Rezertifizierung
24.05.2019
REZERTIFIZIERUNG DER ZEB.CONTROL-SOFTWARE BESTÄTIGT QUALITÄT DER SOFTWARELÖSUNG
Aktuelle Regelungen zum Thema Auslagerung
Aktuell wird das Outsourcing von Finanzdienstleistern durch die 5. MaRisk (Mindestanforderungen an das Risikomanagement) Novelle sowie die BAIT (Bankaufsichtliche Anforderungen an die IT) geregelt. Zusätzlich treten ab dem Ende des dritten Quartals dieses Jahres EBA-Leitlinien zum Outsourcing in Kraft.
Abb. 1: Aktuelle Regelungen zum Thema Auslagerung
Gemäß der MaRisk-Novelle wird Software zur Identifizierung und Beurteilung von Risiken bzw. Kernbanksysteme sowie deren Betrieb durch Dritte als Auslagerung definiert. Diese Auslagerungen müssen regelmäßig und darüber hinaus auch anlassbezogen einer Risikoanalyse inklusive der Berücksichtigung von Risikokonzentrationen und Weiterverlagerungsrisiken unterzogen werden. Dementsprechend müssen fundierte Kenntnisse in der Bank sichergestellt werden, die eine qualifizierte Dienstleisterüberwachung und eine reibungslose Rückverlagerung ermöglichen. Zudem muss eine Ausstiegsstrategie bzw. Notfallplanung festgelegt werden.
Auch im Rahmen der Vertragsgestaltung ist die MaRisk-Novelle zu berücksichtigen: bankintern muss der Grad der akzeptierten Schlechtleistung für wesentliche Auslagerungen festgelegt sein. Darüber hinaus müssen sonstige Sicherheitsanforderungen zusätzlich vertraglich vereinbart werden. Des Weiteren sind Informations- bzw. Zustimmungspflichten für Weiterverlagerungen festzulegen.
Schließlich muss abhängig von Art, Umfang und Komplexität der Auslagerungen ein „Zentrales Auslagerungsmanagement“ etabliert werden, das sich unter anderem mit der Implementierung der Kontroll- bzw. Überwachungsprozesse sowie der umfassenden Dokumentation der Aus- und Weiterverlagerungen beschäftigt.
Zusammenfassend liegen die Herausforderungen vor allem in der Identifikation der betroffenen Software sowie in einer intensiveren Risikoanalyse derselben. zeb unterstützt Banken in der Erfüllung dieser regulatorischen Anforderungen durch die Zertifizierung der Softwarelösung zeb.control nach IDW PS 880.
Zertifizierung zeb.control
Im Rahmen der Prüfung haben sich externe Wirtschaftsprüfer einen detaillierten Einblick in die Prozesse und in die Software verschafft. Die Rezertifizierung der zeb.control-Software erfolgte anhand des generellen Einwicklungsprozesses sowie der Systemplattform und der Module ALM, Trading und Credit und hat erneut die Qualität der gesamten Lösung bestätigt.
Abb. 2: Prozess der Zertifizierung durch externe Wirtschaftsprüfer
Die Prüfung wurde zunächst dahingehend vorbereitet, dass umfassende Unterlagen bereitgestellt worden sind: Dokumentationen zum Entwicklungsprozess von zeb.control, Projektunterlagen zu den ausgewählten Produktreleases inklusive der vollumfänglichen Testdokumentation sowie zu den entsprechenden Testumgebungen zum Nachtesten der Testfälle.
Gegenstand der Prüfung der zeb.control Software waren die Entwicklungsinfrastruktur und der Entwicklungsprozess von zeb.control. Darüber hinaus sind allgemeine und spezifische Funktionen ausgewählter Module wie insbesondere auch die Softwaresicherheit und Dokumentation geprüft worden. Im Rahmen der Prüfung sind die bereitgestellten Unterlagen dahingehend bewertet worden, ob ein fachkundiger Dritter die Konzepte und deren Umsetzung eigenständig nachvollziehen kann. Darüber hinaus sind die dokumentierten Testfälle innerhalb der Software und die Dokumentation eigenständig nachgeprüft worden.
Das Ergebnis der Prüfung bestand in der Erstellung eines Prüfungsberichts und Testates nach dem international anerkannten Prüfungsstandard IDW PS 880 sowie der Formulierung einer Empfehlung auf Basis der Prüfung: „Nach unserer Beurteilung aufgrund der bei der Prüfung gewonnenen Erkenntnisse ermöglicht das von uns geprüfte Softwareprodukt zeb.control in den genannten Modulen bei sachgerechter Anwendung eine den Ordnungsmäßigkeitsanforderungen entsprechende Verarbeitung und entspricht den vorstehend aufgeführten Kriterien.“
Somit konnte eine Rezertifizierung der zeb.control Software gemäß „IDW PS 880 – Die Prüfung von Softwareprodukten“ erfolgreich durchgeführt werden.