Prüfung outgesourcter Informatikleistungen Prüfprozessoptimierung im IT-Security Bereich

Transkript

1 Prüfung outgesourcter Informatikleistungen Prüfprozessoptimierung im IT-Security Bereich Diplomarbeit Institut für Rechnungswesen und Controlling der Universität Zürich Prof. Flemming Ruud, PhD Prof. Dr. Gerhard Schwabe Studienrichtung: Fach: Wirtschaftsinformatik Auditing Verfasser: Bimal Mathews Baselmattweg 147, 4123 Allschwil Abgabedatum:

2 Inhaltsverzeichnis I Danksagung Ich möchte mich an dieser Stelle bei allen Personen bedanken, die zum Gelingen dieser Arbeit beigetragen haben. Ein spezielles Dankeschön für die investierte Zeit und den sehr hilfreichen Informationen geht an die Interviewpartner Patrik Allenspach (Luzerner Kantonalbank), Mark Dambacher (PricewaterhouseCoopers), Frank Hammer (IBM Deutschland), Michel Huissoud (Eidgenössische Finanzkontrolle), Jürg Illi (Credit Suisse Group), Frank Mühlenbrock (IBM Deutschland) und Thomas Pfister (Unisys). Zusätzlich will ich mich bei Tom Schmidt (Ernst & Young) für die Hilfestellung beim SAS 70 Prüfkonzept bedanken. Nicht zuletzt bedanke ich mich bei Kathrin Bütikofer, Sarah Bütikofer, Philip Michel und Angelo Vergari für die Durchsicht meiner Arbeit und die tolle Hilfeleistung während den sechs Monaten.

3 Inhaltsverzeichnis II Abstract Beim Auslagern von Informatikleistungen wird die ganze IT oder Teile davon einem Service Anbieter übergeben. Die Verantwortung über die ausgelagerten Bereiche verbleiben aber beim Outsourcer und sind somit weiterhin Teil seiner Internal Control. Damit der Outsourcer sicher sein kann, dass die ausgelagerte IT weiterhin den eigenen Ansprüchen genügt, müssen direkte Prüfungen beim Service Anbieter durchgeführt werden. Direkte Prüfungen kosten jedoch personelle und zeitliche Ressourcen für den Service Anbieter wie auch für den Outsourcer. Aus diesem Grund entstand die SAS 70 Prüfung. Dabei wird die Internal Control des Service Anbieter durch eine externen Prüfgesellschaft beurteilt (SAS 70 Typ I) und auf deren Effektivität getestet (SAS 70 Typ II). Die Resultate dieser Prüfungen werden den einzelnen Outsourcern zur Verfügung gestellt. Der Sarbanes-Oxley Act anerkennt den SAS 70 Report als Bestätigung der Section 404. Im Rahmen dieser Arbeit wird ein Ansatz für einen SAS 70 Prüfprozess erarbeitet. Beispielhaft wird dabei die IT-Security als Prüffokus dienen.

4 Inhaltsverzeichnis III Inhaltsverzeichnis 1 Einleitung Problemstellung Zielsetzung Vorgehensweise und Aufbau Grundlagen des Outsourcing Definition Outsourcing Entwicklung und Gründe für Outsourcing Entwicklung des Outsourcing Gründe für Outsourcing Outsourcing-Dimensionen IT-Outsourcing Business Application Outsourcing Business Process Outsourcing Business Transformation Outsourcing Organisatorische Formen des IT-Outsourcing Rechtliche Aspekte des IT-Outsourcing Der Outsourcing-Vertrag Service Level Agreement Haftung im IT-Outsourcing Gefahren und Risiken des IT-Outsourcing Risiken aus der Outsourcer-Sicht Risiken aus der Service Anbieter Sicht Zusammenfassung Internal Control mit Fokus auf die IT-Security Definition Internal Control Verantwortlichkeiten für die Internal Control COSO Framework Chancen und Gefahren für die Internal Control durch den IT-Einsatz... 32

