Podmioty finansowe, które chcą zachować konkurencyjność, muszą połączyć wyzwania związane z zapewnieniem bezpieczeństwa, wysokim poziomem obsługi i atrakcyjnymi cenami. Rozporządzenie DORA odnosi się do aspektów bezpieczeństwa, a proces zakupowy w branży finansowej ma na celu pozyskanie niezbędnych zasobów wspierających nowe wymagania co do operacji podmiotu finansowego. Dział zakupów pełni kluczową rolę, dbając o efektywne nabywanie zgodnie z wymogami regulacyjnym, kontrolując ekonomię wydatków i co za tym idzie utrzymanie konkurencyjności firmy.
Ponadto dział zakupów, jak i cała organizacja, musi dostosować się do wprowadzenia DORA. W związku z tym istotne jest, aby zespół ten korzystał z narzędzi wspierających adaptację DORA w procesach zakupowych. Wdrożenie rozporządzenia wiąże się zarówno z zakupami rozwiązań wspierających ocenę ryzyka, jak i z zakupem usług ICT. W tym artykule poznasz podejście do zakupów, które łączy te dwa obszary.
Obszary zakupowe w kontekście rozporządzenia DORA
Proces zakupów w wysokoregulowanej branży finansowej jest dużym wyzwaniem, które wymaga kooperacji działań osób o różnych kompetencjach. W przypadku zakupów związanych z DORA dział zakupów musi dobrze rozumieć zadania kierowane do niego zarówno z zespołów odpowiedzialnych za compliance, security, jak i IT. W konsekwencji rozporządzenia DORA zakupy są włączone w procesy związane z zapotrzebowaniem na obszary takie jak:
- metodyka oceny ryzyka, tj.: mapy ryzyka, klasyfikacja ryzyka, analiza ryzyka. Jest to fundament, który pozwoli później na wypracowanie ram zarządzania ryzykiem i skuteczne zarządzanie nim w organizacji
- zarządzanie ryzykiem: mapowanie systemów ICT i dokumentowanie zależności w środowiskach ICT, przeprowadzanie ocen ryzyka, dokumentowanie kroków mających na celu zmniejszenie ryzyka związanego z cyberbezpieczeństwem związanych z planami postępowania z ryzykiem, ustanowienie obowiązkowej struktury nadzoru nad zarządzaniem ryzykiem. Rozdział 2 “Zarządzanie ryzykiem związanym z ICT” dotyczący tego zagadnienia zawiera aż 12 podrozdziałów skupionych na poszczególnych zadaniach wynikających z DORA
- zarządzanie incydentami związanymi z ICT, czyli klasyfikacja incydentów ICT orazzgłaszanie incydentów,
- testowanie cyfrowej odporności operacyjnej: programy testów narzędzi i systemów ICT, w tym testy penetracyjne
- zarządzanie ryzykiem współpracy z zewnętrznymi dostawcami usług ICT. Są to m.in zagadnienia analizy dostawcy, audyty dostawców, analiza umów, wsparcie w negocjacjach, czy też w prowadzeniu rejestru dostawców.
Duża część usług wskazanych powyżej może być realizowana w formie zautomatyzowanych narzędzi. Z tego powodu zakupy poszukują nie tylko usługodawców, ale również rozwiązań technologicznych, które wspierają zarządzanie na poziomie governance, czyli określania zasad i struktur zarządzania organizacją, jej ryzykiem i zgodnością.
Sprawdź w przygotowanym harmonogramie, jakie zapotrzebowanie będzie brało udział w kolejnych etapach realizacji wdrożenia DORA w podmiocie finansowym.
Zakupy wspierają strategię i działania wobec rozliczalności z DORA
Jednym z pierwszych zadań związanych ze zgodnością z DORA, które może ciążyć na dziale zakupów, może być wsparcie zarządu w przygotowaniu strategii podmiotu finansowego dotyczącej współpracy z dostawcami ICT. Zgodnie z artykułem 6 ust. 9 powinny być w niej zawarte kluczowe zależności od zewnętrznych dostawców usług ICT i wyjaśnienie przesłanek w przypadku łączenia zamówień u różnych dostawców. Po podjęciu tych decyzji dział zakupów nawiązuje kontakt z wykonawcami usług wskazanymi przez dział IT. Dlatego dział pełni ważną rolę w sukcesie rozwoju środowiska ICT w podmiocie finansowym oraz stanowi istotny punkt styku między zespołami operacyjnymi, działem IT a dostawcami ICT.
Drugim ważnym zadaniem działu zakupu jest koordynacja komunikacji między podmiotem finansowym i dostawcą ICT. W procesie zakupowym może być zaangażowane wiele ciał w organizacji jak działy finansów, IT, prawny, zespoły operacyjne oraz na końcu zarząd. Ze strony dostawcy ICT mogą to być dział sprzedaży, produktów, bezpieczeństwa, czy też zarząd dostawcy.
