SUCESS STORY
Postbank – eine Niederlassung der Deutsche Bank AG
Friedrich-Ebert-Allee 114 – 126
53113 Bonn
www.postbank.de
BILANZ
MITARBEITER ANZAHL
Projektziel
Mit Inkrafttreten der Digital Operational Resilience Act (DORA) zum 17. Mai 2025 stehen regulierte Finanzunternehmen vor der Herausforderung, ihre operationale Resilienz gegenüber ICT-Risiken nachhaltig zu stärken. Ziel des Projekts war die frühzeitige Umsetzung der DORA-Anforderungen in den regulierten Unternehmenseinheiten der Swiss Life Asset Managers Deutschland GmbH, um eine Design Compliance zum gesetzlichen Stichtag sicherzustellen.
Zunächst wurden bestehende Richtlinien, Prozesse und organisatorische Einheiten innerhalb der Organisationseinheit „Digital Services and Solutions, Governance and IT-Security“ identifiziert und bewertet. Darauf aufbauend erfolgte die systematische Erweiterung und Neugestaltung der relevanten Regelwerke auf Basis der bereits vorhandenen schriftlich fixierten Ordnung (sfO), die sich an den KAIT orientiert.
Lösungen
- Durchführung einer Bestandsaufnahme und Bewertung bestehender Prozesse, Richtlinien und Verantwortlichkeiten
- Entwicklung eines risikobasierten Analyseverfahrens zur Identifikation und Steuerung ICT-bezogener Auslagerungen und Drittparteibeziehungen
- Nachträgliche Prüfung und Integration historisch gewachsener Sachverhalte („Altfälle“) in den neuen Steuerungsprozess
- Aufbau eines zentralen Informationsmanagements zur Abbildung der DORA-relevanten Anforderungen (ICT-Risikomanagement, Vorfallmanagement, Drittparteiensteuerung, Resilienztests)
- Laufende Weiterentwicklung und organisatorische Einbindung der Prozesse in Abstimmung mit den betroffenen Linieneinheiten
Herausforderung
Eine der größten Herausforderungen war die Identifikation und Bewertung bestehender Auslagerungen und Dienstleisterbeziehungen, die bislang nicht unter dem Fokus der operationellen Resilienz betrachtet wurden.
Insbesondere die fehlende strukturierte Übersicht über diese Altfälle sowie die teilweise dezentrale oder analoge Dokumentenlage (z. B. Vertragsunterlagen, Leistungsbeschreibungen) erschwerte eine vollständige Bewertung nach DORA-Kriterien.
Darüber hinaus mussten Prozesse geschaffen werden, die eine frühzeitige Erkennung neuer auslagerungsrelevanter Sachverhalte ermöglichen, um eine regelkonforme Risikobewertung vor Produktivsetzung sicherzustellen.
Zukünftig sollen alle neuen Drittparteienverhältnisse und ICT-Auslagerungen einem systematischen Prüfprozess unterzogen werden.
Nutzen
Im Rahmen des Projekts konnte eine vollständige Identifikation und Bewertung sämtlicher relevanter Altfälle mit Bezug zu ICT-bezogenen Auslagerungen und Drittparteien erreicht werden. Ergänzend hierzu wurde ein systematisches, risikobasiertes Analyseverfahren eingeführt, das die strukturierte Steuerung sämtlicher neuer Sachverhalte ermöglicht. Zur Sicherstellung der regulatorischen Anforderungen wurde ein zentrales, revisionssicheres Steuerungsmodell etabliert, das nicht nur die Einhaltung der DORA-Verordnung gewährleistet, sondern auch eine kontinuierliche Anpassung an künftige regulatorische Änderungen – etwa durch ESMA, BaFin oder EZB – erlaubt. Die angestrebte Vorgehensweise wurde zudem durch eine positive Bewertung interner Kontrollinstanzen bestätigt und in enger Abstimmung mit den relevanten Stakeholdern vorbereitet.
