Compliance-Anforderungen als Outsourcing-Hemmnis
Die Aspekte der Compliance eines Unternehmens, soweit sie in den Entscheidungsprozess eines Outsourcing-Vorhabens einbezogen werden, scheinen zumindest aus Sicht potenzieller Outsourcing-Kunden in einem gewissen Spannungsverhältnis zu der Auslagerung von IT-Dienstleistungen zu stehen. In diesem Zusammenhang führen die Compliance-Anforderungen oft zu einer Entscheidung gegen eine solche Auslagerung. Dies ist eines der Ergebnisse einer jüngsten, gemeinschaftlichen Studie der deutschen Friedrich-Alexander-Universität Erlangen-Nürnberg sowie des Beratungshauses Accenture, das auch selbst als Outsourcing-Anbieter tätig ist.
Bessere Unternehmensbewertung
Wesentlicher Grund für dieses Spannungsverhältnis ist die Tatsache, dass die Verantwortung für die ordnungsgemäße und gesetzeskonforme Abwicklung der ausgelagerten Aufgaben und Prozesse bei dem ausgelagerten Unternehmen verbleibt. Nur bei 35 Prozent der befragten Auslagerungsinteressenten haben die rechtlichen Compliance-Anforderungen Outsourcing-Entscheidung positiv unterstützt. Gründe, die für eine IT-Auslagerung aus Gesichtspunkten der Compliance sprechen, werden nicht nur in der Leistungsverbesserung im Bereich der formalisierten Abläufe und der Risikobeherrschung gesehen. Auch kann, so führt die Studie aus, das Auslagern an einen professionellen Anbieter von Outsourcing-Leistungen einem Unternehmen zu einer besseren Unternehmensbewertung und somit zu geringeren Kreditzinsen verhelfen, wie auch aus einem Papier der Euro-
päischen Zentralbank zu entnehmen ist: "Die Hauptrisiken, die mit Outsourcing verbunden sind, sind Kontrolle, Risiko-Management und strategische Risiken. Als eine Konsequenz wäre Kundenverlust und eine Herabstufung des Ratings zu erwarten."
Prominentes Risiko
Es ist allerdings auch zu beobachten, dass das Thema Compliance im Rahmen von IT-Auslagerungsvorhaben von den Unternehmen wohl nicht angemessen berücksichtigt wird. In der Studie wird hierzu festgestellt, dass "Compliance, obwohl es eines der prominentesten operativen Risiken ist, häufig nur nachrangig behandelt wird, und entsprechende Anforderungen bereits in der Anbahnungs- beziehungsweise Übergabephase nicht ausreichend berücksichtigt werden". Und das Bewusstsein der Unternehmen hat sich in den letzten beiden Jahren nicht signifikant verbessert, wie eine Gartner-Studie zeigt. Ein Viertel der Befragten sind laut Gartner nicht in der Lage, die passende Sourcing-Strategie als Reaktion auf den Sarbanes-Oxley Act (SOX) zu benennen. Aber auch Deloitte Consulting hat sich die Situation bei 1000 deutschen Unternehmen angesehen. Lediglich ein Drittel der Unternehmen gaben an, die einschlägigen Service Level Agreements umfassend zu definieren und dabei neben den Verfügbarkeiten und Reaktionszeiten auch IT-Kontrollprozesse, mit denen sich die rechtlichen Compliance-Anforderungen abdecken lassen, zu berücksichtigen.
Die Tatsache, dass die Compliance-Verantwortung bei dem auslagernden Unternehmen verbleibt, ist in vielen einschlägigen Gesetzen ausdrücklich vorgesehen. Als das auf internationaler Ebene bekannteste Regelwerk verweist die Studie auf den Sarbanes-Oxley-Act der USA, und diesbezüglich insbesondere auf eine Verfügung des für die SOX-Umsetzung zuständigen Aufsichtsgremium PCAOB vom 9. März 2004, demnach sich Unternehmen „durch Auslagern nicht ihrer Verantwortung entziehen können“. Daraus ergibt sich konsequenterweise, so die Studie, die Forderung der auslagernden Unternehmen nach verbindlichen Nachweisen von ihren Dienstleistern, „dass diese über ein funktionierendes Kontrollsystem verfügen“.
[...]
September 2009 / Klaus Lackner
Den gesamten Artikel lesen Sie in der September-Ausgabe des pfm-Magazins.
( )
© Telekom-Presse
|
   |
