V kontekstu finančnih institucij, zlasti v skladu z Aktom o digitalni operativni odpornosti (DORA) in povezanimi smernicami Evropskega bančnega organa (EBA), je pomembna razlika med kritično ali pomembno funkcijo in poslovnim procesom za regulativne, upravljavske in operativne namene.
1. Kritična ali pomembna funkcija (definicija DORA/EBA):
Kritična ali pomembna funkcija je izraz, ki ga opredeljujejo regulativni okviri, vključno z DORA in smernicami EBA, in se nanaša na dejavnosti, storitve ali operacije, ki so bistvene za sposobnost institucije, da opravlja svoje osnovno poslovanje ali izpolnjuje regulativne zahteve. Neuspeh ali motnja takšnih funkcij bi lahko imela pomemben negativen vpliv na finančno stanje institucije, njene stranke ali širši finančni sistem.
Ključne značilnosti kritičnih ali pomembnih funkcij:
- Regulativna občutljivost in občutljivost na tveganja: Te funkcije so tesno povezane z regulativnimi zahtevami in zahtevami glede operativne odpornosti. Podvržene so strogemu nadzoru s strani regulativnih organov.
- Finančna stabilnost: Prekinitev bi lahko ogrozila finančno stabilnost institucije ali širšega finančnega sistema (npr. likvidnost, operativno nadaljevanje poslovanja).
- Vpliv na stranke: Pogosto vključujejo storitve, ki so kritične za stranke ali nasprotne stranke (npr. plačila, posojila, trgovanje).
- Odvisnost od tretjih strank: Kadar se funkcije izvajajo s podporo zunanjih izvajalcev, jih je treba upravljati z okrepljenim nadzorom zaradi možnih tveganj.
Primeri kritičnih ali pomembnih funkcij:
- Plačilne storitve
- Posojilne dejavnosti
- Trgovanje in poravnave
- Varstvo podatkov in kibernetska varnost
2. Poslovni proces:
Poslovni proces se nanaša na širši in bolj splošen pojem v organizaciji. Vključuje kakršno koli zaporedje nalog, dejavnosti ali delovnih tokov, ki jih finančna institucija izvaja za dosego določenih poslovnih rezultatov ali ciljev. Vsi poslovni procesi niso opredeljeni kot kritične ali pomembne funkcije, čeprav nekateri morda so.
Ključne značilnosti poslovnih procesov:
- Operativna osredotočenost: Poslovni procesi pokrivajo širok spekter dejavnosti, od operacij v prvi vrsti (npr. storitve za stranke) do operacij v ozadju (npr. obračun plač, upravljanje kadrov).
- Širok obseg: Vključujejo tako osnovne kot nebistvene naloge, odvisno od njihovega vpliva na poslovanje.
- Različna pomembnost: Medtem ko se nekateri procesi lahko primerjajo s kritičnimi ali pomembnimi funkcijami, so drugi rutinski ali podporni brez večjega finančnega ali regulativnega vpliva ali vpliva na stranke.
Primeri poslovnih procesov:
- Vključevanje strank
- Upravljanje človeških virov
- Nabavni procesi
- Marketinške kampanje
- Rutinska IT podpora
Povzetek razlik:
| Vidik | Kritična ali pomembna funkcija | Poslovni proces |
|---|---|---|
| Regulativni pomen | Opredeljujejo jo regulativni organi, kot sta EBA/DORA, zaradi velikega finančnega / sistemskega pomena. | Brez posebnega regulativnega okvira, vendar pomembna za poslovno učinkovitost. |
| Vpliv tveganj | Motnja ima pomembne negativne posledice za finančno zdravje institucije, stranke in širši sistem. | Motnja lahko vpliva na učinkovitost ali storitve za stranke, vendar ne nujno na finančno stabilnost. |
| Upravljanje in nadzor | Podvržena strogemu upravljanju tveganj, načrtovanju neprekinjenosti in regulativnemu poročanju. | Upravljana interno, vendar ni podvržena enaki stopnji zunanjega nadzora. |
| Razmisleki o zunanjem izvajanju | Zahteva okrepljen nadzor in pogodbene določbe pri zunanjem izvajanju (npr. upravljanje tveganj tretjih strank). | Zunanje izvajanje je manj strogo regulirano, razen če je povezano s kritično funkcijo. |
| Primeri | Plačilne storitve, posojila, trgovanje, kibernetska varnost | Podpora strankam, marketing, kadrovski procesi, splošno upravljanje IKT |
Pomen v okviru DORA:
V skladu z DORA morajo finančne institucije zagotoviti operativno odpornost svojih kritičnih ali pomembnih funkcij. To vključuje vzpostavitev mehanizmov za nadaljevanje delovanja v primeru motenj, kar vključuje kibernetsko varnost, nadzor nad ponudniki IKT storitev in načrte za odzivanje na incidente. Poslovni procesi, ki ne spadajo v kategorijo “kritičnih ali pomembnih”, morda niso predmet enake ravni regulativnega nadzora, vendar so še vedno pomembni za splošno operativno učinkovitost.
Kritične ali pomembne funkcije so torej tiste z velikim regulativnim, finančnim in sistemskim pomenom, medtem ko so poslovni procesi širše operativne dejavnosti, ki so lahko ali pa tudi ne ključnega pomena.