Prüfung (IT-)Auslagerungen und (IKT-)Drittdienstleistungen
- Einbeziehung neuer DORA-Anforderungen in die Prüfungsplanung für die Prüfung von IKT-Drittdienstleistungen
- IT-Auslagerungen: Häufige Prüfungs-Mängel, vermeidbare Feststellungen und neue IKT-Prüffelder
- Beurteilung der Ordnungsmäßigkeit der organisatorischen Ausgestaltung des Auslagerungsmanagements und der (IKT-)Dienstleister-Steuerung
- Prüfung der Funktionsfähigkeit / Ordnungsmäßigkeit der Dienstleister- Prozesse sowie der Wirksamkeit der Internen Revision des (IKT-)Dienstleisters
Aufgrund gestiegener Auslagerungsrisiken – insbesondere im Bereich der IKT-Dienstleistungen – hat die Aufsicht die regulatorischen Anforderungen (MaRisk, BAIT, EBA-Outsourcing-Anforderungen, DORA) deutlich verschärft und das Thema (IT-)Auslagerungen zu einem Prüfungsschwerpunkt erklärt.
Aktuelle Aufsichtsprüfungen haben häufig zu wesentlichen Feststellungen bei Instituten und Dienstleistern geführt und große Schwachstellen identifiziert. Die Prüfung und Beurteilung der Auslagerungsrisiken durch das Auslagerungsmanagement und die Dienstleistersteuerung muss daher verbessert und nach Wesentlichkeitsgesichtspunkten ausgerichtet werden – Insbesondere die neuen DORA-Anforderungen sind in den Steuerungsprozessen abzubilden.
Interne Revision und externe Prüfer*innen haben ihrerseits eine Beurteilung der Ordnungsmäßigkeit der organisatorischen Ausgestaltung des Auslagerungsmanagements und der (IKT-)Dienstleister-Steuerung vorzunehmen. Dies betrifft sowohl die Prüfung der Funktionsfähigkeit und Ordnungsmäßigkeit der internen und externen Dienstleister-Prozesse als auch die Beurteilung der Wirksamkeit der Internen Revision des (IKT-)Dienstleisters.
Die zusätzlichen Anforderungen durch die neuen DORA-Vorgaben sind ebenfalls zu berücksichtigen und in die Prüfungsplanung einzubeziehen.
Die Referenten berichten aus der Aufsichtsund Prüfungspraxis zu konkreten Prüfungsansätzen für ausgewählte Prüffelder im Bereich (IT-)Auslagerungen und (IKT-)Drittdienstleistermanagement.