Die Prüfung ausgelagerter IT-Dienstleistungen nach ISA 402 in einem Bankenrechenzentrum

Inhaltsverzeichnis

Abbildungsverzeichnis

Abkürzungsverzeichnis

1 Einleitung
11 Problemstellung
12 Gang der Untersuchung

2 IT-Outsourcing
21 Begrifflich Grundlagen
211 Outsourcing
212 IT
22 Arten des Outsourcing
221 Einteilung nach inhaltlichem Umfang und sachlicher Art
222 Einteilung nach organisatorischer Form
23 Entwicklung des IT-Outsourcing
231 Geschichtlicher Abriss
232 Aktuelle Trends im Bankensektor
24 Potentiale im IT-Outsourcing
241 Gründe
242 Risiken und Nutzen
25 Das Service Level Agreement (SLA)
26 Zusammenfassung

3 Bankenrechenzentrum
31 Bankdienstleistungen
311 Die Bedeutung von IT
312 Geschäftsfelder und -prozesse
3121 Übersicht Bankleistungen
3122 Kernprozesse und -anwendungen
32 Leistungsspektrum von Rechenzentren
321 Grundlagen
3211 Das Rechenzentrum
3212 Aufgaben und Arbeitsabläufe im Rechenzentrum
322 Leistungen
3221 Querschnittsleistungen
3222 Technik und Service
3223 General Services
33 IT-Struktur eines Bankenrechenzentrums
331 Generische Systemarchitektur
332 Generische Anwendungsarchitektur
34 Die Situation in Österreich
341 iT-Austria
342 Raiffeisen Informatik (RI)
343 Allgemeines Rechenzentrum (ARZ)
35 Zusammenfassung

4 Wirtschaftsprüfung und IT
41 Rechtliche Grundlagen und Bestimmungen
411 Zentrale Grundsätze
4111 IKS
4112 IT
4113 GoB
412 Weiterführende Bestimmungen
4121 IKS
4122 IT und GoB
4123 Regelungen betreffend Outsourcing
4124 Sarbanes-Oxley Act (SOA)
42 Der risiko-, prozess- und systemorientierte Prüfungsansatz
421 Grundsatz der Wesentlichkeit
422 Modell der Prüfungssicherheit
423 Ausrichtung der Prüfungsstrategie nach möglichen Fehlern in den Aussagen
424 Weiterentwicklungen: Prozess- und Systemorientierung
425 ISA 315 und 330 im Überblick
43 Das interne Kontrollsystem und IT
431 Definition eines IKS und COSO
432 IT und interne Kontrollen
4321 Risiken und Bedrohungen
4322 IT-Kontrollen
433 CobiT
434 Konzept einer IT-Systemprüfung
44 Zusammenfassung

5 Die Prüfung ausgelagerter IT nach ISA
51 Der Standard ISA
511 Die Regelungen im Detail
512 Analyse des Standards ISA
5121 Schwächen
5122 Stärken
513 Ein Vergleich mit SAS
514 Schlussfolgerung
52 Aufbau des ISA 402 Berichts Typ B
521 Abschnitt 1 - Bestätigungsvermerk
522 Abschnitt 2 - Beschreibung des IKS
523 Abschnitt 3 - Testbeschreibungen und -ergebnisse
53 Die Prüfung zur Erstellung eines ISA 402 Berichts Typ B
531 Bestimmung des Prüfungsumfangs
5311 Allgemeines
5312 Prüfungsumfang ITGC
5313 Prüfungsumfang ITAC
532 Phasen der Prüfungsdurchführung
5321 Unterstützung des Managements
5322 Beurteilung der Richtigkeit des IKS
5323 Beurteilung der Eignung
5324 Prüfung der Wirksamkeit
54 Zusammenfassung

6 Zusammenfassung und Ausblick

7 Anhang

ISA 402 “Audit Considerations relating to Entities using Service Organizations”

Literaturverzeichnis

Abbildungsverzeichnis

Abbildung 1: Zusammenhang zwischen Informations- und Anwendungssystem

Abbildung 2: Die Stufen der IT-Übertragung

Abbildung 3: Zeitleiste des Outsourcing-Trends

Abbildung 4: Argumentenbilanz zum Outsourcing von IT-Aufgaben

Abbildung 5: Evolution der Informationssysteme

Abbildung 6: Übersicht über die Bankleistungen

Abbildung 7: Aufgabenbereich des Systemmanagements

Abbildung 8: Arbeitsablauf im Rechenzentrum

Abbildung 9: Generische Systemarchitektur von Finanzdienstleistern

Abbildung 10: Generische Anwendungsarchitektur von Finanzdienstleistern

Abbildung 11: Risiken der Abschlussprüfung und deren Verhältnis

Abbildung 12: Regelungsbereiche des internen Kontrollsystems

Abbildung 13: Zusammenhang zwischen Zielen und Komponenten

Abbildung 14: Die vier Grundbedrohungen der IT-Sicherheit

Abbildung 15: Zusammenhang zwischen ITGC und ITAC

Abbildung 16: CobiT Grundprinzip

Abbildung 17: IT-Lebenskreis nach CobiT

Abbildung 18: Zusammenhang IT-Prozesse, IT-Ressourcen und Informationskriterien

Abbildung 19: Inhalte und Unterschiede der Berichtstypen

Abbildung 20: Kontrollmatrix für ITGC

Abbildung 21: Kontrollmatrix für ITAC

Abbildung 22: Kernumfang ITGC nach CobiT 4.0 bei umfassendem IT-Outsourcing

Abbildung 23: Phasen einer Prüfungsdurchführung bei Bericht Typ B

Abbildung 24: Kontrollaktivitäten und Unterschiede in der Prüfungssicherheit

Abbildung 25: Prüfungssicherheit nach Art der System- und Funktionstests

Abbildung 26: Stichprobenumfänge bei manuellen Kontrollen

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

11 Problemstellung

„Alle Prozesse eines Unternehmens sind heute ohne IT undenkbar.“^[1] Die rasante Entwicklung im Technologiebereich sowie die Herausforderungen der globalisierten Märkte führen dazu, dass die IT einen immer größeren Stellenwert bei der Bewältigung der komplexen Geschäftstransaktionen darstellt. Trotz seiner Bedeutung ist IT meist ein notwendiger aber nicht hinreichender Faktor bei der Verwirklichung der Unternehmensziele und daher Outsourcing Bestrebungen ausgesetzt.

Dies trifft insbesondere auch auf Banken zu, deren Geschäft die Verarbeitung von Informationen bedingt. Viele operative Bankprozesse sind grundsätzlich einfach strukturiert und wiederholen sich, sodass sie sich sehr gut für eine Automatisierung eignen. Dieser Prozess der Automatisierung begann schon in den 60er Jahren mit der Einrichtung von Mainframesystemen zur Verarbeitung der Massendaten. Daran zeigt sich die große Bedeutung, welche die IT im gesamten Wertschöpfungsprozess einer Bank hat.^[2] Den Chancen, welche sich durch den Einsatz von modernen IT-Lösungen wie beispielsweise Web Services ergeben, stehen aber auch Risiken gegenüber. Die Abhängigkeit von IT und zunehmende Komplexität von Systemen und Netzwerken führen zu neuen Gefahren im Hinblick auf die Erreichung der Unternehmensziele, sodass sich auch ein Abschlussprüfer damit auseinandersetzen muss. Risiken ergeben sich aber nicht nur aus der Verwendung von IT sondern auch aus der Auslagerung derselben.

Die generische Systemarchitektur einer Bank eignet sich besonders für die Auslagerung. Sie besteht im Wesentlichen aus drei Systemen: einem Rechenzentrum, einer Filiale und einem Direktvertriebskanal.^[3] Deswegen haben Banken schon früh die Dienstleistungen der IT-Abteilung(en) in einem Rechenzentrum, das oft in einer Tochtergesellschaft der Bank geführt wird, ausgelagert. Da es sich um die Auslagerung von informations- und kommunikationstechnisch geprägten Prozessen handelt, spricht man von IT-Outsourcing.

Für den Abschlussprüfer des auslagernden Unternehmens ergeben sich dadurch jedoch zusätzliche zu berücksichtigende Aspekte. Nach den International Standards on Auditing (ISA), herausgegeben von der IFAC (International Federation of Accountants^[4] ), ist er dazu angehalten, die Auswirkungen auf die Kontrollumgebung der zu prüfenden Unternehmung zu beurteilen. Speziell für den Fall des Outsourcings wurde der ISA 402 “Audit Considerations Relating to Entities Using Service Organizations“ geschaffen. Danach hat der Abschlussprüfer zu beurteilen, in wie weit die ausgelagerten Prozesse und Aktivitäten für die Rechnungslegung des zu prüfenden Unternehmens und seine Prüfziele relevant und wichtig sind und wie sie sich auf seine Risikoeinschätzung hinsichtlich des vom zu prüfenden Unternehmen eingerichteten internen Kontrollsystems (IKS) auswirken.^[5] Sind die bezogenen Dienstleistungen relevant und signifikant und will sich der Abschlussprüfer auf Basis eines risikoorientierten Prüfungsansatzes auf die Wirksamkeit der Kontrollen im ausgelagerten Bereich verlassen, dann hat er laut ISA 402 drei Möglichkeiten:^[6]

1. Der Prüfer des auslagernden Unternehmens prüft jene Kontrollen, die das auslagernde Unternehmen über die ausgelagerten Aktivitäten eingerichtet hat.
2. Der Prüfer des auslagernden Unternehmens führt die Prüfungshandlungen direkt beim Serviceunternehmen durch.
3. Der Prüfer des auslagernden Unternehmens fordert vom Prüfer der Serviceorganisation einen Bericht über die Angemessenheit und Wirksamkeit des internen Kontrollsystems an.

Unter die relevanten und signifikanten Prozesse und Aktivitäten fallen auf jeden Fall auch Rechenzentrumsdienstleistungen, da es kaum einen rechnungslegungsrelevanten Prozess gibt, welcher nicht durch IT unterstützt wird. Der ISA 402 geht vor allem auf den dritten Punkt ein und definiert einen allgemeinen Rahmen für das Vorgehen des Abschlussprüfers eines auslagernden Unternehmens und für die Verwendung eines Prüfberichts, ausgestellt durch einen dritten Prüfer bei der Serviceorganisation.

In den letzten zwei Jahren haben sich auch in Österreich mehr Situationen ergeben, in denen Abschlussprüfer Berichte nach ISA 402 - und auch nach SAS 70 (dem US-amerikanischen Pendant von ISA 402) - verlangt haben. Dies ist auch eine Folge der verschärften Bestimmungen nach dem Sarbanes-Oxley-Act von 2002^[7], in dessen ausführenden Bestimmungen für die Bestätigung der Wirksamkeit von Kontrollen über ausgelagerte und rechnungslegungsrelevante Prozesse und Aktivitäten ein Bericht gemäß SAS 70 Typ II verlangt wird. Aufgabe dieser Arbeit ist es, neben den Gründen, Arten und Risiken des IT-Outsourcings die Grundlagen und die Umsetzung einer Prüfung nach ISA 402 darzustellen. Das Beispiel eines Bankenrechenzentrums wurde gewählt, weil es sich hierbei um typisches IT-Outsourcing in vollem Umfang handelt. Daher werden auch typische IT-Dienstleistungen eines Rechenzentrums erläutert.

