بانکهاي داراي متخصص ريسک در هيئتمديرهشان يا افراد اختصاصيافته به اين امر معيارهاي عملکردي مالي قويتري از خود نشان ميدهند.
۰
آيا همه بانکها به امنيت سايبري توجه دارند (بخش دوم)
همگامي با تهديدات متغير امنيتي
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، هودا ميگويد: «تهديدهاي امنيت مجازي پيوسته تغيير ميکنند، مسيرها و بازيگرهاي جديد بهسرعت ظهور ميکنند.» بانکها بايد فرض کنند که رخنهاي رخ خواهد داد و سناريوهايي براي مشاهده اينکه اين طرح واقعاً چگونه کار ميکند ايجاد کنند. آيا کارمندان بهطور مناسب و به شيوهاي زمانمند واکنش نشان ميدهند؟ او ميگويد: «قسمت آزمايش کردن واقعاً کليدي است و بايد اتفاق بيفتد.»
سهچهارم شرکتکنندگان در بررسي ميگويند که موسسهشان بهطور منظم طرح پاسخگويي و مديريت حوادث مجازيشان را آزمايش ميکنند. با وجود داشتن حفاظهاي امنيتي در محل، تيم مديريت شرکت بروکلين متوجه ميشود که احتمالاً حادثهاي در زمينه امنيت مجازي رخ خواهد داد.
مک کوردي ميگويد: «اگر اين حادثه رخ دهد، شما بايد طرحي براي واکنش نشان دادن و پاسخ دادن به آن داشته باشيد.»
هيئت مديره بروکلين طرح پاسخگويي به حادثه و چگونگي آزمايش آن را با کارمند ارشد امنيت اطلاعات بانک بازبيني کرد. در اين بازبيني رئيس فناري اطلاعات که هيئت مديره را با مثالهايي از رخنه در دادهها و تأثير احتمالي آنها و اينکه چه کاري براي مديريت اين ريسکها در حال انجام است و چگونه بانک بر تهديدهاي مجازي مسلط است آماده کرده بود، آنها را همراهي ميکرد.
۶۸درصد آشکار ساختند که بانکشان ارزيابي ريسک امنيت مجازي و بررسي فاصله عملکرد با برنامه ايده آل (گپ) در راستاي توقعات شوراي فدرال بازرسي مؤسسات مالي، خود ارزيابي از آمادگي در زمينه امنيت مجازي با تمرکز بر عرصههايي همچون نظارت هيئت مديره، مديران و کنترلهاي ريسک امنيت مجازي، طرحريزي حادثه مجازي و وابستگي شخص ثالث را انجام داده است. نوزده درصد براي انجام دادن طرح در آيندهاي نزديک برنامهريزي ميکنند.
۴۳ درصد پاسخدهندگان آشکار ساختند که ايجاد فرهنگي که از ارتباط و ارزيابي ريسک بين تمام بانکها حمايت کند چالش بزرگي است – (که) رشدي قابل توجه از ۲۰۱۴ (داشته است)؛ اما پاسخدهندگان درباره عناصر لحاظشده در فرهنگ بانکهاي خودشان براي حمايت از مديريت ريسک لحاظ شده است اجماعي نشان نميدهند.
هودا تاکيد ميکند که فرهنگ ريسک از بالا ايجاد ميشود و گفتوگوهاي منظم ميان مديران خط و رئيس بانک يا رئيس کميته ريسک، چنانکه توسط ۴۴ درصد پاسخدهندگان آشکار شده است، ميتواند اثرگذار باشد.
هودا ميگويد: «اين کار به وضعيت نظام ميبخشد و همچون اساس براي ايجاد کردن فرهنگ ريسک به کار ميآيد چون کساني که واقعاً کارها را انجام ميدهند و با مشتريها تعامل ميکنند پيام درست را دريافت ميکنند؛ مديريت ريسک وظيفه همه است و مديريت کردن ريسک براي موفقيت سازمان حياتي است.»
