Auslagerungen & IKT-Dienstleistungen im Fokus von Aufsicht, MaRisk & DORA

• Herausforderungen durch parallele Gültigkeit von MaRisk und DORA
• Erweiterte DORA-Anforderungen an Auslagerungsbeauftragte (ZAB) und IKT-Kontrollfunktion
• Anforderungen an die Risikoanalyse und Wesentlichkeitsbeurteilung
• Abgrenzung von Auslagerungen, Fremdbezug und IKT-Dienstleistungen
• Aktuelle Anforderungen an den Aufbau, die Ausgestaltung und die Pflege eines Auslagerungsregisters und Besonderheiten bei Clouds
• Neues Meldeverfahren für wesentliche Auslagerungen (MVP)

Die Aufgabenbereiche des Zentralen Auslagerungsmanagements (ZAM) sowie der neuen Zentralen Auslagerungs- Beauftragten (ZAB) und der IKT-Kontrollfunktion bzgl. der risikoorientierten Steuerung der Auslagerungen, Fremdbezüge und IKT-Dienstleistungen sind durch die MaRisk und die neuen DORA-Vorgaben stärker in den Fokus von Aufsicht, Revision und Compliance gerückt.

Die neuen DORA-Anforderungen sind nicht vollständig Deckungsgleich mit parallel geltenden MaRisk und gehen vom Umfang und dem Detailgrad teilweise weit über diese hinaus.

Die Aufsicht stellt somit erhöhte Anforderungen an die Steuerung der mit den Auslagerungssachverhalten einhergehenden Risiken im ZAM. Aber insbesondere bei IKT-Dienstleistungen, Software- und Cloud-Nutzung ergeben sich Auslegungsfragen und Abgrenzungsschwierigkeiten in der Umsetzungspraxis und stellen dadurch die betroffenen Bereiche vor besondere Herausforderungen.

Die Institute sind nun verpflichtet, ein Auslagerungsregister (MaRisk) und ein Informationsregister (DORA) zu führen sowie bestehende und sich anbahnende wesentliche Auslagerungen regelmäßig an die Aufsicht zu melden.

Die Referenten berichten aus der Prüfungs- und Auslagerungspraxis und geben wertvolle Umsetzungshinweise.