Нещодавно мені трапився цікавий дописв мережі LinkedIN відомої експертки з управління ризиками третіх сторін Лінди Так Чепмен (Linda Tuck Chapman). Формально він був присвячений токенізованим депозитам — одному з нових напрямів розвитку банківських технологій, який сьогодні активно обговорюється найбільшими міжнародними банками. Авторка аналізувала не переваги нової технології, а зовсім інше питання: як змінюється ризик, коли гроші починають рухатися через нову цифрову інфраструктуру.

На перший погляд ця тема може здатися досить далекою від українських реалій. Війна, проблеми відновлення економіки, питання капіталізації фінансових установ, регуляторні зміни та десятки інших викликів виглядають значно актуальнішими за дискусію про майбутнє цифрових депозитів. Проте після прочитання допису я впіймав себе на думці, що насправді він не про токенізовані депозити. Він про значно ширшу проблему, яка вже сьогодні стосується українських банків, страховиків, платіжних систем та інших учасників фінансового ринку.

Ця проблема полягає в тому, що сучасний фінансовий сектор дедалі більше залежить від зовнішньої інфраструктури. Хмарні сервіси, центри обробки даних, цифрові платформи, постачальники послуг інформаційної безпеки, сервіси електронної ідентифікації, провайдери штучного інтелекту та десятки інших учасників поступово стають невід’ємною частиною повсякденної діяльності фінансових установ. При цьому більшість із них знаходяться за межами самих банків чи страхових компаній.

Мене особливо зацікавило, що майже одночасно в Україні триває обговорення проєкту постанови Національного банку щодо управління ризиками, пов’язаними із залученням третіми сторонами важливих функцій фінансових установ. На перший погляд між токенізованими депозитами великих міжнародних банків і новим регулюванням аутсорсингу в Україні немає нічого спільного. Насправді ж обидві дискусії стосуються одного й того самого питання: як управляти ризиками у світі, де дедалі більша частина критично важливих процесів перебуває поза межами самої фінансової установи.

І тут, на мою думку, починається найцікавіше. Можливо, ми поступово стаємо свідками того, як класичний ризик третіх сторін перестає бути ризиком окремого контрагента і перетворюється на ризик цілої екосистеми.

Токенізовані депозити — лише привід для значно ширшої дискусії

Коли банки почали обговорювати токенізовані депозити, основна увага природно була прикута до можливостей нової технології. Її прихильники говорять про миттєві розрахунки, цілодобове проведення операцій, автоматичне виконання певних умов платежів, ефективніше управління ліквідністю та спрощення міжнародних розрахунків. Частина цих переваг дійсно виглядає привабливою як для банків, так і для їхніх корпоративних клієнтів.

Втім, якщо уважно придивитися до аргументів Лінди Так Чепмен, стає зрозуміло, що справжнє питання лежить зовсім в іншій площині. Проблема не в тому, чи є токенізовані депозити кращими за традиційні депозити або цифрові валюти. Проблема в тому, чи встигає система управління ризиками за швидкістю розвитку нової інфраструктури.

Кожна нова технологія створює спокусу дивитися насамперед на її переваги. Але ризик-менеджери звикли ставити інше питання: від чого ми починаємо залежати після впровадження цієї технології? У випадку токенізованих депозитів відповідь виявляється доволі цікавою. За красивою концепцією швидких цифрових розрахунків стоїть складна система технологічних платформ, програмного забезпечення, центрів обробки даних, засобів кіберзахисту, цифрової ідентифікації та багатьох інших елементів, без яких така система просто не зможе працювати.

Фактично мова йде про появу нової цифрової екосистеми, в якій банк поступово перестає бути єдиним центром контролю. Навіть якщо всі кошти залишаються в межах регульованої банківської системи,  функціонування такої моделі починає залежати від великої кількості зовнішніх учасників. І що більше таких учасників з’являється, то складніше стає питання управління ризиками.

Головний висновок із дискусії про токенізовані депозити полягає не в тому, що банки створюють новий фінансовий продукт. Значно важливіше те, що розвиток технологій поступово змінює саму природу ризиків, з якими доводиться працювати фінансовим установам. І якщо раніше більшість ризиків знаходилася всередині організації, то сьогодні дедалі більша їх частина починає переміщуватися за її межі.

