Обзор глобального управления рисками - Deloitte

11- е издание Глобального опроса по управлению рисками, проведенного Deloitte, является последним выпуском в данной серии опросов, в котором оцениваются отраслевые методы управления рисками и проблемы, с которыми сталкивается бизнес. Опрос проводился с марта 2018 года по июль 2018 года, в нем приняли участие 94 финансовые учреждения по всему миру, которые работают в целом ряде финансовых секторов с совокупными активами в 29,1 триллиона долларов США.

Несмотря на относительное спокойствие в мировой экономике, управление рисками сегодня сталкивается с рядом существенных нарастающих рисков, которые потребуют от финансовых учреждений переосмысления традиционных подходов. Глобальная экономика укрепилась, но грозовые тучи остаются на горизонте в виде напряженности из-за тарифных разногласий между Соединенными Штатами, Китаем, Европейским союзом и другими странами, которые потенциально могут привести к снижению объемов торговли.

Глобальный экономический рост был обусловлен слабым ростом в Европе в сочетании с более медленно растущей китайской экономикой, обремененной повышением уровня задолженности. В связи с отсутствием окончательного соглашения о Brexit между Европейским союзом и Соединенным Королевством сохраняется значительная неопределенность в отношении его воздействия на многие компании.

В то время как цунами изменений в регулировании после финансового кризиса, похоже, достигло апогея, финансовые учреждения готовятся к реализации ряда нормативных требований, которые еще предстоит завершить, и оценивают все последствия реализации тех, которые были недавно завершены. Между тем, глобальные институты сталкиваются с условиями, в которых нормативные акты становятся все более фрагментированными в разных юрисдикциях.

Изменения Базельского комитета по банковскому надзору (Базельский комитет) в отношении достаточности капитала и других требований в рамках Базеля III, хотя и завершены, но еще не приняты и могут быть пересмотрены местными регулирующими органами.
Международная ассоциация страховых надзоров (IAIS) работает над глобальным стандартом требований к страховому капиталу (ICS), многие вопросы которого остаются нерешенными, в том числе определение основы оценки и определение роли внутренних моделей в определении требований к капиталу.

Окончательное соглашение о выходе Соединенного Королевства из Европейского союза в рамках Brexit, о котором все еще ведутся переговоры, окажет важное влияние на надзор за рынками и финансовыми учреждениями, базирующимися в Великобритании и Европе, а также на практику операций и моделей инвестиционного банкинга.

Общее положение о защите данных ЕС (GDPR), вступившее в силу в мае 2018 года, налагает новые обязательства на все финансовые учреждения, которые имеют данные о гражданах ЕС, для обеспечения согласия потребителя на их использование, среди прочих требований. Инициативы по повышению конфиденциальности данных также осуществляются в Индии и Китае. Во многих юрисдикциях больше внимания уделялось риску поведения участников финансового рынка , в частности, Королевской комиссией Австралии по делам о проступках в сфере банковских, пенсионных и финансовых услуг.

В последние годы финансовые учреждения улучшили возможности своих программ управления рисками для управления традиционными типами рисков, такими как рыночный, кредитный и риск ликвидности. Управление нефинансовым риском в настоящее время приобретает все большее значение, как для регулирующих органов, так и для учреждений. Среди многих нефинансовых рисков все более изощренные кибератаки со стороны отдельных лиц и национальных государств сделали кибербезопасность главной заботой. Хорошо описанные случаи ненадлежащего поведения в крупных финансовых учреждениях подчеркивают важность управления риском поведения. Рисковые события у третьих сторон, нанятых финансовыми учреждениями, могут привести к значительным финансовым потерям и репутационному ущербу.

Финансовые учреждения должны рассмотреть возможность реорганизации своих программ управления рисками для развития возможностей, необходимых для решения этих задач и некоторые из них уже предприняли усилия по улучшению этих программ. Модель управления рисками в виде трехуровневой защиты должна быть пересмотрена, чтобы уточнить обязанности каждого уровня защиты, особенно бизнес-подразделений и функций, включенных в уровень 1. Управление данными о рисках во многих учреждениях, вероятно, потребуется улучшить, чтобы обеспечить доступность качественных и своевременных данных, которые необходимы для стресс-тестирования, управления операционными рисками и других приложений.

Финансовым учреждениям также следует рассмотреть использование возможностей цифровых технологий, таких как роботизированная автоматизация процессов (RPA), машинное обучение, когнитивная аналитика, облачные вычисления и обработка естественного языка, для повышения как эффективности бизнеса в целом, так и эффективности управления рисками. Эти инструменты помогут снизить затраты за счет автоматизации ручных задач, таких как разработка отчетов о рисках или проверка транзакций. Они также могут автоматически сканировать широкий спектр данных во внутренней и внешней средах для выявления и реагирования на новые риски, возникающие угрозы и злоумышленников.

