Entwicklung eines Risikomanagementprozesses zur Unterstützung der Einhaltung von Service Level Agreements
©2009
Diplomarbeit
143 Seiten
Zusammenfassung
Inhaltsangabe:Einleitung:
Seit den 1990er Jahren ist das Outsourcing ein Prinzip, das in der unternehmerischen Praxis häufig umgesetzt wird. Dabei tritt ein Unternehmen, das eine Leistung fremd erstellen lassen will, der Outsourcinggeber, mit einem Leistungs-ersteller, dem Outsourcingnehmer, in ein vertragliches Verhältnis. Die durch das Outsourcing verfolgten Ziele, bspw. Kostensenkungen, können durch die Nutzung des Outsourcingnehmers erreicht werden, der zu vertraglich festgelegten Konditionen bestimmte Leistungen zu erbringen hat. Der genaue Umfang von Leistungen und Gegenleistungen wird detailliert definiert und in SLAs, die Bestandteil des zugrunde liegenden Vertrages sind, konkret und vollständig festgelegt. Das Outsourcing ist somit erfolgreich, wenn die SLAs erfüllt werden, weshalb die Anforderungen an das Outsourcing einher gehen mit der Erfüllung der Anforderungen an SLAs, wie sie in Abschnitt 2.2 vorgestellt werden. Die vorhergehenden Risiken und Anforderungen im Rahmen der Anbahnung der Outsourcing-Beziehung, d. h. innerhalb des Outsourcing-Prozesses, werden im Rahmen dieser Arbeit nicht weiter betrachtet. Vielmehr wird von einer korrekten Durchführung des Outsourcing-Prozesses und dem Abschluss angemessener SLAs ausgegangen. Ein Outsourcinggeber muss innerhalb der Outsourcing-Beziehung die zugesicherten SLAs einhalten, was nicht immer geschieht. Dies kann zu unterschiedlichen negativen Konsequenzen auf Seiten des Outsourcinggebers führen, der diese im Rahmen einer vorab vertraglich festgelegten Schadenszahlung durch den Outsourcingnehmer versucht zu kompensieren. Um diese Zahlung zu verhindern, kann es für den Outsourcingnehmer sinnvoll sein, ein Risikomanagement für seine Leistungserstellungsprozesse, die zur Einhaltung der abgeschlossenen SLAs benötigt werden, aufzubauen. Dieser Risikomanagementprozess befindet sich auf operativer Ebene eines Unternehmens und kann, ebenso wie weitere Risikomanagementprozesse auf operativer Ebene, das Risikomanagement des Gesamtunternehmens unterstützen. Das Ziel eines Risikomanagementsystems ist der systematische Umgang und die Beherrschung aller Risiken, die auf ein Unternehmen einwirken, damit der Unternehmensfortbestand und der Unternehmenserfolg gesichert sind. Eine Übersicht sämtlicher einwirkender Risiken ist durch die Nutzung von Risikomanagementprozessen auf allen Hierarchiestufen möglich, um negative Auswirkungen von Risiken auf den Erfolg des Gesamtunternehmens zu begrenzen sowie eine die […]
Seit den 1990er Jahren ist das Outsourcing ein Prinzip, das in der unternehmerischen Praxis häufig umgesetzt wird. Dabei tritt ein Unternehmen, das eine Leistung fremd erstellen lassen will, der Outsourcinggeber, mit einem Leistungs-ersteller, dem Outsourcingnehmer, in ein vertragliches Verhältnis. Die durch das Outsourcing verfolgten Ziele, bspw. Kostensenkungen, können durch die Nutzung des Outsourcingnehmers erreicht werden, der zu vertraglich festgelegten Konditionen bestimmte Leistungen zu erbringen hat. Der genaue Umfang von Leistungen und Gegenleistungen wird detailliert definiert und in SLAs, die Bestandteil des zugrunde liegenden Vertrages sind, konkret und vollständig festgelegt. Das Outsourcing ist somit erfolgreich, wenn die SLAs erfüllt werden, weshalb die Anforderungen an das Outsourcing einher gehen mit der Erfüllung der Anforderungen an SLAs, wie sie in Abschnitt 2.2 vorgestellt werden. Die vorhergehenden Risiken und Anforderungen im Rahmen der Anbahnung der Outsourcing-Beziehung, d. h. innerhalb des Outsourcing-Prozesses, werden im Rahmen dieser Arbeit nicht weiter betrachtet. Vielmehr wird von einer korrekten Durchführung des Outsourcing-Prozesses und dem Abschluss angemessener SLAs ausgegangen. Ein Outsourcinggeber muss innerhalb der Outsourcing-Beziehung die zugesicherten SLAs einhalten, was nicht immer geschieht. Dies kann zu unterschiedlichen negativen Konsequenzen auf Seiten des Outsourcinggebers führen, der diese im Rahmen einer vorab vertraglich festgelegten Schadenszahlung durch den Outsourcingnehmer versucht zu kompensieren. Um diese Zahlung zu verhindern, kann es für den Outsourcingnehmer sinnvoll sein, ein Risikomanagement für seine Leistungserstellungsprozesse, die zur Einhaltung der abgeschlossenen SLAs benötigt werden, aufzubauen. Dieser Risikomanagementprozess befindet sich auf operativer Ebene eines Unternehmens und kann, ebenso wie weitere Risikomanagementprozesse auf operativer Ebene, das Risikomanagement des Gesamtunternehmens unterstützen. Das Ziel eines Risikomanagementsystems ist der systematische Umgang und die Beherrschung aller Risiken, die auf ein Unternehmen einwirken, damit der Unternehmensfortbestand und der Unternehmenserfolg gesichert sind. Eine Übersicht sämtlicher einwirkender Risiken ist durch die Nutzung von Risikomanagementprozessen auf allen Hierarchiestufen möglich, um negative Auswirkungen von Risiken auf den Erfolg des Gesamtunternehmens zu begrenzen sowie eine die […]
Leseprobe
Inhaltsverzeichnis
Julia Kowalski
Entwicklung eines Risikomanagementprozesses zur Unterstützung der Einhaltung von
Service Level Agreements
ISBN: 978-3-8366-3538-7
Herstellung: Diplomica® Verlag GmbH, Hamburg, 2009
Zugl. Ruhr-Universität Bochum, Bochum, Deutschland, Diplomarbeit, 2009
Dieses Werk ist urheberrechtlich geschützt. Die dadurch begründeten Rechte,
insbesondere die der Übersetzung, des Nachdrucks, des Vortrags, der Entnahme von
Abbildungen und Tabellen, der Funksendung, der Mikroverfilmung oder der
Vervielfältigung auf anderen Wegen und der Speicherung in Datenverarbeitungsanlagen,
bleiben, auch bei nur auszugsweiser Verwertung, vorbehalten. Eine Vervielfältigung
dieses Werkes oder von Teilen dieses Werkes ist auch im Einzelfall nur in den Grenzen
der gesetzlichen Bestimmungen des Urheberrechtsgesetzes der Bundesrepublik
Deutschland in der jeweils geltenden Fassung zulässig. Sie ist grundsätzlich
vergütungspflichtig. Zuwiderhandlungen unterliegen den Strafbestimmungen des
Urheberrechtes.
Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in
diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme,
dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei
zu betrachten wären und daher von jedermann benutzt werden dürften.
Die Informationen in diesem Werk wurden mit Sorgfalt erarbeitet. Dennoch können
Fehler nicht vollständig ausgeschlossen werden und der Verlag, die Autoren oder
Übersetzer übernehmen keine juristische Verantwortung oder irgendeine Haftung für evtl.
verbliebene fehlerhafte Angaben und deren Folgen.
© Diplomica Verlag GmbH
http://www.diplomica.de, Hamburg 2009
Abstract
Im Laufe der letzten Jahre sind immer mehr IT-Dienstleistungen von Unterneh-
men an IT-Serviceanbieter ausgelagert worden. Diese Leistungen müssen in der
vertraglich festgelegten Qualität und dem festgelegten Umfang geliefert werden
(sog. Service Level).
In der Praxis kommt es vor, dass fest definierte Service Level nicht erfüllt werden.
Ziel der Diplomarbeit ist es, einen Prozess zu entwickeln, der die Handhabung
möglicher Risiken für die Einhaltung festgelegter Service Level (sog. Service
Level Agreements (SLAs)) ermöglicht.
Durch die Vorstellung der Grundlagen des Risikomanagementprozesses anhand
der Auswahl und Bestimmung geeigneter Begriffsdefinitionen für Outsourcing
und SLAs wird in das Thema der Arbeit eingeführt und der Untersuchungsbereich
auf bereits abgeschlossene Outsourcingverträge mit korrekt abgeschlossenen
SLAs abgegrenzt. Durch einen Vergleich unterschiedlicher Risikomanagement-
prozesse werden geeignete Schritte für einen Prozess zum Umgang mit Risiken
für die Einhaltung von SLAs auf operativer Ebene abgeleitet. Als einzelne Pro-
zessabschnitte werden die Identifikation, Bewertung, Visualisierung, Steuerung
und Kontrolle der Risiken im weiteren Verlauf der Arbeit genauer betrachtet. Für
die einzelnen Schritte werden bekannte Risikomanagementmethoden vorgestellt
und auf ihre Anwendbarkeit im Hinblick auf ihren Einsatz in einem Risikomana-
gementprozess für SLAs bewertet. Der auf diese Weise entwickelte Risikomana-
gementprozess wird zusammenfassend in einer Übersicht vorgestellt. Durch ein
Fallbeispiel mit einem in der Praxis angewandten SLA wird der Prozess auf seine
Anwendbarkeit überprüft. Anschließend wird eine kritische Würdigung des ent-
wickelten Risikomanagementprozesses vorgenommen. Zum Abschluss wird ein
Fazit gezogen und ein Ausblick auf mögliche weitere Untersuchungsgebiete ge-
geben.
