Abgrenzung und parallele Steuerung von Auslagerungen (MaRisk) & IKT-Dienstl. (DORA)

• Paralleler Geltungsbereich von AT 9 MaRisk (Auslagerungen) und DORA (IKT-Dienstleistungen)
• Effektive Abgrenzung und Steuerung von Auslagerungen, sonstigen Fremdbezügen und IKT-Drittdienstleistungen
• Erweiterte Pflichten und Prüfungserfordernisse bei IKT-Drittdienstleistungen – Besonderheiten bei der Prüfung von Software- und Cloud-Dienstleistungen
• Abgrenzung des ZAM zum TPRM

Die Abgrenzung »Auslagerung oder sonstiger Fremdbezug« bei Dienstleistungen gemäß MaRisk ist schwierig und stellt die betroffenen Bereiche bisher schon vor besondere Herausforderungen.

Durch DORA wurde nun zusätzlich die Kategorie »IKT-Drittdienstleistung« zur Unterstützung kritischer oder wichtiger Funktionen eingeführt, sodass die parallel geltenden, aber nicht deckungsgleichen Anforderungen von MaRisk und DORA nun mit einem noch höheren Steuerungsaufwand und höheren Auslagerungsrisiken einhergehen.

In jedem Fall ist eine umfassende Risikoanalyse bzw. Risikobewertung durchzuführen. Doch wie genau lassen sich Auslagerungen, sonstige Fremdbezüge und IKT-Drittdienstleistungen abgrenzen, unterscheiden und (parallel) steuern?

Welche Aufgaben haben Auslagerungsmanagement und TPRM? Die Prüfungserfahrung der Institute zeigt hier oft deutliche Unterschiede in der Vorgehensweise. Zunehmend ergeben sich wesentliche Feststellungen bei DORA-Prüfungen in diesem Themengebiet.

Die Referenten berichten aus der Instituts-Praxis und geben wertvolle Praxistipps, Abgrenzungshinweise und Prüfungsansätze für die Interne Revision.