NEULICH AUF UNSEREM PROJEKT…
Das S/4HANA Transformationsprojekt unseres Kunden begann mit der Annahme, dass eine Anmeldung der Cloud-Auslagerung bei der BaFin nicht erforderlich ist, was dazu führte, dass die Compliance-Abteilung nur sporadisch miteinbezogen wurde. Als schließlich bestätigt wurde, dass keine Anmeldung notwendig war, sollte alles beschleunigt umgesetzt werden. Doch im Bereich der Dienstleisterüberwachung konnte so schnell kein Verantwortlicher identifiziert werden. Die Suche nach einem geeigneten Bereich in der Compliance-Abteilung, der die Überwachungs- und Auditierungsprozesse steuern sollte, verzögerte sich. Zudem waren diese Prozesse nur grob definiert, was auch operative Fragen aufwarf.
In zahlreichen Meetings mussten die Verantwortlichkeiten neu verteilt und die Prozesse für die Überwachung und Auditierung erst mühsam entwickelt werden. Hätte das Projekt von Beginn an einen ganzheitlicheren Ansatz verfolgt, hätten viele dieser zusätzlichen Anstrengungen und Kosten vermieden werden können.
WAS LERNEN WIR DARAUS?
1. Cloud-Strategie
Die frühzeitige Festlegung einer Cloud-Strategie und der Umfang der in die Cloud auszulagernden Use Cases ist entscheidend für eine stabile Architektur und sollte von Ihnen klar in den Architektur-Leitplanken aufgenommen werden. Damit schaffen Sie Transparenz über die Handlungsoptionen bezüglich der Infrastruktur und erleichtern Entscheidungsprozesse.
2. Cloud-Kosten beim Hyperscaler
Eine sorgfältige Prüfung und Planung der Betriebszeiten von Cloud-Umgebungen ist essenziell, um Kosten effektiv zu steuern. Insbesondere der Dauerbetrieb (24/7) kann die Kosten signifikant erhöhen, weshalb wir Ihnen detaillierte Nutzungspläne empfehlen, um unnötige Kosten zu minimieren.
3. Datenverwaltung und Speicherung
Die Einhaltung von Compliance-Vorschriften und Sicherheitsstandards für in der Cloud gespeicherte Daten hat oberste Priorität. Dies kann, abhängig von der Organisationserfahrung, ein zeitintensiver Prozess sein und erfordert eine gründliche Planung. Besonders regulatorische Meldepflichten, wie die der BaFin, müssen Sie vorab prüfen, um Fristen strikt einhalten zu können.
4. Wohnsitz der Daten
Die Verwaltung der Datenansässigkeit ist abhängig vom Cloud-Anbieter und dessen Standort, was die Einhaltung der rechtlichen Anforderungen verschiedener Gerichtsbarkeiten kompliziert machen kann. Sie sollten daher die Frage nach dem Standort der Daten direkt am Anfang des Auslagerungsprozesses klären.
5. Überwachung und Auditierung
Die Zusammenarbeit mit einem Cloudanbieter erfordert eine fortlaufende Überprüfung und Überwachung der erbrachten Dienstleistungen, einschließlich der Einhaltung von Regulatorik, Service-Level-Agreements (SLAs) und Kosten. Diese Prozesse sind ggf. noch nicht im benötigten Umfang in der Organisation vorhanden. Die Etablierung dieser sollte daher für Sie ein von Beginn parallel laufender Aktivitätenstrang sein.
6. Prozesse und Verantwortlichkeiten
Die Einhaltung von Vertragsbedingungen und gesetzlich vorgeschriebenen Auditaktivitäten muss klar definierten Verantwortlichkeiten innerhalb des Unternehmens zugeordnet werden. Hierfür ist ebenfalls die Implementierung angemessener Prozesse und gegebenenfalls Tools notwendig. Auch hier sollten Sie die betroffenen Abteilungen früh mit einbinden.
Unser Fazit
Die Implementierung einer Cloud-Lösung erfordert neben dem technischen Know-how, insbesondere auch einen proaktiven Ansatz bei der Planung, um den Anforderungen an Kostenmanagement und Compliance gerecht zu werden. Da verschiedene Stakeholder-Gruppen einbezogen werden müssen, ist es ratsam, dies von Beginn an zu tun, um spätere Unterbrechungen durch ungeklärte regulatorische Aspekte zu vermeiden.