I
Inhaltsverzeichnis
INHALTSVERZEICHNIS...I
ABBILDUNGSVERZEICHNIS ...III
TABELLENVERZEICHNIS...IV
ABKÜRZUNGSVERZEICHNIS ... V
1
EINLEITUNG ... 1
1.1
M
OTIVATION UND
Z
IELSETZUNG
... 1
1.2
D
ARSTELLUNG DER
V
ORGEHENSWEISE
... 3
2
GRUNDLAGEN UND BEGRIFFSDEFINITIONEN... 4
2.1
O
UTSOURCING
... 4
2.1.1
Begriffsdefinition ... 4
2.1.2
Outsourcingziele ... 7
2.2
S
ERVICE
L
EVEL
A
GREEMENTS
... 9
2.2.1
Begriffsdefinition und SLA-Ziele ... 9
2.2.2
Anforderungen an SLAs... 10
2.3
R
ISIKOMANAGEMENT
... 13
2.3.1
Begriffsdefinition und Risikomanagementziele... 13
2.3.2
Anforderungen an das Risikomanagement ... 18
3
RISIKOMANAGEMENTPROZESS FÜR SLAS ... 19
3.1
P
ROZESSSCHRITT DER
R
ISIKOIDENTIFIZIERUNG
... 20
3.1.1
Vorstellung von Methoden zur Risikoidentifizierung... 23
3.1.2
Bewertung der vorgestellten Methoden zur Risikoidentifizierung ... 29
3.2
P
ROZESSSCHRITT DER
R
ISIKOBEWERTUNG
... 39
3.2.1
Vorstellung von Methoden zur Risikobewertung ... 41
3.2.2
Bewertung der vorgestellten Methoden zur Risikobewertung ... 46
3.3
P
ROZESSSCHRITT DER
R
ISIKOVISUALISIERUNG
... 57
3.3.1
Vorstellung von Methoden zur Risikovisualisierung ... 59
3.3.2
Bewertung der vorgestellten Methoden zur Risikovisualisierung... 60
3.4
P
ROZESSSCHRITT DER
R
ISIKOSTEUERUNG
... 62
3.4.1
Vorstellung von Methoden zur Risikosteuerung ... 63
3.4.2
Bewertung der vorgestellten Methoden zur Risikosteuerung ... 68
3.5
P
ROZESSSCHRITT DER
R
ISIKOKONTROLLE
... 71
II
3.5.1
Vorstellung von Methoden zur Risikokontrolle... 73
3.5.2
Bewertung der vorgestellten der Methoden zur Risikokontrolle... 74
3.6
Z
USAMMENFASSUNG DES ENTWICKELTEN
R
ISIKOMANAGEMENTPROZESSES
... 74
4
ANWENDUNG DES ENTWICKELTEN RISIKOMANAGEMENTPROZESSES IN
EINEM FALLBEISPIEL... 76
5
KRITISCHE WÜRDIGUNG ... 84
6
FAZIT UND AUSBLICK ... 87
LITERATURVERZEICHNIS... 96
ANHANG... 1
III
Abbildungsverzeichnis
ABBILDUNG 1 RISIKOMANAGEMENTPROZESS FÜR DIE EINHALTUNG VON SLAS .. 19
ABBILDUNG 2 METHODEN DER RISIKOIDENTIFIZIERUNG... 22
ABBILDUNG 3 EXPERTENUMFRAGE: SELBSTEINSCHÄTZUNG ZUM
EXPERTENSTATUS DER UMFRAGETEILNEHMER ... 31
ABBILDUNG 4 EXPERTENUMFRAGE: BEWERTUNG BEWERTUNG DER HÄUFIGKEIT
IM RISIKOBEREICH PERSONAL UND ORGANISATION ... 32
ABBILDUNG 5 EXPERTENUMFRAGE: BEWERTUNG DER HÄUFIGKEIT IM
RISIKOBEREICH TECHNIK... 32
ABBILDUNG 6 EXPERTENUMFRAGE: BEWERTUNG DER HÄUFIGKEIT IM
RISIKOBEREICH SONSTIGES... 32
ABBILDUNG 7 BEURTEILUNG VON METHODEN DER RISIKOIDENTIFIZIERUNG ... 39
ABBILDUNG 8 EXPERTENUMFRAGE: BEWERTUNG DES SCHADENSAUSMAßES DES
RISIKOBEREICHS PERSONAL UND ORGANISATION... 48
ABBILDUNG 9 EXPERTENUMFRAGE: BEWERTUNG DES SCHADENSAUSMAßES DES
RISIKOBEREICHS TECHNIK... 49
ABBILDUNG 10 EXPERTENUMFRAGE: BEWERTUNG DES SCHADENSAUSMAßES DES
RISIKOBEREICHS SONSTIGES... 49
ABBILDUNG 11 EXPERTENUMFRAGE: BEWERTUNG DER HÄUFIGKEIT VON
SCHÄTZUNGSVERZERRUNGEN ... 50
ABBILDUNG 12 EXPERTENUMFRAGE: BEWERTUNG DER STÄRKE VON
SCHÄTZUNGSVERZERRUNGEN ... 50
ABBILDUNG 13 EXPERTENUMFRAGE: BEWERTUNG DER HÄUFIGKEIT MÖGLICHER
PROBLEME BEI DER SCHÄTZUNG VON
WAHRSCHEINLICHKEITSFUNKTIONEN... 54
ABBILDUNG 14 MAßNAHMEN ZUR RISIKOSTEUERUNG IN ABHÄNGIGKEIT ZU
SCHADENSHÖHE UND EINTRITTSWAHRSCHEINLICHKEIT... 67
ABBILDUNG 15 BEURTEILUNG AUSGEWÄHLTER MAßNAHMEN DER
RISIKOSTEUERUNG... 71
ABBILDUNG 16 FALLBEISPIEL: VISUALISIERUNG RISIKOBEREICH PERSONAL... 80
ABBILDUNG 17 FALLBEISPIEL: VISUALISIERUNG RISIKOBEREICH TECHNIK... 81
ABBILDUNG 18 FALLBEISPIEL: VISUALISIERUNG RISIKOBEREICH SONSTIGES... 81
IV
Tabellenverzeichnis
TABELLE 1 EXPERTENUMFRAGE: RANGFOLGE BEI AUFSUMMIERUNG DER
HÄUFIGKEITSKATEGORIEN "MANCHMAL", "OFT" UND "IMMER" ... 33
TABELLE 2 EXPERTENUMFRAGE: RANGFOLGE BEI AUFSUMMIERUNG DER
HÄUFIGKEITSKATEGORIEN "WENIGER STARK", "STARK" UND "SEHR
STARK"... 51
TABELLE 3 FALLBEISPIEL: EXPERTENEINSCHÄTZUNG ZU
EINTRITTSWAHRSCHEINLICHKEIT UND SCHADENSAUSMAß ... 79
V
Abkürzungsverzeichnis
AHP
Analytical Hierarchie Process
AMA
Advanced Measurement Approach (dt. ambitionierter Messansatz)
ARIS
Architektur integrierter Informationssysteme
BaFin
Bundesanstalt für Finanzdienstleistungsaufsicht
BGB Bürgerliches
Gesetzbuch
BSI
Bundesamt für Sicherheit in der Informationstechnik
Cobit
Control Objectives for Information and Related Technology
EDV elektronische
Datenverarbeitung
FMEA
Failure Mode and Effects Analysis
(dt. Fehlermöglichkeits- und Einflussanalyse)
ISO
International Organization for Standardization
IT Informationstechnik
ITIL
IT Infrastructure Library
IV Informationsverarbeitung
KonTraG
Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
NASDAQ
National Association of Securities Dealers Automated Quotations
OLAP
On-Line Analytical Process
SBAMA
Scenario based AMA working group
SLA
Sevice Level Agreement
SLAs
Service Level Agreements
SLM
Service Level Management
SMS
Short Message Service
SWOT
Strengths, Weaknesses, Opportunities, Threats
(dt. Stärken, Schwächen, Chancen und Risiken)
TM Trademark
(dt.
Warenzeichen)
1
1
Einleitung
1.1
Motivation und Zielsetzung
Seit den 1990er Jahren ist das Outsourcing ein Prinzip, das in der unternehmeri-
schen Praxis häufig umgesetzt wird.
1
Dabei tritt ein Unternehmen, das eine Leis-
tung fremd erstellen lassen will,
2
der Outsourcinggeber, mit einem Leistungs-
ersteller, dem Outsourcingnehmer, in ein vertragliches Verhältnis. Die durch das
Outsourcing verfolgten Ziele, bspw. Kostensenkungen,
3
können durch die Nut-
zung des Outsourcingnehmers erreicht werden, der zu vertraglich festgelegten
Konditionen bestimmte Leistungen zu erbringen hat. Der genaue Umfang von
Leistungen und Gegenleistungen wird detailliert definiert und in SLAs, die Be-
standteil des zugrunde liegenden Vertrages sind, konkret und vollständig festge-
legt. Das Outsourcing ist somit erfolgreich, wenn die SLAs erfüllt werden, wes-
halb die Anforderungen an das Outsourcing einher gehen mit der Erfüllung der
Anforderungen an SLAs, wie sie in Abschnitt 2.2 vorgestellt werden. Die vorher-
gehenden Risiken und Anforderungen im Rahmen der Anbahnung der Outsour-
cing-Beziehung, d. h. innerhalb des Outsourcing-Prozesses, werden im Rahmen
dieser Arbeit nicht weiter betrachtet.
4
Vielmehr wird von einer korrekten Durch-
führung des Outsourcing-Prozesses und dem Abschluss angemessener SLAs aus-
gegangen. Ein Outsourcinggeber muss innerhalb der Outsourcing-Beziehung die
zugesicherten SLAs einhalten, was nicht immer geschieht.
5
Dies kann zu unter-
schiedlichen negativen Konsequenzen auf Seiten des Outsourcinggebers führen,
der diese im Rahmen einer vorab vertraglich festgelegten Schadenszahlung durch
den Outsourcingnehmer versucht zu kompensieren. Um diese Zahlung zu verhin-
dern, kann es für den Outsourcingnehmer sinnvoll sein, ein Risikomanagement für
1
,,Beim Outsourcing werden Arbeits- oder Geschäftsprozesse einer Organisation ganz oder teil-
weise zu externen Dienstleistern ausgelagert.", BSI (2009), Abschnitt 1. Diese Begriffsbe-
stimmung ist für eine Einführung in das Themengebiet ausreichend, jedoch ist sie nicht ab-
schließend oder vollständig, weshalb in Abschnitt 2.1 eine genauere, detailliertere Begriffsbe-
stimmung vorgenommen wird.
2
Es werden bevorzugt Leistungen zur Fremderstellung abgegeben, die nicht Bereich des Kernge-
schäftes sind, bspw. Unterstützungsprozesse wie Softwarepflege, vgl. Abschnitt 2.1.
3
Vgl. Abschnitt 2.1.2.
4
Für eine Darstellung von Risiken in der Outsourcing-Entscheidung vgl. Gammelin (2004), S.
25ff; Kliem (2004), S. 25 27; Schätzer (1999), S. 47; Schewe/Kett (2007), S. 23f; Shi
(2007), S. 27ff u.v.m.
5
Vgl. Computerwelt (2003), o. S.; Eitelbuss (2002), S. 37.
2
seine Leistungserstellungsprozesse, die zur Einhaltung der abgeschlossenen SLAs
benötigt werden, aufzubauen. Dieser Risikomanagementprozess befindet sich auf
operativer Ebene eines Unternehmens und kann, ebenso wie weitere Risikomana-
gementprozesse auf operativer Ebene, das Risikomanagement des Gesamtunter-
nehmens unterstützen. Das Ziel eines Risikomanagementsystems ist der systema-
tische Umgang und die Beherrschung aller Risiken, die auf ein Unternehmen ein-
wirken, damit der Unternehmensfortbestand und der Unternehmenserfolg gesi-
chert sind. Eine Übersicht sämtlicher einwirkender Risiken ist durch die Nutzung
von Risikomanagementprozessen auf allen Hierarchiestufen möglich, um negative
Auswirkungen von Risiken auf den Erfolg des Gesamtunternehmens zu begrenzen
sowie eine die Grundlage für rationale Entscheidung im Unternehmen zu verbes-
sern.
6
Die Betrachtung der operativen Risiken gestaltet sich aufgrund ihrer hohen
Anzahl, die die Erstellung eines vollständigen Risikoportfolios erschwert, und
ihrer unternehmensspezifischen Kontextabhängigkeit ihrer Entstehung als schwie-
rig.
7
Aus diesem Grund sollten operative Risiken nicht vernachlässigt werden.
Allerdings wird ein operatives Risikomanagement außerhalb des Finanzsektors
nur selten in einem systematischen Prozess durchgeführt, weshalb der Finanzsek-
tor als Vorbild für andere Branchen dient und starke Ausstrahlwirkung besitzt.
8
Viele Vorschriften des KonTraG sind für Nicht-Kreditinstitute, und damit auch
für IT-Outsourcingnehmer, nicht relevant, da sich die gesetzlichen Vorschriften
nur auf bestimmte Unternehmensformen beziehen und ein Risikomanagementsys-
tem für bestandsgefährdende Risiken gefordert wird.
9
Risiken im Bereich von
SLA sind jedoch nicht bestandsgefährdend, da ein Unternehmen keine Strafzah-
lung akzeptieren wird, die seinen Fortbestand gefährdet. Dennoch werden im wei-
teren Verlauf der Untersuchung die Vorschriften und Umsetzungshilfen aus dem
KonTraG-Umfeld und der Finanzbranche betrachtet, um bekannte Methoden und
Umsetzungshilfen für die Einführung eines KonTraG-konformen Risikomanage-
ments auf ihre Verwendbarkeit für ein Risikomanagementsystem für SLAs zu
untersuchen. Darüber hinaus kann durch den Einsatz dieser Methoden in anderen
Unternehmensbereichen eine Einführung im SLA-Umfeld einfach und schnell
erfolgen. Das Ziel der vorliegenden Arbeit ist die Erstellung eines Risikomana-
gementprozesses, der die Risiken der Leistungserstellung betrachtet, die einem
6
Vgl. von Metzler (2004), S. 46.
