WILLKOMMEN AUF ORAISE.COM! Entdecken und erleben Sie unsere neue Onlinepräsenz.

Über oraïse

Compliance

Für den Finanzsektor ist die Compliance mit gängiger Regulation ein immer wichtiger werdendes Thema. Auch die Anforderungen an den Betrieb der genutzten IT sind stetig gewachsen und erfordern fortgeschrittene Qualifizierungen, Zertifizierungen, klar definierte Prozesse und Betriebsmodelle intern und beim ausführenden Service-Unternehmen. Wir von der oraïse realisieren das gewissenhaft. Erfahren Sie hier mehr dazu, wie wir Ihre Compliance sicherstellen.

Internes Kontroll-System (IKS)

Mehr erfahren

Übergeordnete Regularien und Vertragsbeziehungen

Mehr erfahren

 Dienstleister / Subunternehmer

Mehr erfahren

Informationssicherheits-Management System (ISMS)

Mehr erfahren

Business Continuity Management System (BCMS)

Mehr erfahren

Datenschutz Management System (DSMS)

Mehr erfahren
oraise-tuev-rheinland-zertifiziert

Internes Kontroll-System (IKS)

Zentral für die Einhaltung von Compliance ist unser internes Kontroll-System (IKS).

Mit dem IKS garantieren wir die übergeordnete Kontrolle von Leistungserbringung und Service-Qualität. Es umfasst alle wichtigen internen Kriterien, definierte Kontrollziele und operative Prozesse zum Datenschutz Management System (DSMS), dem Informationssicherheits-Management System (ISMS) und der Business Continuity Management System. Zudem bezieht es sich auf unsere eigene Operation wie auch unsere Subunternehmer und Dienstleister.

Als Input für das IKS dient der KVP (kontinuierliche Verbesserungsprozess). Kundenspezifische Kontrollziele werden ebenfalls berücksichtigt und in das IKS der oraïse integriert.

Die Angemessenheit des internen Kontroll Systems und die Wirksamkeit der definierten Kontrollen werden jährlich durch einen externen Wirtschaftsprüfer gemäß des Prüfstandards (PS) 951 Typ 2 des Instituts der deutschen Wirtschaft (IDW) geprüft. 

Diese Prüfung bezieht sich auf die Eignung der für die Definition von Kontrollzielen verwendeten Kriterien:

  • Vollständigkeit und Richtigkeit der IKS-Beschreibung des Dienstleistungsunternehmens.
  • Angemessenheit des dienstleistungsbezogenen internen Kontrollsystems.
  • Wirksamkeit der eingerichteten Kontrollen.

Übergeordnete Regularien und Vertragsbeziehungen

Der überwiegende Teil unserer Kunden ist FINMA-reguliert. Es ist für uns von daher selbstverständlich, diese relevanten Regelungen nicht nur einzuhalten:

  • §25b Kreditwesengesetz (Auslagerung von Aktivitäten) 
  • EBA Guidelines on outsourcing arrangements 
  • MaRisk bzw. KAMaRisk 
  • BAIT und KAIT 

Wir überführen diese mit Ihnen auch in konkrete Vereinbarungen. Diese vertraglichen Vereinbarungen beinhalten alle relevanten Details zu:

  • Service Level KPIs wie Leistungen, Services und Lizenzen, definierte Parameter für Services z.B. Lösungs- und Reaktionszeiten und Verfügbarkeiten
  • Gemeinsame abgestimmte operative Prozesse und Governance-Strukturen
  • Berichte und Reporting-Zeiträume für die vereinbarten KPIs
  • Einräumung von notwendigen Prüf- und Kontrollrechten entsprechend den regulatorischen Anforderungen
  • Exit Management 

Detaillierte Regelungen zu Informationssicherheit / Notfallmanagement und Datenschutz entsprechend dem angeforderten Niveau werden ebenso zugesichert wie alle aus aufsichtsrechtlicher Notwendigkeit relevanten Punkte im Falle einer Auslagerung oder Unterstellung.

