Zentrales Auslagerungsmanagement (ZAM) – Steuerung, Register & Governance

Einordnung & Ziel

Das Zentrale Auslagerungsmanagement (ZAM) bündelt alle Aufgaben zur Steuerung, Überwachung und Dokumentation von Auslagerungen. Es stellt sicher, dass Vorgaben aus MaRisk AT 9, den EBA-Leitlinien Auslagerung sowie BAIT/KAIT und – für IKT-Bezüge – DORA wirksam umgesetzt werden. Kernziele sind Transparenz, Risikokontrolle und Prüfungsfestigkeit.

Zentrales Auslagerungsmanagement (ZAM) – Steuerung, Register & Governance

Typische Herausforderungen – und Lösungen

Herausforderung	Lösung
Fehlende Gesamttransparenz	Zentrales Register, Ownership je Auslagerung
Unklare Rollen & Prozesse	Governance festlegen, RACI, verbindliche Workflows
Vertragslücken	Standard-Klauselbibliothek für SLA/Kontroll/Exit-Rechte
IKT-Spezifika	DORA-Checklisten, Sicherheits-/BCM-Nachweise, Tests planen
Dokumentationslast	Templates, automatisierte Reminder, DMS-Workflows

ZAM: Steuerung, Register & Prüfungsfestigkeit

So setzen Sie Governance, Registerführung und DORA-Vorgaben praxisnah um – mit klaren Prozessen, Templates und Reporting.

Mehr zum ZAM

Aufgaben & Verantwortlichkeiten im ZAM

Das Zentrale Auslagerungsmanagement ist die Koordinationsstelle für alle Outsourcing-Aktivitäten. Es stellt sicher, dass Richtlinien eingehalten, Prozesse dokumentiert und Risiken laufend bewertet werden. Damit wird Transparenz geschaffen und eine einheitliche Steuerung über alle Fachbereiche hinweg ermöglicht.

Governance & Richtlinien: Pflege der Auslagerungspolitik, Rollenmodell, Eskalationswege.
Auslagerungsregister: Vollständige, aktuelle Erfassung aller wesentlichen/ nicht wesentlichen Auslagerungen.
Risikomanagement: Wesentlichkeitsprüfung, Risikoanalyse vor Start und laufend.
Vertragsmanagement: Mindestinhalte, SLA/KPIs, Kontroll- und Exit-Rechte sicherstellen.
Monitoring & Reporting: Leistungs- und Risiko-Reports an Geschäftsleitung/Aufsicht; Kontrollhandlungen nachhalten.
Schnittstellensteuerung: enge Zusammenarbeit mit Einkauf, IT/IKT-Sicherheit, Datenschutz, Informationssicherheit, Fachbereichen.
Audit & Prüfungen: Vorbereitung, Nachweise, Findings-Management.

Auslagerungsregister – Inhalte & Pflege

Ein prüfungsfestes Register umfasst u. a.:

Vertragspartner/Dienstleistung, Wesentlichkeit, Laufzeit/Notice Period, Unterauslagerungen
SLAs/KPIs, Kontrollrechte (Audit, Access, Compliance), Exit-/Termination-Klauseln
Verantwortliche Rollen (Owner/Fachbereich, ZAM, Compliance/ISB)
Risikobewertung (inkl. IKT-/Cloud-Bezug), Maßnahmen, Review-Frequenzen
Status & Findings (Maßnahmenverfolgung)

Tipp: Registerführung digital (DMS/Tool) mit Workflows für Anlage, Review, Re-Risking und Reminder.

Prozessablauf – von der Bedarfsmeldung bis zum Exit

Bedarf & Scoping (Fachbereich, Einkauf, ZAM)
Wesentlichkeit & Risikoanalyse (inkl. IKT/DORA-Check bei IT-Bezug)
Vertrags-/Klauselprüfung (SLA, Kontrollen, Unterauslagerung, Audit/Access, Exit)
Freigabe & Onboarding (Registereintrag, KPIs, Owner, Reporting)
Laufendes Monitoring & Reviews (Leistung, Risiken, Änderungen)
Änderungs-/Unterauslagerungsmanagement (Anzeige, Nachträge, Re-Risking)
Exit & Lessons Learned (Datenrückgabe/-löschung, Transition, Dokumentation)

DORA & IKT-Auslagerungen – was zusätzlich wichtig ist

Mit DORA steigen die Anforderungen an IT- und Cloud-Auslagerungen deutlich. Unternehmen müssen nicht nur Sicherheitsstandards einhalten, sondern auch Resilienztests, Szenarien und Meldepflichten berücksichtigen. Ein starkes ZAM integriert diese Vorgaben und sorgt dafür, dass IKT-Dienstleister laufend kontrolliert werden.

