Zentrales Auslagerungsmanagement (ZAM) – Steuerung, Register & Governance

So setzen Sie Governance, Registerführung und DORA-Vorgaben praxisnah um – mit klaren Prozessen, Templates und Reporting.

Das Zentrale Auslagerungsmanagement ist die Koordinationsstelle für alle Outsourcing-Aktivitäten. Es stellt sicher, dass Richtlinien eingehalten, Prozesse dokumentiert und Risiken laufend bewertet werden. Damit wird Transparenz geschaffen und eine einheitliche Steuerung über alle Fachbereiche hinweg ermöglicht.

• Governance & Richtlinien: Pflege der Auslagerungspolitik, Rollenmodell, Eskalationswege.

• Auslagerungsregister: Vollständige, aktuelle Erfassung aller wesentlichen/ nicht wesentlichen Auslagerungen.

• Risikomanagement: Wesentlichkeitsprüfung, Risikoanalyse vor Start und laufend.

• Vertragsmanagement: Mindestinhalte, SLA/KPIs, Kontroll- und Exit-Rechte sicherstellen.

• Monitoring & Reporting: Leistungs- und Risiko-Reports an Geschäftsleitung/Aufsicht; Kontrollhandlungen nachhalten.

• Schnittstellensteuerung: enge Zusammenarbeit mit Einkauf, IT/IKT-Sicherheit, Datenschutz, Informationssicherheit, Fachbereichen.

• Audit & Prüfungen: Vorbereitung, Nachweise, Findings-Management.

Ein prüfungsfestes Register umfasst u. a.:

• Vertragspartner/Dienstleistung, Wesentlichkeit, Laufzeit/Notice Period, Unterauslagerungen

• SLAs/KPIs, Kontrollrechte (Audit, Access, Compliance), Exit-/Termination-Klauseln

• Verantwortliche Rollen (Owner/Fachbereich, ZAM, Compliance/ISB)

• Risikobewertung (inkl. IKT-/Cloud-Bezug), Maßnahmen, Review-Frequenzen

• Status & Findings (Maßnahmenverfolgung)

Tipp: Registerführung digital (DMS/Tool) mit Workflows für Anlage, Review, Re-Risking und Reminder.

1. Bedarf & Scoping (Fachbereich, Einkauf, ZAM)

2. Wesentlichkeit & Risikoanalyse (inkl. IKT/DORA-Check bei IT-Bezug)

3. Vertrags-/Klauselprüfung (SLA, Kontrollen, Unterauslagerung, Audit/Access, Exit)

4. Freigabe & Onboarding (Registereintrag, KPIs, Owner, Reporting)

5. Laufendes Monitoring & Reviews (Leistung, Risiken, Änderungen)

6. Änderungs-/Unterauslagerungsmanagement (Anzeige, Nachträge, Re-Risking)

7. Exit & Lessons Learned (Datenrückgabe/-löschung, Transition, Dokumentation)

Mit DORA steigen die Anforderungen an IT- und Cloud-Auslagerungen deutlich. Unternehmen müssen nicht nur Sicherheitsstandards einhalten, sondern auch Resilienztests, Szenarien und Meldepflichten berücksichtigen. Ein starkes ZAM integriert diese Vorgaben und sorgt dafür, dass IKT-Dienstleister laufend kontrolliert werden.

• Unabhängige IKT-Risikokontrollfunktion und klare IKT-KPIs

• Resilienzanforderungen (BCM/DR, Tests, Szenarien, RTO/RPO)

• Incident- & Meldeprozesse (inkl. Drittparteien)

• Sicherheitsanforderungen (Access, Logging, Verschlüsselung, Datenspeicherorte)

• Unterauslagerungen in der Lieferkette transparent machen

Damit Auslagerungen wirksam überwacht werden, braucht es klare Leistungskennzahlen (KPIs) und Service Level Agreements (SLAs). Ergänzt durch ein regelmäßiges Reporting an die Geschäftsleitung lassen sich Risiken früh erkennen, Abweichungen beheben und die Prüfungsfestigkeit sicherstellen.

• Leistungs-KPIs: Verfügbarkeit, Antwortzeiten, Fehlerquoten, Backlog, Ticket-AHT

• Compliance-KPIs: Zeit bis Maßnahmenerledigung, Auditabdeckung, SLA-Breaches, On-time Reviews

• Risikokennzahlen: Wesentliche Auslagerungen nach Risikoklasse, Findings offen/überfällig

• Reporting-Taktung: monatlich (operativ), quartalsweise (Management), ad-hoc bei Incidents/Changes

S+P Compliance Services unterstützt beim Aufbau oder der Übernahme des ZAM:

• Register-Setup & Migration, Policy/Richtlinien, Klauselbibliothek

• Risiko-/Wesentlichkeitsmethodik, Monitoring-Framework, Reporting

• IKT/DORA-Schnittstelle, BCM-/Security-Nachweise, Audit-Vorbereitung

• Outsourcing Compliance Officer/Zentraler Auslagerungsbeauftragter (Service)