Obwohl die meisten größeren Wirtschaftsprüfungsgesellschaften, darunter auch die Big Four (PwC, KPMG, Ernst & Young und Deloitte & Touche), ihr Prüfvorgehen an den ISA ausrichten,^[8] sind diese in Österreich nicht gesetzlich vorgeschrieben. Aus diesem Grund ist ein Abschlussprüfer im Anwendungsbereich des österreichischen HGB auch nicht gesetzlich verpflichtet, das IKS zu prüfen, obschon er es nach dem Fachgutachten KFS/PG 1^[9] ist. Und die Prüfung des IKS ist Ausgangspunkt für eine Prüfung nach ISA 402. Aber gerade wegen einer Entscheidung der EU gewinnt das Thema ISA 402 an Aktualität: Am 11. Oktober 2005 wurde mit der Zustimmung der EU-Mitgliedsstaaten zu der vom Europäischen Parlament verabschiedeten Neufassung der Achten EG-Richtlinie („Abschlussprüferrichtlinie“), betreffend Gesellschaftsrecht, das Gesetzgebungsverfahren abgeschlossen. Die Richtlinie ist am 9. Juni 2006 im EU-Amtsblatt veröffentlicht worden. Damit wird die Anwendung der ISA für alle gesetzlichen Abschlussprüfungen in der EU verbindlich werden. Berücksichtigt man alle Fristen bei der Umsetzung in nationales Recht, dann könnten die ISA möglicherweise für Prüfungen der Jahresabschlüsse zum 31. Dezember 2008 erstmals in Österreich verpflichtend zur Anwendung kommen.^[10]

12 Gang der Untersuchung

Im folgenden Kapitel werden die Grundlagen des IT-Outsourcings erläutert. Beginnend mit Begriffsklärungen wird auf die Gründe von Outsourcing, die Arten und Formen sowie auf die allgemeinen Risiken und auch Chancen beim Outsourcing eingegangen. Weiters wird in diesem Kapitel ein Bezug zur Bankenwelt hergestellt, indem deren Industrialisierung und Outsourcing-Bestrebungen analysiert werden. Es wird die Prozessorientierung, die Wertschöpfung und deren Wertsteigerung, welche u. a. zum Outsourcing führt, sowie die Rolle der IT betrachtet.

Das dritte Kapitel zeigt die typischen Bankdienstleistungen auf und geht auf die Wichtigkeit von IT bei Bankprodukten ein. In Folge wird auf die begriffliche Bestimmung und die Arten von Rechenzentren sowie deren übliche Aufgaben und Dienstleistungen eingegangen, sodass in Kapitel fünf auf den Prüfungsumfang eingegangen werden kann. Nachdem die generische System- und Anwendungsarchitektur eines Bankenrechenzentrums betrachtet worden ist, wird abschließend am Beispiel von drei Bankenrechenzentren die österreichische Situation erläutert.

Mit der Wirtschaftprüfung bei Einsatz von Informationstechnik beschäftigt sich das vierte Kapitel dieser Arbeit. Grundsätzlich werden zwei Themenschwerpunkte betrachtet. Zum einen wird der derzeitig in der Wirtschaftsprüfung weltweit angewandte Prüfungsansatz dargestellt, zum anderen wie IKS, IT und der Prüfungsansatz zusammenhängen. Als Basis werden die rechtlichen und weiterführenden Grundlagen für eine Prüfung des IKS und der IT analysiert, um daraufhin den risiko-, prozess- und systemorientierten Prüfungsansatz zu erklären. Nach einer Darstellung der Struktur eines IKS nach COSO sowie einer Einordnung von IT-Kontrollen in dieses Konzept wird das IT-Governance Tool CobiT vorgestellt. Es stellt ein international anerkanntes Rahmenwerk für die Positionierung und Prüfung von IT-Prozessen dar und dient in Kapitel fünf als Basis zur Festlegung des Prüfungsumfanges. Abschließend wird das Vorgehen einer IT-Prüfung behandelt.

Nachdem die wichtigen Grundlagen dargestellt worden sind, ist der Gegenstand der weiteren Untersuchung die Umsetzung einer IT-Prüfung im Outsourcing-Fall. Dies wird anhand eines Bankenrechenzentrums unter Anwendung der Erkenntnisse der vorigen Kapitel behandelt. Dazu wird zuerst der Standard ISA 402 „Audit Considerations relating to entities using service organizations“ zusammen mit Vor- und Nachteilen vorgestellt. Danach werden mangels Definition im Standard Überlegungen angestellt, wie der inhaltliche Aufbau eines solchen Berichts gestaltet werden kann. Dazu werden ebenso wie bei der folgenden Festlegung eines möglichen Prüfumfangs die Anforderungen der Abschlussprüfer und andere mögliche Kriterien zur Bestimmung betrachtet. Auf den Zusammenhang zum im vierten Kapitel erläuterten Prüfungsansatz wird dabei eingegangen. Anschließend werden die Phasen eines Projekts zur Erstellung eines Berichts Typ B nach ISA 402 betrachtet. Von der Unterstützung des Managements bei der Erstellung einer adäquaten Kontrolldokumentation über die Beurteilung der Eignung der Kontrollen bis zur Prüfung der Wirksamkeit der Kontrollen durch den externen Prüfer werden die Vorgangsweisen dargestellt und analysiert. Die Ausführungen in diesem Kapitel sollen mangels Vorgaben im Standard einen Anhaltspunkt zu Umfang, Inhalt und Durchführung einer derartigen Prüfung bieten, welche sich an der derzeitigen Praxis orientieren.

Das letzte Kapitel fasst die Ergebnisse dieser Arbeit zusammen und gibt einen Ausblick auf die mögliche Entwicklung im behandelten Bereich.

2 IT-Outsourcing

21 Begrifflich Grundlagen

Als Ausgangspunkt für die Prüfung ausgelagerter IT-Dienstleistungen werden zunächst die beiden Begriffe „Outsourcing“ und „IT“ erläutert.

211 Outsourcing

Der Begriff „Outsourcing“ ist eigentlich ein Kunstwort, das sich aus den englischen Wörtern „outside“ „resource“ „using“ zusammensetzt^[11]. Wortwörtlich bedeutet es, dass externe, nicht in den Verantwortungsbereich des Unternehmens gehörende, Produktions- und Betriebsmittel sowie Dienstleistungen bezogen und verwendet werden. In der Literatur existieren unzählige Begriffsdefinitionen. Vielfach entstammen diese der Praxis, welche viele unterschiedliche Arten von Outsourcing kennt, wie die nachfolgenden Abschnitte zeigen werden.^[12] Eine exakte und allgemein anerkannte Abgrenzung und einheitliche Definition des Begriffs „Outsourcing“ gibt es daher nicht. Jedoch lassen sich bestimmte Gemeinsamkeiten in den Definitionen finden. Regelmäßig versteht man unter Outsourcing eine längerfristige Beziehung zwischen dem Outsourcer^[13] und der Serviceorganisation^[14]. Die Partnerschaft bzw. strategische Allianz zwischen den beiden Unternehmen steht gegenüber einem kurzfristigen Käufer-Verkäufer-Verhältnis im Vordergrund.^[15] Die Serviceorganisation ist ein drittes Unternehmen, das sich auf das Anbieten spezifischer Dienstleistungen konzentriert, welche seine Kernkompetenzen darstellen. Ein Beispiel ist das Anbieten von Rechenzentrumsdienstleistungen. Weiters wird der Aspekt des Auslagerns^[16] von bisher im Unternehmen erbrachter Aufgaben, Funktionen und Leistungen, meist zusammen mit einem Übergang von Produktions- und Betriebsmittel sowie Personal, betont.^[17] Der Outsourcer kauft nicht nur die Dienstleistungen der Serviceorganisation, sondern er verkauft Teilfunktionen und -bereiche seines Betriebes an die Serviceorganisation.^[18] Jedoch müssen die ausgelagerten Dienstleistungen nicht zwangsläufig bisher intern erbracht worden sein, um Outsourcing zu begründen. Wie intensiv die Aufgaben, Funktionen und Leistungen bisher zur Wertschöpfung beigetragen haben, ist ebenso nicht relevant.^[19] Die Über­tragung des Sicherheitsdiensts in einer Wirtschaftsprüfungskanzlei stellt ebenfalls Outsourcing dar. Oftmals beschränken sich Definitionsversuche - in Anlehnung an eine in der Praxis sehr häufig vorkommende Art des Outsourcings - auf die Auslagerung von IT-Prozessen und -Funktionen^[20], obwohl der Begriff „Outsourcing“ grundsätzlich nicht nur im Bereich der Informationsverarbeitung verwendet wird. Als Beispiel sei hier das Outsourcing der Lohnverrechung genannt. Werden Unternehmensbereiche an eine Serviceorganisation im Ausland ausgelagert, dann spricht man von Offshore-Outsourcing.^[21]

Daraus ergeben sich folgende wesentliche Punkte:

- Externe Erbringung von Aufgaben, Funktionen und Leistungen
- Langfristigkeit der Beziehung
- Irrelevanz der bisherigen Erbringung der Leistung
- Irrelevanz des Beitrags zur Wertschöpfung
- Spezialisierung des Serviceunternehmens

Keine Rolle spielen ebenso die Art der Leistung und der Ort bzw. das Land der Leistungserbringung für eine allgemeine Definition von Outsourcing, wie sie in dieser Arbeit verwendet wird:

Outsourcing ist die mittel- und langfristige externe Erbringung von Aufgaben, Funktionen und Leistungen durch ein anderes Unternehmen (Serviceorganisation), das sich auf die entsprechenden Dienstleistungen spezialisiert.^[22]

Diese Definition steht auch in Einklang mit der Auslegung des § 25a Abs. 2 KWG in Deutschland, was auch die österreichische Praxis darstellt.^[23]

212 IT

Um den Begriff „IT“ zu erläutern, muss zuerst auf den Begriff der Information eingegangen werden, der für das „I“ in IT steht.

Information

Ebenso wie beim Begriff „Outsourcing“ besteht beim Begriff „Information“, in der Wissenschaft keine einheitliche Definition.^[24] Heinrich und Lehner definieren Information als „handlungsbestimmendes Wissen über historische, gegenwärtige und zukünftige Zustände der Wirklichkeit und Vorgänge in der Wirklichkeit“^[25]. Eine Schwäche in dieser Definition liegt darin, dass auch der Begriff „Wissen“ in der Forschung einer ist, welcher vielfältigen Interpretation unterliegt. Es ist darauf aufmerksam zu machen, dass in der Informationstheorie der syntaktische und semantische Informationsbegriff^[26] unverbunden nebeneinander stehen. Hier ist offenkundig der semantische Informationsbegriff gemeint. In der Praxis wird jedoch kaum auf den Unterschied eingegangen. Es ist daher richtig, im Bereich der Wissenschaft der Informatik, in dem sich diese Arbeit u. a. bewegt, zwischen Daten und Information zu unterscheiden. Daten sind Ereignisse und Fakten, die von einem Rechner verarbeitet und bereitgestellt werden, aber noch nicht gedeutet sind. Sie stellen daher noch keine Information dar. Information stellen die Daten erst dar, wenn sie in eine für den Empfänger verständliche Form gebracht worden sind und eine Bedeutung für diesen haben.^[27] In diesem Sinne werden die Begriffe „Information“ und „Daten“ in dieser Arbeit verwendet.

