IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

Leistung und Agilität steigern, Kosten senken. Diesen Anforderungen müssen sich Unternehmen Tag für Tag stellen, um ihr Position in weltweiten dynamischen Märkten zu stärken.

Die Konzentration auf gewinnbringende Kernkompetenzen und die Reduzierung der Fertigungstiefe unterstützen dabei. Doch wo Chancen sind, sind auch Risiken. Checklisten helfen, diese Risiken zu mindern.
 
Aktuelle Trends wie Cloud-Computing mit Software, Infrastructure, Platform oder Security as a Service, die jederzeitige Erreichbarkeit interner und externer Mitarbeiter, deren Unabhängigkeit von Ort und Kommunikationsmedium, sowie eine Vielzahl an IT Service Providern richten das Augenmerk auf die Fertigungstiefe in der Informations- und Kommunikationstechnologie (IKT) und deren Auslagerbarkeit. Zu beachten gilt es dabei, dass die letztendliche Verantwortung – auch für den ausgelagerten Service – beim Unternehmen verbleibt. Außerdem sollen aktuelle und künftige Kernkompetenzen und Leistungsfelder weiterhin im Unternehmen verbleiben.
 
Gesetzliche und aufsichtsbehördliche Rahmenbedingungen müssen bei der Auslagerung eingehalten werden. Dementsprechend formuliert das Bundesdatenschutzgesetz (BDSG): „Werden personenbezogene Daten im Auftrag … erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes […] verantwortlich.“ Weiter heißt es dort: „Der Auftragnehmer ist […] sorgfältig auszuwählen.“ Das Aktiengesetz (AktG) geht in §93 auf die Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder ein. Zur Vermeidung einer Pflichtverletzung müssen Vorstandsmitglieder „auf der Grundlage angemessener Information zum Wohle der Gesellschaft“ handeln. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) führt in den Mindestanforderungen an das Risikomanagement (MaRisk) für Banken aus, dass „grundsätzlich […] alle Aktivitäten und Prozesse auslagerbar [sind], solange dadurch die Ordnungsmäßigkeit der Geschäftsorganisation […] nicht beeinträchtigt wird.“ Für Versicherungen und Investmentgesellschaften hat die BaFin in deren MaRisk ebenfalls Anforderungen formuliert.
 
Bei der Beantwortung der Frage, ob und wenn ja in welchem Umfang ausgelagert werden kann und was dabei zu berücksichtigen ist, hilft die folgende Checkliste. Sie gibt Ihnen einen kompakten Überblick – unabhängig davon, ob sie bereits ausgelagert haben oder vor neuen Entscheidungen stehen –, basierend auf langjährigen Erfahrungen mit dieser komplexen Thematik.
 
1. Make or Buy?
Um diese Entscheidung wirtschaftlich treffen zu können, gibt die Geschäftsleitung in Form der Sourcing-Politik den Rahmen vor. Sie spricht den Stellenwert von Kosten, Qualität, Schnelligkeit, Flexibilität, Skalierbarkeit, Datenschutz, Sicherheit, Kontinuität und Risiken ebenso an wie gesetzliche und aufsichtsrechtliche Rahmenbedingungen. Um Pflichtverletzungen zu vermeiden, legt sie ein systematisches Vorgehensmodell fest, beispielsweise auf Basis des dreidimensionalen Pyramidenmodells nach Dr.-Ing.Müller. 
 
2. Welche Services dürfen, können, sollen ausgelagert werden?
Die Geschäftsbereiche benennen die genutzten und die erbrachten Services, deren Auslagerbarkeit und deren Relevanz für eine Auslagerung. Sie erstellen Leistungsbeschreibungen und legen Kennzahlen fest, etwa zum Mengengerüst, zur maximal tolerierbaren Ausfallzeit, zum maximal tolerierbaren Datenverlust, zum geforderten Sicherheitsniveau, zu Servicezeiten sowie zu den derzeitigen Kostenkennzahlen. Die Servicebeschreibungen enthalten zudem die gesetzlichen, aufsichtsbehördlichen und normativen Rahmenbedingungen sowie „Good Practices“ und Standards, die einzuhalten sind.
 
Dr.-Ing. Klaus-Rainer Müller, Senior Management Consultant ACG Automation Consulting Group GmbH
3. Wie sehen Zielmodell und Migrationsstrategie aus?
Die Services insgesamt bilden die aktuelle Sourcing-Architektur, die in der Sourcing-Landkarte darstellbar ist. Hieraus entwickeln die Verantwortlichen die Zielarchitektur. Für den Migrationspfad zum Zielmodell erstellen sie die Sourcing-Strategie. Wichtige Kriterien für die Sourcing-Strategie sind einerseits die kurz-, mittel- und langfristigen Unternehmensziele, die Einspar- und Leistungsverbesserungspotenziale sowie der Reifegrad der einzukaufenden Services am Markt. Andererseits sind die Abhängigkeiten und die verbleibenden Kosten zu berücksichtigen. Abhängigkeiten entstehen durch die festgelegte zeitliche Bindung an den Service Provider sowie im Hinblick auf den möglichen Wechsel des Providers bei regulärem Vertragsende oder bei Kündigung. Kosten entstehen beispielsweise für organisatorische Themen zum Aufbau der Retained Organisation und dem Zusammenspiel mit dem Provider, für die laufende Überwachung und Steuerung der Provider durch die Retained Organisation sowie für regelmäßige Audits.
 
