ERFAHREN. IMPLIZITES WISSEN AUCH EXPLIZIT AUSPRÄGEN.
GLOSSAR / WORTLEXIKON
Ein Glossar ist eine Zusammenstellung von Begriffen oder Wörtern, die in einem bestimmten Kontext, Fachgebiet oder Buch vorkommen.
Es dient dazu, schwierige oder spezialisierte Begriffe zu erklären und dem Leser ein besseres Verständnis des Themas zu ermöglichen.
Durch die alphabetische Anordnung der Einträge ist ein Glossar ein praktisches Nachschlagewerk, das es dem Leser erleichtert, bestimmte Termini gezielt nachzuschlagen.
Aufbau- und Ablauforganisation
Bei der Ausgestaltung der Aufbau- und Ablauforganisation ist sicherzustellen, dass miteinander unvereinbare Tätigkeiten durch unterschiedliche Mitarbeiter durchgeführt und auch bei Arbeitsplatzwechseln Interessenkonflikte vermieden werden. Beim Wechsel von Mitarbeitern der Handels- und Marktbereiche in nachgelagerte Bereiche und Kontrollbe-reiche sind für Tätigkeiten, die gegen das Verbot der Selbstprüfung und –überprüfung verstoßen, angemessene Übergangsfristen vorzusehen.
Prozesse sowie die damit verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen sowie Kommunikationswege sind klar zu definieren und aufeinander abzustimmen. Berechtigungen und Kompetenzen sind nach dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) zu vergeben und bei Bedarf zeitnah anzupassen. Dies beinhaltet auch die regelmäßige und anlassbezogene Überprüfung von IT-Berechtigungen, Zeichnungsberechtigungen und sonstigen eingeräumten Kompetenzen innerhalb angemessener Fristen. Die Fristen orientieren sich dabei an der Bedeutung der Prozesse und, bei IT-Berechtigungen, dem Schutzbedarf verarbeiteter Informationen. Das gilt auch bezüglich der Schnittstellen zu wesentlichen Auslagerungen.
Auslagerungsbericht
Synonyme
Outsourcing report
Auslagerungs report
Ein Auslagerungsbericht ist ein Bericht, der die wichtigen Informationen und Details einer Auslagerungsvereinbarung oder eines Auslagerungsprojekts zusammenfasst. Dieser Bericht dient dazu, das Management und die relevanten Stakeholder über den Fortschritt und die Leistung der Auslagerung zu informieren. Ein solcher Bericht sollte regelmäßig erstellt und aktualisiert werden, um sicherzustellen, dass die Auslagerungsziele erreicht werden und etwaige Probleme frühzeitig erkannt und behoben werden können.
Bankaufsichtlichen Anforderungen an die
IT (BAIT)
Die Bankaufsichtlichen Anforderungen an die IT, abgekürzt BAIT, sind Verwaltungsanweisungen, die mit einem Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für die sichere Ausgestaltung der IT-Systeme sowie der zugehörigen Prozesse und diesbezüglicher Anforderungen an die IT-Governance in deutschen Kreditinstituten veröffentlicht wurden. Sie wurden von der BaFin mit dem Rundschreiben 10/2017 (BA) vom 3. November 2017 erstmals veröffentlicht.
Die BAIT konkretisieren – wie die Mindestanforderungen an das Risikomanagement – die gesetzlichen Anforderungen des § 25a Absatz 1 Satz 3 Nr. 4 und 5 des Kreditwesengesetzes (KWG). Es handelt sich bei ihnen um normeninterpretierende Verwaltungsvorschriften, die eine Selbstbindung der deutschen Aufsicht gegenüber den Kreditinstituten darstellen.
Business continuity management
Synonym
Betriebskontinuitätsmanagement
Das BCM bezeichnet in der Betriebswirtschaftslehre die Entwicklung von Strategien, Plänen und Handlungen, um Tätigkeiten oder Prozesse, deren Unterbrechung der Organisation ernsthafte Schäden oder vernichtende Verluste zufügen würden (etwa Betriebsstörungen), zu schützen bzw. alternative Abläufe zu ermöglichen.[1] Ziel ist somit die Sicherstellung des Fortbestands des Unternehmens im Sinne ökonomischer Nachhaltigkeit im Angesicht von Risiken mit hohem Schadensausmaß.