Aus einem anderen Blickwinkel betrachtet wird Information als Produktionsfaktor verstanden. Die hohe Bedeutung, welche der Information als Produktionsfaktor zukommt, kann daran gemessen werden, dass man gegenwärtig vom Informationszeitalter spricht, das von wissens- und informationsbasierten Dienstleistungsgesellschaften dominiert wird^[28]. Nach dem IRM-Ansatz ist es die Aufgabe des Managements, ausreichende Betriebsmittel zur Verfügung zu stellen, um die richtige Information zur richtigen Zeit am richtigen Ort im Unternehmen bereit zu stellen.^[29] Untrennbar damit verbunden ist die Kommunikation. Ohne Kommunikation und Mittel zur Kommunikation können Informationen nicht weitergeben werden. Daher sprechen Heinrich und Lehner bezüglich Information und Kommunikation von zwei Aspekten ein- und desselben Objekts.^[30]

Informationstechnik (IT)

IT wird mit Informationstechnik und nicht wie oft zu lesen mit Informationstechnologie übersetzt. Denn der Begriff „information technology“ ist nicht mit Informationstechnologie gleichzusetzen, da der englische Begriff „technology“ weiter gefasst ist als der deutsche Begriff „Technologie“. Unter Technik versteht man die Anwendung von Technologie, welche das Wissen über technische Methoden darstellt.^[31] Auch das Fachgutachten KFS/DV 2^[32] sowie Stahlknecht und Hasenkamp^[33] sprechen korrekterweise von Informationstechnik. Stellvertretend für viele ähnliche Definitionen sei hier jene von Luftman, Lewis und Oldach angeführt:

„Information technology has become the generally accepted term that encompasses the rapidly expanding range of equipment (computers, data storage devices, network and communications devices), applications (…), and services (e.g. end-user computing, help desk, application development) used by organizations to deliver data, information and knowledge.”^[34]

Wenn in dieser Arbeit von IT die Rede ist, dann sind immer Informations- und Kommunikationstechniken gemeint.

IT-Infrastruktur

Während IT den Oberbegriff darstellt und auch die personellen und organisatorischen Ressourcen umfasst, ist die IT-Infrastruktur die Basis für die Informations- und Datenverarbeitung: Informations- und Anwendungssysteme einer Unternehmung bauen darauf auf.

Betrachtet man die Systemsicht, so setzt sich die IT-Infrastruktur aus Hardware, Kommunikationsinfrastruktur und Systemsoftware zusammen.^[35]

Hardware wiederum umfasst im Wesentlichen Rechner (Computer) und Peripheriegeräte, welche grundsätzlich der Datenerfassung, -verarbeitung, -ausgabe und -speicherung dienen. Man unterscheidet nach Stahlkamp und Hasenknecht grundsätzlich drei Größenklassen von Rechner:^[36]

- Großrechner (Mainframe oder Host), welche als zentrale Rechner in großen Unternehmen wie beispielsweise Banken für eine große Anzahl von Benutzern unterschiedliche Anwendungen und große zentrale Datenbestände bereithalten
- mittlere Systeme (Minicomputer), welche beispielsweise als Abteilungsserver in großen und als zentrale Server in mittleren Unternehmen dienen
- Personal Computer (PC), welche durch einzelne Personen oder als Clients in verteilten Systemen verwendet werden

Die Kommunikationsinfrastruktur setzt sich im Wesentlichen aus Netzwerk und Netzwerkkomponenten wie beispielsweise Glasfaserkabel, Router und Firewalls zusammen. Sie soll die Kommunikation zwischen Hardware bzw. Anwendungssystemen untereinander und zwischen Personen und Hardware bzw. Anwendungssystemen sowie zwischen Personen ermöglichen.^[37]

Systemsoftware dient grundsätzlich dazu, die Hardware überhaupt verwenden zu können und eine Verbindung zur Anwendungssoftware herzustellen. Sie ist im Gegensatz zur Anwendungssoftware nicht unmittelbar in einen Geschäftsprozess eingebettet sondern eher hardwareorientiert.^[38] Systemsoftware besteht im Wesentlichen aus Betriebssystemen, Übersetzungsprogrammen (beispielsweise Compiler und Interpreter), Systemwerkzeugen sowie Protokollen und Treibern.^[39]

Die funktionale Sicht stellt auf die Aufbau- und Ablauforganisation ab, um die verschiedenen Aufgaben zu bewältigen. Dazu gehören u. a. Annwendungsentwicklung, Qualitätssicherung, Beschaffung und Bereitstellung der IT-Infrastruktur und Anwendungen.^[40]

Anwendungssoftware wird oftmals als Teil der IT-Infrastruktur gesehen. Da jedoch Anwendungssoftware regelmäßig auf Geschäftsprozesse ausgerichtet, in ebendiese eingebettet ist und unmittelbar der betrieblichen Wertschöpfung dient, ist sie grundsätzlich nicht Teil der Basis für Informations- und Anwendungssysteme und somit der IT-Infrastruktur. Auch Kommunikationssoftware wie beispielsweise ein E-Mail Programm, ein Webbrowser oder ein FTP-Programm ist der Anwendungssoftware zuzuordnen.

Anwendungssystem

Wie vorher erläutert worden ist, stellt die IT-Infrastruktur die Basis für Informations- und Anwendungssysteme dar. Es gilt zu klären, was darunter zu verstehen ist.

Ein Anwendungssystem im engeren Sinn besteht aus der für die Erfüllung konkreter betrieblicher Zwecke eingesetzten Anwendungssoftware sowie aus den Daten, die von der Anwendungssoftware verwendet werden. Im weiteren Sinne gehört zu einem Anwendungssystem auch die IT-Infrastruktur, auf der ein Anwendungssystem läuft.^[41] Letztere Definition wird in dieser Arbeit herangezogen.

Die Organisation eines Unternehmens ist typischerweise an Geschäftsprozessen orientiert, weshalb auch Anwendungssysteme zwangsläufig daran ausgerichtet sind. Ein Geschäftsprozess ist eine Abfolge von logisch zusammengehörigen Aktivitäten, die einen Beitrag zur Wertschöpfung leisten, wiederholt ausgeführt werden, einen definierten Auslöser und ein definiertes Ergebnis haben und in der Regel am Kunden orientiert sind.^[42] Beispiele sind die Finanzbuchhaltung, Beschaffungswesen, Warenwirtschaft, Vertrieb, Produktion und Lohnverrechnung. Das Konzept von Geschäftsprozessen lässt sich auch auf die IT übertragen, wie im Rahmen der funktionalen Sichtweise (vgl. vorige Seite) schon gezeigt worden ist und wie es auch CobiT macht (vgl. S. 94ff). Wie es später in den Kapiteln 42 (vgl. S. 66ff) und 531 (vgl. S. 138ff) dargestellt wird, orientiert sich daran auch der Prüfungsansatz, und es lässt sich nach IT-Prozessen der Umfang für eine Prüfung nach ISA 402 festlegen.

Informationssystem

Ein Informationssystem umfasst darüber hinaus organisatorische und personelle Ressourcen, in welche die Anwendungssysteme eingebettet sind. Daher ist ein Informationssystem immer unternehmensindividuell und kann nicht standardisiert wie ein Anwendungssystem geschaffen werden.^[43] In Folge stellt sich die Frage, was im Falle der Auslagerung von Teilen oder der gesamten IT Prüfungsgegenstand ist: Anwendungssystem oder Informationssystem. Dieser Frage wird in Kapitel 531 (vgl. S. 138ff)nachgegangen.

Die folgende Grafik zeigt für dieses Kapitel zusammenfassend die Zusammenhänge zwischen IT-Infrastruktur, Anwendungssoftware, Daten, Geschäftsprozessen und organisatorischen Ressourcen sowie Informations- und Anwendungssystem:^[44]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1 : Zusammenhang zwischen Informations- und Anwendungssystem

Abschließen werden die Begriffe „Outsourcing“ und „IT“ zusammengeführt. In Anlehnung an Billeter und die Darstellungen in diesem und dem vorigen Kapitel wird in dieser Arbeit unter IT-Outsourcing folgendes verstanden:^[45]

IT-Outsourcing ist die mittel- und langfristige externe Erbringung von wesentlichen Aufgaben, Funktionen und Leistungen eines Informations- oder Anwendungssystems durch ein anderes Unternehmen (Serviceorganisation), das sich auf die entsprechenden IT-Dienstleistungen spezialisiert.

22 Arten des Outsourcing

Die Erläuterungen zum Thema der Begriffsbestimmung haben schon gezeigt, dass es viele unterschiedliche Arten von Outsourcing in der Praxis gibt. Die nachfolgenden zwei Abschnitte geben einen Überblick, der auf das IT-Outsourcing fokussiert. Auf Grund der Vielfalt kann es sich nicht um eine erschöpfende Darstellung handeln. Es werden wesentliche Formen des IT-Outsourcings behandelt, wobei auf das Einteilungskriterium der Zeit (kurzfristig vs. langfristig) nicht eingegangen wird, da in Kapitel 211 (vgl. S. 8) festgelegt worden ist, dass es sich bei Outsourcing um eine mittel- bis langfristige Beziehung handelt.

221 Einteilung nach inhaltlichem Umfang und sachlicher Art

IT-Outsourcing tritt in der Praxis in den unterschiedlichsten Erscheinungsformen auf, weil jede Unternehmung individuelle Anforderungen und Schwerpunkte hat. Aus inhaltlicher und sachlicher Sicht lassen sich im Wesentlichen folgende Varianten unterscheiden:

Selektives IT-Outsourcing

Selektives IT-Outsourcing, oder auch partielles Outsourcing oder Outtasking genannt, stellt eine sehr häufige Form des Outsourcings dar. Man spricht davon, wenn nur ausgewählte Teile eins Informationssystems ausgelagert werden, wie die folgenden möglichen Formen zeigen:

Beim Facilities Management wird der Betrieb der IT-Infrastruktur oder Teile davon ausgelagert. Die Serviceorganisation ist für die vereinbarte Qualität verantwortlich, woran sie auch gemessen wird. Dazu gehören der Betrieb von Hardware zentral in Rechenzentren und dezentral an den Arbeitsplätzen inklusive der dazugehörigen Systemsoftware sowie der Betrieb von Telekommunikationsnetzwerken und von lokalen Netzwerken.^[46]

Managed Services sind eine weitere Form des selektiven IT-Outsourcings. Sie umfassen eine Reihe von IT-Dienstleistungen, welche über das reine Verwalten und Zur-Verfügung-Stellen von IT-Infrastruktur (vgl. Facilities Management) hinausgeht. Es handelt sich um höherwertige, IT-Infrastruktur-bezogene Dienste, die auch das Management von Prozessen involviert.^[47] Die einzelnen Dienstleistungen werden je nach Bedarf ähnlich einem Modulsystem zusammengestellt. Managed Services bieten den Unternehmen daher individuelle Lösungen. Nach Bulder werden grundsätzlich Monitoring, Backup und System Services unterschieden. Unter Standard Monitoring Services versteht man das kontinuierliche Überwachen von Infrastruktur-Komponenten. Wird ein bestimmter Schwellenwert über- oder unterschritten, erfolgt ein entsprechender Alarm. Backup Services sollen eine schnelle und kostengünstige Datensicherung mittels individueller Backup Lösungen gewährleisten. System Services beinhalten Dienstleistungen im Bereich der System-Administration, Datenspeicherung, Installation von IT-Infrastruktur und IT-Sicherheit.^[48]

Werden größere Softwareprojekte beauftragt, welche als Ergebnis die Übergabe einer fertigen Softwarelösung an den Outsourcer vorsehen, dann spricht man von Systemintegration. Der Hauptteil der IT-Dienstleitung ist die Entwicklung, sprich Programmierung, der Software, obwohl auch noch andere Leistungen wie etwa die Wartung und Betreuung der Software vereinbart sein können. Unter Umständen kann auch ein komplettes Anwendungssystem beauftragt werden, was dann in Richtung umfassendes IT-Outsourcing geht.