5 Inhaltsverzeichnis IV 3.2 Relevante Framework und Standards für den IT-Bereich COBIT ITIL Rolle der IT-Security in der Internal Control Definition IT-Security Konkrete Bedrohungen für die Unternehmen Sicherheitsaspekte im COBIT Framework Weitere Sicherheitsrichtlinien und Standards für eine korrekte IT- Security Kontrollverfahren Zusammenfassung Outsourcing und der Einfluss auf den Outsourcer und Service Anbieter Überblick der Zusammenarbeit im Outsourcing Änderung der Aufgaben für die Internen Revision Aufgaben vor dem Outsourcing-Verhältnis Aufgaben im Outsourcing-Verhältnis Änderung der Aufgaben für die externen Prüfgesellschaften Koordination des IT-Sicherheitskonzept für das Outsourcing- Vorhaben Beteiligte Personen Relevante Themen für das IT-Sicherheitskonzept Überprüfbarkeit der IT-Security im Outsourcing Zusammenfassung SAS SAS 70 Vorstellung und Gründe Typen Prüfgebiete und Schwierigkeiten eines SAS 70 Audits Prüfgebiete eines SAS 70 Audit Schwierigkeiten und Schwächen eines SAS 70 Audit Mehrwert durch einen SAS 70 Report Mehrwert für den Service Anbieter Mehrwert für den Outsourcer... 73

6 Inhaltsverzeichnis V 5.5 Sarbanas-Oxley und SAS Der Sarbanes-Oxley Act Zusammenhang Sarbanes-Oxley Act und SAS International vergleichbare Reports Prüfungsstandard 402 (Schweiz) Section 5900 (Kanada) FIT 1/94 und FRAG 21/94(UK) Australien Mögliche Alternativen zu SAS 70 im IT-Security Bereich Trust Services Unterschiede von SAS 70 zu Trust Services Unterschiede von SAS 70 zu ISO 9000 bzw. ISO Zusammenfassung SAS 70 Prüfprozessansatz mit Fokus auf die IT-Security Überblick Prüfprozess Überblick IT-Prüfung Prüfungsvorgehen zur Erfüllung der Sarbanes-Oxley Act Anforderungen Der SAS 70 IT-Security-Prüfprozess Vorbemerkungen Vorbereitung Planung Durchführung Abschlussarbeiten Schlussbemerkungen zum Prüfprozess Zusammenfassung Schlussbetrachtung Zusammenfassung Schlussfolgerungen Ausblick Literaturverzeichnis

7 Inhaltsverzeichnis VI 9 Anhang Experteninterviews Wolfgang Pfister, Senior Consultant Unisys Patrik Allenspach, Leiter IT-Revision Luzerner Kantonalbank Jürg Illi, Interne Revision, Credit Suisse Group Michel Huissoud, Vize-Direktor Eidgenössische Finanzkontrolle Frank Mühlenbrock, IT Architect, IBM Deutschland Frank Hammer, Manager Business Compliance & Risk Management pan IOT Mark Dambacher, Senior Manager, PricewaterhouseCoopers IT-Sicherheitsstandards

8 1. Einleitung VII Abbildungsverzeichnis Abbildung 1: Verschiedene Sichten in einer Outsourcing-Beziehungen...8 Abbildung 2: Kunden-Anbieter-Beziehungen beim Outsourcing (1)...17 Abbildung 3: Kunden-Anbieter-Beziehungen beim Outsourcing (2)...18 Abbildung 4: Risiken aus Outsourcer-Sicht...23 Abbildung 5: Die prozessabhängige und prozessunabhängige Internal Control...27 Abbildung 6: COSO Framework...30 Abbildung 7: COBIT Framework...35 Abbildung 8: ITIL Überblick...37 Abbildung 9: Verhältnis von Informationssicherheit und IT-Security...38 Abbildung 10: Bedrohungsarten für Unternehmen...40 Abbildung 11: IT-Prozesse im COBIT Framework mit Bezug auf Sicherheitsfragen...41 Abbildung 12: Managementgebiete und Massnahmen im ISO Abbildung 13: Entwicklung zum Common Criteria...45 Abbildung 14: Überblick über die Zusammenarbeit der verschienden Parteien im Outsourcing 50 Abbildung 15: Involvierte Parteien bei der IT-Sicherheitskonzepterstellung...57 Abbildung 16: Unterschiede SAS 70 Report Typ I und Typ II...68 Abbildung 17: Beispiele von Bereichen und Prozessen einer SAS 70 Prüfung...70 Abbildung 18: Unterschiede zwischen SAS 70 und Trust Services...84 Abbildung 19: Unterschiede SAS 70 zu ISO Abbildung 20: Die vier Phasen eines Prüfprozesses...89 Abbildung 21: Beziehung Generellen Kontrollen zu Applikationskontrollen...91 Abbildung 22: Verbuchung eines Warenverkaufs inkl. möglicher Risiken und Kontrollen...93 Abbildung 23: Konzeptüberblick SAS 70 Prüfprozess...96 Abbildung 24: Auswahl Interviewpartner für SAS 70 Prüfung Abbildung 25: Vorschlag für den Prozess zur Risikoidentifizierung Abbildung 26: Beschreibung der Kontrollen Abbildung 27: Beispielfrage der Logischen Sicherheit für Kunde ABC Abbildung 28: IT-Sicherheitsstandards...177

