DORA · DORA član 28 RoI · NIS2 · Basel III OR · Kvantifikacija zasnovana na FAIR-u · Izgrađeno u Evropi

Kvantifikujte sajber, operativni rizik i rizik trećih strana
na jednoj odbranjivoj kapitalnoj osnovi.

AIQ Suite prevodi IKT rizik, operativni rizik i rizik trećih strana u kapitalni uticaj spreman za Odbor direktora, izloženost koncentracije i regulatornu evidenciju — kroz jednu upravljanu platformu izgrađenu za digitalnu operativnu otpornost evropskog finansijskog sektora.

Rezultati spremni za Odbor direktora
Kapitalni uticaj %
DORA · NIS2 · Basel kontekst
🛡️
CyberRisk AIQ
DORA · NIS2
⚖️
OpRisk AIQ
Basel III · RCSA · ICAAP
🔗
TPPRisk AIQ
DORA član 28 RoI · Koncentracija
Zatražite rani pristup Istražite module →

Rani pristup trenutno je prioritiziran za banke, finansijske institucije i regulisane organizacije.

Rizik portfolija — Kapitalni i OR kapitalni uticaj
CyberRisk AIQ — IKT scenariji
Ransomware
1.84%
Eksfiltracija podataka
1.12%
Phishing / BEC
0.68%
OpRisk AIQ — Basel tipovi događaja
Greška u obračunu i poravnanju
1,41%
Prevara u plaćanju
0,92%
Pad sistema
0,54%
TPPRisk AIQ — Najveća koncentracija IKT pružalaca
Cloud Hosting (primarni)
€8,4M
Platni gateway
€6,1M
Core bankarski vendor
€2,7M
P95 izloženost · KVF mapirane po pružaocu RoI potpunost 99,7%
Output spreman za Odbor direktora: 3 rizika iznad apetita. Najveća koncentracija pružalaca pokriva 5 kritičnih funkcija. Registar informacija spreman za podnošenje. Tri sloja operativne otpornosti, jedan odbranjiv prikaz.
Namijenjeno za
🏦 Banke i kreditne institucije
🛡️ Osiguravajuće kompanije
🏛️ Javni sektor pod NIS2
⚡ Operatori kritičnih infrastruktura
🏢 Regulisane kompanije
💳 Institucije za plaćanje
Moduli platforme

Tri modula.
Jedna platforma za operativnu otpornost.

Svaki modul može se rasporediti nezavisno ili zajedno kao AIQ Suite. Sva tri dijele isti upravljački tok rada, organizacione podatke, AI infrastrukturu, sloj izvještavanja, revizijsku stazu i logiku kapitalnog uticaja — pružajući bankama jedan konzistentan prikaz IKT rizika, operativnog rizika i rizika zavisnosti od trećih strana.

Modul 01

CyberRisk AIQ

Kvantifikacija IKT i sajber rizika

Kvantifikuje IKT i sajber rizik primjenom FAIR-bazirane metodologije na IKT sredstva, scenarije prijetnji, efektivnost kontrola i komponente gubitka. Generiše metrike kapitalnog uticaja spremne za Odbor direktora, usklađene sa upravljanjem IKT rizikom prema DORA i NIS2 očekivanjima.

DORA NIS2 ISO 27002 NIST CSF CIS Controls
  • Registar IKT sredstava s oznakama rizik inteligencije
  • 354 kontrole — ISO 27002, NIST CSF 2.0, CIS v8 — uvoz bilo kojeg okvira putem AI ili CSV-a
  • Multiplikativni model smanjenja kontrola — realno složeno dejstvo, bez inflacije
  • DORA izvještaj o IKT riziku — strukturisan prema DORA Prilogu
  • NIS2 IKT izvještaj o riziku za javni sektor i kompanije
  • Izračun i izvještavanje kapitalnog / budžetskog / dioničkog uticaja
  • Optimizator investicija — kontrole rangirane po ROI po scenariju
  • AI analitičarska procjena — svjesna jurisdikcije, urediva, potpisana od čovjeka
  • Smjernice za odluku BO — ROI zastavice, upravljačka lista, Tier 1 DORA oznaka
Modul 02

OpRisk AIQ

Kvantifikacija operativnog rizika

Kvantifikuje operativni rizik kroz FAIR-baziranu analizu scenarija primijenjenu na poslovne procese, kategorije Basel III tipova događaja, interne podatke o gubicima i procesne kontrole. Podržava RCSA, ICAAP narativ, izvještavanje za menadžment i analizu kapitalnog uticaja operativnog rizika.

Basel III OR CRD IV Quantitative RCSA ICAAP Solvency II
  • Registar poslovnih procesa s mapiranjem zavisnosti od sredstava
  • Kategorije scenarija Basel tipova događaja (7 kategorija)
  • Procjena OR kapitalnog uticaja po procesu
  • Upravljačke uloge Menadžera operativnog rizika / Koordinatora rizika za OR tok rada
  • Basel III OR kapitalni izvještaj — usklađen sa RCSA, kvantifikovan putem FAIR
  • Integracija Procesa ↔ IKT Sredstava za međudomenski prikaz rizika
Modul 03

TPPRisk AIQ

Rizik IKT pružalaca trećih strana i DORA Registar informacija

Upravlja rizikom IKT pružalaca trećih strana kroz cijeli DORA životni ciklus: registar pružalaca, IKT usluge, ugovori, kritične ili značajne funkcije, izlazne strategije, podizvođenje, mapiranje zavisnosti, rizik koncentracije, kvalitet podataka i izvoz Registra informacija.