Im Grunde fehlt noch die Auslagerung und Betreuung von Anwendungssoftware, welche oft als Spezialform von Outsourcing betrachtet wird und unter ASP erläutert wird (vgl. S. 17).

Umfassendes IT-Outsourcing

Werden alle bisher erläuterten IT-Dienstleistungen an eine Serviceorganisation übertragen, quasi die gesamte IT-Abteilung, dann ist dies die umfassendste Form des IT-Outsourcings. Das bedeutet, dass nicht nur Aufbau und Betrieb der gesamten der IT-Infrastruktur sondern auch die Entwicklung und Wartung der Software ausgelagert werden.^[49] Anders gesagt werden gesamte Informations- oder Anwendungssysteme von Serviceorganisationen übernommen. In diesem Bereich gibt es nur wenige Unternehmen, die alles aus einer Hand anbieten, da eine entsprechende Größe Voraussetzung ist, um ein so breites Leistungsspektrum kostengünstiger und besser als inhouse anbieten zu können. Deshalb findet sich diese Art des Outsourcings vor allem bei homogenen Unternehmen derselben Branche wie beispielsweise bei Banken und Versicherungen in Form von Joint Ventures zwischen Hardwareherstellern und Anwendern sowie ausgegliederter IT-Abteilungen. Weiters sind erhebliche organisatorische Veränderungen damit verbunden, die ein umfassendes IT-Outsourcing zu einem komplexen Projekt machen. Aus diesem Grund ist diese Form des Outsourcings auch rückläufig.^[50]

Shared Services

Unter Shared Services versteht man das Zentralisieren von unterschiedlichen Unternehmensfunktionen - nicht nur IT-Dienstleistungen - in einem so genannten Shared Service Center (SSC) innerhalb eines Konzerns.^[51] Es wird vor allem von multinational agierenden Unternehmen als Best-Practice-Geschäftsmodell angewandt, um die Standorte in einzelnen Ländern auf regionaler Basis effizient zu betreiben. Üblicherweise werden betriebliche Funktionen wie ERP-System, Controllingfunktionen, Beschaffung, Fakturierung, Rechtsdienst und andere administrative Funktionen zentral in einem SSC betrieben.^[52] Es herrscht eine uneinheitliche Meinungen darüber, ob es sich dabei schon um Outsourcing handelt oder erst um eine Vorstufe zur Ausgliederung (vgl. S. 18f). Handelt es sich bei dem SSC um ein rechtlich eigenes Konzernunternehmen, kann man jedenfalls von Outsourcing im Sinne der in dieser Arbeit gegebnen Definition (vgl. S. 8) sprechen.

Application Service Providing (ASP)

Im Rahmen von ASP stellt ein Anbieter standardisierte Software vielen Kunden über ein Kommunikationsnetzwerk wie beispielsweise das Internet zur Verfügung. Es handelt sich dabei um einen One-to-many-Ansatz: Eine vorkonfigurierte Softwarelösung wird für viele Kunden zentral betrieben. Der einzelne Kunde kann über ein Netzwerk darauf zugreifen, bekommt aber grundsätzlich keine individuelle Lösung. Die Softwarelizenz verbleibt beim zentralen ASP-Anbieter. Im Grunde handelt es sich um eine Weiterentwickelung des Nutzungsmodells von Mainframe-Computern, welches aus den 60er Jahren des vorigen Jahrhunderts stammt und wie es jetzt noch in Bankenrechenzentren zu finden ist: zentraler Betrieb und Datenhaltung, dezentrale Benutzer.^[53] Es herrscht keine klare Meinung darüber, ob ASP neben Outsourcing als ein eigenständiges Modell existiert oder eine Weiterentwicklung von Outsourcing darstellt.^[54]

Im Gegensatz zu ASP handelt es sich beim Application Hosting um einen One-to-one-Ansatz: Der Kunde erhält eine individuell konfigurierte Softwarelösung, und er ist auch der Halter der Softwarelizenz.^[55]

Business Process Outsourcing (BPO)

Beim BPO wird ein gesamter Geschäftsprozess an einen externen Anbieter ausgelagert. Damit geht diese Form über das IT-Outsourcing hinaus, enthält jedoch durchwegs auch IT-Komponenten. Typische Beispiele sind die externe Vergabe von Lohnverrechnung, Logistik und Kundenservice. Es handelt sich dabei um nicht geschäftskritische Prozesse. Diese Art des Outsourcings erfordert bei der Serviceorganisation spezielles Geschäftsprozess- sowie IT-Know-How. BPO erfreut sich wachsender Beliebtheit, weil es Unternehmen dabei hilft, Prozesse zu optimieren, Kosten zu senken und die Wettbewerbsposition zu stärken.^[56]

222 Einteilung nach organisatorischer Form

Auf dem Weg von der internen Durchführung der Informationsverarbeitung bis zum externen Outsourcing sind verschiedene organisatorische Stufen zu unterscheiden wie die Grafik verdeutlicht:^[57]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2 : Die Stufen der IT-Übertragung

Bongard unterscheidet vier Entwicklungsstufen in der Verantwortungsübertragung:^[58]

1. Interne IT-Abteilung

Es wird eine eigenständige IT-Abteilung innerhalb der Unternehmung gegründet, die zentral für die Fachabteilungen die Aufgabe der Informationsverarbeitung übernimmt.

2. Interne IT-Abteilung als Profit-Center

Die interne IT-Abteilung wird als Profit-Center geführt, indem die IT-Kosten den einzelnen Kostenverursachern genau zugeordnet werden. Dies stellt einen wichtigen Schritt in Richtung Outsourcing dar.

3. Ausgliederung - internes (inhouse) Outsourcing

Wird eine Tochtergesellschaft oder ein Gemeinschaftsunternehmen gegründet, das die IT-Dienstleistungen für die beteiligten bzw. verbundenen Unternehmen erbringt, dann spricht man von einer Ausgliederung oder auch Austöchterung. Das Gemeinschaftsunternehmen kann eine Tochter mehrerer rechtlich eigenständiger Unternehmen der gleichen Branche sein, wie es beispielsweise im Bankensektor der Fall ist (vgl. S. 50), oder auch ein Joint Venture zwischen einer Serviceorganisation und dem Outsourcer sein.^[59] Nimmt man das angesprochene Beispiel eines Gemeinschaftsrechenzentrums im Bankensektor, dann sind die einzelnen Kunden der IT-Tochter somit gleichzeitig auch die Gesellschafter, was der wesentliche Unterschied zum externen Outsourcing ist. Möglichen Nachteilen wie den Gründungskosten und Redundanzen in der Administration stehen jedoch viele Vorteile gegenüber. Beispielsweise ist die Projektdurchführung mit weniger Risiken als beim externen Outsourcing verbunden, da die Kommunikation eingespielt ist, kaum unternehmenskulturelle Veränderungen erfolgen, damit auch die Mitarbeiter motivierter sind und vorhandene IT-Strukturen weiter genutzt werden können. Darüber hinaus verbleibt auch die strategische Kontrolle in der Gruppe. Der Erfolg hängt jedoch entscheidend davon ab, dass das Gemeinschaftsunternehmen in der Lage ist eine dritt-marktfähige Leistung zu erbringen.^[60] Oftmals bieten die Gemeinschaftsunternehmen bzw. Töchter in Folge diese Leistungen dann auch auf dem Dritt-Markt an und werden so zu externen Serviceorganisationen.

4. Externes Outsourcing

Die letzte Stufe in der Übergabe der Verantwortung über IT nach außen hin stellt das externe Outsourcing dar. Dabei wird eine rechtlich unabhängige Serviceorganisation mit der Übernahme von IT-Dienstleistungen beauftragt. Üblicherweise bezeichnet man nur diese Form als Outsourcing bzw. Auslagerung.

In der vorliegenden Arbeit werden jedoch sowohl Ausgliederung als auch Auslagerung als Outsourcing betrachtet. Der Grund liegt in der Behandlung durch das deutsche KWG (§ 25 a Abs. 2), in dessen Anwendungsbereich auch die Ausgliederung fällt (vgl. S. 62f).^[61] Dies stellt auch die Praxis in Österreich dar.

23 Entwicklung des IT-Outsourcing

231 Geschichtlicher Abriss

Viele Artikel und Literaturstellen zu diesem Thema beginnen damit, dass es sich bei IT-Outsourcing nicht um ein neues Phänomen handelt.^[62] Die Grafik verdeutlicht die bisherige Entwicklung:^[63]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3 : Zeitleiste des Outsourcing-Trends

Die folgenden Ausführungen orientieren sich grundsätzlich an den Analysen von Lee.^[64] Tatsächlich hatte IT-Outsourcing schon in den 60er Jahren des 20. Jahrhunderts eine große Bedeutung, welche darin begründet gewesen ist, dass die Hardware sehr kostspielig gewesen ist und das erforderliche IT-Wissen nicht ausreichend zur Verfügung gestanden ist. Daher haben viele Unternehmen die IT-Infrastruktur auf Basis von Facilities Management und Time-Sharing von externen Rechenzentren betreiben lassen. Dies hat sich in den 70er Jahren fortgesetzt. Es ist jedoch zusätzlich das Konzept der Standardsoftware aufgekommen, sodass der temporäre Zukauf von Programmier-Ressourcen als Outsourcing-Form große Bedeutung erlangt hat, was sich in den 80er Jahren verstärkt fortgesetzt hat. Ende der 70er Anfang der 80er Jahre jedoch ist IT-Infrastruktur billiger geworden, Minicomputer und PC sind aufgekommen, womit eine Reduzierung von extern zugekauften Rechenzentrumsdienstleistungen verbunden gewesen ist. Weiters hat sich die Unternehmensphilosophie in Richtung vertikaler IT-Integration gewandelt. Für die meisten Großunternehmen ist es daher Teil der Strategie gewesen, die eigene IT direkt zu kontrollieren, sodass in den 80er Jahren der Outsourcing-Trend stark zurückgegangen ist. Dies hat sich erst geändert als Ende der 80er bzw. Anfang der 90er Jahre einige weltweit bedeutende Unternehmen ihre IT in großem Stil ausgelagert haben.^[65] An erster Stelle wird wegen des Umfangs und der Vertragssummen der Deal von Kodak im Jahr 1989 genannt: Von IBM ist der Betrieb von vier Rechenzentren übernommen worden, Businessland hat die Betreuung der PC-Infrastruktur übernommen und DEC den Betrieb der Netzwerkes.^[66] Zusammen mit dem aus Japan kommenden Lean Management^[67], der damit einhergehenden Konzentration auf Kernkompetenzen sowie der Strömung des Business Process Reengineering^[68] und der damit verbundenen Änderung und Optimierung von Geschäftsprozessen, hat das Outsourcing in den 90ern wiederum einen Aufschwung erlebt.^[69] Im Gegensatz zu früher stehen jedoch hochwertigere und integrierte Outsourcing-Lösungen im Vordergrund.

