Nye compliance-opgaver på vej: Langt fra den måde, compliance-ansatte normalt arbejder
Den nye DORA-forordning er lige om hjørnet. Det betyder nye compliance-opgaver og rapportering i komplekse Excel-ark. Langt fra den måde, compliance-ansatte normalt arbejder, lyder det.

"Et voldsomt rapporteringsformat"
Det er ifølge Kristoffer Abell især opgaven med at dokumentere hele leverandørkæder for hver enkel kontrakt, som volder udfordringer.
Som finansiel virksomhed skal man for hver kritisk service, man får leveret, overvåge og dokumentere alle de leverandører og underleverandører, der gør sig gældende.
Det kan i visse tilfælde ende med mange hundrede rækker for blot en kontrakt, hvis den understøttes af en meget lang kæde af underleverandører i forskellige lag.
”Det er ikke noget, man kan håndtere manuelt. Mange bliver overraskede over, hvor meget data der kræves, og hvor voldsomt det rapporteringsformat, de skal bruge, egentlig er."
DORA er en dyr omgang
Udsigten til de nye DORA-krav fra januar har nemlig fået mange finansielle institutioner i EU i arbejdstøjet.
Ifølge en analyse fra McKinsey har DORA-programmer hos EU’s førende finansielle institutioner og it-serviceleverandører kostet mellem 5 til 15 millioner euro. Men de fulde implementeringsomkostninger estimeres til potentielt at være op til 10 gange højere.
En større finansiel institution afslører overfor McKinsey, at det vil løbe op i næsten 100 mio. euro at implementere DORA fuldt ud.
Blandt de 18 finansielle institutioner, som har medvirket i McKinseys undersøgelse, har 40 procent allokeret mere end syv fuldtidsansatte til DORA-programmer.
McKinseys undersøgelse viser også, at der fortsat er stor forskel på, hvordan de finansielle institutioner har tolket kravene fra DORA, mens ca. en tredjedel af dem er i tvivl om, hvorvidt de kan nå at leve op til de nye krav fra januar 2025.
Hvad er DORA?
DORA står for Digital Operational Resilience Act og er en EU-regulering, der harmoniserer reglerne for digital modstandsdygtighed i den finansielle sektor.
Det skal kort sagt sikre, at den europæiske finansielle sektor bliver mere digital modstandsdygtig.
Den trådte i kraft 16. januar 2023, men finder først anvendelse fra 17. januar 2025.
DORA fokuserer på styring af tredjepartrisici og it-sikkerhed, herunder krav om omfattende dokumentation af leverandørkæder og kritiske systemer.
Manglende overholdelse kan resultere i høje bøder, ligesom med GDPR, hvor der er risiko for sanktioner på op til 2 % af virksomhedens årlige omsætning.
Blandt de virksomheder, som bliver påvirket af DORA, er bl. a. banker, kreditinstitutioner, betalingsinstitutioner, pengeinstitutter, forsikringsselskaber, investeringsselskaber, værdipapircentraler og it-leverandører, som er systemiske på EU-niveau.
I chok over opgavens omfang
Kristoffer Abell bekræfter, at han også oplever, at flere finansielle virksomheder er blevet overrasket over omfanget af den nye compliance-opgave.
Det har været særlig udtalt efter en række DORA-øvelser, såkaldte dry-run-øvelser, som EU har tilbudt finansielle virksomheder.
"De blev kastet ud i at arbejde med de komplekse Excel-ark, der slet ikke matcher deres daglige arbejdsgange. For mange har det været en øjenåbner for, hvor meget omstrukturering, der skal til,” siger han og fortsætter:
"Flere af de virksomheder, vi har talt med, er i chok over de krav, der kommer med DORA. De virksomheder, der er begyndt at dykke ned i DORA, har opdaget, at det heller ikke bare er en opgave, der nødvendigvis kan løses med eksisterende ressourcer.”
For nu afventer de danske finansielle institutioner fortsat, at Finanstilsynet kommer på banen med en dansk vejledning til DORA-kravene, som altså skal træde i kraft fra det nye år.
”Som udgangspunkt skal første rapportering i forbindelse med DORA være tilgængelig fra 17. januar 2025. Det er meget samme opskrift som GDPR – en overtrædelse af kravene kan føre til en bøde på op til 2 % af den samlede årlige omsætning på verdensplan.”
Du kan se information leveret i forbindelse med DORA Dry Run her. Særligt 'Example of filled template B - updated 8 July 2024 [xlsb]" report b_05.02' er et godt eksempel på kompleksiteten allerede ved meget små datamængder.