Cyberbezpieczeństwo najważniejszym ryzykiem dla banków
Cyberbezpieczeństwo to najpoważniejsze zmartwienie zarządzających ryzykiem w bankach, wynika z najnowszego raportu EY oraz Instytutu Finansów Międzynarodowych. Zaraz za nim plasuje się ryzyko kredytowe. W palecie ryzyk mocno zaznaczyła swoją obecność geopolityka.
Ostatnie wydarzenia na świecie dość poważnie skomplikowały zarządzanie ryzykiem. Z jednej strony niepewność i zmienność, a z drugiej panujące w sektorze bankowym poczucie, że wszystko dzieje się na raz. To zmusza członków zarządu zarządzających ryzykiem (Chief Risk Officer, CRO) do znajdywania nowych narzędzi i talentów pozwalających efektywnie działać.
Cyberbezpieczeństwo, na które jako na najważniejszy rodzaj ryzyka wskazało 72 proc. badanych, wyprzedziło ryzyko kredytowe w tegorocznej edycji badania (59 proc. wskazań). Rok temu kolejność była odwrotna – numerem jeden dla CRO było ryzyko kredytowe, z 98 proc. wskazań a za nim plasowało się cyberbezpieczeństwo, z 80 proc. wskazań. Jednym z kluczowych ryzyk jest geopolityka, która wykonała największy skok w górę na liście, wynika z dwunastej edycji badania EY oraz Instytutu Finansów Międzynarodowych (IIF), zatytułowanego „Szukając stabilności w zmienności: Jak współzależne typy ryzyka przesuwają dyrektorów ryzyka w centrum biznesu bankowego”.
W tym roku cyberbezpieczeństwo wysforowało się na czoło rankingu ryzyka jako pokłosie wojny w Ukrainie, która jest katalizatorem szeregu ataków cybernetycznych na banki. Rozliczne czynniki wśród których jest m.in. rozległa infrastruktura banków, konieczność coraz szerszej współpracy z wachlarzem interesariuszy i kontynuacja zagrożeń geopolitycznych powodują, że ryzyko związane z cyberzagrożeniami prawdopodobnie zostanie z nami przez dłuższy czas. Nie można jednak zapominać o ryzyku kredytowym, zwłaszcza w kontekście pogarszającej się sytuacji makroekonomicznej i gospodarczej oraz wysokiej inflacji, które mogą spowodować większe niż w ciągu ostatnich lat straty kredytowe – mówi Paweł Preuss, Partner EY, Lider sektora finansowego.
Zdecydowana większość systemowo istotnych banków (83 proc.), które wzięły udział w badaniu, uważa, że najważniejszymi rodzajami ryzyka są geopolityka, zmiany klimatyczne oraz ryzyko kredytowe. Geopolityka jest ryzykiem numer jeden dla CRO w Europie, wskazało na nią prawie 2/3 wszystkich banków (62 proc.).
Wśród najczęściej wymienianych rodzajów ryzyka, którymi CRO muszą się zając w ciągu najbliższych pięciu lat, są kwestie klimatyczne, w tym raportowanie ESG (środowisko, społeczeństwo, ład korporacyjny) z 65 proc. wskazań, oraz transformacja cyfrowa i ochrona danych.
CRO najbardziej martwią wydarzenia dziejące się poza ich organizacjami, na które nie mają wpływu. Takim ryzykiem są cyberataki. Coraz bardziej wymyślne sposoby hakowania oraz ciągła cyfryzacja zwiększają znaczenie cyberbezpieczeństwa w perspektywie krótko i długoterminowej. Ponad połowa respondentów (58 proc.) twierdzi, że w ciągu 3 lat zarządzanie ryzykiem cyberbezpieczeństwa będzie dla nich najważniejszym zadaniem, a 25 proc. dodaje zarządzanie chmurą oraz bezpieczeństwem danych, w tym osobowych.
Cyberataki stały się tak powszechne, że część CRO chce odejść od dotychczasowego skupienia funkcji cyberbezpieczeństwa w jednym dziale na rzecz upowszechnienia kompetencji zarządzania cyberryzykiem koordynowanej w sposób zwinny poprzez wyspecjalizowane zespoły budowane w całej organizacji. Do walki z cyberatakami banki coraz częściej sięgają po zaawansowane technologie, już 35% CRO twierdzi, że używa sztucznej inteligencji i uczenia maszynowego do identyfikowania zagrożeń – podkreśla Piotr Ciepiela, Partner EY, Globalny Lider Bezpieczeństwa Architektury i Nowoczesnych Technologii.
Atak Rosji na Ukrainę w lutym 2022 roku przesunął geopolitykę na jedno z pierwszych miejsc na liście najważniejszych ryzyk dla banków. Ale to nie jedyny powód napięć na świecie, gdyż brane pod uwagę są także relacje chińsko-amerykańskie, inne regionalne konflikty, a także odejście od globalizacji, czyli jej spowolnienie rozumiane jako ograniczenie międzynarodowej wymiany handlowej.
