من المهم معرفة أن الإدارة الفعالة للمخاطر تتطلب فهماً واضحاً في توظيف التكنولوجبا في العمليات المالية، وعليه فان هناك مسؤوليات محددة تتحملها التكنولوجيا المالية. نتناول هنا أهم مسؤوليات إدارة المخاطر لشركات التكنولوجيا المالية عند الشراكة مع المؤسسات المالية. توفر التكنولوجبا المالية البنية التحتية والتقنيات اللازمة للمؤسسات لتقديم منتجاتها بشكل آمن لعملائها النهائيين، حيث تدعم البنوك وشركات التكنولوجيا المالية في إدارة المخاطر والتزامات الامتثال. في حين أن الإدارة الفعالة للمخاطر الخاصة بشركات التكنولوجيا المالية تتطلب تنسيقًا وثيقًا بينها وبين المؤسسات الراعية لها، إلا أن هناك مسؤوليات محددة تتحملها شركات التكنولوجيا المالية ويجب دمجها أيضًا. نتناول هنا أهم مسؤوليات إدارة المخاطر لشركات التكنولوجيا المالية.
1. إدارة المخاطر في جميع جوانب العمل
يعد فهم المخاطر وتتبعها وتخفيفها أمرًا ضروريًا لنجاح التكنولوجيا المالية. فيما يلي ثلاث فئات لإدارة مخاطر التكنولوجيا المالية التي يجب أن تكون في قمة أولوياتها:
أ. المخاطر التنظيمية والامتثال و هي المتطلبات ضمن مجالات الرقابة المحددة مثل: - مكافحة غسيل الأموال (AML) - اعرف عميلك (KYC) - اعرف عملك (KYB) - مكتب مراقبة الأصول الأجنبية (OFAC)
ب. مخاطر التطبيقات وأمن البيانات و هي المخاطر المرتبطة بـ: - دورة حياة تطوير البرمجيات (SDLC) - إدارة البيانات - تكنولوجيا المعلومات - أمن المعلومات - ضوابط الوصول - التعامل مع البيانات - التصحيح وإدارة الأمن - اختبار الاختراق
ج. المخاطر التشغيلية - الموارد البشرية - تدريب الموظفين - الاستعانة بمصادر خارجية لطرف ثالث
- أية مخاطر أخرى يمثلها الأشخاص والشركات والعمليات
ويزداد مشهد المخاطر تعقيدًا بناءً على الصناعة المحددة التي تشارك فيها التكنولوجيا المالية.
2. وضع خطط لاستمرارية الأعمال
يمكن أن يؤدي انقطاع العمل إلى مفاجأة المؤسسات، مما يؤدي إلى نتائج ضارة. وفقًا لتقرير صادر عن الوكالة الفيدرالية لإدارة الطوارئ (FEMA)، فإن 40% من الشركات لا يُعاد فتح أبوابها بعد وقوع الكارثة. ويفشل 25% آخرون في غضون عام واحد. يمكن منع انقطاع العمل بالتخطيط المناسب. ستساعد خطة استمرارية الأعمال شركات التكنولوجيا المالية على الاستعداد لمثل هذه الأحداث. بالنسبة للبنوك الراعية والهيئات التنظيمية، تشمل مجالات التركيز ما يلي: ا. استمرار العمليات التجارية ب. خطط استمرارية الأعمال الموثقة رسميًا ج. برامج تقييم المخاطر
يعد موقع Ready.gov مرجعا مميزا لمساعدة الأشخاص على الاستعداد لحالات الطوارئ والاستجابة لها والتخفيف من حدتها. توفر الخدمة تفاصيل حول كيفية إنشاء وتنفيذ تحليل تأثير الأعمال (BIA)، وتقييم المخاطر، وبرنامج الاختبار. نوصي بإجراء تقييم تحليل تأثير الأعمال وتقييم المخاطر داخليًا. يعكس هذا التقييم المخاطر الداخلية للمنظمة، والتي من شأنها أن تعرف الموارد الداخلية بشكل أفضل. من خلال تطوير برنامج تحليل الأعمال وتقييم المخاطر داخليًا، يمكن لفرق استمرارية الأعمال وتكنولوجيا المعلومات وأمن المعلومات إجراء تعمق في برامجهم، وتحديد الفجوات، ومعالجة كيفية سدها. يمكن لهذه الموارد الداخلية أن تتحدث بذكاء مع عمليات إدارة المخاطر في التكنولوجيا المالية، وهو ما تريده الجهات التنظيمية على وجه التحديد.