BKM bezeichnet zusammenfassend eine Managementmethode, die anhand eines Lebenszyklus-Modells die Fortführung der Geschäftstätigkeit unter Krisenbedingungen oder zumindest unvorhersehbar erschwerten Bedingungen absichert.
Cloud Computing
Synonyme
Clouddienst
Cloud
Cloud Computing bezieht sich auf die Bereitstellung von IT-Ressourcen wie Rechenleistung, Speicherplatz und Software über das Internet. Unternehmen können Cloud-Dienste nutzen, um bestimmte Funktionen oder Dienstleistungen auszulagern.
Cloud Dienste
Synonym
Cloud Computing
Bezeichnet Dienste, die mithilfe von CloudComputing erbracht werden, d.h. einem Modell, das ortsunabhängigen, komfortablen und bedarfsgesteuerten Netzwerkzugriff auf einen gemeinsamen Pool konfigurierbarer Rechenressourcen ermöglicht (wie Netzwerke, Server, Speicher, Anwendungen und Services) und sich schnell sowie mit minimalem Verwaltungsaufwand oder Interaktion des Dienstleisters bereitstellen lässt.
Community-Cloud
Community-Cloud bezeichnet eine Cloud-Infrastruktur, die ausschließlich von einer konkreten Instituts- oder Zahlungsinstitutsgemeinschaft genutzt werden kann, einschließlich mehrerer Institute einer einzelnen Gruppe.
Compliancebericht
Der Compliancebericht gibt einen Überblick über die Einhaltung gesetzlicher Vorschriften und vertraglicher Verpflichtungen sowie rechtliche Angelegenheiten im Zusammenhang mit der Auslagerung. Er enthält eine Aufstellung der Abweichungen von externen und internen Vorgaben sowie deren Bewertung und Maßnahmenempfehlung in Bezug auf die internen Aktivitäten und Prozesse des Auftragnehmers und die an Subunternehmer ausgelagerten Aktivitäten.
Dienstleister
Dienstleister bezeichnet einen Dritten, der im Rahmen einer Auslagerungsvereinbarung ein ausgelagertes Verfahren oder Teile eines solchen durchführt, eine ausgelagerte Dienstleistung oder Teile einer solchen erbringt oder eine ausgelagerte Tätigkeit oder Teile einer solchen ausführt.
Exitstrategie
Synonym
Ausstiegsstrategie
Eine Ausstiegsstrategie (engl. „Exit-Strategie“) ist im allgemeinen eine Strategie, um festzulegen wie und unter welchen Bedingungen eine Situation, Unternehmung oder Beteiligung verlassen werden soll. Ein Exit stellt den geplanten Ausstieg aus einer Situation, Unternehmung oder Beteiligung dar.
Exit-Strategien sind sehr konkret auszugestalten und in enger Zusammenarbeit mit dem Business Continuity Management auch zu validieren – soweit durchführbar nicht nur als Simulation, sondern als tatsächlicher Test. Als BCM-relevanter „Notfall“ und Auslöser für einen Exit gilt dabei auch z.B. eine unakzeptable Verschlechterung der Leistungsqualität des Dienstleisters (Ziffer 106-108 der EBA Guidelines).
Anspruch an eine Exit-Strategie ist, dass die Funktion entweder an einen anderen Dienstleister übertragen, selbst erbracht oder eingestellt werden kann (Ziffern 40 sowie 106ff. der EBA Guidelines). Zwar gibt es bei Exit-Strategien Erleichterungen bei „captive“-Dienstleistern, also wenn die Auslagerung konzern- oder gruppenintern stattfindet. Bei allen anderen Auslagerungen müssen die Banken aber einen deutlich höheren Aufwand treiben, um bei Bedarf die Auslagerung tatsächlich auch zurückholen zu können – etwa durch Vorhalten einer „retained organisation“ mit entsprechendem Know-How.
