DORA & bAV: Warum IT-Sicherheit jetzt zum HR-Thema wird
Mit dem Inkrafttreten des Digital Operational Resilience Act (DORA) hat die Europäische Union die Anforderungen an die digitale Widerstandsfähigkeit im Finanzsektor verschärft. Während sich Banken und Versicherer bereits auf die neuen Regularien einstellen, wird in vielen HR- und Finanzabteilungen von Industrieunternehmen eine entscheidende Frage oft übersehen: Wie resilient ist eigentlich die Verwaltung unserer Pensionsverpflichtungen?
Zwar richtet sich DORA primär an Finanzunternehmen, doch die Verordnung setzt faktisch einen neuen Benchmark für Good Governance im Umgang mit sensiblen Finanzdaten. Pensionsverpflichtungen stellen in vielen Bilanzen die größte Position im langfristigen Fremdkapital dar. Die Verwaltung dieser Werte auf Basis veralteter IT-Strukturen oder ungeprüfter Prozesse stellt ein Compliance-Risiko dar, das im Kontext moderner Prüfungsstandards kaum mehr zu rechtfertigen ist.
Das Risiko der impliziten Haftung
Für CFOs und Wirtschaftsprüfer bedeutet dies: Die bloße Auslagerung der bAV-Verwaltung und/oder die Erstellung der versicherungsmathematischen Gutachten durcheinen Dienstleister entbindet nicht von der Verantwortung. Im Gegenteil. Es muss sichergestellt werden, dass der Dienstleister über ein Internes Kontrollsystem (IKS) verfügt, das den gestiegenen Sicherheitsanforderungen standhält. Ein Dienstleister, der heute noch ohne validiertes Sicherheitskonzept und ohne Redundanzsysteme arbeitet, wird zum blinden Fleck in der Risikobewertung des Unternehmens.
Ordnungsmäßigkeit durch Testierung
Bei der p.c.a.k. pension & compensation consultants GmbH wurde dieser Entwicklung bereits vor Jahren Rechnung getragen. Durch die Zertifizierung nach ISAE 3402 Typ 2 wird dokumentiert, dass die internen Kontrollsysteme nicht nur existieren, sondern über den gesamten Prüfungszeitraum wirksam waren.
Unsere Prozesse verbinden versicherungsmathematische Expertise mit einer IT-Infrastruktur, die höchste Verfügbarkeit gewährleistet. Wenn wir von "Resilienz" sprechen, meinen wir nicht nur Datensicherung, sondern die Garantie, dass versicherungsmathematische Bewertungen und Rentenabrechnungen auch in Krisenszenarien ordnungsgemäß und fristgerecht erfolgen.
Fazit für Entscheidungsträger
DORA definiert den aktuellen Stand der Technik, an dem sich jede verantwortungsvolle Unternehmensführung messen lassen muss. In der bAV-Administration reicht das Vertrauen auf funktionierende Prozesse heute nicht mehr aus; sie müssen nachweisbar und revisionssicher dokumentiert sein. Für Unternehmen bedeutet das: Die Auswahl der Partner entscheidet über die Belastbarkeit der eigenen Governance. Gefragt sind Dienstleister, die ihre Kontrollsysteme nicht nur beschreiben, sondern durch anerkannte Testate objektiv belegbar machen.
Laden Sie hier unseren ISAE 3402 Management Summary Report herunter.
ISAE 3402 Management Summary Report
Hier geht es zu unserem
Trust & Compliance Center