GRC-Modell für die IT Modul Outsourcing 1

Transkript

1 GRC-Modell für die IT Modul Outsourcing 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt () Die Marke Global IT-Security ist eingetragen auf Bernd Peter Ludwig (Ebersbach an der Fils), Unternehmensberatung 1 Das GRC-Modell für die IT enthält 26 Basis-Module. 22. März 2012 Version 1.1 (Modul Outsourcing) 1

2 Inhaltsverzeichnis 1.18 Modul Outsourcing Modul Outsourcing (Anforderungskomplex) Modul Outsourcing (Modulumgebung) Modul Outsourcing (Masterprozess) 7 Kontaktdaten (Unternehmensberatung Bernd Peter Ludwig) März 2012 Version 1.1 (Modul Outsourcing) 2

3 1.18 Modul Outsourcing GRC-Modell für die IT Modul Outsourcing Modul Outsourcing (Anforderungskomplex) Modul Outsourcing (Anforderungskomplex) GRC-relevanter Anforderungskatalog (wesentliche Aspekte): Das Unternehmen beachtet bei der Auslagerung von IT-Bereichen und -Funktionen alle hierfür relevanten Anforderungen. Insbesondere sind die gesetzlichen und vertraglichen Anforderungen erfüllt. Ebenso sind Überwachungs- und Kontrollpflichten eingehalten und können durch ein geeignetes Berichtswesen nachgewiesen werden. Für die ausgelagerten IT-Bereiche und Funktionen des Unternehmens ist sichergestellt, dass im Rahmen der entsprechenden IT-Verarbeitung die gesetzlichen Verpflichtungen eingehalten und die vertraglich zugesicherten Leistungen erbracht werden. Soweit relevant, sind dabei insbesondere Anforderungen an den Personendatenschutz und Buchführungserfordernisse zu erfüllen. Die Unternehmensleitung und das IT-Management (gemeinsam Auftraggeber) sorgen bei der Wahrnehmung ihrer Überwachungsaufgaben dafür, dass vom Outsourcing- Unternehmen (Auftragnehmer) alle wesentlichen Anforderungen eingehalten werden. Spezielle IT-Risiken, die vom Typ und Umfeld der Auslagerung abhängen (etwa beim Off Shoring, Double-Outsourcing und Cloud Computing), werden mit besonderer Sorgfalt überwacht. Auch dafür sind situationsgerechte Kontrollen vorgesehen. Der Unternehmensleitung und dem IT-Management des auslagernden Unternehmens ist bekannt, dass die Kontrollverantwortung nicht auf das Outsourcing-Unternehmen übertragen werden kann (sofern der Auftragnehmer dem Auftraggeber nachweisen kann, dass er über ein geeignetes Kontrollsystem und über ein aussagekräftiges Reporting verfügt (bspw. Erstellung eines Reports SAS 70 Type II), können Teilaspekte der Kontrollverpflichtung auch vom Auftragnehmer durchgeführt werden aber auch in diesem Fall bleibt die primäre Kontrollverantwortung letztlich beim Auftraggeber). Falls dem Auftraggeber vom Auftragnehmer Berichte über durchgeführte Kontrollhandlungen, Risikoeinschätzungen und Schwachstellenbereinigungen zur Verfügung gestellt werden, ist sichergestellt, dass der Auftraggeber diese Berichte sorgfältig prüft und die Berichtsfeststellungen mit der damit verbundenen tatsächlichen IT-Situation abgleicht. Lassen die Berichte Zweifel an der Wirksamkeit der Kontrollen und den IT-Aktivitäten des Auftragnehmers aufkommen, werden (ggf.) eigene Kontrollen beim Auftragnehmer vor Ort veranlasst und durchgeführt (sofern dies vertraglich vereinbart wurde). Bei feststellbaren Leistungsmängeln oder bei Verletzung wichtiger Schutz- und Sicherheitsfunktionen durch den Auftragnehmer ist garantiert, dass der Auftraggeber dagegen zeitnah angemessene Maßnahmen einleiten kann. Die ausgelagerten IT-Bereiche und -Funktionen sind intern und extern innerhalb der Notfallvorsorge und den damit zusammenhängenden Wiederanlaufprozessen mitberücksichtigt. GRC-relevante Schwerpunkte Governance Risk Management Compliance 22. März 2012 Version 1.1 (Modul Outsourcing) 3