9 1. Einleitung VIII Abkürzungsverzeichnis AGS AICPA ASP AUS BPO BS BSI BTO CC CICA COBIT COCO CoP COSO CSA Auditing Guidance Statement American Institute of Certified Public Accountants Application Service Provider Auditing Standard Business Process Outsourcing British Standard Bundesamt für Sicherheit in der Informationstechnik Business Transformation Outsourcing Common Criteria Canadian Institute of Chartered Accountants Control Objectives for Information and Related Technology Criteria of Control Board Code of Practice The Committee of Sponsoring Organizations of the Treadway Commission Control Self Assessment CTCPEC Canadian Trusted Computer Product Evaluation Criteria DS DSG EBK FC FIT GzA IC ICAEW IFAC IIA ISA Delivery and Support Datenschutzgesetz Eidgenössische Bankenkommission Federal Criteria Faculty of Information Technology Grundsatz zur Abschlussprüfung Internal Control Institute of Chartered Accountants in England and Wales International Federation of Accountants The Institute of Internal Auditors International Standards on Auditing

10 1. Einleitung IX ISACA ISK ISMS ISO IT Information Systems Audit and Control Organization Interne Steuerung und Kontrolle Informationssicherheits-Managementsystem International Organization for Standardization Informationstechnologie IT-GSHB IT-Grundschutzhandbuch ITIL ITSEC KGI KPI OGC OR PCAOB PS RS SAP SAS SEC SLA SOX SRA VPN IT Infrastructure Library Information Technology Security Evaluation Criteria Key Goal Index Key Performance Index Office of Government Commerce Obligationenrecht Public Company Accounting Oversight Board Prüfungsstandard Rundschreiben Statement on Auditing Procedures Statement on Auditing Standard Securities and Exchange Commission Service Level Agreement Sarbanes-Oxley Act Self Risk Assessment Virtual Private Network

11 1. Einleitung 1 1 Einleitung 1.1 Problemstellung Das Auslagern von internen Informatikleistungen (Outsourcing) an Service Anbieter ist eine Bestrebung, die seit Jahren besteht und weiterhin sehr aktuell ist. Mit der Übergabe von Informatikleistungen gehen auch die Risiken an den betreffenden Service Anbieter über. Es stellt sich nun die Frage, ob mit der Übergabe auch die Probleme abgegeben werden können. Die Diskussion dieser Aussage ist unter anderem Teil dieser Arbeit. Dabei kommt insbesondere der Internen Revision des Outsourcer eine wichtige Rolle zu. Inwiefern wird die Interne Revision als Bestandteil der Internal Control durch das Auslagern der Leistungen entlastet bzw. belastet? Kann die Interne Revision auf Outsourcing-Entscheide Einfluss nehmen? Darüber hinaus wird nicht nur der Internen Revision des Outsourcer bei einem Outsourcing eine besondere Stellung zugewiesen, auch die externe Prüfgesellschaft des Outsourcer muss bei ihrer jährlichen Attestierung abklären, inwiefern die ausgelagerten Komponenten für die Abschlussprüfung relevant sind. Kommt diese zum Schluss, dass eine Wesentlichkeit besteht, so müssen Vorkehrungen getroffen werden. Die Handlungsmöglichkeiten werden in der folgenden Arbeit besprochen. Auf Service Anbieterseite bestehen ebenfalls weitgehende Problemfelder. Der Service Anbieter muss sicherstellen können, dass Kundendaten persistent und vor Eindringlingen (interne und externe Personen) geschützt sind. Um diese Sicherheit zu gewährleisten, müssen die Systeme, die Infrastruktur und die personelle Organisation des Service Anbieters von einer externen Instanz geprüft werden. Es existieren verschiedene Standards und Zertifikate, die eine solche Sicherheit gewährleisten können. Neben den verschiedenen Zertifizierungsmöglichkeiten nimmt der SAS 70 Report immer mehr an Bedeutung zu. Dieser Standard wurde vom AICPA im Jahre 1992 mit dem Ziel veröffentlicht, die Internal Control und dabei insbesondere die Interne Steuerungs- und Kontrollprozesse der Service Anbieter offenzulegen und zusätzlich eine Aussage über deren Qualität vorzunehmen. Eine SAS 70 Prüfung beinhaltet dabei sehr viele Einsatzbereiche. Ein Bereich, der Bestandteil einer SAS 70 Prüfung sein kann, ist die IT-Security. Dabei steht die Diskussion im Vordergrund, wie der Service Anbieter mittels Infrastruktur, Zugriffskontrollen und weiteren Sicherheitsrichtlinien gewährleisten kann, dass die Kundendaten vor Angriffen oder vor