شرکت بنر فرهنگ ريسک مستحکمي دارد. بهگفته تايرون بليس، کارمند ارشد ريسک، فرهنگي که براي حفظ کردن ادامه امتزاجش با شرکت هلدينگ مسئوليت محدود SKBHC مستقر در سياتل برنامهريزي ميکند. پس از آنکه امتزاج مطابق انتظار در يک چهارم دوم سال ۲۰۱۵ کامل شود، اندازه شرکت بنر با سرمايهاي حدود ۹.۷ ميليارد دلار، دوبرابر خواهد شد. بهگفته بليس فرهنگ ريسک از بالا به پايين چکه ميکند، از ميز مديران و مديرعامل و عوامل اجرايي ارشد. نگهداري نماي ريسکي متعادل يکي از پنج رکن راهبردي بانک است. او ميگويد: «ما زمان و منابع قابل توجهي را براي انضمام فرهنگ ريسک مطلوب مان در شرکت خود صرف ميکنيم.»
نقش آموزش و فرهنگسازي
بخشي از اين فرهنگسازي در شرکت بنر شامل سرمايهگذاري بر روي آموزش و جهتدهي نيروهاي استخدام شده است. سياستگذاريهاي کليدي بانک در هر استخدام تازه مرور ميشود. همچنين مديران بهطور منظم مباحثاتي را درباره اهداف راهبردي، شامل نماي ريسک، رهبري ميکند و هر سهماه يکبار با نيروها گفتگو ميکند که آنها بتوانند ببينند اهداف راهبردي چگونه محقق شدهاند. بانک همچنين بر روي آموزش پيوسته درباره طيفي از موضوعات مرتبط با ريسک سرمايهگذاري ميکند. بسياري بانکها چنين شکلي از سرمايهگذاري را بر روي فرهنگ ريسک بانکشان انجام نميدهند: تنها ۵۱ درصد پاسخدهندگان گزارش کردند که موسسهشان تمام نيروهاي استخدام شده را در مورد ريسک آموزش ميدهد.
ريسکپذيري
کمتر از يکسوم پاسخدهندگان، عملکرد در زمينه مديريت ريسک را به پاداش مرتبط ميکنند، چيزي که هودا ميگويد ضعفي کليدي در اين صنعت است، چراکه ارتباط دادن پاداش به کارهاي دقيق در زمينه ريسک انگيزهاي براي مديريت ريسک فراهم ميکند.
طرح پاداش مشوق شرکت بنر شامل جوايز ملموس و مقادير مشخص ريسک پيرامون هرکدام است، که به تمام کارمندان واجد شرايط فرا فرستاده ميشود. بليس ميگويد: «اين هوشياري، بهويژه زماني که به دلار و سنت تغيير حالت ميدهد، وجه کليدي ديگري براي درونيسازي اين فرهنگ است.»
بانک از کارمندان قسمتهاي غيرتوليدي غفلت نميکند. «فرايند مديريت عملکرد کلي ما ملاحظه مديريت ريسک که مناسب آن موقعيت است را يکي ميکند.»
ريسکپذيري همچنان به گيج کردن بسياري مديران بانکي ادامه ميدهد؛ ۴۲ درصد نظارت بر ريسکپذيري را بهعنوان عرصهاي که هيئت مديره به بهرهمندي از آموزش اضافي تمايل دارند ذکر کردند، کمي کمتر از ۴۹ درصد بررسي سال ۲۰۱۴. تقريباً ۶۰ درصد پاسخدهندگان ميگويند که بانکشان بيانيهاي در زمينه ريسکپذيري دارد، روشي که بهطور مشخص در بانکهايي با سرمايهاي بيش از ۵ ميليارد دلار برجسته است و ۲۷ درصد ديگر براي پيادهسازي بيانيهاي طي ۱۲ ماه آينده برنامه ميريزند. براي آنهايي که بيانيهاي در زمينه ريسکپذيري دارند، اکثريت غالبشان، ۸۴ درصدشان، سالانه آن را بازبيني ميکنند.
