בדצמבר 2021 פרסם ה-OCC (The Office of the Comptroller of the Currency) את דו"ח ניתוח הסיכונים החצי-שנתי שלו (להלן: 'הדו"ח' או 'הפרספקטיבה'), המתייחס לנושאי מפתח מרכזיים מולם מתמודדים בנקים. הדו"ח מתמקד במוקדי סיכון משמעותיים העלולים לסכן את עמידתם של הבנקים בחובות הציות לחוקים ולתקנות החלות עליהם.
חלקו הראשון של הדו"ח סוקר את סביבת התפעול של המערכת הבנקאית ממנו עולה, בין היתר, כי הצמיחה הכלכלית של ארה"ב צפויה להתמתן במהלך 2022, וכי המתח העסקי בתחום הנדל"ן המסחרי, הנובע מירידת הביקוש כתוצאה מהקורונה, עתיד להימשך בחלק מהמגזרים. חלקו השני של הדו"ח עוסק בביצועי הבנקים, ממנו עולה כי התייצבותם האחרונה של הבנקים צפויה להימשך, על אף הצפי כי שיעורי הריבית יישארו נמוכים כל עוד הביקוש להלוואות נותר לא ודאי. חלקו השלישי של הדו"ח עוסק בנושאים מיוחדים כמו הבנקים הקהילתיים של ה-OCC, ואילו החלק הרביעי, בו נתמקד בחלקו הארי של מאמר זה, מסקר סיכונים מרכזיים והמגמות השונות החלות הבהם – נסקור את המסקנות שהוסקו בנוגע לכלל הסיכונים, עם דגש והרחבה על הסיכון התפעולי.
סיכונים תפעוליים
הסיכון התפעולי נמצא במגמת עלייה בשל התפתחות מואצת, מורכבת ובלתי צפויה של סביבת העבודה והתפעול של פעילויות בנקאיות וחדירתה של החדשנות המשבשת למגזר הפיננסי.
חלק ניכר מהדו"ח מוקדש לסיכון התפעולי ולתחומים המשיקים לו, כשהמסקנה הראשית היא שהסיכון התפעולי מתגבר ככל שהבנקים מגיבים לסביבת תפעול מתפתחת ומורכבת יותר ויותר.
בהקשר של אבטחת מידע וסייבר, נראה כי הסיכון התפעולי נותר גבוה ככל שהתקפות הסייבר ממשיכות להתפתח, להשתכלל ולפגוע במנעד רחב יותר של תעשיות. בין היתר נראתה עלייה במספר מתקפות הכופר והפישינג על שירותים הפיננסיים, בעוד שחקני סייבר רבים מנצלים פרצות תוכנה מוכרות היטב שאינן מטופלות. בהתאם לכך, החשיבות של בקרות סייבר אפקטיביות עולה משמעותית הודות לסיכונים הטמונים בהרחבת השירותים הפיננסיים הדיגיטליים, במעבר לעבודה מרחוק, ובהסתמכות על ספקי צד ג' לסביבות מבוססות-ענן. מעבר לבקרות, על הבנקים לאמץ תהליכי ניטור לאיומים ופרצות אבטחה, כולל הטמעת אמצעי אבטחה ואימות מחמירים, הגדרה ראויה של מערכות ועוד.
בנוסף לכך, נראה שהסיכון לשרשרת האספקה עולה, יחד עם העלייה במספר התקפות הסייבר על מערכות תכנה וחמרה המסופקות ומתופעלות ע"י ספק צד ג. עלייה זו מחדדת את חשיבות התהליכים להערכת סיכוני צד ג' בקרב הבנקים, כולל שרשרת אספקה והגדלת החוסן התפעולי.
ביוני 21', פרסמה המועצה לבחינת מוסדות פיננסיים פדרליים (Federal Financial Institutions Examination Council – FFIEC) את חוברת "ארכיטקטורה, תשתית ותפעול" ( "Architecture, Infrastructure, and Operations”), הדנה בקישוריות ותהליכים לקידום בטיחות וצמצום סיכון בשרשרת אספקה.
באוגוסט 21' פרסם ה- FFIEC את הנחיית "אימות וגישה לשירותים ומערכות של מוסדות פיננסיים" (“Authentication and Access to Financial Institution Services and Systems”), המספקת דוגמאות לעקרונות ופרקטיקות אפקטיביות לניהול סיכונים בתחומים של אימות וגישה, הקריטיים למאבק בסיכוני הסייבר.
