DORA: Реєстр інформації про ІКТ-контракти – незабаром FSA скаже «галочка

Одним із важливих зобов’язань, які регламент DORA накладає на фінансові установи, є ведення та подання до FSA реєстру інформації про ІКТ-контракти (ROI).

Цей реєстр – це більше, ніж збірник контрактів з постачальниками ІКТ. Його метою є створення бази даних, яка має вирішальне значення з точки зору управління ризиками в сфері ІКТ. ROI призначений для відображення взаємовідносин між фінансовою установою та її постачальниками, надаючи наглядовим органам повне розуміння та контроль над цими взаємовідносинами.

Наближається кінцевий термін підготовки та подання першого ROI до FSA. За інформацією FSA, перші звіти про ROI будуть подані у квітні 2025 року (точна дата буде оголошена на початку квітня).

Технічне завдання та ключові виклики

Для підготовки звіту про рентабельність інвестицій фінансові установи повинні будуть зібрати низку інформації, зокрема

• інформацію про конкретні ІКТ-контракти – як базову, наприклад, про сторони, тип послуг, дати укладення та тривалість, так і більш детальну інформацію про вартість контракту, строки повідомлення, місце надання послуг або зберігання даних
• номери LEI постачальників та субпідрядників ІКТ;
• для контрактів, що підтримують критичні або основні функції, вичерпну інформацію про ланцюжок постачання.

Для багатьох фінансових установ ключовим викликом є отримання даних для реєстру ROI. Ця інформація часто не збирається централізовано, що вимагає залучення різних організаційних підрозділів та зовнішніх постачальників ІКТ, що може затримати процес.

Формальні вимоги, валідація та керівні принципи, що розвиваються

Просто зібрати дані – це лише перший крок. Наступним завданням є правильне заповнення реєстру ROI відповідно до вимог FSA.

Зобов’язання щодо звітності буде виконуватися через систему звітності FSA з використанням спеціальних форм ROI. Реєстр повинен відповідати певним стандартам – помилковий формат даних, відсутність обов’язкових полів або неправильне ім’я файлу можуть призвести до його відхилення, а це означає, що його необхідно терміново виправити і подати повторно.

Додатковим викликом є мінливе регуляторне середовище. Таксономія, форми та інструкції підлягають постійному оновленню, тому фінансовим установам необхідно відстежувати керівні принципи FSA та EBA, щоб діяти відповідно до останніх вимог і уникнути проблем при подачі реєстру.

Консолідація даних у групах капіталу

Для груп капіталу додатковим викликом є консолідація реєстру ROI. Фінансова установа, яка зобов’язана вести консолідований реєстр ROI, повинна включати не тільки свої власні контракти з постачальниками ІКТ, але й аналогічну інформацію від своїх дочірніх компаній (якщо вони підпадають під дію DORA).

Для фінансових установ це означає, що

✔ Перевірити, чи підлягає їхня рентабельність інвестицій консолідації, і якщо так, то в якому обсязі,

✔ Якщо вони зобов’язані консолідуватися – вчасно отримувати дані від своїх дочірніх компаній для перевірки та внесення до реєстру.

Гармонізація способу подання даних різними суб’єктами господарювання є ключовим фактором для уникнення невідповідностей у консолідованому реєстрі ROI.

Як підготуватися?

Враховуючи складність процесу підготовки належного реєстру ROI, на мою думку, ключем до забезпечення успіху всієї роботи євпровадження внутрішнього процесу підготовки реєстру, який повинен включати

1. ретельне ознайомлення з визначеннями в DORA та імплементаційними актами, а також інтерпретацією керівних принципів FSA;
2. для груп капіталу: ідентифікацію суб’єктів, на яких поширюється дія реєстру – визначення того, які суб’єкти у фінансовій групі підпадають під дію зобов’язання щодо подання звітності;
3. збір та заповнення даниху відповідних формах – виявлення відсутньої інформації та зв’язок з постачальниками для її отримання
4. дотримання відповідності форматів та таксономії
5. регулярний моніторинг регуляторних змін– бути в курсі оновлень FSA та EBA, щоб гарантувати, що організація працює з правильними формами та відповідно до чинних інструкцій.

Підводячи підсумки

Інформаційний реєстр контрактів у сфері ІКТ єключовим зобов’язанням для фінансових установ, на які поширюється дія DORA, і його підготовка вимагає часу, особливої ретельності та точності. Невиконання вимог FSC може призвести до відхилення звіту і, в крайньому випадку, до серйозних санкцій.

Фінансові установи повинні інтенсивно працювати над своїми документами і стежитиза оновленнями, що надаються FSA та EBA , оскільки зміна керівних принципів може призвести до додаткових коригувань звітності.

Корисні матеріали

• Європейська Бізнес Асоціація:Керівництво та матеріали щодо DORA
• FSA: Портал звітності DORA (форми для звітності, детальні інструкції та рекомендації від FSA, потребує входу)