Montag, 3. Dezember 2018

Cloud Computing nach den BAIT

Aufsichtsrechtliche Anforderungen und Prüfungserfahrungen

 

Maria Lodhi, Senior IT-Revisorin, Interne Revision, KfW Bankengruppe

Cloud Computing beschreibt einen internetbasierten Entwicklungsansatz, bei dem ein Anbieter komplexe Leistungen aus Soft- und Hardware in Form eines abstrakten Dienstes bereitstellt. Cloud ist die Basis für digitalisierte Geschäftsmodelle und -prozesse, wie sie Unternehmen in Zukunft prägen werden. Durch das Cloud Computing ist zwar nach wie vor die Kostensenkung eines der wichtigen Ziele der Unternehmen, jedoch treten wesentliche Aspekte wie Sicherheit der Applikation und Daten sowie Fragen nach dem Prozess-Know-how immer stärker in den Vordergrund. Zudem müssen die Anforderungen der MaRisk und BAIT nach wie vor erfüllt werden. Die BAIT verlangt eine Risikobewertung und eine Analyse der Wesentlichkeit der Auslagerung. Ferner sind klare Verantwortlichkeiten für die Steuerung und Überwachung der ausgelagerten Tätigkeiten vertraglich festzustellen.

Auslagerung in die Cloud – Wie identifiziere ich meine Risiken?

Die Einstufung der Wesentlichkeit einer Auslagerung in die Cloud ist auf Grundlage der Risikoanalyse durchzuführen. Die Intensität der Analyse ist von Art, Umfang, Komplexität und Risikogehalt der ausgelagerten Aktivitäten und Prozesse abhängig. Auch bei jedem Bezug von Software sind die damit verbundenen Risiken angemessen zu bewerten (vgl. AT 7.2 Tz. 4 Satz 2 MaRisk). Wegen der grundlegenden Bedeutung der IT für das Institut ist auch für jeden sonstigen Fremdbezug von IT-Dienstleistungen vorab eine Risikobewertung durchzuführen (vgl. Ziffer 8. Tz. 53 BAIT).

SEMINARTIPPS

Digitalisierung im Konten-/Zahlungsverkehr: Praxis & Prüfung, 08.04.2019, Frankfurt/M.

Konto & ZV Spezial: Digitale Authentifizierung, 09.04.2019, Frankfurt/M.

Blockchain: Formen & Einsatzmöglichkeiten, 10.04.2019, Frankfurt/M.

Digitales Kreditgeschäft, 11.04.2019, Köln.

Neue aufsichtliche Vorgaben für Cloud-Nutzungen, 11.04.2019, Frankfurt/M.


Für die Erhebung von internen und externen Anforderungen sollten die folgenden Fragestellungen vorab geklärt werden:

  • Welche fachlichen, funktionalen und nicht-funktionalen Anforderungen gibt es?
  • Welche internen Anforderungen habe ich an Informationssicherheit, Datenschutz, Weiterentwicklung und Betrieb von Anwendungen und Identity- und Access-Management (Berechtigungen)?
  • Welche Anforderungen aus der Unternehmens- und IT-Strategie bzgl. Risikoneigung, Innovationsfreudigkeit, Programmiersprachen und Datenhaltung muss ich berücksichtigen?
  • Was muss ich bzgl. Providersteuerung schriftlich festlegen und beachten? (Service Level Agreements, Prüfrechte, Reporting)
Risiken lassen sich nicht auslagern – Wie kann ich den Dienstleister steuern?

Risiken wesentlicher Auslagerungen sind angemessen zu steuern und die Ausführung der ausgelagerten Aktivitäten und Prozesse ordnungsgemäß zu überwachen.

Dies umfasst auch die regelmäßige Beurteilung der Leistung des Auslagerungsunternehmens anhand vorzuhaltender Kriterien. Für die Steuerung und Überwachung wesentlicher Auslagerungen hat das Institut klare Verantwortlichkeiten festzulegen.

Prüfrechte beim Dienstleister (ISAE 3402 Typ B Bescheinigung/IDW PS 951 Typ 2)

Ein Service Level Agreement (SLA) enthält in der Regel die folgenden Informationen:

  • Beschreibung der Cloud Computing-Leistungen
  • Angaben zum Ort der Leistungserbringung und Rechtsrahmen
  • Angaben zu den angewendeten Standards und Normen
  • Beschreibung der Verantwortung des Dienstleisters und des Kunden
  • Angaben zur Verfügbarkeit (Zeiten) der Leistung und zur max. Ausfallzeit
  • Angaben zum Eskalationsprozess und zum Notfallprozess mit Ansprechpartnern
  • Definition von IKS-Maßnahmen und KPIs sowie deren Messung
  • Angaben zur Wartung und Weiterentwicklung
  • Angaben zur Preisgestaltung und Abrechnung
  • Reaktionszeiten und Wiederanlaufzeiten
  • Angaben zu regelmäßigen Audits/Zertifizierungen

PRAXISTIPPS

  • Erstellen Sie je Cloud-Computing-Anwendung eine Analyse der spezifischen Risiken und Anforderung.
  • Etablieren Sie eine Cloud Computing Strategie und stellen Sie sicher, dass diese mit der Unternehmens- und IT-Strategie im Einklang steht.
  • Erstellen Sie übergeordnete Richtlinien und Überwachungsprozesse und legen Sie Ihr Risikoprofil fest.
  • Erstellen Sie Regelungen und Prozesse zur Einführung, zum Betrieb und zur Beendigung von Cloud Computing.
  • Identifizieren Sie Risiken und implementieren Sie angemessene und wirksame Kontrollen, um die Risiken auf das gewünschte Niveau zu mitigieren.
FCH Consult Logo



Beitragsnummer: 987

Beitrag teilen:

Beiträge zum Thema:

Beitragsicon
Unternehmensnachfolgen innovativ finanzieren – Übergaben ermöglichen!

Banken können ihre Unternehmenskunden bei Nachfolgeprozessen mithilfe von Asset Based Finance unterstützen, auch in wirtschaftlich unsicheren Zeiten.

06.02.2025

Beitragsicon
CO²-Emissionen werden Pflicht für das Risikomanagement von Banken

EBA-Guidelines zum Management von ESG-Risiken, ESRS E1 und CSRD stellen neue Anforderungen an Bank mit Schwerpunkt auf CO²-Emssionen und Transitionspläne

10.04.2025

Beitragsicon
Kein Widerruf nach vollständiger Erfüllung eines Kreditvertrags

Ein Verbraucher kann sich nach vollständiger Erfüllung aller vertraglichen Verpflichtungen aus einem Kreditvertrag nicht mehr auf sein Widerrufsrecht berufen.

17.04.2024

Beitragsicon
Finanzierung von Einzelhandelsimmobilien in konjunkturschwachen Zeiten

Investitionen und Finanzierungen im Einzelhandel sind schon vor der Pandemie schwieriger geworden - und nun in konjunkturschwachen Zeiten erst recht.

17.09.2024

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit dem Tool Matomo aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Matomo.