AIQ Suite prevodi IKT/sajber rizik, operativni rizik i rizik IKT trećih strana u finansijski mjerljive rezultate, P95 izloženost koncentracije i regulatorno upotrebljivu evidenciju — kroz jednu upravljanu platformu za digitalnu operativnu otpornost finansijskog sektora.
Rani pristup trenutno je prioritetno namijenjen bankama, finansijskim institucijama i regulisanim organizacijama.
AIQ Suite je otvoren za kontrolisanu pilot validaciju sa bankama, finansijskim institucijama i regulisanim organizacijama. Pilot može obuhvatiti odabranu IKT imovinu, sajber/IKT scenarije, operativne scenarije, odnose sa IKT pružaocima usluga, testiranje radnog toka, izvještaje za rukovodstvo i povratnu informaciju o pripremi regulatorno upotrebljive evidencije.
Cilj pilot validacije je da se potvrdi praktična upotrebljivost platforme, kvalitet izvještaja, razumljivost kvantifikovanih rezultata i spremnost za širu komercijalnu primjenu.
Svaki modul može se uvesti nezavisno ili zajedno kao AIQ Suite. Sva tri dijele isti upravljački radni tok, organizacione podatke, AI infrastrukturu, sloj izvještavanja, revizorski trag i logiku materijalnosti / kapitalnog pogleda — pružajući bankama jedan konzistentan prikaz IKT rizika, operativnog rizika i rizika zavisnosti od trećih strana.
Kvantifikuje IKT i sajber rizik kroz kvantitativni pristup sa Monte Carlo simulacijom — učestalost događaja, ranjivost, efektivnost kontrola i veličina gubitka. Generiše P50/P90/P95/P99 rezultate, materijalnost u odnosu na kapitalnu osnovu i izvještaje za upravljanje IKT rizikom prema ZDOOFS-u, uz EU DORA kao referentni model, i ZIB/NIS2 očekivanjima.
Kvantifikuje operativni rizik kroz vlasničku kvantitativnu analizu scenarija — učestalost događaja, ranjivost i veličina gubitka kroz Monte Carlo simulaciju — primijenjenu na poslovne procese, kategorije Basel tipova događaja, interne podatke o gubicima i procesne kontrole. Podržava RCSA, ICAAP narativ, izvještavanje za menadžment i upravljačku procjenu materijalnosti operativnog rizika.
Upravlja podacima i dokazima relevantnim za rizik IKT trećih strana, uključujući registar pružalaca, ugovore, kritične ili važne funkcije, izlazne strategije, koncentraciju i pripremu Registra informacija prema lokalnom okviru i EU referentnoj strukturi.
Kvalitativne matrice rizika, razasuti registri pružalaca i ručne tabele eksternalizacije više nisu odbranjivi pod DORA, NIS2 i Basel III. Bankama je potreban jedinstven upravljan prikaz rizika, kapitalnog uticaja, zavisnosti od trećih strana i regulatorne evidencije.
Kvantitativni ulazi rizika obrađeni kroz Monte Carlo simulaciju od 10.000 ponavljanja — za IKT scenarije (CyberRisk AIQ), scenarije Basel tipova događaja (OpRisk AIQ) i portfelje izloženosti pružalaca trećih strana (TPPRisk AIQ). Multiplikativni model smanjenja kontrola osigurava realno složeno dejstvo. Rezultati uključuju Očekivani gubitak, intervale pouzdanosti P50/P90/P95, Krivu prekoračenja gubitka i procenat kapitalnog uticaja.
Mapira IKT pružaoce ka uslugama, ugovorima, kritičnim funkcijama, internoj imovini i kvantifikovanoj izloženosti. Identifikuje koncentraciju pojedinačnog pružaoca, nedostatke u zamjenjivosti, nedostajuće izlazne strategije i grupne zavisnosti od pružalaca. Generiše Registar informacija o IKT aranžmanima usklađen sa EU DORA/ITS referentnom strukturom (Sprovedbena uredba Komisije 2024/2956).
AI asistencija predlaže analizu prilagođenu sektoru, kapitalnoj osnovi i jurisdikciji, uz obaveznu ljudsku provjeru i potpisivanje. Banka u Crnoj Gori dobija smjernice u okviru CBCG-a. Banka u Hrvatskoj dobija DORA i HNB kontekst. Javni organ u Njemačkoj dobija NIS2 i BSI okvir. Mapirane su 44 evropske jurisdikcije — regulatorne reference služe kao kontekst i referentna vrijednost, nikada kao lista provjere usklađenosti.
