Cyberbezpieczeństwo to najpoważniejsze zmartwienie zarządzających ryzykiem w bankach, wynika z najnowszego raportu EY oraz Instytutu Finansów Międzynarodowych. Zaraz za nim plasuje się ryzyko kredytowe. W palecie ryzyk mocno zaznaczyła swoją obecność geopolityka. Ostatnie wydarzenia na świecie dość poważnie skomplikowały zarządzanie ryzykiem. Z jednej strony niepewność i zmienność, a z drugiej panujące w sektorze bankowym poczucie, że wszystko dzieje się na raz.
To zmusza członków zarządu zarządzających ryzykiem (Chief Risk Officer, CRO) do znajdywania nowych narzędzi i talentów pozwalających efektywnie działać.
Cyberbezpieczeństwo, na które jako na najważniejszy rodzaj ryzyka wskazało 72% badanych, wyprzedziło ryzyko kredytowe w tegorocznej edycji badania (59% wskazań). Rok temu kolejność była odwrotna – numerem jeden dla CRO było ryzyko kredytowe, z 98% wskazań a za nim plasowało się cyberbezpieczeństwo, z 80% wskazań. Jednym z kluczowych ryzyk jest geopolityka, która wykonała największy skok w górę na liście, wynika z dwunastej edycji badania EY oraz Instytutu Finansów Międzynarodowych (IIF), zatytułowanego „Szukając stabilności w zmienności: Jak współzależne typy ryzyka przesuwają dyrektorów ryzyka w centrum biznesu bankowego”.
– W tym roku cyberbezpieczeństwo wysforowało się na czoło rankingu ryzyka jako pokłosie wojny w Ukrainie, która jest katalizatorem szeregu ataków cybernetycznych na banki. Rozliczne czynniki wśród których jest m.in. rozległa infrastruktura banków, konieczność coraz szerszej współpracy z wachlarzem interesariuszy i kontynuacja zagrożeń geopolitycznych powodują, że ryzyko związane z cyberzagrożeniami prawdopodobnie zostanie z nami przez dłuższy czas. Nie można jednak zapominać o ryzyku kredytowym, zwłaszcza w kontekście pogarszającej się sytuacji makroekonomicznej i gospodarczej oraz wysokiej inflacji, które mogą spowodować większe niż w ciągu ostatnich lat straty kredytowe – mówi Paweł Preuss, Partner EY, Lider sektora finansowego.
Zdecydowana większość systemowo istotnych banków (83%), które wzięły udział w badaniu, uważa, że najważniejszymi rodzajami ryzyka są geopolityka, zmiany klimatyczne oraz ryzyko kredytowe. Geopolityka jest ryzykiem numer jeden dla CRO w Europie, wskazało na nią prawie 2/3 wszystkich banków (62%).
Klimat na czele średnioterminowych ryzyk
Wśród najczęściej wymienianych rodzajów ryzyka, którymi CRO muszą się zając w ciągu najbliższych pięciu lat, są kwestie klimatyczne, w tym raportowanie ESG (środowisko, społeczeństwo, ład korporacyjny) z 65% wskazań, oraz transformacja cyfrowa i ochrona danych.
Siły zewnętrzne – cyberbezpieczeństwo
CRO najbardziej martwią wydarzenia dziejące się poza ich organizacjami, na które nie mają wpływu. Takim ryzykiem są cyberataki. Coraz bardziej wymyślne sposoby hakowania oraz ciągła cyfryzacja zwiększają znaczenie cyberbezpieczeństwa w perspektywie krótko i długoterminowej. Ponad połowa respondentów (58%) twierdzi, że w ciągu 3 lat zarządzanie ryzykiem cyberbezpieczeństwa będzie dla nich najważniejszym zadaniem, a 25% dodaje zarządzanie chmurą oraz bezpieczeństwem danych, w tym osobowych.
– Cyberataki stały się tak powszechne, że część CRO chce odejść od dotychczasowego skupienia funkcji cyberbezpieczeństwa w jednym dziale na rzecz upowszechnienia kompetencji zarządzania cyberryzykiem koordynowanej w sposób zwinny poprzez wyspecjalizowane zespoły budowane w całej organizacji. Do walki z cyberatakami banki coraz częściej sięgają po zaawansowane technologie, już 35% CRO twierdzi, że używa sztucznej inteligencji i uczenia maszynowego do identyfikowania zagrożeń – podkreśla Piotr Ciepiela, Partner EY, Globalny Lider Bezpieczeństwa Architektury i Nowoczesnych Technologii.
Siły zewnętrzne – geopolityka
Atak Rosji na Ukrainę w lutym 2022 roku przesunął geopolitykę na jedno z pierwszych miejsc na liście najważniejszych ryzyk dla banków. Ale to nie jedyny powód napięć na świecie, gdyż brane pod uwagę są także relacje chińsko-amerykańskie, inne regionalne konflikty, a także odejście od globalizacji, czyli jej spowolnienie rozumiane jako ograniczenie międzynarodowej wymiany handlowej.
