آیا همه بانک‌ها به امنیت سایبری توجه دارند؟

ریسک امنیت مجازی قطعاً مرکز توجه نیروهای اجرایی بانک و اعضای هیئت مدیره است.

به گزارش بانکینا، آیا هفته‌ای از سال ۲۰۱۴ بدون گزارش‌هایی درباره تهاجم مجازی عمده‌ای یا رخنه اطلاعاتی سپری شده است؟ در جولای، شرکت «جِی پی مورگان چِیس اند کو (جی پی مورگان و شرکا)» بیش از ۸۰ میلیون حساب مشتریان را که به دست هکرها در آنها رخنه شده بود کشف کرد و حمله به خرده‌فروش‌هایی همچون شرکت انبار و مقصد خانه (Home Depot and Target) برای صنعت خدمات مالی صدها میلیون دلار هزینه در بر داشته است. امسال هیچ تعهدی نداده است که نسبت به سال پیش وضع بهتری داشته باشد.

آیا مدیران بانکی تهدید را جدی می‌گیرند؟ مدیران بانکی (همایش) بررسی شیوه‌های (مدیریت) ریسک، حمایت شده توسط شرکت فناوری پرداخت‌ها و بانکداری FIS (شرکت خدمات اطلاعاتی اعتماد پذیری) بر این مساله که بانکدارها چگونه در حال مدیریت ریسک هستند، شامل نقش هیئت مدیره در نظارت و ایجاد فرهنگی برای تقویت و حمایت مدیریت ریسک در تمام سازمان تمرکز کردند. پاسخ‌دهندگان شامل ۱۴۹ مدیرعامل، کارمندهای ارشد (مدیریت) ریسک، اعضای هیئت مدیره و نیروهای اجرایی ارشد از بانک‌های ایالات متحده با سرمایه بیش از حدود ۵۰۰ میلیون دلار سهم موسسه‌های کوچک‌تر را که موضوع بسیاری قوانینی که رویه بانک را در برابر ریسک تنظیم می‌کنند نیستند، فراهم می‌کنند.

ریسک امنیت مجازی قطعاً مرکز توجه نیروهای اجرایی بانک و اعضای هیئت مدیره است. هشتاد و دو درصد امنیت مجازی را به‌عنوان رده‌ای از ریسک که بیشتر از همه آنها را نگران می‌کند، یعنی بسیار پیشی گرفته از مسائل بیشتر موافقت نامه‌های سنتی (۵۲ درصد)، اعتبار (۳۷ درصد) و ریسک عملیاتی (۳۵ درصد). نگرانی درباره ریسک امنیت مجازی به شکل مشخصی پس از بررسی سال ۲۰۱۴ افزایش یافته است، زمانی که ۵۱ درصد گفتند امنیت مجازی بیشتر از همه نگران‌شان می‌کند.

تنظیم‌کنندگان نیز در حال توجه کردن به این مسئله هستند. در یادداشتی در دسامبر ۲۰۱۴، اداره ناظر نیویورک خدمات مالی، بنجامین لاسکی، فرایند بررسی مشروحی را برای بانک‌هایی که در آن ایالت پروانه گرفته‌اند منتشر کرد که توسعه‌دهنده تمرکز آن اداره بر امنیت مجازی بود. دستورالعمل به‌روز شده شامل نگاهی به ساختارهایمدیریت جامع این موسسه‌ها به‌طوری‌که به امنیت مجازی ارتباط دارد بود. درنتیجه ارزیابی بانک‌های محلی انجام شده در تابستان گذشته، شورای فدرال بازرسی مؤسسات مالی (FFIEC) در نوامبر ۲۰۱۴ این شورا «نیازی به مشارکت توسط هیئت مدیران و مدیران ارشد» را ابراز داشت که شامل فهم کاملی از ریسک امنیت مجازی بانک و بررسی روزمره مسائل امنیت مجازی در جلسات هیئت مدیره می‌شود.