Ризики не зникають. Вони просто змінюють місце

Управління ризиками має одну цікаву особливість. Щоразу, коли бізнес знаходить спосіб усунути певний ризик, часто виявляється, що цей ризик нікуди не зник. Він просто перемістився в інше місце. Саме це сьогодні відбувається з цифровою трансформацією фінансового сектору.

Ще двадцять-тридцять років тому більшість критично важливих процесів банку або страхової компанії перебували всередині організації. Власні сервери, власні інформаційні системи, власний персонал і власні процедури контролю забезпечували відносно високий рівень керованості ризиків. Згодом ситуація почала змінюватися. Спочатку фінансові установи передавали зовнішнім виконавцям окремі допоміжні функції, потім з’явилися спеціалізовані технологічні провайдери, а згодом широкого поширення набули хмарні сервіси та цифрові платформи.

Усе це дало бізнесу очевидні переваги: скорочення витрат, доступ до сучасних технологій та швидше впровадження нових рішень. Водночас кожна нова залежність створювала і новий ризик. Якщо раніше банк або страховик контролювали більшість критичних процесів самостійно, то сьогодні дедалі більше залежать від надійності зовнішньої інфраструктури.

Дедалі важливішим стає не питання «який ризик ми усуваємо?», а питання «кому ми передаємо цей ризик і які нові залежності при цьому виникають?». У випадку хмарних сервісів, цифрової ідентифікації, платформ штучного інтелекту або сервісів кібербезпеки ризик не зникає — він просто виходить за межі організації.

Тут починається найцікавіше, тому що сучасна фінансова установа дедалі рідше залежить від одного конкретного постачальника послуг. Натомість вона стає частиною складної мережі взаємопов’язаних організацій, яку дедалі частіше можна назвати цифровою екосистемою.

Від ризику контрагента до ризику екосистеми

Традиційно ризик третіх сторін виглядав доволі просто. Існувала фінансова установа та її контрагент. Завдання ризик-менеджера полягало в оцінці надійності цього контрагента, його фінансового стану, репутації та здатності виконувати свої зобов’язання. На такій логіці багато років будувалося управління ризиками аутсорсингу та постачальників послуг.

Сьогодні ця модель поступово ускладнюється. Банк або страхова компанія можуть укласти договір із провайдером цифрової платформи, який використовує хмарну інфраструктуру іншої компанії, залучає зовнішніх постачальників кіберзахисту та передає частину процесів субпідрядникам. У результаті фінансова установа бачить лише частину системи, від якої залежить її діяльність.

Дедалі частіше ризик реалізується не у безпосереднього контрагента, а десь усередині цієї екосистеми. Для клієнта причина збою не має значення — відповідальним усе одно залишатиметься банк або страховик. Проте для ризик-менеджера різниця принципова, адже традиційних інструментів оцінки окремого контрагента вже недостатньо.

На цю проблему звертає увагу Лінда Так Чепмен у своєму дописі про токенізовані депозити. Головне питання полягає не в самій технології, а в інфраструктурі, яка виникає навколо неї. Хто управляє мережею? Хто відповідає за програмний код? Хто забезпечує кібербезпеку? Що станеться у випадку відмови одного з ключових елементів системи? Усі ці питання стосуються не лише технологій, а й корпоративного управління.

На мою думку, саме тут і відбувається одна з найважливіших змін у сучасному ризик-менеджменті. Якщо раніше ми переважно оцінювали ризики окремих організацій, то сьогодні дедалі частіше доводиться оцінювати ризики взаємозалежностей між ними. А це автоматично підводить нас до ще одного виклику — нової природи ризику концентрації, коли проблема одного елемента цифрової інфраструктури може одночасно вплинути на значну частину фінансового ринку.

Новий ризик концентрації: коли проблема одного постачальника стає проблемою всього ринку

Протягом багатьох років ризик концентрації асоціювався насамперед із фінансовими показниками. Банки контролювали концентрацію кредитного портфеля на окремих позичальниках або галузях економіки. Страхові компанії аналізували концентрацію страхових ризиків, великих клієнтів або перестрахувального захисту. Регулятори уважно стежили за концентрацією капіталу та ринкових часток. Логіка була простою: надмірна залежність від одного джерела ризику робить систему вразливою.

