Abgrenzung und parallele Steuerung von Auslagerungen (MaRisk) & IKT-Dienstl. (DORA)

• Paralleler Geltungsbereich von AT 9 MaRisk (Auslagerungen) und DORA (IKT-Dienstleistungen) – Abgrenzung und Prüfung in der Aufsichtspraxis
• Effektive Abgrenzung und Steuerung von Auslagerungen, sonstigen Fremdbezügen und IKT-Drittdienstleistungen
• Erweiterte Pflichten und Prüfungserfordernisse bei IKT-Drittdienstleistungen – Besonderheiten bei der Prüfung von Software- und Cloud-Dienstleistungen
• Erkenntnisse aus einer BaFin-Prüfung

Die Abgrenzung «Auslagerung oder sonstiger Fremdbezug» bei Dienstleistungen gemäß MaRisk ist schwierig und stellt die betroffenen Bereiche bisher schon vor besondere Herausforderungen. Durch DORA wurde nun zusätzlich die Kategorie «IKT-Drittdienstleistung» eingeführt, sodass die parallel geltenden, aber nicht deckungsgleichen Anforderungen von MaRisk und DORA nun mit einem noch höheren Steuerungsaufwand und höheren Auslagerungsrisiken einhergehen.

In jedem Fall ist eine umfassende Risikoanalyse bzw. Risikobewertung durchzuführen. Doch wie genau lassen sich Auslagerungen, sonstige Fremdbezüge und IKT-Drittdienstleistungen abgrenzen, unterscheiden und (parallel) steuern?

Die Prüfungserfahrung zeigt hier oft deutliche Unterschiede in der Vorgehensweise der Institute.

Zunehmend ergeben sich wesentliche Feststellungen bei DORA-Prüfungen in diesem Themengebiet.

Die Referenten berichten aus der Aufsichts- und Instituts-Praxis und geben wertvolle Praxistipps, Abgrenzungshinweise und Prüfungsansätze.