Inhaltsverzeichnis I

Inhaltsverzeichnis   

Inhaltsverzeichnis................................................................................................   I

Abbildungsverzeichnis   IV

Abk  ürzungsverzeichnis  V

1  Einleitung  1

11  Problemstellung  1

12  Gang der Untersuchung.  4

2  IT-Outsourcing  6

21  Begrifflich Grundlagen  6

211  Outsourcing.  6

212  IT  8

22  Arten des Outsourcing  14

221  Einteilung nach inhaltlichem Umfang und sachlicher Art.  14

222  Einteilung nach organisatorischer Form  18

23  Entwicklung des IT-Outsourcing  20

231  Geschichtlicher Abriss.  20

232  Aktuelle Trends im Bankensektor.  22

24  Potentiale im IT-Outsourcing  23

241  Gründe  23

242  Risiken und Nutzen  25

25  Das Service Level Agreement (SLA)  27

26  Zusammenfassung  29

3  Bankenrechenzentrum  30

31  Bankdienstleistungen.  30

311  Die Bedeutung von IT.  30

312  Geschäftsfelder und -prozesse  32

3121  Übersicht Bankleistungen  32

3122  Kernprozesse und -anwendungen  34

32  Leistungsspektrum von Rechenzentren.  35

321  Grundlagen  35

3211  Das Rechenzentrum  35

3212  Aufgaben und Arbeitsabläufe im Rechenzentrum  37

Inhaltsverzeichnis II

322  Leistungen.  39

3221  Querschnittsleistungen.  40

3222  Technik und Service.  41

3223  General Services.  45

33  IT-Struktur eines Bankenrechenzentrums.  46

331  Generische Systemarchitektur  47

332  Generische Anwendungsarchitektur.  48

34  Die Situation in Österreich  50

341  iT-Austria.  51

342  Raiffeisen Informatik (RI)  52

343  Allgemeines Rechenzentrum (ARZ)  53

35  Zusammenfassung  53

4  Wirtschaftsprüfung und IT  54

41  Rechtliche Grundlagen und Bestimmungen.  54

411  Zentrale Grundsätze.  54

4111  IKS  54

4112  IT.  55

4113  GoB.  56

412  Weiterführende Bestimmungen  57

4121  IKS  57

4122  IT und GoB.  58

4123  Regelungen betreffend Outsourcing  62

4124  Sarbanes-Oxley Act (SOA)  64

42  Der risiko-, prozess- und systemorientierte Prüfungsansatz.  66

421  Grundsatz der Wesentlichkeit  66

422  Modell der Prüfungssicherheit  67

423  Ausrichtung der Prüfungsstrategie nach möglichen Fehlern in den  

Aussagen   71

424  Weiterentwicklungen: Prozess- und Systemorientierung  73

425  ISA 315 und 330 im Überblick  74

43  Das interne Kontrollsystem und IT  76

431  Definition eines IKS und COSO  76

432  IT und interne Kontrollen  83

4321  Risiken und Bedrohungen  83

Inhaltsverzeichnis III

4322  IT-Kontrollen.  88

433  CobiT.  93

434  Konzept einer IT-Systemprüfung.  99

44  Zusammenfassung  104

5  Die Prüfung ausgelagerter IT nach ISA 402.  106

51  Der Standard ISA 402.  108

511  Die Regelungen im Detail.  108

512  Analyse des Standards ISA 402.  114

5121  Schwächen.  114

5122  Stärken.  117

513  Ein Vergleich mit SAS 70  119

514  Schlussfolgerung.  122

52  Aufbau des ISA 402 Berichts Typ B.  123

521  Abschnitt 1 - Bestätigungsvermerk.  123

522  Abschnitt 2 - Beschreibung des IKS  126

523  Abschnitt 3 - Testbeschreibungen und -ergebnisse  133

53  Die Prüfung zur Erstellung eines ISA 402 Berichts Typ B.  136

531  Bestimmung des Prüfungsumfangs.  136

5311  Allgemeines.  136

5312  Prüfungsumfang ITGC  138

5313  Prüfungsumfang ITAC.  140

532  Phasen der Prüfungsdurchführung.  142

5321  Unterstützung des Managements  144

5322  Beurteilung der Richtigkeit des IKS.  148

5323  Beurteilung der Eignung.  149

5324  Prüfung der Wirksamkeit  152

54  Zusammenfassung  159

6  Zusammenfassung und Ausblick  160

7  Anhang.  163

ISA  402 “Audit Considerations relating to Entities using Service  

Organizations   163

Literaturverzeichnis   166

Abbildungsverzeichnis   

Abbildungsverzeichnis   

Abbildung  1: Zusammenhang zwischen Informations- und Anwendungssystem  

Abbildung  2: Die Stufen der IT-Übertragung  

Abbildung  3: Zeitleiste des Outsourcing-Trends.  

Abbildung  4: Argumentenbilanz zum Outsourcing von IT-Aufgaben  

Abbildung  5: Evolution der Informationssysteme  

Abbildung  6: Übersicht über die Bankleistungen.  

Abbildung  7: Aufgabenbereich des Systemmanagements.  

Abbildung  8: Arbeitsablauf im Rechenzentrum  

Abbildung  9: Generische Systemarchitektur von Finanzdienstleistern.  

Abbildung  10: Generische Anwendungsarchitektur von Finanzdienstleistern  

Abbildung  11: Risiken der Abschlussprüfung und deren Verhältnis  

Abbildung  12: Regelungsbereiche des internen Kontrollsystems.  

Abbildung  13: Zusammenhang zwischen Zielen und Komponenten.  

Abbildung  14: Die vier Grundbedrohungen der IT-Sicherheit.  

Abbildung  15: Zusammenhang zwischen ITGC und ITAC  

Abbildung  16: CobiT Grundprinzip  

Abbildung  17: IT-Lebenskreis nach CobiT  

Abbildung  18: Zusammenhang IT-Prozesse, IT-Ressourcen und  

Informationskriterien.........................................................................................   

Abbildung  19: Inhalte und Unterschiede der Berichtstypen.  

Abbildung  20: Kontrollmatrix für ITGC.  

Abbildung  21: Kontrollmatrix für ITAC  

Abbildung  22: Kernumfang ITGC nach CobiT 4.0 bei umfassendem IT-  

Outsourcing.   

Abbildung  23: Phasen einer Prüfungsdurchführung bei Bericht Typ B.  

Abbildung  24: Kontrollaktivitäten und Unterschiede in der  

Abbildung  25: Prüfungssicherheit nach Art der System- und Funktionstests  

Abbildung  26: Stichprobenumfänge bei manuellen Kontrollen  

Abkürzungsverzeichnis V

Abkürzungsverzeichnis

AI Acquire and Implement AIA American Institute of Accountants AICPA American Institute of Certified Public Accountants AKT Automatischer Kassentresor AktG Aktiengesetz AÖF Amtsblatt der österreichischen Finanzverwaltung AR Audit Risk APR Analytic Procedures Risk AS Auditing Standard

ASFINAG Autobahnen- und Schnellstraßen-Finanzierungs-Aktiengesellschaft ATM Asynchronous Transfer Mode BA-CA Bank Austria Creditanstalt BAWAG Bank für Arbeit und Wirtschaft Aktiengesellschaft BMF Bundesministerium für Finanzen bzw. beziehungsweise BTX Bildschirmtext CEO Chief Executive Officer CFO Chief Financial Officer CICA Canadian Institute of Chartered Accountants CMMI Capability Maturity Model Integration CR Control risk CRM Customer Relationship Management DMZ Demilitarized Zone DR Detection Risk DS Deliver and Support ECOFIN Economy & Finance EG Europäische Gemeinschaft ERP Enterprise Resource Planning EU Europäische Union EWG Europäische Wirtschaftsgemeinschaft

Abkürzungsverzeichnis VI

FTP File Transfer Protocol GAA Geldausgabeautomat GmbHG Gesetz über Gesellschaften mit beschränkter Haftung GoB Grundsätze ordnungsmäßiger Buchführung GuV Gewinn- und Verlustrechnung HGB Handelsgesetzbuch IAASB International Auditing and Assurance Standards Board ICA-EW Institute of Chartered Accountants in England and Wales IDW Institut der Wirtschaftsprüfer IFAC International Federation of Accountants IFRS International Financial Reporting Standards IKS Internes Kontrollsystem inkl. inklusive IR Inherent Risk IRM Information Resource Management ISA International Standards on Auditing ISACA Information Systems Audit and Control Association ISP Internet Service Provider IT Informationstechnik ITAC IT Application Controls ITGC IT General Controls ITGI Information Technology Governance Institute ITIL Information Technology Infrastructure Library iwp Institut österreichischer Wirtschaftsprüfer K-Fall Katastrophen-Fall KAD Kontoauszugsdrucker KPMG Klynfeld Peat Marwick und Goerderle KWG Kreditwesengesetz LAN Local Area Network LWL Lichtwellenleiter ME Monitor and Evaluate ÖBB Österreichische Bundesbahnen ÖCI Österreichisches Credit-Institut ÖFB Österreichischer Fußballbund

Abkürzungsverzeichnis VII

ÖVAG Österreichische Volksbanken Aktiengesellschaft PC Personal Computer PCAOB Public Company Accounting Oversight Board PDA Personal Digital Assistant PO Plan and Organise P.S.K. Postsparkasse PS Prüfungsstandard PwC PricewaterhouseCoopers RACI Responsible, Accountable, Consulted and Informed RZ Rechenzentrum RZB Raiffeisenzentralbank SAS Statement of Auditing Standards SB Selbstbedienung SEC Securities and Exchange Commission SNMF System and Network Management Framework SOA Sarbanes-Oxley Act of 2002 TDR Tests of Details Risk u. a. unter anderem, und andere u. U. unter Umständen

US-GAAS United States - Generally Accepted Auditing Standards USD United States Dollar Vgl. Vergleiche VPN Virtual Private Network WAN Wide Area Network

Einleitung 1

1 Einleitung

11 Problemstellung

„Alle Prozesse eines Unternehmens sind heute ohne IT undenkbar.“ ¹ Die rasante Entwicklung im Technologiebereich sowie die Herausforderungen der globalisierten Märkte führen dazu, dass die IT einen immer größeren Stellenwert bei der Bewältigung der komplexen Geschäftstransaktionen darstellt. Trotz seiner Bedeutung ist IT meist ein notwendiger aber nicht hinreichender Faktor bei der Verwirklichung der Unternehmensziele und daher Outsourcing Bestrebungen ausgesetzt.

