Analyse und Bewertung von Risiken in IT-Offshoring Projekten

Diplomarbeit von Tim Uphaus

Einleitung:

Das Verlagern von IT Dienstleistungen ins Ausland gewinnt im Zuge der Globalisierung immer weiter an Fahrt. Laut dem Marktforschungsinstitut Gartner wird der weltweite Umsatz im IT-Offshoring Segment die nächsten Jahre durchschnittlich um circa sieben Prozent wachsen. Die Studie von Accenture und IMCS („Outsourcing 2007“) geht für Deutschland sogar von einem Wachstum in der Größenordnung um zehn Prozent auf insgesamt 13,8 Milliarden Euro aus. Speziell die Auftragsvolumen für das Outsourcing von IT-Dienstleistungen in Niedriglohnländer sind im Vergleich zu den USA sowie den insgesamt ausgelagerten Aktivitäten relativ niedrig. In diesen Bereichen ist daher potentiell ein weitaus höheres Wachstum möglich.

Zu den Hauptmotiven zählen neben der Kostensenkung auch die Verkürzung der Entwicklungszyklen, der Zugriff auf externes Experten-Know-how und die Steigerung der Flexibilität. Weitere Gründe sind nach Oecking und Westerhoff die Fokussierung auf Kernkompetenzen, Qualitäts- oder Leistungsverbesserungen sowie die Variabilisierung von Kosten. Die Applikationsentwicklung im Ausland verfügt dabei durch die personalintensiven Tätigkeiten über ein besonders hohes Einsparpotenzial und macht zum aktuellen Zeitpunkt bereits die Hälfte aller ausgelagerten Dienstleistungen aus.

Doch längst nicht alle Projekte laufen erfolgreich ab: Zwar ist die Mehrheit der Unternehmen gegenüber dem Outsourcing positiv eingestellt, jedoch haben zwei Drittel eher enttäuschende Erfahrungen gemacht. Je nach Statistik und Form des Outsourcings scheitern etwa 20 bis 40 Prozent der ins Ausland vergebenen Aufträge. Laut einer Analyse der Meta Group berichten sogar 80 Prozent aller Unternehmen über Probleme. Die Hälfte der Kunden ist mit den Ergebnissen „unzufrieden“ und 30 Prozent der Projekte können gar nicht abgeschlossen werden. Nach einer weiteren Studie klagen 20 Prozent über hohe Fluktuationsraten bei ihren Auftragnehmern, 38 Prozent über Kosten für Leistungen, die außerhalb der Vertragsvereinbarungen anfielen und 44 Prozent über mangelnde personelle Kapazitäten bei dem Dienstleister. Als generelle Ursachen für die Unzufriedenheit werden weiterhin verfehlte Kostenziele, sinkende Qualität, kulturelle Probleme, eingeschränkte Flexibilität sowie Bedenken hinsichtlich des Verlustes kritischen Wissens genannt. Unter Betrachtung der erheblichen Risiken stellt sich die Frage, ob und wann Outsourcing für Unternehmen überhaupt rentabel ist. Einige populäre Fälle der letzten Jahre untermauern diese Bedenken hinsichtlich des Outsourcings. So beendete beispielsweise Sears trotz drohender Schadensersatzforderungen in Höhe von 100 Millionen Dollar die Kooperation mit CSC, und JP Morgan stieg aus einem großen Projekt mit IBM aus. Auch Dell reduzierte seine Offshoring-Aktivitäten, nachdem es Probleme mit der Kommunikation und hohen Reaktionszeiten gegeben hatte. In Deutschland integrierte die DVB Bank ihre IT-Tätigkeiten wieder zurück ins Unternehmen.

Aus den oben beschriebenen Kehrseiten des Outsourcings begründet sich die Notwendigkeit eines sorgfältigen Risikomanagements. Die verfügbaren Studien zu diesem Thema im Kontext des IT-Offshorings beschränken sich allerdings entweder auf aggregierte Aussagen bezüglich der aufgetretenen Risiken bzw. Schäden (siehe oben) oder auf einzelne Untersuchungen in sehr spezifischen Teilbereichen. Dieser Umstand wird dadurch erschwert, dass aufgrund von unterschiedlichen bzw. unklaren Begriffsdefinitionen sowie wechselnden Rahmenbedingungen die Ergebnisse der durchgeführten Analysen nicht vergleichbar sind. Darüber hinaus beziehen sich die Untersuchungen größtenteils auf qualitative oder nur unzureichende quantitative Aussagen. Insbesondere fehlt eine ausführliche Darstellung von den Beziehungen der Risiken untereinander einschließlich der komplexen Wirkungszusammenhänge mit ihren Einflussfaktoren. Trotz einiger Pilotstudien existiert bislang noch kein ganzheitlicher Ansatz, der auf Basis von projektspezifisch abfragbaren Ausgangszuständen eine systematische Bewertung der Risiken zulässt.

