Blogpost

DORA im Fokus: Herausforderungen im Auslagerungsmanagement

Die DORA-Verordnung (Digital Operational Resillience Act), welche am 17.01.2025 in Kraft tritt, fordert, innerhalb des Auslagerungsmanagements weitere regulatorische Anforderungen zu plausibilisieren und zu prüfen, welche Finanzinstitute vor Umsetzungsherausforderungen stellt.

1508
4 Minuten Lesezeit
DORA (Digital Oporational Resilience Act)

In dieser Collection enthalten:

Collection öffnen

Das dynamische Marktumfeld, veränderte Kundenbedürfnisse und steigende regulatorische Anforderungen erfordern aus Sicht der Finanzdienstleister effiziente Prozesse, um langfristig wettbewerbsfähig zu bleiben. Vor diesem Hintergrund gewinnt das Auslagerungsmanagement, insbesondere durch die Einführung der DORA-Verordnung (Digital Operational Resilience Act) an Bedeutung. (Weiterführende Informationen über die DORA-Verordnungen erhalten Sie im Beitrag „Digital Operational Resilience Act (DORA)“.)

So sind durch die neue DORA-Verordnung, welche am 17.01.2025 in Kraft tritt, innerhalb des Auslagerungsmanagements weitere Anforderungen zu plausibilisieren. Im Rahmen des Lebenszyklus einer Auslagerung gibt die Aufsicht Aktivitäten und Prozesse vor, die sowohl durch das Institut, den Fachbereich und den Kontrollfunktionen als auch durch die interne Revision zu berücksichtigen sind. Nachfolgende Abbildung hebt die wesentlichen thematischen Schwerpunkte entlang des Auslagerungsmanagements hervor:

Outsourcing-Lebenszyklus

Abbildung 1: Outsourcing-Lebenszyklus

Dieser Artikel beleuchtet ausgewählte Anforderungen an das Auslagerungsmanagement unter Berücksichtigung der DORA-Neuerungen und leitet etwaige Handlungsempfehlungen ab.

Auslagerungsstrategie – regulatorische und ökonomische Relevanz

Die Auslagerungsstrategie regelt den grundsätzlichen Umgang mit Auslagerungen und dient als Instrument zur Umsetzung eines angemessenen Risikomanagements im Sinne des §25a Abs. 1 Satz 3 KWG.

Sie stellt die Leitlinie für die Gestaltung des bestehenden Auslagerungsportfolios sowie potenzieller Auslagerungsvorhaben dar und setzt die Vorgaben der Geschäfts- und Risikostrategie, im Einklang mit der IT-Strategie, um, wie die nachfolgende Abbildung entsprechend visualisiert.

Best-Practice Auslagerungsstrategie

Abbildung 2: Best-Practice-Auslagerungsstrategie

Beispielsweise können ineffiziente Kommunikationsprozesse oder mangelnde Kontrolle über ausgelagerte IT-Dienstleistungen zu Verzögerungen und Kostenüberschreitungen führen. Je nach Komplexität des Auslagerungsgegenstands können Ausfälle oder Schlechtleistungen den Geschäftsbetrieb behindern und zu einem erheblichen finanziellen sowie Reputationsschaden führen.

Entsprechend hoch sind die Anforderungen der Aufsicht an die Ausgestaltung und Detaillierung der Strategien, insbesondere der IT- und Auslagerungsstrategie.
So müssen aus der Auslagerungsstrategie mindestens zwei Schlüsselfragen beantwortet werden:

  • Welche Effizienzgewinne oder Risikoreduzierungen sollen durch die Auslagerungen erreicht werden?
  • Welche spezifischen regulatorischen und betrieblichen Anforderungen sind bei der Umsetzung zu berücksichtigen?

Diese Fragen müssen unter Berücksichtigung der neuen DORA-Vorgaben beantwortet werden, die eine detaillierte Risikobetrachtung und Anpassungen der bestehenden Strategien erfordern:

Auslagerungsziele Geschäftspolitische Begrenzung Risikopolitische Begrenzung Kontrolle Konformität und Zielerreichung
Welche Ziele verfolge ich? Was möchte ich auslagern und was nicht? Welche Risiken sind in der Risikoanalyse zu berücksichtigen? Wann überprüfe ich die Strategieeinhaltung?
Ab wann ist mein Ziel erreicht? Wie hoch soll der Umfang der Auslagerungen sein? Wie gehe ich mit Risiken um? Wer ist dafür verantwortlich?
Welche Toleranzen lasse ich zu? Wie lang darf die Kette an Weiter-
verlagerungen sein?
Wieviel Risiko bin ich maximal bereit einzugehen? Wie erfolgt die Überprüfung?
Wie und wann erfolgt der Soll-/Ist-Abgleich? Wie viele Dienstleister lasse ich zu? Wie gehe ich mit Risikokonzentrationen bei Dienstleistern um? Wie gehe ich mit nicht konformen Auslagerungen um?
Wohin möchte ich auslagern? Wie gehe ich mit abweichenden Zielerreichungen um und erfolgt eine Ursachenanalyse?
Welche Anforderungen habe ich an den Dienstleister?

