Hírlevél – 2025. június-július
Milyen tanulságokkal szolgál a KPMG Risk and Resilience Survey amerikai felmérése az EU-ban székhellyel rendelkező (pénzügyi) vállalatok számára?
A gyorsan változó geopolitikai környezet, a digitális transzformáció, az AI-alapú szolgáltatások és az egyre táguló szabályozói elvárások új szintre emelik a pénzügyi intézmények működési kockázatát. A reziliencia, azaz a működési zavarokkal szembeni ellenállóképesség és a hiba bekövetkezése esetén a gyors helyreállítás képessége, ma már nem pusztán kockázatkezelési szempont, hanem üzleti létkérdés. A 2025-ös KPMG Risk and Resilience Survey[1] amerikai nagyvállalatokat vizsgált, köztük pénzügyi szereplőket is. A felmérés tanulságai alapján azonban sok szervezet még mindig az alapszintű védelemnél tart. A következtetéseket alább azért tartjuk hasznosnak röviden összefoglalni, mert azok gondolatébresztőek lehetnek az EU területén működő pénzügyi intézményekre is.
A kutatás szerint a szervezetek csupán 48%-a rendelkezik centralizált kockázat- és reziliencia-menedzsmenttel. Még kevesebb, mindössze 26% alkalmaz keresztfunkcionális kockázati szemléletet, és csupán 17% terjeszti ki a reziliencia-tervezést a kritikus folyamatokon túlra. A fejlett analitika, amely kulcsfontosságú lenne az előrejelzés és válaszadás hatékonyságában, mindössze a szervezetek 15%-ánál alapvető eszköz.
Ezek a számok nemcsak azt mutatják, hogy a "good enough" megközelítés nem elég, hanem azt is, hogy az integrált, adatvezérelt, keresztfunkcionális rendszerek (ahol különböző vállalati területek, például a pénzügy, az IT és az üzemeltetés összehangoltan működnek együtt, és közösen alakítanak ki átfogó képet a szervezetet érintő kockázatokról) hiánya valós időben láthatatlanná teszi a kockázati kitettségeket. Ez a pénzügyi szektorban különösen kritikus, ahol a digitális szolgáltatások zavara percek alatt reputációs és jelentős pénzügyi kárt okozhat, és a hatások nem állnak meg az országhatárokon sem. A hagyományos módszerekre példa lehet az a „heat map” megközelítés, mely szerint az egyes pl. működési kockázatokat külön-külön a hatás és valószínűség szerint értékelő módszer alapján a pirosan villogó elemek priorizálása egyáltalán nem biztos, hogy a legnagyobb kockázatcsökkentést éri el, mert a kockázatok közötti összefüggések figyelembevételével lehet, hogy pl. egy vagy néhány jól kiválasztott, alacsonyabb kockázat sürgős kezelésének kedvezőbb a hatása a kockázati kitettségeinkre. Ahhoz, hogy ez a vezetői döntéshozatalba is becsatornázható legyen (pénzügyi hatás mérésével), egy megalapozott módszer (modell) és az irányítási rendszerbe való beépítés, majd következetes alkalmazás szükséges.
Fontos látni, hogy a reziliencia ebben folyton változó a környezetben nem statikus állapot, hanem folyamatosan fejlesztendő képesség. Érdemes az intézményeknek - meghaladva a compliance-fókuszú kockázatkezelést - integrált modellt építeniük, amelyben a különböző szakterületek – például IT, pénzügy, jog, belső ellenőrzés – nemcsak információt osztanak meg, hanem együtt is terveznek. A legjobban teljesítő gyakorlatok azt mutatják, hogy a reziliencia akkor tud valódi értéket teremteni, ha annak kiépítése már az üzleti és működési stratégia szintjén megtörténik – pl. szanálási tervek, harmadik feles kockázatok kezelése vagy AI-alapú rendszerek megbízhatóságának felmérése révén.
Számos olyan szervezet, amely képes volt belső kockázatkezelési keretrendszerét úgy kialakítani, hogy az előre is képes érzékelni a zavarokat, mára nemcsak hatékonyabban védekezik, de gyorsabban is reagál. Ahol a belső jelentések összehangoltak, az adatminőség következetesen magas, és a döntéshozatal alapját képező elemzések modern eszközökkel készülnek – ott nemcsak megfelelésről, hanem piaci rugalmasságról is beszélhetünk.
A felmérés azt is mutatja (továbbra is Amerikában), hogy a felsővezetés „C-suite” szintjén mindössze 41% az, ahol valós bizalom mutatkozik a vezetők kockázati tudatossága iránt. Ez a szám alacsony, ha figyelembe vesszük, hogy a reziliencia nemcsak technológiai kérdés, hanem szervezeti kultúra, felelősség-megosztás és döntéshozatal gyorsaságán is múlik. Olyan keretrendszerek, amelyekben a compliance, kockázatmenedzsment és üzletfejlesztés szorosan együtt dolgozik, jelentősen javítják a reakcióképességet. Érdekes adat, hogy a vizsgált cégeknél 72%-ban a felsővezetői szinten került felelős vezető kijelölésre a rezilienciáért, de ez csak 35%-ban a CRO amit magyarázhat az, hogy a reziliencia egy fontos eleme a technológiai és kibervédelmi biztonság, ami inkább az IT területen kerül kezelésre.
A digitális megfelelés terén pedig egyre inkább előtérbe kerül a szabályozói keretek – az EU-ban ilyen lehet például a DORA vagy az AI Act – gyakorlati implementálása. Ezekhez olyan reziliencia-fókuszú megközelítés társítható, amely a technológiai és adatvezérelt működés szabályozási megfelelését összehangolja a szervezet működés-biztonsági szempontjaival. A harmadik feles beszállítói kapcsolatok kockázatának értékelése, a külső és belső adatok összehangolása, vagy a digitális infrastruktúra állapotának folyamatos felülvizsgálata mind olyan beavatkozási pontok, ahol a reziliencia üzletileg is megtérül.
A megoldás nem feltétlenül egy újabb tool bevezetése vagy külső szabványok alkalmazása. Sokkal inkább egy belsőleg integrált, technológiailag támogatott, strukturált, de rugalmas keretrendszer kiépítése, amely időben érzékeli, kontextusban elemzi és hatékonyan priorizálja a kockázatokat. Egyre több szervezet alkalmaz erre külső benchmarkokat, automatizált monitoring eszközöket, vagy célzott felméréseket is – például működési modellek, pénzmosás elleni kontrollkörnyezet vagy ESG-kompatibilitás értékelésére.
A tanulmány végkövetkeztetése világos és az EU területén is érvényes: a volatilitás nem múlik el. A kérdés az, hogy a szervezet hogyan építi be a rezilienciát a stratégiájába. Azok a szereplők, akik ezt megteszik, nemcsak megfelelnek majd a szabályozóknak, hanem gyorsabban, megalapozottabban és hatékonyabban reagálnak a jövő bizonytalanságaira is – miközben olyan, szofisztikált módszerekre épülő belső működést alakítanak ki, amely már nemcsak elhárítja a zavarokat, hanem aktívan építi az üzleti versenyképességet is. Érdemes tehát ebbe invesztálni.
A KPMG nagy tapasztalattal rendelkező pénzügyi kockázatkezelési és szabályozói megfelelési területe más társ-szakterületekkel (pl. Machine learning, jog, IT…) való együttműködésben kész támogatni a pénzügyi és azon kívüli területen működő KKV-ket és nagyvállalatokat is a reziliencia kialakításában, fejlesztésében.
