Tidning comp 1-2025 009 (1) - Flipbook - Page 5
TONE BERGFELT
H
ur ska compliancefunktioner
hantera regelverkskraven i
DORA för att säkerställa en
långsiktig efterlevnad?
För att säkerställa långsiktig efterlevnad av
DORA, bör compliancefunktioner under
2025 fokusera på att stötta verksamheten avseende integreringen av regelverket i de operativa processerna. Många bolag har arbetat
med fokuserade implementeringsprojekt
och tagit fram nya och/eller ändrade processer och rutiner som nu ska börja efterlevas
i praktiken. Med förändrade arbetssätt uppstår nya utmaningar där anpassningar kommer behöva göras löpande under året och det
är viktigt att efterlevnaden inte enbart handlar om dokumentation och rapportering.
Ett område där vi särskilt ser att compliancefunktioner har en viktig roll är i hanteringen av de informations- och kommunikationsteknologiska tjänster, IKT-tjänster,
som tillhandahålls av en tredjepartsleverantör. Tredjepartsrisker och hanteringen
av uppdragsavtal är en compliancerisk som
många compliancefunktioner fokuserar på
generellt men som här får ett ökat fokus.
DORA omfattar bl.a. bestämmelser om
hantering av risker i samband med att bolag
använder IKT-tjänster som tillhandahålls av
en tredjepartsleverantör inbegripet krav vid
ingåendet av sådana avtal, inklusive avtalsbestämmelser, samt uppföljning av sådana
avtalsförhållanden. Utöver det ställs det även
krav på att de bolag som har att efterleva
DORA ska ha en policy som reglerar den
hanteringen. Dessa krav är sedan innan välbekanta för många bolag utifrån andra regler
avseende utläggning av verksamhet och uppdragsavtal. Vi tror här att compliancefunk-
tionen kan bidra med råd och stöd avseende
hantering av tredjepartsrisk enligt DORA
och då dra nytta av erfarenheter från arbetet
avseende utläggning av verksamhet från andra regelverk. Möjligen finns det även vissa
synergieffekter i arbetet genom att implementera kraven från DORA i de processer
och rutiner som etablerats sedan tidigare.
Sammanfattningsvis ser vi att compliancefunktionen har en viktig roll i att, genom
råd och stöd, hitta rätt väg framåt där regelefterlevnaden och det övergripande syftet
att stärka den digitala operativa motståndskraften säkerställs, samtidigt som arbetet
är effektivt och inte onödigt betungande.
Compliancefunktionen behöver arbeta nära
verksamheten för att stötta i implementeringen av DORA i det dagliga arbetet och
säkerställa att de åtgärder som vidtas är funktionella, realistiska och anpassade efter organisationens faktiska riskexponering. Genom
att arbeta nära verksamheten, identifiera risker och skapa en struktur för kontinuerlig
anpassning kan en stabil grund läggas innan
mer omfattande kontroller införs. Att våga
arbeta riskbaserat är en förutsättning för att
kunna säkerställa god regelefterlevnad men
framför allt för att hantera digitala risker och
eventuella avbrott i verksamheten relaterat
till avbrott i IKT-tjänster.
Advisenses tips till
compliancefunktioner är
såledesföljande
• Fokusera på en övergripande
förståelse av DORA
(för verksamheten och
compliancefunktionen).
• Hur har implementeringen fortskridit? Finns kvarstående delar som
behöver hanteras? Vad är riskerna
kopplat till regelefterlevnad?
• Hitta en lagom ambitionsnivå och
förstå var bolaget står idag samt planen framåt, arbeta riskbaserat och
fokusera på de delar där compliancerisken är som störst.
• Gå inte ”i fällan” och granska processer och rutiner utifrån de detaljerade kraven i DORA. Detta kräver
sannolikt ett nära samarbete mellan
compliancefunktionen och verksamheten.
Avslutningsvis kan det konstateras att det är
viktigt att säkerställa att DORA integreras i
organisationens verksamhet och inte blir en
isolerad efterlevnadsfråga, och för att lyckas med detta krävs ett nära och strukturerat
samarbete mellan kontrollfunktionerna och
verksamheten. Genom att koppla efterlevnad till affärsnytta och säkerställa att varje
krav i DORA bidrar till en starkare operativ
resiliens, blir regelverket ett verktyg för långsiktig stabilitet snarare än en administrativ
börda.
Compliance Nytt
5