232 Aktuelle Trends im Bankensektor

In der Industrie hat sich externes IT-Outsourcing durchgesetzt, um Prozesse schlanker zu gestalten, die vertikale Wertschöpfungskette zu verringern sowie den Kundenfokus zu stärken. Ausgelagert wird grundsätzlich alles, was nicht den Kernkompetenzen entspricht.^[70] Dagegen ist man im Finanzdienstleistungssektor noch nicht so weit. Der österreichische wie auch deutsche Bankensektor mit seinen traditionellen Universalbanken und hoher Wertschöpfungstiefe ist mit verstärktem Wettbewerb, sinkenden Zinsmargen und Kostendruck konfrontiert. Deshalb spricht man auch von der Industrialisierung der Kreditwirtschaft als Lösung für die bestehenden Strukturprobleme. Das bedeutet eine Konzentration auf die Kernkompetenzen und den Kunden sowie Verringerung der „Fertigungstiefe“. Auslagerung spielt dabei eine große Rolle.^[71] Besonders geeignet sind standardisierte Prozesse wie die IT, einzelne Geschäftsprozesse wie beispielsweise der Zahlungsverkehr, Wertpapierabwicklung und Kreditbearbeitung sowie das gesamte Back-Office, welche von spezialisierten Serviceorganisationen besser, kostengünstiger und effektiver durchgeführt werden können. Dass die Bankenwelt noch nicht so weit ist wie beispielsweise die Auto- oder Stahlindustrie liegt vor allem daran, dass proprietäre IT-Lösungen in den einzelnen Banken dominieren, obwohl es sich zum Teil um standardisierbare Geschäftsprozesse handelt. Das Fehlen von allgemein akzeptieren Standards führt dazu, dass jede größere Bankengruppe ihr eigenes Rechenzentrum betreibt (vgl. S. 50ff).^[72] Dennoch ist Outsourcing ein aktuelles Thema. Neben den oben schon erwähnten Geschäftsprozessen sowie der zentralen IT, kommen Filial-IT inklusive -Telekommunikation und SB-IT verstärkt auf die Outsourcing-Agenda. Ein Beispiel ist die Übertragung des Betriebes des SB-Netzes sowie des Cash-Managements der Automaten der ABN Amro Bank in den Niederlanden an Wincor Nixdorf. Dadurch kann sich die Bank verstärkt auf die Beratung von Kunden konzentrieren.^[73] Darüber hinaus sind auch alle nicht bankfachlichen Anwendungen mit einem hohen Standardisierungsrad Ziel einer Auslagerung, um diese Bereiche zu optimieren. Auch das Problem der Standardisierung wird laufend thematisiert, obwohl sich die Umsetzung wegen der vielen proprietären Lösungen schwierig gestaltet. So wird derzeit beispielsweise unter dem Stichwort SEPA an der Idee eines Euro-weit einheitlichen Zahlungsverkehrssystems gearbeitet.^[74]

24 Potentiale im IT-Outsourcing

241 Gründe

Die Gründe für IT-Outsourcing sind vielfältig, weswegen hier nur jene, welche am häufigsten genannt werden und insbesondere auch auf Banken zutreffen, erläutert werden. Es handelt sich um die Bereiche Kosten, Strategie und Leistung.

Kosten

Das weltweite Öffnen und Zusammenwachsen von Märkten (Globalisierung) hat zum Entstehen weltweit agierender Konzerne sowie zu Markeintritten von Untenehmen geführt, wo diese bisher nicht tätig waren. Dies bekommen auch die österreichischen Banken insbesondere seit dem EU-Beitritt Österreichs 1995 im Inland zu spüren. Weltweite Liberalisierung der Kapitalmärkte, Entwicklung innovativer Finanzprodukte und Markteintritt ausländische Banken sowie von Non- und Near-Banks im Inland haben den Wettbewerbs- und Kostendruck stark erhöht.^[75] Ein wesentliches davon abgeleitetes Motiv für Outsourcing ist daher die Kosteneinsparung. Durch Auslagern der IT lassen sich fixe Kosten in variable umwandeln sowie Skaleneffekte ausnutzen. Die Serviceorganisation kann durch Spezialisierung sowie der großen Anzahl an Kunden mit ähnlichen oder gleichen Anforderungen ihre IT-Dienstleistungen kostengünstiger anbieten.^[76]

Strategie

Neben Kostenüberlegungen spielen auch strategische Überlegungen eine Rolle bei der Outsourcing-Entscheidung. Im Vordergrund steht dabei die Konzentration auf Kernkompetenzen (vgl. S. 21). Denn eine Kostenreduzierung geht einher mit der Überlegung, welche Leistungsbereiche kostenintensiv sind, aber am wenigsten zur Wertschöpfung beitragen. Diese sind dann Ziel von Outsourcing-Bestrebungen, wozu u. a. die IT gehört. Dadurch kann die Wertschöpfungstiefe verringert werden. Es werden Ressourcen frei, die in den wertschöpfungsstarken Kernbereichen besser eingesetzt werden können.^[77] Die Industrie hat es vorgezeigt und es trifft nun insbesondere auf Banken zu: IT ist keine Kernkompetenz, die Nutzung von IT zur Generierung und Vertrieb von Bankprodukten jedoch schon.^[78]

Zu den strategischen Motiven zählt auch der Risikotransfer. Über SLAs (vgl. S. 27f) können bestimmte Risiken wie beispielsweise das Betriebsrisiko der IT-Infrastruktur teilweise auf die Serviceorganisation abgewälzt werden. Da die IT-Dienstleistungen zu den Kernkompetenzen der Serviceorganisation zählen, wird darüber hinaus das Risiko des Eintretens eines solchen Schadensfalls als geringer eingeschätzt.^[79]

Leistung

Unter diesem Gesichtspunkt können Aspekte des IT-Know-Hows zusammengefasst werden. Im Allgemeinen ist der innerbetriebliche Aufbau spezieller IT-Kenntnisse kosten- und zeitintensiv und daher nicht wirtschaftlich.^[80] Letztendlich kann man daher diese Motivation zum Auslagern wiederum auf den Kostendruck zurückführen. Oftmals ist jedoch die erforderliche Qualifikation schwer auf dem Markt zu bekommen, wie beispielsweise Programmierkenntnisse in PL/1^[81]. Eine entsprechende Serviceorganisation bietet einen schnellen und kostengünstigern den Zugang zu solch speziellem IT-Know-How.

Das IT-Know-How bezieht sich nicht nur auf die Fachkompetenz sondern auch auf die Technologie, deren Entwicklung in kurzen Zyklen schnell voranschreitet und immer komplexer wird. Outsourcer erhalten über eine Serviceorganisation die Möglichkeit, aktuelle Technologien in zuverlässiger Weise zu beziehen. Damit kann der Outsourcer seine Innovationskraft erhöhen und seine Geschäftsprozesse besser unterstützen. Dies gilt insbesondere für kleinere Unternehmen.^[82]

Darüber hinaus kann der Outsourcer durch Auslagern der IT die Flexibilität seiner Leistung erhöhen. Der verschärfte Wettbewerb verlangt das rasche und flexible Reagieren auf Änderungen des Marktes. Eine Serviceorganisation kann entsprechende Spitzen und Tiefen in der IT-Auslastung besser abfedern.^[83]

242 Risiken und Nutzen

Den offensichtlichen Vorteilen einer Auslagerung, welche schon aus den Gründen ableitbar sind bzw. mit ihnen zum Teil identisch sind (vgl. S. 23f), stehen auch signifikante Risiken gegenüber. Ein Outsourcer hat weiters zusätzliche Management Kapazitäten und Qualifikationen beispielsweise im Bereich des Vertragsmanagements und der Kontroll- und Steuerungsverfahren über den ausgelagerten Bereich zu entwickeln.^[84] Denn man kann nicht kontrollieren und steuern, was man nicht versteht. Das Fällen einer Entscheidung pro oder contra Outsourcing soll daher wohl überlegt sein und erfordert das Gegenüberstellen von möglichen Nutzen und Risiken. Die Bandbreite möglicher Entscheidungsfelder und Kriterien ist sehr groß. Zum Zweck einer Systematisierung werden in der Literatur so genannte Argumentenbilanzen aufgestellt, in welche alle potentiell relevanten Kriterien einfließen. Die tatsächliche Relevanz und Gewichtung hat immer das jeweilige Management je Entscheidungsfall zu treffen.^[85]

Die folgende Darstellung nach Mertens und Knolymayer fasst die einzelnen Argumente aus der Sicht des Managements des Outsourcers in den fünf Gruppen Strategie, Leistung, Kosten, Personal und Finanzen zusammen:^[86]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4 : Argumentenbilanz zum Outsourcing von IT-Aufgaben

Da IT-Outsourcing nicht das Hauptthema dieser Arbeit ist, wird auf die möglichen Entscheidungskriterien nicht im Detail eingegangen.

25 Das Service Level Agreement (SLA)

Das zentrale Element in der Gestaltung einer Outsourcing-Beziehung, das auch wichtige Elemente in Hinblick auf eine externen Prüfung enthält, ist das Service Level Agreement (SLA). Die Aufgabe eines SLAs ist die genauere Definition der einzelnen Leistungen, Pflichten und Verantwortlichkeiten, nachdem der Rahmenvertrag als die vertragliche Basis vor allem allgemeine juristische Bestimmungen enthält.^[87] Da wegen der vielfältigen Outsourcing-Lösungen kein allgemein gültiges SLA Muster existieren kann, werden bestimmte Mindestinhalte definiert. Darüber hinaus obliegt es dem Verhandlungsgeschick des Managements, wichtige und relevante Punkte festzuhalten. Die Vertragsverhandlungen sind ein Schlüssel zum Erfolg eines solchen Projektes. „Most of the companies in our study that outsourced emerging technologies experienced disastrous results because they lacked the expertise to negotiate sound contracts and evaluate suppliers' performances.”^[88] Daher sollten grundsätzlich keine Standardverträge der Serviceorganisationen unterschrieben werden.^[89] Aus Sicht der Prüfung (extern wie intern) ist es unerlässlich, entsprechende Prüfrechte im Rahmenvertrag oder SLA festzuhalten. Interne Prüfer des Outsourcers sollten Zugriffsrechte auf sämtliche eigene Programme sowie das Recht auf eine Prüfung des relevanten IKS, der Vertragseinhaltung, Abrechnung und Effizienz haben. Darüber hinaus sollten die Prüfer Zugriff auf entsprechende Systemwerkzeuge des Rechenzentrums haben, welche eine effektive Prüfung unterstützen oder überhaupt erst ermöglichen.^[90]

Anschließend sind in Form einer unkommentierten Aufzählung die Schwerpunkte in SLAs nach Gründer und Lessmann angeführt:^[91]

- Präzision (beispielsweise exakt bestimmte Leistungsparameter, präzise Definition der Parteien und Verantwortlichkeiten)
- Leistungsmerkmale und Kenngrößen (zur Beurteilung der gelieferten Qualität)
- Verfügbarkeit (von IT-Komponenten, -Diensten oder -systemen)
- Wartungszeiten (von IT-Infrastruktur)
- Reaktionszeit und Reaktionsquote (beispielsweise für den User Help Desk)
- Support-Sprache (im Falle von Offshoring-Outsourcing im fremdsprachige Ausland wichtig)
- Fehlerlösungszeit und Lösungsquote (betrifft vor allem den User Help Desk)
- Eskalationsszenario (technisch innerhalb der Serviceorganisation sowie durch den Outsourcer in der Hierarchie der Serviceorganisation)
- Leistungsmessung, Reporting und Monitoring (betrifft die schon angesprochenen Kontroll- und Steuerungsmöglichkeiten durch das Management des Outsourcers, vgl. S. 25 und S. 27)
- Change Management und Mitwirkungspflichten (betrifft die Anpassung der Änderung vereinbarter Leistungen sowie die Mitwirkung des Outsourcers in bestimmten Fällen)
- Pönalien und Boni (bei Nicht-Einhaltung vereinbarter Leistungen bzw. als Leistungsanreiz bei Erfüllung oder Übererfüllung)
- Exit-Vereinbarung (als Sonderkündigungsrecht bei fortdauernder Minderleistung)

26 Zusammenfassung

In diesem Kapitel ist eingangs der Begriff des IT-Outsourcings erläutert worden. Dabei ist näher auf den Begriff IT eingegangen worden. Anschließend sind die Arten des IT-Outsourcings nach inhaltlichem Umfang und sachlicher Art sowie organisatorischer Form dargestellt worden. Die Entwicklung des IT-Outsourcings hat sich sowohl mit der bisherige Historie im Überblick sowie den aktuellen Trends mit Schwerpunkt auf den Bankensektor beschäftigt. Nachdem die Gründe für IT-Outsourcing aufgezeigt worden sind, sind den Vorteilen die Nachteile gegenübergestellt worden. Abschließend sind wichtige Punkte im SLA behandelt worden.

