In 8 Schritten zum passenden IT-Outsourcing-Dienstleister
Ein IT-Outsourcing bedeutet meist eine jahrelange Partnerschaft und Zusammenarbeit zwischen IT-Dienstleister und Kunde. Aus diesem Grund ist die Wahl des richtigen IT-Providers oft ein sehr langwieriger und komplexer Vorgang, bei dem viele unterschiedliche Stakeholer berücksichtigt werden müssen. In diesem Blogartikel erfahren Sie, wie Sie in 8 Schritten den passenden Partner für Ihr Unternehmen finden. Durch die besonderen Anforderungen der BaFin wird das Thema Regulatorik besonders beleuchtet und in den einzelnen Schritten mitberücksichtigt.
Den passenden Provider finden
Die wichtigsten Aspekte, die Sie bei der Wahl des Providers berücksichtigen sollten, sind in unserem kostenlosen Whitepaper ausführlich erklärt.
1. Schritt: Die IT-Outsourcing-Motivation bewusst machen
Wie die meisten Projekte sollte auch ein IT-Outsourcing-Prozess mit einer möglichst konkreten Zielsetzung und der zugrunde liegenden Motivation für dieses Vorhaben beginnen. Die Gründe für ein IT-Outsourcing können häufig auf folgende drei wesentliche Ziele heruntergebrochen werden:
- Kostenersparnis
- Höhere Flexibilität
- Konzentration auf das Kerngeschäft
Diese sind jedoch meist zu kurz gegriffen und muss unbedingt erweitert oder zumindest stark konkretisiert werden.
Eine Kostenersparnis ist beispielsweise nur möglich, wenn sich der Ausschreibungsscope und die Serviceerwartung 1:1 mit dem aktuellen Leistungsstand der internen IT decken. Häufig sind in IT-Outsourcing-Projekten deutlich höhere Anforderungen an den IT-Dienstleister formuliert - z.B. eine Abdeckung 7x24 inkl. Pönalen etc. - welches so im IST-Zustand der IT nicht existiert.
Flexibilität ist ein weiterer Punkt, der gerne als Motivation für ein IT-Outsourcing herangezogen wird und dringend konkretisiert werden muss. Denn Flexibilität kostet meist auch beim IT-Provider Geld.
Konkretisierung für BaFin-regulierte Unternehmen:
Aus Erfahrung sind bei regulierten Unternehmen häufig die Auflagen der BaFin, die nicht mehr eingehalten werden können bzw. mit einem sehr großen Invest in Technologien und/oder Personal verbunden sind, die ausschlaggebende Motivation für ein IT-Outsourcing. Auch ein Projektstau durch neue Anforderungen oder Findings von Prüfungen und Audits hat schon das ein oder andere IT-Outsourcing-Projekt ausgelöst.
2. Schritt: Den Scope definieren
Im ersten Schritt wurde bereits das „Warum (mache ich das überhaupt?)“ beantwortet. Der zweite Schritt umfasst das „Was?“. "Was sind überhaupt die Leistungen, die ich mir am Markt einkaufen möchte?" Folgende Fragen, sollten sich in diesem Kontext gestellt werden:
- Wo habe ich heute Probleme bei der Leistungserbringung?
- Wo habe ich höhere/hohe Kosten für die Leistungserbringung?
- Welche IT-Leistungen sind mittlerweile „commodity“ am Markt (Buy) und für welche Leistungen benötige ich Spezial-Know-how (Make)?
- In welchen Bereichen liegt eine Vielzahl an notwendigen/geplanten Projekten?
- Welche IT-Leistungen sind strategisch für mich wichtig?
In vielen First Generation IT-Outsourcing-Projekten werden große Teile der IT-Infrastruktur-Services (RZ, Server, Storage, Backup und OS-Management) an einen Dienstleister vergeben. Auch die klassischen Office IT-Services wie Benutzerverwaltung (AD), E-Mail und File Services werden „as a Service“ vergeben. Die IT-Services Client Management und Service Desk/User Help Desk werden hingegen noch beim Kunden vorgehalten, damit die Nähe zum End User sichergestellt ist. Der Betrieb der Unternehmensanwendungen verbleibt häufig dauerhaft bei dem auslagernden Unternehmen.
