Analyse und Bewertung von Risiken in IT-Offshoring Projekten
Ansätze zur Modellierung und Quantifizierung
©2006
Diplomarbeit
149 Seiten
Zusammenfassung
Inhaltsangabe:Einleitung:
Das Verlagern von IT Dienstleistungen ins Ausland gewinnt im Zuge der Globalisierung immer weiter an Fahrt. Laut dem Marktforschungsinstitut Gartner wird der weltweite Umsatz im IT-Offshoring Segment die nächsten Jahre durchschnittlich um circa sieben Prozent wachsen. Die Studie von Accenture und IMCS (Outsourcing 2007) geht für Deutschland sogar von einem Wachstum in der Größenordnung um zehn Prozent auf insgesamt 13,8 Milliarden Euro aus. Speziell die Auftragsvolumen für das Outsourcing von IT-Dienstleistungen in Niedriglohnländer sind im Vergleich zu den USA sowie den insgesamt ausgelagerten Aktivitäten relativ niedrig. In diesen Bereichen ist daher potentiell ein weitaus höheres Wachstum möglich.
Zu den Hauptmotiven zählen neben der Kostensenkung auch die Verkürzung der Entwicklungszyklen, der Zugriff auf externes Experten-Know-how und die Steigerung der Flexibilität. Weitere Gründe sind nach Oecking und Westerhoff die Fokussierung auf Kernkompetenzen, Qualitäts- oder Leistungsverbesserungen sowie die Variabilisierung von Kosten. Die Applikationsentwicklung im Ausland verfügt dabei durch die personalintensiven Tätigkeiten über ein besonders hohes Einsparpotenzial und macht zum aktuellen Zeitpunkt bereits die Hälfte aller ausgelagerten Dienstleistungen aus.
Doch längst nicht alle Projekte laufen erfolgreich ab: Zwar ist die Mehrheit der Unternehmen gegenüber dem Outsourcing positiv eingestellt, jedoch haben zwei Drittel eher enttäuschende Erfahrungen gemacht. Je nach Statistik und Form des Outsourcings scheitern etwa 20 bis 40 Prozent der ins Ausland vergebenen Aufträge. Laut einer Analyse der Meta Group berichten sogar 80 Prozent aller Unternehmen über Probleme. Die Hälfte der Kunden ist mit den Ergebnissen unzufrieden und 30 Prozent der Projekte können gar nicht abgeschlossen werden. Nach einer weiteren Studie klagen 20 Prozent über hohe Fluktuationsraten bei ihren Auftragnehmern, 38 Prozent über Kosten für Leistungen, die außerhalb der Vertragsvereinbarungen anfielen und 44 Prozent über mangelnde personelle Kapazitäten bei dem Dienstleister. Als generelle Ursachen für die Unzufriedenheit werden weiterhin verfehlte Kostenziele, sinkende Qualität, kulturelle Probleme, eingeschränkte Flexibilität sowie Bedenken hinsichtlich des Verlustes kritischen Wissens genannt. Unter Betrachtung der erheblichen Risiken stellt sich die Frage, ob und wann Outsourcing für Unternehmen überhaupt rentabel ist. Einige populäre Fälle […]
Das Verlagern von IT Dienstleistungen ins Ausland gewinnt im Zuge der Globalisierung immer weiter an Fahrt. Laut dem Marktforschungsinstitut Gartner wird der weltweite Umsatz im IT-Offshoring Segment die nächsten Jahre durchschnittlich um circa sieben Prozent wachsen. Die Studie von Accenture und IMCS (Outsourcing 2007) geht für Deutschland sogar von einem Wachstum in der Größenordnung um zehn Prozent auf insgesamt 13,8 Milliarden Euro aus. Speziell die Auftragsvolumen für das Outsourcing von IT-Dienstleistungen in Niedriglohnländer sind im Vergleich zu den USA sowie den insgesamt ausgelagerten Aktivitäten relativ niedrig. In diesen Bereichen ist daher potentiell ein weitaus höheres Wachstum möglich.
Zu den Hauptmotiven zählen neben der Kostensenkung auch die Verkürzung der Entwicklungszyklen, der Zugriff auf externes Experten-Know-how und die Steigerung der Flexibilität. Weitere Gründe sind nach Oecking und Westerhoff die Fokussierung auf Kernkompetenzen, Qualitäts- oder Leistungsverbesserungen sowie die Variabilisierung von Kosten. Die Applikationsentwicklung im Ausland verfügt dabei durch die personalintensiven Tätigkeiten über ein besonders hohes Einsparpotenzial und macht zum aktuellen Zeitpunkt bereits die Hälfte aller ausgelagerten Dienstleistungen aus.
Doch längst nicht alle Projekte laufen erfolgreich ab: Zwar ist die Mehrheit der Unternehmen gegenüber dem Outsourcing positiv eingestellt, jedoch haben zwei Drittel eher enttäuschende Erfahrungen gemacht. Je nach Statistik und Form des Outsourcings scheitern etwa 20 bis 40 Prozent der ins Ausland vergebenen Aufträge. Laut einer Analyse der Meta Group berichten sogar 80 Prozent aller Unternehmen über Probleme. Die Hälfte der Kunden ist mit den Ergebnissen unzufrieden und 30 Prozent der Projekte können gar nicht abgeschlossen werden. Nach einer weiteren Studie klagen 20 Prozent über hohe Fluktuationsraten bei ihren Auftragnehmern, 38 Prozent über Kosten für Leistungen, die außerhalb der Vertragsvereinbarungen anfielen und 44 Prozent über mangelnde personelle Kapazitäten bei dem Dienstleister. Als generelle Ursachen für die Unzufriedenheit werden weiterhin verfehlte Kostenziele, sinkende Qualität, kulturelle Probleme, eingeschränkte Flexibilität sowie Bedenken hinsichtlich des Verlustes kritischen Wissens genannt. Unter Betrachtung der erheblichen Risiken stellt sich die Frage, ob und wann Outsourcing für Unternehmen überhaupt rentabel ist. Einige populäre Fälle […]
Leseprobe
Inhaltsverzeichnis
Tim Uphaus
Analyse und Bewertung von Risiken in IT-Offshoring Projekten
Ansätze zur Modellierung und Quantifizierung
ISBN: 978-3-8366-0647-9
Druck Diplomica® Verlag GmbH, Hamburg, 2008
Zugl. Friedrich-Alexander-Universität Erlangen-Nürnberg, Erlangen, Deutschland,
Diplomarbeit, 2006
Dieses Werk ist urheberrechtlich geschützt. Die dadurch begründeten Rechte,
insbesondere die der Übersetzung, des Nachdrucks, des Vortrags, der Entnahme von
Abbildungen und Tabellen, der Funksendung, der Mikroverfilmung oder der
Vervielfältigung auf anderen Wegen und der Speicherung in Datenverarbeitungsanlagen,
bleiben, auch bei nur auszugsweiser Verwertung, vorbehalten. Eine Vervielfältigung
dieses Werkes oder von Teilen dieses Werkes ist auch im Einzelfall nur in den Grenzen
der gesetzlichen Bestimmungen des Urheberrechtsgesetzes der Bundesrepublik
Deutschland in der jeweils geltenden Fassung zulässig. Sie ist grundsätzlich
vergütungspflichtig. Zuwiderhandlungen unterliegen den Strafbestimmungen des
Urheberrechtes.
Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in
diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme,
dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei
zu betrachten wären und daher von jedermann benutzt werden dürften.
Die Informationen in diesem Werk wurden mit Sorgfalt erarbeitet. Dennoch können
Fehler nicht vollständig ausgeschlossen werden, und die Diplomarbeiten Agentur, die
Autoren oder Übersetzer übernehmen keine juristische Verantwortung oder irgendeine
Haftung für evtl. verbliebene fehlerhafte Angaben und deren Folgen.
© Diplomica Verlag GmbH
http://www.diplom.de, Hamburg 2008
Printed in Germany
Analyse und Bewertung der Risiken von IT-Offshoring-Projekten
I
Abstract
Das Auslagern von IT-Dienstleistungen in Niedriglohnländer (,,Offshore-Outsourcing") ist
mittlerweile weit verbreitet dennoch treten oftmals während der Projektlaufzeit gravierende
Probleme auf. Unternehmen klagen mitunter über verfehlte Kosteneinsparungen,
Terminverzögerungen oder sinkende Qualität. Zum aktuellen Zeitpunkt existieren jedoch
keine Studien, welche die zugrunde liegenden Ursachen mit ihren Wirkungs-
zusammenhängen ausreichend analysieren und eine quantitative Risikoabschätzung
ermöglichen. Diese Arbeit befasst sich daher mit der Entwicklung einer prototypischen
Methodik für die Bewertung von IT-Offshoring-Risiken, wobei der Fokus auf Projekten zur
Applikationserstellung in Unternehmen mit geringer Outsourcing-Erfahrung liegt. Dazu wurde
im Anschluss an die Untersuchung des momentanen Forschungsstandes ein
probabilistisches Strukturmodell für die Darstellung und quantitative Analyse der
Wirkungszusammenhänge entworfen. Die darauf folgende Identifizierung der einzelnen
Modellelemente lieferte unter anderem etwa 100 Einflussfaktoren und 40 Risiken. Durch
Expertenbefragungen bezüglich der Metriken und der Typisierung von Risikofaktoren wurde
eine Quantifizierung durchgeführt, die eine grobe Einschätzung der Eintritts-
wahrscheinlichkeiten von Risiken zulässt. Anhand eines exemplarischen Projektes fand die
Verifizierung der Modellberechnungen statt. Das Ergebnis dieser Auswertung fiel trotz
geringer Abweichungen zu den Zielwerten akzeptabel aus. Mehr als 80% der
prognostizierten Risiken wiesen eine hohe Übereinstimmung mit den unabhängigen
Aussagen der parallel befragten Experten auf.
