Cloud Audit

Grundsätzlich handelt es sich bei einem Audit um eine Untersuchung von Prozessen, Aktivitäten, Ergebnissen oder eines internen Kontrollsystems (IKS) durch einen Dritten. Dies ist in der Regel ein unabhängiges Unternehmen (z.B. Wirtschaftsprüfungsgesellschaft). Die Prüfung ermittelt den Grad der Erfüllung bzw. Einhaltung von definierten Anforderungen, Normen oder Standards. Ein Audit dokumentiert so den aktuellen Kenntnisstand über die optimale Gestaltung für geprüfte Systemteile und -prozesse der Dokumentation von sog. Auditoren oder Assessoren.

Bei einem Cloud Audit steht die Private oder Public Cloud im Fokus der Auditierung. Grundsätzlich gelten hier die gleichen Vorgaben wie bei traditionellen IT-Auditierungen. Die European Banking Association (EBA) hat für Finanzdienstleister festgestellt, dass gerade bei Public-Cloud-Anbietern eine Auditierung schwierig sein kann, da die namhaften Anbieter (z.B. Microsoft Azure, Amazon AWS, Google etc.) eine Auditierung oft verweigern. Aus diesem Grund hat die EBA die Möglichkeit des sog. Pooled Audits anerkannt. Pooled Audits ermöglichen es einer Gruppe von Finanzinstituten eine Auditierung vorzunehmen, die zur gleichen Zeit stattfindet und durch den gleichen Auditor durchgeführt wird. Dies soll die Kosten für die auditierenden Finanzinstitute und der Cloud Provider reduzieren.

Gemäß der Verordnung der EBA sollten von Pooled Audits nur dann Gebrauch gemacht werden, wenn:

  • sichergestellt ist, dass der Umfang des Zertifizierungs- oder Auditberichts die wesentlichen Systeme und Kontrollmechanismen durch das Institut, sowie relevante regulatorische Anforderungen abgedeckt;
  • sie den Inhalt der Zertifizierungen oder Auditberichte fortlaufend bewerten und sicherstellen, dass der Bericht nicht obsolet ist und dass die Zertifizierungen ausgestellt werden und die Audits nach allgemein anerkannten einschlägigen professionellen Standards durchgeführt werden und ein Test für die Funktionsfähigkeit der Schlüsselkontrollen vorhanden ist;
  • sie sicherstellen, dass wichtige Systeme und Kontrollen in zukünftigen Versionen des Zertifizierungs- oder Auditberichts behandelt werden;
  • sie mit der Eignung der zertifizierenden oder prüfenden Partei zufrieden sind (z. B. in Bezug auf die Rotation der zertifizierenden oder prüfenden Gesellschaft, Qualifikationen, Fachwissen, Überprüfung der in der zugrunde liegenden Prüfungsakte enthaltenen Nachweise);
  • sie das vertragliche Recht haben, die Erweiterung des Geltungsbereichs der Zertifizierungen oder Auditberichte auf andere relevante Systeme und Kontrollen zu beantragen, und das Recht behalten, einzelne Audits nach eigenem Ermessen durchzuführen. Die Anzahl und Häufigkeit der Anträge auf Änderung des Geltungsbereichs ist nicht definiert, soll aber aus Sicht des Risikomanagements auf das begrenzt sein, was legitim ist.

Quelle: EBA

Mit dem Wissen um die erforderliche Cloud Compliance unterstützt microfin branchenübergreifend IT- und Fachbabteilungen bei der Vorbereitung solcher Audits. Unsere Checkliste für Governance, Risk und Compliance (GRC) im IT-Outsourcing zeigt zudem cloudspezifische Aspekte (Rollen, Prozesse, Instrumente, gesetzliche und regulatorische Anforderungen etc.) auf, die Gegenstand eines Audits sein können und in der Organisation implementiert sein sollten.

< Zurück zur Übersicht A-Z

Sie brauchen weitere Infos?

Dann schauen Sie sich um auf unseren

Durch die Nutzung dieser Webseite erkläre ich mich mit der Verwendung von Cookies einverstanden. Weitere Informationenschließen