Funktion
Die Funktion bezeichnet jegliche Prozesse, Dienstleistungen oder Tätigkeiten
GAP-Analyse
Synonym
Lückenanalyse
Die Gap-Analyse oder auch Lückenanalyse ist ein Management-Instrument aus der Betriebswirtschaftslehre zur Identifizierung strategischer und operativer Lücken durch die Analyse der Lücke zwischen Sollvorgabe und der – unter Beibehaltung der bisherigen Unternehmenspolitik – voraussichtlichen Entwicklung des Basisgeschäfts. Die Gap-Analyse ist eine abgeleitete Analyse, welche die Umfeld- und die Unternehmensanalyse grafisch miteinander in Beziehung setzt. Sie dient zur Durchführung eines Soll-Ist Abgleichs zwischen den vereinbarten Informationssicherheitsvorgaben und den beim Dienstleister tatsächlich umgesetzten Sicherheitsmaßnahmen.
Insourcing
Synonym
Wiedereingliederung
Insourcing bedeutet, dass Unternehmen bestimmte Geschäftsprozesse oder Dienstleistungen, die zuvor ausgelagert wurden, wieder intern übernehmen, um mehr Kontrolle zu erlangen oder bestimmte Fähigkeiten aufzubauen.
Information Technology Outsourcing (ITO)
ITO bezieht sich auf die Auslagerung von IT-Dienstleistungen, -Infrastruktur oder -Entwicklungsaufgaben an externe Anbieter, um Zugang zu spezialisierter Technologie und Fachkenntnissen zu erhalten.
Interne Revision (IR)
Jedes Institut muss über eine funktionsfähige Interne Revision verfügen. Bei Instituten, bei denen aus Gründen der Betriebsgröße die Einrichtung einer Revisionseinheit unverhältnismäßig ist, können die Aufgaben der Internen Revision von einem Geschäftsleiter erfüllt werden. Die Interne Revision ist ein Instrument der Geschäftsleitung, ihr unmittelbar unterstellt und berichtspflichtig. Sie kann auch einem Mitglied der Geschäftsleitung, nach Möglich-keit dem Vorsitzenden, unterstellt sein. Unbeschadet dessen ist sicherzustellen, dass der Vorsitzende des Aufsichtsorgans unter Einbeziehung der Geschäftsleitung direkt bei dem Leiter der Internen Revision Auskünfte einholen kann.
Internes Kontrollsystem (IKS)
Ein Internes Kontrollsystem (IKS) besteht aus systematisch gestalteten technischen und organisatorischen Regeln des methodischen Steuerns von Kontrollen im Unternehmen zum Einhalten von Richtlinien und zur Abwehr von Schäden, die durch das eigene Personal oder böswillige Dritte verursacht werden können. Die Maßnahmen können sowohl prozessunabhängig als retrospektive Kontrollen, beispielsweise durch die Interne Revision, als auch prozessabhängig als präventive Regeln durchgeführt werden. In jedem Institut sind entsprechend Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten Regelungen zur Aufbau- und Ablauforganisation zu treffen, Risikosteuerungs- und -controllingprozesse einzurichten und eine Risikocontrolling-Funktion und eine Compliance-Funktion zu implementieren.
ISO 27001
Die ISO 27001 ist eine Zertifizierung auf Basis von IT-Grundschutz oder nach IT-Grundschutz; Informations- und Datensicherheit inkl. IT-Risikobetrachtung; inkl. Anlage "Statement of applicability".
Die internationale Norm ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirements spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung des Kontexts einer Organisation. Darüber hinaus beinhaltet die Norm Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation.
KPI (Key Performance Indicator)
Synonym
Leistungsindikatoren
Das Institut hat die mit Auslagerungen verbundenen Risiken angemessen zu steuern und die Ausführung der ausgelagerten Aktivitäten und Prozesse ordnungsgemäß zu überwachen. Dies umfasst bei wesentlichen Auslagerungen auch die laufende Überwachung der Leistung des Auslagerungsunternehmens anhand vorzuhaltender Kriterien (z. B. Key Performance Indicators, Key Risk Indicators) und vertraglich vereinbarter Informationen des Auslagerungsunternehmens; die Qualität der erbrachten Leistungen ist regelmäßig anhand der KPI´s zu beurteilen.
KRI (Key Risk Indicator)
KRI steht für "Key Risk Indicator" und ist ein wichtiger Risikoindikator, der für die Beurteilung und Steuerung von Auslagerungen in einem Unternehmen eine wichtige Rolle spielen.
Kritische oder Wesentliche Funktion
Bezeichnet jede Funktioin, die gem. Abschnitt 4 der EBA Guidelines als kritisch oder wesentlich gilt.
