External Supplier Control Obligations

Kontrollpflichten externer
Lieferanten
EUDA – von Endbenutzern
entwickelte Anwendungen (End
User Developed Applications)
Version 7.0, Dezember 2016
Kontrollbereich
Bezeichnung der
Kontrolle
Beschreibung der Kontrolle
Über die Bedeutung
Geschäfts- und
Sicherheitskontrollen
Funktionen und
Verantwortlichkeiten
Der Lieferant muss Funktionen und Verantwortlichkeiten für EUDAs festlegen
und kommunizieren. Diese müssen nach jeder am Betriebsmodell oder
Geschäft des Lieferanten vorgenommenen Änderung überprüft werden.
EUDAs erfordern ein Sponsorship auf höherer
Ebene, um sicherzustellen, dass
Kontrollmechanismen entwickelt, implementiert
und effektiv umgesetzt werden.
Zu den Hauptfunktionen muss ein leitender Angestellter gehören, der für
EUDAs zuständig ist.
EUDARisikoberichterstattung
Um sicherzustellen, dass EUDA-Risiko-Vorfälle gemeldet und verwaltet
werden, müssen dokumentierte Kontrollmechanismen und Prozesse
vorhanden sein.
Um die Geschäftsleitung hinreichend über die
Entwicklung und den Ablauf der EUDA Risikokontrollen in Kenntnis zu setzen, ist eine
fortlaufende Überwachung nötig.
Der Lieferant sollte EUDA-Vorfälle und Datenschutzverletzungen unverzüglich
behandeln und Barclays melden. Es sollte ein Vorfallbehandlungsprozess für
die zeitnahe Bearbeitung und Meldung von Fehlern, die Auswirkungen auf
Informationen von Barclays und/oder auf von Barclays genutzte Dienste
haben, eingerichtet sein.
Der Lieferant muss dafür sorgen, dass die festgelegten Abhilfemaßnahmen
nach einem Vorfall gemäß einem Abhilfeplan (Aktion, Zuständigkeit, Frist)
ausgeführt und mit Barclays abgesprochen und vereinbart werden.
Fortlaufende
Überwachung
Der Lieferant muss regelmäßig (mindestens jedoch einmal in jedem
Kalenderjahr) seine Einhaltung dieses Zeitplans messen, auswerten und
dokumentieren.
Einhaltung der
gesetzlichen und
satzungsmäßigen
Bestimmungen vor Ort
Der Lieferant stellt sicher, dass auf EUDA bezogene gesetzliche wie
satzungsmäßige Bestimmungen des Geltungsbereichs, in welchem der
Lieferant arbeitet, angemessen dokumentiert sind und eingehalten werden.
Seite | 1
Version 7.0, Dezember 2016
Kontrollbereich
Bezeichnung der
Kontrolle
Beschreibung der Kontrolle
Weiterbildung und
Awareness
Weiterbildung und
Awareness für
Neuangestellte
Der Lieferant muss dafür sorgen, dass alle seine neuen Mitarbeiter mit
Verantwortlichkeiten für EUDA bestimmt werden und innerhalb eines
angemessenen Zeitraums eine Schulung absolvieren, die ihnen die nötigen
Kenntnisse über ihre Funktionen und Verantwortlichkeiten in Bezug auf EUDA
vermittelt.
Fortlaufende
Weiterbildung und
Awareness
Der Lieferant muss sicherstellen, dass Mitarbeiter, denen Verantwortlichkeiten
für EUDA zugewiesen worden sind, die für ihre Funktion erforderliche
Weiterbildung und Awareness vermittelt bekommen
Über die Bedeutung
Es soll sichergestellt werden, dass sämtliche
Mitarbeiter des Lieferanten mit
Verantwortlichkeiten für EUDA sich ihrer
Verantwortlichkeiten bewusst sind, um zu
verhindern, dass der Lieferant EUDAs und die
in ihnen enthaltenen Informationen
versehentlich vermeidbaren Risiken aussetzt.
(a) in Intervallen, die der Bedeutung ihrer Verantwortlichkeiten
angemessen sind, und
(b) mindestens einmal pro Jahr.
EUDA-Kontrollziele
Bestimmung und
Einschätzung der
Kritikalität
Es muss ein Prozess zur Identifizierung sämtlicher EUDAs, die Dienste von
Barclays unterstützen, dokumentiert und vorhanden sein. Die Kritikalität der
EUDA muss mit Barclays vereinbart werden.