4. Welcher IT Service Provider passt?
Marktrecherche, Ausschreibung und ein umfassender Bewertungskatalog bilden die Basiselemente zur Identifizierung geeigneter IT Service Provider. Als Ergebnis entsteht eine Short List von Providern, die einer weitergehenden Prüfung unterzogen werden. Zu berücksichtigen sind auch die Größe sowie die Eigentums- und Kundenstrukturen des Providers, dessen Erfahrungen mit dem angebotenen Service, Zertifikate, wie ISO 9001, ISO 20000 und ISO 27001, seine Standorte sowie eingeholte Referenzen.
 
5. Was muss vereinbart werden?
Der Rahmenvertrag regelt die vielfältigen übergreifenden Aspekte der Outsourcing-Beziehung, die vom Vertragsgegenstand über den Übergang bis hin zu Prüfungs- und Weisungsrechten sowie Beendigungsunterstützung reichen. Einzelverträge mit Leistungsbeschreibungen legen die spezifischen Services fest. Weitere Verträge vereinbaren gegebenenfalls die Asset-Übertragung und den Personalübergang. Ende-zu-Ende-Service-Level-Agreements (E2E-SLAs) spezifizieren die Qualität der Leistungen aus Sicht des Auftraggebers. Themenstellungen für SLAs sind zum Beispiel Verfügbarkeit, Antwortzeiten, Reaktionszeiten und Termintreue. Die Definition von Messverfahren, Monitoring und Reporting bilden die Grundlage zur Überwachung und Steuerung des Providers.
 
6. Was muss organisiert werden?
Der „kleine Dienstweg“ ist passé. Service Requests laufen formalisiert ab. Neue Anforderungen müssen formuliert, Angebote eingeholt, beauftragt und das Ergebnis abgenommen werden. Vormals interne Hilfsmittel, Prozesse und Verbindungsstellen müssen umgestellt, geschult beziehungsweise kommuniziert, getestet und in Kraft gesetzt werden, wobei das Pendant auf Provider-Seite vorhanden und abgestimmt sein muss. Eine Retained Organisation ist aufzubauen und zu coachen, die den oder die Service Provider steuert und koordiniert: Je mehr Provider, desto herausfordernder die Aufgabe. Und: Je geringer die interne Organisation vor der Auslagerung, desto höher sind die Investitionen in die Neugestaltung und Schulung.
 
7. Wie erfolgt die Überleitung?
Der Provider, dem die Verantwortlichkeit für die Planung, die Durchführung und die Überwachung der Überleitung übertragen worden ist, muss einen Überleitungsplan mit der Organisation sowie den Aufgaben, Verantwortlichkeiten, Mitwirkungspflichten, Terminen, Meilensteinen, Kontrollelementen und Quality Gates sowie regelmäßigen Abstimmungsrunden erstellen. Diesen stimmt er mit dem Auftraggeber ab.
 
8. Was ist zu üben, was zu prüfen?
Sicherheits-, Kontinuitäts- und Risikomanagement einschließlich Ordnungsmäßigkeit sind wesentliche Prüfobjekte für Audits durch den Auftraggeber oder durch beauftragte externe Experten. Die Notfallbehandlung will getestet und regelmäßig anhand geeigneter Szenarien geübt sein. Wichtige Elemente dabei sind die Eskalations- und Kommunikationswege, die Funktionsfähigkeit der Notfallpläne, die Einhaltung der geplanten Zeiten sowie Übungsprotokolle und „Lessons learned“.
 
9. Wie verbessern Sie Ihr Sourcing?
Wenn Sie Auslagerungen vollzogen haben, sollten Sie diese in der Folge selbst überprüfen oder durch externe Experten überprüfen lassen, um von Ihren eigenen und/oder deren Erfahrungen zu profitieren. Der Vergleich der früheren Pros und Contras mit Ihren aktuellen Erfahrungen bringt Erkenntnisse von hohem Nutzwert, die allen Ihren künftigen Sourcingvorhaben (In or Out) dienen.
 
Dr. Klaus-Rainer Müller, www.acg-gmbh.de
 
Diesen Artikel lesen Sie auch in der it management , Ausgabe 6-2012.
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet