belso-ellenorzes-penzugyi-szektor-prioritasok-technologia-es-digitalis-technologia-2022

Elemzések

Technológia és digitális technológia

Belső Ellenőrzés a pénzügyi szektorban – Prioritások 2022-ben

5.1. Digitális kockázat

Miért fontos?

A világjárvány mind az Egyesült Királyságban, mind pedig világszerte felgyorsította a digitális szolgáltatások növekvő igénybevételének társadalmi trendjét mind a vállalkozások, mind pedig a magánszemély ügyfelek szintjén, és ez alól a pénzügyi szektor sem volt kivétel. A piaci szereplőknek a pénzügyi szektor minden területén át kell gondolniuk digitális stratégiájukat és a korábbiaknál nagyobb mértékben kell igénybe venniük új digitális szolgáltatásokat annak érdekében, hogy folyamatosan ki tudják elégíteni az ügyféligényeket, méghozzá a lehető legrövidebb időn belül. Bár a digitális szolgáltatások átalakulása a COVID-19 járvány miatt a szektorban nem volt olyan szembetűnő, mint más iparágakban (pl. kiskereskedelem) Azok a szereplők, melyek már korábban is nagyobb mértékben kínáltak digitális szolgáltatásokat, könnyebben alkalmazkodtak az e téren minél hangsúlyosabbá váló ügyféligényekhez. A gyors ütemű változás és a digitális szolgáltatások bevezetése azonban rengeteg kezelendő kockázatot rejt magában, és ezáltal számos piaci szereplőnek kihívást jelent, hogy a szükséges mértékben hajtson végre fejlesztéseket, miközben hatékonyan kezeli ezeket az újonnan felmerült kockázatokat.

Mi változott?

  • Az elmúlt 18 hónap során a pénzügyi szolgáltatási termékek esetében a bevált ellátási láncok nagymértékű megszakadása, valamint az ügyfelek változó termékigénye volt megfigyelhető.
  • A pénzügyi szolgáltatók számára példátlan sebességet igényelt digitális jelenlétük sikeres átalakítása az új termékek és új digitális kihívások terén, miközben a meglévő webes és mobil digitális csatornák iránti megnövekedett keresletet is kezelniük kellett.
  • A digitális szolgáltatások szabályozási kerete folyamatosan fejlődik, és az olyan területeket, mint a felhő, a működési rugalmasság és a harmadik feles kockázatkezelés, egyre szigorúbb szabályozásnak vetik alá.
  • Mivel a piaci szereplők üzleti stratégiáiban a digitalizáció egyre inkább központi szerepet kap, egyre nagyobb kihívást jelent számukra, hogy biztosítsák a megfelelő készségeket, mind technikai szempontból, mind pedig a digitális megvalósításhoz kapcsolódó, az digitális transzformációhoz elengedhetetlen szervezeti alkalmazkodóképesség és rugalmasság tekintetében.
  • Továbbra is hiányoznak a szükséges készségek és módszerek ahhoz, hogy a három védelmi vonal mindegyike biztosítsa a digitális területekre vonatkozó kockázati lefedettséget és megfelelőséget.

Mi a belső ellenőrzés feladata?

  • A belső ellenőrzésnek kellően „közel kell maradniuk” az adott szervezet digitális stratégiához és a szervezet digitális transzformációhoz szükséges képességéhez, annak érdekében, hogy adott esetben észlelje, ha a kettő esetleg más irányba halad. A COVID-19 világjárványt figyelembe véve 2022 jó alkalom lehet arra, hogy újraértékeljük a technológiai stratégia (és a digitális stratégia) illeszkedését a szervezet egészébe.
  • Át kell tekinteni, hogy a második védelmi által alkalmazott kockázatkezelési megközelítés megfelel-e az üzleti tevékenység által támasztott valamennyi kihívásnak a napi kockázatkezelés során. Amennyiben nem, meg kell keresni az eltéréseket, és azokat a megoldásokat, amelyekkel a belső ellenőrzés javító intézkedésekre tett javaslatai segítségével a védelmi vonalak további szerelői áthidalhatják és megszűntethetik azokat.
  • Egyeztetnie kell a többi védelmi vonal szereplőivel a bizonyossági/vizsgálati tevékenység egyes szakaszainak meghatározásakor és tervezésekor annak érdekében, hogy a három védelmi vonalnak közös álláspontja legyen arról, hogy a kockázatkezelési és az ellenőrzési erőforrásokat hogyan lehet a legjobban a legmagasabb prioritású kockázatot jelentő területekre összpontosítani.
  • Ahogy az üzleti változások megvalósításának módszerei és az ehhez kapcsolódó készségek fejlődnek, fontos lehet az szervezet-irányítási keretrendszer fejlesztésének megfontolása is a digitális transzformáció támogatása érdekében.