DORA član 28 EBA RoI ITS IKT pružaoci Rizik koncentracije
  • Registar IKT pružalaca trećih strana — usklađen sa EBA ITS B_05.01
  • Registar IKT usluga i funkcija — EBA ITS B_06.01 sa zatvorenom listom tipova usluga
  • Registar ugovora sa KVF klasifikacijom i statusom procjene
  • Praćenje izlazne strategije i zamjenjivosti — DPM zatvorena lista (ZZ:x959–x962)
  • Procjene kritičnih ili značajnih funkcija (KVF) — pet-stepenski wizard
  • Mapiranje zavisnosti — pružalac → usluga → funkcija → sredstvo
  • Zavisnosti lanca snabdijevanja (B_03.03) i intragrupne IKT usluge (B_03.02)
  • P95 pojedinačnog pružaoca i analitika grupne koncentracije
  • Okvir kvaliteta podataka — HIGH / MEDIUM / LOW trake sa actionable drill-down ka popravkama
  • Provjere potpunosti DORA Registra informacija i validacione kapije
  • Paket za izvoz RoI sa zamrznutim snapshot-ima i istorijom podnošenja
  • Tok odobravanja CRO i revizijska staza
  • Vendor Manager uloga sa role-restricted deaktivacijom
  • AI-asistirana FAIR kalibracija za rasponove zamjenjivosti i troškova izlaska
Problem

Odbori direktora ne govore jezikom heat map.
Regulatori ne prihvataju tabele.

Kvalitativne matrice rizika, razasuti registri pružalaca i ručne tabele outsourcinga više nisu odbranjivi pod DORA, NIS2 i Basel III. Bankama je potreban jedinstven upravljan prikaz rizika, kapitalnog uticaja, zavisnosti od trećih strana i regulatorne evidencije.

Prije
"Ovo je Visoki rizik na našoj mapi topline."
+ "Spisak dobavljača vodi nabavka."
+ "DORA Registar informacija pripremamo ručno u tabeli."
Subjektivno. Fragmentirano. Neodbranjivo. Ne prolazi DORA, Basel III i NIS2 regulatorni nadzor.
Poslije — AIQ Suite
"Naša ukupna izloženost sajber + OR kapitala iznosi 2,76% Tier-1 kapitala."
Sajber očekivani gubitak: €3.200.000
OR kapitalni uticaj: €4.100.000
Kombinovani kapitalni uticaj: 2,76%
Rezidualno (sa kontrolama): €1.800.000
+ "Najveća koncentracija IKT pružalaca: €8,4M P95 kroz 5 kritičnih funkcija."
+ "DORA Registar informacija: 99,7% kompletan, bez kritičnih validacionih nedostataka."
Odbranjivo. Revizibilno. Kvantifikovano. Spremno za regulatora. Pokriva DORA, NIS2, Basel III OR i DORA član 28 (rizik trećih strana) u jednom integrisanom prikazu.
Osnovne mogućnosti

Četiri stuba. Tri modula.
Jedna platforma za operativnu otpornost.

01

Odbranjiva kvantifikacija rizika

FAIR-bazirani ulazi obrađeni kroz Monte Carlo simulaciju od 10.000 ponavljanja — za IKT scenarije (CyberRisk AIQ), scenarije Basel tipova događaja (OpRisk AIQ) i portfelje izloženosti pružalaca trećih strana (TPPRisk AIQ). Multiplikativni model smanjenja kontrola osigurava realno složeno dejstvo. Rezultati uključuju Očekivani gubitak, intervale pouzdanosti P50/P90/P95, Krivu prekoračenja gubitka i procenat kapitalnog uticaja.

FAIR Monte Carlo Kapitalni uticaj Quantitative RCSA Kriva prekoračenja gubitka
02

Inteligencija zavisnosti od trećih strana

Mapira IKT pružaoce ka uslugama, ugovorima, kritičnim funkcijama, internim sredstvima i kvantifikovanoj izloženosti. Identifikuje koncentraciju pojedinačnog pružaoca, nedostatke u zamjenjivosti, nedostajuće izlazne strategije i grupne zavisnosti od vendora. Generiše DORA Registar informacija usklađen sa EBA ITS šablonima i Provedbenom uredbom Komisije 2024/2956.

Mapiranje pružalaca Analitika koncentracije DORA član 28 RoI ITS KVF procjena
03

AI svjestan jurisdikcije

Anthropic Claude AI dostavlja analizu kalibrisanu za vaš sektor, kapitalnu osnovu i jurisdikciju. Banka u Crnoj Gori dobija smjernice u okviru CBCG-a. Banka u Hrvatskoj dobija DORA i HNB kontekst. Javni organ u Njemačkoj dobija NIS2 i BSI okvir. Mapirane su 44 evropske jurisdikcije — regulatorne reference služe kao kontekst i referentna vrijednost, nikada kao lista provjere usklađenosti.

44 jurisdikcije Anthropic Claude Regulatorni kontekst Lokalni regulatori
04

Integrisano upravljanje 3LoD

Sveobuhvatna odgovornost od analitičarske procjene do eskalacije na Odbor direktora, kroz sva tri modula. 1LoD: Analitičar + Tehnički Vlasnik / Koordinator rizika / Vendor Manager. 2LoD: CISO + Menadžer operativnog rizika + CRO. Potpuna revizijska staza, strukturisani tok za ponovnu obradu, Smjernice za odluku BO, DORA Tier 1 eskalacija, potpisani RoI snapshot-ovi. Jedan engine toka rada kroz CR, OR i TPP.

3LoD model Tok uloga Akcioni planovi Revizijski dnevnik Upravljanje snapshot-ima
Tok rada

Od prijetnje (i pružaoca)
do upravljane odluke.

Dva paralelna upravljačka toka — kvantifikovani rizik za CR + OR scenarije, rizik trećih strana za životni ciklus pružaoca — koji se konvergiraju u kapitalni uticaj spreman za Odbor direktora i evidenciju spremnu za podnošenje regulatoru.

Tok A·Tok kvantifikovanog rizika — CR + OR
1
Oba modula

Analitičar priprema kvantitativnu procjenu

Za Sajber: bira IKT sredstvo s oznakama rizik inteligencije, dodjeljuje scenarij prijetnje s uredivim opisom i akterom prijetnje, unosi FAIR parametre. Za OR: bira poslovni proces sa zavisnostima od sredstava, dodjeljuje scenarij Basel tipa događaja. AI predlaže kalibrisane FAIR raspone za oba.

Označavanje sredstava / procesa AI FAIR kalibracija Modeliranje gubitaka
10.000
Monte Carlo ponavljanja po procjeni — Sajber i OR — generiše intervale pouzdanosti P50/P90/P95
2
CyberRisk AIQ

Tehnički Vlasnik / Koordinator rizika ocjenjuje efektivnost kontrola

Za Sajber: Tehnički Vlasnik ocjenjuje postojeće kontrole iz ISO 27002, NIST CSF 2.0 i CIS Controls v8 na skali 0–5, s masovnim višestrukim odabirom i otkrivanjem duplikata. Za OR: Koordinator rizika ocjenjuje efektivnost kontrola procesa. Platforma izračunava smanjenje rezidualnog rizika.

