Risikomanagement als Bestandteil einer Sourcing-Strategie

Systematisches Risikomanagement

Wie muss erfolgreiches Risikomanagement also aussehen? Ein systematischer Ansatz zum Risikomanagement sollte die drei im folgenden erklärten Phasen umfassen.

Risikoerfassung
In dieser Phase muß der Anwender potenzielle Risiken, identifizieren und kategorisieren. Dies basiert auf unterschiedlichen Kriterien, wie zum Beispiel Ursache und Art des Risikos (abhängig von internen oder externen Faktoren), Auftretenswahrscheinlichkeit und -häufigkeit. Bei der Identifizierung von Risiken sollte auch versucht werden, unvorhergesehene Risiken einzuschließen. Dies kann erreicht werden indem man versucht, mögliche Bedrohungen zu interpretieren, neue Risiken zu entdecken (zum Beispiel als Resultat neuer Markttrends) oder spezielle Chancen vorauszusehen (zum Beispiel die schwache Verhandlungsposition eines Dienstleisters, der den Finanzmarkterwartungen nicht gerecht werden kann, auszunutzen).

Risikobewertung
Diese Phase dient der Minimierung potenzieller Verluste oder Bedrohungen. Anwender müssen die identifizierten Risiken anhand ihrer Ursachen, Wahrscheinlichkeit, Häufigkeit, Schweregrad des Schadens und Auswirkungen analysieren. Diese Bewertung eröffnet dann unterschiedliche Optionen:

• Risikoakzeptanz, zum Beispiel durch Entwicklung interner Kompetenzen zur Bewältigung des Risikos.
  
• Risikoreduktion, zum Beispiel Erhöhung interner Sicherheitsaspekte, um Auftretenswahrscheinlichkeit und -häufigkeit zu reduzieren.
  
• Risikovermeidung, zum Beispiel Aufschiebung einer Technologieerneuerung, die unnötige Risiken birgt.
  
• Risikoeliminierung, zum Beispiel Verwerfung einer speziellen Outsourcing-Option.
  
• Risikotransfer, zum Beispiel Durchsetzung von Vertragsklauseln, die den Dienstleister bei der Risikoentschärfung in die Pflicht nehmen.

Als Entscheidungshilfe für die Wahl der geeigneten Option dient es, wenn Anwender die Risikotoleranzniveaus der entsprechenden Geschäftseinheiten mit wahrscheinlichen Geschäftsauswirkungen verknüpfen.

Risikoüberwachung
Der Risikomanagementprozess ist nur vollständig, wenn ein kontinuierliches Feedback durch Überwachung der Prozesse und deren Folgen gewährleistet ist. Anwender müssen Risiko-Reporting-Strukturen aufsetzen und historische Datenreihen aufstellen, um Trendanalysen vornehmen zu können, die es ermöglichen, unvorhergesehene Risiken zu identifizieren und die bestmöglichen Handlungsoptionen zu bestimmen. Die Datenreihen müssen detailliert genug sein, um Ursprungs-, Ursachen-, und Auswirkungsanalysen zu ermöglichen, mögliche Interdependenzen zu identifizieren und Deduktionen aus vergangenen Ereignissen entwickeln zu können.

Risikomanagement im Sourcing-Lebenszyklus

Ein Lebenszyklus-Ansatz erweitert den Fokus des Risikomanagements über multiple Outsourcing-Beziehungen und -Verträge hinweg. Anwender dürfen Risikomanagement jedoch nicht als einmaligen Aufwand betrachten, sondern müssen die Kategorisierung, Bewertung und Überwachung von Risiken kontinuierlich und über alle Phasen des Sourcing-Lebenszyklus hinweg durchführen. Nur so kann gewährleistet werden, dass auch Risiken erfasst werden, die während der Due Diligence und der verschiedenen Vertragsverhandlungsphasen nicht erfasst werden konnten.

Die Verflechtung der beiden Management-Lebenszyklen stellt sicher, dass die Vermeidung eines bestimmten Risikoaspektes in einer Phase auch dessen Wiederauftreten in den Folgephasen des Sourcing-Zyklus verhindert. So kann, zum Beispiel, die Durchsetzung von Strafklauseln während der Vertragsverhandlungen nicht verhindern, dass die Leistung des Service-Providers möglicherweise unter die vorgesehenen Mindeststandards fällt. Tools zur Erfassung von Service-Level-Messwerten hingegen ermöglichen ein frühzeitiges Erkennen von Risiken, sodass entsprechende Gegenmaßnahmen getroffen werden können, bevor ein Schaden entsteht.

Risiko muss als integraler Bestandteil einer Sourcing-Strategieentwicklung angesehen werden und Risikomanagement muss den gesamten Sourcing-Zyklus begleiten. Anwender sollten in Vertragswerken explizit die Methoden der jeweiligen Partner zur Risikokategorisierung, -bewertung und -überwachung auflisten und detailliert beschreiben. Nur so ist es möglich, informierte Entscheidungen darüber zu treffen, welche Risiken akzeptabel sind, welche nicht, und wie diese entschärft werden können.