Home
Intern
In der Gründungsphase eines Unternehmens stehen die Verantwortlichen vor großen Herausforderungen im Tagesgeschäft: Sie müssen erfolgreiche Produkte entwickeln, ihre Bekanntheit am Markt steigern, Kunden gewinnen, geeignetes Personal finden und Umsatz generieren.
Gleichzeitig stehen aber auch innerhalb des Unternehmens wichtige Entscheidungen an, mit denen sich die Unternehmer frühzeitig beschäftigen müssen, denn es gibt kaum noch Prozesse, die ohne wesentliche IT-Unterstützung ablaufen können. Sie stehen vor einer „Make or buy”-Entscheidung: Soll intern eine IT-Abteilung aufgebaut oder ein externer Dienstleister herangezogen werden? Und welcher Dienstleister ist überhaupt geeignet, die Anforderungen des Unternehmens zu erfüllen?
Der Aufbau eines eigenen IT-Umfelds erfordert zunächst große Anfangsinvestitionen und qualifiziertes Personal. Es ist wichtig, bereits frühzeitig ein sicheres Betriebskonzept zu erarbeiten, das die Unternehmensprozesse möglichst gut unterstützt. Hierzu zählen u.a. die Auswahl einer geeigneten ERP-Anwendung, der Aufbau eines Rechenzentrums mit möglichst hoher Ausfallsicherheit und der Aufbau von Datensicherungen. Die Investitionen für einen Server oder die physische Sicherung der Infrastruktur können schnell hohe Summen erreichen.
Eine Alternative ist es, auf den Aufbau eines eigenen Rechenzentrums zu verzichten und sich für eine Auslagerung in online-basierte Speicher- und Serverdienste (Cloud-Computing) bzw. an einen Dienstleister zu entscheiden. Der Vorteil der Variante liegt darin, dass sichere Rechenzentren bereits vorhanden sind und man die in Anspruch genommenen Dienstleistungen genau dem eigenen Bedarf entsprechend zusammenstellen und im Laufe der Zeit auch anpassen kann. Hohe Anfangsinvestitionen entfallen, allerdings ist das Unternehmen an einen externen Dienstleister gebunden und von ihm abhängig. Die Auswahl des richtigen Partners ist daher von großer Bedeutung – Vertrauen allein ist hier nicht ausreichend.
Mit einem erfahrenen Berater, der einen auch bei der Umsetzung unterstützt, gelingt es leichter, Anfangsfehler zu vermeiden und sich nicht zu früh für die falsche Alternative zu entscheiden.
Beim Aufbau des eigenen Rechenzentrums empfiehlt sich eine frühzeitige Orientierung am Prüfungsstandard 330 des Instituts der Wirtschaftsprüfer (IDW) „Abschlussprüfung bei Einsatz von Informationstechnologie”, der sich intensiv mit den Sicherheitsanforderungen eines geeigneten IT-Kontrollsystems befasst. U.a. geht es dabei um das IT-Risikomanagement und die Prozesse zur Identifizierung, Analyse und Vermeidung von IT-Risiken. Zu den Anforderungen zählen u.a. eine Ausrichtung der IT an den Anforderungen des Unternehmens, sichere Änderungsprozesse, ausreichend Know-how und Konzepte für den Notfall sowie dessen Vermeidung.
Bei der Auswahl eines Dienstleisters sollte man sich an einer Testierung nach IDW Prüfungsstandard (PS) 951 orientieren. Hierbei wird der Dienstleister und seine auf die Dienstleistung ausgerichteten Prozesse durch einen Wirtschaftsprüfer geprüft und die Effektivität der Prozesse bestätigt. Im Falle eines Rechenzentrums orientiert sich die Prüfung am IDW PS 330, so dass sich der Kunde darauf verlassen kann, dass geeignete Infrastruktur, Antrags- und Änderungsprozesse, qualifiziertes Personal und eine adäquate Datensicherung sowie notwendige Notfallkonzepte vorhanden sind, ohne selbst vor Ort gewesen zu sein. Eine entsprechende Zertifizierung nach IDW PS 951 kann aber auch für andere Dienstleistungen erfolgen, um den Kunden die Qualität der eigenen Dienstleistungen nachzuweisen – ein klarer Wettbewerbsvorteil gegenüber anderen Marktteilnehmern!
Jürgen Schwestka
Diplom-Kaufmann, CISA, Zertifizierter IT-Sicherheitsbeauftragter, Zertifizierter IT-Security-Auditor, IT-Auditor IDW
Partner
Anfrage senden
