Ein Kernpunkt ist das Management von IKT-Drittparteien, da viele IT-Störungen bei externen Dienstleistern entstehen. Das betrifft zum Beispiel kritische oder wichtige Funktionen wie Zahlungsverkehr oder Kernbankprozesse.

DORA verlangt, dass Finanzunternehmen sämtliche IKT-Dienstleistungen über ihren gesamten Lebenszyklus hinweg steuern. Schon vor Vertragsabschluss ist eine umfassende Ex-ante-Risikobewertung Pflicht – inklusive Analyse von Abhängigkeiten, Konzentrationsrisiken, Standort- und Datenschutzfragen. Kritische Funktionen erfordern besonders strenge Maßstäbe, etwa höchste Sicherheitsstandards, klare Audit- und Zugangsrechte und belastbare Ausstiegsstrategien.

Verträge müssen Mindestinhalte erfüllen, etwa Unterstützungszusagen bei IKT-Vorfällen und Mitwirkungspflichten gegenüber Aufsichtsbehörden. Sämtliche IKT-Vertragsbeziehungen sind in einem Informationsregister zu dokumentieren. Auch Unterauftragsketten sind transparent zu machen und zu bewerten.

Die Interne Revision spielt eine Schlüsselrolle: Sie muss ihre risikoorientierten Prüfungsansätze erweitern und Governance-Regeln, Due-Diligence-Prozesse, Vertragsmonitoring, Interessenkonflikte und Exit-Pläne überprüfen. Leitlinien zum IKT-Drittparteienmanagement sind mindestens jährlich zu aktualisieren und klar zu verantworten.

Einen ausführlichen Beitrag zu diesem Thema lesen Sie in der aktuellen Ausgabe der Zeitschrift Interne Revision (ZIR).

Handbuch Interne Kontrollsysteme (IKS) von Dr. Oliver Bungartz Zunehmende öffentliche und regulatorische Erwartungen und Anforderungen an die unternehmerische Transparenz rücken interne Kontrollen und Risikomanagement immer stärker in den Fokus. So gewinnen Interne Kontrollsysteme (IKS) nicht nur für die klassische Finanzberichterstattung, sondern auch für die Verlässlichkeit nicht-finanzieller Informationen an Bedeutung. Wie Sie Schritt für Schritt ein IKS zielgerichtet aufbauen, zeigt Ihnen Oliver Bungartz in der systematisch erweiterten 7. Auflage dieses Standardwerks. Einführung und Aufbau eines IKS auf Basis nationaler und internationaler Standards wie dem COSO-Rahmenwerk – neu zu Robotic Process Automation Prozesse eines IKS und strukturierte Kontrolle zentraler Geschäftsbereiche durch konkrete Risiko-, Fraud- und Kennzahlenanalysen Projektmanagement zur Einführung eines IKS: Planung, Umsetzung, Besonderheiten bei KMU und praktische Erfolgsfaktoren Neu: Erweiterung des IKS für die Nachhaltigkeitsberichterstattung mit ihren spezifischen Anforderungen Integration von IKS, Risikomanagement und Interner Revision im Rahmen des Enterprise-Risk-Management-Modells (ERM) unter Einbindung von ESG-Risiken Ein einzigartiger Leitfaden mit mehr als 780 Beispielen zu Risiko-Kontroll-Kombinationen, über 200 Fraud-Indikatoren und 320 Kennzahlen zur Risikoidentifikation und Prozesssteuerung.