Freiheiten für künftige Anforderungen
Generell empfiehlt es sich zwar, eine langfristige Zusammenarbeit zwischen Outsourcing-Anbieter und Kunde anzustreben. Damit die Auftraggeber jedoch ausreichend Spielraum für künftige technische Entwicklungen und geänderte Bedürfnisse im Unternehmen haben, ist einer kurzen Vertragslaufzeit stets der Vorrang zu geben. Erneuerungsoptionen im Vertragswerk schließen den Willen zur langfristig angelegten Partnerschaft nicht aus. Insgesamt sollte sich ein SLA bei der Definition der Leistungen nicht statisch auf die technischen Voraussetzungen bei Vertragsabschluss beziehen, sondern Optionen für künftige technische Entwicklungen und Veränderungen am Markt bereit halten.
Besonders sensible Punkte im Rahmen von Outsourcing-Projekten sind die IT-Sicherheit und der Datenschutz. Nach einer Studie von Forrester Research planen immer mehr Unternehmen, ihre IT-Sicherheitssysteme externen Dienstleistern zu übergeben. Der europäische Markt für Managed IT-Security wächst danach von derzeit 962 Millionen auf voraussichtlich 4,6 Milliarden Euro im Jahr 2008. Für Unternehmen und Outsourcing-Partner ist es von hoher Bedeutung, sich auf gemeinsame Sicherheitsstandards zu einigen und vertraglich eine für beide Seiten verbindliche Sicherheitsmethode festzulegen.
Als Standardwerk für die Entwicklung einer solchen Vereinbarung können die Control Objectives for Information and related Technology (Cobit) verwendet werden. Sie wurden von der internationalen Vereinigung der IT-Revisoren Isaca (www.isac.de) als eine Art Landkarte für den IT-Einsatz entwickelt und geben konkrete Hilfestellung bei der strategischen Planung, Organisation und vor allem bei der Kontrolle von IT-Prozessen. Weitere Orientierung bieten der britische Code of Practise for Information Security Management oder das Grundschutzhandbuch (www.bsi.bund.de/gshb/deutsch/menue.htm) des Bundesamtes für Sicherheit in der Informationstechnologie (BSI).
Eskalationsstufen definieren
Bei Verstößen gegen den Datenschutz oder die zugesicherte Verfügbarkeit greifen Schadenspauschalen und Vertragsstrafen, die ebenfalls detailliert im SLA-Dokument erfasst werden müssen. Ein Eskalationsstufenmodell hilft beim Störungs- und Problem-Management, indem für verschiedene Arten von leichteren Störungen bestimmte Ausgleichsleistungen festgelegt werden. Dies verhindert eine Auseinandersetzung über die Höhe des Schadensersatzes, wenn zum Beispiel die zugesicherte Mindestverfügbarkeit von Diensten nicht erreicht wird. Darüber hinaus sollten sich die Partner darauf verständigen, wie bei mehrfacher Überschreitung der festgelegten Pauschalen verfahren wird.
• Zu erbringende Services sowohl im Tages- als auch im zusätzlichen Projektgeschäft (inklusive Beispiele). Angaben zur Verfügbarkeit in Prozent inklusive Bezugsrahmen (etwa pro Monat). • Prioritäten (VIPs, wichtige Systeme, Prozesse wie Produktion): Ab wann ist ein Vorfall eine Katastrophe? Welche Vorfälle sind weniger wichtig? • Eskalationsstufen und Kommunikation: Wer muss wann und wie bei welchem Vorfall informiert werden? • Know-how-Transfer: In welchen regelmäßigen Abständen muss der Outsourcer den Kunden weiterbilden? Wann und wie oft müssen Mitarbeiter im Projekt- und Tagesgeschäft informiert werden? • Wie erfolgt das Monitoring? Welche Sanktionen fallen wann in welcher Höhe an? |
Um zu vermeiden, dass es bereits zu Beginn einer Outsourcing-Partnerschaft zu Auseinandersetzungen über die Einhaltung des SLA kommt, bietet es sich an, eine Testphase zu vereinbaren. Auf diese Weise kann rechtzeitig bis zum Start eine ausreichende Systemstabilität erreicht werden. Neben Schadensersatzansprüchen empfiehlt es sich, eine Vertragsstrafe festzulegen, die bei schweren oder dauerhaften Verstößen in Kraft tritt. Dies erhöht im laufenden Betrieb des Outsourcing-Projekts auch den Druck auf eine ordnungsgemäße Vertragserfüllung durch den Outsourcing-Anbieter.
Ein weiterer Abschnitt im SLA-Vertrag sollte sich daher dem Service-Level-Management (SLM) und der Kontrollmechanismen widmen. Wesentlicher Bestandteil wird es sein, die Kommunikation zwischen Outsourcing-Anbieter und -Nachfrager zu beschreiben: Reportings im Rahmen des Service-Level-Managements sind so zu formulieren, dass sie vom Outsourcing-Kunden verstanden werden. Messgrößen müssen nachvollziehbar sein.