Potřebujete konzultaci?+420 720 153 593
Nabídka našich kurzů
% Slevy %DotacePRINCE2®ITIL®Artificial IntelligenceDalší standardy
> > Audit souladu s DORA: Klíč k digitální odolnosti finančních institucí

Audit souladu s DORA: Klíč k digitální odolnosti finančních institucí

  • Datum: 14.02.2025
  • Autor: Jiří Diepolt

Máte za sebou implementaci nařízení DORA? Gratulujeme! A kdy si ověříte, že nastavené procesy, bezpečnostní politiky a kontroly skutečně fungují?

V digitálním věku se finanční instituce stávají stále více závislými na informačních a komunikačních technologiích (ICT). Tato závislost přináší mnoho výhod, jako je rychlejší poskytování služeb, automatizace procesů a širší dostupnost produktů. Současně však zvyšuje zranitelnost vůči kybernetickým útokům, provozním výpadkům a dalším ICT rizikům. Nařízení DORA (Digital Operational Resilience Act) reaguje na tyto výzvy tím, že zavádí jednotný rámec pro řízení ICT rizik a posilování provozní odolnosti finančního sektoru.

Interní audit souladu s DORA má zásadní význam pro zajištění souladu (compliance) s těmito požadavky. Nejde jen o splnění regulačních pravidel, která jsou již od 17. ledna 2025 plně účinná, ale o zajištění důvěryhodnosti a stability organizace. Dobře provedený audit umožňuje nejen odhalit slabiny, ale také přispět ke zlepšení procesů a připravenosti na krizové situace.

Jak správně zaměřit DORA audit?

Interní audit souladu s DORA by se měl zaměřit na několik klíčových oblastí, které odrážejí hlavní cíle nařízení:

  • Řízení ICT rizik: Tato oblast zahrnuje hodnocení, zda instituce identifikuje, analyzuje a zavádí vhodná opatření k řízení rizik spojených s ICT. Auditoři se zaměřují na to, zda jsou strategie řízení rizik pravidelně aktualizovány, odpovídají dynamickému prostředí kybernetických hrozeb a zahrnují všechny relevantní složky organizace, včetně vedení.

  • Řízení vztahů s třetími stranami: Mnoho finančních institucí outsourcuje ICT služby třetím stranám, což zvyšuje riziko závislosti. Audit prověřuje, zda jsou smlouvy s poskytovateli ICT služeb v souladu s požadavky článku 28 DORA, zda obsahují ustanovení o subdodávkách a monitoringu jsou pravidelně revidovány a jestli finanční instituce dostatečně monitoruje a kontroluje postup dodavatele.

  • Incident management a reporting: Posouzení, zda má organizace zavedený robustní systém pro klasifikaci, řízení a hlášení ICT incidentů. To zahrnuje jak interní mechanismy, tak schopnost splnit povinnosti vůči regulatorním orgánům, například hlášení závažných provozních a bezpečnostních incidentů do 24 hodin od jejich detekce.

  • Testování odolnosti systémů: Audit se zabývá také účinností testování provozní odolnosti. Hodnotí se, zda instituce provádí pravidelné simulace kybernetických útoků, zátěžové testy nebo testy obnovy dat, a zda jsou výsledky těchto testů využívány k dalšímu zlepšení ICT systémů.

Kdo provádí audit

Audit může být prováděn jak interními týmy, tak externími auditory. Každý z těchto přístupů má své výhody a omezení:

  • Interní týmy: Interní auditoři mají výhodu hluboké znalosti procesů, kultury a specifik organizace. Jejich práce však může být ovlivněna omezenou nezávislostí nebo nedostatečným odborným zázemím v některých specializovaných oblastech, například kybernetické bezpečnosti.

  • Externí auditoři: Externí firmy přinášejí nezávislý pohled, široké odborné znalosti a zkušenosti z jiných institucí. Často se zaměřují na specifické oblasti, například penetrační testování, a mohou přinést nové postupy nebo technologie.

Ať už je audit prováděn interně nebo externě, klíčové je, aby auditoři disponovali znalostmi DORA, technickými dovednostmi v oblasti ICT a zkušenostmi s hodnocením rizik a kontrol.

Jak často provádět audit souladu s nařízením DORA?

Frekvence auditů by měla být stanovena s ohledem na velikost, rizikový profil a komplexnost organizace. Pravidelné audity, prováděné obvykle jednou ročně, jsou standardem pro zajištění kontinuity compliance a identifikace nově vzniklých rizik.

V některých situacích však může být potřeba provádět mimořádné audity, například:

  • Po významných změnách v ICT infrastruktuře, jako je zavedení nových systémů nebo migrace dat.

  • Po závažných incidentech, které odhalily slabiny v řízení rizik.

  • Při zavádění nových regulatorních požadavků nebo změnách v legislativě.

Pravidelná revize a přizpůsobení frekvence auditů zajišťují, že proces odpovídá dynamickému prostředí organizace.

