MaRisk: Outsourcing-Risikoanalyse
Die Outsourcing-Risikoanalyse nach MaRisk AT 9 ist der zentrale Baustein, um Auslagerungen vor Start und im laufenden Betrieb angemessen zu bewerten. Sie stellt sicher, dass Wesentlichkeit, Risiken, Kontrollen und Review-Zyklen nachvollziehbar dokumentiert sind — prüfungsfest für interne Revision und Aufsicht.
Typische Herausforderungen – und wie Sie sie meistern
| Herausforderung | Risiko | Praxislösung |
|---|---|---|
| Unklare Wesentlichkeit | Fehlsteuerung, falsche Review-Frequenzen | Standardisierte Wesentlichkeitsprüfung mit klaren Kriterien & Schwellen |
| Fragmentierte Risikoanalysen | Intransparenz, Prüfungsfeststellungen | Zentrales Template: Bruttorisiko → Kontrolle → Restrisiko → Maßnahmen |
| Fehlende IKT-/Cloud-Tiefe | Cyber-/Verfügbarkeitsrisiken | IKT-spezifische Prüfpunkte (BCM/DR, Logging, Verschlüsselung, Datenlokation) |
| Vertragliche Lücken | Keine Auditrechte, schwache Exit-Optionen | Mindestklauseln: Audit/Access, SLA/KPI, Unterauslagerungen, Exit |
| Schwacher Review-Prozess | Veraltete Bewertungen | Fixe Review-Zyklen + Trigger (Incidents, Changes, SLA-Breaches) |
Anwendungsbereich & Schnittstellen
Die Outsourcing-Risikoanalyse nach MaRisk ist nicht nur beim Start einer Auslagerung erforderlich, sondern begleitet den gesamten Lebenszyklus. Sie wird bei Änderungen, in regelmäßigen Abständen und im Zusammenspiel mit relevanten Schnittstellen durchgeführt, um eine konsistente und prüfungsfeste Bewertung sicherzustellen.
-
Vor Start der Auslagerung (Make/Buy, Scoping, Wesentlichkeit)
-
Anlassbezogen bei Änderungen (Leistungsumfang, Subdienstleister, Standort, SLA)
-
Regelmäßig nach festgelegter Review-Frequenz (z. B. jährlich bei wesentlichen Auslagerungen)
-
Schnittstellen: ZAM/Outsourcing-Register, Informationssicherheit/DSGVO, Einkauf/Legal, Fachbereich
Bewertungslogik (Kurzüberblick)
-
Wesentlichkeit & Scope: Servicelandkarte, Datenklassen, IKT-/Cloud-Bezug
-
Bruttorisiken: z. B. Informationssicherheit, Verfügbarkeit/BCM, Compliance/Legal, Datenschutz, Lieferkette/Konzentration, Finanz/Performance
-
Kontrollen/Maßnahmen: technische & organisatorische Kontrollen, vertragliche Mindestklauseln
-
Restrisiko & Freigabe: Scoring/Matrizen, Toleranzschwellen, Management-Freigabe
-
Review & Monitoring: KPIs, Trigger für Re-Risking, Findings-Tracking
Prozess – von der Wesentlichkeit bis zur Freigabe
-
Scoping & Wesentlichkeit (Service, Daten, IKT-Bezug, Standorte, Subdienstleister)
-
Bruttorisiken bewerten (Sicherheits-, Compliance-, BCM-, Lieferketten-, Leistungsrisiken)
-
Kontrollen & Vertragsklauseln zuordnen (SLA/KPI, Audit/Access, Security, Exit)
-
Restrisiko ermitteln (Score/Matrizen) und Management-Freigabe dokumentieren
-
Registereintrag & Monitoring (KPIs, Review-Frequenz, Verantwortliche)
MaRisk-Compliance Officer – Leistungen im Überblick
S+P unterstützt Sie bei der Umsetzung der MaRisk-Anforderungen: von der Risikoanalyse über Registerführung bis hin zu Reporting und Nachweisführung. Profitieren Sie von praxisnahen Methoden, Vorlagen und einer prüfungsfesten Umsetzung.