5.2. Felhő

Miért fontos?

A felhőszolgáltatások 2021-ben is gyorsan terjedtek a pénzügyi szolgáltatási szektor valamennyi alágazatában, és egyre inkább jelen vannak az életünk minden területén, mivel az informatikai szolgáltatások nyújtása az egész ágazatban lehetővé teszi a szervezetek számára az üzleti modellek, termékek és értékesítési csatornák átalakítását. A kockázatkezelési és ellenőrzési funkciók, beleértve a belső ellenőrzést is, számos szervezetnél gyakran küszködnek azzal, hogy lépést tartsanak a felhőtechnológiákra való gyors átállással. A felhőre való áttéréssel kapcsolatban jelentős szabályozási nyomás nehezedik rájuk, amely gyorsan növekszik, és sok szervezetnél jelentős felhőre való migrációs programok vannak folyamatban, amelyekhez megfelelő kapcsolódó bizonyossági rendszerekre van szükség.

Mi változott?

  • A felhő egyre elterjedtebbé válásával egyre fontosabbá válik a meglévő informatikai kockázati és ellenőrzési keretrendszerek módosítása és fejlesztése. A felhőbe történő áttérés után gyakran nyújtja azt a hamis a biztonságérzet, amikor azt feltételezzük, hogy a felhőkörnyezetben lévő kontrollok és kockázatok megfelelő értékelése már megtörtént, de mivel a szervezetek fokozatosan/részenként tértek át a felhőre, valószínű, hogy a kockázatok és a lényegesség azok lényegességi küszöbértékelése a felhőkörnyezet értékelése óta már megváltozott.
  • A szabályozás egyéb újonnan megjelenő területeit gyakran nagymértékben érinti a felhő, ezért egyre fontosabb szoros kapcsolatot biztosítani a szervezet „felhő csapata” és a szabályozási- és megfelelőségi szakemberek között.
  • A felhőre való átállást célzó transzformációs programok továbbra is számos szervezet változtatási napirendjének középpontjában állnak, de az elmúlt 12-18 hónapban világszerte bekövetkezett COVID-19 lezárások során szokatlan körülmények között kellett megvalósítani őket. A nagyszabású (a helyszíni adatközpont teljes elhagyásával járó) migrációk esetében kiemelkedő fontosságú az üzletmenet, a költségmegtakarítás és az átadott felhőalapú szolgáltatás teljesítménymutatóinak biztosítása, valamint a szervezet ellenőrzési keretrendszerének leképezése a felhőalapú megoldás ellenőrzésére a lefedettség folyamatosságának értékelése érdekében.
  • A „Software as a Service” (SaaS) ajánlatok, ahol egy harmadik fél hosztolja és kezeli a platform minden aspektusát, beleértve magát a szóban forgó alkalmazást is, továbbra is terjednek, és ezért a harmadik felekkel kapcsolatos kockázatok kezelésének szempontjai egyre fontosabbá válnak a szolgáltatások nyújtása során.

Mi a belső ellenőrzés feladata?

  • A belső ellenőrzésnek a felhő egyre szélesebb körű elterjedése apropóján meg kell fontolniuk, hogy megfelelő-e a felhő ciklikusan történő vizsgálata, vagy a felhő, mint szélesebb körű kiváltó ok figyelembevétele az audittervezés során megfelelőbb lesz-e (azaz egy adott audit tervezése során az adott üzleti szolgáltatás vagy folyamat nyújtása során a felhő használatával kapcsolatos kulcskérdések az audittervezési folyamat során szabványosnak tekinthetők-e).
  • Talán most van itt az ideje annak is, hogy elgondolkodjunk a felhőszolgáltatókkal kapcsolatos biztosítékokról, és arról, hogy a felhőmegoldások részleges elfogadása nem eredményezett-e olyan átfogó ellenőrzési keretrendszert, amelynek kiterjedtsége, lefedettsége és fejlettsége elmarad a felhőhasználat elterjedtségétől. Hasznos fókuszterületet jelenthet itt a vezetőség számára a felhő vállalati szintű használatáról való tájékozódás, valamint az IT-ismereteken és a kialakult beszerzési folyamatokon kívüli felhőszolgáltatások beszerzését felügyelő kontrollokra való összpontosítás.
  • Tekintettel az egyre növekvő szabályozási terhekre és az újonnan megjelenő szabályozási fókusz más területeivel (például a működési rugalmassággal) való átfedésekre, logikus megfontolás a kockázat és a megfelelés bevonásának, valamint a készségek és képességeknek az értékelése a felhő felügyeletének és biztosítási rendszerének biztosítása érdekében.
  • A belső ellenőrzésnek valóban meg kell érteniük és értékelniük a felhővel kapcsolatos kockázatokat, és azt, hogy ezeket milyen módszertan alapján kell ellenőrizni, például a fejlesztők termelési környezetekhez való hozzáférését a felhő-csatornák konfigurációjának és a kódváltozások kontrolljának kényelmével javasolt ellenőrizni, nem pedig a hagyományos kontrollokkal, például a felhasználói hozzáférési listák felülvizsgálatával.

