Abgrenzung & Steuerung von (IT-)Auslagerungen & (IKT-)Drittdienstleistungen

• AT 9 MaRisk, BAIT Nr. 9 und DORA in der Auslagerungs-Praxis
• Erweiterte Praxis-Anforderungen in der Dienstleistersteuerung an Auslagerungen, Fremdbezüge von (IT-) Dienstleistungen und neu an IKT-Drittdienstleistungen unter DORA
• Anforderungen an die Risikoanalyse und Wesentlichkeitsbeurteilung
• Effektive Steuerung von IT-Auslagerungen und IT-Fremdbezügen
• Auslagerung und Fremdbezüge von Software(-Dienstleistungen) – Erweiterte Pflichten und Prüfungserfordernisse
• Erkenntnisse aus einer BaFin-Prüfung

Die Abgrenzung »Auslagerung oder sonstiger Fremdbezug« bei IT-Dienstleistungen ist schwierig und stellt die betroffenen Bereiche vor besondere Herausforderungen. Nach den MaRisk stellt der »sonstige Fremdbezug« keine Auslagerung dar. Aber auch der sonstige Fremdbezug muss nachvollziehbar identifiziert und einer Risikoanalyse unterzogen werden, da auch dort zu steuernde Risiken entstehen und »schleichend« zu einer Auslagerung werden können im Verlauf der Geschäftsbeziehung, was dann mit erhöhten Anforderungen an die Steuerung der (IT-)Dienstleistung bzw. (IT-)Auslagerung einher geht.

Ab dem 17.01.2025 kommt nun noch DORA hinzu, definiert »IKT-Dienstleistungen « und stellt erweiterte Anforderungen, die die MaRisk und BAIT ergänzen oder gar ablösen (!) werden.

Doch wie genau lassen sich Fremdbezüge von Auslagerungen bei ITBezügen unterscheiden und wie sind diese zu beurteilen und abzugrenzen?

Ebenso müssen die Institute Ausstiegsstrategien erstellen und alternative Lösungen vorhalten. Zunehmend ergeben sich wesentliche Feststellungen bei Aufsichtsprüfungen in diesem Themengebiet.

Der Referent berichtet aus der Auslagerungspraxis und gibt wertvolle Prüfungsansätze, Praxistipps und Abgrenzungshinweise.