Analyse und Bewertung der Risiken von IT-Offshoring-Projekten
II
Inhaltsverzeichnis
Abstract ... I
Inhaltsverzeichnis... II
Abbildungsverzeichnis... IV
Tabellenverzeichnis... V
Abkürzungsverzeichnis... VII
1
Einleitung... 1
1.1
Motivation, Problemstellung und Zielsetzung ... 1
1.2
Kontext, Vorgehensweise und Aufbau der Arbeit ... 3
2
Grundlagen ... 5
2.1
Definitionen... 5
2.2
Risikomanagement ... 8
2.2.1
Historische Entwicklung und theoretischer Hintergrund... 8
2.2.2
Prozesse und Konzepte ... 11
2.2.3
Methoden und Werkzeuge des Risikomanagements... 17
2.3
Offshore-Outsourcing ... 18
2.3.1
Historische Entwicklung und theoretischer Hintergrund... 18
2.3.2
Formen des Outsourcings... 20
3
Qualitative Risikomodellierung ... 24
3.1
Definitionen zur Risikomodellierung ... 24
3.2
Ziele und Einschränkungen der Risikomodellierung... 25
3.3
Vorgehen zur Modellentwicklung... 26
3.4
Untersuchung vorhandener Risikomodelle... 27
3.4.1
Triplet Modell... 28
3.4.2
Riskit Modell... 29
3.4.3
Simple Risk Modell... 32
3.4.4
Standard Risk Modell ... 33
3.4.5
Cascade Risk Modell ... 34
3.4.6
Modell nach Schmitting und Siemes ... 35
3.4.7
CTC Modell ... 36
3.5
Bewertung der vorhandenen Risikomodelle ... 38
3.6
Entwicklung eines qualitativen Risikomodells... 40
3.6.1
Gestaltungsoptionen bei der qualitativen Risikomodellierung... 41
3.6.2
Risikoaggregation innerhalb des Modells ... 43
Analyse und Bewertung der Risiken von IT-Offshoring-Projekten
III
3.6.3
Beschreibung des qualitativen Modells... 44
4
Quantitative Risikomodellierung...48
4.1
Untersuchung vorhandener Methoden zur Quantifizierung...48
4.1.1
Künstliche neuronale Netze (KNN) ... 49
4.1.2
Regelbasierte Expertensysteme ... 50
4.1.3
Multivariate Analyseverfahren... 53
4.1.4
Bayesian Believe Networks (BBN)... 54
4.1.5
Simulationen ... 56
4.2
Bewertung der vorhandenen Methoden ...56
4.3
Quantifizierung des Risikomodells ...57
4.3.1
Gestaltungsoptionen bei der quantitativen Risikomodellierung ... 58
4.3.2
Beschreibung des quantitativen Modells ... 65
4.4
Bewertung des quantitativen Modells...70
5
Anwendung des Risikomodells...72
5.1
Implementierung des Risikomodells...72
5.2
Instanzbildung des Modells ...73
5.2.1
Identifikation der Risikofaktoren... 73
5.2.2
Identifikation der Metriken... 75
5.2.3
Identifikation der Risikoereignisse ... 76
5.2.4
Identifikation der Risikofolgen ... 85
5.2.5
Identifikation der Schäden ... 85
5.2.6
Identifikation der Risikobehandlungsmaßnahmen ... 89
5.2.7
Bildung der Relationen ... 89
5.3
Quantifizierung der Modellinstanz über Experten...90
6
Modellverifikation ...96
6.1
Beschreibung des Projektes...96
6.2
Vorgehen zur Bewertung der Ergebnisse...97
6.3
Bestimmung, Analyse und Bewertung der Ergebnisse ...98
7
Zusammenfassung ...102
Literaturverzeichnis... VIII
Anhang ...XX
Analyse und Bewertung der Risiken von IT-Offshoring-Projekten
IV
Abbildungsverzeichnis
Abbildung 1: Schematische Modellstruktur zur Risikoprognose ... 4
Abbildung 2: Risikomanagementprozess nach Wallmüller ... 12
Abbildung 3: Formen der Risikohandhabung... 15
Abbildung 4: Situationsabhängige Risikopolitik ... 15
Abbildung 5: Risikomodell und schematische Modell-Instanz ... 25
Abbildung 6: Beispielhafte Darstellung von Softwareentwicklungsrisiken im Ursachen-
Wirkungs-Diagramm ... 27
Abbildung 7: Grafische Darstellung der Risiko-Triplets und Maßnahmen ... 29
Abbildung 8: Riskit Analysegraph ... 31
Abbildung 9: Beispielhaftes Riskit Risikoszenario ... 32
Abbildung 10: Simple Risk Modell ... 33
Abbildung 11: Standard Risk Modell... 33
Abbildung 12: Cascade Risk Modell ... 34
Abbildung 13: Grundelemente der Modellkonzeption nach Schmitting und Siemes... 35
Abbildung 14: Zeit-Wert Diagramm eines Zustandsüberganges ... 37
Abbildung 15: Beispiel für sequentielle Auswirkungen im CTC Modell... 38
Abbildung 16: Modellierung paralleler und sequentieller Risikofolgen (Beispiel)... 41
Abbildung 17: Schematische Darstellung des qualitativen Risikomodells ... 45
Abbildung 18: Exemplarische Instanz des qualitativen Modells ... 47
Abbildung 19: Mikro-Struktur (Neuron) eines KNN ... 49
Abbildung 20: Makro-Struktur eines KNN für die Risikoprognose ... 50
Abbildung 21: Bestimmung der Diagnosewahrscheinlichkeit über einen Regelbaum ... 52
Abbildung 22: Vereinfachter Ausschnitt einer erweiterten BBN-Instanz ... 55
Abbildung 23: Exemplarische Verlaufskurve für die Bewertung einer Metrik... 59
Abbildung 24: Übersicht ausgewählter Abbildungsfunktionen ... 62
Abbildung 25: Schematische Darstellung des quantitativen Risikomodells ... 66
Abbildung 26: Bewertung der Metriken über Klassifizierungsgruppen ... 67
Abbildung 27: Herleitung der S-Kurve aus einer Dreiecksverteilung ... 68
Abbildung 28: Auswirkung der Wahrscheinlichkeitskorrektur ... 69
Abbildung 29: Analyse des Offshoring-Zyklus für Application Development Projekte ... 77
Abbildung 30: Aspekte der Softwarequalität nach DIN 66272 ... 87
Abbildung 31: Klassifizierungsmöglichkeiten der Risikofaktoren ... 93
Abbildung 32: Risikomatrix für das analysierte Projekt ... 100
Analyse und Bewertung der Risiken von IT-Offshoring-Projekten
V
Tabellenverzeichnis
Tabelle 1: Bewertung von Risiken anhand einer Risikomatrix... 14
Tabelle 2: Ausgewählte Techniken des Risikomanagements ... 17
Tabelle 3: Die fünf Dimensionen des Outsourcings... 21
Tabelle 4: Evaluierung der Risikomodelle anhand von Vergleichskriterien ... 39
Tabelle 5: Beispielhafte CPT für den Variablen-Knoten ,,product quality" ... 55
Tabelle 6: Evaluierung der Methoden zur Quantifizierung des Risikomodells... 57
Tabelle 7: Beispielhafte Metriken für die jeweiligen Risikoelemente ... 58
Tabelle 8: Evaluierung der Gewichtungsoptionen von Risikofaktoren... 61
Tabelle 9: Ansätze zur Erfassung der Schadenshöhe... 64
Tabelle 10: Evaluierung des entwickelten Risikomodells ... 70
Tabelle 11: Beispiele verwendeter Metriken... 76
Tabelle 12: Übersicht identifizierter Risikoereignisse ... 80
Tabelle 13: Identifizierte Schäden bzw. Schadensklassen... 86
Tabelle 14: Auswirkungen der Umschichtung zwischen Schäden ... 88
Tabelle 15: Bewertungsmatrix zur Beurteilung von Projektrisiken... 88
Tabelle 16: Formular für die Abfrage der Metrikintervalle... 92
Tabelle 17: Formular für die Abfrage der Risikofaktor-Klassifikation... 93
Tabelle 18: Klassifikation der mittleren Eintrittswahrscheinlichkeit (Priori Chance)... 94
Tabelle 19: Klassifikation der maximal möglichen Schätzgenauigkeit... 94
Tabelle 20: Formular für die Abfrage der Priori Chance und der Schätzgenauigkeit ... 94
Tabelle 21: Risikowahrscheinlichkeiten für das analysierte Projekt ... 100
Tabelle 22: Dekomposition des IT-Offshoring-Zyklus für die Anwendungsentwicklung ...XXI
Tabelle 23: Identifizierte Risikofaktoren... XXIV
Tabelle 24: Identifizierte Risikoereignisse ... XXVI
Tabelle 25: Offshore-Relevanz der Risikoereignisse... XXVII
Tabelle 26: Identifizierte Risikofolgen ... XXX
Tabelle 27: Identifizierte Schäden ... XXXI
Tabelle 28: Identifizierte Maßnahmen ... XXXIII
Tabelle 29: Klassifikation der Risikofaktoren ...XXXVI
Tabelle 30: Parameter der Risikoereignisse...XXXVII
Tabelle 31: Einstufung der Risikofaktoren im Referenzprojekt... XL
Tabelle 32: Bewertung der Schäden im Referenzprojekt ... XLI
Tabelle 33: Zuordnung von Risikoereignissen zu Phasen... XLII
Analyse und Bewertung der Risiken von IT-Offshoring-Projekten
VI
Tabelle 34: Identifizierte Metriken und Metrikintervalle ...XLII
Tabelle 35: Identifizierte Risikofolgen mit Quellenangaben ...XLII
Tabelle 36: Relationenbildung zwischen Risikoereignissen und Risikofaktoren...XLII
Tabelle 37: Aggregation der Risikoereignisse über eine Zuordnungsmatrix ...XLII
Tabelle 38: Relationenbildung zwischen Risikoereignissen und Maßnahmen ...XLII
Analyse und Bewertung der Risiken von IT-Offshoring-Projekten
VII
Abkürzungsverzeichnis
BBN
Bayesian Believe Networks
BPO
Business Process Outsourcing
CCTA
Central Computer and Telecommunication Agency
CMM
Capability Maturity Model for Software
CMMI
Capability Maturity Model Integration
CobiT
Control Objectives for Information and Related Technology
COCOMO
Constructive Cost Model
CPT
Conditional
Probability
Table
CSM
Crawford Slip Method
DIN
Deutsche
Industrie-Norm
ETA
Event
Tree
Analysis
FMEA
Fehlermöglichkeits- und Einflussanalyse
FTA
Fault Tree Analysis
IEEE
Institute of Electrical and Electronics Engineers
ISO
International Organization for Standardization
IT Information
Technology
KNN
Künstliche neuronale Netze
KonTraG
Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
MARION
Methode d'Analyse des Risques Informatiques et Orientée par Niveau
NWA
Nutzwertanalyse
PERT
Program Evaluation and Review Technique
PMI
Project Management Institute
RBS
Risk-Breakdown-Structure
SMPN
Software Process Managers Network
SPICE
Software Process Improvement and Capability Determination.
SWOT
Strengths, Weaknesses, Opportunities, Threats
TCO
Total Cost of Offshoring
VaR
Value-at-Risk
Analyse und Bewertung der Risiken von IT-Offshoring-Projekten
1
1 Einleitung
1.1 Motivation, Problemstellung und Zielsetzung
Das Verlagern von IT Dienstleistungen ins Ausland gewinnt im Zuge der Globalisierung
immer weiter an Fahrt. Laut dem Marktforschungsinstitut Gartner wird der weltweite Umsatz
im IT-Offshoring Segment die nächsten Jahre durchschnittlich um circa sieben Prozent
wachsen (Gartner, 2004). Die Studie von Accenture und IMCS (,,Outsourcing 2007") geht für
Deutschland sogar von einem Wachstum in der Größenordnung um zehn Prozent auf
insgesamt 13,8 Milliarden Euro aus (zitiert nach Lingnau und Stauber, 2005: 101). Speziell
die Auftragsvolumen für das Outsourcing von IT-Dienstleistungen in Niedriglohnländer sind
im Vergleich zu den USA sowie den insgesamt ausgelagerten Aktivitäten relativ niedrig. In
diesen Bereichen ist daher potentiell ein weitaus höheres Wachstum möglich (vgl. Stobbe,
2005: 8).