12 1. Einleitung 2 Fremdzugriffen geschützt sind. Es müssen entsprechende Kontrollen und Vorkehrungen vorhanden sein, die mittels SAS 70 auf ihre Effektivität hin geprüft werden. Der Sarbanas-Oxley Act ist ein Gesetz, welches im Jahre 2002 in den USA erlassen wurde, mit dem Ziel die Investoren vor falscher finanzieller Berichterstattung des Unternehmen zu schützen. Dieses Gesetz fordert und fördert die stärkere Sensibilisierung auf die Internal Control, was auch dem SAS 70 verhilft, eine immer bedeutendere Rolle zu spielen. In den USA bereits üblich bzw. Pflicht, ist SAS 70 in Europa und insbesondere in der Schweiz noch nicht verbreitet. SAS 70 gewinnt aber unter den Service Anbietern immer mehr an Popularität, denn es kann im harten Markt ein entscheidendes Auswahlkriterium für den potentiellen Outsourcer sein. Da die SAS 70 Prüfung keine Checklistenprüfung darstellt und dementsprechend kein standardisiertes Prüfverfahren existiert, sind Schwierigkeiten bei der Prüfung zu erwarten. Ein Vorschlag für ein Prüfverfahren wird im Verlaufe dieser Arbeit erarbeitet. 1.2 Zielsetzung Durch das Outsourcing ergeben sich Veränderungen bezüglich der Aufgaben der Externen und Internen Revision. Die vorliegende Arbeit zeigt, inwiefern sich die Arbeit der Revisoren durch das Outsourcing ändert. Eine Möglichkeit die Arbeit diesbezüglich zu vereinfachen, bietet der SAS 70 Report. Da dieser Report in der Schweiz bis jetzt noch kaum angewendet wird, hat diese Arbeit zum Ziel, SAS 70 und den daraus entstehenden Nutzen für die Parteien tiefgründig vorzustellen. In den weiteren Ausführungen wird ersichtlich, dass SAS 70 keine Vorschriften bezüglich des Prüfumfangs macht. Deshalb wird im letzten Teil der Arbeit ein Konzept für eine SAS 70 Prüfung im IT-Security Bereich erarbeitet, mit dem Ziel, dem Leser eine mögliche Vorgehensweise für eine SAS 70 Prüfung näher zu bringen. Durch diesen erarbeiteten Prüfprozess kann der Unterschied zwischen einer gewöhnlichen Prüfung und einer SAS 70 Prüfung hervorgehoben werden. 1.3 Vorgehensweise und Aufbau Einleitend werden die theoretischen Grundlagen betreffend den Themen Outsourcing und Internal Control gegeben. Nachdem die Grundlagen der Internal Control beschrieben werden, wird der Fokus vermehrt auf die IT und dabei insbesondere auf die IT-Security gelegt. Durch die beiden Grundlagenkapitel kann mit dem vierten Kapitel die Verknüpfung der beiden

13 1. Einleitung 3 vorangehenden Kapitel stattfinden, die mit Expertenaussagen ergänzt werden. Dabei rückt wiederum die IT-Security ins Zentrum. Nachdem ein theoretischer Einschub mit dem Kapitel über SAS 70 gemacht wird, kommt im letzten Teil der Arbeit der zweite praktische Teil zum Zuge. Mittels den Erkenntnissen der erarbeiteten Theorie und den aus den Experteninterviews gewonnenen Informationen, wird ein SAS 70 Prüfprozess mit speziellem Fokus auf die IT- Security erarbeitet.

