Risikominimierung im IT-Outsourcing: Maßnahmen unter Berücksichtigung regulatorischer Vorgaben

2 Grundlagen und Einordnung

Dieses Kapitel gibt einen Überblick über die Grundlagen von IT-Sourcing, IT-Outsourcing und IT-Compliance und ordnet die Begriffe in den jeweiligen thematischen Kontext ein.

2.1 IT-Sourcing

Informationstechnologie stellt heutzutage einen integralen Bestandteil der Firmenaktivität dar und trägt zum Funktionieren der Kernkompetenzen bei (Mohapatra/Das 2013). Dennoch wurde diese in der ersten bekannten vertraglichen Outsourcing Partnerschaft zwischen der Kodak Eastman Company und IBM von 1989 (Qi/Chau 2012) ausgelagert. Seit der ersten Auslagerung hat sich der Prozess nicht nur verändert, sondern wurde auch definitorisch in den wissenschaftlichen Quellen überarbeitet (BITKOM 2008).

IT-Sourcing stellt den Oberbegriff des IT-Outsourcings dar. Die IT-Auslagerung ist also eine Strategieoption des Sourcings. Im Folgenden findet diese Definition für IT-Sourcing Verwendung:

„obtaining IT services through a specific and formal organizational arrangement for the purpose of production and delivery of IT services as well as the management of the necessary resources and activities“ (Jayatilaka/Hirschheim 2009)

IT-Sourcing beschreibt die durch eine angepasste formale Gestaltung durchgeführte Beschaffung der IT-Dienstleistungen mit dem Ziel der Produktion. Außerdem die Erbringung von IT-Dienstleistungen im Zusammenhang mit dem Management der notwendigen Aktivitäten und Betriebsmittel.

„Outsourcing“, das englische Wort für Ausgliederung, wird im Folgenden lediglich im Kontext der IT verwendet. Es beschreibt das Auslagern eines IT-Services. Diese Arbeitsleistung wurde zuvor intern durchgeführt und wird nun von einem IT-Service-Dienstleister übernommen (Gurbaxani 2007, Han/Mithas 2013). Das IT-Sourcing beinhaltet verschiedene Beschaffungsmethoden, wie beispielsweise das IT-Outsourcing. Hierbei erfolgen Differenzierungen unter anderem nach Standort, der finanziellen Abhängigkeit und dem Grad des externen Leistungsbezugs (siehe Abbildung 1) .

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: IT-Sourcing Map (Jouanne-Diedrich 2014)

Weitere Unterscheidungen erfolgen mittels dem Grad der Geschäftsorientierung, der Anzahl der Leistungsersteller, dem zeitlichen Aspekt sowie strategische Aspekte. Der Standort beschreibt, wo die Leistungserstellung erfolgt. Wie der Service-Dienstleister mit dem outsourcenden Unternehmen verbunden ist, wird durch die finanzielle Abhängigkeit dargestellt. Der Umfang des Outsourcings, totale, selektive oder keine Auslagerung wird durch den Grad des externen Leistungsbezugs benannt. Hierbei wird weiter differenziert nach dem Grad der Geschäftsorientierung. Diese beschreibt die Leistungsform des IT-Sourcings, also beispielsweise das Auslagern von Business Prozessen oder Applikationen. Die Leistungserstellung muss nicht nur durch einen Service-Dienstleister durchgeführt werden, sondern kann auch von mehreren realisiert werden. Der zeitliche Aspekt, beispielsweise, dass Outsourcing rückgängig gemacht wird - „Backsourcing“ genannt - ist eine weitere Unterteilung. Die strategischen Aspekte schließen die Unterteilung ab, hierbei wird das Ziel des Sourcings definiert. Jedes gewinnorientierte Unternehmen wählt aus den möglichen Varianten die für sich vorteilhafte Art des IT-Sourcings (Chang/Gurbaxani 2012). Ausführlicher eingegangen wird in dieser Arbeit auf den zeitlichen Aspekt. Hierbei insbesondere auf das IT-Backsourcing als Risikofaktor und dem IT-Outsourcing im Zusammenhang mit Nutzen und Risiken.