Dies trifft insbesondere auch auf Banken zu, deren Geschäft die Verarbeitung von Informationen bedingt. Viele operative Bankprozesse sind grundsätzlich einfach strukturiert und wiederholen sich, sodass sie sich sehr gut für eine Automatisierung eignen. Dieser Prozess der Automatisierung begann schon in den 60er Jahren mit der Einrichtung von Mainframesystemen zur Verarbeitung der Massendaten. Daran zeigt sich die große Bedeutung, welche die IT im gesamten Wertschöpfungsprozess einer Bank hat. ² Den Chancen, welche sich durch den Einsatz von modernen IT-Lösungen wie beispielsweise Web Services ergeben, stehen aber auch Risiken gegenüber. Die Abhängigkeit von IT und zunehmende Komplexität von Systemen und Netzwerken führen zu neuen Gefahren im Hinblick auf die Erreichung der Unternehmensziele, sodass sich auch ein Abschlussprüfer damit auseinandersetzen muss. Risiken ergeben sich aber nicht nur aus der Verwendung von IT sondern auch aus der Auslagerung derselben.

Die generische Systemarchitektur einer Bank eignet sich besonders für die Auslagerung. Sie besteht im Wesentlichen aus drei Systemen: einem Rechenzentrum, einer Filiale und einem Direktvertriebskanal. ³ Deswegen haben Banken schon früh die Dienstleistungen der IT-Abteilung(en) in einem Rechenzentrum, das oft in einer Tochtergesellschaft der Bank geführt wird, ausgelagert. Da es

¹ Bohlen (IT-Outsourcing), S.46.

² Vgl. Stahl, E. - Wimmer, A. (Informationsverarbeitung), S. 173f.

³ Mehlau (IT-Architekturen), S. 215.

Einleitung 2

sich um die Auslagerung von informations- und kommunikationstechnisch geprägten Prozessen handelt, spricht man von IT-Outsourcing.

Für den Abschlussprüfer des auslagernden Unternehmens ergeben sich dadurch jedoch zusätzliche zu berücksichtigende Aspekte. Nach den International Standards on Auditing (ISA), herausgegeben von der IFAC (International Federation of Accountants ⁴ ), ist er dazu angehalten, die Auswirkungen auf die Kontrollumgebung der zu prüfenden Unternehmung zu beurteilen. Speziell für den Fall des Outsourcings wurde der ISA 402 “Audit Considerations Relating to Entities Using Service Organizations“ geschaffen. Danach hat der Abschlussprüfer zu beurteilen, in wie weit die ausgelagerten Prozesse und Aktivitäten für die Rechnungslegung des zu prüfenden Unternehmens und seine Prüfziele relevant und wichtig sind und wie sie sich auf seine Risikoeinschätzung hinsichtlich des vom zu prüfenden Unternehmen eingerichteten internen Kontrollsystems (IKS) auswirken. ⁵ Sind die bezogenen Dienstleistungen relevant und signifikant und will sich der Abschlussprüfer auf Basis eines risikoorientierten Prüfungsansatzes auf die Wirksamkeit der Kontrollen im ausgelagerten Bereich verlassen, dann hat er laut ISA 402 drei Möglichkeiten: 6

1. Der Prüfer des auslagernden Unternehmens prüft jene Kontrollen, die das auslagernde Unternehmen über die ausgelagerten Aktivitäten eingerichtet hat.

2. Der Prüfer des auslagernden Unternehmens führt die Prüfungshandlungen direkt beim Serviceunternehmen durch.

3. Der Prüfer des auslagernden Unternehmens fordert vom Prüfer der Ser-viceorganisation einen Bericht über die Angemessenheit und Wirksamkeit des internen Kontrollsystems an.

Unter die relevanten und signifikanten Prozesse und Aktivitäten fallen auf jeden Fall auch Rechenzentrumsdienstleistungen, da es kaum einen rechnungsle- ⁴ Vgl.http://www.ifac.org/.

⁵ Vgl. Huissoud (Revision), S. 183f.

⁶ Vgl. IFAC (Handbook), S. 521.

Einleitung 3

gungsrelevanten Prozess gibt, welcher nicht durch IT unterstützt wird. Der ISA 402 geht vor allem auf den dritten Punkt ein und definiert einen allgemeinen Rahmen für das Vorgehen des Abschlussprüfers eines auslagernden Unternehmens und für die Verwendung eines Prüfberichts, ausgestellt durch einen dritten Prüfer bei der Serviceorganisation.

In den letzten zwei Jahren haben sich auch in Österreich mehr Situationen ergeben, in denen Abschlussprüfer Berichte nach ISA 402 - und auch nach SAS 70 (dem US-amerikanischen Pendant von ISA 402) - verlangt haben. Dies ist auch eine Folge der verschärften Bestimmungen nach dem Sarbanes-Oxley-Act von 2002 ⁷ , in dessen ausführenden Bestimmungen für die Bestätigung der Wirksamkeit von Kontrollen über ausgelagerte und rechnungslegungsrelevante Prozesse und Aktivitäten ein Bericht gemäß SAS 70 Typ II verlangt wird. Aufgabe dieser Arbeit ist es, neben den Gründen, Arten und Risiken des IT-Outsourcings die Grundlagen und die Umsetzung einer Prüfung nach ISA 402 darzustellen. Das Beispiel eines Bankenrechenzentrums wurde gewählt, weil es sich hierbei um typisches IT-Outsourcing in vollem Umfang handelt. Daher werden auch typische IT-Dienstleistungen eines Rechenzentrums erläutert.

Obwohl die meisten größeren Wirtschaftsprüfungsgesellschaften, darunter auch die Big Four (PwC, KPMG, Ernst & Young und Deloitte & Touche), ihr Prüfvorgehen an den ISA ausrichten, ⁸ sind diese in Österreich nicht gesetzlich vorgeschrieben. Aus diesem Grund ist ein Abschlussprüfer im Anwendungsbereich des österreichischen HGB auch nicht gesetzlich verpflichtet, das IKS zu prüfen, obschon er es nach dem Fachgutachten KFS/PG 1 ⁹ ist. Und die Prüfung des IKS ist Ausgangspunkt für eine Prüfung nach ISA 402. Aber gerade wegen einer Entscheidung der EU gewinnt das Thema ISA 402 an Aktualität: Am 11. Oktober 2005 wurde mit der Zustimmung der EU-Mitgliedsstaaten zu der vom Europäischen Parlament verabschiedeten Neufassung der Achten EG-Richtlinie („Abschlussprüferrichtlinie“), betreffend Gesellschaftsrecht, das Gesetzgebungsverfahren abgeschlossen. Die Richtlinie ist am 9. Juni 2006 im EU-

⁷ Vgl. http://www.law.uc.edu/CCL/SOact/soact.pdf, abgerufenam 15.5.2006.

⁸ Vgl. Mayer, L. u. a. (Grundsätze), S. 89.

⁹ Vgl. Kammer der Wirtschaftstreuhänder (KFS/PG 1), S. 6.

Einleitung 4

Amtsblatt veröffentlicht worden. Damit wird die Anwendung der ISA für alle gesetzlichen Abschlussprüfungen in der EU verbindlich werden. Berücksichtigt man alle Fristen bei der Umsetzung in nationales Recht, dann könnten die ISA möglicherweise für Prüfungen der Jahresabschlüsse zum 31. Dezember 2008 erstmals in Österreich verpflichtend zur Anwendung kommen. 10

12 Gang der Untersuchung

Im folgenden Kapitel werden die Grundlagen des IT-Outsourcings erläutert. Beginnend mit Begriffsklärungen wird auf die Gründe von Outsourcing, die Arten und Formen sowie auf die allgemeinen Risiken und auch Chancen beim Outsourcing eingegangen. Weiters wird in diesem Kapitel ein Bezug zur Bankenwelt hergestellt, indem deren Industrialisierung und Outsourcing-Bestrebungen analysiert werden. Es wird die Prozessorientierung, die Wertschöpfung und deren Wertsteigerung, welche u. a. zum Outsourcing führt, sowie die Rolle der IT betrachtet.

