اگرچه کیف پول میتواند خدمات بانکی را دچار تحول کند اما راه اندازی آن با موانع بزرگی روبه رو است. موانعی که برخی کارشناسان آن را به کاهش درآمد شرکت خدمات نسبت میدهند اما به عقیده دکتر نیما امیر شکاری عضو هیات علمی و مدیر گروه بانکداری الکترونیک پژوهشکده پولی و بانکی مشکل بزرگ این است که بانک مرکزی با هیچکس سر میز مذاکره نمینشیند و یکطرفه بخشنامه میدهد. سر میز هم بلد نیست خوب مذاکره کند. او معتقد است بانک مرکزی از موضع قلدری و بالا سخن میگوید، تکرار میکند: «این است که من میگویم در غیر اینصورت هر کاری میخواهید انجام دهید و من سرویسهایم را قطع خواهم کرد».
انحصارطلبیهای بانک مرکزی نه از روی بدخواهی یا زیاده خواهی بلکه از روی قلدری است. دقیقاً در ادبیات بانک مرکزی این اعتقاد وجود دارد که بقیه افراد بلد نیستند کاری که آنها میکنند را انجام دهند، یا می گویند اگر اجازه دهیم ۳۰ بانک کار کنند هزینهاش ۳۰ برابر میشود، پس ما یک بار آن را انجام میدهیم. امیرشکاری در بخشی دیگر از این گفت وگو امضای دیجیتال را نیز پروژهای شکست خورده دانست. به گفته او اشتباه استراتژیک بانک مرکزی همه چیز را خراب کرد. RFB نوشتیم و برنده اعلام کردیم و افراد فنی به میان آمدند، اما به دلیل اشتباه مدلی که در آن خرابکاری شد این پروژه شکست خورد. بانک مرکزی به همه سرویس داده تا همه امضاها را خودش بدهد. این اشتباه استراتژیک همه چیز را خراب کرد. در گفت وگو با نیما امیرشکاری عضو هیات علمی و مدیر گروه بانکداری الکترونیک پژوهشکده پولی و بانکی اقداماتی که باید بانک مرکزی انجام داده یا بازبینی کند تشریح شد که در ادامه آن را میخوانید.
یکی از مسائلی که کیف پول راه نیفتاد را کاهش درآمد شرکت خدمات ذکر میکنند، چقدر این دلیل واقعی است؟
بحث اصلی این است که همه سرویسهای بیرونی میتواند روی درآمد شرکتها تاثیرگذار باشد و آن را خطرناک کند، همچنین باعث شود شرکتی که مانند شرکت خدمات انفورماتیک قوی است دلش نخواهد از سهم کارمزدش کم شود و در خارج از شرکت به جای دیگری برود. بر همین اساس با راهاندازی محصولاتی چون کیف پول، تعداد تراکنشهایی که سمت شتاب شاپرک میآید کم میشود و اگرآرامآرام این محصولات در بیرون راهاندازی شود، طرف مقابل ترجیح میدهد تا حد خاصی ریسک آن را بپذیرد.
پس تأیید میکنید که یکی از علل مخالفت با کیف پول همین است که درآمد شرکت خدمات کم میشود؟
بله، یکی از دلایل همین است.
قبول دارید که دلیل موجهی برای تعویق کیف پول نیست؟!
دقیقاً، این به چانهزنی مردم و دولت مرتبط است. در شرکت خدمات و بانکمرکزی یکسری موافق وجود دارد و یکسری مخالف، افرادی هستند که میگویند اگر با راهاندازی کیف پول درآمد شرکت خدمات کم شود این شرکت بودجه توسعه شتاب و... را نخواهد داشت و این مساله چندان مورد وثوق نیست. مخالفان اعتقاد دارند که ساختار کسبوکار کلان صنعت بانکداری و پرداخت الکترونیک مهمتر است از این مساله و باید این ساختار درست شود.
به نظر شما ریشه این مساله در چیست که عملاً دیدگاه موافقان پیروز است؟
به نظر من این مشکل ناشی از دوگانگی بورسی و دولتیبودن شرکت خدمات شروع میشود، از طرفی دولت درآمدش را برای انجام یکسری کارها لازم دارد و بانکمرکزی ممکن است تمایل داشته باشد با آن پول کار دیگری انجام دهد. در بورس هم تمامی سهامداران بورسی دنبال سودآوری هستند، بنابراین دوگانگی خدمات باید از بین برود.
سهامی که از خدمات در بورس است چندان زیاد نیست؟
حدود ۵ درصد است. نکته آن است که شرکت خدمات علاوه بر شفاف و بورسیبودن باید سودآور هم باشند اما عملاً حاکمیتی است و باید از بورس بیرون آورده و اعلام کنند بودجهاش دولتی است و درنتیجه غیرانتفاعی کار کنند، البته کار کردن به این شکل هم ایراداتی دارد، همین که خدمات انگیزه اجرای همین سرویسهای فعلی را دارد بهدلیل خصوصی بودنش است.
شرکت خدمات بهراحتی میتواند درآمدزایی خوبی داشته باشد. چون میتواند بهترین مغزها و نخبهها را بهراحتی استخدام کند، میتواند هر جای جهان شرکت داشته باشد و خوب هم بفروشد.
بله، اما متولیان شرکت در چنین فضاهایی نیستند، همه Resource ها متعلق به شتاب است و همهچیز از بیرون میآید، بانکها هم از خدمات شرکت ناراضی هستند دلیلش هم قوی نبودن سرویسهای دیگر شرکت است و همچنین این خدمات خوب جا نیفتاده است. البته خیلی روی سرویسها تلاش شده است، اما بهدلیل اینکه درآمدهای اصلی از محل دیگری است مابقی بخشها تلاشی برای توسعه و بهبود کار ندارند درنتیجه حقوقبگیر و دولتی شدهاند.