بيشتر بانکها بیانيه ريسکپذيري را بهعنوان راهنمايي براي هيئت رئيسه و مديران استفاده ميکنند، بر اساس پاسخ ۷۴ درصد شرکتکنندگان، اما کمتر از نيميشان بيانيه مديريت ريسک را براي تعيين حدود واقعي استفاده ميکنند. هودا ميگويد که هيئت مديره نبايد از محدود کردن تيم مديريت بانک بترسد. اگر مديريت تمايل دارد که از گاردريلهاي تعيين شده درون بيانيه ريسکپذيري تجاوز کند، اين تمايل بايد مباحثهاي را با هيئت مديره، درباره اينکه چرا مديريت ميخواهد از از مرزهاي بيانيه ريسکپذيري فراتر رود و اين کار چه منافعي ميتواند براي بانک داشته باشد، برانگيزاند. بيانيه ريسکپذيري «ديدگاه هيئت مديره بهعنوان امانتدار سهامدارها درباره اين است که ما قرار است چگونه رشد کنيم و چگونه درون مرزهاي مشخص ريسک درآمد داشته باشيم» را بازگو ميکند.
تنها ۴۱ درصد بيانيه ريسکپذيري را براي نظارت بر توافقها استفاده ميکنند و يکسوم چگونگي تأثير ريسکپذيري بر عملکرد بانک اهداف راهبردي بانک در سال را تجزيهوتحليل ميکنند. يازده درصد اقرار ميکنند که ريسکپذيري تنها تمريني سالانه براي هيئت مديره است و کاملاً استفاده نميشود.
۷۹ درصد آشکار ميسازند که بانک بيانيه ريسکپذيرياش را با تمام کارمندان خود در ميان نميگذارد. هودا ميگويد:« قرار است چگونه همه به چيز مشابهي فکر کنند؟»
مک کوردي ميگويدکه بروکلين براي ارتباط بهتر کارمندان در زمينه ريسک، شامل سخنرانيهايي در سطح شرکت درباره مديريت ريسک، کار ميکند. بانک همچنين شوراهايي براي تقويت ارتباطات در قسمتهايي، همچون اعتبار و عمليات که ممکن است با ريسک مرتبط باشند و واحدهاي کاري مختلف را بهتر درباره تحمل ريسکهاي مشخص مطلع ميسازند تأسيس کرده است.
بررسي مذکور تمايل پيوستهاي را به تخصص بيشتري در زمينه ريسک در موسسههاي مالي و ارزش کلي دانش و آموزش براي هيئت مديرههايشان را آشکار ميسازد. کارمندان ارشد ريسک مورد تقاضاي بانکهايي با سرمايه کمتر از حدود ۵۰ ميليون دلار نيستند اما ۹۴ درصد موسسههايي با حدود يکميليارد دلار سرمايه يا بيشتر که در بررسي مشارکت داشتند يکي دارند. ۷۱ درصد موسسههاي شرکتکننده با سرمايه کمتر از يک ميليارد دلار گزارش ميدهند که بانکشان يک CRO دارد.
ضرورت وجود متخصص ريسک در بانک
بانکهاي داراي متخصص ريسک در هيئتمديرهشان يا افراد اختصاصيافته به اين امر معيارهاي عملکردي مالي قويتري از خود نشان ميدهند. بانکهايي با کارمند ارشد ريسک معيار بازگشت سهام متوسط بالاتري، ۹.۲، را در مقايسه با متوسط ۷.۳ بانکهاي بدون چنين کسي و همچنين بازگشت سرمايه متوسط برابر با ۱.۰ را در مقايسه با ۰.۸ بانکهاي بدون کارمند ارشد ريسک به رخ ميکشند. براي هيئت مديره، آنهايي که از گزارش کارشناس ريسک بهره ميبرند متوسط بازگشت سهام ۹.۲ است، در مقايسه با متوسط ۹.۰ براي آنهايي از آن بيبهرهاند و متوسط بازگشت سرمايهشان در مقايسه با ۰.۹ براي بانکهاي فاقد کارشناس ريسک، ۱.۰ است.
بانکهايي با سرمايه کمتر از ۱ ميليارد دلار بسيار کمتر محتمل است که حضور کارشناس ريسکي در هيئت مديره را گزارش کنند. تقريباً سهچهارم پاسخدهندگان از بانکهايي با بيش از يک ميليارد دلار سرمايه گزارش ميدهند که هيئت مديره بانکشان داراي کارشناس ريسکي است که بهطور مشخص در ارتباط با موسسههاي مالي است. اين مقدار براي بانکهاي با سرمايه زير يک ميليارد دلار به ۳۹ درصد افت ميکند.