14 2. Grundlagen des Outsourcing 4 2 Grundlagen des Outsourcing Das Auslagern von Aufgaben an Dritte ist eine Bestrebung, die seit Jahren besteht. Angetrieben durch die geplatzte IT 1 -Blase in den 90er Jahren und dem daraus resultierenden Leistungsdruck, stellten sich Unternehmen zunehmend die Frage nach dem Nutzen der bis anhin getätigten Investitionen im IT-Bereich und im gleichen Atemzug nach der Leistungsfähigkeit ihrer bestehenden IT-Infrastruktur. Ziel dieses Kapitels ist, die Thematik des Outsourcing näher zu bringen. Ausgehend von der Definition werden die Gründe, die verschiedenen Varianten und organisatorische Formen aufgezeigt. Im letzten Teil werden die rechtlichen Aspekte eines Outsourcing besprochen und auf die Risiken hingewiesen. 2.1 Definition Outsourcing Der Begriff Outsourcing stammt aus den Wörtern Outside und Resourcing, die Bezeichnung für Auslagerung und Ausgliederung. 2 Outsourcing beschreibt die Abspaltung von Unternehmensaufgaben und strukturen an Drittunternehmen, sogenannten Service Anbietern 3. Diese Service Anbieter haben sich darauf spezialisiert, Bereiche bzw. Services anzubieten, die nicht zu den Kernkompetenzen des Outsourcer 4 gehören. Das Outsourcing unterscheidet sich von der blossen Auftragsvergabe dadurch, dass es sich meist um Unternehmenstätigkeiten handelt, die vorher selbst erbracht wurden. Eine Käufer-Verkäufer Beziehung, wie sie bei einer Auftragsvergabe typisch ist, existiert im Outsourcing nicht. Vielmehr beschreibt das Outsourcing eine gemeinsame Partnerschaft, die je nach Komplexität bis zu zehn oder fünfzehn Jahre andauern kann. 5 Die Definition für Outsourcing existiert nicht. Da es unterschiedliche Varianten von Outsourcing gibt, ergeben sich unterschiedliche Arten von Definitionen. 6 Alle Definitionen 1 Information Technology. 2 Vgl. Heinrich (2002), S Service Anbieter nennt man auch Insourcer, Dienstleistungsanbieter oder Outsourcing Provider. In dieser Arbeit wird konsequent die Bezeichnung Service Anbieter verwendet. 4 Als Outsourcer wird in dieser Arbeit als das Unternehmen bezeichnet, welches Bereiche zum Service Anbieter auslagert und somit als Leistungsempfänger fungiert. 5 Vgl. Abschnitt Der Outsourcing-Vertrag. 6 Vgl. Abschnitt 2.3 Outsourcing-Dimensionen.

15 2. Grundlagen des Outsourcing 5 zielen aber darauf hin, dass durch die Aufspaltung der Wertschöpfungskette Aufgaben an Service Anbieter abgegeben werden, um die eigene Kernkompetenzfokussierung anzustreben. Im Rahmen dieser Arbeit wird der Fokus im speziellen auf das IT-Outsourcing, eine Variante des Outsourcing, gelegt. Mit IT-Outsourcing wird der längerfristige externe Bezug einer wesentlichen Leistung oder Funktion im Aufbau oder im Betrieb der IT-Infrastruktur verstanden. 7 Durch die teilweise oder ganze Auslagerung ihrer IT beansprucht der Outsourcer Dienstleistungen vom Service Anbieter, damit die Geschäftstätigkeit gewährleistet werden kann. Darunter fallen z.b. Dienstleistungen wie: Systementwicklung, Betreuung von Softwareapplikationen oder Management der IT-Infrastruktur. Im Abschnitt wird die Thematik eingehend vorgestellt. 2.2 Entwicklung und Gründe für Outsourcing Ziel dieses Abschnittes ist es, den historischen Hintergrund und die rasante Entwicklung des Outsourcing zu erläutern. Die Entwicklung wurde durch verschiedene externe Gegebenheiten, wie z.b. die bis anhin andauernden wirtschaftlich schwierigen Zeiten und die daraus resultierenden Sparmassnahmen für die Unternehmen beeinflusst. Im Abschnitt wird die Entwicklung des Outsourcing von den Anfängen bis zum jetzigen Stand erläutert. Wieso sich Outsourcing so grosser Beliebtheit erfreut, wird in Abschnitt aus den verschiedenen Perspektiven der Outsourcing-Teilnehmer erläutert Entwicklung des Outsourcing Outsourcing kann als Weiterführung der Rationalisierungsbestrebungen der Unternehmen betrachtet werden. Angeführt durch die Fliessbandarbeit Anfang des letzten Jahrhunderts und dem Mitte der 80er Jahre aufkommenden Konzepts der Lean Production 8, schreitet Outsourcing als neue Möglichkeit der Wertschöpfungsketteoptimierung in den Vordergrund. Dabei kann Outsourcing als Weiterführung der Lean-Philosophie betrachtet werden. Beim Lean 7 Vgl. Billeter (1995), S Lean Production heisst zu Deutsch: schlanke Produktion. Die japanische Automobilindustrie prägte den Begriff der Lean Production. Just-in-time-Herstellung wird oftmals als Synonym für Lean Production verwendet.

