Risikoanalyse von Auslagerungen (MaRisk) und IKT-Drittdienstleistungen (DORA)

• Aktuelle MaRisk- / DORA-Anforderungen an die Risikoanalyse von Auslagerungen und IKT-Drittdienstleistungen 
• Ableitung der Wesentlichkeitseinstufung und Kritikalität 
• Organisatorische und prozessuale Ausgestaltung des Auslagerungsmanagements 
• Risikoanalyse: Durchführung und Abbildung in der Risikoinventur 
• DORA-Besonderheiten bei der IKT-Risikobeurteilung 
• Besonderheiten bei der Risikoanalyse von Cloud-Auslagerungen

Die MaRisk verpflichten die Institute im AT 9 im Rahmen einer Risikoanalyse die Wesentlichkeit der Auslagerungen festzulegen und Auslagerungs-Risiken zu identifizieren. Die neuen DORA-Vorgaben erhöhen die Anforderungen an die Risikoanalyse von IKT-Drittdienstleistungen und führen gleichzeitig zu Abgrenzungsschwierigkeiten zu den MaRisk durch den Wegfall der BAIT. 

Die Risikoanalyse ist jährlich sowie anlassbezogen zu erstellen, wobei die maßgeblichen Funktionen (u. a. Interne Revision) einzubeziehen sind. In der Praxis bestehen häufig Unsicherheiten bzgl. des notwendigen Analyseumfangs und der zulässigen Gestaltungsspielräume. 

Bei Auslagerungen an IKT-Dienstleister und Cloud-Service-Provider sind – unter paralleler Berücksichtigung der neuen DORA-Anforderungen – umfassende Risikoanalysen vorzunehmen. 

Insbesondere bei Weiterverlagerungen bzw. Unterauftragsvergaben muss gewährleistet bleiben, dass die Auslagerungsrisiken weiterhin sachgerecht gesteuert werden können. 

Das Seminar beantwortet aktuelle Abgrenzungs- und Praxisfragen zur Risikoanalyse bei Auslagerungen bzw. Unterauftragsvergaben sowie IKTDrittdienstleistungen und gibt wertvolle Handlungsempfehlungen und Praxistipps.