KWG
Synonym
Kreditwesengesetz
Das "KWG" steht für "Kreditwesengesetz". Das Kreditwesengesetz ist ein deutsches Gesetz, das die rechtlichen Grundlagen für die Regulierung und Aufsicht des Bankwesens und anderer Finanzdienstleistungsunternehmen in Deutschland festlegt. Es wurde erstmals 1961 erlassen und ist seitdem mehrfach überarbeitet worden.
Das KWG legt die rechtlichen Rahmenbedingungen für die Errichtung und den Betrieb von Kreditinstituten (Banken) sowie von Finanzdienstleistungsinstituten fest. Es enthält Bestimmungen über die Zulassung, Organisation, Geschäftstätigkeit, Eigenkapitalanforderungen, Risikomanagement, Anlegerschutz, Rechnungslegung und vieles mehr im Bereich des Finanzsektors.
Leitungsorgan
Synonyme
Geschäftsleitung
Geschäftsleiter
Bezeichnet das Organ oder die Organe eines Instituts oder Zahlungsinstituts, das (die) nach nationalem Recht bestellt wurde (wurden) und befugt ist (sind), Strategie, Ziele und Gesamtpolitik des Instituts oder Zahlungsinstituts festzulegen und die Entscheidungen der Geschäftsleitung zu kontrollieren und zu überwachen, und dem die Personen, die die Geschäfte des Instituts oder Zahlungsinstituts tatsächlich führen, sowie die Geschäftsleiter und die für die Geschäftsleitung des Instituts zuständigen Personen angehören.
Make-or-Buy-Entscheidung
Synonyme
Outsourcing
Auslagerung
Diese Entscheidung betrifft die Frage, ob ein Unternehmen eine bestimmte Aufgabe oder Komponente intern herstellen (make) oder von einem externen Anbieter erwerben (buy) sollte. Beim Outsourcing geht es oft um diese Entscheidung.
Managed Services
Synonyme
IT-Dienstleisterung
Software-as-a-Service
Infrastructure-as-a-Service
Platform-as-a-Service
Managed Services bezeichnen Dienstleistungen, bei denen ein externer Anbieter die Verantwortung für bestimmte Geschäftsprozesse, IT-Systeme oder andere Aufgaben übernimmt und sicherstellt, dass diese effektiv und effizient betrieben werden.
Management Meeting
Ein Management Meeting ist eine Besprechung zwischen dem Dienstleister und dem Auftraggeber zu dem die Führungsebene eingeladen wird. Turnusmäßig findet es ein- oder zweimal pro Jahr statt. Bei relevanten Themen werden die entsprechenden Ansprechpartner aus den jeweiligen Fachbereichen hinzugezogen.
MaRisk
Synonym
Mindestanforderungen an das Risikomanagement
Die "Mindestanforderungen an das Risikomanagement" (MaRisk) sind eine Reihe von regulatorischen Anforderungen für das Risikomanagement von Banken und Finanzinstituten in Deutschland.
Die MaRisk konkretisieren die §§ 25a und b KWG und geben qualitative Mindestanforderungen für die institutsspezifische Ausgestaltung des Risikomanagements vor. Die MaRisk sind u. a. für alle nationalen Bankinstitute verpflichtend.
Nearshoring
Synonym
Nahverlagerung
Nearshoring bezieht sich auf die Verlagerung von Geschäftsprozessen oder Dienstleistungen in Länder, die geografisch nahe liegen, oft in benachbarten oder nahen Regionen, um von kultureller Nähe, Zeitzonengleichheit und möglicher Kosteneinsparung zu profitieren.
Notfallmanagement
Synonyme
Krisenmanagement
Notfall- und Krisenmanagement umfasst den systematischen Umgang mit Notfall-, Krisen- und Katastrophenlagen. Dazu gehört sowohl die allgemeine Prävention, als auch die Identifikation, Analyse, Einleitung und Verfolgung von Gegenmaßnahmen sowie das Entwickeln von abgestimmten Bewältigungsstrategien im Kontext von oben genannten Lagen.
Gem. den MaRisk AT 7.3 hat das Institut Ziele zum Notfallmanagement zu definieren und hieraus abgeleitet einen Notfallmanagementprozess festzulegen. Für Notfälle in zeitkritischen Aktivitäten und Pro-zessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maß-nahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Das Notfallkonzept ist anlassbezogen zu aktualisieren, jährlich auf Aktualität zu überprüfen und angemessen zu kommunizieren. Die Geschäftsleitung hat sich mindestens quartals-weise und anlassbezogen über den Zustand des Notfallmanagements schriftlich berichten zu lassen.