فقدان تخصص در زمينه ريسک در هيئت مديره بانکهاي کوچکتر ممکن است با انتخاب بسياري از آنها براي ايجاد نکردن کميته ريسک جداگانهاي در سطح هيئت مديره اشتراک داشته باشد. ۲۷ درصد پاسخدهندگان از موسسههايي با سرمايه کمتر از يک ميليارد دلار نشان ميدهند که بانکشان کميته ريسکي جداي از هيئت مديره دارند. ۳۰ درصد در اين بانکهاي کوچکتر درون کميته مرکب حسابرسي و ريسک، و ۲۱ درصد از طريق کميته حسابرسي هيئت مديره ريسک را مديريت ميکنند. بيست و يک درصد به منزله هيئت مديره بر ريسک نظارت ميکنند. براي روي هارمون، مديرعامل بانک تنسي با ۹۱۷ ميليون دلار سرمايه که در گينگزپورت تنسي مستقر است، جدا کردن حسابرسي و ريسک به کميتههاي مجزا تخصص هيئت مديره را بسط ميدهد، چنانکه رئيس فعلي کميته حسابرسي نامزدي احتمالي براي رياست کميته ريسک خواهد بود.
او ميگويد: «ما در هيئت مديره به تعداد کافي کارشناس نداريم که لزومي را براي جداسازي اين کميتهها تحميل کنيم» و اين را اضافه ميکند کارشناسهاي ريسک بانک درون کميتههاي وام و سرمايه-بدهي و کميته حسابرسي و ريسک قرار گرفتهاند. به هر حال، هرچه بانک بزرگتر شود، بهگفته هارمون «انتظار اين است که ما آوردن عناصر مديريت ريسک به بانک را با عبورمان از آستانه يک ميليارد دلار آغاز خواهيم کرد.»
بسياري موسسههاي کوچکتر ممکن است احساس کنند که يافتن تخصص در زمينه ريسک دشوار است، اما هودا ميگويد که بانکهايي که خلاقانه ميانديشند ميتوانند شخص درست را براي اين کار پيدا کنند. هودا ميگويد: «بهطور ايدهآل، شما ميخواهيد بهدنبال افرادي که فهم وسيعتري از مديريت ريسک دارند بگرديد.» مديران بانکي ميتوانند به تنظيمکننده (رگولاتور)هاي سابق، کارمند ارشد ريسک يا عضو کميته ريسک صنايع ديگر بنگرند. بيشتر از يک سوم پاسخدهندگان گزارش ميدهند که هيئتمديرهشان آموزش منظم درباره موضوعات مرتبط با ريسک نميبينند و پاسخدهندگاني که دانش کلي هيئت مديرهشان از مديريت ريسک را قوي ارزيابي ميکنند متوسط بازگشت سهام ۱۰ را، در مقايسه با ۸.۶ براي آنهايي که نيازي به ارتقا ميبينند، گزارش ميدهند.
چه انتظاري از کارمند ارشد ريسک داريم
کمتر از نيمي از پاسخدهندگان ميگويند که هيئت مديرهشان با کارمند ارشد ريسک در هر جلسه ديدار ميکند، اما هودا تماس با تناوب کمتر با کارمند ارشد ريسک ممکن است به هيئت مديرهاي که در مسائل مربوط به ريسک از قافله عقب افتاده است منجر شود. او ميگويد: «تنظيمکنندگان از کارمند ارشد ريسک انتظار دارند که تعادلکنندهاي حقيقي براي کار باشد. کارمند ارشد ريسک بايد در صورت لزوم پرسشگري باورپذير باشد و اگر راهبردها يا روشها قرار باشد ريسک بيمورد بهوجود آورند ابراز نگراني کند.»
همانطور که بليس، کارمند ارشد ريسک شرکت بنر در جلسههاي هيئت مديره شرکت ميکند و بهطور منظم تغييراتي در سياستگذاريها و برنامهها را بهعلاوه آمادهسازي گزارشهايي براي هيئت مديره در موضوعهايي همچون دادن وام عادلانه، امنيت اطلاعات و موافقت مشتري، پيشنهاد ميکند. او همچنين با رئيس کميته ريسک و مديرعامل درباره موضوع جلسه آن کميته همکاري ميکند که شامل بهروزسازيهاي منظم در مورد موضوعات ظاهر شده داراي ريسکي است که توسط تنظيمکنندهها آشکار شدهاند.