Do obowiązków działu zakupów często należy dopilnowanie ustaleń umownych dotyczących zawiązania jak i warunków jej rozwiązania. Podmioty finansowe mogą zawierać umowy tylko z zewnętrznymi dostawcami usług ICT, którzy przestrzegają odpowiednich standardów bezpieczeństwa informacji. Jeśli umowy te dotyczą kluczowych lub istotnych funkcji, podmioty finansowe muszą upewnić się, przed ich zawarciem, czy zewnętrzni dostawcy usług ICT stosują najnowsze i najwyższe standardy bezpieczeństwa informacji.
Kolejnym zadaniem, który często leży w gestii działu zakupów jest proces negocjacji warunków współpracy i zapisów umownych zgodnie z artykułem 30 “Najważniejsze postanowienia umowne”. Musi on pozostać w ścisłej współpracy z działem prawnym i osobami odpowiedzialnymi za compliance w celu zrozumienia wymogów regulacyjnych, w tym obowiązków nakładanych przez DORA.
Rejestr informacji o ustaleniach umownych to narzędzie dla działu zakupów?
Rejestr informacji o ustaleniach umownych z dostawcami ICT jest istotnym wymogiem rozporządzenia DORA wynikającym z artykułu 28 ust. 3, mającym na celu zwiększenie przejrzystości i świadomości organów nadzorczych nad relacjami podmiotów finansowych z dostawcami usług ICT. Jest to wymóg zakupowy związany z DORA i przestrzeń systematycznego gromadzenia informacji dotyczących umów zawartych przez instytucje finansowe z dostawcami usług ICT.
Rejestr umów umożliwia lepsze zrozumienie i monitorowanie ryzyka związanego z tymi zależnościami. Ułatwia organom nadzorczym monitorowanie umów, analizowanie ich postanowień oraz ocenę wpływu korzystania z usług ICT od zewnętrznych dostawców na bezpieczeństwo i operacyjną odporność instytucji finansowych. Dzięki temu organy nadzorcze mogą skuteczniej identyfikować i zarządzać ryzykiem związanym z zależnościami od dostawców ICT oraz podejmować odpowiednie działania kontrolne. Można więc go określić jako narzędzie kontrolne, które dostarcza również ważnych informacji dla działu zakupów.
Dział zakupów, jako ważny uczestnik procesu komunikacji z dostawcami ICT, może nadzorować przekazywanie informacji mających znaczenie w kontekście rejestru umów. Powinny w nim być zawarte kluczowe informacje dotyczące umów, takie jak ogólne dane o podmiocie finansowym, identyfikacja umów, szczegółowe informacje na temat zawartych umów, identyfikacja dostawców usług ICT oraz ocena usług ICT wspierających funkcje krytyczne lub istotne. Poprzez skrupulatne utrzymywanie i aktualizację takiego rejestru, podmioty finansowe mogą skuteczniej zarządzać ryzykiem i podnosić operacyjną odporność cyfrową.
Narzędzia do zarządzania dostawcami
Zarządzanie dostawcami, zwłaszcza w dużej organizacji jaką zazwyczaj są podmioty finansowe, jest trudne. Procesy zakupowe często są skomplikowane i chaotyczne, zwłaszcza gdy zaangażowane jest w nie wiele osób po obu stronach transakcji. Zarządzanie dostawcami obejmuje różne etapy, takie jak wybór dostawcy, ocena ryzyka, negocjacje umowy, wprowadzenie dostawcy oraz zarządzanie wydajnością. Jest to istotne dla zmniejszenia ryzyka, zwiększenia oszczędności i zdobycia przewagi konkurencyjnej. Narzędzia do zarządzania dostawcami z tego powodu odgrywają znaczącą rolę w upraszczaniu i usprawnianiu tych procesów. Pomagają poprawić koordynację zadań i przepływów pracy poprzez automatyzację, oferując takie funkcjejak wydawanie i zatwierdzanie zamówień, kontrolę zapasów, integracje i zarządzanie dostawcami oraz obsługę faktur i zamówień.
Istnieje wiele specjalistycznych rodzajów narzędzi pomagających w zarządzaniu dostawcami. Jest to m.in oprogramowanie do zarządzania relacjami z dostawcami, które jest źródłem wiedzy o dostawcach, pomagając w wyborze odpowiednich dostawców, analizie ich wydajności, identyfikowaniu ryzyka oraz zapewnianiu zgodności.
Są to również systemy zarządzania cyklem życia umów. Zarządzają one procesami umownymi organizacji, prowadząc do zmniejszenia kosztów, zapewnienia zgodności oraz efektywności prawnej. Pozwalają również na ocenę dostawcy w celu zapewnienia dobrej jakości usług oraz uzyskanie długoterminowych korzyści, takich jak obniżenie kosztów. Wdrożenie tych narzędzi może znacząco zwiększyć efektywność zarządzania dostawcami, sprawiając, że procesy zakupowe stają się bardziej efektywne i skuteczne, jednocześnie zmniejszając ryzyko i koszty dla organizacji.