7
Vgl. Hengmith (2008), S. 16ff, von Metzler (2004), S. 58.
8
Vgl. Diederichs (2004b), S. 703; Hempel/Offerhaus (2008), S. 227.
9
Ein Risiko gilt als bestandsgefährdend, wenn durch seinen Eintritt die Hälfte oder mehr des
Eigenkapitals aufgezert wird, vgl. Füsser et al. (1999), S. 753; Gluchowski et al. (2008), S.
242.
3
vertraglich festgelegten SLA zugrund liegen. Dieser Prozess soll in der Praxis
verwendbar sein, um die spezifischen Risken zu steuern und die Gesamtbetrach-
tung aller Risiken, die auf ein Unternehmen einwirken, zu unterstützen.
1.2
Darstellung der Vorgehensweise
Um ein Verständnis für den Untersuchungsbereich der Arbeit zu erhalten, werden
im Folgenden die Grundlagen des Outsourcings durch die Darstellung einer ge-
eigneten Begriffsdefinition und mögliche Ziele vorgestellt werden. Durch die Ab-
grenzung des Untersuchungsbereichs auf bereits abgeschlossene Outsourcing-
verträge wird deutlich gemacht, dass der Fokus der Untersuchung nicht auf der
Auswahl eines Outsourcingpartners liegt. Anschließend werden SLAs und ihre
Ziele vorgestellt. Es wird dargestellt, welche Anforderungen ein SLA erfüllen
muss, um eine produktive Zusammenarbeit zwischen Outsourcinggeber und Out-
sourcingnehmer zu gewährleisten. Der Untersuchungsbereich wird anschließend
weiter eingegrenzt auf sorgfältig abgeschlossene Outsourcingverträge mit voll-
ständigen, korrekten SLAs als Grundlage der Zusammenarbeit. Im Rahmen dieser
Beziehungen kann es zur Nichteinhaltung dieser Vertragsvereinbarungen kom-
men, sodass der Outsourcingnehmer die Risiken in seinen Leistungserstellungs-
prozessen, aus denen ein SLA besteht, angemessen bewältigen muss, um Straf-
zahlungen und sonstige negative Folgen zu verhindern. Diese Aufgabe muss der
Outsourcinggeber nicht erfüllen, da er durch die angemessene Auswahl eines ex-
ternen Leistungserstellers und mit dem Abschluss geeigneter SLAs das Risiko
seiner Prozesse verlagert und auf diese Weise sein Risiko bewältigt hat. Um die
Strafzahlungen zu verhindern oder vorherzusehen, kann der Outsourcingnehmer
einen Risikomanagementprozess einführen. Das Grundverständnis für das Risi-
komanagement wird durch eine Begriffsdefinition und die Darstellung der Ziele
des Risikomanagements gelegt. Anschließend werden die auszuführenden Schritte
eines geeigneten Risikomanagementprozesses für SLAs vorgestellt, und zwar
nämlich die Identifizierung, Bewertung, Visualisierung, Steuerung und Kontrolle
der Risiken. Für das Vorgehen innerhalb dieser Prozessschritte werden die Me-
thoden vorgestellt und bewertet, die potentiell für die Durchführung eines Risi-
komanagementprozesses auf SLA-Ebene geeignet sind. Neben einer theoretischen
Betrachtung der Anwendbarkeit der einzelnen Maßnahmen wird auf eine Exper-
tenumfrage zurückgegriffen, die im Rahmen dieser Arbeit durchgeführt wurde
und zu bestimmten Teilbereichen des Risikomanagementprozesses zusätzliche
Aussagen durch Erfahrungen aus der Praxis herleiten kann. Im Anschluss wird
der Risikomanagementprozess mit den geeigneten Methoden zusammengefasst
und anhand eines Fallbeispiels auf seine Anwendbarkeit überprüft. Die anschlie-
4
ßende kritische Würdigung basiert auf dem Fallbeispiel. Abschließend wird ein
Fazit gezogen und ein Ausblick auf mögliche weitere Untersuchungen gegeben.
2
Grundlagen und Begriffsdefinitionen
Ziel dieser Arbeit ist es, einen Risikomanagementprozess für SLAs zu entwickeln.
Service Level und das Service Level Management entspringen dem Outsourcing,
einem Thema, das besonders in den 1990er Jahren große Aufmerksamkeit fand.
10
Um ein einheitliches Verständnis dieser Grundlage zu erhalten, wird in Abschnitt
2.1 ein Überblick über die Diskussion einer angemessenen Begriffsbestimmung
erfolgen
11
und eine geeignete Definition ausgewählt. Für eine bessere Durchdrin-
gung des Outsourcingthemas werden anschließend Kategorien und Gründe des
Outsourcings dargestellt. Darauf aufbauend wird in Abschnitt 2.2 der Themen-
komplex der SLAs erörtert, bevor in Abschnitt 2.3 einige Grundaspekte des Risi-
komanagements aufgezeigt werden.
2.1
Outsourcing
2.1.1
Begriffsdefinition
Eine klare, eindeutige Definition von Outsourcing in der Literatur zu finden ges-
taltet sich schwierig.
12
Zwar existiert ein Konsens darüber, dass es um die Nut-
zung externer Ressourcen geht,
13
doch bereits über die Zusammensetzung des
Kunstwortes gibt es verschiedene Auslegungen.
14
Auch die inhaltliche Differen-
zierung ist unklar, da ein großer Teil der Outsourcingliteratur Fallbeschreibungen
von Praktikern beinhaltet, die auf eine inhaltliche Klärung des Begriffs verzich-
ten.
15
Eine theoretische Fundierung und sinnvolle Themenabgrenzung ist schwer
10
Durch das Outsourcing eines großen Teils der Informationsverarbeitung von Eastman Kodak an
IBM und Business-land wurde die Themenentwicklung und die Verwendung des Outsour-
cings vorangetrieben, vgl. Loh/Venkatraman (1992), S. 341ff. Dies kann auch den Fokus des
Outsourcings auf die Informationsverarbeitung erklären.
11
Die amerikanische Outsourcing-Literatur verzichtet weitestgehend auf eine definitorische Aus-
einandersetzung, u.a. da der Outsourcing-Begriff zunächst in der amerikansichen Wirtschafts-
praxis Verwendung fand, bevor er in der dortigen Literatur aufgegriffen wurde, vgl. Bacher
(2000), S. 20.
12
Vgl. Bacher (2000), S. 20; Matiaske/Mellewigt (2002), S. 643.
13
Vgl. Matiaske/Mellewigt (2002), S. 643
14
Vgl. Bacher (2000), S. 20ff. Erklärungen zur Wortherkunft von Outsourcing treten primär im
deutschen, nicht im angelsächsischen Raum auf und haben den Charakter einer linguistischen
Folklore, vgl. Mair (2006), S. 105-115.
15
Vgl. Matiaske/Mellewigt (2002), S. 643; Schätzer (1999), S. 42.
5
zu finden.
16
Teilweise wird das Outsourcing synonym für die insbesondere aus
der Produktionstheorie bekannte Fragestellung nach der Eigenherstellung oder
dem Fremdbezug (,,Make-or-buy") aufgefasst,
17
andere sehen es als Sonderfall
dieser Fragestellung, der auch Mischformen beider Beschaffungsmethodiken zu-
lässt,
18
oder insbesondere das ,,Buy" betrachtet.
19
Um eine Abgrenzung zur Make-
or-buy Problematik herzustellen werden unterschiedliche Merkmale genutzt. Ei-
nes davon ist die Leistungsart,
20
wobei eine ausschließliche Konzentration auf
Dienstleistungen beim Outsourcing in der Praxis nicht gegeben ist.
21
Ebenso kri-
tisch ist das Abgrenzungsmerkmal Branche und der Fokus auf die Informations-
verarbeitung (IV) zu sehen.
22
Dies erscheint nicht sinnvoll, da Outsourcing sich
auf alle Bereiche im Unternehmen beziehen kann.
23
Eine Schwerpunktsetzung auf
diesen Unternehmensbereich ist jedoch akzeptabel, da die IV in einem Unterneh-
men einer starken Dynamik durch schnelle Innovationszyklen unterliegt.
24
Die
dadurch erforderlichen Anpassungen von Informationssystemen oder Organisati-
onsstrukturen erfordern ein spezifisches technologisches Wissen und einen ent-
sprechenden Ressourceneinsatz.
25
Bei der Eigenerstellung müssen somit Finanz-
und Know-How-Barrieren überwunden werden, während die Fremderstellung
durch spezialisierte, externe Dienstleistungsanbieter leicht erhältlich ist.
26
Die
fortschreitende Modularisierung und Verbreitung von Kommunikationsstandards
und offenen Systemen erleichtern es, möglichen Marktpartnern bessere Leistun-
gen zu geringeren Preisen anzubieten.
27
16
Vgl. Schätzer (1999), S. 2.
17
Vgl. Beer (1998), S. 26; Ruthekolck/Kelders (1993), S. 57; Schätzer (1999), S. 43; Szperski et
al. (1993), S. 229.
18
Vgl. Matiaske/Mellewigt (2002), 644; Picot (1991), S. 339f; Reiss (1997), S. 26.
19
Vgl. Bliesener (1994), S. 278f; Reichert (2004), S. 160.
20
Vgl. Bliesener (1994), S. 278; Knolmayer (1994), S. 316.
21
Vgl. Reichert (2004), S. 160.
22
Vgl. Herrmann (1991), S. 8; Knolmayer/Mittermayer (2003), S. 621; Szperski et al. (1993), S.
229.
23
Vgl. Bongard (1994), S. 81; Meckl/Eigler (1998), S. 101; Picot/Maier (1992), S. 16; Szyperski
et al. (1993) S. 229.
24
Vgl. Picot/Maier (1996), S. 16; Picot/Reichwald (1994), S. 560.
25
Vgl. Beer (1998), S. 26; Schätzinger (1999), S. 44f.
26
Vgl. Beer (1998), S. 26; Picot/Maier (1996), S. 16.
27
Vgl. Beer (1998), S. 26; Picot/Reichwald (1994), S. 560; Schätzinger (1999), S. 44f.
6
Ein zutreffendes Abgrenzungsmerkmal von Make-or-buy zum Outsourcing liegt
in der vorherigen Bereitstellung der Dienste, die beim Outsourcing intern war.
28
Reichert entwickelt darauf aufbauend eine Begriffsdefinition für das Outsourcing,
die, neben der Abgrenzung von Outsourcing zu Make-or-Buy, eine komparativ-
statische und dynamische Ebene beinhaltet.
29
Danach ist der Outsourcing-Prozess
i.e.S. die ,,Zeitdauer zwischen dem Zeitpunkt der Entscheidung, eine bisher selbst
erstellte Leistung fremd zu beziehen und dem Zeitpunkt des Beginns des dauer-
haften Fremdbezugs selbst".
30
Die Outsourcing-Beziehung wird als ,,mögliche
Geschäftsbeziehung zwischen der leistungsübernehmenden Unternehmung und
einem spezifischen Outsourcing-Partner im Anschluss an den Outsourcing-
Prozess i.e.S."
