Best Practice

• Ein angemessenes Risiko-Management gehört heute zu den Standards jeder Geschäftsführung.

• Steht ein Outsourcing an, gewinnt es an Bedeutung - vor allem dann, wenn die Daten Dritter mit ausgelagert werden.

• Das Kundenunternehmen sollte dem Dienstleister per Vertrag Kontrollmaßnahmen vorschreiben.

• Diese sollte es vorher im Zuge einer Risikoanalyse selbst definiert haben.

• Welche Maßnahmen angemessen sind, ist in jedem Fall auch eine Frage der Effizienz.

• Risikobewertung ist Sache des auslagernden Unternehmens.

• Sie sollte sich in Euro messen lassen.

• An die Schnittstellen zwischen IT und Fachbereichen gehören Experten, die mit Know-how in Sachen IT-Risiko-Management und mit Fachwissen ausgestattet sind.

• Alltägliche Vorsorgemaßnahmen und Notfallpläne sind unumgänglich.

• Diese dürfen nicht in den Schubladen vergammeln, sondern müssen geprobt werden.

• Der Kunde hat das Recht und die Pflicht, von seinem Outsourcer Notfallpläne und Übungen zu verlangen sowie diese zu prüfen.

• Bei kritischen Prozessen gilt mindestens das Vier-Augenprinzip.

• Plausibilität und Integrität von bilanzwirksamen Daten in standardisierten Abläufen sind sicherzustellen.

• Jede noch so kleine Änderung an betriebswichtigen Systemen muss sorgfältig getestet werden.

• Nur so kann der Verantwortliche im Ernstfall nachweisen, dass er den Risiken organisatorisch und technisch so weit wie möglich vorgebeugt hat.