STRATEGIE25. November 2024

DORA-Frist naht: Schafft Deutschland rechtzeitig die Umsetzung?

Robin Schmeisser, Fabasoft Contracts GmbH

Die Europäischen Aufsichtsbehörden (ESAs) haben eine Verschiebung der Einreichfrist des Informationsregisters auf 30. April 2025 bekanntgegeben. Den Aufschub dürften viele Finanzunternehmen begrüßen. Aus den bisherigen Vorbereitungen auf DORA wissen wir, dass der Aufwand für das IKT-Drittanbietermanagement aufgrund der Vielschichtigkeit des Informationsregisters enorm ist. Der Versuch, dieses mittels Microsoft Excel umzusetzen, stellte sich für viele als Irrweg heraus – was auch jene Finanzunternehmen bestätigten, die den „Dry Run“ der ESAs absolvierten.

von Robin Schmeisser, Fabasoft

Während in Österreich mehrere Hundert Betriebe ihre Informationsregister bei der Generalprobe eingereicht haben, hat der Großteil des deutschen Finanzsektors mit nur 44 Mitwirkenden die Chance auf wertvolle Erfahrungen nicht genutzt. Dies könnte in der finalen Vorbereitungsphase einen erheblichen Nachteil bedeuten. Die Frage, die sich dadurch stellt:

Wie gut sind deutsche Finanzunternehmen vorbereitet, und können sie die Anforderungen bis zum Ende der Umsetzungsfrist noch erfüllen?

Das Informationsregister dient zur Übersicht über alle IKT-Dienstleistungen, die ein Finanzunternehmen von Drittanbietern bezieht. Es besteht aus fünfzehn unterschiedlichen Tabellen, die inhaltlich an zahlreichen Stellen ineinandergreifen.”

Bestandteile sind u. a. umfangreiche Angaben zu den Lieferanten und IT-Services, sämtliche Auslagerungsverträge sowie verschiedenste Nachweise und Prüfungen wie Due Diligence, Risikobewertungen und Exit-Strategien. Bis dato setzen die meisten Unternehmen bei der Berichterstellung auf herkömmliche Tabellenkalkulationsprogramme, die eine manuelle Befüllung der Datenfelder erfordern. Ändert sich ein bestimmtes Detail, müssen die Verantwortlichen diese an jeder Stelle einzeln ausbessern. Das Resultat: Ein enorm hoher Bearbeitungsaufwand sowie Übertragungsfehler und Inkonsistenzen. Der „Dry Run“ der Europäischen Aufsichtsbehörden (European Supervisory Authorities – ESA) hat diese Realität im Praxistest gezeigt.

Nur wenige deutsche Firmen bei EU-Probelauf

Bei dem Testlauf hatten Finanzunternehmen die Gelegenheit, eine erste Version des Informationsregisters zu erstellen und an die Behörden zu übermitteln. Eine wertvolle Chance, sich den aktuellen Status der eigenen Prozesse und die damit einhergehenden Aufgaben zu vergegenwärtigen. Die Teilnehmerinnen und Teilnehmer haben dadurch ein Gefühl bekommen, an welcher Stelle sie noch Daten erheben müssen und wie aufwändig es ist, auf manuellem Weg konsistent und vollständig zu berichten. Zusätzlich hat der Testlauf relevante Detailfragen an die Oberfläche gebracht, die es nun intern sowie mit den Behörden zu klären gilt.

Auch wenn EU-weit die Mitwirkung am Dry Run auf freiwilliger Basis erfolgte, nahmen in Österreich laut Aussagen der Finanzmarktaufsicht (FMA) mehrere Hundert Entitäten an der Übung teil. In Deutschland hingegen lag die Zahl insgesamt lediglich bei 44 Finanzunternehmen, wie die BaFin mitteilte. So blieb für die Mehrheit der deutschen Finanzbranche ein wichtiger Erkenntnisgewinn vor dem eigentlichen Stichtag aus.