2.2 IT-Outsourcing

Die Entscheidung einer Durchführung von IT-Outsourcing wird auf Grund von Abwägungen individuell von jedem Unternehmen getroffen. Einflussfaktoren auf diese Entscheidung sind unter anderem:

1. Kostenreduktion
2. Konzentration auf Kernkompetenzen
3. Qualitätsverbesserung des ausgelagerten Services/ Anwendung neuer Technologien

(Ali/Green 2009, Chang/Gurbaxani 2012, Mohapatra/Das 2013, Pujals 2005, Xi et al. 2013) Die Kostenreduktion, als einer der bekanntesten Einflussfaktoren, ergibt sich aus der Überlegung, dass Service-Dienstleister davon profitieren nur eine Art von Service durchzuführen. Es entstehen dadurch Verbundeffekte („economies of scope“). Diesen Vorteil kann nicht von dem outsourcenden Unternehmen direkt genutzt werden, da dieses andere Kernkompetenzen hat. Die Konzentration auf diese verspricht Produktionsverbesserungen auf Grund zusätzlicher Ressourcen (Peslak 2012). Das auslagernde Unternehmen hat ebenfalls den Vorteil, durch einen Outsourcingvertrag die Kosten für die IT besser planen zu können (Bergkvist/Johansson 2007, Dhar 2012, Jayatilaka/Hirschheim 2009). Die durch den Vertrag eingekaufte externe Expertise stellt eine weitere Motivation für das Outsourcing dar. Die Unternehmen erwarten hierbei eine Qualitätsverbesserung des jeweiligen Services (Bergkvist/Johansson 2007). Außerdem können möglicherweise auch neuere Technologien schneller implementiert werden, da Investitionen in Nicht-Kernkompetenzen meist zu wenig Erfolg versprechen (Pujals 2005). Hierbei werden Investitionen durch den Service Provider eher durchgeführt. Dies hängt damit zusammen, dass der Service-Dienstleister seine Kernkompetenzen auf dem Feld des ausgelagerten Services besitzt. Bei den in dieser Arbeit betrachteten Unternehmen ist dies die IT, bei welcher zum Beispiel Investitionen im Bereich Hard- und Software regelmäßig von Vorteil sein können (Schäfer et al. 2008). Hierbei hat der Service Provider auch die Möglichkeit mehr Investitionen auf Grund von Mengenrabatten im Bereich Soft- und Hardware durchzuführen (Wang et al. 2008).

Der Outsourcing-Prozess gliedert sich in verschiedene Phasen, welche auch als Outsourcing Value Chain bezeichnet werden (Bi 2007):

1. Alignment
2. Feasibility
3. Transaction
4. Transition
5. Optimization/Transformation
6. Termination/Renegotiation

Die Alignment-Phase beschreibt den Zeitraum, in welchem die Outsourcing-Strategie mit der Unternehmensstrategie abgestimmt wird (Bi 2007). Hierbei wird die Durchführbarkeit („Feasibility“) anschließend geprüft und somit relevante Personenkreise und Daten für die Transaktion vorbereitet (Holweg/Pil 2012). Die Transaction Phase oder auch Transaktion beinhaltet den Vertragsabschluss und außerdem die Vorbereitung zur Übertragung der Daten und des relevanten Wissens. Der Wechsel der Daten erfolgt schließlich in der Transition-Phase, zu deutsch Übergang. Diese Phase ist geprägt von den größten Risiken hinsichtlich zusätzlicher Kosten für Ausfälle und oder Unterbrechungen des Service (Bahli/Rivard 2003). Nach der Übernahme der IT durch den Service Provider erfolgt die Transformation und Optimierungsphase, in welcher der Dienstleister seine eigenen Fähigkeiten mit einbringt und den Service verändert. Dazu ist als Voraussetzung eine abgeschlossene Transition Phase notwendig. Das heißt, dass der Service sich in seiner „Alltags-Situation“ befindet. Die abschließende Phase der Termination und Renegotiation beinhaltet ein Ende oder Neuanfang der Outsourcing-Partnerschaft, in welcher abhängig nach Nicht- bzw. Zustandekommen eines Vertrages eine eigene Durchführung (Backsourcing) erfolgt oder ein neuerlicher Übertrag des Services an einen anderen Dienstleister. Natürlich kann auch eine Verlängerung des Vertrages stattfinden. Für die spätere Risikobetrachtung ist eine weitere Form des IT-Outsourcings relevant, das IT-Offshoring, dieses beschreibt ein IT-Outsourcing, welches international erfolgt und auf Grund der Internationalität besonders risikoreich ist (King/Torkzadeh 2008).

