Risikomanagement als Bestandteil einer Sourcing-Strategie

Risiko muss als integraler Bestandteil einer Sourcing-Strategieentwicklung angesehen werden und Risikomanagement muss den gesamten Sourcing-Zyklus begleiten.

IT-Anwender bewerten Outsourcing-Risiken zu oft noch in unkoordinierter Art und Weise, das heißt als separate Einzelbetrachtungen, beispielsweise innerhalb organisatorischer ‘Silos’, innerhalb einer einzelnen Outsourcing-Transaktion oder im Hinblick auf die Zusammenarbeit mit einem bestimmten Dienstleister. Der Fokus liegt üblicherweise auf den negativen Finanzimplikationen, nicht aber auf sich ergebenden Geschäftschancen. Aus diesem Grund sind Anwender oft nicht in der Lage, Nutzen aus solchen Geschäftschancen zu ziehen und somit die sich durch Outsourcing ergebenden Möglichkeiten voll auszuschöpfen.

Outsourcing erfordert ein Verständnis von Marktdynamik und Branchentrends, zur besseren Beurteilung von Sourcing-Optionen, zur optimalen Kombination von internen und externen Fähigkeiten, zur Integration von operativen Prozessen, und zur Risikominimierung. Oft sind es jedoch neu entstehende Anforderungen in einzelnen Geschäftsbereichen, die Auswirkungen auf Serviceumfang und -erbringung haben und somit auch neue Risiken mit sich bringen, die in der Entwicklung der Sourcing-Strategie und während der Outsourcing-Vertragsverhandlungen nicht berücksichtigt wurden.

Aus diesem Grunde ist ein systematisches, kontinuierliches Risikomanagement über den gesamten Sourcing-Lebenszyklus hinweg unerlässlich, um Werte, Risiken und Auswirkungen von Sourcing-Optionen effektiv bewerten zu können. Dies wird in Zukunft eine wichtige Kompetenz der IT Anwender – nicht nur um potenzielle Risiken und finanzielle Verluste zu vermeiden, sondern auch um sich bietende Geschäftschancen nutzen zu können.

Stolpersteine im Risikomanagement

Die Schwierigkeit im Risikomanagement besteht darin, den Gefährdungsgrad bekannter Risiken zu quantifizieren, sowie die Effekte unvorhergesehener Risiken zu minimieren. Gleichzeitig variiert auch die Risikobewertung, abhängig von der Risikofreudigkeit des Verantwortlichen. Zusätzlich können in der Due-Diligence-Phase getroffene Annahmen nach einiger Zeit unzutreffend und überholt erscheinen.

Trotzdem verfolgen viele Anwender das Outsourcing als taktische Aktivität, in der Annahme, dass der Dienstleister die Risiken trägt, und nicht wissend, welche Risikotypen und -level dieser Dienstleister noch akzeptiert.

Dies resultiert oft in einer schlecht definierten Beziehung zwischen Anwender und Dienstleister, in der der Anwender versucht, möglichst viele Risiken auf den Dienstleister abzuwälzen (zu vorhersehbaren Preisen), wohingegen letzterer seine eigene Risikobewertung durchführt mit dem Ziel, Risikoauswirkungen auf Gewinnmargen und Serviceumfang (zu variablen Preisen) möglichst gering zu halten.

Auch werden Outsourcing-Risiken oft nur im Vorfeld eines Vertrags analysiert, wenn es darum geht, die Genehmigung der Entscheidungsträger zu erhalten. Dies sind jedoch nur quantitative Bewertungen, die nicht alle Risikoszenarien identifizieren.