Rozporządzenie DORA a Dział Compliance

09.02.2024

Spis treści

W sektorze finansowym obowiązuje szereg regulacji, norm i standardów. Z tego powodu osoby odpowiedzialne za obszar compliance mają duże znaczenie dla firm na tym rynku. Podobnie jest w przypadku rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego DORA.

Miejsce Działu Compliance w organizacji

Osoby odpowiedzialne za compliance mają kilka zadań w każdej organizacji. Pierwszym z nich jest minimalizacja ryzyka niezgodności z przepisami prawa i regulacjami wewnętrznymi oraz ograniczanie ewentualnych strat spowodowanych karami. Drugim z nich jest ochrona dobrej marki i reputacji firmy poprzez zarządzanie zgodnością z normami prawnymi, ale również etycznymi, społecznymi, branżowymi, czy ekologicznymi.

Wspomniane zadania mogą być osiągane na różne sposoby. Dział compliance opracowuje różnorodne strategie, procedury i inne dokumenty. Mają one na celu zbliżenie firmy do pełnej zgodności z obowiązującymi regulacjami i normami. Ta jednostka może także uczestniczyć w tworzeniu dokumentacji dla zespołów operacyjnych, wnosząc swoją unikalną perspektywę, a także przeprowadzać audyty dokumentów. Zespół ds. zgodności przeprowadza szkolenia pracowników zwracając uwagę na dotyczące ich istotne reguły. Osoby odpowiedzialne za zagadnienia compliance informują zarząd oraz organy publiczne o wykrytych nieprawidłowościach.

Trzy linie obrony

Podział obowiązków jest zgodny z modelem trzech linii obrony (Three Lines of Defense – 3LoD) przedstawionym w artykule 6 ust. 4. Model ten umożliwia organizacyjne rozdzielenie odpowiedzialności i zarządzania ryzykiem.

Pierwszą linię obejmują osoby odpowiedzialne za obsługę środowiska ICT i uproszczenie zarządzania ryzykiem dla kolejnych linii przy uwzględnieniu czynników ryzyka. Drugą linią są funkcje zarządzania ryzykiem i zgodności. W większości organizacji dział compliance wpisuje się w to miejsce. Trzecia linia obrony skupia się na niezależnych audytorach, których zadaniem jest zapewnienie, że działania dwóch poprzednich zespołów są wystarczające. Kluczowym aspektem w modelu trzech linii obrony jest utrzymanie niezależności i separacji pomiędzy poszczególnymi liniami.

Za co odpowiadają poszczególne zespoły?

Zastanawiasz się, jakie zadania DORA nakłada na inne zespoły takie jak Zarząd, Cyber Security czy IT? Przygotowaliśmy artykuły opisujące te zagadnienia:

Pamiętaj, że jest to propozycja podziału zadań pomiędzy zespołami zważywszy na ich kompetencje. Wdrożenie DORA w Twojej firmie musi odpowiadać strukturze Twojej organizacji.

Jeżeli interesuje Cię podział zadań związanych z wdrożeniem wymagań rozporządzenia DORA w kontekście realizacji ich w czasie i w odpowiedniej kolejności, to pobierz przygotowany harmonogram. Ten praktyczny materiał wdrożeniowy pomoże w rozplanowaniu pracy.

harmonogram zarzadzania ryzykiem zgodnie z dora

Za co odpowiada Dział Compliance?

Compliance nie jest bezpośrednio wskazany w DORA. Zadania tego zespołu nie są możliwe do precyzyjnego określenia wyłącznie bazując na tym rozporządzeniu. Całkowita odpowiedzialność za wdrożenie i zachowanie zgodności z DORA zgodnie z artykułem 5 ust. 2 ponosi zarząd. W praktyce zarząd deleguje część obowiązków pomiędzy poszczególne działy w wewnątrz organizacji, w tym do zespołu ds. zgodności.

Ramy zarządzania ryzykiem ICT

Jednym z zadań, które może należeć do działu compliance jest identyfikacja, klasyfikacja i zarządzanie ryzykiem ICT w kooperacji z zespołami IT i cyber security. Compliance nie przygotuje odpowiednio skonfigurowanego środowiska ICT, ani nie przeprowadzi testów penetracyjnych. Zespół ten może natomiast pracować przy stworzeniu optymalnej dokumentacji, która będzie zawierała punkty wymagane przez DORA.

Zespół może również pracować przy procesie identyfikacji ryzyka oraz jego stałego monitorowania oraz może kontrolować identyfikację kluczowych lub istotnych funkcji. Zgodnie z artykułem 8 ust. 1: podmioty finansowe identyfikują, klasyfikują i odpowiednio dokumentują wszystkie wspierane przez ICT funkcje biznesowe, zadania i obowiązki, zasoby informacyjne i zasoby ICT wspierające te funkcje oraz ich zadania i zależności w odniesieniu do ryzyka związanego z ICT. Z drugiej strony ust. 2 tego artykułu mówi że: podmioty finansowe na bieżąco identyfikują wszystkie źródła ryzyka związanego z ICT, w szczególności ekspozycję na ryzyko w odniesieniu do innych podmiotów finansowych i pochodzące od tych podmiotów, oraz oceniają cyberzagrożenia i podatności w obszarze ICT istotne dla ich funkcji biznesowych wspieranych przez ICT, zasobów informacyjnych i zasobów.

W powyższych dwóch ustępach DORA opisano znaczną odpowiedzialność, którą osoby posiadające kompetencje z zakresu zgodności mogą podjąć, współpracując z zespołem IT i cyber security.