2.3 IT-Compliance

IT-Compliance ist Bestandteil der Corporate-Compliance (Klotz/Dorn 2008). Wobei letztgenannte definiert ist, als regelkonformes Unternehmenshandeln, im speziellen Einhaltung von Normen, Standards und Gesetzen (Teubner/Feller 2008). IT-Compliance beschreibt ebenfalls die Einhaltung von Gesetzen, Richtlinien und Bestimmungen jedoch bei Verwendung von IT, es werden hierbei ebenfalls die innerbetrieblichen Vorgaben berücksichtigt (Mossanen/Amberg 2008). Die einzuhaltenden Direktiven gliedern sich, wie bei Klotz/Dorn und Strasser/Wittek beschrieben, in vier verschiedene Kategorien (Klotz/Dorn 2008, Strasser/Wittek 2011). Regulatorische Vorgaben, welche von staatlichen Einrichtungen erlassen werden, sind die erste Kategorie. Wobei das bekannteste Beispiel der Sarbanes-Oxley Act ist. Eine weitere Gruppe von Direktiven sind unternehmensexterne, auf IT bezogene Regelwerke. Hierbei handelt es sich um IT-Compliance Standards, wie zum Beispiel COBIT oder COSO.

Im Zusammenhang mit IT-Outsourcing kommt den Verträgen und Service Level Agreements eine besonders relevante Rolle zu (Heym/Seeburg 2012). Es stellt ebenfalls die dritte Gruppierung dar. Unternehmensinterne Regelwerke und somit die Verfahrensanweisungen für Mitarbeiter sind als letzte Untergliederung festgelegt. Eine IT-Compliance ist somit ein Zustand, der nur durch eine Prüfung bestätigt werden kann (Klotz/Dorn 2008). Diese Prüfungen erfolgen im Hinblick auf die genannten Direktiven.

3 Relevante rechtliche Vorgaben und IT-Compliance Standards

In diesem Kapitel werden relevante Direktiven für das IT-Outsourcing vorgestellt und analysiert. Die Unterteilung der IT-Compliance erfolgt in die vier Kategorien Regulatorische Vorgaben, IT-Compliance-Standards, Verträge und SLAs sowie unternehmensinterne Regelwerke (Klotz/Dorn 2008, Strasser/Wittek 2011).

3.1 Regulatorische Vorgaben

Regulatorische Vorgaben, Rechtsnormen und Verordnungen sind Direktiven, welche von staatlichen Institutionen erlassen werden (Klotz/Dorn 2008). Diese werden bei Nichtbefolgung mit monetären, teilweise jedoch auch mit Haftstrafen für die jeweiligen Vorstände geahndet (Knolmayer 2008).

Die für das IT-Outsourcing relevanten regulatorischen Vorgaben sind abhängig von dem jeweiligen Land, in welchem sich der Unternehmenssitz des outsourcenden Unternehmens befindet. Außerdem ist der Standort des Service-Dienstleisters relevant für die rechtlichen Vorgaben. Wenn sich beide Standorte unterscheiden muss das geltende Recht für die Beziehung im Vertrag festgelegt werden. Im Folgenden werden einige regulatorische Vorgaben für deutsche Unternehmen vorgestellt:

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG, beinhaltet als für das IT-Outsourcing relevanten Punkt die Pflicht zur Einrichtung eines Überwachungssystems für Unternehmen (§91 Abs. 2 AktG). Konkret ist ein Überwachungssystem in diesem Kontext ein Risikofrühwarnsystem, welches ebenfalls dokumentiert werden muss. Weiterhin müssen Service-Dienstleister durch das outsourcende Unternehmen beziehungsweise externe Fachkräfte überprüfbar sein (Mossanen/Amberg 2008). Dies ist auch eine Anforderung des Sarbanes-Oxley Acts of 2002, kurz SOX. In Bezug auf mögliche Prüfungen liegt die Verantwortung beim auslagernden Unternehmen (Hall/Liedtka 2007). Einige deutsche Unternehmen sind Dienstleister von Unternehmen, die an US-Börsen notiert sind. Somit ergibt sich eine indirekte Abhängigkeit von SOX. Diese spiegelt sich in Zertifizierungsanforderungen wieder. Eine direkte Abhängigkeit entsteht für an US-Börsen gelistete deutsche Unternehmen (BITKOM 2006). Diese tragen die Verantwortung für deren ausgelagerte Dienstleistungen.

