MAG 21-09 Management

Absicherung finanzieller Risiken im digitalen Wandel

[shutterstock_1935943483_Denphumi]
[shutterstock_1935943483_Denphumi]

Industrie 4.0, IoT, Cloud Computing, Blockchain und weitere damit assoziierte Schlüsseltechniken bergen neben zahlreichen Chancen auch erhebliche finanzielle Risiken, die sich trotz durchdachter Projektplanung nicht immer managen lassen.

Für Unternehmen werden die Szenarien des digitalen Wandels immer komplexer und führen zu finanziellen Risiken in diversen Transitionsprojekten. Voraussetzungen für die Absicherung derartiger Risiken sind fallspezifische Analysen und eine Verlagerung einzelner Projektrisiken auf die Programmebene mittels neuartiger Risikotransferlösungen.

Während manche Organisationen neue Technologien bereits in ihr operatives Tagesgeschäft integriert haben, stehen andere vor der Frage, wie man sich diesen neuen Möglichkeiten annähern sowie profitable Anwendungsfelder identifizieren und für sich nutzen kann. Egal, ob einzelne Projekte bereits implementiert sind oder sich noch als Teil globaler Transitionsprogramme in der Innovationspipeline befinden, ist es für Unternehmen schwierig, nachgelagerte ­Risiken, die sich aus immer komplexer werdenden IT-Szenarien ergeben, zu erkennen.

Besonders mit Blick auf die Interoperabilität der Softwaresysteme wird deutlich, dass kaufmännische und rechtliche Aspekte zu kurz gedacht werden. So hängt die langfristige Wirtschaftlichkeit der Einführung neuer Technologien nicht nur von primären Kosten, wie Anschaffung, Implementierung, Betrieb und Wartung, ab, sondern sollte vielmehr auch hinsichtlich der unterschiedlich eingesetzten Software und damit einhergehenden Lizenzrisiken analysiert werden.
Finanzielle Gefahren

Somit besteht ein zentraler Erfolgsfaktor für Unternehmen darin, neben der Entwicklung konkreter Technikinitiativen sowie deren Ausrichtung an globalen Digitalisierungs- und Unternehmensstrategien auch potenzielle finanzielle Risiken zu identifizieren und zu managen. Obwohl Unternehmen im digitalen Wandel operative Projektrisiken überwachen, zeigen aktuelle KPMG-Praxiserfahrungen, dass es aufgrund von hoher Komplexität sowie stetigen Veränderungen während laufender Projekte nicht möglich sein kann, alle inhärenten Risiken zu bewältigen. Ursachen dafür liegen häufig in neuen Anforderungen während der Transition, einem durch neue Technologien veränderten Nutzungsverhalten sowie komplexen Lizenz- und Vertragsbestimmungen.

Mehr Lizenz-Audits

Gleichzeitig kommt für Organisationen neben der jährlichen Lizenzplausibilisierung erschwerend hinzu, dass die Anzahl der Lizenz-Audits, laut aktuellen KPMG-Markteinblicken deutlich steigen wird. Dabei rücken neue Technologien in den Mittelpunkt der Auditierung. Fälschlicherweise wird dabei vielfach angenommen, dass das Risiko einer Fehllizenzierung bei einer subscrip­tionbased Nutzung nicht mehr beziehungsweise nur noch in geringem Maße vorhanden sei. Tatsächlich trägt jedoch weiterhin der Auftraggeber die Verantwortung für die Sicherstellung der Compliance jeglicher Softwarenutzung in der Cloud.

Mit zunehmender Verbreitung von consumptionbased und Kontingent-Preis-
Modellen wird es für CIOs zudem schwieriger, laufend entstehende Kosten zu überwachen sowie zu kontrollieren. Während Investitions- und Wartungskosten für On-premises-Produkte vergleichsweise einfach zu steuern sind, fallen durch die Nutzung von Cloud-Anwendungen laufend Lizenzaufwendungen an, die je nach Nutzung und erweiterten Services stark variieren können. Die Kombination aus wachsender Komplexität und steigenden Prüfungs- sowie Audit-Risiken für Cloud und/oder On-premises birgt erhebliches Potenzial für das Auftreten von finanziellen Schäden in Form von Nach- und Strafzahlungen.

Versteckte Lizenzrisiken

Während klassische Risikodimensionen, wie die aktuelle und zukünftige Architektur, weiterhin relevant bleiben, kommen neue Aspekte, wie beispielsweise Cloud Computing und damit verbundene Betriebsmodelle wie zum Beispiel IaaS, SaaS, PaaS oder hybride Modelle, hinzu. Die Bereitstellung vorhandener Lizenzen oder der Betrieb der Cloud-Services auf einer Plattform sowie das Management durch Dritte in Form von Service Level Agreements sind hinsichtlich der korrekten Nutzung unsicher. Für beide gilt: Komplexe Lizenzmodelle, die pro Anwendungsfall und Softwarehersteller unterschiedlich ausgestaltet sein können, verursachen Kosten in Bezug auf die Einhaltung der Compliance beziehungsweise in Form von Nachzahlungen bei Nichteinhaltung.

Ferner bedeuten die Automatisierung und Digitalisierung zahlreicher Geschäftsprozesse eine gestiegene Interkonnektivität verschiedener Softwaresysteme. Dadurch kommt es zur sogenannten indirekten Nutzung, also einem Zugriff auf die Kernsoftware mittels intermediärer Softwareprogramme durch menschliche User oder jedes andere Gerät oder System.

