Outsourcing schreit förmlich nach qualifizierten IT-Prüfern (CISAs)!

Outsourcing schreit förmlich nach qualifizierten IT-Prüfern (CISAs)!

5. Dezember 2020 -
Artikel erschienen in IT Magazine 2020/12
Der obige Artikel von Martin Andenmatten zeigt die sich rasch beschleunigende Verschiebung von ursprünglich internen IT-Tätigkeiten zu Outsourcing-Anbietern.
Meine persönliche Meinung dazu ist, dass solche Auslagerungen bei den meisten Unternehmen zu einer Verbesserung dieser Aufgaben führen dürften – allenfalls sogar zu einer Abnahme der Gesamtkosten. In diesem Beitrag soll es aber nicht um die IT-Kosten gehen, sondern um Professionalität, Qualität sowie die damit verbundene Sicherheit (Assurance) im Zusammenhang mit Outsourcing.

Assurance heisst soviel wie Vertrauen, Gewissheit oder eben Sicherheit. Sowohl das auslagernde Unternehmen wie auch der Dienstleistungsanbieter möchten Sicherheit, dass diese Tätigkeiten zuverlässig und gemäss den vereinbarten Vorgaben durchgeführt werden.

Auf den ersten Blick ist das ja ganz einfach: Man schickt seine eigenen (IT-) Prüfer zum Provider und bekommt so aus erster Hand Bescheid über dessen Professionalität. Das Ganze hat aber einen Haken: Kein Provider kann es sich leisten, eine Horde wild gewordener Prüfer der verschiedenen Kunden allenfalls noch gleichzeitig auf die eigenen Fachkräfte loszulassen – die Auswirkungen auf den Betrieb wären wohl gravierend. Zudem möchte kein Kunde, dass ein Prüfer eines anderen Kunden bei seiner Tätigkeit Kenntnisse über ihn gewinnt und an einen Konkurrenten weitergibt.
Die Lösung für dieses Dilemma ist einfach: der Provider stellt einen eigenen Prüfer an, der nach einem standardisierten Verfahren eine Beurteilung von Qualität oder Sicherheit seiner Services durchführt. Für viele Provider ist es normal, solche Prüfungen durchführen zu lassen – und so schmücken sie ihre Webseiten mit Bestätigungen nach SEC 17a4, Sarbanes-Oxley, MiFID, SB 1386, Basel II/III, Check 21, Gramm-Leach-Bliley Act, Patriot Act, HIPAA, BSI-Grundschutz oder natürlich ISO9000, ISO20000 sowie ISO27001.

Nichts gegen diese Bestätigungen (und die Prüfungsunternehmen, welche sie ausstellen): Aber eigentlich benötigt das auslagernde Unternehmen genau zwei Zertifizierungen – falsch – Attestierungen: einen ISAE3402-Bericht über die ausgelagerten finanzrelevanten Kontrollen (inkl. der generellen IT-Kontrollen) und/oder einen ISAE3000-Bericht über alle anderen für das auslagernde Unternehmen wesentlichen Kriterien.

Der Finanzprüfer des auslagernden Unternehmens benötigt den ISAE3402-­Bericht zur Bestätigung der an den Provider ausgelagerten finanzrelevanten Kontrollen – alle anderen Bestätigungen oder Zertifikate helfen ihm gar nichts. Auch die Geschäftsleitung sollte daran interessiert sein, weil sie letztlich für das IKS verantwortlich ist.
 
Seite 1 von 3

Neuen Kommentar erfassen

Anti-Spam-Frage Welche Farbe hatte Rotkäppchens Kappe?
Antwort
Name
E-Mail
SPONSOREN & PARTNER