Wer IT-Prozesse auslagert, hat Kostensenkungen im Sinn, will durch die Umstrukturierung Bilanzen verbessern oder Kapazitäten für Kernaufgaben frei machen. Soweit, so einfach. Doch je detaillierter sich Unternehmen im Vorfeld eines IT-Outsourcing-Projekts mit eigenen Vorleistungen, rechtlichen Rahmenbedingungen und Technik befassen, desto komplexer wird die Angelegenheit.
Best Practices
• Ein angemessenes Risiko-Management gehört heute zu den Standards jeder Geschäftsführung.
• Steht ein Outsourcing an, gewinnt es an Bedeutung - vor allem dann, wenn die Daten Dritter mit ausgelagert werden.
• Das Kundenunternehmen sollte dem Dienstleister per Vertrag Kontrollmaßnahmen vorschreiben.
• Diese sollte es vorher im Zuge einer Risikoanalyse selbst definiert haben.
• Welche Maßnahmen angemessen sind, ist in jedem Fall auch eine Frage der Effizienz.
• Risikobewertung ist Sache des auslagernden Unternehmens.
• Sie sollte sich in Euro messen lassen.
• An die Schnittstellen zwischen IT und Fachbereichen gehören Experten, die mit Know-how in Sachen IT-Risiko-Management und mit Fachwissen ausgestattet sind.
• Alltägliche Vorsorgemaßnahmen und Notfallpläne sind unumgänglich.
• Diese dürfen nicht in den Schubladen vergammeln, sondern müssen geprobt werden.
• Der Kunde hat das Recht und die Pflicht, von seinem Outsourcer Notfallpläne und Übungen zu verlangen sowie diese zu prüfen.
• Bei kritischen Prozessen gilt mindestens das Vier-Augenprinzip.
• Plausibilität und Integrität von bilanzwirksamen Daten in standardisierten Abläufen sind sicherzustellen.
• Jede noch so kleine Änderung an betriebswichtigen Systemen muss sorgfältig getestet werden.
• Nur so kann der Verantwortliche im Ernstfall nachweisen, dass er den Risiken organisatorisch und technisch so weit wie möglich vorgebeugt hat.
Die größten Outsourcing-Risiken
Falsche Beweggründe: Probleme lassen sich nicht auslagern! Wer seine eigenen Prozesse nicht anforderungsgerecht managen kann, wird externe Prozesse erst recht nicht bewältigen.
Ohne Strategie in die Sackgasse: Nur aus einem bereits etablierten Prozess-Management lassen sich messbare Ziele, langfristige Planung oder ein angemessenes Technologie- und Innovations-Management ableiten.
Falsche Erwartungen: Auch wenn Service Provider größte Sicherheit suggerieren - viele Risiken können Unternehmen nur selbst im Griff behalten, weil sie allein die kritischen Prozesse kennen.
Unzureichende Integration auf beiden Seiten: Unternehmen beschreiben oft nur das "Was" und überlassen dem Dienstleister das "Wie". Sie bleiben über Gefahren im Dunkeln.
Unterschätzte Auswirkungen auf Personal und Dritte: "Verraten und verkauft" fühlt sich die IT-Abteilung häufig durch das Outsourcing. Doch ohne deren Know-how sind die Projekte kaum zu managen.
Bagatellisieren von Information Security: Oft wird nur an technische Datensicherheit gedacht. Doch der Dienstleister bekommt Zugriff auf geschäftskritische Informationen!
Ob Geschäftsdaten nun intern bearbeitet werden oder extern beim Dienstleister - die Haftung bleibt davon unberührt. Mit anderen Worten: Das auslagernde Unternehmen zeichnet weiter voll für die Datensicherheit verantwortlich, obwohl es den Einfluss auf die Prozessausführung abgibt, sich - vermeintlich - auf die Sorgfalt des Service-Providers zu verlassen hat.