Сьогодні ця логіка залишається актуальною, але сам об’єкт концентрації починає змінюватися. Дедалі частіше фінансові установи залежать не від одного великого клієнта чи контрагента, а від спільної технологічної інфраструктури. Це створює новий тип системної вразливості, який поки що не завжди отримує достатню увагу.

Уявімо ситуацію, коли значна частина банківського сектору використовує одну й ту саму платформу цифрової ідентифікації. Або один великий хмарний сервіс. Або спільну систему обробки даних. Кожна окрема фінансова установа може провести якісну перевірку постачальника, оцінити його надійність, отримати результати незалежного аудиту та переконатися в наявності належних заходів інформаційної безпеки. Проте навіть у цьому випадку залишається питання, яке виходить далеко за межі окремої компанії: що станеться, якщо проблема виникне в цій спільній інфраструктурі?

Саме тут ризик концентрації починає набувати ознак системного ризику. Проблема більше не обмежується одним банком чи страховиком. Один збій, одна кібератака або одна критична помилка можуть одночасно вплинути на значну частину ринку. І що глибше цифрові технології інтегруються в діяльність фінансових установ, то вищою стає ймовірність подібних сценаріїв.

Насправді світ уже стикався з подібними ситуаціями. Останніми роками дедалі частіше з’являються повідомлення про інциденти, які зачіпають не окрему компанію, а одразу сотні або тисячі організацій, що використовують однакові технологічні рішення. Причиною може бути помилка програмного забезпечення, збій хмарної інфраструктури, атака на постачальника послуг або компрометація одного з ключових компонентів цифрового середовища. І хоча першопричина часто знаходиться далеко за межами фінансового сектору, наслідки дуже швидко доходять до банків, страховиків та їхніх клієнтів.

Мене особливо зацікавили дискусії навколо ризику концентрації під час обговорення проєкту постанови Національного банку щодо ризиків третіх сторін. Формально документ говорить про необхідність оцінювати залежність від окремих аутсорсерів та пов’язаних із ними ризиків. Але якщо подивитися трохи ширше, то за цими положеннями стоїть значно важливіше питання: чи розуміють фінансові установи власну залежність від спільної інфраструктури, на якій сьогодні будується дедалі більша частина ринку?

Це питання особливо актуальне для України. Війна значно прискорила цифровізацію багатьох процесів. Банки, страховики та державні установи активно впроваджують нові технологічні рішення, переходять до сучасних моделей обслуговування клієнтів та дедалі більше покладаються на централізовані цифрові сервіси. У більшості випадків це правильний і неминучий шлях розвитку. Проте кожна нова цифрова залежність повинна супроводжуватися розумінням того, які ризики вона створює не лише для окремої компанії, а й для всього фінансового сектору.

На мою думку, тут і знаходиться одна з найбільших відмінностей між класичним та сучасним ризик-менеджментом. Раніше ми переважно аналізували концентрацію ризиків усередині власного бізнесу. Сьогодні дедалі частіше доводиться оцінювати концентрацію ризиків у зовнішньому середовищі. І що більше фінансовий сектор залежить від спільної цифрової інфраструктури, то важливішим стає це завдання.

Проте концентрація — це лише частина проблеми. Навіть якщо ризик-менеджери навчаться оцінювати залежність від спільних платформ та технологічних провайдерів, залишається ще одне питання. Наскільки реалістично фінансова установа може контролювати ризики інфраструктури, яку вона фактично не контролює?

Чи можна контролювати те, що тобі не належить?

Одне з найскладніших питань сучасного ризик-менеджменту звучить напрочуд просто: як контролювати те, що знаходиться за межами твоєї організації? Навколо цього питання фактично будується більшість дискусій про ризики третіх сторін. І саме воно дедалі частіше виникає в міру того, як фінансовий сектор переходить від власної інфраструктури до використання зовнішніх технологічних рішень.

