Erfolgreiche Prüfung nach ISAE 3402
Stetig werden IT-Dienstleister in der Finanzindustier mit steigenden regulatorischen Anforderungen konfrontiert. Die Auslagerung ist inzwischen ein häufiger Schwerpunkt von aufsichtsrechtlichen Prüfungshandlungen. Umso wichtiger ist nicht nur die Einhaltung der gängigen Regeln und Standards, sondern auch die Zertifizierung derer durch unabhängige Dritte.
Ein wichtiger internationaler Prüfungsstandard für IT-Outsourcing-Vorhaben ist in dem Zusammenhang die ISAE 3402 (International Standards for Assurance Engagements), welcher dem auslagernden Unternehmen die Beurteilung der internen Kontrollen des Dienstleisters und somit einen ganzheitlichen Blick auf das eigene interne Kontrollsystem (IKS) ermöglicht.
Die finone GmbH wurde von einem unabhängigen Wirtschaftsprüfer nach ISAE (Typ 1) ohne Beanstandungen geprüft. Die Prüfung nach ISAE (Typ 2) erfolgt Ende 2024. finone erfüllt damit erneut die hohen regulatorischen Anforderungen.
Die Auslagerung von Bestandteilen der IT bzw. Software-Produkten ist durch bspw. die BaFin durch die Definition von Mindestanforderungen an das Risikomanagement (MaRisk) auf der Basis des §25a Kreditwesengesetz (KWG) und vertiefend in der Bankaufsichtlichen Anforderung an die IT (BAIT) in engen Leitplanken definiert.
Die Verantwortung verbleibt auch bei der Auslagerung an Dritte jedoch grundsätzlich beim Unternehmen selbst und geht nicht auf den Dienstleister über. Die ISAE 3402 bietet auslagernden Unternehmen deshalb die Möglichkeit, notwendige Informationen für die eigenen internen Kontrollen zu erhalten bzw. sich Prüfungen Dritter bedienen zu können.
ISAE 3402 unterscheidet zwei Berichtstypen:
- Typ 1: Es findet eine Beurteilung der Kontrollziele und deren Umsetzung statt.
- Typ 2: Neben den Kontrollzielen und deren Implementierung wird die operative Wirksamkeit der Kontrollen analysiert.
Insbesondere Kunden aus dem Finanzumfeld sollten solch einen Report als Anforderung an ihre Dienstleister stellen – den die finone gern erfüllten. Bereits früh in der Unternehmenshistorie erfolgten die Zertifizierungen nach ISO 9001 (Qualitätsmanagement) und ISO 27001 (Informationssicherheit). Durch den Schwerpunkt von finone auf die Finanzindustrie mit den erfolgreichen Marken finstreet und fintus, wurde die Entscheidung getroffen, einen Prüfbericht nach ISAE 3402 (Typ 1 und 2) als weitere Dokumentation der internen Bestrebungen und aufgesetzten Kontrollen erstellen und extern auditieren zu lassen.
Neben einer Erklärung der Unternehmensleitung, die versichert, dass das Kontrollsystem korrekt dargestellt und dass die Kontrollziele während des gesamten Prüfungszeitraumes mit den durchgeführten Kontrollen erreicht werden konnten, enthält der ISAE 3402-Bericht unter anderem folgende Punkte:
- Dienstleistungen und Prozesse, die geprüft wurden
- Durch die Prüfungen abgedeckter Zeitraum
- Informationen über die Kontrollziele und den entsprechenden Kontrollen
Bereits 2023 wurde mit den Vorbereitungen begonnen und ein Wirtschaftsprüfer beauftragt, da eine Voraussetzung der Prüfung die Erstellung des Berichts durch eine unabhängige Instanz ist. Bei der Formulierung der relevanten Prozesse und Kontrollziele orientierte sich die finone an den notwendigen Kontrollzielen der Kunden aus der Finanzindustrie.