31
, definiert. Der Outsourcing-Prozess i.e.S. bildet mit dem Teilpro-
zess ,,Prädisposition"
32
und der Outsourcing-Beziehung den Outsourcing-Prozess
i.w.S.. Diese Definition nimmt keine Eingrenzung auf den IV-Sektor vor und das
Kriterium der vorherigen Eigenerstellung der Leistung grenzt Outsourcing zur
Make-or-Buy-Entscheidung ab. Die vorliegende Arbeit konzentriert sich auf ein
Risikomanagement von bereits abgeschlossenen Outsourcing-Prozessen i.e.S.,
also auf die ,,Outsourcing-Beziehung". Darüber hinaus soll festgelegt werden,
dass die Begriffe ,,Outsourcer" und ,,Outsourcinggeber", im weiteren Verlauf
auch ,,Kunde", sich auf das leistungsabgebende Unternehmen beziehen, während
der externe Leistungserbringer als ,,Outsourcingnehmer", später auch ,,Leistungs-
erbringer", bezeichnet wird.
Neben den unterschiedlichen Definitionen des Outsourcing-Begriffes sind unter-
schiedliche Outsourcing-Kategorien entwickelt worden.
33
Häufig verwendet wer-
den Kategorien, die die Verflechtungen und die Nähe von Outsourcingnehmer
und -geber berücksichtigen. Die Nähe wird in unterschiedlichen ,,Shoring"-
Konzepten berücksichtigt. So bezeichnet das Offshoring eine hohe kulturelle Dis-
tanz zwischen Outsourcingnehmer und Outsourcer, die oft in der geografischen
Entfernung begründet liegt.
34
Im Rahmen dieser Arbeit wird diese Kategorie nicht
beachtet, sondern nur eine externe Leistungserstellung, die in kultureller Nähe
28
Vgl. Beer (1998), S. 26; Bliesener (1994), S. 279; Matiaske/Mellewigt (2002), S. 644.
29
Vgl. Reichert (2004), S. 165.
30
Reichert (2004), S. 163.
31
Reichert (2004), S. 163.
32
Reichert (2004), S. 163.
33
Für weitere Kriterien vgl. bspw. Schomann/Bloech (2005), S. 222f; Hodel et al. (2004), S. 25ff;
Schewe/Kett (2007), S. 6ff.
34
Vgl. Schewe/Kett (2007), S. 8; Schomann/Bloch (2005), S. 224.
7
zum Kunden durchgeführt wird, das sog. Nearshoring.
35
Basierend auf der finan-
ziellen Verflechtung von Outsourcingnehmer und -geber wird zwischen Ausglie-
derung und Auslagerung unterschieden. Da auch bei einer finanziellen Verflech-
tung beider Unternehmen, der Ausgliederung,
36
einzuhaltende SLAs festgelegt
werden können,
37
wird diese Kategorie nicht verwendet. Auch wird im Rahmen
der vorliegenden Arbeit auf weitere Eingrenzungen oder Kategorisierungen ver-
zichtet.
2.1.2
Outsourcingziele
Im Folgenden werden in Anlehnung an eine ausführliche Auswertung unter-
schiedlicher Outsourcing-Studien durch Matiaske/Mellewigt fünf der zentralen
Gründe für den Outsourcing-Prozess i.w.S. vorgestellt, namentlich Kostenvortei-
le, Konzentration auf das Kerngeschäft, Leistungsverbesserung sowie Finanzie-
rungsvorteile und die Verlagerung von Risiken.
38
Kostenvorteile entstehen dadurch, dass ein externes Unternehmen Leistungen
kostengünstiger erstellen kann und den Preisvorteil an den Outsourcinggeber wei-
tergibt. Gründe für die Kostenvorteile können Economies of Scale und Lerneffek-
te, hervorgerufen durch den höheren Spezialisierungsgrad und das größere Ab-
satzvolumen des Zulieferers, sein. Ein weiterer Grund ist der höhere Wettbe-
werbs- und Kostendruck, dem der Outsourcingnehmer im Vergleich zu einem
internen Leistungsersteller ausgesetzt ist. Bei einer Outsourcing-Beziehung über
unterschiedliche Branchen oder Länder hinweg, können Kosten, insbesondere
Personalkosten, gesenkt werden. So entstehen niedrigere Preise für den Outsour-
cer, der durch die Abrechnung am Markt mit ,,echtem" Geld ein höheres Kosten-
bewusstsein entwickelt und seine Anforderungsspezifikationen genauer ausgestal-
tet und überprüft. Insgesamt fällt der Fixkostenblock der Eigenerstellung bei dem
Outsourcer weg hingegen kann das Entgelt, welches i. d. R. abhängig von der
tatsächlichen Leistungsinanspruchnahme ist, den variablen Kosten zugerechnet
werden.
39
Durch die Abgabe von Prozessen, die nicht zum Kerngeschäft gehören, unter-
stützt der Outsourcing-Prozess i.w.S. ein Unternehmen bei der strategischen Res-
35
Vgl. Schewe/Kett (2007), S. 8; Schomann/Bloch (2005), S. 224.
36
Vgl. Matiaske/Mellewigt (2002), S. 644.
37
Vgl. Meschke (2008), S. 562; Meydanoglu (2008), S. 32.
38
Vgl. Matiaske/Mellewig (2002), S. 646f; ähnlich Kakumanu/Portanova (2006), S. 1ff.
39
Vgl. Matiaske/Mellewig (2002), S. 646; Hsu/Wu (2006), S. 818; Kakumanu/Portanova (2006),
S. 2.
8
sourcenkonzentration auf das Kerngeschäft. Durch die daraus resultierende Ver-
ringerung der Leistungstiefe werden interne Strukturen vereinfacht. Das führt zu
einer höheren Flexibilität, wodurch das Unternehmen besser auf technologische
Veränderungen und eine zunehmende Wettbewerbsintensität reagieren kann.
40
Die vom Outsourcinggeber abgegebenen Leistungen gehören zum Kerngeschäft
des Outsourcingnehmers, sodass dieser in dem Leistungsbereich über höheres und
aktuelleres Know-How, qualifiziertere Fachkräfte und modernere Technologie
verfügt. Mit diesen Ressourcen optimiert der externe Leistungserbringer konstant
seine Prozesse, um am Markt bestehen zu können. So kann es durch den Outsour-
cing-Prozess i.w.S. zu einer Verbesserung der Leistungserstellung für den Out-
sourcinggeber kommen.
41
Durch die Nutzung des Outsourcing-Prozesses i.w.S. wird das gebundene Kapital
sowie der Finanzierungsbedarf des Outsourcers reduziert. Darüber hinaus muss
dieser keine Reservekapazitäten zur Bedienung von Spitzennachfrage finanzieren.
Des Weiteren können Risiken, bspw. das Invesitionsrisiko für neue Technologien,
im Rahmen kontrollierbarer, überwachbarer Verträge der Leistungsabgabe an den
Outsourcingnehmer überwälzt werden.
42
Eine angemessene Risikoeinpreisung ist
abhängig von der Marktmacht der Beteiligten.
43
Diese zeigt, dass eine Risikoüber-
tragung von Outsourcinggeber auf den Outsourcingnehmer durch die erfolgreiche
Umsetzung des Outsourcing-Prozesses i.e.S. bereits stattgefunden hat. Dadurch ist
eine detaillierte Betrachtung der Risiken des Outsourcinggebers bei SLAs nicht
nötig, da er mit vertraglichen Sanktionen zugesichert bekommen hat, seine ge-
wünschten und benötigten Leistungen zu erhalten.
Weitere Gründe für den Outsourcing-Prozess i.w.S. sind von der Unternehmenssi-
tuation abhängig. Beispielsweise kann eine Outsourcing-Beziehung zusätzliche
Angebote ermöglichen und damit die Diversifikation des Unternehmens voran-
treiben, oder es werden im Rahmen einer strategischen Reorganisation Schwach-
stellen im Vergleich zu externen Leistungserbringern sichtbar, die durch Outsour-
cing behoben werden sollen.
44
Dies ist besonders durch Business Process Out-
sourcing möglich, da dieses als Schnittmenge von Outsourcing und Prozessopti-
40
Vgl. Matiaske/Mellewig (2002), S. 647; Hsu/Wu (2006), S. 817; Kakumanu/Portanova (2006),
S. 2.
41
Vgl. Matiaske/Mellewig (2002), S. 647; Kakumanu/Portanova (2006), S. 2.
42
Vgl. Matiaske/Mellewig (2002), S. 647; Schätzer (1999), S. 46; Kakumanu/Portanova (2006),
S. 2f.
43
Vgl. Schätzer (1999), S. 46.
44
Vgl. Schätzer (1999), S. 44f.
9
mierung nicht nur Geschäftsprozesse outsourced, sondern diese darüber hinaus
vom Outsourcingnehmer optimiert werden.
45
2.2
Service Level Agreements
2.2.1
Begriffsdefinition und SLA-Ziele
Um die Erreichung der vorgestellten Ziele des Outsourcing-Prozesses i.w.S. zu
sichern, ist der Abschluss von individuellen Verträgen zwischen Outsourcingge-
ber und -nehmer notwendig, da sonst Missverständnisse und Streitigkeiten über
die Details der Leistungserbringung und Gewährleistungspflichten absehbar
sind.
46
In solchen Fällen stellen die vom Gesetzgeber angebotenen Vertragstypen
keine ausreichenden Regelungen bereit.
47
So ist der Anspruch auf Leistungen
mittlerer Art und Güte nach § 243 Abs. 1 BGB insbesondere im Bereich der IT-
Dienstleistungen schwer definierbar und darüber hinaus in vielen Fällen für den
Outsourcinggeber unzureichend.
48
Die dadurch entstehende Unsicherheit über
Leistungsumfang und -qualität sowie die Sanktionen einer Nichterfüllung werden
durch Verträge zwischen Outsourcingnehmer und -geber reduziert.
49
Es gibt un-
terschiedliche Auffassungen, was im Rahmen dieser Verträge als SLA anzusehen
ist.
50
Für den Verlauf dieser Arbeit wird der Auffassung gefolgt, dass die Bezie-
hung von Outsourcingnehmer und -geber auf einem Rahmenvertrag basiert, der
grundlegende Rechte und Pflichten umfasst.
51
Vor Vertragsabschluss bestimmt
der Outsourcinggeber im Rahmen des Outsourcing-Prozesses i.e.S. die Leistungen
und Prozesse, die er an einen externen Leistungsersteller abgeben will und wählt
entsprechend sorgfältig einen Anbieter aus.
52
Die vom Outsourcinggeber definier-
ten Anforderungen an die Einzelleistungen werden im Vertragsanhang durch
45
Vgl. Schewe/Kett (2007), S. 3.
46
Vgl. Bernhard (2004), S. 53; Schreibauer/Taraschka (2003), S. 558. Diese Probleme entstehen
insbesondere durch das Principal-Agent-Problem bei der Auslagerung, da die Vertragspartei-
en nicht über das gleiche Wissen verfügen, vgl. Burr (2002), S. 513ff.
47
Vgl. Bräutigam (2004), S. 254; Hörl/Häuser (2003), S. 713.
48
Vgl. Hörl/Häuser (2003), S. 713; Schreibauer/Taraschka (2003), S. 558; Schrey (2004), S. 218.
49
Vgl. Bräutigam (2004), S. 248; Hörl/Häuser (2003), S. 713.
50
Vgl. Schreibauer/Taraschka (2003), S. 557; Schrey (2004), S. 215.
51
Vgl. Bräutigam (2004), S. 248; Yallof/Morgan (2003), S. 17f.
52
Unternehmensintern bzw. bei einer Ausgliederung können ebenfalls SLAs, sog. interne SLAs,
abgeschlossen werden, vgl. Burr (2002), S. 510; Meschke (2008), S. 562; Sturm et al. (2000),
S. 56ff. Auf die Risiken des Outsourcnig-Prozesses i.e.S. soll im Weiteren nicht eingegangen
werden. Es wird stattdessen von einem korrekten Vorgehen ausgegangen.
10
SLAs spezifiziert und Vertragsbestandteil.
53
Diese SLAs werden von beiden Ver-
tragspartnern kooperativ entwickelt.