To unikalne ryzyko, które ma wymierny wpływ na banki, np. poprzez konieczność dostosowywania się do nakładanych na Rosję sankcji. Ale ma także w sobie element niepewności, który zmusza banki do określenia poziomu komfortu wobec wydarzeń, na które nie mają bezpośredniego wpływu – mówi Janusz Miszczak, Partner EY, Lider Działu Zarządzania Ryzykiem Finansowym i Analityki.
Ponad połowa respondentów (62 proc.) uważa, że w ciągu roku ryzyko geopolityczne będzie miało wpływ na ich organizacje. Wśród systemowo istotnych banków takie zdanie podziela aż 84 proc. Zdaniem 45 proc. banków, zmienność rynkowa wynikająca z geopolityki będzie miała znaczący lub duży wpływ na ekspozycję banków na ryzyko rynkowe.
Nie należy zapominać, że zawirowania geopolityczne oznaczają także większe ryzyko cyberataków, co podkreślało 62 proc. CRO (w 2021 roku mówiło o tym zaledwie 36 proc.). Niektóre banki rozważają nawet przeniesienie swoich centrów bezpieczeństwa z Europy Wschodniej oraz innych potencjalnie zagrożonych regionów do Europy Zachodniej.
W momencie przeprowadzania badania większość banków była zadowolona z jakości swego portfela kredytowego. Wzmocnienie standardów zarządzania ryzykiem kredytowym oraz zaostrzenie polityk kredytowych wprowadzone w ciągu ostatnich 15 lat, jako wynik kryzysu finansowego, przyniosło efekty. Spowolnienie gospodarcze i zmienność rynku powinny skłaniać CRO do utrzymywania podwyższonej uwagi na ten obszar na przestrzeni najbliższych miesięcy.
Klimat jest bez wątpienia jednym z trzech najważniejszych rodzajów ryzyka, o którym mówią obecnie CRO. Ponad 1/3 z nich (36 proc.) wymieniła zmiany klimatyczne jako najważniejsze ryzyko w ciągu najbliższych 12 miesięcy, ale w 2021 roku tak twierdziło aż 49 proc.. Ten spadek jest najpewniej efektem wzrostu znaczenia ryzyka cyberbezpieczeństwa oraz geopolitycznego.
Geopolityki nie da się całkiem oddzielić od zmian klimatycznych. Nie można bowiem pominąć wpływu wojny na Ukrainie i wywołanego przez nią kryzysu energetycznego w Europie na środowisko naturalne – dodaje Janusz Miszczak.
W perspektywie najbliższych lat, już 65 proc. CRO wskazuje zmiany klimatyczne jako najpoważniejsze ryzyko dla ich organizacji, którym trudno jest zarządzać, ponieważ obejmuje zarówno fizyczne zagrożenia, jak i zmiany wywołane transformacją w stronę zielonej gospodarki. Ryzyka klimatycznego nie można też rozpatrywać bez uwzględnienia regulatorów – 71 proc. respondentów jest zdania, że w ciągu najbliższych pięciu lat zostaną bankom narzucone kolejne regulacje dotyczące klimatu.
Nasze badanie pokazuje, że konieczne jest stworzenie solidnej taksonomii oraz monitorowanie nowych produktów z zakresu ESG. Bez odpowiednich mierników banki mogą nie dać sobie rady z wypełnianiem oczekiwań regulatorów związanych z produktami ESG. A wręcz mogą coraz częściej być oskarżane o greenwashing – uważa Paweł Preuss.
Większa i bardziej kompleksowa kontrola ryzyka oznacza wzrost kosztów zarządzania nim, na co wskazuje 85 proc. respondentów (rok wcześniej było to 69 proc.). Prawie 1/3 przewiduje wzrost kosztów o ponad 15 proc.
Głównym powodem rosnących kosztów są nowe regulacje i oczekiwania nadzorcze (wg 56 proc. respondentów), przyspieszona transformacja cyfrowa (56 proc.) i większe nakłady na cyberbezpieczeństwo (53 proc.). Automatyzacja, która w 2021 roku była na pierwszym miejscu spadła na czwarte, co oznacza, że się po prostu dokonała.
CRO w ogóle traktują technologię jako sposób na optymalizację zarządzania ryzykiem i efektywniejsze wykonywanie pracy. W coraz większym stopniu patrzą na sztuczną inteligencję oraz uczenie maszynowe jako narzędzia, które pozwalają zautomatyzować niektóre procesy i zadania, wspierać procesy przyznawania kredytów, identyfikować cyberataki oraz monitorować potencjalne przestępstwa finansowe.
W badaniu EY oraz Instytutu Finansów Międzynarodowych wzięli udział zarządzający ryzykiem z 88 banków z 30 krajów z całego świata. Badanie było prowadzone od czerwca 2022 r. do października 2022 r. 36 proc. banków biorących udział w badaniu pochodziło z USA, 19 proc. z Bliskiego Wschodu i Afryki, 18 proc. z Południowej Ameryki, 16 proc. z Europy i 11 proc. z regionu Azji i Pacyfiku.
PR/RO
CZYTAJ TEŻ: Cyberbezpieczeństwo. Gdzie jest najsłabsze ogniwo?