Ab 2024 wird die finone jährlich einen ISAE 3402 (Typ2) Report erstellen lassen, der dann jeweils einen Prüfungszeitraum eines ganzen Jahres abdeckt. In diesem Kontext finden auch Reviews der Kontrollen statt, so dass der Bericht bei Bedarf um weitere Kontrollpunkte ergänzt werden kann.
Die Finanzindustrie gehört zu den reguliertesten Branchen in Europa. Wir stellen uns gemeinsam mit unseren Kunden der fortwährenden Herausforderung.
DORA – Abhängigkeit der Finanzmärkte von Drittdienstleistern
Mit dem Inkrafttreten Digital Operational Act (DORA) im Januar 2023 und der notwendigen Anwendung ab Januar 2025 hat der Regulator sich erneut der Auslagerung von IT-Dienstleistungen in der Finanzindustrie gewidmet.
Ziele von DORA (Stand 02/2024, Quelle: Präsentation DORA für IKT-Dienstleister der BaFin):
- Stärkung der Sicherheit und operationalen Resilienz des gesamten europäischen Finanzsektors
- Schaffung einheitlicher und konsistenter Anforderungen für den gesamten Finanzsektor
- Einführung proportionaler Anforderungen (Prinzip der Proportionalität)
Die BaFin hat durch die Definition von Mindestanforderungen an das Risikomanagement (MaRisk) auf der Basis des §25a Kreditwesengesetz (KWG) und vertiefend in der Bankaufsichtlichen Anforderung an die IT (BAIT) in den vergangen Jahren bereits eine ernstzunehmende und zusehends praxistaugliche Grundlage geschaffen. Die verstärkten Prüfungshandlungen der Kontrolleure der vergangenen Jahre mit Fokus auf das Auslagerungsmanagement der Finanzinstitute war bereits ein erster Ausblick auf die notwendigen Maßnahmen, die mit DORA einziehen werden.
Vergleicht man die bekannten Anforderungen aus der BAIT mit DORA sind nachfolgende fünf Kerninhalte identifizierbar:
- Umfassenderer Anwendungsbereich von DORA:Während die MaRisk BAIT Novellierung hauptsächlich auf Banken und Finanzinstitute ausgerichtet war, erweitert DORA den Anwendungsbereich auf eine breitere Palette von Unternehmen, die von der Digitalisierung und Auslagerung profitieren können.
- Flexiblere Compliance-Anforderungen:DORA setzt den Schwerpunkt auf eine flexiblere Gestaltung der Compliance-Anforderungen im Vergleich zu den Vorgaben der MaRisk BAIT Novellierung. Dies ermöglicht es Unternehmen, ihre Auslagerungspraktiken besser an ihre individuellen Bedürfnisse und die sich schnell ändernde digitale Landschaft anzupassen.
- Stärkere Betonung der Risikomanagement-Aspekte:Im Vergleich legt DORA einen stärkeren Fokus auf die Integration von Risikomanagement-Praktiken in den gesamten Auslagerungsprozess. Dies umfasst eine gründlichere Risikobewertung, die Identifizierung und Überwachung von Risiken während des gesamten Lebenszyklus der Auslagerung sowie die Entwicklung von Maßnahmen zur Risikominderung und -kontrolle.
- Berücksichtigung der internationalen Standards und Best Practices:DORA orientiert sich stärker an internationalen Standards und Best Practices im Bereich der Auslagerung und Digitalisierung, was zu einer erhöhten Vergleichbarkeit und Interoperabilität mit Unternehmen aus anderen Ländern führen kann.
- Stärkere Einbeziehung der Aufsichtsbehörden:DORA sieht eine verstärkte Zusammenarbeit und Kommunikation zwischen Unternehmen und Aufsichtsbehörden vor, um eine effektive Überwachung und Durchsetzung der Auslagerungsregelungen sicherzustellen.