Wenn Interna durchsickern, Daten verloren gehen oder unentdeckte Programmierfehler im Buchhaltungssystem die Bilanzen verzerren, muss der Geschäftsführer einer GmbH nachweisen, dass er den Risiken organisatorisch und technisch so weit wie möglich vorgebeugt hat. Bei nachweislicher Verletzung der Sorgfaltspflicht haftet er persönlich. Ähnliches gilt für Vorstände in Aktiengesellschaften, also auch für den CIO, wenn er Mitglied des Vorstands ist. Die jüngst eingeführte Möglichkeit der Aktionärsklage und die Pflicht das Aufsichtsrats, Schadensersatzansprüchen gegen den eigenen Vorstand zu verfolgen, hat den Druck auf die Vorstände nicht eben gemindert.
Horrorvisionen sind gar nicht so abwegig
Stellen Sie sich folgendes Szenario vor: Nach dem Fehler eines externen Dienstleisters werden über Wochen falsche Lagerbestände gebucht, es kommt zur fehlerhaften Konzernberichterstattung, das Management trifft aufgrund der inkorrekten Zahlen ungünstige Entscheidungen, und die Aktie bricht ein. Als die wahre Ursache herauskommt, verklagen die Anteilseigner das zuständige Vorstandsmitglied, also den IT-Chef oder CIO, auf Schadensersatz. Kann er jetzt nicht nachweisen, dass er die extern entwickelte Applikation in angemessenem Umfang hat testen lassen, haftet er persönlich für die Schäden.
Das ist keineswegs an den Haaren herbeigezogen. Tatsächlich stießen wir in einem Unternehmen aus dem Automotive-Sektor bei Controllern, die der Geschäftsleitung direkt zuarbeiteten, auf virenverseuchte Rechner. Der Virus veränderte still und leise Office-Dokumente. Die Controller lieferten ihren Vorgesetzen Excel-Schaubilder und -Tabellen, die sie aus dem SAP-System ableiteten, ohne von dem Virus etwas zu ahnen.
Zugegeben - das Ganze ist schon ein Weilchen her. Heute sind Virenprogramme und Firewalls weit verbreitet. Doch damit sind keineswegs alle Fallgruben zugeschüttet. Ein angemessenes Risiko-Management gehört heute zu den Standards jeder Geschäftsführung - zumal, wenn dem Dienstleister die Geschäftsdaten Dritten überlassen werden.
Nur wer seine Prozesse systematisch auf Gefährdungspotenziale hin analysiert, weiß, wo Tücken lauern. Und das ist die Voraussetzung, um beim Outsourcing passende Antworten auf die problematischen Fragen geben zu können. Die Lösung besteht nicht unbedingt in einem doppelten Rechenzentrum. Das Attribut "passend" ist schließlich im Zusammenhang mit der Effizienzfrage zu sehen.
Auf der Suche nach den neuralgischen Prozessen
Doch die wenigsten Unternehmen wissen, wo ihre neuralgischen Prozesse sind. Noch viel weniger können sie den Schaden beziffern, der droht, wenn bestimmte Daten zeitweilig oder langfristig nicht verfügbar, missbraucht oder fehlerhaft sind. Meist beschränkt sich die Risikovorsorge auf Worst-Case-Szenarien. Doch wahrscheinlicher als ein Totalausfall sind Teilausfälle von Systemen, bewusste Datenmanipulationen durch unzufriedene Mitarbeiter oder Programmierfehler beim Anpassen des Warenwirtschaftssystems.
Wer hat solche Risikoszenarien durchgespielt und Notfallpläne entwickelt? Wer lässt bei kritischen Prozessen das Vier-Augenprinzip walten? Und wer prüft die Plausibilität sowie die Integrität von bilanzwirksamen Daten in standardisierten Abläufen? Hier müssen wohl die meisten Unternehmen passen.