ISO 27002:2022 NIST CSF 2.0 CIS Controls v8 Kontrole procesa
354
Kontrole u okviru ISO 27002, NIST CSF 2.0, CIS v8 — uključivo po organizaciji
3
Oba modula

CISO / Menadžer operativnog rizika vrši metodološki pregled

Za Sajber: CISO validira ICT metodologiju rizika, pregledava analitičarsku preporuku i narativ poslovnog rizika, te dodaje vlastiti komentar. Za OR: Menadžer operativnog rizika vrši ekvivalentni pregled. Oba djeluju kao kontrolne tačke kvaliteta druge linije odbrane prije faze poslovne odluke.

Kapija kvaliteta Pregled analitičara Vraćanje na ponovnu obradu
Second Line
CISO / Menadžer operativnog rizika djeluju kao metodološke kontrolne tačke kvaliteta, a ne lica koja donose odluke o tretmanu rizika
4
Oba modula

Poslovni Vlasnik / Vlasnik procesa donosi odluku o tretmanu

S AI analizom, analitičarskom preporukom i komentarom CISO-a/Menadžera operativnog rizika vidljivim, vlasnik rizika prihvata, umanjuje, prenosi ili izbjegava rizik. Za OR: Vlasnik procesa ima formalnu odgovornost. Rizici koji prelaze mandat aktiviraju eskalaciju na Odbor direktora.

Prihvati Ublaži Prenesi Izbjegni Eskaliraj
Vlasnik rizika
Formalna odgovornost za odluku o tretmanu — Sajber i OR — s potpunom revizijskom stazom
5
Oba modula

Strukturisani akcioni plan pokreće realizaciju

Odluke o tretmanu generišu strukturisane akcione planove. Tehnički Vlasnik dodaje kontrole iz biblioteke okvira, AI prijedloga ili prilagođenih unosa — s mogućnostima poboljšanja za postojeće kontrole s lošim performansama. Sve praćeno u unificiranom centralnom prikazu.

Tehnička specifikacija Praćenje troškova Praćenje napretka
Potpuna staza
Svaka aktivnost je povezana s rizikom koji ju je aktivirao — od upravljanja do realizacije, Sajber i OR
Tok B·Tok rizika trećih strana — TPPRisk
1
TPPRisk AIQ

Vendor Manager registruje pružaoca, usluge i ugovore

Unos u portfelj pružalaca sa podacima usklađenim sa EBA ITS B_05.01 — identitet pružaoca, IKT usluge koje isporučuje (zatvorena lista tipova usluga), ugovori sa KVF klasifikacijom i veze lanca snabdijevanja. Osnova Registra informacija.

B_05.01 Registar pružalaca B_06.01 Usluge Ugovori
15 ITS
EBA ITS šabloni usklađeni sa Provedbenom uredbom Komisije 2024/2956
2
TPPRisk AIQ

KVF procjena evaluira status Kritične ili značajne funkcije

Pet-stepenski KVF wizard — materijalnost, zamjenjivost, geografija, dubina outsourcinga i testiranje — proizvodi odbranjivu KVF odluku po ugovoru. Vendor Manager priprema; CISO/CRO upravljanje pregleda.

Materijalnost Zamjenjivost Geografija Dubina outsourcinga Testiranje
5-stepenski
Strukturisani KVF wizard — odbranjiva odluka o Kritičnoj ili značajnoj funkciji po ugovoru
3
TPPRisk AIQ

Zavisnosti mapirane kroz pružalac → usluga → funkcija → sredstvo

Platforma prikazuje izloženost koncentracije: P95 pojedinačnog pružaoca, UNION P95 kroz portfelj, diversifikacioni benefit i zavisnosti lanca snabdijevanja (B_03.03) uključujući intragrupne IKT usluge (B_03.02). Vrele tačke koncentracije postaju vidljive, ne sakrivene u tabelama.

P95 pojedinačnog pružaoca UNION P95 Diversifikacioni benefit B_03.03 Lanac snabdijevanja
P95
FAIR-bazirana izloženost koncentracije kroz pružaoce, usluge i kritične funkcije
4
TPPRisk AIQ

Kvalitet podataka validiran; kapije potpunosti RoI provjeravaju spremnost za podnošenje

HIGH/MEDIUM/LOW trake kvaliteta podataka po pružaocu, sa actionable drill-down ka konkretnim nedostacima. Validacione kapije provjeravaju potpunost Registra informacija u odnosu na set EBA ITS šablona prije nego što podnošenje može da proceduri.

HIGH / MEDIUM / LOW trake Validacione kapije Actionable drill-down
99,7%
Ciljana potpunost Registra informacija prije CRO odobrenja i podnošenja
5
TPPRisk AIQ

CRO odobrava zamrznuti snapshot; paket za podnošenje RoI generisan

CRO pregleda rizik koncentracije, odobrava snapshot i zamrzava ga. Platforma generiše paket potpisane ZIP datoteke po Provedbenoj uredbi Komisije 2024/2956 — spreman za nadležni organ. Potpuna revizijska staza očuvana.

Zamrzavanje snapshot-a CRO odobravanje Potpisana ZIP Paket za podnošenje
Potpisana ZIP
Paket za podnošenje po Provedbenoj uredbi Komisije 2024/2956 — spreman za regulatora

Od inventara pružalaca do Registra informacija spremnog za podnošenje regulatoru.

Upravljački model

Uloge sa jasnom odgovornošću kroz
Sajber, OR, rizik trećih strana i grupne entitete.

📊

Analitičar

Sajber i OR — Oba modula

Priprema kvantitativne procjene rizika od kraja do kraja za ICT i operativni rizik.

  • Odabir sredstava i procesa
  • Modeliranje FAIR ulaza
  • Analiza komponenti gubitka
  • Generisanje i uređivanje AI analize
  • Upravljanje akcionim planom
🔒

Tehnički Vlasnik / Koordinator rizika

Tehnički Vlasnik (Sajber) · Koordinator rizika (OR)

Pruža tehničke ulaze o efektivnosti kontrola i gradi skup kontrola akcionog plana.

