Sourcing-Readiness: Revival eines Millenium-Themas
Sourcing, Ausschreibungen und Vergabe von IT und IT-nahen Dienstleistungen sind in einer stark regulierten Zeit wie heute komplexer denn je.
Noch immer geht es um die beste Lösung, den besten Anbieter und scharf kalkulierte Preise. Wo vor 15 Jahren noch Standardisierungsprojekte über die Zukunftsfähigkeit und kostenbasiertes Benchmarking über Vertragsverlängerungen entschieden haben, treiben sich heute Lösungsanbieter und interessierte Kunden aus Mittelstand, Konzern und Kleinunternehmen durch regulatorische Komplexität gegenseitig voreinander her. Wie waren Sourcing-Projekte in 2005 erfolgreich, was hat sich überholt, was gilt noch heute und was gilt es jetzt zu tun?
Index
Sourcing: Out, In, Multi – es geht nicht ohne Experten
Aber auch nicht ohne ein ganzheitliches Verständnis von Dienstleistungen.
Ganz gleich, ob wir über IT, Buchhaltung, Dienstleistungen im weitesten Sinne oder Logistik sprechen: Erst mit dem passenden Anbieter werden Unternehmen heute in den Bereichen erfolgreich, die nicht zu ihrer Kernkompetenz zählen. Als ich vor über 20 Jahren mein erstes Unternehmen gegründet habe, waren Shared Services wie Buchhaltung, Warenversand und Onlinedienste noch in den Händen von wenigen Anbietern. Outsourcing war ein Nischenbegriff. Heute ist es vollkommen normal zu entscheiden, keine eigenen Abteilungen für gewisse Dienstleistungen mehr zu betreiben – was tatsächlich für Firmen jeder Größe und somit für immer mehr Arten von Services gilt. Weder ein großer Mobilfunkanbieter, der seine SIM-Karten verschicken möchte, noch ein Kleinunternehmer mit Onlineshop muss sich alles selbst aufbauen. Eigene Strukturen sind für den Betrieb von Servern genauso unnötig, wie eine eigene Poststelle oder Personalbuchhaltung. Es gibt inzwischen fast alles als On-Demand-Dienst, App, Shop oder Cloud-Service. Durch diese Möglichkeiten kann jeder, egal wie klein oder groß er startet, von Anfang an professionell auftreten und im besten Fall sorglos skalieren. Heute 10 Kunden, morgen 10.000 – kein Problem. Keine Investitionen, kein Risiko – wirklich?
Vor fast 20 Jahren waren die Anforderungen noch klar auf Seiten der Nutzer. Während die anrollende Digitalisierung nach dem Platzen der DotCom-Blase händeringend valide Möglichkeiten suchte, Business-Konzepte belastbar aufzubauen und tatsächlich Geld zu verdienen, befand man sich in einem klassischen Käufer-Markt: Die Good-Practices kamen aus den gängigen, etablierten Abteilungen, werbenden Anbieter mussten ihre Services entsprechend ausrichten und konsumierbar vermarkten. Ein übliches Projekt für Berater war seinerzeit das Thema Sourcing-Readiness: Ist eine Abteilung bereit, Teile ihrer Arbeit outzusourcen? Welche Anbieter erfüllen die Anforderubangen? Rechnet sich das? Welche Möglichkeiten gibt es für die Belegschaft und wie sichern wir den Knowhow-Transfer?
Den Spiess umgedreht – welcome to 2022
Fragmentierte Branchen, tausende Anbieter, viel Regulierung.
Fast 20 Jahre später sieht die Welt ganz anders aus. Große Unternehmen, Mittelstand und Kleinbetriebe kämpfen mit dem Sog der Digitalisierung, erleben einen Mangel an Fachkräften und eine Flut an Möglichkeiten bei der Vergabe von Dienstleistungen. Sourcing-Readiness erlebt ein Revival: Die Frage ist nicht mehr, welcher Anbieter die fachlichen Anforderungen erfüllt, sondern, ob die Anforderungen ob ihrer Komplexität überhaupt ausreichend für ein belastbares Bieterverfahren definiert sind – oder es überhaupt werden können. Gleichzeitig sind Anbieter von Services mit so vielen Anforderungen regulatorischer und wirtschaftlicher Natur konfrontiert, dass sie oft nicht mehr den Markt dominieren und sich ständig anpassen müssen.
