Niezmiennie od kilku lat najważniejszym rodzajem ryzyka dla banków są cyberzagrożenia. Istotności nabrało ryzyko geopolityczne, które w tegorocznym badaniu EY oraz Instytutu Finansów Międzynarodowych (IIF) zajęło trzecie miejsce, podczas gdy rok temu było dopiero na 12. pozycji.
Najważniejsze rodzaje ryzyka wynikają z działania sił zewnętrznych, od polityki monetarnej po napięcia handlowe i konflikty geopolityczne oraz ewolucji modeli operacyjnych i postępującej digitalizacji – wynika z 14. badania dotyczącego zarządzania ryzykiem w sektorze bankowym zatytułowanego „Zwinność w zmienności: przywrócenie równowagi priorytetów CRO w zmieniającej się agendzie ryzyka”.
10 rodzajów ryzyka najważniejszych dla CRO w ciągu najbliższych 12 miesięcy
Wzrost znaczenia geopolityki wynika z wojny w Ukrainie, konfliktów na Bliskim Wschodzie oraz napiętych relacji handlowych. Dlatego 38% członków zarządu ds. ryzyka (CRO) wskazało geopolitykę jako istotne ryzyko, co oznacza wzrost o 137% rok do roku (wtedy było to jedynie 16% wskazań). To drugie najpoważniejsze ryzyko wskazywane przez członków zarządów banków zajmujących się ryzykiem, zaraz po cyberryzykach, które wskazało 72% badanych. Dla 36% respondentów istotne są zmieniające się wymagania regulacyjne, a dla 31% kwestie związane z ESG.
– Z roku na rok rośnie waga cyberzagrożeń a ich dominacja jest obecnie bezsprzeczna. Wart zauważenia jest istotny wzrost znaczenia ryzyk geopolitycznych oraz przetasowanie w zakresie głównych ryzyk finansowych. Kwestie geostrategiczne budzą duże zaniepokojenie wśród CRO z powodu szerokiego zakresu ich potencjalnych konsekwencji dla banków, od wzrostu inflacji po odporność operacyjną. CRO stawiają czoła coraz większej liczbie różnorodnych ryzyk. Dlatego podchodzą oni coraz bardziej proaktywnie do zarządzania ryzykiem, aby reagować na nie bardziej zwinnie i skutecznie – mówi Paweł Preuss, Partner EY Polska, lider sektora finansowego.
Szefowie ryzyka istotnych systemowo banków na świecie (G-SIB) widzą podział ryzyk nieco inaczej; ponad połowa z nich (55%) podkreślała znaczenie regulacji.
– Nieco inne spojrzenie największych banków nie jest zaskoczeniem, ponieważ podlegają one większej liczbie regulacji, a w wielu jurysdykcjach są jedynymi zobowiązanymi do przestrzegania przepisów Bazylei III – dodaje Paweł Preuss.
W ciągu najbliższych trzech lat cyberbezpieczeństwo niezmiennie będzie priorytetem dla CRO, razem z technologią, w tym sztuczną inteligencją (AI), geopolityką i ESG.
Kwestie niepokojów na świecie wskazywane jako bardzo poważne ryzyko są różnie traktowane w zależności od wielkości badanego banku i regionu, w którym działa. Ponad połowa, bo aż 64% Globalnie Systemowo Ważnych Banków (G-SIB), umieściła geopolitykę w pierwszej piątce.
Zmiany geopolityczne to nie tylko konflikty zbrojne czy handlowe, ale także potencjalne zagrożenie cyberatakami inspirowanymi przez państwa lub organizacje przestępcze – uważa Janusz Miszczak, Partner EY, Lider Działu Zarządzania Ryzykiem Finansowym i Analityki.
Aby zarządzać ryzykiem geopolitycznym, CRO chcą wzmocnić zabezpieczenia systemów informatycznych, analizować sytuację i przygotowywać odpowiednie scenariusze, a także wprowadzać dokładniejsze zasady zgodności z przepisami. Ponad połowa (56%) zapowiada, że geopolityka stanie się jednym z ważniejszych priorytetów w ich działalności.
Ryzyko finansowe
Najnowsze badanie EY pokazało, że żadne z rodzajów ryzyka finansowego nie znalazło się w pierwszej dziesiątce najpoważniejszych rodzajów ryzyka. Wśród najważniejszych w ciągu najbliższego roku, CRO wymienili hurtowe ryzyko kredytowe, wskazane przez 1/3 respondentów. Ryzyko kredytowe klientów detalicznych będzie ważne dla 24%, a dla niecałej 1/5 (19%) będzie to ryzyko płynności i finansowania. Prawie tyle samo CRO (18%) wymieniło także ryzyko stopy procentowej w księdze bankowej (IRRBB).