  • Ocjena efektivnosti kontrola
  • Masovni odabir kontrola
  • Kontrole akcionog plana
  • Validacija sigurnosnog stanja
🎯

CISO / Menadžer operativnog rizika

CISO (Sajber) · Menadžer operativnog rizika (OR)

Metodološki pregled i kontrolna tačka kvaliteta druge linije odbrane — pregledava analitičarsku preporuku i narativ prije odluke BO.

  • Validacija metodologije
  • Komentar pregleda analitičara
  • Vraćanje na ponovnu obradu
  • Nadzor portfolija
💼

Poslovni Vlasnik / Vlasnik procesa

Vlasnik IKT sredstava (Sajber) · Vlasnik procesa (OR)

Vlasnik rizika koji donosi formalnu odluku o tretmanu sa svim AI i ljudskim kontekstom.

  • Odluka o tretmanu
  • Eskalacija na Odbor direktora
  • Odgovornost za prihvatanje rizika
🗂️

Menadžer sredstava / Menadžer procesa

Menadžer sredstava (Sajber) · Menadžer procesa (OR)

Održava registar organizacionih sredstava — ICT sredstava (Sajber) ili poslovnih procesa (OR) — uključujući dodjelu vlasništva, označavanje i mapiranje zavisnosti.

  • Upravljanje (CRUD) sredstvima / procesima
  • Upravljanje oznakama i zavisnostima sredstava
  • Masovni uvoz CSV
  • Dodjela vlasnika i tok razduživanja
🔗

Vendor / TPP Manager

TPPRisk AIQ — Modul trećih strana

Održava registar IKT pružalaca, usluga, ugovora i zavisnosti. Koordinira KVF procjene i remediaciju kvaliteta podataka u portfelju pružalaca.

  • Održavanje registra pružalaca (B_05.01)
  • Mapiranje IKT usluga i ugovora
  • Priprema KVF procjena
  • Praćenje izlazne strategije i zamjenjivosti
  • Remediacija kvaliteta podataka
  • Role-restricted deaktivacija u uslovima prekoračenja licence
🎖️

CRO / DORA Approver

TPPRisk AIQ — Autoritet snapshot-a

Odobrava ključne rezultate rizika trećih strana, analizu koncentracije i zamrznute RoI snapshot-ove prije regulatornog izvoza. Metodološka kapija usklađena sa mandatom Group CRO.

  • Pregled rizika koncentracije
  • Odobravanje podnošenja RoI
  • Autoritet za zamrzavanje snapshot-a
  • Pregled grupne izloženosti
  • Sign-off regulatorne evidencije
⚙️

Administrator

Sva tri modula

Konfiguracija platforme, aktivacija modula i postavljanje upravljanja.

  • Aktivacija modula
  • Upravljanje korisnicima i ulogama
  • Konfiguracija AI provajdera
  • Pragovi rizika i okviri
🏛️

Group Roles

Holding / Više-entitetska struktura — Grupni sloj

Pregled na nivou grupe kroz podružnice: konsolidovana izloženost CR + OR + TPP, koncentracija pružalaca između entiteta, spremnost RoI na nivou grupe. Jedinstven sloj odgovornosti iznad upravljanja po entitetu.

  • Group CISO — konsolidovana IKT rizična pozicija kroz podružnice
  • Group ORM — operativni rizik kroz sve entitete i poslovne linije
  • Group CRO — kombinovana CR + OR + TPP izloženost, odobravanje snapshot-a na nivou grupe
  • Analiza koncentracije između entiteta
  • Grupni izvršni sažetak — narativ za Odbor direktora generisan od AI
AI mehanizam

Inteligencija kalibrisana
za vašu jurisdikciju, sektor i kapitalni kontekst.

Nisu generički savjeti. Svaki AI output je kontekstualizovan prema tipu vaše organizacije, kapitalnoj osnovi, regulatornim obavezama i jurisdikciji — bila to DORA-obuhvatna banka u Hrvatskoj ili javni organ u Crnoj Gori.

🎯

FAIR kalibracija ulaza — Sajber i OR

Predlaže raspone TEF i ranjivosti kalibrisane prema kritičnosti ICT sredstava i profilima aktera prijetnji (Sajber), ili prema tipu poslovnog procesa i kategoriji Basel tipa događaja (OR). Nivoi pouzdanosti i vrijednosni rasponi signaliziraju gdje je ljudska procjena najpotrebnija.

🌍

Regulatorni kontekst svjestan jurisdikcije

Mapirane 44 evropske jurisdikcije. AI analiza referencira okvire koji se stvarno primjenjuju na vašu organizaciju — CBCG za crnogorske banke, DORA i HNB za hrvatske institucije, NBS za srpske entitete. Regulatorne reference pružaju kontekst i referentnu vrijednost, nikada listu provjere usklađenosti.

Preporuka tretmana po kapitalnom nivou

Deterministička preporuka tretmana pri temperature=0, zasnovana na vašem 4-nivojnom okviru kapitalnog uticaja. Pragovi nivoa konfigurisani po klijentu. Rizici Tier 1 aktiviraju smjernice za eskalaciju Upravljačkog odbora usklađene sa zahtjevima DORA člana 5.

📋

Analitičarska procjena — AI nacrt, potpis čovjeka

AI generiše strukturisanu analitičarsku procjenu koristeći regulatorne referentne vrijednosti i industrijski kontekst — uredivo u editoru bogatog teksta. Analitičar pregledava, dorađuje i čuva. Ono što dolazi do CISO-a i Odbora direktora nosi ljudsku odgovornost, a ne sirovi AI rezultat.

🔧

Konfigurabilan AI provajder

Koristite Anthropic Claude (podrazumijevano), Azure OpenAI ili standardni OpenAI. Provajder konfiguriše po klijentu u Admin panelu. Glavni AI prekidač omogućava potpuno ručno upravljanje kada AI nije potreban ili dostupan.