בהקשר של חדשנות ואימוץ של מוצרים ושירותים חדשים, נראה שהתפתחות הטכנולוגיה ממשיכה לדרבן פיתוח מוצרים ושירותים חדשים שנועדו לענות על צרכי הלקוח, כמו שירותי תשלום מהירים ומיידיים ונכסים דיגיטליים היוצרים סביבת תפעול מורכבת יותר. טכנולוגיות חדשות אלו מקלות את הגישה לשירותים הפיננסיים ויכולים להקנות יתרונות רבים לבנק וללקוחותיו גם יחד, אך בו בזמן הם טומנים בחובם סיכונים רבים. על הבנקים לצמצם סיכונים אלו באמצעות ניהול סיכונים ראוי, העומד בקצב החדשנות וכולל בדיקות נאותות, ניהול שינויים נכון ובקרות.
ניהול סיכוני צד ג' ממשיך להיות תחום הממוקם בלב מוקד הפיקוח – צדדי ג' נתונים לאותם הסיכונים להם נתונים הבנקים, ולכן, מחובת הבנקים לברר ולהבין כיצד נותני שירות מהותיים ומשמעותיים מנהלים סיכונים אלה. בנקים מסתמכים על צד ג' במקומות בהם חסרה להם מומחיות או טכנולוגיה מסוימת, או בכניסה לשותפויות בהן צד ג' משמש כפונקציה קריטית. ביולי 21' פרסמו ה-OCC, FDIC, וה- Federal Reserve בקשה להערות והארות מהתעשייה על ההנחיות החדשות שהציעו יחד בנושא, ויהוו עדכון לחוברת ההנחיות הקיימת בדבר ניהול סיכוני צד ג'.
בהקשר של נכסים דיגיטליים ווירטואליים בעולם הבנקאות, נראה כי גובר העניין בקרב המגזר הפיננסי והציבורי במטבעות קריפטו ונכסים דיגיטליים אחרים, כנכסים שיכולים ליצור הזדמנויות פיננסיות לבנקים וללקוחותיהם כאחד. מנגד, נכסים וירטואליים טומנים בחובם גם סיכונים רבים ולכן, על הבנק לקיים בדיקות נאותות ותהליך ראוי לניהול סיכונים, בהתאם לחוברת העקרונות לניהול סיכונים של ה-OCC העוסקת בדרכים לזיהוי וטיפול בסיכונים אסטרטגיים, תפעוליים ועוד. ה-OCC, FDIC, וה- Federal Reserve חברו יחד לכתיבת 'עלוני מדיניות', המתמקדים בהיבטים שונים של קריפטו וניהול סיכונים. במהלך 2022, שת"פ זה עתיד לספק בהירות רבה יותר לגבי מידת החוקיות של פעילויות מסוימות המערבות קריפטו.
ישנם סיכונים תפעוליים נוספים הטמונים בשינויים הרבים שחוותה תעשיית הבנקאות כתגובה לקורונה –תהליכי ניהול שינויים בבנקים נקטעו לטובת תגובה מהירה למגיפה ושינויים בצרכי לקוחות וארגונים, בנקים נאלצו להגיב במהירות לשם יישום תכניות סיוע ממשלתיות שונות, מבלי לבצע בדיקת נאותות ממוקדת מספיק, כזו שהייתה מתבצעת ככלל במצבים פחות לחוצים ועוד. להתמודדות עם אלה, מחובת הבנקים לוודא שקיימות בקרות ראויות להגנת לקוחות ופיקוח על הונאות אפשריות.
סיכוני אשראי
בניגוד למצופה, תיקי ההלוואות נותרו עמידים ולא התממשה הידרדרות אשראי נרחבת כתגובה למשבר הקורונה, זאת הודות לניהול סיכונים נכון בבנקים, שיפור הפעילות הכלכלית והשפעות נוספות של תכניות הסיוע והפעולות הממשלתיות. מכאן, שסיכון האשראי נותר מתון (MODERATE), אך נסיבות שונות, כמו משך המגיפה והשפעתה על הביקוש לאשראי, עלולות להפעיל לחץ על יכולת הבנקים ונכונותם לשמור על מסגרת אשראי בעוד הכלכלה מתאוששת.
במסגרת הדוח סוקר ה OCC שורה של מגזרים בהם צפויה השפעה לאור התפתחויות במגבלות הקורונה כגון נדל"ן מסחרי, מסחר מבוסס חנויות פיזיות, תרבות ופנאי, וכן לווים הנמצאים ברמות מינוף גבוהות וחשופים ביתר שאת לתנודתיות.
