Hier geht es zur:

Anmeldung

Sie werden weitergeleitet auf die Anmeldeseite unseres Partners Deutscher Outsourcing Verband e.V.

Die Entscheidung für IT-Outsourcing ist gefallen, die Konzeptionsphase abgeschlossen, Ausschreibung und Verhandlungen sind erfolgreich beendet – der Vertrag ist unterzeichnet. Viele Unternehmen lehnen sich bezüglich der anstehenden Phase “IT-Transition” jetzt zurück und vertrauen darauf, dass der Dienstleister beziehungsweise Service Provider die Übernahme der Services eigenständig vorbereitet. Doch Vorsicht: Dieser Ansatz birgt erhebliche Risiken.

Ein Dienstleister kennt weder die spezifische Architektur des aktuellen Services des Kunden noch dessen internen Abläufe und Strukturen. Damit die Transition gelingt und der externe Betrieb später reibungslos funktioniert, müssen beide Parteien aktiv zusammenarbeiten. Nur durch eine gemeinsame Steuerung und klare Rollenverteilung entsteht ein stabiler und den Qualitätsanforderungen gerecht werdender Service sowie eine vertrauensvolle Partnerschaft. Im Folgenden zeigen wir, worauf Auftraggeber besonders achten sollten.

 

Einführung

Die weit verbreitete Annahme, der Dienstleister werde „alles regeln“, ist trügerisch. Ohne die aktive Beteiligung des Auftraggebers fehlt essenzielles Wissen über bestehende Systeme, Prozesse und Verantwortlichkeiten beim Dienstleister. Das kann zu Verzögerungen, Qualitätsproblemen und erhöhten Kosten führen. Deshalb empfiehlt sich, die Transition als ein gemeinsames Projekt anzugehen – und der Kunde trägt hierbei eine Schlüsselrolle. Wir zeigen im Folgenden vier Schlüsselfaktoren auf, die dazu beitragen, dass mit der Transition eine vernünftige Basis für einen guten externen IT-Service, eine gute Zusammenarbeit und eine effiziente Steuerung des Dienstleisters gelegt wird.

 

 

Schlüsselfaktoren für eine erfolgreiche IT-Transition

 

1. Aufbau eines eigenen Projektteams

Das Kunden-Unternehmen sollte ein eigenes internes Projektteam aufstellen, das aus Experten für die outzusourcenden Services besteht. Sollte der Service schon outgesourct sein und es erfolgt ein Wechsel zu einem neuen Service Provider (2.-Generation-Outsourcing), so sind Mitarbeiter des bisherigen Service Providers einzubinden. Diese Experten übernehmen Zuarbeiten, stellen den notwendigen Wissenstransfer zum neuen Dienstleister sicher und führen erforderliche Abnahmen der vom neuen Dienstleister im Rahmen der Transition geschaffenen Ergebnisse durch. Hierfür benötigen sie auch ausreichend freie Ressourcen.

Darüber hinaus ist auch intern ein erfahrener Projektleiter bereitzustellen. Er agiert gemeinsam mit dem Projektleiter des Dienstleisters als Doppelspitze. Diese Rolle kann intern besetzt werden oder, wenn die Kompetenz und Erfahrung für die Leitung eines Transition-Projekts nicht vorhanden ist, durch einen ausreichend erfahrenen externen Berater. Wichtig ist, dass er über ausgeprägte Projektmanagement-Kompetenz, ausreichend technisches Verständnis sowie hervorragende Kommunikationsfähigkeiten verfügt – sowohl gegenüber dem Dienstleister als auch gegenüber internen Abteilungen und der Managementebene.

 

2. Etablierung eines Governance-Rahmens für die IT-Transition

Zu Beginn der Transition sollte gemeinsam mit dem Dienstleister ein angemessener Governance-Rahmen für das Projekt vereinbart und etabliert werden. Hierzu gehört insbesondere ein gemeinsam mit dem Dienstleister erstellter, realistischer Projektplan, der klare Meilensteine und Verantwortlichkeiten definiert.

Zudem ist ein Projektstatus-Reporting aufzusetzen, das für Transparenz bezüglich des Projektfortschritts sorgt und ein Risikomanagement zu etablieren, das die frühzeitige Erkennung und die Überwachung von Risiken in der Transition ermöglicht.

Darüber hinaus sollte ein Lenkungsausschuss eingerichtet werden, der den Projektfortschritt überwacht, Risiken bewertet und notwendige Entscheidungen trifft.

Ebenso wichtig ist eine kontinuierliche interne Kommunikation, um alle betroffenen Stakeholder im Unternehmen über den Stand der Transition zu informieren. Nur so kann die Basis für die erforderliche Akzeptanz der zukünftig extern erbrachten Services im Unternehmen geschaffen werden.

Ein funktionierendes Eskalationsmanagement sowie ein strukturiertes Claim Management sind zudem erforderlich, um Konflikte und Forderungen beider Seiten zeitnah zu klären.

 

3. Schaffung einer Kooperationskultur

Zu Beginn der Partnerschaft sollten sich beide Parteien darauf verständigen, sich nicht als Gegner, sondern als Partner zu betrachten. Der Grundstein für eine konstruktive Kooperationskultur sollte idealerweise schon im Vertrag mit dem Dienstleister durch entsprechende Formulierungen gelegt sein.

Eine gute Grundlage für eine Kooperationskultur ist die Win-Win-Strategie: grundsätzlich ist stets gemeinsam nach Lösungen zu suchen, die für beide Seiten vorteilhaft sind, d.h. den Interessen beider Parteien entgegenkommen. Eine derartige Kultur muss bereits in der Phase der IT-Transition aktiv etabliert werden. Sie sollte auch in der späteren Betriebsphase weitergepflegt werden.

 

4. Vorbereitung des Providermanagements

Die im Outsourcing-Vertrag vereinbarten Gremien sind im Rahmen der Transition im Detail zu planen. Dies betrifft Aufgaben und Zuständigkeiten sowie die konkrete Zusammenarbeit in diesen Gremien und die Organisation der regelmäßigen Meetings je Gremium. Die Ergebnisse sollten – wie alle anderen in der Transition erarbeiteten Ergebnisse – angemessen dokumentiert werden.

