Ziel der EU-Verordnung DORA ist die Stärkung der digitalen Resilienz im Finanzsektor. Sie betrifft nahezu alle Marktakteure, darunter Banken, Versicherungen, Kredit- und Zahlungsinstitute sowie IKT-Dienstleister. Auch in der Schweiz sind die Auswirkungen der Verordnung spürbar: Betroffen können u.a. Schweizer Finanzunternehmen sein, die für ihre Konzerngesellschaften in der EU interne Leistungen erbringen oder Geschäftsbeziehungen mit anderen Finanzunternehmen oder Kunden in der EU pflegen.
Ein Kernstück der Verordnung ist die Erstellung des Informationsregisters. Die Europäischen Aufsichtsbehörden (ESAs) haben hierfür kürzlich einen Aufschub der Einreichfrist zum 30.04.2025 bekanntgegeben. Das dürften viele Finanzunternehmen begrüssen: Aus den bisherigen Vorbereitungen auf DORA wissen wir, dass der Aufwand für das IKT-Drittanbietermanagement enorm und oft unterschätzt ist.
Robin Schmeisser ist Geschäftsführer der Fabasoft Contracts GmbH. Er beschäftigt sich seit 2004 intensiv mit der Digitalisierung von Geschäftsanwendungen und -prozessen.
Informationsregister: Was ist das, und was macht es so herausfordernd?
Das Informationsregister dient zur Übersicht über alle IKT-Dienstleistungen, die ein Finanzunternehmen von Drittanbietern bezieht. Es besteht aus 15 unterschiedlichen Tabellen, die inhaltlich an zahlreichen Stellen ineinandergreifen. Bestandteile sind u.a. umfangreiche Angaben zu Lieferanten und IT-Services, sämtliche Auslagerungsverträge sowie verschiedenste Nachweise und Prüfungen wie Due Diligence, Risikobewertungen und Exit-Strategien. Bis dato setzen viele Firmen bei der Berichterstellung auf herkömmliche Tabellenkalkulationsprogramme, die eine manuelle Befüllung der Datenfelder erfordern. Ändert sich ein bestimmtes Detail, müssen die Verantwortlichen dieses an jeder Stelle einzeln ausbessern. Das Resultat: Massiver Bearbeitungsaufwand sowie Übertragungsfehler und Inkonsistenzen.
EU-Probelauf zeigt Aufwand im Praxistest
Der «Dry Run» der ESAs hat den hohen Bearbeitungsaufwand des Informationsregisters im Praxistest bereits gezeigt. Bei dem Testlauf hatten Finanzunternehmen die Gelegenheit, eine erste Version des Informationsregisters zu erstellen und an die Behörden zu übermitteln. Eine wertvolle Chance, sich den aktuellen Status der eigenen Prozesse und die damit einhergehenden Aufgaben zu vergegenwärtigen. Die Teilnehmenden haben dadurch ein Gefühl bekommen, an welcher Stelle sie noch Daten erheben müssen und wie aufwendig es ist, auf manuellem Weg konsistent und vollständig zu berichten. Zusätzlich hat der Testlauf relevante Detailfragen an die Oberfläche gebracht, die es nun intern sowie mit den Behörden zu klären gilt.
Automatisierung der Geschäftsprozesse
Sind alle relevanten Informationen von Beginn an digital erfasst, ermöglicht dies die Automatisierung des gesamten Outsourcing-Prozesses eines Lieferanten sowie aller nachfolgenden Aktivitäten. So lässt sich mit einer smarten, auf DORA spezialisierten Software bspw. das Informationsregister auf Knopfdruck generieren. Dafür gelangen die Daten automatisch aus den digitalen Akten in den fertigen Bericht. Grundlage dafür sind zum Grossteil Informationen aus den bestehenden Verträgen mit den IKT-Dienstleistern. Etwa sämtliche relevanten Angaben zum Lieferanten, zur festgelegten Leistung, zu involvierten Subunternehmen u.v.m. Ausserdem berechnet das System selbstständig Inhalte aus bereits bekannten Daten. Das Ergebnis ist ein stets synchronisiertes, digitales Informationsregister, das sich im vorgegebenen Datenformat exportieren und einfach mit den Behörden teilen lässt.
Fazit
Mit dem richtigen Tool bleibt noch genügend Zeit, vollständig bis zur Deadline zu berichten. Wichtig für eine schnelle Umsetzung sind verschiedene standardisierte Möglichkeiten zur raschen Datenmigration. Sind die Informationen einmal im System, lassen sich Register und Berichte sofort erzeugen. Dadurch senken Finanzunternehmen nicht nur ihren Ressourcenaufwand, sondern minimieren auch das Risiko für manuelle Fehler und Nicht-Einhaltung von Compliance-Vorgaben.
Schweizer Unternehmen sollten proaktiv ihre Prozesse evaluieren und ggf. anpassen. Auf diese Weise stellen sie sicher, dass sie ihre Position im europäischen Markt stärken und regulatorische Risiken minimieren können.