Risikoanalyse von Auslagerungen und IKT-Drittdienstleistungen am 11.11.2024

Die MaRisk verpflichten die Institute im AT 9 im Rahmen einer Risikoanalyse die Wesentlichkeit der Auslagerungen festzulegen und Auslagerungs-Risiken zu identifizieren. Die neuen DORA-Vorgaben erhöhen die Anforderungen an die Risikoanalyse von IKT-Drittdienstleistungen und führen gleichzeitig zu Abgrenzungsschwierigkeiten zu den MaRisk durch den Wegfall der BAIT ab 17.01.2025.

Die Risikoanalyse nach MaRisk ist jährlich sowie anlassbezogen zu erstellen, wobei die maßgeblichen Funktionen (u. a. Interne Revision) einzubeziehen sind. In der Praxis bestehen häufig Unsicherheiten bzgl. des notwendigen Analyseumfangs und der zulässigen Gestaltungsspielräume. Die Ordnungsmäßigkeit der Geschäftsorganisation ist bei sämtlichen Auslagerungen weiterhin sicherzustellen. Insbesondere bei Weiterverlagerungen muss gewährleistet bleiben, dass die Auslagerungsrisiken weiterhin sachgerecht gesteuert werden können. Insbesondere bei Auslagerungen an IT-Dienstleister und Cloud-Service-Provider sind – unter paralleler Berücksichtigung der neuen DORA-Anforderungen – umfassende Risikoanalysen vorzunehmen.

Das Seminar beantwortet aktuelle Abgrenzungs- und Praxisfragen zur Risikoanalyse bei (wesentlichen) Auslagerungen bzw. Weiterverlagerungen sowie IKT-Drittdienstleistungen und gibt wertvolle Handlungsempfehlungen und Praxistipps.