Darüber hinaus ist die Einführung einer toolgestützten Messung der vertraglich vereinbarten Service Levels notwendig, um die Einhaltung der Service Levels transparent zu überwachen.

Ein auf den Messergebnissen aufsetzendes Service-Level-Reporting ist zu planen und zu implementieren. Es sollte einen schnellen Überblick über die Gesamtqualität des Services und mögliche Service-Level-Unterschreitungen bieten. Drill-Down-Funktionen im Report helfen dabei, Details und Ursachen von Abweichungen schnell identifizieren zu können. Dies ermöglicht eine effiziente Vorbereitung der Serviceverantwortlichen auf beiden Seiten für Gremien-Meetings.

Zudem sollten die am Providermanagement beteiligten Mitarbeiter geschult werden. Die Schulungen oder Einweisungen betreffen erforderliche Kompetenzen für das Providermanagement (laterales Führen, Kommunikation, Konfliktmanagement usw.) sowie im eigenen Unternehmen geltende Outsourcing-Standards und bereitgestellte Tools.  Diese Tools sollten den Mitarbeitern alle relevanten Informationen für die Providersteuerung zugänglich machen.

 

Fazit – IT-Transition

Eine erfolgreiche Transition im Rahmen eines IT-Outsourcings erfordert mehr als die bloße Übergabe an den Dienstleister. Sie lebt von aktiver Mitwirkung, klarer Steuerung und einer partnerschaftlichen Zusammenarbeit. Zudem sind die Voraussetzungen für das Providermanagement angemessen vorzubereiten. Wer diese Punkte beherzigt, schafft die Basis für einen stabilen externen Betrieb und eine langfristig erfolgreiche Outsourcing-Beziehung.

Benötigen Sie Unterstützung bei der Transition Ihres IT-Outsourcing-Projekts? Kontaktieren Sie uns für eine individuelle Beratung.

In der heutigen Geschäftswelt sind IT-Serviceverträge die entscheidende Grundlage der Zusammenarbeit von outsourcenden Unternehmen und ihren Service Providern. Ein gut ausgearbeiteter Vertrag kann den Unterschied zwischen einer reibungslosen Zusammenarbeit und ständigen Konflikten ausmachen. Auf Basis unserer in diversen Outsourcing-Projekten gesammelten Erfahrungen wollen wir 10 wichtige Aspekte beleuchten, die in einem IT-Servicevertrag geregelt sein sollten, um eine effektive Providersteuerung zu gewährleisten.

Eingrenzung

Dabei legen wir keinen Wert auf Vollständigkeit: viele weitere Aspekte sollten in IT-Serviceverträgen ebenfalls und der Outsourcing-Situation angemessen geregelt sein. Hierzu zählen unter anderem Haftung, Gewährleistung, Zahlungsbedingungen, Vertraulichkeit, Vertragslaufzeit, Kündigungsbedingungen, Wissens- und Compliance-Management. Also werfen wir einen Blick auf die Aspekte, die aus unserer Sicht insbesondere über das Wohl und Wehe der Kooperation mit Service-Providern entscheidet. Von uns für Sie zusammengefasst: IT-Serviceverträge – 10 wichtige Aspekte

Abbildung 1: IT-Serviceverträge – 10 wichtige Aspekte aus Sicht der Providersteuerung

Zehn Aspekte

1. Klare Leistungsspezifikation

Im Servicevertrag sind die zu erbringenden Leistungen so klar und exakt wie möglich zu definieren. Dies betrifft neben Art und Umfang der Leistungen auch die erwartete Servicequalität. Letztere wird im Vertrag üblicherweise durch Service Levels spezifiziert. Das Verfahren, wie die Einhaltung der Service Levels gemessen wird, sollte ebenfalls im Vertrag geregelt sein.

Bei der Spezifikation der erwarteten externen Leistungen ist es wichtig, die Mitwirkungspflichten des Auftraggebers genau festzulegen. Sind weitere Service-Provider für das outsourcende Unternehmen tätig, so sind klare Leistungsabgrenzungen zwischen allen Beteiligten zu spezifizieren. Das Ziel hierbei ist, Grauzonen zwischen Provider und Auftraggeber sowie Provider und anderen Providern zu minimieren.

Zudem sind die Rahmenbedingungen festzulegen, unter denen der Service Provider die Leistungen erbringen soll. Dies können zum Beispiel Servicezeiten und Ortsgegebenheiten sein.

Klare Leistungsspezifikationen und messbare Service Levels helfen dabei, die Erwartungen beider Parteien zu steuern und bieten eine Grundlage für die Bewertung der Servicequalität.

2. Preisgestaltung und Abrechnungsmodalitäten

Ein transparenter und fairer Preismechanismus ist essenziell, um Missverständnisse und Streitigkeiten zu vermeiden. Der Vertrag sollte detailliert festlegen, welche Leistungen zu welchem Preis erbracht werden und wie die Abrechnung erfolgt. Variable Kosten, wie zum Beispiel für zusätzliche Services oder Überstunden, sollten ebenfalls klar geregelt sein.

3. Change Management

Änderungen an den IT-Services sind unvermeidlich, sei es durch technologische Weiterentwicklungen oder veränderte Geschäftsanforderungen beim Auftraggeber. Ein effektives Change Management im Vertrag stellt sicher, dass Änderungen strukturiert und kontrolliert durchgeführt werden. Dies beinhaltet die Definition von Prozessen für die Anforderung, Bewertung, Beauftragung und Implementierung von Änderungen sowie die Kommunikation zwischen den Parteien.

4. Risikomanagement

Ein guter IT-Servicevertrag sollte auch Regelungen für den Umgang mit Risiken und Notfällen enthalten. Dies umfasst die Identifikation potenzieller Risiken, die Entwicklung von Maßnahmenplänen und die regelmäßige Überprüfung und Aktualisierung dieser Pläne. Ziel ist es, die Auswirkungen von Störungen proaktiv zu minimieren und die Kontinuität der Geschäftsprozesse zu gewährleisten.

