Kategorie: Beratung

Wie kann ein SOC-Audit die Gewinne steigern?

Wie kann ein SOC-Audit die Gewinne steigern?


Viele Unternehmen konzentrieren sich in erster Linie auf ihre Kernkompetenzen und lagern den Rest aus. Gängige Beispiele sind die Lohnbuchhaltung und die technische Infrastruktur. Die Abhängigkeit von diesen Diensten nimmt zu, da viele Branchen und Unternehmen miteinander vernetzt sind.

Mehrere Interessengruppen prüfen die SOC-Berichte. Wenn ein SOC-Auditbericht ‚korrekt‘ erscheint, hebt er ein Unternehmen von seinen Konkurrenten ab und kann für operative Glaubwürdigkeit sorgen. Stakeholder achten hauptsächlich auf die folgenden Variablen:

  • Zusicherung von Sicherheitsaktivitäten
  • Verfügbarkeit
  • Integrität der Verarbeitung
  • Vertraulichkeit
  • Datenschutz

Die Investition in ein SOC-Audit bietet Vorteile. Unternehmen können nicht nur mehr Kunden an sich binden, sondern auch neue Kunden gewinnen. Dies kann dazu führen, dass Sie Ihre Gewinne halten oder sogar steigern können.

Um ein erfolgreiches SOC-Audit durchzuführen, muss eine Organisation über ein effizientes Betriebsumfeld verfügen. Dies ermöglicht es der Organisation, wirksame Kontrollen durchzuführen. Einige Organisationen müssen unter Umständen eine Menge Arbeit leisten, um ein erfolgreiches SOC-Audit durchzuführen. Das liegt oft daran, dass nicht nur ein kleiner Teil der Umgebungen angepasst werden muss, sondern möglicherweise ganze Umgebungen neu gestaltet werden müssen. Dies ist oft der Wendepunkt, an dem viele Organisationen den Fokus verlieren. Sie vergessen, welchen Wert ein SOC-Audit haben kann. Deshalb ist es für Unternehmen wichtig, einen Investitionsschwerpunkt zu setzen.

Securance kann Ihnen dabei helfen. Risklane bietet Dienstleistungen in den Bereichen Governance, Risiko und Compliance. Seit 2014 ist Securance der Marktführer und die innovativste Organisation bei der Implementierung und Zertifizierung von ISAE 3402. Zusätzlich zu ISAE 3402 bieten wir Dienstleistungen für ISAE 3000, GDPR/AVG, ISO 27001, ISO 9001 und COSO ERM an.

Outsourcing-Trends

Outsourcing-Trends


Unternehmen sind ständig auf der Suche nach Möglichkeiten, Wettbewerbsvorteile zu nutzen, um Märkte zu erweitern und Gewinne zu steigern. Sie lagern zunehmend Aktivitäten aus, die nicht zum Kerngeschäft gehören. Dennoch bleibt das Management letztlich für das Risikomanagement und die Umsetzung eines wirksamen Kontrollrahmens verantwortlich. Dies hat zu einer größeren Nachfrage nach Assurance-Standards wie ISAE 3402 oder ISAE 3000 für Aktivitäten geführt, die von Dritten durchgeführt werden.

Geschichte

Während eines Großteils des 20. Jahrhunderts war das beliebteste Geschäftsmodell das große integrierte Unternehmen, das seine Vermögenswerte direkt verwaltete und kontrollierte und sich auf die Diversifizierung konzentrierte, um seine Geschäftsbasis zu verbreitern und von Größenvorteilen zu profitieren. Viele große Unternehmen haben eine neue Strategie entwickelt, um sich auf ihre Kernaktivitäten zu konzentrieren und ihre Flexibilität und Kreativität zu steigern. Dazu mussten kritische Prozesse identifiziert und entschieden werden, welche Prozesse ausgelagert werden konnten.

Outsourcing

Aufgrund der Globalisierung, des verstärkten Wettbewerbs und des Kostendrucks lagern Unternehmen immer mehr wichtige Geschäftsfunktionen an Dienstleister aus. Die Auslagerung von Kernprozessen hat direkte Auswirkungen auf die Bilanzen und die wichtigsten Geschäftsprozesse eines Unternehmens. Sie ist nicht mehr auf routinemäßige Back-Office-Aufgaben beschränkt. Wie können Unternehmen Vertrauen in ausgelagerte Geschäftsprozesse gewinnen? Wie können sie Kontrolle und Sicherheit über diese ausgelagerten Prozesse gewährleisten?

