهای پاسخگویی به رخداد و کیفیت برنامههای تداوم کسبوکار باید بهعنوان معیارهای اصلی انتخاب در نظر گرفته شوند.
پس از انتخاب، تنظیم قراردادهای دقیق و متناسب با شرایط خاص کشور اهمیت ویژهای دارد. درج بندهایی مرتبط با تداوم خدمات در شرایط بحران، الزام به نگهداری نسخههای پشتیبان در داخل کشور، شفافیت در زنجیره تأمین، تعهد به اطلاعرسانی سریع در صورت بروز اختلال و امکان انجام ممیزیهای دورهای، از جمله مواردی است که باید مورد توجه قرار گیرد.
اولویتهای کلیدی بانکها در شرایط فعلی
با توجه به شرایط خاص اقتصادی و امنیتی، برخی اقدامات باید در اولویت فوری بانکها قرار گیرد:
- شناسایی و طبقهبندی تأمینکنندگان حیاتی: بانکها باید بدانند کدام تأمینکنندگان بیشترین تأثیر را بر عملیات آنها دارند و تمرکز مدیریت ریسک را بر این دسته قرار دهند.
- کاهش وابستگی به منابع خارجی: در حد امکان، استفاده از راهکارهای بومی یا ایجاد جایگزینهای داخلی برای خدمات حیاتی باید در دستور کار قرار گیرد.
- ارزیابی مستمر توان عملیاتی تأمینکنندگان: بررسی وضعیت مالی، توان تأمین تجهیزات، تغییرات ساختاری و حتی رصد اخبار مرتبط با شرکتها باید بهصورت دورهای انجام شود.
- تقویت نظارت امنیتی: انجام تستهای امنیتی، ممیزیهای منظم و اطمینان از بهروزرسانی مستمر سیستمها، بهویژه در مورد تأمینکنندگان دارای دسترسی به دادههای حساس، ضروری است.
- برنامهریزی برای سناریوهای جایگزین: بانکها باید برای اختلال یا خروج هر تأمینکننده حیاتی، سناریوهای جایگزین عملیاتی از جمله امکان تغییر سریع تأمینکننده یا انتقال خدمات به داخل سازمان داشته باشند.
- مدیریت ریسک ارزی: در قراردادها و ارزیابیها باید توان تأمینکننده در مواجهه با نوسانات ارزی و محدودیتهای واردات بهطور جدی بررسی شود.
نقش هیئتمدیره؛ از نظارت تا راهبری
در شرایط فعلی، مدیریت ریسک تأمینکنندگان نمیتواند صرفاً به واحد فناوری اطلاعات واگذار شود. این موضوع باید در سطح هیئتمدیره و کمیته ریسک مورد توجه قرار گیرد. تصمیمگیری درباره انتخاب یا تداوم همکاری با تأمینکنندگان حیاتی، بهویژه در شرایط عدم قطعیت بالا، نیازمند نگاه راهبردی و درک دقیق از پیامدهای آن است.
هیئتمدیره باید تصویری شفاف از وابستگیهای کلیدی بانک داشته باشد، نسبت به ریسک تمرکز حساس باشد و اطمینان حاصل کند که برنامههای تداوم کسبوکار نهتنها تدوین شده، بلکه در عمل نیز قابل اجرا هستند.
جمعبندی
در عصر بانکداری دیجیتال، مرزهای بانک فراتر از ساختمانهای آن گسترش یافته است. تأمینکنندگان فناوری به بخشی از زنجیره ارزش بانک تبدیل شدهاند و ریسکهای آنها عملاً ریسکهای بانک محسوب میشود.
در شرایط خاص امروز ایران، این واقعیت پررنگتر از همیشه است. بانکهایی که بتوانند مدیریت ریسک تأمینکنندگان را بهصورت پویا، دادهمحور و متناسب با شرایط محیطی بازطراحی کنند، نهتنها از بحرانها عبور خواهند کرد، بلکه در مسیر تحول دیجیتال نیز مزیت رقابتی پایدارتر به دست خواهند آورد.