Tredjepartsrisk och ISAE 3402
Från fullständig outsourcing av komplexa funktioner som IaaS, PaaS-tjänster eller komponenttillverkning till små kontrakt med lokala tjänster och leverantörer, är organisationer i olika sektorer och storlekar starkt beroende av externa serviceorganisationer.
Outsourcingaktiviteter leder till kostnadsbesparingar, effektivisering av verksamheten eller utökad kompetens inom organisationen. Outsourcing innebär också en ökad riskexponering. Att förstå, analysera och effektivt hantera risker som en del av en strategi för riskhantering hos företag (ERM) är avgörande för att minimera exponeringen för ekonomiska förluster, bristande efterlevnad av regler och skadat anseende.
Förståelse för tredjepartsrisker
Tredjepartsrisker är inte begränsade till multinationella företag som lägger ut viktiga affärsfunktioner på offshore-leverantörer. I dagens värld samarbetar de flesta organisationer regelbundet med tjänsteleverantörer som en del av den ordinarie affärsverksamheten, vilket diskuterades i föregående kapitel. Även små företag förlitar sig på serviceorganisationer för olika aktiviteter, från hosting av servrar, IT-support till lönehantering. Ökningen av outsourcing till tredje part förstärker de potentiella risker som organisationer står inför.
Att analysera denna tredjepartsrisk vid varje given tidpunkt är avgörande för kontinuiteten i verksamheten och för att maximera effekten av riskhanteringsarbetet. Med tanke på att de flesta företag är beroende av data kan tredje part med tillgång till känslig eller konfidentiell information utgöra en potentiell risk för verksamhetens kontinuitet. Vid outsourcing, liksom för andra kategorier, kan risknivåer och hierarkier vara ett alternativ. Dessa hierarkier och nivåer utgör grunden för ledningens riskprioritering och grunden för riskramverket i en ISAE 3402- eller SOC 1-rapport.
Riskprioritering och ISAE 3402
Att fastställa riskprioriteringar är inte en engångsföreteelse; alla parametrar kan justeras över tid, beroende på faktorer som sträcker sig från den ekonomiska utvecklingen till förändringar i regelverket och strategiska initiativ under utveckling. De typer av tredje parter som vanligtvis utgör en högre risk för er organisation är inte många, men de innefattar serviceorganisationer som till exempel:
- Cloud computing/on-demand computing
- Software-as-a-Service (SaaS)
- Internetleverantörer (ISP)
- Plattformar för kreditkortsbehandling
- Orderfullgörande online
- Leverantörer av datacenter och samlokalisering
- HR- och löneadministration
- Tredjepartsadministratörer (TPA)
- Tryckeri- och posttjänster
- Logistiktjänster för tredje part (3PL)
- Behandling av kundfordringar och inkassotjänster
- Tredjepartsbesiktning
En grundlig företagsbesiktning innan ett nytt avtal med en tredje part ingås är bara början. Precis som affärsrisker måste tredjepartsrisker hanteras regelbundet och proaktivt under hela leverantörsrelationens livslängd, eftersom parametrarna ändras över tid. Detta innebär att man använder internrevision, ekonomi, juridik och – i många fall – oberoende revisorer som utfärdar en ISAE 3402-assurance.