Im Rahmen von DORA werden sich finone und die notwendigen Prüfungssituationen mit bestehenden und zukünftigen Kunden / Anwendern der finstreet, fintus und finted Produkte insbesondere auf folgende drei Themen vertieft konzentrieren:
- Risikomanagement und -bewertung in der Auslagerung:Eine detaillierte Analyse der Risiken im Zusammenhang mit der Auslagerung von Software und Dienstleistungen sowie die Entwicklung effektiver Maßnahmen zur Risikominderung und -kontrolle.
- Compliance und Governance in der digitalen Transformation:Die Gestaltung und Implementierung von Compliance-Strategien und Governance-Mechanismen, um sicherzustellen, dass alle Auslagerungsaktivitäten den rechtlichen Anforderungen und Standards entsprechen.
- Internationale Zusammenarbeit und Standardisierung:Die Integration von internationalen Standards und Best Practices in die Auslagerungspraktiken, um eine reibungslose Interoperabilität und Vergleichbarkeit mit Unternehmen aus verschiedenen Ländern zu gewährleisten.
Stand heute definiert sich finone selbst nicht als „Kritischer IKT-Dienstleister“ (Art. 31 Abs. 2 DORA) – hier legt DORA zur Zeit noch geringe Anforderungen als Maßstab als die BaFin via MaRisk Novellierung an. Die erweiterten Anforderungen an die Auslagerungsverträge (insbesondere Erfüllungsmessung der Dienstleistung, verpflichtende Beendigungsunterstützung und die wirksame Überwachung – siehe auch Art. 30 Abs. 3 DORA) sind für finone-Kunden bereits der Standard und werden voraussichtlich keine umfangreiche Überarbeitung notwendig machen. Kundenseitig erwarten wir in dem Kontext eine verstärkte Dokumentation im Auslagerungsmanagement, inklusive der Betrachtung von Szenarien zum Ausstieg nach einem kritischen Vorfall oder einer Kündigung.
Insgesamt bietet DORA erneut die Chance als Dienstleister und Anbieter im Finanzsektor zu brillieren. Die Aufsicht wird die Gangart gegenüber kleineren Anbietern zusehends verschärfen. Mit den bestehenden Zertifizierungen gemäß ISO 9001 (Qualitätsmanagement), ISO 27001 (Informationsmanagement), IASE 3402 (Internes Kontrollsystem) und den etablierten Prozessen zur Risikoüberwachung und Reduzierung sieht sich finone gut für die verschärften anstehenden Anforderungen vorbereitet. Durch die sorgfältige Analyse und Umsetzung der Anforderungen von DORA können Unternehmen einen Wettbewerbsvorteil erlangen und ihr langfristiges Wachstum unterstützen.
Neues Corporate Design der finone Gruppe: Einheitliche Markenidentitäten für fintus, finstreet und finted
Im Zuge des erfolgreichen Zusammenschlusses der Unternehmen fintus und finstreet, präsentiert die finone Gruppe ihr neues Corporate Design. Das einheitliche Re-Branding unterstreicht nicht nur die Zusammengehörigkeit der Unternehmen unter der gemeinsamen Dachgesellschaft finone, sondern auch die gemeinsame Zielsetzung, als Gruppe wegweisende Lösungen für die Finanzindustrie zu entwickeln und gemeinsam zu wachsen.
Frankfurt, 10.09.2023
Die Unternehmen der finone Gruppe, darunter fintus, finstreet und finted, treten ab sofort in einem einheitlichen Corporate Design auf. Die Neugestaltung der Marken spiegelt die gemeinsame Identität und Zugehörigkeit zur finone Gruppe wider und untermauert ihre gemeinsame Zielsetzung als strategisch ausgerichteter Wegbereiter in der Finanzbranche.