Der Datenschutz im Hinblick auf diese ausgelagerten IT-Dienstleistungen ist im Bundesdatenschutzgesetz verankert. Dies ist besonders für den Finanzdienstleistungssektor von essentieller Bedeutung. Da bei der IT-Auslagerung in Banken regelmäßig personenbezogene Daten übertragen werden, ist hierbei § 4 Abs. 1 BDSG zu beachten. Dieser besagt, dass personenbezogene Daten nur innerhalb des europäischen Wirtschaftsraumes an Dritte weitergegeben werden dürfen (§4 Abs. 1 BDSG). Eine Ausnahme besteht, wenn ein angemessenes Datenschutzniveau in dem jeweiligen Land besteht, dieses gilt jedoch nur bei sehr wenigen Ländern (Baker 2005). Beispiele hierfür sind: Kanada, Guernsey und Argentinien. Generell gilt, dass die Verantwortung des Datenschutzes auf den Service-Dienstleister übergeht, wenn dieser die Daten erhält (Mossanen/Amberg 2008). Dies wird als Funktionsübertragung bezeichnet (Stemmer 2010). Eine Ausnahme bildet die Auftragsdatenvereinbarung, die im BDSG §11 beschrieben wird. Hierbei beauftragt das auslagernde Unternehmen den Service-Dienstleister mit der Verarbeitung personenbezogener Daten und bleibt selbst datenschutzrechtlich verantwortlich, indem es beispielsweise Kontrollen durchführt (Stemmer 2010).

Grundlage weiterer Gesetze, vor allem auf europäischer Ebene, sind die Eigenkapitalvorschriften des Baseler Ausschusses für Bankenaufsicht und deren Reformpaket des Baseler Ausschusses der Bank für Internationalen Zahlungsausgleich. In nationale Gesetzen angewendet ist Basel III, das Reformpaket von 2010, welches durch die EU-Richtlinien Capital Requirements Directive IV und Capital Requirement Regulation verpflichtend umzusetzen ist (BaFin 2014). Diese Richtlinien sind Bestandteil des Gesetzes über das Kreditwesen, in diesem Zusammenhang ist §25b KWG seit 01. Januar 2014 relevant für Auslagerungsprozesse und Auslagerungsaktivitäten. Zentrale Aussage ist, dass die Ordnungsmäßigkeit der Geschäfte durch die Auslagerung nicht beeinträchtigt werden darf (§25b Abs. 1 S.2 KWG).

Die Mindestanforderungen an das Risikomanagement (MaRisk), veröffentlicht durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), sind Verwaltungsvorschriften, die §25a KWG konkretisieren und durch § 7 KWG legitimiert sind (§25aKWG, §7 KWG). Der Allgemeine Teil 9 der MaRisk behandelt das Thema Outsourcing (MaRisk AT 9). Bei der Outsourcing Entscheidung wird hierbei ähnlich wie in SOX und KonTraG eine Risikoanalyse verlangt (MaRisk AT 9 Rn. 2). Außerdem müssen Kontinuität und Qualität des ausgelagerten Services gewährleistet werden, besonders nach Beendigung des Auslagerungsvertrags oder auch bei Unterbrechungen (MaRisk AT 9 Rn. 5).

Die regulatorischen Vorgaben sind eher generell verfasste Vorgaben, beispielsweise die Forderung ein Überwachungssystem zu installieren. Die hierfür relevanten Konkretisierungen, welche beispielsweise die Anweisungen für die einzelnen Prozessschritte geben, um das Überwachungssystem zu installieren, sind in den IT-Compliance-Standards definiert (Müller/Terzidis 2008, Spremic et al 2013). Hiermit ergibt sich die Daseinsberechtigung diverser Standards und Best-Practices.

