Häufig zitiert wurde die Bundesanstalt für Finanzdienstleistungsaufsicht, denn sie hat mit MaRisk erstmals Mindestanforderungen für das Risikomanagement rechtlich verbindlich vorgegeben. Auch an den erarbeiteten grundlegenden Richtlinien des Bonner Bundesamtes für Sicherheit in der Informationstechnik (BSI) orientieren sich deutsche Risikomanager gerne.
"Das BSI geht beispielsweise von einem Notstand aus, sollte es zu einem IT-Ausfall von kritischen Infrastrukturen kommen. Zu kritischen Infrastrukturen zählen natürlich Finanzdienstleister, aber auch Polizeiwesen und die ganzen Staatsorgane wie auch Versorgung et cetera. Sprich hier ein Ausfall kann eine nationale Krise hervorrufen."
Solches Problembewusstsein zeigt der Wirtschaftsinformatiker Stefan Kronschnabel von der Universität Regensburg. Damit es nicht einmal zu unternehmensweiten Krisen kommt, widmet sich Olaf Hiebl vom Osloer Beraterhaus Det Norske Veritas in Essen einem wichtigen und aktuellen Themea: dem Risiko-Controlling des IT-Outsorcing.
"Wir beobachten einen gegenläufigen Trend: das so genannte Backsourcing. Dass also komplette Prozesse beziehungsweise IT-Services von den Unternehmen wieder zurückgeholt werden."
Fünfzig Prozent der Firmen, die ihre IT-Dienstleistungen ausgelagert haben, bereuen heute ihre Entscheidung schwer. Erhoffte Kosteneinsparungen von 50 Prozent haben sich als unrealistisch erwiesen. Gelegentlich erreichte 20 Prozent Einsparungen stehen mangelhaften IT-Dienstleistungen, umständlicher Helpline-Kommunikation und Sprachbarrieren gegenüber.
"Wenn Sie mit großen Outsourcern zusammenarbeiten, haben Sie oftmals verschiedene Schnittstellen. Es gibt zwar in der Regel einen Service-Desk, eine Hotline, bei der Sie anrufen, wenn Sie Probleme haben, aber es gibt dann doch wieder sehr viele nachgelagerte Schnittstellen. Und der Gesamtprozess wird dadurch so kompliziert, dass die Lösung eines Problems dann oft länger dauert als zu früheren Zeiten, wo es die eigenen Leute dann eben selber gemacht haben und wo man Dinge auf einem einfachen Weg bereinigen konnte. Man kann durchaus sagen, dass aus unserer Erfahrung 25 Prozent der gesamten Kunden von Outsourcern wirklich deutliche Überlegungen haben, entweder alles wieder zurückzuholen oder diesen Auftrag an einen anderen Outsourcer zu geben."
Firmeninterner Frust und Imageverlust treten beispielsweise ein, wenn ein von fünfzig Personen genutzter, ferngewarteter Drucker vier Wochen lang ausfällt. Ernüchternd ist es, wenn deutlich wird, dass der Outsourcer kleine und mittelständische Unternehmer gar nicht richtig ernst nimmt. Olaf Hiebl:
"Besonders kritisch wird es dann, wenn Sie zum Beispiel an einer Applikation kleine Änderungen vornehmen müssen, was früher, als man noch selber Herr war über diese Applikationen, was man relativ leicht machen konnte – also Modifikationen in wenigen Tagen – und was jetzt eben einen sehr komplexen Prozess nach sich zieht, weil man ja den vereinbarten Dienstweg mit dem Outsourcer einhalten muss. Und das führt dann eben dazu, dass die Zeiten, dass diese Modifikationen realisiert werden, dass dieser Zeitraum teilweise sehr lange ist und das wiederum zu Unzufriedenheit bei den Kunden führt. Man beobachtet, dass doch IT mehr und mehr für viele Unternehmen eine Kernkompetenz ist, die man eben nicht nach draußen geben möchte, sondern da möchte man selber sozusagen den Daumen wieder drauf haben, und deshalb holt man sie zurück."