54
Dabei ist der Aufwand für die Definition
und Entwicklung von SLAs hoch, jedoch führen diese zu der Verwirklichung der
Ziele der Outsourcing-Entscheidung, insbesondere durch die Erreichung einer
höheren Effektivität und Effizienz bei der Leistungserstellung.
55
Um dies zu ge-
währleisten werden die folgenden Anforderungen an den Inhalt und den Aufbau
von SLAs gestellt.
2.2.2
Anforderungen an SLAs
Der Inhalt von SLAs kann in einen Leistungs-, einen Management- und einen
Administrationsteil gegliedert werden.
56
Während unter dem Administrationsteil
insbesondere Deckblatt, Glossar, Datum, Unterschriften, Protokolle und Inhalts-
verzeichnis zu verstehen sind, umfasst der Leistungsteil die genaue Beschreibung
der jeweiligen Leistungen (Art, Umfang, Qualitätskriterien, Verfügbarkeit) und
deren Vergütung.
57
Der Managementteil beinhaltet die Regeln und Kennzahlen
58
für die Qualitätskontrolle (Monitoring) und das Reporting, sowie Sanktionsrege-
lungen bei einer Unterschreitung der Qualitätsstandards.
59
Besonders wichtig ist
im Leistungsteil die Leistungsbeschreibung durch objektive Kennzahlen, bspw.
Antwortzeiten und Reaktionszeiten,
60
und entsprechende Messverfahren und
-termine zur Überprüfung.
61
Die Kennzahlen müssen objektiv, technisch messbar,
verständlich und sinnvoll sein, sowohl in ihrer Dimension als auch in ihrem Auf-
wand zur Messung, um eine erfolgreiche Outsourcing-Beziehung zu ermögli-
53
Vgl. Schreibauer/Taraschka (2003), S. 557f; Yallof/Morgan (2003), S. 18. Andere Auffassun-
gen sehen den gesamten Vertrag als SLA an, vgl. Sturm et al. (2000), S. 61 oder weisen auf
beide möglichen Begriffsauslegungen hin, bspw. Bernhard (2004), S. 52.
54
Vgl. Antoni (2001), S. 69; Bernhard (2004), S. 54f; Goo et al. (2009), S. 120; Riedl (2002), S.
46; Yallof/Morgan (2003), S. 18.
55
Vgl. Antoni (2001), S. 70; Goo et al. (2009), S. 122; Meschke (2008), S. 563.
56
Vgl. Riedl (2002), S. 47; ähnlich Goo et al. (2009), S. 123f, die eine Unterteilung in Foundati-
on- Change- und Governance Characteristics vornehmen.
57
Vgl. Antoni (2001), S. 69; Buco et al. (2004), S. 159; Hörl/Häuser (2003), S. 713 Sturm et al.
(2000), S. 74f.
58
Kennzahlen erfassen komplexe Sachverhalte in quantitativer, konzentrierter Form und geben
sie entsprechend wieder, vgl. von Metzler (2004), S. 61.
59
Vgl. Buco et al. (2004), S. 160; Hörl/Häuser (2003), S. 713; Riedl (2002), S. 47; Yallof/Morgan
(2003), S. 19.
60
Eine Antwortzeit bezieht sich auf das Verhalten von Systemen und Programmen, die Reakti-
onszeit stellt die Zeitspanne dar, in der das Outsourcinnehmerpersonal auf Anfragen reagieren
muss, vgl. Hörl/Häuser (2003), S. 715; Schrey (2004), S. 224f.
61
Vgl. Antoni (2001), S. 69f; Buco et al. (2004), S. 160; Bräutigam (2004), S. 248; Schreibau-
er/Taraschka (2003), S. 559; Yallof/Morgan (2003), S. 19.
11
chen.
62
Sie sollten so spezifisch wie möglich und den Bedürfnissen des Outsour-
cinggebers sowie den zu erbringenden Leistungen angepasst sein.
63
Um dies zu
gewährleisten, sollten umfassende Kennzahlen für die Ergebnisse, Prozesse und
Potenziale der Leistungen gebildet werden.
64
Im besonderen Maße werden ergebnisbezogene Kennzahlen verwendet, wobei die
Verfügbarkeit eine der wichtigsten Kennzahlen darstellt.
65
Bei einer Verfügbar-
keitsfestlegung durch Prozentangaben oder Durchschnittswerte muss der Bezugs-
zeitraum klar definiert sein, um unerwünscht lange und nicht sanktionierbare
Nichtverfügbarkeiten auszuschließen.
66
Daher ist eine Ergänzung um Mindestab-
stände zwischen Ausfällen sowie einer maximalen Ausfalldauer sinnvoll.
67
Auch
muss eindeutig festgelegt sein, ab wann eine Leistung als nicht verfügbar gilt, und
welches Ereignis die Nichtverfügbarkeit beendet.
68
Nichtverfügbarkeiten durch
Wartungen sind durch entsprechende Zeiträume und -intervalle festzulegen.
69
Eine weitere ergebnisbezogene Kennzahl ist die Lösungsfrist, d. h. die benötigte
Zeit für den vorab fest definierten Abschluss einer Anfrage bzw. Fehlermel-
dung.
70
Diese muss klar unterschieden werden von der prozessbezogenen Reakti-
onsfrist, also der benötigten Zeit für eine erste vereinbarte Reaktion auf eine An-
frage bzw. Fehlermeldung.
71
Insbesondere für Fristen werden Maximal- und Mi-
nimalgrößen definiert und möglichst feste Eskalationspfade mit den allgemeinen
Betriebszeiten (Öffnungszeiten, Hotlineverfügbarkeit) abgestimmt.
72
Prozessbe-
zogene Kennzahlen sind die Betriebsbereitschaft, in der eine Leistung angefragt
werden kann, oder die Wiederholhäufigkeit, die festlegt, wie häufig eine bestimm-
te Leistung in einem definierten Zeitraum durchgeführt wird.
73
Darüber hinaus
können bestimmte Ressourcenanforderungen oder Zertifizierungen in SLAs fest-
62
Vgl. Bernhard (2004), S. 49f; Buco et al. (2004), S. 160; Schreibauer/Taraschka (2003), S. 559;
Sturm et al. (2000), S. 64.
63
Vgl. Barthélemy (2003), S. 90; Beaumont (2006), S. 389; Krcmar (2005), S. 387.
64
Vgl. Krcmar (2005), S. 386f.
65
Vgl. Hörl/Häuser (2003), S. 715; Yallof/Morgan (2003), S. 18.
66
Vgl. Bräutigam (2004), S. 252f; Schrey (2004), S. 222f.
67
Vgl. Bräutigam (2004), S. 253; Hörl/Häuser (2003), S. 715.
68
Vgl. Hörl/Häuser (2003), S. 715.
69
Vgl. Hörl/Häuser (2003), S. 715; Sturm et al. (2000), S. 50.
70
Vgl. Hörl/Häuser (2003), S. 715; Krcmar (2005), S. 387.
71
Vgl. Krcmar (2005), S. 387; Sturm et al. (2000), S. 146.
72
Vgl. Buco et al. (2004), S. 160; Bräutigam (2004), S. 253.
73
Vgl. Beaumont (2006), S. 389; Krcmar (2005), S. 387.
12
geschrieben werden, die als potenzialbezogene Kennzahlen bezeichnet werden.
74
Neben den beispielhaft vorgestellten quantitativen Kennzahlen können insbeson-
dere bei Ergebnisbewertungen qualitative Kennzahlen genutzt werden, bspw. die
Kundenzufriedenheit, die durch entsprechend definierte Feedbackprozesse und
Bewertungsmethoden erhoben werden.
75
Da diese Kennzahlen durch Subjektivität
verzerrt werden können, dürfen sie nur unterstützend eingesetzt werden.
76
Bei der Auswahl der Messmethoden muss die gewünschte Auswertungsdarstel-
lung beachtet werden, bspw. wenn diese multidimensional oder aggregiert sein
soll.
77
Wird die Richtigkeit einer Messung von einer Vertragspartei angezweifelt,
so muss für diese eine Kontrollmöglichkeit aus dem SLA hervorgehen.
78
Ist das
SLA tatsächlich verletzt worden, so kann abhängig vom Schweregrad der Verlet-
zung eine Sanktionierung durch eine Entgeltminderung, einen Schadensersatz
oder die außerordentliche Kündigung erfolgen, wobei bei Letzterem die Rück-
übertragung der ausgegliederten Leistungserstellung geklärt sein muss.
79
Neben
den Negativsanktionen sollten auch Anreize gesetzt werden, bspw. ein Bonus für
eine Leistungsübererfüllung.
80
Für eine funktionierende Outsourcing-Beziehung ist es wichtig, dass Rollen, Auf-
gaben und das Ausmaß der gegenseitigen Unterstützung von Outsourcingnehmer
und -geber deutlich definiert sind.
81
Ein Steuerungsgremium, welches von beiden
Vertragsparteien gestellt wird, untersucht insbesondere bei der Nichterreichung
von SLAs mögliche Störungsursachen.
82
Ebenso müssen Kompetenzen zugewie-
sen werden,
83
die während der Vertragslaufzeit Verbesserungen und Anpassungen
74
Vgl. Krcmar (2005), S. 386.
75
Vgl. Buco et al. (2004), S. 161; Hodel et al. (2004), S. 128f.; Hörl/Häuser (2003), S. 716;
Krcmar (2005), S. 387; Yallof/Morgan (2003), S. 19.
76
Vgl. Bräutigam (2004), S. 254.
77
Vgl. Beaumont (2006), S. 389; Hörl/Häuser (2003), S. 715; Schrey (2004), S. 228f.
78
Vgl. Hörl/Häuser (2003), S. 715.
79
Vgl. Buco et al. (2004), S. 162; Bräutigam (2004), S. 250f; Schreibauer/Taraschka (2003), S.
561f; Schrey (2004), S. 232f.
80
Vgl. Bräutigam (2004), S. 252; Schreibauer/Taraschka (2003), S. 562ff.
81
Vgl. Bernhard (2004), S. 52; Goo et al. (2009), S. 123; Meydanoglu (2008), S. 33; Schreibau-
er/Taraschka (2003), S. 558f.
82
Vgl. Hörl/Häuser (2003), S. 717.
83
Vgl. Meschke (2008), S. 563.
13
an den SLAs vornehmen können.
84
Fest definierte Feedbackprozesse unterstützen
die Aufdeckung von Verbesserungspotenzialen.
85
Die SLAs müssen bei beiden Vertragsparteien in ein Service Level Management
(SLM) eingebettet sein, das die Voraussetzungen für SLAs schafft, diese ab-
schließt und auch das Controlling und die Weiterentwicklung der SLA umfasst.
86
2.3
Risikomanagement
2.3.1
Begriffsdefinition und Risikomanagementziele
Der begriffliche Ursprung liegt im italienischen bzw. griechischem Sprachraum
(ital. ,,riscio" = Klippen umsegeln, griechisch ,,riza" für Wurzel), teilweise wird
auch das arabische ,,risq", das sich mit einer Person von Gott gegeben übersetzten
lässt, als Ursprungswort angesehen.
87
Im allgemeinen Sprachgebrauch wird der Begriff Risiko mit einer unvorhergese-
henen negativen Abweichung von einem Zielwert und einem daraus resultieren-
den Schaden oder Verlust verbunden, weshalb im Alltag die Begriffe Risiko und
Gefahr eng verbunden sind.
88
Risiken können bewusst provoziert (Angriff) oder
unbeabsichtigt verursacht (Störung) werden und unterschiedliche Gründe haben,
bspw. die Nichterfüllung von Anforderungen, ungünstige Entwicklungen äußerer
Umstände, interne Fehlentwicklungen oder plötzlich eintretende Schadensereig-
nisse.
89
Eine positive Zielwertabweichung stellt ebenfalls ein Risiko dar und wird
als Chance bezeichnet.