Konkretisierung für BaFin-regulierte Unternehmen:
Auch bei der Definition des Scopes spielt Regulatorik eine relevante Rolle. Hier sollten aktuelle Findings aus Prüfungen und Revisionen mit in die Entscheidung nach dem passenden Scope berücksichtigt werden. Ansonsten gelten auch im Banken- und Versicherungsumfeld die oben genannten Fragestellungen. Zudem ist im Rahmen der Scope Definition bei regulierten Unternehmen noch die Frage der Wesentlichkeit der Auslagerung (bzw. Wichtigkeit der Ausgliederung) zu prüfen und zu bewerten.
3. Schritt: Alle Stakeholder identifizieren
Ein IT-Outsourcing betrifft das komplette Unternehmen, da es kaum mehr Arbeitsplätze gibt, die keine Abhängigkeit zu bestimmten IT-Services haben. Dennoch sollten Sie für sich und das Projekt die relevantesten Stakeholder identifizieren und in das IT-Outsourcing-Projekt integrieren. Neben dem IT-Management, welches häufig einer der Treiber ist, sind dies die IT-Mitarbeiter, die im Rahmen des anschließenden Migrationsprojektes mitwirken müssen, der Einkauf, aber auch Querschnittsfunktionen wie der Datenschutzbeauftragte. Auch die Rechtsabteilung spielt bei der Vertragsprüfung und Gestaltung eine wichtige Rolle.
Konkretisierung für BaFin-regulierte Unternehmen:
Im Vergleich zu IT-Outsourcing-Projekten im nicht regulierten Umfeld, gibt es bei Banken und Versicherungen noch eine Reihe weiterer Personen, die eine zentrale Rolle spielen: Angefangen beim Auslagerungsmanager, aber auch die Revision und der Informationssicherheitsbeauftragte sind rechtzeitig abzuholen und in das Projekt einzubinden. Nur so kann sichergestellt werden, dass ausnahmslos alle Anforderungen im folgenden Schritt berücksichtigt werden – nämlich der Ausschreibung selbst.
4. Schritt: Die Ausschreibung durch Spezialisten begleiten lassen
„First Generation IT-Outsourcing“ impliziert bereits, dass es sich um die erstmalige Durchführung eines IT-Outsourcings handelt. Und selbst wenn das Unternehmen bereits im Outsourcing ist, wird ein entsprechendes Projekt im Normalfall nur alle 3-5 Jahre durchgeführt. Dies bedeutet, dass ein IT-Outsourcing bzw. die Durchführung eines großen Ausschreibungsverfahrens meist nicht zur täglichen Arbeit und zur Kernkompetenz des Unternehmens zählt. Deshalb empflehen wir allen Outsoucing-Interessierten eine Unterstützung durch eine spezialisierte IT-Sourcing-Beratung. Eine gute, sinnhaft aufgebaute und vollständige Ausschreibung liegt im Interesse beider Parteien, sowohl des auslagernden Unternehmens als auch der Anbieter.
Konkretisierung für BaFin-regulierte Unternehmen:
Unternehmen, die durch die BaFin reguliert werden, empfehlen wir dringend sich bereits bei der Auswahl der Ausschreibungsberatung ein IT-Beratungsunternehmen, welches nachweislich Erfahrung im regulierten Umfeld besitzt, zur Seite zu nehmen. Dabei sollte nicht nur die Firma begutachtet werden, sondern auch der entsprechende Consultant, der die Ausschreibung mit Ihnen gemeinsam erstellt. Die Erfahrung zeigt: „Je mehr Verständnis für Regulatorik, desto besser für Unternehmen und Anbieter“.
