Finančnike zaradi novih pravil boli glava, Mariborčani v njih vidijo priložnost
Nova evropska pravila o digitalni odpornosti postavljajo finančne institucije pred velik izziv. Svojo priložnost so zaznali v mariborskem podjetju, kjer so razvili posebno aplikacijo, ki bo bankam in zavarovalnicam omogočila lažje poročanje evropskim institucijam.
Evropski finančni sistem se sooča z eno največjih regulatornih sprememb v zadnjem desetletju. Podobno kot je Evropska unija pred desetletjem sprejela splošno uredbo o varstvu podatkov (GDPR), je lani stopila v veljavo uredba o digitalni operativni odpornosti (DORA). Gre za zakonodajo, ki določa stroge zahteve za finančne institucije in njihove ključne tretje ponudnike storitev (ang. third-party providers).
DORA bo veljala za več kot 22 tisoč finančnih subjektov in ponudnikov storitev IKT, ki delujejo v EU. Uredba uvaja posebne in predpisujoče zahteve za vse udeležence na finančnem trgu, vključno z npr. bankami, investicijskimi podjetji, zavarovalnicami in posredniki, ponudniki kripto sredstev, izvajalci storitev sporočanja podatkov in s ponudniki storitev v oblaku.
Banke in zavarovalnice so danes odvisne od kompleksne mreže digitalnih rešitev in zunanjih IT-ponudnikov, ki podpirajo njihovo poslovanje – prav ta odvisnost pa predstavlja tudi največje tveganje.
“V osnovi so se regulatorji zavedli, da banke niso več fizični objekti, ampak digitalni sistemi. Ti sistemi pa ne stojijo sami zase, ampak slonijo na številnih drugih ponudnikih in programski opremi. In pri tem nihče nima popolnega nadzora – tam se lahko zgodijo napake ali celo manipulacije,” razlaga Uroš Orešič, direktor mariborskega podjetja U-Centrix.
Odgovor Evropske unije na ta problem je uredba DORA (Digital Operational Resilience Act), ki finančnim ponudnikom nalaga razkritje svojih partnerjev. Za večino finančnih institucij pomeni velik izziv, saj prinaša obsežno poročanje. Za uCentrix pa poslovno priložnost.
Odzvali so se na težavo s trga
DORApp, ki ga razvijajo v okviru hčerinske družbe HoliSentra, ni nastal kot interni projekt, temveč kot odziv na konkretno težavo s trga.
“K nam so pristopili iz združenja zavarovalnic v Nemčiji. Menili so, da bo poročanje in natančne ter posodobljene evidence težko voditi na način, kot so bila podjetja navajena do zdaj. Torej v excelu ali splošnih orodij GRC (okrajšava za upravljanje, tveganja in skladnost, angleško governance, risk and compliance, op. a.), ki podjetjem pomagajo upravljati skladnost s predpisi, ocenjevati tveganja in usklajevati politike. Takrat smo videli, da je to priložnost, ki jo vsi podcenjujejo,” pravi Orešič.
Ključno vlogo pri projektu sta imela nemški solastnik Joachim Heidebrecht, dolgoletni strokovnjak za skladnost, ter Matevž Rostaher, produktni vodja. “Heidebrecht se s skladnostjo ukvarja praktično celo življenje. On nas je tudi najbolj potisnil v to smer, ker je razumel, kako velika sprememba prihaja. Mi pa smo to znali tehnološko zapakirati,” dodaja Orešič.
Uredba, ki je ne boš obkljukal enkrat letno
Po njegovih besedah je največja zmota podjetij prav podcenjevanje nove uredbe DORA. “To ni še ena regulativa, ki jo enkrat na leto obkljukaš. Gre za spremembo načina vodenja podjetij. DORA zahteva, da podjetja razmišljajo ‘digital first’ – da se zavedajo, da njihovo poslovanje temelji na digitalnih procesih in da so tam tudi največja tveganja,” poudarja.
Dodaja, da se je do zdaj večina podjetij s tveganji ukvarjala periodično, medtem ko DORA zahteva stalno spremljanje. “Prej je šlo za letne cikle skladnosti. Zdaj pa mora biti to živ proces – nekaj, s čimer se podjetje ukvarja vsak dan in ima ves čas pod nadzorom.”
Združujejo procese, ki so bili prej razpršeni
Prav to vrzel zapolnjuje DORApp. Platforma združuje procese, ki so bili prej razpršeni po različnih oddelkih in orodjih.
“DORApp ni orodje za skeniranje vdorov ali tehnično varnost. Takih rešitev je že ogromno. Naš fokus je drugje – na ravni uprave in menedžmenta. Gre za GRC orodje, ki omogoča spremljanje, analizo in odločanje na podlagi podatkov,” pojasnjuje Orešič.
Aplikacija med drugim omogoča upravljanje dobaviteljev, analizo tveganj, poročanje regulatorjem in koordinacijo incidentov – vse v enem sistemu.
“Podjetjem omogočamo, da imajo na enem mestu pregled nad tem, kdo so njihovi dobavitelji, kakšna tveganja prinašajo, kdo je odgovarjal na vprašalnike, kaj se je spremenilo in ali so skladni z regulativo. To je ‘proof of compliance’, ki ga regulator danes zahteva,” dodaja.
Konkurenca? Excel
Čeprav obstajajo globalna orodja za upravljanje tveganj, Orešič največjo konkurenco vidi drugje.
“Naša konkurenca je excel. Veliko podjetij še vedno enkrat na leto izvozi podatke, jih da v tabelo excel, naredi analizo in napiše poročilo. To je bilo do zdaj dovolj, za DORA pa to ni več management procesa,” pravi.
Ključni problem tega pristopa je pomanjkanje sledljivosti. “Kdo je spremenil podatek? Kdo je ocenil tveganje? Kdaj se je nekaj zgodilo? Brez tega ni mogoče dokazovati skladnosti – in prav to DORA zahteva.”
Zanimanje tudi izven Evrope
DORApp danes uporablja več kot 30 finančnih institucij, med njimi slovenske banke in zavarovalnice ter tudi nekatera nemška podjetja.
Zanimanje prihaja tudi izven Evrope. “Že zdaj imamo stranko Bank of India, Bank of China pa se zanima za rešitev. To kaže na to, da se bo DORA – podobno kot GDPR – razširila tudi globalno,” pravi Orešič.
Vstop v finančni sektor ni enostaven. Gre za izjemno konservativne organizacije, kjer odločanje teče počasi. “To so podjetja, ki se odločajo leto, dve ali celo štiri leta. Nam jih je uspelo prepričati v dveh do treh mesecih, kar je za ta sektor zelo hitro,” pravi Orešič.
Načrtujejo podvojitev strank
DORApp deluje po naročniškem modelu, kjer stranke plačujejo glede na uporabo.”Gre za naročniški model v oblaku, kjer podjetja plačujejo mesečno glede na število uporabnikov,” pojasnjuje.
Lani so z DORAppom ustvarili približno 100 tisoč evrov prihodkov. “To še ni velika številka, ampak za prvo leto je pomembno, da smo dobili potrditev trga,” pravi sogovornik.
Za letos načrtujejo rast. “Cilj je vsaj 100-odstotna rast – tako po številu strank kot po prihodkih.”
Po njegovem mnenju DORA ni le regulativni okvir, temveč začetek širše preobrazbe. “GDPR je spremenil način razmišljanja o osebnih podatkih. DORA pa bo spremenila, kako podjetja gledajo na svojo digitalno odpornost. To bo postala osnovna leča, skozi katero bodo upravljala poslovanje,” sklene Orešič.
