Überprüfung der Funktionsfähigkeit der Dienstleister-Revision

• Prüfung der Funktionsfähigkeit, Ordnungsmäßigkeit und Wirksamkeit der Revisions-Prozesse des Dienstleisters
• Neue Anforderungen an die Dienstleister-Revision durch DORA
• Umgang mit abweichenden Risikoeinschätzungen/Mängelgewichtungen
• Abgleich der Prüfungsplanungen von Instituts- und DL-Revision
• Umgang mit Weiterverlagerungen von Revisionstätigkeiten durch den Dienstleister

Aufgrund steigender (IT-)Risiken prüft die Aufsicht zunehmend intensiver das Auslagerungsmanagement und die Dienstleistersteuerung der Banken und Sparkassen sowie die daran angeschlossenen Dienstleister. Durch DORA (Digital Operational Resilience Act) wird künftig ein direkter Aufsichtszugriff auf die – bisher nicht direkt regulierten – Dienstleister und deren Revision möglich sein. Für die auslagernden Institute ist es daher umso wichtiger, funktionierende Prozesse im Auslagerungsmanagement, der Dienstleistersteuerung und der Internen Revision aufzubauen, um Risiken aus Auslagerungen bzw. Fremdbezügen – besonders bei IT-Dienstleistungen – frühzeitig zu erkennen und Gegensteuerungsmaßnahmen einleiten zu können. Hierfür sind teilweise Vor-Ort- Prüfungen des Dienstleisters und/oder der Dienstleister-Revision notwendig, um abschätzen zu können, welche Risiken für die Institute aus der Auslagerung bestehen und um den Aussagegehalt der Dienstleister- Berichterstattung einschätzen zu können.

Auch die Dienstleistungsunternehmen sind angehalten, die bisherigen Mängel aus Aufsichtsprüfungen bei anderen Dienstleistern dahingehend zu prüfen, ob Anpassungen in den Prozessen für die die eigene Dienstleistungserbringung notwendig sind und eine GAP-Analyse der DORA-Auswirkungen vorzunehmen.