Zu den Hauptmotiven zählen neben der Kostensenkung auch die Verkürzung der
Entwicklungszyklen, der Zugriff auf externes Experten-Know-how und die Steigerung der
Flexibilität (Hatch, 2005: 14; BITKOM, 2005: 14f). Weitere Gründe sind nach Oecking und
Westerhoff (2004: 298) die Fokussierung auf Kernkompetenzen, Qualitäts- oder
Leistungsverbesserungen sowie die Variabilisierung von Kosten (Schrey, 2004: 357;
Schwarz, 2005: 19ff). Die Applikationsentwicklung im Ausland verfügt dabei durch die
personalintensiven Tätigkeiten über ein besonders hohes Einsparpotenzial (Laabs, 2004:
118) und macht zum aktuellen Zeitpunkt bereits die Hälfte aller ausgelagerten
Dienstleistungen aus (Stobbe, 2005: 14).
Doch längst nicht alle Projekte laufen erfolgreich ab: Zwar ist die Mehrheit der Unternehmen
gegenüber dem Outsourcing positiv eingestellt, jedoch haben zwei Drittel eher
enttäuschende Erfahrungen gemacht (Oecking und Westerhoff, 2004: 298). Je nach Statistik
und Form des Outsourcings scheitern etwa 20 bis 40 Prozent der ins Ausland vergebenen
Aufträge (vgl. McCue, 2004; DiamondCluster, 2005: 6). Laut einer Analyse der Meta Group
berichten sogar 80 Prozent aller Unternehmen über Probleme (zitiert nach Müller, 2004). Die
Hälfte der Kunden ist mit den Ergebnissen ,,unzufrieden" und 30 Prozent der Projekte können
gar nicht abgeschlossen werden (Groetschel, 2006). Nach einer weiteren Studie klagen 20
Prozent über hohe Fluktuationsraten bei ihren Auftragnehmern, 38 Prozent über Kosten für
Leistungen, die außerhalb der Vertragsvereinbarungen anfielen und 44 Prozent über
Analyse und Bewertung der Risiken von IT-Offshoring-Projekten
2
mangelnde personelle Kapazitäten bei dem Dienstleister (vgl. Hackmann, 2005). Als
generelle Ursachen für die Unzufriedenheit werden weiterhin verfehlte Kostenziele, sinkende
Qualität, kulturelle Probleme, eingeschränkte Flexibilität sowie Bedenken hinsichtlich des
Verlustes kritischen Wissens genannt. Unter Betrachtung der erheblichen Risiken stellt sich
die Frage, ob und wann Outsourcing für Unternehmen überhaupt rentabel ist (vgl. Delmonte
und McCarthy, 2003). Einige populäre Fälle der letzten Jahre untermauern diese Bedenken
hinsichtlich des Outsourcings. So beendete beispielsweise Sears trotz drohender
Schadensersatzforderungen in Höhe von 100 Millionen Dollar die Kooperation mit CSC, und
JP Morgan stieg aus einem großen Projekt mit IBM aus. Auch Dell reduzierte seine
Offshoring-Aktivitäten, nachdem es Probleme mit der Kommunikation und hohen
Reaktionszeiten gegeben hatte (McFarlan und DeLacey, 2004: 9). In Deutschland integrierte
die DVB Bank ihre IT-Tätigkeiten wieder zurück ins Unternehmen (vgl. Hackmann, 2005).
Aus den oben beschriebenen Kehrseiten des Outsourcings begründet sich die Notwendigkeit
eines sorgfältigen Risikomanagements (vgl. Nestrowitz, 2005: 8,19; Laabs, 2004: 121). Die
verfügbaren Studien zu diesem Thema im Kontext des IT-Offshorings beschränken sich
allerdings entweder auf aggregierte Aussagen bezüglich der aufgetretenen Risiken bzw.
Schäden (siehe oben) oder auf einzelne Untersuchungen in sehr spezifischen Teilbereichen
(zum Beispiel Verhoef, 2005). Dieser Umstand wird dadurch erschwert, dass aufgrund von
unterschiedlichen bzw. unklaren Begriffsdefinitionen sowie wechselnden
Rahmenbedingungen die Ergebnisse der durchgeführten Analysen nicht vergleichbar sind.
Darüber hinaus beziehen sich die Untersuchungen größtenteils auf qualitative oder nur
unzureichende quantitative Aussagen. Insbesondere fehlt eine ausführliche Darstellung von
den Beziehungen der Risiken untereinander einschließlich der komplexen
Wirkungszusammenhänge mit ihren Einflussfaktoren. Trotz einiger Pilotstudien (zum Beispiel
Bahli und Rivard, 2003) existiert bislang noch kein ganzheitlicher Ansatz, der auf Basis von
projektspezifisch abfragbaren Ausgangszuständen eine systematische Bewertung der
Risiken zulässt.
Die vorliegende Arbeit soll diese Lücke schließen. Ziel ist die Entwicklung eines
prototypischen Ansatzes, der die Risikoanalysen von zukünftigen IT-Offshoring-Projekten im
Bereich der Anwendungsentwicklung unterstützt. Dazu sind neben der Identifikation der
wesentlichen Risiken auch eine Untersuchung der Wirkungszusammenhänge sowie eine
Bewertung der Risiken hinsichtlich ihrer Eintrittswahrscheinlichkeit und Schadenshöhe
durchzuführen. Die Betrachtung findet dabei nicht anhand eines konkreten Projektes,
sondern auf abstrakter, projektübergreifender Ebene statt. Ein kurzer Überblick über
Analyse und Bewertung der Risiken von IT-Offshoring-Projekten
3
mögliche Gegenmaßnahmen ergänzt die so gewonnenen Erkenntnisse zur Beurteilung der
Risikosituation eines Projektes. Die abschließenden Ergebnisse dieser Arbeit sollen es
Unternehmen ermöglichen, vor der Durchführung eines Offshoring-Projektes auf Basis von
abfragbaren Risikofaktoren eine erste Beurteilung und Analyse der zu erwartenden Risiken
vorzunehmen sowie das Verständnis für die Entstehung der Risiken zu verbessern.
1.2 Kontext, Vorgehensweise und Aufbau der Arbeit
Das grundsätzliche Vorgehen bei der Durchführung einer Risikoanalyse ist entscheidend
davon abhängig, ob die Projektbeteiligten selber eine Einschätzung der Risiken vornehmen
können (Sturm, 2005). Sofern diesbezüglich ausreichend Erfahrungen vorliegen, ist das
Anwenden der zahlreich vorhandenen klassischen Risikoanalyse-Methoden und die
Darstellung in einer Risikomatrix möglich (siehe Kapitel 2.2.3). Durch die systematische
Abfrage der Wissensträger ist in diesem Fall die Identifikation und Bewertung der Risiken
hinsichtlich Eintrittswahrscheinlichkeit und Schaden auch ohne externe Berater erreichbar.
Eine Beschreibung des Vorgehens findet man unter anderem in den Risikomanagement-
Richtlinien des amerikanischen Projektmanagement-Instituts (vgl. PMI, 2004) oder der
deutschen Gesellschaft für Projektmanagement.
Falls den Projektbeteiligten keine Erfahrung bezüglich der auftretenden Risiken vorliegt
beispielsweise bei einmaligen Projekten oder Pilotprojekten muss das notwendige
Fachwissen aus externen Quellen bezogen werden. Dies trifft insbesondere auf IT-
Offshoring-Projekte zu, die dadurch gekennzeichnet sind, dass in den betreffenden
Unternehmen meistens relativ wenig oder gar keine Erfahrung vorhanden ist. Des Weiteren
sind die Schäden bzw. Wahrscheinlichkeiten der Risiken sehr starken Schwankungen
unterworfen und hängen in großem Maße von projekt- oder unternehmensspezifischen
Faktoren ab. Für die Unterstützung einer Risikoanalyse besteht neben dem Einsatz von
Beratern auch die Möglichkeit der Entwicklung einer Prognosemethodik. Nach Ibers und Hey
(2005: 95) baut ein solcher Ansatz auf ,,Informationen als vergangenheitsbezogenes
Erfahrungspotential auf und projiziert es mittels eines zeitunabhängigen Logikkalküls in die
Zukunft". Zu diesen Verfahren zählt beispielsweise die Analogienmethode (vgl. Sommerville,
2001: 519). Ist die Struktur der Risiken und der Wirkungszusammenhänge bekannt, kann ein
stochastisches Risikomodell Verwendung finden, welches jedoch durch Experten mit
Kenntnissen auf dem jeweiligen Fachgebiet oder über die Auswertung empirischer Daten
kalibriert werden muss (vgl. Rantilla und Budesco, 1999: 2; siehe Abbildung 1).
Analyse und Bewertung der Risiken von IT-Offshoring-Projekten
4
Abbildung 1: Schematische Modellstruktur zur Risikoprognose
Diese Arbeit befasst sich demnach mit der Entwicklung eines entsprechenden Risikomodells
zur strukturierten Darstellung von Risiken, ihren Zusammenhängen und einer
Prognosemethodik für die quantitative Bewertung der Risiken. Der erste Abschnitt gibt einen
Überblick über die wesentlichen Grundlagen des Risikomanagements und Outsourcings,
insbesondere im Hinblick auf wichtige Definitionen, die historische Entwicklung der
Forschungsgebiete sowie die theoretischen Konstrukte, auf denen die zwei Bereiche
basieren. Darüber hinaus werden neben den verschiedenen Formen des Outsourcings auch
die generischen Prozesse und Verfahren des Risikomanagements erläutert. Die folgenden
Kapitel beinhalten die Konstruktion eines Modells für die Risikobewertung. Diese besteht aus
drei Phasen: (1) Entwicklung eines qualitativen Risikomodells, (2) Quantifizierung des
Modells sowie (3) Implementierung und Anwendung des Modells auf IT-Offshoring-Projekte.
In allen Phasen werden State-of-the-Art-Analysen mit anschließender Evaluierung der
verfügbaren Optionen durchgeführt und gegebenenfalls Anpassungen oder Erweiterungen
an den bestehenden Konzepten vorgenommen. Die Überprüfung und Beurteilung des
Modells findet im sechsten Abschnitt anhand eines exemplarischen Beispielprojektes statt.
Abschließend werden die erzielten Ergebnisse zusammengefasst, die Limitationen des
gewählten Ansatzes aufgezeigt sowie ein Ausblick auf die weiteren Schritte gegeben.