Sveobuhvatna odgovornost od analitičarske procjene do eskalacije na Odbor direktora, kroz sva tri modula. 1LoD: Analitičar + Tehnički vlasnik / Risk koordinator / Menadžer dobavljača. 2LoD: CISO + Operativni Risk Menadžer + CRO. Potpuna revizijska staza, strukturisani tok za ponovnu obradu, Smjernice za odluku poslovnog vlasnika, DORA Tier 1 eskalacija, potpisani RoI snimci stanja. Jedan mehanizam toka rada kroz CR, OR i TPP.
Dva paralelna upravljačka toka — kvantifikovani rizik za CR + OR scenarije, rizik trećih strana za životni ciklus pružaoca — koja se spajaju u rezultate spremne za Odbor direktora i evidenciju spremnu za internu provjeru i pripremu regulatorne dostave.
Za Sajber: bira IKT imovinu sa risk intelligence oznakama, dodjeljuje scenario prijetnje sa uredivim opisom i akterom prijetnje, unosi parametre kvantifikacije. Za OR: bira poslovni proces sa zavisnostima od imovine, dodjeljuje scenario Basel tipa događaja. AI predlaže kalibrisane raspone za oba.
Za Sajber: Tehnički vlasnik ocjenjuje postojeće kontrole iz vlasničke biblioteke kontrola na skali 0–5, sa masovnim višestrukim odabirom i otkrivanjem duplikata. Za OR: Risk koordinator ocjenjuje efektivnost kontrola procesa. Platforma izračunava smanjenje rezidualnog rizika.
Za Sajber: CISO validira IKT metodologiju rizika, pregleda analitičarsku preporuku i narativ poslovnog rizika, te dodaje sopstveni komentar. Za OR: Operativni Risk Menadžer vrši ekvivalentni pregled. Oba djeluju kao kontrolne tačke kvaliteta druge linije odbrane prije faze poslovne odluke.
Sa AI analizom, analitičarskom preporukom i komentarom CISO-a/Operativnog Risk Menadžera vidljivim, vlasnik rizika prihvata, umanjuje, prenosi ili izbjegava rizik. Za OR: Vlasnik procesa ima formalnu odgovornost. Rizici koji prelaze mandat aktiviraju eskalaciju na Odbor direktora.
Odluke o tretmanu generišu strukturisane akcione planove. Tehnički vlasnik dodaje kontrole iz biblioteke okvira, AI prijedloga ili prilagođenih unosa — sa mogućnostima poboljšanja za postojeće kontrole sa lošim performansama. Sve praćeno u unificiranom centralnom prikazu.
Unos u portfelj pružalaca sa podacima usklađenim sa EBA ITS B_05.01 — identitet pružaoca, IKT usluge koje isporučuje (zatvorena lista tipova usluga), ugovori sa KVF klasifikacijom i veze lanca snabdijevanja. Osnova Registra informacija.
KVF wizard sa pet koraka — materijalnost, zamjenjivost, geografija, dubina eksternalizacije i testiranje — proizvodi odbranjivu KVF odluku po ugovoru. Menadžer dobavljača priprema, a CISO/CRO upravljanje pregleda.
Platforma prikazuje izloženost koncentracije: P95 pojedinačnog pružaoca, objedinjeni P95 kroz portfelj, efekat diverzifikacije i zavisnosti lanca snabdijevanja (B_03.03) uključujući intragrupne IKT usluge (B_03.02). Žarišta koncentracije postaju vidljiva, a ne skrivena u tabelama.
Nivoi kvaliteta podataka Visok/Srednji/Nizak po pružaocu, sa pregledom konkretnih nedostataka. Validacione kontrolne tačke provjeravaju potpunost Registra informacija u odnosu na set EBA ITS šablona prije nego što podnošenje može da se nastavi.
CRO pregleda rizik koncentracije, odobrava snimak stanja i zamrzava ga. Platforma generiše paket potpisane ZIP datoteke po Sprovedbenoj uredbi Komisije 2024/2956 — spreman za internu provjeru i pripremu regulatorne dostave. Potpuna revizijska staza očuvana.
Od inventara pružalaca do Registra informacija spremnog za internu provjeru i pripremu regulatorne dostave.
Priprema kvantitativne procjene rizika od kraja do kraja za IKT i operativni rizik.
Pruža tehničke ulaze o efektivnosti kontrola i gradi skup kontrola akcionog plana.
Metodološki pregled i kontrolna tačka kvaliteta druge linije odbrane — pregleda analitičarsku preporuku i narativ prije odluke BO.
Vlasnik rizika koji donosi formalnu odluku o tretmanu sa svim AI i ljudskim kontekstom.
Održava registar organizacione imovine — IKT imovine (Sajber) ili poslovnih procesa (OR) — uključujući dodjelu vlasništva, označavanje i mapiranje zavisnosti.
