Outsourcing- und Cloud-Glossar

Hier findest du alle wichtigen Begriffsdefinitionen rund um Cloud, Outsourcing & AI sowie zu unseren Querschnittsthemen Governance, Risk & Compliance, IT Financial Management und Transformation Adoption.

Ursprünglich handelte es sich hierbei um einen Auszug des Glossars des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM). Einige Begriffserklärungen wurden von uns umformuliert und an aktuelle Erfordernisse angepasst. Außerdem wurde das Glossar über die Jahre durch zahlreiche eigene Begriffsdefinitionen ergänzt.

Das vollständige Glossar der BITKOM ist hier zu finden: www.bitkom.org/Bitkom/Publikationen/Terminologie-Outsourcing.html

Cloud Audit

Grundsätzlich handelt es sich bei einem Audit um eine Untersuchung von Prozessen, Aktivitäten, Ergebnissen oder eines internen Kontrollsystems (IKS) durch einen Dritten. Dies ist in der Regel ein unabhängiges Unternehmen (z.B. Wirtschaftsprüfungsgesellschaft). Die Prüfung ermittelt den Grad der Erfüllung bzw. Einhaltung von definierten Anforderungen, Normen oder Standards. Ein Audit dokumentiert so den aktuellen Kenntnisstand über die optimale Gestaltung für geprüfte Systemteile und -prozesse der Dokumentation von sog. Auditoren oder Assessoren.

Bei einem Cloud Audit steht die Private oder Public Cloud im Fokus der Auditierung. Grundsätzlich gelten hier die gleichen Vorgaben wie bei traditionellen IT-Auditierungen. Die European Banking Association (EBA) hat für Finanzdienstleister festgestellt, dass gerade bei Public-Cloud-Anbietern eine Auditierung schwierig sein kann, da die namhaften Anbieter (z.B. Microsoft Azure, Amazon AWS, Google etc.) eine Auditierung oft verweigern. Aus diesem Grund hat die EBA die Möglichkeit des sog. Pooled Audits anerkannt. Pooled Audits ermöglichen es einer Gruppe von Finanzinstituten eine Auditierung vorzunehmen, die zur gleichen Zeit stattfindet und durch den gleichen Auditor durchgeführt wird. Dies soll die Kosten für die auditierenden Finanzinstitute und der Cloud Provider reduzieren.

Gemäß der Verordnung der EBA sollten von Pooled Audits nur dann Gebrauch gemacht werden, wenn:

  • sichergestellt ist, dass der Umfang des Zertifizierungs- oder Auditberichts die wesentlichen Systeme und Kontrollmechanismen durch das Institut, sowie relevante regulatorische Anforderungen abgedeckt;
  • sie den Inhalt der Zertifizierungen oder Auditberichte fortlaufend bewerten und sicherstellen, dass der Bericht nicht obsolet ist und dass die Zertifizierungen ausgestellt werden und die Audits nach allgemein anerkannten einschlägigen professionellen Standards durchgeführt werden und ein Test für die Funktionsfähigkeit der Schlüsselkontrollen vorhanden ist;
  • sie sicherstellen, dass wichtige Systeme und Kontrollen in zukünftigen Versionen des Zertifizierungs- oder Auditberichts behandelt werden;
  • sie mit der Eignung der zertifizierenden oder prüfenden Partei zufrieden sind (z. B. in Bezug auf die Rotation der zertifizierenden oder prüfenden Gesellschaft, Qualifikationen, Fachwissen, Überprüfung der in der zugrunde liegenden Prüfungsakte enthaltenen Nachweise);
  • sie das vertragliche Recht haben, die Erweiterung des Geltungsbereichs der Zertifizierungen oder Auditberichte auf andere relevante Systeme und Kontrollen zu beantragen, und das Recht behalten, einzelne Audits nach eigenem Ermessen durchzuführen. Die Anzahl und Häufigkeit der Anträge auf Änderung des Geltungsbereichs ist nicht definiert, soll aber aus Sicht des Risikomanagements auf das begrenzt sein, was legitim ist.

Quelle: EBA

Mit dem Wissen um die erforderliche Cloud Compliance unterstützt microfin branchenübergreifend IT- und Fachbabteilungen bei der Vorbereitung solcher Audits. Unsere Checkliste für Governance, Risk und Compliance (GRC) im IT-Outsourcing zeigt zudem cloudspezifische Aspekte (Rollen, Prozesse, Instrumente, gesetzliche und regulatorische Anforderungen etc.) auf, die Gegenstand eines Audits sein können und in der Organisation implementiert sein sollten.

Zurück

Es handelt sich hierbei um einen Auszug des Glossars des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM). Einige Begriffserklärungen wurden von uns umformuliert und dadurch an aktuelle Erfordernisse angepasst. Außerdem wurde das Glossar über die Jahre durch eigene Begriffsdefinitionen ergänzt.

Auch interessant für dich

CloudGate - Onboarding, Compliance, Risks

Kennst du CloudGate, unser SaaS-Tool für noch schnelleres Cloud Onboarding sowie Compliance und Risk Management? Hier erfährst du mehr und kannst es kostenlos testen.

Cloud-Kosten-Rechner online

Berechne mit unserem Cloud-Kosten-Rechner einfach und schnell, welcher Cloud-Anbieter für Infrastructure as a Service (IaaS) der geeignetste ist.

Unterstützung bei Ausschreibungen

Seit über 20 Jahren reduzieren wir für unsere Kunden die Komplexität bei der Auswahl von IT- und BPO-Dienstleistern und machen Outsourcings beherrschbar. Hier erfährst du mehr.