مديريت مشتري ديگر عرصه مرتبط با ريسکي است که مشغله ذهني اصلي تنظيمکنندگان است. در بولتني در سال ۲۰۱۳، اداره حسابرسي پولي بيان داشت که استفاده از مشتريها از مسئوليت بانک چيزي نميکاهد اگر چيزي دچار انحراف شود و مديريت مؤثر ريسک شامل مناسب مشتري است. شوراي فدرال بازرسي مؤسسات مالي نيز در بهروز رساني فوريه ۲۰۱۵ در کتابچه بازرسي خود در زمينه پيوستگي کاري بر اين امر تاکيد کرد و پيشنهاد داد که موسسهها راهکارهايي براي موقعيتي داشته باشند که مشتريشان کوتاهي ميکند.
امنيت مجازي و مديريت مشتريان
بانکها هنوز به شکل فزايندهاي به مشتريها وابستهاند، بهطور مشخص زماني که مسئله فناوري مطرح است. پاسخدهندگان به بررسي ميگويند که بانکشان به شکلي متوسط (۵۰ درصد) يا بهشدت (۴۴ درصد) براي حفاظت امنيت مجازي به مشتريها وابسته است. کيسي، کارمند ارشد ريسک در بانک آمبوي ميگويد: «مديريت مشتريها در حال حاضر واقعاً مشکل بزرگي است و در امنيت مجازي، اين مسئله چگونه با طرح پيوستگي کاري ما جور در ميآيد.» بانکها نهتنها در مورد هک نشدن خودشان، بلکه در مورد اين که آيا مشتريانشان هم امنيت دارند نگران باشند.
کيسي ميگويد: «آيا خيال ما راحت است که مشتريهايمان امنيت کافي دارند بهطوريکه هک نميشوند، چگونه به شکل رسمي اطمينان حاصل کنيم که آنچه براي آنها رخ ميدهد بر طبقات پايينتر اثر نميگذارد.»
مطابق گفته کيسي، بهروزرسانيهاي تنظيمي، بهطور مشخص از اداره حفاظت مالي مشتري، نهتنها بانکها بلکه مشتريهايشان را هم رها ميکند که هماهنگ شوند. او ميگويد: «ما به سمت مشتريهايمان ميدويم و ميگوييم که آيا براي تمامي اين تغييرات حاضري؟ و آنها ميگويند نه. آنها نيز تقلا ميکنند.»
بانکدارها پيوسته به توفعات تنظيمي بهعنوان چالش اصلي (۶۱ درصد) براي مديريت ريسک اشاره ميکنند. تنظيمهايي که بر بانکهاي بزرگتر اثر ميگذارند و تبعاتش از طريق ارزيابهايشان که اغلب به بانک ميگويند درحاليکه ممکن است روشهاي معين موردنياز نباشد اما اين کاري است که بانک بايد انجام دهد، به موسسههاي کوچکتر ميرسد. هودا ميگويد: «اتفاقا اين توقع است و بنابراين شما بايد براي آن برنامهريزي کنيد.» اما نهادهايي که مديريت ريسکي دارند در موقعيت بهتر عمل ميکند؛ کارمند ارشد ريسک، کميته ريسک مجزا، بيانيه ريسکپذيري که مرزهايي را در کل سازمان فراهم ميکند و فرهنگي متمرکز بر ريسک و نظارت مناسب بر امنيت مجازي؛ يک گام از تنظيمکنندهها جلو خواهد بود و براي روبهرو شدن با چالشهاي پيش رو آماده خواهد بود.
مرجع: ماهنامه دیدهبان فناوری- شماره ششم
کد مطلب : 10981
https://aftana.ir/vdciz3az.t1auv2bcct.htmlaftana.ir/vdciz3az.t1auv2bcct.html
آخرین عناوین
پربيننده ترين
۱
۲
۳
۴
۵