Immer mehr Kreditinstitute lagern IT-Systeme in die Cloud aus. Dabei gilt es, Risiken und regulatorischen Verantwortlichkeiten zu beachten. Ein aktuelles Whitepaper gibt Hinweise für die konkrete Vertragsgestaltung.
Aktuell sehen sich Finanzinstitute einem sehr dynamischen Markt- und Wettbewerbsumfeld gegenüber. Die Innovations- und Produktzyklen werden immer kürzer, der Innovationsdruck steigt und das Thema IT hat im Vergleich zu früheren Jahren immens an unternehmensstrategischer Bedeutung gewonnen. Eine Verlagerung einzelner Anwendungen oder ganzer Prozesslandschaften in die Cloud ist vor diesem Hintergrund eine logische Reaktion.
Von einer solchen Auslagerung in die Cloud erwarten Finanzinstitute vielfältige positive Effekte. Im Vordergrund stehen Kostensenkungen, Produktivitätssteigerungen und mehr Flexibilität. Dabei sollten sie aber die Risiken und regulatorischen Verantwortlichkeiten nicht aus dem Blick verlieren. Den Vorteilen der Cloud stehen grundsätzlich Sicherheitsaspekte und das regulatorische Verantwortungsprinzip gegenüber. Ein aktuelles Whitepaper der PPI AG hat sich mit diesen Themen auseinandergesetzt.
Banken bleiben in der Verantwortung
Mit einer Cloud Lösung verlieren Banken den unmittelbaren Zugriff auf ihre IT und somit einen Teil der eigenen Steuerungshoheit, während ihre Verantwortung gegenüber den Aufsichtsbehörden bestehen bleibt.
Entsprechend wichtig ist es, dass Finanzinstitute und Cloud-Anbieter Rechte und Pflichten möglichst exakt reglementieren. Das Whitepaper zeigt, welche Gesetze, Regularien und IT-Standards existieren und welche Inhalte ein Vertragswerk für Outsourcing-Vorhaben in die Cloud abdecken muss.
Gesetzliche und regulatorische Vorgaben für die Banking-Cloud
Um die gesetzten Ziele tatsächlich zu erreichen, erfordern Cloud-Sourcing-Projekte in der hochreglementierten Finanzbranche umfangreiche Vorarbeiten. Insbesondere bei der Auslagerung unternehmenskritischer Prozesse sind zahlreiche Analysen unabdingbar, um das eigene Geschäft nicht in Gefahr zu bringen oder gegen Auflagen der Aufsicht zu verstoßen. Zahlreiche gesetzliche und regulatorische Vorgaben sowie weitere Standards zur Reglementierung der Beziehungen zwischen Banken und Cloud-Anbietern bilden den Rahmen für ein Cloud Sourcing.
Sowohl während des initialen Auslagerungsprozesses als auch in der Vertragsphase sind im Risikomanagement sowie im gesamten Governance-Framework vielfältige Anforderungen zu erfüllen. Informationssicherheit und die Erfüllung von Berichtspflichten sind nur zwei Beispiele.
Für die Durchführung von Cloud Computing im gesetzlich zulässigen Rahmen muss das Vertragswerk die notwendigen Vereinbarungen zu Leistungsgegenstand, Auditrechten, Weiterverlagerungen, Datenschutz, Kündigungsrechten und weiteren Aspekten beinhalten.
Klarheit schaffen über Prozesse und Provider
Transparenz ist gefragt beim Cloud Sourcing – sowohl beim Profil der betroffenen Prozesse als auch beim ausgewählten Dienstleister. An erster Stelle einer Auslagerung sollte daher eine Wesentlichkeitsprüfung stehen, gefolgt von einer Bewertung der Kritikalität.
Das Gesamtprojekt muss auf jeden Fall im hausinternen Risikomanagement des Finanzinstituts abgebildet sein. Dies bedeutet, es muss klare Verantwortlichkeiten geben, ebenso wie ausreichende Ressourcen für die Überwachung der Abläufe und zur Einhaltung der regulatorischen Anforderungen.
Risikoanalyse zur Auslagerung in die Cloud
Eine Risikoanalyse, die bei kleineren Organisationen rein qualitativ sein kann, bei größeren Unternehmungen hingegen quantitativ sein muss, liefert dann fundierte Antworten auf die Fragen:
- Werden Risiken durch die Auslagerung verringert oder erhöht?
- Was ändert sich?
Auch der Cloud-Sourcing-Partner sollte intensiv unter die Lupe genommen werden. Es wäre ein Fehler, als selbstverständlich anzunehmen, dass der Serviceprovider zur Übernahme der Leistungen geeignet ist und sämtliche relevanten Regularien einhalten kann.
Zudem wird empfohlen, einen Auslagerungsbeauftragten zu ernennen, zumal die Position ohnehin bald verpflichtend zu besetzen sein wird.
Sicherheit durch Verträge
Die Vorarbeiten und Analysen stellen eine stabile Basis für den Vertrag dar, in den neben den gängigen Standards alle Verantwortlichkeiten und Belange des Outsourcings bis hin zu Notfallplanung und Exit-Strategie gehören. Für das Cloud Sourcing müssen zudem spezifische Punkte wie Leistungsbeschreibungen, Service Level Agreements oder Bestimmungen zum Auditing vereinbart werden.
Premium Abonnenten des Bank Blogs haben direkten kostenfreien Zugriff auf die Bezugsinformationen zu Studien und Whitepapern.
Noch kein Premium-Leser?
Premium Abonnenten des Bank Blogs haben direkten Zugriff auf alle kostenpflichtigen Inhalte des Bank Blogs (Studienquellen, E-Books etc.) und viele weitere Vorteile.
>>> Hier anmelden <<<
Neu: Tagespass Studien
Sie wollen direkten Zugriff auf einzelne Studien, aber nicht gleich ein Premium-Abonnement abschließen? Dann ist der neue Tagespass Studien genau das richtige für Sie. Mit ihm erhalten Sie für 24 Stunden direkten Zugriff auf sämtliche Studienquellen.
>>> Tagespass Studien kaufen <<<
Ein Service des Bank Blogs
Der Bank Blog prüft für Sie regelmäßig eine Vielzahl von Studien/Whitepapern und stellt die relevanten hier vor. Als besonderer Service wird Ihnen die Suche nach Bezugs- und Downloadmöglichkeiten abgenommen und Sie werden direkt zur Anbieterseite weitergeleitet. Als Premium Abonnent unterstützen Sie diesen Service und die Berichterstattung im Bank Blog.