Outsourcing schreit förmlich nach qualifizierten IT-Prüfern (CISAs)!
Artikel erschienen in Swiss IT Magazine 2020/12
Artikel erschienen in Swiss IT Magazine 2020/12
Der obige Artikel von Martin Andenmatten zeigt die sich rasch beschleunigende Verschiebung von ursprünglich internen IT-Tätigkeiten zu Outsourcing-Anbietern.
Meine persönliche Meinung dazu ist, dass solche Auslagerungen bei den meisten Unternehmen zu einer Verbesserung dieser Aufgaben führen dürften – allenfalls sogar zu einer Abnahme der Gesamtkosten. In diesem Beitrag soll es aber nicht um die IT-Kosten gehen, sondern um Professionalität, Qualität sowie die damit verbundene Sicherheit (Assurance) im Zusammenhang mit Outsourcing.
Assurance heisst soviel wie Vertrauen, Gewissheit oder eben Sicherheit. Sowohl das auslagernde Unternehmen wie auch der Dienstleistungsanbieter möchten Sicherheit, dass diese Tätigkeiten zuverlässig und gemäss den vereinbarten Vorgaben durchgeführt werden.
Auf den ersten Blick ist das ja ganz einfach: Man schickt seine eigenen (IT-) Prüfer zum Provider und bekommt so aus erster Hand Bescheid über dessen Professionalität. Das Ganze hat aber einen Haken: Kein Provider kann es sich leisten, eine Horde wild gewordener Prüfer der verschiedenen Kunden allenfalls noch gleichzeitig auf die eigenen Fachkräfte loszulassen – die Auswirkungen auf den Betrieb wären wohl gravierend. Zudem möchte kein Kunde, dass ein Prüfer eines anderen Kunden bei seiner Tätigkeit Kenntnisse über ihn gewinnt und an einen Konkurrenten weitergibt.
Meine persönliche Meinung dazu ist, dass solche Auslagerungen bei den meisten Unternehmen zu einer Verbesserung dieser Aufgaben führen dürften – allenfalls sogar zu einer Abnahme der Gesamtkosten. In diesem Beitrag soll es aber nicht um die IT-Kosten gehen, sondern um Professionalität, Qualität sowie die damit verbundene Sicherheit (Assurance) im Zusammenhang mit Outsourcing.
Assurance heisst soviel wie Vertrauen, Gewissheit oder eben Sicherheit. Sowohl das auslagernde Unternehmen wie auch der Dienstleistungsanbieter möchten Sicherheit, dass diese Tätigkeiten zuverlässig und gemäss den vereinbarten Vorgaben durchgeführt werden.
Auf den ersten Blick ist das ja ganz einfach: Man schickt seine eigenen (IT-) Prüfer zum Provider und bekommt so aus erster Hand Bescheid über dessen Professionalität. Das Ganze hat aber einen Haken: Kein Provider kann es sich leisten, eine Horde wild gewordener Prüfer der verschiedenen Kunden allenfalls noch gleichzeitig auf die eigenen Fachkräfte loszulassen – die Auswirkungen auf den Betrieb wären wohl gravierend. Zudem möchte kein Kunde, dass ein Prüfer eines anderen Kunden bei seiner Tätigkeit Kenntnisse über ihn gewinnt und an einen Konkurrenten weitergibt.
Die Lösung für dieses Dilemma ist einfach: der Provider stellt einen eigenen Prüfer an, der nach einem standardisierten Verfahren eine Beurteilung von Qualität oder Sicherheit seiner Services durchführt. Für viele Provider ist es normal, solche Prüfungen durchführen zu lassen – und so schmücken sie ihre Webseiten mit Bestätigungen nach SEC 17a4, Sarbanes-Oxley, MiFID, SB 1386, Basel II/III, Check 21, Gramm-Leach-Bliley Act, Patriot Act, HIPAA, BSI-Grundschutz oder natürlich ISO9000, ISO20000 sowie ISO27001.
Nichts gegen diese Bestätigungen (und die Prüfungsunternehmen, welche sie ausstellen): Aber eigentlich benötigt das auslagernde Unternehmen genau zwei Zertifizierungen – falsch – Attestierungen: einen ISAE3402-Bericht über die ausgelagerten finanzrelevanten Kontrollen (inkl. der generellen IT-Kontrollen) und/oder einen ISAE3000-Bericht über alle anderen für das auslagernde Unternehmen wesentlichen Kriterien.
Der Finanzprüfer des auslagernden Unternehmens benötigt den ISAE3402-Bericht zur Bestätigung der an den Provider ausgelagerten finanzrelevanten Kontrollen – alle anderen Bestätigungen oder Zertifikate helfen ihm gar nichts. Auch die Geschäftsleitung sollte daran interessiert sein, weil sie letztlich für das IKS verantwortlich ist.
