Entwicklung eines Risikomanagementprozesses zur Unterstützung der Einhaltung von Service Level Agreements

Diplomarbeit von Julia Kowalski

Einleitung:

Seit den 1990er Jahren ist das Outsourcing ein Prinzip, das in der unternehmerischen Praxis häufig umgesetzt wird. Dabei tritt ein Unternehmen, das eine Leistung fremd erstellen lassen will, der Outsourcinggeber, mit einem Leistungs-ersteller, dem Outsourcingnehmer, in ein vertragliches Verhältnis. Die durch das Outsourcing verfolgten Ziele, bspw. Kostensenkungen, können durch die Nutzung des Outsourcingnehmers erreicht werden, der zu vertraglich festgelegten Konditionen bestimmte Leistungen zu erbringen hat. Der genaue Umfang von Leistungen und Gegenleistungen wird detailliert definiert und in SLAs, die Bestandteil des zugrunde liegenden Vertrages sind, konkret und vollständig festgelegt. Das Outsourcing ist somit erfolgreich, wenn die SLAs erfüllt werden, weshalb die Anforderungen an das Outsourcing einher gehen mit der Erfüllung der Anforderungen an SLAs, wie sie in Abschnitt 2.2 vorgestellt werden. Die vorhergehenden Risiken und Anforderungen im Rahmen der Anbahnung der Outsourcing-Beziehung, d. h. innerhalb des Outsourcing-Prozesses, werden im Rahmen dieser Arbeit nicht weiter betrachtet. Vielmehr wird von einer korrekten Durchführung des Outsourcing-Prozesses und dem Abschluss angemessener SLAs ausgegangen. Ein Outsourcinggeber muss innerhalb der Outsourcing-Beziehung die zugesicherten SLAs einhalten, was nicht immer geschieht. Dies kann zu unterschiedlichen negativen Konsequenzen auf Seiten des Outsourcinggebers führen, der diese im Rahmen einer vorab vertraglich festgelegten Schadenszahlung durch den Outsourcingnehmer versucht zu kompensieren. Um diese Zahlung zu verhindern, kann es für den Outsourcingnehmer sinnvoll sein, ein Risikomanagement für seine Leistungserstellungsprozesse, die zur Einhaltung der abgeschlossenen SLAs benötigt werden, aufzubauen. Dieser Risikomanagementprozess befindet sich auf operativer Ebene eines Unternehmens und kann, ebenso wie weitere Risikomanagementprozesse auf operativer Ebene, das Risikomanagement des Gesamtunternehmens unterstützen. Das Ziel eines Risikomanagementsystems ist der systematische Umgang und die Beherrschung aller Risiken, die auf ein Unternehmen einwirken, damit der Unternehmensfortbestand und der Unternehmenserfolg gesichert sind. Eine Übersicht sämtlicher einwirkender Risiken ist durch die Nutzung von Risikomanagementprozessen auf allen Hierarchiestufen möglich, um negative Auswirkungen von Risiken auf den Erfolg des Gesamtunternehmens zu begrenzen sowie eine die Grundlage für rationale Entscheidung im Unternehmen zu verbessern. Die Betrachtung der operativen Risiken gestaltet sich aufgrund ihrer hohen Anzahl, die die Erstellung eines vollständigen Risikoportfolios erschwert, und ihrer unternehmensspezifischen Kontextabhängigkeit ihrer Entstehung als schwierig. Aus diesem Grund sollten operative Risiken nicht vernachlässigt werden. Allerdings wird ein operatives Risikomanagement außerhalb des Finanzsektors nur selten in einem systematischen Prozess durchgeführt, weshalb der Finanzsektor als Vorbild für andere Branchen dient und starke Ausstrahlwirkung besitzt. Viele Vorschriften des KonTraG sind für Nicht-Kreditinstitute, und damit auch für IT-Outsourcingnehmer, nicht relevant, da sich die gesetzlichen Vorschriften nur auf bestimmte Unternehmensformen beziehen und ein Risikomanagementsystem für bestandsgefährdende Risiken gefordert wird. Risiken im Bereich von SLA sind jedoch nicht bestandsgefährdend, da ein Unternehmen keine Strafzahlung akzeptieren wird, die seinen Fortbestand gefährdet. Dennoch werden im weiteren Verlauf der Untersuchung die Vorschriften und Umsetzungshilfen aus dem KonTraG-Umfeld und der Finanzbranche betrachtet, um bekannte Methoden und Umsetzungshilfen für die Einführung eines KonTraG-konformen Risikomanagements auf ihre Verwendbarkeit für ein Risikomanagementsystem für SLAs zu untersuchen. Darüber hinaus kann durch den Einsatz dieser Methoden in anderen Unternehmensbereichen eine Einführung im SLA-Umfeld einfach und schnell erfolgen. Das Ziel der vorliegenden Arbeit ist die Erstellung eines Risikomanagementprozesses, der die Risiken der Leistungserstellung betrachtet, die einem vertraglich festgelegten SLA zugrund liegen. Dieser Prozess soll in der Praxis verwendbar sein, um die spezifischen Risken zu steuern und die Gesamtbetrachtung aller Risiken, die auf ein Unternehmen einwirken, zu unterstützen.