Unternehmensdarstellung
Die Swiss Life Asset Managers Deutschland GmbH ist Teil der Swiss Life-Gruppe, einem führenden europäischen Vermögensverwalter und institutionellen Immobilieninvestor. Die Einheit „Digital Services and Solutions“ verantwortet die strategische und operative Ausgestaltung digitaler Prozesse, Systeme und Governance-Strukturen.
Ein besonderer Schwerpunkt liegt auf der Einhaltung regulatorischer Anforderungen sowie der kontinuierlichen Weiterentwicklung der ICT-Governance- und Security-Standards. Durch eine enge Verzahnung mit den Konzernvorgaben und länderspezifischen Regulatorien sichert die Organisationseinheit die digitale Resilienz der deutschen Unternehmenseinheiten.
Vorgehensweise und Leistung
Zunächst wurde auf Basis vorhandener Beschaffungs- und Vertragsdatenbanken eine umfassende Übersicht über bestehende ICT-Dienstleisterbeziehungen und Auslagerungen erstellt. Interne Projekte wurden bewusst aus der Betrachtung ausgenommen.
Die aggregierte Übersicht wurde mittels definierter Filterkriterien auf prüfungsrelevante Sachverhalte reduziert. Die Auswahlkriterien wurden mit den relevanten Stakeholdern (z. B. interner Revision, Wirtschaftsprüfern, BaFin) abgestimmt.
Parallel hierzu wurde ein standardisierter Risikoanalyseprozess für ICT-bezogene Aus- und Weiterverlagerungen entwickelt. Dieser bildet die Grundlage für die Bewertung sämtlicher Alt- und Neufälle und ermöglicht eine strukturierte, risikoorientierte Steuerung gemäß den Anforderungen der DORA-Verordnung.
Die Prozesse wurden mit den betroffenen Linienorganisationen abgestimmt, organisatorisch verankert und in die bestehende sfO integriert. Durch einen mehrstufigen Verprobungsprozess wurde die Praxistauglichkeit sichergestellt.
Zur frühzeitigen Erkennung neuer relevanter Sachverhalte wurde ein automatisierter systemischer Prüfschritt etabliert.
Ausgangssituation
Zum Projektbeginn lagen bereits Regelwerke auf Basis der KAIT in Form einer schriftlich fixierten Ordnung (sfO) vor. Diese Regelungen erfüllten jedoch nicht in vollem Umfang die spezifischen Anforderungen der DORA-Verordnung, insbesondere hinsichtlich:
- Risikobewertung von Drittparteien und Auslagerungen
- Management von ICT-bezogenen Betriebsstörungen
- Nachweisbarkeit operativer Resilienzmaßnahmen
Eine strukturierte Übersicht bestehender Auslagerungen war nicht vorhanden. Bestehende Dokumente lagen teilweise nur in nicht digitalisierter Form vor.
Der Handlungsdruck resultierte aus der Notwendigkeit, die Prozesse zur Auslagerungssteuerung grundlegend neu zu modellieren und den regulatorischen Vorgaben anzupassen. Besonders herausfordernd war die Bewertung vergangener Sachverhalte unter den Maßgaben der neuen Regulierung.
Nutzen für den Auftraggeber
- Vollständige Transparenz über bestehende Drittparteienverhältnisse und ICT-Auslagerungen
- Nachträgliche Bewertung und Genehmigung aller Altfälle im Rahmen eines regulatorisch abgestimmten Prozesses
- Etablierung eines standardisierten Risikoanalyseverfahrens, das sämtliche Neufälle vor Produktivsetzung abdeckt
- Revisions- und aufsichtsrechtlich tragfähige Umsetzung aller DORA-relevanten Anforderungen
- Flexibles Steuerungsmodell zur dynamischen Anpassung an regulatorische Weiterentwicklungen
Beachtete Einträge
aus meinem Blog
