Management des Outsourcing – damit Auslagerungen nicht zur Schwachstelle in der Wertschöpfungskette werden
1. OUTSOURCING – ZWEI SEITEN EINER MEDAILLE
In einer arbeitsteiligen Welt ist die Auslagerung von Herstellungs- und Dienstleistungs-Prozessen an Dienstleister und Lieferanten – das Outsourcing – eine Selbstverständlichkeit geworden. Im produzierenden Bereich, wie zum Beispiel der Automobilindustrie ist der Trend zur Auslagerung großer Teile der Wertschöpfungskette schon sehr weit fortgeschritten und ausgeprägt. Einer der wichtigsten Kernkompetenzen eines Automobilherstellers ist heute das „Orchestrieren“ aller Zulieferer und Dienstleister damit die Produktion just in time funktionieren kann. Selbst die Forschung und Entwicklung für zentrale Fahrzeugkomponenten erfolgt durch die Zulieferer. Hieraus ist mittlerweile ein überaus komplexes beidseitiges Abhängigkeitsverhältnis zwischen Lieferanten, Sub-Lieferanten und den Automobilproduzenten entstanden.
Im Dienstleistungssektor ist eine vergleichbare Entwicklung zu beobachten. Waren anfänglich vornehmlich unterstützende Prozesse wie beispielsweise das Facility Management oder der Betrieb des Betriebsrestaurants im Fokus für das Outsourcing, werden heute in immer stärkerem Maße Kernprozesse zur Service- und Produkterstellung an externe Dienstleister ausgelagert. Hierzu zählen zum Beispiel auch der Betrieb der IT-Systeme und Anwendungsentwicklung in der IT wie auch die Auslagerung von Kernprozessen in der Produkt- und Serviceerstellung oder Kundenkommunikation. Treiber dieser Entwicklung ist das Streben nach Effizienz und die Fokussierung auf Kernkompetenzen. Auch die Verringerung der Komplexität mit dem Ziel einer „lean production“ verlangt nach der Auslagerung von Prozessen. Dienstleister können durch ihre Spezialisierung auf ausgewählte Serviceerstellungsprozesse auf der Kostenseite Skaleneffekte und damit Kostenreduzierungen erzielen sowie auf der Leistungsseite umfangreiche Serviceleistungen aus einer Hand anbieten. Die Auslagerung von Geschäftsprozessen an externe Dienstleister erscheint daher oftmals sehr verlockend und die schnell identifizierten Chancen durch ein Outsourcing treiben viele Sourcing-Projekte. Dass auch die Medaille des Outsourcings zwei Seiten hat – Chance und Risiko – wird dabei jedoch oftmals unterschätzt. Die Automobilindustrie, als ein Vorreiter im Outsourcing, kann ein Lied davon singen. Das Fehlen eines winzigen Cent-Bauteils kann zum Produktionsstopp mit Millionenschaden führen. Die Ursachen hierfür können vielfältig sein und reichen von einem starken Unwetter in Asien bis hin zur Insolvenz eines kritischen Zulieferers. Mehrfach schon mussten Automobilhersteller wirtschaftlich in Not geratene Zulieferer stützen oder gar übernehmen, um die Zulieferungen zu schützen. Auf der anderen Seite nutzen Zulieferer ihre Machtposition, um für bessere Konditionen zu kämpfen. Die Lieferketten sind mittlerweile hoch komplex, da sie global über viele Lieferstufen in der Lieferkette verteilt sind. Diese Komplexität birgt viele Risiken.
2. RISIKEN DER LIEFERKETTE – ERGEBNISSE DES BCI-SUPPLY CHAIN RESILIENCE REPORT 2016
Bereits im achten Jahr hat das Business Continuity Institute BCI (www.thebci.org) in Zusammenarbeit mit der Zurich Insurance Group im Rahmen des Supply Chain Resilience Report 2016 weltweit Ursachen und Wirkungen von Unterbrechungen der Lieferkette erhoben. An der Studie haben 526 Teilnehmer aus 64 Ländern ihre Erfahrungen eingebracht.
Hier einige der zentralen Ergebnisse der Studie:
- 70 Prozent der Studien-Teilnehmer hatten mindestens eine Unterbrechung der Lieferkette in den zurückliegenden 12 Monaten.13 Prozent der Teilnehmer gaben an, die Zahl der Lieferunterbrechungen gar nicht zu kennen.
- Die Ursache für Unterbrechungen lagen in 41 Prozent der Fälle beim direkten Lieferanten (Tier 1), in 31 Prozent der Fälle jedoch in der nachgelagerten Lieferkette (Tier 2 und weiter nachgelagert).
- 40 Prozent der Organisationen analysieren die Ursache der Unterbrechung in der Lieferkette nicht.