Am Beispiel Datenschutz und Compliance wird dies schnell ersichtlich. Nicht mehr die rein technische Leistungsfähigkeit oder das Produktportfolio, die Mengen und Preisgerüste sind entscheidend, sondern die Erfüllung aller Rahmenparameter um das Kernthema selbst. Nehmen wir an, es handelt sich um ein Finanzunternehmen mittlerer Größe – Bank, Versicherung, Transaktionsservices oder ähnliches. Im Rahmen der Konzernziele zu Wachstum und Effizienz soll durch das Onboarding von Dienstleistern und Providern sichergestellt werden, dass innovative, digitale Dienstleistungen als Differenzierer entstehen, gleichzeitig mehr Kunden an Bord kommen, die Anzahl an Mitarbeitern gehalten und weiter beschäftigt werden kann. Das Thema Sourcing Readiness fragt zunächst klassisch nach den Prozessen, den Systemen und Applikationen sowie den Fertigkeiten der Mitarbeiter, um festzustellen, ob man für das Starten einer Ausschreibung – oder neudeutsch: Sourcing, Bieterverfahren – bereit, ready ist.
Die Welt ist komplexer geworden – warum?
Was dabei früher nicht in der Komplexität von heute betrachtet wurde, sind Vorgaben, Verordnungen und internationale Fallstricke in Datenschutz und Compliance. In der Tat wurde noch bis in die Jahre um 2010 hinein fast gar nicht über Security, Fraud Prevention und Hackerangriffe gesprochen. Gesetze und Regularien waren am Horizont, wurden aber über Normen wie ISO27001 oder QM nach ISO9001 wenig beachtet. Datenverarbeitungen außerhalb der EU? Kein Problem. Regelmäßige Sicherheitsupdates waren eher Geschmackssache. Ein Bewusstsein über die Gefahr, durch Wahl einer unsicheren Lösung morgen das Opfer einer Ransomware-Attacke zu werden, hörte sich schlichtweg wie Zukunftsmusik an.
Dies führt heute zu neuen Aspekten, welche auf Seiten der Bieter entstehen. Der Differenzierungspunkt „gute Dienstleistung“ ist weit nach hinten gerückt und wird quasi als Commodity gesehen. Egal ob Cloud-Service, Fulfillment-Provider oder Software-Anbieter: Rein fachlich muss die Lösung sowieso perfekt sein. Aufgrund der Gleichartigkeit von Angeboten wird solch eine Wahrnehmung am Markt zudem künstlich erzeugt. Doch kann jeder, der mit dem angeblichen besten Produkt wirbt, auch mit den neuesten Sicherheitsstandards mithalten, die in der jeweiligen Branche des Auftraggebers relevant sind? Ist es dem Anbieter möglich, die Anforderungen des Marktes auch auf der Ebene der Compliance mit Gesetzen, Verordnungen und Regulatorien zu erfüllen, bleibt er dabei trotzdem flexibel für kommende Änderungen? Spätestens seit dem EuGH-Urteil „Schrems-II“ dämmerte vielen Anbietern, die ihre Services auf Basis von US-Cloud-Anbietern anbieten, dass es heute ganz schnell um Fragestellungen gehen kann, die nicht mehr alleine auf das eigentliche Produkt und seine Features abzielen. Doch die Verträge sind geschlossen, Technologie-Lockins geschehen, eigenes Knowhow abgewandert – was jetzt?