4 Betroffene IT-Aufgabenbereiche 1 Formaler, organisatorischer Rahmen, Infrastruktur 2 IT-Planung und Realisation 3 IT-Service (IT-Performance) 4 Aufwand-Kosten-Nutzen-Relation (Wertschöpfung) 5 Kontrolle, Sicherheit, Datenschutz und Risikohandhabung Hinweise Outsourcing kommt selbst bei Kleinstunternehmen vor (bspw. Service- und Datenauslagerungen). Bei größeren Unternehmen nimmt das IT-Outsourcing oft sehr umfangreiche und komplexe Formen an. Zu beachten ist, dass für die in Deutschland ansässigen Unternehmen die Unternehmensleitung bei Auslagerungen im Hinblick auf die Einhaltung von Überwachungsund Ordnungsmäßigkeitserfordernissen dem Gesetzgeber gegenüber weiterhin im Obligo steht. Dies betrifft vor allem die Einhaltung buchführungsrelevanter Vorgaben und die Einhaltung von Datenschutzbestimmungen (BDSG). Mit aus diesem Grund kann es durchaus zweckmäßig sein, dass das auslagernde Unternehmen (Auftraggeber) mit dem Outsourcing- Unternehmen (Auftragnehmer) ein Kontrollrecht und das Recht zur die Durchführung von Prüfungen vereinbart. Unabhängig davon kann sich der Auftraggeber die Kontrollsystematik und durchführung ggf. vom Auftragnehmer durch die Bereitstellung geeigneter Kontroll- und Prüfungsberichte (bspw. Report SAS 70 Type II) bestätigen lassen. Dies entbindet den Auftraggeber jedoch nicht von seiner primären Kontroll- bzw. Prüfungspflicht. Im Hinblick auf die IT-Sicherheit, den Datenschutz und die Erfüllung von Prüfungs-/Kontrollaspekten sind 3 Auslagerungsvarianten als besonders problematisch einzustufen: Off Shore Computing, Cloud Computing und Double-Outsourcing. In diesen Fällen ist ganz besondere Sorgfalt geboten, was die Wahl des entsprechenden Providers und dessen Systemumfeld angeht. Vor allem sollte in diesen Fällen genauestens geprüft werden, wo, von wem, wann, womit und wie die ausgelagerten IT-Aufgaben und -Funktionen letztlich durchgeführt werden. 22. März 2012 Version 1.1 (Modul Outsourcing) 4

5 Modul Outsourcing (Modulumgebung) GRC-Modell für die IT Modul Outsourcing Modul Outsourcing (Modulumgebung) Mögliche Skalierungen Betroffene Ressourcen S min S bp (Best Practice) S max Anwendungen Informationen Infrastruktur Personal Anwendbare Grundlagen (Rahmenwerke, Normen, Standards, Richtlinien) AS9100 IDW PS 880 AS9110 IIR-Revisionsgrundsätze Balanced Scorecard ISO BS ISO 9000 ff. CC (ITSEC, TCSEC) ISO/IEC CMMI -DEV ISO/IEC ff. COBIT 5 th Edition ISO/IEC COSO ISO/TS COSO ERM ITIL Du-Pont-Schema MaRisk EFQM PMBOK (PMI) Enterprise Architecture PRINCE2 EuroSOX RoSI GDPdU SAS 70 Type II GoBS Security Baseline Grundschutzkatalog des BSI TickIT IDW PS 260 TOGAF IDW PS 321 [Ggf. weitere Grundlagen...] IDW PS 330 IDW PS 331 Wirksamkeitsebenen Ebene(n) Strategisch Taktisch Operativ Anmerkungen Verantwortung, Zuständigkeiten Unternehmensleitung Fachbereich(e) Externe Steuerung (Outsourcing) Gestaltung/Umsetzung (Outsourcing) Überwachung (Outsourcing) 22. März 2012 Version 1.1 (Modul Outsourcing) 5