AI kontekstni ulazi — Sva tri modula
Profil organizacije
Sektor i jurisdikcija
Kapitalna osnova / Budžet
Nivoi apetita za rizik
Regulatorni okviri
Kontekst sredstava / procesa
Kritičnost i klasifikacija
Zavisnosti sredstava
Tip rizika (Sajber / OR)
Oznake regulatornog obuhvata
Kontekst trećih strana
Kategorija pružaoca i podizvođenje
Zamjenjivost i geografija
Dubina outsourcinga i RTO/RPO
DPM klasifikacija tipova usluga
Anthropic Claude AI Engine
claude-sonnet · svjestan jurisdikcije · višemodularni · upravljački orijentisan
Sajber rezultati
IKT FAIR kalibracija
Nacrt analitičarske procjene
DORA/NIS2 kontekst
OR rezultati
Analiza Basel događaja
Nedostaci kontrola procesa
RCSA narativ i kalibracija
TPPRisk rezultati
Analiza nedostataka kvaliteta podataka pružalaca
Narativ zamjenjivosti i troškova izlaska
Komentar koncentracije za CRO
Procjena spremnosti RoI
Sažetak zavisnosti na nivou grupe

AI podržava pregled, kalibraciju i izradu narativa. Regulatorna odgovornost — za odluke o kapitalnom uticaju, KVF status, podnošenje RoI i ishode tretmana — ostaje na instituciji i njenim odgovornim licima.

Zašto AIQ Suite

Šta izdvaja AIQ Suite.

Namjenski izgrađen za evropske regulisane organizacije — kombinuje mogućnosti koje su tipično dostupne samo odvojeno, po enterprise cjenovnim nivoima, ili uopšte ne. Sada uključuje grupnu rizik inteligenciju za višeentitetske organizacije.

Tok rada + Kvantifikacija u jednom

Većina alata za kvantifikaciju su kalkulatori — daju broj, ali koordinaciju prepuštaju emailu i tabelama. AIQ Suite ugrađuje kompletan upravljački tok rada: priprema analitičara, ocjena ICT/procesnih kontrola, CISO pregled, odluka vlasnika biznisa, akcioni plan i odobrenje — sve na jednoj platformi, s potpunom revizijskom stazom.

🔗

CR + OR + Rizik trećih strana u jednoj platformi za operativnu otpornost

Sajber rizik, operativni rizik i rizik trećih strana tipično se upravljaju u odvojenim silosima — odvojeni timovi, odvojeni alati, odvojena evidencija. AIQ Suite ih objedinjuje: ista sredstva, isti korisnici, isti upravljački tok rada, ista revizijska staza, ista kapitalna osnova. Banka vidi rizik od ransomwarea, rizik od greške u poravnanju i rizik od koncentracije cloud hosting-a jedne pored druge — i automatski prikazuje gdje isti pružalac podržava više kritičnih procesa.

🗺️

Izgrađen za evropsku regulativu

Sve glavne platforme za kvantifikaciju potiču iz Sjeverne Amerike. AIQ Suite je dizajniran od temelja za evropske regulatorne zahtjeve — DORA, NIS2, Basel III, EBA smjernice i 44 nacionalne jurisdikcije uključujući lokalne regulatore (CBCG, NBS, HNB, BaFin, FMA, FINMA). Nije naknadna misao — to je arhitektura.

🔍

Potpuna transparentnost izračuna

Svaki ulaz, svaka ocjena kontrole, svaki Monte Carlo rezultati su vidljivi i revizibilni. FAIR ulazi, komponente gubitka, izračuni smanjenja kontrola, formula kapitalnog uticaja — sve dostupno za regulatorni pregled. Nema crne kutije. Dizajnirano da izdrži supervizorski nadzor prema DORA članu 6 i EBA zahtjevima za interne modele.

👤

Dostupno bez sertifikacije

FAIR metodologija tipično zahtijeva specijalističku obuku ili vanjske konsultante. AIQ Suite čini FAIR dostupnim svakom analitičaru rizika kroz AI-asistiranu kalibraciju, panele konteksta scenarija, industrijske referentne smjernice i strukturisani tok rada. Stručnost je ugrađena u platformu — nije preduslov za njeno korišćenje.

📊

Industrijska referentna poređenja

Pogledajte kako kapitalni uticaj vaše organizacije stoji u poređenju s industrijskim vršnjacima. Referentni podaci iz Verizon DBIR, ENISA Threat Landscape, IBM X-Force i Ponemon Institute — po tipu organizacije, sektoru i veličini kompanije. Daje CISO-u i Odboru direktora konkretan kontekst: jesmo li iznad ili ispod industrijskog prosjeka za ovaj rizik?

🔗

DORA RoI + Kvantifikovani rizik u jednoj platformi

Većina DORA TPP alata zaustavlja se na registrima i šablonima. Većina alata za kvantifikaciju rizika zaustavlja se na scenarijima i krivama gubitka. AIQ Suite povezuje oboje: IKT pružaoci, ugovori, kritične funkcije, interna sredstva i kvantifikovana P95 izloženost — tako da rizik trećih strana nije samo dokumentovan, već i finansijski razumijevan i spreman za podnošenje regulatoru.

DORA član 28 EBA ITS FAIR kvantifikacija Podnošenje registra
🗺️

Od inventara vendora do izloženosti koncentracije

AIQ Suite ne tretira rizik trećih strana kao statičan spisak vendora. Mapira pružaoce ka IKT uslugama, kritičnim funkcijama, ugovorima, sredstvima i procjenama rizika — otkrivajući gdje je institucija operativno zavisna od pojedinačnog pružaoca, cloud regiona, podugovarača ili grupnog vendor odnosa.

Mapiranje pružalaca P95 koncentracije Zamjenjivost Grupne zavisnosti
🌐

On-Premise, SaaS ili Holding raspoređivanje

Većina evropskih platformi za rizik je samo SaaS — što je tvrdo ograničenje za banke pod zahtjevima centralnih banaka koji ograničavaju raspoređivanje ključnih podataka o riziku u public cloud-u. AIQ Suite podržava tri načina raspoređivanja: full SaaS (EU data centri), on-premise (sopstvena infrastruktura institucije) i operativni holding (matični entitet hostuje podružnice). Tier-based RSA-potpisano JWT licenciranje radi offline — bez phone-home zahtjeva. Banke ispunjavaju regulatorna očekivanja rezidencije podataka bez kompromitovanja platformskih sposobnosti.