تامین امنیت سایبری با آمادگی در برابر حملات

به هر حال، شیوه‌های هیئت مدیره بسیاری موسسه‌های مالی برای تهدیدهای کنونی اتخاذ نشده‌اند. امنیت مجازی ممکن است اولویت داشته باشد، اما ۸۲ درصد پاسخ‌دهندگان می‌گویند مدیران‌شان مسئله را در هر جلسه هیئت مدیره به بحث نمی‌گذارند. تنها نیمی از آنها باور دارند که آماده‌سازی برای حمله مجازی جزو یکی از چالش‌های مدیریت ریسک اصلی بانک‌شان قرار می‌گیرد. درون کمیته‌ای که موظف است بر ریسک تمرکز کند، خواه آن کمیته ریسک مجزایی باشد، چنان‌که توسط ۴۷ درصد پاسخ‌دهندگان اعلام شده است یا کمیته حسابرسی و ریسکی ترکیبی (۲۷ درصد) یا کمیته حسابرسی (۱۴ درصد)، کمتر از نیمی از پاسخ‌دهندگان از طرح امنیت مجازی بانک انتقاد کردند.

سای هودا، معاون ارشد و مدیر کل راهکارهای موافقت، ریسک و مدیریت سرمایه‌گذاری FIS، می‌گوید: «فکر می‌کنم این تحرک جبرانی سریعی را که این صنعت به انجام آن نیاز دارد بازنمایی می‌کند.»

در امنیت سایبری هزینه رخنه بیش از هزینه سرمایه‌گذاری است

شواهد این فقدان تمرکز بر امنیت مجازی توسط بودجه امنیت مجازی در بسیاری بانک‌ها بازنمایی می‌شود. ۶۰ درصد پاسخ‌دهندگان بیان می‌دارند که کمتر از ۱ درصد درآمدهای بانک‌شان در سال مالی ۲۰۱۴ به امنیت مجازی اختصاص یافته بود، در عین حال تنها بیش از نیمی از این بانک‌ها برای افزایشی کمتر از ۱۰ درصد برنامه‌ریزی می‌کنند. هودا می‌گوید: «متاسفانه امروزه هیئت مدیره درباره‌اش در هر جلسه صحبت نمی‌کند، آنها طرح را بازبینی نمی‌کنند و بنابراین طبیعتاً بودجه مذکور آن را باز می‌نمایاند.»

وی اشاره می‌کند که بانک‌ها اغلب بودجه امنیت مجازی را پس از رخ دادن رخنه‌ای در داده‌ها افزایش می‌دهند، خیلی دیر می‌فهمند که هزینه رخنه در داده‌ها بسیار بیشتر از هزینه سرمایه‌گذاری در امنیت مجازی است.

با توجه به مطالعه موسسه «پنمون» با همکاری «آی بی ام»، رخنه در داده‌ها برای یک سازمان می‌تواند به‌طور متوسط ۵.۸ میلیون دلار هزینه در بر داشته باشد. این مطالعه به علاوه روشن ساخت که این اتفاق ممکن است اجتناب‌ناپذیر باشد، شرکت‌ها می‌توانند این هزینه را با تقویت اقدامات امنیتی کاهش دهند. استخدام کارمند ارشد امنیت اطلاعات (CISO) و داشتن نقشه واکنشی به حادثه در موقعیت دو عاملی هستند که می‌توانند تأثیر عمیقی بر امنیت بانکی بگذارند.

لزوم استخدام Ciso برای پیشگیری از فاجعه سایبری

بیش از یک‌سوم شرکت‌کنندگان در بررسی آشکار ساختند که بانک‌شان کارمند ارشد امنیت اطلاعات تمام وقتی ندارد، به شکل مشخص موسسه‌هایی با کمتر از ۵ میلیارد دلار سرمایه تخمینی. برای بانک‌هایی بدون چنین نیرویی، پاسخ‌دهندگان می‌گویند که این کار اغلب بر دوش کارمند ارشد اطلاعات (CIO) می‌افتد. به هر حال، CISO با CIO بسیار متفاوت است و دارای مجموعه مهارت‌های تخصصی‌تری است.