Unabhängige IKT-Risikokontrollfunktion und klare IKT-KPIs
Resilienzanforderungen (BCM/DR, Tests, Szenarien, RTO/RPO)
Incident- & Meldeprozesse (inkl. Drittparteien)
Sicherheitsanforderungen (Access, Logging, Verschlüsselung, Datenspeicherorte)
Unterauslagerungen in der Lieferkette transparent machen

Auslagerungsmanagement & Outsourcing

Steuern Sie Ihre Auslagerungen nach MaRisk AT 9 & DORA. Wir bieten zertifizierte Lösungen und die Übernahme von Kontrollfunktionen.

Zur Übersicht

KPIs, SLAs & Reporting

Damit Auslagerungen wirksam überwacht werden, braucht es klare Leistungskennzahlen (KPIs) und Service Level Agreements (SLAs). Ergänzt durch ein regelmäßiges Reporting an die Geschäftsleitung lassen sich Risiken früh erkennen, Abweichungen beheben und die Prüfungsfestigkeit sicherstellen.

Leistungs-KPIs: Verfügbarkeit, Antwortzeiten, Fehlerquoten, Backlog, Ticket-AHT
Compliance-KPIs: Zeit bis Maßnahmenerledigung, Auditabdeckung, SLA-Breaches, On-time Reviews
Risikokennzahlen: Wesentliche Auslagerungen nach Risikoklasse, Findings offen/überfällig
Reporting-Taktung: monatlich (operativ), quartalsweise (Management), ad-hoc bei Incidents/Changes

Outsourcing & Unterstützung durch S+P

S+P Compliance Services unterstützt beim Aufbau oder der Übernahme des ZAM:

Register-Setup & Migration, Policy/Richtlinien, Klauselbibliothek
Risiko-/Wesentlichkeitsmethodik, Monitoring-Framework, Reporting
IKT/DORA-Schnittstelle, BCM-/Security-Nachweise, Audit-Vorbereitung
Outsourcing Compliance Officer/Zentraler Auslagerungsbeauftragter (Service)

Zur Leistungsübersicht aller Outsourcing-Services

FAQ – Zentrales Auslagerungsmanagement (Auszug)

Braucht jedes Unternehmen ein ZAM?

Erforderlich ist eine der Unternehmensgröße/Risikolage angemessene Organisation; im regulierten Umfeld wird ein zentrales Modell faktisch erwartet.
Müssen unwesentliche Auslagerungen ins Register?

Ja, vollständig – Wesentlichkeit steuert die Tiefe von Anzeige/Überwachung, nicht die Erfassung.
Wie oft sind Reviews nötig?

Risikoorientiert: z. B. wesentliche Auslagerungen quartalsweise, andere halb-/jährlich; anlassbezogen bei Änderungen/Incidents.
Wie adressiert man Unterauslagerungen?

Vertraglich regeln (Zustimmung, Informationsrechte), im Register ausweisen, Risiken separat bewerten.

Nächste Schritte

Unverbindliches Erstgespräch

S+P Outsourcing-Services

Schulungen & Zertifizierungen

Vertiefende Inhalte zum Auslagerungsmanagement & Outsourcing

EBA-Leitlinien Auslagerung Der europäische Rahmen: Verstehen Sie die Anforderungen der EBA an Auslagerungen.
Auslagerung von IT-Dienstleistungen (BAIT, KAIT & DORA) Spezifische Anforderungen an IT-Auslagerungen, insbesondere im Kontext von BAIT, KAIT und DORA.
MaRisk: Outsourcing-Risikoanalyse (Wesentlichkeit & Scoring) Die Grundlage jeder Auslagerung: Durchführung einer MaRisk-konformen Risikoanalyse und Wesentlichkeitsprüfung.
Praxisbeispiel: Compliance Officer auslagern Informationen zur Auslagerung der Compliance-Funktion als spezifische Dienstleistung.
DORA & IKT-Risikomanagement für Drittanbieter Die neuen Anforderungen an das Management von IKT-Drittparteien-Risiken (DORA).
Die 9 Top Findings im Auslagerungscontrolling (MaRisk AT 9) Typische Prüfungsfeststellungen der BaFin, die Sie bei der Steuerung vermeiden sollten.
Praxisbeispiel: Informationssicherheitsbeauftragten auslagern Ein Anwendungsfall für die Auslagerung einer weiteren wichtigen Kontrollfunktion (ISB/CISO).
Datenschutz-Compliance & Auftragsverarbeitung (DSGVO) Auslagerung (Auftragsverarbeitung) muss immer auch die Anforderungen der DSGVO erfüllen.
Zur Übersicht Auslagerungsmanagement & Outsourcing Die zentrale Themenseite mit allen relevanten Inhalten, Dienstleistungen und Seminaren.