סיכוני ציות ורגולציה
סיכוני הציות, מניעת הלבנת הון ומימון טרור וסיכוני הוגנות מצד המערכת הבנקאית מתגברים בשנת 2021 לאור השילוב בין ההכרח לתמוך בלקוחות אשר נקלעו לקשיים בשל השפעות משבר הקורונה לצד העלייה בניסיונות להונות את המערכת הבנקאי. הנ"ל מצטרף לתהליך שינוי רוחבי ומעמיק בתהליכי העבודה, מערכות וגישות עבודה המאלץ לבצע התאמות מהירות בתהליכי ציות "קלאסיים".
בהקשר זה מפנה ה OCC את המערכת הבנקאית לפרקטיקות שאומצו על ידי רשויות פיקוח מובילות כגון FinCEN וה CFPB לטובת ניהול סיכוני ציות בסביבה עסקית משתנה.
בראי סיכון ההוגנות מדגיש ה OCC את הסיכונים הטמונים בתהליכי שינוי ארגוני ואת הצורך לזהות, להעריך, לפקח ולנטר אחר הסיכונים אל מול לקוחות הבנק במגוון רחב של תחומי פעילות – סיוע בשל משבר הקורונה, תכניות סיוע, הלוואות וריביות, עמלות ודמי ניהול, טיפול בתלונות ציבור ועוד.
יציבות שורת הרווח
הסיכון האסטרטגי – סיכון זה קשור לאופן בו בנקים פועלים באופן אקטיבי לשפר את מרווחי הריבית בסביבות הריבית במדינות שונות בעולם (NIM compression), ולמאמציהם המוגברים לשיפור רווחים. תנאים שונים, דוגמת השקעות בתשואות נמוכות והשפעה על מבנה הפיקדונות יכול לייצר פערים במבנה הרווחיות של הבנקים.
התמודדות נוספת עם סיכוני אסטרטגיים ויציבות שורת הרווח נגזרת מפעילות רוחבית ומעמיקה שמבצעים הבנקים לשיפור היעילות התפעולית וקיצוץ בהוצאות, הנ"ל נצפה בניתוח הוצאות של המערכת הבנקאית ביחס להיקף הכנסות ונכסים.
במדדים פיננסיים פנים ארגוניים של המערכת הבנקאית כגון יחסי הנזילות, ושיעור התשואה על נכסים ROA מציגים בחלק מהבנקים ירידה ובחלקם יציבות הנגזרת מפערים בהכנסות מריבית אל מול הכנסות אחרות וירידה בהיקפי הנכסים.
המסר המרכזי המשתמע מהדו"ח, הוא שה-OCC מעודד את הבנקים להמשיך ולהיזהר משאננות. זהירות שכזו תבטיח לבנקים חוסן פיננסי מבלי להתפשר על מערכת ניהול סיכונים יעילה, שתומכת במודלים עסקיים תקינים ובתכניות אסטרטגיות ותפעוליות. הבנקים עשויים לנסות להגדיל עוד יותר את רווחיהם באמצעות צעדים שונים שייתרמו לצמיחתם, כמו הגדלת סיכון אשראי בהלוואות והשקעות, הארכת משך ההלוואה וקיצוץ בעלויות. יש לזכור שצמיחה טומנת בחובה יתרונות משמעותיים לכלכלה, לצרכנים ולמשקיעים, ולכן על הבנקים להיות ערניים כדי להימנע מנטילת סיכונים מוגזמת, ולשמור על בקרות ראויות בתכניות השקעות והלוואות.
התפתחויות בגזרת סיכוני הסביבה
המעבר לכלכלה דלת-פחמן, גם אם עודנו איננו מורגש מספיק בארץ (מה שעלול להשתנות בקרוב), החל ברחבי העולם. אבל המעבר הזה מביא עימו, כאמור לעיל, שלל סיכונים למגזר העסקי והפיננסי. כל אלו בעלי השפעה פוטנציאלית ניכרת על המודל העסקי, ההתנהלות והרווחים של חברות, כמו גם על הגורמים המממנים ומשקיעים בהן.
במסגרת מסמך זה סוקר ה OCC בקצרה את סיכוני הסביבה ואקלים (הסיכון הפיזי וסיכוני המעבר) לצד הדגשת החובות ביישום תהליכי ניהול סיכונים להתמודדות עם החשיפות האפשריות מהתממשות של סיכוני סביבה ואקלים.
לסיכונים אלו כאמור יכולה להיות השפעה מהותית על המערכת הפיננסית ולאור כך נערך ה OCC, בדומה לרשויות פיקוח שונות בעולם ובכלל זאת גם בנק ישראל להורות למערכת הפיננסית לאמץ עקרונות מקובלים לניהול סיכוני סביבה ואקלים מבוססי עקרונות של ה TFCR.