هودا می‌گوید:«کار CISO به‌عنوان خط دوم دفاع کمک کردن به پیشگیری از فاجعه مجازی است.»
به‌خاطر این تمرکز بر ریسک و فناوری، CISO باید به کارمند ارشد ریسک (CRO) گزارش دهد. بسیاری تنظیم‌کنندگان (با این مسئله) موافق‌اند. لاسکی نوشت که اداره او «تمامی مؤسسات را برای دیدن امنیت مجازی به‌عنوان وجهی اساسی از راهبرد مدیریت ریسک‌شان، به جای صرفاً همچون زیرمجموعه‌ای از فناوری اطلاعات، تشویق می‌کند.»

کارن کیسی، کارمند ارشد ریسک در بانک ۲.۲ میلیارد دلاری «اَمبوی»، تابع شرکت «امبوی بنکورپ» مستقر در «اولد بریج نیوجرسی»، توسط تنظیم‌کنندگان بانک مطلع شد که CISO به جای مشترکا به CRO و CIO گزارش دادن، همان‌طور که بانک در اصل برنامه‌ریزی کرده بود، باید به او گزارش دهد. او می‌گوید: «کارمند امنیت اطلاعات باید کاملاً از سیستم IT مستقل باشد.»

مایک مک کوردی، کسی که وظیفه مضاعف کارمند ارشد ریسک و مشاور اصلی را در شرکت بانکی بروکلین، شرکت هلدینگ چند بانک که در بوستون ماساچوست با سرمایه تخمینی ۵.۸ میلیارد دلار مستقر است، بر عهده دارد، می‌گوید: «کارمند ارشد امنیت اطلاعات در این زمان و دور نقشی اساسی است. او تخصصی یگانه و ارزشمند را ارائه می‌دهد.» CISO هم فناوری درون بانک و هم دستورالعمل‌ها و فرایندهای کل سازمان را درک می‌کند. برای شرکت بروکلین، این نقش نه‌تنها شامل نظارت و آزمایش، بلکه شامل ایجاد و پیاده‌سازی برنامه‌ای آموزشی برای تمامی کارمندان بخش امنیت اطلاعات نیز می‌شود.
محیط فناورانه سریعاً در حال تغییر کنونی به بانک‌ها این اطمینان را می‌دهد که مسئله این نیست که آیا حمله‌ای مجازی یا رخنه اطلاعاتی رخ خواهد داد یا نه، بلکه مساله این است که کی این اتفاق رخ خواهد داد. علاوه بر مدیریت روزانه برنامه امنیت اطلاعات، CISO در «والا والا»، وابسته به شرکت «بنر مستقر در واشنگتن، با سرمایه تخمینی ۴.۷ میلیارد دلار، تیم مقابله با حوادث را رهبری می‌کند. ۷۶ درصد پاسخ‌دهندگان به بررسی آشکار ساختند که بانک‌شان مدیرانی برای حوادث مجازی و نقشه‌ای برای پاسخ‌گویی به آن دارد.

طرح مقابله با حوادث مجازی می‌تواند به تقلید از طرح بازیابی بانک از فاجعه و طرح پیوستگی کاری، اما با تمرکزی بر ریسک‌های مجازی به‌عنوان الگو به‌کار رود. محیط‌های آسیب‌پذیر باید شناسایی شوند و این طرح باید شامل این باشد که درصورت وقوع رخنه بانک چگونه پاسخ خواهد داد و نقشه باید به‌طور منظم به‌روز شده و آزمایش شود.

بانک‌های دارای متخصص ریسک در هیئت‌مدیره‌شان یا افراد اختصاص‌یافته به این امر معیارهای عملکردی مالی قوی‌تری از خود نشان می‌دهند.
هودا می‌گوید: «تهدیدهای امنیت مجازی پیوسته تغییر می‌کنند، مسیرها و بازیگرهای جدید به‌سرعت ظهور می‌کنند.» بانک‌ها باید فرض کنند که رخنه‌ای رخ خواهد داد و سناریوهایی برای مشاهده اینکه این طرح واقعاً چگونه کار می‌کند ایجاد کنند. آیا کارمندان به‌طور مناسب و به شیوه‌ای زمان‌مند واکنش نشان می‌دهند؟ او می‌گوید: «قسمت آزمایش کردن واقعاً کلیدی است و باید اتفاق بیفتد.»