در رابطه با USSD هم همین اتفاق افتاد؟
با مطرح شدن بحث مسدود شدن USSD که قرار بود توسط خدمات پشتیبانی شود جیرینگ برای مجوز اقدام کرد که محقق نشد، خیلیها آمدند کارهایی انجام دهند که نتوانستند به این فضا وارد شوند. از طرفی هم بانکمرکزی بهشدت از میزان پولی که اپراتورها از بانکها میگیرند شاکی است. نظرشان این است که اگر چنین روندی ادامهدار باشد اپراتور همیشه سهمخواهی میکند.
در جهان هم اپراتورها اکنون بخشی از بازار پرداخت را دارا هستند؟
تا جاییکه اپراتور سرویس عادی میدهد و کاربر روی سرویس سوار میشود مبحثی مجزاست، اما وقتی قیمت سرویس بنابر مبلغ یا نوع تراکنش بانکی محاسبه میشود بحث متفاوت است. اگر به بنده فال حافظ و هزینه تراکنش بانکی یکجور قیمت داده شود ایرادی وارد نیست، این درک وجود دارد که یک سرویس با قیمتی پایهای ارائه خدمت میدهد، اما زمانیکه عنوان شود فال حافظیها درآمدی برای اپراتور ندارند اما از طرف وجود طمع باعث شود نسبت مثلاً به هر یکهزار تومان یا 200 هزار تومان، اپراتور ۱۰ درصد سهمخواهی کند و همینطور اگر نسبت به مبلغ این سهمخواهی صورت بگیرد و بخواهد از طریق تراکنشهای fake و شبیهسازی شده کار پیش رود اختلافات شروع میشود وگرنه اگر از لحاظ سهمخواهی مانند فال حافظی و استخارهای برخورد شود چنین مسائلی وجود نخواهد داشت.
اگر کیف پول بود شاید مشکلات اینچنین رخ نمیداد. به نظر شما چرا مسالههای بین بانکمرکزی و اپراتور کمتر حل میشود؟
مشکل بزرگ این است که بانکمرکزی با هیچکس سر میز مذاکره نمینشیند و یکطرفه قطع کرده و بخشنامه میدهد.
احتمالاً سر میز هم بلد نیست خوب مذاکره کند؟
خیر، نمیتواند، از موضع قلدری و بالا سخن میگوید، تکرار میکند: «این است که من میگویم در غیر اینصورت هر کاری میخواهید انجام دهید و من سرویسهایم را قطع خواهم کرد»، ملاحظه میکنید که این روش بدترین روشی است که بانکمرکزی در مذاکره انجام میدهد، اگر افراد قابل مذاکرهای داشت اینطور نبود. اپراتورها، بانکها - البته نه همه بانکها - سازمان تنظیم مقررات و... افراد قابل مذاکرهای دارند، اما بانکمرکزی بههیچوجه چنین افرادی را دارا نیست، شاید بتوان گفت بهترین آنها آقای حکیمی است.
شاید چون هیچ وقتی این بانکمرکزی نیست که چیزی را از دست میدهد. در هر حال این نوع برخورد به فرآیند توسعه خدمات بانکی خیلی صدمه وارد میکند.
بله، صدمه هم به مملکت وارد میشود نه به فرد در بانکمرکزی، او که حقوق خوبش را دریافت میکند، پشت میزش نشسته، احترام و قلدریاش را دارد و همهچیز سر جایش است بنابراین صدمه بزرگ به مملکت و مردم وارد میشود.
مایه تأسف است، به نظر شما این روند تا چه زمانی ادامه خواهد داشت؟
نمیدانم، حتی امید ندارم پیوند هم خیلی جواب بدهد.
در پیوند تفاوتی به چشم نمیخورد؟
بله، چیزی تغییر نکرده فقط سهم اپراتور کم شده است. اگر اجازه میدادند کیف پول را مردم یا شرکتهای خصوصی Develop کنند هیچ اتفاق بدی نمیافتاد.
در همهجا هم به این صورت است و فکر میکنم کار درست همین باشد.
در اینجا مقداری انحصارطلبی وجود دارد که البته از روی بدخواهی یا زیادهخواهی نیست بلکه از روی قلدری است، دقیقاً در ادبیات بانکمرکزی این اعتقاد وجود دارد که بقیه افراد بلد نیستند کاری که آنها میکنند را انجام دهند، یا میگویند اگر اجازه دهیم ۳۰ بانک کار کنند هزینهاش ۳۰ برابر میشود، پس ما یک بار آن را انجام میدهیم. البته آن یک بار با هزینه ۳۰ برابر انجام میشود یا اگر هزینهای ۲۰ برابر داشته باشد با زمان ۳۰۰ برابر انجام خواهد شد. استدلالشان این است که بهجای اینکه ۳۰ بانک این کار را انجام دهند خودشان یک بار این کار را انجام خواهند داد.
آیا اصول کلیای در رابطه با تفویض وظایف وجود دارد؟
در اینجا بحث وظیفهمندی پیش میآید، مثلاً «نهاب»، وارد شد که بگوید تمام مشتریان کل نظام بانکی را مدیریت میکند، خب چرا باید چنین کاری کند و مسئولیت آن را برعهده بگیرد؟ کار درستی نیست آن هم با توجه به اینکه در مساله امضای دیجیتالی ورود کرد و شکست خورد با وجود شکست چندین و چند باره هنوز هم این اصرار برای انجام کار به این روش وجود دارد. در امضای دیجیتالی گفته شد که به بانکها اعتماد کنیم و به هر کدام intermediateCA بدهیم و بانکمرکزی ریشه بانکها شود، هرکدام از بانکها خودشان به مشتریانشان کلید بدهند، اما بانکمرکزی موافقت نکرد و تمایل داشت خودش به تمام مشتریان بانکها کلید بدهد.