– To unikalne ryzyko, które ma wymierny wpływ na banki, np. poprzez konieczność dostosowywania się do nakładanych na Rosję sankcji. Ale ma także w sobie element niepewności, który zmusza banki do określenia poziomu komfortu wobec wydarzeń, na które nie mają bezpośredniego wpływu – mówi Janusz Miszczak, Partner EY, Lider Działu Zarządzania Ryzykiem Finansowym i Analityki.
Ponad połowa respondentów (62%) uważa, że w ciągu roku ryzyko geopolityczne będzie miało wpływ na ich organizacje. Wśród systemowo istotnych banków takie zdanie podziela aż 84%. Zdaniem 45% banków, zmienność rynkowa wynikająca z geopolityki będzie miała znaczący lub duży wpływ na ekspozycję banków na ryzyko rynkowe.
Nie należy zapominać, że zawirowania geopolityczne oznaczają także większe ryzyko cyberataków, co podkreślało 62% CRO (w 2021 roku mówiło o tym zaledwie 36%). Niektóre banki rozważają nawet przeniesienie swoich centrów bezpieczeństwa z Europy Wschodniej oraz innych potencjalnie zagrożonych regionów do Europy Zachodniej.
Ryzyko kredytowe
W momencie przeprowadzania badania większość banków była zadowolona z jakości swego portfela kredytowego. Wzmocnienie standardów zarządzania ryzykiem kredytowym oraz zaostrzenie polityk kredytowych wprowadzone w ciągu ostatnich 15 lat, jako wynik kryzysu finansowego, przyniosło efekty. Spowolnienie gospodarcze i zmienność rynku powinny skłaniać CRO do utrzymywania podwyższonej uwagi na ten obszar na przestrzeni najbliższych miesięcy.
Zmiany klimatyczne
Klimat jest bez wątpienia jednym z trzech najważniejszych rodzajów ryzyka, o którym mówią obecnie CRO. Ponad 1/3 z nich (36%) wymieniła zmiany klimatyczne jako najważniejsze ryzyko w ciągu najbliższych 12 miesięcy, ale w 2021 roku tak twierdziło aż 49%. Ten spadek jest najpewniej efektem wzrostu znaczenia ryzyka cyberbezpieczeństwa oraz geopolitycznego.
– Geopolityki nie da się całkiem oddzielić od zmian klimatycznych. Nie można bowiem pominąć wpływu wojny na Ukrainie i wywołanego przez nią kryzysu energetycznego w Europie na środowisko naturalne – dodaje Janusz Miszczak.
W perspektywie najbliższych lat, już 65% CRO wskazuje zmiany klimatyczne jako najpoważniejsze ryzyko dla ich organizacji, którym trudno jest zarządzać, ponieważ obejmuje zarówno fizyczne zagrożenia, jak i zmiany wywołane transformacją w stronę zielonej gospodarki. Ryzyka klimatycznego nie można też rozpatrywać bez uwzględnienia regulatorów – 71% respondentów jest zdania, że w ciągu najbliższych pięciu lat zostaną bankom narzucone kolejne regulacje dotyczące klimatu.
– Nasze badanie pokazuje, że konieczne jest stworzenie solidnej taksonomii oraz monitorowanie nowych produktów z zakresu ESG. Bez odpowiednich mierników banki mogą nie dać sobie rady z wypełnianiem oczekiwań regulatorów związanych z produktami ESG. A wręcz mogą coraz częściej być oskarżane o greenwashing – uważa Paweł Preuss.
Koszty zarządzania ryzykiem
Większa i bardziej kompleksowa kontrola ryzyka oznacza wzrost kosztów zarządzania nim, na co wskazuje 85% respondentów (rok wcześniej było to 69%). Prawie 1/3 przewiduje wzrost kosztów o ponad 15%.
Głównym powodem rosnących kosztów są nowe regulacje i oczekiwania nadzorcze (wg 56% respondentów), przyspieszona transformacja cyfrowa (56%) i większe nakłady na cyberbezpieczeństwo (53%). Automatyzacja, która w 2021 roku była na pierwszym miejscu spadła na czwarte, co oznacza, że się po prostu dokonała.
CRO w ogóle traktują technologię jako sposób na optymalizację zarządzania ryzykiem i efektywniejsze wykonywanie pracy. W coraz większym stopniu patrzą na sztuczną inteligencję oraz uczenie maszynowe jako narzędzia, które pozwalają zautomatyzować niektóre procesy i zadania, wspierać procesy przyznawania kredytów, identyfikować cyberataki oraz monitorować potencjalne przestępstwa finansowe.
O badaniu
W badaniu EY oraz Instytutu Finansów Międzynarodowych wzięli udział zarządzający ryzykiem z 88 banków z 30 krajów z całego świata. Badanie było prowadzone od czerwca 2022 r. do października 2022 r. 36% banków biorących udział w badaniu pochodziło z USA, 19% z Bliskiego Wschodu i Afryki, 18% z Południowej Ameryki, 16% z Europy i 11% z regionu Azji i Pacyfiku.