Aufrufe
vor 2 Monaten

die bank 04 // 2022

  • Text
  • Wwwbankverlagde
  • Schwerpunkt
  • Mitarbeiter
  • Risiko
  • Befragten
  • Conduct
  • Markt
  • Auswirkungen
  • Unternehmen
  • Risiken
  • Banken
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

DIGITALISIERUNG 1 |

DIGITALISIERUNG 1 | Vorschriften, Normen und Standards im Bereich Bankenregulatorik Zivilrecht Aufsichtsrecht ISO-Normen Prüfstandards vom Institut für Wirtschaftsprüfer (IDW) Sonstige Standards » BGB Bürgerliches Gesetzbuch » HGB Handelsgesetzbuch » UrhR Urheberrecht » DSGVO Datenschutz-Grundverordnung » BDSG Bundesdatenschutzgesetz » BSIG Gesetz für das Bundesamt für Sicherheit in der Informationstechnik » BSI-Kritis Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz » GeschGehG Gesetz zum Schutz vor Geschäftsgeheimnissen » EBA/GL/2019/02 European Banking Authority Guideline Outsourcing » DORA Digital Operational Resilience Act » KWG Kreditwesengesetz » MaRisk Mindestanforderungen Risikomanagement » BAIT Bankaufsichtliche Anforderungen IT » ISO 9001 Qualitätsmanagement » ISO 19011 Auditierung Managementsysteme » ISO 19600 Compliance Managementsysteme » ISO 200000 IT-Service-Management » ISO 27001 Informationssicherheit » ISO 27702 Informationssicherheitsmaßnahmen » ISO 27017 Übertragung von Daten » ISO 27701 Informationssicherheit/ Datenschutz » ISO 27018 Regulierung personenbezogener Daten » PS 321 Interne Revision und Abschlussprüfung » PS 330 Abschlussprüfung Informationstechnologie » PS 850 Projektbegleitende Prüfung IT » PS 860 IT-Prüfung außerhalb Abschlussprüfung » PS 880 Prüfung Software-Produkte » PS 951 Prüfung IKS-Dienstleister » PS 980 GoP Compliance- Managementsysteme » PS 981 GoP Risikomanagementsysteme » PS 983 GoP interne Revisionssysteme » ITIL Information Technology Infrastructure Library » COBIT Control Objectives Information Related Technology Quelle: PPI AG. onelle Sicherheit. Daher ist eine Risikoanalyse angezeigt, die sich zum Beispiel auf Gefahren durch ausfallende oder minderwertige Serviceleistungen erstreckt sowie auch auf solche aus Systemen, Prozessen, menschlichen Fehlleistungen oder externen Effekten. Kleinere und wenig verflochtene Organisationen können sich auf qualitative Ansätze der Risikobeurteilung beschränken. Größere Institute sind hingegen zu anspruchsvolleren quantitativen Ansätzen verpflichtet. Die Ergebnisse dieser Betrachtungen müssen dokumentiert werden und bei der finalen Entscheidungsfindung Berücksichtigung finden. Als Resultat ergibt sich eine fundierte Antwort auf die Frage: Werden Risiken durch die Auslagerung verringert oder erhöht? Was ändert sich? Genau hinschauen ist Pflicht Ein weiterer Aspekt, der nicht vernachlässigt werden sollte, ist die Tatsache, dass jeder Serviceprovider an sich auch ein Risiko darstellt. Grundsätzlich muss der künftige Vertragspartner im Rahmen der Sorgfaltsprüfung durch das Finanzinstitut zwingend eine Registrierung oder Zulassung bei einer zuständigen Behörde nachweisen. Dabei muss zwischen den jeweils für Auftraggeber und Provider zuständigen Institutionen eine Zusammenarbeitsvereinbarung bestehen. Auch darf ein Finanzinstitut nicht als selbstverständlich voraussetzen, dass der künftige Vertragspartner zur Übernahme der Services geeignet ist und die Regulatory Compliance einhält. Hier ist grundsätzlich Kontrolle besser als Vertrauen. Das gilt in besonderem Maße, wenn personenbezogene Daten involviert sind. Schließlich sollten die Verantwortlichen auch prüfen, ob das Handeln des Serviceproviders mit den Werten und dem Verhaltenskodex der eigenen Organisation kompatibel ist. Nach der Analyse: Der Vertrag Sämtliche dieser Vorarbeiten müssen am Ende in ein detailliertes Vertragswerk münden. 1 Darin sind die Verantwortlichkeiten und Belange des Outsourcings bis hin zu einer möglichen Exit-Strategie schriftlich zu fixieren. Nicht vergessen werden darf in diesem Zusammenhang die genaue Führung des Auslagerungsregisters. Dieses sollte möglichst weitreichende und spezifische Angaben zum jeweiligen Arrangement enthalten. Auf Verlangen muss das Finanzinstitut in der Lage sein, den zuständigen Behörden diese Übersicht oder Teile davon in verarbeitbarer elektronischer Form zu übermitteln. Zum normalen Informationsfluss kommt auch die Kommunikation bei Krisenlagen. So ist es geboten, die offiziellen Stellen bei maßgeblichen Veränderungen oder schwerwiegenden Vorfällen zu unterrichten, die substanziellen Einfluss auf die weitere Ausführung der Geschäftsaktivitäten haben könnten. 68 04 | 2022

