• Usljed sve veće upotrebe savremenih tehnologija kao i dostupnosti kritičnih podataka, cyber rizici danas predstavljaju jedan od najvećih izazova za bankarski sektor • AI ima značajno mjesto u otkrivanju prevara i štetnih događaja, zatim analizu internih usklađenosti sa regulativom, kao i za analizu podataka i informacija, odnosno izvještavanje • Prilikom ostvarivanja težnji ka rastu, Banka se fokusira nа diversifikaciju kako bi se izbjegla velika koncentracija na nivou portfolija • Ulaganje u tim i ljude je ključni faktor razvoja u bilo kojoj oblasti, time i u oblasti upravljanja rizicima
Razgovarao: Zlatko VUKMIROVIĆ
• Poštovana gospođo Stančić Škrga, cyber rizici danas predstavljaju jedan od najvećih izazova za bankarski sektor. Kako je Naša banka sistemski uklopila upravljanje tim rizicima u svoj ukupni model risk managementa?
– Banke su po prirodi svoje djelatnosti, u potpunosti opravdano, jedna od najregulisanijih institucija. Postavljanje sistema upravljanja rizicima u praksi postaje sve više zahtjevno, kako zbog obimnosti trenutnih zahtjeva regulatora (u pogledu širine, kao i dubine oblasti koje treba da se pokriju), tako i u pogledu brzine razvoja, tj. kontinuiranih unapređenja postojećih, ali i novih zahtjeva regulatora. Dodatno, izazov za adekvatnim upravljanjem rizicima je u savremenim uslovima utoliko veći s obzirom na pojavu i tempo razvoja novih tehnologija i sve šire digitalizacije, kao i širenje znanja o upotrebi ovih tehnologija kroz globalno sve veću dostupnost informacija.
Usljed sve veće upotrebe savremenih tehnologija, kao i dostupnosti kritičnih podataka, upravo kako ste i konstatovali, cyber rizici danas predstavljaju jedan od najvećih izazova za bankarski sektor. Specifičnost ovih rizika u odnosu na neke druge jeste činjenica da se mogu materijalizovati mnogo brže i reflektovati na Banku daleko značajnije, kao i da njihov najveći izvor zapravo predstavlja napad treće strane.
Naša banka kroz niz mjera nastoji i teži ka unapređenju sistema upravljanja cyber rizicima, kao što su: kontinuirana edukacija zaposlenih o pravilnom načinu upotrebe tehnologija u Banci, kao i o važnosti pridržavanja propisanih sigurnosnih pravila, zatim kontinuirano ulaganje u bezbjednosne softvere i protokole, ulaganje u interne timove zadužene za održavanje nivoa bezbjednosti, redovno upozoravanje zaposlenih na eventualne pokušaje eksternih napada na sisteme Banke, nastojanje da se eventualni sumnjivi incidenti pravovremeno prijavljuju nadležnim službama u cilju unapređenja sistema odbrane od cyber rizika itd.
STALNO ŠIRENJE ZNANJA
• Kako Banka osigurava kontinuiranu edukaciju i osposobljavanje zaposlenika da prepoznaju rane signale cyber napada, uključujući one koji koriste elemente AI?
– Banka planira eksterne i interne obuke na redovnom, godišnjem, nivou. Sastavni dio ovih planova su svakako i planovi koji se tiču cyber rizika, i to oni koji se odnose na obuke ključnih zaposlenih zaduženih za održavanje i unapređenje sistema odbrane od cyber rizika, ali i svih zaposlenih o poznatim i manje poznatim metodama napada. Kada su u pitanju eksterne obuke, Banka prati dostupne edukacije od strane specijalizovanih konsultanata za cyber bezbjednost, te obezbjeđuje učešće internih timova u ovim edukacijama, koji dalje interno prenose usvojena znanja sa krajnjim ciljem njihove primjene u sistemu upravljanja cyber rizicima. Interne obuke sprovode se kombinovanjem metoda obuke putem online platforme za interne obuke kao efikasnog alata za brži transfer znanja kroz geografski rasprostranjenu mrežu zaposlenih.
• Na koji način se Banka nosi s rizikom od tehnoloških partnera i dobavljača koji koriste AI — imate li procese procjene trećih strana i kako osiguravate sigurnosne standarde kroz cijeli lanac?
– Upravljanje odnosom sa tehnološkim dobavljačima za Banku predstavlja izuzetno važan aspekt cjelokupnog sistema upravljanja, usljed velikog broja faktora. Najočitiji od njih je izuzetno ubrzan tehnološki razvoj, pojava i primjena AI alata u svakodnevnom životu, kao i u poslovnim sferama. Savremene banke danas ne mogu funkcionisati bez oslanjanja i kontinuiranog ulaganja i unapređenja tehnologije, naročito s obzirom na to da i klijenti, kao i druge zainteresovane strane to očekuju (npr. regulatorna tijela), tako da to praktično postaje ne komparativna prednost, nego normativ, za nas i strateško opredjeljenje.
Upotrijebili ste riječ „partner“, što zapravo definiše suštinu načina na koji Banka nastoji da se nosi sa rizikom odnosa sa pomenutim dobavljačima. Generalno smo stava da je zapravo partnerski odnos upravo jedan od najpouzdanijih metoda upravljanja rizicima trećih strana. Banka ima uspostavljen sistem upravljanja odnosom sa dobavljačima kroz niz elemenata: detaljno regulisan ugovorni odnos sa dobavljačima koji uključuje i minimalne bezbjednosne standarde, propisan proces i redovne postupke procjene rizika eksternalizacije u kojem učestvuje nekoliko internih timova, redovan nadzor i kontrole načina rada funkcionalnosti i alata koji se koriste u svakodnevnom radu, revidiranje planova za oporavak od prekida i katastrofa, redovna testiranja funkcionisanja sistema, kontinuirano obučavanje zaposlenih, održavanje odnosa sa dobavljačima itd.