Održava registar IKT pružalaca, usluga, ugovora i zavisnosti. Koordinira KVF procjene i remediaciju kvaliteta podataka u portfelju pružalaca.
Odobrava ključne rezultate rizika trećih strana, analizu koncentracije i zamrznute RoI snimke stanja prije regulatornog izvoza. Metodološka kontrolna tačka usklađena sa mandatom Grupni CRO.
Konfiguracija platforme, aktivacija modula i postavljanje upravljanja.
Pregled na nivou grupe kroz zavisna društva: konsolidovana izloženost CR + OR + TPP, koncentracija pružalaca između entiteta, spremnost RoI na nivou grupe. Jedinstven sloj odgovornosti iznad upravljanja po entitetu.
Nisu generički savjeti. Svaki AI output je kontekstualizovan prema tipu vaše organizacije, kapitalnoj osnovi, regulatornim obavezama i jurisdikciji — bilo da je riječ o banci u obuhvatu DORA-e u Hrvatskoj ili javnom organu u Crnoj Gori.
Predlaže raspone godišnje učestalosti scenarija i vjerovatnoće materijalizacije gubitka kalibrisane prema kritičnosti IKT imovine i profilima aktera prijetnji (Sajber), ili prema tipu poslovnog procesa i kategoriji Basel tipa događaja (OR). Nivoi pouzdanosti i vrijednosni rasponi signaliziraju gdje je ljudska procjena najpotrebnija.
Mapirane 44 evropske jurisdikcije. AI analiza referencira okvire koji se stvarno primjenjuju na vašu organizaciju — CBCG za crnogorske banke, DORA i HNB za hrvatske institucije, NBS za srpske entitete. Regulatorne reference pružaju kontekst i referentnu vrijednost, nikada listu provjere usklađenosti.
Deterministička preporuka tretmana pri determinističkom režimu rada AI modela, zasnovana na vašem četvoronivovskom okviru kapitalnog uticaja. Pragovi nivoa konfigurisani po klijentu. Rizici Tier 1 aktiviraju smjernice za eskalaciju Upravljačkog odbora usklađene sa principima upravljanja digitalnom operativnom otpornošću.
AI generiše strukturisanu analitičarsku procjenu koristeći regulatorne referentne vrijednosti i industrijski kontekst — uredivo u editoru bogatog teksta. Analitičar pregleda, dorađuje i čuva. Ono što dolazi do CISO-a i Odbora direktora nosi ljudsku odgovornost, a ne sirovi AI rezultat.
Koristite Anthropic Claude (podrazumijevano), Azure OpenAI ili standardni OpenAI. Provajder se konfiguriše po klijentu u administratorskom panelu. Glavni AI prekidač omogućava potpuno ručno upravljanje kada AI nije potreban ili dostupan.
AI podržava pregled, kalibraciju i izradu narativa. Regulatorna odgovornost — za odluke o kapitalnom uticaju, KVF status, podnošenje RoI i ishode tretmana — ostaje na instituciji i njenim odgovornim licima.
Namjenski izrađen za evropske regulisane organizacije — kombinuje mogućnosti koje su tipično dostupne samo odvojeno, po enterprise cijenama, ili ih uopšte nema na tržištu. Sada uključuje grupnu analitiku rizika za višeentitetske organizacije.
Većina alata za kvantifikaciju su kalkulatori — daju broj, ali koordinaciju prepuštaju e-mailu i tabelama. AIQ Suite ugrađuje kompletan upravljački tok rada: priprema analitičara, ocjena IKT/procesnih kontrola, CISO pregled, odluka poslovnog vlasnika, akcioni plan i odobrenje — sve na jednoj platformi, sa potpunom revizijskom stazom.
Sajber rizik, operativni rizik i rizik trećih strana tipično se vode odvojeno, u silosima — odvojeni timovi, odvojeni alati, odvojena evidencija. AIQ Suite ih objedinjuje: ista imovina, isti korisnici, isti upravljački radni tok, ista revizijska staza, ista kapitalna osnova. Banka vidi rizik od ransomware napada, rizik od greške u poravnanju i rizik od koncentracije cloud hostinga jedne pored druge — i automatski prikazuje gdje isti pružalac podržava više kritičnih procesa.
Sve glavne platforme za kvantifikaciju potiču iz Sjeverne Amerike. AIQ Suite je dizajniran za evropski regulatorni kontekst i prilagodljiv nacionalnim okvirima, uključujući digitalnu operativnu otpornost, IKT rizik, operativni rizik i rizik IKT trećih strana. Za Crnu Goru, primarni kontekst je Zakon o digitalnoj operativnoj otpornosti finansijskog sektora, dok se EU DORA i EBA ITS koriste kao referentni modeli za strukturu podataka, terminologiju i buduću EU-kompatibilnu skalabilnost.