16 2. Grundlagen des Outsourcing 6 Management 9 geht es darum, das eigene Unternehmen schlanker zu gestalten, um so die Effizienz zu erhöhen. Durch organisatorische Massnahmen wird jede Form von Überkapazitäten abgebaut. Die Qualität der Produkte und Prozesse werden verbessert und die Abläufe werden vereinfacht. 10 Viele westliche Unternehmen waren aus wirtschaftlichen Gründen dazu gezwungen, die Prinzipien der schlanken Produktion zu übernehmen und in sämtlichen Unternehmensbereichen anzuwenden. 11 Outsourcing stellt dabei eine Möglichkeit dar die Organisation schlanker zu gestalten und die Kernkompetenzfokussierung anstreben. Im IT-Bereich fanden bereits in den 60er Jahren des 20. Jahrhunderts erste Bestrebungen statt, Teile der Datenverarbeitung auszulagern. Als Meilenstein des IT-Outsourcing wird das Kodak Outsourcing-Geschäft 12 aus dem Jahre 1989 genannt. Es war das erste bekannte und erfolgreiche Outsourcing-Vorhaben eines grossen Unternehmens. Dieses Geschäft löste einen regelrechten Outsourcing Boom aus. In den letzten Jahren hat die Relevanz des IT-Outsourcing etwas abgenommen. Das Ziel der Senkung kurzfristiger operativer Kosten wird immer mehr von Erschliessung strategischer Potentiale im Rahmen von langfristigen Partnerschaften abgelöst. In diesem Kontext sind neue Outsourcing-Formen wie das Business Process Outsourcing entstanden. Die Entwicklung des Outsourcing ist damit nicht abgeschlossen. Als dritte Welle der Outsourcing-Entwicklung rückt das Business Transformation Outsourcing immer mehr in den Vordergrund. Dabei wird die Partnerschaft mit dem Service Anbieter gewählt, damit die Neugestaltung der Prozesse für den Outsourcer einen Mehrwert generiert. 13 Trotz Outsourcing bleibt der Kosteneinsparungsdruck für die Unternehmen weiterhin bestehen. Aus diesem Grund werden Dienstleistungen vermehrt ins Ausland verlagert, in sogenannte Billiglohnländer wie beispielsweise Indien. In diesem Zusammenhang spricht man von Offshoring. Beim Offshoring werden die physisch vorhandenen Arbeitsplätze und die Tätigkeiten ins Ausland transferiert. Durch die geographische Ferne wurde der Koordinationsaufwand für die Unternehmen zu einer starken Belastung. Deswegen kam Ende 9 Lean Management ist aus dem Begriff Lean Production hevorgegangen und hat im Grunde die gleiche Bedeutung, mit dem Unterschied, dass Lean Management einen breiteren Anwendungsbereich hat, z.b. in den Bereichen Handel, Dienstleistung und Industrie. 10 Vgl. Hässig (2000), S Vgl. Hässig (2000), S Die Zusammenarbeit zwischen Kodak und IBM hatte ein Volumen von 250 Millionen US Dollar über zehn Jahre. 13 Business Process Outsourcing und Business Transformation Outsourcing wird eingehend in den Abschnitten bzw vorgestellt und diskutiert.