سه‌چهارم شرکت‌کنندگان در بررسی می‌گویند که موسسه‌شان به‌طور منظم طرح پاسخ‌گویی و مدیریت حوادث مجازی‌شان را آزمایش می‌کنند. با وجود داشتن حفاظ‌های امنیتی در محل، تیم مدیریت شرکت بروکلین متوجه می‌شود که احتمالاً حادثه‌ای در زمینه امنیت مجازی رخ خواهد داد.

مک کوردی می‌گوید: «اگر این حادثه رخ دهد، شما باید طرحی برای واکنش نشان دادن و پاسخ دادن به آن داشته باشید.»

هیئت مدیره بروکلین طرح پاسخگویی به حادثه و چگونگی آزمایش آن را با کارمند ارشد امنیت اطلاعات بانک بازبینی کرد. در این بازبینی رئیس فناری اطلاعات که هیئت مدیره را با مثال‌هایی از رخنه در داده‌ها و تأثیر احتمالی آنها و اینکه چه کاری برای مدیریت این ریسک‌ها در حال انجام است و چگونه بانک بر تهدیدهای مجازی مسلط است آماده کرده بود، آنها را همراهی می‌کرد.

۶۸درصد آشکار ساختند که بانک‌شان ارزیابی ریسک امنیت مجازی و بررسی فاصله عملکرد با برنامه ایده آل (گپ) در راستای توقعات شورای فدرال بازرسی مؤسسات مالی، خود ارزیابی از آمادگی در زمینه امنیت مجازی با تمرکز بر عرصه‌هایی همچون نظارت هیئت مدیره، مدیران و کنترل‌های ریسک امنیت مجازی، طرح‌ریزی حادثه مجازی و وابستگی شخص ثالث را انجام داده است. نوزده درصد برای انجام دادن طرح در آینده‌ای نزدیک برنامه‌ریزی می‌کنند.

۴۳ درصد پاسخ‌دهندگان آشکار ساختند که ایجاد فرهنگی که از ارتباط و ارزیابی ریسک بین تمام بانک‌ها حمایت کند چالش بزرگی است – (که) رشدی قابل توجه از ۲۰۱۴ (داشته است)؛ اما پاسخ‌دهندگان درباره عناصر لحاظ‌شده در فرهنگ بانک‌های خودشان برای حمایت از مدیریت ریسک لحاظ شده است اجماعی نشان نمی‌دهند.

هودا تاکید می‌کند که فرهنگ ریسک از بالا ایجاد می‌شود و گفت‌وگوهای منظم میان مدیران خط و رئیس بانک یا رئیس کمیته ریسک، چنان‌که توسط ۴۴ درصد پاسخ‌دهندگان آشکار شده است، می‌تواند اثرگذار باشد.

هودا می‌گوید: «این کار به وضعیت نظام می‌بخشد و همچون اساس برای ایجاد کردن فرهنگ ریسک به کار می‌آید چون کسانی که واقعاً کارها را انجام می‌دهند و با مشتری‌ها تعامل می‌کنند پیام درست را دریافت می‌کنند؛ مدیریت ریسک وظیفه همه است و مدیریت کردن ریسک برای موفقیت سازمان حیاتی است.»

شرکت بنر فرهنگ ریسک مستحکمی دارد. به‌گفته تایرون بلیس، کارمند ارشد ریسک، فرهنگی که برای حفظ کردن ادامه امتزاجش با شرکت هلدینگ مسئولیت محدود SKBHC مستقر در سیاتل برنامه‌ریزی می‌کند. پس از آنکه امتزاج مطابق انتظار در یک‌ چهارم دوم سال ۲۰۱۵ کامل شود، اندازه شرکت بنر با سرمایه‌ای حدود ۹.۷ میلیارد دلار، دوبرابر خواهد شد. به‌گفته بلیس فرهنگ ریسک از بالا به پایین چکه می‌کند، از میز مدیران و مدیرعامل و عوامل اجرایی ارشد. نگهداری نمای ریسکی متعادل یکی از پنج رکن راهبردی بانک است. او می‌گوید: «ما زمان و منابع قابل توجهی را برای انضمام فرهنگ ریسک مطلوب مان در شرکت خود صرف می‌کنیم.»