3.2 IT-Compliance Standards

Die unternehmensexternen auf IT bezogenen Regelwerke sind als Compliance-Nachweise zu verstehen, da sie Berichte und generell Dokumentationen beinhalten (Mossanen/Amberg 2008). Für den Anwender sind diese Best-Practice Anleitungen hinsichtlich des Erreichens einer IT-Compliance notwendig. Dies resultiert aus der großen Anzahl regulatorischer Anforderungen und dient somit einer geordneten Übersicht. Außerdem werden allgemeine Vorgaben hiermit anhand von Best-Practice konkretisiert. Es erfolgt zunächst eine Betrachtung der Zertifizierungsstandards und anschließend der Referenzmodelle.

Zertifizierungsstandards sind eine Art von IT-Compliance-Standards. Sie dienen dem in Auftrag gebenden Unternehmen als Nachweis einen Standard umgesetzt zu haben. Dies wird durch eine Zertifizierungsstelle beziehungsweise einen Wirtschaftsprüfer durchgeführt (Diesterer 2009). Die zwei in dieser Arbeit ausführlicher betrachteten Zertifizierungsstandards umfassen unter anderem den IDW PS 951 und den ISAE 3402, ehemals SAS 70 (Sherinsky 2010).

Der IDW PS 951 ist ein vom Institut der Wirtschaftsprüfer in Deutschland e.V. veröffentlichter Prüfstandard, welcher sich auf eine Prüfung des Internen Kontrollsystems (IKS) bei Auslagerung an einen Dienstleister bezieht (IDW PS 951). Das IKS ist ein System zur Vermeidung von Risiken, deshalb auch Risikofrühwarnsystem genannt. Es beinhaltet Kontrollen hinsichtlich Compliance und kann auf Basis verschiedener Standards implementiert werden (Götz et al. 2008). Die Pflicht der Einrichtung eines IKS ergibt sich aus verschiedenen regulatorischen Vorgaben, wie beispielsweise §91 Abs. 2 AktG. Der Fokus des Prüfers liegt im Zusammenhang mit dem IDW PS 951 auf der Prüfung der Beschreibung des IKS durch den Dienstleister (IDW PS 951). Diese Beschreibung dient dem outsourcenden Unternehmen einerseits als Kontrolle für die Compliance des Dienstleisters, als auch andererseits dem Service Provider zur Überprüfung der eigenen Compliance. Außerdem ist auch die Kontrolle von Störfällen (Incidents) sowie das nachfolgende Incident Management, d.h. die Analyse und das Wiederherstellen des normalen Geschäftsbetriebs, ein Bestandteil des IDW PS 951 Berichts.

Der zweite Zertifizierungsstandard ist der International Standard on Assurance Engagements 3402 (ISAE 3402), dieser definiert ähnlich wie der IDW PS 951 die Prüfung der Kontrollen im Dienstleistungsunternehmen bei Outsourcing („Assurance Reports on Controls at a Service Organisation“ Bierstaker et al. 2013). Mit der Veröffentlichung durch das International Auditing and Assurance Standards Board wurden die vorher gültigen Statements on Auditing Standards No. 70 (SAS 70) Juni 2011 abgelöst (Bierstaker et al. 2013). Der Inhalt des ISAE 3402 bezieht sich hauptsächlich auf die Prüftätigkeit hinsichtlich der Kontrollen in Verbindung mit den ausgelagerten Services (ISAE 3402). Und dabei im Speziellen mit der Verfassung eines Prüfberichts.