17 2. Grundlagen des Outsourcing 7 der 90er Jahre die Bestrebung auf, die Tätigkeiten und Arbeitsplätze nicht ins entfernte Ausland auszulagern, sondern es wurde die Nähe zum eigenen Unternehmen gesucht. So wurden europäische Billiglohnländer wie Polen, Tschechien oder Ungarn immer beliebter. Diese Möglichkeit wird als Nearshoring bezeichnet Gründe für Outsourcing Das Bestreben, ein Outsourcing-Geschäft zu vollziehen, hat vielseitige Gründe. Grundlagen für ein Outsourcing sind nicht nur unternehmensinterne Bedingungen, sondern auch Änderungen in der Umwelt. Bei der Outsourcing-Diskussion geht es weitgehend um folgende Frage: Welche Leistungen erbringen für das Unternehmen einen wesentlichen Beitrag zur Wertschöpfung und welche kostenintensive Leistungsbereiche leisten wenig bzw. kaum was bei? Die kostenintensiven Leistungen mit einem geringen Beitrag zur Wertschöpfung werden nach Möglichkeit an Service Anbieter ausgelagert. Kostenüberlegungen sind nicht die einzigen Treiber der make-or-buy -Entscheidung. Strategische Gründe sprechen auch für das Auslagern von bestimmten Aufgaben. Die strategische Bedeutung der IT innerhalb des Unternehmens ist ein entscheidender Faktor für die Outsourcing-Entscheidung. Die IT degeneriert immer mehr zu Commodity, d.h. sie wird immer mehr als Massenware angesehen. Die IT-Infrastruktur bleibt zwar eine wichtige Einflussgrösse für den Wettbewerb, jedoch machen sie die allgemeine Verfügbarkeit und die kostant sinkenden Preise auf der Unternehmensebene zunehmend ungeeignet, um sich von Wettbewerbern zu unterscheiden. Mit dem Outsourcing von Bereichen, die nicht zum Kerngeschäft gehören, resultiert eine schlankere Organisation, die an Schlagkraft gewinnt, wovon die Anteilseigner auch profitieren. 14 In den weiteren Ausführungen werden verschiedene Gründe und Treiber einer Outsourcing- Entscheidung erläutert. Dies geschieht unter der Berücksichtigung der verschiedenen Perspektiven: Outsourcer-, Markt- und Service Anbietersicht. 14 Vgl. Deutsche Bank Research (2004), S. 4.

18 2. Grundlagen des Outsourcing 8 Outsourcer Markt Service Anbieter Kostendruck (Outsourcer) Technologie- Änderungen Outsourcing Beziehung Revenue-Zwang (Service Anbieter) Regulatorische Änderungen (Outsourcer) Änderung der Marktbedingungen Abbildung 1: Verschiedene Sichten in einer Outsourcing-Beziehungen Die folgenden Ausführungen zeigen, welche Gründe hinter den in Abbildung 1 dargestellten verschiedenen Sichten stecken und wie die Sichten bzw. deren Interessen miteinander in Beziehung stehen. a) Outsourcer Sicht Das Management des Outsourcer besitzt zwei Hauptbeweggründe, um sich über Outsourcing Gedanken zu machen: Kosten und Qualität. 15 Können die jetzigen Services billiger bereitgestellt werden, ohne dass die Qualität leiden muss? Insbesondere Kosten sind dabei oftmals Beweggründe einer Outsourcing-Entscheidung. 16 Doch lässt sich das Outsourcing-Vorhaben nicht nur auf Kostenüberlegungen reduzieren. Vielmehr sind Überlegungen in finanzieller und auch personeller Hinsicht zu berücksichten. Die einzelnen Komponenten werden im Folgenden erläutert: 15 Vgl. Applegate /Austin / McFarlan (2003), S Vgl. Anhang Interview Allenspach.