Um ein Verständnis für den Untersuchungsbereich der Arbeit zu erhalten, werden im Folgenden die Grundlagen des Outsourcings durch die Darstellung einer geeigneten Begriffsdefinition und mögliche Ziele vorgestellt werden. Durch die Abgrenzung des Untersuchungsbereichs auf bereits abgeschlossene Outsourcingverträge wird deutlich gemacht, dass der Fokus der Untersuchung nicht auf der Auswahl eines Outsourcingpartners liegt. Anschließend werden SLAs und ihre Ziele vorgestellt. Es wird dargestellt, welche Anforderungen ein SLA erfüllen muss, um eine produktive Zusammenarbeit zwischen Outsourcinggeber und Outsourcingnehmer zu gewährleisten. Der Untersuchungsbereich wird anschließend weiter eingegrenzt auf sorgfältig abgeschlossene Outsourcingverträge mit vollständigen, korrekten SLAs als Grundlage der Zusammenarbeit. Im Rahmen dieser Beziehungen kann es zur Nichteinhaltung dieser Vertragsvereinbarungen kommen, sodass der Outsourcingnehmer die Risiken in seinen Leistungserstellungsprozessen, aus denen ein SLA besteht, angemessen bewältigen muss, um Strafzahlungen und sonstige negative Folgen zu verhindern. Diese Aufgabe muss der Outsourcinggeber nicht erfüllen, da er durch die angemessene Auswahl eines externen Leistungserstellers und mit dem Abschluss geeigneter SLAs das Risiko seiner Prozesse verlagert und auf diese Weise sein Risiko bewältigt hat. Um die Strafzahlungen zu verhindern oder vorherzusehen, kann der Outsourcingnehmer einen Risikomanagementprozess einführen. Das Grundverständnis für das Risikomanagement wird durch eine Begriffsdefinition und die Darstellung der Ziele des Risikomanagements gelegt. Anschließend werden die auszuführenden Schritte eines geeigneten Risikomanagementprozesses für SLAs vorgestellt, und zwar nämlich die Identifizierung, Bewertung, Visualisierung, Steuerung und Kontrolle der Risiken. Für das Vorgehen innerhalb dieser Prozessschritte werden die Methoden vorgestellt und bewertet, die potentiell für die Durchführung eines Risikomanagementprozesses auf SLA-Ebene geeignet sind. Neben einer theoretischen Betrachtung der Anwendbarkeit der einzelnen Maßnahmen wird auf eine Expertenumfrage zurückgegriffen, die im Rahmen dieser Arbeit durchgeführt wurde und zu bestimmten Teilbereichen des Risikomanagementprozesses zusätzliche Aussagen durch Erfahrungen aus der Praxis herleiten kann. Im Anschluss wird der Risikomanagementprozess mit den geeigneten Methoden zusammengefasst und anhand eines Fallbeispiels auf seine Anwendbarkeit überprüft. Die anschließende kritische Würdigung basiert auf dem Fallbeispiel. Abschließend wird ein Fazit gezogen und ein Ausblick auf mögliche weitere Untersuchungen gegeben.

Inhaltsverzeichnis:

Kapitel 2.3.1, Begriffsdefinition und Risikomanagementziele:

Der begriffliche Ursprung liegt im italienischen bzw. griechischem Sprachraum (ital. ‘riscio’ = Klippen umsegeln, griechisch ‘riza’ für Wurzel), teilweise wird auch das arabische ‘risq’, das sich mit einer Person von Gott gegeben übersetzten lässt, als Ursprungswort angesehen.