Das dritte Kapitel zeigt die typischen Bankdienstleistungen auf und geht auf die Wichtigkeit von IT bei Bankprodukten ein. In Folge wird auf die begriffliche Bestimmung und die Arten von Rechenzentren sowie deren übliche Aufgaben und Dienstleistungen eingegangen, sodass in Kapitel fünf auf den Prüfungsumfang eingegangen werden kann. Nachdem die generische System- und Anwendungsarchitektur eines Bankenrechenzentrums betrachtet worden ist, wird abschließend am Beispiel von drei Bankenrechenzentren die österreichische Situation erläutert.

Mit der Wirtschaftprüfung bei Einsatz von Informationstechnik beschäftigt sich das vierte Kapitel dieser Arbeit. Grundsätzlich werden zwei Themenschwerpunkte betrachtet. Zum einen wird der derzeitig in der Wirtschaftsprüfung weltweit angewandte Prüfungsansatz dargestellt, zum anderen wie IKS, IT und der Prüfungsansatz zusammenhängen. Als Basis werden die rechtlichen und wei-

¹⁰ Vgl. Lanfermann, G. (Abschlussprüfung), S. 40.

Einleitung 5

terführenden Grundlagen für eine Prüfung des IKS und der IT analysiert, um daraufhin den risiko-, prozess- und systemorientierten Prüfungsansatz zu erklären. Nach einer Darstellung der Struktur eines IKS nach COSO sowie einer Einordnung von IT-Kontrollen in dieses Konzept wird das IT-Governance Tool CobiT vorgestellt. Es stellt ein international anerkanntes Rahmenwerk für die Positionierung und Prüfung von IT-Prozessen dar und dient in Kapitel fünf als Basis zur Festlegung des Prüfungsumfanges. Abschließend wird das Vorgehen einer IT-Prüfung behandelt.

Nachdem die wichtigen Grundlagen dargestellt worden sind, ist der Gegenstand der weiteren Untersuchung die Umsetzung einer IT-Prüfung im Outsourcing-Fall. Dies wird anhand eines Bankenrechenzentrums unter Anwendung der Erkenntnisse der vorigen Kapitel behandelt. Dazu wird zuerst der Standard ISA 402 „Audit Considerations relating to entities using service organizations“ zusammen mit Vor- und Nachteilen vorgestellt. Danach werden mangels Definition im Standard Überlegungen angestellt, wie der inhaltliche Aufbau eines solchen Berichts gestaltet werden kann. Dazu werden ebenso wie bei der folgenden Festlegung eines möglichen Prüfumfangs die Anforderungen der Abschlussprüfer und andere mögliche Kriterien zur Bestimmung betrachtet. Auf den Zusammenhang zum im vierten Kapitel erläuterten Prüfungsansatz wird dabei eingegangen. Anschließend werden die Phasen eines Projekts zur Erstellung eines Berichts Typ B nach ISA 402 betrachtet. Von der Unterstützung des Managements bei der Erstellung einer adäquaten Kontrolldokumentation über die Beurteilung der Eignung der Kontrollen bis zur Prüfung der Wirksamkeit der Kontrollen durch den externen Prüfer werden die Vorgangsweisen dargestellt und analysiert. Die Ausführungen in diesem Kapitel sollen mangels Vorgaben im Standard einen Anhaltspunkt zu Umfang, Inhalt und Durchführung einer derartigen Prüfung bieten, welche sich an der derzeitigen Praxis orientieren.

Das letzte Kapitel fasst die Ergebnisse dieser Arbeit zusammen und gibt einen Ausblick auf die mögliche Entwicklung im behandelten Bereich.

IT-Outsourcing 6

2 IT-Outsourcing

21 Begrifflich Grundlagen

Als Ausgangspunkt für die Prüfung ausgelagerter IT-Dienstleistungen werden zunächst die beiden Begriffe „Outsourcing“ und „IT“ erläutert.

211 Outsourcing

Der Begriff „Outsourcing“ ist eigentlich ein Kunstwort, das sich aus den englischen Wörtern „outside“ „resource“ „using“ zusammensetzt ¹¹ . Wortwörtlich bedeutet es, dass externe, nicht in den Verantwortungsbereich des Unternehmens gehörende, Produktions- und Betriebsmittel sowie Dienstleistungen bezogen und verwendet werden. In der Literatur existieren unzählige Begriffsdefinitionen. Vielfach entstammen diese der Praxis, welche viele unterschiedliche Arten von Outsourcing kennt, wie die nachfolgenden Abschnitte zeigen werden. ¹² Eine exakte und allgemein anerkannte Abgrenzung und einheitliche Definition des Begriffs „Outsourcing“ gibt es daher nicht. Jedoch lassen sich bestimmte Gemeinsamkeiten in den Definitionen finden. Regelmäßig versteht man unter Outsourcing eine längerfristige Beziehung zwischen dem Outsourcer ¹³ und der Serviceorganisation ¹⁴ . Die Partnerschaft bzw. strategische Allianz zwischen den beiden Unternehmen steht gegenüber einem kurzfristigen Käufer-Verkäufer-Verhältnis im Vordergrund. ¹⁵ Die Serviceorganisation ist ein drittes Unternehmen, das sich auf das Anbieten spezifischer Dienstleistungen konzentriert, welche seine Kernkompetenzen darstellen. Ein Beispiel ist das Anbieten von Rechenzentrumsdienstleistungen. Weiters wird der Aspekt des Auslagerns ¹⁶ von bisher im Unternehmen erbrachter Aufgaben, Funktionen und Leistungen, meist

¹¹ Vgl. Dirlewanger, W. (Outsourcing), S. 41.

¹² Vgl. Bongard, S. (Outsourcing), S. 81ff.

¹³ Der Outsourcer ist jenes Unternehmen, das Aufgaben, Funktionen und Leistungen an eine externe Serviceorganisation auslagert.

¹⁴ In Anlehnung an ISA 402 wird der Begriff Serviceorganisation in dieser Arbeit für jenes Unternehmen verwendet, das Dienstleistungen für einen Outsourcer anbietet.

¹⁵ Vgl. Bongard, S. (Outsourcing), S. 78.

¹⁶ In dieser Arbeit werden die Begriffe Outsourcing und Auslagerung synonym verwendet.

IT-Outsourcing 7

zusammen mit einem Übergang von Produktions- und Betriebsmittel sowie Personal, betont. ¹⁷ Der Outsourcer kauft nicht nur die Dienstleistungen der Servi-ceorganisation, sondern er verkauft Teilfunktionen und -bereiche seines Betriebes an die Serviceorganisation. ¹⁸ Jedoch müssen die ausgelagerten Dienstleistungen nicht zwangsläufig bisher intern erbracht worden sein, um Outsourcing zu begründen. Wie intensiv die Aufgaben, Funktionen und Leistungen bisher zur Wertschöpfung beigetragen haben, ist ebenso nicht relevant. ¹⁹ Die Übertragung des Sicherheitsdiensts in einer Wirtschaftsprüfungskanzlei stellt ebenfalls Outsourcing dar. Oftmals beschränken sich Definitionsversuche - in Anlehnung an eine in der Praxis sehr häufig vorkommende Art des Outsourcings - auf die Auslagerung von IT-Prozessen und -Funktionen ²⁰ , obwohl der Begriff „Outsourcing“ grundsätzlich nicht nur im Bereich der Informationsverarbeitung verwendet wird. Als Beispiel sei hier das Outsourcing der Lohnverrechung genannt. Werden Unternehmensbereiche an eine Serviceorganisation im Ausland ausgelagert, dann spricht man von Offshore-Outsourcing. 21

Daraus ergeben sich folgende wesentliche Punkte:

• Externe Erbringung von Aufgaben, Funktionen und Leistungen • Langfristigkeit der Beziehung • Irrelevanz der bisherigen Erbringung der Leistung • Irrelevanz des Beitrags zur Wertschöpfung • Spezialisierung des Serviceunternehmens

Keine Rolle spielen ebenso die Art der Leistung und der Ort bzw. das Land der Leistungserbringung für eine allgemeine Definition von Outsourcing, wie sie in dieser Arbeit verwendet wird:

¹⁷ Vgl. Saunders, C. - Gebelt, M. - Hu, Q. (Outsourcing), S. 63; Bongard, S. (Outsourcing), S. 81ff.

¹⁸ Vgl. Bongard, S. (Outsourcing), S. 78.

¹⁹ Vgl. Stahlknecht, P. - Hasenkamp, U. (Wirtschaftsinformatik), S. 451

²⁰ Vgl. Küchler, P. (Grundlagen), S. 62.

²¹ Vgl. Ramanujan, S. - Sandhya, J. (Offshoring), S. 51.

IT-Outsourcing 8

Outsourcing ist die mittel- und langfristige externe Erbringung von Aufgaben, Funktionen und Leistungen durch ein anderes Unternehmen (Serviceorganisation), das sich auf die entsprechenden Dienstleistungen spezialisiert. 22

Diese Definition steht auch in Einklang mit der Auslegung des § 25a Abs. 2 KWG in Deutschland, was auch die österreichische Praxis darstellt. 23

212 IT

Um den Begriff „IT“ zu erläutern, muss zuerst auf den Begriff der Information eingegangen werden, der für das „I“ in IT steht.