Nichts gegen diese Bestätigungen (und die Prüfungsunternehmen, welche sie ausstellen): Aber eigentlich benötigt das auslagernde Unternehmen genau zwei Zertifizierungen – falsch – Attestierungen: einen ISAE3402-Bericht über die ausgelagerten finanzrelevanten Kontrollen (inkl. der generellen IT-Kontrollen) und/oder einen ISAE3000-Bericht über alle anderen für das auslagernde Unternehmen wesentlichen Kriterien.
Der Finanzprüfer des auslagernden Unternehmens benötigt den ISAE3402-Bericht zur Bestätigung der an den Provider ausgelagerten finanzrelevanten Kontrollen – alle anderen Bestätigungen oder Zertifikate helfen ihm gar nichts. Auch die Geschäftsleitung sollte daran interessiert sein, weil sie letztlich für das IKS verantwortlich ist.
Neben den finanzrelevanten gibt es noch zahlreiche weitere Gründe, einen Provider zu überprüfen: So verlangen z.B. die regulatorischen Anforderungen der FINMA an Banken oder Versicherungen, dass diese die Einhaltung bestimmter FINMA-Vorgaben beim Provider überprüfen (FINMA-RS 18/3 Outsourcing). Ähnliche Überprüfungs-Anforderungen gibt es auch im Bereich Datenschutz, so z.B. für kundenidentifizierende Informationen (FINMA RS 2008/21 Anhang 3 zu CID) oder PCI DSS. Zwar gibt es für einige dieser Themen eigene Zertifizierungs-Schematas, aber eigentlich ist der ISAE3000-Prüfungsstandard die geeignete Grundlage für fast alle zu bestätigenden Themen, Kriterien oder Kontrollen. Auch an solchen Bestätigungen sollten Geschäftsleitung wie Verwaltungsrat der auslagernden Unternehmen sehr interessiert sein.
Die Abbildung 1 zeigt das in der Übersicht: Bei ausreichend sorgfältiger Geschäftsführung wäre es für die Geschäftsleitung eigentlich selbstverständlich, die Dienstleister enger zu überwachen. Ob für Business Process Outsourcing (BPO), Software as a Service (SaaS), Platform as a Service (PaaS) oder Infrastructure as a Service (IaaS) – in allen diesen Fällen bieten die internationalen Prüfungsstandards ISAE3402 und ISAE3000 hervorragende Dienste. Einen Vergleich dieser Standards mit ISO27001 und PCI DSS finden Sie in der separaten Tabelle.
Was hat jetzt das alles mit dem reisserischen Titel dieses Artikels zu tun? Nun – ein wirklich grosser Teil der ausgelagerten Dienstleistungen basiert auf Informationstechnologie. Es ist daher unumgänglich, dass die entsprechenden Prüfungen von entsprechend qualifizierten IT-Prüfern durchgeführt werden – «Vollblut-Informatikern» mit Prüfungswissen oder guten Prüfern mit einem stark ausgeprägten Wissen (und Erfahrung) im IT-Umfeld. Aber entsprechend qualifizierte IT-Prüfer sind rar und die Berufsaussichten dementsprechend ausgezeichnet.
Die Abbildung 1 zeigt das in der Übersicht: Bei ausreichend sorgfältiger Geschäftsführung wäre es für die Geschäftsleitung eigentlich selbstverständlich, die Dienstleister enger zu überwachen. Ob für Business Process Outsourcing (BPO), Software as a Service (SaaS), Platform as a Service (PaaS) oder Infrastructure as a Service (IaaS) – in allen diesen Fällen bieten die internationalen Prüfungsstandards ISAE3402 und ISAE3000 hervorragende Dienste. Einen Vergleich dieser Standards mit ISO27001 und PCI DSS finden Sie in der separaten Tabelle.
Was hat jetzt das alles mit dem reisserischen Titel dieses Artikels zu tun? Nun – ein wirklich grosser Teil der ausgelagerten Dienstleistungen basiert auf Informationstechnologie. Es ist daher unumgänglich, dass die entsprechenden Prüfungen von entsprechend qualifizierten IT-Prüfern durchgeführt werden – «Vollblut-Informatikern» mit Prüfungswissen oder guten Prüfern mit einem stark ausgeprägten Wissen (und Erfahrung) im IT-Umfeld. Aber entsprechend qualifizierte IT-Prüfer sind rar und die Berufsaussichten dementsprechend ausgezeichnet.