Bewertungsfelder (Beispiele)
Informationssicherheit / DSGVO
Zugriff, Verschlüsselung, Logging, Lösch-/Rückgabekonzepte
Verfügbarkeit / BCM / DR
RTO/RPO, Tests, Notfallhandbuch, Standort-Resilienz
Lieferkette / Konzentration
Unterauslagerungen, Standort-/Provider-Kumulation
Compliance / Legal
Regulatorische Vorgaben, Lizenz/Right-to-Audit, Notice-Period
Leistung / Servicequalität
Kapazität, Antwortzeiten, Fehlerraten, Change-Impact
KPIs & Reporting (für Risikoanalysen)
Ein strukturiertes KPI- und Reporting-Framework macht die Ergebnisse der Risikoanalysen messbar und transparent. Leistungs-, Compliance- und Risikokennzahlen geben einen klaren Überblick und ermöglichen es, Abweichungen frühzeitig zu erkennen und gezielt gegenzusteuern.
-
Leistung: Verfügbarkeit, Antwortzeiten, Fehlerraten, Ticket-AHT
-
Compliance: Auditabdeckung, Zeit bis Findings-Erledigung, SLA-Breaches
-
Risiko: Anzahl wesentlicher Auslagerungen je Risikoklasse, offene/überfällige Maßnahmen
-
Taktung: operativ monatlich, Management quartalsweise, ad-hoc bei Incidents/Changes
Outsourcing & Unterstützung durch S+P
Wir liefern Template, Methodik und Umsetzung: Risikoanalyse (inkl. Scoring), Klauselbibliothek, Review-Prozess, KPI-Set und prüfungsfeste Dokumentation. Auf Wunsch übernehmen wir Registerführung & Monitoring oder stellen den zentralen Auslagerungsbeauftragten.
FAQ: MaRisk-Risikoanalyse bei Auslagerungen
-
Wann ist eine Risikoanalyse verpflichtend?
Vor Vertragsabschluss, bei wesentlichen Änderungen und in den festgelegten Review-Zyklen.
-
Wie detailliert muss die Analyse sein?
Risikoadäquat: Tiefe und Nachweise richten sich nach Wesentlichkeit, Datenklassen und IKT-Bezug.
-
Welche Rolle spielen Verträge?
Verträge operationalisieren Kontrollen: Auditrechte, Zugriffe, SLAs, Unterauslagerungen, Exit-Regelungen.
Vertiefende Inhalte zum Auslagerungsmanagement & Outsourcing
Entdecken Sie unsere wichtigsten Themenseiten rund um Auslagerung und Outsourcing:
- EBA-Leitlinien Auslagerung
- Zentrales Auslagerungsmanagement (ZAM)
- Auslagerung von IT-Dienstleistungen
- MaRisk: Outsourcing-Risikoanalyse
- Outsourcing Compliance Officer
Weitere relevante Themen
- EBA-Leitlinien für Auslagerungen (Europäischer Rahmen)
- Zentrales Auslagerungsmanagement (ZAM): Steuerung & Register
- Auslagerung von IT-Dienstleistungen (BAIT & KAIT)
- DORA & das Auslagerungsmanagement (IKT-Drittanbieter)
- DORA & IKT-Risikomanagement für Drittanbieter
- Die 9 Top Findings im Auslagerungscontrolling (MaRisk AT 9)
- Case Study: Outsourcing Compliance Officer
- Case Study: Outsourcing des Informationssicherheitsbeauftragten
- Datenschutz-Compliance & Auftragsverarbeitung (DSGVO)
- Update Seminar: Prüfungssicheres Auslagerungscontrolling
- Zur Übersicht: Auslagerungsmanagement & Outsourcing