Die Oracle Fusion Cloud Applications Suite hat am 7. Oktober 2022 eine Typ-2-Bescheinigung für die BaFin erhalten.

Schellman & Company, LLC hat eine Prüfung durchgeführt, um die internen Kontrollen von Oracle Fusion Cloud anhand der Kriterien der Bundesanstalt für Finanzdienstleistungsaufsicht („BaFin“) für Informationssicherheit und Risiken im Zusammenhang mit Outsourcing zu bewerten („BaFin-Vorschriften“). Die Prüfung umfasst den Zeitraum vom 1. Juli 2021 bis 30. Juni 2022. Die Prüfung konzentrierte sich auf das Informationssicherheitsprogramm von Oracle, das die Oracle Fusion Cloud Applications Suite unterstützt, einschließlich Oracle Fusion Cloud Enterprise Performance Management (EPM) und Oracle European Union Restricted Access (EURA) Cloud Service for Oracle Fusion Applications und Oracle Cloud EPM sowie zugehörige Kontrollen von Oracle, die Oracle Kunden dabei unterstützen, ihre eigenen Anforderungen zu erfüllen, die in den BaFin-Vorschriften festgelegt sind. Oracle selbst unterliegt nicht direkt den Anforderungen der BaFin.

Schellman führte die Prüfung in Übereinstimmung mit den von AICPA SSAE 18, Attestation Standards: Clarification and Recodification, und in Übereinstimmung mit ISAE 3000, Assurance Engagements Other than Audits or Reviews of Historical Financial Information, herausgegeben vom International Auditing and Assurance Standards Board, durch. Schellman hat anhand der Prüfung keine Testausnahmen für die Kontrollen von Oracle in Bezug darauf identifiziert, wie Kunden, die den BaFin-Vorschriften unterliegen, bei der Verwendung von Oracle Fusion Applications, Oracle Cloud EPM und Oracle EURA Cloud Service für Oracle Fusion Applications und Oracle Cloud EPM konform sein können, wie in ihrer Stellungnahme vom 7. Oktober 2022 vermerkt. Schellman erstellte nach der Prüfung einen formellen Bericht

Der Bericht deckt ausgewählte Anforderungen der folgenden Vorschriften ab:

• Kreditwesengesetz der Bundesrepublik Deutschland (KWG)
• Versicherungsaufsichtsgesetz der Bundesrepublik Deutschland (VAG)
• Anleitung zum Outsourcing an Cloud-Serviceprovider
• Mindestanforderungen an das Risikomanagement (MaRisk)
• Aufsichtsrechtliche Mindestanforderungen an das System der Unternehmensführung von Versicherungsunternehmen (MaGO)
• Aufsichtsrechtliche Anforderungen an die IT in Finanzinstituten (BAIT)
• Aufsichtsrechtliche Anforderungen an die IT bei deutschen Vermögensverwaltern (KAIT)
• Aufsichtsrechtliche Anforderungen an die IT in Versicherungsunternehmen (VAIT)

Für die Feststellung der Eignung eines Cloud-Services im Rahmen der BaFin sind allein die Kunden verantwortlich. Die Informationen in dem von Schellman zusammengestellten Bericht sollen deutschen Finanzdienstleistungskunden bei der Bewertung von Oracle Fusion Applications helfen. Die Berichte sind sowohl in englischer als auch in deutscher Sprache verfügbar.

Wenden Sie sich an Ihren Vertriebsmitarbeiter und/oder Account-Manager, um Zugriff auf den Bescheinigungsbericht anzufordern. Weitere Informationen über unsere Compliance-Aktivitäten finden Sie auf der Compliance-Seite auf unserer Website und im Blogpost Compliance-Überlegungen für Cloud-Services.