6 Organisationsrelevanz Organisationsaspekt(e) Anmerkungen Aufbauorganisation Ablauforganisation Teilbereiche der Organisation und IT betreffend Anderer Organisationsaspekt Mitteleinsatz Schätzwert (PT, ) Anmerkungen Arbeitsaufwand - Unter Umständen personalintensiv Abhängig vom Aufgaben- bzw. Funktionsumfang der Auslagerungen und vom Auslagerungstypus Kosten - Niedrige mittelhohe Sachkosten Nutzenaspekte I Primäraspekt(e) Sekundäraspekt(e) Ordnungsmäßigkeit Compliancekonformität Sicherheit und Datenschutz Effektivität Produktivität Effizienz Wirtschaftlichkeit Flexibilität Integrität Nachvollziehbarkeit Prävention Qualität Transparenz Verfügbarkeit Verlässlichkeit Vertraulichkeit Nutzenaspekte II Einsparpotenzial(e) Schätzwert (PT, ) Anmerkungen (Einsparpotenzial(e) aufgrund Anforderungsumsetzung) Arbeitsaufwand Kosten Präventivaspekt(e) Schätzwert (PT, ) Anmerkungen (Präventivaspekt(e) aufgrund Anforderungsumsetzung) Schaden Verlust - Vermeidung von Verlusten durch Schlechtleistung und die Verletzung von Schutz- und Sicherheitsbestimmungen durch das Outsourcing- Unternehmen Ertrag - Vermeidung von Ertragseinbußen durch Schlechtleistung und die Verletzung von Schutz- und Sicherheitsbestimmungen durch das Outsourcing-Unternehmen Reputation - Vermeidung von Reputationsbeeinträchtigungen durch die Verletzung von Schutz- und Sicherheitsbestimmungen durch das Outsourcing- Unternehmen 22. März 2012 Version 1.1 (Modul Outsourcing) 6