این همه اصرار برای چه بود؟
در اینخصوص باید ۸۰ یا 100 میلیون کلید زده میشد. طبعاً میشود پیشبینی کرد که سیستم گرانتر شده و همچنین مدیریت صحیح صورت نمیپذیرد، درواقع در بحث امضای دیجیتال این کار متعلق به بانکمرکزی نیست، سازمان روشها، پرسنل، تکنولوژی، فنی، بودجه و... هیچکدام جواب نخواهند داد، آیکون مثبتی در اینجا وجود ندارد و تمام کار تحت عنوان متمرکزسازی خراب خواهد شد و در آخر هم نتیجه مثبتی عاید نمیشود، بهراحتی هم تقصیر گردن خارجیها انداخته میشود و میگویند سیستمشان بد بوده است، درصورتیکه تمام این اشتباهات استراتژیک به نظر من بهدلیل اصرارهای بیجا است. بنده مدیر پروژه CA در بانکمرکزی بودم، RFB آن را من به کمک مشاور خارجی بهروزرسانی کردم، آن زمان از بهترین مشاور بلژیک که روی پروژه کارتهای ملی آنجا کار کرده بود استفاده کردم، بهواسطه این مشاور RFB را نوشتیم و همهچیز تمام شد. صفحه اول RFE دارای دیاگرامی بود که میگفت مبنای مدل در آن بهصورت ریشهای بودن بانکمرکزی بود، غیر از این دیاگرام چیز دیگری در RFE دست نخورد و همین یک باکس را تغییر دادند. هر چقدر مشاور و بنده اصرار کردیم که تو را به خدا این کار را نکنید، بگذارید بانکها خودشان به مشتریانشان کلید بدهند، بانکمرکزی میگفت خیر ما باید یک data base از کل مشتریان نظام بانکی در بانکمرکزی داشته باشیم، بنابراین باید کلید را خودمان به آنها بدهیم.
این صحبت چه کسی بود؟
آقای حکیمی، سال ۸۷ یا ۸۸ بود در کیش چنین مسالهای را عنوان کردند و بعد از بستهشدن پروژه به این شکل کل پروژه از همان لحظه اول با شکست روبهرو شد.
فکر میکنید آقای حکیمی چرا این همه انحصارگر هستند؟
به دلیل اینکه به بقیه اعتماد ندارند، البته اشتباههایی از بقیه دیده و گرفته است، اما روش برخورد صحیح این نیست.
آزمون و خطا باید برای فعالان و بازیگران وجود داشته باشد، اگر اجازه اشتباه و خطا به بازیگران دیگر بازار ندهیم هیچوقت نمیتوانیم بالغ شویم.
خیر، فرصت آزمون و خطا قائل نیست، مثلاً زمان شاپرک یا قبل از آن در PSP ها چنین کاری انجام شد و اجازه دادند سوئیچ داشته باشند، حال تراکنشهای fake بسیاری از سمت PSP میآمد، اما به نظر من دلیل این اتفاقات نادرست این است که نظارت اشتباه صورت میگیرد، این کمبود در نظارت است و با انحصارگری حل نخواهد شد، باید کار را بهجای اینکه بانکمرکزی اجرایی کند به تعداد عظیم پرسنل فعالان پرداخت بسپارند و خودشان نقش ناظر را ایفا کنند، بنابراین باید پرسنل نظارتی را زیاد و تقویت کرد، باید شرکتهای IT Auditing متعدد تربیت شود که با رفتن به بانکها، عمل نظارت را روی Core banking ها و PSP ها انجام دهند. این کاری زیرساختی است که به دلیل زمانبر بودن انجام نمیشود.
شرکتهای IT Auditing چه ساختاری دارند؟
حسابرسها که چهطور ساختاری دارند؟ مگر سازمان بورس کار حسابرسیها را انجام میدهد؟ اعلام میکند به افرادی که دارای دانش و تحصیلات و تجربه لازم باشند، پس از انجام آزمونهایی مجوز میدهد، Auditing باید سازمان و انجمنی داشته باشند، خودشان رنکینگ دارند، شرکت بزرگتر ناظر شرکتهای بزرگتر است و شرکت کوچکتر برای شرکتهای کوچکتر نظارت میکنند. همانطور که سازمان بورس به شرکتهایی که مجوز میدهد اعلام میکند خودتان حسابرسی کنید و گزارش حسابرس برای من معنادار است، و درواقع بورس با دیدن گزارش و خواندن صفحه ابتدایی متوجه میشود شرکت در چه مرحلهای قرار دارد، صورت مالی و باقی مسائل هم از همان گزارش دستگیرش خواهد شد. ما همین را برای IT Auditing میخواهیم. هزاران بار طی مقالات و صحبتهایی در بانکمرکزی اعلام کردهام که دپارتمانی در بانکمرکزی تشکیل و به ITAuditor ها مجوز داده شود که افراد حائز شرایط مجوز بگیرند تا بدانند مسائل مهم چیست و اشتباهات را پیدا کنند، دقیقاً همان کاری که بازرس بانکمرکزی قرار است انجام دهد.
درواقع اینگونه نظام بازرسی متحول میشود.
