Auslagerungen: Risikoanalyse gemäß DORA – Revolution oder Evolution?

Regulatorische Vorgaben einhalten, Risiken richtig bewerten – so gelingt eine aufsichtskonforme Risikoanalyse.

Seminarinhalte:

Überblick relevante rechtliche und regulatorische Grundlagen zur Risikoanalyse und deren Geltungsbereich

• Regulatorische Anforderungen auf nationaler Ebene und europäischer Ebene an das Drittparteienrisikomanagement. EBA-Guidelines zum Outsourcing, DORA, KWG und MaRisk.
• Abgrenzung der Wirkweise der einzelnen regulatorischen Anforderungen im nationalen Recht und erste Ableitung konkreter Anforderungen für die Risikoanalyse.

Überblick relevante Aufbau- und Ablauforganisation und Einbindung IKS

• Three-Lines-of-Defense-Modell definiert klare Verantwortlichkeiten, doch in der Praxis kommt es oft zu Unklarheiten zwischen dem zentralen Auslagerungsmanagement und dezentralen Fachbereichen.
• Querschnittsthemen wie Datenschutz, Informationssicherheit oder ESG bleiben in vielen Banken lückenhaft integriert – mit teils erheblichen Folgen für die Risikoanalyse.
• Eine effiziente Prozessgestaltung ist notwendig, um Risikoanalysen klar zu definieren und revisionssicher zu steuern. Doch wo liegt die Grenze zwischen praktikabler Umsetzung und regulatorischer Übererfüllung?

Die Risikoanalyse unter DORA

• Ziele der Risikoanalyse: Identifikation und Bewertung wesentlicher Risiken beim Drittbezug. Sie schafft Transparenz über potenzielle Gefahren und dient als Entscheidungsgrundlage im Risikosteuerungsprozess. Einstufung nach vordefinierten Kriterien als kritisch oder wichtig.
• Inhalte der DORA-konformen Risikoanalyse: Bewertung der Wesentlichkeit ausgelagerter Prozesse für Strategie, Finanzen, Reputation und regulatorische Anforderungen. Analyse der Kritikalität zur gezielten Umsetzung von Schutzmaßnahmen, insbesondere für die Informationssicherheit. Prüfung der Anbieter auf regulatorische Konformität, Standortrisiken und Konzentrationsrisiken in der Lieferkette.
• Querschnittsthemen und Einbindung: Datenschutz, Informationssicherheit, Notfallmanagement, ESG-Management und Compliance werden integriert, um eine ganzheitliche Risikoanalyse sicherzustellen.
• Transparente Risikoanalysen sind die Grundlage für ein wirksames internes Kontrollsystem. Ohne belastbare Bewertungen drohen strategische und regulatorische Fehlentscheidungen.

Sonderfälle im Rahmen der Risikoanalyse prozessieren

• Weiterverlagerungen sind regulatorisch besonders kritisch. Wer hier keine klare Steuerung implementiert, riskiert einen Kontrollverlust und Feststellungen bei der Prüfung.
• Besondere Dienstleistungen wie Housing und RZ-Betrieb unterliegen besonderen regulatorischen Anforderungen. Welche Parameter sind für eine angemessene Bewertung entscheidend?
• Flexibilität vs. Konformität: In der Praxis entstehen immer wieder Sonderfälle, die nicht in bestehende Prozesse passen. Eine klare Strategie hilft, regulatorische Risiken zu minimieren.

Steuerung, Kontrolle und Überwachung von IKT-Drittparteien

• Risikoorientierte Maßnahmen: Identifizierte Risiken sind nur der erste Schritt – doch wie lassen sie sich effektiv steuern? Ohne eine kontinuierliche Kontrolle und Anpassung der Maßnahmen drohen unerwartete Schwachstellen in der Zusammenarbeit mit IKT-Drittparteien.
• Überwachung und Berichtswesen: Technische Sicherheitsmaßnahmen allein reichen nicht aus. Wie kann sichergestellt werden, dass Dienstleister tatsächliche Risiken nicht verschleiern? Die regelmäßige Überprüfung und Dokumentation sind notwendig – doch oft fehlen klare Prozesse und Verantwortlichkeiten.
• Exit- und Transitionspläne: Ein Ausfall oder Wechsel eines IKT-Dienstleisters kann gravierende Folgen haben. Sind die vorhandenen Pläne wirklich belastbar? Ohne eine vorausschauende Planung, realistische Tests und weitere Maßnahmen kann ein ungeordneter Übergang erhebliche Risiken für die Bank mit sich bringen.

13:30 - 16:30 Uhr