Beschreibung
Pragmatische Lösungsansätze (!) und Praxistipps für Abgrenzungsfragen
Die Abgrenzung vonAuslagerungssachverhalten zu sonstigem Fremdbezug bei IT-Dienstleistungen istschwierig und stellt die betroffenen Bereiche vor große Herausforderungen. MaRiskund BAIT stellen hohe Anforderungen an die Steuerung der damit einhergehendenRisiken. In jedem Fall ist eine Risikoanalyse bzw. -bewertung durchzuführen.Diese ist regelmäßig zu aktualisieren und fließt in die Ausgestaltung derVerträge und Kontrollhandlungen ein. Doch wie genau lassen sich Fremdbezüge vonAuslagerungen bei IT-Bezügen unterscheiden und wie erfolgt die konkreteBeurteilung? Ebenso müssen die Institute Ausstiegsstrategien erstellen und alternativeLösungen vorhalten. Die Prüfungserfahrung zeigt hier oft deutliche Unterschiedein der Vorgehensweise. Zunehmend ergeben sich wesentliche Feststellungen beiAufsichtsprüfungen in diesem Themengebiet. Die Referenten berichten aus ihrenPrüfungen und geben wertvolle Praxistipps und Abgrenzungshinweise.
AT 9 und BAIT 8 in der Aufsichtspraxis – Verstärkte Anforderungen an Auslagerungen und Fremdbezüge von IT-Dienstleistungen
- Weitreichende (neue) Anforderungen aus MaRisk und BAIT an die Steuerung der IT-Dienstleistungen durch (externe) Dritte
- Umfassende Konkretisierungen in den EBA-Outsourcing-Leitlinien bzgl. IT-Auslagerungen
- Abgrenzungskriterien für die Unterscheidung zwischen Auslagerung und Fremdbezug – Wie viel Unterstützungsleistung führt (automatisch!?) zu einer Auslagerung?
- Erwartungshaltung an die vertragliche Gestaltung (Service Level Agreement – SLA) von IT-Auslagerung und sonstigen IT-Fremdbezügen
- Häufige Mängel und identifizierte Schwachstellen bei der Ausgestaltung von Risikobewertungen & Risikoanalysen
- Anforderungen an die Schutzbedarfsanalyse und Schutzbedarfsklassifizierung
Praxisbeispiele zur effektiven Steuerung von IT-Auslagerungen und IT-Fremdbezügen
- Organisatorische Rahmenbedingungen (z.B. Zentrales Auslagerungsmanagement) für eine sinnvolle Steuerung der Auslagerungen und Fremdbezüge
- Ausgestaltung einer Risikobewertung nach BAIT – Plausible und nachvollziehbare Einschätzung von IT-Risiken (Risikobewertung = Risikoanalyse?)
- Praxisbeispiele für relevante Unterstützungsleistungen
- Gestaltung von Exit-Strategien – Auslagerungsbeendigung und Rückverlagerung
- Mindestinhalte der Service-Level Agreements und Durchführung von Kontrollhandlungen
- Best Practices und Handlungsempfehlungen für die Steuerung von IT-Bezügen
Auslagerung und Fremdbezüge von Software(-Dienstleistungen) – Erweiterte Pflichten und Prüfungserfordernisse für die Interne Revision
- Einbezug in die Risikoanalyse (und Risikobewertung?) von IT-Dienstleistungen – Aufgaben und Grenzen der Internen Revision
- Bewertung von Überwachungsmaßnahmen aus Sicht der Internen Revision – Einbezug von Weiterverlagerungen(!)
- Häufige Schwachstellen und Mängel bei der Risikoanalyse
- Prüfung von Cloud-Anwendungen – Unterscheidungsmerkmale und Grenzen in der Steuerbarkeit
- Wie weit können eigene Kontrollhandlungen gehen und wann ist eine eigene Revision mit dem Dienstleister zwingend zu vereinbaren?
- Bewertung von Prüfberichten der Dienstleister-Revision – Welche eigenen Prüfungs- und Kontrollhandlungen sind notwendig?
- Umsetzung von ggf. verbleiben Prüfpflichten des IT-Dienstleisters
Referenten
- Marcus Kerst, Vorstandsstab / Recht | Unternehmenssteuerung, Berliner Volksbank eG
- David Rother, Referat Bankgeschäftliche Prüfungen 2, Deutsche Bundesbank
- Jürgen Krug, IT-Revisor, stellv. Abteilungsleiter Zentralrevision, Frankfurter Sparkasse
Bewertungen
Es gibt noch keine Bewertungen.