90
Durch diesen engen Verbund von Risiken, Chancen und
Gefahren wird gefordert, ein Chancenmanagement in das Risikomanagement zu
84
Vgl. Barthélemy (2003), S. 90; Goo et al. (2009), S. 123f; Schreibauer/Taraschka (2003), S.
562; Yallof/Morgan (2003), S. 20f.
85
Vgl. Antoni (2001), S. 69f; Riedl (2001), S. 48f; Sturm et al. (2000), S. 149f.
86
Vgl. Buco et al. (2004), S. 162ff; Antoni (2001), S. 69; Meschke (2008), S. 562; Sturm et al.
(2000), S. 20ff. Für eine weitere Auseinandersetzung und prozessuale Darstellung des SLMs
vgl. Ellis/Kauferstein (2004), S. 121ff.
87
Vgl. Keller (2004), S. 61ff; Meyer (2008), S. 24; Moosa (2007), S. 1; Pechtl (2003), S. 15ff;
Rommelfanger (2008), S. 18.
88
Vgl. Crouhy et al. (2006), S. 5; Hansen/Neumann (2005), S. 303; Kendall (1998), S. 11; Mar-
tin/Bär (2002), S. 70: Romeike (2004b), S. 102.
89
Vgl. BSI (2009), S. 45ff; Gabriel (2006), S. 443f; Hoppe/Prieß (2003), S. 30f; Rommelfanger
(2008), S. 36; Pohl (2004), S. 682.
90
Vgl. Hengmith (2008), S. 7; Meyer (2008), S. 35; Rommelfanger (2008), S. 18; Rosen-
kranz/Missler-Behr (2005), S. 7.
14
integrieren,
91
was aufgrund möglicher Bonuszahlungen für übertroffene SLAs in
dieser Arbeit angemessen berücksichtigt werden soll.
Im Rahmen des Risikomanagements wird unter Risiko die Kombination von der
Eintrittswahrscheinlichkeit eines Schadens und der zugehörigen Schadenshöhe
verstanden.
92
Dies setzt voraus, dass die Risiken identifiziert wurden und ausrei-
chend Datenmaterial zur Bewertung zur Verfügung steht.
93
Die subjektive oder
objektive Bewertung der Eintrittswahrscheinlichkeit unterscheidet die Risikosi-
tuation von der Unsicherheitssituation, in der nur mögliche Zustände, jedoch kei-
ne Wahrscheinlichkeiten bekannt sind.
94
Der Risikobegriff kann darüber hinaus
mit statistischen Größen belegt werden, bspw. die Standardabweichung als Maß
für das Risiko.
95
Das Ziel des Risikomanagements ist der systematische Umgang und die Beherr-
schung von unternehmerischen Risiken, sodass die Unternehmensexistenz und der
zukünftigen Unternehmenserfolg gesichert und die Risikokosten gemindert wer-
den.
96
Insbesondere die Unternehmensstrategie muss umfassend auf Risiken un-
tersucht werden, um Transparenz der aktuellen und zukünftigen Risikosituation
zu erhöhen, sodass unternehmensweit Unsicherheiten gemindert und Stabilität
und Zuverlässigkeit erhöht werden.
97
Dafür ist ein proaktives Risikomanagement
notwendig, das nicht nur reaktiv oder retrospektiv reagiert, sondern mit zukunfts-
gerichtetem Blick ein ausgewogenes Verhältnis zwischen Ertrag und Verlustge-
fahr ermöglicht.
98
Neben der Reduzierung des Risikos bei minimaler Chancen-
minderung umfasst das Risikomanagement die Weiterleitung der risikobezogenen
Informationen in systematischer und geordneter Weise an die zuständigen Ent-
scheidungsträger, um die Entscheidungssituation im Unternehmen durch Risiko-
91
Vgl. Meyer (2008), S. 48; Romeike (2003c), S. 65f; Wolf (2002), S. 1729f.
92
Vgl. Blyth (2008), S. 108; Brühwiler (2007), S. 23; Hauger (2001), S. 1028; Scenario based
AMA working group (2003), S. 1; Romeike (2004b), S. 102.
93
Vgl. Drew/Kendrick (2005), S. 20; Romeike (2003c), S. 157; Rosenkranz/Missler-Behr (2005),
S. 22ff.
94
Vgl. Bamberg et al. (2008), S. 19;
Crouhy et al. (2006), S. 9f; Hauger (2001), S. 1028; Knight
(1921), S. 233.
95
Vgl. Crouhy et al. (2006), S. 5; Brühwiler (2007), S. 23; Rommelfanger (2008), S. 18.
96
Vgl. Gluchowski et al. (2008), S: 241; Martin/Bär (2002), S. 84; Seibold S. 135f; Winter
(2007), S. 156; Wolf/Runzheimer (2009), S. 25.
97
Vgl. Brühwiler (2007), S. 34ff; Helten (1984), S. 17; Seibold S. 135f: Wolf/Runzheimer
(2009), S. 35f; Cohen/Kunreuther (2007), S. 527.
98
Vgl. Brühwiler (2007), S. 34; Crouhy et al. (2006), S. 11ff; Gluchowski et al. (2008), S. 241;
Reh (2001), S. 28; Romeike (2003c), S. 65. Ein völliges ausschließen von Risiken ist nicht
möglilch, ohne den Betrieb des Unternehmens einzustellen, vgl. Hauger (2001), S. 1028;
Hengmith (2008), S. 17; Imboden (1983), S. 76.
15
transparenz zu verbessern, sowie externe Interessenten, bspw. Banken oder Ana-
lysten, um diese zu informieren.
99
Ein Unternehmen sieht sich unterschiedlichen Risiken ausgesetzt, die sich in die
Kategorien der externen Risiken (höhere Gewalt, politische/ökonomische Risi-
ken) und die internen Unternehmensrisiken unterteilen lassen, die wiederum in
Geschäfts-, Finanz- und Betriebsrisiken aufgeschlüsselt werden können.
100
Dar-
über hinaus sind weitere Unterteilungen dieser Risikofelder möglich, bspw. die
strategischen Risiken und die Geschäftsrisiken, Wechselkursrisiken unter Finanz-
risiken, Lieferantenausfall und Betriebsrisiken.
101
Neben der steigenden Komple-
xität des sozio-ökonomischen Systems Unternehmung, die die Einführung eines
Risikomanagements aus interner Sicht begründet, wird durch die Unternehmens-
umwelt die Forderung an das Unternehmen gestellt, ein Risikomanagementsystem
zu implementieren.
102
So wurden durch eine Reihe großer Unternehmenskrisen
internationale Regelungen erlassen, die Unternehmen zur Integration eines Risi-
komanagements verpflichten.
103
Darunter ist die Baseler Eigenkapitalvereinba-
rung (Basel II), die in mehr als 100 nationalen Gesetzgebungen umgesetzt wur-
de.
104
In dieser werden Finanzinstitute verpflichtet, ihre Kredite entsprechend dem
Bonitätsrankig des Kreditnehmers mit Eigenkapital zu unterlegen, wobei das Ran-
king nicht nur aus vergangenheitsbezogenen Kennzahlen gebildet wird, sondern
auch das aktuelle und zukünftige Unternehmensrisiko mit einbezieht, sodass ein
aktives Risikomanagement das Ratingprofil eines Unternehmens verbessern kann
und somit einen verbesserten Zugang zu Fremdkapital ermöglicht.
105
Auch die
Kreditinstitute selber müssen ihre operationellen Risiken mit Eigenkapital hinter-
legen.
106
Das in Deutschland unter dem Einfluss von Basel II entstandene Gesetz
99
Vgl. Diederichs et al. (2004), S. 189; Reichling et al. (2007), S. 212; Wolf (2002), S. 1733.
100
Die hier und im Weiteren vorgestellte hierarchische Darstellung der Risiken erfolgt in Anleh-
nung an Keitsch (2007), S. 6f. Ohne oder in anderer hierarchischer Darstellung findet man
diese Kategorien auch bei Crouhy et al. (2006), S. 14; Dahms (2003), S. 220; Drew/Kendrick
(2005), S. 21; Kreische (2001), S. 149; Wolke (2008), S. 6f.
101
Vgl. Dahms (2003), S. 220; Keitsch (2007), S. 6f; Kendall (1998), S. 83ff. Im Rahmen von
Basel II wurden sieben Ereigniskategorien definiert, aus denen operative Risiken entstehen
können, vgl. Baseler Ausschuss für Bankenaufsicht (2004), S. 255f. Diese Aufstellung kann
Grundlage für eine unternehmensspezifische und detailliertere Kategorisierung von Risiken
sein, die insbesondere für die Risikoidentifizierung benötigt wird, vgl. Abschnitt 3.1.
102
Vgl. Erben/Romeike (2003a), S. 46ff.
103
Vgl. Erben (2003), S. 435ff; Reichling et al. (2007), S. 9; Kendall (1998), S. 19 48.
104
Vgl. Brühwiler (2007), S. 63; Reichling et al. (2007), S. 6; Romeike (2003c), S. 74ff.
105
Vgl. Hengmith (2008), S. 12ff; Keitsch (2007), S. 9; Romeike (2004a), S. 336ff; Rosen-
kranz/Missler-Behr (2005), S. 13; von Metzler (2004), S. 39.
106
Vgl. Baseler Ausschuss für Bankenaufsicht (2004), S. 156ff; Brühwiler (2007), S. 63.
16
zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) verpflichtet
Aktiengesellschaften dazu, ein Überwachungssystems zur Früherkennung be-
standsgefährdender Risiken einzuführen, d. h. die Einführung eines proaktiven
Risikomanagements wird gesetzlich gefordert.
107
Viele Vorschriften des
KonTraGs sind für Nicht-Kreditinstitute, und damit auch für IT-
Outsourcingnehmer, nicht relevant. Auch wird vom KonTraG ein Risikomanage-
mentsystem für bestandsgefährdende Risiken gefordert, in dem keine Chancen
berücksichtigt werden,
108
während Risiken aus dem operativen Bereich der SLA-
Leistungserstellung nicht bestandsgefährdend sind, da ein Unternehmen keine
Strafzahlung akzeptieren wird, die seinen Fortbestand gefährdet. Trotzdem wer-
den im weiteren Verlauf der Untersuchung die Vorschriften und Umsetzungshil-
fen aus dem KonTraG-Umfeld und der Finanzbranche betrachtet, um diese auf
ihre Verwendbarkeit für ein Risikomanagementsystem für SLAs zu untersuchen,
da bereits bekannte Methoden aus dem KonTraG-nahem Risikomanagement
schnell und mit geringen Akzeptanzproblemen im SLA-Umfeld eingeführt wer-
den können. Auf diese Weise wird die Sensibilisierung in Unternehmen für den
Umgang mit Risiken durch das KonTraG genutzt, und auch die Überprüfung des
gesamten Risikomanagements einer Unternehmung kann den Blick auf die opera-
tive Ebene und SLA-Leistungserbringung lenken
109
.
In der Vergangenheit setzten sich hauptsächlich Unternehmen aus dem Finanzbe-
reich mit dem Risikomanagement auseinander, insbesondere mit den Markt- und
Kreditrisiken.
110
Entsprechend beziehen sich Risikomanagementsysteme häufig
nur auf den Finanzbereich eines Unternehmens, während Risiken aus dem Bereich
der Informationssysteme, insbesondere für Supportprozesse, getrennt betrachtet
wurden.
111
Ziel sollte aber eine umfassende Untersuchung der Unternehmensstra-
tegie auf Risiken sein, um diese zu entdecken und abzusichern.
112
Um dies zu
107
Vgl. § 91 Abs. 2 Aktiengesetz; Bundestag-Drucksache 13/9712, S. 15; Hengmith (2008), S.