Information

Ebenso wie beim Begriff „Outsourcing“ besteht beim Begriff „Information“, in der Wissenschaft keine einheitliche Definition. ²⁴ Heinrich und Lehner definieren Information als „handlungsbestimmendes Wissen über historische, gegenwärtige und zukünftige Zustände der Wirklichkeit und Vorgänge in der Wirklichkeit“ ²⁵ . Eine Schwäche in dieser Definition liegt darin, dass auch der Begriff „Wissen“ in der Forschung einer ist, welcher vielfältigen Interpretation unterliegt. Es ist darauf aufmerksam zu machen, dass in der Informationstheorie der syntaktische und semantische Informationsbegriff ²⁶ unverbunden nebeneinander stehen. Hier ist offenkundig der semantische Informationsbegriff gemeint. In der Praxis wird jedoch kaum auf den Unterschied eingegangen. Es ist daher richtig, im Bereich der Wissenschaft der Informatik, in dem sich diese Arbeit u. a. bewegt,

²² Vgl. Bongard, S. (Outsourcing), S. 87; Billeter, T. (IT-Outsourcing), S. 11; Stahlknecht, P. -Hasenkamp, U. (Wirtschaftsinformatik), S. 451.

²³ Vgl. Bieg, H. - Krämer, G. (Bankenaufsicht), S. 336.

²⁴ Vgl. Billeter, T. (IT-Outsourcing), S. 7f.

²⁵ Heinrich, L. - Lehner, F. (Informationsmanagement), S. 7.

²⁶ Vereinfacht gesagt ist syntaktische Information quantifizierbar. Die Bedeutung für den Empfänger ist nicht relevant. Demgegenüber bezeichnet die semantische Information die Bedeutung einer Nachricht für den Empfänger und ist daher nicht quantifizierbar. Vgl. Rechenberg, P. (In- formationsbegriff), S. 321.

IT-Outsourcing 9

zwischen Daten und Information zu unterscheiden. Daten sind Ereignisse und Fakten, die von einem Rechner verarbeitet und bereitgestellt werden, aber noch nicht gedeutet sind. Sie stellen daher noch keine Information dar. Information stellen die Daten erst dar, wenn sie in eine für den Empfänger verständliche Form gebracht worden sind und eine Bedeutung für diesen haben. ²⁷ In diesem Sinne werden die Begriffe „Information“ und „Daten“ in dieser Arbeit verwendet. Aus einem anderen Blickwinkel betrachtet wird Information als Produktionsfak-tor verstanden. Die hohe Bedeutung, welche der Information als Produktions-faktor zukommt, kann daran gemessen werden, dass man gegenwärtig vom Informationszeitalter spricht, das von wissens- und informationsbasierten Dienstleistungsgesellschaften dominiert wird ²⁸ . Nach dem IRM-Ansatz ist es die Aufgabe des Managements, ausreichende Betriebsmittel zur Verfügung zu stellen, um die richtige Information zur richtigen Zeit am richtigen Ort im Unternehmen bereit zu stellen. ²⁹ Untrennbar damit verbunden ist die Kommunikation. Ohne Kommunikation und Mittel zur Kommunikation können Informationen nicht weitergeben werden. Daher sprechen Heinrich und Lehner bezüglich Information und Kommunikation von zwei Aspekten ein- und desselben Objekts. 30

Informationstechnik (IT)

IT wird mit Informationstechnik und nicht wie oft zu lesen mit Informationstechnologie übersetzt. Denn der Begriff „information technology“ ist nicht mit Informationstechnologie gleichzusetzen, da der englische Begriff „technology“ weiter gefasst ist als der deutsche Begriff „Technologie“. Unter Technik versteht man die Anwendung von Technologie, welche das Wissen über technische Methoden darstellt. ³¹ Auch das Fachgutachten KFS/DV 2 ³² sowie Stahlknecht und Hasenkamp ³³ sprechen korrekterweise von Informationstechnik. Stellvertretend

²⁷ Vgl. Rechenberg, P. (Informationsbegriff), S. 325f; Laudon, K. - Laudon, J. - Schoder, D. (Wirtschaftsinformatik), S. 32.

²⁸ Vgl. Laudon, K. - Laudon, J. - Schoder, D. (Wirtschaftsinformatik), S. 27.

²⁹ Vgl. Heinrich, L. - Lehner, F. (Informationsmanagement), S. 9.

³⁰ Vgl. ebenda, S. 7.

³¹ Vgl. Laudon, K. - Laudon, J. - Schoder, D. (Wirtschaftsinformatik), S. 29.

³² Vgl. Kammer der Wirtschaftstreuhänder (KFS/DV 2), S 1.

³³ Vgl. Stahlknecht, P. - Hasenkamp, U. (Wirtschaftsinformatik), S.1ff.

IT-Outsourcing 10

für viele ähnliche Definitionen sei hier jene von Luftman, Lewis und Oldach angeführt:

„Information technology has become the generally accepted term that encompasses the rapidly expanding range of equipment (computers, data storage devices, network and communications devices), applications (…), and services (e.g. end-user computing, help desk, application development) used by organizations to deliver data, in-formation and knowledge.” 34

Wenn in dieser Arbeit von IT die Rede ist, dann sind immer Informations- und Kommunikationstechniken gemeint.

IT-Infrastruktur

Während IT den Oberbegriff darstellt und auch die personellen und organisatorischen Ressourcen umfasst, ist die IT-Infrastruktur die Basis für die Informations- und Datenverarbeitung: Informations- und Anwendungssysteme einer Unternehmung bauen darauf auf.

Betrachtet man die Systemsicht, so setzt sich die IT-Infrastruktur aus Hardware, Kommunikationsinfrastruktur und Systemsoftware zusammen. ³⁵ Hardware wiederum umfasst im Wesentlichen Rechner (Computer) und Peripheriegeräte, welche grundsätzlich der Datenerfassung, -verarbeitung,ausgabe und -speicherung dienen. Man unterscheidet nach Stahlkamp und Hasenknecht grundsätzlich drei Größenklassen von Rechner: 36

• Großrechner (Mainframe oder Host), welche als zentrale Rechner in großen Unternehmen wie beispielsweise Banken für eine große Anzahl von Benutzern unterschiedliche Anwendungen und große zentrale Datenbestände bereithalten

³⁴ Luftman, J. N. - Lewis, PO. R. - Oldach, S. H. (information technology), S. 201.

³⁵ Vgl. Billeter, T. (IT-Outsourcing), S. 10.

³⁶ Vgl. Stahlknecht, P. - Hasenkamp, U. (Wirtschaftsinformatik), S.14f.

IT-Outsourcing 11

• mittlere Systeme (Minicomputer), welche beispielsweise als Abteilungsserver in großen und als zentrale Server in mittleren Unternehmen dienen

• Personal Computer (PC), welche durch einzelne Personen oder als Clients in verteilten Systemen verwendet werden

Die Kommunikationsinfrastruktur setzt sich im Wesentlichen aus Netzwerk und Netzwerkkomponenten wie beispielsweise Glasfaserkabel, Router und Firewalls zusammen. Sie soll die Kommunikation zwischen Hardware bzw. Anwendungssystemen untereinander und zwischen Personen und Hardware bzw. Anwendungssystemen sowie zwischen Personen ermöglichen. ³⁷ Systemsoftware dient grundsätzlich dazu, die Hardware überhaupt verwenden zu können und eine Verbindung zur Anwendungssoftware herzustellen. Sie ist im Gegensatz zur Anwendungssoftware nicht unmittelbar in einen Geschäftsprozess eingebettet sondern eher hardwareorientiert. ³⁸ Systemsoftware besteht im Wesentlichen aus Betriebssystemen, Übersetzungsprogrammen (beispielsweise Compiler und Interpreter), Systemwerkzeugen sowie Protokollen und Treibern. 39

Die funktionale Sicht stellt auf die Aufbau- und Ablauforganisation ab, um die verschiedenen Aufgaben zu bewältigen. Dazu gehören u. a. Annwendungsentwicklung, Qualitätssicherung, Beschaffung und Bereitstellung der IT-Infrastruktur und Anwendungen. 40

Anwendungssoftware wird oftmals als Teil der IT-Infrastruktur gesehen. Da jedoch Anwendungssoftware regelmäßig auf Geschäftsprozesse ausgerichtet, in ebendiese eingebettet ist und unmittelbar der betrieblichen Wertschöpfung dient, ist sie grundsätzlich nicht Teil der Basis für Informations- und Anwendungssysteme und somit der IT-Infrastruktur. Auch Kommunikationssoftware wie beispielsweise ein E-Mail Programm, ein Webbrowser oder ein FTP-Programm ist der Anwendungssoftware zuzuordnen.

³⁷ Vgl. Billeter, T. (IT-Outsourcing), S. 201.

³⁸ Vgl. ebenda, S. 231.

³⁹ Wigand, R. u. a. ( Information Systems), S. 20ff.

⁴⁰ Vgl. Billeter, T. (IT-Outsourcing), S. 10.

IT-Outsourcing 12

Anwendungssystem

Wie vorher erläutert worden ist, stellt die IT-Infrastruktur die Basis für Informations- und Anwendungssysteme dar. Es gilt zu klären, was darunter zu verstehen ist.