Warto pamiętać, że biznes bankowy to w istocie zarządzanie ryzykiem finansowym. Widać efekty wieloletnich inwestycji w ludzi i narzędzia, ponieważ szefowie ryzyka mają wysokie przekonanie o zdolności kontrolowania tego ryzyka – mówi Janusz Miszczak.
Większość CRO (67%) powiedziała, że ma wystarczające ramy zarządzania ryzykiem finansowym, a ¼ twierdziła, że opiera je na najlepszych praktykach. Planują dalsze ograniczenia poprzez zaostrzenie standardów kredytowych, zwłaszcza dla sektorów wysokiego ryzyka, oraz zwiększenie wymagań dotyczących zabezpieczeń.
Ryzyko klimatyczne i zrównoważonego rozwoju
Ponad połowa CRO (53%) stwierdziła, że ryzyko związane z ujawnianiem informacji dotyczących ESG jest poważnym ryzykiem, zwłaszcza wizerunkowym. Prawie tyle samo (48%) wymieniło bezpośrednie skutki zmian klimatycznych. Transformacja w stronę zrównoważonego rozwoju to ryzyko dla 44%, a dla 42% zarządzanie celami i zadaniami publicznymi.
Obawy związane z ESG są traktowane jako nieco mniej istotne, zwłaszcza w porównaniu z poprzednimi latami. Ale sprawozdawczość ESG w krajach unijnych, wymuszona m.in. przez CSRD, nadal pozostaje w centrum uwagi – uważa Paweł Flak, Lider Doradztwa Regulacyjnego FS EY.
Zdaniem 63% CRO w ciągu roku oraz w perspektywie trzech lat ryzyko klimatyczne może mieć wpływ na ryzyko kredytowe, ale za to ryzyko wizerunkowe powinno się – ich zdaniem – zmniejszać.
Regulacje
Badane przez EY banki działają w różnych częściach świata, a poszczególne jurysdykcje mają odrębne priorytety. Stanowi to poważne wyzwanie dla CRO. Zdaniem ponad połowy z nich regulacje ostrożnościowe mają największą istotność, obok odporności operacyjnej oraz cybernetycznej.
Bazylea III, czyli międzynarodowe umowy przygotowane przez Bazylejski Komitet Nadzoru Bankowego regulujące działalność bankową, obejmują większość respondentów. Okazało się, że 21% jest już blisko finalizacji dostosowania się do nowych przepisów, a 18% już jest w pełni przygotowanych. Najlepiej radzą sobie istotne systemowo banki.
Większe banki koncentrują się przede wszystkim na wpływie zmienianych wymogów kapitałowych na konkurencyjność oraz na rosnących kosztach dostosowania się do regulacji. Widać też różnice w przepisach poszczególnych regionów, zwłaszcza między USA a Unią Europejską. Dotyczą one np. kapitału czy płynności finansowej i mają wpływ na konkurencyjność instytucji finansowych w USA i UE – uważa Janusz Miszczak.
Odporność operacyjna
Nagłośnione w mediach zakłócenia w działaniu systemów IT latem 2024 roku pokazały, jak ważne jest, aby strategia zachowania ciągłości działalności była wdrażana we wszystkich obszarach działalności firmy. CRO twierdzą, że ich najważniejsze priorytety w zakresie zwiększania odporności operacyjnej na najbliższe trzy lata obejmują cyberbezpieczeństwo, dane oraz technologie.
Banki stosują szereg metod, które pozwalają uwzględnić odporność operacyjną w apetycie na ryzyko, ale tylko 14% CRO z największych organizacji wskazało ją wśród pięciu najważniejszych rodzajów ryzyka w nadchodzących 12 miesiącach.
Sztuczna inteligencja w zarządzaniu ryzykiem
Prawie połowa badanych CRO (45%) wykorzystuje AI do analizy danych, w tym wykrywania anomalii, a 41% do automatyzacji zadań operacyjnych. Niewiele mniej, bo 40% analizuje dokumenty z pomocą sztucznej inteligencji.
Najważniejsze jest używanie AI do przeciwdziałania wielu rodzajom ryzyka, począwszy od oszustw (59%), poprzez zgodność z regulacjami (44%), aż po ryzyko kredytowe (40%).
Przeszkodą w powszechnym stosowaniu AI są ograniczenia budżetowe. Ponadto 60% wskazało na problemy z opracowaniem programu odpowiedzialnej sztucznej inteligencji, a 42% respondentów narzekało na brak odpowiednich kwalifikacji pracowników.
Dlatego CRO szukają osób, które mają biznesową i specjalistyczną wiedzę technologiczną. Połowa z nich uważa, że w długoterminowej perspektywie przyciąganie i zatrzymywanie talentów będzie w branży bankowej coraz trudniejsze.