5. Berichterstattung, Rollen und Kommunikation

Regelmäßige Berichterstattung und eine offene Kommunikation sind entscheidend für eine erfolgreiche Providersteuerung. Der Vertrag sollte festlegen, welche Informationen (insbes. im Rahmen des SLA-Reporting) ein Provider in welchen Abständen liefern muss und wie die Kommunikation zwischen den Parteien organisiert ist. Für den regelmäßigen Austausch und das Fällen von Entscheidungen sind angemessene Rollen und Gremien sowie deren Aufgaben und Zusammenspiel im Vertrag zu definieren.

Dies ermöglicht insbesondere eine kontinuierliche Überwachung der Servicequalität, eine frühzeitige Identifikation von Problemen sowie eine angemessene Weiterentwicklung der Services.

6. Kooperation

Im Vertrag sollte der Service-Provider auch zu kooperativem Verhalten verpflichtet werden. Dies gilt nicht nur für die Zusammenarbeit mit dem Auftraggeber, sondern auch mit dessen weiteren Dienstleistern. Als Basis sollten gemeinsame Ziele im Vertrag definiert sein. Für das kooperative Verhalten können dann gemeinsame Werte und Regeln vereinbart werden.

7. Eskalationsverfahren

Ein klar definiertes Eskalationsverfahren ist wichtig, um Konflikte schnell und effektiv zu lösen. Der Vertrag sollte festlegen, welche Schritte unternommen werden, wenn Probleme auf einer Ebene nicht gelöst werden können und wer dann anschließend für die Lösung verantwortlich ist. Dies hilft, Missverständnisse zu vermeiden und sicherzustellen, dass Probleme zeitnah adressiert werden.

8. Leistungsüberprüfung und Audits

Periodische Leistungsüberprüfungen und Audits helfen dabei, die Einhaltung der vertraglich vereinbarten Standards sicherzustellen. Der Vertrag sollte festlegen, wie oft diese Überprüfungen stattfinden und welche Kriterien dabei angewendet werden. Dies ermöglicht es, frühzeitig Abweichungen zu erkennen und Gegenmaßnahmen zu ergreifen.

9. Kontinuierliche Verbesserung und Innovation

Ein guter IT-Servicevertrag sollte auch Regelungen zur Förderung von Innovation und kontinuierlicher Verbesserung enthalten. Dies kann die Verpflichtung des Providers umfassen, regelmäßig neue Technologien und Best Practices zu evaluieren und dem Kunden Vorschläge zur Optimierung der IT-Services zu unterbreiten. Zudem sollte im Vertrag festgelegt sein, wie Verbesserungsideen geplant und umgesetzt werden. Dies gilt insbesondere, wenn mehrere Service-Provider zusammenarbeiten müssen, um Verbesserungen zu realisieren.

10. Exit-Strategie

Eine gut durchdachte Exit-Strategie ist entscheidend, um bei Vertragsbeendigung einen reibungslosen Übergang zu einem neuen Provider oder zur Rückführung der Services ins Unternehmen zu gewährleisten. Der Vertrag sollte klare Regelungen für den Übergabeprozess, die Datenmigration und die Unterstützung durch den bisherigen Provider enthalten.

 

Fazit: IT-Serviceverträge – 10 wichtige Aspekte

Ein gut ausgearbeiteter IT-Servicevertrag ist das Fundament für eine erfolgreiche Zusammenarbeit zwischen Auftraggeber-Unternehmen und IT-Service-Providern. Die zehn genannten Aspekte – klare Leistungsspezifikation, Preisgestaltung und Abrechnungsmodalitäten, Change Management, Risikomanagement, Berichterstattung und Kommunikation, Kooperation, Eskalationsverfahren, Audits, kontinuierliche Verbesserung sowie Exit-Strategie sind entscheidend, um eine effektive Providersteuerung zu gewährleisten und Konflikte zu minimieren.

Als Providermanager sollten Sie darauf achten, dass diese Punkte in Ihren Verträgen klar und präzise geregelt sind, um eine reibungslose und erfolgreiche Zusammenarbeit zu ermöglichen. Wenn Sie mit mehreren Service-Providern arbeiten, macht es Sinn, einheitliche Vertragsregelungen mit allen Parteien zu vereinbaren. Dies vereinfacht die Zusammenarbeit aller Parteien, aber auch die Providersteuerung.

Ein guter Vertrag allein sichert noch nicht einen guten Service und eine reibungslose Kooperation. Aber er bildet die erforderliche Grundlage dafür.  Ein konsequentes Erwartungsmanagement sowie ein aktives Beziehungsmanagement sind notwendig, um mit IT-Outsourcing auch langfristig erfolgreich zu sein.

Erfolgreiches IT-Outsourcing  erfordert eine Providersteuerung mit Tools, die stets den Zugang zu notwendigen Informationen sicherstellen. In dynamischen IT-Landschaften mit Cloud-Lösungen und “As-a-Service”-Modellen ist es entscheidend, externe Service-Provider effektiv zu überwachen. Governance-Vorgaben und Compliance-Regeln bieten einen Ordnungsrahmen, stellen aber allein nicht einen guten IT-Service sicher. Viele Unternehmen setzen für an der Providersteuerung Beteiligte eine ungeeignete Tool-Landschaft ein und das führt zu ineffizienten Arbeitsabläufen. Eine umfassende IST-Analyse der bestehenden Tool-Landschaft identifiziert Schwachstellen wie redundante Datenhaltung und fehlende Schnittstellen. Basierend darauf wird ein Soll-Konzept entwickelt, das ein Datenmodell und ein flexibles Berechtigungskonzept umfasst, um die Zugänglichkeit und Transparenz der Informationen für alle Beteiligten zu verbessern.

Ein möglicher Ansatz für Providersteuerung-Tools ist die Nutzung von Werkzeugen wie MS SharePoint. Denn das ermögicht einen zentralen Zugang zu allen relevanten Daten – auch aus verschiedenen Systemen. Dies erleichtert die Verknüpfung von Informationen und den Einsatz von KI-Funktionen, um die Effizienz zu steigern und manuelle Prozesse zu reduzieren. Hierbei sollte die Implementierung schrittweise erfolgen und durch Schulungen und Kommunikation unterstützt werden. Ausgereifte, integrierte Tools zur Providersteuerung sparen Zeit und Kosten und stärken die Position des Unternehmens gegenüber Service-Providern. Eine effiziente Tool-Landschaft für die Providersteuerung ist somit ein bedeutender Faktor für den Erfolg der IT-Services.

