Compliance bei Outsourcing-Projekten
Die Bedeutung von Compliance wird in vielen Unternehmen noch nicht richtig erkannt, erst recht nicht deren Auswirkungen bei Outsourcing-Projekten. Unsere fünfteilige Ratgeber-Serie zum Thema basiert auf einen Leitfaden des Bitkom zu diesem Thema.
Zur Strukturierung der Motive für Outsourcing ist die Grafik unten hilfreich. In praktischen Situationen bewegen sich Entscheidungsträger zwischen den beiden ‘Extremen’ Kosten- bzw. Wertschöpfungs-Fokus und spiegeln dabei auch den Stand bei der Umsetzung rechtlicher Rahmenbedingungen wider.
Im ersten Extremfall, beim ‘Fokus auf den Kosten’, herrscht die Sicht auf die Unternehmens-IT als reine Technikabteilung (‘Commodity’). Wenn eine IT-Organisation so wahrgenommen wird, dann hat sie es offensichtlich versäumt, ihren Beitrag zur Wertschöpfung und zum Unternehmenserfolg zu entwickeln, oder vielleicht auch nur richtig darzustellen. Eine solche IT-Organisation benötigt einen Großteil der Ressourcen zur Aufrechterhaltung des allgemeinen Betriebs und zur Bewältigung der wichtigsten Projekte. Für die Umsetzung gesetzlicher und prüfungsrelevanter Anforderungen reichen meist weder Zeit noch Geld. In den Augen der Geschäftsführung stellt die IT lediglich einen Kostenfaktor dar, der durch Outsourcing in Preis und Qualität optimiert werden kann.
Neue Kompetenzen für die IT-Organisation
Beim ‘Fokus auf der Wertschöpfung’, dem anderen Ende des Kontinuums, ist eine IT-Organisation angesiedelt, die bereits den Wandel zum internen Berater mit Prozesskompetenz vollzogen hat. Sie kann durch aktive Prozessberatung und -gestaltung einen wesentlichen Beitrag zur Wertschöpfung des Unternehmens leisten und betreibt in vielen Fällen bereits ein aktives Sourcing.
Der Grad der Standardisierung und Automatisierung im reinen IT-Betrieb hat ein Niveau erreicht, das aus prüfungsrelevanten Gesichtspunkten keinen Anlass für Veränderung bietet. Aufgrund des geringen Beitrags zur Wertschöpfung des Unternehmens wird der reine Betrieb von IT und damit ein Teil der Umsetzung (nicht Kontrolle!) der rechtlichen Rahmenbedingungen aber nicht als Kernkompetenz der unternehmensinternen IT-Organisation gesehen und ausgelagert. Die verbleibende IT-Organisation entwickelt eine neue Kompetenz, die Kontrolle der Umsetzung, die weniger aufwändig ist als die Umsetzung, und trägt so aktiv zur Minderung nicht-wertschöpfender Aktivitäten des Unternehmens bei.
Unabhängig vom Wertschöpfungsgrad der IT in einem Unternehmen kann Outsourcing einen Beitrag zur Erhöhung der Wettbewerbsfähigkeit leisten: Professionelle Dienstleister unterstützen bei der besseren Erfüllung regulatorischer Standards, und die Auslagerung nicht unmittelbar wertschöpfender Aufgaben wie der Risikominimierung im IT-Betrieb spart Ressourcen. Die vertragliche Abbildung des Outsourcings wird sich je nach Grad der Wertschöpfung der auszulagernden Komponenten unterscheiden.
Das Risiko auslagern?
Gut geplantes IT-Outsourcing kann sehr wohl dazu beitragen, die Komplexität der Risikokontrolle zu reduzieren. In den Fällen, in denen die Ordnungsmäßigkeit des Dienstleistungsunternehmens geprüft werden muss, kann nämlich auf Ergebnisse der Prüfung zurückgegriffen werden, die der Abschlussprüfer des Dienstleisters vornimmt. Standards wie SAS 70 helfen zusätzlich, die Komplexität einer Outsourcing-Beziehung im Hinblick auf die Kontrollmechanismen zu reduzieren.
Was bedeutet das für den Auftraggeber? Für sich gesehen ändert eine Auslagerung von IT in der Regel nicht die rechtlichen Rahmenbedingungen des auslagernden Unternehmens. IT-Outsourcing stellt damit nicht direkt eine Option zur Verlagerung von Verantwortlichkeiten auf Dritte und damit automatisch die Minimierung des Gesamtrisikos für ein Unternehmen dar.
Dennoch kann die Verlagerung des IT-Betriebs prüfungsrelevante und damit auch kostenrelevante Aspekte mit sich bringen, die gerade für mittelständische Unternehmen erhebliche Potenziale bergen können:
– Die verbleibende eigene IT-Organisation kann einen Wandel hin zum internen Prozessberater und zur Kontrollinstanz vollziehen.
– Die Kontrolle des Risikos ‘IT-Betrieb’ wird ausgelagert.
– Es verbleibt die Kontrolle, die gleichzeitig die Konzentration der IT-Organisation auf Geschäftsprozesse erhöht und die auch damit mehr zum kontinuierlichen Verbesserungsprozess beitragen kann.
– Die Qualität der Leistung kann gesteigert werden.
– Die von der IT eingesparten Kosten können wertschöpfend im Prozessumfeld und damit in der eigentlichen Kernkompetenz der IT-Organisation investiert werden.
Der mit Furcht vor Kontrollverlust motivierte Verzicht darauf, Outsourcing als Option zur Verbesserung des Wertbeitrags der IT-Organisation zu prüfen, bedeutet oft die Fortsetzung von erheblichen Investitionen in ‘unproduktive’ Bereiche von IT. Gerade in mittelständischen Unternehmen wird IT im Allgemeinen noch immer als Kostenfaktor gesehen. Das grenzt per se die Flexibilität der IT stark ein, denn erfahrungsgemäß stehen die eigentlich erforderlichen personellen und finanziellen Ressourcen im Mittelstand oft nicht zur Verfügung. Dass die Auslagerung des IT-Betriebs eine sinnvolle Entscheidung darstellen kann, zeigt sich nicht zuletzt auch in der Tatsache, dass sich der Lebenszyklus von IT-Systemen ähnlich schnell verkürzt wie sich die Zahl der Vorschriften für einen ordnungsgemäßen IT-Betrieb vermehrt.
Durch das IT-Outsourcing hat der Kunde keinen unmittelbaren Einfluss mehr auf die IT. Obwohl IT in den meisten Unternehmen keine Kernkompetenz darstellt, ist sie dennoch ein essentielles Herzstück, mit dem die Funktionsfähigkeit eines Unternehmens und damit seine Wettbewerbsposition am Markt beeinflusst werden kann. Die sich aus diesem Spannungsfeld ergebenden Risiken werden insbesondere in den Gesetzen KonTraG, SOX, BDSG, KWG, Basel II, BaFin usw. angesprochen, die während eines Outsourcing-Projektes ein striktes Risiko-Management erfordern.
Aus diesem Spannungsfeld heraus haben Anbieter der Outsourcing-Leistung und der Kunde die gemeinsame Aufgabe, zu Beginn des Projektes die Risiken für beide Seiten zu identifizieren.
In der nächsten Folge unserer Serie zum Thema ‘Compliance bei Outsourcing-Projekten’ erfahren Sie mehr über die verschiedenen Compliance-Vorschriften und -Standards, die beim Outsourcing greifen.