Dienstleistersteuerung

Dienstleistersteuerung bezeichnet die systematische Ueberwachung, Bewertung und Steuerung externer Dienstleister waehrend der gesamten Auslagerungsbeziehung. Fuer Finanzinstitute ist sie besonders wichtig, weil MaRisk AT

9 und DORA verbindliche Anforderungen an das Auslagerungsmanagement stellen. Die BaFin prueft regelmaessig, ob Institute ihre Dienstleister angemessen steuern – und Pruefungsfeststellungen in diesem Bereich gehoeren zu den haeufigsten Beanstandungen. Kernelemente sind SLA-Monitoring, risikobasierte KPIs, regelmaessige Bewertungen und dokumentierte Eskalationsprozesse.

MaRisk AT

9 verlangt eine risikobasierte Steuerung aller wesentlichen Auslagerungen mit kontinuierlichem Monitoring, regelmaessigen Risikoanalysen und dokumentierten Exitstrategien. DORA (Kapitel V) erweitert dies um spezifische Anforderungen an IKT-Drittdienstleister: ein vollstaendiges Informationsregister, Konzentrationsrisikoanalysen, vertragliche Mindestanforderungen und Pruefungsrechte. Institute muessen seit Januar

2025 beide Rahmenwerke parallel erfuellen – das sogenannte Zwei-Welten-Modell fuer IKT- und Non-IKT-Auslagerungen.

Wirksame KPIs fuer die Dienstleistersteuerung orientieren sich an drei Ebenen: operativ (SLA-Erfuellung, Reaktionszeiten, Fehlerquoten), taktisch (Risikobewertung, Compliance-Status, Kosteneinhaltung) und strategisch (Wertbeitrag, Innovationsleistung, Partnerschaftsqualitaet). Entscheidend ist die Anbindung an definierte Schwellenwerte mit automatisierten Eskalationsstufen. Fuer regulierte Institute muessen KPIs zudem MaRisk- und DORA-Anforderungen abbilden – etwa die Verfuegbarkeit kritischer IKT-Dienste oder die Einhaltung vertraglicher Pruefungsrechte.

Die Dienstleisterauswahl umfasst die Identifikation, Bewertung und Beauftragung geeigneter Dienstleister vor Vertragsschluss. Die Dienstleistersteuerung beginnt danach und deckt die gesamte laufende Beziehung ab: Performance-Monitoring, Risikomanagement, Eskalation, regelmaessige Bewertungen und gegebenenfalls Exit-Management. Im Kontext von MaRisk und DORA sind beide Phasen regulatorisch relevant, aber die Steuerung ist der dauerhaft aufwaendigere Teil mit laufenden Berichts- und Nachweispflichten.

ISAE 3402-Berichte (Typ I und Typ II) und ISO 27001-Zertifizierungen sind wichtige, aber nicht ausreichende Nachweise. Die OeNB und BaFin betonen: Eine Zertifizierung ersetzt nicht die eigene Pruefung des Instituts. Entscheidend ist die inhaltliche Auswertung – stimmt der Pruefungsumfang mit den ausgelagerten Funktionen ueberein? Sind die geprueften Kontrollen fuer die eigene Risikolage relevant? Typ-II-Berichte mit Pruefungszeitraum sind dabei aussagekraeftiger als Typ-I-Berichte, die nur den Stichtag abbilden.

Pruefungsfeststellungen zur Dienstleistersteuerung gehoeren zu den haeufigsten BaFin-Beanstandungen bei Sonderpruefungen nach Paragraph

44 KWG. Typische Feststellungen betreffen unzureichendes SLA-Monitoring, fehlende Risikoanalysen, oberflaechliche Auswertung von Dienstleisterberichten und fehlende Exitstrategien. Institute muessen Feststellungen innerhalb definierter Fristen beheben und die Umsetzung nachweisen. Wiederholte Maengel koennen zu aufsichtlichen Massnahmen fuehren – bis hin zu Anordnungen zur Rueckverlagerung kritischer Funktionen.

ADVISORI implementiert MaRisk- und DORA-konforme Dienstleistersteuerung fuer Finanzinstitute. Unsere Leistungen umfassen: Aufbau von Governance-Strukturen mit mehrstufigen Steuerungsebenen, Entwicklung risikobasierter KPI-Frameworks, Implementierung von Monitoring- und Reporting-Systemen, Durchfuehrung von Dienstleisterbewertungen und Health Checks, Erstellung von Exitstrategien und Notfallplaenen sowie den Aufbau des DORA-Informationsregisters. Als spezialisierte Beratung fuer regulierte Institute verbinden wir operatives Vendor Management mit regulatorischer Compliance.