Auslagerungsmanagement und Dienstleister-Steuerung im Fokus der Aufsicht

• IT-Auslagerungen und IKT-Dienstleister-Steuerung als Schwerpunkt aufsichtlicher IT-Prüfungen und neuer DORA-Anforderungen
• Praxis-Umsetzung neuer DORA-Vorgaben im zentralen Auslagerungsmanagement (ZAM)
• Erweiterte Verantwortung des Auslagerungsbeauftragten (ZAB)
• Abgrenzung von Auslagerungen und sonstigem (IT-)Fremdbezug
• Anforderungen an die Risikoanalyse und Wesentlichkeitsbeurteilung
• Effektive DL-Steuerung – Erkenntnisse aus einer BaFin-Prüfung

Die Aufgabenbereiche des Zentralen Auslagerungsmanagements (ZAM) sowie des neuen Zentralen Auslagerungs- Beauftragten (ZAB) sind durch die Verschärfung der nationalen Vorgaben (MaRisk, BAIT) stärker in den Fokus von Aufsicht, Revision und Compliance gerückt.

Zudem sind die Anforderungen der EBA-Guideline on Outsourcing und der DORA (ersetzt die BAIT ab 2025!), die vom Umfang und dem Detailgrad teilweise weit über die in den MaRisk bisher genannten Anforderungen hinausgehen, zu beachten.

Insbesondere bei IT-Dienstleistungen, Software- und Cloud-Nutzung ergeben sich Auslegungsfragen und Abgrenzungsschwierigkeiten in der Umsetzungspraxis.

In den Aufsichtsprüfungen werden vermehrt Schwachstellen und Mängel bei der Risikoanalyse und der Wesentlichkeitsbeurteilung identifiziert. Die Institute sind nun verpflichtet, bestehende und sich anbahnende wesentliche Auslagerungen regelmäßig an die Aufsicht zu melden. Teilweise müssen die Institute das Auslagerungsmanagement und ihre Auslagerungsprozesse – auch an den Schnittstellen zu den Dienstleistern – neu strukturieren, um die neuen Anforderungen zu erfüllen.

Die Referenten berichten aus der Prüfungs- und Auslagerungspraxis und geben wertvolle Prüfungsansätze, Praxistipps und Abgrenzungshinweise.