همانطور که میدانید بازرسها را نمیتوان بهروز کرد، بعضی از آنها متعلق به ۵۰ سال پیش هستند، فقط حسابرسی دفتری بلدند هیچکدام از آنها بلد نیستند کد برنامه را نگاه کنند و بگویند که اگر Core banking دارید اشکالی ندارد، Source نمیخواهم، حتی اگر فرمول محاسبه هم ندارید ایراد ندارد، حسابرس باید بتواند دو عدد تیپ بدهند که خروجیاش رقم ثابتی باشد، یعنی اگر آخر ماه اگر هزار تومان را با ۲ درصد محاسبه میکند باید هزار و ۲۰ تومان خروجی داشته باشد، اگر هزار و ۳۰ تومان بود اشتباه محاسبه است و اگر هزار و یک تومان نتیجه میشود که جایی پول خورده شده است، متعاقب آن حسابرس ثبت سند را در دفتر مشاهده کند. این مسائلی است که برای بانکمرکزی مهم است، باید افراد و Auditor هایی تربیت شوند که در شرکتهای خصوصی کار انجام دهند. در اینجا باید اهم و فیالاهم هم قائل شد، اگر شرکتی قوی شد و پرسنل کارآمدی داشت میتواند بانک ملی یا صادرات را تحت پوشش قرار دهد و اگر ضعیفتر بود میتواند اقتصاد نوین یا پاسارگاد را داشته باشد، به نظرم این روشی منطقی است.
نکته آن است که روش بارها در جهان تجربه شده است.
بله، همهجای دنیا چنین کارهایی انجام میدهند، در استاندارد، ایزو، حسابرسی و هر چیزی که کوآلیفیکیشن میخواهد و باید در آن یکسری مرزها رعایت شود شرکت خصوصی برای انجام این کارها وجود دارد. اگر روند دنیا را هم نگاه کنید از سال ۲۰۰۰ به این طرف تمام بانکهای مرکزی شروع به outsource کردن نظارت کردند.
دقیقاً برعکس کاری که ما انجام میدهیم.
بله، دقیقاً بانکمرکزی ما ۳ هزار و ۵۰۰ پرسنل دارد و مدام از همه شهرستانها و استانها بازرس جذب میکند، شاپرک هم جذب بازرس دارد، از همه استانها بازرسهایی را میخواهیم که مدام بالای سر این و آن برند و چکشان کنند، به نظر شما آیا این کار دولت است؟
هزینههای گزافی هم روی دست سازمان میگذارد!؟
بله، در سازمان افراد دولتی حقوق گرفته و دولتی فکر میکنند، اگر او را دست سازمانی خصوصی بسپارید به صورتی میشود که کلاً تا پایان ماه هر یک میلیون تومان هم حقوق نخواهد گرفت، اما وقتی در سازمان دولتی وارد میشود، حق خواروبار، مسکن، ایاب و ذهاب و بقیه موارد را دریافت میکند. به دلیل اینکه خودش را با ستاد و بزرگان دولت مقایسه میکند یکباره حقوقش بهجای یک میلیون تومان پنج میلیون تومان میشود و این هزینهای است که روی دست سازمان میماند، حتی با دریافت چنین مبلغی نه چابکی دارد و نه مزیتهای مثبت دیگری دارد حتی فامیل و آشناهای خود را نیز وارد کار میکند. از این دست تفاوتها وجود دارد که انتظار ما حرکت بانکمرکزی به این سمتوسو بوده و هست.
مشخص نیست بانکمرکزی چه زمانی به این سمت برود؟
اصلاً چنین تفکری وجود ندارد، کسی نیست که بخواهد به آنها چنین مسائلی را بگوید بنده تا زمانیکه حضور داشتم گفتم گوش شنوایی برای حرفهایم نبود، حال که بیرون آمدهام چه کسی میخواهد چنین مسائلی را انتقال دهد؟ این منطق فکری را از کجا باید بگیرند؟
خیلی مواقع دیده میشود مقرراتی که باید در بخش IT طراحی شود به بخش نظارت وارد شده درصورتیکه بخش نظارت تسلط زیادی روی IT ندارند؟!
بله، آگاهی کافی وجود ندارد و مقرات به درستی طراحی نمیشود. با مشاهده بانکمرکزی خواهید دید گزارش سالمی وجود ندارد نه اینکه آدمش ناسالم باشد بلکه به حدی گزارش خطای انسانی و دستی دارد که قابل ارائه نیست گزارش تماماً در اکسل طراحی شده درصورتیکه باید بهطور سیستماتیک پردازش شود، اگر بخواهید همه را دستی جلو ببرید و در مثبت، منفی، جمع و تفریق اشتباه انجام شود یا حتی اشتباهات دیگری اتفاق بیفتد در انتها خطاهای نامعلوم وجود خواهد داشت که ریسک بهشدت بالایی دارد. کما اینکه چنین اتفاقی افتاد و یکی از بانکها حدود سه، چهار سال در تمامی صورتهای مالی خود سه صفر اضافه داشت. این عدد زیادی است، اما تمامی صورتهای مالی آن بانک برای چنین مدتی مشکل داشت و متوجه این موضوع نمیشدند به دلیل اینکه آن را با صورتحسابهای قبل از خودش مقایسه میکردند بنابراین هیچگاه این ایراد مشخص نمیشد تا روند را تغییر دادند و با صورتحسابهای دیگر مقایسه شد، خیلی مهم است که چنین فضا ایجاد شود اینکه بگوییم فقط به خودم اطمینان دارم خیلی پرهزینه است.
نظرتان در رابطه با آینده امضای دیجیتال چیست؟
واقعیت این است که ما خیلی با دنیا متفاوتیم، تمام سرویسهای غیرحضوری دنیا از نظر امنیتی بر پایه امضای دیجیتال نهادینه میشوند، بزرگترین شکاف ما نسبت به دنیا در فضای الکترونیک امضای دیجیتال است. ما نهتنها این امضا را نداریم بلکه متولی آن را هم نداریم، البته نداشتن به معنای مطلق نیست تمامی آنها اسما وجود دارند کار زخمی شده، اما نتیجه چیز دیگری میگوید، مانند این است که بگویید میخواهم منزلم را نقاشی کنم، قرارداد بسته شده اما کارگر آن هنوز نیامده فقط سطلهایش را گذاشته و رفته است. کارهایی از این دست در این حوزه انجام شده، کار زخمیشدهای که نه میتوان آن را به دیگری سپرد و نه طرف قرارداد کار را انجام میدهد حتی زمان انجام کار به درستی صورت نمیگیرد.
