So setzten Finanzunternehmen Regulatorik und Compliance in der Cloud erfolgreich um

Wie lassen sich die Vorteile der Cloud nutzen, ohne gegen Regularien zu verstoßen oder unnötige Risiken einzugehen? Das Hamburger Beratungs- und Softwarehaus PPI hat hierzu ein neues Whitepaper mit dem Titel „Cloud Sourcing und Regulatorik – Handlungserfordernisse und Vertragsgestaltung“ veröffentlicht. Dieses vermittelt einen Überblick über notwendige Vorabprüfungen beim Outsourcing und informiert über eine geeignete Vertragsgestaltung.

[U}m die gesetzten Ziele tatsächlich zu erreichen, erfordern Cloud-Sourcing-Projekte in der hochreglementierten Finanzbranche umfangreiche Vorarbeiten. Das aktuelle Whitepaper „Cloud Sourcing und Regulatorik“ des Hamburger Beratungs- und Softwarehauses PPI zeigt auf, dass insbesondere bei der Auslagerung unternehmenskritischer Prozesse zahlreiche Analysen unverzichtbar sind, will man das eigene Geschäft nicht in Gefahr bringen oder gegen Auflagen der Aufsicht verstoßen. Untrennbar damit verbunden ist eine rechtssichere Vertragsgestaltung, für die das Whitepaper ebenfalls Tipps und Anregungen enthält.

Bei jedem Projekt ist zu bedenken, dass die Bank weiterhin in der Verantwortung für den reibungslosen Geschäftsbetrieb ist, nicht der Dienstleister. Daher ist Cloud Sourcing in den meisten Fällen zwar machbar, aber nicht mal eben so.“

Frank Lohmeier, Partner bei der PPI, Mitautor des Papers

Vorab Klarheit schaffen über Prozesse und Provider

Transparenz ist gefragt beim Cloud Sourcing – sowohl beim Profil der betroffenen Prozesse als auch beim ausgewählten Dienstleister. An erster Stelle der Strategieentwicklung bezüglich einer Auslagerung sollte eine Wesentlichkeitsprüfung stehen, gefolgt von einer Bewertung der Kritikalität. Das Gesamtprojekt muss auf jeden Fall im hausinternen Risikomanagement des Finanzinstituts abgebildet sein. Dies bedeutet, es muss klare Verantwortlichkeiten geben, ebenso wie ausreichende Ressourcen für die Überwachung der Abläufe und zur Einhaltung der regulatorischen Anforderungen.

Eine Risikoanalyse, die bei kleineren Organisationen rein qualitativ sein kann, bei größeren Unternehmungen hingegen quantitativ sein muss, liefert dann fundierte Antworten auf die Fragen: Werden Risiken durch die Auslagerung verringert oder erhöht? Was ändert sich? Auch der Cloud-Sourcing-Partner sollte intensiv unter die Lupe genommen werden. Es wäre ein Fehler, als selbstverständlich anzunehmen, dass der Serviceprovider zur Übernahme der Leistungen geeignet ist und sämtliche relevanten Regularien einhalten kann.

Wir empfehlen zudem die Ernennung eines Auslagerungsbeauftragten, die Position wird ohnehin bald verpflichtend zu besetzen sein. Warum dann nicht gleich?“

Holger Bluhm, Senior Consultant bei der PPI

Das Vertragswerk – komplex ist sicherer

Die Vorarbeiten und Analysen stellen eine stabile Basis für den Vertrag dar, in den neben den gängigen Standards alle Verantwortlichkeiten und Belange des Outsourcings bis hin zu Notfallplanung und Exit-Strategie gehören. Für das Cloud Sourcing müssen zudem spezifische Punkte wie Leistungsbeschreibungen, Service-Level-Agreements oder Bestimmungen zum Auditing vereinbart werden. „So ein Vertragswerk kann schnell einen extremen Komplexitätsgrad erreichen. Das ist aber in erster Linie der kaum überschaubaren Fülle rechtlicher Vorschriften zu verdanken und nicht dem bösen Willen der Rechtsabteilung“, sagt Frank Lohmeier.

Das Whitepaper kann auf der Website von PPI kostenlos als Download angefordert werden, wofür die Angabe persönlicher Daten erforderlich ist.tw