5. Schritt: Anforderungen möglichst konkret formulieren
Da viele IT-Services mehr und mehr „Commodity“ werden, geht der Trend bei Ausschreibungen derzeit zu einer sehr generischen Servicebeschreibung. Wir empfehlen jedoch eine möglichst hohe Individualisierung der von der Ausschreibungsberatungsfirma vorgegebenen Templates. Je detaillierter das Unternehmensumfeld und die tatsächlichen Anforderungen beschrieben sind, desto klarer und passgenauer können die Angebote und auch der finale IT-Outsourcing-Vertrag gestaltet werden. Dies beginnt bei möglichst realitätsnahen Mengengerüsten, die als Ausgangsbasis für die Preisliste dienen und endet bei einer möglichst umfassenden Beschreibung der erwarteten Serviceleistungen.
Konkretisierung für BaFin-regulierte Unternehmen:
Diese Konkretisierung gilt insbesondere auch für Themen, die aus den Anforderungen den BAIT, VAIT oder KAIT kommen. Ein einfacher Satz à la „es müssen regulatorische Anforderungen erfüllt werden“ genügt hier keinesfalls. Ggf. stellen Sie im Rahmen der Ausschreibung auch eine Liste der letzten Findings aus Prüfungen zur Verfügung, sodass der Dienstleister direkt erkennt, wo derzeit Lücken existieren. Formulieren Sie ebenfalls Ihre individuelle Ableitung der BAIT/VAIT/KAIT für Ihr Unternehmen und Business.
6. Schritt: Kriterien für künftigen Partner verfassen
"Der Günstigste bei vergleichbarer Leistung gewinnt" – so oder so ähnlich lautet die Pauschale Antwort auf die Entscheidungskriterien für den künftigen Partner. Es sollten jedoch eine Reihe weiterer Kriterien berücksichtigt werden. Da ein IT-Outsourcing eine langfristige Beziehung ist, sollte auch die Chemie zwischen den Unternehmen – ein Agieren auf Augenhöhe – und insbesondere die Chemie zwischen den nominierten Key Playern, wie bspw. der Provider-Steuerung einerseits und dem Service Delivery Manager andererseits, stimmen.
Konkretisierung für BaFin-regulierte Unternehmen:
Gerade im Umfeld von BaFin-regulierten Unternehmen sollte Wert auf eine entsprechende Historie und Erfahrung des IT-Dienstleisters in diesem Kundenklientel gelegt werden. Referenzen, spezielle Lösungen für regulierte Unternehmen und auch nachvollziehbare, transparente Prozesse sollten hier in den Kriterienkatalog aufgenommen werden.
7. Schritt: Transparenz aller Parteien
Sprechen Sie offene und unklare Punkte unbedingt während der Ausschreibungsphase an - dies gilt für beide Seiten und hilft, dass sich beide Parteien in einer relativ kurzen Zeit gut kennenlernen. Dazu gehört auf Seite des auslagernden Unternehmens, dass Sie Themen, die Ihnen wichtig sind, herausstellen, ebenso wie die Erwartungshaltung an den künftigen Partner verständlich zu artikulieren. Als Anbieter sollte man ebenfalls mit viel Transparenz aufwarten – sei es mit der Bereitstellung von Referenzcalls als auch mit Prüfungsergebnissen aus Revisionsprüfungen etc.
Konkretisierung für BaFin-regulierte Unternehmen:
Insbesondere die Herausforderungen, denen das auslagernde Unternehmen im Kontext der Regulatorik gegenübersteht und ggf. noch nicht gemeistert wurden, sollten nicht verschwiegen werden, sondern den Anbietern zur Verfügung gestellt werden. Der künftige IT-Outsourcing-Dienstleister muss ohnehin im Rahmen der Auslagerungsbewertung durchleuchtet werden – hier ist maximale Transparenz des Anbieters und möglichen künftigen Partnern gefordert.
8. Schritt: Den Schwung mitnehmen
Die Ausschreibungsphase ist geschafft – anstrengende Wochen liegen hinter beiden Parteien. Jetzt startet das Projekt! Der Schwung aus der Ausschreibungsphase und optimalerweise ein positiver Geist sollten in das startende Projekt mitgenommen werden. Die Key Player aus der Ausschreibung sollten weiterhin an Bord sein und das Projektteam ab jetzt bestmöglich unterstützen.
Dies gilt gleichermaßen für alle Unternehmen – egal ob reguliert oder nicht!