زمانی که کار امضا را دادهپردازی برعهده داشت آخر کار به کجا رسید؟
امضای دیجیتال همان است که توضیح دادم RFB نوشتیم و برنده اعلام کردیم و افراد فنی هم آمدند، اما به دلیل اشتباه مدلی که در آن خرابکاری شد شکست خورد نباید به سمتی میرفت که بانکمرکزی به همه سرویس داده و همه امضاها را خودش بدهد. این اشتباه استراتژیک همهچیز را خراب کرد، به دلیل اینکه دادهپردازی را وسط آوردند و جاهایی طمع بیزینسی ایجاد شد، گفتند تعداد زیادی از افراد Token میخواهند و دادهپردازی باید خریداری شود، اینکه چه میزان پول و گردش مالی در اینجا وجود دارد و چه بودجه بزرگی به دادهپردازی میرسد همه منافع کسبوکار است. یک پارت هم آمد و خریدها بلااستفاده ماند و افتضاح پیش آمد که در بورس پیچید. همهجا خرابکاری شد و دلیلش این بود که میخواستند همهچیز حتی خرید را هم متمرکزسازی کنند. منظورم این نیست که نمیشود متمرکزسازی کرد، مثلاً جایی مانند کره این کار را کرده است، اما زمانیکه به Token رسیده آن را در بازار آزاد گذاشته است و مردم همانطور که ما از بازار گوشی موبایل میخرید میروند و خریداری میکنند. به قدری در آن کشور فرهنگسازی شده که طرف میداند اگر تراکنشهایش هزار و دو هزار تومان است به Token نیازی ندارد میتواند با User name و Pasword وارد شود و امضا را دریافت کند حتی میتواند روی هارد یا گوشی موبایل هم ذخیره شود. Token امضایی است که باید برای شخص ذخیره شود، اگر روی هارد باشد ممکن است امنیت پایینی داشته باشد به دلیل اینکه ممکن است در دسترس بقیه افراد قرار گیرد، اما زمانی که شما کلاً هزار یا دو هزار تومان جابهجا میکنید تفاوتی ندارد که کسی به آن دسترسی داشته باشد یا خیر، اصلاً فرد میتواند تصمیم بگیرد که روی حسابی که خالی است و تراکنشی انجام نمیشود Token نداشته باشد و روی حسابی از بانک دیگر که کارهایش را با آن انجام میدهد Token ۵۰۰ هزار تومانی خریداری کند. در کشور ما گفته میشود این مورد برای همه یکسان است و از بانک هم باید توکن دریافت کنند، بنابراین خرید را متمرکز میکنیم، در ایران هم تمام سودها در خرید است. چیزی را انتخاب میکنیم که برای همه هم خوب نیست با قیمتی پایین یا متوسط آن را خریداری میکنیم و با قیمت بالاتری ارائه میدهیم هدفمان هم این است که بانک یا شرکت IT ما روی آن سود کند. این اشتباه است به دلیل اینکه کاربر نهایی حقی ندارد و تجهیزات شما جوابگوی کل کاربران نهایی نخواهد بود کسی هم تمایل ندارد تا این حد امن باشد، باید قوانین و مقررات شما مشخص باشد، اینکه مسئولیت چه کسی است؟ درصورتیکه اگر سایت بانک حک شود میگوید مشکل کاربر است، زمانی که قوانین و مقررات حقوقی ما هیچ حفاظتی از کاربر ندارد و هزینه خرید Token را هم به کاربر تحمیل میکنید درصورتیکه شاید آن را نخواهد یا حتی نیازی به آن نداشته باشد.
در این صورت مسئولیتش را هم خودش قبول میکند؟
بله، مسئولیتش با خودش است، اما ما با این متمرکزسازیها تمام مسئولیتها را سمت بانکمرکزی و نظام بانکی آوردهایم، درصورتیکه سوءمدیریتها هم تماماً اینجاست. به نظرم یک فرد خودش بهتر میتواند از وسایلش مراقبت کند و اگر هم نکرد مسئولیتش را خواهد پذیرفت.
میشود این مقررات را به صورت کامل و روشن ذکر کرد؟
دقیقاً، چون ما کلاً اینها را نمیبینیم و از مشاور و پیمانکار خارجی درس نمیگیریم، تمام اینها فقط به ما گفته شده است. در انتها میبینیم که بیزینس، خرید، سود مالی موقت کوتاهمدت و... کجاست و ضرر این را تماماً مردم میبینند.
شاید فردی مانند آقای حکیمی سودی هم از این تصمیمگیریها نمیبرد؟
خیر، سود خاصی نمیبرد.
پس عجیب است که چنین اصراری دارد؟
به دلیل نداشتن اعتماد است، بانکمرکزی به هیچکس و هیچ جای دیگری اعتماد ندارد.
این همه تجاربی که در آن طرف صورت گرفته چطور؟
چه میتوان گفت؟ در بانکمرکزی اعتماد به کسی ندارند. بنده حدود ۱۰ تا ۱۱ سال پیش مدیر پروژههای مختلف از جمله ساتنا بودم، آن زمان برای این پروژه شرکت انگلیسی ورود پیدا کرد و حسابداری و همهچیز را بهصورت best practice آورد هدفش مدیریت تراکنشهای بینبانکی بود، با انجام تمهیدات آن شرکت، کافی بود دفتر کل بانکمرکزی اتفاقات روزانه را در آخر روز در ساتنا وارد کند، هیچ احدالناسی در بانکمرکزی این تغییر ساده را قبول نکرد که سرجمع کارها آنجا برود. هنوز که هنوز است کل تراکنشهای ساتنا یکبار دیگر کلاً در دفاتر کل بانکمرکزی ثبت میشود. یعنی بهجای اینکه جمع ستونها را بیاورند و به آن استناد کنند سیستم قدیمی خود را دستنخورده باقی گذاشتهاند و طی همان روند سابق کار میکنند. سابقاً به دلیل نبودن سیستم تمام کارها را دستی و چکی انجام داده و در دفتر کل ثبت میکردند، اما درحال حاضر سیستم وجود دارد و بالغ بر روزی ۱۵۰، ۲۰۰ هزار تراکنش در ساتنا ثبت میشود و همه این ۲۰۰ هزار تراکنش یکییکی منتقل شده و در سیستم دفتری سند میخورد.