Analyse und Bewertung der Risiken von IT-Offshoring-Projekten
5
2 Grundlagen
2.1 Definitionen
Im Folgenden werden zunächst wichtige Definitionen erläutert, die für das grundlegende
Verständnis der weiteren Untersuchungen von Bedeutung sind. Ergänzende
Begriffsklärungen finden sich darüber hinaus in den Abschnitten zum Outsourcing bzw.
Risikomanagement und zur Modellentwicklung.
Projekt
Nach DIN 69901 ist ein Projekt ,,ein Vorhaben, das im Wesentlichen durch die Einmaligkeit
der Bedingungen in ihrer Gesamtheit gekennzeichnet ist" (zitiert nach Volk, 2003: 6).
Williams (2003: 23) ergänzt diese Definition um zusätzliche Aspekte: ,,Ein Projekt ist ein
einmaliges Unternehmen mit einem Anfang und einem Ende, das von Menschen
durchgeführt wird, um festgelegte Ziele mit Kosten-, Zeit-, und Qualitätsparametern zu
erreichen". Weitere Merkmale und Unterscheidungskriterien zur so genannten Linienarbeit
sind unter Mayrshofer und Kröger (2001: 13ff) zu finden. Zusammenfassend können
folgende Aspekte als wesentliche Punkte für die Risikoanalyse festgehalten werden: Projekte
sind einzigartig und können daher jedes Mal mit neuen oder andersartigen Risiken
konfrontiert werden (Schnorrenberg und Goebels, 1997: 15f). Des Weiteren sind sie
hinsichtlich Zeit und Ressourcen beschränkt, also dem Risiko des Überschreitens dieser
Planwerte ausgesetzt. Daneben können auch die Qualität des Ergebnisses und sonstige
definierte Ziele gefährdet sein (Williams, 2003: 23f; PMI, 2000: 3f).
Versteegen (2003: 20) klassifiziert speziell Softwareentwicklungsprojekte in drei
verschiedene Kategorien: Interne Projekte werden für Abteilungen oder Bereiche des
eigenen Unternehmens durchgeführt, während bei externen Projekten Kunden außerhalb
des Unternehmens die Auftraggeber sind. Unter der Bezeichnung Produktentwicklung ist die
Entwicklung eines Standardproduktes zu verstehen, welches im Anschluss am Markt
vertrieben wird.
Analyse und Bewertung der Risiken von IT-Offshoring-Projekten
6
Risiko und Projektrisiko
Aufgrund der zentralen Bedeutung für diese Arbeit wird auf die Definition des abstrakten
Wortes ,,Risiko" im Folgenden etwas ausführlicher eingegangen. Sowohl in der
wirtschaftswissenschaftlichen als auch in der technischen Literatur existiert eine Vielzahl
unterschiedlicher Auffassungen zu dem Begriff (Schmitting und Siemes, 2003: 3). Die
Spanne reicht von der einfachen Beschreibung ,,Gefahr einer Fehlabweichung" (Romeike,
2004: 102) oder ,,Möglichkeit ungünstiger künftiger Entwicklungen" (zitiert nach Gaulke,
2004: 3) bis hin zu einer sehr mathematischen Definition, beispielsweise nach Kyas (1996:
21), der Risiko als das Produkt ,,aus dem beim Ereigniseintritt zu erwartenden
Schadensausmaß sowie der zu erwartenden Häufigkeit eines [...] Ereignisses"
charakterisiert.
In Abhängigkeit von der jeweiligen Quelle liegt der Fokus dabei auf unterschiedlichen
Aspekten des Risikobegriffes. Wenn beispielsweise der Zukunftsbezug von Entscheidungen
im Vordergrund steht, kann Risiko als ,,Gefahr einer Fehlentscheidung mit der Folge eines
Schadens" (zitiert nach Mikus, 2001: 5) verstanden werden. Andere Autoren betonen
hingegen die Bestimmbarkeit der Auswirkung und der Eintrittswahrscheinlichkeit: ,,Die
Auswirkung von Gefahren ist [...] der Eintritt von Schaden, welcher sich in Geld messen oder
[...] ungefähr bestimmen lässt. Sobald Gefahren nach Häufigkeit, d.h. Eintrittserwartung und
Auswirkung konkret geschätzt und systematisiert werden, spricht man von Risiken" (Sury,
2004: 476). Im Gegensatz dazu bezeichnet der Begriff Unsicherheit ,,den Zustand, wenn
keine Konsequenzen oder keine Wahrscheinlichkeiten bekannt sind" (Schulte, 2005: 3).
Sowohl Unsicherheit als auch Risiko werden unter der Bezeichnung ,Ungewissheit'
zusammengefasst, die als ,,Zustand nicht vollkommener Informationen" definiert ist (Eller,
Gruber und Reif, 2002: 105).
Der Schaden umfasst dabei in aller Regel ausschließlich die finanziellen Auswirkungen. Um
nicht nur monetäre Größen einzubeziehen, wird das Verständnis der Schadenswirkung
deshalb oftmals um die ,,Nicht-Erreichung der gesetzten Ziele" (Mikus, 2001: 5) erweitert.
Diese Definition ermöglicht es beispielsweise auch soziale Aspekte zu integrieren, erfordert
aber konsequenterweise das Vorhandensein exakt festgelegter Ziele. Grundsätzlich besteht
neben der negativen Abweichung von einer Zielgröße auch die Möglichkeit einer positiven
Verfehlung (vgl. hierzu Harrant und Hemmrich, 2004: 9ff), welche üblicherweise als Chance
bezeichnet wird (Neubürger, 1980: 38). Der Begriff ,,spekulatives Risiko" (Risiko im weiteren
Sinne) umfasst dabei die Schwankung um einen Zielwert in beide Richtungen, während sich
Analyse und Bewertung der Risiken von IT-Offshoring-Projekten
7
das ,,reine Risiko" (Risiko im engeren Sinne) nur auf Differenzen im negativen Bereich
beschränkt (Mikus, 2001: 7). Die Auffassung, dass Chancen und Risiken stets gemeinsam
zu betrachten sind, wird in der letzten Zeit von immer mehr Autoren vertreten (z.B. DeMarco
und Lister, 2003; vgl. Mikus, 2001: 10).
Eine spezielle Form der Risiken stellen die Projektrisiken dar, auch wenn sich die Definition
nur in Bezug auf die Ziele von den operativen Risiken unterscheidet. Letztere orientieren sich
am laufenden Geschäftsprozess, während erstere stets einmalig in einem einzigartigen
Projekt anfallen und auf die spezifischen Ziele ausgerichtet sind. Nach DIN Norm 62198 ist
ein Projektrisiko die ,,Kombination aus der Eintrittswahrscheinlichkeit eines bestimmten
Ereignisses und seinen Folgen für die Projektziele" (zitiert nach Gaulke, 2004: 4).
Auch die Richtlinien des amerikanischen Projektmanagement-Instituts (PMI) vertreten eine
Definition auf Basis des spekulativen Projektrisikos: Demnach ist ein Risiko ein ,,unsicheres
Ereignis oder eine Bedingung, dessen/deren Eintreten eine positive oder negative
Auswirkung auf ein Projektziel hat. Ein Risiko hat eine Ursache und, wenn es eintritt, eine
Auswirkung" (PMI 2000: 127).
Eine einheitliche Auffassung des Risikobegriffes existiert demnach nicht, aber allen
Definitionen sind zwei wesentliche Aspekte gemein: Zum einen ist ein Risiko mit einer
Unsicherheit behaftet und zum anderen hat es einen Schaden zur Folge (Higuera, 1995;
Hillson und Hulett, 2004: 1). Die Wahrscheinlichkeit des Eintretens muss dabei zwischen den
beiden Extremwerten von null und einhundert Prozent liegen tritt ein Ereignis mit Sicherheit
ein, spricht man nicht mehr von einem Risiko, sondern von einem ,,Problem" (vgl. Gaulke,
2004: 3). Im Rahmen dieser Arbeit werden nur die negativen Auswirkungen von Risiken
betrachtet. Als Basis für die weiteren Analysen soll daher die folgende Definition gelten:
,,Ein Risiko ist ein unsicheres Ereignis, das, wenn es eintritt, einen negativen Effekt auf die
Projektziele hat. Ein Risiko wird beschrieben durch eine Eintrittswahrscheinlichkeit und durch
einen mit dem Eintreten verbundenen Schaden" (Sturm, 2005).
Risikofaktor
Gemäß der Norm DIN 69905 sind Risikofaktoren ,,Einflussgrößen, durch die ein Risiko
entsteht" (zitiert nach Projektmagazin ,,Risikofaktor", 2005), oder anders ausgedrückt,
Merkmale, welche die mit einer Gefahr verbundenen Risiken vergrößern (Romeike, 2004:
Analyse und Bewertung der Risiken von IT-Offshoring-Projekten
8
106). In manchen Quellen werden diese Größen auch als ,,Ursachen" bezeichnet (z.B. PMI,
2000: 127). Nach Kontio und Basili (2005) erhöhen Risikofaktoren die
Eintrittswahrscheinlichkeit von Risiken (vgl. hierzu auch Bahli und Rivard, 2001: 576),
während Erfolgsfaktoren genau umgekehrt wirken. Im Gegensatz zu den Risikoindikatoren
(siehe unten) werden sie vorrangig zur Prognose von Risiken am Anfang eines Projektes
verwendet, d.h. statisch und punktuell abgefragt. Ein Beispiel hierfür ist etwa der CMMI-
Prozessreifegrad eines Unternehmens. Der teilweise in der Literatur anzutreffende Ansatz,
das Produkt aus Eintrittswahrscheinlichkeit und Schadenshöhe als Risikofaktor zu
bezeichnen (z.B. Ljungström, 2004: 67) wird im Rahmen dieser Arbeit nicht angewandt.
Risikoindikator
Risikoindikatoren sind ,,Parameter, die sich auf Geschäftsprozesse oder Prozessbündel
beziehen und in der Lage sind, Veränderungen im Risikoprofil dieser Geschäftsprozesse
oder Prozessbündel vorherzusehen. Die Risikoindikatoren sollen folgende Ziele erfüllen:
Risikoereignissen soll vorgebeugt und ungünstige Trends sollen rechtzeitig erkannt werden"
(Romeike, 2004: 68). Risikoindikatoren müssen regelmäßig, zeitnah sowie effizient
gemessen werden und eine Änderung des Risikoprofils realitätsnah widerspiegeln (Van den
Brink, 2004; Schmitting und Siemes, 2003: 14). Frühindikatoren zeigen dabei eine erhöhte
Wahrscheinlichkeit eines Projektrisikos an, wobei es dem Management potentiell noch
möglich ist das Eintreten zu verhindern. Schadensindikatoren hingegen signalisieren ein
bereits eingetretenes Risiko, dessen Ausmaß höchstens noch verringert werden kann. Ein
Beispiel hierfür aus dem Projektumfeld sind die Ergebnisse der Meilensteintrendanalyse oder
die gemessenen Werte der aktuellen Mitarbeiterfluktuation (Projektmagazin ,,Risikoindikator",
2005). Teilweise werden die Risikoindikatoren auch als Auslöser, Risikosymptome oder
Warnsignale bezeichnet, die anzeigen, ,,dass ein Risikofall eingetreten ist oder demnächst
eintreten wird" (PMI, 2000: 133). Manche Quellen unterscheiden darüber hinaus nicht
zwischen Risikoindikator und Risikofaktor (z.B. Gaulke, 2004).
