Risikomanagement im IT-Providermanagement ist unerl sslich, um die Risiken beim und nach dem Outsourcing von IT-Services zu minimieren und einen reibungslosen Service-Betrieb zu gew hrleisten. In der heutigen digitalen Welt w chst f r Unternehmen die Abh ngigkeit des Kerngesch fts von IT-Services stetig und Erfolg oder Misserfolg des Unternehmens wird zunehmend durch Effizienz und Qualit t der IT-Services mitbestimmt. Wir zeigen im Folgenden auf, wie beim Outsourcing und insbesondere in der Betriebsphase im Rahmen des Providermanagements Risikomanagement f r IT-Services gehandhabt werden kann. Risikomanagement im IT-Providermanagement Einf hrung in die Risiko-Handhabung bei IT-Outsourcing Das Management von Outsourcing-Risiken ist von gro er Bedeutung, da es Unternehmen dabei hilft, die Stabilit t, Sicherheit und Integrit t ihrer IT-Systeme und Daten sicherzustellen. Zudem tr gt es dazu bei, die Compliance mit ihren gesetzlichen und regulatorischen Anforderungen zu gew hrleisten. Das Ziel des Risikomanagement im IT-Providermanagement ist es, Risiken, die sich aus dem Einsatz von Service-Providern ergeben, zu identifizieren, zu bewerten und Ma nahmen zu ergreifen, um diese Risiken zu minimieren. Wichtig ist dabei, Risikomanagement in allen Phasen des Outsourcing Life Cycle aktiv zu betreiben: Abbildung 1: Risikomanagement und Outsourcing-Lebenszyklus In der Phase Strategie werden Risiken untersucht, welche mit der Entscheidung zum Outsourcen auftreten k nnen. In der Konzept-Phase, d.h. der Konzeption der auszusourcenden Services, werden nur Alternativen mit tragbaren Risiken ber cksichtigt. In der Request-for-Proposal- (RFP-) Phase werden Providereigenschaften abgefragt und analysiert, die R ckschl sse auf Risiken zulassen. Die Vergabe an einen Service-Provider erfolgt dann bei einem angemessenen Verh ltnis von (vertretbaren) Risiken zu angestrebtem Nutzen. Notwendige Ma nahmen zur Begegnung wesentlicher Risiken sind im Vertrag mit dem Service-Provider aufzunehmen. In der Transitionsphase wird Risikomanagement im Rahmen des Projektmanagements geleistet. Zum Abschluss des Transitionsprojekts bergeben Projektmanager:innen das Risikomanagement an die Linienorganisation, damit dieses in der Betriebsphase fortgesetzt wird. Risikomanagement im IT-Providermanagement Gesetzliche und regulatorische Anforderungen Insbesondere f r regulierte Branchen wie den Finanzsektor, Versicherungen und Betreiber kritischer Infrastrukturen (KRITIS) gibt es Richtlinien und gesetzliche Vorgaben zum Risikomanagement bei IT-Outsourcing, deren Einhaltung sichergestellt werden muss. Die dort oft nur generell formulierten Vorgaben sind in konkrete Verfahren und Prozesse im jeweiligen Unternehmen umzusetzen. Beispiele f r derartige Vorgaben sind unter anderem: Finanzsektor Kreditwesengesetz (KWG), 25b EBA Leitlinien zu Auslagerungen (EBA/GL/2019/02) Mindestanforderungen an das Risiko-Management (MaRisk) AT 9 Bankaufsichtliche Anforderungen an die IT (BAIT) Versicherungssektor Das Versicherungsaufsichtsgesetz (VAG), 32 EIOPA Leitlinien zu Sicherheit und Governance im Bereich der Informations- und Kommunikationstechnologie (EIOPA-BoS-20/600) Mindestanforderungen an die Gesch ftsorganisation von Versicherungsunternehmen (MaGo) 13 Versicherungsaufsichtliche Anforderungen an die IT (VAIT) KRITIS-Sektor BSI-Standard 200-3: Risikomanagement BMI Schutz Kritischer Infrastrukturen Risiko- und Krisenmanagement Leitfaden f r Unternehmen und Beh rden IT-Sicherheitsgesetz 2.0 ISO/IEC 27001 Risikomanagement im IT-Providermanagement Risiko-Identifikation und -analyse bei outzusourcenden IT-Services Das Risikomanagement bei outzusourcenden IT-Services kann in zwei Phasen unterteilt werden, n mlich vor dem Outsourcing und nach dem Outsourcing (siehe Abbildung 2). Vor dem