14ff; Keitsch (2007), S. 9; Romeike (2003c), S. 76ff. Für die amerikanische Wirtschaft ist in
diesem Zusammenhang der Sarbanes-Oxley-Act zu nennen, der mit dem deutschen KonTraG
verglichen werden kann, jedoch stärkere Anforderungen an das Risikomanagement stellt. Er
gilt für Unternehmen, die an US-Börsen oder der NASDAQ gelistet sind, sowie für ausländi-
sche Tochterunternehmen amerikanischer Gesellschaften, und soll hier nicht genauer beleuch-
tet werden, vgl. Keitsch (2007), S. 21ff, Supatgiat et al. (2006), S. 17; Winter (2007), S. 72.
108
Vgl. Diederichs (2004b), S. 703; Martin/Bär (2002), S. 72.
109
Vgl. Martin/Bär (2002), S. 48f.
110
Vgl. Gluchowski et al. (2008), S. 245; Hempel/Offerhaus (2008), S. 12; Romeike (2003a), S.
147; Rosenkranz/Missler-Behr (2005), S. 10.
111
Vgl. Keitsch (2007), S. 24; Meier (2001), S. 21f; Rosenkranz/Missler-Behr (2005), S. 10;
Wolf (2002), S. 1732.
112
Vgl. Brühwiler (2007), S. 34ff; Helten (1984), S. 17; Wolf/Runzheimer (2009), S. 35f.
17
erreichen muss festgelegt werden, ob das Integrations- oder das Separationskon-
zept für das Risikomanagement berücksichtigt werden soll.
Bei dem Integrations-
konzept ist das Risikomanagement direkt eine Aufgabe der entsprechenden Ma-
nagementebene, da jeder Entscheider von der spezifischen Risikokomponente
betroffen ist und diese aufgrund seiner Fachkenntnisse am ehesten managen
kann.
113
Beim Separationskonzept wird das Risikomanagement von einer Stab-
stelle aus gehandhabt, die auf den Umgang mit Risiken spezialisiert ist und diese
durch ihre Perspektive objektiv in ihrer Gesamtheit beurteilen kann.
114
Die
Nachteile des Integrationskonzepts sind eine mangelnde Identifizierung mit den
Aufgaben des Risikomanagements, die fehlenden Methodenkenntnisse sowie der
begrenzte Überblick über die gesamte Risikosituation des Unternehmens. Erst
durch eine Kombination beider Methoden kann ein ausgeglichener Risikomana-
gementprozess entstehen. Entsprechend der Ausrichtung und Schwerpunktsetzung
zwischen Integrations- und Separationskonzept ist die Rolle des Verantwortlichen
für das Risikomanagement, den Risk-Owner, auf der entsprechende Ebene anzu-
setzen.
115
Darüber hinaus kann bei einer Orientierung an dem Integrationskonzept
das Risikomanagement parallel zu den Managementebenen eines Unternehmens
strategisch, taktisch oder operativ aufgestellt sein.
116
Das strategische Risikoma-
nagement legt die langfristigen und grundsätzlichen Ziele des Risikomanagements
für das gesamte Unternehmen (Risikopolitik) fest, die das gewünschte Verhältnis
von Chancen und Risiken sowie organisatorische Rahmenbedingungen umfasst,
sodass sie die Basis für das operative Risikomanagement darstellt.
117
Diese strate-
gischen Ziele werden durch die Anwendung der Top-Down-Methode in den Ab-
teilungen aufbereitet und umgesetzt.
118
Bei der Bottom-Up-Methode befasst sich
das operative Risikomanagement mit technischen und organisatorischen Risikode-
tails von Systemen und Prozessen und gibt konkrete und sachbezogene Rückmel-
dungen an die strategische Ebene.
119
113
Vgl. Hauger (2001), S. 1031; Reichling et al. (2007), S. 212; von Metzler (2004), S. 30f.
114
Vgl. Hauger (2001), S. 1031; von Metzler (2004), S. 30f.
115
Vgl. Baisch (2000), S. 104; Hübner et al. (2003), S. 23; Königs (2005), S. 195f.
116
Vgl. Brühwiler (2007), S. 30; Drew/Kendrick (2005), S. 32f.
117
Vgl. Diederichs et al. (2004), S. 190; Drew/Kendrick (2005), S. 28; Martin/Bär (2002), S.
138f; Rosenkranz/Missler-Behr (2005), S. 41; von Metzler (2004), S. 46.
118
Vgl. Keitsch (2007), S. 29; Königs (2005), S. 37f; Moosa (2007), S. 143. Im Rahmen dieser
Arbeit wird nicht weiter auf das strategische Risikomanagement eingegangen, doch soll an
dieser Stelle ausdrücklich betont werden, dass das gesamte operative Risikomanagement auf
dem strategischen aufbaut, vgl. Hengmith (2008), S. 25; Jahner/Krcmar (2005), S. 48;
Wolf/Runzheimer (2009), S. 38.
119
Vgl. Brühwiler (2007), S. 30; Königs (2005), S. 37f; Moosa (2007), S. 143f; Reichling et al.
(2007), S. 213; Romeike (2003a), S. 158.
18
2.3.2
Anforderungen an das Risikomanagement
Das Risikomanagement ist nicht die einmalige, zeitpunktbezogene Durchführung
einer Maßnahme, sondern ein dauerhafter, kontinuierlicher Prozess, der fest in die
Struktur und Prozesse eines Unternehmens eingebunden sein muss.
120
Er muss
regelmäßig überprüft und neuen internen und externen Anforderungen angepasst
werden.
121
In der Vergangenheit haben sich verschiedene Risikomanagementmethoden ent-
wickelt,
122
sodass sich in der Literatur unterschiedliche Ansätze für einen Risiko-
managementprozess finden lassen.
123
Bei einem Vergleich stellt sich heraus, dass
trotz unterschiedlicher Ansätze die Phasen Risikoidentifizierung, Risikobewer-
tung, Risikosteuerung und Risikokontrolle in diesen Prozessen zu finden sind.
Besonders im Bereich des operativen Risikomanagements ist die Kommunikation
der Risiken wichtig, bspw. in Form eines Reportings an höhere Hierarchieebe-
nen,
124
weshalb die Risikovisualisierung als weiterer Prozesschritt eingefügt wird.
Im weiteren Verlauf der Arbeit werden die Phasen des Risikoprozesses vorgestellt
und spezifische Anwendungen und Umsetzungsmöglichkeiten für einen Risiko-
managementprozess für SLAs vorgestellt. So kann ein übergreifender Risikoma-
nagementprozess geschaffen werden, der das Denken in separaten Einheiten ver-
hindert somit die gemeinsame Betrachtung aller Risiken durch alle Bereiche eines
Unternehmens fördert.
125
Abbildung 1 zeigt eine übersichtliche Darstellung des
Risikomanagementprozesses für SLAs.
120
Vgl. Blyth (2008), S: 113; Hengmith (2008), S. 12ff; Hübner et al. (2003), S. 27f; Mott
(2001a), S. 203; Romeike (2003a), S. 147.
121
Vgl. Hengmith (2008), S. 24; Keitsch (2007), S. 242.
122
Für eine übersichtliche Darstellung der Entwicklung vgl. Brühwiler (2007), S. 65-82, Mar-
tin/Bär (2002), S 82ff; Seibold (2005), S. 182ff; Winter (2007), S. 139ff.
123
Vgl. Baseler Ausschuss für Bankenaufsicht (2004), S. 162; Hauger (2001), S. 1031; Pauli
(2008), S. 279; Reichling et al. (2007), S. 215; Romeike (2003b), S. 185; Übersicht bei Meit-
ner (1990), S. 395.
124
Vgl. Brühwiler (2007), S. 84.
125
Vgl. Crouhy et al. (2007), S. 15; von Metzler (2004), S. 46.
19
Abbildung 1 Risikomanagementprozess für die Einhaltung von SLAs
Quelle: Eigene Darstellung
3
Risikomanagementprozess für SLAs
Ziel dieser Arbeit ist die Entwicklung eines Risikomanagementprozesses auf der
Ebene der SLAs, d. h. auf der operativen Ebene. Durch die im Rahmen von Basel
II geforderte Eigenkapitalunterlegung von Risiken, explizit auch von operationel-
len Risiken, wird diesem Risikobereich zunehmend Aufmerksamkeit geschenkt.
,,Operationelles Risiko ist die Gefahr von Verlusten, die in Folge der Unangemes-
senheit oder des Versagens von internen Verfahren, Menschen und Systemen oder
infolge externer Ereignisse eintreten. Diese Definition schließt Rechtsrisiken ein,
beinhaltet aber nicht strategische Risiken oder Reputationsrisiken."
126
Diese Beg-
riffsdefinition hat sich in der Praxis durchgesetzt und soll auch im Weiteren ver-
wendet werden.
127
Im Folgenden wird dargestellt, wie durch Anwendung der Bot-
tom-Up-Methode operationelle Risiken auf operativer Ebene, die zur Nichteinhal-
tung von SLAs führen können, identifiziert, bewertet und dargestellt werden kön-
nen, um sie angemessen zu steuern und zu kontrollieren. Neben den Risiken sol-
len darüber hinaus auch Chancen für etwaige Bonuszahlungen erkannt werden.
126
Baseler Ausschuss für Bankenaufsicht (2004), S. 157.
127
Vgl. Hengmith (2008). S. 9.
Risikoidentifizierung
Risikosteuerung
Risikobewertung
Risikovisualisierung
Risikokontrolle
Risikomanagementprozess für die Einhaltung von SLAs
Kommunikation mit anderen Abteilungen und Hierarchiestufen
(Erhalt von Daten, Informationen und Wissen)
Kommunikation mit anderen Abteilungen und Hierarchiestufen
(Weitergabe von Daten, Informationen und Wissen)
20
3.1
Prozessschritt der Risikoidentifizierung
Das Ziel der Risikoidentifizierung ist eine vollständige und kontinuierliche Erfas-
sung aller Gefahrenquellen, Störpotenziale und Schadensursachen.
128
Eine man-
gelhafte Risikoidentifizierung wirkt sich negativ auf die folgenden Phasen des
Risikomanagementprozesses aus, da ein unerkanntes Risiko nicht gesteuert wer-
den kann.
129
Die genutzte Methode zur Risikoidentifizierung muss auf die spezifi-
sche Unternehmenssituation abgestimmt sein, was aufgrund der sich ständig än-
dernden Unternehmenssituation eine kontinuierliche Aufgabe ist.
130
Zur Sicher-
stellung der Proaktivität des Risikomanagements können Indikatoren
131
betrachtet
und verwendet werden, die frühzeitig latente, also bereits verdeckt vorhandene,
Chancen und Risiken anzeigen, sodass hinreichend Zeit für Maßnahmen zur Ab-
wendung oder Reduzierung der Bedrohung gegeben ist.
132
Ein möglicher Indika-
tor ist der monatliche Auftragseingang, der dem Indikandum Auftragslage voraus-
läuft. Zur Risikoidentifizierung wird in diesen Fällen der Indikator betrachtet, der
Aufschluss darüber geben kann, ob die Auftragslage des Unternehmens ein mög-
liches Risiko darstellen könnte oder nicht. Voraussetzung dafür ist die Konstanz
der wesentlichen strukturellen Eigenschaften des Unternehmens und seiner Um-
welt, sodass durch die Überwachung von Indikatoren Änderungen der zugrunde
liegenden Ereignisse oder Entwicklungen frühzeitig vorhergesagt werden kön-
nen.
133
Durch kausale Überlegungen und die Definition relevanter Beobachtungs-
felder können unternehmensspezifisch vorauslaufende Indikatoren ermittelt wer-
den.
134
Dabei ist jedoch auf ein ökonomisch sinnvolles Verhältnis zwischen dem
Nutzen der Information und dem damit verbundenen Aufwand der Informations-
gewinnung zu achten.
135
Vorteilhaft sind Indikatoren mit einer hohen Empfangs-
128
Vgl. Romeike (2003e), S. 165; Vanini (2005), S. 1028; Wolke (2008), S. 6f.
129
Vgl. Diederichs et al. (2004), S. 190; Romeike (2003e), S. 165.