Öffentliche Cloud
Öffentliche Cloud bezeichnet eine Cloud-Infrastruktur, die von der Öffentlichkeit frei genutzt werden kann.
Offshoring
Synonym
Funktionsverlagerang
Offshoring ist eine Form des Outsourcings, bei der Unternehmen Geschäftsprozesse oder Dienstleistungen in Länder verlagern, die sich geografisch weit entfernt vom Hauptsitz befinden, um von niedrigeren Arbeitskosten oder spezialisiertem Fachwissen zu profitieren.
Outsourcing
Synonym
Auslagerung
Outsourcing bezieht sich auf die Praxis, bestimmte Geschäftsprozesse, Funktionen oder Dienstleistungen an externe Drittanbieter auszulagern, um Kosten zu senken, Effizienz zu steigern oder auf Fachwissen zuzugreifen.
Private Cloud
Privat Cloud bezeichnet eine Cloud-Infrastruktur, die ausschließlich von einem einzelnen Institut oder Zahlungsinstitut genutzt werden kann.
Reporting
Synonym
Berichtswesen
Das Reporting für Auslagerungen bezieht sich auf die Dokumentation und Berichterstattung über alle Aspekte von Auslagerungsvereinbarungen in einem Unternehmen.
Ein effektives Reporting für Auslagerungen ist entscheidend, um sicherzustellen, dass die ausgelagerten Aktivitäten reibungslos ablaufen, die Kosten im Rahmen bleiben und die Risiken minimiert werden. Hier sind einige wichtige Aspekte des Reporting für Auslagerungen:
- SLA-Bericht
- Risikobericht
- Auslagerungsbericht
- Revisionsbericht
- Compliancebericht
- InfoSec-Bericht etc...
Revisionsbericht
Ein Revisionsbericht ist von großer Bedeutung, um sicherzustellen, dass Auslagerungsvereinbarungen den Vertragsbedingungen und den geltenden Standards entsprechen und dass Risiken effektiv identifiziert und gemanagt werden. Dieser Bericht dient auch als Kommunikationsmittel zwischen dem Unternehmen und dem Auslagerungspartner sowie als Dokumentation für interne und externe Stakeholder. Die Struktur und der Inhalt eines Revisionsberichts bei Auslagerungen können je nach den spezifischen Anforderungen, Verträgen und Standards variieren. Dieser Bericht ist in der Regel darauf ausgerichtet, sicherzustellen, dass die Auslagerung ordnungsgemäß verwaltet wird und die Risiken angemessen kontrolliert werden.
Risikoanalyse
Das Institut muss anhand einer Risikoanalyse bewerten, welche Risiken mit einer Auslagerung verbunden sind. Ausgehend von dieser Risikoanalyse ist eigenverantwortlich festzulegen, welche Auslagerungen von Aktivitäten und Prozessen unter Risikogesichtspunkten wesentlich sind (wesentliche Auslagerungen). Diese ist auf der Grundlage von institutsweit bzw. gruppenweit einheitlichen Rahmenvorgaben sowohl regelmäßig als auch anlassbezogen durchzuführen.
Risikobericht
Ein Risikobericht ist speziell auf die Risiken ausgerichtet, die im Zusammenhang mit Auslagerungsvereinbarungen auftreten können. Da Auslagerungen eine Reihe von potenziellen Risiken für ein Unternehmen darstellen, ist es wichtig, diese Risiken zu identifizieren, zu bewerten und zu überwachen. Ein solcher Bericht dient dazu, das Management und die relevanten Stakeholder über die spezifischen Risiken im Zusammenhang mit Auslagerungen zu informieren.
Risikokultur
Die Risikokultur beschreibt allgemein die Art und Weise, wie Mitarbeiter des Instituts im Rahmen ihrer Tätigkeit mit Risiken umgehen (sollen). Die Risikokultur soll die Identifizierung und den bewussten Umgang mit Risiken fördern und sicherstellen, dass Entscheidungsprozesse zu Ergebnissen führen, die auch unter Risikogesichtspunkten ausgewogen sind.