Risikomanagement in Outsourcing-Projekten

Das Outsourcing von IT-Leistungen kann viele Vorteile bringen. Die der Sourcingentscheidung folgende Migration stellt jedoch oftmals – gerade für kleinere und mittelständische Banken – Großprojekte dar, die immense finanzielle, fachliche, organisatorische und kulturelle Herausforderungen mit sich bringen. Um der Komplexität dieser Vorhaben Herr zu werden, aufsichtsrechtlicher Verpflichtungen nachzukommen und am Ende eine erfolgreiche Migration sicherzustellen, nimmt das Projektrisikomanagement eine besondere Stellung ein. In der Praxis lassen sich regelmäßig vier Risikomuster beobachten, denen die Bank im Outsourcing Projekt aktiv begegnen muss.

Typische Risikomuster aus der Praxis

1. Einbüßen strategischer Innovations- und Sourcingfähigkeit vs. kurzfristige Kostenvorteile

Im Zuge einer Auslagerung von IT-Prozessen können zwar in aller Regel Kosten eingespart werden, jedoch beschränkt der Auslagernde dadurch seine strategische Innovations- und Sourcingfähigkeit. Um die strategischen Interessen der Bank, also eine kontinuierliche Verbesserung der Kostenstruktur und Qualität sowie die Entwicklung bankfachlicher Innovationen, zu sichern, muss die Bank eine angemessene Organisation zur Providersteuerung aufbauen und in den vier Grundkategorien Governance, Plan/Design, Build und Run entsprechend personell ausstatten. Darüber hinaus kann die Einbeziehung externer Unterstützung die im Rahmen der Migration auftretende Dreifachbelastung (Projektaufgaben, Sicherung des laufenden Betriebs, Aufbau der Providersteuerung) verringern und eine schnelle Stabilisierung nach der Migration erzielen.

2. Fehlen einer präzisen und granularen Zerlegung der Leistung

Eine möglichst präzise, granulare und marktgängige Leistungsbeschreibung erleichtert die Nachvollziehbarkeit, Kontrolle und Steuerung des Projektes, wodurch mögliche Risiken frühzeitig erkannt werden können. Die sachgerechte Zerlegung der Leistung bildet eine wichtige Voraussetzung für eine erfolgreiche Anbieterselektion, Projektplanung und Projektsteuerung.
Ein zentrales Risiko eines Großprojekts ist das Versprechen von unrealistischen Leistungen in Verbindung mit starkem Preiswettbewerb während der Anbieterselektion. Überhöhte Ziele in Bezug auf Leistungsqualität und Zeitplan sowie zu knapp kalkulierte Preise können die Wahrscheinlichkeit eines Misserfolgs maßgeblich erhöhen und basieren mutmaßlich auf dem Wunsch der Stakeholder, das Projekt möglichst frühzeitig erfolgreich abschließen zu können. Für ein wirksames Risikomanagement ist vor allem das Management des Preis/Leistungsverhältnisses von Bedeutung. Eine fehlende Granularität oder ungenaue Beschreibung verfälscht die Leistungserwartung und bietet eine unzureichende Kalkulations- und Planungsgrundlage. Für die Ermittlung des Projektpreises ist Benchmarking eine geeignete Vorgehensweise. Hierbei kann ein unabhängiger, qualifizierter Dritter einbezogen werden, der eine objektive, kompetente Einschätzung des fairen Marktpreises auf Grundlage vieler erfolgreich durchgeführter Referenzprojekte bieten kann.
Darüber hinaus bildet die Zerlegung des Migrationsprojekts in einzelne Leistungsbestandteile in Verbindung mit konkreten Service-Level-Agreements (SLA) die Grundlage für eine effektive Pönalisierung. Da eine Bank keinen unmittelbaren Einfluss auf die Ressourcen des Projektpartners nehmen kann, müssen andere Möglichkeiten zur Steuerung genutzt werden. In diesem Kontext ermöglichen Offenlegungspflichten den Blick hinter die Kulissen des Projektpartners und Pönale (Vertragsstrafen), die z.B. bei Nichterreichen von Milestones oder Verspätung fällig werden, stellen eine effektive Steuerungsmöglichkeit für die Bank dar.
Eine weitere wichtige Komponente der Risikosteuerung ist die zeitliche Zerlegung und die Granularität des Projektplans, um Planabweichungen frühzeitig erkennen zu können. Im Rahmen dessen sollten Meilensteine und der Projektfortschritt vertraglich geregelt werden und möglichst messbar in Bezug auf Qualität, Zeit und Kosten formuliert sein. Die Einführung messbarer Teilleistungen und klar definierter Zeitpläne sind zudem eine Voraussetzung für eine erfolgreiche Institutionalisierung des Risikomanagements durch das auslagernde Institut und damit maßgeblich für die Einhaltung regulatorischer Anforderungen.

