DORA-Berichtspflichten effizient erfüllen durch einheitliche Daten-Digitalisierung

Klar: Finanzunternehmen unterliegen umfangreichen regulatorischen Anforderungen. Eine besonders tückische: Das Berichts- sowie Vertragswesen hinsichtlich ausgelagerter IT-Leistungen – DORA lässt grüßen. Manuelle Abläufe zur Erfüllung jener Pflichten sind häufig ressourcenintensiv und fehleranfällig. Um mit den schnell wachsenden und wechselnden gesetzlichen Vorgaben sowie der steigenden Vielschichtigkeit des Vertragswesens Schritt zu halten, ist es unerlässlich, Daten einheitlich zu digitalisieren.

von Robin Schmeisser, Geschäftsführer der Fabasoft Contracts

Finanzunternehmen wie Kreditinstitute, Zahlungsdienstleister und E-Geldinstitute sind seit einigen Jahren von umfangreichen Dokumentations- und Berichtspflichten betroffen. Unter anderem durch die Outsourcing-Leitlinien der European Banking Authority (EBA). Diese fordern ein zentrales Auslagerungsregister, das Informationen über alle ausgelagerten IT-Services enthalten muss. Jenes Register ist stets zu warten und auf Aufforderung der entsprechenden Behörde bereitzustellen. Mit dem Digital Operational Resilience Act (DORA), der ab 17. Januar 2025 EU-weit umgesetzt sein muss, verschärfen sich die bestehenden Vorgaben noch weiter:

Alle Finanzunternehmen sind nun verpflichtet, ein Informationsregister aufzusetzen, das sämtliche bezogenen IT-Dienstleistungen enthält.”

Das betrifft auch jene Services, die laut bisheriger Definition des Gesetzgebers als „Fremdbezug“ nicht in das Reporting fielen, wie beispielsweise der reine Bezug einer Software. DORA stuft hingegen alle IT-Leistungen als „Auslagerung“ ein, die im Register aufzuführen sind. Zudem fordert DORA weitreichendere Details zu den Lieferketten der beauftragten Dienstleister.

Mehrfachen Arbeitsaufwand vermeiden

Die Informations- und Auslagerungsregister überschneiden sich inhaltlich stark, da beide teilweise sehr ähnliche oder gar dieselben Informationen enthalten. Beispielsweise die vollständige Auflistung der Auslagerungsverträge, Vertragsmetadaten wie Laufzeit und Kündigungsfristen, Lieferanteninformationen und Konzernstrukturen, Wesentlichkeits- und Kritikalitätsbewertungen sowie Angaben zur Auslagerung (z. B. Funktion und Art/Zuordnung).

Trotzdem fällt die Verantwortung für die zwei Register in der Praxis häufig in vollkommen unterschiedliche Zuständigkeitsbereiche innerhalb der Unternehmen.”

Dies bedeutet doppelten Arbeitsaufwand und kann bei fehlender Abstimmung zu Redundanzen und Übertragungsfehlern führen. Da die Aufsicht in beiden Fällen derselben Behörde obliegt (in Deutschland der BaFin, in Österreich der FMA), könnte es dadurch passieren, dass Firmen unterschiedliche Informationen zu derselben Auslagerung berichten.

Berichtspflichten: Mit digitalen Prozessen Synergien schaffen

Zur effizienten Umsetzung der regulatorischen Vorgaben muss daher eine Abstimmung zwischen Auslagerungs- und Informationsregister stattfinden – mithilfe eines einheitlichen Digitalisierungskonzepts des gesamten Auslagerungszyklus. Angefangen bei der Erstklassifizierung einer möglichen Auslagerung und dem Einholen aller erforderlichen Unterlagen und Prüfungen über die Vertragsverhandlungen mit dem Lieferanten bis zum damit verbundenen Berichtswesen.

Eine auf DORA spezialisierte Software für Berichtspflichten nutzt dafür ein smartes Datenmodell, das jene Abläufe automatisiert. Die digitalen Prozesse orientieren sich an dem Aufbau und Ablauf innerhalb des Finanzunternehmens und integrieren sämtliche Stakeholder, die über die benötigten Informationen verfügen. Alle Beteiligten aus den unterschiedlichen Abteilungen greifen damit auf eine einheitliche Datenbasis zu und können die erforderlichen Prüfberichte wie das Auslagerungs- oder das Informationsregister einfach generieren. Dies minimiert den Ressourceneinsatz und ermöglicht den Unternehmen eine jederzeitige Auskunftsfähigkeit, auch bei Ad-hoc-Anfragen der Behörde.Robin Schmeisser, Farbasoft