EU data centri On-prem opcija Holding način Offline licenciranje Bez phone-home
🎯 Jedinstven metodološki okvir

FAIR za sajber, RCSA za OR, FAIR za TPP

CyberRisk AIQ primjenjuje FAIR metodologiju u DORA i NIS2 kontekstu. OpRisk AIQ primjenjuje Quantitative RCSA pristup sa Monte Carlo simulacijom baziranom na FAIR-u za Basel III operativni rizik — zamjenjujući zastarjeli AMA pristup (Basel III final reform 2023). TPPRisk AIQ primjenjuje FAIR-baziranu kvantifikaciju na portfelje izloženosti pružalaca sa DORA član 28 kontekstom i EBA ITS Registar informacija usklađenošću.

Sva tri modula proizvode kapitalni uticaj i izloženost koncentracije na istoj odbranjivoj matematičkoj osnovi. ICAAP narativ, izvještavanje o riziku trećih strana i narativ operativne otpornosti postaju jedan dokument set, ne tri.

FAIR Quantitative RCSA Monte Carlo EBA RoI ITS Spremno za ICAAP
✦ Jedinstveno za AIQ Suite
🏛️

Grupna rizik-inteligencija
za višeentitetske organizacije

Organizacije s više entiteta — holding grupe, podružnice, regionalne divizije ili javni organi — mogu konsolidovati izloženost CR, OR i TPPRisk kroz sve jedinice u jednom prikazu. Budući da AIQ Suite drži podatke o IKT/sajber, operativnom riziku i riziku trećih strana pod jednim krovom, identifikuje oblasti gdje su tipovi rizika istovremeno povišeni, I pružaoce trećih strana koji opslužuju više podružnica (grupna koncentracija koju prikazi po pojedinačnom entitetu ne mogu otkriti). Nema silosa. Nema ručne konsolidacije. Jedna kapitalna osnova, na nivou grupe.

Group CRO Group CISO Group ORM Matično + Podružnice
📊
Konsolidovana kapitalna kontrolna tabla
Ukupni CR + OR kapital u riziku u svim entitetima — P50, P90, P95 — na jednom ekranu. DORA ICT izloženost i kapitalni uticaj operativnog rizika konsolidovani u jednom prikazu.
🎯
Matrica koncentracije grupnog rizika
Identifikuje procese i poslovne jedinice gdje su ICT/sajber i operativni rizik istovremeno povišeni — najvažnije tačke koncentracije za tretman na nivou grupe i raspoređivanje resursa.
🤖
Grupni izvršni sažetak — generisan od AI
AI-generisan narativ na nivou Odbora direktora koji sintetiše rizičnu poziciju, ključne izloženosti i preporučene prioritete u svim entitetima — spreman za Grupni Odbor direktora, Nadzorni odbor ili višu upravu.
🔗
Koncentracija pružalaca na nivou grupe
Identifikuje IKT pružaoce koji opslužuju više entiteta grupe — prikazuje rizik koncentracije pojedinačnog pružaoca koji prikazi po pojedinačnom entitetu propuštaju. Kritično za usklađenost sa DORA članom 28 na nivou holdinga i planiranje otpornosti grupe.
📋
Spremnost RoI između entiteta
Prati potpunost Registra informacija, validacione nedostatke i status podnošenja kroz sve podružnice. Group CRO vidi koji entiteti su spremni za podnošenje i koji zahtijevaju remediaciju.
⚠️
Izloženost zajedničkim ključnim vendorima
Identifikuje vendore čiji ispad bi istovremeno uticao na više entiteta, poslovnih linija ili kritičnih funkcija. Najveći prioriteti za tretman na nivou grupe i harmonizaciju izlazne strategije.
Pokrivenost usklađenosti

Namjenski izgrađen za regulisane sektore.

AIQ Suite strukturno usklađuje interno upravljanje rizicima sa zahtjevima eksterne revizije u okviru glavnih regulatornih okvira — kroz tri namjenski izgrađena modula.

Okvir
Primjenjivi sektori
Pokrivenost platforme
Modul
DORA
EU Regulativa 2022/2554
BankeOsiguravateljiInvesticione firmeInstitucije za plaćanje
Upravljanje IKT rizikom, kvantifikacija IKT scenarija, upravljački tok rada, rizik IKT pružalaca trećih strana, analiza koncentracije, praćenje izlazne strategije, podrška za Registar informacija
CyberRisk AIQ + TPPRisk AIQ
DORA član 28
Rizik IKT trećih strana
BankeFinansijski sektorIKT pružaoci usluga
EBA ITS Registar informacija po Provedbenoj uredbi Komisije 2024/2956, analitika koncentracije pružalaca, KVF tok procjene, mapiranje zavisnosti lanca snabdijevanja (B_03.03), intragrupne IKT usluge (B_03.02), potpisana ZIP datoteka za podnošenje nadležnom organu
TPPRisk AIQ
Basel III / CRR
Kapital operativnog rizika
BankeKreditne institucije
FAIR-bazirana analiza scenarija sa Monte Carlo simulacijom, procjena OR kapitalnog uticaja, kategorizacija Basel tipa događaja, ICAAP-usklađena metodološka dokumentacija, integracija internih podataka o gubicima
OpRisk AIQ
NIS2
Direktiva o mrežnoj i informacionoj bezbjednosti
Kritična infrastrukturaEnergetikaZdravstvoJavni sektor
Tok rada za identifikaciju i tretman rizika, dokaz efektivnosti kontrola, NIS2 IKT izvještaj o riziku s terminologijom budžetskog uticaja za javni sektor
CyberRisk AIQ
Solvency II
Bonitetna regulacija osiguranja
Osiguravajuće kompanije
Kvantifikacija operativnog rizika (OR modul), IKT rizik za DORA-obuhvatne osiguravatelje (Sajber modul), rizik trećih strana za vanjske kritične funkcije (TPP modul), kontekst adekvatnosti kapitala
Sva tri modula
ISO 27001 / ISO 27002
Upravljanje informacionom bezbjednošću
Bilo koja organizacija
Biblioteka ISO 27002:2022 kontrola (usklađena, ne reprodukovana), ISMS-kompatibilan proces procjene rizika
CyberRisk AIQ
ZDOOFS Crna Gora + ZIB
Sl. list CG 14/26 transpozicija
Subjekti finansijskog sektora u Crnoj Gori
Lokalizovana podrška za upravljanje IKT rizikom, digitalnu operativnu otpornost, IKT aranžmane sa trećim stranama, registre, izvještavanje za Odbor direktora i CBCG-spremnu evidenciju; okvir podržava dodatne transpozicije Zapadnog Balkana u planu razvoja
Sva tri modula
Plan razvoja proizvoda

Živa platforma,
kontinuirano produbljivana.

