Fejléc

Az Excelen túl: az ERSTE bank útja az automatizált kockázatkezelésig az Archer GRC platformjával

Szerző ikon Dobay Ivett

Dátum ikon 2025.03.20

Az ERSTE Bank célja a nagyvállalatok számára felépített Archer GRC-rendszer bevezetésével az információbiztonsági felülvizsgálatokból, technikai ellenőrzésekből és egyéb forrásokból származó eltérések, megállapítások és az ezekkel járó kockázatok kezelésének hatékonyabbá tétele, illetve az információbiztonsági események nyilvántartásának megújítása volt.

Az új rendszer lehetővé teszi az információbiztonsági megállapítások strukturált és folyamatközpontú kezelését, az automatizált workflow-k bevezetését, valamint a naprakész, automatizált riportok készítését, csökkentve ezzel az adminisztrációs terheket és az emberi hibák lehetőségét.

Kiinduló helyzet és problémák

A bevezetés előtt az adatokat egy nagy méretű Excel táblában vezették, ami több kihívást is jelentett:

  • Korlátozott hozzáférés: A táblát legfeljebb egy-két ember kezelte, ami a közös munkát és a naprakész adatokat korlátozta. Ezek a táblázatok többnyire lehetetlenné teszik, vagy megnehezítik a párhuzamos munkavégzést.
  • Adatkezelési nehézségek: Az ezres nagyságrendű rekordok kezelése egyre nehezebbé vált, az Excel nem volt képes többdimenziós adatkapcsolatok hatékony kezelésére. Nagyvállalati környezetben az ilyen célokra használt Excel táblázatok jellemzően elérik korlátaikat.
  • Riportolási problémák: A különböző közép- és felsővezetői kimutatások manuális előállítása időigényes volt, és manuális frissítés hiányában az Excelben készült riportok időnként elavult vagy hiányos adatokra épültek volna.
  • Workflow hiánya: A jóváhagyási folyamatok emailben zajlottak, ami nem biztosította a megfelelő nyomon követhetőséget.


Az Archer rendszer bevezetése

Az ERSTE Bank az Archer „Issues Management” use case-t vezette be, amely a rendszer belépő szintű modulja, erre épülhet több, további use case is. A projekt az alábbi fő lépések mentén haladt:

  1. Előzetes elemzés: A szakértők áttanulmányozták a bank szabályzatait, folyamatait és a sablon Excel-tábla fejlécét annak érdekében, hogy az Archer mezőstruktúrája megfelelően illeszkedjen a meglévő nyilvántartásokhoz, folyamatokhoz.
  2. Követelményspecifikáció: Meghatározták az Archer rendszerben alkalmazandó mezők típusait és elrendezését, a workflow lépéseit, valamint az automatizált riportolás lehetőségeit és igényeit.
  3. Fejlesztés és tesztelés: Az Archer workflow moduljának köszönhetően a fejlesztési környezetben létrehozták az új workflow-kat és funkciókat, majd több iterációs tesztelési fázis következett.
  4. Adattisztítás és migráció: A korábbi Excel-adatokat megtisztították annak érdekében, hogy a táblázat oszlopai összeilleszthetőek legyenek a rendszerben létrehozott, testreszabott mezőkkel, majd ennek köszönhetően az Archer megfelelő mezőibe tömegesen betöltötték az adatokat. Ez kritikus lépés volt, mivel az adatok helyes feltöltése biztosította a pontos riportálási és workflow-folyamatok működését.
  5. Riportolás automatizálása: A projekt megteremtette annak lehetőségét, hogy a manuális Excel-riportrendszert az Archer automatikus riportfunkcióival kiválthatók.


Eredmények és előnyök

  • Automatizált workflow-k: A rendszerben a folyamatokat rögzítették és szabályozott jóváhagyási lépésekbe szervezték, így kiküszöbölve az emailes és manuális visszaigazolásokat.
  • Központi adathozzáférés: Az Archerben minden információ egy helyen érhető el, biztosítva a szükséges ismeret elvének alkalmazását, valamint az egységes adatkezelést és a szervezeten belüli együttműködést. Minden jogosultsággal rendelkező kolléga könnyen, hatékonyan tudja módosítani az adatokat, nincs szükség közvetítőre ennek megtételéhez.
  • Valós idejű jelentések: Az incidensek és auditmegállapítások naprakész nyilvántartása lehetővé teszi az aktuális állapot folyamatos nyomon követését.


Iparági környezet és szabályozás

A pénzügyi szektorban működő vállalatok esetében az információbiztonsági és kockázatkezelési előírások szigorú megfelelést követelnek meg.

Az ERSTE Bank számára az Archer bevezetés támogatja az ágazat EU-s rendeletének, a DORA-nak (Digital Operational Resilience Act) való megfelelést. Az Archerben rögzíthetők és nyomon követhetők többek között:

  • Információbiztonsági kockázatok
  • Belső audit megállapítások
  • Jogszerűség ellenőrzések és jogosultság-felülvizsgálatok eredményei
  • Sérülékenységvizsgálatok és penetrációs tesztek eredményei
  • Harmadik felek és beszállítók kockázatelemzése
  • Egyéb biztonsági megfelelőségi vizsgálatok

A pénzügyi szektorban ezek a megfelelési követelmények és szabványok elengedhetetlenek, ezért az Archer bevezetése nemcsak hatékonyságot növelt, hanem segítette a szabályozásoknak való megfelelést is.

Konklúzió

Az ERSTE Banknál végrehajtott Archer bevezetés egy mintapéldája annak, hogyan váltható ki egy Excel-alapú megoldás egy vállalati szintű GRC-rendszerrel. A projekt sikeresen automatizálta az auditmegállapítások és incidensek kezelését, minimalizálva a manuális adminisztrációt, növelve az átláthatóságot és segítve a szabályozói megfelelést. Az Archer nemcsak az aktuális igényeket elégítette ki, hanem skálázhatósága révén hosszú távon biztosítja a pénzintézet szabályozási és üzleti igényeinek teljesítését.