3. Falsches Rollenverständnis und vertragsfremde Aufwände

Die Bank hat im Migrationsprojekt als Auftraggeber nicht nur eine finanzielle Verpflichtung, sondern muss auch Mitwirkungsleistungen erbringen. Dies umfasst nicht nur die aktive Mitarbeit am Migrationsprozess, sondern auch nicht-delegierbare Organisations- und Kontrollaufgaben, um die anschließende Betriebsfähigkeit zu gewährleisten und aufsichtsrechtlichen Pflichten nachzukommen. Da die Sicht auf das gemeinsame Projekt sowie die Interessen unterschiedlich sind, kann die Einschätzung der Risikolage zwischen den Projektleitern beider Partner variieren. Die Risikobewertung sollte daher von einem unabhängigen Dritten als Risikomanager durchgeführt werden. Die Aufgaben und Befugnisse des Risikomanagers sowie das anzuwendende Risikomanagementframework sollten dabei vertraglich festgelegt werden.

Neben der vertraglichen unmittelbaren Mitwirkungspflicht existieren bei der Bank zudem nicht zu unterschätzende mittelbare Aufwände wie z.B. Opportunitätskosten für die gebundenen Kapazitäten oder Produktivitätseinbußen, da die neuen Systeme und Prozesse erst verinnerlicht werden müssen. Banken müssen sich somit auch ihrer eigenen Leistungspflichten bewusst sein und stets ihre eigene Leistungsfähigkeit überprüfen. Üblicherweise übersteigen Aufgaben, die aufgrund der Rolle als Auftraggeber anfallen (Benchmarking, Vertragsgestaltung, projektbegleitendes Risikomanagement, Projekt- und Qualitätsmanagement), den gewöhnlichen Kompetenz- und Ressourcenhintergrund der Bank und sollten von einem beratenden kompetenten Dritten übernommen werden.

4. Unzureichende Risikovorsorge

Selbst bei größtmöglicher Vorsicht ist das Scheitern eines Projektes nicht auszuschließen. Das Risikomanagement muss daher für diesen Fall vorsorgen. In der Regel werden hierzu Puffer eingeplant und Rückzugspläne gestaltet. Die wahrgenommene Sicherheit einer Reserve führt allerdings durch ihren suggestiven Effekt dazu, dass die Puffer und Rückzugspläne häufiger in Anspruch genommen werden (selbsterfüllende Prophezeiung). Das Risikomanagement sollte zudem auch Vorsorgemaßnahmen für den Worst Case treffen. Hierzu muss dieses Szenario eingehend analysiert werden, angemessene finanzielle Reserven gebildet werden sowie die Reaktionsfähigkeit gewährleistet sein, da ein Scheitern – insbesondere im Falle von Migrations- und Sourcing-Großprojekten – ein Unternehmen in eine existenzielle Krise bringen kann.

Sieben Thesen für wirksames Risikomanagement

Zusammenfassend lassen sich aus der Praxis sieben Handlungsempfehlungen ableiten, auf die ein wirksames Risikomanagement von Migrations- und Sourcingprojekten aufbauen sollte:

  1. Investition in eine adäquate ausgestattete Organisation zur Providersteuerung, um strategische Innovations- und Sourcingfähigkeit zu wahren
  2. Verzicht des Auftraggebers auf unrealistische Erfolgsversprechen und übertriebenen Preiswettbewerb
  3. Definition einer präzisen, granularen und marktkonformen Leistungsbeschreibung
  4. Vorbeugung hoher Schadensfälle durch Zerlegung der Projektleistungen, Pönalisierung von wesentlichen Vertragsleistungen und unabhängigem Risikomanagement
  5. Dokumentation und klares Verständnis für Rollen und Verantwortlichkeiten der Projektpartner sowie wirksame Umsetzung im Projektgeschäft
  6. Realistische Einschätzung der Mitwirkungsleistung (insbesondere von Leistungen außerhalb der unmittelbaren Vertragspflichten)
  7. Vorsorgemaßnahmen für den Eintritt eines Schadens (einschließlich Worst Case)

Mit BankingHub keinen Trend verpassen

Erhalten Sie alle 2 Wochen die neuesten Analysen und Berichte unserer Banking-Experten.

Dr. Lars Knohl

Leiter Providermanagement Deutsche Apotheker- und Ärztebank eG

Autoren

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Abonnieren Sie unseren Newsletter

Erhalten Sie alle 2 Wochen die neuesten Analysen und Berichte unserer Banking-Experten.