3 Bankenrechenzentrum

31 Bankdienstleistungen

311 Die Bedeutung von IT

Im Allgemeinen gibt es heute kaum einen Geschäftsprozess, der nicht IT-gestützt ist. Die rasante Entwicklung im Bereich der IT reicht von ersten elektromechanischen Geräten über Mainframes in den 1960ern, Minicomputer, PCs, Client/Server-Strukturen bis heute zum so genannten Network Computing, das die Client/Server-Architektur mit der Internettechnologie verbindet.^[92] Die folgende Grafik verdeutlicht dies:^[93]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5 : Evolution der Informationssysteme

Umso relevanter ist die technologische Entwicklung für Banken und deren Produkte sowie Geschäftsprozesse. Der Grund liegt darin, dass Bankprodukte hauptsächlich aus Informationen bestehen und die Geschäftsprozesse zu einem Großteil nicht physischer Art sind.^[94] Die Leistungserstellung von Banken besteht daher im Wesentlichen aus der Verarbeitung von Information.^[95] Damit eignet sie sich im Besonderen für eine Automatisierung bzw. eine Digitalisierung.^[96] Der Einsatz von IT beispielsweise zum Vertrieb und der Abwicklung von Bankprodukten ist allgegenwärtig und selbstverständlich. Man denke beispielsweise an Internet-Banking, SB-Automaten, Kontoführung, Wertpapiergeschäft mit elektronischen Schnittstellen zu Handels- Clearing- und Settlementsystemen^[97], Zahlungsverkehr etc. Viele dieser Bankprodukte und Dienstleistungen werden durch den Einsatz von moderner IT erst ermöglicht.^[98] Die Technik kann eine Bank auch nutzen, um Wettbewerbsvorteile zu generieren, ein entsprechendes Innovations- und Technologiemanagement vorausgesetzt. IT-Outsourcing ermöglicht es der Bank, sich auf den wertschöpfenden Einsatz der IT zu konzentrieren. Die vorigen Ausführungen zeigen, dass die Durchdringung des Bankgeschäfts mit IT ist äußerst hoch ist. Die Abhängigkeit von Informationssystemen daher ebenfalls.^[99] Eine Bank ohne IT wäre nicht möglich. Somit wird klar, dass die Geschäftsvorfälle, die letztendlich als Ergebnis in Bilanz und GuV landen, alle von IT abhängen, und sei diese auch ausgelagert. Deswegen kommt ein Abschlussprüfer bei Banken nicht um das Thema der Informationstechnik herum. Es wird weiters klar, dass zur Steuerung der Vielzahl an Geräten in den einzelnen Filialen und Zentralen sowie zur Abwicklung der Bankgeschäfte einer großem Anzahl von Kunden, zur Administration der Bankanwendungen und Verarbeitung von Massendaten (beispielsweise Zahlungsverkehr) eine leistungsfähige IT-Infrastruktur erforderlich ist. Diese wird in Rechenzentren betrieben, welche das „Herz der Bank“ darstellen.^[100] Kapitel 32 (vgl. S. 35ff) enthält weitergehende Erläuterungen zum Rechenzentrum einer Bank.

312 Geschäftsfelder und -prozesse

3121 Übersicht Bankleistungen

In diesem Kapitel wird ein einfacher und kurzer Überblick über die Bankleistungen als Basis gegeben, um jene wesentlichen Bereiche zu identifizieren, für die Bankanwendungen zu prüfen sind. Nachfolgende Grafik gibt einen Überblick:^[101]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 6 : Übersicht über die Bankleistungen

Die Bankleistungen könne in drei Kategorien eingeteilt werden:

Liquiditätshaltung^[102]

Dieser Bereich setzt sich zusammen aus der Konten- und Depotführung, dem Zahlungsverkehr sowie der Geldanlage bzw. -disposition. Für jedes Bankgeschäft ist ein Konto erforderlich. Das Girokonto stellt zusammen mit dem darüber abgewickelten Zahlungsverkehr eine zentrale Leistung dar. Für Wertpapiergeschäfte ist ein Depotkonto (offenes Depot) Voraussetzung. Zur Depotführung zählen jedoch auch die geschlossenen Depots zur Verwahrung von Gegenständen im Auftrag des Kunden. Im Zahlungsverkehr ist der nationale vom internationalen Zahlungsverkehr zu unterscheiden. Die Geldanlage zum Zwecke der Abwicklung des Zahlungsverkehrs und der kurzfristigen Liquiditätsreserve fällt in den Bereich der Liquiditätshaltung. Die Verarbeitung eines Großteils der Daten erfolgt typischerweise am Host (Mainframe).

Finanzierung (Aktivgeschäft)^[103]

Im Bereich der Finanzierung ist grundsätzlich zu unterscheiden, ob das Geldkapital unmittelbar über die Banken bezogen wird (Bankfinanzierung) oder diese nur eine Vermittlerrolle spielen (Marktfinanzierung). Ein weiteres wesentliches Einteilungskriterium ist die Unterscheidung zwischen Fremd- und Eigenfinanzierung^[104]. Dominierend ist das klassische Kreditgeschäft der Banken, welches Teil der fremdfinanzierten Bankfinanzierung ist. Dieses Geschäft ist auf der Aktivseite bilanzwirksam. Weiters gehört die Kreditersatzfinanzierung beispielsweise in Form von Kreditkarten, Factoring und Leasing^[105] zur fremdfinanzierten Bankfinanzierung. Dabei tritt die Bank jedoch nicht als Kreditgeber auf. Die Eigenmittelfinanzierung über Beteiligungsfinanzierung sowie Aktienfinanzierung spielt im täglichen Geschäftsablauf der Bank eine untergeordnete Rolle.

Kapitalanlage (Passivgeschäft)^[106]

Demgegenüber ist das Kapitalanlagegeschäft auf der Passivseite der Bank bilanzwirksam, sofern die Bank nicht nur eine Vermittlerrolle einnimmt. Darüber hinaus ist in der Position des Kunden gegenüber der Bank zu unterscheiden zwischen einer Gläubiger-, Teilhaber- und Sonderstellung. Einlagen (Sicht-, Termin- und Spareinlagen) und Sondersparformen stellen die bekanntesten Formen der Refinanzierung einer Bank dar und sind Bankprodukte, bei denen der Kunde eine Gläubigerstellung einnimmt. Diese Stellung hat der Kunde auch bei Anleihen, wobei die Bank jedoch nur als Vermittler auftritt. Das tut die Bank auch bei Aktien, Investmentfonds und Derivaten. Einlagen- und Wertpapiergeschäft stellen somit wichtige Geschäftsbereiche einer Bank dar.

3122 Kernprozesse und -anwendungen

Hierzu ist festzuhalten, dass man unter dem Kernbankbereich alle Kernprozesse einer Bank versteht, „die zur Abwicklung der Bankgeschäfte im Aktiv- und Passivgeschäft über alle Vertriebswege hinweg erforderlich sind.“^[107] Dazu zählen in Anlehnung an die obigen Ausführungen im Wesentlichen die Konto- und Depotführung, die Verwaltung der Kundenstammdaten, die Abwicklung des Zahlungsverkehrs, die Anlage, Änderung und Auflösung von Einlagen und Krediten sowie die Abwicklung des Wertpapiergeschäfts. Selten sind alle Kernprozesse in einer Anwendung gebündelt. Vielfach kommt jedoch eine Kernbankanwendung Einsatz, die einen Großteil der erwähnten Kernprozesse abbildet. Dies macht aus technischer Sicht wegen der einheitlichen IT-Architektur Sinn.^[108] Es handelt sich meist um eine einheitliche Oberfläche, hinter der mehrere Anwendungen, Programme und Datenbanken auf dem Host stehen. Üblicherweise kommen für die Abwicklung des Zahlungsverkehrs (jeweils national und international), Wertpapierabwicklung und Verwaltung von Kundenstammdaten eigene Anwendungen zum Einsatz. Die tatsächliche Ausgestaltung einer Kernbankanwendung sowie anderer Bankanwendungen ist bank- bzw. bankgruppenindividuell.

32 Leistungsspektrum von Rechenzentren

Die Prüfung nach ISA 402 wird in dieser Arbeit am Beispiel eines Bankenrechenzentrums dargestellt, weswegen zu klären ist, was unter einem Rechenzentrum zu verstehen ist, welche Aufgaben es hat und welche Leistungen es anbietet.

321 Grundlagen

3211 Das Rechenzentrum

Das Wort „Rechenzentrum“ setzt sich, wie Greiller und Graef beschreiben, aus den beiden Begriffen „Rechnen“ und „Zentrum“ zusammen. Unter „Rechnen“ versteht man in diesem Zusammenhang die Art und Weise der automationsgestützten Datenverarbeitung mittels Rechner (Computer). Da diese Rechner zentral betrieben werden (vgl. S. 20f), spricht man vom Rechenzentrum (RZ).^[109] In Folge wird der Begriff des Rechenzentrums von Greiller und Graef im Jahr 1975 so definiert:

„Unter einem Rechenzentrum wird die Organisationseinheit verstanden, in der die automatisierte Datenverarbeitung durchgeführt wird.“^[110]

Diese Definition gilt im Grunde noch heute, jedoch nur mehr im sehr engen Sinn. Denn auf Grund der Entwicklungen im Bereich der IT und der steigenden Anforderungen der Unternehmen, die von einem RZ bedient werden, ist der Aufgabenbereich stark ausgeweitet worden. Ursprünglich ist ein RZ eine Dienstleistungsorganisation gewesen, die fast ausschließlich Mainframes betrieben hat. Und obwohl ein Rückgang in der Wichtigkeit von Rechenzentren vorausgesagt worden ist - vor allem, weil eine Verdrängung der zentralen Mainframes durch dezentrale Client/Server basierte Systeme angenommen worden war^[111] -, ist deren Bedeutung heute wieder gestärkt. Das liegt u. a daran, dass Mainframes als zentrale Server für Client/Server Systeme verwendet werden und das Speichermanagement und der Netzbetrieb für dezentrale Systeme besser und sicherer zentral betrieben werden können.^[112]

Man unterscheidet drei grundlegende Typen von Rechenzentren:^[113]

Betriebliches Rechenzentrum

Von einem betrieblichen RZ spricht man dann, wenn die Informations- und Anwendungssysteme in einer internen, aber abgegrenzten Abteilung des Unternehmens oder einer Behörde betrieben werden (vgl. S. 18). Es ist durch einen genau festgelegten Aufgabenbereich gekennzeichnet, wodurch die Kapazitätsplanung leichter möglich ist als bei anderen Typen von Rechenzentren. Greiller und Graef halten weiters fest, dass sowohl Fachabteilung als auch das betriebliche RZ derselben Firmenleitung unterstehen.

