Prüfung IKT-Drittparteienmanagement durch die Interne Revision

Zufriedenheitsgarantie Inhouse buchbar Rabattregelung Seminarunterlagen Teilnahmebescheinigung

Beschreibung

Die Erfordernisse des Digital Operational Resilience Act (DORA) sind in allen EU-Mitgliedstaaten seit dem
17. Januar 2025 verbindlich anzuwenden. Durch DORA soll ein EU-weiter Rechtsrahmen zur Stärkung der Cybersicherheit und der digitalen Betriebsfestigkeit des Finanzsektors erreicht werden.

Für die Interne Revision stellt das Prüffeld der IKT-Drittdienstleister ein zentrales Prüffeld unter DORA dar, welches „risikoorientiert“ zu prüfen ist. Neben der risikoorientierten Prüfungsplanung stehen die besonderen Prüfungsanforderungen und Hinweise der Aufsicht einen wichtigen Rahmen dar. Erste Prüfungserkenntnisse werden in Form von „Use-Cases“ herausgearbeitet und durch zentrale Prüfungsfragen ergänzt. Dies soll eine wirkungsvolle Hilfestellung für die Interne Revision ermöglichen.

DORA beinhaltet zentrale Anforderungen für die Überwachung der IKT-Dienstleistungen seitens der IKT-Drittdienstleistern. Insbesondere stehen hierbei die kritisch/ wichtigen Funktionen im Fokus. Das fordert von den Instituten neben einer reinen Vertragsüberwachung, eine fachseitige Leistungsüberwachung sowie die fortlaufende Einschätzung der Risiken der IKT-Drittparteien – und zwar während des gesamten Lebenszyklus des Bezugs. Weiter fordert DORA schon vor Vertragsabschluss eine Ex-ante-Risikobewertung sowie eine Due-Diligence.

Neben einer hinreichenden schriftlich fixierten Ordnung (SfO) konzentrieren sich die Revisionsprüfungen auf zentrale Themen wie Umsetzung der DORA-konformen Mindestvertragsinhalte in Verträgen, der vollständigen und hinreichenden Eintragung in das MVP-Informationsregister der Aufsicht, der fortlaufenden Leistungsüberwachung und weiteren Themen.

Das Seminar zeigt die relevanten Prüfungserfordernisse auf, erläutert erste „neutralisiert dargestellte“ Prüfungserfahrungen sowie den Handlungsbedarf für die Interne Revision und die Institute.

 

Inhalte

Einleitung

  • Prüffeld der IKT-Drittdienstleister
  • Überwachung von IKT-Drittdienstleistern (incl. Überwachungszyklus)

Risikoorientierte Prüfungsplanung

  • Planungsgrundlagen (zentrale DORA-Prüffelder)
  • Identifizierung von IKT-Drittparteien anhand BaFin-Identifizierungsmethode
  • Erfassung Auslagerungsketten kritisch/wichtiger Funktionen
  • Modifizierung und Durchführung aller Risikoanalysen (Methodik)
  • Prozessanforderungen für IKT-Drittparteien (SfO)

BaFin Umsetzungshinweise

  • Ausweitung der Vertragsanforderungen (Mindestvertragsinhalte – prüferische Knackpunkte)
  • Neuregelung von Unterauftragsvergaben (Überwachungsdilemma)
  • Umfangreiche Anforderungen an Risikoanalysen und Due-Diligence (Dauerbaustelle)
  • Geänderte Anforderungen an den Ausstieg
  • Veränderungen an der Governance des IKT-Drittparteienrisikos
  • Hinweis zu Meldepflichten und Informationsregister

Schriftlich fixierte Ordnung

  • SfO IKT-Drittparteien
  • Verbandsvorgaben/ -muster (Stärken/ Schwächen, erste festgestellte Lücken)
  • Unvollständige SfO, fehlende Audit-Trails in der SfO (Nachweis der DORA SfO-Vollständigkeit)
  • inhaltlich fehlende SfO-Themen wie z.B. aus RTS RMF Art. 27 (DORA-Jahresbericht etc.) – Risiko bei aufsichtlichen Prüfungen wegen fehlendem Nachweis der vollständigen DORA-Umsetzung

Mindestvertragsinhalte

  • Vollständige Umsetzung der DORA-Vertragsanpassung?
  • Prozess laufende Überwachung IKT-Drittparteien (inkl. Vertragsüberwachung, SLA, KPI etc.)
  • Kritische revisorische Reflektion

Einpflegung ins MVP-Portal (Informationsregister)

  • allgemeine Anforderungen an die Führung und Aktualisierung des Informationsregisters
  • Umfang des Informationsregisters
  • Aufbau des Informationsregisters
  • Inhalt/Eingabe ins Informationsregister
  • Prozess Einmeldung ins Informationsregister (MVP-Portal)
  • Kritische revisorische Reflektion

Praxisfälle aus Revisionsprüfungen

  • Themenbereich Informationsregister (wichtige Prüfungsthemen, wichtige Punkte bei Erhebung der Erfassungsbögen, häufige praktische Defizite, vollständiger Nachweis für die Überführung der Daten in das MVP-Register (Einsichtnahme durch Revision)
  • Selektion der IKT-Drittparteien – unzureichende Vorgaben, fehlerhafte Identifizierung, damit fehlerhafter Input für das Informationsregister
  • Operationelle Risiken (nicht rechtzeitiger Input in das Informationsregister, Benennung weniger Personen für die Eingabe etc.)
  • Risikoanalysen: keine/ unzureichende Anpassung an die DORA-Methodik – Thema der vollständigen Überarbeitung?
  • Mindestvertragsinhalte – vollständige Anpassung (alle Verträge incl. der normalen und kritisch/ wichtigen Funktionen), fortlaufende Vertragsüberwachung (verbandsseitig fehlende DORA-Musterverträge etc.)
  • Überwachung Auslagerungsketten – Mindestvertragsinhalte mit primärer IKT-Drittpartei sind nicht angepasst, keine/ unzureichende Informationen zur Überwachung der Weiterverlagerung kritisch/ wichtiger Funktionen

 

Teilnehmerkreis

Vorstände, Aufsichtsräte (Verwaltungsräte), Führungskräfte/ Mitarbeiter der Internen Revision, der IT (IT-Organisation) Informationssicherheitsbeauftragte, externe Revision, Aufsicht, Mitarbeiter von Beratungsunternehmen etc.

Termine & Orte

23.03.2026, 09:30-17:00
online
Seminarnummer 2662135
Anmeldeschluss 08.03.2026
Gebühr: 880,00 EUR (umsatzsteuerfrei)
Jetzt buchen
07.12.2026, 09:30-17:00
online
Seminarnummer 2662136
Anmeldeschluss 22.11.2026
Gebühr: 880,00 EUR (umsatzsteuerfrei)
Jetzt buchen

Bonus

Ab 2. Teilnehmer oder ab 2. Buchung eines Teilnehmers im gleichen Jahr 10 % Rabatt!

Inhouse-Angebot anfordern
Ihr Kontakt
Melina Ockenfeld

Melina Ockenfeld

+49 228 8192-284

Weiterempfehlen
Dauer
1 Tag
Seminarsprache
Deutsch
Bemerkung
7 CPE Stunden
Referenten
Maria Dzolic
Seite drucken