به نظر شما ریشههای چنین فرآیندهای ناکارآمدی چیست؟
مشکلات تفکری، انحصاری و تمرکزگرایی را ما بسیار در بانکمرکزی مشاهده میکنیم. درست مانند زمانی است که نیروی انتظامی متمرکز بود و پلیس ۱۰+ نداشتیم، مردم بهخاطر گواهینامه چه بدبختیهایی که نمیکشیدند، آن زمان هم اعتماد وجود نداشت که قبول کنند شخص دیگر یا دفتر خصوصیای هم میتواند مدارک گواهینامه را گرفته تأیید کند و برای آنها بفرستد تا کار نهایی را انجام دهند. حتی در رابطه با پاسپورت هم همینطور بود، انجام این کارها توسط نیروی انتظامی ایجاد صفهای طویلی میکرد، که فشار آن به مردم تحمیل میشد، تنها دلیل آن هم ایجاد تمرکزگرایی بود. با وجود گذشت زمان در IT چنین تفکراتی با تغییرات مواجه شده اما هنوز در بانکمرکزی تمرکزگرایی حرف اول را میزند.
فکر میکنید علت این امر چه باشد؟
کسی را ندارند که اینطور فکر کند، افرادی هم که عنوان میکنند آنقدر قدرت ندارند که بتوانند تغییرات را ایجاد کنند، اتفاقاتی که ذکر کردم زمان آقای قالیباف در نیروی انتظامی افتاد تصورم این است که ایشان احتمالاً روحیه و تفکر تحولگرایی دارند درصورتیکه در بانکمرکزی چنین فردی وجود ندارد یا اگر هم هست قدرت کافی ندارد.
با آمدن آقای کرمانشاه انتظار میرفت اتفاقی بیفتاد اما به نظر میرسد ایشان هم به نوعی در سیستم استحاله شدهاند؟
اصلاً مشخص نیست که در زمان آقای کرمانشاه کاری انجام شده یا خیر، اگر هم ایشان چیزی بلد بودند کسی در بانکمرکزی اثر و نتیجهاش را مشاهده نکرد، فکر میکنم پس از گذشت یکسال باید بازدهی آن مشخص میشد ولی هیچ اتفاقی در این مدت نیفتاده است. بانکمرکزی دوره آقای سیف از نظر IT بهشدت نسبت به بانکمرکزیهای قبلی ضعیف بود. اوج قدرت IT در بانکمرکزی زمان دکتر نوربخش بود که به تدریج افت کرد و زمان آقای بهمنی هم که بسیار بد بود، اما در دوران آقای سیف واقعاً تبدیل به افتضاح شد.
بله در این زمان اتفاق ویژهای نیفتاد.
نهتنها اتفاقی نیفتاد بلکه بدتر هم شد. هیچکدام از پروژههای «مؤثر» که از قبل تعریف شده بود در این زمان به اثر و نتیجه نرسید. به نوعی میتوان گفت نقشه راه رها شد. پروژههای CA، نماد، نهاب، سپاس، سَناب و تمام پروژهها به نوعی بهحال خود واگذار شدند، دوران قبل یکسری پروژه تعریف شد که قرار بود هر کدام دردی را درمان کنند که هیچکدام به ثمر ننشست و هیچ خبری هم از ادامه راه آنها نیست.
آیا این وقفه به این خاطر نیست که مقام دیگری آمده و روبهروی گروه فعلی قرار گرفتند؟
فکر میکنم به این خاطر است.
زمانی آقای احمدی به نوعی کار را پیش میبرد و درحال حاضر با ورود آقای کرمانشاه این امر تبدیل به تقابل شده است؟
هم تقابل است و هم زمان موردنیاز برای یادگرفتن افراد جدید خیلی بالاست، حتی آقای حکیمی بعد از تجارب ۱۵ ساله خود در بانکمرکزی چنین اظهاراتی دارد، اما زمانیکه فردی با یکسال سابقه همراه یکسری کارشناس کاملاً بیگانه نسبت به قضیه را وارد میکند، تا محل قسمتهای پازل آیتی بانکی را یاد بگیرند زمان میبرد. پازل بانکمرکزی بزرگ و پیچیده است، تا یاد بگیرند که کدام قطعه کجاست، اولویت کدام بالاتر است، پیشنیازها و پسنیازها را فرا بگیرند دو، سه سال زمان میبرد درصورتیکه این بازه زمانی وقت این کارها نیست. زمانیکه شما یک نفر را وارد میکنید که از لحاظ اخلاق، مَنِش و سبک کاری با فرد قبلی که در رأس قرار داشت بههیچوجه همخوانی ندارند به نوعی فرد قبلی را عقب زدهاید و قدرت را به فرد جدید دادهاید، درنتیجه فرد قبلی را کلاً کنار گذاشتهاید او هم دیگر تمایلی به توضیح پازلها ندارد و آنها را ادامه نخواهد داد. دلیلش این است که فردی را بالای سر او قرار دادهاید که هیچچیز نمیداند، اما قدرت دست اوست. به فرد قبلی هم میگویید تا فراگرفتن موارد کنار او باشد، کاملاً مشخص است اگر خود بنده هم بودم از بانکمرکزی بیرون میآمدم، خیلی جاها برایم این اتفاق افتاده از آنجا بیرون آمدهام. به این دلیل که میگویم وقتی اختیار و قدرت وجود نداشته باشد و تفکر جدید هم اندازه من نداند برای چه باید دانستههایم را منتقل کنم؟ فردی که ورود کرده خودش تفکر دارد، پس بیاید و انجام دهد. در عین حال من هرچه بگویم هم در بهترین حالت ۵۰ درصد آن را گوش خواهد کرد و ۵۰ درصد بقیه را کاری دیگر انجام خواهد داد.
