چارچوب ریسک عملیاتی برای بانک‌های خصوصی سوئیس

بانک‌های خصوصی سوئیس در یک محیط بسیار تنظیم‌شده فعالیت می‌کنند که در آن تاب‌آوری عملیاتی سنگ بنای اعتماد مشتری است. بخشنامه‌های اخیر FINMA و به‌روزرسانی‌های نظارتی کانتون‌ها بر لزوم وجود یک چارچوب جامع و آینده‌نگر برای ریسک عملیاتی تأکید کرده‌اند که فناوری، حاکمیت و نظارت مستمر را ادغام می‌کند. این صفحه رویکردی عملی و همسو با FINMA را که بانک‌های خصوصی سوئیس می‌توانند برای محافظت در برابر حوادث سایبری، تقلب، شکست‌های فرآیندی و نقض‌های نظارتی اتخاذ کنند، ترسیم می‌کند.

بانک‌های خصوصی سوئیس باید با دستورالعمل‌های مدیریت ریسک عملیاتی (ORM) FINMA، قانون بانکداری سوئیس و انتظارات نظارتی کانتون‌ها هماهنگ شوند. چارچوب توصیف شده در زیر الزامات فدرال را با نکات محلی ترکیب می‌کند و اطمینان حاصل می‌کند که مالکان ریسک، مالکان کنترل و مدیریت ارشد مسئولیت‌های روشنی را به اشتراک می‌گذارند. با گنجاندن شناسایی، ارزیابی، کاهش و گزارش‌دهی ریسک در فرآیندهای روزمره، بانک‌ها می‌توانند به انطباق با مقررات دست یابند، دارایی‌های مشتریان را محافظت کنند و تاب‌آوری عملیاتی را افزایش دهند.

یک مدل حکمرانی قوی با نظارت در سطح هیئت آغاز می‌شود. هیئت باید یک سیاست مدیریت ریسک عملیاتی (ORM) را تأیید کند که اشتهای ریسک، آستانه‌های تحمل و مسیرهای تشدید را تعریف کند. یک رئیس ریسک عملیاتی (CORO) اختصاصی به‌طور مستقیم به کمیته ریسک هیئت گزارش می‌دهد و با رئیس امنیت اطلاعات (CISO) و افسران انطباق هماهنگی می‌کند. این خط گزارش‌دهی دوگانه اطمینان می‌دهد که هم ریسک‌های عملیاتی و هم ریسک‌های سایبری به‌طور برابر مورد توجه قرار می‌گیرند. نهادهای نظارتی کانتون معمولاً نیاز دارند که افسران ریسک محلی در هر حوزه قضایی حضور داشته باشند؛ بنابراین، بانک‌ها باید نمایندگان ریسک خاص کانتون را منصوب کنند که داده‌های حوادث منطقه‌ای را به مخزن مرکزی ریسک منتقل کنند. اسناد حکمرانی باید به‌طور سالانه و پس از هر حادثه مهم بررسی شوند، همان‌طور که توسط اصول مدیریت ریسک سالم FINMA الزامی شده است.

شناسایی مؤثر ریسک ترکیبی از ثبت‌نام‌های ریسک از بالا به پایین و گزارش‌دهی حوادث از پایین به بالا است. بانک‌ها باید حداقل سالی یک بار یک ارزیابی جامع از ریسک و کنترل (RCSA) انجام دهند که شامل تمام خطوط کسب‌وکار، عملکردهای پشتیبانی و ارائه‌دهندگان خدمات شخص ثالث باشد. RCSA باید با چشم‌انداز ریسک سوئیس تنظیم شود و شامل مقررات امنیت سایبری کانتون و آخرین انتظارات FINMA در مورد برون‌سپاری باشد. تکنیک‌های ارزیابی کمی، مانند مدل‌سازی فراوانی حوادث زیان و تحلیل سناریو، به بانک‌ها این امکان را می‌دهد که معیارهای مالی را به هر ریسک اختصاص دهند. به عنوان مثال، یک سناریوی سرقت سایبری ممکن است با زیان مورد انتظار ۵ میلیون فرانک سوئیس مدل‌سازی شود، در حالی که یک رویداد شکست فرآیند می‌تواند به ارزش ۱ میلیون فرانک سوئیس ارزیابی شود. این معیارها به تخصیص سرمایه بانک و محاسبات عملکرد تنظیم‌شده بر اساس ریسک کمک می‌کند.

کنترل‌ها باید متناسب با ریسک ارزیابی‌شده باشند و در یک کتابخانه کنترل متمرکز مستند شوند. کنترل‌های پیشگیرانه شامل احراز هویت چندعاملی، تفکیک وظایف و نظارت خودکار بر تراکنش‌ها می‌باشد. کنترل‌های تشخیصی شامل تحلیل لاگ‌های زمان واقعی، تشخیص ناهنجاری مبتنی بر هوش مصنوعی و حسابرسی‌های داخلی دوره‌ای است. مقررات کانتون ممکن است نیاز به اقدامات خاص محلی‌سازی داده‌ها برای اطلاعات مشتری داشته باشد؛ بنابراین، بانک‌ها باید سیاست‌های رمزنگاری و کنترل دسترسی را پیاده‌سازی کنند که هم با قوانین حریم خصوصی داده‌های FINMA و هم با قوانین حریم خصوصی داده‌های کانتون مطابقت داشته باشد. مالکان کنترل مسئول حفظ شواهد اثربخشی هستند که باید در یک سیستم امن و قابل حسابرسی ذخیره شود که برای ناظران فدرال و کانتونی قابل دسترسی باشد.

