How to manage third-party risk
Dat vraagt nogal wat wederzijds vertrouwen. Natuurlijk zijn er allerlei voordelen aan outsourcen: je bespaart kosten, je deelt specialistische kennis of capaciteit, je vergroot de flexibiliteit. Maar er zijn ook risico’s aan verbonden. Vertrouwelijke informatie kan openbaar worden, intellectueel eigendom loopt gevaar, en als gegevens gestolen worden of op straat liggen dreigt reputatierisico en –schade.
Volgens een nieuw rapport van CGMA, New Ways of Working … Managing the Open Workforce, is dit aspect van outsourcing en samenwerking met andere partijen wereldwijd een groeiende zorg. Data-security wordt door de ruim 1100 CEO’s die door CGMA ondervraagd werden genoemd als grootste risico (45%), naast het ongewenst bekend worden van informatie, die de concurrentiepositie ondermijnt (41%). Een berucht voorbeeld is de recente arrestatie van Harold T. Martin III, een consultant van Booz Allen Hamilton, die met top secret national security clearance werkte voor de Amerikaanse overheid en betrapt werd op het stelen van ultrageheime documenten. Booz Allen was overigens ook de werkgever van Edward Snowden…
Het is belangrijk, aldus de CGMA, niet alleen om tevoren een adequaat due diligence onderzoek te verrichten, maar ook daarna regelmatig te monitoren of en hoe de partijen zich houden aan afspraken, standaarden en reglementen. En afgezien van degelijke procedures voor identificatie en autorisatie moet ook het beschermen en afschermen (encrypten) van gegevens aandacht krijgen via adequate controls, los van de toegangsrechten – bijvoiorbeeld door externe medewerkers slechts alleen-lezen rechten te geven.
Meer tips en ideeën leest u in New Ways of Working … Managing the Open Workforce en 5 Ways to Better Manage Third-Party Assurance Programmes
En zie ook Internal Control a Challenge With Outsourced Providers, om te leren hoe outsourcing-overeenkomsten compliant kunnen zijn met het internal control framework van COSO.