Почему необходим новый подход к управлению рисками

В условиях драматического изменения характера и остроты воздействия рисков, а также их многообразия – от геополитических и климатических изменений до киберугроз и дезинформации – традиционный подход к управлению рисками больше не работает.

Какие риски актуальны и наиболее значимы для банковского сектора Казахстана? Как изменилась роль CRO (Chief Risk Officer или директор по управлению рисками) с учетом современных реалий? Как банки должны поменять свой подход и трансформировать функцию управления рисками в своих организациях?

В беседе с корреспондентом центра деловой информации Kapital.kz управляющий директор и старший партнер Boston Consulting Group (BCG), глобальный лидер в области управления рисками и соблюдения требований Маттео Коппола, а также управляющий директор и партнер BCG, руководитель экспертной практики финансового сектора в регионе Центральной Азии Борис Гуткин ответили на эти и другие вопросы. Интервью состоялось после недавней встречи представителей Boston Consulting Group с CROs банковского сектора Казахстана.

- Расскажите, как изменились глобальные риски в банковской сфере за последние несколько лет.

Маттео Коппола: Мы прошли 15-летний путь развития в области управления рисками, отмеченный финансовыми кризисами 2008-го, 2010-го, 2012 годов, которые стали триггерами для усиленного надзора со стороны регуляторов в сфере финансовых рисков. Именно поэтому многие практики управления рисками, главным образом финансовыми, изначально формировались в ответ на последствия финансовых кризисов.

Однако уже в 2017-2018 годах, еще до начала пандемии, пошел значительный сдвиг фокуса внимания в сторону нефинансовых рисков. Среди них – киберугрозы, климатические риски, технологические сбои и операционные риски. Регулирование стало смещаться в сторону соблюдения требований, направленных на снижение воздействия этих новых рисков на ключевые отрасли экономики, включая финансовый сектор.

Затем последовало настоящее потрясение – пандемия, которая показала, что традиционная система контроля и управления рисками уже не соответствует вызовам времени. Это была парадигма, основанная на оценке текущей ситуации и реагировании на уже выявленные риски.

Однако пандемия заставила полностью пересмотреть такой подход. В результате вместо оценки рисков «по факту» начали применять логику оценки устойчивости как организации, так и целых секторов к любым шокам, финансовым и нефинансовым, которые еще не реализовались, но были способны повлиять в будущем.

Другой важный вопрос – как переосмыслить подходы к управлению рисками и обеспечить устойчивость бизнес-модели в ситуации нехватки критических ресурсов. Как выстоять в кризисной ситуации при потере этих ресурсов? Ведь риск никогда не равен нулю.

Возьмем, к примеру, геополитические риски. Сегодня появляются новые методологии, позволяющие интегрировать финансовую устойчивость в банковские портфели для защиты компании при экстремальных геополитических сценариях. Важно понимать, что геополитика и климат не являются рисками сами по себе – скорее, это внешние факторы, которые порождают целый спектр рисков в операционной, рыночной, кредитной и других сферах.

Также отмечу, что тренд глобализации и подача в СМИ зачастую приводят к шаблонному мышлению и упрощению ситуации и контекста. Все это ведет к тому, что мы неверно оцениваем специфику, обусловленную не только глобальными, но и локальными факторами, а также силу воздействия рисков.

На самом деле мы сталкиваемся с реальностью, где присутствует множество разнообразных специфических рисков с уникальными магнитудами воздействия на регионы, секторы экономики и отдельные организации. Это не как во время финансового кризиса, когда почти все пострадали примерно одинаково. Сегодня все иначе: влияние кризиса, тарифов, климата или киберугроз зависит от сектора, географии, типа бизнеса и степени его диверсификации. Следовательно, и уровень сложности, с которым нужно подходить к управлению этими рисками сегодня, требует совершенно других подходов.

- А что вы можете сказать о рисках для казахстанского банковского сектора?

Маттео Коппола: Те явления, которые мы наблюдаем в других регионах мира, актуальны и здесь – будь то киберриски или сбои, связанные с искусственным интеллектом (ИИ) и применением новых технологий во вспомогательных функциях.

Борис Гуткин: C одной стороны, Казахстан является частью мировой экономики и глобальных событий – поэтому, несомненно, существует влияние глобальных рисков и потрясений. При этом у Казахстана есть своя специфика, которая в зависимости от контекста может как усиливать влияние глобальных рисков, так и снижать их значимость.

Так, в Казахстане уже сложилась устойчивая практика использования цифровых банковских продуктов: высокий уровень сервиса, развитая инфраструктура и широкое проникновение цифровых услуг среди населения. Все это создает поле для развития разнообразных мошеннических схем, в том числе с использованием GenAI, которые не имеют границ и могут использоваться и в Казахстане. На этом фоне кибербезопасность выходит на первый план – это один из наиболее актуальных глобальных вызовов, с которым все чаще сталкиваются банки. В этих условиях они должны обеспечить надежную защиту своих клиентов.

Важно развивать способность быстро адаптироваться к новым рискам и выстраивать киберзащиту не «по факту», а на опережение.

