Betrachtet man die Motive von Unternehmen für IT- und Prozess-Outsourcing, so rangiert das Verlagern von Risiken stets unter den ersten zehn. Angesichts dieses hohen Stellenwerts werden dann die tatsächlichen Risiken während der Vertragsbeziehung überraschend sträflich behandelt.
Zwar untersuchen rund 80 Prozent der Auftraggeber vor einer Entscheidung die direkt mit dem Outsourcing verbundenen Risiken: etwa den Verlust von Kernkompetenz, das Kostenrisiko (weil Know-how über die Kostentreiber verloren gehen kann), die Abhängigkeit von Dienstleistern oder den möglichen Verlust an Flexibilität und Innovation. Aber kaum ein CIO nimmt eine exakte Analyse für den folgenden IT-Betrieb vor.
Systematisch vorgehen
Es gibt verschiedene Definitionen von Risikomanagement. Alle enthalten zwei Elemente: Die Risiken werden systematisch erfasst und bewertet - und auf erkannte Risiken reagieren die Betroffenen gezielt, möglichst nach festgelegten Regeln. Sein Wesen besteht also darin, dass es sich um ein systematisches Verfahren handelt.
Doch gerade dies fehlt meist beim IT-Betrieb. Allenfalls werden vereinzelte Bedrohungen betrachtet, etwa im Finanzsektor das Ausfallrisiko oder Sicherheitsaspekte. Aber bisher findet man kaum strukturierte Gesamtanalysen, die genau prüfen: Welche Risiken bringt der ausgelagerte IT-Betrieb mit sich? Welche davon trägt der Kunde, welche der Dienstleister? Und welche Konsequenzen ziehen beide daraus?
Betrachten wir die Risiken des IT-Betriebs etwas genauer. Wir können sie grob in zwei Kategorien einteilen: technische und Marktrisiken.
1. Technische Risiken
Technische Risiken spielen bei einer von externen Partnern betriebenen technischen Infrastruktur natürlich eine zentrale Rolle. Hier ist zunächst das Ausfallrisiko zu nennen. Hat ein Unternehmen zum Beispiel einem Dienstleister den Betrieb von Servern übertragen und diese stehen still, funktioniert auch ein Großteil seiner eigenen Geschäftsprozesse nicht mehr.
Aber auch bei stabilem Betrieb können in den ausgelagerten Bereichen Anwendungsentwicklung und Applikationsmanagement Fehler auftreten. Die möglichen Folgen: Kontostände sind falsch, Auszüge werden fehlerhaft gedruckt, Börsenkurse nicht richtig berechnet etc. Risiken können auch aus veralteten Anwendungen erwachsen – noch gut in Erinnerung dürfte den meisten das berühmte "Jahr-2000-Problem" sein.
Bei all diesen technischen Risiken reichen die potenziellen Schäden von Imageverlust bis zu Umsatzausfällen und pekuniärer Haftung.
2. Marktrisiken
Marktrisiken resultieren aus der unerwarteten (meist negativen) Entwicklung eines Marktes oder Teilmarktes. Nun gehört das fundierte Abwägen von kalkulierten Erträgen und eventuell abweichendem Marktverlauf zu den klassischen unternehmerischen Aufgaben. Gerade dieses Risiko aber wollen viele Unternehmen beim IT-Betrieb verstärkt an Partner übertragen.
So ist etwa die Übernahme von Auslastungsrisiken nach Compass-Analysen einer der wichtigsten Gründe für Unternehmen, überhaupt Outsourcing-Maßnahmen anzugehen. Bezahlt der Kunde beispielsweise den Dienstleister für Desktop-Management und -Support pro Arbeitsplatz, muss jedoch während der Vertragslaufzeit wegen Absatzschwankungen seine Personalstärke reduzieren, will er auch die Kosten für diese Outsourcing-Leistung senken (jedenfalls innerhalb einer gewissen Bandbreite). Liegt dem Vertrag nun ein durch Stückkosten getriebenes Preismodell zugrunde, verdient der Dienstleister weniger.