Lesen Sie im nachfolgenden Whitepaper, wie Sie eine für Ihre Organsiation angemessene Toolumgebung für Ihre Providersteuerung gestalten können.

Lieferantenbewertung in Multi-Provider-Umgebungen: Bringt diese wirklich einen Mehrwert? In vielen Unternehmen, die IT-Services outgesourct haben, wird die Lieferantenbewertung häufig erst einmal als nachrangig angesehen. Nach dem Outsourcing liegt der Fokus zunächst darauf, eine funktionierende Providersteuerung zu etablieren. In der Regel greifen Unternehmen das Thema dann nicht wieder auf, da man sich keinen großen Nutzen erwartet. Wir zeigen auf, dass sich eine Lieferantenbewertung lohnt, wie man sie gestalten und die Ergebnisse konsequent zum eigenen Vorteil nutzen kann. 

1. Eingrenzung der Betrachtung 

Die Lieferantenbewertung dient dazu, die Leistungsfähigkeit der Lieferanten des eigenen Unternehmens transparent zu machen. Sie soll kein Selbstzweck sein. Die Bewertung ist ein Mittel, um eine zielgerechte Selektion und Entwicklung von Lieferanten zu ermöglichen. Wir fokussieren uns im Folgenden auf die Bewertung von bereits beauftragten IT-Service-Providern und deren Entwicklung. Die Auswahl von neuen IT-Service-Providern betrachten wir in diesem Artikel nicht. 

 

2. Ausgangssituation  

Wenn in Unternehmen überhaupt eine Lieferantenbewertung bei IT-Service-Providern erfolgt, dann oft nur beim Einkauf und mit dem Fokus auf für ihn relevante, eher kaufmännische Kriterien. Dies sind insbesondere Kriterien wie Preis, Termintreue und Lieferzuverlässigkeit, sowie die Handhabung von Angebotsanfragen. Inhaltliche Aspekte wie die Servicequalität und die Kooperation, die für das Providermanagement essenziell sind, werden häufig nicht oder nur am Rande mit betrachtet. 

 

3. Ziele und Nutzen 

Lieferantenbewertungen können verschiedenen Zielsetzungen dienen, d.h. die Bewertungsergebnisse können zu unterschiedlichen Zwecken verwendet werden. Im Folgenden werden drei mögliche Zielsetzungen aufgezeigt: 

 

Abbildung 1: Zielsetzungen von Lieferantenbewertungen

 

Bewertungen können dazu dienen, die Leistung von einzelnen Service-Providern zu optimieren. Schwachstellen werden aufgedeckt und können dann – idealerweise über einen etablierten kontinuierlichen Verbesserungs-Prozess (KVP) – beseitigt werden. Hierbei können teils auch Schulungs- und Entwicklungsmaßnahmen durch den Auftraggeber notwendig werden. 

Des Weiteren kann auf Basis der Bewertung auch die Zuordnung der Services zu Providern verbessert werden. Dies erfolgt idealerweise im Rahmen der jährlichen Überprüfung der Sourcing-Strategie. Es wird mit Blick auf das gesamte Service-Portfolio geprüft, welche Service-Provider zukünftig aufgrund ihrer Bewertung und Entwicklung zusätzliche Aufgaben übernehmen sollen und welche eher reduziert oder nicht mehr eingesetzt werden. Hierbei hilft in einigen Situationen, Bewertungen der Service-Provider vergleichen zu können. Dies sollte die Bewertungsmethodik unterstützen. 

Eine weitere Zielsetzung ist das Sicherstellen von Compliance bei den Service-Providern. So wird zum Beispiel die Einhaltung von Nachhaltigkeitsregeln transparent , wie sie das gerade eingeführte deutsche Lieferkettengesetz oder internationale ESG-Richtlinien vorgeben. (Die Bewertungsergebnisse sollten durch ergänzende Audits beim Service-Provider abgesichert und konkretisiert werden). 

 

4. Gestaltung der Lieferantenbewertung 

Die Gestaltung der Lieferantenbewertung sollte sich an den angestrebten Zielen ausrichten. Was heißt das konkret? Die Bewertung ist kein Selbstzweck, sondern immer Mittel zum Zweck: sie stellt Daten bereit, auf Basis derer Verbesserungen eingeleitet werden. Dies können Verbesserungen sein, die in der Verantwortung des Einkaufs, des Providermanagements oder weiterer Stellen liegen. Unabhängig von der Zuständigkeit muss die Zusammenstellung der Bewertungskriterien die erforderlichen Daten für die Planung und Umsetzung dieser Verbesserungen liefern.   

 

Kriterien und ihre Bewertung 

Grundsätzlich sind quantitative und qualitative Kriterien für die Bewertung einsetzbar. Quantitative Kriterien sind messbar, wie zum Beispiel die Einhaltung von vereinbarten Service- Levels. Den Erfüllungsgrad von qualitativen Kriterien, zum Beispiel die Kompetenz der Mitarbeiter:innen des Service-Providers, können Unternehmen mangels Messmethode im Rahmen von Umfragen ermitteln. Er wird durch die Vergabe von Punkten – bei vorgegebener Punkteskala, z. B. von 0 bis 10 – bewertet.  

Um das Bewertungsverfahren schnell aufsetzen zu können, ermitteln einige Unternehmen Lieferantenbewertungen ausschließlich auf Basis von Umfragen.
Wir empfehlen, alle quantitativen Kriterien grundsätzlich zu messen und die Ergebnisse möglichst automatisiert in die Bewertung einfließen zu lassen. Der Grund hierfür: Der manuelle Aufwand für die Service-Provider-Bewertungen reduziert sich hierdurch deutlich, es sind nur noch die qualitativen Kriterien über eine Umfrage durch Personen zu bewerten. Zudem sind die Ergebnisse objektiver als bei Umfragen.    