7 Modul Outsourcing (Masterprozess) GRC-Modell für die IT Modul Outsourcing Modul Outsourcing (Masterprozess) Prozessschritte GRC-relevante Prozessinhalte/-Aktivitäten 1 Erhebung, Identifikation 1 Erhebung der ausgelagerten (oder alternativ der auslagerungswürdigen!) IT-Bereiche, -Funktionen und Aufgaben des Unternehmens bzw. der IT und der diesbezüglichen allg. Voraussetzungen 2 Erhebung der vertraglichen Vereinbarungen zum IT-Outsourcing 3 Identifikation Art des Outsourcing (direkt, kaskadiert, Cloud Computing etc.) 4 Identifikation der vereinbarten Outsourcing-Leistungen (Inhalte, Qualität, Performance) 5 Identifikation von Verfahrens- und Datenschnittstellen (IT-Prozesse) 6 Identifikation von Risiken/Schwachstellen (Kontrolle, IT-Sicherheit, Datenschutz, Compliance) 7 Identifikation des Mitteleinsatzes (Arbeitsaufwand, Kosten) und des Nutzens des IT-Outsourcings 2 Analyse 3 Bewertung [BREAKPOINT: Ende, Fortsetzung oder Teilausführung, ggf. REVIEW] 1 Analyse der gesamten Auslagerungssituation der IT und der diesbezüglichen allg. Voraussetzungen (Vertragsinhalte/Leistungsbeschreibungen, Ordnungsmäßigkeit, Sicherheit und Datenschutz sowie Wirtschaftlichkeit, Compliance, Prüfungen/Kontrollen und Reporting (SAS 70 Report Typ II etc.)) 2 Analyse der Risiken und Schwachstellen im Rahmen des bestehenden IT-Outsourcings 3 Analyse der erbrachten IT-Leistung des IT-Outsourcings 4 Analyse der Wirtschaftlichkeit des IT-Outsourcings 1 Bewertung der Auslagerungssituation/Voraussetzungen der IT (Bereiche, Funktionen, Aufgaben) 2 Bewertung der Risiken und Schwachstellen im Rahmen des bestehenden IT-Outsourcings 3 Bewertung der erbrachten IT-Leistung/-Performance des IT-Outsourcings 4 Bewertung der Wirtschaftlichkeit des IT-Outsourcings 5 In Abhängigkeit von den Bewertungsergebnissen: Ende oder Fortsetzung der Prozessfolge (ggf. in Teilausführung) 4 Definition, Konzeption 1 Definition von allg. Voraussetzungen zur Durchführung des IT-Outsourcings 2 Definition von Leistungs- und Wirtschaftlichkeitsaspekten beim IT-Outsourcing 3 Definition von Ordnungsmäßigkeits-, Compliance-, Sicherheits- und Datenschutzaspekten sowie von Kontroll-, Prüfungs- und Berichtserfordernissen beim IT-Outsourcings 4 Definition von Vorkehrungen zur Notfallvorsorge beim IT-Outsourcing 5 Schwachstellenbeseitigung im Hinblick auf das bestehende IT-Outsourcing 5 Planung 6 Entscheidung, Zielsetzung [BREAKPOINT: Ende, Fortsetzung oder Teilausführung, ggf. REVIEW] 1 Erstellen einer Planung (Inhalte, Termin, Budget) zur Umsetzung der allg. Voraussetzungen zur Durchführung des IT-Outsourcings; die Vertragsgestaltung(en) und die damit verbundenen Leistungsbeschreibung(en) gehören i.d.z. zu den wesentlichen Voraussetzungen des Outsourcings 2 Erstellen einer Planung (Inhalte, Termin, Budget) zur Umsetzung von Leistungs- und Wirtschaftlichkeitsaspekten, von Ordnungsmäßigkeits-, Compliance-, Sicherheits- und Datenschutzaspekten sowie von Kontroll-, Prüfungs- und Berichtserfordernissen beim IT-Outsourcings 3 Erstellen einer Planung (Inhalte, Termin, Budget) zur Umsetzung von Vorkehrungen zur Notfallvorsorge sowie ggf. von Maßnahmen. zur Schwachstellenbeseitigung t 1 Entscheidung über die Umsetzung von allg. Voraussetzungen zur Durchführung des IT- Outsourcings einschließlich der Vertragsgestaltung(en) und den entsprechenden Leistungsbeschreibung(en) zum IT-Outsourcing 2 Entscheidung über die Umsetzung von Leistungs- und Wirtschaftlichkeitsaspekten, von Ordnungsmäßigkeits-, Compliance-, Sicherheits- und Datenschutzaspekten sowie von Kontroll-, Prüfungs- und Berichtserfordernissen im Zusammenhang mit dem IT-Outsourcings 3 Entscheidung über die Umsetzung von Vorkehrungen zur Notfallvorsorge sowie ggf. über Maßnahmen zur Schwachstellenbeseitigung 4 In Abhängigkeit von den Entscheidungen/Zielsetzungen: Ende oder Fortsetzung der Prozessfolge (ggf. in Teilausführung) 22. März 2012 Version 1.1 (Modul Outsourcing) 7

