Kontaktieren Sie mich: Ganghoferstraße 29 / 80339 München T +49 174 3062769 M +49 899 2824577 Nachricht schreiben

„Cloud Compliance einfach gemacht“

Im Rahmen ihrer Digitalisierungsstrategie nutzen deutsche Finanzdienstleistungsunternehmen zunehmend Public Cloud Dienstleistungen. Mit dem Angebot von effizienten Homeoffice-Lösungen hat sich dieser Trend seit Beginn der Corona Pandemie noch verstärkt. Wie der KPMG Cloud Monitor 2020: Financial Services zeigt, stehen hierbei die Finanzdienstleistungsunternehmen vor Herausforderungen in den Bereichen Security, Compliance sowie in den Geschäftsprozessen bzw. IT-Prozessen. Hier gilt es die Anforderungen der unterschiedlichen Stakeholder (z.B. Aufsicht, Kunden, Interner Revision, Wirtschaftsprüfer) zu erfüllen. Weiterhin gilt zu beachten, dass die Cloud Compliance Anforderungen weiter steigen und von der Entwicklung auf EU-Ebene geprägt sind. In Abhängigkeit der in der Cloud verarbeiteten Daten, sind Datenschutz, Aufsichtsrecht, Rechnungslegungs- und Informationssicherheitsstandards zu beachten.

Einzelne und isolierte Lösungen helfen hierbei nicht. Es bedarf eines ganzheitlichen Ansatzes, der regelmäßig überprüft und an sich ändernde Anforderungen angepasst wird. Hierfür haben wir ein Embedded Cloud Compliance Framework (ECCF) entwickelt, das Informationssicherheit, Datenschutz und Aufsichtsrecht integriert. Entsprechend den individuellen Anforderungen wird das ECCF neu aufgebaut oder an die bereits bestehende Organisationsstruktur angepasst. Dabei wird berücksichtigt, dass die Compliance auch nachgewiesen werden muss (z.B. in Form eines Prüfberichts). Das ECCF beinhaltet Richtlinien, Prozesse und Kontrollen und orientiert sich am Three-Lines-of-Defence Modell. Im Rahmen des ECCF Ansatzes wird zunächst festgelegt, welche Compliance Anforderungen (z.B. Informationssicherheit nach dem Kriterienkatalog Cloud Computing des Bundesamts für Sicherheit in der Informationssicherheit – BSI C5:2020, Datenschutz nach dem Prüfungshinweis des Instituts der Wirtschaftsprüfer IDW PH 9.860.1) abgedeckt werden sollen. Sind diese Anforderungen abgesteckt, werden sie maßgeschneidert umgesetzt. Hierfür wird ein Implementierungsplan auf Basis einer Standortbestimmung bzw. Reifegradermittlung festgelegt. Die Umsetzung wird durch Better Practice Templates für Richtlinien, Prozesse und Kontrollen unterstützt. Hierbei werden die die Sicherheitsmöglichkeiten der Cloud Technologie (z.B. Erzwingen von Verschlüsselungen, Protokollierungen) zur Abdeckung von Compliance Anforderungen genutzt. Synergien werden aber auch bei der einheitlichen Gestaltung von Prozessen bzw. Kontrollen (z.B. Data Breach / Security Incident Management) gehoben. Cloud Enabler (z.B. Cloud Center of Excellence) unterstützen bei der Transformation und erhöhen die Akzeptanz sowie Effizienz.

Als Wirtschaftsprüferin und Steuerberaterin beschäftigt sich Elvira Niedermeier seit über 20 Jahren mit der Prüfung und Beratung von Versicherungsunternehmen und Banken. Sie berät Finanzdienstleister hinsichtlich regulatorischer und Compliance Anforderungen im IT-Bereich. Schwerpunkte hierbei war die IT-Transformation, das Outsourcing von IT-Dienstleistungen sowie das Provider-Management und der Aufbau von Compliance Frameworks beim Dienstleister einschließlich von Attestierungen. In jüngster Zeit konzentriert sich Elvira auf Cloud Auslagerungen, den Aufbau und die Implementierung von Cloud Compliance Frameworks sowie deren Attestierung.