نقش آموزش و فرهنگ‌ سازی در امنیت سایبری

بخشی از این فرهنگ‌سازی در شرکت بنر شامل سرمایه‌گذاری بر روی آموزش و جهت‌دهی نیروهای استخدام شده است. سیاست‌گذاری‌های کلیدی بانک در هر استخدام تازه مرور می‌شود. همچنین مدیران به‌طور منظم مباحثاتی را درباره اهداف راهبردی، شامل نمای ریسک، رهبری می‌کند و هر سه‌ماه یک‌بار با نیروها گفتگو می‌کند که آنها بتوانند ببینند اهداف راهبردی چگونه محقق شده‌اند. بانک همچنین بر روی آموزش پیوسته درباره طیفی از موضوعات مرتبط با ریسک سرمایه‌گذاری می‌کند. بسیاری بانک‌ها چنین شکلی از سرمایه‌گذاری را بر روی فرهنگ ریسک بانک‌شان انجام نمی‌دهند: تنها ۵۱ درصد پاسخ‌دهندگان گزارش کردند که موسسه‌شان تمام نیروهای استخدام شده را در مورد ریسک آموزش می‌دهد.

ریسک‌پذیری

کمتر از یک‌سوم پاسخ‌دهندگان، عملکرد در زمینه مدیریت ریسک را به پاداش مرتبط می‌کنند، چیزی که هودا می‌گوید ضعفی کلیدی در این صنعت است، چراکه ارتباط دادن پاداشبه کارهای دقیق در زمینه ریسک انگیزه‌ای برای مدیریت ریسک فراهم می‌کند.

طرح پاداش مشوق شرکت بنر شامل جوایز ملموس و مقادیر مشخص ریسک پیرامون هرکدام است، که به تمام کارمندان واجد شرایط فرا فرستاده می‌شود. بلیس می‌گوید: «این هوشیاری، به‌ویژه زمانی که به دلار و سنت تغییر حالت می‌دهد، وجه کلیدی دیگری برای درونی‌سازی این فرهنگ است.»

بانک از کارمندان قسمت‌های غیرتولیدی غفلت نمی‌کند. «فرایند مدیریت عملکرد کلی ما ملاحظه مدیریت ریسک که مناسب آن موقعیت است را یکی می‌کند.»

ریسک‌پذیری همچنان به گیج کردن بسیاری مدیران بانکی ادامه می‌دهد؛ ۴۲ درصد نظارت بر ریسک‌پذیری را به‌عنوان عرصه‌ای که هیئت مدیره به بهره‌مندی از آموزش اضافی تمایل دارند ذکر کردند، کمی کمتر از ۴۹ درصد بررسی سال ۲۰۱۴. تقریباً ۶۰ درصد پاسخ‌دهندگان می‌گویند که بانک‌شان بیانیه‌ای در زمینه ریسک‌پذیری دارد، روشی که به‌طور مشخص در بانک‌هایی با سرمایه‌ای بیش از ۵ میلیارد دلار برجسته است و ۲۷ درصد دیگر برای پیاده‌سازی بیانیه‌ای طی ۱۲ ماه آینده برنامه می‌ریزند. برای آنهایی که بیانیه‌ای در زمینه ریسک‌پذیری دارند، اکثریت غالب‌شان، ۸۴ درصدشان، سالانه آن را بازبینی می‌کنند.

بیشتر بانک‌ها بیانیه ریسک‌پذیری را به‌عنوان راهنمایی برای هیئت رئیسه و مدیران استفاده می‌کنند، بر اساس پاسخ ۷۴ درصد شرکت‌کنندگان، اما کمتر از نیمی‌شان بیانیه مدیریت ریسک را برای تعیین حدود واقعی استفاده می‌کنند. هودا می‌گوید که هیئت مدیره نباید از محدود کردن تیم مدیریت بانک بترسد. اگر مدیریت تمایل دارد که از گاردریل‌های تعیین شده درون بیانیه ریسک‌پذیری تجاوز کند، این تمایل باید مباحثه‌ای را با هیئت مدیره، درباره اینکه چرا مدیریت می‌خواهد از از مرزهای بیانیه ریسک‌پذیری فراتر رود و این کار چه منافعی می‌تواند برای بانک داشته باشد، برانگیزاند. بیانیه ریسک‌پذیری «دیدگاه هیئت مدیره به‌عنوان امانت‌دار سهام‌دارها درباره این است که ما قرار است چگونه رشد کنیم و چگونه درون مرزهای مشخص ریسک درآمد داشته باشیم» را بازگو می‌کند.

