DORA – Prüfung IKT-Drittparteienmanagement durch die Interne Revision

Kreditinstitute - Aufbaustufe

Beschreibung

Für die Interne Revision stellt das Prüffeld der IKT-Drittdienstleister ein zentrales Prüffeld unter DORA dar, welches „risikoorientiert“ zu prüfen ist. Neben der risikoorientierten Prüfungsplanung stellen die besonderen Prüfungsanforderungen und Hinweise der Aufsicht einen wichtigen Rahmen dar. Erste Prüfungserkenntnisse werden in Form von „Use-Cases“ herausgearbeitet und durch zentrale Prüfungsfragen ergänzt. Dies soll eine wirkungsvolle Hilfestellung für die Interne Revision ermöglichen.

DORA beinhaltet zentrale Anforderungen für die Überwachung der IKT-Dienstleistungen seitens der IKT-Drittdienstleister. Insbesondere stehen hierbei die kritisch/ wichtigen Funktionen im Fokus. Das fordert von den Instituten neben einer reinen Vertragsüberwachung eine fachseitige Leistungsüberwachung, sowie die fortlaufende Einschätzung der Risiken der IKT-Drittparteien während des gesamten Lebenszyklus des Bezugs. Weiter fordert DORA schon vor Vertragsabschluss eine Ex-ante-Risikobewertung sowie eine Due-Diligence.

Neben einer hinreichend schriftlich fixierten Ordnung (SfO) konzentrieren sich die Revisionsprüfungen auf zentrale Themen wie Umsetzung der DORA-konformen Mindestvertragsinhalte, der vollständigen und hinreichenden Eintragung in das MVP-Informationsregister der Aufsicht, der fortlaufenden Leistungsüberwachung und weitere Themen.

Seminarinhalte

Programm

Einleitung

  • Prüffeld der IKT-Drittdienstleister
  • Überwachung von IKT-Drittdienstleistern (incl. Überwachungszyklus)

Risikoorientierte Prüfungsplanung

  • Planungsgrundlagen (zentrale DORA-Prüffelder)
  • Identifizierung von IKT-Drittparteien anhand BaFin-Identifizierungsmethode
  • Erfassung Auslagerungsketten kritisch/wichtiger Funktionen
  • Modifizierung und Durchführung aller Risikoanalysen (Methodik)
  • Prozessanforderungen für IKT-Drittparteien (SfO)

BaFin Umsetzungshinweise

  • Ausweitung der Vertragsanforderungen, Neuregelung von Unterauftragsvergaben (Überwachungsdilemma)
  • Umfangreiche Anforderungen an Risikoanalysen und Due-Diligence (Dauerbaustelle)
  • Geänderte Anforderungen an den Ausstieg
  • Veränderungen an der Governance des IKT-Drittparteienrisikos
  • Hinweis zu Meldepflichten und Informationsregister

Schriftlich fixierte Ordnung

  • Verbandsvorgaben/ -muster (Stärken/ Schwächen, erste festgestellte Lücken)
  • Unvollständige SfO, fehlende Audit-Trails in der SfO (Nachweis der DORA SfO-Vollständigkeit)
  • inhaltlich fehlende SfO-Themen wie z.B. aus RTS RMF Art. 27 (DORA-Jahresbericht etc.)

Mindestvertragsinhalte

  • Vollständige Umsetzung der DORA-Vertragsanpassung
  • Prozess laufende Überwachung IKT-Drittparteien (inkl. Vertragsüberwachung, SLA, KPI etc.)

Einpflegung ins MVP-Portal (Informationsregister)

  • allgemeine Anforderungen an die Führung und Aktualisierung des Informationsregisters
  • Umfang und Aufbau des Informationsregisters, Inhalt und Eingabe
  • Prozess Einmeldung ins Informationsregister

Praxisfälle aus Revisionsprüfungen

  • Themenbereich Informationsregister (wichtige Punkte bei Erhebung der Erfassungsbögen, häufige praktische Defizite, vollständiger Nachweis für die Überführung der Daten in das MVP-Register)
  • Selektion der IKT-Drittparteien – unzureichende Vorgaben, fehlerhafte Identifizierung, damit fehlerhafter Input für das Informationsregister
  • Operationelle Risiken
  • Risikoanalysen: keine/ unzureichende Anpassung an die DORA-Methodik
  • Mindestvertragsinhalte – vollständige Anpassung, fortlaufende Vertragsüberwachung
  • Überwachung Auslagerungsketten

Seminarziel

Das Seminar zeigt die relevanten Prüfungserfordernisse auf, erläutert erste „neutralisierte“ Prüfungserfahrungen anhand von „Use-Cases“ sowie den Handlungsbedarf für die Interne Revision. Zentrale Prüfungsfragen ergänzen die Ausführungen.

Mehr Informationen

Teilnehmerkreis

Das Seminar richtet sich an Mitarbeitende und Führungskräfte der Internen Revision, der IT-Organisation, sowie alle Interessierten.

Hinweis

Bitte beachten Sie folgende Informationen:

  • Teilnahmegebühr einschließlich Seminardokumentation (digital), (Seminaranteil nach §4 Nr. 22 UStG umsatzsteuerfrei).

Referenten

Axel Becker

Axel Becker

Axel Becker ist Geschäftsführer der Regulartech-IT-Audit-Consult GmbH, Weil der Stadt. Er verantwortet regulatorische Umsetzungsprojekte zu den Megatrends Nachhaltigkeit, IT-Regulatorik (wie BAIT)/ -sicherheit und weiteren regulatorischen Herausforderungen (u.a. MaRisk). Er verfügt über mehr als 30 Jahren an Erfahrung mit Führungsaufgaben im Bereich Internen Revision in verschiedenen Banken sowie in der regulatorischen Beratung.

Herr Becker ist zudem Verwaltungsratsmitglied des Deutschen Instituts für Interne Revision e.V. und war langjähriges Mitglied im BaFin-Gesprächskreis kleine Institute über den BdB sowie langjähriges Mitglied im BdB Arbeitskreis MaRisk. Er ist als Referent mit unterschiedlichen regulatorischen Themenbereichen an anerkannten Akademien und Bildungseinrichtungen (wie BdB, DSGV, DIIR, BVR, Duale Hochschule des Landes Baden-Württemberg etc.) tätig.

Maria Dzolic

Maria Dzolic

Maria Dzolic ist Beraterin für Finanzregulatorik und beschäftigt sich mit den Themenbereichen Nachhaltigkeit, DORA und KI. Sie ist zertifizierte Informationssicherheitsbeauftragte (Tüv Süd) und verfügt über Expertise in der Beratung und dem Financial Controlling (Bachelor).

Kreditinstitute - Aufbaustufe

Veranstaltungsdetails

Seminarnummer
2025411
Status
8 freie Plätze
Termin:
Seminarort:
Online
Referenten:
Axel Becker
Maria Dzolic
Besonderheit:
Neu
Stunden:
  • 7.0 Stunden CPE
  • 0.0 Stunden Ethik-CPE
Gebühr:
  • 610,00 € für Mitglieder
  • 660,00 € für Nichtmitglieder
Anmeldebedingungen Systemvoraussetzungen

Alternative Termine

Ähnliche Seminare