Welche Kriterien sind nun einzubeziehen? Wie schon dargestellt, richtet sich das danach, was mit den Bewertungsergebnissen angefangen werden soll. Grundsätzlich macht es Sinn, Kriterien aus den folgenden Gruppen abzuleiten:  

 

Abbildung 2: Kriterien-Gruppen für Lieferantenbewertung

 

• aus dem SLA-Reporting ableitbare Servicequalität,
  d.h. Erfüllen der vertraglich vereinbarten Leistungen und Service Levels, 
• Wirtschaftlichkeit der externen Services,
  d.h. Preise in Relation zum Markt,  
• Soft Facts,
  z.B. Mitarbeiterkompetenzen, Proaktivität, Flexibilität, Kooperation, 
• Compliance,
  Einhaltung von Vorgaben, z. B. der Datenschutzgrundverordnung (DSGVO) und des Lieferkettengesetzes (Nachhaltigkeit, Menschenrechte), 

• Leistungsangebot,
  d.h. das Potenzial des Service-Providers, zukünftige Anforderungen decken und weitere Servicebereiche übernehmen zu können. 

 

Toolunterstützung 

Wir hatten schon oben betont, dass der Aufwand für die Durchführung von Lieferantenbewertungen möglichst gering sein sollte. Aus diesem Grund empfiehlt es sich, eine Toolunterstützung für Bewertungen zu schaffen, die insbesondere 

• eine möglichst weitgehende Automatisierung eines Teils der Bewertung (insbesondere Service-Levels, abgeleitet aus den Datenbeständen der SLA-Reports) leistet, 

• Umfragen technisch so unterstützt, dass diese mit geringem Aufwand bei allen Beteiligten abgewickelt werden können, 
• verständliche Berichte für Auswertungen auf Knopfdruck bereitstellt, 
• auch Trends über mehrere Bewertungszyklen auswertbar macht. 

 

5. Bewertungsdurchführung und Auswertung 

Es ist wichtig, eine für Lieferantenbewertungen verantwortliche Rolle festzulegen, die für die Weiterentwicklung des Bewertungsverfahrens, sowie für die Koordination der Durchführung einzelner Bewertungen und der Bereitstellung der Ergebnisse für diese weiterverarbeitende Stellen zuständig ist. 

Der Umfrage-Teil einer Bewertung sollte von ausgewählten, an der Servicenutzung bzw. am Providermanagement Beteiligten beantwortet werden. Abhängig vom Service können dies unter anderem Providermanager:innen, interne IT-Mitarbeiter:innen, Management-Vertreter:innen, Einkauf und das Vertragsmanagement sowie Kund:innen und Anwender:innen sein. 

Die Auswertung der Ergebnisse kann auch Input für eine Lieferantenklassifizierung sein. Diese hilft auch bei der Lieferantenauswahl für zukünftige Beschaffungsmaßnahmen. Mögliche Klassen sind dabei „bevorzugte Lieferanten“, „zu entwickelnde Lieferanten“, „gesperrte Lieferanten“ (weitere Abstufungen sind möglich).  

 

6. Fazit – Lieferantenbewertung im IT-Providermanagement 

Die Lieferantenbewertung ist ein wertvolles Instrument zur Entwicklung von IT-Service-Providern und der gesamten Service-Organisation. Wichtig hierfür ist, dass das Bewertungsverfahren sauber aufgesetzt wurde. Insbesondere sollten Unternehmen auf gute Toolunterstützung mit weitreichender Automatisierung achten, um die Akzeptanz des Verfahrens und der Bewertungs-Ergebnisse bei allen Beteiligten sicherzustellen.   

Am wichtigsten aber ist, die Bewertungs-Ergebnisse für Steuerungs- und Verbesserungsmaßnahmen zu nutzen. Erzeugen Unternehmen nur schöne Reports, dann ist der Aufwand für die Lieferantenbewertung eine Fehlinvestition. 

Viele Unternehmen in Deutschland haben zunehmend mit dem IT-Fachkräftemangel zu kämpfen. Dies ist der aktuellen Entwicklung auf dem deutschen Fachkräftemarkt geschuldet: die Babyboomer gehen in den kommenden Jahren zunehmend in Rente. Die wachsenden Personalengpässe zwingen Unternehmen, im IT-Bereich über die Handhabung dieses Problems nachzudenken. Wir schauen uns mögliche Lösungsansätze und dabei neben verbessertem Recruiting insbesondere das IT-Outsourcing an. Dabei werfen wir auch einen Blick auf damit einhergehende Implikationen und auf mögliche Einsatz-Szenarien.

Ausgangssituation

IT-Fachkräfte sind aktuell begehrt und viele Unternehmen haben Schwierigkeiten, ihre offenen Stellen zu besetzen. Dies liegt im Wesentlichen an einer durch die Digitalisierung wachsenden Fachkräfte-Nachfrage bei parallelem demografischem Wandel: die jüngeren geburtenschwachen Jahrgänge können den Ausstieg der geburtenstarken Babyboomer-Generation aus dem Berufsleben nicht ausgleichen. Und das Problem wird sich in den nächsten Jahren noch deutlich verschärfen, da die Masse der Babyboomer den Berufsausstieg noch vor sich haben (siehe Abbildung 1, gestrichelter Kasten).

Auch Fachkräfte aus dem Ausland können die größer werdende Lücke nicht annähernd schließen. Aus diesem Grund muss jedes Unternehmen für seine Situation einen Lösungsansatz für dieses Problem planen und umsetzen.

 

Mögliche Lösungsansätze für den IT-Fachkräftemangel

Für viele Unternehmen wird ein Lösungsansatz erforderlich sein, der auf eine Kombination von Maßnahmen setzt. Insbesondere folgende Maßnahmen können dabei in Betracht kommen:

• Verbesserung der Recruiting-Maßnahmen
• Aufbau eigener IT-Teams im Ausland
• IT-Outsourcing

Im Folgenden beleuchten wir die mögliche Ausgestaltung dieser Maßnahmen etwas näher und geben eine Einschätzung.

