Drittparteirisiko und ISAE 3402

Vom vollständigen Outsourcing komplexer Funktionen wie IaaS, PaaS-Services oder Komponentenherstellung bis hin zu kleinen Verträgen mit lokalen Dienstleistern und Zulieferern verlassen sich Unternehmen verschiedener Branchen und Größen in hohem Maße auf externe Dienstleistungsunternehmen.

Outsourcing-Aktivitäten führen zu Kosteneinsparungen, betrieblicher Effizienz oder erweitertem Fachwissen innerhalb des Unternehmens. Outsourcing ist auch mit einem erhöhten Risiko verbunden. Das Verstehen, Analysieren und effektive Reagieren auf Risiken als Teil eines Enterprise Risk Management (ERM)-Ansatzes ist unerlässlich, um das Risiko finanzieller Verluste, der Nichteinhaltung von Vorschriften und von Reputationsschäden zu minimieren.

Die Risiken Dritter verstehen

Das Drittparteirisiko ist nicht auf multinationale Unternehmen beschränkt, die wichtige Geschäftsfunktionen an Offshore-Lieferanten auslagern. In der heutigen Welt arbeiten die meisten Unternehmen im Rahmen ihrer regulären Geschäftstätigkeit regelmäßig mit Dienstleistern zusammen, wie im vorherigen Kapitel beschrieben. Selbst kleine Unternehmen verlassen sich bei verschiedenen Aktivitäten auf Dienstleistungsunternehmen, vom Hosting von Servern über IT-Support bis hin zur Lohnabrechnung. Die zunehmende Auslagerung an Dritte vergrößert die potenziellen Risiken für Unternehmen.

Die Analyse dieses Drittparteirisikos zu einem bestimmten Zeitpunkt ist von entscheidender Bedeutung für die Geschäftskontinuität und die Maximierung der Wirkung von Risikomanagementmaßnahmen. Da die meisten Unternehmen in hohem Maße auf Daten angewiesen sind, kann jeder Dritte, der Zugang zu sensiblen oder vertraulichen Informationen hat, ein potenzielles Risiko für die Geschäftskontinuität darstellen. Beim Outsourcing können, wie bei anderen Kategorien auch, Risikostufen und Hierarchien berücksichtigt werden. Diese Hierarchien und Ebenen bilden die Grundlage für die Festlegung von Risikoprioritäten durch das Management und die Basis für den Risikorahmen in einem ISAE 3402 | SOC1 Bericht.

Risikopriorisierung und ISAE 3402

Die Festlegung von Risikoprioritäten ist keine einmalige Angelegenheit. Alle Parameter können im Laufe der Zeit angepasst werden, abhängig von Faktoren, die von wirtschaftlichen Entwicklungen über Änderungen im regulatorischen Umfeld bis hin zu sich entwickelnden strategischen Initiativen reichen. Die Arten von Dritten, die typischerweise ein höheres Risiko für Ihr Unternehmen darstellen, sind nicht erschöpfend, aber zu ihnen gehören Dienstleistungsunternehmen wie z.B:

• Cloud Computing / On-Demand-Computing
• Software-as-a-Service (SaaS)
• Internetdienstanbieter (ISPs)
• Plattformen für die Verarbeitung von Kreditkarten
• Online Auftragsabwicklung
• Anbieter von Rechenzentren und Kollokation
• Verwaltung von HR und Lohnbuchhaltung
• Drittanbieter-Verwalter (TPAs)
• Druck- und Postdienstleistungen
• Logistikdienstleistungen für Dritte (3PL)
• Debitorenbearbeitung und Inkassodienstleistungen
• Due-Diligence-Prüfung durch Dritte

Eine gründliche Due-Diligence-Prüfung vor Abschluss eines neuen Vertrags mit einem Dritten ist nur der Anfang. Wie die Geschäftsrisiken müssen auch die Risiken von Drittanbietern während der gesamten Lebensdauer einer Lieferantenbeziehung regelmäßig und proaktiv verwaltet werden, da sich die Parameter im Laufe der Zeit anpassen. Dies beinhaltet die Einbindung der Innenrevision, der Finanzabteilung, der Rechtsabteilung und – in vielen Fällen – unabhängiger Wirtschaftsprüfer, die ein ISAE 3402-Gutachten erstellen.