Auf dem Darmstädter CAST-Forum hat Olaf Hiebl einige besonders gravierende Outsourcing-Risiken genannt: Mitunter werden kundenspezifische und erwiesenermaßen erfolgreiche IT-Lösungen an Mitbewerber weitergegeben. Nicht von ungefähr sind Outsourcer Top-Ziele für Wirtschaftsspionage. Backsourcing-Szenarien werden nicht erarbeitet, obwohl die Geschäftsbedingungen das so vorsehen. Der kleine Dienstweg kann zur Lösung technischer Probleme nicht genutzt werden. Das interne Risikopotenzial bleibt im Dunkeln der outgesourcten Black Box. Outsourcer agieren fernab der täglichen und strategischen Unternehmensplanung. Etablierte, alte Technologien werden ausgelagert, innovative verbleiben im Unternehmen, was das Outsourcing weiter torpediert. Insgesamt wird das Innovationspotenzial des Outsourcers überschätzt. Teuer und selbst riskant ist freilich der Ausstieg aus der Wunderwaffe ohne Wunderwirkung. Der IT-Berater Olaf Hiebl:
"Backsourcing-Überlegungen sollten dann angestrebt werden, wenn Sie sagen, die Innovationsfähigkeit des Outsourcers ist nicht so gut und Sie im Unternehmen eine höhere Innovationsfähigkeit haben. Das ist in der Regel auch so, weil Sie natürlich Ihre Geschäftsprozesse und Ihren strategischen Markt am besten kennen. Wenn das so ist, sollten Sie wirklich über Backsourcing nachdenken. Wenn Outsourcing wirklich durchgeführt wird, dann haben Sie immer das Risiko, dass gerade gute Leute, Knowhow-Träger, Innovationsträger Unternehmen verlassen. Da ist es eben ganz wichtig, von vorneherein eine vernünftige Kommunikationspolitik zu betreiben. Wir empfehlen auf alle Fälle, dass ein bestimmter Pool von Innovations- und Knowhow-Trägern bei dem Auftraggeber bleibt."
"Das BSI geht beispielsweise von einem Notstand aus, sollte es zu einem IT-Ausfall von kritischen Infrastrukturen kommen. Zu kritischen Infrastrukturen zählen natürlich Finanzdienstleister, aber auch Polizeiwesen und die ganzen Staatsorgane wie auch Versorgung et cetera. Sprich hier ein Ausfall kann eine nationale Krise hervorrufen."
Solches Problembewusstsein zeigt der Wirtschaftsinformatiker Stefan Kronschnabel von der Universität Regensburg. Damit es nicht einmal zu unternehmensweiten Krisen kommt, widmet sich Olaf Hiebl vom Osloer Beraterhaus Det Norske Veritas in Essen einem wichtigen und aktuellen Themea: dem Risiko-Controlling des IT-Outsorcing.
"Wir beobachten einen gegenläufigen Trend: das so genannte Backsourcing. Dass also komplette Prozesse beziehungsweise IT-Services von den Unternehmen wieder zurückgeholt werden."
Fünfzig Prozent der Firmen, die ihre IT-Dienstleistungen ausgelagert haben, bereuen heute ihre Entscheidung schwer. Erhoffte Kosteneinsparungen von 50 Prozent haben sich als unrealistisch erwiesen. Gelegentlich erreichte 20 Prozent Einsparungen stehen mangelhaften IT-Dienstleistungen, umständlicher Helpline-Kommunikation und Sprachbarrieren gegenüber.