CyberRisk AIQ, OpRisk AIQ, TPPRisk AIQ i nivo Enterprise Scale su svi aktivni. Višeklijentska arhitektura, holding arhitektura, grupna rizik-inteligencija i DORA Registar informacija su sada u produkciji.

CyberRisk AIQ
● Aktivno
  • Engine za kvantifikaciju zasnovan na FAIR-u (multiplikativni model kontrola)
  • Monte Carlo s 10.000 ponavljanja — P50/P90/P95 + kapitalni uticaj
  • Kriva prekoračenja gubitka — vizualizacija pune distribucije (P5–P99)
  • Upravljački tok rada 3LoD s 9 uloga
  • CISO nadjačavanje ocjene — nezavisni pregled efektivnosti kontrola
  • Simulator scenarija — analiza scenarija "šta ako" prije preuzimanja obaveze
  • Ovlašćeni predstavnik — delegiranje zadataka BO
  • 354 kontrole — ISO 27002, NIST CSF 2.0, CIS v8
  • Uvoz kontrola — Framework AI, Document AI, CSV
  • Industrijska referentna poređenja — DBIR, ENISA, Ponemon
  • Industrijska biblioteka scenarija s referentnim FAIR ulazima
  • Optimizator investicija — ROI po kontroli
  • AI svjestan jurisdikcije — 44 evropske zemlje sa kontekstom lokalnih regulatora
  • Mapa rizika sredstava — heat map portfolija
  • Smjernice za odluku BO s ROI i upravljačkim zastavicama
  • Provjera pokrivenosti scenarija — analiza nedostataka u odnosu na industrijsku biblioteku
  • Izjava o apetitu za rizik — konfigurabilni pragovi s DORA eskalacijom prema članu 5
  • KRI okvir — 15 unaprijed unaprijed definisanih KRI-ova s formulom vođenim izračunom, otkrivanjem povreda, sedmičnim sažeta e-mail obavještenjama
  • Međudomenska rizik-inteligencija — povezivanje Procesa ↔ ICT Sredstava otkriva rizike koncentracije
  • CISO sažetak za Odbor direktora — generisan od AI, urediv
  • Graditelj prilagođenih izvještaja — vidljivost zasnovana na ulozi, AI sažetak
  • DORA + NIS2 regulatorni izvještaji
  • PDF izvoz — procjena + paket za Odbor direktora
  • Registar podataka o gubicima — interna baza podataka gubitaka s FAIR kalibracijom
  • Višejezički UI — BS/HR/DE/EN
  • TOTP dvofaktorska autentifikacija (Google/Microsoft Authenticator)
OpRisk AIQ
● Aktivno
  • Kvantifikacija zasnovana na FAIR-u za OR (scenariji Basel tipa događaja)
  • Procjena OR kapitalnog uticaja (7 kategorija Basel tipa događaja)
  • Kriva prekoračenja gubitka — vizualizacija pune distribucije (P5–P99)
  • Uloge Menadžera operativnog rizika / Koordinatora rizika
  • ORM nadjačavanje ocjene — nezavisni pregled efektivnosti kontrola
  • Simulator scenarija — analiza scenarija "šta ako" prije preuzimanja obaveze
  • Ovlašćeni predstavnik — delegiranje zadataka Vlasnika procesa
  • Industrijska referentna poređenja — OR scenariji
  • Industrijska biblioteka scenarija s referentnim FAIR ulazima
  • AI svjestan jurisdikcije — 44 evropske zemlje sa kontekstom lokalnih regulatora
  • KRI okvir — indikatori operativnog rizika s planerom, praćenjem pragova, obavještenjima zasnovanim na ulozi
  • Basel III OR kapitalni izvještaj — RCSA + FAIR Monte Carlo
  • Graditelj prilagođenih izvještaja — vidljivost zasnovana na ulozi, AI sažetak
  • Integrisana Sajber + OR izvršna kontrolna tabla
  • Kapitalne oznake po tipu organizacije — Tier 1 / Budžet / Dionice
  • OR registar rizika + ORM sažeci
  • Registar poslovnih procesa sa zavisnostima od sredstava
  • Registar podataka o gubicima — interna baza podataka za FAIR kalibraciju i ICAAP
  • Višejezički UI — BS/HR/DE/EN
  • TOTP dvofaktorska autentifikacija (Google/Microsoft Authenticator)
TPPRisk AIQ
● Aktivno
  • Registar IKT pružalaca trećih strana — usklađen sa EBA ITS B_05.01
  • Registar IKT usluga i funkcija — EBA ITS B_06.01 sa zatvorenom listom tipova usluga
  • Registar ugovora sa KVF klasifikacijom i statusom procjene
  • Praćenje izlazne strategije i zamjenjivosti — DPM zatvorena lista (ZZ:x959–x962)
  • Procjene kritičnih ili značajnih funkcija (KVF) — pet-stepenski wizard
  • Mapiranje zavisnosti — pružalac → usluga → funkcija → sredstvo
  • Zavisnosti lanca snabdijevanja — EBA ITS B_03.03 sa mapiranjem pružalac-od-pružaoca
  • Intragrupne IKT usluge — EBA ITS B_03.02 tokovi holding/podružnica
  • Analitika koncentracije pružalaca — P95 pojedinačnog pružaoca, UNION P95, diversifikacioni benefit
  • Pet-tab analiza koncentracije — KVF, Top 5, Tier 1, Bez izlazne strategije, Po zamjenjivosti
  • DORA Registar informacija — 15 ITS šablona po Provedbenoj uredbi Komisije 2024/2956
  • Istorija snapshot-a, zamrznuti snapshot-i, potpisana ZIP datoteka za podnošenje
  • Okvir kvaliteta podataka — HIGH / MEDIUM / LOW trake po pružaocu sa actionable drill-down ka popravkama
  • CRO odobravanje i revizijska staza
  • Vendor Manager upravljačka uloga sa role-restricted deaktivacijom
  • AI-asistirana FAIR kalibracija za rasponove zamjenjivosti i troškova izlaska
  • Podrška za više jurisdikcija — pan-EU DORA + Crna Gora ZDOOFS (Sl. list CG 14/26) + ZIB transpozicije u produkciji
  • Cross-modulna integracija — TPP koncentracija povezana sa OR zavisnostima procesa i CR kritičnošću IKT sredstava
  • Višejezički UI — BS/HR/DE/EN
  • TOTP dvofaktorska autentifikacija (Google/Microsoft Authenticator)
Enterprise Scale
● Aktivno
  • Višeklijentska SaaS arhitektura — izolacija shema po klijentu
  • Super-admin panel — provizionisanje klijenata, upravljanje licencama, zdravlje sistema
  • RSA-potpisano JWT licenciranje — offline, zasnovano na nivou, bez pozivanje spoljnog servisa
  • On-premise + SaaS + holding načini raspoređivanja
  • Operativni holding model — holding entitet s vlastitim radnim prostorom
  • Grupne uloge — Group CISO, Group ORM, Group CRO
  • Konsolidovani sažetak rizika — CR + OR kapital u svim podružnicama
  • DORA Grupni pregled — primjenljivost i ICT izloženost po podružnici
  • Grupni OR kapital — RCSA-usklađen konsolidovani prikaz u podružnicama
  • Koncentracija grupnog rizika — međuentitetska CR+OR matrica procesa-sredstava
  • Grupni izvršni sažetak — AI-generisan narativ za Odbor direktora u svim podružnicama
  • Referentna poređenja podružnica — rangirani entiteti po kombinovanom kapitalu u riziku
  • Grupni administracioni panel — upravljanje grupnim korisnicima, kontrola uključivanja podružnica
Pogledajte u akciji

