IT-Outsourcing

Die Suche nach dem richtigen Partner ist kein Speed-Dating

Uhr | Aktualisiert
von Jens Borchers

In IT-Sourcing-Beziehungen hapert es oft bei der Partnerwahl: Firmen nehmen sich zu wenig Zeit, die Risikoprüfung kommt oft zu spät. Dabei sollte vor Verhandlungen eine Bewertung stattfinden.

Jens Borchers ist Senior Executive Manager Application Management ­Services bei der Steria Mummert Consulting GmbH.
Jens Borchers ist Senior Executive Manager Application Management ­Services bei der Steria Mummert Consulting GmbH.

Der Schlüssel zu erfolgreichem Outsourcing ist und bleibt die sorgfältige Vorbereitung. Generell sollten sich Unternehmen bewusst machen, dass es um eine Partnerschaft unter Profis geht. Beide Seiten verfolgen durchaus eigene Interessen. Sie wollen den für sich maximalen Ertrag aus dem Outsourcing-Deal erzielen – nicht nur finanziell, sondern auch in puncto Qualität und Time-to-Market. Deshalb gilt es, die Ausgangsbedingungen für die spätere Zusammenarbeit kritisch und einvernehmlich zu bewerten und einen gemeinsamen Nenner zu finden. Dabei helfen klassische Verfahren zur Anbahnung eines Outsourcing-Vertrags nur bedingt.

Normalerweise laufen Outsourcing-Kooperationen so ab: Request for Proposal, darauf geben Provider ein Angebot ab. Verhandlungen mit Anbietern der Shortlist, schliesslich Vertragsabschluss mit dem gewählten Outsourcing-Partner und Übergabe der verabredeten Leistungen (Service-Transition), inklusive Due Diligence, sprich der Auflistung und Bewertung sämtlicher Risiken. Bei dieser Reihenfolge kommt die Due Diligence zu spät. Unternehmen sollten bereits vor abschliessenden Vertragsverhandlungen genau wissen und prüfen, welche Auswirkungen ein Auslagern bestimmter Tätigkeiten und Prozesse hat – und zwar gemeinsam mit dem präferierten Dienstleister. So erfolgt die Bewertung der zu übernehmenden Systeme und Services einvernehmlich – die erste Klippe ist umschifft.

Verantwortung für Informationssicherheit nicht auslagern

Nicht zu unterschätzen: das Thema Datenschutz. Ein verbreiteter Irrtum ist, dass der Outsourcing-Partner die volle Verantwortung für die Informationssicherheit übernimmt. Diese lässt sich jedoch nicht auslagern, sondern verbleibt bei der Leitung des Auftrag­gebers. Externe Dienstleister übernehmen stets nur festgelegte Aufgaben und Rollen. Die Gestaltung dieser Leistungen und deren Kon­trolle liegen beim auslagernden Unter­nehmen.

Deshalb gilt auch beim Datenschutz: Vertrauen ist gut, genügt aber nicht. Klare, detaillierte und schriftlich fixierte Absprachen sind unabdingbar. In solch einem Regelwerk muss eine genaue Rollen- und Berechtigungsdefinition enthalten sein. Darüber hinaus sollte vereinbart sein, dass der Auftraggeber die verabredeten Sicherheitsmassnahmen beim Dienst­leister regelmässig überprüfen darf. Denn mangelnde Kontrolle birgt das Risiko, dass der Provider festgelegte Abwehrmassnahmen gegen Ausfälle und Datenabflüsse schleichend vernachlässigt.

Ziele realistisch formulieren

Die Ziele sollten die Partner in spe frühzeitig und zur Zufriedenheit aller festlegen. In die Zielvereinbarungen gehört auch, welche Leistungen der Provider durch Industrialisierung sicherer und günstiger, aber ohne Serviceeinbussen abwickeln kann. Dabei sollten sich Auftraggeber von einem Trugschluss verabschieden: Man spart nicht mit Outsourcing, sondern schafft vor allem Freiräume für wertschöpfende Arbeit. Man entledigt sich Aufgaben und Prozesse, die ohnehin standardisiert ablaufen. Kostenreduzierungen sind immer mit entsprechenden Standardisierungen verbunden. Es muss ebenso klar sein, dass nicht alles wie bisher, nur billiger, abgewickelt wird. Die Devise «run my mess for less» ist zum Scheitern verurteilt.

So konkret wie möglich ausschreiben

Je konkreter die Ausschreibung, desto einfacher lässt sich der Vertrag gestalten. Neben der Ist-Situation sollte auch die erwartete Entwicklung skizziert werden. Diese Erwartungen spielen eine ebenso wichtige Rolle wie vereinbarte Handlungsszenarien für den Fall, dass Prozesse nicht wie geplant ablaufen. Ein gerne vernachlässigter, aber keineswegs trivialer Punkt sind gemeinsame Definitionen und Erläuterungen verwendeter Begrifflichkeiten, etwa in Form eines vertraglich vereinbarten Glossars. Beim Formulieren kann man auf vorhandene Standards zurückgreifen. Das spart Zeit und vermeidet, dass wichtige Punkte nicht angesprochen werden. In der Regel lassen sich 90 Prozent der Vorgaben wie Servicekatalog, Service-Levels, Compliance und Governance problemlos auf Basis von ITIL oder ISO 20000 festlegen.

Konflikte einplanen und lösen

Auch wenn in Outsourcing-Verträgen möglichst alle erwarteten Sondersituationen berücksichtigt werden, niemand kann vorhersehen, wie sich während einer Laufzeit von mehreren Jahren die Verhältnisse beim Kunden, Provider oder in der IT-Welt ändern. Es braucht genügend Agilität, um Entwicklungen gerecht zu werden, ohne den Vertrag infrage zu stellen. Es geht darum, sich im Vertrag auch auf ein Vorgehen zu verständigen, wenn Prozesse nicht so laufen wie am Reissbrett erdacht. Diese eingebaute Flexibilität widerspricht nicht dem Bekenntnis zu klaren Absprachen und Vertragsdetails. Die Chancen, eine Kluft zu überwinden, steigen mit einer gründlichen Vorarbeit erheblich.