Abgrenzung Auslagerung /sonst. Fremdbezug / IKT-Drittdienstleistung nach MaRisk und DORA

• Erweiterte Praxis-Anforderungen an die Dienstleistersteuerung bei Auslagerung / Fremdbezug (MaRisk) von (IT-)Dienstleistungen und neu bei IKT-Drittdienstleistungen (DORA)
• Anforderungen an Risikoanalyse und Wesentlichkeitsbeurteilung
• Umsetzung unterschiedlicher MaRisk- / DORA-Vorgaben in der DL-Steuerung
• Besonderheiten bei Software(-Dienstleistungen)
• Erkenntnisse aus einer BaFin-Prüfung des ZAM

Die Abgrenzung »Auslagerung oder sonstiger Fremdbezug« bei IT-Dienstleistungen gem. MaRisk ist schwierig und stellt die betroffenen Bereiche vor besondere Herausforderungen. Durch DORA wird nun zusätzlich die Kategorie »IKT-Drittdienstleistung« eingeführt. Nach den MaRisk stellt der »sonstige Fremdbezug« keine Auslagerung dar. Aber auch der sonstige Fremdbezug muss nachvollziehbar identifiziert und einer Risikoanalyse unterzogen werden, da aus dem sonstigen Fremdbezug auch eine Auslagerung oder eine IKT-Drittdienstleistung werden kann im Verlauf der Geschäftsbeziehung.

Die erhöhten Auslagerungsrisiken gehen daher mit erhöhten Anforderungen an die Steuerung der jeweiligen Dienstleistung einher. In jedem Fall ist eine umfassende Risikoanalyse bzw. Risikobewertung durchzuführen.

Doch wie genau lassen sich Auslagerungen, Fremdbezüge und IKT-Drittdienstleistungen abgrenzen, unterscheiden und steuern? Die Prüfungserfahrung zeigt hier oft deutliche Unterschiede in der Vorgehensweise. Zunehmend ergeben sich wesentliche Feststellungen bei Aufsichtsprüfungen in diesem Themengebiet.

Die Referenten berichten aus der Prüfungs- und Auslagerungspraxis und geben wertvolle Prüfungsansätze, Praxistipps und Abgrenzungshinweise.