● news.bsdnet.hu

A digitális transzformáció és a szervezetek egyre összetettebb működési környezete miatt az információs és kommunikációs technológiai (IKT) kockázatok ma már nem csupán technológiai kérdésként, hanem a vállalati stratégiai irányítás és a működési reziliencia alapvető elemeként jelennek meg – mondta bevezetőjében Zsakó Enikő, a Magyar Közgazdasági Társaság (MKT) Ellenőrzési Szakosztályának elnöke a szakosztály közelmúltbeli, szakmai rendezvényén, amelynek meghívott előadója Homolya Dániel, az OTP Bank Nyrt. integrált kockázatkezelési ügyvezető igazgatója volt. Homolya Dániel elmondta: csak akkor tudunk gyorsan haladni, ha jó fékünk van – egy szervezet szerinte akkor működik jól, ha az üzleti terület kockázattudatos, a kockázatkezelés pedig üzlettudatos. Hozzátette: bár alapvetően banki nézőpontból közelítette meg a témát, a pénzügyi szektor szigorúbb szabályozási és kockázatkezelési mintái idővel jellemzően a nem-pénzügyi szférában is megjelennek. Az előadó a World Economic Forum Global Risks Reportjára hivatkozva mutatta be, hogy a téves információ és a szándékos félretájékoztatás ma már a négy legfontosabb globális kockázat között szerepel, a mesterséges intelligencia okozta kedvezőtlen következmények pedig egy év alatt a 13. helyről a 8. helyre ugrottak, mögöttük szorosan pedig a kiberbiztonság hiánya áll új kategóriaként. A jelentés szerint rövid távon – kétéves horizonton – a geopolitikai és a technológiai kockázatok dominálnak, hosszú távon pedig a környezeti kockázatok mellett szintén a technológiai kockázatok jelentik a legnagyobb kihívást. Az Allianz Kockázati Barométere is megerősíti ezt a képet: a kiberincidensek a legjelentősebb üzleti kockázatok közé tartoznak, a mesterséges intelligenciához köthető kockázatok megítélése pedig egy év alatt 10-ről 32 százalékra nőtt a felmért vállalatok körében. Homolya Dániel áttekintette azt a szabályozási környezetet, amely az elmúlt években – de jellemzően 2022 és 2024 között – alakult ki az IKT-kockázatok kezelésére. Ezek közé tartozik Mindezek mellett a Magyar Nemzeti Bank ajánlásai, az Európai Bankhatóság (EBA) iránymutatásai és – uniós, illetve eurózónás kontextusban – az Európai Központi Bank elvárásai is meghatározó keretet adnak. Az előadó kiemelte a DORA öt pillérét: Az Európai Bankhatóság nem kizárólagos felsorolása alapján Homolya Dániel öt fő IKT-kockázati kategóriát mutatott be: a rendelkezésreállási és folytonossági kockázatokat (nem megfelelő kapacitáskezelés, hiányzó üzletmenet-folytonossági tervek); a biztonsági kockázatokat (adathalászat, DDoS-támadások, illetéktelen hozzáférés); a változáskezelési kockázatokat , amelyek gyakran fejlesztések vagy frissítések során derülnek ki; az adatminőségi és adatkezelési kockázatokat ; végül az IKT-kiszervezési kockázatokat , amelyek a külső szolgáltatóktól való függőségből és az esetleges kilépési tervek hiányából fakadnak. A harmadik felek kockázatainak kezelése kapcsán Homolya Dániel kiemelten fontosnak tartja a partnerek működési, IKT- és reputációs kockázatainak, valamint a kitettségek koncentrációjának folyamatos mérését – hasonlóan ahhoz, ahogyan egy bank a hitelportfólión belüli koncentrációt figyeli. Példaként említette, hogy már egyetlen, világszinten elterjedt operációs rendszer használata is koncentrációs kockázatot jelenthet egy szervezet számára. Az előadás kitért arra is, hogyan kapcsolódik az IKT-kockázatkezelés a működési kockázatkezeléshez – amelynek az IKT-kockázat tulajdonképpen egy speciális, folyamatosan figyelendő alfaja –, a kockázat- és kontroll-önértékelési (RCSA) gyakorlathoz, valamint a belső ellenőrzéshez. Homolya szerint a belső ellenőrzés független biztosítékot ad a keretrendszer hatékony működéséről, ugyanakkor az IKT-kockázati kontroll is fontos inputot jelent a kockázatalapú audittervezéshez. Kérdésre válaszolva Homolya Dániel elmondta: bár a friss uniós szabályozások (NIS2, DORA, CER, a szanálási és kiberrezilienciai jogszabályok) csak 2022 és 2024 között jelentek meg, az általuk lefedett alapelvek – mint a kiberbiztonsági kockázat vagy a változáskezelési kockázat – jóval korábban is léteztek. Szerinte a szabályozás kellően általános keretet ad ahhoz, hogy moduláris módon tovább lehessen fejleszteni. A valódi kérdés inkább az, hogy a különböző szabályozási ágak idővel mennyire konszolidálódnak egységes keretté, és mennyire tudnak a felügyeleti hatóságok rugalmasan reagálni a gyors technológiai változásokra. Arra a kérdésre, hogy melyik kockázattípusra figyelmeztetne leginkább egy cégvezetőt, Homolya Dániel a geopolitikai és a technológiai kockázatokat, valamint az üzletmenet-folytonosság alapos átgondolását emelte ki. Saját pályafutásából két tanulságot hozott: a kockázatok gyakran kombinálódnak – például egy korábbi munkahelyén egy piaci turbulencia éppen egy lejárt licenc miatti változáskezelési problémával esett egybe –, illetve kiemelten fontos szerinte a nyitott kockázati kitettségek pontos ismerete. A mesterséges intelligenciával kapcsolatban – amelynek kockázati súlya a bemutatott felmérésekben jelentősen nőtt – Homolya optimistának mutatkozott: szerinte az AI mindenekelőtt egy hatékonyságot növelő eszköz, amelynek kontrollja és validálása (akár több AI-platform eredményeinek összevetésével) kulcskérdés. Megjegyezte, hogy a pénzügyi szektorban – részben az uniós AI-rendelet hatására is – jelentős óvatosság jellemzi az AI alkalmazását, a technológia változáskezelése pedig ugyanazokat a kérdéseket veti fel, mint egy hagyományos rendszerfejlesztés. Szavai szerint nem a mesterséges intelligencia veszi el a kockázatkezelők munkáját, hanem azok a kockázatkezelők, akik képesek azt kezelni – ugyanakkor az esetleges AI-kiesésre is fel kell készülni üzletmenet-folytonossági szempontból. Egy egyedi rendszerszállítói kockázat kezelésére vonatkozó kérdésre válaszul Homolya a kulcskockázati mutatók (early warning jelzések), a szerződéses és szolgáltatási szintű megállapodások (SLA) megerősítését, valamint az insourcing–outsourcing döntések tudatos, eseti mérlegelését javasolta, hozzátéve, hogy saját gyakorlatukban is volt példa arra, hogy egy felismert külső függőség miatt részben házon belülre hoztak egy korábban kiszervezett folyamatot. Zsakó Enikő szakosztályi elnök a zárszavában kiemelte, hogy a globális kockázati trendek évről évre jelentősen változnak, és bár az előadáson elsősorban a mesterséges intelligencia pozitív oldaláról volt szó, a technológia kockázatai a következő években valószínűleg egyre nagyobb hangsúlyt kapnak. Szerinte a kockázatok megfelelő kezeléséhez nem csak a kockázatkezelési és belső ellenőrzési funkciókra, hanem a felső vezetés támogatásával az egész szervezeti kultúra átalakulására is szükség van. Homolya Dániel zárásként arra emlékeztetett: a kiberincidensek és informatikai zavarok – legyen szó egy globális logisztikai vállalat vírusfertőzéséről vagy kórházakat érintő incidensekről – nem csak távoli, elvont kockázatok, hanem minden gazdasági szereplőt érintő, valós fenyegetések, amelyekkel foglalkozni kell. Az összefoglaló a hanganyag alapján, mesterséges intelligencia segítségével készült. A címlapkép illusztráció. Címlapkép forrása: Getty Images