Bagaimana CIO Dapat Membatasi Risiko Outsourcing I.T.

Bisnis semakin menyerahkan semua atau sebagian dari fungsi teknologi informasi mereka ke penyedia layanan luar. Meskipun hal ini dapat menciptakan efisiensi tertentu, organisasi pada akhirnya tetap bertanggung jawab atas risiko yang terkait dengan ketersediaan dan fungsi I.T. layanan, serta akses dan penggunaan data perusahaan yang tepat.

Ini berarti chief information officer atau setara I.T. pemimpin harus memastikan bahwa penyedia layanan yang dipilih memiliki struktur yang tepat, stabilitas keuangan, dan rencana kesinambungan untuk secara konsisten memberikan layanan yang dikontrakkan.

Ini juga berarti I.T. pimpinan harus menilai efektivitas kebijakan dan prosedur penyedia layanan, untuk memastikan integritas dan keamanan data sensitif dan informasi kepemilikan perusahaan.

Diperkirakan industri $ 1 triliun per tahun, I.T. outsourcing mengambil banyak bentuk. Sebuah organisasi dapat menyerahkan seluruh I.T. departemen ke vendor, atau mungkin mempekerjakan satu untuk melakukan operasi pusat data, manajemen jaringan atau fungsi spesifik lainnya.

Biasanya outsourcing I.T. fungsi meliputi:

• Pengembangan aplikasi perangkat lunak,
• Dukungan aplikasi perangkat lunak,
• Operasi pusat data,
• Dukungan meja bantuan,
• Manajemen jaringan,
• Keamanan siber,
• Platform atau infrastruktur sebagai layanan, dan
• Perangkat lunak sebagai layanan.

Di masa lalu, CIO berfokus terutama pada rantai pasokan produk fisik. Namun, hari ini, mereka harus memperhatikan rantai pasokan untuk produk dan layanan.

Menilai dan mengelola risiko di pemasok layanan teknologi pihak ketiga dapat menjadi tantangan, karena sebagian besar lingkungan layanan berada di bawah kendali penyedia, dan kemungkinan berada di luar lingkup organisasi yang mengakuisisi. Uji tuntas harus dilakukan di awal untuk menilai risiko yang terkait dengan melibatkan pihak eksternal.

Sebelum terlibat dengan seorang I.T. penyedia layanan, CIO harus memahami:

• Apa yang dialihdayakan,
• Proses bisnis apa yang akan didukung oleh layanan,
• Data apa yang akan disimpan, diproses, atau dapat diakses melalui layanan outsourcing, dan
• Siapa yang akan memiliki akses ke sistem, aplikasi, dan data yang terkait dengan layanan yang dialihdayakan.

Prosesnya bisa dimulai dengan dasar I.T. formulir penilaian risiko layanan, yang dirancang untuk menangkap jawaban atas pertanyaan-pertanyaan ini dari staf dalam organisasi. Selain itu, formulir pra-penilaian pemasok dapat digunakan untuk mengumpulkan informasi awal dari penyedia layanan potensial. Pertanyaan umum untuk diajukan dalam formulir pra-penilaian pemasok meliputi:

• Apakah perusahaan Anda pernah dinyatakan pailit?
• Apakah polis asuransi perusahaan Anda mencakup kesalahan dan kelalaian (atau kewajiban umum) klaim? Jika ya, apa batasan kebijakannya?
• Apakah perusahaan Anda terlibat dalam proses pengadilan yang tertunda?
• Apakah perusahaan Anda pernah menjadi pihak dalam penyelidikan peraturan?
• Apakah perusahaan Anda memiliki kebijakan privasi?
• Apakah perusahaan Anda memiliki program keamanan yang terdokumentasi?
• Apakah perusahaan Anda akan setuju untuk mengisi kuesioner mengenai keamanan informasi dan program privasi Anda?
• Apakah perusahaan Anda memiliki laporan Kontrol Organisasi Layanan (SOC)?
• Apakah perusahaan Anda memiliki rencana kesinambungan bisnis yang komprehensif untuk menangani kelanjutan operasi jika terjadi insiden yang mengganggu operasi normal?

Formulir penilaian ini harus memberikan informasi yang cukup untuk menentukan apakah diperlukan ketekunan tambahan. Berdasarkan tingkat potensi risiko, ketekunan tambahan ini dapat mencakup mewajibkan penyedia layanan untuk menanggapi kuesioner yang lebih rinci; meninjau laporan SOC penyedia layanan secara mendetail, atau terlibat dengan fungsi audit internal organisasi atau firma audit eksternal yang memenuhi syarat untuk melakukan penilaian vendor.

Melakukan penilaian ini sangat penting ketika membangun hubungan dengan penyedia baru. Penting juga untuk terus meninjau setiap pemasok secara berkelanjutan. Frekuensi dan cakupan tinjauan tersebut harus didasarkan pada risiko yang terkait dengan layanan yang diberikan.

Penilaian ini disesuaikan dengan penyedia layanan, tetapi konsepnya juga dapat disesuaikan untuk penyedia produk teknologi utama. Hal utama adalah bagi CIO untuk memahami potensi risiko terlibat dengan pemasok, dan memiliki pemahaman tentang bagaimana setiap pemasok mengelola risiko bisnisnya. Dengan cara ini, CIO akan lebih mampu mengantisipasi dampak risiko outsourcing pada organisasi.

Penilaian penyedia layanan dapat ditugaskan ke berbagai fungsi dalam suatu organisasi, termasuk TI, manajemen risiko atau audit internal. Penilaian juga dapat dilakukan oleh pihak ketiga yang memenuhi syarat.

Namun, itu adalah tanggung jawab CIO atau setara I.T. pemimpin untuk meninjau informasi yang dikumpulkan dari penilaian, dan menentukan apakah keterlibatan dengan penyedia layanan teknologi yang diusulkan selaras dengan tujuan organisasi dan tingkat toleransi risiko. Penilaian menyeluruh hari ini akan membantu mengatasi masalah yang lebih besar di masa depan.

Robert Neill adalah direktur Layanan Penasihat CIO untuk Weaver, CPA dan firma penasihat nasional.