Risikomanagement in Outsourcing-Prozessen

Das „Outsourcing“ kann für ein Unternehmen eine Reihe von Vorteilen haben, wie Komplexitätsreduktion, Variabilisierung von Fixkosten; vor allem aber die Reduktion der Kosten in der Grössenordnung von 20 %. Bei aller Attraktivität eines Outsourcing müssen die neuen Kosten, vor allem die der Sicherheit und der Risiken, frühzeitig in die Betrachtungen einbezogen werden. Für die Auslagerung von Prozessen mit hoher Informationsabhängigkeit muss dem Vorgehen ein gründliches Risikomanagement zugrunde gelegt werden. Es ist zu beachten, dass Gesetze, Regulative und vertragliche Abmachungen Sicherheitsmassnahmen vorschreiben und dass die Sicherheit auch ein „Qualitätsmerkmal“ ist. Die Sicherheit muss daher auf einem angemessenen Niveau nachhaltig gewährleistet werden. Die Gartner Group empfiehlt u.a. anhand ihres Sourcing-Lifecycle-Modells die sorgfältige Analyse und Berücksichtigung der Risiken bis zum Vertragsabschluss in den Phasen der „Strategiefindung“, der „Evaluation“ und der „Vertragsdefinition“. Im ganzen Outsourcing Lifecycle soll das auslagernde Unternehmen „Due Diligence“ ausüben. Als Instrument zur Analyse und Abstimmung der IT-Risiken und Massnahmen zwischen den Partnern bietet sich ein IT-Sicherheitskonzept mit den Eigenschaften eines Risikomanagement-Prozesses an. Das als integrierender Bestandteil des Outsourcing-Vertrages geltende Sicherheitskonzept wird im Dialog zwischen Dienstleister und Kunde erarbeitet und abgestimmt. Es bildet somit im späteren Betrieb die gemeinsame und überprüfbare Basis für die Risiken und die Sicherheit des ausgelagerten Prozesses oder Systems.