تنها ۴۱ درصد بیانیه ریسک‌پذیری را برای نظارت بر توافق‌ها استفاده می‌کنند و یک‌سوم چگونگی تأثیر ریسک‌پذیری بر عملکرد بانک اهداف راهبردی بانک در سال را تجزیه‌وتحلیل می‌کنند. یازده درصد اقرار می‌کنند که ریسک‌پذیری تنها تمرینی سالانه برای هیئت مدیره است و کاملاً استفاده نمی‌شود.

۷۹ درصد آشکار می‌سازند که بانک بیانیه ریسک‌پذیری‌اش را با تمام کارمندان خود در میان نمی‌گذارد. هودا می‌گوید:« قرار است چگونه همه به چیز مشابهی فکر کنند؟»

مک کوردی می‌گویدکه بروکلین برای ارتباط بهتر کارمندان در زمینه ریسک، شامل سخنرانی‌هایی در سطح شرکت درباره مدیریت ریسک، کار می‌کند. بانک همچنین شوراهایی برای تقویت ارتباطات در قسمت‌هایی، همچون اعتبار و عملیات که ممکن است با ریسک مرتبط باشند و واحدهای کاری مختلف را بهتر درباره تحمل ریسک‌های مشخص مطلع می‌سازند تأسیس کرده است.

بررسی مذکور تمایل پیوسته‌ای را به تخصص بیشتری در زمینه ریسک در موسسه‌های مالی و ارزش کلی دانش و آموزش برای هیئت مدیره‌هایشان را آشکار می‌سازد. کارمندان ارشد ریسک مورد تقاضای بانک‌هایی با سرمایه کمتر از حدود ۵۰ میلیون دلار نیستند اما ۹۴ درصد موسسه‌هایی با حدود یک‌میلیارد دلار سرمایه یا بیشتر که در بررسی مشارکت داشتند یکی دارند. ۷۱ درصد موسسه‌های شرکت‌کننده با سرمایه کمتر از یک میلیارد دلار گزارش می‌دهند که بانک‌شان یک CRO دارد.

ضرورت وجود متخصص ریسک در بانک

بانک‌های دارای متخصص ریسک در هیئت‌مدیره‌شان یا افراد اختصاص‌یافته به این امر معیارهای عملکردی مالی قوی‌تری از خود نشان می‌دهند. بانک‌هایی با کارمند ارشد ریسک معیار بازگشت سهام متوسط بالاتری، ۹.۲، را در مقایسه با متوسط ۷.۳ بانک‌های بدون چنین کسی و همچنین بازگشت سرمایه متوسط برابر با ۱.۰ را در مقایسه با ۰.۸ بانک‌های بدون کارمند ارشد ریسک به رخ می‌کشند. برای هیئت مدیره، آنهایی که از گزارش کارشناس ریسک بهره می‌برند متوسط بازگشت سهام ۹.۲ است، در مقایسه با متوسط ۹.۰ برای آنهایی از آن بی‌بهره‌اند و متوسط بازگشت سرمایه‌شان در مقایسه با ۰.۹ برای بانک‌های فاقد کارشناس ریسک، ۱.۰ است.

بانک‌هایی با سرمایه کمتر از ۱ میلیارد دلار بسیار کمتر محتمل است که حضور کارشناس ریسکی در هیئت مدیره را گزارش کنند. تقریباً سه‌چهارم پاسخ‌دهندگان از بانک‌هایی با بیش از یک میلیارد دلار سرمایه گزارش می‌دهند که هیئت مدیره بانک‌شان دارای کارشناس ریسکی است که به‌طور مشخص در ارتباط با موسسه‌های مالی است. این مقدار برای بانک‌های با سرمایه زیر یک میلیارد دلار به ۳۹ درصد افت می‌کند.

