Tone Bergfelt:
Den digitala utvecklingen medför både möjligheter och risker, särskilt inom den finansiella sektorn där beroendet av teknik och tredjepartsleverantörer ökar. För att stärka motståndskraften inom EU har DORA, Digital Operational Resilience Act, införts, som bl.a. ställer krav på riskhantering, incidentrapportering, testning samt kontroll och styrning av tredjepartsleverantörer. Bolag och compliancefunktioner står således inför en ny verklighet 2025 när DORA-kraven ska omsättas i praktiken.
Hur ska compliancefunktioner hantera regelverkskraven i DORA för att säkerställa en långsiktig efterlevnad?
För att säkerställa långsiktig efterlevnad av DORA, bör compliancefunktioner under 2025 fokusera på att stötta verksamheten avseende integreringen av regelverket i de operativa processerna. Många bolag har arbetat med fokuserade implementeringsprojekt och tagit fram nya och/eller ändrade processer och rutiner som nu ska börja efterlevas i praktiken. Med förändrade arbetssätt uppstår nya utmaningar där anpassningar kommer behöva göras löpande under året och det är viktigt att efterlevnaden inte enbart handlar om dokumentation och rapportering.
Ett område där vi särskilt ser att compliancefunktioner har en viktig roll är i hanteringen av de informations- och kommunikationsteknologiska tjänster, IKT-tjänster, som tillhandahålls av en tredjepartsleverantör. Tredjepartsrisker och hanteringen av uppdragsavtal är en compliancerisk som många compliancefunktioner fokuserar på generellt men som här får ett ökat fokus. DORA omfattar bl.a. bestämmelser om hantering av risker i samband med att bolag använder IKT-tjänster som tillhandahålls av en tredjepartsleverantör inbegripet krav vid ingåendet av sådana avtal, inklusive avtalsbestämmelser, samt uppföljning av sådana avtalsförhållanden. Utöver det ställs det även krav på att de bolag som har att efterleva DORA ska ha en policy som reglerar den hanteringen. Dessa krav är sedan innan välbekanta för många bolag utifrån andra regler avseende utläggning av verksamhet och uppdragsavtal. Vi tror här att compliancefunktionen kan bidra med råd och stöd avseende hantering av tredjepartsrisk enligt DORA och då dra nytta av erfarenheter från arbetet avseende utläggning av verksamhet från andra regelverk. Möjligen finns det även vissa synergieffekter i arbetet genom att implementera kraven från DORA i de processer och rutiner som etablerats sedan tidigare.
Sammanfattningsvis ser vi att compliancefunktionen har en viktig roll i att, genom råd och stöd, hitta rätt väg framåt där regelefterlevnaden och det övergripande syftet att stärka den digitala operativa motståndskraften säkerställs, samtidigt som arbetet är effektivt och inte onödigt betungande. Compliancefunktionen behöver arbeta nära verksamheten för att stötta i implementeringen av DORA i det dagliga arbetet och säkerställa att de åtgärder som vidtas är funktionella, realistiska och anpassade efter organisationens faktiska riskexponering. Genom att arbeta nära verksamheten, identifiera risker och skapa en struktur för kontinuerlig anpassning kan en stabil grund läggas innan mer omfattande kontroller införs. Att våga arbeta riskbaserat är en förutsättning för att kunna säkerställa god regelefterlevnad men framför allt för att hantera digitala risker och eventuella avbrott i verksamheten relaterat till avbrott i IKT-tjänster.
Advisenses tips till
compliancefunktioner är
såledesföljande
- Fokusera på en övergripande förståelse av DORA (för verksamheten och compliancefunktionen).
- Hur har implementeringen fortskridit? Finns kvarstående delar som behöver hanteras? Vad är riskerna kopplat till regelefterlevnad?
- Hitta en lagom ambitionsnivå och förstå var bolaget står idag samt planen framåt, arbeta riskbaserat och fokusera på de delar där compliancerisken är som störst.
- Gå inte ”i fällan” och granska processer och rutiner utifrån de detaljerade kraven i DORA. Detta kräver sannolikt ett nära samarbete mellan compliancefunktionen och verksamheten.
Avslutningsvis kan det konstateras att det är viktigt att säkerställa att DORA integreras i organisationens verksamhet och inte blir en isolerad efterlevnadsfråga, och för att lyckas med detta krävs ett nära och strukturerat samarbete mellan kontrollfunktionerna och verksamheten. Genom att koppla efterlevnad till affärsnytta och säkerställa att varje krav i DORA bidrar till en starkare operativ resiliens, blir regelverket ett verktyg för långsiktig stabilitet snarare än en administrativ börda.