Benjamin Hermanns, CEO von fintus, berichtet dazu: „Die Einführung des neuen Corporate Designs unserer Gruppe ist nicht nur ein visuelles Update, sondern zeigt auch unsere Entschlossenheit, gemeinsam als Gruppe neue Maßstäbe im Finanzsektor zu setzen.“
Das Leitmotiv des neuen Corporate Designs stellt die aufsteigende Linie in den Logos dar, welche als zentrales Symbol für gemeinsames Wachstum, Beständigkeit und Zusammengehörigkeit der Unternehmen steht. Die Farben der bereits etablierten Marken fintus und finstreet bleiben unverändert, um ihre bewährten Markenidentitäten zu wahren.
Die Einführung des neuen Corporate Designs stellt für die Gruppe einen bedeutsamen Schritt zur Stärkung ihrer Position als Innovationsführer in der Finanzbranche im DACH-Raum dar. Diese Neugestaltung betont die Einheitlichkeit, ohne die Einzigartigkeit und Expertise der Einzelunternehmen zu kompromittieren. Die Gruppe schaut mit großem Optimismus in die Zukunft, gestärkt durch ein Corporate Design und die Synergien, die aus einer einheitlichen Holding hervorgehen.
Umbenennung von fintus in die finone GmbH
fintus präsentiert sich ab sofort unter dem neuen Namen finone GmbH. Die Entscheidung der Umbenennung unterstreicht die Strategie des Unternehmens, im Zuge des erfolgreichen Zusammenschlusses mit finstreet, die Kräfte unter einem gemeinsamen Namen zu bündeln und sich als führender Anbieter von B2B-Bankensoftware und Kreditvergabedienstleistungen zu positionieren.
Frankfurt, 04.09.2023
fintus hat sich zu Beginn dieses Jahres erfolgreich mit finstreet zusammengeschlossen, um ihre Stärken zu bündeln und einen noch größeren Mehrwert für ihre Kunden im Finanzsektor zu schaffen. Die Umbenennung der Unternehmen in die finone GmbH ist ein entscheidender Schritt in ihrem Integrationsprozess und wichtiger Meilenstein, um zukünftig gemeinsam unter dem Unternehmensnamen finone wegweisende Lösungen für die Finanzindustrie anzubieten und so ihre Position im DACH-Markt zu stärken.
Dazu berichtet Benjamin Hermanns, CEO von fintus: „Ich freue mich sehr über diesen wichtigen Schritt in unserer Unternehmenshistorie. Durch die Konsolidierung unserer Ressourcen unter dem neuen Namen finone bündeln wir unsere Kernkompetenzen, um gemeinsam noch bessere innovative Lösungen für unsere Kunden zu entwickeln, die neue Maßstäbe setzen und unsere Kunden zum nachhaltigen Erfolg führen.“
Es handelt sich dabei jedoch nur um eine Umbenennung des Unternehmensnamens fintus in finone, der Name fintus wird als Marke weiterhin präsent sein. Alle Produkte werden somit wie gewohnt unter der Marke fintus vertrieben werden, lediglich der Name der Muttergesellschaft hat sich verändert. Unsere Kunden können sich somit weiterhin auf den bewährten Service und die Expertise von fintus verlassen.
Das Management freut sich auf eine erfolgreiche Zukunft als finone GmbH. Die Umbenennung ist ein wichtiger Schritt in der strategischen Entwicklung der Gesellschaft und stärkt die Position als Marktführer für Standard-Enterprise-Software im DACH-Raum.
Starkes Wachstum der Gruppe: fintus bündelt die eigenen Kräfte mit denen der finstreet GmbH
fintus gibt im Januar 2023 den Erwerb der finstreet GmbH mit Hauptsitz in Münster bekannt. Damit unterstreicht fintus den 2021 eingeschlagenen Wachstumskurs, der durch den Londoner Private-Equity-Investor AnaCap Financial Partners begleitet wird. AnaCap investiert seit Jahren in den europäischen Finanzdienstleistungssektor. Zu den Portfoliounternehmen gehören Banken, Finanzdienstleister sowie in Deutschland die aktuellen Beteiligungen an WebID, MRH Trowe und vergangene erfolgreiche Engagements wie beispielsweise Heidelpay.