Gemeinschaftsrechenzentrum

Gründen mehrere Unternehmen ein RZ, dann bezeichnet man es als Gemeinschaftsrechenzentrum (vgl. S. 19). Meist schließen sich Anwender mit ähnlichen Anforderungen zusammen. Aus Sicht des Rechenzentrums ist es jedoch vorteilhaft, wenn sich Unternehmen unterschiedlicher Branche zusammenschließen, weil die Fragen der Sicherheit und Geheimhaltung leichter zu bewältigen sind sowie weniger gleichzeitige Kapazitätsspitzen auftreten. Schwieriger ist es jedoch die Interessen der einzelnen Gesellschafter gleichsam zu erfüllen.

Servicerechenzentrum

Wird ein RZ gegründet mit der Absicht am Markt aufzutreten, dann handelt es sich um ein so genanntes freies Dienstleistungs-RZ oder Servicerechenzentrum (vgl. S. 19f). Diese sind anfangs meist von Hardware-Herstellern aus geschäftlichen Vorteilen gegründet worden. Das liegt vor allem darin begründet, dass ein solches RZ nach den wirtschaftlichen Vorgaben des Marktes arbeiten muss. Weiters stellen Greiller und Graef fest, dass sich dadurch auch die Auslastung und die Rentabilität der IT-Infrastruktur verbessern. Grundsätzlich können auch Gemeinschaftsrechenzentren ihre Dienstleistungen am freien Markt anbieten und so zu Servicerechenzentren werden.

3212 Aufgaben und Arbeitsabläufe im Rechenzentrum

Im Allgemeinen hat ein RZ die folgenden grundlegenden Aufgaben:^[114]

- Verwaltung von Datenbeständen und Bereithaltung für den Zugriff bei Dialogbetrieb^[115], insbesondere für die Transaktionsverarbeitung
- Korrekte und termingerechte Ausführung von Produktionsarbeiten im Stapelbetrieb^[116]
- Durchführung des Netzbetriebs

Jedoch gehen die detaillierten Aufgaben in einem RZ darüber hinaus, was die folgende Grafik gemäß SNMF der Firma Sun Microsystems zeigt:^[117]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 7 : Aufgabenbereich des Systemmanagements

Weiters seien die grundlegenden Abläufe in einem RZ angeführt. Die folgende Grafik zeigt den typischen Arbeitsablauf in einem RZ zusammen mit Schnittstellen zu Fachabteilungen und zur Systementwicklung:^[118]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 8 : Arbeitsablauf im Rechenzentrum

Aufgabe der Arbeitsplanung ist es u. a. Termine festzulegen und Auftragsnummern zu vergeben. Es folgt die Annahme der Belege zur Datenerfassung, der Datenträger und Programmaufträge, welche auf Vollständigkeit und Richtigkeit geprüft werden. Die Arbeitsvorbereitung (AV) plant die Jobs (Job Scheduling), erteilt Aufträge und übergibt an das Operating (Produktion), welche die Rechner und anderen Geräte bedient und überwacht. Im Bereich der Ergebniskontrolle werden die Druckausgabe kontrolliert und die Ergebnisse weitergeleitet. Die Nachbereitung schließlich verwaltet die Druckausgabe und bereitet den Versand vor. Die meisten Arbeiten beziehen sich vor allem auf den Stapelbetrieb.^[119]

Wie die bisherigen Ausführungen zeigen, ist die Systementwicklung, welche die Entwicklung neuer und die Wartung bestehender Anwendungssysteme umfasst, grundsätzlich nicht Teil der Aufgaben und Abläufe eines Rechenzentrums.^[120] Sie ist jedoch Voraussetzung für das Funktionieren eines Informationssystems und daher ein wichtiger Bestandteil der IT-Prozesse. Die Systementwicklung ist oft zusammen mit dem Betrieb der IT-Infrastruktur ausgelagert (umfassendes IT-Outsourcing, vgl. S. 16). Zum Teil wird sie zusammen in einem Unternehmen, das oft als Rechenzentrum bezeichnet wird, betrieben, zum Teil in Schwestergesellschaften, meist so genannten Systemhäusern. Vor allem im Bankensektor ist das ein übliches Outsourcing-Modell. In der Praxis wird daher der Begriff des Rechenzentrums oft für Serviceorganisationen gebraucht, die viel mehr als nur Rechenzentrumsdienstleistungen (vgl. S. 43) anbieten. Dies spiegelt sich oft in den Firmennamen wider, was meist historisch bedingt ist (beispielsweise Allgemeines Rechenzentrum GmbH, vgl. S. 53). Für derartige Unternehmen, die sowohl Rechenzentrum als auch Systemhaus umfassen, ist daher der Begriff eines IT-Service-Anbieters eigentlich treffender.

322 Leistungen

Auf den folgenden Seiten werden nach Küchler jene IT-Leistungen im groben Überblick dargestellt, die in der Praxis von Auslagerung betroffen sein können. Gleichzeitig handelt es sich dann um die IT-Dienstleistungen, die ein Rechenzentrum anbietet.

Die typischen Komponenten eines Anwendungssystems, die ausgelagert werden können, sind Desktops, Netzwerke, Server, Storage, System- und Anwendungssoftware. Diese IT-Komponenten betreffende Services werden in der Leistungsgruppe „Technik und Service“ zusammengefasst. Küchler teilt die möglichen anderen IT-Leistungen, die bei IT-Outsourcing Projekten vorkommen können, in zwei weitere Leistungsgruppen ein: „Querschnittsleistungen“ und „General Services“. Festzuhalten ist, dass es sich hierbei um keine vollständige und abschließende Übersicht handelt.^[121]

3221 Querschnittsleistungen

Nach Küchler handelt es sich um Leistungen, die keiner bestimmten Komponente eines Anwendungssystems zugeordnet werden können, sondern alle Bereiche eines IT-Outsourcing-Projektes betreffen können. Die häufigsten sind folgende:^[122]

User-Helpdesk (Services)

Der User-Helpdesk ist eine zentrale Anlaufstelle für die Benutzer von IT-Leistungen bei Fragen und Problemen. Üblicherweise ist er in Support-Levels gegliedert, um die Probleme der Benutzer je nach Schwere und Fachgebiet an die richtigen Ansprechpartnern weiterzuleiten, die für eine Lösung sorgen. Der User-Helpdesk ist typischerweise eine Zusatzleistung bei fast jedem Outsourcing-Projekt, kann jedoch auch separat angeboten werden.

Betriebssteuerung/Betriebs-Management (Services)

Darunter fällt eine Reihe von Leistungen, die den reibungslosen Systembetrieb am Laufen hält. An erster Stelle ist die Wartung und Pflege der IT-Systeme zu nennen. Dies wird primär vom Systemhersteller übernommen, kann diesem jedoch auch „abgekauft“ werden und von der Serviceorganisation intern durchgeführt werden. Die Systemadministration sorgt für die „unmittelbare Aufrechterhaltung des täglichen Systembetriebs“^[123]. Um die eingesetzten Systeme zu überwachen, Trends abzuleiten und die Ergebnisse an den Kunden zu berichten, erbringt ein Rechenzentrum Monitoring, Tracking und Reporting Leistungen. Diese Leistungen sind Basis für eine optimale Ausnutzung der Systemressourcen sowie für laufende Verbesserungen in der Effizienz. Letzteres ist Aufgabe des System-Managements/Tunings. Weiters ist ein Betriebs-Management erforderlich, um u. a. Kapazitäten, Performance, Probleme und Risiko zu handhaben. Eine sehr große Bedeutung hat die Betriebssicherheit. Es wird zwischen Hardware-Sicherheit, den Zugriffsbeschränkungen zum Schutz vor Missbrauch, der logischen und physischen Datensicherheit und personellen Maßnahmen unterschieden. Damit dem Risiko der einseitigen Abhängigkeit beim IT-Outsourcen das „abschreckende Potential“ genommen wird, deponieren Serviceorganisationen oft ihr eingesetztes Know-how bei einer unabhängigen Stelle, was als Escrow bezeichnet wird.^[124] Zu jedem Anwendungssystem gehört auch die entsprechende aktuelle und vollständige Dokumentation, beispielsweise Benutzerhandbücher und Systemdokumentationen. Um den Kunden eine hochwertige Leistung bieten zu können, ist eine entsprechende Quality Assurance und/oder Qualitätszertifizierung durchzuführen. Grundsätzlich sollte es sich nicht nur auf eine Zertifizierung beispielsweise nach ISO beschränken, sondern ein internes Qualitätsmanagement sollte für eine kontinuierliche Sicherung sorgen. Zu einer weiteren Leistung beim Outsourcing gehört auch die Schulung von Mitarbeitern der Kunden auf ein eventuell neues Anwendungssystem. Abschließend gilt es die vereinbarten SLAs zu überwachen und einzuhalten, was die Einrichtung eins Service Managements erfordert.

[...]

---

^[1] Bohlen (IT-Outsourcing), S.46.

^[2] Vgl. Stahl, E. - Wimmer, A. (Informationsverarbeitung), S. 173f.

^[3] Mehlau (IT-Architekturen), S. 215.

^[4] Vgl. http://www.ifac.org/.

^[5] Vgl. Huissoud (Revision), S. 183f.

^[6] Vgl. IFAC (Handbook), S. 521.

^[7] Vgl. http://www.law.uc.edu/CCL/SOact/soact.pdf, abgerufen am 15.5.2006.

^[8] Vgl. Mayer, L. u. a. (Grundsätze), S. 89.

^[9] Vgl. Kammer der Wirtschaftstreuhänder (KFS/PG 1), S. 6.

^[10] Vgl. Lanfermann, G. (Abschlussprüfung), S. 40.

^[11] Vgl. Dirlewanger, W. (Outsourcing), S. 41.

^[12] Vgl. Bongard, S. (Outsourcing), S. 81ff.

^[13] Der Outsourcer ist jenes Unternehmen, das Aufgaben, Funktionen und Leistungen an eine externe Serviceorganisation auslagert.

^[14] In Anlehnung an ISA 402 wird der Begriff Serviceorganisation in dieser Arbeit für jenes Unternehmen verwendet, das Dienstleistungen für einen Outsourcer anbietet.

^[15] Vgl. Bongard, S. (Outsourcing), S. 78.

^[16] In dieser Arbeit werden die Begriffe Outsourcing und Auslagerung synonym verwendet.

^[17] Vgl. Saunders, C. - Gebelt, M. - Hu, Q. (Outsourcing), S. 63; Bongard, S. (Outsourcing), S. 81ff.