Wykorzystanie narzędzi GRC w dziale zakupów
Dział zakupów w podmiocie finansowym oprócz biznesowych i technicznych aspektów współpracy z dostawcą ICT musi również zwracać uwagę na te regulacyjne. Oprócz wspomnianych w artykule zadań w gestii działu zakupów często leży wiele innych, jak zebranie odpowiedzi na ankietę dostawcy ICT.
Z tego powodu działy zakupów powinny przygotować się na wejście w życie rozporządzenia DORA, 17 stycznia 2025 roku. Z pomocą przychodzą narzędzia GRC, takie jak RIG DORA. RIG DORA odpowiada na wiele wyzwań związanych z DORA pozwalając w jednym narzędziu na realizację różnych procesów. Narzędzie to pozwala na budowanie repozytorium informacji o dostawcach ICT, procesach i aktywach ICT podmiotu finansowego. Automatyzuje ono proces zarządzania ryzykiem i zapewnia moduł zadań, dzięki czemu ułatwia przepływ pracy między działem zakupów, a działami technicznymi, prawnym i biznesowymi. Dzięki temu zmniejsza się koszt wdrożenia usług ICT, co możesz samemu policzyć w naszym kalkulatorze.
Ankieta dostawcy ICT
RIG DORA pomaga w zbieraniu odpowiedzi wymaganych od dostawcy ICT w formie ankiety dostawcy ICT. Jest to automatycznie generowany formularz, który dzięki usystematyzowanemu procesowi oceny dostawcy w trakcie prowadzenia negocjacji handlowych, jeszcze przed zakupem usługi ICT, pozwala sprawdzić jak dostawca wpływa na organizację.
Rejestr informacji o ustaleniach umownych w RIG DORA
Mając zebrane informacje od dostawcy ICT w formie ankiety dostawcy ICT, RIG DORA pomaga podmiotom finansowym w utrzymywaniu m.in wspomnianego już rejestru informacji o ustaleniach umownych. W RIG DORA dostęne są repozytoria dotyczące ustaleń umownych z dostawcami ICT, rejestr procesów oraz rejestr aktywów ICT podmiotu finansowego.
Narzędzie do oceny ryzyka
Mając zobrazowane środowisko ICT organizacji oraz otoczenie w formie dostawców ICT możliwe jest ocenianie ryzyka. W RIG DORA ocena ryzyka jest dynamiczna, ponieważ każda zmiana we wspomnianych rejestrach natychmiastowo wpływa na poziom oszacowanego ryzyka i wskazuje obszary, których ryzyko powinno zostać obniżone.
Wzrost efektywności zakupowej i wdrożeniowej z RIG DORA
Rozporządzenie DORA stawia nowe wyzwania w zagadnieniu zapewniania operacyjnej odporności cyfrowej podmiotów finansowych w coraz bardziej zdigitalizowanym świecie. Wymusza ono na instytucjach finansowych kompleksowe podejście do zarządzania ryzykiem ICT, co nieuchronnie wpływa na wszystkie aspekty ich funkcjonowania, w tym na procesy zakupowe. Dział zakupów staje przed nowymi wyzwaniami, które wymagają głębokiego zrozumienia regulacji, współpracy międzydziałowej oraz wykorzystania zaawansowanych narzędzi technologicznych. Aby sprostać wymaganiom DORA, dział zakupów musi nie tylko efektywnie zarządzać komunikacją z dostawcami ICT, ale również aktywnie uczestniczyć w procesach oceny i zarządzania ryzykiem. Adaptacja do DORA wymaga od działu zakupów nie tylko przystosowania się do nowych regulacji, ale także innowacyjnego podejścia do zarządzania procesami i narzędziami.
Wprowadzenie narzędzi GRC, takich jak RIG DORA, staje się niezbędne, aby usprawnić procesy zarządzania zgodnością i ryzykiem. Dzięki RIG DORA, które łączy w sobie wiele różnych funkcjonalności możliwe jest tworzenie dokładnych rejestrów umownych, ocenianie ryzyka w dynamiczny sposób oraz lepsze monitorowanie relacji z dostawcami. Te narzędzia wspierają dział zakupów w realizacji jego nowej roli, która wykracza poza tradycyjne funkcje zakupowe i wkracza na obszar strategicznego zarządzania ryzykiem i zgodnością. Efektywne wdrożenie rozporządzenia DORA to nie tylko spełnienie wymogów regulacyjnych, ale także szansa na zwiększenie operacyjnej odporności i konkurencyjności na rynku.