2.2 Risikomanagement
2.2.1 Historische Entwicklung und theoretischer Hintergrund
Das Risikomanagement als angewandter Forschungsbereich existiert in rudimentärer Form
bereits seit dem sechzehnten Jahrhundert das Wort Risiko leitet sich etymologisch aus
dem italienischen ,,ris(i)care" ab, was damals in etwa ,,um einen Felsen segeln" bedeutete
Analyse und Bewertung der Risiken von IT-Offshoring-Projekten
9
(Wallmüller, 2004: 5; Romeike, 2004: 102). Jedoch wurde die Auseinandersetzung mit
Unsicherheiten und Risiken erst Anfang des zwanzigsten Jahrhunderts Teil der
ökonomischen Theorie (Buergin, 1999: 5). Das heutige Verständnis des Risikomanagements
stammt aus den USA, wo es anfangs hauptsächlich in der Versicherungswirtschaft
verwendet wurde, um den Umfang der Versicherungsleistungen einzuschätzen und die Höhe
der zu zahlenden Prämie zu bestimmen (Mikus, 2001: 10). Im Laufe der Zeit entwickelte sich
diese Sichtweise allerdings weiter und integrierte auch ,,Sicherungsmaßnahmen zur
Schadensverhütung". Die Verfahren wurden in der zweiten Hälfte des zwanzigsten
Jahrhunderts insbesondere durch die Luft- und Raumfahrt stetig verbessert (vgl. Mäckel und
Kaiser, 2005: 282). Durch die verstärkte Einbindung der risikoorientierten Denkweise in die
Managementphilosophie trat seit den 70er Jahren das Risikomanagement in vielen
Bereichen immer weiter in den Vordergrund (vgl. Schomann und Bloech, 2005: 226).
Mittlerweile setzen nicht nur kritische Branchen wie etwa Kernenergie, chemische
Industrie, Medizintechnik oder Passagierbeförderung entsprechende Methoden zur Risiko-
und Sicherheitsanalyse ein, sondern auch Unternehmen, die im regulären Geschäftsbetrieb
keinen Personenschaden zu befürchten haben.
Seit der Einführung des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich
(KonTraG) im Jahre 1998 (und teilweise auch schon früher über das Aktiengesetz) schreibt
der deutsche Gesetzgeber den ansässigen Firmen die Implementierung eines
entsprechenden Risikomanagement- und Überwachungssystems vor (vgl. Versteegen, 2003:
5; Gaulke, 2004: 18). Das KonTraG ist dabei nicht nur für Kapitalgesellschaften, sondern
generell für Unternehmen mit beschränkter Haftung ab einer bestimmten Größe
verpflichtend. Ziel des Gesetzes ist es, adäquate Maßnahmen zu ergreifen, um die ,,Risiken,
die einen bedeutenden Einfluss auf die Vermögens,- Finanz- oder Ertragslage des
Unternehmens haben oder sogar dessen Existenz bedrohen, rechtzeitig zu erkennen und
sich dagegen abzusichern" (Mikus, 2001: 13). Darüber hinaus sind Kreditinstitute durch
Basel II dazu verpflichtet, eine gründliche Risikoanalyse ihrer Kreditnehmer zu erstellen, die
,,eine zukunftsorientierte Beurteilung der Risiken des Unternehmens" bedingt (Keitsch, 2004:
8). In den USA fordert seit 2002 der Sarbanes-Oxley-Act von börsennotierten Unternehmen
die Durchführung des Risikomanagements im Rahmen des internen Kontrollsystems.
Die theoretische Basis für die Thematik des Risikomanagements ist sehr vielfältig. Gindi
(2002: 13) differenziert zwischen elf verschiedenen Sichtweisen auf die Risikotheorie, unter
anderem mathematisch, entscheidungstheoretisch, psychologisch, wirtschafts-
wissenschaftlich, soziologisch, gesellschaftstheoretisch, natur- und technikwissenschaftlich
Analyse und Bewertung der Risiken von IT-Offshoring-Projekten
10
sowie philosophisch-ethisch. Der probabilistisch-mathematische Ansatz hat seine
Ursprünge im siebzehnten Jahrhundert und zielt darauf ab, ,,Unsicherheiten abzuschätzen
und handhabbar zu machen, ohne sie in Gewissheiten verwandeln zu können" (Buergin,
1999: 4). Sie stellt eine Abwendung vom ,,kausalitätsorientierten Determinismus" dar, und
betont durch ihren Exaktheitsanspruch den berechenbaren und somit auch beherrschbaren
Charakter von Risiken. Beiträge zur mathematischen Sichtweise des Risikos lieferten
beispielsweise die bedingten Wahrscheinlichkeiten nach Bayes oder auch die Arbeiten von
Pacal, Huygens sowie Bernoulli (vgl. Wallmüller, 2004: 5). Probabilistisch-ökonomische
oder wirtschaftswissenschaftliche Ansätze befassen sich mit der ,,Absicherung der
materiellen und finanziellen Risiken, die sich aus dem unternehmerischen Handeln am
Markt" ergeben, d.h. der Erfassung und Versicherbarkeit von Risiken, die durch aktives
Handeln entstehen (vgl. Buergin, 1999: 4). Die entscheidungstheoretischen Ansätze, die
sich mit positiven oder negativen Auswirkungen bei der Wahl von Alternativen
auseinandersetzen, sind aus der Spieltheorie von Neumann und Morgenstern
hervorgegangen (vgl. Bahli und Rivard, 2001: 575; Buergin: 1999: 4). Es ist dabei eine
weitere Unterscheidung zwischen deskriptiver und präskriptiver Entscheidungstheorie zu
treffen. Letztere beschäftigt sich mit der rationalen Entscheidungsfindung bei gegebenen
Ausgangszuständen, während der deskriptive Forschungsbereich das Zustandekommen
von empirisch erfassten Beobachtungen untersucht. Eine Risikosituation in der
Entscheidungstheorie ist prinzipiell durch den Umstand gekennzeichnet, dass dem
Entscheidungsträger die subjektiven oder objektiven Wahrscheinlichkeiten für das Eintreten
aller möglichen Zustände bekannt sind (Bamberg und Coenenberg, 2000: 78). Die
Spieltheorie integriert ein aktives Handeln weiterer rational agierender Akteure mit dem Ziel
der Gewinnmaximierung in den Betrachtungsrahmen (vgl. hierzu Bieta et. al, 2002; Bieta et
al., 2004). Zur Entscheidungstheorie gehören darüber hinaus die Konzepte der
Erwartungsnutzen- und Prospect-Theorie, die sich mit einer Methodik zur Bewertung des
Nutzens bzw. Risikos von alternativen Entscheidungsmöglichkeiten befassen. Der Nutzen
wird dabei in der Regel über eine Nutzenfunktion oder eine Nutzenmatrix dargestellt (vgl.
Bamberg und Coenenberg, 2000: 33ff). Die Verhaltenstheorie geht der Fragestellung nach,
wie und warum sich Akteure bei ,,riskanten" Entscheidungen unter Annahme einer
unvollständigen Informationssituation verhalten (vgl. Zaheer, 1997: 5). Die Risikoursache ist
dabei in dem kognitiven Risikoverhalten der Entscheidungsträger begründet (vgl. Wolf, 2003:
38). Die individuelle Risikobereitschaft wird bezüglich eines risikoaversen, risikoneutralen
und risikofreudigen Verhaltens unterschieden. Ein risikofreudiger Entscheidungsträger zieht
definitionsgemäß eine weniger sichere Alternative aufgrund der potentiell erreichbaren
Chancen einer sicheren, aber ansonsten vergleichbaren Alternative ohne diese Chance vor.
Analyse und Bewertung der Risiken von IT-Offshoring-Projekten
11
Die Informationstheorie beschreibt Risiken über ihre Unvollkommenheiten bezüglich der
verfügbaren Informationen. Diese Unvollkommenheit kann in drei charakterisierende
Elemente Unvollständigkeit, Unbestimmtheit und Unsicherheit unterteilt werden (vgl.
Wolf, 2003: 38). Probabilistisch-technische Ansätze wiederum betreffen vor allem die
Sicherheitsforschung, d.h. die Analyse technisch bedingter Katastrophen wie beispielsweise
Zug- oder Flugzeugunglücke, mit der Zielsetzung, die Risikoquellen rechtzeitig zu erkennen,
um präventive Maßnahmen zur Verhinderung der Risiken zu entwickeln (vgl. Buergin, 1999:
9). Eine detaillierte Erläuterung der oben genannten Theorien sowie weiterer Konzepte des
Themenkomplexes ,,Entscheidung unter Risiko oder Unsicherheit" finden sich unter anderem
bei Zaheer (1997: 4ff), Gindi (2002: 12ff), Wolf (2003: 37f), Buergin (1999) sowie Bamberg
und Coenenberg (2000).
2.2.2 Prozesse und Konzepte
Nach DIN 62198 ist Risikomanagement definiert als die ,,systematische Anwendung von
Managementgrundsätzen, -verfahren und -praktiken zwecks Ermittlung des Kontexts sowie
Identifikation, Analyse, Bewertung, Steuerung/Bewältigung, Überwachung und
Kommunikation von Risiken" (zitiert nach Gaulke, 2004: 7). Auch Wallmüller (2004: 9)
beschreibt die Methodik folgendermaßen: ,,Unter Risikomanagement ist die systematische
Vorgehensweise zu verstehen, um potentielle Risiken zu identifizieren, zu analysieren, wenn
möglich zu quantifizieren oder als Alternative zu qualifizieren [...] sowie hierauf aufbauend
entsprechende Maßnahmen zur Risikohandhabung und zur Auflösung zu ergreifen". Die
Anzahl der einzelnen Schritte und ihre konkrete Ausgestaltung sind dabei von den
verwendeten Prozessmodellen des Risikomanagements abhängig (Wolf, 2003: 53).
Ansatzübergreifend finden sich jedoch stets die folgenden vier Stufen wieder: (1)
Identifikation der Risiken und Ursachen, (2) Analyse der Ursache-Wirkungs-Beziehungen
und Bewertung der Risiken, (3) Identifikation, Bewertung und Auswahl von risikopolitischen
Maßnahmen sowie (4) Überwachung der Risiken und Maßnahmen. Diese Schritte sind nicht
einmalig, sondern während des Projektverlaufs bzw. der Unternehmenstätigkeit möglichst in
einem iterativen Prozess durchzuführen, um auch neu entstandene Risiken zu erfassen
(siehe Abbildung 2).