"Wenn Sie mit großen Outsourcern zusammenarbeiten, haben Sie oftmals verschiedene Schnittstellen. Es gibt zwar in der Regel einen Service-Desk, eine Hotline, bei der Sie anrufen, wenn Sie Probleme haben, aber es gibt dann doch wieder sehr viele nachgelagerte Schnittstellen. Und der Gesamtprozess wird dadurch so kompliziert, dass die Lösung eines Problems dann oft länger dauert als zu früheren Zeiten, wo es die eigenen Leute dann eben selber gemacht haben und wo man Dinge auf einem einfachen Weg bereinigen konnte. Man kann durchaus sagen, dass aus unserer Erfahrung 25 Prozent der gesamten Kunden von Outsourcern wirklich deutliche Überlegungen haben, entweder alles wieder zurückzuholen oder diesen Auftrag an einen anderen Outsourcer zu geben."
Firmeninterner Frust und Imageverlust treten beispielsweise ein, wenn ein von fünfzig Personen genutzter, ferngewarteter Drucker vier Wochen lang ausfällt. Ernüchternd ist es, wenn deutlich wird, dass der Outsourcer kleine und mittelständische Unternehmer gar nicht richtig ernst nimmt. Olaf Hiebl:
"Besonders kritisch wird es dann, wenn Sie zum Beispiel an einer Applikation kleine Änderungen vornehmen müssen, was früher, als man noch selber Herr war über diese Applikationen, was man relativ leicht machen konnte – also Modifikationen in wenigen Tagen – und was jetzt eben einen sehr komplexen Prozess nach sich zieht, weil man ja den vereinbarten Dienstweg mit dem Outsourcer einhalten muss. Und das führt dann eben dazu, dass die Zeiten, dass diese Modifikationen realisiert werden, dass dieser Zeitraum teilweise sehr lange ist und das wiederum zu Unzufriedenheit bei den Kunden führt. Man beobachtet, dass doch IT mehr und mehr für viele Unternehmen eine Kernkompetenz ist, die man eben nicht nach draußen geben möchte, sondern da möchte man selber sozusagen den Daumen wieder drauf haben, und deshalb holt man sie zurück."
Auf dem Darmstädter CAST-Forum hat Olaf Hiebl einige besonders gravierende Outsourcing-Risiken genannt: Mitunter werden kundenspezifische und erwiesenermaßen erfolgreiche IT-Lösungen an Mitbewerber weitergegeben. Nicht von ungefähr sind Outsourcer Top-Ziele für Wirtschaftsspionage. Backsourcing-Szenarien werden nicht erarbeitet, obwohl die Geschäftsbedingungen das so vorsehen. Der kleine Dienstweg kann zur Lösung technischer Probleme nicht genutzt werden. Das interne Risikopotenzial bleibt im Dunkeln der outgesourcten Black Box. Outsourcer agieren fernab der täglichen und strategischen Unternehmensplanung. Etablierte, alte Technologien werden ausgelagert, innovative verbleiben im Unternehmen, was das Outsourcing weiter torpediert. Insgesamt wird das Innovationspotenzial des Outsourcers überschätzt. Teuer und selbst riskant ist freilich der Ausstieg aus der Wunderwaffe ohne Wunderwirkung. Der IT-Berater Olaf Hiebl:
"Backsourcing-Überlegungen sollten dann angestrebt werden, wenn Sie sagen, die Innovationsfähigkeit des Outsourcers ist nicht so gut und Sie im Unternehmen eine höhere Innovationsfähigkeit haben. Das ist in der Regel auch so, weil Sie natürlich Ihre Geschäftsprozesse und Ihren strategischen Markt am besten kennen. Wenn das so ist, sollten Sie wirklich über Backsourcing nachdenken. Wenn Outsourcing wirklich durchgeführt wird, dann haben Sie immer das Risiko, dass gerade gute Leute, Knowhow-Träger, Innovationsträger Unternehmen verlassen. Da ist es eben ganz wichtig, von vorneherein eine vernünftige Kommunikationspolitik zu betreiben. Wir empfehlen auf alle Fälle, dass ein bestimmter Pool von Innovations- und Knowhow-Trägern bei dem Auftraggeber bleibt."