Handbuch IT-Outsourcing. Joachim Schrey
Notfall in der Erbringung der IT-Services (teileweise wird auch der Begriff K-Fall/Katastrophen-Fall verwendet) liegt vor, wenn absehbar wird, dass eine Störung zu einer existenzbedrohenden Betriebsunterbrechung geschäftskritischer IT-Systeme und IT-Prozesse führt. Es wird angenommen, dass ein derartiger Notfall durch den Ausfall des (Produktions-) Rechenzentrums eintreten kann. Ziel ist es – unabhängig davon, was den Ausfall des (Produktions-) Rechenzentrums ausgelöst hat – den Notbetrieb der IT Services in einem Ausweich-Rechenzentrum zur Verfügung zu stellen, solang bis der Wiederanlauf des (Produktions-) Rechenzentrums erfolgt ist.
312
Nach dem ITIL2011 Prozess IT Service Continuity Management, das sich am „Sicheren IT-Betrieb“, der ISO/IEC 27031 oder dem IT-Grundschutz-Standard 100-4 ausrichtet, werden hierzu konkrete Regelungen im Vertrag vereinbart. Dabei kann die Kritikalität der IT-Anwendungen anhand der möglichen Auswirkungen eines Ausfalls in folgende Stufen klassifiziert werden:
– | A (existenzbedrohend), |
– | B (wesentlich) und |
– | C (tolerierbar). |
313
Für Anwendungen der Kritikalität A und B sollte der Provider eine entsprechende Notfallplanung haben. Die Notfallplanung sollte so ausgestaltet sein, dass durch diese sachkundige Dritte in die Lage versetzt werden, die jeweiligen Anwendungen im Ausweich-Rechenzentrum anzufahren und den Notbetrieb einschließlich der Schnittstellen, Batchverarbeitungen und Infrastrukturkomponenten zu gewährleisten.
314
Die Notfallplanung muss so ausgestaltet sein, dass die Anwendung mindestens innerhalb definierter Service Levels im Notbetrieb wieder zur Verfügung steht. Die Notfallplanung und die Datensicherungsverfahren müssen so ausgestaltet sein, dass die Anwendungen in einem Notfall maximal einen Datenverlust in einem kleineren Umfang erleiden.
315
Die Notfallplanung ist durch den Provider zu dokumentieren und bei Bedarf zu aktualisieren. Mindestens halbjährlich ist durch den Provider zu prüfen, ob eine Aktualisierung der Notfallplanung erforderlich ist. Diese Prüfung, wie auch Aktualisierungen, sind in den jeweiligen Dokumenten zu vermerken.
316
Die aktuelle Dokumentation der Notfallplanung ist so aufzubewahren, dass diese im Notfall für alle Mitarbeiter des Providers und des Kunden, die diese benötigen, um dem Notfall zu begegnen, zugänglich ist. Ansonsten ist die Dokumentation der Notfallplanung vertraulich zu behandeln.
317
Der Kunde sollte das Recht haben, einmal jährlich pro Anwendung die Notfallplanung in einem Praxistest (Notfall-Test, K-Fall-Test, Disaster-Recovery-Test) zu überprüfen. Dabei sollte der Kunde (oder die IT-Revision) festlegen, welche Anwendungen zu welchem Zeitpunkt, in welcher Zusammenstellung und in welcher Tiefe getestet werden sollen. Dazu muss natürlich der Provider eine detaillierte Dokumentation einschließlich erkannter Schwächen und Verbesserungsmöglichkeiten zur Verfügung stellen.
318
Beim BPO wird ein strategischer Wert durch die genaue Analyse eines Prozesses und einer gezielten Änderung der Art und Weise, wie dieser Prozess ausgeführt wird, erreicht. Es ist also mehr als nur ein Wechsel der Personen, die den Prozess ausführen. Der Dienstleister übernimmt bei BPO nicht nur die Verantwortung für die Durchführung des Prozesses, sondern er nimmt auch ein Business Process und IT Reengineering (inkl. Standardisierung und Optimierung) desselben vor. Immer häufiger werden dazu Provider engagiert, weil wichtige Geschäftsabläufe von IT-Prozessen und der entsprechenden IT-Infrastruktur getragen werden. Dies bedeutet vor allem auch, dass die adäquateste IT-Infrastruktur und IT-Prozesse zur Unterstützung und Verbesserung des Prozesses verwendet werden.[299] Im Gegensatz zum konventionellen (IT) Outsourcing ist der BPO-Anbieter somit in der technischen Umsetzung frei. Der Kunde bezieht das Prozessergebnis, ohne in den Verantwortungsbereich oder die Infrastruktur der Datenverarbeitung einbezogen zu sein,[300] sofern dies nicht für den Erfolg des BPO notwendig ist. So empfiehlt sich z.B. beim HR-Outsourcing, sich nicht ganz auf das Prozessergebnis allein zu verlassen. Der BPO-Kunde sollte hierbei ein Mitbestimmungsrecht haben, in welchen Datenstandard (z.B. SAP HR) seine Personenstammdaten gespeichert werden, damit er die Möglichkeit besitzt, ohne größere Aufwände den BPO-Provider zu wechseln. Dies ist natürlich nicht möglich, wenn der BPO Provider die Datenstammsätze des BPO-Kunden auf einem nicht kompatiblen Exoten-System pflegt.
