IT-Auslagerungen, Cloud-Dienstleistungen und Lieferketten im Fokus der Aufsicht

Aufsichtliche Anforderungen – Aktuelle Prüfungserfahrungen – Identifizierte Mängel

• DORA- und BAIT-Anforderungen an IT-Auslagerungen und Cloud-Nutzung
• Zunehmende Lieferkettenrisiken bei Auslagerungen und Fremdbezügen
• Besondere Prüfungshandlungen bei wesentlichen IT-Auslagerungen & Weiterverlagerungen
• Zunehmende Komplexität der Dienstleister(über)Prüfung
• Prüfung von Risiken (in) der Cloud – Stark zunehmende Anzahl von Cloud- Auslagerungen
• Abbildung der Auslagerungsrisiken im Risikomanagement/OpRisk
• Besonderheiten zur Vertragsgestaltung bei Auslagerungen.
• Praxis- und Prüfungstipps für ein risikoorientiertes Auslagerungsmanagement und aufsichtskonforme Prüfungsdokumentation

Die Anforderungen an IT-Auslagerungen und die Nutzung von Cloud-Dienstleistern sind durch die neuen MaRisk/BAIT deutlich konkretisiert und erweitert worden. Die teilweise direkt anzuwendenden Vorgaben aus den EBA-Outsourcing- bzw. EBA-ICT-Leitlinien führen zu deutlich erweiterten Anforderungen an das IT-Auslagerungsmanagement, die IT-Governance und das IT-Risikomanagement in den Banken und Sparkassen.

Die Interne Revision hat diese Neuerungen in der Prüfungsplanung entsprechend zu berücksichtigen und insbesondere die Risiken aus der Auslagerung und Weiterverlagerung an externe IT-Dienstleister und Cloud-Service-Provider detaillierter zu prüfen.

Oft besteht in den Instituten aber kein einheitlicher Prozess hinsichtlich der Vorgehensweise bei Abschluss neuer IT-Auslagerungsvereinbarungen und entsprechender Service-Level-Agreements (SLAs). Häufige Mängel bestehen auch bei der Aktualisierung bestehender Auslagerungsverträge (z.B. im Rahmen von Anpassungen an neue Vorgaben – MaRisk, BAIT, Datenschutz etc.). In vielen Fällen sind die Auslagerungsvereinbarungen unvollständig bzgl. messbarer Leistungs- und Qualitätsvorgaben sowie der konkreten Festlegung von ISM-/ BCM-Vorgaben, IT-Notfallplanung oder Prüfrechten.

Im Seminar setzt sich der Referent mit aktuellen Auslegungs- und Umsetzungsfragen auseinander und gibt wertvolle Hinweise und Praxistipps zur risikoorientierten und angemessenen Ausgestaltung von IT-Auslagerungen und Cloud-Nutzungen.