- Что бы вы порекомендовали нашим банкам с учетом нынешних реалий?

Маттео Коппола: То же, что и банкам в других странах и регионах. Есть несколько приоритетов.

Во-первых, это адаптация к специфике рынка. Управление рисками не может ограничиваться функцией контроля. Оно должно быть интегрировано в бизнес-процессы, в процесс формирования бизнес-модели и выбора направлений развития.

Во-вторых, решения должны основываться на фактах и данных о потенциальных сценариях и их последствиях. Шаблонный подход здесь не работает. Для взвешенных, обоснованных решений потребуются компетенции, в том числе с использованием технологий, ИИ, позволяющие проанализировать различные ситуации и их критические последствия.

Наконец, в-третьих, важно постоянно усиливать компетенции по защите ключевых направлений риска – будь то киберугрозы, физические, климатические или технологические уязвимости. Важно, чтобы сотрудники были специалистами в этой сфере, понимали суть рисков, умели их измерять и принимали обоснованные решения по защите банковских систем.

- Расскажите подробнее о том, каким должен быть директор по управлению рисками или CRO (Chief Risk Officer) в настоящее время.

Борис Гуткин: Как упомянул Маттео, CRO и их команды сегодня уже не ограничиваются только контролирующей функцией. Они становятся равноправными партнерами в развитии бизнеса, формируя обоснованный взгляд на различные сценарии и типы рисков, о которых только что шла речь.

Сегодня CRO необходимы новые навыки. Им нужно хорошо ориентироваться в технологической эволюции, ведь каждая новая технология приносит не только новые возможности, но и риски. Их задача – определить, какой должна быть реакция организации на новые типы риска.

Что касается ИИ, это самостоятельный критически важный элемент. Нужно четко определить, каков аппетит к риску в этой сфере – и сегодня эта ответственность тоже лежит на CRO. Такой подход должен быть выстроен заранее и не может быть делегирован IT- или бизнес-командам, поскольку ни одна из сторон не обладает полной картиной потенциального воздействия данного типа рисков на организацию.

CRO нового типа – это уже не только про риски. Они должны стать специалистами по геополитике – уметь оценивать количественно и качественно ее влияние, должны разбираться в кибербезопасности – определять, как реагировать на текущие угрозы и планировать действия в будущем.

Поэтому Chief Risk Officers или директора по управлению рисками сегодня называют себя CRO 2.0. Они равноправно входят в состав советов директоров, участвуют в принятии ключевых бизнес-решений и, таким образом, в управлении организацией, а не только осуществляют контроль.

- CRO есть только в банках или уже и в других организациях?

Борис Гуткин: Все больше банков выходит далеко за рамки своей традиционной деятельности. Они выстраивают модель экосистемы, диверсифицируя свои активы в смежные секторы, такие как страхование, а также развивая новые направления, создавая и приобретая новые активы. И им необходимо корректно идентифицировать и учитывать риски по новым активам.

Это еще одна новая парадигма риск-менеджеров или CRO – контролировать все типы рисков в этих активах и балансировать их, имея ви́дение всего портфеля. Следовательно, CRO становится корпоративным или портфельным риск-менеджером.

Если в портфеле компании есть маркетплейс и множество других активов, не связанных напрямую с банковской деятельностью, сам банк превращается лишь в один из элементов экосистемы – зачастую, выполняющий функцию платежной инфраструктуры и/или кредитора.

Экосистема – это совсем иная среда: новое поведение клиентов, новые модели взаимодействия, а также новые сценарии мошенничества, в том числе в сфере электронной торговли. По сути, мы имеем дело с новым рынком, и он регулируется гораздо слабее, чем классическая банковская деятельность. К нему невозможно просто применить банковское регулирование или использовать традиционную систему управления банковскими рисками – это было бы некорректно и неэффективно.

И именно CRO часто оказывается единственным, кто системно оценивает эти риски, доводит их до акционеров или совета директоров и несет ответственность за защиту этих активов.

- А все-таки – можно ли как-то спрогнозировать риски?

Маттео Коппола: Мы проводили исследование влияния физических климатических явлений, таких как наводнения, повышение температуры, изменение уровня осадков и тому подобное. Такие явления могут снизить показатель EBITDA компаний на 10-15% в течение следующих 10-15 лет.

Очевидно, что степень воздействия в некоторых секторах выше, в других – ниже, но некоторые компании могут значительно пострадать, в зависимости от их местоположения.

Как и в случае с геополитическими рисками, физические климатические риски имеют ярко выраженный локальный характер – их воздействие неодинаково в разных регионах и зависит от конкретного контекста.

У нас есть несколько клиентов – банков, которым мы помогали разобраться в том, что представляет собой этот тип риска для их собственных клиентов. Мы также консультировали их по вопросу того, как можно профинансировать меры по адаптации, чтобы защитить компании и обеспечить их устойчивость в сложившейся ситуации.

Будущее – за большей гибкостью в реагировании на непредвиденные ситуации, а также за устойчивостью. Поэтому необходимо заложить в свою бизнес-модель, в свою деятельность способность противостоять экстремальным ситуациям. В этом и заключается суть управления рисками.