Riskmanagement & IKS News
Praxis
Outsourcing und IKS
Bei der Auslagerung wichtiger Geschäftsprozesse oder der IT-Infrastruktur liegen die Verarbeitung, Speicherung, Sicherheit und Verfügbarkeit von Daten, Systemen und Prozessen im Einflussbereich des Dienstleisters (Insourcer). Trotzdem verbleibt die Verantwortung für die Ordnungsmässigkeit und Sicherheit beim auslagernden Unternehmen (Outsourcer).
Doch wie transportiert man Ordnungsmässigkeit, Sicherheit und die Einhaltung spezieller rechtlicher oder sonstiger Anforderungen (Compliance) zum Geschäftspartner?
Als eine geeignete Art der Darstellung hat sich das interne Kontrollsystem bewährt. Basierend auf Kriterien, die sich z.B. aus Anforderungen der Stakeholder, von Gesetzen oder Normen ableiten, werden Massnahmen beschrieben, die zur Zielerreichung bzw. zur Risikosteuerung eingesetzt werden. Der Umfang der Dokumentation orientiert sich dabei am Adressaten.
Auf jeden Fall muss der Nachweis erbracht werden können, dass die eingesetzten Systeme, Anwendungen oder IT-gestützten Prozesse die gewünschten Anforderungen an IT-Sicherheit, Compliance oder andere Themen erfüllen.
Beispiel aus unserer Praxis: Die Eidgenössische Zollverwaltung delegiert im vereinfachten Verfahren Warenverzollungen an zugelassene Unternehmen. Diese sog. ZE/ZV-Bewilligungen erteilt der Zoll aber nur, wenn die Unternehmen über ein IKS für die zollrelevanten Bereiche verfügen.
In diesem Zusammenhang haben wir letztes Jahr für die FT Customs AG Pratteln ein Zoll-IKS aufgebaut. Zur Umsetzung haben wir unser Web-Tool swissIKS® eingesetzt. Dazu sagt Sonja Gautschi, VR und Geschäftsleiterin:
«Lange haben wir hin- und hergemacht wegen der Einführung des Zoll-IKS für FT Customs. Anfänglich wollten wir es selbst machen. Schliesslich wurde uns aber klar, dass sich der Einsatz eines Experten lohnt. Nach dem ersten Termin mit Herr Hafner erfolgte die Umsetzung dann sehr schnell. … Ein grosses Dankeschön an seine Kompetenz, seine Geduld …»
Zwischenzeitlich hat der Zoll die Aufzeichnungen aus swissIKS® in einer Teilprozesskontrolle als «genügend und können weiter so geführt werden» taxiert.
Einerseits kann man wohl von einer Amtsstelle kein grösseres Kompliment erhalten. Andererseits zeigt es auch, dass wir nicht mehr als das notwendige Minimum gemacht haben und damit auch die Kosten für den Kunden im Rahmen gehalten haben.