Beschreibung
Pragmatische Lösungsansätze (!)
Die MaRisk und BAIT stellen hohe Anforderungen an die Steuerung von IT-Auslagerungen und sonstigen Fremdbezügen von IT-Dienstleistungen. Für beide ist eine Risikoanalyse bzw. -bewertung durchzuführen. Diese ist regelmäßig zu aktualisieren und fließt in die Ausgestaltung der Verträge und Kontrollhandlungen ein. Doch wie genau lassen sich Fremdbezüge von Auslagerungen bei IT-Bezügen unterscheiden und was gilt es konkret zu bewerten? Die Erstellung von Ausstiegesstrategien sind im Institut ebenfalls schwierig zu vermittelnde Anforderungen, da oft noch keinerlei Gedankenspiele durchgeführt wurden. Die Prüfungserfahrung zeigt auch eine sehr unterschiedliche Vorgehensweise hinsichtlich der Unterscheidung u. den daraus resultierenden Konsequenzen für die Steuerung der Drittbezüge. Die Referenten vermitteln pragmatische Handlungsempfehlungen.
AT 9 und BAIT 8 in der Aufsichtspraxis – Verstärkte Anforderungen an Auslagerungen und Fremdbezüge von IT-Dienstleistungen
- Verstärkte Anforderungen an die Steueung der IT-Drittbezüge
- Anforderungen der EBA Guideline on Outsourcing an IT-Auslagerungen
- Hilfestellung für eine Unterscheidung zwischen Auslagerung und Fremdbezug – Ab wie viel Unterstützungsleistung beginnt eine Auslagerung?
- Erwartungshaltung an die vertragliche Gestaltung von IT-Auslagerung und sonstigen IT-Fremdbezügen
- Häufige Knackpunkte bei der Ausgestaltung von Risikobewertungen und -analysen
- Anforderungen an die Schutzbedarfsanalyse und Schutzbedarfsklassifizierung
Praxisbeispiele zur effektiven Steuerung von IT-Auslagerungen und IT-Fremdbezügen
- Ausgestatung einer Risikobewertung nach BAIT – Plausible und nachvollziehbare Einschätzung von IT-Risiken (Risikobewertung = Risikoanalyse?)
- Praxisbeispiele für relevante Unterstützungsleistungen
- Gestaltung von Exit-Strategien – Auslagerungsbeendigung und Rückverlagerung
- Mindestinhalte der Service-Level Agreements und Durchführung von Kontrollhandlungen
- Best Practices und Handlungsempfehlungen für die Steuerung von IT-Bezügen
Auslagerung und Fremdbezüge von Software(-Dienstleistungen) – Erweiterte Pflichten und Prüfungserfordernisse für die Interne Revision
- Einbezug in die Risikoanalyse (und Risikobewertung?) von IT-Dienstleistungen – Aufgaben und Grenzen der Internen Revision
- Bewertung von Überwachungsmaßnahmen aus Sicht der Internen Revision – Einbezug von Weiterverlagerungen(!)
- Häufige Schwachstellen bei der Risikoanalyse
- Prüfung von Cloud-Anwendungen – Unterscheidungsmerkmale und Grenzen in der Steuerbarkeit
- Bewertung von Prüfberichten der Dienstleister-Revision – Wann ist eine Revision zwingend erforderlich?
- Umsetzung von ggf. verbleiben Prüfpflichten des IT-Dienstleisters
Referenten
- David Rother, Referat Bankgeschäftliche Prüfungen 2, Deutsche Bundesbank
- Waldemar Frankowski, Vorstandsstab I Unternehmensentwicklung, PSD Bank Berlin-Brandenburg eG
- Jürgen Krug, IT-Revisor, stellv. Abteilungsleiter Zentralrevision, Frankfurter Sparkasse
Bewertungen
Es gibt noch keine Bewertungen.