У традиційній моделі управління ризиками відповідь була відносно простою. Якщо процес знаходиться всередині компанії, його можна перевірити, протестувати, змінити або вдосконалити. Якщо виникає проблема, керівництво може безпосередньо впливати на її усунення. На цьому багато років будувалася логіка внутрішнього контролю, внутрішнього аудиту та управління операційними ризиками.

Проте сучасна цифрова економіка поступово змінює цю модель. Банк може використовувати зовнішню платформу для обробки платежів. Страхова компанія може працювати через хмарну інфраструктуру. Система цифрової ідентифікації може знаходитися в іншій організації. Сервіси кібербезпеки можуть надаватися спеціалізованим провайдером. У результаті дедалі більше критично важливих процесів знаходяться за межами прямого управлінського контролю фінансової установи.

Тут і виникає певний парадокс. Формально відповідальність перед клієнтом та регулятором залишається за банком або страховиком. Проте частина ризиків, які можуть вплинути на діяльність установи, фактично перебуває в зоні відповідальності інших організацій. Чим складнішою стає екосистема, тим більше таких ризиків накопичується.

Цікаво, що  ця проблема проходить червоною ниткою як через допис Лінди Так Чепмен, так і через проєкт постанови Національного банку щодо ризиків третіх сторін. Авторка поста ставить цілком практичні питання: хто контролює спільну цифрову мережу, хто відповідає за програмний код, як тестуються зміни, що станеться у випадку відмови окремих елементів інфраструктури. Проєкт НБУ, своєю чергою, намагається дати фінансовим установам інструменти для оцінки таких ризиків через перевірку аутсорсерів, моніторинг їх діяльності, аналіз ризику концентрації та плани виходу з аутсорсингу.

На мою думку, тут знаходиться одна з найбільших практичних складностей нового регулювання. Дуже легко написати вимогу щодо контролю за аутсорсером. Значно складніше реалізувати її в ситуації, коли мова йде про великого міжнародного постачальника технологічних послуг, який обслуговує тисячі клієнтів у десятках країн світу. Український страховик або банк може оцінити наявні сертифікати, ознайомитися з результатами незалежних аудитів, перевірити договірні механізми захисту своїх інтересів. Але він навряд чи зможе проводити власні перевірки дата-центрів, контролювати всі внутрішні процеси такого провайдера або впливати на його технологічну політику.

Ось чому, на мій погляд, регулятор має приділити значну увагу принципу пропорційності та реалістичності вимог до фінансових установ. На мою думку, ключове завдання полягає не в тому, щоб створити ілюзію повного контролю над зовнішнім середовищем. Такого контролю не існує і, найімовірніше, ніколи не існуватиме. Значно важливіше зрозуміти, які ризики дійсно можна контролювати, які ризики можна лише моніторити, а які доведеться приймати як частину сучасної бізнес-моделі.

Саме тут, як мені здається, проходить межа між формальним виконанням регуляторних вимог і зрілим управлінням ризиками. У першому випадку компанія збирає документи, проводить перевірки та складає звіти. У другому — намагається зрозуміти власні залежності та оцінити їхній вплив на діяльність організації. І що складнішою стає фінансова екосистема, то важливішим стає другий підхід.

Втім, навіть якщо припустити, що фінансові установи навчаться краще управляти такими залежностями, залишається ще одне важливе питання. Чи готовий сам український фінансовий ринок до переходу від управління ризиками окремих контрагентів до управління ризиками цифрових екосистем? І тут український контекст стає не менш важливим, ніж міжнародний досвід.

Україна вже стала частиною цієї трансформації

Під час обговорення нових технологій часто виникає спокуса сприймати їх як проблему майбутнього. Особливо в Україні, де війна, відновлення економіки, дефіцит людських ресурсів та численні безпекові виклики щодня формують порядок денний для бізнесу та держави. На цьому фоні дискусії про токенізовані депозити, цифрові екосистеми або нові моделі управління ризиками можуть здаватися чимось віддаленим і таким, що не має прямого стосунку до наших реалій.

