Akcja sprawozdawcza SPR-PF-30 dla naszych biur usług płatniczych została formalnie zakończona. Wszystkie przekazane do KNF raporty uzyskały status „proces walidacji zakończony sukcesem”, co oznacza, że dane zostały poprawnie przyjęte przez system CRP i spełniają wymogi wynikające z rozporządzenia DORA.
SPR-PF-30, czyli roczne sprawozdanie dotyczące kluczowych wskaźników ryzyka w obszarze ICT, w praktyce domyka pierwszy pełny cykl raportowania DORA dla BUP-ów stosujących uproszczone ramy zarządzania ryzykiem ICT. To istotny moment, bo pokazuje, że nawet mikroprzedsiębiorstwa są w stanie spełnić nowe obowiązki regulacyjne, pod warunkiem właściwego przygotowania procedur i danych.
Jednocześnie trudno nie zwrócić uwagi na skalę obciążenia, z jaką w ostatnich tygodniach musiały mierzyć się małe podmioty gospodarcze. Od połowy grudnia do dziś biura usług płatniczych zostały zobowiązane do złożenia aż trzech nowych formularzy sprawozdawczych do KNF. Każdy z nich dotyczył innego obszaru działalności, wymagał odrębnych danych i spójności z dokumentacją wewnętrzną. Dla niewielkich organizacji, często bez dedykowanych zespołów compliance czy IT, to realne wyzwanie organizacyjne i czasowe.
Z perspektywy rynku widać wyraźnie, że kierunek regulacyjny jest jasny – większa formalizacja, większa porównywalność danych i coraz mniejsza tolerancja dla „papierowej zgodności”. DORA i towarzysząca jej sprawozdawczość stają się stałym elementem funkcjonowania BUP-ów, a nie jednorazową akcją do odhaczenia.
Zakończenie procesu SPR-PF-30 to dobry moment, by na chwilę złapać oddech, ale też sygnał, że kolejne obowiązki będą pojawiać się regularnie. Im wcześniej procedury i sposób raportowania zostaną trwale uporządkowane, tym mniej dotkliwe będą następne cykle sprawozdawcze.