Die vorliegende Arbeit soll diese Lücke schließen. Ziel ist die Entwicklung eines prototypischen Ansatzes, der die Risikoanalysen von zukünftigen IT-Offshoring-Projekten im Bereich der Anwendungsentwicklung unterstützt. Dazu sind neben der Identifikation der wesentlichen Risiken auch eine Untersuchung der Wirkungszusammenhänge sowie eine Bewertung der Risiken hinsichtlich ihrer Eintrittswahrscheinlichkeit und Schadenshöhe durchzuführen. Die Betrachtung findet dabei nicht anhand eines konkreten Projektes, sondern auf abstrakter, projektübergreifender Ebene statt. Ein kurzer Überblick über mögliche Gegenmaßnahmen ergänzt die so gewonnenen Erkenntnisse zur Beurteilung der Risikosituation eines Projektes. Die abschließenden Ergebnisse dieser Arbeit sollen es Unternehmen ermöglichen, vor der Durchführung eines Offshoring-Projektes auf Basis von abfragbaren Risikofaktoren eine erste Beurteilung und Analyse der zu erwartenden Risiken vorzunehmen sowie das Verständnis für die Entstehung der Risiken zu verbessern.

Gang der Untersuchung:

Das grundsätzliche Vorgehen bei der Durchführung einer Risikoanalyse ist entscheidend davon abhängig, ob die Projektbeteiligten selber eine Einschätzung der Risiken vornehmen können. Sofern diesbezüglich ausreichend Erfahrungen vorliegen, ist das Anwenden der zahlreich vorhandenen klassischen Risikoanalyse-Methoden und die Darstellung in einer Risikomatrix möglich. Durch die systematische Abfrage der Wissensträger ist in diesem Fall die Identifikation und Bewertung der Risiken hinsichtlich Eintrittswahrscheinlichkeit und Schaden auch ohne externe Berater erreichbar. Eine Beschreibung des Vorgehens findet man unter anderem in den Risikomanagement-Richtlinien des amerikanischen Projektmanagement-Instituts oder der deutschen Gesellschaft für Projektmanagement.

Falls den Projektbeteiligten keine Erfahrung bezüglich der auftretenden Risiken vorliegt – beispielsweise bei einmaligen Projekten oder Pilotprojekten – muss das notwendige Fachwissen aus externen Quellen bezogen werden. Dies trifft insbesondere auf IT-Offshoring-Projekte zu, die dadurch gekennzeichnet sind, dass in den betreffenden Unternehmen meistens relativ wenig oder gar keine Erfahrung vorhanden ist. Des Weiteren sind die Schäden bzw. Wahrscheinlichkeiten der Risiken sehr starken Schwankungen unterworfen und hängen in großem Maße von projekt- oder unternehmensspezifischen Faktoren ab. Für die Unterstützung einer Risikoanalyse besteht neben dem Einsatz von Beratern auch die Möglichkeit der Entwicklung einer Prognosemethodik. Nach Ibers und Hey baut ein solcher Ansatz auf „Informationen als vergangenheitsbezogenes Erfahrungspotential auf und projiziert es mittels eines zeitunabhängigen Logikkalküls in die Zukunft“. Zu diesen Verfahren zählt beispielsweise die Analogienmethode. Ist die Struktur der Risiken und der Wirkungszusammenhänge bekannt, kann ein stochastisches Risikomodell Verwendung finden, welches jedoch durch Experten mit Kenntnissen auf dem jeweiligen Fachgebiet oder über die Auswertung empirischer Daten kalibriert werden muss.

Diese Arbeit befasst sich demnach mit der Entwicklung eines entsprechenden Risikomodells zur strukturierten Darstellung von Risiken, ihren Zusammenhängen und einer Prognosemethodik für die quantitative Bewertung der Risiken. Der erste Abschnitt gibt einen Überblick über die wesentlichen Grundlagen des Risikomanagements und Outsourcings, insbesondere im Hinblick auf wichtige Definitionen, die historische Entwicklung der Forschungsgebiete sowie die theoretischen Konstrukte, auf denen die zwei Bereiche basieren. Darüber hinaus werden neben den verschiedenen Formen des Outsourcings auch die generischen Prozesse und Verfahren des Risikomanagements erläutert.

