Die Präsentation zeigt auf, welche Besonderheiten des Risikomanagement in Multi-Providerumgebungen auftreten können und berücksichtigt werden müssen.
Werden IT-Services outgesourct, so ist Risikomanagement in allen Phasen des Outsourcing Life Cycle aktiv zu betreiben. Besonderheiten des Risikomanagement in Multi-Providerumgebungen sind in vielen Branchen ein Kernelement im Compliance-Sektor und der Umgang mit diesen wird in externen und internen Richtlinien und Gesetzen vorgegeben, so zum Beispiel im Finanzsektor (MaRisk, BAIT), im Versicherungssektor (MaGo, VAIT), im KRITIS-Sektor. Die dort nur generell formulierten Vorgaben sind in Verfahren und Prozesse im jeweiligen Unternehmen umzusetzen. Hierbei sind alle Risiken, d.h. neben den intern verbleibenen Risiken auch die Risiken bei den Service Providern und die Risiken, die an den Schnittstellen zwischen Auftraggeber und Service Providern sowie zwischen den Service Providern entstehen, zu berücksichtigen. Dioese sind im Risikoregister entsprechend aufzunehmen und angemessen zu managen, d.h. sie sind nach der Risikoanalyse zu bewerten und es sind Maßnahmen zu planen und umzusetzen. Dies gilt natürlich auch und insbesondere, wenn ein Service Provider gewchselt werden soll.
Grundsätzlich sind Verantwortliche Rollen festzulegen und den Risikobereichen zuzuordnen. Um Zuständigkeiten klar abzugrenzen, bieten sich verschiedene Mechanismen wie RACI-Matrixen sowie Rollenbeschreibungen an, die möglichst in Kombination einzusetzen sind, um größtmögliche Klarheit zu generieren. Die entstehende Dokumentation ist für alle Beteiligten zugänglich abzulegen und stetig zu pflegen und aktualisieren. Hierfür sind Prozesse zu etablieren, die einen regelmäßigen Review der der identifizerten und gegebenenfalls neu auftretender Risiken sicherstellen.