3. مرونة الأعمال في مواجهة الانقطاعات والتوقف
يمكن تقليل الانقطاعات الكبيرة من خلال التأكد من أن التقنيات تعمل بكفاءة وأنها مستعدة جيدًا في حالة انقطاع الأنظمة الذي قد يتطلب تجاوزًا سريعًا للتوقف عن العمل. في حالة وقوع كارثة، يجب أن تكون التكنولوجيا المالية قادرة على استعادة البيانات و/أو المعاملات المفقودة من عملياتها الداخلية، وكذلك من أي أدوات وأنظمة وأطراف ثالثة تابعة. في حالة فقدان البيانات، يجب أن تعمل الشركات مع شركائها لجمع حدث النسخ الأخير واستعادة أي بيانات تكون مسؤولة عن إدارتها. يتم تعزيز مرونة الأعمال عند استخدام البيئات المستندة إلى الحوسبة السحابية والتي تعتمد على مراكز بيانات متعددة. يشمل مقدمو الخدمات السحابية الرائدون في الصناعة Amazon Web Services (AWS) وGoogle Cloud Platform (GCP) و Microsoft Azure.
4. توثيق كل شيء
وعلى غرار الإجراءات التي تعتمد عليها المؤسسات المالية، يجب على التكنولوجيا المالية أيضًا إضفاء الطابع الرسمي على سير العمل والعمليات التي تدعم أعمالها. يتضمن ذلك سياسات وإجراءات وعمليات قوية وموثقة رسميًا. يتوقع المنظمون في المؤسسات الراعية وجود نفس الضوابط القوية لإدارة المخاطر فيها وفي أي من شركائهم في مجال التكنولوجيا المالية. هذا يعني أنه سيُطلب منك أن يكون لديك أنظمة تطبيقات ودعم مصممة بشكل آمن، وبرامج موثقة ومعتمدة ومتوافقة مع ادارة المخاطر والامتثال وأمن المعلومات ومرونة الأعمال والعمليات الأخرى.
5. اختبر جيدا ... ثم اختبر جيدا
قبل الإطلاق، يجب على المؤسسة المالية والهيئات التنظيمية المرتبطة بها التأكد من إجراء الاختبارات الكافية. يجب على جميع الهيئات المختصة التوقيع على برامج وعمليات التكنولوجيا المالية قبل البدء في العمل بها. على سبيل المثال، يجب إجراء اختبار الاختراق وفحص الثغرات بشكل منتظم قبل إطلاق الخدمات. وهذا مهم بشكل خاص حيث سيتم استخدام تطبيق أو نظام أو منصة منفصلة و/أو متكاملة لتسهيل المعاملات والصفقات، بالإضافة إلى التفاعل مع بيانات العملاء أو العملاء أو العملاء المحتملين التي تجمعها.
6. تحليل و إدارة مخاطر من قبل طرف ثالث
لا تنطبق مسؤوليات إدارة المخاطر الموضحة أعلاه فقط على شركات التكنولوجيا المالية والمؤسسات الراعية لها، ولكنها تمتد إلى أي من الأطراف الثالثة والشركاء الاستراتيجيين أيضًا. ونتيجة لذلك، أصبحت إدارة مخاطر الطرف الثالث و الرقابة مجالًا متزايدًا للتركيز بالنسبة للجهات التنظيمية والبنوك على حدٍ سواء. يكاد يكون من المستحيل إنشاء حل تكنولوجي مالي يكون تحت سيطرتك تمامًا. إن فهم المخاطر المحتملة المرتبطة باستخدام طرف ثالث سيساعد جميع المؤسسات على تقليل النتائج السلبية سواء كانت استراتيجية أو تتعلق بالسمعة أو مالية أو تنظيمية أو من منظور الأمن السيبراني. تذكر أن شركائك لديهم أيضًا الحافز لإدارة المخاطر بشكل استباقي لأنهم يواجهون نفس النتائج الضارة التي تواجهها إذا لم تتم إدارة المخاطر بشكل صحيح. يعد الإشراف النشط والمستمر على مخاطر الطرف الثالث من قبل شركات التكنولوجيا المالية، سواء في الماضي أو اليوم أو في المستقبل أمرًا ضروريًا.
إلى جانب الاطلاع على كيفية أداء الشريك لخدماته، يجب على التكنولوجيا المالية أيضًا: - فهم تاريخ الخدمات وأي مشكلات سابقة، - جميع جوانب كيفية أداء الخدمات، و كيفية استخدام البيانات طوال دورة الحياة (إنشاءها وتخزينها ونقلها). - يجب أن تتضمن الرقابة أيضًا كيفية إدارة بياناتك ومراقبتها وتقييدها وإنهائها. ستضمن العلاقات الوثيقة مع الشركاء، بما في ذلك التواصل المتكرر والمستمر، فهمًا شاملاً للخدمات المقدمة. تعرف على نقاط الاتصال الأساسية لكل شريك واعمل على بناء علاقات صحية. تأكد من التفاعل مع الشركاء بشكل منتظم، وليس فقط في أوقات الإكراه أو عند تجديد العقد.