Насправді ситуація є протилежною. Український фінансовий сектор уже сьогодні рухається тим самим шляхом, який проходять найбільші міжнародні банки та страхові групи. Причому в окремих напрямах цей рух відбувається навіть швидше, ніж у багатьох країнах Європи. Війна не зупинила цифровізацію. У певному сенсі вона навіть прискорила її. Бізнес змушений був адаптуватися до роботи в умовах розподілених команд, дистанційного обслуговування клієнтів, підвищених кіберзагроз та необхідності забезпечувати безперервність діяльності за будь-яких обставин.

У результаті українські банки та страховики дедалі більше покладаються на зовнішні технологічні рішення. Хмарні сервіси, центри обробки даних, сервіси електронного документообігу, інструменти цифрової ідентифікації, спеціалізовані платформи інформаційної безпеки та інші елементи цифрової інфраструктури вже давно стали частиною повсякденної діяльності фінансових установ. І що важливо, ця залежність продовжує зростати.

Особливо показовою є ситуація на страховому ринку. Ще відносно недавно більшість ризиків страховика концентрувалися навколо андеррайтингу, резервів, перестрахування або інвестиційної діяльності. Сьогодні до цього переліку дедалі частіше додаються ризики інформаційних систем, кіберризики, ризики постачальників технологічних послуг та ризики безперервності діяльності. Іншими словами, частина критично важливих ризиків поступово переміщується за межі самої страхової компанії.

Незалежно від оцінки окремих положень проєкту постанови Національного банку щодо ризиків третіх сторін, сам факт появи такого документа свідчить про те, що питання зовнішніх залежностей поступово виходить на один із ключових напрямів розвитку систем управління ризиками. Формально документ присвячений питанням аутсорсингу, перевірки аутсорсерів, ризику концентрації, планів виходу та моніторингу діяльності постачальників послуг. Проте якщо подивитися глибше, то мова фактично йде про спробу адаптувати систему управління ризиками до нової реальності, в якій значна частина критично важливих процесів більше не перебуває під повним контролем фінансової установи.

Ця обставина, на мою думку, пояснює, чому навколо проєкту виникла така активна професійна дискусія. Більшість зауважень учасників ринку стосувалися не самої ідеї управління ризиками третіх сторін. Дискусія точилася навколо того, як зробити нові вимоги реалістичними, пропорційними та придатними для практичного застосування в умовах українського ринку. По суті, учасники ринку та регулятор обговорюють одне й те саме питання: яким чином управляти ризиками екосистеми, не створюючи при цьому ілюзії контролю над процесами, які об’єктивно знаходяться за межами впливу окремої фінансової установи.

І тут виникає ще одна цікава обставина. Значна частина дискусії навколо ризиків третіх сторін сьогодні зосереджена на окремих контрагентах, аутсорсерах або постачальниках послуг. Проте якщо тенденції цифровізації збережуться, то вже найближчими роками ризик-менеджерам доведеться дивитися значно ширше. Їм доведеться аналізувати не лише окремих постачальників, а й цілі мережі взаємозалежностей, які формуються навколо фінансових установ.

Питання управління ризиками третіх сторін поступово виходить за межі операційного ризику або комплаєнсу. Воно починає ставати стратегічним питанням розвитку всього фінансового сектору. І через цю призму, на мою думку, варто оцінювати як міжнародні дискусії про токенізовані депозити, так і українські дискусії щодо нових регуляторних вимог.

Адже найскладніше питання сьогодні полягає вже не в тому, як перевірити окремого аутсорсера. Найскладніше питання полягає в тому, чи готові фінансові установи управляти ризиками світу, в якому межі між власною організацією та зовнішнім середовищем стають дедалі менш помітними.

Що це означає для ризик-менеджерів уже сьогодні?

Коли в професійному середовищі обговорюються нові технології, дуже легко потрапити в пастку двох крайнощів. Перша полягає в переконанні, що всі ці зміни стосуються лише майбутнього і тому поки що не потребують особливої уваги. Друга — у спробі негайно створити нові політики, процедури та контрольні механізми для всіх можливих ризиків, які потенційно можуть виникнути. Як це часто буває, правильна відповідь знаходиться десь посередині.

На мою думку, головний урок із дискусії про токенізовані депозити, цифрові екосистеми та ризики третіх сторін полягає навіть не в появі нових технологій. Значно важливіше те, що ризик-менеджерам доведеться поступово змінювати сам підхід до аналізу ризиків. Традиційно ми звикли оцінювати окремі ризики, окремі підрозділи, окремих контрагентів або окремі бізнес-процеси. Проте цифровізація дедалі частіше змушує дивитися на взаємозв’язки між ними.

