Strategie zarządzanie ryzykiem w bankowości

Jak definiuje Pani rolę działu zarządzania ryzykiem w przedsiębiorstwie?

Zarządzanie ryzykiem jest nieodłącznym elementem realizacji strategii biznesowej. W zależności od profilu przedsiębiorstwa rodzaje ryzyk i ich potencjalny wpływ na działalność są różne. W bankowości rolę zarządzania ryzykiem w dużym stopniu kształtuje regulator – poczynając od certyfikacji członka zarządu odpowiedzialnego za ryzyko, a kończąc na szczegółowych wytycznych. Ma on bardzo silny wpływ na zarządzanie ryzykiem w każdym banku.

Zarządzanie ryzykiem w banku ma na celu budowanie aktywów gwarantujących odpowiednie wykorzystanie kapitału, generujących oczekiwane zwroty, a jednocześnie tak zdywersyfikowanych, aby mogły optymalnie amortyzować negatywne skutki ewentualnych sytuacji kryzysowych. Zarządzanie ryzykiem w banku nie sprowadza się zatem do stosunkowo łatwego w realizacji ograniczenia ryzyka – jest proaktywnym działaniem na rzecz rozwoju całego przedsiębiorstwa. Dział zarządzania ryzykiem powinien dostrzegać zagrożenia i im przeciwdziałać, ale również poszukiwać nowych rozwiązań, alternatyw i nowych obszarów, w których można by zdobyć przewagę konkurencyjną.

Uważam, że podstawą dobrego zarządzania tym obszarem są zrozumienie i dialog z innymi jednostkami w organizacji, zwłaszcza z działem sprzedaży. Konieczne są współpraca i wzajemne informowanie się o działaniach, bo tylko w takiej sytuacji przedsiębiorstwo osiągnie oczekiwany pozytywny wynik.

Jak wygląda współpraca tego działu z poszczególnymi elementami systemu zarządzania w instytucji, którą Pani reprezentuje? Jakie jest jego miejsce w strukturze organizacyjnej?

Regulator wymaga wydzielenia zarządzania ryzykiem w strukturach banku od innych funkcji, zwłaszcza biznesowych. Jednocześnie innowacyjność oraz dynamiczny rozwój Alior Banku wymagają nowoczesnego podejścia do zarządzania ryzkiem, z zachowaniem wymogów regulacyjnych. Pion zarządzania ryzykiem w Alior Banku współpracuje z całą organizacją. Oto przykład. Kiedy tworzymy nowy produkt, dział zarządzania ryzykiem wspólnie z działem biznesowym i sprzedaży ustalają kształt produktu, kto będzie klientem docelowym i z jakich kanałów sprzedaży będziemy korzystać. Razem z działem IT określają rozwiązania systemowe; wspólnie z działem kontrolingu ustalają cenę produktu, uwzględniając koszt ryzyka, a wraz z działem operacyjnym przygotowują konieczne procesy. Wszystko zaś odbywa się we współpracy z departamentami: prawnym, bezpieczeństwa i audytu. Sukces nowego przedsięwzięcia zależy przede wszystkim od współpracy i sprawnej komunikacji między wszystkimi uczestnikami projektu.

Jak w Alior Banku zorganizowano system zarządzania ryzykiem? Jakie działania wdraża się w celu minimalizowania zagrożeń?

Na system zarządzania ryzykiem w Alior Banku składa się wiele elementów i dotyczy on wielu aspektów działania organizacji, poczynając od definiowania celów, przez tworzenie strategii operacyjnych, identyfikację wewnętrznych i zewnętrznych ryzyk, budowanie narzędzi koniecznych do identyfikacji i pomiaru ryzyk, monitoring ryzyka i realizowania celów, a kończąc na ciągłym ich usprawnianiu. Prawidłowo funkcjonujący system zarządzania ryzykiem pozwala na szybką reakcję w sytuacji pojawiającego się nowego ryzyka bądź przekroczenia akceptowanego jego poziomu. Gdy pojawia się nowe zdarzenie, natychmiast można określić konkretne działania i wyznaczyć osoby, które będą je realizować. Ponadto na bieżąco monitoruje się skuteczność tych działań. Kluczem do sukcesu są możliwość i umiejętność szybkiego wprowadzania zmian w systemach informatycznych.