Ein Anwendungssystem im engeren Sinn besteht aus der für die Erfüllung konkreter betrieblicher Zwecke eingesetzten Anwendungssoftware sowie aus den Daten, die von der Anwendungssoftware verwendet werden. Im weiteren Sinne gehört zu einem Anwendungssystem auch die IT-Infrastruktur, auf der ein Anwendungssystem läuft. ⁴¹ Letztere Definition wird in dieser Arbeit herangezogen. Die Organisation eines Unternehmens ist typischerweise an Geschäftsprozessen orientiert, weshalb auch Anwendungssysteme zwangsläufig daran ausgerichtet sind. Ein Geschäftsprozess ist eine Abfolge von logisch zusammengehörigen Aktivitäten, die einen Beitrag zur Wertschöpfung leisten, wiederholt ausgeführt werden, einen definierten Auslöser und ein definiertes Ergebnis haben und in der Regel am Kunden orientiert sind. ⁴² Beispiele sind die Finanzbuchhaltung, Beschaffungswesen, Warenwirtschaft, Vertrieb, Produktion und Lohnverrechnung. Das Konzept von Geschäftsprozessen lässt sich auch auf die IT übertragen, wie im Rahmen der funktionalen Sichtweise (vgl. vorige Seite) schon gezeigt worden ist und wie es auch CobiT macht (vgl. S. 94ff). Wie es später in den Kapiteln 42 (vgl. S. 66ff) und 531 (vgl. S. 138ff) dargestellt wird, orientiert sich daran auch der Prüfungsansatz, und es lässt sich nach IT-Prozessen der Umfang für eine Prüfung nach ISA 402 festlegen.

Informationssystem

Ein Informationssystem umfasst darüber hinaus organisatorische und personelle Ressourcen, in welche die Anwendungssysteme eingebettet sind. Daher ist ein Informationssystem immer unternehmensindividuell und kann nicht standardisiert wie ein Anwendungssystem geschaffen werden. ⁴³ In Folge stellt sich die Frage, was im Falle der Auslagerung von Teilen oder der gesamten IT Prü-

⁴¹ Vgl.Stahlknecht, P. - Hasenkamp, U. (Wirtschaftsinformatik), S. 204f.

⁴² Vgl. ebenda, S. 206.

⁴³ Vgl. Laudon, K. - Laudon, J. - Schoder, D. (Wirtschaftsinformatik), S. 31.

IT-Outsourcing 13

fungsgegenstand ist: Anwendungssystem oder Informationssystem. Dieser Frage wird in Kapitel 531 (vgl. S. 138ff)nachgegangen.

Die folgende Grafik zeigt für dieses Kapitel zusammenfassend die Zusammenhänge zwischen IT-Infrastruktur, Anwendungssoftware, Daten, Geschäftsprozessen und organisatorischen Ressourcen sowie Informations- und Anwendungssystem: 44

Abbildung 1: Zusammenhang zwischen Informations- und Anwendungssystem

Abschließen werden die Begriffe „Outsourcing“ und „IT“ zusammengeführt. In Anlehnung an Billeter und die Darstellungen in diesem und dem vorigen Kapitel wird in dieser Arbeit unter IT-Outsourcing folgendes verstanden: 45

⁴⁴ Abbildung entnommen aus: Laudon, K. - Laudon, J. - Schoder, D. (Wirtschaftsinformatik), S. 32.

⁴⁵ Vgl. Billeter, T. (IT-Outsourcing), S. 11.

IT-Outsourcing 14

IT-Outsourcing ist die mittel- und langfristige externe Erbringung von wesentlichen Aufgaben, Funktionen und Leistungen eines Informations- oder Anwendungssystems durch ein anderes Unternehmen (Serviceorganisation), das sich auf die entsprechenden IT-Dienstleistungen spezialisiert.

22 Arten des Outsourcing

Die Erläuterungen zum Thema der Begriffsbestimmung haben schon gezeigt, dass es viele unterschiedliche Arten von Outsourcing in der Praxis gibt. Die nachfolgenden zwei Abschnitte geben einen Überblick, der auf das IT-Outsourcing fokussiert. Auf Grund der Vielfalt kann es sich nicht um eine erschöpfende Darstellung handeln. Es werden wesentliche Formen des IT-Outsourcings behandelt, wobei auf das Einteilungskriterium der Zeit (kurzfristig vs. langfristig) nicht eingegangen wird, da in Kapitel 211 (vgl. S. 8) festgelegt worden ist, dass es sich bei Outsourcing um eine mittel- bis langfristige Beziehung handelt.

221 Einteilung nach inhaltlichem Umfang und sachlicher Art

IT-Outsourcing tritt in der Praxis in den unterschiedlichsten Erscheinungsformen auf, weil jede Unternehmung individuelle Anforderungen und Schwerpunkte hat. Aus inhaltlicher und sachlicher Sicht lassen sich im Wesentlichen folgende Varianten unterscheiden:

Selektives IT-Outsourcing

Selektives IT-Outsourcing, oder auch partielles Outsourcing oder Outtasking genannt, stellt eine sehr häufige Form des Outsourcings dar. Man spricht davon, wenn nur ausgewählte Teile eins Informationssystems ausgelagert werden, wie die folgenden möglichen Formen zeigen:

Beim Facilities Management wird der Betrieb der IT-Infrastruktur oder Teile davon ausgelagert. Die Serviceorganisation ist für die vereinbarte Qualität ver- antwortlich, woran sie auch gemessen wird. Dazu gehören der Betrieb von

IT-Outsourcing 15

Hardware zentral in Rechenzentren und dezentral an den Arbeitsplätzen inklusive der dazugehörigen Systemsoftware sowie der Betrieb von Telekommunikationsnetzwerken und von lokalen Netzwerken. 46

Managed Services sind eine weitere Form des selektiven IT-Outsourcings. Sie umfassen eine Reihe von IT-Dienstleistungen, welche über das reine Verwalten und Zur-Verfügung-Stellen von IT-Infrastruktur (vgl. Facilities Management) hinausgeht. Es handelt sich um höherwertige, IT-Infrastruktur-bezogene Dienste, die auch das Management von Prozessen involviert. ⁴⁷ Die einzelnen Dienstleistungen werden je nach Bedarf ähnlich einem Modulsystem zusammengestellt. Managed Services bieten den Unternehmen daher individuelle Lösungen. Nach Bulder werden grundsätzlich Monitoring, Backup und System Services unterschieden. Unter Standard Monitoring Services versteht man das kontinuierliche Überwachen von Infrastruktur-Komponenten. Wird ein bestimmter Schwellenwert über- oder unterschritten, erfolgt ein entsprechender Alarm. Backup Services sollen eine schnelle und kostengünstige Datensicherung mittels individueller Backup Lösungen gewährleisten. System Services beinhalten Dienstleistungen im Bereich der System-Administration, Datenspeicherung, Installation von IT-Infrastruktur und IT-Sicherheit. 48

Werden größere Softwareprojekte beauftragt, welche als Ergebnis die Übergabe einer fertigen Softwarelösung an den Outsourcer vorsehen, dann spricht man von Systemintegration. Der Hauptteil der IT-Dienstleitung ist die Entwicklung, sprich Programmierung, der Software, obwohl auch noch andere Leistungen wie etwa die Wartung und Betreuung der Software vereinbart sein können. Unter Umständen kann auch ein komplettes Anwendungssystem beauftragt werden, was dann in Richtung umfassendes IT-Outsourcing geht.

Im Grunde fehlt noch die Auslagerung und Betreuung von Anwendungssoftware, welche oft als Spezialform von Outsourcing betrachtet wird und unter ASP erläutert wird (vgl. S. 17).

⁴⁶ Vgl. Billeter, T. (IT-Outsourcing), S. 243ff.

⁴⁷ Vgl. Horchler, H. (Intelligentes Sourcing), S. 17.

⁴⁸ Vgl. Bulder, M. (Managed Services), S. 61f.

IT-Outsourcing 16

Umfassendes IT-Outsourcing

Werden alle bisher erläuterten IT-Dienstleistungen an eine Serviceorganisation übertragen, quasi die gesamte IT-Abteilung, dann ist dies die umfassendste Form des IT-Outsourcings. Das bedeutet, dass nicht nur Aufbau und Betrieb der gesamten der IT-Infrastruktur sondern auch die Entwicklung und Wartung der Software ausgelagert werden. ⁴⁹ Anders gesagt werden gesamte Informations- oder Anwendungssysteme von Serviceorganisationen übernommen. In diesem Bereich gibt es nur wenige Unternehmen, die alles aus einer Hand anbieten, da eine entsprechende Größe Voraussetzung ist, um ein so breites Leistungsspektrum kostengünstiger und besser als inhouse anbieten zu können. Deshalb findet sich diese Art des Outsourcings vor allem bei homogenen Unternehmen derselben Branche wie beispielsweise bei Banken und Versicherungen in Form von Joint Ventures zwischen Hardwareherstellern und Anwendern sowie ausgegliederter IT-Abteilungen. Weiters sind erhebliche organisatorische Veränderungen damit verbunden, die ein umfassendes IT-Outsourcing zu einem komplexen Projekt machen. Aus diesem Grund ist diese Form des Outsourcings auch rückläufig. 50

Shared Services

Unter Shared Services versteht man das Zentralisieren von unterschiedlichen Unternehmensfunktionen - nicht nur IT-Dienstleistungen - in einem so genannten Shared Service Center (SSC) innerhalb eines Konzerns. ⁵¹ Es wird vor allem von multinational agierenden Unternehmen als Best-Practice-Geschäftsmodell angewandt, um die Standorte in einzelnen Ländern auf regionaler Basis effizient zu betreiben. Üblicherweise werden betriebliche Funktionen wie ERP-System, Controllingfunktionen, Beschaffung, Fakturierung, Rechtsdienst und andere administrative Funktionen zentral in einem SSC betrieben. ⁵² Es herrscht eine uneinheitliche Meinungen darüber, ob es sich dabei schon um Outsourcing handelt oder erst um eine Vorstufe zur Ausgliederung (vgl. S. 18f). Handelt es

⁴⁹ Vgl. Billeter, T. (IT-Outsourcing), S. 255f.

