Risikoanalyse von Auslagerungen (MaRisk) und IKT-Drittdienstleistungen (DORA)

• Aktuelle MaRisk-/DORA-Anforderungen an die Risikoanalyse von Auslagerungen und IKT-Drittdienstleistungen
• Ableitung der Wesentlichkeitseinstufungen für Auslagerungen
• Organisatorische und prozessuale Ausgestaltung des Auslagerungsmanagements 
• Abbildung von Risikoanalysen in der Risikoinventur
• DORA-Besonderheiten bei der IKT-Risikobeurteilung
• Besonderheiten bei der Risikoanalyse von Cloud-Dienstleistern

Die MaRisk verpflichten die Institute im AT 9 im Rahmen einer Risikoanalyse die Wesentlichkeit der Auslagerungen festzulegen und Auslagerungs-Risiken zu identifizieren. Die neuen DORA-Vorgaben erhöhen die Anforderungen an die Risikoanalyse von IKT-Drittdienstleistungen sowie den erbringenden Dienstleistern und führen gleichzeitig zu Abgrenzungsschwierigkeiten zu den MaRisk.

Die Risikoanalyse nach MaRisk ist jährlich sowie anlassbezogen zu erstellen, wobei die maßgeblichen Funktionen (u. a. Interne Revision) einzubeziehen sind. In der Praxis bestehen häufig Unsicherheiten bzgl. des notwendigen Analyseumfangs und der zulässigen Gestaltungsspielräume. Die Ordnungsmäßigkeit der Geschäftsorganisation ist bei sämtlichen Auslagerungen weiterhin sicherzustellen. Insbesondere bei Weiterverlagerungen bzw. Unterauftragsvergaben muss gewährleistet bleiben, dass die Auslagerungsrisiken weiterhin sachgerecht gesteuert werden können. Insbesondere bei IKT-Dienstleistern und Cloud-Service- Providern sind – unter paralleler Berücksichtigung der neuen DORA-Anforderungen – umfassende Risikoanalysen vorzunehmen.

Das Seminar beantwortet aktuelle Abgrenzungs- und Praxisfragen zur Risikoanalyse bei (wesentlichen) Auslagerungen / IKT-Dienstleistungen bzw. Weiterverlagerungen / Unterauftragsvergaben und gibt wertvolle Handlungsempfehlungen und Praxistipps.