Cloud-Technologien für Banken und die Regulatorik

Risiken und Verantwortlichkeiten

Abonnieren Sie den kostenlosen Bank Blog Newsletter

Immer mehr Kreditinstitute lagern IT-Systeme in die Cloud aus. Dabei gilt es, Risiken und regulatorischen Verantwortlichkeiten zu beachten. Ein aktuelles Whitepaper gibt Hinweise für die konkrete Vertragsgestaltung.

Aktuelle Trends, Studien und Research zu Aufsicht, Regulierung und Compliance

Aufsichtsrechtliche Anforderungen, Regulierung und Compliance werden von den meisten Banken und Sparkassen als Last empfunden. Dabei sichern diese die Sicherheit und damit die Existenz unseres modernen Bankensystems und ermöglichen, richtig genutzt, auch Chancen im Kundengeschäft. Im Bank Blog finden Sie aktuelle Studien zu Trends und Entwicklungen in diesem Bereich.

Partner des Bank Blogs

Deloitte ist Partner des Bank Blogs

Aktuell sehen sich Finanzinstitute einem sehr dynamischen Markt- und Wettbewerbsumfeld gegenüber. Die Innovations- und Produktzyklen werden immer kürzer, der Innovationsdruck steigt und das Thema IT hat im Vergleich zu früheren Jahren immens an unternehmensstrategischer Bedeutung gewonnen. Eine Verlagerung einzelner Anwendungen oder ganzer Prozesslandschaften in die Cloud ist vor diesem Hintergrund eine logische Reaktion.

Von einer solchen Auslagerung in die Cloud erwarten Finanzinstitute vielfältige positive Effekte. Im Vordergrund stehen Kostensenkungen, Produktivitätssteigerungen und mehr Flexibilität. Dabei sollten sie aber die Risiken und regulatorischen Verantwortlichkeiten nicht aus dem Blick verlieren. Den Vorteilen der Cloud stehen grundsätzlich Sicherheitsaspekte und das regulatorische Verantwortungsprinzip gegenüber. Ein aktuelles Whitepaper der PPI AG hat sich mit diesen Themen auseinandergesetzt.

Banken bleiben in der Verantwortung

Mit einer Cloud Lösung verlieren Banken den unmittelbaren Zugriff auf ihre IT und somit einen Teil der eigenen Steuerungshoheit, während ihre Verantwortung gegenüber den Aufsichtsbehörden bestehen bleibt.

Entsprechend wichtig ist es, dass Finanzinstitute und Cloud-Anbieter Rechte und Pflichten möglichst exakt reglementieren. Das Whitepaper zeigt, welche Gesetze, Regularien und IT-Standards existieren und welche Inhalte ein Vertragswerk für Outsourcing-Vorhaben in die Cloud abdecken muss.

Gesetzliche und regulatorische Vorgaben für die Banking-Cloud

Um die gesetzten Ziele tatsächlich zu erreichen, erfordern Cloud-Sourcing-Projekte in der hochreglementierten Finanzbranche umfangreiche Vorarbeiten. Insbesondere bei der Auslagerung unternehmenskritischer Prozesse sind zahlreiche Analysen unabdingbar, um das eigene Geschäft nicht in Gefahr zu bringen oder gegen Auflagen der Aufsicht zu verstoßen. Zahlreiche gesetzliche und regulatorische Vorgaben sowie weitere Standards zur Reglementierung der Beziehungen zwischen Banken und Cloud-Anbietern bilden den Rahmen für ein Cloud Sourcing.

Sowohl während des initialen Auslagerungsprozesses als auch in der Vertragsphase sind im Risikomanagement sowie im gesamten Governance-Framework vielfältige Anforderungen zu erfüllen. Informationssicherheit und die Erfüllung von Berichtspflichten sind nur zwei Beispiele.

Für die Durchführung von Cloud Computing im gesetzlich zulässigen Rahmen muss das Vertragswerk die notwendigen Vereinbarungen zu Leistungsgegenstand, Auditrechten, Weiterverlagerungen, Datenschutz, Kündigungsrechten und weiteren Aspekten beinhalten.