⁵⁰ Vgl. Stahlknecht, P. - Hasenkamp, U. (Wirtschaftsinformatik), S. 452.

⁵¹ Vgl. Küchler, P. (Grundlagen), S. 69.

⁵² Vgl. Del Castillo, N. u. a. (Share), S. 57.

IT-Outsourcing 17

sich bei dem SSC um ein rechtlich eigenes Konzernunternehmen, kann man jedenfalls von Outsourcing im Sinne der in dieser Arbeit gegebnen Definition (vgl. S. 8) sprechen.

Application Service Providing (ASP)

Im Rahmen von ASP stellt ein Anbieter standardisierte Software vielen Kunden über ein Kommunikationsnetzwerk wie beispielsweise das Internet zur Verfügung. Es handelt sich dabei um einen One-to-many-Ansatz: Eine vorkonfigurierte Softwarelösung wird für viele Kunden zentral betrieben. Der einzelne Kunde kann über ein Netzwerk darauf zugreifen, bekommt aber grundsätzlich keine individuelle Lösung. Die Softwarelizenz verbleibt beim zentralen ASP-Anbieter. Im Grunde handelt es sich um eine Weiterentwickelung des Nutzungsmodells von Mainframe-Computern, welches aus den 60er Jahren des vorigen Jahrhunderts stammt und wie es jetzt noch in Bankenrechenzentren zu finden ist: zentraler Betrieb und Datenhaltung, dezentrale Benutzer. ⁵³ Es herrscht keine klare Meinung darüber, ob ASP neben Outsourcing als ein eigenständiges Modell existiert oder eine Weiterentwicklung von Outsourcing darstellt. ⁵⁴ Im Gegensatz zu ASP handelt es sich beim Application Hosting um einen One-to-one-Ansatz: Der Kunde erhält eine individuell konfigurierte Softwarelösung, und er ist auch der Halter der Softwarelizenz. 55

Business Process Outsourcing (BPO)

Beim BPO wird ein gesamter Geschäftsprozess an einen externen Anbieter ausgelagert. Damit geht diese Form über das IT-Outsourcing hinaus, enthält jedoch durchwegs auch IT-Komponenten. Typische Beispiele sind die externe Vergabe von Lohnverrechnung, Logistik und Kundenservice. Es handelt sich dabei um nicht geschäftskritische Prozesse. Diese Art des Outsourcings erfordert bei der Serviceorganisation spezielles Geschäftsprozess- sowie IT-Know-How. BPO erfreut sich wachsender Beliebtheit, weil es Unternehmen dabei hilft,

⁵³ Vgl. Schröder, S. (ASP), S. 89ff.

⁵⁴ Vgl. Küchler, P. (Grundlagen), S. 71.

⁵⁵ Vgl. Stahlknecht, P. - Hasenkamp, U. (Wirtschaftsinformatik), S. 452.

IT-Outsourcing 18

Prozesse zu optimieren, Kosten zu senken und die Wettbewerbsposition zu stärken. 56

222 Einteilung nach organisatorischer Form

Auf dem Weg von der internen Durchführung der Informationsverarbeitung bis zum externen Outsourcing sind verschiedene organisatorische Stufen zu unterscheiden wie die Grafik verdeutlicht: 57

Abbildung 2: Die Stufen der IT-Übertragung

Bongard unterscheidet vier Entwicklungsstufen in der Verantwortungsübertragung: 58

1. Interne IT-Abteilung

Es wird eine eigenständige IT-Abteilung innerhalb der Unternehmung gegründet, die zentral für die Fachabteilungen die Aufgabe der Informationsverarbeitung übernimmt.

⁵⁶ Vgl. Eberhardt, M. (BPO), S. 143.

⁵⁷ Abbildung modifiziert übernommen aus: Bongard, S. (Outsourcing), S. 88.

⁵⁸ Vgl. ebenda, S. 88f.

IT-Outsourcing 19

2. Interne IT-Abteilung als Profit-Center

Die interne IT-Abteilung wird als Profit-Center geführt, indem die IT-Kosten den einzelnen Kostenverursachern genau zugeordnet werden. Dies stellt einen wichtigen Schritt in Richtung Outsourcing dar.

3. Ausgliederung - internes (inhouse) Outsourcing

Wird eine Tochtergesellschaft oder ein Gemeinschaftsunternehmen gegründet, das die IT-Dienstleistungen für die beteiligten bzw. verbundenen Unternehmen erbringt, dann spricht man von einer Ausgliederung oder auch Austöchterung. Das Gemeinschaftsunternehmen kann eine Tochter mehrerer rechtlich eigenständiger Unternehmen der gleichen Branche sein, wie es beispielsweise im Bankensektor der Fall ist (vgl. S. 50), oder auch ein Joint Venture zwischen einer Serviceorganisation und dem Outsourcer sein. ⁵⁹ Nimmt man das angesprochene Beispiel eines Gemeinschaftsrechenzentrums im Bankensektor, dann sind die einzelnen Kunden der IT-Tochter somit gleichzeitig auch die Gesellschafter, was der wesentliche Unterschied zum externen Outsourcing ist. Möglichen Nachteilen wie den Gründungskosten und Redundanzen in der Administration stehen jedoch viele Vorteile gegenüber. Beispielsweise ist die Projektdurchführung mit weniger Risiken als beim externen Outsourcing verbunden, da die Kommunikation eingespielt ist, kaum unternehmenskulturelle Veränderungen erfolgen, damit auch die Mitarbeiter motivierter sind und vorhandene IT-Strukturen weiter genutzt werden können. Darüber hinaus verbleibt auch die strategische Kontrolle in der Gruppe. Der Erfolg hängt jedoch entscheidend davon ab, dass das Gemeinschaftsunternehmen in der Lage ist eine drittmarktfähige Leistung zu erbringen. ⁶⁰ Oftmals bieten die Gemeinschaftsunternehmen bzw. Töchter in Folge diese Leistungen dann auch auf dem Dritt-Markt an und werden so zu externen Serviceorganisationen.

⁵⁹ Vgl. Mertens, P. - Knolmayer, G. (Informationsverarbeitung), S. 17; Bräutigam, P. - Grabbe H. (Ausgangspunkte), S. 176.

⁶⁰ Vgl. Petersen, S. (Outsourcing), S. 171ff.

IT-Outsourcing 20

4. Externes Outsourcing

Die letzte Stufe in der Übergabe der Verantwortung über IT nach außen hin stellt das externe Outsourcing dar. Dabei wird eine rechtlich unabhängige Ser-viceorganisation mit der Übernahme von IT-Dienstleistungen beauftragt. Üblicherweise bezeichnet man nur diese Form als Outsourcing bzw. Auslagerung.

In der vorliegenden Arbeit werden jedoch sowohl Ausgliederung als auch Auslagerung als Outsourcing betrachtet. Der Grund liegt in der Behandlung durch das deutsche KWG (§ 25 a Abs. 2), in dessen Anwendungsbereich auch die Ausgliederung fällt (vgl. S. 62f). ⁶¹ Dies stellt auch die Praxis in Österreich dar.

23 Entwicklung des IT-Outsourcing

231 Geschichtlicher Abriss

Viele Artikel und Literaturstellen zu diesem Thema beginnen damit, dass es sich bei IT-Outsourcing nicht um ein neues Phänomen handelt. ⁶² Die Grafik verdeutlicht die bisherige Entwicklung: 63

Abbildung 3: Zeitleiste des Outsourcing-Trends

Die folgenden Ausführungen orientieren sich grundsätzlich an den Analysen von Lee. ⁶⁴ Tatsächlich hatte IT-Outsourcing schon in den 60er Jahren des 20.

⁶¹ Vgl. Bieg, H. - Krämer, G. (Bankenaufsicht), S. 335f.

⁶² Vgl. Lee, J.-N. u. a. (IT Outsourcing), S. 84; Xue, Y. - Sankar, C. S. - Mbarika, V. W.A. (Outsourcing), S. 9; Ramanujan, S. - Sandhya, J. (Offshoring), S. 51

⁶³ Abbildung entnommen aus: Lee, J.-N. u. a. (IT Outsourcing), S. 84.