Sourcing-Readiness als idealer Lackmustest
Sourcing-Readiness als idealer Lackmustest für Business Resilience, Compliance und Continuity
Aus den goldenen Zeiten des Sourcings können Unternehmen auf beiden Seiten der Dienstleistungsebene jetzt lernen, sich für die Zukunft aufzustellen und weniger Abhängigkeit zuzulassen:
1. Sourcing Scoping
Fachprozess, Umfang, Mengen und Abnahmepunkte. Was zunächst banal klingt, zeigt seine Komplexität in vielen Unternehmen erst beim Sourcing: Wie grenzen wir ab, was genau vom auszuwählenden Dienstleister benötigt wird? Wie stellen wir sicher, dass er die Aufgaben erhält, für die er auch ausgesucht wurde? Wie integrieren wir seine Liefergegenstände, was bedeuten Abhängigkeiten, wie gehen wir mit Dokumentationspflichten und den Fremdrisiken um? Welchen Grad an Standardisierung haben wir erreicht, welchen benötigen wir? Was geschieht, wenn der Anbieter nicht mehr lieferfähig ist?
2. Business Case und Tendering
Über den Umfang hinaus sollte ein belastbarer, monetär aussagekräftiger Business Case erstellt werden. Auch hier geht es nicht nur um die positiven Aspekte, denn Exit-Szenarien, Pönalen, Haftungsfragen und all das, woran man zunächst nicht denken mag, werden immer wichtiger. Dies hilft einem bei der Erstellung des Tenders, dem eigentlichen Ausschreibungspaket. An dieser Stelle sei auch ein gesundes Misstrauen empfohlen: Ein hoher Anteil von Vergabeprojekten erlebt, dass Unterlagen vor der Abgabe eigenmächtig „angepasst“ werden – zum Vorteil des Bieters. Ausschreibungsunterlagen haben daher fälschungssicher und revisionssicher zu sein. Gleichzeitig gilt es, das Kleingedruckte belastbar zu formulieren – am Ende geht es darum, dass beide Parteien schon heute wissen, wie sie mit einer Beendigung des Vertragsverhältnisses umgehen wollen.
3. Sourcing Compliance
DSGVO, das ehemalige EU-US-Privacy Shield und die kommende e-Privacy Verordnung mögen anstrengende Themen sein. Doch so, wie wir Gesetze zur allgemeinen Gleichbehandlung (AGG), Arbeitsschutz und Produkthaftung als selbstverständlich erachten, sind die digitalen Güter – im weitesten Sinne Daten – nicht nur das neue Öl, sondern etwas, wo wir das selbstverständliche Anlegen des Sicherheitsgurtes erst noch lernen müssen. Die Wahl des richtigen oder falschen Anbieters kann am Ende darüber entscheiden, ob das Unternehmen beim nächsten datenschutzrechtlichen Vorfall als mustergültig oder fahrlässig betrachtet und entsprechend an den Pranger gestellt wird. Es gilt, sich trotz aller Vorlieben für die großen Cloud-Anbieter so aufzustellen, dass man im Falle von geänderten Rahmenbedingungen rasch den Wirtschaftsraum der digitalen Verarbeitung wechseln kann. IT-seitig ist dies dank Virtualisierung, Containertechnologien und einer deutlich veränderten Infrastruktur an sich kein Problem, wodurch die Analyse der Readiness auch hier früh an ein Ende des Status Quo denken sollte.
Wer billig kauft, kauft zwei Mal
Denn Qualität kostet und schlägt sich immer entsprechend nieder.
Über diese Punkte hinaus gilt es nach wie vor, Sourcingprozesse an etablierten Standards wie TPI/ISG auszurichten, Tender und Bietergespräche professionell vorzubereiten und das Bewusstsein der Ernsthaftigkeit zu kultivieren. Die Ergebnisse sind revisionssicher zu dokumentieren, damit früh für Transparenz gesorgt und im Falle einer Auseinandersetzung jedes Detail nachgewiesen werden kann. Leider vergeben viele Unternehmen existenziell wichtige Leistungen entweder nach dem Gießkannen-Prinzip, dem Bauchgefühl gegenüber Vertriebspersonen oder dem klassischerweise schlechtesten Kriterium: Dem vermeintlich besten Preis.
Die Kommentarfunktion ist geschlossen.