Analyse und Bewertung der Risiken von IT-Offshoring-Projekten
12
Abbildung 2: Risikomanagementprozess nach Wallmüller (2004: 18)
Zu Projektbeginn sollte stets eine gründliche Planungsphase durchgeführt werden. In dieser
ist das Vorgehen zur Durchführung der weiteren Schritte, der so genannte
Risikomanagementplan, festzulegen. Er enthält zum Beispiel die Definition von
Verantwortlichkeitsbereichen, die Auswahl zu verwendender Methoden oder die
Vorausplanung von Workshops. Anschließend kann mit der Risikoidentifikation
fortgefahren werden. Das Ziel der Risikoerkennung besteht nach Wolf (2003: 55) in ,,einer
umfassenden, einheitlichen und systematischen Erfassung aller für das Unternehmen
relevanten endogenen/exogenen und bestehenden/potentiellen Risiken". In diesen Prozess
sind neben den Projektbeteiligten auch Stakeholder außerhalb des Projektteams integriert
(PMI, 2004: 246). Neben einer kurzen verbalen Beschreibung fließen zusätzliche
Informationen, wie beispielsweise wesentliche Einflussfaktoren, eine Klassifizierung oder
Interdependenzen zwischen Risiken, in die Liste ein (Schmitting und Siemes, 2003: 6). Dabei
steht die möglichst vollständige und ausführliche Erfassung der Risiken in einem
konkurrierenden Verhältnis zu der durch den benötigten Erfassungsaufwand sinkenden
Wirtschaftlichkeit (Wolf, 2003: 55).
Die darauf folgende Risikoanalyse zielt auf eine Bewertung oder zumindest auf eine
Priorisierung der Risiken ab. In der Regel wird zunächst eine qualitative Analyse
durchgeführt, die Risiken anhand einer ordinalen Skala in Bezug auf ihre
Eintrittswahrscheinlichkeiten und Auswirkungen auf die Projektziele beurteilt. Neben diesen
beiden Aspekten spielen auch die zeitliche Kritikalität und die Vorhersehbarkeit der Risiken
eine bedeutende Rolle. Zusätzlich können Angaben über die Informationsqualität und -
schärfe sowie über die Aktualität der erhobenen Daten festgehalten werden, um im weiteren
Verlauf gegebenenfalls qualitative Schätzwerte dynamisch anzupassen. Problematisch bei
allen qualitativ-verbalen Aussagen ist jedoch die aufgrund der ,,fehlenden Intersubjektivität"
herzustellende Einigkeit aller Experten bezüglich der verwendeten Begrifflichkeiten
(Schmitting und Siemes, 2003: 7).
Analyse und Bewertung der Risiken von IT-Offshoring-Projekten
13
Die quantitative Risikoanalyse untersucht die priorisierten Risikoereignisse und weist ihnen
eine numerische Einstufung zu (PMI, 2004: 254). Darüber hinaus bietet sie ergänzend
quantitative Ansätze zur Entscheidungsfindung in unsicheren Situationen an. Im optimalen
Fall lassen sich alle Risiken mit exakten Eintrittswahrscheinlichkeiten und in finanziellen
Größen ausgedrückten Schäden angeben. Für die Bestimmung der
Eintrittswahrscheinlichkeit lassen sich objektive oder subjektive Wahrscheinlichkeiten
verwenden. Der Rückgriff auf objektive Wahrscheinlichkeiten ist jedoch nur in seltenen
Fällen näherungsweise möglich, etwa wenn genügend historische Daten über operationelle
Risiken verfügbar sind und mit identischen Begleitumständen gerechnet werden kann
(Schmitting und Siemes, 2003: 7). Außerdem erfordern sämtliche Angaben bezüglich der
Eintrittswahrscheinlichkeiten die Festlegung eines konkreten Zeitbezugs. Dieser kann sehr
exakt sein, zum Beispiel ,,während der ersten Woche", oder notfalls auch einen groben
qualitativen Charakter haben (,,während der Projektdurchführung").
Die Bewertung der Schadenshöhe ist abhängig von ihrer Schadensart: So werden
Sachschäden mit ihren Wiederbeschaffungswerten oder Reparaturkosten angesetzt,
Betriebsunterbrechungen hingegen mit Absatzeinbußen oder Schadensersatzforderungen
(vgl. Wolf, 2003: 57). Um die Risiken in ihrer Gesamtheit quantitativ zu erfassen und
untereinander vergleichbar zu machen, lässt sich das so genannte Risikoausmaß nach
folgender Formel berechnen (vgl. Aubert et al., 2000):
RE = P(NO) * L (NO)
Das Risikoausmaß (,,Risk Exposure / RE") ergibt sich demnach mathematisch aus dem
Produkt der Eintrittswahrscheinlichkeit (,,Probability / P") einer negativen Auswirkung
(,,Negative Outcome / NO") und dem Schaden (,,Loss / L"), der mit dieser negativen
Auswirkung verbunden ist. Um die so bewerteten Risiken zu visualisieren, kann die
Darstellung in einer Risikomatrix (auch Risikoprofil oder Riskmap genannt) verwendet
werden (vgl. Wolf, 2003: 58f). Tabelle 1 zeigt eine beispielhafte Risikomatrix; in diesem Fall
handelt es sich um eine qualitative Variante, aber es kann alternativ auch eine quantitative
Version mit Intervallangaben verwendet werden. Die roten Felder in der Matrix stehen für
kritische Risiken, die gelben für moderate Risiken und die grünen für tolerierbare Risiken.
Analyse und Bewertung der Risiken von IT-Offshoring-Projekten
14
Hoch
Mittel
R4
Niedrig
R1
R5
R3
Eintrittswahrschei
nlichkeit
Unwahrscheinlich
R2
Niedrig Mittel Hoch
Sehr
hoch
Ausmaß der Wirkung
Tabelle 1: Bewertung von Risiken anhand einer Risikomatrix (Mikus, 2001: 80)
Ein weiterer Bestandteil der quantitativen Risikoanalyse ist die Risikoaggregation, die aus
den Einzelrisiken eine Gesamtrisikosituation für das Unternehmen bzw. das Projekt
bestimmt. Hierfür können Verfahren wie etwa die Monte-Carlo-Simulation verwendet werden
(siehe unten). Neben den bereits genannten Punkten ermöglicht die quantitative
Risikoanalyse darüber hinaus die Bestimmung von Wahrscheinlichkeiten für die Erreichung
der Projektziele sowie eine Unterstützung bei der Kalkulation realistischer Zeit-, Kosten- oder
Inhaltsziele.
Für die identifizierten und bewerteten Risiken sind anschließend im Rahmen der
Risikohandhabung geeignete und situationsspezifische Risikobewältigungsmaßnahmen zu
ergreifen. Die Maßnahmenauswahl ist dabei sehr komplex, da sich sowohl Risiken als auch
Maßnahmen untereinander beeinflussen und somit ein ,,multidimensionales
Beziehungsgeflecht" entsteht, das nur schwer zu analysieren ist (Wolf, 2003: 59). Die
grundsätzlichen risikopolitischen Instrumente lassen sich nach Wallmüller (2004: 19f) in
sechs Kategorien einteilen: (1) Risikovermeidung, (2) Risikoverminderung, (3)
Risikostreuung, (4) Risikoverlagerung, (5) Risikoversicherung und (6) Risikoakzeptanz.
Abbildung 3 zeigt die verschiedenen Stufen und Klassifizierungsmöglichkeiten dieser
risikopolitischen Maßnahmen.
Analyse und Bewertung der Risiken von IT-Offshoring-Projekten
15
Sc
hade
ns
-
v
erh
üt
un
g
Sc
hade
n-
he
ra
bs
et
zu
ng
Ri
si
k
o
-
s
treuung
S
c
hade
n
-
über
wälzu
n
g
Vermindern
Vermeiden
Begrenzen
Versichern
Selbst tragen
1. Stufe
2. Stufe
3. Stufe
4. Stufe
5. Stufe
Ursachenbezogene Maßnahmen
Wirkungsbezogene Maßnahmen
Aktive Steuerung (Risiko-Controlling)
Passive Steuerung (Risikofinanzierung)
Abbildung 3: Formen der Risikohandhabung (Wolf, 2003: 60)
Die Maßnahmen zur Risikovermeidung (,,Risk Avoidance") umfassen in der Regel
strategische Entscheidungen, die meistens auch mit einer Vermeidung von Chancen
verbunden sind, beispielsweise ein Projekt nicht zu starten, den Projektumfang zu
verkleinern oder auf neue Technologien zu verzichten (Wallmüller, 2003: 143ff). Die
Risikoverminderung (,,Risk Mitigation") verringert die Eintrittswahrscheinlichkeit der Risiken
oder das Ausmaß des Schadens, etwa durch Erhöhung der Projektressourcen und
Optimierung der Projektstruktur. Die Risikobegrenzung umfasst sowohl die Risikostreuung
(im Sinne von Diversifizierung) als auch die Risikoüberwälzung, zum Beispiel durch
vertragliche Klauseln (Wolf, 2003: 61). Die restlichen Risiken können abschließend entweder
an eine Versicherung ausgelagert oder durch Risikoakzeptanz selber getragen werden. Die
Wahl der einzelnen risikopolitischen Instrumente hängt in großem Maß von
situationsspezifischen Faktoren ab. Abbildung 4 zeigt ein generisches
Entscheidungsframework für IT-Outsourcing-Projekte nach Aubert et al. (1999), welches als
Basis für eine weitere Maßnahmenauswahl verwendet werden kann.
Abbildung 4: Situationsabhängige Risikopolitik (Aubert et al., 1999: 4)
Analyse und Bewertung der Risiken von IT-Offshoring-Projekten
16
Strategie I verzichtet auf Maßnahmen zur Senkung der Eintrittswahrscheinlichkeit der
Risiken, da die Grenzkosten zur weiteren Verringerung der ohnehin schon niedrigen
Wahrscheinlichkeit nicht mehr ökonomisch sind. Vielmehr sind Maßnahmenpläne für die
wichtigsten Eventualitäten zu treffen, damit im Falle des Eintritts zumindest die
Schadenshöhe gesenkt werden kann. Strategie II funktioniert genau umgekehrt, d.h. die
Schadenshöhe wird nicht verringert, dafür aber über entsprechende Maßnahmen die
Eintrittswahrscheinlichkeit gesenkt. Bei besonders kritischen Risiken greift die gemischte
Strategie III, die alle verfügbaren und ökonomisch sinnvollen Maßnahmen integriert.
Unkritische Risiken hingegen werden in Strategie IV lediglich periodisch überwacht und neu
geprüft. Maßnahmen sind nur zu ergreifen, falls diese mit geringem Aufwand
implementierbar sind, zum Beispiel das Aufnehmen von speziellen Klauseln in den
Outsourcing-Vertrag.