 

Verbesserung der Recruiting-Maßnahmen

Um erfolgreich neue IT-Fachkräfte für das eigene Unternehmen gewinnen zu können, muss der eigene Recruiting-Prozess auf Arbeitnehmermärkte ausgelegt sein. Das heißt, dass Arbeitnehmer sich die Stellen aussuchen können und von – Fachkräfte suchenden – Arbeitgebern umworben werden. Wesentliche Aspekte bei dieser Neuausrichtung des Recruiting-Prozesses sind:

• die Attraktivität der zu besetzenden Arbeitsplätze ist zu erhöhen, um den gestiegenen Anforderungen potenzieller Bewerber gerecht werden zu können. Hier spielen neben dem Gehalt insbesondere Faktoren wie eine angenehme Unternehmenskultur und attraktive Arbeitsbedingungen (u.a. zeit- und ortsflexible Arbeit, Weiterbildungsangebote) eine Rolle.
• Die Stellenangebote und die darin adressierten, eben genannten Faktoren sind angemessen zu vermarkten. Zudem sind potenzielle Kandidaten aktiv zu bewerben. Es müssen zusätzliche Kanäle aufgetan werden, um die Aufmerksamkeit von Fachkräften zu erlangen. Dies können zum Beispiel Soziale Netzwerke und Personalmessen sein.
• Der Recruiting-Prozess muss ausreichend schnell und flexibel sein. Sind zum Beispiel Rückmeldungen zu langsam oder Entscheidungswege zu lang, werden Bewerber von Arbeitsgeber-Konkurrenten weggeschnappt.

Grundsätzlich kann aber in den meisten Fällen der wachsende Fachkräftebedarf durch verbessertes Recruiting allein nicht gelöst werden, da das Fachkräfteangebot zu gering ist. Dies kann meistens nur eine ergänzende Maßnahme sein.

 

Aufbau eigener IT-Teams im Ausland

Ist eine größere Anzahl an IT-Fachkräften anzuheuern, dann kann der Aufbau eines eigenen IT-Teams im Ausland eine Option sein. Hierfür sind insbesondere solche Länder interessant, die einen hohen Anteil junger Menschen in ihrer Bevölkerungsstruktur aufweisen. Des Weiteren sollte ein solches Land stabile wirtschaftliche Rahmenbedingungen, einen ausreichend entwickelten IT-Sektor, gute Ausbildungseinrichtungen und ein qualifiziertes IT-Fachkräfteangebot aufweisen. Bei Ländern im Nearshore- und Offshore-Sektor lassen sich durch diese Maßnahme auch deutlich Kosten sparen.

Allerdings ist der initiale Aufwand für eine solche Maßnahme sehr hoch: Passende Länder müssen bewertet und ausgewählt werden, landesspezifische Rahmenbedingungen müssen im Risikomanagement, im Business Case und bei Aufbau der Einheit berücksichtigt werden. Aus diesem Grund wird diese Maßnahme eher für große Konzerne und IT-Dienstleister interessant sein.

 

IT-Outsourcing: IT-Fachkräftemangel verlagern

Bei dieser Maßnahme geht es darum, den Anteil der outgesourcten IT-Services im eigenen Unternehmen zu erhöhen beziehungsweise Services erstmalig outzusourcen. Durch Outsourcing wird die Anzahl der intern erforderlichen IT-Fachkräfte reduziert. Das Fachkräfte-Problem wird auf den externen Service Provider verlagert: dieser steht nun in der Pflicht, für von ihm zu übernehmende Services die erforderlichen Fachkräfte mit dem richtigen Qualifikationsgrad bereitzustellen. Hierfür hat er (statt des Kunden) entsprechende Maßnahmen zu ergreifen.

Auf der Kundenseite können durch das Outsourcing zwar Fachkräfte für die Serviceerbringung abgebaut werden, aber dafür entstehen zusätzliche Aufgaben durch die erforderliche Steuerung der externen Service Provider. Hierfür ist entsprechendes Personal mit den erforderlichen Kompetenzen bereitzustellen, Kompetenzen für das Providermanagement sind in bei vielen internen Mitarbeitern erst zu entwickeln.

Sobald internes Personal für das Providermanagement nicht oder nicht im erforderlichen Umfang bereitgestellt werden kann, sind entsprechend qualifizierte Fachkräfte wieder am Arbeitsmarkt zu beschaffen. In diesem Fall besteht das Risiko, dass Stellen für das Providermanagement länger nicht besetzt werden können.

Alternativ zu der Option, internes Personal für das Providermanagement aufzubauen, können Providermanagement-Leistungen auch extern bezogen werden (wie die IT-Services). Hier sind – entsprechend dem Service Integration and Management (SIAM) Framework – wieder verschiedene Optionen möglich.

Wir fokussieren uns hier auf zwei Optionen mit externer Beteiligung:

 

(1) Providermanagement extern bezogen

Bei dieser Option setzt ein Unternehmen einen externen Dienstleister ein, der die Steuerung der externen IT-Service Provider übernimmt. Dieser Dienstleister sollte ausreichende Kompetenz und Erfahrung im Providermanagement mitbringen.

Das Unternehmen erlaubt dem Dienstleister, in seinem Namen zu handeln. Nur wenige Aktivitäten (zum Beispiel Richtlinien-Kompetenz, Entscheidungen) verbleiben intern. Mit dieser Option kann in kurzer Zeit ein professionelles Providermanagement etabliert und parallel der interne Aufwand hierfür und damit der bestehende IT-Fachkräftemangel minimiert werden.

 

(2) Providermanagement als Hybrid-Lösung

Bei dieser Option werden interne Personalressourcen durch Ressourcen eines externen Dienstleisters ergänzt, um ein angemessenes Providermanagement sicherstellen zu können.

Der mit ausreichender Kompetenz und Erfahrung im Providermanagement ausgestattete externe Dienstleister kann dabei zwei Funktionen übernehmen:

Zum einen kann er schnell eine professionelle Providersteuerung etablieren. Des Weiteren kann er die internen Mitarbeiter im Providermanagement coachen und im Tagesgeschäft deutlich entlasten.

Wichtig ist bei beiden Optionen jeweils eine klare Festlegung von Rollen und Verantwortlichkeiten zwischen Unternehmens-interner Organisation und dem Dienstleister für Providermanagement.

