Wie CIOs das Risiko der IT-Auslagerung begrenzen können

Unternehmen übertragen ihre informationstechnologischen Funktionen zunehmend ganz oder teilweise an externe Dienstleister. Auch wenn dies zu einer gewissen Effizienz führen kann, ist die Organisation letztendlich immer noch für die Risiken verantwortlich, die mit der Verfügbarkeit und den Funktionen der IT verbunden sind. Dienstleistungen sowie den ordnungsgemäßen Zugriff und die ordnungsgemäße Verwendung von Unternehmensdaten.

Dies bedeutet, dass der Chief Information Officer oder ein gleichwertiger I.T. Der Leiter muss sicherstellen, dass ausgewählte Dienstanbieter über die richtige Struktur, finanzielle Stabilität und Kontinuitätspläne verfügen, um die vertraglich vereinbarten Dienste konsistent zu erbringen.

Es bedeutet auch IT. Führungskräfte müssen die Wirksamkeit der Richtlinien und Verfahren des Dienstanbieters bewerten, um die Integrität und Sicherheit der sensiblen Daten und der geschützten Informationen des Unternehmens zu gewährleisten.

Geschätzte 1 Billion US-Dollar pro Jahr Industrie, I.T. Outsourcing hat viele Gesichter. Eine Organisation kann ihre gesamte IT absetzen. Abteilung an einen Anbieter weitergeben oder einen mit der Durchführung des Rechenzentrumsbetriebs, der Netzwerkverwaltung oder anderer spezifischer Funktionen beauftragen.

Häufig ausgelagerte IT Funktionen umfassen:

• Entwicklung von Softwareanwendungen
• Unterstützung von Softwareanwendungen
• Rechenzentrumsbetrieb
• Helpdesk-Support,
• Netzwerkverwaltung
• Cybersicherheit
• Plattform oder Infrastruktur als Service und
• Software als Service.

In der Vergangenheit konzentrierten sich CIOs hauptsächlich auf die physische Produktlieferkette. Heute müssen sie sich jedoch mit der Lieferkette sowohl für Produkte als auch für Dienstleistungen befassen.

Die Bewertung und Verwaltung von Risiken bei Drittanbietern von Technologiediensten kann eine Herausforderung darstellen, da erhebliche Teile der Dienstumgebungen unter der Kontrolle des Anbieters stehen und wahrscheinlich außerhalb des Zuständigkeitsbereichs der erwerbenden Organisation liegen. Eine Due Diligence muss im Voraus durchgeführt werden, um die Risiken im Zusammenhang mit der Beauftragung einer externen Partei zu bewerten.

Bevor Sie sich mit einem I.T. Dienstleister muss der CIO verstehen:

• Was wird ausgelagert,
• Welche Geschäftsprozesse werden vom Dienst unterstützt,
• Welche Daten werden über den ausgelagerten Dienst gespeichert, verarbeitet oder zugänglich gemacht und
• Wer hat Zugriff auf Systeme, Anwendungen und Daten im Zusammenhang mit dem ausgelagerten Dienst.

Der Prozess kann mit einer grundlegenden I.T. Formular zur Risikobewertung von Dienstleistungen, das dazu dient, Antworten auf diese Fragen von Mitarbeitern innerhalb der Organisation zu erfassen. Darüber hinaus kann ein Formular zur Lieferantenvorabbewertung verwendet werden, um Vorabinformationen von einem potenziellen Dienstleister einzuholen. Häufige Fragen, die Sie in einem Formular zur Vorabbewertung von Lieferanten stellen müssen, sind:

• Hat Ihr Unternehmen schon einmal Konkurs angemeldet?
• Enthält die Versicherungspolice Ihres Unternehmens Fehler- und Unterlassungsansprüche (oder allgemeine Haftungsansprüche)? Wenn ja, was sind die Grenzen der Richtlinie?
• Ist Ihr Unternehmen in anhängige Rechtsstreitigkeiten verwickelt?
• War Ihr Unternehmen jemals an einer behördlichen Untersuchung beteiligt?
• Hat Ihr Unternehmen eine Datenschutzrichtlinie?
• Verfügt Ihr Unternehmen über ein dokumentiertes Sicherheitsprogramm?
• Ist Ihr Unternehmen damit einverstanden, einen Fragebogen zu Ihren Informationssicherheits- und Datenschutzprogrammen auszufüllen?
• Verfügt Ihr Unternehmen über einen SOC-Bericht (Service Organization Controls)?
• Verfügt Ihr Unternehmen über einen umfassenden Business-Continuity-Plan, um die Fortführung des Betriebs im Falle von Vorfällen zu gewährleisten, die den normalen Betrieb stören?

Diese Beurteilungsformulare sollten ausreichende Informationen enthalten, um festzustellen, ob zusätzliche Sorgfalt erforderlich ist. Je nach Höhe des potenziellen Risikos könnte diese zusätzliche Sorgfalt beinhalten, dass der Diensteanbieter einen ausführlicheren Fragebogen beantworten muss; den SOC-Bericht des Dienstleisters im Detail zu prüfen oder sich mit der internen Revision der Organisation oder einer qualifizierten externen Revisionsfirma zu beauftragen, um eine Lieferantenbewertung durchzuführen.

Die Durchführung dieser Bewertungen ist entscheidend, wenn Sie eine Beziehung zu einem neuen Anbieter aufbauen. Es ist auch wichtig, jeden Lieferanten fortlaufend zu überprüfen. Häufigkeit und Umfang dieser Überprüfungen sollten sich nach den Risiken richten, die mit den erbrachten Dienstleistungen verbunden sind.

Diese Bewertungen sind auf Dienstleister zugeschnitten, die Konzepte können jedoch auch für Anbieter von Schlüsseltechnologieprodukten angepasst werden. Der CIO muss die potenziellen Risiken einer Zusammenarbeit mit einem Lieferanten verstehen und verstehen, wie jeder Lieferant mit seinen Geschäftsrisiken umgeht. Auf diese Weise kann der CIO die Auswirkungen von Outsourcing-Risiken auf das Unternehmen besser vorhersehen.

Service Provider Assessments können verschiedenen Funktionen innerhalb einer Organisation zugeordnet werden, darunter IT, Risikomanagement oder Interne Revision. Bewertungen können auch von einem qualifizierten Dritten durchgeführt werden.

Es liegt jedoch in der Verantwortung des CIO oder einer gleichwertigen IT. Leiter, die aus den Bewertungen gewonnenen Informationen zu überprüfen und festzustellen, ob die Zusammenarbeit mit dem vorgeschlagenen Technologie-Dienstleister mit den Zielen und der Risikotoleranz des Unternehmens in Einklang steht. Eine gründliche Bewertung heute wird dazu beitragen, größere Probleme in der Zukunft abzuwenden.

Robert Neill ist Direktor von CIO Advisory Services bei Weaver, einem nationalen CPA und Beratungsunternehmen.