Наконец, управление рисками компании должно быть включено в стратегию, чтобы аппетит к риску и его реализация были ключевыми факторами в процессе разработки стратегического плана и стратегических целей компании.

В качестве основных результатов, исследование отмечает:

Продолжается рост киберриска

Был достигнут широкий консенсус в отношении того, что киберриск является типом риска, который приобретает наибольшее значение, поскольку 67% респондентов назвали киберриск одним из трех рисков, которые в ближайшие два года станут наиболее важными для их бизнеса, что гораздо больше, чем любой другой риск. Тем не менее, только около половины респондентов считают, что их учреждения были чрезвычайно эффективными или очень эффективными в управлении этим риском.

В отношении определенных типов киберрисков респонденты чаще всего считали, что их учреждения чрезвычайно эффективны или очень эффективны в управлении:

- разрушительными кибератаками (58 %),
-финансовыми потерями или мошенничеством (57 %),
- рисками кибербезопасности от клиентов (54 %),
- рисками потери конфиденциальных данных (54 %).

Они с меньшей вероятностью считают свои институты настолько эффективными, когда речь идет об угрозах со стороны:

- субъектов национального государства (37 %) или
- сторонних поставщиков (31 %).

При управлении рисками кибербезопасности респонденты чаще всего называют чрезвычайно сложными или очень сложными задачи:

- позволяющие опережать меняющиеся потребности бизнеса, например, социальные сети, аналитика и облачные решения (58 %), 
- устранять угрозы со стороны опытных игроков, например, национальных государств, квалифицированных хакеров (58 %).

Осведомленность о киберриске и кибербезопасности растет и меньше респондентов, чем в предыдущем опросе, сочли несколько связанных с этим вопросов управления чрезвычайно сложными или очень сложными:

- понимание роли компании в кибербезопасности (31 %, вместо 47 %),
- разработка и принятие эффективной, многолетней стратеги кибербезопасности, утвержденной советом директоров (31 %, по сравнению с 53 %),
- обеспечение постоянного финансирования / инвестиций в сферу кибербезопасности (18 %, по сравнению с 38 %).

Повышенное внимание к нефинансовым рискам

Почти все респонденты считают, что их учреждения чрезвычайно эффективны или очень эффективны в управлении традиционными финансовыми рисками, такими как:

- рыночные риски (92 %),
- кредитные риски (89 %),
- риски управления активами и пассивами (87 %),
- риски управления ликвидностью (87%).

Напротив, примерно половина респондентов сказали то же самое о ряде нефинансовых рисков, включая:

- репутационные риски (57%),
- операционные риски (56%),
- риски устойчивости бизнеса (54%),
- риски неадекватного моделирования (51%)
- риски поведения и культуры (50%). ),
- стратегический риск (46%),
- риски сторонних организаций (40%),
- геополитические риски (35%)
- риски нарушения и целостности и сохранности данных (34%).

Финансовые учреждения должны рассмотреть возможность принятия целостного подхода к управлению нефинансовыми рисками.

Обращение к рискам данных и ИТ-систем является главным приоритетом

Тема, которая отражается в результатах опроса - это важность рисков, связанных с данными и информационными системами. Это было постоянной проблемой для финансовых учреждений и индустрии финансовых услуг в течение некоторого времени и указывает на глубокую трудность предоставления качественных данных из источников во многих системах и процессах конечным пользователям.

Когда был задан вопрос о приоритетах по управлению рисками для учреждений в течение следующих двух лет, наиболее часто упоминавшимися вопросами, как чрезвычайно приоритетными или очень приоритетными были:

- повышение качества, доступности и своевременности данных о рисках (79%),
- повышение риска информационных систем и технологической инфраструктуры (68%).

Это очень хорошо согласуется с результатами, показывающими, что примерно треть респондентов считают, что их учреждения были чрезвычайно эффективными или очень эффективными:

- в отношении управления данными (34%),
- контроля / проверки данных (33%).

На вопрос о трудностях в стресс-тестировании качества данных и управление для расчетов стресс-тестирования чаще всего считались чрезвычайно сложными или очень сложными:

- как для стресс-тестирования капитала (42%),
- так и для стресс-тестирования ликвидности (30%).

Потенциал цифрового управления рисками

Непрерывный прогресс в ряде новых технологий предоставляет значительную возможность кардинально изменить эффективность управления рисками. Многие из этих возможностей еще предстоит реализовать. Относительно немного учреждений сообщили о применении некоторых из этих новых технологий для управления рисками.

