Cloud-Einführung: Mit einer integrierten GRC-Strategie zum Erfolg

Eine GRC-Strategie für die Cloud

KPMG-Studie beleuchtet die Hürden für ein Governance-, Risk- und Compliance-Kontrollsystem

Keyfacts:

  • Die Cloud braucht eine integrierte Strategie für Governance, Risk und Compliance – eine KPMG-Studie zeigt, welche Hürden in Finanzunternehmen bei der Umsetzung bestehen.
  • Die nahenden DORA-Anforderungen und der Mangel an Fachleuten erhöhen die Dringlichkeit.
  • Ein Cloud Operating Model und ein klarer Navigationsplan tragen zum Erfolg bei.

Die Cloud wird im Finanzsektor immer mehr zum Standard: In absehbarer Zeit wird die Finanzbranche einen Großteil ihrer IT-Ressourcen aus der Cloud beziehen. Das zeigt zum Beispiel die jüngste Ausgabe der Studie „KPMG Cloud-Monitor Financial Services“.

Denn die Cloud trägt nicht nur zu mehr Flexibilität, zu einer höheren Skalierbarkeit der Daten, zur Entwicklung neuer Geschäftsmodelle und zu Kosteneinsparungen bei. Sie ist als Fundament von Rechenleistung häufig die Voraussetzung für das Implementieren neuer Technologien wie etwa generativer künstlicher Intelligenz.

Umsetzungsprobleme bei Regulatorik und Governance für die Cloud

Doch mit der Nutzung von Cloud-Diensten gehen zahlreiche regulatorische Vorgaben und ein damit verbundener Aufwand für die Unternehmenssteuerung, das Risikomanagement und das Einhalten von Gesetzen und Richtlinien (Governance, Risk und Compliance, GRC) einher.

Aktuell markiert das nahende Inkrafttreten des Digital Operational Resilience Act (DORA) die Anforderungen an die Cloud-Nutzung und das Outsourcing von IT-Leistungen an Drittanbieter im Allgemeinen. Es bleiben nur noch wenige Monate, um die Umsetzungsprogramme nachzuschärfen und auf die Zielgerade zu bringen.

Quelle: KPMG in Deutschland/Lünendonk, 2024

KPMG-Studie zeichnet ein Bild von den Hürden in den Unternehmen

Finanzdienstleister sind daher gefordert, den Spagat zwischen dynamischer technologischer Weiterentwicklung, hohen regulatorischen Anforderungen und laufender IT-Transformation zu meistern. Wie gelingt Banken, Versicherungen und anderen Finanzinstituten dieser Spagat?

Ein Schlaglicht auf die Hürden wirft eine KPMG- Studie, die in Zusammenarbeit mit dem Analystenhaus Lünendonk erstellt wurde. Sie zeigt, dass zwar rund drei Viertel aller befragten Finanzdienstleister ihre IT-Infrastruktur und Anwendungen in die Cloud verlagern wollen, die meisten von ihnen aber die hohen regulatorischen Vorschriften als Hemmnis empfinden.

Spannungsfeld Cloud Transformation & GRC

Ein umfassender Überblick über die Hürden bei der Umsetzung eines Governance, Risk und Compliance-Kontrollsystems (GRC) in Verbindung mit der zunehmenden Cloud-Nutzung. 

Studie herunterladen

Für die Studie wurden 100 GRC- und IT-Verantwortliche aus Banken, Kapitalanlagegesellschaften und Versicherungen befragt. Ein weiteres Ergebnis lautet: Die Hälfte der Befragten weiß nicht, wie sie die GRC-Anforderungen mit der Auslagerung in die Cloud in Einklang bringen soll. Insbesondere die Einführung einer systematischen Cloud Governance, um die Umsetzung der entwickelten Strategie zu überwachen, sehen 78 Prozent der Befragten als Problemfeld an.

Compliance- und Risk-Prozesse bremsen die digitale Transformation

Hinzu kommt: Fachkräfte mit notwendigen Spezialkenntnissen im Compliance-Bereich sowie in den DORA-spezifischen Schwerpunkten – beispielweise im Informationsrisiko- und Sicherheitsmanagement, Notfallmanagement, IKT-Vorfallsmanagement und Drittparteienrisikomanagement – sind schwer zu finden.

Damit stehen viele Finanzdienstleister vor einem Dilemma: Während das Business nach neuesten digitalen Technologien verlangt, bremsen Compliance- und Risk-Prozesse die Einführung von Cloud-Diensten aus. Innovationskraft und Wettbewerbsfähigkeit können leiden.

Quelle: KPMG in Deutschland/Lünendonk, 2024

Integriertes GRC-Management – der Schlüssel zum Erfolg

Für den Erfolg von Cloud-Initiativen in der Finanzindustrie ist daher das frühzeitige Einbinden der Teams für das Risikomanagement, die Cybersicherheit und den Datenschutz elementar. Risikoabwägungen müssen bereits in der Strategie berücksichtigt und bei der Entscheidung für ein Outsourcing umfassend analysiert werden. Die daraus abgeleiteten Maßnahmen sollten Bestandteil der Verträge mit den Providern sein.

DORA verleiht den Aspekten rund um das Outsourcing und das Management von Drittparteienrisiken noch mehr Dringlichkeit. Denn die Verordnung fordert zur Erhöhung der digitalen Resilienz der Finanzindustrie eine harmonisierte Sicht der beteiligten Bereiche, eine integrierte Zusammenarbeit und eine vollständige Transparenz über alle IT-Verträge.

Das gilt für das Information Security Risk Management (ISRM), das Business und IT Service Continuity Management (BCM/ITSCM), das IT und Cyber Incident Management sowie das Third Party Risk Management (TPRM). Gefragt sind gemeinsame Ansätze, Richtlinien, Risikobewertungen und Testpläne – und damit ein integriertes GRC-Management.

Cloud Operating Model und ein klarer Navigationsplan ebnen den Weg

Ohne das Aufbrechen von Silos wird das nicht funktionieren. Als nützlich haben sich aus unserer Erfahrung dabei der Einsatz integrierter GRC-Monitoring-Tools sowie die systematische Einbindung des Chief Information Security Officer (CISO) erwiesen. Der CISO kann dabei unterstützen, die Informationssicherheit mit der steigenden Regulatorik zu verzahnen, die GRC- und IT-Abteilungen zu entlasten und die Umsetzung von Digitalstrategien zu beschleunigen.

Neben einer integrierten GRC-Strategie tragen außerdem ein leistungsfähiges Cloud Operating Model und ein Navigationsplan zum Erfolg bei. Ein solcher Navigationsplan ermöglicht es, komplexe organisatorische Bausteine innerhalb des Zielbetriebsmodells zu identifizieren, Prozesse zur Verbesserung des Status quo zu priorisieren und Silos zu überwinden.

Weitere Umfrageergebnisse und konkrete Handlungsempfehlungen lesen Sie in unserem ausführlichen Studiendokument, das Sie hier herunterladen können.