Zewnętrzni dostawcy

Kolejnym zadaniem, które może przypaść zespołowi compliance, jest piecza nad zagadnieniem zewnętrznych dostawców. Zgodnie z DORA każdy podmiot finansowy musi wskazywać i dokumentować swoje procesy, które są zależne od zewnętrznych dostawców usług ICT. Organizacja musi poddać zewnętrznych dostawców usług ICT procesowi nadzoru. Powinien powstać rejestr informacji, w ramach którego identyfikowani są kluczowi dostawcy ICT oraz opisane są wszystkie zapisy umowne z nimi, w tym dotyczące funkcji kluczowych lub istotnych.

Dokumentacja organizacji

Dział compliance może być odpowiedzialny za weryfikowanie pracy innych zespołów pod względem zgodności z DORA. Rozporządzenie nakłada wiele obowiązków na podmioty finansowe. Muszą przygotować szereg dokumentów jak plan ciągłości działania, czy plan zarządzania incydentami. Dział compliance może sprawdzić zgodność aktualnej dokumentacji z DORA oraz wskazać, które dokumenty trzeba poprawić czy rozwinąć.

Audyty programów szkoleniowych

DORA wymaga od organizacji posiadania zdolności i odpowiedniego personelu do zarządzania ICT. Personel ten musi być wystarczający do gromadzenia i analizy informacji dotyczących cyberzagrożeń oraz zapewnienia operacyjnej odporności cyfrowej. Aby to zagwarantować, konieczne są jakościowe szkolenia obejmujące obowiązkowe moduły dla pracowników. Moduły te muszą zawierać zagadnienia zwiększania świadomości w zakresie bezpieczeństwa ICT oraz informacje dotyczące operacyjnej odporności cyfrowej. W konkretnych przypadkach podmiot finansowy obejmuje w swoim programie szkoleniowym materiały związane z usługami ICT dostawców zewnętrznych. DORA nakazuje odbyć szkolenie wszystkim pracownikom oraz kadrze kierowniczej, przy uwzględnieniu ich funkcji w organizacji i potencjalnego wpływu na środowisko ICT.

Dział compliance nie posiada kompetencji do samodzielnego opracowania programu szkoleniowego. Może natomiast zweryfikować we współpracy z określonymi przedstawicielami zespołu IT, czy szkolenia zostały przygotowane właściwie i czy przyczyniają się one do rozwoju wiedzy przez kadrę organizacji.

Komunikacja

Ważnym zadaniem działu compliance jest kontrola komunikacji wychodzącej z firmy. W tym przypadku DORA dzieli tę kwestię na dwa zagadnienia: komunikację z interesariuszami w przypadku dotyczących ich incydentów oraz komunikację z właściwymi organami.

W przypadku tego pierwszego, zespół ds. zgodności wspiera wyznaczoną przez zarząd osobę w zagadnieniu komunikacji kryzysowej. Kiedy mowa o komunikacji z właściwymi organami, compliance może być odpowiedzialne za przygotowanie raportów oraz innej komunikacji z właściwymi organami. Regulują to decyzje wewnątrz organizacji w zakresie podziału kompetencji. W innym przypadku, może pełnić rolę wsparcia dla innych zespołów w procesie przygotowywania wymienionych dokumentów.

DORA a dotychczasowe regulacje

DORA została wprowadzona w celu zabezpieczenia sieci i systemów informatycznych przedstawicieli europejskiego sektora finansowego. Obejmuje również dostawców zewnętrznych oferujących usługi z zakresu technologii informacyjno-komunikacyjnych, takie jak platformy chmurowe czy usługi analizy danych. Dział compliance pełni kluczową rolę, choć nie jest w stanie samodzielnie zapewnić zgodności z rozporządzeniem. Jego zadania, w zależności od struktury organizacyjnej, mogą obejmować sprawdzanie, czy prace innych zespołów przyczyniają się do zgodności z wymaganiami tego rozporządzenia.

Dotychczas zagadnienie ryzyka operacyjnego w sektorze finansowym było regulowane przez m.in ostrożnościowe wymogi kapitałowe, zasady umów outsourcingowych oraz wytyczne dotyczące zarządzania ryzykiem ICT i bezpieczeństwa. Dodatkowo specyficzne zagrożenia z obszaru cyberbezpieczeństwa i bezpieczeństwa informacji były opisane w ramach systemów testów penetracyjnych, takich jak TIBER-EU oraz w dobrowolnych standardach jak ISO 27001. Dzisiaj DORA pozwala na połączenie tych wszystkich perspektyw i ułatwia przez to zadanie zapewnienia zgodności regulacyjnej.

Podobne wpisy z kategorii

17.05.2024
- Kontrola ryzyka
Czy pracuję w firmie podlegającej pod rozporządzenie DORA? Przykłady różnych organizacji.

Pracownicy firm podlegających pod rozporządzenie DORA będą dostosowywawali się do nowych przepisów. Sprawdź czy to Cię dotyczy na przykładach.

Przeczytaj
10.05.2024
- Kontrola ryzyka
Odpowiedzialność osobista za zgodność z DORA

DORA wprowadza odpowiedzialność osobową kierownictwa i zarządu jako odpowiedzialność administracyjną z natychmiastową wykonalnością kary.

Przeczytaj
07.05.2024
- Dokumentacja
- Kontrola ryzyka
Co zawiera rejestr procesów zgodny z DORA?

Rejestr procesów, jest wymieniony w artykule 8 DORA, gdzie podmioty finansowe są zobowiązane je identyfikować, klasyfikować i dokumentować.

Przeczytaj