ZNAČAJ AI ZA OTKRIVANJE PREVARA
• Koje praktične primjene AI vidite kao najprimjerenije za bankarsko tržište na kojem poslujete?
– Područja mogućih primjena su zaista mnogobrojna, ali smatram da je, barem iz risk perspektive, najprimjerenija upotreba AI za otkrivanje prevara i štetnih događaja, zatim analizu internih usklađenosti sa regulativom, kao i za analizu podataka i informacija, odnosno izvještavanje. Što se tiče otkrivanja prevarnih radnji, značaj primjene AI u ovoj oblasti bi mogao biti izuzetan, naročito za prevarne radnje (eksterne i interne prirode) sa potencijalno materijalno značajnim efektom na banku, usljed pravovremenosti reagovanja, čime bi se potencijalni negativni efekti umanjili.
Kada su u pitanju druge dvije navedene primjene, naročit doprinos vidim u značajnom skraćenju vremena za ove aktivnosti, što ostavlja prostor za optimizaciju internih procesa te posvećivanje kvalitetu i pouzdanosti korišćenja podataka i informacija prilikom donošenja strateških odluka. Željela bih istaći da primjena AI u bilo kojoj od navedenih oblasti ne treba da ima za cilj smanjenje ljudskih resursa, nego čak naprotiv, povećavanje maksimalne iskorišćenosti postojećih resursa. Ovo kroz pomjeranje fokusa sa trošenja vremena na obavljanje ručnog rada uz određeni operativni rizik, kao i nedovoljno posvećivanje kvalitetu i pouzdanosti, na omogućavanje razvoja kritičkog razmišljanja usljed manje operativnog rada uz posljedično poboljšanje kvaliteta i pouzdanosti u upravljanju rizicima.
• Koji su ključni rizici primjene AI u bankarstvu?
– Pored niza prednosti, primjena AI u svim oblastima nosi određene rizike, pa tako i u bankarstvu. Brzina razvoja AI je istovremeno i prednost, ali i veliki rizik, jer otežava uspostavljanje okvira za efektivno upravljanje rizicima povezanim sa AI. Takođe, primjenom AI može doći do narušavanja privatnosti i ličnih podataka klijenata. Jedan od značajnijih rizika je i mogućnost manipulacije korisnika AI u smislu nametanja izbora određene odluke prilikom primjene AI, što može dovesti do potpuno nepouzdanog i neprimjerenog rezultata.
FOKUS NA DIVERSIFIKACIJU
• S obzirom na rastuće regulatorne zahtjeve i preporuke, kako banka balansira rast banke i izloženost rizicima s potrebom za usklađenošću?
– Banka ima uspostavljen sistem internih pravila postupanja prilikom preuzimanja rizika, kao i propisan sistem mjerenja izloženosti riziku, uz jasno definisanu ulogu kontrolnih funkcija Banke. Prilikom ostvarivanja težnji ka rastu, Banka se fokusira na diversifikaciju kako bi se izbjegla velika koncentracija na nivou portfolija. Kontinuirano unapređujemo alate u cilju sveobuhvatnog praćenja, kontrole i izvještavanja o rizicima. Imajući u vidu materijalno značajne rizike, Banka koristi pristup najbolje bankarske prakse. Upravljanje rizicima je primarno fokusirano na kontinuitet poslovanja. Materijalno značajne promjene u ključnim oblastima preuzimanja rizika ili poslovnih strategija analiziraju se sa svih relevantnih aspekata rizika, sa težištem na rizičnom profilu, adekvatnosti kapitala i ispunjenju zahtjeva likvidnosti.
• Koji su ključni izazovi u oblasti upravljanja rizicima u Našoj banci u ovoj godini?
– Imamo nekoliko interno definisanih strateških ciljeva, ali svakako bih kao naročito značajno za Našu banku istakla ulaganje u tim i ljude kao ključni faktor razvoja u bilo kojoj oblasti, time i u oblasti upravljanja rizicima. Dakle, izazov koji želimo u narednom periodu savladati jeste jačanje postojećeg tima u pogledu povećanja nivoa međusobnog oslanjanja jednih na druge, tj. saradnje, kao i spremnosti prihvatanja novih izazova. Mislim da su ovo ključne osobine za prilagođavanje promjenama koje su u savremenim uslovima konstanta sa tendencijom daljeg ubrzanja.
• Na koji način očekujete da ćete unaprijediti sistem upravljanja rizicima u Banci?
– Kako sam već navela, smatram da su ljudi naš najznačajniji resurs, bez obzira na sve rasprostranjeniju digitalizaciju. Okruženje u kojem poslujemo je sve dinamičnije, zahtijeva inovacije, a one potiču od ljudi. Efikasan sistem upravljanja rizicima je osnovna pretpostavka za stabilan i održiv dugoročan rast i razvoj Banke, te je stoga izuzetno važno da su ljudi koji su zaduženi za ovaj dio poslova adekvatno „opremljeni“ za to. Dakle, neophodno je konstantno ulaganje, ne samo kroz edukacije, nego i kroz niz drugih aspekata usmjerenih na motivisanje, poput promjene uloga u timu, saradnje sa drugim risk timovima izvan banke, davanja mogućnosti za preispitivanje uspostavljenog sistema rada i upravljanja, stvaranja mogućnosti za napredovanje, inovacije i unapređenja u postojećim alatima itd.