فقدان تخصص در زمینه ریسک در هیئت مدیره بانک‌های کوچک‌تر ممکن است با انتخاب بسیاری از آنها برای ایجاد نکردن کمیته ریسک جداگانه‌ای در سطح هیئت مدیره اشتراک داشته باشد. ۲۷ درصد پاسخ‌دهندگان از موسسه‌هایی با سرمایه کمتر از یک میلیارد دلار نشان می‌دهند که بانک‌شان کمیته ریسکی جدای از هیئت مدیره دارند. ۳۰ درصد در این بانک‌های کوچک‌تر درون کمیته مرکب حسابرسی و ریسک، و ۲۱ درصد از طریق کمیته حسابرسی هیئت مدیره ریسک را مدیریت می‌کنند. بیست و یک درصد به منزله هیئت مدیره بر ریسک نظارت می‌کنند. برای روی هارمون، مدیرعامل بانک تنسی با ۹۱۷ میلیون دلار سرمایه که در گینگزپورت تنسی مستقر است، جدا کردن حسابرسی و ریسک به کمیته‌های مجزا تخصص هیئت مدیره را بسط می‌دهد، چنان‌که رئیس فعلی کمیته حسابرسی نامزدی احتمالیبرای ریاست کمیته ریسک خواهد بود.

او می‌گوید: «ما در هیئت مدیره به تعداد کافی کارشناس نداریم که لزومی را برای جداسازی این کمیته‌ها تحمیل کنیم» و این را اضافه می‌کند کارشناس‌های ریسک بانک درون کمیته‌های وام و سرمایه-بدهی و کمیته حسابرسی و ریسک قرار گرفته‌اند. به هر حال، هرچه بانک بزرگ‌تر شود، به‌گفته هارمون «انتظار این است که ما آوردن عناصر مدیریت ریسک به بانک را با عبورمان از آستانه یک میلیارد دلار آغاز خواهیم کرد.»

بسیاری موسسه‌های کوچک‌تر ممکن است احساس کنند که یافتن تخصص در زمینه ریسک دشوار است، اما هودا می‌گوید که بانک‌هایی که خلاقانه می‌اندیشند می‌توانند شخص درست را برای این کار پیدا کنند. هودا می‌گوید: «به‌طور ایده‌آل، شما می‌خواهید به‌دنبال افرادی که فهم وسیع‌تری از مدیریت ریسک دارند بگردید.» مدیران بانکی می‌توانند به تنظیم‌کننده (رگولاتور)های سابق، کارمند ارشد ریسک یا عضو کمیته ریسک صنایع دیگر بنگرند. بیشتر از یک سوم پاسخ‌دهندگان گزارش می‌دهند که هیئت‌مدیره‌شان آموزش منظم درباره موضوعات مرتبط با ریسک نمی‌بینند و پاسخ‌دهندگانی که دانش کلی هیئت مدیره‌شان از مدیریت ریسک را قوی ارزیابی می‌کنند متوسط بازگشت سهام ۱۰ را، در مقایسه با ۸.۶ برای آنهایی که نیازی به ارتقا می‌بینند، گزارش می‌دهند.

چه انتظاری از کارمند ارشد ریسک داریم

کمتر از نیمی از پاسخ‌دهندگان می‌گویند که هیئت مدیره‌شان با کارمند ارشد ریسک در هر جلسه دیدار می‌کند، اما هودا تماس با تناوب کمتر با کارمند ارشد ریسک ممکن است به هیئت مدیره‌ای که در مسائل مربوط به ریسک از قافله عقب افتاده است منجر شود. او می‌گوید: «تنظیم‌کنندگان از کارمند ارشد ریسک انتظار دارند که تعادل‌کننده‌ای حقیقی برای کار باشد. کارمند ارشد ریسک باید در صورت لزوم پرسش‌گری باورپذیر باشد و اگر راهبردها یا روش‌ها قرار باشد ریسک بی‌مورد به‌وجود آورند ابراز نگرانی کند.»

همان‌طور که بلیس، کارمند ارشد ریسک شرکت بنر در جلسه‌های هیئت مدیره شرکت می‌کند و به‌طور منظم تغییراتی در سیاست‌گذاری‌ها و برنامه‌ها را به‌علاوه آماده‌سازی گزارش‌هایی برای هیئت مدیره در موضوع‌هایی همچون دادن وام عادلانه، امنیت اطلاعات و موافقت مشتری، پیشنهاد می‌کند. او همچنین با رئیس کمیته ریسک و مدیرعامل درباره موضوع جلسه آن کمیته همکاری می‌کند که شامل به‌روزسازی‌های منظم در مورد موضوعات ظاهر شده دارای ریسکی است که توسط تنظیم‌کننده‌ها آشکار شده‌اند.