Abb 1. Unterschiedliche Service-Modelle und die korrekten Attestierungen (Quelle: ISACA)
Prüfungsstandards ISAE3402 und ISAE3000 im Vergleich mit den Standards mit ISO27001 und PCI DSS. (Quelle: ISACA)
Das – übrigens einzige internationale – Berufszertifikat für IT-Prüfer ist der CISA, was für Certified Information Systems Auditor steht. Dieses Zertifikat besteht bereits seit 1977. Und seit 1992 bieten wir mit unserem CISA-Vertiefungskurs in der Schweiz eine eigentliche berufsbegleitende Aus- und Weiterbildung im Gebiet IT-Prüfung mit CISA-Zertifikatsabschluss an – meines Wissens nach wie vor einzigartig in der ganzen Welt.
Das letztmals 2019 aktualisierte CISA-Berufsbild ist top-aktuell und umfasst Themen wie Governance und Führung der IT; Beschaffung, Entwicklung und Implementation von Informationssystemen; Betrieb, Wartung und Dienstleistungsmanagement für Informationssystemen; Schutz von Informationswerten sowie natürlich die korrekte Prüfung all dieser Bereiche. Alleine das Kapitel «Schutz von Informationswerten» umfasst insgesamt 18 Teilaspekte wie z.B. Datenschutz-Prinzipien, Identitäts- und Zugriffs-Management, Daten-Verschlüsselung und verschlüsselungsbezogene Techniken inkl. PKI, virtualisierte Umgebungen oder Internet-of-Things (IoT).
Ich kenne kein anderes Berufsbild, das dermassen konsequent und in so kurzen Abständen angepasst wird, worauf wir wirklich stolz sein dürfen. Diese Anpassungen zwingen uns als Kursanbieter auch dazu, unsere umfangreichen Kursunterlagen immer wieder zu überprüfen und entsprechend nachzuführen – bei grösseren Änderungen im Berufsbild ist dies oft auch mit riesigen Aufwänden verbunden.
Das letztmals 2019 aktualisierte CISA-Berufsbild ist top-aktuell und umfasst Themen wie Governance und Führung der IT; Beschaffung, Entwicklung und Implementation von Informationssystemen; Betrieb, Wartung und Dienstleistungsmanagement für Informationssystemen; Schutz von Informationswerten sowie natürlich die korrekte Prüfung all dieser Bereiche. Alleine das Kapitel «Schutz von Informationswerten» umfasst insgesamt 18 Teilaspekte wie z.B. Datenschutz-Prinzipien, Identitäts- und Zugriffs-Management, Daten-Verschlüsselung und verschlüsselungsbezogene Techniken inkl. PKI, virtualisierte Umgebungen oder Internet-of-Things (IoT).
Ich kenne kein anderes Berufsbild, das dermassen konsequent und in so kurzen Abständen angepasst wird, worauf wir wirklich stolz sein dürfen. Diese Anpassungen zwingen uns als Kursanbieter auch dazu, unsere umfangreichen Kursunterlagen immer wieder zu überprüfen und entsprechend nachzuführen – bei grösseren Änderungen im Berufsbild ist dies oft auch mit riesigen Aufwänden verbunden.
Machen Sie sich fit !
Für Personen, welche in der IT-Revision arbeiten (wollen), aber auch für (IT-) Sicherheitsbeauftragte, (IT-) Risikomanager oder Beauftragte für IT-Governance bietet das ISACA Switzerland Chapter – wie bereits erwähnt – eine seriöse Aus- und Weiterbildung in der Form von umfassenden Vertiefungskursen für CISA, CISM, CGEIT, CRISC und neu auch CDPSE an, welche den Teilnehmern sowohl die notwendigen theoretischen Grundlagen (grösstenteils im Rahmen eines strukturierten Selbststudiums ab 1. Februar 2021) als auch die bewährte Berufspraxis (grösstenteils im Präsenzunterricht im Juni/Juli) vermitteln. Ausführliche und klar strukturierte Unterlagen mit Fachbüchern, Skript und Fallstudien dienen nicht nur zur Vorbereitung auf die internationale Zertifikatsprüfung, sondern auch als Nachschlagewerk im Berufsalltag (siehe www.itacs.ch).Für Personen, welche sich (ausschliesslich) auf eine der internationalen Zertifikatsprüfungen vorbereiten wollen, gibt es verschiedene Anbieter mit kompakten Prüfungsvorbereitungskursen.
Erkundigen Sie sich auf unserer Webseite.
Der Autor
Peter R. Bitterli, CISA, CISM, CGEIT, CRISC
(Quelle: ISACA)
Artikel kommentieren