Den letzten Schritt im Risikomanagementprozess stellt die Risikoüberwachung
(Risikocontrolling) dar. Dieser beinhaltet das Erfassen der aktuellen Risikosituation im
Unternehmen bzw. Projekt über Risikoindikatoren, sowie das Beobachten der
Maßnahmenerfolge durch eine permanente Berichterstattung (vgl. Wallmüller, 2004: 20).
Veränderungen im Risikoprofil führen zu einem erneuten Durchlauf des gesamten
Risikomanagementzyklus.
Neben den oben beschriebenen Phasen des Risikomanagements existiert eine Vielzahl
weiterer Prozessmodelle und Management-Frameworks (vgl. Wallmüller, 2004: 12ff, 119ff;
Gaulke, 2004: 34ff; Thaller, 2004: 113ff). Dazu zählen beispielsweise das ,,Continuous Risk
Management", das ,,Team Risk Management" und die ,,Software Risk Taxonomy" des
amerikanischen Software Engineering Instituts. Auch der IEEE Standard 1540 und die DIN
62198 beschreiben die Aktivitäten des Risikomanagements in einem spezifischen
Vorgangsrahmen. Darüber hinaus befassen sich Projektmanagement-Richtlinien
(beispielsweise von dem amerikanischen Project Management Institute, der U.K. Association
for Project Management oder der deutschen Gesellschaft für Projektmanagement) mit der
Thematik des Risikomanagements als Teilbereich des Projektmanagements. Einige
Prozessmodelle, etwa nach Boehm oder Kontio, beziehen sich explizit auf Risiken in
Softwareentwicklungsprojekten. Des Weiteren ist das Risikomanagement oftmals Bestandteil
von Qualitätsmanagementstandards, IT-Referenzmodellen oder Best-Practice-
Vorgehensweisen. Hier sind beispielsweise CobiT, CMMI, SPICE (ISO 15504), Bootstrap,
DriveSPI, SPMN oder das CCTA Risk Handbook zu nennen.
Analyse und Bewertung der Risiken von IT-Offshoring-Projekten
17
2.2.3 Methoden und Werkzeuge des Risikomanagements
Für die oben beschriebenen Prozesse des Risikomanagements existiert jeweils eine große
Anzahl an verfügbaren Methoden. In Tabelle 2 sind ausgewählte Techniken des
Risikomanagements mit ihrer vorrangigen und sekundären Verwendungsform nach Pritchard
(2001: 53) aufgelistet. Die Klassifizierung ist dabei nicht immer eindeutig, da der
Verwendungszweck einer Methode von ihrer konkreten Ausgestaltung oder Anwendung
abhängig ist.
Predominant (X) / Secondary
Use (O)
Technique
Risk Management
Planning
Risk Identification
Risk Qiualification
Risk Quantification
Risk Response
Planning
Risk Monitori
ng
and Control
Expert Interviews
O
x
O
O
O
-
Analogy Comparisons
-
x
O
O
O
-
Delphi Technique
O
x
O
O
O
-
Brainstorming -
x
-
-
O
-
Crawford Slip Method (CSM)
-
x
-
-
O
-
SWOT Analysis
O
x
-
-
O
-
Checklists
O - - - - x
Assumption Analysis
-
x
O
O
-
-
Network
Analysis
- O - x O -
Program Evaluation and Review Technique (PERT)
-
O
-
x
-
-
Monte
Carlo
Simulations
- - - x - -
Risk Response Matrix
O
-
-
-
x
-
Expected Monetary Value
-
-
-
x
-
-
Performance
Tracking
O - - - - x
Risk Reviews and Audits
O
-
-
-
-
x
Tabelle 2: Ausgewählte Techniken des Risikomanagements (nach Pritchard, 2001: 53)
Zur Identifizierung von Risiken werden im Wesentlichen Kreativitätstechniken
(Brainstorming-Methode), Befragungsmethoden (Delphi-Studie, Experteninterviews) und die
Analyse des Projektumfeldes (SWOT-/Annahmenanalyse) verwendet. Die Dekomposition
bzw. Risk-Breakdown-Structure (RBS) identifizieren Risiken über eine Zerlegung des
Projektstrukturplans in einzelne Aktivitäten (vgl. Thaller: 2004: 89; Hillson, 2004). Für eine
weitergehende Betrachtung können anschließend beispielsweise Fehlerbaumanalysen
Analyse und Bewertung der Risiken von IT-Offshoring-Projekten
18
(FTA), Ereignisbaumanalysen (ETA) oder Fehlermöglichkeits- und Einflussanalysen (FMEA)
angewandt werden. Weitere Methoden für die qualitative oder quantitative Bewertung sind
die Equity-Risk-Contour-Darstellung, das Value-at-Risk-Verfahren, Szenariotechniken sowie
Sensitivitäts- und ABC-Analysen. Die Risikoaggregation kann über Monte-Carlo-
Simulationen erfolgen. Für die Evaluierung und den Vergleich potentieller Maßnahmen
bieten sich Scoring-Modelle, Nutzwertanalysen (NWA), Entscheidungsbäume (DTA) oder
Risk Response Matrizen an (vgl. Dey, 2002). Die einzelnen Techniken sind größtenteils
unter Pritchard (2001: 57ff) hinsichtlich Durchführung, Dokumentenfluss, Zuverlässigkeit und
Genauigkeit detailliert beschrieben. Weitere Informationen zu den einzelnen Methoden
finden sich beispielsweise unter Erben und Romeike (2002), Gaulke (2004), Harrant und
Hemmrich (2004: 20ff), Mäckel und Kaiser (2005), Romeike (2004), Wallmüller (2004: 125ff)
sowie Volk (2003).
2.3 Offshore-Outsourcing
2.3.1 Historische Entwicklung und theoretischer Hintergrund
Der Begriff ,,Outsourcing" ist ein Kunstwort, welches Ende der 80er Jahren in den USA
geschaffen wurde, und sich aus den einzelnen Worten ,,outside", ,,resource" und ,,using"
zusammensetzt (Schwarz, 2005: 15). Sinngemäß bedeutet der Begriff demnach die
,,Nutzung externer Ressourcen", wobei jedoch ein wichtiges Kriterium die ,,vorherige
Selbsterstellung" fehlt. Das Konzept des Outsourings basiert dabei mitunter auf dem
Prinzip der Arbeitsteilung und -spezialisierung, dessen wirtschaftswissenschaftlicher
Grundstein bereits im neunzehnten Jahrhundert durch die Studien von Adam Smith in
seinem Werk ,,Wohlstand der Nationen" gelegt wurde (vgl. Schwarz, 2005: 16). Durch die
sich ändernden Managementprinzipien in der zweiten Hälfte des zwanzigsten Jahrhunderts
insbesondere durch das ,,Lean Management" nach japanischem Vorbild in den 80er Jahren
bildeten sich dezentrale, ,,quasi-föderalistische" Unternehmensstrukturen heraus, die eine
Fokussierung auf Kernkompetenzen hervorhoben; im Prinzip stellte sich seit diesem
Zeitraum die klassische ,,Make-or-Buy"-Frage (Horchler, 2004: 16). Im Zuge dieser
Konzentration auf die eigenen Kernkompetenzen reduzierten Firmen ihre Fertigungstiefe auf
die Komponenten mit der höchsten Wertschöpfung und überließen die restlichen Aufgaben
anderen Unternehmen, die sich wiederum auf genau jene Teilbereiche spezialisierten. Durch
die Fortschritte in der Informations- und Kommunikationstechnologie lies sich dieses Konzept
auch auf Dienstleistungen und immaterielle Güter übertragen.
Analyse und Bewertung der Risiken von IT-Offshoring-Projekten
19
Das Outsourcing von IT-Systemen begann sich vor allem ab 1963 nach dem Geschäft
zwischen dem ,,Blue Cross of Pennsylvania" und der Firma Electronic Data Systems (EDS)
zu entwickeln (vgl. Dibbern et al., 2004: 7ff). Das erste Mal in der Geschichte wurde die
gesamte Datenverarbeitung eines großen Unternehmens inklusive Personal komplett auf
einen externen Dienstleister übertragen. Weitestgehende Akzeptanz erlangte das
Outsourcing hingegen erst während der 70er und 80er Jahre, als renommierte Unternehmen
wie General Motors oder Continental Airlines ebenfalls Teilbereiche ihrer IT-Tätigkeiten
auslagerten. Einen weiteren bedeutenden Meilenstein in der Entwicklung des Outsourcings
stellte das Geschäft zwischen Kodak und der IBM-Tochter ISSC im Jahre 1989 dar, das ein
Volumen von einer Milliarde Dollar aufwies. Das Abkommen, an dem neben IBM auch DEC
und die Firma Businessland beteiligt waren, wurde dabei nicht als ,,Auslagerung von
Leistungen", sondern als ,,strategische Allianz" bezeichnet. In kurzer Zeit folgten darauf
weitere namhafte Firmen, zum Beispiel General Dynamics, Chevron, Dupont, JP Morgan, BP
und Lufthansa (vgl. Dibbern et al., 2004: 8). Mittlerweile ist eine gänzlich neue Branche
entstanden, die sämtliche Aktivitäten des Outsourcings von der Beratung bis zur
Durchführung umfasst. Offshore Outsourcing ist dabei eine Variante des Outsourcings, bei
der die Leistung zu einem Auftragnehmer in einem Niedriglohn-Land vergeben wird (siehe
unten).
