Seit letztem November steht ein (kostenpflichtig) einsehbarer Draft eines Internationalen Standards für das Outsourcing zur Verfügung mit der Arbeitsbezeichnung „ISO/DIS 37500 Guidance on Outsourcing“. DIS steht für „Draft International Standard“.
Geplant ist, die Arbeit an diesem Draft in 2014 abzuschliessen und ihn 2015 formal in Kraft zu setzen.
Die Festlegung eines internationalen Standards für das Outsourcing ist sehr zu begrüssen:
- Outsourcing ist ein langjährig praktiziertes Geschäftsmodell, das in Zukunft mit dem Cloud Sourcing an Durchdringungstiefe und Breite gewinnen wird.
- Outsourcing und Cloud Services sind grösstenteils Vereinbarungen zwischen internationalen Partnern.
- Es bisher kein verbindliches, internationales Regelwerk gab, das für alle Sourcing Provider und Kunden Handlungsanleitungen zu Verfügung stellte.
Profitieren von diesem Standard werden in erster Linie die Bezieher/Kunden von Outsourcing Services, vor allem solche, die bsiher nur eine rudimentäre Vorstellung von Outsourcing Governance haben. Profieren werden aber auch die Anbieter von Outsourcing Services. Sie werden ihre historisch gewachsenen Governance Strukturen, Methoden und Vorstellungen an den Standard anpassen und sie werden damit in ihren Märkten Kunden vorfinden, die mit diesen Governance Strukturen umgehen können.
Zertifizierung und/oder Assessment ?
Es gibt bisher kein veröffentlichten Hinweise, das Organisationen, Services, Governance Strukturen oder auch beiderseitige Geschäftsmodelle nach dieser Norm hin zertifiziert werden können. Denkbar ist, die in dieser Norm aufgeführten Prozesse in ein detailliertes „Process Reference Model (PRM)“ zu überführen (ähnlich dem PRM von COBIT), und ein Capability Assessment auf Prozess-Ebene nach dem „Process Assessment Model (PAM)“ der ISO/IEC 15504 durchzuführen. Ziele eines solchen Assessments können sein:
- eine Prozess Verbesserungsinitiative sein, sozusagen „post mortem“ in einem bestehenden Outsourcing-Verhältnis mit unzufriedenen Partnern
- ein frühzeitiges „Capability- Ermitteln“ der Outsourcing-Prozesse einer Organisation, um die Schwächen, Stärken und Risiken zu festzustellen, bevor ein Outsouring-Programm durchgezogen wird.
Nicht bekannt im Moment sind individuelle Zertifizierungen von Personen, die diesen Standard anwenden, implementieren oder auditieren wollen.
Scope des Standards
Der Scope dieses Standards umfasst die Definition der Phasen, Prozesse und Governance Aspekte des Outsourcings unabhängig von Grösse, Industrie und Gewerbe.
Die Phasen des Outsourcing Lifecycles sind unterteilt in:
- Strategic outsourcing analysis
- Initiation and selection
- Transfer
- Deliver value.
Die Outsourcing Governance als Herzstück hat die Funktionen „Monitoring“, „Evaluating“und „Directing“. Die Anlehnung an COBIT ist offensichtlich. Begrüssenswert ist auch der Lifecycle-Gedanke an sich, hier angelehnt an den Sourcing Lifecycle des „Outsourcing Professional Body of Knowledge“ der amerikanischen „International Association of Outsourcing Professionals“. Ebenfalls können die ITIL v3© Service Lifecycle Phasen in Bezug zu diesem Standard gesetzt werden.
Grundlagen des Standards
Die offiziellen Grundlagen des Standards sind in dem Literaturverzeichnis im Anhang ersichtlich. Wenig überraschend sind es, neben anderen, die bekannten Standards „Risk Management“, „Project Management“, „IT Service Management“, „IT Security Management und die „ISO 9001 – Quality Management“.
Outsourcing Governance Practices
Die Outsourcing Governance wird über 3 „Governance Pracitices“ definiert, die für alle Lifecycle Phasen spezifische Umsetzungsparameter haben:
- Develop joint objectives
- Establish governance body
- Monitor, evaluate and direct.
Für jeden dieser „Practice“ sind „Main Activities“, „Key Success Factors“, „Inputs“ und „Outputs“ definiert. So ist zum Beispiel für die „Practice: Establish governance body“ eine Hauptaktivität definiert mit „identify governance body“, ein „Key Success Factor“ mit „Having staff with appropriate level of authority and mandate“ und ein “Practice-Output” mit “Meeting schedules and governance charter”.
Outsourcing Prozesse
Jede Phase im Sourcing Lifecycle wird, ähnlich wie bei ITIL v3©, mit einem Set an Prozessen definiert. Jede Prozessdefinition besteht aus „Main activities“, „Key success Factors“ sowie „Inputs“ und „Outputs“.
Im Folgenden ein Aufstellung von Prozessdefinitionen mit je ein Beispiel pro Lifecycle:
Der gegenwärtige Draft enthält gesamthaft 35 Prozesse, 7 in der Strategie-Phase, 7 in der Initiation/Selektions-Phase, 10 in der Transition-Phasen und 11 in der operationalen Phase.
Outsourcing versus Cloud Computing
Cloud Computing Services sind, wenn nicht proprietär „Private Cloud“ Deployment Modelle, Outsourcing Vereinbarungen und fallen unter den Scope dieses Standards. Gleichzeitig weisst das Draft-Papier aber darauf hin, dass „This guide may be tailored and extended to industry-specific needs to accommodate international, national and local laws and regulations, the size of the outsourcing arrangement at hand and/or the type of industry sector“.
Im konkreten Fall der Cloud Sourcing Modelle ist zu überlegen, inwieweit spezifische Cloud Anpassungen in der Ausprägung der Prozessaktivitäten, der „Critical Success Factors“ und der „Inputs and Outputs“ vorzunehmen sind. Ausgehend von den Alleinstellungsmerkmalen der Cloud Sourcing Modelle sind Anpassungen und Erweiterungen hinsichtlich:
- Multi-Sourcing Strategie und Governance,
- Security und Business Continuity
- Transition Management
denkbar.