Tidning comp 1-2025 009 (1) - Flipbook - Page 29
KOMPASS ADVOKAT
Författare: Johannes Spansk och Johanna Borg, Kompass Advokat.
linje mellan operativa risker och regelefterlevnadsrisker.
Många företag har redan gjort liknande avvägningar i samband med sitt arbete med till
exempel GDPR och Eiopas IKT-riktlinjer.
Om dessa avvägningar har lett till ett väl
fungerande resultat kan företaget ta med sig
det i arbetet även med DORA.
I arbetet med granskningar och kontrollaktiviteter med anledning av DORA kan det
vara klokt att överväga ett samarbete mellan
compliance och övriga kontrollfunktioner i
företaget (s k combined assurances). Ta i sådant fall hjälp av övriga kontrollfunktioner
och diskutera vilken funktion som tittar på
vad, för att få med hela regelverket och för
att undvika överlappningar i funktionernas
granskningar. På så sätt blir även gränsdragningen mellan kontrollfunktionernas arbete
tydlig. För compliancefunktionen kan det
innebära att tillsammans med internrevisionsfunktionen, som har ett utpekat ansvar
enligt DORA, göra upp en plan för kommande DORA-granskningar eller andra
aktiviteter. Eftersom DORA-regelverket är
nytt kan det hos verksamheten finnas ett
behov av, och vara välkommet att, kontrollfunktionerna gör kontroller och granskningar av hur regelverket har implementerats och
efterlevs. Trots det är det även viktigt att ta
hänsyn till eventuellt kvarvarande och pågående implementeringsarbete vid de granskningar som görs. Det är inte alltid som mest
effektivt för compliancefunktionen att genomföra en granskning under en pågående
implementeringsprocess. Det kan i vissa fall
leda till att verksamheten behöver lägga fokus på granskningen i stället för att arbeta vi-
dare med implementeringen och att compliance inte får ut några resultat som kan leda
till förbättringar. Ibland kan det därför vara
en bra lösning att sprida ut granskningsaktiviteterna över en längre period på ett till två
år, om vissa delar av implementeringen eller
organisationen inte är mogna för kontroller.
Compliancefunktionen har även en viktig
roll i att ge råd och stöd till verksamheten
samt till VD och styrelse. Denna del av
compliancefunktionens uppdrag får extra
betydelse i arbetet med DORA, då det finns
uttryckliga krav på att bland andra styrelsen
ska ha tillräcklig kunskap om regelverket och
då det följer ett särskilt ansvar för styrelsen
vid överträdelser av förordningen. Informationsinsatser och utbildning inom det här
området kan därför behöva prioriteras av
compliancefunktionen under de närmsta
åren.
Det är också viktigt att compliancefunktionen redan nu arbetar för att få tillräckligt
med resurser från ledningen, det vill säga
både från VD och från styrelsen. DORA har
nu börjat att tillämpas och flera delar av reglerna kommer att ha en märkbar effekt på
verksamheten redan i år. Här kan compliancefunktionen redan nu se över om det till
exempel planeras för DORA-granskningar
framöver som kommer att ta mycket tid i
anspråk, för att utvärdera behovet av resurser
eller omprioriteringar.
att det faktiskt finns säkerhetsbrister
i verksamheten och ut mot företagets
kunder, som kunde ha undvikits om
regelverket hade efterlevts. Vi får inte
glömma att DORA i första hand syftar till
att i så stor utsträckning som möjligt höja
cybersäkerheten och motverka att risker
kopplade till IKT förverkligas. Om det
uppstår stora störningar eller andra problem
kopplade till IKT kan det naturligtvis,
utöver praktiska problem, i sin tur leda till
ett förlorat förtroende avseende företagens
digitala miljö och en risk för kundflykt.
DORA-compliance handlar därför inte bara
om att uppfylla de krav som förordningen
ställer och att checka av boxar, utan även
om att se till att skydda verksamheten och
kunderna från reella cyberhot och IKTrisker. Det viktiga är därför att arbeta för
att säkerställa att verksamheten har en god
IKT-riskhantering i samtliga led.
Compliancefunktionen spelar alltså en viktig roll i egenskap av kontrollfunktion, men
också som rådgivande funktion. Det viktiga
är att fundera över hur företagets verksamhet
ser ut, att kartlägga företagets IKT-risker och
att göra en bedömning av hur man vill använda sig av compliancefunktionen i arbetet
med DORA. Involvera compliancefunktionen tydligt i DORA arbetet för att optimera
möjligheterna och affärsnyttan med funktionen.
Varför är DORA-compliance viktigt?
Att inte följa DORA kan bli kostsamt för
företaget på flera sätt. Det kan dels leda till
sanktionsavgifter både för företaget och för
enskilda styrelseledamöter, dels innebära
Compliance Nytt
29