19 2. Grundlagen des Outsourcing 9 Kosten Der Outsourcer wird durch den wirtschaftlichen Druck dazu gezwungen seine Kosten zu senken. Das Outsourcing ermöglicht Kostentransparenz und durch das Ausschöpfen von Grössen- und Breitenvorteilen des Service Anbieters können die Kosten reduziert werden. 17 Die bis anhin variablen Kosten werden in Fixkosten umgewandelt, was die Kosten für das Management besser planbar macht. Qualität Durch den Zugang zu neuen Technologien kann gewährleistet werden, dass spezielles Knowhow sichergestellt wird und die neuesten Technologien verwendet werden können. Diese Möglichkeiten erhöhen die Qualität für das eigene Unternehmen und ermöglichen, dass durch die laufend erneuerte Technologie die Geschwindigkeit hinsichtlich der eingesetzten IT- Infrastruktur und IT-Diensleistungen erhöht wird. Personal Eine grosse Schwierigkeit des Unternehmens ist, Mitarbeiter zu finden, die genügend Know-how im IT-Bereich mitbringen. Diese besitzen sehr oft ein spezifisches Fachwissen der IT. Diese Tatsache ermöglicht, dass eine Abhängigkeitsbeziehung zwischen ihnen und dem Unternehmen zu Stande kommt. Durch das Outsourcing kann gewährleistet werden, dass das Unternehmen sich nicht darauf konzentrieren muss, Fachpersonen zu rekrutieren, und dass eine Abhängigkeit von Personen mit Spezial-Know-how verringert wird. Durch den Übergang der IT-Fachpersonen an die Service Anbieter kann der Personalkostenblock, der ein wesentlicher Bestandteil der Kosten eines Unternehmens ausmacht, gedrückt bzw. eliminiert werden. Finanzen Ein Outsourcing hat zur Folge, dass die hohen Investitionen, die für eine Wartung bzw. neu einzurichtende IT-Infrastruktur nötig wären, nicht mehr anfallen. Durch diese Reduktion des gebundenen Kapitals kann die Zahlungsfähigkeit des Unternehmens verbessert werden. Dies kann einerseits durch den allfälligen Verkauf der IT-Infrastruktur an den Service Anbieter 17 Vgl. Billeter (1995), S.41.

20 2. Grundlagen des Outsourcing 10 begünstigt werden, und andererseits kann ein positiver Einfluss auf die Jahresrechnung erzielt werden. 18 b) Service Anbieter Sicht Wie alle Unternehmen stehen auch die Service Anbieter dem Zwang gegenüber, Erlöse zu generieren. Ein Auftrag von einem Kunden zu erhalten, heisst nicht nur, dass mehr Ertrag für den Service Anbieter generiert wird, vielmehr sollte auch die daraus entstehende Reputation berücksichtigt werden. Wird ein sogenannter Mega Deal erreicht, so wird dieser nachhaltig bekannt bleiben. Dies führt dazu, dass die Reputation bei einer Outsourcing-Entscheidung ein zentraler Wettbewerbsfaktor sein kann. Durch die langfristigen Outsourcing-Verträge, bei der die Mindestleistungen im Vertrag fixiert werden, sind anfallende Kosten und der minimal erreichbare Umsatz über Jahre hinweg besser planbar. Im Vergleich zum Projektgeschäft ist ein Outsourcing-Vertrag wegen der beschriebenen Berechenbarkeit lukrativer. 19 Ein weiterer Grund der durch die Experten genannt wurde, ist die Möglichkeit eigenen Ressourcen einzusparen, da durch das Outsourcing die Prozesse vereinheitlicht und auf mehrere Kunden angewendet werden können. 20 c) Markt Sicht 21 Der technologische Fortschritt im IT-Bereich hatte einen radikalen Wandel in den Wirtschaftsstrukturen zur Konsequenz. Das Wachsen der IT-Branche mit der Möglichkeit, Informationen ohne Zeitverlust einfach und wirtschaftlich auszutauschen, hat die Tendenz zur Globalisierung der Märkte vorangetrieben. Der Industriesektor unterzog sich dem Wandel von einem nationalen oder allenfalls kontinentalen in einen globalen Wettbewerb. Durch diesen rasanten Wandel im Markt entstehen für die am globalen Markt teilnehmenden Firmen, zusätzlichen Druck, der zwangsläufig auch Konsequenzen in den Leistungs- und Organisationsstrukturen bewirkt. Die Wettbewerbssituation wird aufgrund der zunehmenden Marktransparenz intensiviert. Existierenden und neuen Marktteilnehmern fällt es immer schwerer, dem Kunden einen 18 Vgl. Billeter (1995), S Vgl. Anhang Interview Pfister. 20 Vgl. Anhang Interview Mühlenbrock / Hammer. 21 Vgl. Billeter (1995), S. 16.