مدیریت مشتری دیگر عرصه مرتبط با ریسکی است که مشغله ذهنی اصلی تنظیم‌کنندگان است. در بولتنی در سال ۲۰۱۳، اداره حسابرسی پولی بیان داشت که استفاده از مشتری‌ها از مسئولیت بانک چیزی نمی‌کاهد اگر چیزی دچار انحراف شود و مدیریت مؤثر ریسک شامل مناسب مشتری است. شورای فدرال بازرسی مؤسسات مالی نیز در به‌روز رسانی فوریه ۲۰۱۵ در کتابچه بازرسی خود در زمینه پیوستگی کاری بر این امر تاکید کرد و پیشنهاد داد که موسسه‌ها راهکارهایی برای موقعیتی داشته باشند که مشتری‌شان کوتاهی می‌کند.

امنیت سایبری و مدیریت مشتریان

بانک‌ها هنوز به شکل فزاینده‌ای به مشتری‌ها وابسته‌اند، به‌طور مشخص زمانی که مسئله فناوری مطرح است. پاسخ‌دهندگان به بررسی می‌گویند که بانک‌شان به شکلی متوسط (۵۰ درصد) یا به‌شدت (۴۴ درصد) برای حفاظت امنیت مجازی به مشتری‌ها وابسته است. کیسی، کارمند ارشد ریسک در بانک آمبوی می‌گوید: «مدیریت مشتری‌ها در حال حاضر واقعاً مشکل بزرگی است و در امنیت مجازی، این مسئله چگونه با طرح پیوستگی کاری ما جور در می‌آید.» بانک‌ها نه‌تنها در مورد هک نشدن خودشان، بلکه در مورد این که آیا مشتریان‌شان هم امنیت دارند نگران باشند.

کیسی می‌گوید: «آیا خیال ما راحت است که مشتری‌هایمان امنیت کافی دارند به‌طوری‌که هک نمی‌شوند، چگونه به شکل رسمی اطمینان حاصل کنیم که آنچه برای آنها رخ می‌دهد بر طبقات پایین‌تر اثر نمی‌گذارد.»

مطابق گفته کیسی، به‌روزرسانی‌های تنظیمی، به‌طور مشخص از اداره حفاظت مالی مشتری، نه‌تنها بانک‌ها بلکه مشتری‌هایشان را هم رها می‌کند که هماهنگ شوند. او می‌گوید: «ما به سمت مشتری‌هایمان می‌دویم و می‌گوییم که آیا برای تمامی این تغییرات حاضری؟ و آنها می‌گویند نه. آنها نیز تقلا می‌کنند.»

بانکدارها پیوسته به توفعات تنظیمی به‌عنوان چالش اصلی (۶۱ درصد) برای مدیریت ریسک اشاره می‌کنند. تنظیم‌هایی که بر بانک‌های بزرگ‌تر اثر می‌گذارند و تبعاتش از طریق ارزیاب‌هایشان که اغلب به بانک می‌گویند درحالی‌که ممکن است روش‌های معین موردنیاز نباشد اما این کاری است که بانک باید انجام دهد، به موسسه‌های کوچک‌تر می‌رسد. هودا می‌گوید: «اتفاقا این توقع است و بنابراین شما باید برای آن برنامه‌ریزی کنید.» اما نهادهایی که مدیریت ریسکی دارند در موقعیت بهتر عمل می‌کند؛ کارمند ارشد ریسک، کمیته ریسک مجزا، بیانیه ریسک‌پذیری که مرزهایی را در کل سازمان فراهم می‌کند و فرهنگی متمرکز بر ریسک و نظارت مناسب بر امنیت مجازی؛ یک گام از تنظیم‌کننده‌ها جلو خواهد بود و برای روبه‌رو شدن با چالش‌های پیش رو آماده خواهد بود.

منبع: ماهنامه دیده بان فناوری