Die folgenden Kapitel beinhalten die Konstruktion eines Modells für die Risikobewertung. Diese besteht aus drei Phasen: (1) Entwicklung eines qualitativen Risikomodells, (2) Quantifizierung des Modells sowie (3) Implementierung und Anwendung des Modells auf IT-Offshoring-Projekte. In allen Phasen werden State-of-the-Art-Analysen mit anschließender Evaluierung der verfügbaren Optionen durchgeführt und gegebenenfalls Anpassungen oder Erweiterungen an den bestehenden Konzepten vorgenommen. Die Überprüfung und Beurteilung des Modells findet im sechsten Abschnitt anhand eines exemplarischen Beispielprojektes statt. Abschließend werden die erzielten Ergebnisse zusammengefasst, die Limitationen des gewählten Ansatzes aufgezeigt sowie ein Ausblick auf die weiteren Schritte gegeben.

Inhaltsverzeichnis:

	Abstract	I
	Inhaltsverzeichnis	II
	Abbildungsverzeichnis	IV
	Tabellenverzeichnis	V
	Abkürzungsverzeichnis	VII
1.	Einleitung	1
1.1	Motivation, Problemstellung und Zielsetzung	1
1.2	Kontext, Vorgehensweise und Aufbau der Arbeit	3
2.	Grundlagen	5
2.1	Definitionen	5
2.2	Risikomanagement	8
2.2.1	Historische Entwicklung und theoretischer Hintergrund	8
2.2.2	Prozesse und Konzepte	11
2.2.3	Methoden und Werkzeuge des Risikomanagements	17
2.3	Offshore-Outsourcing	18
2.3.1	Historische Entwicklung und theoretischer Hintergrund	18
2.3.2	Formen des Outsourcings	20
3.	Qualitative Risikomodellierung	24
3.1	Definitionen zur Risikomodellierung	24
3.2	Ziele und Einschränkungen der Risikomodellierung	25
3.3	Vorgehen zur Modellentwicklung	26
3.4	Untersuchung vorhandener Risikomodelle	27
3.4.1	Triplet Modell	28
3.4.2	Riskit Modell	29
3.4.3	Simple Risk Modell	32
3.4.4	Standard Risk Modell	33
3.4.5	Cascade Risk Modell	34
3.4.6	Modell nach Schmitting und Siemes	35
3.4.7	CTC Modell	36
3.5	Bewertung der vorhandenen Risikomodelle	38
3.6	Entwicklung eines qualitativen Risikomodells	40
3.6.1	Gestaltungsoptionen bei der qualitativen Risikomodellierung	41
3.6.2	Risikoaggregation innerhalb des Modells	43
3.6.3	Beschreibung des qualitativen Modells	45
4.	Quantitative Risikomodellierung	48
4.1	Untersuchung vorhandener Methoden zur Quantifizierung	48
4.1.1	Künstliche neuronale Netze (KNN)	49
4.1.2	Regelbasierte Expertensysteme	50
4.1.3	Multivariate Analyseverfahren	53
4.1.4	Bayesian Believe Networks (BBN)	54
4.1.5	Simulationen	56
4.2	Bewertung der vorhandenen Methoden	56
4.3	Quantifizierung des Risikomodells	57
4.3.1	Gestaltungsoptionen bei der quantitativen Risikomodellierung	58
4.3.2	Beschreibung des quantitativen Modells	65
4.4	Bewertung des quantitativen Modells	69
5.	Anwendung des Risikomodells	71
5.1	Implementierung des Risikomodells	71
5.2	Instanzbildung des Modells	72
5.2.1	Identifikation der Risikofaktoren	72
5.2.2	Identifikation der Metriken	74
5.2.3	Identifikation der Risikoereignisse	75
5.2.4	Identifikation der Risikofolgen	84
5.2.5	Identifikation der Schäden	84
5.2.6	Identifikation der Risikobehandlungsmaßnahmen	88
5.2.7	Bildung der Relationen	88
5.3	Quantifizierung der Modellinstanz über Experten	89
6.	Modellverifikation	95
6.1	Beschreibung des Projektes	95
6.2	Vorgehen zur Bewertung der Ergebnisse	96
6.3	Bestimmung, Analyse und Bewertung der Ergebnisse	97
7.	Zusammenfassung	101
	Literaturverzeichnis	VIII
	Anhang	XX

Textprobe:

Kapitel 5.2.1 Identifikation der Risikofaktoren:

Insgesamt wurden circa 180 unterschiedliche Risikofaktoren aus den Literaturstudien und Expertenbefragungen gewonnen und durch einen Verdichtungsprozess (Gruppierung gleicher bzw. ähnlicher Nennungen) auf knapp 100 wesentliche Elemente reduziert. Die vollständige Liste inklusive Quellenangaben befindet sich im Anhang (Tabelle 23); einige bevorzugt genannte Aspekte werden im Folgenden kurz aufgezeigt.