Im Unterschied zu den Zertifizierungsstandards werden Referenzmodelle nicht zur Prüfung verwendet, sondern bei der Anwendung beziehungsweise Umsetzung regulatorischer Vorgaben. In diesem Zusammenhang ist die bereits dargestellte Implementierung eines IKS ein Beispiel. Es erfolgt somit die Anwendung der Referenzmodelle zeitlich gesehen vor der Anwendung der Zertifizierungsstandards. Hinsichtlich des IT-Outsourcings relevant, sind die beiden Standards COBIT und COSO, die nun vorgestellt und analysiert werden. Control Objectives for Information and related technology (COBIT) ist ein IT-Compliance Standard, der durch die Information Systems Audit and Control Association (ISACA) entwickelt wurde. Momentan in der Version 5 vorliegend, ist COBIT ein Managementtool zur Implementierung, Messung und Überprüfung von IT-Compliance (Hardy 2006). Das sich in fünf einzelne Prozessgruppen unterteilende Prozessreferenzmodell, garantiert den in der Outsourcing Partnerschaft involvierten Unternehmen bei Verwendung die Übereinstimmung des IT-Prozessaufbaus (Mossanen/Amberg 2008). Die fünf Prozessgruppen, wie in Abbildung 2 dargestellt, sind: 1. Evaluieren, Vorgeben und Überwachen, 2. Anpassen, Planen und Organisieren 3. Aufbauen, Beschaffen und Implementieren, 4. Bereitstellen, Betreiben und Unterstützen, 5. Überwachen, Evaluieren und Beurteilen. Die erste Prozessgruppe stellt die Governanceprozesse dar. Governanceprozesse sind sämtliche Prozesse, die relevant für die Führung hinsichtlich der Informationstechnologie sind. Prozessgruppen zwei bis fünf hingegen beinhalten die Prozesse für das Management der Unternehmens-IT. Es werden hierbei insgesamt 37 Prozesse von COBIT in die fünf Gruppen unterteilt dargestellt.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: COBIT 5 Prozessreferenzmodell (ISACA 2012)

Mit der Umsetzung des COBIT Standards ist es möglich innerhalb dieser Prozesse Kontrollziele zu etablieren, um mit Hilfe derer IT-Compliance Vorgaben einzuhalten. Die Nutzung resultiert somit laut BITKOM in der Kongruenz der COBIT Kontrollziele mit den Prüfungsplänen der Wirtschaftsprüfer und ermöglicht eine positive Jahresabschlussprüfung (BITKOM 2008).

Der von dem Comittee of Sponsoring Organizations of the Treadway Comission (COSO) veröffentlichte Standard "Internal Control - Integrated Framework" von 2013 gilt als führendes Rahmenwerk hinsichtlich Interner Kontrollsysteme (Menzies/Engelmayer 2013). Dennoch findet COSO auch für Unternehmen Anwendung, welche in einer Outsourcing Partnerschaft stehen (Janvrin et al. 2012). Hierbei benennt und beschreibt COSO verschiedene Kontrollen hinsichtlich des Outsourcingprozesses (Tackett/Wolf 2012).

3.3 Verträge und SLAs

Regulatorische Vorgaben und auch IT Compliance Standards, die im outsourcenden Unternehmen Berücksichtigung finden, werden mit Hilfe von Verträgen und Service Level Agreements (SLAs) auf den IT-Service-Dienstleister übertragen, beziehungsweise von diesem eingefordert (Heym/Seeburg 2012).

Ein Vertrag besteht aus mindestens zwei inhaltlich übereinstimmenden Willenserklärungen, die aufeinander Bezug nehmen (Brox/Walker 2013). Diese werden mit Angebot und Annahme rechtskräftig (Brox/Walker 2013). Speziell ein Outsourcing-Vertrag unterteilt sich in Rahmenvertrag und die nachrangigen Leistungsverträge (Heym/Seeburg 2012). Ein Bestandteil der Leistungsverträge sind Service Level Agreements (Lee 1996, Goo et al. 2008). In diesen wird definiert, wie der ausgelagerte Service durchzuführen ist und welche Maßnahmen bei Nichtverfügbarkeit des Services seitens des Providers vorzunehmen sind. Hierbei ist eine Einigung über Leistungsgrad der jeweiligen Bestandteile des Services von Relevanz, als auch die Höhe möglicher Vertragsstrafen (Definition siehe §§ 339 ff BGB) bei Nichteinhaltung dieser (Karyda et al. 2006, Cox et al. 2011). Lee (1996) empfiehlt außerdem, dass bei der praktischen Anwendung die SLAs möglichst detailgenau sind, sodass auch eventuelle Umstandsänderungen und neue Geschäftsanforderungen schon mit einbezogen werden (Lee 1996, Goo et al. 2009). Dies erspart den zwei Parteien mögliche Konflikte. Auch der Ablauf von gemeinsamen Entscheidungsprozessen und Konfliktmanagement können durch SLAs definiert werden (Goo et al. 2009).

