Die Verordnung 2022/2554 über die digitale operationale Resilienz (Digital Operational Resilience Act, kurz DORA) bringt erhebliche Herausforderungen für Institute und Unternehmen des europäischen Finanzsektors. Zur Einhaltung der DORA-Verordnung müssen Unternehmen strenge Cybersicherheits- und Resilienzanforderungen erfüllen. Dieser Artikel zeigt, welche Prozesse in Einkauf und Beschaffung an die neuen Regelungen angepasst werden müssen.
Die DORA-Verordnung hat Auswirkungen auf fast alle Phasen der Beschaffung und betrifft ausserdem das Change-Management und die Prozessführung. Unternehmen müssen interne Regeln anpassen, um Cybersicherheits- und Resilienzanforderungen zu erfüllen.
In einem Webinar haben Thomas Meyer, KPMG, sowie Simone Smits und Arnaud Malardé, beide Ivalua, kürzlich wertvolle Strategien sowie eine Schritt-für-Schritt-Anleitung, um Beschaffungsprofis bei der Anpassung an sich ständig ändernde Regelungen zu unterstützen, diskutiert.
Welche Beschaffungsprozesse müssen Unternehmen auf DORA-Compliance überprüfen?
Sourcing und Konzentrationsrisiko
Die Entwicklung einer soliden Sourcing-Strategie und das zuverlässige Management des Konzentrationsrisikos sind für die DORA-Compliance unerlässlich. Verbesserte Due-Diligence-Prozesse stellen sicher, dass alle Risiken im Zusammenhang mit Lieferanten akkurat bewertet werden, insbesondere das Konzentrationsrisiko.
Finanzinstitute müssen gründliche Risikobewertungen durchführen und sich vergewissern, dass Lieferanten über robuste IT-Sicherheits- und Resilienzmaßnahmen verfügen. Eine klar definierte Sourcing-Strategie gewährleistet die sorgfältige Auswahl von Lieferanten, die strenge Cybersicherheitsstandards erfüllen.
Wenn Organisationen von nur wenigen Anbietern abhängig sind, steigt das Konzentrationsrisiko. Um dieses Risiko zu verringern, sollten Organisationen ihre Lieferanten diversifizieren. Dadurch können sie sicherstellen, dass ihre Dienstleistungen auch bei Unterbrechungen in der Lieferkette kontinuierlich erbracht werden können.
Vertragsmanagement
Vertragsmanagement oder Contract Lifecycle Management (CLM) spielt eine wichtige Rolle für die Einhaltung von DORA Regelungen. Dies bedeutet dass strenge Cybersecurity- und Resilienzstandards über den gesamten Vertragsprozess eingehalten werden müssen. Verträge mit Lieferanten müssen Klauseln enthalten, die die Einhaltung der DORA-Anforderungen vorschreiben. Nur so können Finanzinstitute sicherstellen, dass Lieferanten hohe Sicherheitsstandards erfüllen und die digitale Resilienz im gesamten Finanzsektor stärken.
Lieferantenmanagement
Lieferantenmanagement beinhaltet genaue Prüfungen, Risikobewertungen, Überwachung und Audits, um sicherzustellen, dass Anbieter und Lieferanten DORA-Anforderungen erfüllen. Finanzinstitute müssen bei der Auswahl ihrer Lieferanten Kriterien für Cybersicherheit und digitale Widerstandsfähigkeit berücksichtigen. Dabei sollten potenzielle Lieferanten anhand ihrer Fähigkeit, die DORA-Anforderungen zu erfüllen, bewertet werden. Transparente Kommunikation und klare vertragliche Verpflichtungen sind unerlässlich.
Procure-to-Pay – Compliance vom Einkauf bis zur Zahlungsabwicklung
Der Procure-to-Pay– oder P2P-Prozess umfasst die Schritte vom Einkauf von Waren und Dienstleistungen bis hin zu deren Bezahlung. DORA-Compliance erfordert stärkere Kontrollen und Überwachungsmechanismen und hat dadurch immense Auswirkungen auf den P2P-Prozess:
- Bestellaufträge und Genehmigungen: Finanzinstitute müssen sichere und regelkonforme Workflows zur Erstellung und Genehmigung von Bestellaufträgen implementieren, um sicherzustellen, dass alle Einkäufe auf Cybersicherheitsrisiken geprüft werden.
- Rechnungsverarbeitung: Die Bearbeitung von Rechnungen muss sicher erfolgen, mit Systemen, die betrügerische Aktivitäten erkennen und verhindern. Firmen müssen die Authentizität von Rechnungen und deren Übereinstimmung mit den DORA-Standards überprüfen.
- Zahlungssicherheit: Zahlungsprozesse müssen durch Verwendung sicherer Zahlungsgateways und Verschlüsselungstechnologien abgesichert werden.
Risikomanagement und Berichterstattung
Das Risikomanagement und die Berichterstattung helfen Finanzinstituten, proaktiv Schwachstellen und Vorfälle zu identifizieren, zu bewerten und anzugehen. Ein detailliertes Vorfallmanagement ermöglicht es den Teams, Vorfälle schnell zu erkennen und zu beheben, um Unterbrechungen zu minimieren. Umfassende Reportingverfahren bieten Transparenz und klare Zuständigkeiten sowie umfassende Informationen für Aufsichtsbehörden und Stakeholder.
Fazit: So sichern Sie DORA-Compliance in Ihren Beschaffungsprozessen
Finanzinstitute müssen sicherstellen, dass der gesamte Beschaffungsprozess den strengen Anforderungen von DORA entspricht. Dazu sollten alle Phasen des Prozesses gründlich überprüft werden und Unternehmen müssen eine robuste Beschaffungsstrategie entwickeln. Finanzinstitute müssen Risiken managen und Verträge sicher verwalten. Außerdem sind umfassende Risikomanagement- und Berichterstattungsprozesse notwendig.
Die Ivalua-Plattform unterstützt dabei erheblich, indem sie als umfassendes digitales Repository fungiert, das in den regulatorischen technischen Standards (RTS) von DORA beschrieben ist. Ivalua ermöglicht Transparenz über die gesamte Lieferkette bis zum Tier-N-Niveau.
Wichtige Module wie das für Lieferantenbeziehungen, Sourcing und Vertragsmanagement sind essentiell, um Due-Diligence-Prüfungen, Risikomanagement und die Integration von DORA-spezifischen Klauseln effizient umzusetzen. Diese umfassende Unterstützung erleichtert die Einhaltung der DORA-Vorgaben und stärkt die digitale Resilienz im Beschaffungsprozess.
Unsere Plattform wurde entwickelt, um die DORA-Compliance zu erfüllen und bietet eine nahtlose und effiziente Möglichkeit, die notwendigen regulatorischen Anforderungen zu verwalten.
Lesen Sie den neuesten Ivalua Report zum Thema DORA: DORA – Anforderungen für Procurement- und Finanzexperten.