Kleine Fehler haben oft große Konsequenzen
Dazu ein Beispiel aus der jüngeren Vergangenheit, bei dem wieder ein Unternehmen aus der Automotive-Branche im Mittelpunkt stand: Kurz vor Monatsabschluss hatte ein Mitarbeiter versehentlich statt mehrerer Einzelstücke einer sehr teuren Komponente gleich mehrere Paletten davon bestellt. Noch bevor der Fehler entdeckt wurde, ging die Buchung in die Bilanz ein und zog die publizierten Monatsergebnisse von sieben Prozent Profit auf eine schwarze Null.
Passieren solche Fehler im Unternehmen selbst, so werden sie sofort sichtbar - jedenfalls wenn sie so gravierend sind wie in diesem Fall. Doch wie lange hätte es gedauert, bis eine derartige - beim ersten Hinsehen geringfügige - Fehlbuchung bei einem externen Dienstleister auffällt, dessen Mitarbeiter mit der Materie des Kunden wenig oder gar nicht vertraut sind?
Es gibt nur eine Konsequenz
Keine noch so ausgefeilte Storage-Lösung und kein gespiegeltes System bieten irgendwelchen Schutz vor tage- oder gar monatelangen Fehlbuchungen, die aus einem Programmierfehler entstehen können. Und der Projektumfang sagt selten etwas darüber aus, wie kritisch ein Prozess ist und welche Folgen ein Fehler nach sich ziehen würde. Selbst kleine Anpassungen im SAP-System können zum Daten-GAU führen.
Aus den beschriebenen Erfahrungen gibt es nur eine einzige Konsequenz: Das auslagernde Unternehmen muss seinem Outsourcer per Vertrag Kontrollmaßnahmen vorschreiben, die es vorher im Zuge einer Risikoanalyse selbst definiert hat. Die Service-Provider können in ihren Rechenzentren eine hohe Verfügbarkeit der IT-Systeme garantieren sowie mit Firewalls den Datenverkehr und -bestand gegen Hacker absichern. Doch bei welchen Prozessen ihr Kunde wirklich verletzlich ist, werden sie Mangels Einblick in die Unternehmensabläufe - wohl kaum herausfinden. Und das sollte auch gar nicht ihre Aufgabe sein, denn die Risikobewertung ist Sache des Kunden.
Die Anwenderunternehmen müssen sich spätestens dann mit dieser Frage beschäftigten, wenn sie ein Outsourcing-Projekt ausschreiben. Doch diese Erkenntnis ist hierzulande kaum verbreitet. Risiko-Management wird gern delegiert und selten in die Prozesse integriert.
Zu den Regeln für ein Vorgehen im Notfall gehören die technische Absicherung (Disaster Recovery Plan), aber auch die Klärung der Verantwortlichkeiten für die Fortführung kritischer Unternehmensprozesse und die Gestaltung der Wiederanlaufphase (Business Continuity beziehungsweise Recovery Plan). Selbstverständlich muss der Ernstfall regelmäßig geprobt werden, um häufig auftretende Pannen abzustellen. Zudem sensibilisieren solche Übungen die Mitarbeiter für die Risiken.
Auslagernde Unternehmen haben nicht nur das Recht, sondern auch die Pflicht, von ihrem Outsourcing-Partner derartige Notfallpläne und entsprechende Übungen zu verlangen. Wie oft sie stattfinden sollen, hängt davon ab, wie kritisch ein Prozess ist. Auch hier ist die Angemessenheit der Schlüssel. Darüber kann das Unternehmen aber nur urteilen, wenn es seine Risiken (in Euro) bewertet hat.
Das Gefühl von Sicherheit trügt
Keinesfalls darf ein Unternehmen erwarten, dass es über das IT-Outsourcing seine Risiken loswird - genauso wenig, wie es davon ausgehen sollte, dass sich Auslagerungen sofort rechnen. Allerdings kann richtig betriebenes Outsourcing den Anstoß dazu geben, das eigene Risiko-Management zu forcieren, um es anschließend mit dem Provider zur organisieren. (qua)