Die zunehmende Auslagerung, insbesondere von wichtigen Geschäftsinformationen, bringt auch erhöhte Risiken und Sicherheitsbedenken mit sich. Unternehmen können aufgrund von Sicherheitsmängeln bei externen Dienstleistern operative, finanzielle oder sogar rufschädigende Schäden erleiden. Eine unabhängige Überprüfung von kritischen ausgelagerten Geschäftsprozessen oder IT-Systemen hilft Unternehmen, diese Risiken zu erkennen und zu bewältigen und Sicherheit über ausgelagerte Prozesse zu erlangen.

Die häufigsten Gründe für Outsourcing sind:

  • Kontrolle und Reduzierung der Betriebskosten
  • Stärkere Konzentration auf Kerngeschäftsprozesse
  • Zugang zu Weltklasse-Fähigkeiten
  • Setzen Sie interne Ressourcen für andere Zwecke frei
  • Effizienzsteigerung in bestimmten Funktionen
  • Unzureichende interne Ressourcen
  • Risiko mit anderen Organisationen teilen

Die aktuelle Phase in der Entwicklung des Outsourcing umfasst strategische Partnerschaften. Bis vor kurzem galt es als selbstverständlich, dass Unternehmen ihre Kernkompetenzen nicht auslagern können. Das hat sich geändert, und ISAE3402/SOC1 oder ISAE3000/SOC2 sind inzwischen gang und gäbe.

Agenturtheorie im Outsourcing

Agenturtheorie im Outsourcing

Größenvorteile

Seit der industriellen Revolution stellen sich Unternehmen die Frage, wie sie ihren Wettbewerbsvorteil nutzen können, um ihren Marktanteil und ihre Rentabilität zu steigern. Das vorherrschende Modell im 19. und 20. Jahrhundert war die große integrierte Organisation. In den 1950er und 1960er Jahren verbreiterten die Unternehmen ihre Basis, um von Größenvorteilen zu profitieren.

Das große integrierte Unternehmen diversifizierte seine Produktpalette, und die Expansionen erforderten mehr Managementebenen. Technologische Entwicklungen, wie z.B. das Internet, zwangen die Unternehmen in den 1980er und 1990er Jahren zu einem stärkeren globalen Wettbewerb. Sie wurden durch einen Mangel an Flexibilität aufgrund aufgeblähter Managementstrukturen behindert. Um die Agilität zu erhöhen, haben viele große Unternehmen eine Strategie entwickelt, die sich auf ihre Kernaktivitäten und Kernprozesse konzentriert.

Prinzipal-Agent-Problem

Die Konzentration auf die Kernprozesse löste eine Diskussion darüber aus, welche Prozesse für die Geschäftskontinuität wesentlich und entscheidend sind und welche an externe Dienstleister ausgelagert werden können. Prozesse oder Funktionen, für die es keine internen Ressourcen gab, wurden an spezialisierte Agenturen oder Anbieter ausgelagert. Infolgedessen entwickelte sich das Prinzipal-Agent-Problem zwischen der Nutzerorganisation und der Dienstleistungsorganisation, und die Prinzipal-Agent-Theorie und die damit verbundene Informationsasymmetrie gewannen mit dem Wachstum des Outsourcing an Bedeutung.

Asymmetrie der Informationen

Die häufigste Agenturbeziehung im Finanzbereich besteht zwischen Investoren (oder Aktionären) und dem Management eines Unternehmens. Es kann sein, dass der Auftraggeber nichts von den Aktivitäten des Agenten weiß oder dass es dem Agenten untersagt ist, sich Informationen zu beschaffen. Das Ergebnis ist eine Informationsasymmetrie zwischen dem Auftraggeber und dem Auftragnehmer. Zum Beispiel könnte das Management in Schwellenländer investieren wollen, während die Risikotoleranz des Auftraggebers ungünstig ist. Diese Managementstrategie könnte die kurzfristige Rentabilität beeinträchtigen und die Risiken des Unternehmens erhöhen, was zu höheren zukünftigen Einnahmen führen könnte. Anlegern, die hohe laufende Kapitalerträge bei geringen Risiken wünschen, sind diese Managementpläne möglicherweise nicht bekannt. Wenn die Folge dieser Strategie sichere Verluste sind, könnte das Management geneigt sein, diese Informationen nicht an die Aktionäre weiterzugeben. Die Entwicklung des Berufsstandes der Buchhalter war ein entscheidender Schritt, um das Agency-Problem weltweit zu entschärfen. Im Jahr 1992 wurde der SAS 70-Standard für die Outsourcing-Prüfung relevant, der später durch den ISAE 3402-Standard im Jahr 2011 ersetzt wurde. Durch Outsourcing wurde die Informationsasymmetrie verringert und das Vertrauen zwischen den Nutzern (den auslagernden Unternehmen) und den Dienstleistungsunternehmen (den Unternehmen, die diesen Unternehmen Dienstleistungen anbieten) verbessert.

