Im Kontext steigender Cyberbedrohungen gewinnt die strikte Einhaltung bzw. Umsetzung entsprechender Compliance-Vorschriften stetig an Bedeutung. Als Bereitsteller kritischer Infrastruktur gilt insbesondere für Finanzunternehmen, IT-Ausfälle und sicherheitsrelevante Vorfälle zu verhindern, um für die Aufrechterhaltung des Betriebs zu sorgen. Mit dem Digital Operational Resilience Act (DORA) erließ die EU ein Regelwerk zur Sicherstellung der digitalen Betriebsstabilität sowie zur Vermeidung systemischer Risiken im Finanzsektor.
Die neuen Vorgaben harmonisieren und verschärfen die bestehenden regulatorischen Anforderungen an das IKT-Management und greifen in den IT-Betrieb bzw. in die Auslagerungen an Dritte ein. Gleichzeitig nehmen die Nachweis- und Berichtspflichten zu, die einen erheblichen Mehraufwand bedeuten. Mit der näher rückenden Umsetzungsfrist bis 17. Januar 2025 gilt es für die mehr als 22.000 betroffenen Finanzunternehmen und IKT-Dienstleister, rechtzeitig die erforderlichen Maßnahmen zu ergreifen.
Eine Schlüsselrolle nimmt dabei die Digitalisierung ein. An welcher Stelle diese ansetzen muss, um alle bestehenden Geschäftsprozesse miteinzubinden, erläutert Robin Schmeisser, Geschäftsführer der Fabasoft Contracts GmbH, einem der ersten Anbieter einer Vertragsmanagement-Software, welche eine eigene Lösung für DORA beinhaltet.
An der Quelle der Informationen beginnen
Am Anfang einer jeden geschäftlichen Zusammenarbeit steht ein Vertrag, so auch bei der Beauftragung eines IKT-Dienstleisters. Jene Vereinbarungen enthalten sämtliche relevanten Informationen zum Lieferanten, zur festgelegten Leistung, zu involvierten Subunternehmen u. v. m. und stellen somit die Basis für alle nachfolgenden Aktivitäten dar. Sind diese Daten allerdings nicht von Beginn des Geschäftsprozesses digital erfasst, müssen die Akteur:innen viele Tätigkeiten mehrfach ausführen. Zum Beispiel das händische Aufsetzen und Warten von Listen, Kalendereinträgen und Auswertungen.
Für eine ganzheitliche Digitalisierung ist es daher essenziell, dass Finanzunternehmen den Fokus auf die effiziente Verwaltung von Lieferanten und Verträgen legen. Dies umfasst Prozesse, die beim Hinzukommen neuer Dienstleister entstehen, wie die Due Diligence und die Einholung benötigter Dokumente. Die Implementierung geeigneter digitaler Lösungen kann nicht nur zu einer Steigerung der Arbeitsabläufe führen, sondern auch den Verantwortlichen die Gewissheit geben, sämtlichen erforderlichen Sorgfaltspflichten nachzukommen.
Prozesse digital und nachvollziehbar steuern
Ein digitales Vertragsmanagement muss sämtliche Schritte vom anfänglichen Sourcing eines Lieferanten, über den Abschluss der Verträge, bis hin zum laufenden Controlling und Reporting der Vereinbarungen umfassen. Spezialisierte und smarte Tools bilden alle Ebenen des Auslagerungsprozesses digital und revisionssicher ab.
Bei Anlage eines neuen IKT-Dienstleisters im System ist es notwendig, dass die Software selbstständig die Einholung der notwendigen Unterlagen steuert: Darunter Risikobewertungen, Wesentlichkeitsbeurteilungen, Auslagerungsgenehmigungen, Zertifikate sowie Leistungsbeschreibungen. Mithilfe von festgelegten Fristen starten dann Erinnerungen und gegebenenfalls Eskalationsworkflows, die rechtzeitig an bevorstehende Tätigkeiten wie wiederkehrende Überprüfungen, Erneuerung von Nachweisen zu erinnern.
Neben dem Sourcing müssen die Workflows auch bei der gesetzeskonformen Vertragserstellung unterstützen. Die DORA-spezifischen Informationen wie die Bewertung der Auslagerung, die Beschreibung des Auslagerungsgegenstands oder die Dokumentation der Assets gelangen dann aus der Akte direkt in den Vertrag. Die Anwendung und Verwaltung der Standardvertragsklauseln erfolgt mithilfe der Klauselbibliothek selbstgesteuert. Um die Zusammenarbeit nahtlos zu gestalten, werden Lieferanten aktiv in die Workflows integriert. Externe Partner erhalten Zugang zu den erforderlichen Vertragsakten und können selbst Dokumente teilen, bearbeiten oder signieren.
Berichtspflichten automatisiert erfüllen
All diese Prozessschritte (darunter auch Freigaben) sind dank elektronischer Workflow-Unterschriften direkt innerhalb des Systems des digitalen Vertragsmanagements nachvollziehbar und revisionssicher einsehbar. So stellen die Verantwortlichen die nachweisliche Durchführung sämtlicher Aktivitäten sicher und können dies speziell in Auditsituationen jederzeit belegen.
Die automatisierte Berichterstellung unterstützt das wiederkehrende oder anlassbezogene Reporting, indem Informationen von Beginn an kategorisiert in der digitalen Akte hinterlegt sind. Dies ermöglicht die schnelle Generierung benötigter Auswertungen. In einem Auslagerungsregister mit unterschiedlichen Filter- und Sortiermöglichkeiten bleiben alle kritischen IKT-Dienstleistungen jederzeit im Blick. Somit gelingt auch die schnelle Beantwortung von Ad-hoc-Anfragen.
Fazit:
Die Umsetzung von DORA verlangt eine ganzheitliche Betrachtung und Weiterentwicklung der bestehenden Geschäftsprozesse. Der Einsatz der passenden Werkzeuge optimiert nicht nur die Arbeitsabläufe, sondern unterstützt auch bei der nachweislichen Erfüllung der neuen gesetzlichen Vorgaben und Sorgfaltspflichten. Nicht zuletzt, weil der Geschäftsführung von Finanzunternehmen die Verantwortung für die Einhaltung der Vorschriften obliegt.
Über Fabasoft Contracts
Die Vertragsmanagement-Software ermöglicht die effiziente Erstellung, Digitalisierung und Verwaltung von Vertragsdokumenten über den gesamten Lebenszyklus. Neben der Integration einer fortgeschrittenen sowie qualifizierten elektronischen Signatur gemäß eIDAS-Verordnung stellen die intelligente, semantische Volltextsuche, individuelle Workflows und das automatisierte Fristenmanagement Kernfunktionen des cloudbasierten Standardprodukts dar.
Vertragsmanagement steht in direktem Zusammenhang mit Compliance-Themen. So bietet Fabasoft Contracts für die Umsetzung der EU-Verordnung DORA eine eigene Solution für Finanzunternehmen an.
Mehr unter www.fabasoft.com/dora
Bildquellen
- Robin Schmeisser Fabasoft Portrait: Fabasoft
- DORA-Verordnung: Getty Images