Outsourcing ist der Auftraggeber f r die Durchf hrung des Risikomanagements allein verantwortlich und zust ndig. Nach dem Outsourcing k nnen die Risiken in drei Gruppen unterteilt werden: Auftraggeber-Risiken, Provider-Risiken und Schnittstellen-Risiken. Auftraggeber-Risiken sind IT-bezogene Risiken, die bei dem Auftraggeber verbleiben. Es entstehen durch das Outsourcing auch neue Risiken, die vom Auftraggeber zus tzlich gemanagt werden m ssen. Provider-Risiken sind Provider- und Service-bezogene Risiken, letztere werden zum Teil vom Auftraggeber an den Provider verlagert. Sie sind vom Provider zu managen. Jedoch ist der Auftragsgeber weiterhin f r diese Risiken verantwortlich und muss sicherstellen, dass der Provider seinen Pflichten angemessen nachkommt. Zwischen Auftraggeber und Provider werden im Rahmen des Outsourcings organisatorische und technische Schnittstellen geschaffen, die auch Schnittstellenrisiken mit sich bringen. Eine klare Definition und Zuordnung der Zust ndigkeiten bez glich des Risikomanagements sind hier notwendig. Abbildung 2: Risikomanagement vor und nach dem Outsourcing Es ist auch wichtig, die verschiedenen Kategorien von Risiken im Zusammenhang mit IT-Outsourcing zu identifizieren. Die Risiko-Kategorien unterst tzen bei der Einordnung von erkannten Risiken und helfen zudem bei der berpr fung der Vollst ndigkeit der erfassten Risiken. Folgende k nnen insbesondere auftreten*: Strategisches Risiko: tritt auf, wenn die Entscheidungen und Handlungen eines Service Providers nicht mit den strategischen Zielen des Unternehmens vereinbar sind Betriebsrisiko: bezieht sich auf das Verlustrisiko, das sich aus ineffektiven oder fehlerhaften Prozessen, Mitarbeitern, Kontrollen oder Systemen eines Service Providers ergibt Risiko der Gesch ftskontinuit t: tritt auf, wenn ein externes Ereignis die F higkeit des Service Providers beeintr chtigt, den IT-Betrieb fortzuf hren, mit entsprechenden Auswirkungen auf den Auftraggeber Compliance- und regulatorisches Risiko: entsteht aus der potenziellen Nichteinhaltung von Gesetzen und Vorschriften durch einen Service-Provider Informationssicherheitsrisiko: bezieht sich im Wesentlichen auf Cyberangriffe und Datenschutzverletzungen, die aufgrund von Sicherheitsl cken bei Providern entstehen k nnen Finanz- und Kreditrisiko: bezieht sich direkt auf eine kritische finanzielle Situation des Service-Providers, in der er seinen vertraglichen Verpflichtungen nicht mehr nachkommen, d.h. Produkte und Dienstleistungen nicht wie vereinbart bereitstellen kann Reputationsrisiko: umfasst jede der zahlreichen M glichkeiten, wie der Service- Provider den Ruf, die Marke oder den Namen des Auftragsgebers direkt oder indirekt sch digen k nnte Konzentrationsrisiko: tritt auf, wenn das Unternehmen zu viele risikoreiche oder kritische Dienste von einem einzigen Service-Provider bezieht oder es nur einen Provider auf dem Markt gibt, der f r den Auftragsgeber kritische Produkte und Dienstleistungen anbietet Geopolitisches Risiko: kann auftreten, wenn sich der Sitz des Service-Providers in einem Land befindet, das anf llig f r Probleme wie politische Unruhen, Korruption oder Menschenrechtsverletzungen ist Umwelt-Risiko: umfasst politische Ver nderungen, Naturkatastrophen und andere gesellschaftliche Belange, die sich auf die Dienstleistungserbringung des Service- Providers auswirken k nnen * https://www.venminder.com/blog/types-vendor-risks-monitor Diese Liste hat keinen Anspruch auf Vollst ndigkeit. Die aufgrund der Risikokategorien sind in einem Risikoregister aufzunehmen und angemessen zu managen, d.h. sie sind sorgf ltig zu bewerten und es sind geeignete Ma nahmen zu planen und zu ergreifen. Risikomanagement im IT-Providermanagement Beispielhafte Ma nahmen zur Risikominimierung F r ausgew hlte Risikokategorien