- IT- und Kommunikationsausfälle sind die dominierenden Ursachen für Unterbrechungen der Lieferkette. Diese führen auch zu den höchsten Schadensfolgen. Auf Plätzen zwei und drei folgen der Verlust von Know How („talent/skills“) und Cyber Attacken/Datenpannen. Terrorismus taucht erstmalig unter den Top-Ten der Ursachen (Rang neun) auf.
- Cyber Attacken und Datenpannen werden durch die Studienteilnehmer in der Zukunft als das größte Risiko für die Lieferkette angesehen, gefolgt von IT- und Telekommunikationsausfällen sowie Verlust von Know How.
- Die Lieferunterbrechungen führten in der Folge zu Produktionsstörungen (68 Prozent) und erhöhten Kosten (53 Prozent). Reputationsschäden als Schadensfolge erreichten den höchsten Stand seit Beginn der Studie (38 Prozent).
- 34 Prozent der Studienteilnehmer berichten von finanziellen Folgekosten durch Verdienstausfälle und Mehrkosten durch Lieferunterbrechungen von mehr als einer Million Euro. Große Unternehmen sind überwiegend (62 Prozent) durch Versicherungen gegen die Schäden abgesichert, kleine und mittelständische Unternehmen sind hingegen deutlich schlechter durch Versicherungen gegen die Schadensfolgen abgesichert (39 Prozent).
- 73 Prozent der befragten Unternehmen haben eine Notfallvorsorge für Lieferunterbrechungen im Rahmen des Business Continuity Management, wohingegen 21 Prozent keine Notfallvorsorge betreiben und sechs Prozent der Unternehmen es nicht wissen.
- 43 Prozent der Organisationen haben mehr als 21 kritische Lieferanten, 3 Prozent mehr als 1.000. 14 Prozent der Organisationen haben ihre kritischen Lieferanten nicht identifiziert.
- 63 Prozent der Organisationen fragen ihre kritischen Lieferanten nach den BCM-Konzepten. Nur sechs Prozent der Studienteilnehmer können jedoch auch sicherstellen, dass alle Lieferanten auch Notfallkonzepte implementiert haben. Der Großteil der Organisationen (57 Prozent) hat die Notfallkonzepte der Lieferanten nicht überprüft. Nur 11 Prozent haben gemeinsame Tests und Übungen zur Validierung der Konzepte mit Lieferanten durchgeführt.
Die Studie ist kostenfrei auf der Webseite des Business Continuity Institute BCI verfügbar (www.thebci.org).
Die Ergebnisse der Supply Chain Resilience Studie des BCI zeigen deutlich Risiken und Handlungsbedarfe durch Outsourcing auf. Die Lieferbeziehungen und -ketten sind oftmals intransparent, dies gilt insbesondere für die Teile der Lieferkette, die nachgelagert zum direkten Lieferanten liegen (Tier 2 und nachfolgend). IT- und Cyber-Risiken müssen als Hauptursachen stärker berücksichtigt werden. Dies kann nur in enger Zusammenarbeit mit den Dienstleistern erfolgen. Gemeinsame Tests und Übungen mit den kritischen Zulieferern sind hierzu unabdingbar, jedoch offensichtlich noch die seltene Ausnahme.
Neben den betriebswirtschaftlichen Chancen des Outsourcings darf die andere Seite der Medaille in Form der Risiken nicht außer Acht gelassen werden, damit das Outsourcing nicht zum unkalkulierbaren Risiko für die eigene Serviceerbringung für die Kunden wird.
Sind die Prozesse erst einmal zum Dienstleister ausgelagert, sind Korrekturen nur noch schwer, aufwändig und kostenintensiv möglich. Entscheidend für ein erfolgreiches Outsourcing ist daher, dass alle Rahmenbedingungen und kritische Erfolgsfaktoren frühzeitig im Entscheidungsprozess berücksichtigt werden. Die Komplexität liegt hierbei in der Vielzahl der Rahmenbedingungen, die zu berücksichtigen sind. Rechtliche und regulatorische Vorgaben für die Auslagerung von Prozessen werden durch die Aufsichtsorgane im Finanzdienstleistungsbereich ständig weiter verschärft. Dies gilt insbesondere für das Risikomanagement sowie die Steuerung und Kontrolle von ausgelagerten Prozessen und Dienstleistern. Governance, Risk und Compliance für das Outsourcing kommt daher eine ständig wachsende Bedeutung zu.
Nachfolgend soll ein GRC-Modell vorgestellt werden, mit dem die Risiken des Outsourcing durchgehend berücksichtigt werden können.
3. GRC-MODELL OUTSOURCING
Governance Risk und Compliance des Outsourcing muss auf drei Ebenen erfolgen: der strategischen, taktischen und operativen Ebene.
Auf der strategischen Ebene erfolgt die Festlegung der Sourcing-Strategie auf der Grundlage der Unternehmens-Strategie.
