Abgrenzung und parallele Steuerung von Auslagerungen (MaRisk) & IKT-Dienstl. (DORA)

• Paralleler Geltungsbereich von AT 9 MaRisk (Auslagerungen) und DORA (IKT-Dienstleistungen)
• Effektive Abgrenzung und Steuerung von Auslagerungen, sonstigen Fremdbezügen und IKT-Drittdienstleistungen
• Erweiterte Pflichten und Prüfungserfordernisse bei IKT-Drittdienstleistungen – Besonderheiten bei der Prüfung von Software- und Cloud-Dienstleistungen
• Abgrenzung des ZAM zum TPRM

Die Abgrenzung »Auslagerung oder sonstiger Fremdbezug« bei Dienstleistungen gem. MaRisk ist schwierig und stellt die betroffenen Bereiche bisher schon vor besondere Herausforderungen.

Durch DORA wurde zusätzlich die Kategorie »IKT-Drittdienstleistung« eingeführt, sodass die parallel geltenden, aber nicht deckungsgleichen Anforderungen von MaRisk und DORA nun mit einem noch höheren Abgrenzungs- und Steuerungsaufwand sowie höheren Auslagerungsrisiken einhergehen.

In jedem Fall ist eine umfassende Risikoanalyse bzw. Risikobewertung durchzuführen. Doch wie genau lassen sich Auslagerungen, sonstige Fremdbezüge und IKT-Drittdienstleistungen abgrenzen, unterscheiden und (parallel) steuern? Welche Aufgaben haben Auslagerungsmanagement und TPRM?

Die Prüfungserfahrung der Institute zeigt hier oft deutliche Unterschiede in der Vorgehensweise. Zunehmend ergeben sich wesentliche Feststellungen bei DORA-Prüfungen in diesem Themengebiet.

Die Referent*innen geben ausschließlich ihre persönliche Auffassung und nicht die eines bestimmten Instituts, der Bundesbank, der BaFin oder einer anderen Aufsichtsbehörde wieder. Die Referent*innen nehmen auch keine offizielle aufsichtliche Auslegung regulatorischer Sachverhalte vor.