(openPR) Dienstleister-Berichte im Prüfungsfokus – warum DORA die Dienstleistersteuerung auf den Kopf stellt
Kaum ein Bereich sorgt derzeit für so viele Prüfungsfeststellungen wie die Dienstleistersteuerung. DORA hat das Auslagerungsmanagement grundlegend verändert – und viele Banken kämpfen damit, die neuen Anforderungen in ihre Prozesse zu integrieren. Besonders brisant: Die Aufsicht stellt fest, dass Institute zwar über Strategien und Richtlinien verfügen, diese aber in der Praxis oft wirkungslos bleiben. Risikoanalysen sind lückenhaft, Wesentlichkeitseinstufungen zu pauschal, und bei der Überwachung von Service-Level-Agreements (SLAs) fehlt es häufig an Tiefe. Die Folge: gravierende Feststellungen in §44-KWG-Prüfungen und Auflagen, die bis in Vorstandsetagen reichen.
Mit DORA hat sich die Komplexität deutlich erhöht. Denn nun gilt ein paralleler Steuerungsrahmen von MaRisk und DORA, der sowohl klassische Auslagerungen als auch IKT-Drittdienstleistungen umfasst. Viele Häuser tun sich schwer mit der Abgrenzung: Wann liegt eine MaRisk-Auslagerung vor, wann eine DORA-relevante IKT-Dienstleistung – und wann beides gleichzeitig? Falsche Einstufungen führen dazu, dass Risiken unzureichend bewertet und Berichts- sowie Kontrollpflichten nicht erfüllt werden. Besonders problematisch ist, dass Institute die Qualität der Dienstleisterberichte oft überschätzen: Zahlreiche Prüfberichte von IT-Providern und Cloud-Anbietern sind oberflächlich, lückenhaft oder nicht DORA-konform – und trotzdem Grundlage für Risikoentscheidungen.
Das Online-Seminar „Dienstleister-Steuerung & Dienstleister-Berichte in der Auslagerungs- & DORA-Praxis“ am 12. November 2025 widmet sich genau diesen Schwachstellen.
Daniel Schmidt (Bundesbank), Markus Wietzke (Sparkasse Hannover) und Prof. Dr. Ralf Kühn (Finance Audit) – zeigen, wie Institute ihre Prozesse revisions- und aufsichtskonform gestalten können.
Daniel Schmidt beleuchtet die Perspektive der Aufsicht: Er zeigt, wie MaRisk und DORA künftig parallel anzuwenden sind, welche Erwartungen an Risikoanalysen, Wesentlichkeitseinstufungen und Exit-Strategien bestehen und warum viele Institute bei Cloud- und Softwaredienstleistungen noch immer gravierende Lücken aufweisen.
Prof. Dr. Ralf Kühn behandelt die Beurteilung von Dienstleisterberichten und -revisionen – ein Punkt, an dem viele Banken scheitern. Er erläutert, welche Inhalte IDW-PS-951-Zertifizierungen künftig abdecken müssen, wann ergänzende Vor-Ort-Prüfungen unvermeidlich sind und wie ein aussagekräftiges Dienstleister-Reporting nach DORA aussehen sollte. Zudem zeigt er, wie Institute Berichte bewerten, abweichende Risikoeinschätzungen einordnen und eine konsistente Dokumentation zwischen Auslagerungsmanagement und Revision sicherstellen.
Markus Wietzke schließlich bringt die Praxisperspektive: Wie lassen sich Strukturen und Schnittstellen im zentralen Auslagerungsmanagement effizient gestalten? Welche Mindestanforderungen gelten für SLAs und Reporting-Prozesse? Und wie gelingt die Zusammenarbeit zwischen Fachbereichen, ZAM, Compliance und IT, um DORA-konforme Steuerung und Überwachung zu gewährleisten?
Das Seminar liefert keine abstrakten Vorgaben, sondern umsetzbare Lösungen: klare Abgrenzungskriterien, praxisnahe Checklisten für Risikoanalysen, Hinweise zur Auswertung von Dienstleisterberichten und Beispiele aus einer BaFin-Prüfung des Auslagerungsmanagements einer großen Sparkasse.
Die Botschaft ist eindeutig: DORA macht Schluss mit formaler Dienstleistersteuerung. Institute müssen nachweisen, dass sie Risiken aktiv managen, Berichte kritisch hinterfragen und ihre Governance tatsächlich leben. Wer jetzt nicht nachschärft, riskiert Feststellungen, die teuer und imageschädigend werden können. Dieses Seminar zeigt, wie sich Banken und Sparkassen zukunftssicher und prüfungssicher aufstellen – bevor die nächste Prüfung es tut.
Weitere Informationen und Anmeldung unter:
https://www.akademie-heidelberg.de/seminar/dienstleister-steuerung-dienstleister-berichte-der-auslagerungs-dora-praxis