IT-Outsourcing 21

Jahrhunderts eine große Bedeutung, welche darin begründet gewesen ist, dass die Hardware sehr kostspielig gewesen ist und das erforderliche IT-Wissen nicht ausreichend zur Verfügung gestanden ist. Daher haben viele Unternehmen die IT-Infrastruktur auf Basis von Facilities Management und Time-Sharing von externen Rechenzentren betreiben lassen. Dies hat sich in den 70er Jahren fortgesetzt. Es ist jedoch zusätzlich das Konzept der Standardsoftware aufgekommen, sodass der temporäre Zukauf von Programmier-Ressourcen als Out-sourcing-Form große Bedeutung erlangt hat, was sich in den 80er Jahren verstärkt fortgesetzt hat. Ende der 70er Anfang der 80er Jahre jedoch ist IT-Infrastruktur billiger geworden, Minicomputer und PC sind aufgekommen, womit eine Reduzierung von extern zugekauften Rechenzentrumsdienstleistungen verbunden gewesen ist. Weiters hat sich die Unternehmensphilosophie in Richtung vertikaler IT-Integration gewandelt. Für die meisten Großunternehmen ist es daher Teil der Strategie gewesen, die eigene IT direkt zu kontrollieren, sodass in den 80er Jahren der Outsourcing-Trend stark zurückgegangen ist. Dies hat sich erst geändert als Ende der 80er bzw. Anfang der 90er Jahre einige weltweit bedeutende Unternehmen ihre IT in großem Stil ausgelagert haben. ⁶⁵ An erster Stelle wird wegen des Umfangs und der Vertragssummen der Deal von Kodak im Jahr 1989 genannt: Von IBM ist der Betrieb von vier Rechenzentren übernommen worden, Businessland hat die Betreuung der PC-Infrastruktur übernommen und DEC den Betrieb der Netzwerkes. ⁶⁶ Zusammen mit dem aus Japan kommenden Lean Management ⁶⁷ , der damit einhergehenden Konzentration auf Kernkompetenzen sowie der Strömung des Business Process Reengineering ⁶⁸ und der damit verbundenen Änderung und Optimierung von Geschäftsprozessen, hat das Outsourcing in den 90ern wiederum einen Aufschwung erlebt. ⁶⁹ Im Gegensatz zu früher stehen jedoch hochwertigere und integrierte Outsourcing-Lösungen im Vordergrund.

⁶⁴ Vgl. Lee, J.-N. u. a. (IT Outsourcing), S. 84ff.

⁶⁵ Vgl. Billeter, T. (IT-Outsourcing), S. 39.

⁶⁶ Vgl. Mertens, P. - Knolmayer, G. (Informationsverarbeitung), S. 18.

⁶⁷ Man versteht darunter den Abbau von Hierarchie und das Weglassen von überflüssigen Arbeitabläufen, um die Effizienz zu steigern.

⁶⁸ Darunter ist die revolutionäre Änderung aller bisheriger Geschäftsprozesse zu verstehen.

⁶⁹ Vgl. Horchler, H. (Intelligentes Sourcing), S. 17.

IT-Outsourcing 22

232 Aktuelle Trends im Bankensektor

In der Industrie hat sich externes IT-Outsourcing durchgesetzt, um Prozesse schlanker zu gestalten, die vertikale Wertschöpfungskette zu verringern sowie den Kundenfokus zu stärken. Ausgelagert wird grundsätzlich alles, was nicht den Kernkompetenzen entspricht. ⁷⁰ Dagegen ist man im Finanzdienstleistungs-sektor noch nicht so weit. Der österreichische wie auch deutsche Bankensektor mit seinen traditionellen Universalbanken und hoher Wertschöpfungstiefe ist mit verstärktem Wettbewerb, sinkenden Zinsmargen und Kostendruck konfrontiert. Deshalb spricht man auch von der Industrialisierung der Kreditwirtschaft als Lösung für die bestehenden Strukturprobleme. Das bedeutet eine Konzentration auf die Kernkompetenzen und den Kunden sowie Verringerung der „Fertigungstiefe“. Auslagerung spielt dabei eine große Rolle. ⁷¹ Besonders geeignet sind standardisierte Prozesse wie die IT, einzelne Geschäftsprozesse wie beispielsweise der Zahlungsverkehr, Wertpapierabwicklung und Kreditbearbeitung sowie das gesamte Back-Office, welche von spezialisierten Serviceorganisationen besser, kostengünstiger und effektiver durchgeführt werden können. Dass die Bankenwelt noch nicht so weit ist wie beispielsweise die Auto- oder Stahlindustrie liegt vor allem daran, dass proprietäre IT-Lösungen in den einzelnen Banken dominieren, obwohl es sich zum Teil um standardisierbare Geschäftsprozesse handelt. Das Fehlen von allgemein akzeptieren Standards führt dazu, dass jede größere Bankengruppe ihr eigenes Rechenzentrum betreibt (vgl. S. 50ff). ⁷² Dennoch ist Outsourcing ein aktuelles Thema. Neben den oben schon erwähnten Geschäftsprozessen sowie der zentralen IT, kommen Filial-IT inklusive -Telekommunikation und SB-IT verstärkt auf die Outsourcing-Agenda. Ein Beispiel ist die Übertragung des Betriebes des SB-Netzes sowie des Cash-Managements der Automaten der ABN Amro Bank in den Niederlanden an Wincor Nixdorf. Dadurch kann sich die Bank verstärkt auf die Beratung von Kunden konzentrieren. ⁷³ Darüber hinaus sind auch alle nicht bankfachlichen Anwendungen mit einem hohen Standardisierungsrad Ziel einer Auslagerung,

⁷⁰ Vgl. Betsch, O. (Bankindustrie), S. 10ff.

⁷¹ Vgl. Sokolovsky, Z. (Industrialisierung), S. 37f.

⁷² Vgl. Berensmann, D. (Industrialisierung), S. 89f.

⁷³ Vgl. Kassner, S. (Retail-Banking), S. 20.

IT-Outsourcing 23

um diese Bereiche zu optimieren. Auch das Problem der Standardisierung wird laufend thematisiert, obwohl sich die Umsetzung wegen der vielen proprietären Lösungen schwierig gestaltet. So wird derzeit beispielsweise unter dem Stich-wort SEPA an der Idee eines Euro-weit einheitlichen Zahlungsverkehrssystems gearbeitet. 74

24 Potentiale im IT-Outsourcing

241 Gründe

Die Gründe für IT-Outsourcing sind vielfältig, weswegen hier nur jene, welche am häufigsten genannt werden und insbesondere auch auf Banken zutreffen, erläutert werden. Es handelt sich um die Bereiche Kosten, Strategie und Leistung.

Kosten

Das weltweite Öffnen und Zusammenwachsen von Märkten (Globalisierung) hat zum Entstehen weltweit agierender Konzerne sowie zu Markeintritten von Untenehmen geführt, wo diese bisher nicht tätig waren. Dies bekommen auch die österreichischen Banken insbesondere seit dem EU-Beitritt Österreichs 1995 im Inland zu spüren. Weltweite Liberalisierung der Kapitalmärkte, Entwicklung innovativer Finanzprodukte und Markteintritt ausländische Banken sowie von Non- und Near-Banks im Inland haben den Wettbewerbs- und Kostendruck stark erhöht. ⁷⁵ Ein wesentliches davon abgeleitetes Motiv für Outsourcing ist daher die Kosteneinsparung. Durch Auslagern der IT lassen sich fixe Kosten in variable umwandeln sowie Skaleneffekte ausnutzen. Die Serviceorganisation kann durch Spezialisierung sowie der großen Anzahl an Kunden mit ähnlichen oder gleichen Anforderungen ihre IT-Dienstleistungen kostengünstiger anbieten. 76

⁷⁴ Vgl. http://www.zahlungsverkehrsfragen.de/sepa_epc.html, abgerufen am 5.6.2006.

⁷⁵ Vgl. Betsch, O. (Bankindustrie), S. 5.

⁷⁶ Vgl. Billeter, T. (IT-Outsourcing), S. 41.

IT-Outsourcing 24

Strategie

Neben Kostenüberlegungen spielen auch strategische Überlegungen eine Rolle bei der Outsourcing-Entscheidung. Im Vordergrund steht dabei die Konzentration auf Kernkompetenzen (vgl. S. 21). Denn eine Kostenreduzierung geht einher mit der Überlegung, welche Leistungsbereiche kostenintensiv sind, aber am wenigsten zur Wertschöpfung beitragen. Diese sind dann Ziel von Outsourcing-Bestrebungen, wozu u. a. die IT gehört. Dadurch kann die Wertschöpfungstiefe verringert werden. Es werden Ressourcen frei, die in den wertschöpfungsstarken Kernbereichen besser eingesetzt werden können. ⁷⁷ Die Industrie hat es vorgezeigt und es trifft nun insbesondere auf Banken zu: IT ist keine Kernkompetenz, die Nutzung von IT zur Generierung und Vertrieb von Bankprodukten jedoch schon. 78

Zu den strategischen Motiven zählt auch der Risikotransfer. Über SLAs (vgl. S. 27f) können bestimmte Risiken wie beispielsweise das Betriebsrisiko der IT-Infrastruktur teilweise auf die Serviceorganisation abgewälzt werden. Da die IT-Dienstleistungen zu den Kernkompetenzen der Serviceorganisation zählen, wird darüber hinaus das Risiko des Eintretens eines solchen Schadensfalls als geringer eingeschätzt. 79

Leistung

Unter diesem Gesichtspunkt können Aspekte des IT-Know-Hows zusammengefasst werden. Im Allgemeinen ist der innerbetriebliche Aufbau spezieller IT-Kenntnisse kosten- und zeitintensiv und daher nicht wirtschaftlich. ⁸⁰ Letztendlich kann man daher diese Motivation zum Auslagern wiederum auf den Kostendruck zurückführen. Oftmals ist jedoch die erforderliche Qualifikation schwer auf dem Markt zu bekommen, wie beispielsweise Programmierkenntnisse in PL/1 ⁸¹ . Eine entsprechende Serviceorganisation bietet einen schnellen und kostengünstigern den Zugang zu solch speziellem IT-Know-How.