 

IT-Fachkräftemangel in Unternehmen handhaben – Fazit

Wenn in einem Unternehmen ein größerer Anteil des IT-Fachpersonals der Babyboomer-Generation zuzurechnen ist und in den nächsten Jahren in Rente geht, ist bei der wohl auch in Zukunft angespannten Marktlage IT-Outsourcing die Maßnahme mit dem größten Potenzial, um dem IT-Fachkräftemangel entgegenzuwirken. Je mehr IT-Services extern bezogen werden, umso mehr Aufwand entsteht im Providermanagement. Wenn auch hier qualifiziertes Fachpersonal knapp ist, kann der Einsatz eines auf Providermanagement spezialisierten Dienstleisters die Lösung sein: Je nach verfügbaren internen Personalressourcen als Ergänzung eines internen Rumpfteams oder alternativ als externe Komplett-Leistung.

Risikomanagement im IT-Providermanagement ist unerlässlich, um die Risiken beim und nach dem Outsourcing von IT-Services zu minimieren und einen reibungslosen Service-Betrieb zu gewährleisten. In der heutigen digitalen Welt wächst für Unternehmen die Abhängigkeit des Kerngeschäfts von IT-Services stetig und Erfolg oder Misserfolg des Unternehmens wird zunehmend durch Effizienz und Qualität der IT-Services mitbestimmt.
Wir zeigen im Folgenden auf, wie beim Outsourcing und insbesondere in der Betriebsphase im Rahmen des Providermanagements Risikomanagement für IT-Services gehandhabt werden kann. 

Risikomanagement im IT-Providermanagement – Einführung in die Risiko-Handhabung bei IT-Outsourcing

Das Management von Outsourcing-Risiken ist von großer Bedeutung, da es Unternehmen dabei hilft, die Stabilität, Sicherheit und Integrität ihrer IT-Systeme und Daten sicherzustellen. Zudem trägt es dazu bei, die Compliance mit ihren gesetzlichen und regulatorischen Anforderungen zu gewährleisten. Das Ziel des Risikomanagement im IT-Providermanagement ist es, Risiken, die sich aus dem Einsatz von Service-Providern ergeben, zu identifizieren, zu bewerten und Maßnahmen zu ergreifen, um diese Risiken zu minimieren.

Wichtig ist dabei, Risikomanagement in allen Phasen des Outsourcing Life Cycle aktiv zu betreiben:

 

Abbildung 1: Risikomanagement und Outsourcing-Lebenszyklus

 

In der Phase „Strategie“ werden Risiken untersucht, welche mit der Entscheidung zum Outsourcen auftreten können. In der Konzept-Phase, d.h. der Konzeption der auszusourcenden Services, werden nur Alternativen mit tragbaren Risiken berücksichtigt. In der Request-for-Proposal- (RFP-) Phase werden Providereigenschaften abgefragt und analysiert, die Rückschlüsse auf Risiken zulassen. Die Vergabe an einen Service-Provider erfolgt dann bei einem angemessenen Verhältnis von (vertretbaren) Risiken zu angestrebtem Nutzen. Notwendige Maßnahmen zur Begegnung wesentlicher Risiken sind im Vertrag mit dem Service-Provider aufzunehmen. In der Transitionsphase wird Risikomanagement im Rahmen des Projektmanagements geleistet. Zum Abschluss des Transitionsprojekts übergeben Projektmanager:innen das Risikomanagement an die Linienorganisation, damit dieses in der Betriebsphase fortgesetzt wird.

 

Risikomanagement im IT-Providermanagement – Gesetzliche und regulatorische Anforderungen

Insbesondere für regulierte Branchen wie den Finanzsektor, Versicherungen und Betreiber kritischer Infrastrukturen (KRITIS) gibt es Richtlinien und gesetzliche Vorgaben zum Risikomanagement bei IT-Outsourcing, deren Einhaltung sichergestellt werden muss. Die dort oft nur generell formulierten Vorgaben sind in konkrete Verfahren und Prozesse im jeweiligen Unternehmen umzusetzen. Beispiele für derartige Vorgaben sind unter anderem:

Finanzsektor

• Kreditwesengesetz (KWG), §25b
• EBA Leitlinien zu Auslagerungen (EBA/GL/2019/02)
• Mindestanforderungen an das Risiko-Management (MaRisk) – AT 9
• Bankaufsichtliche Anforderungen an die IT (BAIT)

Versicherungssektor 

• Das Versicherungsaufsichtsgesetz (VAG), §32
• EIOPA Leitlinien zu Sicherheit und Governance im Bereich der Informations- und Kommunikationstechnologie (EIOPA-BoS-20/600)
• Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo) – §13
• Versicherungsaufsichtliche Anforderungen an die IT (VAIT)

KRITIS-Sektor

• BSI-Standard 200-3: Risikomanagement
• BMI – Schutz Kritischer Infrastrukturen – Risiko- und Krisenmanagement · Leitfaden für Unternehmen und Behörden
• IT-Sicherheitsgesetz 2.0
• ISO/IEC 27001

 

Risikomanagement im IT-Providermanagement – Risiko-Identifikation und -analyse bei outzusourcenden IT-Services

Das Risikomanagement bei outzusourcenden IT-Services kann in zwei Phasen unterteilt werden, nämlich vor dem Outsourcing und nach dem Outsourcing (siehe Abbildung 2). Vor dem Outsourcing ist der Auftraggeber für die Durchführung des Risikomanagements allein verantwortlich und zuständig.

Nach dem Outsourcing können die Risiken in drei Gruppen unterteilt werden: Auftraggeber-Risiken, Provider-Risiken und Schnittstellen-Risiken. Auftraggeber-Risiken sind IT-bezogene Risiken, die bei dem Auftraggeber verbleiben. Es entstehen durch das Outsourcing auch neue Risiken, die vom Auftraggeber zusätzlich gemanagt werden müssen. Provider-Risiken sind Provider- und Service-bezogene Risiken, letztere werden zum Teil vom Auftraggeber an den Provider verlagert. Sie sind vom Provider zu managen. Jedoch ist der Auftragsgeber weiterhin für diese Risiken verantwortlich und muss sicherstellen, dass der Provider seinen Pflichten angemessen nachkommt. Zwischen Auftraggeber und Provider werden im Rahmen des Outsourcings organisatorische und technische Schnittstellen geschaffen, die auch Schnittstellenrisiken mit sich bringen. Eine klare Definition und Zuordnung der Zuständigkeiten bezüglich des Risikomanagements sind hier notwendig.

