CIO 如何限制外包 I.T.的风险

企业越来越多地将其全部或部分信息技术功能移交给外部服务提供商。虽然这可能会产生一定的效率，但组织最终仍要对与 IT 可用性和功能相关的风险负责。服务，以及正确访问和使用公司数据。

这意味着首席信息官或同等的 I.T.领导者必须确保选定的服务提供商拥有适当的结构、财务稳定性和连续性计划，以始终如一地提供合同服务。

这也意味着 I.T.领导者必须评估服务提供商政策和程序的有效性，以确保公司敏感数据和专有信息的完整性和安全性。

每年估计价值 1 万亿美元的行业，I.T.外包有多种形式。一个组织可以将其整个 I.T.供应商的部门，或者它可能会聘请一个人来执行数据中心运营、网络管理或其他特定功能。

通常外包的 I.T.功能包括：

• 软件应用开发，
• 软件应用支持，
• 数据中心运营，
• 服务台支持，
• 网络管理，
• 网络安全，
• 平台或基础设施即服务，以及
• 软件即服务。

过去，CIO 主要关注实体产品供应链。然而，今天，他们必须关注产品和服务的供应链。

评估和管理第三方技术服务供应商的风险可能是一个挑战，因为服​​务环境的很大一部分都在供应商的控制之下，并且可能超出了收购组织的权限。必须预先进行尽职调查，以评估与聘请外部方相关的风险。

在与 I.T. 打交道之前服务提供商，CIO 必须明白：

• 什么是外包，
• 该服务将支持哪些业务流程，
• 将通过外包服务存储、处理或访问哪些数据，以及
• 谁将有权访问与外包服务相关的系统、应用程序和数据。

该过程可以从基本的 I.T.服务风险评估表，旨在从组织内的员工那里获取这些问题的答案。此外，供应商预评估表可用于从潜在服务供应商处收集初步信息。在供应商预评估表中要问的常见问题包括：

• 贵公司是否曾宣布破产？
• 贵公司的保险单是否包含错误和遗漏（或一般责任）索赔？如果是，政策的限制是什么？
• 贵公司是否涉及未决诉讼？
• 贵公司是否曾参与监管调查？
• 贵公司是否有隐私政策？
• 贵公司是否制定了书面安全计划？
• 贵公司是否同意填写有关您的信息安全和隐私计划的调查问卷？
• 贵公司是否有服务组织控制 (SOC) 报告？
• 贵公司是否制定了全面的业务连续性计划，以在发生中断正常运营的事件时解决继续运营问题？

这些评估表应提供足够的信息来确定是否需要额外的努力。根据潜在风险的水平，这种额外的努力可能包括要求服务提供商回答更详细的问卷；详细审查服务提供商的 SOC 报告，或与组织的内部审计部门或合格的外部审计公司合作，对供应商进行评估。

在与新供应商建立关系时，进行这些评估至关重要。持续不断地审查每个供应商也很重要。这些审查的频率和范围应基于与所提供服务相关的风险。

这些评估是针对服务提供商量身定制的，但这些概念也适用于关键技术产品提供商。主要是让 CIO 了解与供应商合作的潜在风险，并了解每个供应商如何管理其业务风险。通过这种方式，CIO 将能够更好地预测外包风险对组织的影响。

服务提供商评估可以分配给组织内的各种职能，包括 IT、风险管理或内部审计。也可以由合格的第三方进行评估。

但是，这是 CIO 或同等 IT 人员的责任。领导审查从评估中收集的信息，并确定与提议的技术服务提供商的合作是否符合组织的目标和风险承受能力水平。今天的彻底评估将有助于避免未来出现更大的问题。

Robert Neill 是 Weaver 的 CIO 咨询服务总监，Weaver 是一家全国性的注册会计师和咨询公司。