In der Sourcing-Strategie sind beispielhaft die folgenden Inhalte übergeordnet festgelegt:
- Ziele des Outsourcing auf Basis der Unternehmensziele
- Organisation, Rollen, Aufgaben, Kompetenzen und Verantwortungen für das Management des Outsourcing
- Rechtliche und regulatorische Rahmenbedingungen sowie rechtliche und regulatorische Restriktionen für das Outsourcing (Bsp. Anforderungen aus den MaRisk für Finanzdienstleister)
- Zielbild für das Mix aus internen Prozessen und ausgelagerten Prozessen
- Prozesse und Services, die als Kernkompetenz nicht ausgelagert werden
- Umgang mit Risiken aus dem Outsourcing, Notfallkonzepte, Rückabwicklungsstrategien
- Strategische Dienstleister für das Outsourcing.
Auf der taktischen Ebene erfolgt die Steuerung, Koordination und das Controlling für das Outsourcing im Unternehmen.
Das Outsourcing von Prozessen und Services an externe Dienstleister erfordert die Mitwirkung vieler unterschiedlicher Disziplinen im Unternehmen. Schwierigkeiten bei neuen Outsourcing-Vorhaben tauchen oftmals auf, wenn wichtige Disziplinen nicht oder nicht rechtzeitig in den Outsourcing-Prozess eingebunden werden. Wird die Beschaffung zum Beispiel nur aus beschaffungstechnischen und juristischen Blickwinkeln betrachtet, fehlen Aspekte des Business Continuity Managements, der Informationssicherheit und des Datenschutzes. Eine nachträgliche Berücksichtigung dieser Aspekte führt dann zu Zeitverzögerungen, Mehrkosten und Mehraufwand. Eine zentrale koordinierende Stelle, die den übergreifenden Sourcing-Prozess unter Einbindung aller relevanten Disziplinen definiert und auf dessen Einhaltung achtet ist daher ein wichtiges Erfolgskriterium. Eine zentrale Stelle des Outsourcing-Beauftragten, als 2nd Line of Defense, kann eine solche Rolle im Unternehmen übernehmen.
Ein starkes Defizit hat die Supply Chain Resilienz Studie in der fehlenden Transparenz der Lieferbeziehungen zu Lieferanten und der Lieferketten identifiziert. Auf der taktischen Ebene sind zentral die Methoden und Verfahren zu entwickeln, um die erforderliche Transparenz zu schaffen. Dies mündet in einem zentralen Sourcing-Berichtswesen für das Management. Die Koordination von Dienstleister-Audits sowie die Durchführung von Tests und Übungen sollte ebenso von dieser zentralen Stelle koordiniert und gesteuert werden. Damit wird eine koordinierte Steuerung und Controlling des Dienstleisters über alle Disziplinen hinweg sichergestellt.
Auf der operativen Ebene kommt die Mitarbeit der einzelnen Disziplinen zum Tragen. Die nachfolgende Aufzählung der relevanten Disziplinen ist nicht abschließend. Nicht zu vergessen sind beispielsweise Revision, Qualitätsmanagement, Organisation und die IT, die in Outsourcing-Vorhaben einzubinden sind.
4. FAZIT:
Outsourcing bietet große Chancen zur Steigerung der Effizienz und Konzentration auf die Kernkompetenzen. Auf der anderen Seite verändert sich durch das Outsourcing die Risikolandschaft des Unternehmens. Dem ökonomischen Nutzen der Auslagerung von Prozessen stehen neue Risiken in der Lieferkette und der erforderliche Managementaufwand zur Steuerung der Lieferkette gegenüber. Kritischer Erfolgsfaktor für das Erreichen der Ziele durch das Outsourcing ist eine interne Organisation und entsprechende Prozesse für Governance, Risk und Compliance des Outsourcings. Dieses GRC-Modell muss aus einer strategischen, taktischen und operativen Ebene bestehen, um ein aus den Unternehmenszielen abgeleitetes kohärentes Vorgehen unter Mitwirkung aller Disziplinen sicherstellen zu können. Die ausgelagerte Lieferkette darf nicht zum schwächsten Glied in der Leistungserbringung für den Kunden werden.
Weitere Informationen finden Sie auf www.haemmerle-consulting.de.
Matthias Hämmerle, Geschäftsführer von haemmerle-consulting, ist ein erfahrerener und anerkannter Experte für Business Continuity und Informationssicherheitsmanagement. Seine Erfahrungen sammelte der studierte Wirtschaftswissenschaftler sowohl im finanzsektor als auch bei Unternehmensberatungen und Wirtschaftsprüfungsgesellschaften. Seine Kompetenz im BCM wurde vom Busienss Continuity Institute durch die Verleihung des Member-status dokumentiert. Er ist Lead Auditor ISO 22301 und als Dozent für den Themenberiche BCM an der Frankfurt School of Finance & Management tätig. er ist Herausgeber der BCM-News, dem führenden deutschsprachigen Informationsportal für BCM.