Od prijetnje do kapitalnog uticaja
i od pružaoca do paketa za podnošenje.

Tri modula. Ista odbranjiva matematička osnova — FAIR Monte Carlo za sajber, Quantitative RCSA + FAIR Monte Carlo za operativni rizik, FAIR-bazirana analitika koncentracije za rizik trećih strana.

Sajber modul — Ransomware scenarij (FAIR Monte Carlo)
Sredstvo
Sistem temeljnog bankarstva
Kritičnost: Kritično · DORA obuhvat
Scenarij
Ransomware napad
TEF: 0.8/yr · Vulnerability: 45%
1.84%
Kapitalni uticaj
€4.6M
Očekivani gubitak
€9.2M
P90 gubitak
Tier 1
Nivo rizika
Aktivne kontrole
Firewall · 4/5 Backup & Recovery · 3/5 Incident Response · 2/5

Pogledajte kako MFA + EDR smanjuju kapitalni uticaj

OR modul — Scenarij greške u poravnanju (Quantitative RCSA + FAIR Monte Carlo)
Proces
Obrada plaćanja
Kritičnost: Kritično · Basel tip događaja 7 (Izvršenje)
Scenarij
Greška u obračunu i poravnanju
TEF: 1.2/yr · Vulnerability: 30%
1.41%
Kapitalni uticaj
€2.8M
Očekivani gubitak
€6.4M
P90 gubitak
Tier 2
Nivo rizika
Aktivne kontrole
Proces obračuna i poravnanja · 3/5 Princip četiri oka · 4/5 Dnevna revizija poravnanja · 3/5
✦ Poslije: Automatizovano usklađivanje (4/5) + Validacija u realnom vremenu (4/5)
Kapitalni uticaj
0.62% ↓ od 1.41%
Očekivani gubitak
€1.2M ↓ od €2.8M
Nivo rizika
Tier 4 ↓ od Tier 2

Automatizovano usklađivanje (4/5) + Validacija u realnom vremenu (4/5) smanjuju kapitalni uticaj za 56% — investicija opravdana ROI smanjenjem rizika 6,2:1

TPPRisk modul — Koncentracija pružalaca i spremnost RoI (DORA član 28)
Snapshot portfelja IKT pružalaca
Pružalac
Kritične fn
P95 izloženost
Zamjenjivost
Pouzdanost
Cloud Hosting (primarni)
5
€8,4M
Niska ZZ:x959
Srednja
Platni gateway
3
€6,1M
Srednja ZZ:x960
Visoka
Core bankarski vendor
2
€2,7M
Niska ZZ:x959
Visoka
Email Security
1
€0,4M
Visoka ZZ:x962
Visoka
Metrike portfelja
UNION P95 kroz 16 pružalaca€17,6M
P95 najvećeg pojedinačnog pružaoca€8,4M (47,7%)
Diversifikacioni benefit€4,8M
KVF ugovori bez izlazne strategije1
DORA Registar informacija
Potpunost99,7%
Otvoreni kritični validacioni nedostaci0
Zamrznuti snapshot2026-Q2
Sljedeće podnošenjeSpremno za CRO odobrenje
✦ Sa diversifikacijom Cloud Hosting-a

Podjela u više regiona + sekundarni pružalac smanjuje P95 Cloud Hosting-a na €3,6M (−57%); UNION P95 pada na €12,8M; KVF ugovor bez izlazne strategije riješen.

Investicija opravdana — ROI smanjenja rizika koncentracije 4,8:1; vremenski rok podnošenja očuvan.

Pojednostavljeni scenariji. Pogledajte stvarni profil rizika vaše organizacije sa stvarnim sredstvima, procesima, kontrolama i pružaocima.

Zatražite rani pristup
Rani pristup

Pogledajte rizik vaše organizacije
izražen kao kapitalni uticaj %.

Zatražite rani pristup i pokazaćemo vam kako AIQ Suite kvantifikuje vaš Sajber i Operativni rizik u terminima koje vaš Odbor direktora i regulatori mogu koristiti.

Samo rani pristup EU data centri On-prem opcija Konfigurabilan AI provajder DORA + NIS2 + Basel III usklađeno
Prioritetni pristup za banke, finansijske institucije, osiguravatelje, kritičnu infrastrukturu i organizacije javnog sektora.