 

Abbildung 2: Risikomanagement vor und nach dem Outsourcing

 

Es ist auch wichtig, die verschiedenen Kategorien von Risiken im Zusammenhang mit IT-Outsourcing zu identifizieren. Die Risiko-Kategorien unterstützen bei der Einordnung von erkannten Risiken und helfen zudem bei der Überprüfung der Vollständigkeit der erfassten Risiken. Folgende können insbesondere auftreten*:

• Strategisches Risiko: tritt auf, wenn die Entscheidungen und Handlungen eines Service Providers nicht mit den strategischen Zielen des Unternehmens vereinbar sind
• Betriebsrisiko: bezieht sich auf das Verlustrisiko, das sich aus ineffektiven oder fehlerhaften Prozessen, Mitarbeitern, Kontrollen oder Systemen eines Service Providers ergibt
• Risiko der Geschäftskontinuität: tritt auf, wenn ein externes Ereignis die Fähigkeit des Service Providers beeinträchtigt, den IT-Betrieb fortzuführen, mit entsprechenden Auswirkungen auf den Auftraggeber
• Compliance- und regulatorisches Risiko: entsteht aus der potenziellen Nichteinhaltung von Gesetzen und Vorschriften durch einen Service-Provider
• Informationssicherheitsrisiko: bezieht sich im Wesentlichen auf Cyberangriffe und Datenschutzverletzungen, die aufgrund von Sicherheitslücken bei Providern entstehen können
• Finanz- und Kreditrisiko: bezieht sich direkt auf eine kritische finanzielle Situation des Service-Providers, in der er seinen vertraglichen Verpflichtungen nicht mehr nachkommen, d.h. Produkte und Dienstleistungen nicht wie vereinbart bereitstellen kann
• Reputationsrisiko: umfasst jede der zahlreichen Möglichkeiten, wie der Service- Provider den Ruf, die Marke oder den Namen des Auftragsgebers direkt oder indirekt schädigen könnte
• Konzentrationsrisiko: tritt auf, wenn das Unternehmen zu viele risikoreiche oder kritische Dienste von einem einzigen Service-Provider bezieht oder es nur einen Provider auf dem Markt gibt, der für den Auftragsgeber kritische Produkte und Dienstleistungen anbietet
• Geopolitisches Risiko: kann auftreten, wenn sich der Sitz des Service-Providers in einem Land befindet, das anfällig für Probleme wie politische Unruhen, Korruption oder Menschenrechtsverletzungen ist
• Umwelt-Risiko: umfasst politische Veränderungen, Naturkatastrophen und andere gesellschaftliche Belange, die sich auf die Dienstleistungserbringung des Service- Providers auswirken können

* https://www.venminder.com/blog/types-vendor-risks-monitor

 

Diese Liste hat keinen Anspruch auf Vollständigkeit. Die aufgrund der Risikokategorien sind in einem Risikoregister aufzunehmen und angemessen zu managen, d.h. sie sind sorgfältig zu bewerten und es sind geeignete Maßnahmen zu planen und zu ergreifen.

 

Risikomanagement im IT-Providermanagement – Beispielhafte Maßnahmen zur Risikominimierung

Für ausgewählte Risikokategorien werden im Folgenden Beispiele für Maßnahmen aufgezeigt:

Betriebsrisiko:

• Klare Definition von Verantwortlichkeiten und Zuständigkeiten, um das Risiko von Missverständnissen, Verwechslungen und Verzögerungen bei der Durchführung von Aufgaben zu minimieren
• Klare Spezifikation der Service Level – Leistungskennzahlen (KPIs) und Zielwerte – in der Strategie- und Konzeptions-Phase, um das Risiko unklarer Erwartungen und Ziele zwischen dem Auftraggeber und dem Service-Provider zu minimieren

Compliance- und regulatorisches Risiko:

• Forderungen nach Standards und Zertifizierungen sowie Sicherheits-Systemen und -Technologien bei der Providerauswahl
• Implementierung von Kontrollen und Prozessen, um sicherzustellen, dass der Service- Provider die gesetzlichen Anforderungen und Vorschriften einhält
• Festlegung von KPIs und Zielwerten zur Messung der Compliance sowie Etablierung eines regelmäßigen Reporting und dessen Prüfung

Risiko der Geschäftskontinuität:

• Implementierung eines Business Continuity Plan (BCP) durch den Service-Provider, um im Falle eines externen Ereignisses die Fortsetzung des IT-Betriebs sicherzustellen
• Regelmäßige Überprüfung und Aktualisierung des BCP, um sicherzustellen, dass er den aktuellen Bedürfnissen und Anforderungen entspricht
• Regelmäßiges Testen des BCP, um sicherzustellen, dass er im Ernstfall effektiv funktioniert

 

Risikomanagement im IT-Providermanagement – Schlussfolgerung

Zusammenfassend lässt sich sagen, dass das Risikomanagement im IT-Providermanagement von großer Bedeutung ist, um die Stabilität, Sicherheit und Integrität von IT-Systemen und -Daten zu gewährleisten. Insbesondere in regulierten Branchen wie dem Finanz- und Versicherungssektor, sowie im KRITIS-Sektor müssen die Unternehmen enge regulatorische Vorgaben einhalten, indem sie angemessene Verfahren und Prozesse für das Risikomanagement etablieren.

Das Risikomanagement ist in allen Phasen des Outsourcing-Life-Cycle zu berücksichtigen und muss alle relevanten Risiko-Kategorien umfassen. Bei Outsourcing sind zwischen Auftragsgeber-Risiken, Provider-Risiken und Schnittstellen-Risiken zu unterscheiden, die risikobezogene Gesamtverantwortung verbleibt aber beim Auftraggeber. Daher ist es wichtig, dass Unternehmen klare Zuständigkeiten definieren, um Risiken zu managen, die sich aus der Zusammenarbeit mit Service-Providern ergeben.