DIGITALISIERUNG Das Vertragswerk profitiert in jedem Fall von einer guten Vorarbeit. Es enthält zunächst einmal Standards wie eine klare Benennung der Vertragspartner und eindeutige Regelungen zu Rechtswahl, Vergütung, Gewährleistung, Nutzungsrechten, Wettbewerbsverboten, Force Majeure und Change Request Management. Beim Cloud Sourcing gehören aber noch spezifische Absprachen in die Vereinbarung. Dazu zählen: Leistungsbeschreibung und Service Level Agreements, Bestimmungen zum Auditing, Aspekte von Datenschutz und Datenhaltung, Verlagerung an Subunternehmen, Informationspflichten, Beendigung des Vertrags, Notfallplanung. Bereits in der einleitenden Leistungsbeschreibung sollte das Betriebsmodell festgelegt sein, also feststehen, ob es sich um Infrastructure as a Service (IaaS), Platform as a Service (PaaS) oder Software as a Service (SaaS) handelt. Ebenso gehört das Bereitstellungsmodell genannt: Wird in eine Public, Private oder Hybrid Cloud ausgelagert? Unbedingt zum Vertragswerk gehören die Service-Level-Agreements (SLAs). Sie definieren die Dienstleistungen hinsichtlich des Niveaus von Performance und Sicherheit. Ein Outsourcing-Vertrag lässt den Auftraggeber natürlich auch nicht ohne Pflichten, etwa was personelle Ressourcen oder die Bereitstellung von Software angeht. Kontrollen sorgen für Transparenz Da die Verantwortung beim Finanzinstitut verbleibt, ist es natürlich nur recht und billig, dass sich dieses ausreichende Prüfungsrechte einräumen lässt. Daher muss ein Vertrag auch die Überprüfung der ausgelagerten Prozesse auf Einhaltung aller vereinbarten Parameter festschreiben. Den internen Kontrollinstanzen des Auftraggebers, einem beauftragten Dritten oder der internen Revision des Auftragnehmers muss eine Kontrolle auf Basis eines risikobasierten Ansatzes jederzeit möglich sein– auch vor Ort. Deshalb gehören die physischen Standorte aller mit dem Auftrag verbundenen Rechenzentren in den Vertrag. Der Cloud-Anbieter hat dem Finanzdienstleister dabei sehr weitgehende Rechte einzuräumen: uneingeschränkten Zugriff auf Informationen, Daten, Geräte, Systeme, Netzwerke sowie jederzeitige Einsicht in die durchgeführten Prozesse und Kontrollschritte. Möchte der beauftragte Dienstleister einzelne (Teil-)Aufgaben an Subunternehmer vergeben, gehört auch dieses vorab vertraglich geregelt. Hier sind grundsätzliche Festlegungen notwendig, welche Prozessschritte auf Dritte verlagert werden dürfen. Die Subunternehmen und die an sie vergebenen Aufgaben müssen benannt sein. Für die Erfüllung der so weitergereichten Leistungen ist der Auftragnehmer als Vertragspartner des Instituts diesem gegenüber verantwortlich. Informations- und Prüfungsrechte sowie Kontrollmöglichkeiten des Auftraggebers und der Aufsicht gegenüber dem Dienstleister gelten in vollem Umfang auch gegenüber den Subunternehmen. Grundsätzlich sollten sich Finanzdienstleister hinsichtlich der Weitervergabe von Aufgaben an Dritte einen Zustimmungsvorbehalt einräumen lassen. 04 | 2022 69

die bank

© die bank 2014-2020