Die Definitionen werden in den SLAs in Service Level Clauses (SLCs) festgeschrieben. Diese enthalten: 1. den bereitgestellten Service, 2. die Aufgaben des Kunden, 3. die Bezahlung für den geleisteten Dienst, 4. das Leistungsgradziel, 5. die Berechnung von Bonus oder Vertragsstrafe (Beaumont 2006, Goo et al. 2009). Der bereitgestellte Service ist eine Beschreibung, die durch Attribute des Services erfolgt, beispielsweise die Verfügbarkeit, die Erreichbarkeit, Zeitvorschriften, Leistung, Kapazität und Sicherheit (Beaumont 2006). Diese können mit Hilfe der Key-Performance-Indikatoren (KPIs) gemessen werden (Heym/Seeburg 2012). KPIs sind Leistungskennzahlen für die numerische Darstellung von beispielsweise der Verfügbarkeit eines bestimmten Services (Beulen/Ribbers 2003). Diese werden unter Punkt vier der Leistungsgradziele vermerkt. Die Aufgaben des Kunden sind beispielsweise die Bereitstellung von Daten, welche relevant für die Ausführung des Dienstes sind. Die Zahlungsvereinbarungen werden ebenfalls mit den SLCs festgehalten (Beaumont 2006). Die Berechnung oder Festsetzung für die Konventionalstrafe erfolgt im Punkt 5, in welchem möglicherweise auch der Bonusfall eingetragen wird. Durch die detailgenaue Erfassung sämtlicher Absprachen sind SLAs höchst relevant für das Organisieren einer Outsourcing Partnerschaft (Goo et al. 2008, Meydanoglu 2008).

Der Rahmenvertrag als Hauptbestandteil des Outsourcing Vertrags beinhaltet hingegen die verpflichtenden IT-Compliance Anforderungen, welche in der Verantwortung des Outsourcenden Unternehmens liegen (Heym/Seeburg 2012). Hierbei unterteilen Chen und Bahadraj Vertragsbestandteile in vier Kategorien (Chen/Bahadraj 2009):

1. Monitoring Provisions
2. Dispute Resolution
3. Property Rights
4. Contingency Provisions

„Monitoring“, zu deutsch Beobachtungsprozess beziehungsweise Überprüfung, erörtert wie Audits (Prüfungen) erfolgen, in welchem Umfang diese durchgeführt werden und wer diese durchführt. Dies kann in diesem Fall ein externer Wirtschaftsprüfer sein oder auch eine Person der internen Revision, entweder des Outsourcenden Unternehmens oder des Service Providers. Dispute Resolution beinhaltet sämtliche Konfliktmanagementabsprachen. Hierbei wird der Rahmen von Vertragsstrafen geschaffen. In Bezug auf den Datentransfer müssen Eigentümerfragen geklärt werden, welche unter die Kategorie Property Rights fallen. Geänderte Rahmenbedingungen der Compliance des Outsourcenden Unternehmens, die sich ergeben bedingen auch Vertragsänderungen, welchen mit Contingency Provisions Rechnung getragen werden muss.

Doch Verträge haben darüber hinaus auch noch ein psychologischen Charakter (Koh et al. 2004, Qi/Chau 2012). Dieser zeigt sich hinsichtlich des Vertrauens, welches für Outsourcing-Partnerschaften von Nutzen sein kann (Huber et al. 2013). In diesem Zusammenhang spricht man von „Relational Governance“, dieses beschreibt die interorganisationale Steuerung und deren soziale Einbettung (Poppo/Zenger 2002). Governance ist hierbei das englische Wort für Organisation beziehungsweise Führung. Relational steht im Kontext für Beziehung. In der wissenschaftlichen Literatur wird hierbei diskutiert, in wieweit Relational Governance als Komplement oder Substitut für Contractual Governance verwendet wird (Cao et al. 2013, Goo et al. 2009, Huber et al. 2013, Poppo/Zenger 2002) wobei „Contractual Governance“ sich auf die interorganisationale Steuerung mit Hilfe des Vertrags bezieht (Rai et al. 2012). Nach der Vertragsgestaltung erfolgt schließlich die Umsetzung des Vertrags, hierbei sollen SLAs und Vertragsdetails von den Mitarbeitern intern in dem jeweiligen Unternehmen umgesetzt werden.

[...]