finstreet hat sich seit 2014 auf die Bewältigung der digitalen Herausforderungen innerhalb der Finanzindustrie spezialisiert und realisiert technische Lösungen und innovative Geschäftsmodelle – von individuellen Auftragsentwicklungen bis zu standardisierten Software-as-a-Service-Produkten. Mit rund 90 Mitarbeiter:innen und über 400 Kunden, darunter namenhafte Finanzinstitute wie die DZ BANK AG, die Deutschen Bürgschaftsbanken, Sparkassen, Volk- und Raiffeisenbanken sowie etliche Spezialanbieter, zählt finstreet seit Jahren bereits zu den Champions in der Unterstützung des digitalen Wandels im Financial-Services-Sektor.
Die Kund:innen von fintus und finstreet profitieren von der vereinten Stärke. Gemeinsam entsteht ein Unternehmen mit rund 170 Expert:innen. Beide Unternehmen werden ihren eingeschlagenen Kurs fortsetzen: Einerseits den Ausbau der Low-Code-Banking-Plattform fintus, der erfolgreichen Produkte DialogOnline und eco.banking sowie der von finstreet individuell entwickelten Exklusiv-Lösungen. Besser als je zuvor begleitet dieses umfassende Angebot Kund:innen auf dem Weg der Transformation ihres Geschäftsmodells inklusive hoher Automatisierung.
Zudem wird die Gruppe die Stärke der beiden Unternehmen nutzen, um gemeinschaftlich bestehende Standardprodukte weiterzuentwickeln und neue gemeinsame Produkte zu schaffen. Die Low-Code-Banking-Plattform von fintus verwendet dabei zukünftig Komponenten der finstreet Plattform und stellt eigene Funktionen für die Erweiterung der finstreet Produkte bereit. Das Augenmerk liegt dabei auf herausragenden Erlebnissen für die Mitarbeiter:innen in Finanzinstituten und deren Interessenten sowie Kund:innen.
Das finstreet Management um David Niedzielski (CEO), Dr. Holger de Bie, Patrick Lukas, Fabian Kammering, Tristan Zellner und Lutz Bigalke, freut sich auf die Zusammenarbeit. Dazu erklärt Niedzielski: „Uns vereint die gemeinsame Vision von herausragenden Kunden- und Nutzererlebnissen sowie Effizienzpotenzialen, die sich aus der Digitalisierung von Prozessen für Finanzdienstleister ergeben. Unser zukünftig vernetztes Leistungsportfolio wird uns dabei helfen, die Entwicklungsgeschwindigkeit weiter zu erhöhen und gleichzeitig alle regulatorischen Anforderungen, die der Branchenfokus mit sich bringt, exzellent zu erfüllen. Wir sind davon überzeugt, dass sich in den kommenden Jahren einige wenige relevante Anbieter mit einer möglichst breiten thematischen Abdeckung am Markt behaupten werden – gemeinsam werden wir diesen Trend anführen.“
Anja Scheffka, COO von fintus, dazu: „Die Teams der Unternehmen ergänzen sich äußerst gut. Bereits wenige Tage nach Unterschrift wurden gemeinsame Projekte gestartet. Die Bewahrung der eigenen Firmenkultur, gepaart mit Neugier auf die Zukunft, vereint die Teams. Kontinuität und Stabilität zu schaffen sowie die gemeinsamen Werte weiterzuentwickeln, werden kurzfristige Aufgaben sein, die wir erfolgreich gemeinsam meistern werden.“
Gemeinsam freut sich das Management auf das kommende Jahr. Im Fokus für 2023 stehen die Beschleunigung der Transformation der Finanzindustrie, die Verbesserung der Kundenerlebnisse und die Stärkung des eigenen Teams verbunden mit organischem und anorganischem Wachstum, das durch weitere Unternehmensakquisitionen realisiert werden soll.