8 Modul Outsourcing (Masterprozess) GRC-Modell für die IT Modul Outsourcing Prozessschritte 7 Information, Kommunikation GRC-relevante Prozessinhalte/-Aktivitäten 1 Information/Kommunikation der Entscheidung zur Umsetzung von allg. Voraussetzungen zur Durchführung des IT-Outsourcings unter Berücksichtigung der Vertragsgestaltung(en) und der Leistungsbeschreibung(en) 2 Information/Kommunikation der Entscheidung über die Umsetzung von Leistungs- und Wirtschaftlichkeitsaspekten, von Ordnungsmäßigkeits-, Compliance-, Sicherheits- und Datenschutzaspekten sowie von Kontroll-, Prüfungs- und Berichtserfordernissen 3 Information/Kommunikation der Entscheidung zur Umsetzung von Vorkehrungen zur Notfallvorsorge sowie über Maßnahmen zur Schwachstellenbeseitigung 8 Integration, Umsetzung 1 Umsetzung der allg. Voraussetzungen zum IT-Outsourcing (intern) 2 Umsetzung der Anforderungen/Vorgaben/Vereinbarungen zum IT-Outsourcing (intern/extern) 3 Umsetzung der Notfallvorkehrungen sowie der Maßnahmen zur Schwachstellenbeseitigung (intern/extern) 9 Dokumentation, Archivierung 1 Dokumentation der Aufgaben, Funktionen und Verfahren i.z. mit dem IT-Outsourcing 2 Dokumentation der Notfallvorkehrungen i.z. mit dem IT-Outsourcing 3 Dokumentation von outsourcing-bedingten Leistungsbeeinträchtigungen 4 Dokumentation von Prüfungs- und Kontrollberichten i.z. mit dem IT-Outsourcing 5 Archivierung der Outsourcing-Verträge 10 Überwachung (Prüfung, Kontrolle) [BREAKPOINT: Ende, Fortsetzung oder Teilausführung, ggf. REVIEW] 1 Überwachung der Anforderungsgerechtigkeit des IT-Outsourcings im Hinblick auf Compliance, Datenschutz, Leistungserfüllung, Ordnungsmäßigkeit, Wirtschaftlichkeit und Sicherheit 2 Durchführung von Leistungsüberwachungen mit entsprechendem Reporting (intern) 3 Durchführung von Prüfungen und Kontrollen mit entsprechendem Reporting (intern/extern) 4 In Abhängigkeit von den Überwachungsergebnissen: Ende oder Fortsetzung der Prozessfolge (ggf. in Teilausführung) 11 Korrektur, Anpassung 1 Anpassung der allg. Voraussetzungen und der Vertragsinhalte zur Durchführung des IT- Outsourcings an veränderte Rahmenbedingungen 2 Anpassung von Leistungs-, Wirtschaftlichkeits-, Ordnungsmäßigkeits-, Compliance-, Sicherheitsund Datenschutzaspekten an veränderte Rahmenbedingungen 3 Anpassung der Notfallvorsorge i.z. mit dem IT-Outsourcing an veränderte Rahmenbedingungen 4 Anpassung von Prüfungs- und Kontrollinhalten i.z. mit dem IT-Outsourcing an veränderte Rahmenbedingungen 12 Nachkontrolle, [Genehmigung] 1 Kontrolle der Anpassung der allg. Voraussetzungen zur Durchführung des IT-Outsourcings 2 Kontrolle der Anpassungen der Anforderungen/Vorgaben/Vereinbarungen zum IT-Outsourcing 3 Kontrolle der Anpassung der Notfallvorsorge i.z. mit dem IT-Outsourcing 4 Kontrolle der Anpassung von Prüfungs- und Kontrollinhalten i.z. mit dem IT-Outsourcing 5 Reporting über die durchgeführten Anpassungen (Nachvollziehbarkeit) 6 Genehmigung von Anpassungen, Korrekturen und Verfahrensänderungen 22. März 2012 Version 1.1 (Modul Outsourcing) 8

9 Kontaktdaten (Unternehmensberatung Bernd Peter Ludwig) Die vorstehenden Seiten zeigen nur einen kleinen Teilbereich des GRC-Umfelds und des GRC-Modells für die IT auf. Eingehende Beratungsleistungen dazu werden erbracht durch: Unternehmensberatung Bernd Peter Ludwig Lindenstr. 66 D Ebersbach Geschäftszeiten Mo Fr Uhr Telefon/Fax oder Home März 2012 Version 1.1 (Modul Outsourcing) 9