Überprüfung der Einhaltung der Auslagerungsanforderungen bei (IT-)Dienstleistungen & (IT-)Dienstleistern

• Verschärfte Anforderungen aus neuen MaRisk- / BAIT- / ICT- / DORA-Vorgaben an die Sicherstellung der Ordnungsmäßigkeit der Prozesse und Abläufe im Auslagerungsmanagement und bei Iden (IT-)Dienstleistern
• Prüfung der Funktionsfähigkeit / Ordnungsmäßigkeit der Dienstleister- Prozesse sowie der Wirksamkeit der Internen Revision des (IT-)Dienstleisters
• Konkrete Vorgehensweise in ausgewählten Feldern der Auslagerungssteuerung (u. a. Berichtswesen, Weiterverlagerungen)
• Umsetzungs-Vorbereitung neue DORA-Anforderungen bei Instituten und Dienstleistern

Durch DORA (Digital Operational Resilience Act) wird künftig ein direkter Aufsichtszugriff auf die – bisher nicht direkt regulierten – Dienstleister möglich sein. Aufgrund steigender (IT-)Risiken prüft die Aufsicht zunehmend intensiver das Auslagerungsmanagement und die Dienstleistersteuerung der Banken und Sparkassen sowie die daran angeschlossenen Dienstleister.

Für die auslagernden Institute ist es daher umso wichtiger, funktionierende Prozesse im Auslagerungsmanagement, der Dienstleistersteuerung und der Internen Revision aufzubauen, um Risiken aus Auslagerungen bzw. Fremdbezügen – besonders bei IT-Dienstleistungen – frühzeitig zu erkennen und Gegensteuerungsmaßnahmen einleiten zu können.

Hierfür sind teilweise Vor-Ort-Prüfungen des Dienstleisters und / oder der Dienstleister- Revision notwendig, um abschätzen zu können, welche Risiken für die Institute aus der Auslagerung bestehen und um den Aussagegehalt der Dienstleister-Berichterstattung einschätzen zu können.

Auch die Dienstleistungsunternehmen sind angehalten, die bisherigen Mängel aus Aufsichtsprüfungen bei anderen Dienstleistern dahingehend zu prüfen, ob Anpassungen in den Prozessen für die die eigene Dienstleistungserbringung notwendig sind und eine GAP-Analyse der DORA-Auswirkungen vorzunehmen.