Svaki ulaz, svaka ocjena kontrole, svi Monte Carlo rezultati su vidljivi i provjerljivi. Ulazi kvantifikacije, komponente gubitka, izračuni smanjenja kontrola, formula kapitalnog uticaja — sve dostupno za regulatorni pregled. Nema crne kutije. Dizajnirano da izdrži nadzorni pregled prema očekivanjima za dokumentovan i provjerljiv okvir upravljanja IKT rizikom i EBA zahtjevima za interne modele.
Kvantitativno modeliranje rizika tipično zahtijeva specijalističku obuku ili vanjske konsultante. AIQ Suite ga čini dostupnim svakom analitičaru rizika kroz AI-asistiranu kalibraciju, panele konteksta scenarija, industrijske referentne smjernice i strukturisani tok rada. Stručnost je ugrađena u platformu — nije preduslov za njeno korišćenje.
Pogledajte kako kapitalni uticaj vaše organizacije stoji u poređenju sa uporedivim organizacijama iz industrije. Referentni podaci iz Verizon DBIR, ENISA Threat Landscape, IBM X-Force i Ponemon Institute — po tipu organizacije, sektoru i veličini kompanije. Daje CISO-u i Odboru direktora konkretan kontekst: jesmo li iznad ili ispod industrijskog prosjeka za ovaj rizik?
Većina DORA TPP alata zaustavlja se na registrima i šablonima. Većina alata za kvantifikaciju rizika zaustavlja se na scenarijima i krivama gubitka. AIQ Suite povezuje oboje: IKT pružaoci, ugovori, kritične funkcije, interna imovina i kvantifikovana P95 izloženost — tako da rizik trećih strana nije samo dokumentovan, već i finansijski razumijevan i spreman za internu provjeru i pripremu regulatorne dostave.
AIQ Suite ne tretira rizik trećih strana kao statičan spisak pružalaca. Mapira pružaoce ka IKT uslugama, kritičnim funkcijama, ugovorima, imovini i procjenama rizika — otkrivajući gdje je institucija operativno zavisna od pojedinačnog pružaoca, cloud lokacije, podugovarača ili grupnog odnosa sa pružaocem usluge.
Većina evropskih platformi za rizik je samo SaaS — što je strogo ograničenje za banke pod zahtjevima centralnih banaka koji ograničavaju smještanje ključnih podataka o riziku u public cloud-u. AIQ Suite podržava tri modela implementacije: puni SaaS model (EU data centri), on-premise (sopstvena infrastruktura institucije) i operativni holding (matični entitet hostuje zavisna društva). RSA-potpisano JWT licenciranje zasnovano na paketu/nivou radi offline — bez zahtjeva za stalnim pozivanjem spoljnog servisa. Banke ispunjavaju regulatorna očekivanja rezidencije podataka bez kompromitovanja platformskih sposobnosti.
AIQ Suite pomaže institucijama da strukturiraju interno upravljanje rizicima, dokaznu evidenciju i izvještavanje u odnosu na relevantne regulatorne i revizorske zahtjeve — kroz tri namjenski izrađena modula.
CyberRisk AIQ, OpRisk AIQ i TPPRisk AIQ dostupni su danas u pilot fazi / fazi ranog pristupa. Enterprise Scale nivo — multi-tenant i holding arhitektura sa grupnom analitikom rizika — planirano je proširenje, a Resilience AIQ (kontinuitet poslovanja) je sljedeći na planu razvoja.
Tri modula. Ista odbranjiva matematička osnova — Monte Carlo simulacija za sajber, Kvantitativni RCSA + Monte Carlo za operativni rizik, kvantitativna analitika koncentracije za rizik trećih strana.
Pogledajte kako MFA + EDR smanjuju kapitalni uticaj
Automatizovano usklađivanje (4/5) + Validacija u realnom vremenu (4/5) smanjuju kapitalni uticaj za 56% — investicija opravdana ROI kroz smanjenje rizika 6,2:1
Raspodjela na više regiona + sekundarni pružalac smanjuje P95 Cloud Hosting-a na €3,6M (−57%). objedinjeni P95 pada na €12,8M. KVF ugovor bez izlazne strategije riješen.
Investicija opravdana — ROI smanjenja rizika koncentracije 4,8:1. Vremenski rok podnošenja očuvan.
Zatražite rani pristup i pokazaćemo vam kako AIQ Suite kvantifikuje vaš Sajber i Operativni rizik u terminima koje vaš Odbor direktora i regulatori mogu koristiti.