Tredjepartsrisk och ISAE 3402

Från fullständig outsourcing av komplexa funktioner som IaaS, PaaS-tjänster eller komponenttillverkning till små kontrakt med lokala tjänsteleverantörer och leverantörer, är organisationer i olika sektorer och storlekar starkt beroende av externa serviceorganisationer.

Outsourcingaktiviteter leder till kostnadsbesparingar, effektivisering av verksamheten eller utökad kompetens inom organisationen. Outsourcing innebär också en ökad riskexponering. Att förstå, analysera och effektivt hantera risker som en del av en strategi för hantering av företagsrisker (ERM) är avgörande för att minimera exponeringen för ekonomiska förluster, bristande efterlevnad av regler och skadat anseende.

Förståelse för tredjepartsrisker

Tredjepartsrisker är inte begränsade till multinationella företag som lägger ut viktiga affärsfunktioner på offshore-leverantörer. I dagens värld samarbetar de flesta organisationer regelbundet med tjänsteleverantörer som en del av den ordinarie affärsverksamheten, vilket diskuterades i föregående kapitel. Även små företag förlitar sig på serviceorganisationer för olika aktiviteter, från hosting av servrar, IT-support till lönebearbetning. Ökningen av outsourcing till tredje part förstärker de potentiella risker som organisationer står inför.

Att analysera denna tredjepartsrisk vid varje given tidpunkt är avgörande för kontinuiteten i verksamheten och för att maximera effekten av riskhanteringsarbetet. Med tanke på att de flesta företag är beroende av data kan tredje part med tillgång till känslig eller konfidentiell information utgöra en potentiell risk för verksamhetens kontinuitet. Vid outsourcing, liksom för andra kategorier, kan risknivåer och hierarkier övervägas. Dessa hierarkier och nivåer utgör grunden för ledningens prioritering av risker och grunden för riskramverket i en ISAE 3402- eller SOC1-rapport.

Riskprioritering och ISAE 3402

Att fastställa riskprioriteringar är inte en engångsföreteelse; alla parametrar kan justeras över tiden, beroende på faktorer som sträcker sig från den ekonomiska utvecklingen till förändringar i regelverket och strategiska initiativ under utveckling. De typer av tredje parter som vanligtvis utgör en högre risk för din organisation är inte uttömmande, men de omfattar serviceorganisationer som t.ex:

  • Cloud computing/on-demand computing
  • Programvara-som-en-tjänst (SaaS)
  • Internetleverantörer (ISP)
  • Plattformar för kreditkortsbehandling
  • Uppfyllande av order online
  • Leverantörer av datacenter och samlokalisering
  • HR- och löneadministration
  • Tredjepartsadministratörer (TPA)
  • Tryckeri- och posttjänster
  • Logistiktjänster för tredje part (3PL)
  • Behandling av kundfordringar och inkassotjänster
  • Tredje parts due diligence

En grundlig due diligence innan ett nytt avtal med en tredje part ingås är bara början. I likhet med affärsrisker måste tredjepartsrisker hanteras regelbundet och proaktivt under en leverantörsrelations hela livslängd, eftersom parametrarna ändras över tiden. Detta innebär att man använder sig av internrevision, ekonomi, juridik och – i många fall – oberoende revisorer som utfärdar ett ISAE 3402-försäkran.

Share this blog

juli 5, 2024

Återanvänds den lokala administratörens lösenord i din miljö? Windows operativsystem...

    juni 17, 2024

    Signering för små och medelstora företag: Stoppa nätverksövertagande attacker Vikten...

      maj 28, 2024

      Securance och Kiwa samarbetar kring lösningar för cybersäkerhet och riskhantering...