پروژه مبنا به کجا انجامید؟
بله، این پروژه به شکل خیلی بدی رها شد، به دلیل اینکه این پروژه ملی و کلان است نیاز به نه پول بلکه حمایت دارد و بهشدت لازم است مدیر بالای سر آن باشد. آقای احمدی بالای سر چکاوک بود و توانست آن را جمع کند، خودشان بهصورت هفتگی جلساتی برگزار میکردند، در ساتنا دکتر شیبانی و تمام کسانی که معاون هستند مانند آقای کامیاب که در آن زمان از مسئولان مؤثر بانکمرکزی بودند، خانم میرحسینی، آقای مبرهن و... تشکیل جلسات هفتگی میدادند، ما هم باید گزارش میدادیم که چه کارهایی انجام دادهایم. در این طرف بنده، دکتر رستمی و دیگر دوستان حضور داشتیم و این تیم بهصورت هفتگی گزارشهایی تحویل میداد که چه اتفاقاتی روی داده است. زمانیکه معاونها، رئیسکل، قائممقام یا دبیرکل در جلسه حضور داشته باشند یعنی قضیه مهم است و هفتگی دنبال میشود، تا اینکه در بازه زمانی ششماه تا یکسالونیم بعد به نتیجه مطلوب هم برسد. برای مثال در رابطه با سناب میتوانم بگویم در طول یکسالونیم یا دو سالی که من مدیر این پروژه بودم ما حتی یک جلسه هم با رئیسکل، آقای احمدی، قائممقام و هیچکدام از اینها نداشتیم، به دلیل نیامدن اینها آقای حکیمی برای جلسه میآمد، ایشان را هم به دلیل وجود پروژههای زیر برنامهشان ماهی یکبار ملاقات میکردیم، وقتی پروژه به این شکل پیش میرود حتی اگر پول و کارمند تزریق شود اما استراتژی تزریق نشود فایدهای ندارد، استراتژی دوطرفه است شما صحبتهایتان را انجام میدهید و صحبتهای طرف مقابل را میشنوید و به بانکمرکزی میگویید درواقع حکم واسط را اجرا میکنید و وقتی حکیمی هست، حکیمی یک نفر نیست حکیمی پشتش باید کل بانکمرکزی در جریان قرار بگیرند و کار کنند، باید میرفت که در آن سطح کار انجام شود.
یکی از اشکالات همین است که همه میگویند حکیمی اینجا و آنجا هست و این یکی از چالشهاست.
بود و حالا کرمانشاه را آوردند، در زمان حکیمی حداقل چکاوک بود و روی یک پروژه کار میشد، اما الان روی ۵۰ تا پروژه هیچ کاری نشده است. یعنی آن ۵۰-۴۰ پروژه موجود سر نخ تسبیحشان رها شد.
بله، اینطور شده که حکیمی هم به نوبه خودش مقاومت میکند.
اصلاً هر آدمی جای او باشد همین کار را میکند. اگر یکی را بالای سر شما بگذارند و همه قدرت را هم به او بدهند، طرف هم هیچ هماهنگیای نه از نظر سنوسال، اخلاق، مَنِش و دانشی با شما نداشته باشد چه کاری انجام میدهید؟
آینده را چهطور پیشبینی میکنید؟
من همهچیز را نزولی میبینم، همایش بانک الکترونیک، بانکمرکزی، وضعیت پروژهها و هر چیزی که آن طرف میبینم نزولی است. فکر میکنم بهزودی بشنویم که آقای سیف هم عوض شدند یا استعفا دادند و با تحولاتی دیگر روبهرو شویم و از صفر شروع کنیم. حتی تا دولت بعد و مهرماه سال بعد هم امیدی به اینکه این بانکمرکزی و چنین تیمی، کاری از پیش ببرد ندارم، فکر نمیکنم بتوانند طی شش، هفت ماه باقیمانده بگویند کار مهمی انجام میدهند.
شش ماه زمان خاصی برای پروژههای بزرگ نیست.
ما چند پروژه خیلی اولویتدار داریم که اگر انجام نشود زیرساختی برای تحولات آتی نخواهیم داشت. این خیلی بد است و حتی اجازه نمیدهیم ارگانهای خصوصی کاری انجام دهند، دو، سه کار اصلی هست که بانکمرکزی متولی آن است یا حداقل تا الان بوده. یکی بحث بزرگ امضای دیجیتال است، حتماً باید به سروسامانی برسد تا بقیه بیایند و این کار را انجام دهند، یعنی اگر برای این کار مرجعی نداشته باشیم، به درستی پیش نخواهد رفت. درحال حاضر همه بانکها CA اینترنال دارند. هر سیستمی اعم از توسن، خدمات و... بنویسد یک جور کلید تولید کرده و به یکسری دادهاند. حال Token دارند یا از اینترنت بانکشان استفاده میکنند یا نه بحث دیگری است. اما همه یک CA داخلی دارند و اصلاً سیستمی بدون CA نداریم، اما CA ما متولی قانونی ندارد و همه داخل خودشان انجام میشود. به فردی نیاز است که بیاید و بخشنامه بدهد، روش کار و شرایط را بگوید و دستورالعمل صادر کند.