Наприклад, оцінюючи окремого аутсорсера, уже недостатньо обмежитися аналізом його фінансового стану, репутації або умов договору. Дедалі важливішим стає розуміння того, від кого залежить сам аутсорсер, які технологічні платформи він використовує, наскільки складною є його інфраструктура та які наслідки матиме збій окремих її елементів. Інакше кажучи, ризик-менеджеру доводиться аналізувати не лише контрагента, а й середовище, в якому цей контрагент працює.

Ще одним важливим наслідком є зміна підходів до ризику концентрації. Багато років фінансові установи звикали контролювати концентрацію активів, клієнтів, перестраховиків або постачальників. Сьогодні дедалі більшого значення набуває концентрація технологічних залежностей. Чим більше компаній використовують однакові платформи, сервіси або інфраструктурні рішення, тим вищою стає ймовірність того, що локальна проблема одного постачальника перетвориться на проблему значної частини ринку.

Окремої уваги заслуговує питання безперервності діяльності. Традиційно плани безперервності діяльності передбачали сценарії втрати офісу, обладнання, персоналу або окремих інформаційних систем. Проте сучасна цифрова екосистема поступово змушує ставити значно складніші запитання. Що робити, якщо недоступним стає не власний сервіс, а зовнішня платформа, якою користується вся галузь? Наскільки швидко можна замінити критично важливого технологічного постачальника? Чи існують реальні альтернативи? Такі питання дедалі частіше опинятимуться в центрі уваги ризик-менеджерів найближчими роками.

Водночас я не думаю, що відповіддю на ці виклики має стати нескінченне збільшення кількості процедур, перевірок або звітів. Досвід показує, що складність зовнішнього середовища зростає значно швидше, ніж кількість контрольних механізмів, які здатна ефективно підтримувати будь-яка організація. Тому основним завданням ризик-менеджменту стає не створення ілюзії повного контролю, а формування реалістичного розуміння власних залежностей та пов’язаних із ними ризиків.

Можливо, тому проєкт постанови Національного банку щодо ризиків третіх сторін викликав таку увагу професійної спільноти. Незалежно від конкретних формулювань та редакцій окремих норм, він піднімає питання, яке буде залишатися актуальним ще багато років. Наскільки добре фінансові установи розуміють екосистему, від якої вони залежать? І чи готові вони управляти ризиками цієї екосистеми так само серйозно, як колись навчилися управляти власними внутрішніми ризиками? Від відповіді на це питання значною мірою залежатиме стійкість фінансового сектору в найближчому майбутньому.

Висновки

Пост Лінди Так Чепмен про токенізовані депозити та дискусія навколо проєкту постанови Національного банку щодо ризиків третіх сторін насправді стосуються однієї й тієї самої тенденції. Фінансовий сектор дедалі більше залежить від зовнішньої цифрової інфраструктури, а межа між внутрішніми та зовнішніми ризиками поступово стирається.

Протягом багатьох років управління ризиками було зосереджене на окремих організаціях, процесах і контрагентах. Сьогодні дедалі більшого значення набувають взаємозалежності між учасниками ринку, технологічними платформами та інфраструктурними провайдерами. Ризик третіх сторін поступово перестає бути лише питанням аутсорсингу і починає набувати ознак ризику екосистеми.

Для українського фінансового ринку ця тема вже давно перестала бути теоретичною. Цифровізація, кіберзагрози, використання хмарних сервісів та залежність від спільної інфраструктури роблять питання управління такими ризиками одним із ключових факторів стійкості банків, страховиків та інших фінансових установ.

Можливо, головний виклик найближчих років полягатиме не в тому, щоб навчитися краще управляти окремими контрагентами. Значно важливіше буде навчитися розуміти екосистеми, частиною яких стають фінансові установи, та ризики, що виникають у цих взаємозалежностях. Саме там дедалі частіше буде знаходитися справжнє джерело майбутніх ризиків.

Докладніше за посиланням

Сергій БАБИЧ