Schutzmaßnahmen, Change Management & Exit-Regelungen
Risiko 8: Ungenügende Kontrolle der Schutzmaßnahmen
Die Überwachung der Auftragsdatenverarbeitung und die Kontrolle der Wirksamkeit der erforderlichen (Pflicht-) Schutzmaßnahmen sind unerlässlich (sog. Monitoring). Oftmals weisen Unternehmen die Kontrollmaßnahmen nach, indem sie auf ausländische Bestätigungen der Wirtschaftsprüfer verweisen (zum Beispiel auf das Ergebnis von SAS 70 bzw. ISA 402-basierten Prüfungen des Internen Kontrollsystems, IKS). Diese bestätigen aber lediglich rechnungswesenrelevante, vordefinierte Kontrollen und sind nicht als „rechtliche Genehmigung“ oder Bestätigung der ordnungsgemäßen Überwachung zu verallgemeinern.
Schließlich werden Non-Compliance-Situationen, die nicht von dem vorgegebenen IKS-Ausschnitt erfasst werden, vom auslagernden Unternehmen bzw. den Prüfern nicht erkannt. Zu empfehlen sind also laufende, zeitnahe Überwachungsprozesse, wie beispielsweise eine Aufschaltung der Kunden auf das Problem- und Incident-Managementsystem des Auslagerungsunternehmens. Zudem könnten die Sicherheitssysteme des Outsourcing-Unternehmens Berichte und Alarmmeldungen in Echtzeit an das auslagernde Unternehmen schicken. Auch eine interne Revision, die über das IKS hinaus prüft, ist unerlässlich. Diese Punkte sind in Standard-Outsourcing-Verträgen meist nur ansatzweise geregelt und sollten besser explizit vereinbart werden.
Risiko 9: Mangelnde Absicherung des Change Management
Oftmals wird versäumt, den kompletten Lebenszyklus eines Outsourcing-Vertrages im Blick zu halten. Um die notwendige Flexibilität über die Dauer des Outsourcings sicherzustellen, müssen daher Regelungen zu Change Requests und zu Eskalationsmanagement im Vertrag enthalten sein. Denn auch die Anforderungen des Kunden oder regulatorische Vorgaben können sich über eine lange Vertragslaufzeit ändern.
Risiko 10: Fehlen von Exit-Regelungen
Rund ein Viertel aller Outsourcing-Verträge führt schon in den ersten drei Jahren zu Streitigkeiten mit dem Anbieter. Das Risiko der vorzeitigen Beendigung der Zusammenarbeit muss daher bei der Vertragsgestaltung ebenso berücksichtigt werden wie das vertraglich vereinbarte Ende des projektierten Outsourcings. Hier sollten unbedingt Kostenbeschränkungen für das Re-Sourcing und die entsprechenden Re-Transitionsleistungen des Providers vereinbart werden, um wirtschaftlich prohibitive Exit-Kosten zu vermeiden. Auch das Insolvenzrisiko des Providers muss vertraglich abgesichert werden. Im Idealfall sollte der Quellcode der Software im Wege einer Esc-row-Vereinbarung hinterlegt und Eintrittsrechte des neuen Providers explizit vereinbart werden.