Typische Risikomuster aus der Praxis
1. Einbüßen strategischer Innovations- und Sourcingfähigkeit vs. kurzfristige Kostenvorteile
Im Zuge einer Auslagerung von IT-Prozessen können zwar in aller Regel Kosten eingespart werden, jedoch beschränkt der Auslagernde dadurch seine strategische Innovations- und Sourcingfähigkeit. Um die strategischen Interessen der Bank, also eine kontinuierliche Verbesserung der Kostenstruktur und Qualität sowie die Entwicklung bankfachlicher Innovationen, zu sichern, muss die Bank eine angemessene Organisation zur Providersteuerung aufbauen und in den vier Grundkategorien Governance, Plan/Design, Build und Run entsprechend personell ausstatten. Darüber hinaus kann die Einbeziehung externer Unterstützung die im Rahmen der Migration auftretende Dreifachbelastung (Projektaufgaben, Sicherung des laufenden Betriebs, Aufbau der Providersteuerung) verringern und eine schnelle Stabilisierung nach der Migration erzielen.
2. Fehlen einer präzisen und granularen Zerlegung der Leistung
Eine möglichst präzise, granulare und marktgängige Leistungsbeschreibung erleichtert die Nachvollziehbarkeit, Kontrolle und Steuerung des Projektes, wodurch mögliche Risiken frühzeitig erkannt werden können. Die sachgerechte Zerlegung der Leistung bildet eine wichtige Voraussetzung für eine erfolgreiche Anbieterselektion, Projektplanung und Projektsteuerung.
Ein zentrales Risiko eines Großprojekts ist das Versprechen von unrealistischen Leistungen in Verbindung mit starkem Preiswettbewerb während der Anbieterselektion. Überhöhte Ziele in Bezug auf Leistungsqualität und Zeitplan sowie zu knapp kalkulierte Preise können die Wahrscheinlichkeit eines Misserfolgs maßgeblich erhöhen und basieren mutmaßlich auf dem Wunsch der Stakeholder, das Projekt möglichst frühzeitig erfolgreich abschließen zu können. Für ein wirksames Risikomanagement ist vor allem das Management des Preis/Leistungsverhältnisses von Bedeutung. Eine fehlende Granularität oder ungenaue Beschreibung verfälscht die Leistungserwartung und bietet eine unzureichende Kalkulations- und Planungsgrundlage. Für die Ermittlung des Projektpreises ist Benchmarking eine geeignete Vorgehensweise. Hierbei kann ein unabhängiger, qualifizierter Dritter einbezogen werden, der eine objektive, kompetente Einschätzung des fairen Marktpreises auf Grundlage vieler erfolgreich durchgeführter Referenzprojekte bieten kann.
Darüber hinaus bildet die Zerlegung des Migrationsprojekts in einzelne Leistungsbestandteile in Verbindung mit konkreten Service-Level-Agreements (SLA) die Grundlage für eine effektive Pönalisierung. Da eine Bank keinen unmittelbaren Einfluss auf die Ressourcen des Projektpartners nehmen kann, müssen andere Möglichkeiten zur Steuerung genutzt werden. In diesem Kontext ermöglichen Offenlegungspflichten den Blick hinter die Kulissen des Projektpartners und Pönale (Vertragsstrafen), die z.B. bei Nichterreichen von Milestones oder Verspätung fällig werden, stellen eine effektive Steuerungsmöglichkeit für die Bank dar.
Eine weitere wichtige Komponente der Risikosteuerung ist die zeitliche Zerlegung und die Granularität des Projektplans, um Planabweichungen frühzeitig erkennen zu können. Im Rahmen dessen sollten Meilensteine und der Projektfortschritt vertraglich geregelt werden und möglichst messbar in Bezug auf Qualität, Zeit und Kosten formuliert sein. Die Einführung messbarer Teilleistungen und klar definierter Zeitpläne sind zudem eine Voraussetzung für eine erfolgreiche Institutionalisierung des Risikomanagements durch das auslagernde Institut und damit maßgeblich für die Einhaltung regulatorischer Anforderungen.