Robin Schmeisser, Fabasoft
Robin Schmeisser, Geschäftsführer der Fabasoft Contracts, be­schäf­tigt sich seit 2004 in­ten­siv mit der Di­gi­ta­li­sie­rung von Ge­schäfts­an­wen­dun­gen und -pro­zes­sen. Nach lang­jäh­ri­ger Ge­schäfts­füh­rer­tä­tig­keit bei ei­nem Soft­ware­her­stel­ler ist er seit Ja­nu­ar 2021 für Fa­ba­soft Contracts ver­ant­wort­lich, ei­nem der eu­ro­pa­weit füh­ren­den An­bie­ter von Ver­trags­ma­nage­ment-Soft­ware. Seit In­kraft­tre­ten von DO­RA un­ter­stützt er Kun­den aus dem Fi­nanz­sek­tor bei der smar­ten Di­gi­ta­li­sie­rung ih­res Aus­la­ge­rungs­ma­nage­ments so­wie der ef­fi­zi­en­ten Um­set­zung der re­gu­la­to­ri­schen Do­ku­men­ta­ti­ons- und Be­richts­pflich­ten mit­hil­fe vonFabasoft DORA.

Automatisierung der Geschäftsprozesse

Sind alle relevanten Informationen von Beginn an digital erfasst, ermöglicht dies die Automatisierung des gesamten Outsourcing-Prozesses eines Lieferanten sowie aller nachfolgenden Aktivitäten. So lässt sich mit einer smarten, auf DORA spezialisierten Software beispielsweise das geforderte Informationsregister auf Knopfdruck generieren. Dafür gelangen die Daten automatisch aus den digitalen Akten in den fertigen Bericht.

Grundlage dafür sind zum Großteil Informationen aus den bestehenden Verträgen mit den IKT-Dienstleistern.”

Etwa sämtliche relevanten Angaben zum Lieferanten, zur festgelegten Leistung, zu involvierten Subunternehmen u. v. m. Außerdem berechnet das System selbstständig Inhalte aus bereits bekannten Daten. Das Ergebnis ist ein stets synchronisiertes, digitales Informationsregister, das sich im vorgegebenen Datenformat exportieren und einfach mit den Behörden teilen lässt. Dies spart wertvolle Ressourcen, erhöht die Transparenz, minimiert Risiken und sorgt für eine jederzeitige Auskunftsfähigkeit.

Nutzung von künstlicher Intelligenz

Neben der Herausforderung des umfangreichen Berichtswesens sieht DORA überdies unterschiedliche Mindestvertragsinhalte mit IKT-Drittdienstleistern vor. Die Vereinbarungen müssen u. a. Sicherheitsanforderungen, Incident Reportings, die Verarbeitung und Speicherung von Daten, Notfall- und Wiederherstellungspläne sowie Übergangsregelungen abdecken. Finanzunternehmen sind daher angehalten, alle Auslagerungsverträge auf DORA-Compliance zu prüfen und gegebenenfalls anzupassen. Künstliche Intelligenz kann dabei unterstützen, indem sie selbstständig Abweichungen hinsichtlich der DORA-Regulatorik identifiziert und die Ergebnisse je Vertragsakte übersichtlich aufbereitet. Für jene Verträge, die Handlungsbedarf aufweisen, erzeugt das System anschließend basierend auf der Klauselbibliothek die richtigen Ergänzungsvereinbarungen automatisiert und startet optional die Genehmigungs- und Zeichnungsprozesse samt direkter Einbindung der externen Partner.

Fazit

Mit dem richtigen Tool bleibt noch genügend Zeit, vollständig bis zur Deadline zu berichten. Wichtig für eine schnelle Umsetzung sind verschiedene standardisierte Möglichkeiten zur raschen Datenmigration. Sind die Informationen einmal im System, lassen sich Register und Berichte sofort erzeugen.

Dadurch senken Finanzunternehmen nicht nur ihren Ressourcenaufwand, sondern minimieren auch das Risiko für manuelle Fehler sowie für die Nicht-Einhaltung der Compliance-Vorgaben.”

Robin Schmeisser, Fabasoft Contracts

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert