Audits im Outsourcing – »Vertraue, aber prüfe nach«

Im Rahmen einer Outsourcing-Beziehung ist gegenseitiges Vertrauen unabdingbar. Gleichzeitig haben mehrere Beispiele in der jüngeren Vergangenheit gezeigt, dass »blindes« Vertrauen in die Lieferantenbeziehung auch auf die Auftraggeber zurückfällt: beispielhaft seien die Kontroversen um das besondere elektronische Anwaltspostfach bei der Bundesrechtsanwaltskammer oder aber auch der Einsturz einer Textilfabrik in Sabhar 2013 mit anschließenden massiven Reputationsschäden für die Textilkonzerne genannt.

Ob Audits dies hätten verhindern können, sei dahingestellt. Jedoch wären Audits eine Chance gewesen, die unterliegenden Probleme wesentlich früher zu erkennen. Trotzdem verzichten viele Auftraggeber (leider) auf Audits ihrer Dienstleister und Lieferanten, die Auftraggeber verlassen sich auf Eigen- und Drittzertifizierungen oder die Aussagekraft der eigenen Prüfungen ist aus verschiedenen Gründen (keine vertragliche Grundlage, »wahlloses« Prüfen, mangelnde Ressourcen oder Auditierung der »Aktenlage«) gering. Mit dem richtigen Ansatz können Audits für beide Seiten gewinnbringend durchgeführt werden.

Eine Motivation für Audits entsteht aus vier Bereichen:

  • Gesetzliche Pflichten (u. a. § 91 Abs. 2 AktG, Art. 28 Abs. 3 lit. h) DSGVO)
  • Vorgaben aus Normen, v. a. bei eigener Zertifizierung des Auftraggebers (z. B. ISO 9001, 27001)
  • Extrinsische Treiber wie Quasistandards in Branchen, Anforderungen eigener Kunden oder Lizenzgeber, Schutz vor Reputationsverlusten und ein nach außen gerichtetes »Signalling« (z. B. um zu zeigen, dass Vorfälle sich nicht wiederholen werden)
  • Intrinsische Treiber – hierzu zählen die Einhaltung interner Vorgaben, Schutz vor finanziellen Verlusten (Strafen, Abmahnungen) oder das Business Continuity Management

Alleine in Bezug auf den Datenschutz werden zukünftig die Prüfungshandlungen seitens des verantwortlichen Auftraggebers zunehmen. Eine Eigenbestätigung, wie sie bisher nach § 11 Abs. 2 BDSG möglich war, wird der Vergangenheit angehören. Nicht zuletzt vor dem Hintergrund der Datenschutzgrundverordnung sollten sich Verantwortliche grundlegende Gedanken zur Anpassung der eigenen Audit-Strategie machen.

»Continuous Auditing« mit 360-Grad-Sicht. Einen möglichen Ansatz stellt ein sogenanntes »Continuous Auditing« verbunden mit einem 360-Grad-Blick auf die relevanten Themen dar. Hierbei tritt die Prüfung zu einzelnen Zeitpunkten gegenüber einer fortlaufenden Beobachtung und Berichterstattung in den Hintergrund. Vielmehr werden kontinuierlich Audit-Handlungen in geringerem inhaltlichen Umfang, dafür aber in größerer Zahl durchgeführt. Hierzu kommt eine ganzheitliche Betrachtung aller notwendigen Aspekte der Outsourcing-Beziehung im Rahmen eines Rundumblicks für folgende Bereiche (siehe Abbildung 1):

  • Contract & Legal Compliance (Einhaltung der vertraglichen und gesetzlichen Vorgaben, z. B. Aktualität der Dokumentationen, Umsetzung des internen Kontrollsystems, Versicherung)
  • Qualitätsmanagement (Erhaltung der Fähigkeiten und der Verbesserung der Leistungserbringung, z. B. Schulungsgrad der Mitarbeiter, Fachkompetenzen, Umsetzung von Verbesserungen, Fehlerbehandlung)
  • Informationssicherheit & Datenschutz (Umsetzung von Informationssicherheits- und Datenschutzmaßnahmen (Effizienz und Effektivität), z. B. Patchlevel, Schwachstellenmanagement, datenschutzgerechte Datenvernichtung)
  • Prozesse und Serviceerbringung (Implementierung der Fachkonzepte, z. B. hinsichtlich korrekter Messung / Monitoring und Abbildung SLAs, ITIL-Prozesse, Nachweisführung)
  • Kommerzielle Risiken (Prüfung von kommerziell relevanten Themen, z. B. Lizenzmetriken und -messung, Lifecycle von Systemen, Fraud Management)
Abbildung 1: Ganzheitliche Betrachtung aller notwendigen Aspekte der Outsourcing-Beziehung im Rahmen eines 360-Grad-Ansatzes.

Abbildung 1: Ganzheitliche Betrachtung aller notwendigen Aspekte der Outsourcing-Beziehung im Rahmen eines 360-Grad-Ansatzes.

Audits harmonisieren und integrieren. Ebenso wie die fortschreitende Integration der Managementsysteme in den Unternehmen sollten auch die Audit-Vorgehen harmonisiert und integriert werden. Für eine Umsetzung dieses Ansatzes sind Anpassungen in mehreren Bereichen notwendig: zuvorderst werden Spezialisten für jeden Betrachtungsbereich benötigt – in der Regel sind diese im Unternehmen schon vorhanden, jedoch fehlt dann häufig das Methodenwissen in Bezug auf Audits. 

Hierzu ist eine Aufgabe des Silodenkens innerhalb der Organisation notwendig: Revision, Audit-Bereich, Compliance, Finanzen, Einkauf und die IT-Dienstleistersteuerung sollten sich in einer gemeinsamen Arbeitsgruppe gegenseitig Wissen vermitteln, so dass anschließend auch Teams aus verschiedenen Bereichen die entsprechenden Prüfungshandlungen vornehmen können – die Bewertung kann dann wieder im Rahmen des gesamten Audit-Teams erfolgen. Dafür sollte auch jede Möglichkeit für Beobachtungen genutzt werden, sei es ein monatliches Service Review Meeting oder der Rechenzentrumsbesuch beim Dienstleister vor Ort. Bei solchen Gelegenheiten schauen dann die Beteiligten auch über den »Tellerrand« und sollten ebenfalls versuchen, andere Blickwinkel des 360-Grad-Ansatzes zu berücksichtigen.

Durch Tool-Unterstützung können dann die Beobachtungen, Erkenntnisse und Abweichungen des Ist-Zustands gesammelt und relevante Fragestellungen für den nächsten Audit-Block abgeleitet werden. Dadurch werden blockweise Prüfungen, die einen großen Aufwand auf beiden Seiten erzeugen, entsprechend verringert. Gleichzeitig entsteht ein quasi tagesaktueller Blick auf den gegenwärtigen Status der Outsourcing-Beziehung.

Das Vorgehen insgesamt richtet sich nach dem klassischen Deming-Zyklus wie er in Abbildung 2 zu sehen ist.

Abbildung 2: Der klassische Deming-Zyklus für das Vorgehen bei Audits.

Abbildung 2: Der klassische Deming-Zyklus für das Vorgehen bei Audits.

Wichtig ist hierbei auch die Implementierung entsprechender Regelungen in den Vertrag mit dem Dienstleister, insbesondere zu Zutrittsrechten, Bereitstellung von Informationen, Meldepflichten (z. B. Nichtkonformitäten aus 3rd Party Audits), Berücksichtigung von Unterauftragnehmern, Maßnahmenumsetzung und -umsetzungskontrolle und Folgen von Verstößen.

Der im Rahmen der Audits gewonnene Blick auf die Outsourcing-Beziehung sollte dann im Rahmen des Sourcing-Managements in die verschiedenen Bereiche, wie etwa Lieferantenportfoliomanagement, Vertragsmanagement, Service Operations, OLAs / SLAs oder Relationship Management, einfließen.

Kritische Erfolgsfaktoren. Der Ansatz des Rundumblicks und des kontinuierlichen Audits hat mehrere Vorteile, u. a. einen tagesaktuellen Status, die Verbesserung der Zusammenarbeit innerhalb der Organisation, eine Entlastung des betroffenen Dienstleisters wie auch die Berücksichtigung aller Aspekte einer Outsourcing-Beziehung und eine Schaffung des Bewusstseins hierfür auf allen Ebenen. Dabei kann auch auf Dritte zurückgegriffen werden, die entsprechende Audits für verschiedene Kunden und Branchen durchführen.

Um diese Vorteile zu erreichen, sollten mehrere kritische Erfolgsfaktoren berücksichtigt werden:

  • Schaffung eines »starken« internen Regelwerks für das Management von Audits und das Audit-Programm
  • Effektive Kooperation, Kommunikation und Kollaboration zwischen den relevanten Fachbereichen
  • Durchführung der Audits stets in der integrierten Form
  • Nachhalten und Kontrolle der gemeinsam mit dem Dienstleister besprochenen Maßnahmen
  • Ausrichtung und kontinuierliche Anpassung der Prüfungen an die Bedürfnisse und Risiken der Outsourcing-Beziehung (»Follow the risk«)
  • Offene und transparente Durchführung und Zusammenarbeit mit dem Dienstleister

Das eingangs erwähnte russische Sprichwort »Vertraue, aber prüfe nach« wurde häufig durch Lenin gebraucht. Im Rahmen des dargestellten Audit-Vorgehens soll aber weniger ein Überwachungsregime kommunistischer Prägung erzeugt werden als vielmehr eine regel- und risikogetriebene Weiterentwicklung der Outsourcing-Beziehung.


Marcus Schwertz,
Manager, ISO 27001 Auditor / Lead Auditor,
Datenschutz-Auditor DSA-TÜV
LEXTA CONSULTANTS GROUP, Berlin
www.lexta.com

 

 

Illustration: © Efisio Podda /shutterstock.com

 

Zertifizierungs-Audit des ISMS – Wer hat Angst vorm Auditor?

RACF-Audit minimiert Risiken bei Mainframe-Kunden

Fast ein Drittel der Security-Experten hat bereits bei Audits geschummelt

Sicherheitsaudit: Identity und Access Management (IAM) im Selbsttest

System-audit und IT-Sanierung: Verschaffen Sie sich Klarheit

Software-Audit: Zehn praktische Tipps, um böse Überraschungen zu vermeiden

Software-Audits – Bares Geld sparen durch Lizenzmanagement