werden im Folgenden Beispiele f r Ma nahmen aufgezeigt: Betriebsrisiko: Klare Definition von Verantwortlichkeiten und Zust ndigkeiten, um das Risiko von Missverst ndnissen, Verwechslungen und Verz gerungen bei der Durchf hrung von Aufgaben zu minimieren Klare Spezifikation der Service Level Leistungskennzahlen (KPIs) und Zielwerte in der Strategie- und Konzeptions-Phase, um das Risiko unklarer Erwartungen und Ziele zwischen dem Auftraggeber und dem Service-Provider zu minimieren Compliance- und regulatorisches Risiko: Forderungen nach Standards und Zertifizierungen sowie Sicherheits-Systemen und -Technologien bei der Providerauswahl Implementierung von Kontrollen und Prozessen, um sicherzustellen, dass der Service- Provider die gesetzlichen Anforderungen und Vorschriften einh lt Festlegung von KPIs und Zielwerten zur Messung der Compliance sowie Etablierung eines regelm igen Reporting und dessen Pr fung Risiko der Gesch ftskontinuit t: Implementierung eines Business Continuity Plan (BCP) durch den Service-Provider, um im Falle eines externen Ereignisses die Fortsetzung des IT-Betriebs sicherzustellen Regelm ige berpr fung und Aktualisierung des BCP, um sicherzustellen, dass er den aktuellen Bed rfnissen und Anforderungen entspricht Regelm iges Testen des BCP, um sicherzustellen, dass er im Ernstfall effektiv funktioniert Risikomanagement im IT-Providermanagement Schlussfolgerung Zusammenfassend l sst sich sagen, dass das Risikomanagement im IT-Providermanagement von gro er Bedeutung ist, um die Stabilit t, Sicherheit und Integrit t von IT-Systemen und -Daten zu gew hrleisten. Insbesondere in regulierten Branchen wie dem Finanz- und Versicherungssektor, sowie im KRITIS-Sektor m ssen die Unternehmen enge regulatorische Vorgaben einhalten, indem sie angemessene Verfahren und Prozesse f r das Risikomanagement etablieren. Das Risikomanagement ist in allen Phasen des Outsourcing-Life-Cycle zu ber cksichtigen und muss alle relevanten Risiko-Kategorien umfassen. Bei Outsourcing sind zwischen Auftragsgeber-Risiken, Provider-Risiken und Schnittstellen-Risiken zu unterscheiden, die risikobezogene Gesamtverantwortung verbleibt aber beim Auftraggeber. Daher ist es wichtig, dass Unternehmen klare Zust ndigkeiten definieren, um Risiken zu managen, die sich aus der Zusammenarbeit mit Service-Providern ergeben. Der Beitrag Risikomanagement im IT-Providermanagement erschien zuerst auf amendos gmbh.
Wie können Big-Data-Technologien Finanzinstitute dabei unterstützen, Risiken zu managen, während das Risikomanagement immer engeren Anforderungen und Regularien unterliegt? Mit dieser Frage beschäftigen wir uns heute und stellen euch Vorteile und Anwendun
zum Artikel gehenLaut dem Standish Group Chaos Report aus dem Jahr 2015, einer Umfrage, die sich mit dem Erfolg und Misserfolg von IT-Projekten beschäftigt, konnten nur 36% der Projekte erfolgreich abgeschlossen werden, 45% der Projekte konnten nicht in der geplanten Zeit
zum Artikel gehenProvider-Management-Tools werden verwendet, um die Beziehung zwischen einem Unternehmen und seinen IT-Service-Providern zu verwalten. Sie unterst tzen Unternehmen, ihre Provider und Lieferanten zu verwalten, ihre Leistung zu verfolgen und sicherzustellen,
zum Artikel gehenViele Unternehmen in Deutschland haben zunehmend mit dem IT-Fachkr ftemangel zu k mpfen. Dies ist der aktuellen Entwicklung auf dem deutschen Fachkr ftemarkt geschuldet: die Babyboomer gehen in den kommenden Jahren zunehmend in Rente. Die wachsenden Perso
zum Artikel gehenUnternehmen, die IT-Services outsourcen, k mmern sich zunehmend auch um die Etablierung einer Providermanagement-Organisation im eigenen Hause. Sie haben erkannt, dass es nicht reicht, den richtigen Service-Provider auszuw hlen, um einen guten IT-Service
zum Artikel gehen