So setzten Finanzunternehmen Regulatorik und Compliance in der Cloud erfolgreich um
Bei jedem Projekt ist zu bedenken, dass die Bank weiterhin in der Verantwortung für den reibungslosen Geschäftsbetrieb ist, nicht der Dienstleister. Daher ist Cloud Sourcing in den meisten Fällen zwar machbar, aber nicht mal eben so.“
Frank Lohmeier, Partner bei der PPI, Mitautor des Papers
Vorab Klarheit schaffen über Prozesse und Provider
Transparenz ist gefragt beim Cloud Sourcing – sowohl beim Profil der betroffenen Prozesse als auch beim ausgewählten Dienstleister. An erster Stelle der Strategieentwicklung bezüglich einer Auslagerung sollte eine Wesentlichkeitsprüfung stehen, gefolgt von einer Bewertung der Kritikalität. Das Gesamtprojekt muss auf jeden Fall im hausinternen Risikomanagement des Finanzinstituts abgebildet sein. Dies bedeutet, es muss klare Verantwortlichkeiten geben, ebenso wie ausreichende Ressourcen für die Überwachung der Abläufe und zur Einhaltung der regulatorischen Anforderungen.
Eine Risikoanalyse, die bei kleineren Organisationen rein qualitativ sein kann, bei größeren Unternehmungen hingegen quantitativ sein muss, liefert dann fundierte Antworten auf die Fragen: Werden Risiken durch die Auslagerung verringert oder erhöht? Was ändert sich? Auch der Cloud-Sourcing-Partner sollte intensiv unter die Lupe genommen werden. Es wäre ein Fehler, als selbstverständlich anzunehmen, dass der Serviceprovider zur Übernahme der Leistungen geeignet ist und sämtliche relevanten Regularien einhalten kann.
Wir empfehlen zudem die Ernennung eines Auslagerungsbeauftragten, die Position wird ohnehin bald verpflichtend zu besetzen sein. Warum dann nicht gleich?“
Holger Bluhm, Senior Consultant bei der PPI
Das Vertragswerk – komplex ist sicherer
Die Vorarbeiten und Analysen stellen eine stabile Basis für den Vertrag dar, in den neben den gängigen Standards alle Verantwortlichkeiten und Belange des Outsourcings bis hin zu Notfallplanung und Exit-Strategie gehören. Für das Cloud Sourcing müssen zudem spezifische Punkte wie Leistungsbeschreibungen, Service-Level-Agreements oder Bestimmungen zum Auditing vereinbart werden. „So ein Vertragswerk kann schnell einen extremen Komplexitätsgrad erreichen. Das ist aber in erster Linie der kaum überschaubaren Fülle rechtlicher Vorschriften zu verdanken und nicht dem bösen Willen der Rechtsabteilung“, sagt Frank Lohmeier.
Das Whitepaper kann auf der Website von PPI kostenlos als Download angefordert werden, wofür die Angabe persönlicher Daten erforderlich ist.tw
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/139747
Schreiben Sie einen Kommentar