DORA-Frist naht: Schafft Deutschland rechtzeitig die Umsetzung?
von Robin Schmeisser, Fabasoft
Während in Österreich mehrere Hundert Betriebe ihre Informationsregister bei der Generalprobe eingereicht haben, hat der Großteil des deutschen Finanzsektors mit nur 44 Mitwirkenden die Chance auf wertvolle Erfahrungen nicht genutzt. Dies könnte in der finalen Vorbereitungsphase einen erheblichen Nachteil bedeuten. Die Frage, die sich dadurch stellt:Wie gut sind deutsche Finanzunternehmen vorbereitet, und können sie die Anforderungen bis zum Ende der Umsetzungsfrist noch erfüllen?
Das Informationsregister dient zur Übersicht über alle IKT-Dienstleistungen, die ein Finanzunternehmen von Drittanbietern bezieht. Es besteht aus fünfzehn unterschiedlichen Tabellen, die inhaltlich an zahlreichen Stellen ineinandergreifen.”
Bestandteile sind u. a. umfangreiche Angaben zu den Lieferanten und IT-Services, sämtliche Auslagerungsverträge sowie verschiedenste Nachweise und Prüfungen wie Due Diligence, Risikobewertungen und Exit-Strategien. Bis dato setzen die meisten Unternehmen bei der Berichterstellung auf herkömmliche Tabellenkalkulationsprogramme, die eine manuelle Befüllung der Datenfelder erfordern. Ändert sich ein bestimmtes Detail, müssen die Verantwortlichen diese an jeder Stelle einzeln ausbessern. Das Resultat: Ein enorm hoher Bearbeitungsaufwand sowie Übertragungsfehler und Inkonsistenzen. Der „Dry Run“ der Europäischen Aufsichtsbehörden (European Supervisory Authorities – ESA) hat diese Realität im Praxistest gezeigt.
Nur wenige deutsche Firmen bei EU-Probelauf
Bei dem Testlauf hatten Finanzunternehmen die Gelegenheit, eine erste Version des Informationsregisters zu erstellen und an die Behörden zu übermitteln. Eine wertvolle Chance, sich den aktuellen Status der eigenen Prozesse und die damit einhergehenden Aufgaben zu vergegenwärtigen. Die Teilnehmerinnen und Teilnehmer haben dadurch ein Gefühl bekommen, an welcher Stelle sie noch Daten erheben müssen und wie aufwändig es ist, auf manuellem Weg konsistent und vollständig zu berichten. Zusätzlich hat der Testlauf relevante Detailfragen an die Oberfläche gebracht, die es nun intern sowie mit den Behörden zu klären gilt.
Auch wenn EU-weit die Mitwirkung am Dry Run auf freiwilliger Basis erfolgte, nahmen in Österreich laut Aussagen der Finanzmarktaufsicht (FMA) mehrere Hundert Entitäten an der Übung teil. In Deutschland hingegen lag die Zahl insgesamt lediglich bei 44 Finanzunternehmen, wie die BaFin mitteilte. So blieb für die Mehrheit der deutschen Finanzbranche ein wichtiger Erkenntnisgewinn vor dem eigentlichen Stichtag aus.
Automatisierung der Geschäftsprozesse
Sind alle relevanten Informationen von Beginn an digital erfasst, ermöglicht dies die Automatisierung des gesamten Outsourcing-Prozesses eines Lieferanten sowie aller nachfolgenden Aktivitäten. So lässt sich mit einer smarten, auf DORA spezialisierten Software beispielsweise das geforderte Informationsregister auf Knopfdruck generieren. Dafür gelangen die Daten automatisch aus den digitalen Akten in den fertigen Bericht.
Grundlage dafür sind zum Großteil Informationen aus den bestehenden Verträgen mit den IKT-Dienstleistern.”
Etwa sämtliche relevanten Angaben zum Lieferanten, zur festgelegten Leistung, zu involvierten Subunternehmen u. v. m. Außerdem berechnet das System selbstständig Inhalte aus bereits bekannten Daten. Das Ergebnis ist ein stets synchronisiertes, digitales Informationsregister, das sich im vorgegebenen Datenformat exportieren und einfach mit den Behörden teilen lässt. Dies spart wertvolle Ressourcen, erhöht die Transparenz, minimiert Risiken und sorgt für eine jederzeitige Auskunftsfähigkeit.
Nutzung von künstlicher Intelligenz
Neben der Herausforderung des umfangreichen Berichtswesens sieht DORA überdies unterschiedliche Mindestvertragsinhalte mit IKT-Drittdienstleistern vor. Die Vereinbarungen müssen u. a. Sicherheitsanforderungen, Incident Reportings, die Verarbeitung und Speicherung von Daten, Notfall- und Wiederherstellungspläne sowie Übergangsregelungen abdecken. Finanzunternehmen sind daher angehalten, alle Auslagerungsverträge auf DORA-Compliance zu prüfen und gegebenenfalls anzupassen. Künstliche Intelligenz kann dabei unterstützen, indem sie selbstständig Abweichungen hinsichtlich der DORA-Regulatorik identifiziert und die Ergebnisse je Vertragsakte übersichtlich aufbereitet. Für jene Verträge, die Handlungsbedarf aufweisen, erzeugt das System anschließend basierend auf der Klauselbibliothek die richtigen Ergänzungsvereinbarungen automatisiert und startet optional die Genehmigungs- und Zeichnungsprozesse samt direkter Einbindung der externen Partner.
Fazit
Mit dem richtigen Tool bleibt noch genügend Zeit, vollständig bis zur Deadline zu berichten. Wichtig für eine schnelle Umsetzung sind verschiedene standardisierte Möglichkeiten zur raschen Datenmigration. Sind die Informationen einmal im System, lassen sich Register und Berichte sofort erzeugen.
Dadurch senken Finanzunternehmen nicht nur ihren Ressourcenaufwand, sondern minimieren auch das Risiko für manuelle Fehler sowie für die Nicht-Einhaltung der Compliance-Vorgaben.”
Robin Schmeisser, Fabasoft Contracts
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/219198
Schreiben Sie einen Kommentar