130
Vgl. Crouhy et al. (2006), S. 46; Kreische (2001), S. 146; Wolke (2008), S. 6.
131
Ein Indikator fungiert als Hilfsgröße, um ursprünglich gemeinte, aber nicht unmittelbar wahr-
nehmbare Ereignisse, Entwicklungen und Vorgänge, das Indikandum, anzuzeigen, vgl.
Krystek/Müller-Stewens (1993), S. 76 sowie Bea/Haas (2005), S. 269; Lück (1998), S. 9.
132
Vgl. Horvath (2009), S. 343ff; Hübner et al. (2003), S. 33; Romeike (2003e), S. 165f;
Wolf/Runzheimer (2009), S. 109. Diese Methodik wird als dritte Generation der Frühwarnung
bezeichnet, für eine Abgrenzung vgl. bspw. Baisch (2000), S. 34ff; Romeike (2003e), S. 166f;
Horvath (2009), S. 344ff.
133
Vgl. Baisch (2000), S. 68; Hempel/Offenhaus (2008b), S. 227; Krystek/Müller-Stewens
(1993), S. 76f; Wolf (2002), S. 1730.
134
Vgl. Baisch (2000), S. 71ff; Klausmann (1983), S. 42; Lück (1998), S. 12; Zimmermann
(1992), S. 74.
135
Vgl. Diederichs et al. (2004), S. 191; Krystek/ Müller-Stewens (1993), S. 103; Hahn/Krystek
(1979), S. 81f.
21
sensibilität und einem geringemgeringen Aggregationsgrad, da auf diese Weise
ein konstanter zeitlicher Vorlauf für die Initialisierung von Reaktionen im An-
schluss an die Bewertung des Indikators im Rahmen des nächsten Prozessschrit-
tes, der Risikobewertung, erreicht werden kann.
136
In diesem Punkt ist eine klare
Trennung von Indikatoren und Kennzahlen, die zumeist quantitative Informatio-
nen nutzen und aggregieren, nicht einfach, da Kennzahlen auch als Indikatoren
verwendet werden können.
137
Durch die leichte Erfassung, einfache Verarbeitung
und gute Speicherbarkeit werden Kennzahlen häufig verwendet und auch qualita-
tive und nicht-monetäre Kennzahlen können in den Risikomanagementprozess mit
einbezogen werden.
138
An der Früherkennung kann die starre Ausrichtung kriti-
siert werden, da festgelegte Beobachtungsbereiche nur selten geändert werden
und sie , was daher bei auftretenden Strukturveränderungen dazu führt, dass rele-
vante Risiken oder Chancen nicht rechtzeitig erkannt werden.
139
Auch können
Beobachtungsbereiche übersehen oder qualitative Informationen nicht ausrei-
chend berücksichtigt werden. Darüber hinaus wird eine feste, aber nicht immer
zutreffende Ursache-Wirkungs-Beziehung angenommen.
140
Vorteilhaft sind der
zeitliche Vorlauf der Früherkennungsindikatoren gegenüber Kennzahlen und die
verbesserte Möglichkeit der Verwendung von qualitativen Informationen. Auch
können gleichzeitig Chancen und Risiken sowohlvon internen als auch externen
Entwicklungen betrachtet und beurteilt werden.
141
Wird die Überprüfung der In-
dikatoren mit in das Risikomanagement als Teil des Prozessschritts der Risiko-
kontrolle aufgenommen, so ist die Verwendung von Indikatoren im Rahmen der
Risikoidentifizierung empfehlenswert.
Viele Methoden zur Risikoanalyse können durch eine vorherige Risikoklassifika-
tion erleichtert werden.
142
Neben der Anlehnung an die vertraute Systematik des
internen Rechnungswesens können durch die Anwendung der Top-Down-
136
Vgl. Kaiser/Köhne (2007), S. 48ff; Krystek/Müller-Stewens (1993), S. 103; Hahn/Krystek
(1979), S. 81f.
137
Vgl. Baisch (2000), S. 82; Krystek/Müller-Stewens (1993), S. 122; Klausmann (1983), S. 42.
Insbesondere durch den statistischen Prozess der Hochrechnung können Kennzahlen den Cha-
rakter von Indikatoren erhalten, vgl. Krystek/Müller-Stewens (1993), S. 82.
138
Vgl. Baisch (2000), S. 78ff.; Böhler (1993), Sp. 1257; Klausmann (1983), S. 39f; Krystek/
Müller-Stewens (1993), S. 82.
139
Vgl. Baisch (2000), S. 84; Bea/Haas (2005), S. 274; Krystek/Müller-Stewens (1993), S. 82.
140
Vgl. Bea/Haas (2005), S. 274; Hahn/Krystek (1979), S. 81f; Krystek/Müller-Stewens (1993),
S. 82.
141
Vgl. Baisch (2000), S. 84; Bea/Haas (2005), S. 274; Krystek/Müller-Stewens (1993), S. 82.
142
Vgl. Mott (2001a), S. 204; Romeike (2003e), S. 173; Scenario based AMA working group
(2003), S. 2.
22
Methode die zuvor vorgestellten Risikoklassen (höhere Gewalt, politi-
sche/ökonomische Risiken, interne Unternehmensrisiken, die in Geschäfts-, Fi-
nanz- und Betriebsrisiken unterteilt werden können) genutzt und angepasst wer-
den, um detailliert weitere Risiken zu spezifizieren, bspw. für den Personal- oder
Technikbereich.
143
Neben den Risikoklassen kann die Risikoidentifizierung durch
klar definierte Beobachtungsbereiche strukturiert werden, wobei Überschneidun-
gen zwischen den Bereichen häufig nicht vermeidbar sind.
144
Nach diesen einfüh-
renden Vorüberlegungen können unterschiedliche Methoden genutzt werden, um
Risiken und Beobachtungsbereiche auf der dispositiven Ebene eines Unterneh-
mens aufzufinden. Dabei lassen sich die Methoden in die Kategorien der
Analyse-, Such- und Kreativitätsmethoden unterteilen. Die folgende Abbildung
stellt eine Übersicht über die Methoden dar, die im Weiteren vorgestellt werden.
Suchmethoden
Kollektionsmethoden
Analytische Methoden
Kreativitätsmethoden
Checkliste Fragenkatalog
Brainstroming
SWOT-Analyse/ Self-
Assesment
Morphologische Verfahren
Brainwriting
Risiko-Identifikationsmatrix
Fehlermöglichkeits- und
Einflussanalyse
Delphi-Methode
Interview, Befragung
Baumanalyse
Synektik
Vorwiegend geeignet
zur Identifikation beste-
hender und offensichtli-
cher Risiken
Vorwiegend geeignet zur Identifikation zukünfti-
ger und bisher unbekannter Risikopotenziale
Abbildung 2 Methoden der Risikoidentifizierung
Quelle: Romeike (2003e), S. 174
Zusätzlich werden noch die Methoden der Szenarioanalyse, der Frühwarnindika-
toren und der Schadensfalldatenbank betrachtet, da diese explizit zur Bestimmung
des operationellen Risikos in Basel II im Rahmen des ambitionierten Messansatz
(AMA) gefordert werden.
145
Im Anschluss an die Identifizierung möglicher Risiken kann für ein besseres Ver-
ständnis das Risiko analysiert werden, d. h. Gründe für den Risikoeintritt werden
143
Vgl. BSI (2009), S. 329ff; Wolke (2008), S. 7; Rosenkranz/Missler-Behr (2005), S. 29; Supat-
giat et al. (2006), S. 19f.
144
Vgl. Romeike (2003e), S. 167.
145
Baseler Ausschuss für Bankenaufsicht (2004), S. 162ff; Wieben/Wolf (2007), S. 222ff.
23
ermittelt, was die Grundlage für die Identifizierung möglicher Maßnahmen zur
Risikosteuerung sein kann.
146
3.1.1
Vorstellung von Methoden zur Risikoidentifizierung
Für eine erste Annäherung an mögliche Risiken können Checklisten genutzt wer-
den, die häufig auftretenden Risiken auf SLA-Ebene umfassen.
147
Bei einer exter-
nen Erstellung des Fragebogens muss darauf geachtet werden, dass der zugrunde
gelegte Best-Practise-Ansatz für das Unternehmen geeignet ist.
148
In der Literatur
findet man im Rahmen des allgemeinen Risikomanagements Checklisten, aus der
die folgenden operativen Risikos hervorgehen:
149
Die mangelnde Kommunikation
zwischen Mitarbeitern, unklare Kompetenzzuordnungen, fehlende oder falsche
Kenntnisse über Richtlinien und Prozessabläufe,
unbekannte und unzureichende
Aufgabenbeschreibungen, Personalausfall (insbesondere durch Krankheiten), Ab-
hängigkeit von Personal mit hohem und spezifischem Fachwissen, geringe Moti-
vation, mangelhafte Arbeitsqualität, Qualifikations- und Ausbildungsmängel, ho-
he Fluktuationsraten unter Mitarbeitern, mangelhafte oder fehlende Abstimmung
der Arbeitszeiten der Mitarbeiter auf den SLA-Inhalt, fehlerhafte oder langsame
Kommunikation, Netzwerk- und Stromausfällen, IT-Risiken
150
, mangelnde Funk-
tionalität der Software, Abstimmungsprobleme zwischen Datenbanken,
Medien-
brüche, zu geringe Leistungsfähigkeit der EDV, Umstellungsprobleme bei EDV-
Systemen, Medienbrüche, Ausfallzeiten und mangelnde Verfügbarkeiten, zu lange
Zugriffszeit, zu lange Wiederanlaufzeiten nach Ausfällen, Abhängigkeit von der
Qualität und Verlässlichkeit des Lieferanten. Diese Sammlung zeigt, dass bei ope-
rationellen Ebenen ein Schwerpunkt auf dem technischen und personellen Bereich
liegt. Bei Checklisten ist zu kritisieren, dass diese eine sehr starre Ausrichtung
haben und durch den hohen Aggregationsgrad nicht auf alle Einzelrisiken und alle
Wechselwirkungen eingegangen werden kann.
151
In Kombination mit anderen
Methoden kann eine Checkliste einfach auf individuelle Unternehmensbedürfnis-
146
Vgl. Martin/Bär (2004), S. 96; Lück (1998), S. 9; Hughes et al (2009), S. 54.
147
Vgl. Crouhy et al. (2006), S. 46; Gleißner (2001), S. 114; Romeike (2003e), S. 175.
148
Vgl. Junginger (2005), S. 220; Romeike (2003e), S. 175.
149
Für folgende beispielhafte Aufzählung vgl. Hansen/Neumann (2005), S. 304ff; Hauger (2001),
S. 1030; Keitsch (2007), S. 26ff; Kreische (2001), S. 146ff; Rosenkranz/Missler-Behr (2005),
S. 38.
150
IT-Risiken sind bspw. Malware (Viren, Würmer, Trojaner, etc.), Hacking, Spionage, Soft-
ware-Risiken, Irrtum oder Nachlässigkeit eigener Mitarbeiter, Sabotage, unbeabsichtigte Feh-
ler Externer, Dokumentationsmängel, Manipulation, Hardwarrisiken, höhere Gewalt, vgl.
Keitsch (2007), S. 123; Whitman (2003), S. 92.
151
Vgl. Junginger (2005), S. 220ff.
Details
- Seiten
- Erscheinungsform
- Originalausgabe
- Erscheinungsjahr
- 2009
- ISBN (eBook)
- 9783836635387
- DOI
- 10.3239/9783836635387
- Dateigröße
- 889 KB
- Sprache
- Deutsch
- Institution / Hochschule
- Ruhr-Universität Bochum – Wirtschaftswissenschaft, Wirtschaftsinformatik
- Erscheinungsdatum
- 2009 (September)
- Note
- 1,7
- Schlagworte
- wirtschaftsinformatik outsourcing risikobewertung
- Produktsicherheit
- Diplom.de