Abb. 18:
Task-Layer-Modell beim BPO
319
Beim Business Process Outsourcing ist neben dem Best-in-Class-Design und -Management des Prozesses insbesondere die Integration des Prozesses in die beteiligten Unternehmen ein erfolgskritischer Faktor. In der Gestaltung dieser Geschäftsfelder muss ein wesentlicher Augenmerk auf die Definition der Prozesskennzahlen und Messmethoden gelegt werden. Diese Prozesskennzahlen stellen eines der wichtigsten Elemente in der Gestaltung des Business Process Outsourcings dar, da durch die Kennzahlen die Value Creation als Zielstellung vereinbart, gemessen und einem kontinuierlichen Benchmarking unterworfen werden kann.[301] Im Extremfall verbleiben im Unternehmen nur noch Kernaufgaben wie Markenpflege oder Produktentwicklung, alles andere erledigen externe Partner.[302] Solche Unternehmen, die auch große Teile ihrer Geschäftsprozesse auslagert haben, werden auch als „virtuelle Unternehmen“ bezeichnet. Ein Beispiel für ein (fast) virtuelles Unternehmen ist z.B. die NetBank AG – die erste europäische reine InternetBank. Sie ist seit dem 15.4.1999 in Produktion und hat bis heute 19 Mitarbeiter. Das Ziel der NetBank war und ist es, möglichst viele Prozesse outzusourcen und nur die Kernkompetenzen in der Bank zu halten. Die Kernkompetenzen sind IT, Marketing, Vertrieb, Organisation und das Bankprodukt-Know-how.[303]
320
Ein Business Process Outsourcing (BPO) erfordert von Providern erhebliche Branchenkenntnisse aus dem Geschäftsfeld, in dem der Kunde tätig ist, da der Provider ggf. die Geschäftsprozesse des Kunden anpassen oder sogar neu modulieren muss.[304] Sicherlich stellt das BPO die größte Abhängigkeit von einem Provider da, bietet aber auch gleichzeitig die größten Chancen, um Synergien auszuschöpfen. Der Kunde muss sich darüber im Klaren sein, dass die Fertigungstiefe (beim BPO die Tiefe hin bis zur IT-Infrastruktur), die er einem Partner anvertraut, auch wesentlich mehr Verkettung als beim normalen IT-Outsourcing bedeutet und dass hiermit der gesamte Kommunikations- und Abstimmungsbedarf (insbesondere die Schnittstellen) mit dem BPO-Anbieter zu berücksichtigen ist.
321
Besonders interessant erscheinen dabei Konstellationen wie im HR-Outsourcing, wenn sich eine Wirtschaftsprüfungs- und Steuerberatergesellschaft wie PriceWaterhouseCoopers (PWC), deren Kernkompetenz sicherlich die Geschäftsprozesse im HR-Bereich sind, mit einem IT-Provider wie Siemens Business Services heute Atos IT Solutions and Services) zusammen tut, deren Kernkompetenzen die IT-Services sind.[305] Hierbei kann dann der Mehrwert auf allen drei Layern (Schichten) generiert werden.
322
Dabei bilden Geschäftsprozesse (wie alle übrigen Prozesse) eine abgeschlossene Menge in dem Sinne, dass die Vernetzung zweier oder mehrerer Geschäftsprozesse wieder einen Geschäftsprozess ergibt und zusammengesetzte Geschäftsprozesse in Subgeschäftsprozesse aufgelöst werden können, falls sie nicht schon einen einfachen, sinnvollerweise nicht weiter aufzulösenden Geschäftsprozess darstellen. Das Verbuchen einer Rechnung könnte man als einfachen