^[18] Vgl. Bongard, S. (Outsourcing), S. 78.

^[19] Vgl. Stahlknecht, P. - Hasenkamp, U. (Wirtschaftsinformatik), S. 451

^[20] Vgl. Küchler, P. (Grundlagen), S. 62.

^[21] Vgl. Ramanujan, S. - Sandhya, J. (Offshoring), S. 51.

^[22] Vgl. Bongard, S. (Outsourcing), S. 87; Billeter, T. (IT-Outsourcing), S. 11; Stahlknecht, P. - Hasenkamp, U. (Wirtschaftsinformatik), S. 451.

^[23] Vgl. Bieg, H. - Krämer, G. (Bankenaufsicht), S. 336.

^[24] Vgl. Billeter, T. (IT-Outsourcing), S. 7f.

^[25] Heinrich, L. - Lehner, F. (Informationsmanagement), S. 7.

^[26] Vereinfacht gesagt ist syntaktische Information quantifizierbar. Die Bedeutung für den Empfänger ist nicht relevant. Demgegenüber bezeichnet die semantische Information die Bedeutung einer Nachricht für den Empfänger und ist daher nicht quantifizierbar. Vgl. Rechenberg, P. (Informationsbegriff), S. 321.

^[27] Vgl. Rechenberg, P. (Informationsbegriff), S. 325f; Laudon, K. - Laudon, J. - Schoder, D. (Wirtschaftsinformatik), S. 32.

^[28] Vgl. Laudon, K. - Laudon, J. - Schoder, D. (Wirtschaftsinformatik), S. 27.

^[29] Vgl. Heinrich, L. - Lehner, F. (Informationsmanagement), S. 9.

^[30] Vgl. ebenda, S. 7.

^[31] Vgl. Laudon, K. - Laudon, J. - Schoder, D. (Wirtschaftsinformatik), S. 29.

^[32] Vgl. Kammer der Wirtschaftstreuhänder (KFS/DV 2), S 1.

^[33] Vgl. Stahlknecht, P. - Hasenkamp, U. (Wirtschaftsinformatik), S.1ff.

^[34] Luftman, J. N. - Lewis, PO. R. - Oldach, S. H. (information technology), S. 201.

^[35] Vgl. Billeter, T. (IT-Outsourcing), S. 10.

^[36] Vgl. Stahlknecht, P. - Hasenkamp, U. (Wirtschaftsinformatik), S.14f.

^[37] Vgl. Billeter, T. (IT-Outsourcing), S. 201.

^[38] Vgl. ebenda, S. 231.

^[39] Wigand, R. u. a. ( Information Systems), S. 20ff.

^[40] Vgl. Billeter, T. (IT-Outsourcing), S. 10.

^[41] Vgl. Stahlknecht, P. - Hasenkamp, U. (Wirtschaftsinformatik), S. 204f.

^[42] Vgl. ebenda, S. 206.

^[43] Vgl. Laudon, K. - Laudon, J. - Schoder, D. (Wirtschaftsinformatik), S. 31.

^[44] Abbildung entnommen aus: Laudon, K. - Laudon, J. - Schoder, D. (Wirtschaftsinformatik), S. 32.

^[45] Vgl. Billeter, T. (IT-Outsourcing), S. 11.

^[46] Vgl. Billeter, T. (IT-Outsourcing), S. 243ff.

^[47] Vgl. Horchler, H. (Intelligentes Sourcing), S. 17.

^[48] Vgl. Bulder, M. (Managed Services), S. 61f.

^[49] Vgl. Billeter, T. (IT-Outsourcing), S. 255f.

^[50] Vgl. Stahlknecht, P. - Hasenkamp, U. (Wirtschaftsinformatik), S. 452.

^[51] Vgl. Küchler, P. (Grundlagen), S. 69.

^[52] Vgl. Del Castillo, N. u. a. (Share), S. 57.

^[53] Vgl. Schröder, S. (ASP), S. 89ff.

^[54] Vgl. Küchler, P. (Grundlagen), S. 71.

^[55] Vgl. Stahlknecht, P. - Hasenkamp, U. (Wirtschaftsinformatik), S. 452.

^[56] Vgl. Eberhardt, M. (BPO), S. 143.

^[57] Abbildung modifiziert übernommen aus: Bongard, S. (Outsourcing), S. 88.

^[58] Vgl. ebenda, S. 88f.

^[59] Vgl. Mertens, P. - Knolmayer, G. (Informationsverarbeitung), S. 17; Bräutigam, P. - Grabbe H. (Ausgangspunkte), S. 176.

^[60] Vgl. Petersen, S. (Outsourcing), S. 171ff.

^[61] Vgl. Bieg, H. - Krämer, G. (Bankenaufsicht), S. 335f.

^[62] Vgl. Lee, J.-N. u. a. (IT Outsourcing), S. 84; Xue, Y. - Sankar, C. S. - Mbarika, V. W.A. (Outsourcing), S. 9; Ramanujan, S. - Sandhya, J. (Offshoring), S. 51

^[63] Abbildung entnommen aus: Lee, J.-N. u. a. (IT Outsourcing), S. 84.

^[64] Vgl. Lee, J.-N. u. a. (IT Outsourcing), S. 84ff.

^[65] Vgl. Billeter, T. (IT-Outsourcing), S. 39.

^[66] Vgl. Mertens, P. - Knolmayer, G. (Informationsverarbeitung), S. 18.

^[67] Man versteht darunter den Abbau von Hierarchie und das Weglassen von überflüssigen Arbeitabläufen, um die Effizienz zu steigern.

^[68] Darunter ist die revolutionäre Änderung aller bisheriger Geschäftsprozesse zu verstehen.

^[69] Vgl. Horchler, H. (Intelligentes Sourcing), S. 17.

^[70] Vgl. Betsch, O. (Bankindustrie), S. 10ff.

^[71] Vgl. Sokolovsky, Z. (Industrialisierung), S. 37f.

^[72] Vgl. Berensmann, D. (Industrialisierung), S. 89f.

^[73] Vgl. Kassner, S. (Retail-Banking), S. 20.

^[74] Vgl. http://www.zahlungsverkehrsfragen.de/sepa_epc.html, abgerufen am 5.6.2006.

^[75] Vgl. Betsch, O. (Bankindustrie), S. 5.

^[76] Vgl. Billeter, T. (IT-Outsourcing), S. 41.

^[77] Vgl. Quinn, J. B. - Hilmer, F. G. (Outsourcing), S. 43ff; Jorgensen, J. (outsourced IT), S. 54; King, W. R. (Outsourcing), S. 83.

^[78] Peterson, S. (Outsourcing), S. 164f.

^[79] Vgl. Billeter, T. (IT-Outsourcing), S. 142.

^[80] Vgl. Mertens, P. - Knolmayer, G. (Informationsverarbeitung), S. 18.

^[81] PL/1 ist eine Programmiersprache, die von IBM in den 1960ern entwickelt worden ist.

^[82] Vgl. Bongard, S. (Outsourcing), S. 110.

^[83] Vgl. Billeter, T. (IT-Outsourcing), S. 142.

^[84] Vgl. King, W. R. (Outsourcing), S. 83; Lamberti, H.-J. (Banken),.S. 512.

^[85] Vgl. Mertens, P. - Knolmayer, G. (Informationsverarbeitung), S. 23.

^[86] Abbildung modifiziert übernommen aus: Mertens, P. - Knolmayer, G. (Informationsverarbeitung), S. 24.

^[87] Vgl. Bräutigam, P. (Vertragsgestaltung), S. 645 und 802.

^[88] Lacity, M. C. - Willcocks, L. P. - Feeny, D. F. (IT Outsourcing), S. 91.

^[89] Vgl. ebenda.

^[90] Vgl. Jorgensen, J. (Outsourced IT), S. 55.

^[91] Vgl. Gründer, T. - Lessmann, A. (SLA), S. 181ff.

^[92] Vgl. Stahl, E. - Wimmer, A. (Informationsverarbeitung), S. 174.

^[93] Abbildung modifiziert übernommen aus: Rodríguez, R. (Information Systems), S. 4.

^[94] Vgl. Wild, O. (Bankgeschäft), S. 19.

^[95] Vgl. Stahl, E. - Wimmer, A. (Informationsverarbeitung), S. 173.

^[96] Vgl. Wild, O. (Bankgeschäft), S. 19.

^[97] Das Handelssystem dient der Zusammenführung von Angebot und Nachfrage an der Börse, das Clearingsystem dient der finanziellen Abwicklung (Zahlungsausgleich), und das Settlementsystem dient der physischen Abwicklung des Wertpapiergeschäfts (Übertragung der Wertpapiere).

^[98] Vgl. Foit, M. (IT-Infrastruktur), S. 195.

^[99] Vgl. Stahl, E. - Wimmer, A. (Informationsverarbeitung), S. 173.

^[100] Vgl. Foit, M. (Imaginäre Produkte), S. 24.

^[101] Abbildung modifiziert übernommen aus: Tolkmitt, V. (Bankbetriebslehre), S. 85.

^[102] Vgl. Tolkmitt, V. (Bankbetriebslehre), S. 86ff.

^[103] Vgl. ebenda, S. 136ff.

^[104] Bei der Fremdfinanzierung wird der Kapitalgeber Gläubiger, bei der Eigenfinanzierung Miteigentümer, vgl. Tolkmitt, V. (Bankbetriebslehre), S. 136.

^[105] Factoring ist der An- und Verkauf von Forderungen, Leasing der Mietkauf von Wirtschaftgütern, vgl. Tolkmitt, V. (Bankbetriebslehre), S. 160 und 201ff.

^[106] Vgl. Tolkmitt, V. (Bankbetriebslehre), S. 235ff.

^[107] Vgl. Joiko, M. (Kernbanken- und Wertpapiersystem), S. 6

^[108] Vgl. ebenda, S. 7.

^[109] Vgl. Greiller, R. - Graef, M. (Rechenzentrum), S. 19.

^[110] Ebenda, S. 20.

^[111] Vgl. Direlwanger, W. (Mainframerechner), S. 202.

^[112] Vgl. Stahlknecht, P. - Hasenkamp, U. (Wirtschaftsinformatik), S. 455.

^[113] Vgl. Greiller, R. - Graef, M. (Rechenzentrum), S. 25ff.

^[114] Vgl. Stahlknecht, P. - Hasenkamp, U. (Wirtschaftsinformatik), S. 454.

^[115] Unter Dialogverarbeitung versteht man den wechselseitigen Datenaustausch zwischen Mainframe und dem Benutzer am Terminal.

^[116] Unter Stapelbetrieb versteht man das Verarbeiten der bis zu einem bestimmten Zeitpunkt gesammelten vollständigen Aufträge durch den Mainframe.

^[117] Abbildung entnommen aus: Stahlknecht, P. - Hasenkamp, U. (Wirtschaftsinformatik), S. 456.

^[118] Abbildung entnommen aus: Stahlknecht, P. - Hasenkamp, U. (Wirtschaftsinformatik), S. 458.

^[119] Vgl. Stahlknecht, P. - Hasenkamp, U. (Wirtschaftsinformatik), S. 457.

^[120] Vgl. ebenda, S. 459.

^[121] Vgl. Küchler, P. (Grundlagen), S.55ff

^[122] Vgl. ebenda, S. 85ff.

^[123] Vgl. ebenda, S. 90.

^[124] Vgl. Küchler, P. (Grundlagen), S. 96.