Stellungnahme zum Coronavirus

Nicht selten beruhen Sourcing-Strategien auf Einzelentscheidungen, z. T. auch im Affekt oder „aus dem Bauch heraus“ getroffen. Eine strukturierte und kohärente Grundlage wird häufig nur in Ansätzen oder manchmal erst im Nachhinein geschaffen.

Welchen Rahmenbedingungen muss eine Sourcing-Strategie Rechnung tragen?
Grundsätzlich sollte jede Sourcing-Strategie eine abstrahierte Antwort auf die Frage „Wer liefert was, wem, wo und wie?“ geben. Das Ergebnis stellt dadurch einen Abgleich zwischen internen Vorgaben, Rahmenbedingungen und den am Markt vorhandenen Möglichkeiten dar. Gleichzeitig bildet die Sourcing-Strategie immer auch eine Risiko-Strategie. Somit muss eine passende Sourcing-Strategie die gestellten (An-) Forderungen aus der Geschäfts- bzw. IT-Strategie erfüllen, Transparenz hinsichtlich der Leistungserbringung schaffen, den mit der Sourcing-Entscheidung verbundenen Risiken begegnen sowie Iterationsfähigkeit und Reproduzierbarkeit der daraus resultierenden Entscheidungen herstellen.

Was sind die Treiber im Sourcing?
Mögliche Treiber eines Sourcings können in vier Kategorien gegliedert werden:

(a) Optimierung der IT-Kosten (z. B. Kostentransparenz herstellen, Lizenzkosten optimieren oder bilanzielle Restrukturierungen umsetzen, wie etwa den CapEx-Anteil erhöhen)
(b) Professionalisierung der Leistungserbringung (z. B. technologische Risiken durch Legacy-Systeme reduzieren, Flexibilität erhöhen)
(c) Umsetzung der Geschäfts- bzw. IT-Strategie (z. B. auf Kernkompetenzen fokussieren, Sicherheitsrisiken reduzieren, Standardisierung vorantreiben)
(d) Optimierung der eigenen Ressourcen (z. B. „höherwertige“ Aufgaben für eigene Mitarbeiter schaffen, Ressourcenengpässe vermeiden, Skalierbarkeit erhöhen)

Die aufgenommenen Treiber des Sourcings bilden die gegenwärtige Situation ab und stellen die Basis für die Festlegung der Ziele und der Erfolgsmessung dar, indem sie eine Strukturierung und Priorisierung der Ziele zulassen.

Welche Vorgaben müssen im Sourcing berücksichtigt werden?
Der mögliche Zielraum wird jedoch durch, aus IT-Sicht extrinsische Vorgaben eingegrenzt. Schwerpunkte dieser Rahmenbedingungen sind zumeist gesetzliche Vorgaben, vor allem in Bezug auf Datenschutz, d. h. BDSG und EU-DSGVO, Informationssicherheit (u. a. KRITIS nach BSIG, Schutz der Geschäftsgeheimnisse nach GeschGehG), interne Kontrollsysteme (z. B. MaRisk und Vorgaben der Wirtschaftsprüfer) sowie andere Compliance-Themen (z. B. Exportkontrolle oder vergaberechtliche Regelungen; weiterhin personalbezogene Vorgaben (Grenzen der Ressourcen für das Provider Management, präventive Maßgaben in Bezug auf einen Mitarbeiterübergang), Vorgaben durch eigene Kunden, wie etwa Auswirkungen von eigenen Leistungszusagen, SLAs oder notwendige Zertifizierungen des Dienstleisters (z. B. nach ISO 9001, ISO 14001, ISO 27001) und weitere Determinanten aus der bisherigen Leistungserbringung (z. B. spätestes Vertragsende mit dem bisherigen Dienstleister, Assets und Lizenzen im Besitz des Unternehmens).

Was ist erforderlich, um Compliance sicherzustellen?
Im Gegensatz zu den Rahmenbedingungen müssen die (externen) Vorgaben regelmäßig vollständig erfüllt sein, um eine entsprechende Compliance herzustellen. Dadurch wirken sich diese umfassend auf die strategischen Optionen und die Entscheidungsbasis aus, so wird z. B. ein Hosting von personenbezogenen Daten deutscher Arbeitnehmer in Indien nur unter umfassenden Auflagen und Mechanismen möglich sein (man denke an die kürzlich erlassene Überwachungsverordnung des indischen Innenministeriums); gleiches gilt für die Verarbeitung von Informationen von Unternehmen mit „nationalen Schlüsseltechnologien“ im Ausland (vgl. die Fälle Osram und Aixtron).

Abschließend sind die Rahmenbedingungen aus Geschäfts- und Funktionalstrategien, insbesondere hinsichtlich

  • Geschäftskritikalität (Grad der Abhängigkeit),
  • Finanzen (z. B. Rechnungslegung, Kostenstruktur, anstehende Verhandlungen mit Lizenzgebern),
  • Architektur / Technologie (z. B. Standardisierung mit Schwerpunkt Microsoft und Oracle),
  • Prozessen (insbesondere Service Management nach ITIL) und
  • Mitarbeiter (z. B. höhere Motivation durch ByoD, Computer-based Training, Multimedia)

zu ermitteln und im Rahmen der Zielfestlegung und Umsetzung zu berücksichtigen.

Eine Strategie mit Zukunft
Nur mit Hilfe einer rechtzeitigen Einbindung aller Fachbereiche (z. B. interne Governance, Revision, Datenschutzbeauftragter) und ggf. externer Fachexpertise lassen sich alle relevanten Einflussfaktoren in vollem Umfang und rechtzeitig berücksichtigen, so dass spätere Balanceakte vermieden werden können. Ein Einzelkämpferdasein im Sourcing von IT-Leistungen gehört bei stetig steigenden Anforderungen der Vergangenheit an; nur mit einem interdisziplinären Team kann das Spannungsfeld aus IT, Recht, Wirtschaftlichkeit und Anforderungen des Geschäfts erfolgreich bewältigt werden. 


Mit einer Analyse nach Plan, die die Gesamtheit der Rahmenbedingungen, Treiber und Vorgaben untersucht und priorisiert, ist der Grundstein für eine zukunftsorientierte IT-Sourcing-Strategie gelegt, die den langfristigen Zielen des Business Rechnung trägt.

Marcus Schwertz,
Senior Manager,
LEXTA GmbH