Erfolgreiches IT-Sourcing ist in Deutschland Verhandlungssache

Wie eine aktuelle Studie der Unternehmensberatung Deloitte ergab, setzen mehr als 60 Prozent der Firmen in Deutschland auf IT-Sourcing. Das gelte aus Kostengründen vor allem für IT-Commodities. Eine Auslagerung der ganzen IT planten nur 6 Prozent der etwa 1000 befragten Entscheider. Kostendruck und Risikominimierung sind demnach die Hauptgründe dafür.

Doch würden die einzelnen Aspekte – Deloitte-Berater nennen es das Sourcing Lifecycle Management – zu wenig beachtet. Fragen wie der Standort des Partners, finanzielle Abhängigkeit, zeitliche Planungen und Vereinbarungen, Anzahl der Dienstleister, Grad des Leistungsbezugs, ein genau definiertes Objekt des Sourcing wie auch strategische Aspekte, beispielsweise Transitional Sourcing als Unterstützung bei Veränderungen, würden zu wenig beachtet.

Außerdem sollten die Aspekte des Sourcing über die gesamte geplante Zeit betrachtet werden. Die Berater gingen in der Studie selbst auf so augenscheinlich selbstverständliche Aspekte ein wie: Prüfen, ob Inhouse oder Sourcing billiger und besser ist, unter welchen Bedingungen welche Vorteile überwiegen und wo die Hauptrisiken liegen. Sie rieten dazu, proaktive Maßnahmen in den verschiedenen Stufen des Sourcing-Zyklus einzusetzen, um spätere Probleme zu vermeiden.

Doch nur 7 Prozent der Befragten betrachteten ihre Möglichkeiten, steuernd in den Sourcing-Prozess einzugreifen, als sehr gut. Mehr als 40 Prozent unterlägen akut einem Risiko, selbst die bereits erkannten Defizite nicht mehr ändern zu können. Die so genannte Provider-Steuerung sei also in deutschen Unternehmen ein Stiefkind.

Doch genau dies ist laut den Deloitte eine elementare Voraussetzung dafür, die vereinbarten Leistungen zu erhalten. Derzeit hätten immerhin 65 Prozent der Befragten mit Leistungsverfehlungen und Kostenüberschreitungen zu kämpfen, was sich durch rechtzeitiges Gegensteuern vermeiden ließe, so die Studienautoren.

Zwar seien Service Level Agreements (SLA) ein lange bekannter Standard, der intern wie extern für Transparenz sorgt – doch nur jedes vierte Unternehmen habe seine SLAs umfassend beschrieben und überprüfe diese in regelmäßigen Abständen. Etwa 8 Prozent fahre ganz ohne SLAs, quasi im Blindflug. Dass mehr als zwei Drittel der Firmen keine durchgängige Dokumentation für nicht direkt messbare Vertragsklauseln besitzt, überrascht daher wenig.

Außerdem, so die Deloitte-Experten, verfolgten nur die wenigsten Firmen den richtigen Ansatz, nur das auszulagern, was sie auch verwalten können: Nur etwa 25 Prozent der Firmen hätten demzufolge eine Risikobewertung in Kraft und führten regelmäßige Kontrollen der ausgelagerten Systeme durch. Das ist wenig verwunderlich, denn sofern zuvor keine Risikoklassifikation von IT-Systemen – abgeleitet aus der Klassifizierung der Geschäftsprozesse – vorhanden sei, könne eine Ausrichtung oder Fokussierung spezifischer Kontrollen nur schwer erfolgen. Und die fehle laut Deloitte oft.

Noch unübersichtlicher werde dies bei so genanntem Multi-Sourcing, wo mehrere Dienste in Anspruch genommen werden – teilweise von verschiedenen Dienstleistern. Die Fehler potenzierten sich somit. Kein Wunder, dass selbst von den Firmen, die an ihren eigenen Steuerfähigkeiten nichts auszusetzen haben, mehr als 63 Prozent Kostenüberschreitungen eingestehen mussten.

Die Berater empfehlen, für die Steuerung eine eigene Gremienstruktur aufzubauen, die die Verträge, SLAs und andere Schnittstellen mit dem Provider überwacht. Die Studie belege zudem, dass ein effizient oder koordiniert aufgestelltes Anforderungsmanagement, eindeutig zu geringeren Problemen hinsichtlich Kostenüberschreitungen und Leistungsverfehlungen führt. SLAs sorgten für eine höhere Steuerungsfähigkeit des Service Providers. Sie seien Grundlage eines effektiven Management transparenter Leistungen, die bezogen werden und folglich auch messbar sein müssen.

Es sei außerdem hilfreich, die Kontrollprozesse zu berücksichtigen und ein Risk Management durchzusetzen, und zwar abgestimmt auf bestehende Outsourcing-Beziehungen. Nur so ließen sich eine etwaige Nicht-Erfüllung rechtlicher Compliance-Anforderungen sowie eine nicht adäquate Berücksichtigung unternehmensinterner Risikoaspekte vermeiden.