CIOがITのアウトソーシングのリスクをどのように制限できるか
企業はますます情報技術機能の全部または一部を外部のサービスプロバイダーに引き継いでいます。これにより一定の効率が得られる可能性がありますが、組織はITの可用性と機能に関連するリスクに対して最終的な責任を負います。サービス、および会社データの適切なアクセスと使用。
これは、最高情報責任者または同等のITを意味します。リーダーは、選択したサービスプロバイダーが、契約したサービスを一貫して提供するための適切な構造、財務の安定性、継続性の計画を備えていることを確認する必要があります。
I.T.も意味しますリーダーは、会社の機密データと専有情報の整合性とセキュリティを確保するために、サービスプロバイダーのポリシーと手順の有効性を評価する必要があります。
年間推定1兆ドルの産業、I.T。アウトソーシングにはさまざまな形態があります。組織は、IT全体を引き渡すことができます。ベンダーへの部門、またはデータセンターの運用、ネットワーク管理、またはその他の特定の機能を実行するために1つを雇う場合があります。
一般的に外部委託されたIT機能は次のとおりです。
- ソフトウェアアプリケーションの開発
- ソフトウェアアプリケーションのサポート
- データセンターの運用
- ヘルプデスクサポート
- ネットワーク管理
- サイバーセキュリティ
- サービスとしてのプラットフォームまたはインフラストラクチャ、および
- サービスとしてのソフトウェア。
これまで、CIOは主に物理的な製品サプライチェーンに重点を置いていました。しかし今日、彼らは製品とサービスの両方のサプライチェーンに関心を持っている必要があります。
サービス環境の大部分はプロバイダーの管理下にあり、買収組織の範囲を超えている可能性があるため、サードパーティのテクノロジーサービスサプライヤーのリスクの評価と管理は困難な場合があります。外部の関係者との関わりに関連するリスクを評価するために、事前にデューデリジェンスを実施する必要があります。
ITに従事する前にサービスプロバイダー、CIOは以下を理解する必要があります:
- アウトソーシングされているもの
- サービスによってサポートされるビジネスプロセス
- アウトソーシングされたサービスを介して保存、処理、またはアクセスできるデータ、および
- アウトソーシングされたサービスに関連するシステム、アプリケーション、およびデータにアクセスできるのは誰か。
プロセスは、基本的なITから始めることができます。組織内のスタッフからこれらの質問への回答を収集するように設計されたサービスリスク評価フォーム。さらに、サプライヤ事前評価フォームを使用して、潜在的なサービスプロバイダーから予備情報を収集できます。サプライヤーの事前評価フォームで尋ねる一般的な質問は次のとおりです。
- あなたの会社は破産を宣言したことがありますか?
- あなたの会社の保険契約には、誤りや脱落(または一般賠償責任)の請求が含まれていますか?はいの場合、ポリシーの制限は何ですか?
- あなたの会社は係争中の訴訟に関与していますか?
- あなたの会社は規制調査の当事者になったことがありますか?
- あなたの会社にはプライバシーポリシーがありますか?
- あなたの会社には文書化されたセキュリティプログラムがありますか?
- あなたの会社は、あなたの情報セキュリティおよびプライバシープログラムに関するアンケートに回答することに同意しますか?
- あなたの会社にはServiceOrganization Controls(SOC)レポートがありますか?
- あなたの会社には、通常の運用を中断するインシデントが発生した場合の運用の継続に対処するための包括的な事業継続計画がありますか?
これらの評価フォームは、追加の注意が必要かどうかを判断するための十分な情報を提供する必要があります。潜在的なリスクのレベルに基づいて、この追加の注意には、サービスプロバイダーにさらに詳細な質問票への回答を要求することが含まれる場合があります。サービスプロバイダーのSOCレポートを詳細に確認するか、組織の内部監査機能または資格のある外部監査会社と協力してベンダー評価を実施します。
これらの評価を実施することは、新しいプロバイダーとの関係を確立するときに重要です。また、各サプライヤーを継続的にレビューし続けることも重要です。これらのレビューの頻度と範囲は、提供されているサービスに関連するリスクに基づいている必要があります。
これらの評価はサービスプロバイダー向けに調整されていますが、概念は主要なテクノロジー製品プロバイダーにも適用できます。主なことは、CIOがサプライヤーと関わることの潜在的なリスクを理解し、各サプライヤーがビジネスリスクをどのように管理しているかを理解することです。このようにして、CIOは組織に対するアウトソーシングリスクの影響をより正確に予測できるようになります。
サービスプロバイダーの評価は、IT、リスク管理、内部監査など、組織内のさまざまな機能に割り当てることができます。評価は、資格のある第三者によって実行される場合もあります。
ただし、CIOまたは同等のITの責任です。リーダーは、評価から収集された情報を確認し、提案されたテクノロジーサービスプロバイダーとの連携が組織の目標とリスク許容度レベルに沿っているかどうかを判断します。今日の徹底的な評価は、将来のより大きな問題を回避するのに役立ちます。
Robert Neillは、全国公認会計士兼アドバイザリー会社であるWeaverのCIOアドバイザリーサービスのディレクターです。
産業技術
- 米中貿易戦争が中小企業にどのように利益をもたらすことができるか
- 一般的な安全対策がどのようにしてより多くの労働者を危険にさらすことができるか
- CPG荷送人がCOVID-19リスクをどのように相殺できるか
- CIOがITのアウトソーシングのリスクをどのように制限できるか
- SAFeアジャイル手法がWMSの実装をどのようにスピードアップできるか
- 自動化によってEコマースの収益のコストをどのように抑えることができるか
- 内陸港が米国のサプライチェーンをより良く接続する方法
- 小売業者が新しい配送料の影響をどのように軽減できるか
- ロジスティクスがモノのインターネットからどのように利益を得ることができるか
- 自動化が食品サプライチェーンの廃棄物をどのように削減できるか
- テクノロジーが食品サプライチェーンの廃棄物にどのように取り組むことができるか