نظارت مداوم برای شناسایی زودهنگام نقض‌های عملیاتی ضروری است. یک داشبورد ریسک یکپارچه باید شاخص‌های کلیدی ریسک (KRI) مانند تلاش‌های ناموفق برای ورود، نرخ استثنائات تراکنش و زمان‌های عدم فعالیت خدمات شخص ثالث را تجمیع کند. الگوریتم‌های هوش مصنوعی می‌توانند انحرافات از رفتار پایه را شناسایی کرده و هشدارهای خودکار را به CORO و واحدهای تجاری مربوطه ارسال کنند. فرکانس‌های گزارش‌دهی بسته به شدت ریسک متفاوت است: ریسک‌های با تأثیر بالا نیاز به گزارش‌های روزانه به مدیریت ارشد دارند، در حالی که ریسک‌های با تأثیر کمتر ممکن است به صورت ماهانه گزارش شوند. تمام حوادث، صرف‌نظر از اندازه، باید در سیستم مدیریت حوادث ثبت شوند و در صورت ایجاد ریسک سیستمی، باید در بازه قانونی ۷۲ ساعته به FINMA گزارش شوند. ناظران کانتون‌ها خلاصه‌های سه‌ماهه‌ای متناسب با خطرات منطقه‌ای دریافت می‌کنند.

FINMA انتظار دارد که بانک‌ها تست‌های استرس عملیاتی منظم را انجام دهند که رویدادهای شدید اما قابل تصور را شبیه‌سازی کند. سناریوها ممکن است شامل یک حمله هماهنگ باج‌افزاری به سیستم‌های بانکی اصلی، از دست دادن ناگهانی یک ارائه‌دهنده خدمات شخص ثالث بزرگ، یا تغییرات نظارتی باشد که الزامات سرمایه را برای ریسک عملیاتی سخت‌تر می‌کند. بانک‌ها باید تأثیر بر نقدینگی، کفایت سرمایه و سطح خدمات مشتریان را اندازه‌گیری کنند. نتایج به برنامه‌ریزی اضطراری، از جمله ترتیبات تداوم کسب‌وکار، فعال‌سازی مرکز داده پشتیبان و پروتکل‌های ارتباطی با مشتریان و نهادهای نظارتی اطلاع می‌دهد. مقامات کانتون ممکن است نتایج تست استرس محلی شده را برای شعبی که در حوزه‌های پرخطر فعالیت می‌کنند، درخواست کنند.

چارچوب‌های مدرن ریسک عملیاتی از فناوری برای بهبود دقت و کارایی استفاده می‌کنند. پلتفرم‌های نظارت مبتنی بر هوش مصنوعی می‌توانند میلیون‌ها رکورد تراکنش را در زمان واقعی پردازش کرده و الگوهای نشان‌دهنده تقلب یا سوءاستفاده از سیستم را شناسایی کنند. بلاک‌چین می‌تواند برای ایجاد مسیرهای حسابرسی غیرقابل تغییر از فعالیت‌های کنترل حیاتی به کار رود و به خواسته‌های شفافیت FINMA و استانداردهای یکپارچگی داده‌های کانتون پاسخ دهد. راه‌حل‌های مدیریت ریسک مبتنی بر ابر باید با قانون حفاظت از داده‌های سوئیس و الزامات میزبانی داده‌های کانتونی مطابقت داشته باشند و اطمینان حاصل کنند که داده‌های حساس مشتری در حوزه‌های قضایی تأیید شده باقی بمانند. بررسی‌های منظم فناوری تضمین می‌کند که ابزارهای نوظهور با اشتهای ریسک و الزامات نظارتی بانک هم‌راستا هستند.

مدیریت ریسک عملیاتی نباید یک عملکرد جداگانه باشد؛ بلکه باید در تصمیم‌گیری‌های استراتژیک گنجانده شود. هنگام راه‌اندازی محصولات جدید، مانند پلتفرم‌های مدیریت ثروت دیجیتال، بانک‌ها باید ارزیابی‌های تأثیر ریسک عملیاتی را انجام دهند که وابستگی‌های فناوری، رویه‌های پذیرش مشتری و انطباق با مقررات را ارزیابی کند. یافته‌ها به فرآیند تأیید محصول وارد می‌شوند و اطمینان حاصل می‌کنند که ملاحظات ریسک بر رشد کسب‌وکار تأثیر می‌گذارد. نهادهای نظارتی کانتون اغلب راه‌اندازی محصولات را که بر بازارهای محلی تأثیر می‌گذارد، به دقت بررسی می‌کنند و این امر، ادغام زودهنگام ریسک را برای دریافت تأییدیه‌های به موقع حیاتی می‌سازد.

یک فرهنگ بهبود مستمر برای تاب‌آوری بلندمدت حیاتی است. بررسی‌های پس از حادثه باید تجزیه و تحلیل‌های ریشه‌ای، درس‌های آموخته شده و برنامه‌های اقدام اصلاحی را ثبت کنند. این بینش‌ها به چرخه RCSA، به‌روزرسانی‌های کتابخانه کنترل و برنامه‌های آموزشی کارکنان بازخورد داده می‌شوند. جلسات آموزشی منظم، که به انتظارات نظارتی فدرال و کانتونال تطبیق داده شده‌اند، کارکنان را از تهدیدات عملیاتی نوظهور آگاه نگه می‌دارد. مقایسه با مؤسسات همتای خود و شرکت در انجمن‌های صنعتی FINMA به بهبود وضعیت ریسک بانک کمک می‌کند.