Für die Studie wurden 100 GRC- und IT-Verantwortliche aus Banken, Kapitalanlagegesellschaften und Versicherungen befragt. Ein weiteres Ergebnis lautet: Die Hälfte der Befragten weiß nicht, wie sie die GRC-Anforderungen mit der Auslagerung in die Cloud in Einklang bringen soll. Insbesondere die Einführung einer systematischen Cloud Governance, um die Umsetzung der entwickelten Strategie zu überwachen, sehen 78 Prozent der Befragten als Problemfeld an.
Compliance- und Risk-Prozesse bremsen die digitale Transformation
Hinzu kommt: Fachkräfte mit notwendigen Spezialkenntnissen im Compliance-Bereich sowie in den DORA-spezifischen Schwerpunkten – beispielweise im Informationsrisiko- und Sicherheitsmanagement, Notfallmanagement, IKT-Vorfallsmanagement und Drittparteienrisikomanagement – sind schwer zu finden.
Damit stehen viele Finanzdienstleister vor einem Dilemma: Während das Business nach neuesten digitalen Technologien verlangt, bremsen Compliance- und Risk-Prozesse die Einführung von Cloud-Diensten aus. Innovationskraft und Wettbewerbsfähigkeit können leiden.
Quelle: KPMG in Deutschland/Lünendonk, 2024
Integriertes GRC-Management – der Schlüssel zum Erfolg
Für den Erfolg von Cloud-Initiativen in der Finanzindustrie ist daher das frühzeitige Einbinden der Teams für das Risikomanagement, die Cybersicherheit und den Datenschutz elementar. Risikoabwägungen müssen bereits in der Strategie berücksichtigt und bei der Entscheidung für ein Outsourcing umfassend analysiert werden. Die daraus abgeleiteten Maßnahmen sollten Bestandteil der Verträge mit den Providern sein.
DORA verleiht den Aspekten rund um das Outsourcing und das Management von Drittparteienrisiken noch mehr Dringlichkeit. Denn die Verordnung fordert zur Erhöhung der digitalen Resilienz der Finanzindustrie eine harmonisierte Sicht der beteiligten Bereiche, eine integrierte Zusammenarbeit und eine vollständige Transparenz über alle IT-Verträge.
Das gilt für das Information Security Risk Management (ISRM), das Business und IT Service Continuity Management (BCM/ITSCM), das IT und Cyber Incident Management sowie das Third Party Risk Management (TPRM). Gefragt sind gemeinsame Ansätze, Richtlinien, Risikobewertungen und Testpläne – und damit ein integriertes GRC-Management.
Cloud Operating Model und ein klarer Navigationsplan ebnen den Weg
Ohne das Aufbrechen von Silos wird das nicht funktionieren. Als nützlich haben sich aus unserer Erfahrung dabei der Einsatz integrierter GRC-Monitoring-Tools sowie die systematische Einbindung des Chief Information Security Officer (CISO) erwiesen. Der CISO kann dabei unterstützen, die Informationssicherheit mit der steigenden Regulatorik zu verzahnen, die GRC- und IT-Abteilungen zu entlasten und die Umsetzung von Digitalstrategien zu beschleunigen.
Neben einer integrierten GRC-Strategie tragen außerdem ein leistungsfähiges Cloud Operating Model und ein Navigationsplan zum Erfolg bei. Ein solcher Navigationsplan ermöglicht es, komplexe organisatorische Bausteine innerhalb des Zielbetriebsmodells zu identifizieren, Prozesse zur Verbesserung des Status quo zu priorisieren und Silos zu überwinden.
Weitere Umfrageergebnisse und konkrete Handlungsempfehlungen lesen Sie in unserem ausführlichen Studiendokument, das Sie hier herunterladen können.