3. Falsches Rollenverständnis und vertragsfremde Aufwände
Die Bank hat im Migrationsprojekt als Auftraggeber nicht nur eine finanzielle Verpflichtung, sondern muss auch Mitwirkungsleistungen erbringen. Dies umfasst nicht nur die aktive Mitarbeit am Migrationsprozess, sondern auch nicht-delegierbare Organisations- und Kontrollaufgaben, um die anschließende Betriebsfähigkeit zu gewährleisten und aufsichtsrechtlichen Pflichten nachzukommen. Da die Sicht auf das gemeinsame Projekt sowie die Interessen unterschiedlich sind, kann die Einschätzung der Risikolage zwischen den Projektleitern beider Partner variieren. Die Risikobewertung sollte daher von einem unabhängigen Dritten als Risikomanager durchgeführt werden. Die Aufgaben und Befugnisse des Risikomanagers sowie das anzuwendende Risikomanagementframework sollten dabei vertraglich festgelegt werden.
Neben der vertraglichen unmittelbaren Mitwirkungspflicht existieren bei der Bank zudem nicht zu unterschätzende mittelbare Aufwände wie z.B. Opportunitätskosten für die gebundenen Kapazitäten oder Produktivitätseinbußen, da die neuen Systeme und Prozesse erst verinnerlicht werden müssen. Banken müssen sich somit auch ihrer eigenen Leistungspflichten bewusst sein und stets ihre eigene Leistungsfähigkeit überprüfen. Üblicherweise übersteigen Aufgaben, die aufgrund der Rolle als Auftraggeber anfallen (Benchmarking, Vertragsgestaltung, projektbegleitendes Risikomanagement, Projekt- und Qualitätsmanagement), den gewöhnlichen Kompetenz- und Ressourcenhintergrund der Bank und sollten von einem beratenden kompetenten Dritten übernommen werden.
4. Unzureichende Risikovorsorge
Selbst bei größtmöglicher Vorsicht ist das Scheitern eines Projektes nicht auszuschließen. Das Risikomanagement muss daher für diesen Fall vorsorgen. In der Regel werden hierzu Puffer eingeplant und Rückzugspläne gestaltet. Die wahrgenommene Sicherheit einer Reserve führt allerdings durch ihren suggestiven Effekt dazu, dass die Puffer und Rückzugspläne häufiger in Anspruch genommen werden (selbsterfüllende Prophezeiung). Das Risikomanagement sollte zudem auch Vorsorgemaßnahmen für den Worst Case treffen. Hierzu muss dieses Szenario eingehend analysiert werden, angemessene finanzielle Reserven gebildet werden sowie die Reaktionsfähigkeit gewährleistet sein, da ein Scheitern – insbesondere im Falle von Migrations- und Sourcing-Großprojekten – ein Unternehmen in eine existenzielle Krise bringen kann.
Sieben Thesen für wirksames Risikomanagement
Zusammenfassend lassen sich aus der Praxis sieben Handlungsempfehlungen ableiten, auf die ein wirksames Risikomanagement von Migrations- und Sourcingprojekten aufbauen sollte:
- Investition in eine adäquate ausgestattete Organisation zur Providersteuerung, um strategische Innovations- und Sourcingfähigkeit zu wahren
- Verzicht des Auftraggebers auf unrealistische Erfolgsversprechen und übertriebenen Preiswettbewerb
- Definition einer präzisen, granularen und marktkonformen Leistungsbeschreibung
- Vorbeugung hoher Schadensfälle durch Zerlegung der Projektleistungen, Pönalisierung von wesentlichen Vertragsleistungen und unabhängigem Risikomanagement
- Dokumentation und klares Verständnis für Rollen und Verantwortlichkeiten der Projektpartner sowie wirksame Umsetzung im Projektgeschäft
- Realistische Einschätzung der Mitwirkungsleistung (insbesondere von Leistungen außerhalb der unmittelbaren Vertragspflichten)
- Vorsorgemaßnahmen für den Eintritt eines Schadens (einschließlich Worst Case)