Besonders relevant innerhalb der Risikofaktoren ist die Ausgestaltung des Outsourcing-Vertrages – einer Studie der Meta Group zufolge erreichen circa die Hälfte der Verträge nicht ihre „ursprünglichen Ziele“. Dabei sind insbesondere unklare Verantwortlichkeitsbereiche, ungenügend definierte Eskalationsstufen bei Unstimmigkeiten der Vertragsauslegung, hohe Vertragslaufzeiten sowie der Mangel an objektiven Messgrößen für die Beurteilung der Supplier-Leistung bzw. Produktqualität als kritisch anzusehen. Darüber hinaus werden ebenfalls das Fehlen von Exit- und Migrationsstrategien oder auch ein unzureichender Detaillierungsgrad der technischen Anforderungen erwähnt.

Ein weiterer gewichtiger Grund für fehlgeschlagene Outsourcing-Projekte ist eine mangelhafte Kosten- und Zeitplanung. Die Ursachen hierfür sind vielfältig, und können von der Nichtverfügbarkeit von Erfahrungswerten, dem Verzicht auf den Einsatz strukturierter Schätzverfahren bis hin zur fehlenden Berücksichtigung aller Kostenfaktoren reichen. Speziell bei Offshoring-Projekten wird der letztgenannte Aspekt oftmals vernachlässigt, d.h. die „Total Cost of Offshoring“ (TCO) werden nicht vollständig einkalkuliert. Diese umfassen beispielsweise den Aufwand für die Supplierauswahl, die Migrations- und Schulungskosten, Einbußen durch eine möglicherweise geringere Produktivität des Offshore-Teams sowie Aufwendungen für Management und Kontrolle des Suppliers bzw. der Outsourcing-Beziehung.

Darüber hinaus ist aufgrund der räumlichen Trennung oftmals nur eine eingeschränkte Kommunikation über asynchrone und indirekte Kanäle, wie beispielsweise E-Mails, möglich. Dieses Problem wird durch eine gegebenenfalls vorhandene Zeitverschiebung sowie unterschiedliche Sprachen innerhalb der Teams weiter verschärft. Ebenso können kulturelle Unterschiede zu einer gestörten Kommunikation, Missverständnissen oder zur Demotivation der Projektbeteiligten führen.

Mangelnde fachliche Qualifikation, insbesondere fehlendes Domänenwissen, sind oftmals Auslöser von Risiken in der Implementierungsphase der Softwareentwicklung. Gleiches gilt für die Eignung der ausgelagerten Module, die vor allem bei einer hohen Komplexität der Software mit vielen Wechselwirkungen oder Schnittstellen zu anderen Komponenten unzureichend ist. Ebenfalls weniger geeignet sind Software-Produkte, die eine hohe Nähe zu den Kernkompetenzen aufweisen und somit auch eine strategische Bedeutung für das auslagernde Unternehmen haben.

Ein relativ allgemeiner Faktor ist die geringe Erfahrung mit Outsourcing-Projekten. Dieser bezieht sich zum Beispiel auf die Erfahrung bezüglich des Supplier- und Vertragsmanagements, der Durchführung internationaler und verteilter Entwicklungsprojekte oder auf die Expertise mit den verwendeten Projekttechnologien. Das gilt insbesondere dann, wenn keine Berater eingesetzt und notwendige Schulungen des Personals nicht durchgeführt werden. Ein weiterer allgemeiner Risikofaktor ist die unzureichende Prozessreife auf beiden Seiten. Bei einer ausreichenden Prozessreife können die Eintrittswahrscheinlichkeiten vieler Risiken von Anfang an eliminiert werden, weil beispielsweise regelmäßige Status-Reports oder der Einsatz von systematischen Schätz- und Kontrollverfahren ohnehin vorgeschrieben sind.

Klassifikation der Risikofaktoren Das vorrangige Ziel bei der Klassifizierung der Risikofaktoren ist die Unterstützung der Analyse von Risikoquellen, d.h. die Untersuchung, in welchen Bereichen die größten Defizite bestehen. Darüber hinaus ist relevant, aus welchen Informationsquellen die Daten zu beziehen sind. Daher werden im Folgenden drei primäre Kategorien für die Klassifizierung unterschieden: (1) auftraggeberbezogene Faktoren, (2) supplierbezogene Faktoren und Faktoren bezogen auf die Zusammenarbeit sowie (3) projekt- bzw. produktbezogene Faktoren. Anschließend findet in einer sekundären Klassifizierung eine Unterscheidung in vier weitere Faktorengruppen statt: (1) Prozesse und Organisation einschließlich Projektmanagement bzw. -umfeld, (2) personelle Faktoren, (3) technische Aspekte und (4) geopolitische oder externe Einflüsse.