Zu den vom Markt beeinflussten Risiken gehören auch kaufmännische Größen wie steigende Einkaufspreise oder Gehälter. Hat der Dienstleister für das Outsourcing-Geschäft Software und Personal zugekauft und diese werden teurer als ursprünglich kalkuliert, gehen die veränderten Einkaufskonditionen zu seinen Lasten. Waren diese Investitionen fremdfinanziert, sind auch veränderte Finanzmarktkonditionen und Zinsen relevant.
Schließlich können auch gesetzliche Rahmenbedingungen eine Rolle spielen, etwa neue Abschreibungsfristen oder Regelungen für Verlustausgleiche. Beim Near-/Offshoring sind zudem Wechselkursrisiken sowie unterschiedliche Rechtslagen in verschiedenen Ländern zu beachten.
Maßnahmen zur Risikominimierung
Gegen technische Risiken sind naturgemäß zunächst die technischen Vorkehrungen wichtig: klassische Maßnahmen wie Backup und Recovery für den Systemausfall, Qualitätssicherung und Abnahmeprozeduren zum Schutz vor Fehlfunktionen. Des Weiteren können sich Dienstleister gegen Ausfälle und Folgehaftung - wie auch gegen die vom Markt geprägten Risiken - versichern, also einen Teil davon wiederum an einen Dritten weiterreichen. Das steigert allerdings die Kosten und zieht entweder einen höheren Preis nach sich - oder der Dienstleister akzeptiert geringere Margen.
Für den Dienstleister ist der wichtigste Hebel zur Beherrschung zusätzlicher Risiken sein Geschäftsmodell. Da er sich auf Serverbetrieb, Desktop-Management, Support und andere typische Outsourcing-Tätigkeiten spezialisiert und deshalb ein entsprechend höheres Volumen hat, kann er Auslastungsschwankungen besser auffangen.
So kann er zum Beispiel nicht mehr benötigte Hardware bei anderen Kunden wiederverwenden. Das funktioniert allerdings nur, wenn keine globale Rezession herrscht - die somit ein weiteres zu kalkulierendes Marktrisiko bildet.
Größtmögliche Transparenz
Aus Sicht des CIO heißt das wichtigste Prinzip zur Lösung dieser Herausforderungen: Transparenz auf allen Ebenen.
Zunächst sollte er die Risiken aus dem IT-Betrieb identifizieren, beschreiben, quantifizieren und bewerten – und zwar sowohl monetär (etwa Verluste durch Ausfälle, mögliche Haftungshöhe bei Schäden) als auch nichtmonetär (zum Beispiel Imageverlust bei den eigenen Kunden durch Lieferverzögerungen). Dann sollte er prüfen, wie wahrscheinlich die verschiedenen Risiken sind, und sie entsprechend priorisieren. Haben sie eine geringe Eintrittswahrscheinlichkeit, müssen sie anders bewertet werden als solche mit hoher. Gerade dies unterbleibt aber oft.
Bei all diesen Maßnahmen helfen Erfahrungswerte aus Benchmarks, in denen Unternehmen mit vergleichbaren Herausforderungen analysiert wurden.
Danach sollte der CIO für jedes identifizierte Risiko konkrete Maßnahmen zur Minimierung erarbeiten. Zum einen, um bereits den Eintritt möglichst zu vermeiden - etwa Ausfälle durch Spiegelung von Systemen, Redundanz und Qualitätssicherung. Zum anderen sollte er festlegen, was zu geschehen hat, wenn trotz aller Vorkehrungen der Schaden doch eingetreten ist. Dann gilt es die Auswirkungen einzugrenzen.
So kann er zum Beispiel für Systemausfälle bestimmen: Steht ein Online-Service nicht mehr zur Verfügung, werden die Mitarbeiter im Call Center aufgestockt, um die erwartete Flut telefonischer Anfragen zu bewältigen. Oder: Können Außendienstmitarbeiter beim Kunden die Daten nicht mehr elektronisch erfassen, stehen Backup-Prozesse bereit, mit denen sie trotzdem vor Ort den Vertrag abschließen können.
Gemeinsam mit dem Dienstleister legt der CIO dann die Strategie fest: Wer kann einem Risiko am besten vorbeugen? Wer kann es nach Eintritt am besten managen? Danach werden die einzelnen Maßnahmen zugeordnet. Das Auslastungsrisiko beispielsweise kann der Dienstleister am besten auffangen, weil er es auf mehrere Kunden verteilen kann. Sind Notfallmaßnahmen im Call Center erforderlich, kann umgekehrt der Auftraggeber am besten reagieren. Das Ziel sollte eine offene Risikopartnerschaft sein.