Umgang mit dem Risiko von IKT-Drittdienstleister

Unter DORA erfährt das Thema Strategie neue Herausforderungen. In Ergänzung zur IT- und Auslagerungsstrategie sind strategische Überlegungen zum Umgang mit dem Risiko von IKT-Drittdienstleister (Informations- und Kommunikationstechnologie) anzustellen. Die DORA-Strategie ersetzt dabei nicht die bereits bestehende IT-Strategie. Sie legt vielmehr den Fokus auf die Stärkung der digitalen operationalen Resilienz, was in den Anforderungen der MaRisk bzw. BAIT in diesem Detaillierungsgrad bislang nicht gefordert wurde. Ziel hierbei ist die kritische IT-Infrastruktur vor Cyberrisiken zu schützen bzw. im Falle etwaiger Angriffe Transparenz zu gewährleisten.

Neben Aussagen zur Substituierbarkeit von IKT-Dienstleistern zum Umgang mit Risikokonzentrationen bei (kritischen) IKT-Dienstleistern sowie Aussagen zu geschäftlichen Erfordernissen und Zielen hat sie Ausführungen zu enthalten, welche über die Anforderungen an eine IT-Strategie hinaus gehen. Hierzu zählen u.a. folgende Punkte:

  • Definition von Auswirkungstoleranzen bei IKT-Störungen
  • Aussagen zu Security KPIs (Key Performance Indicators) und Risk Metrics
  • Überblick über die geplante und bestehende IT-Architektur
  • Informationen zu den im Einsatz befindlichen Detection- und Prevention Mechanismen sowie Tools zur Erkennung und zum Schutz von/vor IKT-Incidents
  • Anzahl gemeldeter schwerwiegender IKT-Vorfälle und die Wirksamkeit von Präventivmaßnahmen
  • Ausführungen zu Tests der digitalen operationalen Resilienz
  • Ausführungen zur Kommunikationsstrategie von IKT-Incidents

Die detaillierte Ausgestaltung ist essenziell für den Erfolg der DORA-Umsetzung, da sie den Risikomanagementrahmen und dementsprechend die einzuhaltenden Leitlinien schriftlich fixiert. Entsprechend sind die weiteren untergeordneten Dokumente wie Leitlinie und Arbeitsanweisungen an die DORA-Strategie anzupassen und regelmäßig auf Aktualität hin zu überprüfen.

Fazit und Ausblick

Für das Auslagerungsmanagement ergeben sich signifikante Veränderungen durch die DORA-Verordnung.

Auch wenn noch einige Unsicherheiten mit den DORA-Anforderungen verbunden sind, sollten sich Institute bereits proaktiv und intensiv mit den institutsindividuellen sowie mit den Anforderungen an mögliche IKT-Drittdienstleister im Kontext von geplanten Auslagerungen auseinandersetzen, um u.a. die Durchführungseffizienz bei geplanten Auslagerungen sicherzustellen. Ferner müssen sämtliche Finanzdienstleistungsunternehmen nun prüfen, ob ihre Zulieferer, strategischen Partner etc. die DORA-Anforderungen umsetzen.

Thorsten Tewes

Thorsten Tewes

ist Diplom-Kaufmann und verfügt über langjährige Berufserfahrung in der Wirtschaftsprüfung und in Kontrollfunktionen von Banken und Sparkassen. Bei der msg for banking verantwortet er die Themen Control Functions & Audit Support. Gemeinsam mit seinen Kolleginnen und Kollegen im Business Consultings erarbeitet er umfassende Lösungsangebote zur effizienten Wahrnehmung der Kontrollfunktionen, wie z.B. im Auslagerungsmanagement und Business Continuity Management, innerhalb von Banken und Sparkassen. Im Rahmen von Co-Sourcings unterstützt er Kontrollfunktionen und Interne Revisionen bei der Durchführung von Prüfungshandlungen.

Schreiben Sie einen Kommentar

Sie müssen sich anmelden, um einen Kommentar zu schreiben.