Dienstleister Subunternehmer

Die vertraglichen Vereinbarungen mit unseren Dienstleistern und Subunternehmern reflektieren die Kundenverpflichtungen der oraïse, denn:

Die Dienstleister / Subunternehmer sind in die Management Systeme (ISMS; BCMS; DSMS) integriert, Absicherung über die entsprechenden Vertraglichen Regelungen, umfasst auch das Risiko und Exit Management, operative Steuerung erfolgt die Betriebsprozesse und die Service Organisation, Performance und Qualität wird über KPI gemessen, Durchführung von Audits bei den Dienstleistern und Sublieferanten.

Wie angedeutet erfolgt die übergeordnete Kontrolle über das IKS und dessen Prüfung nach IDW PS 951 Typ2.

Informationssicherheits-Management System (ISMS)

Wir sind überzeugt, dass der angemessene Schutz der Daten unserer Kunden und unserer Infrastruktur einen zentralen Wettbewerbsvorteil darstellt. Daher ist es eines unserer Geschäftsziele, uns anvertraute Informationen, Daten und Systeme angemessen zu schützen. Für uns ist es somit selbstverständlich, unsere Geschäftsprozesse sowie unsere Informationssysteme, die für die Umsetzung dieser Prozesse benötigt werden, durch die Anwendung angemessener Maßnahmen zu schützen.

Dieses Ziel erreichen wir nachhaltig durch den Betrieb eines Informationssicherheits-Managementsystems (Information Security Management System (ISMS)) nach den Vorgaben des internationalen Standards ISO/IEC 27001:2013 und ISO 31000:2018. Um die Effektivität des ISMS zu erhalten, wird es kontinuierlich bewertet, überwacht und bei Bedarf verbessert.

Business Continuity Management System (BCMS)

Das Ziel des Notfallmanagements ist die Vermeidung, Verhinderung und Verringerung von Sicherheitsvor-, Stör, und Notfällen, die die Funktionsfähigkeit des Unternehmens negativ beeinflussen.

Das Notfallmanagement berücksichtigt gleichermaßen präventive Komponenten (Notfallvorsorge) als auch reaktive Komponenten (Notfallbewältigung). Auf diese Weise versetzt das Notfallmanagement das Unternehmen in die Lage, bei Notfällen und Krisen ihre Geschäftstätigkeit und Aufgabenerfüllung aufrechtzuerhalten, wenn auch im Rahmen eines Notbetriebes leistungsreduziert. Dies ist insbesondere bei solchen wichtig, in denen ganze Personengruppen oder weite Teile der Infrastruktur betroffen sind.

Dazu wurde der Aufbau eines Notfallmanagements nach den Vorgaben der ISO 22301:2019 umgesetzt.

So werden daher dauerhaft finanzielle, personelle, immaterielle und kulturelle Ressourcen bereitgestellt, um

  • den Schutz von Schwerpunkttätigkeiten
  • die Stabilisierung, Fortführung, Wiederaufnahme und Wiederherstellung von Schwerpunkttätigkeiten und
  • die Einführung, Aufrechterhaltung und Weiterentwicklung des Notfall- und Krisenmanagements 

zu gewährleisten. 

Datenschutz Management System (DSMS)

In der oraïse Gruppe genießt der Datenschutz unter Einbeziehung personenbezogener und anderer vertraulicher Daten höchste Priorität und Schutz.

Im Rahmen der Geschäftstätigkeit werden regelmäßig und unvermeidbar schutzwürdige Daten erhoben, verarbeitet, genutzt und anderen Personen zur Verfügung gestellt. Alle personenbezogenen und anderen vertraulichen Daten und Informationen sind in den Schutzbereich einbezogen.

Dabei wird das Maß der Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten unter Beachtung datenschutzrechtlicher Zulässigkeitsvoraussetzungen auf das notwendige Mindestmaß zur Aufgabenerfüllung begrenzt.

Alle Mitarbeiter sind zur Einhaltung aller einschlägigen Regelungen, wie sie sich aus DSGVO und TOM ergeben, verpflichtet. Sie werden in dieser Hinsicht regelmäßig aus- und weitergebildet.

Mehr Effizienz und Gewinn für Ihr Finanzunternehmen

…jetzt! oraïse ist Ihr IT-Partner am Finanzmarkt mit praxisorientierten Lösungen, Consulting und innovativen Tools aus IT und Management. Unsere Zusammenarbeit an der Zukunft Ihres Finanzunternehmens kann sofort beginnen. Melden Sie sich per E-Mail!

info@oraise.com