Im allgemeinen Sprachgebrauch wird der Begriff Risiko mit einer unvorhergesehenen negativen Abweichung von einem Zielwert und einem daraus resultierenden Schaden oder Verlust verbunden, weshalb im Alltag die Begriffe Risiko und Gefahr eng verbunden sind. Risiken können bewusst provoziert (Angriff) oder unbeabsichtigt verursacht (Störung) werden und unterschiedliche Gründe haben, bspw. die Nichterfüllung von Anforderungen, ungünstige Entwicklungen äußerer Umstände, interne Fehlentwicklungen oder plötzlich eintretende Schadensereignisse. Eine positive Zielwertabweichung stellt ebenfalls ein Risiko dar und wird als Chance bezeichnet. Durch diesen engen Verbund von Risiken, Chancen und Gefahren wird gefordert, ein Chancenmanagement in das Risikomanagement zu integrieren, was aufgrund möglicher Bonuszahlungen für übertroffene SLAs in dieser Arbeit angemessen berücksichtigt werden soll.

Im Rahmen des Risikomanagements wird unter Risiko die Kombination von der Eintrittswahrscheinlichkeit eines Schadens und der zugehörigen Schadenshöhe verstanden. Dies setzt voraus, dass die Risiken identifiziert wurden und ausreichend Datenmaterial zur Bewertung zur Verfügung steht. Die subjektive oder objektive Bewertung der Eintrittswahrscheinlichkeit unterscheidet die Risikosituation von der Unsicherheitssituation, in der nur mögliche Zustände, jedoch keine Wahrscheinlichkeiten bekannt sind. Der Risikobegriff kann darüber hinaus mit statistischen Größen belegt werden, bspw. die Standardabweichung als Maß für das Risiko.

Das Ziel des Risikomanagements ist der systematische Umgang und die Beherrschung von unternehmerischen Risiken, sodass die Unternehmensexistenz und der zukünftigen Unternehmenserfolg gesichert und die Risikokosten gemindert werden. Insbesondere die Unternehmensstrategie muss umfassend auf Risiken untersucht werden, um Transparenz der aktuellen und zukünftigen Risikosituation zu erhöhen, sodass unternehmensweit Unsicherheiten gemindert und Stabilität und Zuverlässigkeit erhöht werden. Dafür ist ein proaktives Risikomanagement notwendig, das nicht nur reaktiv oder retrospektiv reagiert, sondern mit zukunftsgerichtetem Blick ein ausgewogenes Verhältnis zwischen Ertrag und Verlustgefahr ermöglicht. Neben der Reduzierung des Risikos bei minimaler Chancenminderung umfasst das Risikomanagement die Weiterleitung der risikobezogenen Informationen in systematischer und geordneter Weise an die zuständigen Entscheidungsträger, um die Entscheidungssituation im Unternehmen durch Risikotransparenz zu verbessern, sowie externe Interessenten, bspw. Banken oder Analysten, um diese zu informieren.

Ein Unternehmen sieht sich unterschiedlichen Risiken ausgesetzt, die sich in die Kategorien der externen Risiken (höhere Gewalt, politische/ökonomische Risiken) und die internen Unternehmensrisiken unterteilen lassen, die wiederum in Geschäfts-, Finanz- und Betriebsrisiken aufgeschlüsselt werden können. Darüber hinaus sind weitere Unterteilungen dieser Risikofelder möglich, bspw. die strategischen Risiken und die Geschäftsrisiken, Wechselkursrisiken unter Finanzrisiken, Lieferantenausfall und Betriebsrisiken. Neben der steigenden Komplexität des sozio-ökonomischen Systems Unternehmung, die die Einführung eines Risikomanagements aus interner Sicht begründet, wird durch die Unternehmensumwelt die Forderung an das Unternehmen gestellt, ein Risikomanagementsystem zu implementieren. So wurden durch eine Reihe großer Unternehmenskrisen internationale Regelungen erlassen, die Unternehmen zur Integration eines Risikomanagements verpflichten. Darunter ist die Baseler Eigenkapitalvereinbarung (Basel II), die in mehr als 100 nationalen Gesetzgebungen umgesetzt wurde. In dieser werden Finanzinstitute verpflichtet, ihre Kredite entsprechend dem Bonitätsrankig des Kreditnehmers mit Eigenkapital zu unterlegen, wobei das Ranking nicht nur aus vergangenheitsbezogenen Kennzahlen gebildet wird, sondern auch das aktuelle und zukünftige Unternehmensrisiko mit einbezieht, sodass ein aktives Risikomanagement das Ratingprofil eines Unternehmens verbessern kann und somit einen verbesserten Zugang zu Fremdkapital ermöglicht. Auch die Kreditinstitute selber müssen ihre operationellen Risiken mit Eigenkapital hinterlegen. Das in Deutschland unter dem Einfluss von Basel II entstandene Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) verpflichtet Aktiengesellschaften dazu, ein Überwachungssystems zur Früherkennung bestandsgefährdender Risiken einzuführen, d. h. die Einführung eines proaktiven Risikomanagements wird gesetzlich gefordert. Viele Vorschriften des KonTraGs sind für Nicht-Kreditinstitute, und damit auch für IT-Outsourcingnehmer, nicht relevant. Auch wird vom KonTraG ein Risikomanagementsystem für bestandsgefährdende Risiken gefordert, in dem keine Chancen berücksichtigt werden, während Risiken aus dem operativen Bereich der SLA-Leistungserstellung nicht bestandsgefährdend sind, da ein Unternehmen keine Strafzahlung akzeptieren wird, die seinen Fortbestand gefährdet. Trotzdem werden im weiteren Verlauf der Untersuchung die Vorschriften und Umsetzungshilfen aus dem KonTraG-Umfeld und der Finanzbranche betrachtet, um diese auf ihre Verwendbarkeit für ein Risikomanagementsystem für SLAs zu untersuchen, da bereits bekannte Methoden aus dem KonTraG-nahem Risikomanagement schnell und mit geringen Akzeptanzproblemen im SLA-Umfeld eingeführt werden können. Auf diese Weise wird die Sensibilisierung in Unternehmen für den Umgang mit Risiken durch das KonTraG genutzt, und auch die Überprüfung des gesamten Risikomanagements einer Unternehmung kann den Blick auf die operative Ebene und SLA-Leistungserbringung lenken.

In der Vergangenheit setzten sich hauptsächlich Unternehmen aus dem Finanzbereich mit dem Risikomanagement auseinander, insbesondere mit den Markt- und Kreditrisiken. Entsprechend beziehen sich Risikomanagementsysteme häufig nur auf den Finanzbereich eines Unternehmens, während Risiken aus dem Bereich der Informationssysteme, insbesondere für Supportprozesse, getrennt betrachtet wurden. Ziel sollte aber eine umfassende Untersuchung der Unternehmensstrategie auf Risiken sein, um diese zu entdecken und abzusichern. Um dies zu erreichen muss festgelegt werden, ob das Integrations- oder das Separationskonzept für das Risikomanagement berücksichtigt werden soll. Bei dem Integrationskonzept ist das Risikomanagement direkt eine Aufgabe der entsprechenden Managementebene, da jeder Entscheider von der spezifischen Risikokomponente betroffen ist und diese aufgrund seiner Fachkenntnisse am ehesten managen kann. Beim Separationskonzept wird das Risikomanagement von einer Stabstelle aus gehandhabt, die auf den Umgang mit Risiken spezialisiert ist und diese durch ihre Perspektive objektiv in ihrer Gesamtheit beurteilen kann. Die Nachteile des Integrationskonzepts sind eine mangelnde Identifizierung mit den Aufgaben des Risikomanagements, die fehlenden Methodenkenntnisse sowie der begrenzte Überblick über die gesamte Risikosituation des Unternehmens. Erst durch eine Kombination beider Methoden kann ein ausgeglichener Risikomanagementprozess entstehen. Entsprechend der Ausrichtung und Schwerpunktsetzung zwischen Integrations- und Separationskonzept ist die Rolle des Verantwortlichen für das Risikomanagement, den Risk-Owner, auf der entsprechende Ebene anzusetzen. Darüber hinaus kann bei einer Orientierung an dem Integrationskonzept das Risikomanagement parallel zu den Managementebenen eines Unternehmens strategisch, taktisch oder operativ aufgestellt sein. Das strategische Risikomanagement legt die langfristigen und grundsätzlichen Ziele des Risikomanagements für das gesamte Unternehmen (Risikopolitik) fest, die das gewünschte Verhältnis von Chancen und Risiken sowie organisatorische Rahmenbedingungen umfasst, sodass sie die Basis für das operative Risikomanagement darstellt. Diese strategischen Ziele werden durch die Anwendung der Top-Down-Methode in den Abteilungen aufbereitet und umgesetzt. Bei der Bottom-Up-Methode befasst sich das operative Risikomanagement mit technischen und organisatorischen Risikodetails von Systemen und Prozessen und gibt konkrete und sachbezogene Rückmeldungen an die strategische Ebene.