W zarządzaniu ryzykiem w Alior Banku istotny jest ponadto – wymagany przez regulatora – system raportowania do Rady Nadzorczej, Zarządu i różnego rodzaju komitetów.

Jakimi instrumentami posługują się Państwo w swojej pracy? KPI, BSC, a może coś innego? Jakie parametry opisujące ryzyko monitoruje Alior Bank?

Alior Bank pracuje zgodnie ze strategią krótko- i długoterminową, a w każdym obszarze tworzone są strategie operacyjne opisujące cele i sposoby ich osiągania – na tym poziomie wykorzystujemy KPI. Ponadto w Banku funkcjonuje rozbudowany system MIS. Każdemu rodzajowi ryzyka przypisano miary, które jednocześnie monitorują wiele elementów i płaszczyzn działalności. Oprócz wskaźników prezentowanych w sprawozdaniu finansowym Bank wykonuje liczne analizy w wybranych obszarach i porównuje ich wyniki w celu ustalenia korelacji i interakcji. Ponadto w Banku funkcjonuje rozbudowany system EWS (Early Warning System), dzięki któremu można bardzo wcześnie reagować na odchylenia od ustalonych celów.

Co Pani zdaniem stanowi obecnie największe zagrożenie dla sektora bankowego?

Nie mówiłabym o zagrożeniach, lecz o wyzwaniach. Ze względu na nieustanny rozwój technologii i usług mobilnych dużym wyzwaniem dla banków są zapewnienie bezpieczeństwa i obrona przed cyberprzestępczością. Problem ma trzy aspekty: tempo rozwoju technologii, pomysłowość przestępców i zachowania klienta. Kolejnym wyzwaniem jest duża liczba regulacji rekomendowanych do wdrożenia w tym samym czasie.

Czy w tym kontekście podejmuje się konkretne kroki w celu zabezpieczenia przed ryzykiem?

Każdy bank oferujący usługi mobilne zabezpiecza się przed ryzykiem cyberprzestępczości, uwzględniając w strategii elementy zapewnienia bezpieczeństwa swoim klientom. Powołuje się jednostki, których główną troską są bezpieczeństwo usług i przeciwdziałanie nadużyciom za pomocą kanałów informatycznych. Oznacza to zwiększenie wydatków na „zbrojenie się”, aby nadążyć i za technologią, i za pomysłowością przestępców. Wykorzystywane są też nowoczesne techniki monitorowania zachowań klientów, aby wykrywać nietypowe zdarzenia na ich rachunkach lub podejrzane transakcje. W razie wykrycia nieprawidłowości najczęściej wstrzymuje się operację do czasu jej potwierdzenia przez klienta, a ponadto prowadzone są akcje uświadamiające klientom nowe zagrożenia.

Jakie są przesłanki wdrożenia systemu zarządzania ryzykiem w przedsiębiorstwie? W jakich warunkach należy powoływać odrębne jednostki organizacyjne? W jakim momencie przedsiębiorstwo osiąga „masę krytyczną” i powinno zatrudnić specjalistę w dziedzinie zarządzania ryzykiem?

To zależy od: wielkości firmy, obszaru jej działania, sposobu zarządzania i wielu innych czynników, trudno mierzalnych. Właściciel małej firmy jest w stanie samodzielnie zarządzać ryzykiem. Jeśli firma się rozwija, ryzyko rośnie. W jakimś momencie liczba niepokojących zdarzeń i zagrożeń zaczyna przekraczać możliwości zarządzającego. Należy wówczas rozważyć wprowadzenie systemu zarządzania ryzykiem, przemyślawszy jednak, czy koszty wdrożenia takiego systemu będą mniejsze niż ryzyko. Monitorowanie ryzyka oznacza znaczne nakłady finansowe i osobowe; ponadto trudno jednoznacznie określić moment krytyczny, np. w firmie obarczonej dużym ryzykiem kontrahenta lub walutowym może on wystąpić bardzo wcześnie.

Czy zatem Pani zdaniem zarządzanie ryzykiem to luksus, na który stać niewielu? A może jest to konieczność? Nice-to-have czy must-have?

Niezależnie od tego czy zarządzanie ryzykiem będzie w wyodrębnionej jednostce czy też będzie nim zarządzał właściciel, zawsze musi być uwzględniane w działaniu i strategii firmy.