Offene Risikopartnerschaft
Entscheidend ist eine gemeinsame, offene Diskussion von Kunde und Dienstleister. Sie dürfen keine Risiken verschweigen, "blind" abwälzen oder "stillschweigend" in Preis einkalkulieren - in der Hoffnung, der andere werde es nicht merken. Vielmehr müssen sie auf Basis der skizzierten Vorgehensweise fair vereinbaren: Welche Risiken bestehen? Welche Auswirkungen haben sie auf das Pricing? Wie werden sie verteilt?
Mit dem Ergebnis müssen beide Seiten leben können. Zwingt ein Unternehmen dem Dienstleister so viele Risiken auf, dass das Outsourcing-Projekt für ihn zu einem Nullsummenspiel oder gar Verlustgeschäft wird, sinkt zwangsläufig seine Leistungsbereitschaft. Er wird alles versuchen, um seineKostenstruktur zu reduzieren - was wiederum auf den Kunden zurückschlagen kann, besonders wenn Flexibilität in der Partnerschaft gefragt ist.
Wird der Dienstleister gar bis zur Gefahr der Insolvenz getrieben, steht wiederum der Kunde vor einem enormen Zusatzrisiko. Deshalb überprüfen beim Outsourcing mittlerweile auch viele Einkäufer von sich aus, inwieweit der Dienstleister ins Insolvenzrisiko kommt, wenn er das geplante Geschäft nicht kostendeckend abarbeiten kann.
Umgekehrt muss der Dienstleister die Preise einer Risikoübernahme transparent darlegen, damit der Kunde sich bewusst entscheiden kann. Beispielsweise hatte ein Unternehmen des produzierenden Gewerbes seinen Telekommunikations-Dienstleister verpflichtet, bei Produktionsstillstand für die Folgen aufzukommen. Dieser kalkulierte dies - stillschweigend - mit einem Preisaufschlag von 15 Prozent ein.
Nachdem dieser versteckte Preistreiber bei einer Vertragsanalyse ans Licht gekommen war, entschied der Auftraggeber, dass ihm die Vereinbarung nicht Mehrausgaben in dieser Höhe wert war. Sie wurde dann wieder aus dem Vertrag herausgenommen.
Den Kunden genau kennen
Soll ein Dienstleister mehr Risiken tragen, muss der CIO ihm auch den Freiraum zugestehen, diese zu managen. Er muss sich bei Bedarf anders organisieren dürfen als ursprünglich vorgesehen, um die potenziellen Kosten aufzufangen - etwa durch andere Hardware und anderes Personal.
Der Dienstleister wiederum muss seine eigenen Prozesse optimieren, um die Schere von (durch den Marktdruck) sinkenden Margen auf der einen und mehr Risikoübernahme auf der anderen Seite tragen zu können. Nur so kann er aus seiner Spezialisierung auf bestimmte Outsourcing-Leistungen die erforderlichen Synergie-Effekte ziehen. Dazu muss er sich auch mit dem Kunden noch enger vernetzen, dessen Planungen noch genauer kennen.
So räumte ein Outsourcing-Vertrag zur Übernahme von Servern dem Auftraggeber die Möglichkeit ein, innerhalb von zwei Jahren sein Volumen auf Null zurück zu fahren. Der Dienstleister, der nach Stückkosten vergütet wurde, trug also das Risiko, dass in diesem Fall seine gesamte Hardware ungenutzt blieb. Der Kunde hatte sich Flexibilität eingekauft und diese in das Preismodell eingebunden.
Zu einem späteren Zeitpunkt stellte sich heraus, dass der Kunde diese Flexibilität auf absehbare Zeit nicht benötigen wird; so konnte der Dienstleister seine Risikomarge und damit den Preis reduzieren. Dazu hatten beide Seiten ihre Planungen einander so weit offen gelegt und verzahnt, dass sie das Risiko genau abschätzen konnten. Die offene Risikopartnerschaft hatte sich für beide ausgezahlt.
Jörg Hild ist Geschäftsführer der Compass Deutschland GmbH.