5.3. Kiberbiztonság

Miért fontos?

Az értékpapír és az elektronikuspénz-számlákhoz, valamint a számlapénzekhez való nyilvánvaló hozzáférése miatt a pénzügyi szolgáltatási szektor egésze a kibertámadások első számú célpontja. Bármely szervezetnél sok és súlyos következménye lehet egy sikeres támadásnak vagy kiberbiztonságot hátrányosan érintő eseménynek. E következmények lehetnek például az alábbiak: a GDPR megsértéséből kiszabott jelentős bírság, fő működési rendszerek összeomlása és a vevői bizalom csorbulása. A jó hírnevet fenyegető kockázat lehetősége ebben a szektorban igen magas és a bizalomvesztésnek komoly – közvetlen vagy közvetett anyagi – következményei lehetnek.

A szektor továbbá sokféle harmadik félre támaszkodik, ami növeli a harmadik felek felől érkező kockázatokat, azaz amikor a támadó a pénzügyi szolgáltató rendszereihez és adataihoz a beszállítóinak vagy partnereinek megtámadásával fér hozzá.

Mi változott?

  • Az elmúlt évben folyamatosan nőtt a dolgozókat, vevőket és beszállítókat érintő célzott (spear-phishing) és a vezetőket érintő (whaling) adathalászat.
  • A pénzügyi szolgáltatási ágazat továbbra is élen jár az új kiberkockázati védekezési módszerekben olyan technológiákkal, mint a többszintű hitelesítés, a biometria és az elektronikus hitelesítés.
  • Bővült a mesterséges intelligencia (AI) technológiákat és gépi tanulást alkalmazó FinTech-eszközök kínálata a csalás, a személyazonosság-lopás vagy más gyanús tevékenységek valós idejű észlelésére.
  • Továbbra is egyensúlyt kell tartani az ügyfelek kényelme, pl. az alkalmazáson keresztül történő fizetés és a banki szolgáltatások, valamint a szabályozás és a biztonság között.
  • Nőtt a kiberfenyegetésekkel kapcsolatos intelligenciamodellekbe és eszközökbe történő beruházások mértéke. Ilyen például a biztonsági információ- és eseménykezelés (SIEM), azaz a tudás, az információk, a támadási minták és a potenciálisan sebezhető pontok összegyűjtése és megosztása annak érdekében, hogy az üzleti vállalkozások idővel tanulhassanak és fejlődhessenek.
  • A felhőbiztonság további fejlődésével a felhő használatától való félelem a pénzügyi rendszerek és szolgáltatások hosztolása céljából szinte teljesen (azonban megjegyezzük, hogy nem teljes mértékben) megszűnt.

Mi a belső ellenőrzés feladata?

  • Az alkalmazott kiberbiztonsági stratégia felülvizsgálata a műveletek, az IT környezet és a meglévő szervezeti berendezkedés összefüggésében. Ez magában foglalja a jövőbeli üzleti, személyi és szervezeti tervekkel való összhang ellenőrzését.
  • A harmadik fél által nyújtott szolgáltatások kezelésének felülvizsgálata. Ennek magában kell foglalnia a kezdeti átvételt, a szerződéseket, a kapcsolattartást és a rendszeres szolgáltatás-minőséget érintő felülvizsgálatot. Figyelembe kell venni azokat a beszállítókat is, akikre ők támaszkodnak, azaz a negyedik felek szolgáltatásait is.
  • A szervezet azon képességének felülvizsgálata, hogy képes-e bármilyen jelentős kiberbiztonsági incidenst vagy jogsértést észlelni vagy megakadályozni.
Hasznosnak találta?