Klarheit schaffen über Prozesse und Provider

Transparenz ist gefragt beim Cloud Sourcing – sowohl beim Profil der betroffenen Prozesse als auch beim ausgewählten Dienstleister. An erster Stelle einer Auslagerung sollte daher eine Wesentlichkeitsprüfung stehen, gefolgt von einer Bewertung der Kritikalität.

Das Gesamtprojekt muss auf jeden Fall im hausinternen Risikomanagement des Finanzinstituts abgebildet sein. Dies bedeutet, es muss klare Verantwortlichkeiten geben, ebenso wie ausreichende Ressourcen für die Überwachung der Abläufe und zur Einhaltung der regulatorischen Anforderungen.

Risikoanalyse zur Auslagerung in die Cloud

Eine Risikoanalyse, die bei kleineren Organisationen rein qualitativ sein kann, bei größeren Unternehmungen hingegen quantitativ sein muss, liefert dann fundierte Antworten auf die Fragen:

  • Werden Risiken durch die Auslagerung verringert oder erhöht?
  • Was ändert sich?

Auch der Cloud-Sourcing-Partner sollte intensiv unter die Lupe genommen werden. Es wäre ein Fehler, als selbstverständlich anzunehmen, dass der Serviceprovider zur Übernahme der Leistungen geeignet ist und sämtliche relevanten Regularien einhalten kann.

Zudem wird empfohlen, einen Auslagerungsbeauftragten zu ernennen, zumal die Position ohnehin bald verpflichtend zu besetzen sein wird.

Sicherheit durch Verträge

Die Vorarbeiten und Analysen stellen eine stabile Basis für den Vertrag dar, in den neben den gängigen Standards alle Verantwortlichkeiten und Belange des Outsourcings bis hin zu Notfallplanung und Exit-Strategie gehören. Für das Cloud Sourcing müssen zudem spezifische Punkte wie Leistungsbeschreibungen, Service Level Agreements oder Bestimmungen zum Auditing vereinbart werden.

Premium Abonnenten des Bank Blogs haben direkten kostenfreien Zugriff auf die Bezugsinformationen zu Studien und Whitepapern.

Sie sind bereits Abonnent? Hier geht es zum Login
 

Noch kein Premium-Leser?
Premium Abonnenten des Bank Blogs haben direkten Zugriff auf alle kostenpflichtigen Inhalte des Bank Blogs (Studienquellen, E-Books etc.) und viele weitere Vorteile.

>>> Hier anmelden <<<

Ein Service des Bank Blogs
Der Bank Blog prüft für Sie regelmäßig eine Vielzahl von Studien/Whitepapern und stellt die relevanten hier vor. Als besonderer Service wird Ihnen die Suche nach Bezugs- und Downloadmöglichkeiten abgenommen und Sie werden direkt zur Anbieterseite weitergeleitet. Als Premium Abonnent unterstützen Sie diesen Service und die Berichterstattung im Bank Blog.

Über den Autor

Dr. Hansjörg Leichsenring

Dr. Hansjörg Leichsenring ist Herausgeber des Bank Blogs und der Finanzbranche seit über 30 Jahren beruflich verbunden. Nach Banklehre und Studium arbeitete er in verschiedenen Positionen, u.a. als Direktor bei der Deutschen Bank, als Vorstand einer Sparkasse und als Geschäftsführer eines Online Brokers. Als Experte für Strategien in den Bereichen Digitalisierung, Innovation und Vertrieb ist er gefragter Referent und Moderator bei internen und externen Veranstaltungen im In- und Ausland.

Vielen Dank fürs Teilen und Weiterempfehlen


Mit dem kostenlosen Bank Blog Newsletter immer informiert bleiben:

Anzeige

Kommentare sind geschlossen

Bank Blog Newsletter abonnieren

Bank Blog Newsletter abonnieren