Vertrauen ist gut, Kontrolle ist besser. Das glaubt bekanntlich der Volksmund, aber deutsche Firmen sehen es in der Zusammenarbeit mit ihren IT-Partnern offenbar nicht immer so. Das zeigt eine Studie der Berater von Deloitte, die einem Großthema der diesjährigen CeBIT gewidmet ist: Managing Trust.
Deloitte untersucht , inwieweit hiesige Firmen die Pflege eines notwendigen Vertrauensverhältnisses zu ihren IT-Partnern mit wirksamen Kontroll- und Absicherungsmechanismen unter einen Hut bringen. Erstaunlich dabei: Zwar sind die befragten Unternehmen zumeist stark absicherungsorientiert; kontrolliert wird aber häufig nur nach Schema F.
„Auf der einen Seite wird ein hohes Maß an Absicherung für ein ausgeprägtes Vertrauensverhältnis benötigt, auf der anderen Seite wird der Aufwand in die Spezifizierung der absichernden Maßnahmen gescheut“, heißt es in der Studie, für die 97 IT- und Compliance-Entscheider in Großunternehmen befragt wurden.
„Der Auslagerungsgrad wertschöpfungsrelevanter IT-Prozesse steigt beständig“, erläutert Studienautor und Deloitte-Partner Robert Horndasch. Dabei spielten Entwicklungen wie Cloud Computing, aber auch zunehmende regulatorische Vorgaben eine zentrale Rolle. „Das für eine Auslagerung von kritischen Daten erforderliche Vertrauen wird anhand konkreter Faktoren gemessen – und wird von entsprechenden Absicherungsmechanismen flankiert“, so Horndasch weiter. Erstaunlicherweise werde dabei aber meist nur auf Standard-Kontrollmechanismen gesetzt.
Aus diesem Befund lassen sich durchaus Ratschläge für die Anwender gewinnen. „Absicherungsinstrumente sollten professionalisiert werden“, empfiehlt Horndasch. „Da Vertrauen vor allem auf der Risikoabsicherung basiert, müssen die Instrumente spezifischer gestaltet werden, um effizienter zu sein.“ So ließen sich nicht nur Risiken, sondern auch hohe Folgeaufwände wie etwa die Koordination mehrerer Partner oder eine umfangreiche Governance vermeiden.
Anfangs ist Kompetenz entscheidend, später die Beziehung
In der Studie unterteilt Deloitte die Geschäftsbeziehung in drei Phasen: die „Engage“-Phase vor Vertragsabschluss, die „Deliver“-Phase während der operativen Beziehung sowie die „Exit“-Phase gegen Ende des Kontrakts. Für die ersten beiden Phasen nennen jeweils mehr als die Hälfte der Befragten die Kompetenzen des Partners als ausschlaggebend für die Vertrauensbildung. Im Lauf der Zeit gewinnt dann die persönliche Beziehung merklich an Gewicht. Die Kompetenzen des Partners werden in der ersten Phase durch Referenzkunden und Zertifikate, in der zweiten durch den Umgang mit vertraulichen Daten und letztendlich durch den Erfolg belegt.
Gemessen wird das Vertrauensverhältnis vor allem an den vom Partner übernommenen Risiken, der von ihm getragenen Verantwortung sowie an der Sensitivität der geteilten Daten. Nur acht Prozent der Unternehmen setzen Absicherungsmechanismen ein, die auf den jeweiligen Anbieter zugeschnitten sind. Die eine Hälfte verlasse sich gänzlich oder überwiegend auf vordefinierte Standards, so Deloitte. Die andere Hälfte erweitere oder passe diese bei Bedarf zwar an, was aber nicht geschäftspartnerabhängig geschehe.
„Ist das Vertrauensverhältnis einmal gestört, hält die Mehrheit der Befragten an den eingesetzten Steuerungsinstrumenten fest“, berichtet Deloitte weiter. Zwar intensivierten sie die Kontrollmechanismen und suchten nach Sourcing-Alternativen. „Anders als das sonst hohe Absicherungsbedürfnis der deutschen Unternehmen vermuten lässt, spielt eine stärkere vertragliche Absicherung in solchen Fällen jedoch kaum eine Rolle“, konstatieren die Berater.
Die Studie „TrustIT Survey 2011“ ist bei Deloitte erhältlich.