Agenturtheorie im Outsourcing

Im Allgemeinen betrifft die Agenturtheorie alle Beziehungen zwischen zwei Parteien, bei denen eine Partei der Auftraggeber ist und die andere der Agent, der den Auftraggeber bei Transaktionen mit Dritten vertritt. Eine Agenturbeziehung liegt vor, wenn ein Auftraggeber einen Agenten beauftragt, eine Dienstleistung im Namen des Auftraggebers zu erbringen. Prinzipale delegieren in der Regel Entscheidungsbefugnisse an Agenten. Da der Agent Verträge und Entscheidungen mit Dritten trifft, die sich auf den Prinzipal auswirken, kann es zu Agenturproblemen kommen.

In der Situation, in der Aktivitäten von einer Nutzerorganisation an eine Dienstleistungsorganisation ausgelagert werden, ist die Agency-Theorie für alle beschriebenen Aspekte relevant: Informationsasymmetrie, Risikotoleranz und eingesetzte Ressourcen. Ein Finanzinstitut lagert zum Beispiel IT-Dienste an einen Anbieter von Managed Services aus. Der Managed Service Provider kennt möglicherweise nicht die Risikotoleranz des Instituts und könnte entscheiden, dass ein wöchentliches Backup akzeptabel ist oder dass die Datenspeicherung außerhalb der EU zulässig ist. Der Service Provider informiert die Organisation möglicherweise nicht über bestimmte Serverausfälle, wenn das Netzwerkproblem nicht vom Finanzinstitut erkannt wird. Das Dienstleistungsunternehmen könnte auch dazu neigen, die Ressourcen für die Durchführung von Aktivitäten zu minimieren und gleichzeitig zu versuchen, die erhaltenen Gebühren zu maximieren. Eine Dienstleistungsorganisation kann auch eine andere Toleranz gegenüber Betrug haben oder selbst Betrug begehen. Im Rentensektor könnten Vermögensverwalter von Front-Running-Transaktionen von Pensionsfonds profitieren. Dies führt zu dem oben beschriebenen Prinzipal-Agent-Problem.

Front-Running auch bekannt als „tailgating“, ist die verbotene Praxis, einen Handel einzugehen, um aus dem nicht öffentlichen Vorwissen einer großen anstehenden Transaktion, die den Preis des zugrunde liegenden Wertpapiers beeinflussen wird, Kapital zu schlagen.

Securance berät die TelecityGroup

Securance berät die TelecityGroup


TelecityGroup ist Europas führender Carrier-neutraler Anbieter von Rechenzentren. Die Rechenzentren der TelecityGroup bieten hohe Konnektivität und sichere Umgebungen für IT- und Telekommunikationsgeräte, die die treibende Kraft der digitalen Wirtschaft sind. Telecity verfügt über Rechenzentrums-Cluster in 12 europäischen Großstädten. In den Rechenzentren von Telecity laufen die Netzwerke, aus denen das Internet besteht, zusammen, und bandbreitenintensive Anwendungen, Inhalte und Informationen werden sicher gehostet. Das neueste 9-MW-Rechenzentrum von Telecity, AMS 5 in Amsterdam Süd-Ost, bietet nicht nur eine robuste Stromversorgung, effiziente Kühlung und umfassende Sicherheit, sondern auch eine unvergleichliche Konnektivität. Neben der Konnektivität sind auch Sicherheit und Kontrolle für Rechenzentren entscheidend. Hierfür gibt es mehrere Standards, von denen ISAE 3402 einer der wichtigsten ist.

ISAE 3402 und Rechenzentren

Im Dezember 2014 wurde das COSO-Rahmenwerk durch COSO2013 ersetzt. De Nederlandsche Bank hat CObit 4.1 und sein Reifegradmodell in den Rahmen für die Bewertung der Informationssicherheit aufgenommen. Aufgrund dieser Entwicklungen verlangen multinationale Unternehmen neben SaaS-Anbietern zunehmend auch ISAE 3402 von Hosting-Anbietern. Dieser Trend wird durch den Anstieg der Zahl der registrierten Rechenzentren im ISAE 3402 Register von 3 auf 10 innerhalb eines Jahres unterstützt. Securance wird Telecity bei der Umsetzung von ISAE 3402 unterstützen und beraten.

Telecity und Securance

Emile ten Hoor ist hocherfreut, dass Securance als Sicherheitsberater für die Telecity Group ausgewählt wurde. Innerhalb unseres derzeitigen Portfolios von Vermögensverwaltern, SaaS- und Hosting-Anbietern ist die Telecity Group eine willkommene Ergänzung. Wir sind hoch motiviert und enthusiastisch, Telecity bei diesem Prozess zu unterstützen. Wir unterstützen jeden Schritt in Richtung Professionalisierung und setzen uns für mehr Sicherheit und Kontrolle im IKT-Sektor ein.