⁷⁷ Vgl. Quinn, J. B. - Hilmer, F. G. (Outsourcing), S. 43ff; Jorgensen, J. (outsourced IT), S. 54; King, W. R. (Outsourcing), S. 83.

⁷⁸ Peterson, S. (Outsourcing), S. 164f.

⁷⁹ Vgl. Billeter, T. (IT-Outsourcing), S. 142.

⁸⁰ Vgl. Mertens, P. - Knolmayer, G. (Informationsverarbeitung), S. 18.

⁸¹ PL/1 ist eine Programmiersprache, die von IBM in den 1960ern entwickelt worden ist.

IT-Outsourcing 25

Das IT-Know-How bezieht sich nicht nur auf die Fachkompetenz sondern auch auf die Technologie, deren Entwicklung in kurzen Zyklen schnell voranschreitet und immer komplexer wird. Outsourcer erhalten über eine Serviceorganisation die Möglichkeit, aktuelle Technologien in zuverlässiger Weise zu beziehen. Damit kann der Outsourcer seine Innovationskraft erhöhen und seine Geschäftsprozesse besser unterstützen. Dies gilt insbesondere für kleinere Unternehmen. 82

Darüber hinaus kann der Outsourcer durch Auslagern der IT die Flexibilität seiner Leistung erhöhen. Der verschärfte Wettbewerb verlangt das rasche und flexible Reagieren auf Änderungen des Marktes. Eine Serviceorganisation kann entsprechende Spitzen und Tiefen in der IT-Auslastung besser abfedern. 83

242 Risiken und Nutzen

Den offensichtlichen Vorteilen einer Auslagerung, welche schon aus den Gründen ableitbar sind bzw. mit ihnen zum Teil identisch sind (vgl. S. 23f), stehen auch signifikante Risiken gegenüber. Ein Outsourcer hat weiters zusätzliche Management Kapazitäten und Qualifikationen beispielsweise im Bereich des Vertragsmanagements und der Kontroll- und Steuerungsverfahren über den ausgelagerten Bereich zu entwickeln. ⁸⁴ Denn man kann nicht kontrollieren und steuern, was man nicht versteht. Das Fällen einer Entscheidung pro oder contra Outsourcing soll daher wohl überlegt sein und erfordert das Gegenüberstellen von möglichen Nutzen und Risiken. Die Bandbreite möglicher Entscheidungsfelder und Kriterien ist sehr groß. Zum Zweck einer Systematisierung werden in der Literatur so genannte Argumentenbilanzen aufgestellt, in welche alle potentiell relevanten Kriterien einfließen. Die tatsächliche Relevanz und Gewichtung hat immer das jeweilige Management je Entscheidungsfall zu treffen. 85

⁸² Vgl. Bongard, S. (Outsourcing), S. 110.

⁸³ Vgl. Billeter, T. (IT-Outsourcing), S. 142.

⁸⁴ Vgl. King, W. R. (Outsourcing), S. 83; Lamberti, H.-J. (Banken),.S. 512.

⁸⁵ Vgl. Mertens, P. - Knolmayer, G. (Informationsverarbeitung), S. 23.

IT-Outsourcing 26

Die folgende Darstellung nach Mertens und Knolymayer fasst die einzelnen Argumente aus der Sicht des Managements des Outsourcers in den fünf Gruppen Strategie, Leistung, Kosten, Personal und Finanzen zusammen: 86

⁸⁶ Abbildung modifiziert übernommen aus: Mertens, P. - Knolmayer, G. (Informationsverarbei- tung), S. 24.

IT-Outsourcing 27

Abbildung 4: Argumentenbilanz zum Outsourcing von IT-Aufgaben

Da IT-Outsourcing nicht das Hauptthema dieser Arbeit ist, wird auf die möglichen Entscheidungskriterien nicht im Detail eingegangen.

25 Das Service Level Agreement (SLA)

Das zentrale Element in der Gestaltung einer Outsourcing-Beziehung, das auch wichtige Elemente in Hinblick auf eine externen Prüfung enthält, ist das Service Level Agreement (SLA). Die Aufgabe eines SLAs ist die genauere Definition der einzelnen Leistungen, Pflichten und Verantwortlichkeiten, nachdem der Rahmenvertrag als die vertragliche Basis vor allem allgemeine juristische Bestimmungen enthält. ⁸⁷ Da wegen der vielfältigen Outsourcing-Lösungen kein allgemein gültiges SLA Muster existieren kann, werden bestimmte Mindestinhalte definiert. Darüber hinaus obliegt es dem Verhandlungsgeschick des Managements, wichtige und relevante Punkte festzuhalten. Die Vertragsverhandlungen sind ein Schlüssel zum Erfolg eines solchen Projektes. „Most of the companies in our study that outsourced emerging technologies experienced disastrous results because they lacked the expertise to negotiate sound contracts and evaluate suppliers' performances.” ⁸⁸ Daher sollten grundsätzlich keine Standardverträge der Serviceorganisationen unterschrieben werden. ⁸⁹ Aus Sicht der Prüfung (extern wie intern) ist es unerlässlich, entsprechende Prüfrechte im Rahmenvertrag oder SLA festzuhalten. Interne Prüfer des Outsourcers sollten Zugriffsrechte auf sämtliche eigene Programme sowie das Recht auf eine Prüfung des relevanten IKS, der Vertragseinhaltung, Abrechnung und Effizienz ha-

⁸⁷ Vgl.Bräutigam, P. (Vertragsgestaltung), S. 645 und 802.

⁸⁸ Lacity, M. C. - Willcocks, L. P. - Feeny, D. F. (IT Outsourcing), S. 91.

⁸⁹ Vgl. ebenda.

IT-Outsourcing 28

ben. Darüber hinaus sollten die Prüfer Zugriff auf entsprechende Systemwerkzeuge des Rechenzentrums haben, welche eine effektive Prüfung unterstützen oder überhaupt erst ermöglichen. 90

Anschließend sind in Form einer unkommentierten Aufzählung die Schwerpunkte in SLAs nach Gründer und Lessmann angeführt: 91

• Präzision (beispielsweise exakt bestimmte Leistungsparameter, präzise Definition der Parteien und Verantwortlichkeiten) • Leistungsmerkmale und Kenngrößen (zur Beurteilung der gelieferten Qualität)

• Verfügbarkeit (von IT-Komponenten, -Diensten oder -systemen) • Wartungszeiten (von IT-Infrastruktur)

• Reaktionszeit und Reaktionsquote (beispielsweise für den User Help Desk)

• Support-Sprache (im Falle von Offshoring-Outsourcing im fremdsprachige Ausland wichtig)

• Fehlerlösungszeit und Lösungsquote (betrifft vor allem den User Help Desk)

• Eskalationsszenario (technisch innerhalb der Serviceorganisation sowie durch den Outsourcer in der Hierarchie der Serviceorganisation) • Leistungsmessung, Reporting und Monitoring (betrifft die schon angesprochenen Kontroll- und Steuerungsmöglichkeiten durch das Management des Outsourcers, vgl. S. 25 und S. 27) • Change Management und Mitwirkungspflichten (betrifft die Anpassung der Änderung vereinbarter Leistungen sowie die Mitwirkung des Outsourcers in bestimmten Fällen)

• Pönalien und Boni (bei Nicht-Einhaltung vereinbarter Leistungen bzw. als Leistungsanreiz bei Erfüllung oder Übererfüllung) • Exit-Vereinbarung (als Sonderkündigungsrecht bei fortdauernder Minderleistung)

⁹⁰ Vgl. Jorgensen, J. (Outsourced IT), S. 55.

⁹¹ Vgl. Gründer, T. - Lessmann, A. (SLA), S. 181ff.

IT-Outsourcing 29

26 Zusammenfassung

In diesem Kapitel ist eingangs der Begriff des IT-Outsourcings erläutert worden. Dabei ist näher auf den Begriff IT eingegangen worden. Anschließend sind die Arten des IT-Outsourcings nach inhaltlichem Umfang und sachlicher Art sowie organisatorischer Form dargestellt worden. Die Entwicklung des IT-Outsourcings hat sich sowohl mit der bisherige Historie im Überblick sowie den aktuellen Trends mit Schwerpunkt auf den Bankensektor beschäftigt. Nachdem die Gründe für IT-Outsourcing aufgezeigt worden sind, sind den Vorteilen die Nachteile gegenübergestellt worden. Abschließend sind wichtige Punkte im SLA behandelt worden.