Audit: Design, implementace, efektivita

Interní audit souladu s DORA zahrnuje tři klíčové kroky, které zajišťují komplexní hodnocení schopnosti organizace řídit ICT rizika:

  • Design kontrol: Tento krok hodnotí návrh kontrolních mechanismů a procesů. Zkoumá, zda byly mechanismy správně navrženy tak, aby splňovaly požadavky DORA, minimalizovaly identifikovaná rizika a byly efektivně integrovány do provozních činností organizace.

  • Implementace kontrol: Posuzuje se, zda byly navržené kontrolní mechanismy úspěšně zavedeny do praxe. Tento krok se zaměřuje na identifikaci odchylek mezi návrhem a realitou a na jejich příčiny.

  • Efektivita kontrol: Hodnocení, zda zavedené kontrolní mechanismy skutečně plní svůj účel. Auditoři zkoumají, jak efektivně kontroly fungují v reálném prostředí, například při zvládání kybernetických útoků nebo obnově provozu po incidentu.

Kritické faktory úspěšného auditu

Pro úspěšný interní audit jsou zásadní následující faktory:

  • Zaměření na prioritní rizika: Audit musí být zaměřen na oblasti s největším dopadem na digitální provozní odolnost a regulatorní compliance.

  • Důsledné plánování: Každý krok auditu by měl být pečlivě naplánován, aby bylo zajištěno efektivní využití zdrojů na straně finanční instituce i auditu jako takového.

  • Sledování a měření pokroku: Doporučení z auditu by měla být implementována a pravidelně monitorována. Průběžné hodnocení pokroku zajišťuje, že organizace skutečně řeší identifikované nedostatky.

  • Podpora vedení: Zapojení vedení do procesu auditu zvyšuje jeho důležitost a zajišťuje, že doporučení budou realizována.

Bez auditu není DORA úplná

Audit souladu s DORA představuje zásadní nástroj, který přesahuje rámec pouhého plnění regulatorních požadavků. Audit je nedílnou součástí strategie finanční instituce, která umožňuje odhalovat a řešit slabiny v řízení rizik, posilovat provozní odolnost a upevňovat důvěru klientů i dozorových orgánů. Efektivní realizace doporučení z auditu přispívá k dlouhodobé stabilitě a připravenosti organizace na nové výzvy, které přináší digitální prostředí.

Článek je publikován také na doméně GDPR.cz.

Štítky
ISMSComplianceKybernetická bezpečnostDORA

Nejčtenější články

Štítky
comptia (1)Simulation (1)AI Act (14)Management (55)Data (23)BPMN (1)Program Manager (4)Compliance (82)Video MasteClass (1)ISO 27701 (1)ISO/IEC 27001 (3)Six Sigma (2)Whistleblowing (16)BOZP (1)Kanban (3)DPIA (1)Portfolio Manager (1)SCRUM (9)Compliance Officer (32)it4it (1)ePrivacy (26)Tip (1)ISO 20000 (1)IPMA (1)Business Continuity (1)Osobní údaje (43)Axelos (6)AI (21)ISO (16)IT Security (5)Marketing (11)ESG (5)Identifikace (3)Lean (3)MoP (7)CMS (1)GDPR (128)Gamification (1)TOPO (1)Byznys (1)TOGAF (6)ITIL (22)Mediální komunikace (2)EU (1)HR (5)Agile (6)Risk Manager (1)korporace (8)Ethical Hacking (2)business (1)POVEZ (2)DevOps (7)Artificial Intelligence (1)P3O (7)MSP (9)Komunikace (2)Data Protection Officer (52)Porsche (1)Biometrika (2)ISO45001 (3)MoR (4)EC Council (1)Digitalizace (14)Whistleblowing Officer (9)DORA (15)AI (2)ISO 27002 (1)PeopleCert (6)eIDAS (3)ArchiMate (5)Management of Risk (1)ITIL 4 (8)Media MasterClass (1)Business Analýza (1)Zpracovatel osobních údajů (3)Risk (2)BABOK (1)BCM (2)g2g3 (1)workshop (1)ITSM (11)PRINCE2 (28)OHSAS (1)ZoKB (7)Dotace (2)Kybernetická bezpečnost (21)Tisková zpráva (3)P3M3 (1)Business Simulation (4)gaming works (1)Správce osobních údajů (3)SAFe (2)ISO 37301 (2)AML (4)DPO (11)MasterClass (1)AgileSHIFT (3)PMI (1)ISMS (30)NIS2 (19)Kritická infrastruktura (4)IT (7)Pověřenec pro ochranu osobních údajů (59)IT Service (4)ISO42001 (1)Soukromí (11)Grab@Pizza (1)Media (2)Enterprise Architect (5)Business Analytik (1)Project Manager (16)ISO 22301 (1)Ochrana osobních údajů (42)Pokuta (17)Hospodářská soutěž (1)eGovernment (1)Regulace (27)PRINCE2® (1)ISO27701 (3)Risk Management (2)ITIL4 (1)ISO 27001 (1)ISO 9001 (3)

Chcete získat dárek k narozeninám?

Nabídka kurzů

Hlavní nabídka

Certifikace

Společnost TCOX

Naše centrála

Křižíkova 2136/2a, Praha 1, Nové město, 110 00+420 720 153 593

Sledujte nás

Tayllorcox aplikace

Stáhněte si naši aplikaci

Stáhnout v App StoreStáhnout v Google Play