BaFin-Bescheinigung für Oracle Fusion Cloud Applications

Derya Sözen Esen | Senior Manager | EMEA/LAD SaaS Compliance | 28. November 2022

Prüfung durch Schellman & Company, LLC

Die Oracle Fusion Cloud Applications Suite hat am 7. Oktober 2022 eine Typ-2-Bescheinigung für die BaFin erhalten.

Schellman & Company, LLC hat eine Prüfung durchgeführt, um die internen Kontrollen von Oracle Fusion Cloud anhand der Kriterien der Bundesanstalt für Finanzdienstleistungsaufsicht („BaFin“) für Informationssicherheit und Risiken im Zusammenhang mit Outsourcing zu bewerten („BaFin-Vorschriften“). Die Prüfung umfasst den Zeitraum vom 1. Juli 2021 bis 30. Juni 2022. Die Prüfung konzentrierte sich auf das Informationssicherheitsprogramm von Oracle, das die Oracle Fusion Cloud Applications Suite unterstützt, einschließlich Oracle Fusion Cloud Enterprise Performance Management (EPM) und Oracle European Union Restricted Access (EURA) Cloud Service for Oracle Fusion Applications und Oracle Cloud EPM sowie zugehörige Kontrollen von Oracle, die Oracle Kunden dabei unterstützen, ihre eigenen Anforderungen zu erfüllen, die in den BaFin-Vorschriften festgelegt sind. Oracle selbst unterliegt nicht direkt den Anforderungen der BaFin.

Die Prüfung beruhte auf Standards für das Bescheinigungsverfahren

Schellman führte die Prüfung in Übereinstimmung mit den von AICPA SSAE 18, Attestation Standards: Clarification and Recodification, und in Übereinstimmung mit ISAE 3000, Assurance Engagements Other than Audits or Reviews of Historical Financial Information, herausgegeben vom International Auditing and Assurance Standards Board, durch. Schellman hat anhand der Prüfung keine Testausnahmen für die Kontrollen von Oracle in Bezug darauf identifiziert, wie Kunden, die den BaFin-Vorschriften unterliegen, bei der Verwendung von Oracle Fusion Applications, Oracle Cloud EPM und Oracle EURA Cloud Service für Oracle Fusion Applications und Oracle Cloud EPM konform sein können, wie in ihrer Stellungnahme vom 7. Oktober 2022 vermerkt. Schellman erstellte nach der Prüfung einen formellen Bericht

Der Bericht deckt ausgewählte Anforderungen der folgenden Vorschriften ab:

  • Kreditwesengesetz der Bundesrepublik Deutschland (KWG)
  • Versicherungsaufsichtsgesetz der Bundesrepublik Deutschland (VAG)
  • Anleitung zum Outsourcing an Cloud-Serviceprovider
  • Mindestanforderungen an das Risikomanagement (MaRisk)
  • Aufsichtsrechtliche Mindestanforderungen an das System der Unternehmensführung von Versicherungsunternehmen (MaGO)
  • Aufsichtsrechtliche Anforderungen an die IT in Finanzinstituten (BAIT)
  • Aufsichtsrechtliche Anforderungen an die IT bei deutschen Vermögensverwaltern (KAIT)
  • Aufsichtsrechtliche Anforderungen an die IT in Versicherungsunternehmen (VAIT)

Schellman erstellte nach der Prüfung einen formellen Bericht

Für die Feststellung der Eignung eines Cloud-Services im Rahmen der BaFin sind allein die Kunden verantwortlich. Die Informationen in dem von Schellman zusammengestellten Bericht sollen deutschen Finanzdienstleistungskunden bei der Bewertung von Oracle Fusion Applications helfen. Die Berichte sind sowohl in englischer als auch in deutscher Sprache verfügbar.

Weitere Informationen zu unseren Compliance-Aktivitäten

Wenden Sie sich an Ihren Vertriebsmitarbeiter und/oder Account-Manager, um Zugriff auf den Bescheinigungsbericht anzufordern. Weitere Informationen über unsere Compliance-Aktivitäten finden Sie auf der Compliance-Seite auf unserer Website und im Blogpost Compliance-Überlegungen für Cloud-Services.

Derya

Derya Sözen Esen

IT Regulatory Compliance Senior Manager mit fundiertem technischem Hintergrund und über 13 Jahren Erfahrung in diesem Bereich. Derya Sözen Esen verwaltet die Aktivitäten zur Einhaltung von IT-Vorschriften in den EMEA- und LAD-Regionen für Oracle Cloud Applications. Derya beteiligt sich aktiv an Arbeitsgruppen zur Entwicklung neuer Vorschriften/Standards und führt eine Doktorarbeit über die Compliance und Prüfung von künstlicher Intelligenz durch.