Технологии, которые чаще всего упоминают организации это:

- облачные вычисления (48 %),
- Большие данные и аналитика (40%),
- инструменты моделирования бизнес-процессов (BPM) (38%).

Хотя технологиям RPA уделяется большое внимание в части снижения затрат и повышения точности за счет автоматизации повторяющихся ручных заданий без участия человека, только 29% респондентов заявили, что их учреждения в настоящее время используют его.

Использование RPA наиболее распространено:

- в получении данных о рисках (25%),
- отчетности о рисках (21%),
- нормативной отчетности (20%).

Несмотря на то, что уровень внедрения RPA в настоящее время довольно низкий, респонденты считают, что новые технологии принесут очень большие преференции или большие выгоды во многих областях, таких как:

- повышение операционной эффективности / снижение частоты ошибок (68%),
- улучшение анализа и обнаружения рисков (67%),
- своевременное предоставление и улучшение отчетности (60%).

Решение проблем трехуровневой модели защиты от рисков

Практически все учреждения (97 %) сообщили, что используют трехуровневую модель управления рисками, но заявили, что сталкиваются с серьезными проблемами. Проблемы, которые чаще всего называют значительными, как правило, включают:

- роль уровня 1 (бизнес-единицы), включая определение ролей и обязанностей между уровнем 1 и уровнем 2 (риск менеджмент) (50 %),
- получение базовой информации от уровня 1 (44%),
- устранение дублирования функций трех уровней защиты (38%),
- наличие достаточно квалифицированного персонала на уровне 1 (33%)
- выполнение обязанности на уровне 1 (33 процента).

Эти проблемы соответствуют нашему опыту работы с финансовыми институтами, поскольку многие из них уже разъясняют роли 1- го и 2- го уровня защиты и работают над повышением эффективности и результативности в рамках модели трехуровневой защиты.

Растущая зависимость от стресс-тестирования.

Почти все учреждения сообщили о проведении стресс-тестов на достаточность капитала (90%) и ликвидности (87%) и больше полагаются на них. Стресс – тесты на достаточность капитала используются чаще в качестве основного инструмента для советов директоров и управляющей команды, причем все большее количество респондентов говорят, что этот инструмент используются во многих областях и значительно чаще, по сравнению с данными предыдущего исследования. Эти тесты включают:

- отчетность перед советом директоров (64% против 46%),
- отчетность перед высшим руководством (61% против 49%),
- определение / обновление требований к достаточности капитала для риска (47% против 24%)
- стратегию и бизнес-планирование (38% против 26%).

Стресс-тесты на ликвидность также используются более широко в нескольких областях:

- оценка достаточности избыточной ликвидности (57% против 39%),
- соответствие нормативным требованиям и ожиданиям (65% против 52%)
- установка пределов ликвидности (56 % против 44%).

Более строгий надзор за советом директоров

Отражая более медленные темпы изменения нормативно-правовой базы, только 28% респондентов заявили, что их советы директоров тратили значительно больше времени на управление рисками, чем два года назад, когда доля таких респондентов составляла 44%.
Многие учреждения следуют передовым практикам в надзоре за советом директоров, при этом 61% респондентов утверждают, что основная ответственность за надзор за рисками лежит на комитете по рискам при совете директоров, а 70% утверждают, что комитет по рискам состоит либо полностью (35%) или из большинства (35%) независимых директоров, в то время как 84% заявили, что комитет возглавляет независимый директор.

Широкое принятие главных специалистов по управлению рисками (chief risk officers - CRO)

Приверженность наличия CRO продолжает увеличиваться в течение серии опросов и 95% учреждений в настоящее время имеют CRO. Тем не менее, есть еще возможности для улучшения в отношений отчетности CRO, поскольку CRO отчитывается как перед генеральным директором, так и перед советом директоров. Четверть респондентов заявили, что их CRO не отчитывались перед генеральным директором учреждения и примерно половина ответили, что CRO не отчитывается перед советом директоров или комитетом совета директоров.

Рост внедрений программ управления рисками предприятия (enterprise risk management - ERM)

83% процента респондентов заявили, что в их учреждениях внедрена программа ERM, по сравнению с 73 % в предыдущем опросе, а еще 9 % заявили, что находятся в процессе ее реализации. В дополнение к решению проблем с данными и ИТ-системами, как отмечалось выше, респонденты чаще всего указывали на то, что чрезвычайно высокий или очень высокий приоритет в их учреждениях имеют программы ERM, которые обеспечивают:

- совмещение функционала бизнес-единиц с функцией управления рисками (66%),
- управление растущими нормативными требованиями и ожиданиями (61%),
- создание и внедрение культуры риска на предприятии (55%).

Подготовлено порталом Allinsurance.kz