Für die wissenschaftliche Analyse von Outsourcing-Projekten existieren mehrere
theoretische Konzepte (vgl. Dibbern et al., 2004: 17ff), unter anderem die Spieltheorie
(,,game theory"), die Innovationstheorie (,,innovation theory") oder die Ressourcentheorien
(,,resource theories"). Im Zusammenhang mit der Untersuchung von Risiken des IT-
Outsourcings sind jedoch speziell die Transaktionskosten- sowie Principal-Agent-Theorie
von Bedeutung (Aubert, Patry und Rivard, 1998: 3ff). Die Transaktionskostentheorie
untersucht, ob einzelne Leistungen (Transaktionen) jeweils am Markt oder über die
hierarchischen Strukturen des eigenen Unternehmens effizienter durchgeführt werden
können (vgl. Mayer und Söbbing, 2004: 54f). Die Transaktionskosten bezeichnen dabei die
,,beim Austausch von Gütern und Dienstleistungen entstehenden Kosten" (Schwarz, 2005:
17). So fallen beispielsweise im Zuge der Durchführung eines Outsourcing-Projektes durch
die Nutzung des Marktes Anbahnungs- und Kontrollkosten an, die bei einer internen
Leistungserbringung vermieden werden könnten. Die Effizienz des Marktes und der internen
hierarchischen Strukturen hängt dabei von den individuellen Eigenschaften der
Transaktionen ab, zum Beispiel wie viele entsprechende Supplier überhaupt verfügbar sind,
wie oft die Transaktion durchgeführt wird und welche Unsicherheiten bezüglich des
Verhaltens des Suppliers bestehen (Bahli und Rivard, 2003: 1f). Die
Analyse und Bewertung der Risiken von IT-Offshoring-Projekten
20
Transaktionskostentheorie basiert im Wesentlichen auf den Annahmen der begrenzten
Rationalität durch beschränkte kognitive Kapazitäten (,,bounded rationality"), der
Informationsasymmetrie und des opportunistischen Verhaltens (,,opportunistic behavior"). Die
ersten beiden Faktoren erschweren es dem Auftraggeber, bei komplexen oder
intransparenten Sachverhalten eine optimale Entscheidung zu treffen. Unter Opportunismus
ist hingegen zu verstehen, dass alle Parteien nicht nur ihre eigenen Interessen verfolgen und
bei Entscheidungen den eigenen Nutzen höher bewerten als den der anderen Beteiligten,
sondern dabei auch gezielt mit taktischer ,,List" vorgehen. Im Bereich des Outsourcings ist es
beispielsweise möglich, dass ein Supplier falsche Angaben bezüglich seiner Kompetenzen
macht, nur um den Zuschlag für das Projekt erteilt zu bekommen (vgl. Bahli und Rivard,
2003: 1). Die Principal-Agent-Theorie befasst sich mit dem Verhältnis zwischen
Auftraggeber (Prinzipal) und Auftragnehmer (Agent) in einer hierarchischen Struktur. Ebenso
wie die Transaktionskostentheorie unterstellt sie unter anderem ein opportunistisches
Verhalten, d.h. jeder der Vertragspartner agiert in seinem eigenen Interesse, wobei die
individuellen Ziele naturgemäß voneinander abweichen können. Der Agent hat dabei dem
Prinzipal gegenüber einen Wissensvorsprung (Informationsasymmetrie), den er zu seinen
Gunsten ausnutzen kann (,,moral hazard"). Der Prinzipal muss durch entsprechende
präventive Maßnahmen sicherstellen, dass der Agent trotz des oben erwähnten
Zielkonfliktes die ihm zugewiesene Aufgabe im Sinne des Auftraggebers erfüllt. Dies kann
entweder über Kontrollmechanismen, Anreizsysteme oder ähnliche Strategien erfolgen.
Beispielsweise ist es denkbar, dass der Auftragnehmer eines Outsourcing-Projektes
Terminverzögerungen durch externe Umstände begründet, für die er nicht haften muss (vgl.
Aubert, Patry und Rivard, 2003: 4). Sofern keine Vertrauensbasis vorhanden ist, kann der
Prinzipal nur durch aufwendige Kontrollen oder erfolgsabhängige Entlohnungssysteme
diesem Problem entgegensteuern.
2.3.2 Formen des Outsourcings
Da der Begriff des Outsourcings relativ weit gefasst ist, existieren eine Vielzahl
unterschiedlicher Definitionen und Formen (vgl. Schomann und Bloech, 2005: 222). Schwarz
(2005: 25ff) beispielsweise differenziert zwischen fünf generischen ,,Dimensionen" des
Outsourcings; Tabelle 3 stellt diese mit ihren möglichen Ausprägungen dar.
Analyse und Bewertung der Risiken von IT-Offshoring-Projekten
21
Dimension
Zeit
Lokation
Leistungsumfang
Unternehmens-
zugehörigkeit
Zahl der
Leistungsersteller
Insourcing Nearshoring
Business Process
Outsourcing (BPO)
Externes
Outsourcing
Single-Sourcing
Backsourcing Totales
Outsourcing
A
u
s
p
rä
g
u
ng
Outsourcing
Offshoring
Partielles Outsourcing
Internes
Outsourcing
Multi-Sourcing
Tabelle 3: Die fünf Dimensionen des Outsourcings (in Anlehnung an Schwarz, 2005: 26)
Die zeitlichen Aspekte sind für die Unterscheidung zwischen Out-, Back- und Insourcing
relevant. Während Outsourcing unter temporalen Gesichtspunkten die Nutzung externer
Ressourcen bei vorangehender Eigenerstellung bezeichnet, handelt es sich beim
Backsourcing um die Reintegration einer früher an Dritte ausgelagerten Leistungserstellung
in das eigene Unternehmen. Im Gegensatz dazu wird beim Insourcing eine Tätigkeit, die
bislang nicht Bestandteil des Leistungsspektrums war, neu in das Portfolio aufgenommen
(Schwarz, 2005: 32).
Beim Standort der Leistungserbringung ist eine Differenzierung zwischen Nearshoring und
Offshoring möglich. Nearshoring bezeichnet dabei ,,das Auslagern an Standorte in der Nähe
des auslagernden Unternehmens" (Schwarz, 2005: 33). Für Deutschland sind dies
insbesondere Osteuropa und teilweise auch Irland. Unter Offshoring (bzw. Global Sourcing)
hingegen ist zu verstehen, dass die Leistungen durch Unternehmen in Niedriglohnländern
erbracht werden. Beim Offshoring muss es sich nicht zwangsläufig auch um Outsourcing
handeln, sondern es kann auch das Gründen eigener Niederlassungen in den betreffenden
Ländern beinhalten. Offshoring ist oftmals durch die hohen Lohnunterschiede motiviert,
welche eine deutliche Kostenersparnis im Vergleich zum heimischen Arbeitsmarkt des
Auftraggebers ermöglichen (vgl. Schomann und Bloech, 2005: 224).
Der Leistungsumfang kann hinsichtlich partiellem Outsourcing, totalem Outsourcing und
Business Process Outsourcing (BPO) klassifiziert werden. Partielles Outsourcing umfasst
lediglich das Auslagern von einzelnen Aktivitäten (,,Tasks"), während bei totalem
Outsourcing komplette Funktionen, d.h. umfangreichere Dienstleistungen, die in der Regel
nicht stark mit anderen Unternehmensbereichen verknüpft sind, an einen externen
Auftragnehmer vergeben werden etwa der Fuhrpark oder der Reinigungsdienst. Unter
Business Process Outsourcing versteht man das Auslagern ganzer Prozesse oder
Analyse und Bewertung der Risiken von IT-Offshoring-Projekten
22
Unternehmensbereiche, beispielsweise der Buchhaltung. Das Prozessmanagement bzw.
die Prozessverantwortlichkeit sowie die notwendigen Unterstützungsprozesse werden dabei
in der Regel ebenfalls vom Auftragnehmer übernommen (vgl. Schwarz, 2005: 33).
Falls die Leistung über einen ,,konzerninternen Markt [...] innerhalb eines finanziell
abhängigen Verbundes" bezogen wird, bezeichnet man dies als internes Outsourcing
(Schomann und Bloech, 2005: 224). Vorraussetzung für diese Form ist jedoch auch ein
Marktmechanismus, über den die Koordination zur Leistungserbringung zwischen rechtlich
selbstständigen Geschäftseinheiten erfolgt. Externes Outsourcing andererseits beschreibt
die klassische Variante der Einbeziehung eines Unternehmens außerhalb des eigenen,
finanziell abhängigen Verbundes.
Beim Multi-Sourcing verfolgt der Auftraggeber das Prinzip der Spezialisierung, d.h. er
vergibt die einzelnen Aufgaben an die jeweils am besten geeigneten Auftragnehmer (vgl.
Schwarz, 2005: 33). Allerdings entstehen durch die höhere Zahl an Schnittstellen auch
zusätzliche Transaktionskosten, beispielsweise bei der Anbieterauswahl oder der
Überwachung der Supplier. Das Single-Sourcing bezeichnet die Verwendung eines
einzelnen Auftragnehmers. Den Vorteilen durch den anfänglichen geringeren Aufwand
stehen jedoch Nachteile in Bezug auf die Abhängigkeit von diesem Supplier gegenüber, falls
der Auftraggeber hohe beziehungsspezifische Investitionen getätigt hat.
IT-Outsourcing ist eine weitere spezielle Form des Outsourcings. In seiner einfachsten
Definition bedeutet IT-Outsourcing lediglich die ,,Übertragung von Verantwortung aus der
eigenen EDV- oder IT-Abteilung an einen externen Dienstleister" (Küchler, 2004: 54). Auf der
obersten Stufe lässt sich IT-Outsourcing zunächst bezüglich Hard- und Softwareausrichtung
differenzieren (vgl. Küchler, 2004: 57f), wobei teilweise auch das Auslagern von IT-
relevanten Geschäftsprozessen als dritte Dimension genannt wird. Zu ersterer zählt
beispielsweise die Systemarchitektur bzw. Infrastruktur (Server-Management, Hosting,
Desktop-Services, usw.). Im Bereich der Software existiert neben dem laufenden Betrieb der
Anwendungen (,,Application Management") und anderen Service-Leistungen insbesondere
die Entwicklung von Individualsoftware, welche im Fokus dieser Arbeit steht. Der
Auftragnehmer wird in diesen Fällen nicht als ,,Service-Provider", sondern als ,,Supplier"
bezeichnet (vgl. Herles, 2005: 2). Aufgrund der hohen Personalintensivität findet die
Leistungserbringung oftmals im Ausland, d.h. ,,Offshore", statt. Unter IT-Offshoring ist
demnach die Auslagerung von Aufgaben und Projekten im Bereich der
Informationstechnologie an ,,ausländische, vorwiegend räumlich entfernte, kostengünstige
Analyse und Bewertung der Risiken von IT-Offshoring-Projekten
23
Dienstleister" zu verstehen (Fischer und Schumacher, 2003). Laabs (2004: 119)
unterscheidet bei der Neuentwicklung und Wartung von Applikationen drei verschiedene
Formen von IT-Offshoring: Bei reinem Bodyleasing wird lediglich auf einzelne Programmierer
aus Niedriglohnländern zurückgegriffen, die jedoch vollständig vom Auftraggeber gesteuert
werden. Darüber hinaus können auch klar abgegrenzte Teilprojekte an einen Offshore-
Anbieter herausgegeben werden, wobei der Auftraggeber weiterhin die Gesamt-
Projektleitung zu verantworten hat. Lediglich durch die Vergabe von kompletten
Entwicklungs- oder Wartungsaufträgen an einen Offshore-Dienstleister oder einen Service-
Partner mit Offshore-Ressourcen übernimmt der Auftragnehmer die gesamte
Projektsteuerung.
Details
- Seiten
- Erscheinungsform
- Originalausgabe
- Jahr
- 2006
- ISBN (eBook)
- 9783836606479
- DOI
- 10.3239/9783836606479
- Dateigröße
- 1.1 MB
- Sprache
- Deutsch
- Institution / Hochschule
- Friedrich-Alexander-Universität Erlangen-Nürnberg – Wirtschaftswissenschaftliche Fakultät
- Erscheinungsdatum
- 2007 (November)
- Note
- 1,0
- Schlagworte
- informationstechnik offshoring risikomanagement it-outsourcing projektmanagement projektrisiko risikomodell controlling