Die Identifizierung und Bewertung der
Kritikalität von EUDAs ist von oberster
Bedeutung für die Bestimmung der richtigen
Kontrollstufe für sämtliche EUDAs.
EUDA-Kontrollziele
Mindestanforderungen
an Kontrollen
ausgehend von der
Kritikalität der EUDA
Der Primärbenutzer der EUDA muss Kontrollen implementieren, die den
Anforderungen der Kontrollziele ausgehend von der mit Barclays vereinbarten
Kritikalitätsstufe entsprechen.
Entsprechend dem Risiko, mit dem die EUDA
verbunden ist, muss die richtige Kontrollstufe
angewendet werden, damit die Kontrollen bei
einer EUDA mit geringerem Risiko nicht zu
umfangreich sind.
Die mit „V“ gekennzeichneten Kontrollziele sind gemäß diesem Dokument als
Verbindlich vorgeschrieben. Alle anderen Kontrollziele sind nur Optional („O“).
Die Übersicht zu Kontrollen ist Anhang A zu entnehmen.
Es sind gegebenenfalls Nachweise aufzubewahren, um zu zeigen, dass die
Seite | 2
Version 7.0, Dezember 2016
betreffenden Kontrollziele erreicht werden.
EUDA-Kontrollziele
Registrierung
Zur Schaffung von Transparenz hinsichtlich des Gesamtbestands der im
Geltungsbereich liegenden EUDAs für den Lieferanten und zur Erfassung
wichtiger Merkmale in Bezug auf die Einhaltung der Bestimmungen dieses
Dokuments muss eine EUDA-Bestandsliste vorhanden sein.
Die Vollständigkeit der EUDA-Bestandsliste ist
von grundlegender Bedeutung, damit die
erforderliche Sicherheit und die Funktion von
EUDAs gewährleistet sind.
Es muss ein Prozess dokumentiert und vorhanden sein, um sicherzustellen, dass
die Bestandsliste der EUDAs vollständig, genau und aktuell ist. Die EUDABestandsliste muss mindestens einmal jährlich auf Genauigkeit und
Vollständigkeit überprüft werden.
Kontrollbereich
Bezeichnung der
Kontrolle
Beschreibung der Kontrolle
Über die Bedeutung
EUDA-Kontrollziele
Zugriff
Der Zugriff auf Daten und Geschäftslogik für sämtliche EUDAs muss auf die
entsprechenden Benutzer mit den entsprechenden Zugriffsrechten
beschränkt sein. Der Zugriff muss anhand eines risikobasierten Ansatzes
überprüft werden.
Entsprechende Zugriffskontrollen schützen
EUDAs vor unbefugtem, unangemessenem oder
nicht zuordenbarem Zugriff.
EUDA-Kontrollziele
Verfügbarkeit
Es müssen Kontrollen vorhanden sein, um sicherzustellen, dass EUDAs im
Einklang mit den Anforderungen der BU zur Verfügung stehen müssen.
Durch die Verfügbarkeit von EUDAs wird die
kontinuierliche Funktion von
Geschäftsprozessen sichergestellt.
EUDA-Kontrollziele
Änderungsmanagement
Durch die Beachtung von Prinzipien des Änderungsmanagements wird
sichergestellt, dass EUDAs nach Änderungen der Geschäftslogik wie erwartet
funktionieren.
Ein angemessenes Änderungsmanagement ist
von entscheidender Bedeutung dafür, dass die
EUDA nach einer Änderung weiter wie erwartet
funktioniert.
Änderungen der Geschäftslogik von EUDAs oder von wichtigen statischen
Seite | 3
Version 7.0, Dezember 2016
Daten dürfen nicht zu Fehlern der Ausgabedaten oder der Berichterstattung
führen. Neuere Versionen von EUDAs müssen klar von vorherigen Versionen
unterschieden werden, und ältere Versionen sind an einem gesonderten Ort
zu halten.
Die Kenntnis von Eingabedaten, Berechnungen, Ausgabedaten sowie die
Fähigkeit, selbige zu ändern, darf nicht auf eine einzelne Person (EUDAPrimärbenutzer) beschränkt sein.
Zur Unterstützung der fortlaufenden Nutzung und Pflege der EUDA bei
Abwesenheit des EUDA-Primärbenutzers muss ein EUDA-Prüfer benannt
werden. Darüber hinaus muss eine hinreichende Dokumentation vorhanden
sein, anhand derer eine Person, die mit einer spezifischen EUDA bewandert
ist, die EUDA ändern und warten kann.
EUDA-Kontrollziele
Überführung in eine
verwaltete Anwendung
Beim EUDA-Verantwortlichen muss ein Prozess vorhanden sein, um jährlich
die potenzielle Überführung von EUDAs, deren Kritikalität als hoch eingestuft
ist, in eine Lösung für verwaltete Technologien in Betracht zu ziehen.
Die Überführung von EUDAs, die als Kritisch
eingestuft sind, in verwaltete Anwendungen
würde die Kontrollen in dem Prozess verbessern,
und die Effizienz ebenso, denn dies ermöglicht
die Implementierung von stärker
standardisierten Kontrollen.
Definitionen
EUDA
EUDAs sind Anwendungen und Tools, die von den Endbenutzern erstellt, genutzt und verwaltet werden. Entwickelt werden diese in der Regel mit
Standard-Desktop-Software (meistens Microsoft Excel oder Access) und anderen Arten von Datenbanken, Abfragen, Makros, Skripten,
Berichterstattungstools, ausführbaren Dateien und Code-Paketen. EUDAs führen einen Geschäftsprozess fortlaufend aus oder sind Bestandteil eines
Geschäftsprozesses (keine nur einmalige Nutzung), was Auswirkungen in finanzieller, regulatorischer oder den Ruf betreffender Hinsicht auf Barclays
oder nachteilige Folgen für einen Kunden von Barclays haben könnte, falls Berechnungen oder Ausgabedaten von EUDAs ungenau, nicht verfügbar,
Seite | 4
Version 7.0, Dezember 2016
nicht aktuell oder fehlerhaft sind.
Zur Klarstellung wird angemerkt, dass es sich bei einer EUDA um eine Gruppe automatisierter Tools (z. B. Arbeitsblätter einer Tabellenkalkulation)
handeln kann, allerdings müssen sie der Unterstützung des gleichen Prozesses/Funktionsbereichs dienen und einen einzigen EUDA-Primärbenutzer
haben. Sämtliche in der Gruppe enthaltenen Tools unterliegen den gleichen Kontrollbestimmungen.
EUDA-Verantwortlicher
Für jede EUDA muss ein EUDA-Verantwortlicher benannt sein. Der EUDA-Verantwortliche muss zumindest eine Person auf der Hiercharchiestufe
eines Direktors oder eine ähnliche Person in der relevanten BU bzw. im relevanten Funktionsbereich sein. Der EUDA-Verantwortliche ist für Folgendes
rechenschaftspflichtig:
Führen einer vollständigen und genauen Bestandsliste sämtlicher EUDAs für ihre jeweiligen Teams, und
Sicherstellen, dass sämtliche unter ihre Verantwortung fallenden EUDAs den Bestimmungen dieses Dokuments entsprechen.
Sicherstellen, dass jedes Jahr die Überführung von EUDAs, deren Kritikalität als hoch eingestuft ist, in eine Lösung für verwaltete Technologien in
Betracht gezogen wird.
EUDA-Primärbenutzer
Für jede EUDA muss ein EUDA-Primärbenutzer benannt sein. Der EUDA-Primärbenutzer ist für Folgendes verantwortlich:
Integrität der Daten, Berechnungen und aller sonstigen Inhalte in der EUDA,
Identifizierung und Registrierung der EUDA bei der richtigen EUDA-Bestandsliste,
Durchführung der Kritikalitätsbewertung für die EUDA,
Fortlaufende Entwicklung und Wartung der EUDA, und
Sicherstellen, dass die EUDA den im vorliegenden Dokument definierten Kontrollzielen gerecht wird.
EUDA-Prüfer
Beim benannten Prüfer muss es sich um eine Einzelperson, nicht aber um den Primärbenutzer, mit hinreichend Kenntnissen und Erfahrung in Bezug
auf die EUDA handeln, die zu Folgendem in der Lage ist:
Unterstützung der fortlaufenden Nutzung und Wartung der EUDA bei Abwesenheit des EUDA-Primärbenutzers, und
Unterstützung von wichtigen Kontrollaktivitäten, die eine unabhängige Überprüfung erfordern würden.
Seite | 5
Version 7.0, Dezember 2016
Anhang A: Mindestanforderungen an Kontrollen
Kontrollziel
Sehr
Gering
Mittel
Hoch
V
V
V
V
EUDA-Registrierung
O
V
V
V
Zugriff
O
V
V
V
Verfügbarkeit
O
O
V
V
Änderungsmanagement
O
O
V
V
Validierung von Daten und Berechnung
O
O
O
V
gering
EUDA-Identifizierung und Bewertung der
Kritikalität
Seite | 6
Version 7.0, Dezember 2016