این پروسه بسیار هم ساده است؟!
بله، بسیار ساده است و آنقدر آن را پیچاندهاند که موضوع خطرناک شده است، میتوان گفت از سادگی خیلی سخت شده. ما CA نداریم درصورتیکه باید پلتفرماش را داشته باشیم. مقصودم این نیست که CA بانکمرکزی داشته باشد، بلکه بانکمرکزی روشها و اصلوبهای استفاده از آن را در نظام بانکی را بگوید، فکر میکنم این خیلی ضروری باشد. به نظر من کار سختی هم نیست، مجوز قانونی هم نمیخواهد. فقط یکسری بخشنامه درست و حسابی نیاز دارد که CA ها این کارها را انجام دهند. ابزارش را هم دارد، بانکمرکزی میتواند از این طریق به ۳۱ بانک خودش کلید بدهد. در پایا ما CA داشتیم و از طریق آن به همه بانکها یک جفت کلید میدادیم همین الان هم پایهاش را از همان طرح میزنند. همانطور که مشاهده میکنید CA سخت و پیچیده نیست فقط فکر جمعشدهای میخواهد که در چند ماه آن را ساماندهی کرده و تبدیل به یک طرح اجرایی کند. درخواست CA به نظر من بسیار واجب است. دومین مورد لازم و واجب این است که بانکمرکزی باید در کوتاهمدت بحث استفاده از کیف پول را تعیین تکلیف کند، نمیگویم کیف پول تولید کند به دست مردم بدهد، خطمشیهای کیف پول و چارچوبهای آن را ایجاد کند که مردم بتوانند از آن استفاده کنند، البته خود کیف پول بهشدت به CA مرتبط است.
لطفاً براساس اولویت این ملزومات را نام ببرید.
امضای دیجیتال، کیف پول که کنار دست این قضیه تکلیفش معلوم نیست، اصلاً کیف پول را از بانکمرکزی نمیخواهند، همه از جمله PSP ها درحال حاضر محصولات آزمایشگاهی دارند. دو زیرساخت مهمی که نیاز داریم روی حسابرسی IT است، یعنی برای نظارت بر IT زیرساخت ایجاد شود. این هم کار سختی نیست و حتی میتواند به شرکت خدمات انفورماتیک یا شرکت خودش Atsource کند و میتواند برای اقدام به تأسیس موسسه به شرکتها گواهینامه بدهد. حتی کاشف هم میتواند این کار را انجام دهد، مگر پست کاشف امنیت و نظارت نیست؟ میتواند متولی شده و مرکز ارائه گواهی IT Auditor ی، حسابرسی IT شرکتهای بانکی باشد.
در ایران لااقل سازمان خیلی موفق مانند سازمان حسابرسان رسمی وجود دارند که خیلی هم کاربردی است و تجربیات آن هم موجود است.
بله، تجربیات مشابه آن در کشور وجود داشته که مهم است، بحث مهم دیگر risk base Approach کردن شبکه پرداخت ماست. نمیگویم EMV اش را صددرصد کنیم بلکه فقط EMV راهکار آن است، اما یک روش risk base شده روی نظام کارتی باید انجام دهیم. یعنی باز هم با کیف پول به شدت هماهنگ است، ممکن است راهکار کیف پول این باشد که هدفمان استفاده از کیف پول نیست، اما تغییراتی در ساختار مرکز شتاب میدهیم که کارتهای شما قابلیت انجام عملکرد خودبهخودی تا مبلغ مشخصی را داشته باشد، حتی نهفقط کارت بلکه موبایل، لپتاپ و... . امکاناتی اضافه شود که در همان شبکه زیر ۵۰ هزار تومان نیازی به یکسری چیزها نباشد، همان کاری که EMV کرد، بعد از تبدیل به کارت هوشمند این کارها را انجام داد. اگر بتواند روی موبایل، اسمارتکارت، NFC و... وصل بشود، بهشدت میتواند بار شبکه را کم کند. به دلیل اینکه وقتی خریدی زیر ۵۰ هزار تومان انجام میشود اگر مستقیم از گوشی انتقال پیدا کند و به مرکز نرود گوشی با POS کار کرده است، یا همینطور استفاده از امکانات دیگر اگر از رفتن این تراکنشها با مبالغ اندک به مرکز جلوگیری کند بسیار کار ارزشمندی است، این تراکشها میتواند بعداً با ۵۰ تراکنش دیگر یکباره به مرکز برود و بیاید، بهجای اینکه هر دو هزار تومانی خرید شارژ به مرکز هم برود و بیاید. ریسکش هم این است که اگر POS آتش گرفت و مغازه سوخت در آخر ۲۰۰ تومان یا ۵۰ تومان رفته است نه اینکه کل سیستم رفته باشد. این risk base Approach هم زیرساخت بسیار مهمی است که باید در کوتاهمدت برای آن تصمیمگیری شود.
اگر نکتهای دیگر هست در جمعبندی صحبتهایتان بگویید.
جمعبندی اول کارهایی بود که در اولویت بانکمرکزی قرار داشتند و جمعبندی دوم هم در بحث قبلی بود که بانکمرکزی نیاز به بازنگری دارد، با این آدمها بعید میدانم بتواند بازخورد خوبی داشته باشد.
این مساله خیلی مأیوسکننده است.
برای همین از آنجا بیرون آمدهام، ضمن اینکه من کاملاً دولتی هم نبودم که بگویید کارمند صددرصد هستم، زیرمجموعه شرکت بورسی بودیم ولی کاملاً جدا شدم و بیرون آمدم که در بخش خصوصی فعالیت کنم و از زمانی هم که آقای سیف و تیمش وارد کار شدند، امیدم را نسبت به پژوهشکده، خدمات و زیرمجموعههای بانکمرکزی از دست دادهام.