Der Zugriff auf Echtzeit-Daten über ständig wechselnde Schnittstellen und Endgeräte führt zu nicht vorhersehbaren Kosten. Sofern es keine vertragliche Vereinbarung für die indirekte Nutzung gibt, führen viele dieser Fälle zu Lizenzkosten, welche einen erheblichen Anteil an den Gesamtprojektkosten ausmachen können.

Ferner sind solche indirekten Nutzungsszenarien durch Drittsoftware nicht nur aus Kostenperspektive relevant, sondern sind entlang der gesamten IT-Enterprise-­Architektur hinsichtlich der Vertrags- und Lizenzbestimmungen aller eingesetzten Hersteller zu untersuchen. Genau diese Identifizierung von Kreuzrisiken während einer laufenden Umsetzung eines Projektes ist aufgrund von Ressourcenknappheit und Terminvorgaben jedoch kaum möglich. Für Unternehmen und Berater ist es schlicht nicht darstellbar, jede mögliche Abhängigkeit zu Drittsystemen technisch und lizenzrechtlich zu managen.

Indirekte Nutzung

Seit 2018 antwortet SAP auf die vermehrten indirekten Zugriffe auf ihre Kernsoftware mit einem neuen Preismodell für die indirekte Nutzung. Anstatt die Nutzung anhand der Anzahl der direkten Anwender zu messen (Indirect Access), zählt das neue Modell die Gesamtzahl der initial erzeugten Dokumente, die durch indirekte Dritt­software initial erstellt wurden (Digital ­Access).

Das digitale Preismodell von SAP umfasst neun Belegarten: Sales, Invoice, Purchase, Financial, Material, die nach Line Items gezählt werden, sowie Service und Maintenance, Manufacturing, Quality Management und Time Management Dokumente. Dabei sind folgende Transaktionen für das neue Lizenzmodell nicht relevant: Aktualisierungen von Dokumenten, Lese- und Löschvorgänge sowie kaskadierende Dokumente, die auf der Grundlage eines Dokuments erstellt werden.

Zwar können Kunden frei, dafür aber nur ganzheitlich zwischen Indirect und Digital Access wählen, für viele Kunden bleibt es jedoch schwierig, zu entscheiden, welches Modell im Einzelfall sowie auf lange Sicht besser, sprich kostengünstiger ist.

Während das klassische Modell oftmals hinsichtlich der vertikalen und/oder horizontalen Entwicklung der technischen Architektur begrenzt ist, hebt Digital Access die Begrenzungen der technischen und prozessualen Entwicklung auf, insbesondere dann, wenn Anwendungsfälle (zum Beispiel lesender Zugriff) oder Dokumententypen nicht lizenzierungspflichtig sind.

Daher ist es notwendig, alle relevanten Systeme sowie die dahinterliegenden Schnittstellen und Accounts inklusive der relevanten Belegarten zu ermitteln. Anschließend sind die Ergebnisse der beiden Modelle hinsichtlich Profitabilität, Nutzen und Risiko zu hinterfragen.

Als Hilfestellung für die Ermittlung der relevanten Dokumente bietet SAP seinen Bestandskunden zwei technische Optionen an. Die Estimation Note ermittelt eine Schätzung der angefallenen Dokumente aus den letzten zwölf Monaten, welche bezüglich Vollständigkeit und Korrektheit eruiert werden muss. Das Passport-Tool differenziert zwischen dem Erstellen der Dokumente durch SAP- und Nicht-SAP-Anwendungen und ist für eine belastbare Datenlage über mindestens zwölf Monate zu betreiben. Es ist davon auszugehen, dass das Passport-Tool zukünftig in die Vermessungsroutine der SAP für Kunden mit dem Vertragszusatz des Digital Access aufgenommen wird.

Für den Umstieg auf das neue Lizenzmodell bietet SAP zudem zwei vertriebliche Anreizmodelle, die entweder bestehende Lizenzierungen zu einem hohen Prozentsatz rabattieren oder die Lizenzierung nur auf das zukünftige Wachstum ausrichten.

Programm-Management

Trotz der technischen und vertrieblichen Angebote ist letztlich jedoch eine kundenspezifische Gegenüberstellung von Kosten, Nutzen und Risiken pro Use Case sowie ganzheitlich vorzunehmen, um die bestmögliche Entscheidung unter Berücksichtigung der Unternehmens- und SAP-
Strategie treffen zu können.

Es ist mithilfe eines strukturierten Software Asset Management möglich, finanzielle Risiken für einzelne Projekte teilweise zu beseitigen, eine ganzheitliche Abdeckung aller Risiken im Projektportfolio bleibt jedoch unabhängig von der Qualität und dem Umfang des Managements schwierig. Vielmehr können neue Risikotransferlösungen helfen, aus Lizenzrisiken entstehende finanzielle Schäden abzudecken.

Als Business-Transformation-Beratung bietet KPMG in Kooperation mit einem der größten Lösungsanbieter für Rückversicherungen, der Munich Re, eine herstellerunabhängige Lizenz- und IoT-Garantie zusätzlich zu ihrem SAM-Service an. Die Garantie deckt dabei interne Ereignisse (beispielsweise Schwachstellen im Lizenzmanagement) und externe (beispielsweise Änderungen der Produktbestandteile, OpenSource, Lizenzmetriken) ab.

Lizenz-Compliance

Ein operatives Software Asset Management bleibt Voraussetzung für die Einhaltung der Lizenz-Compliance. Es ermöglicht Planungssicherheit und Kontrolle für die digitale Transformation, die Vermeidung von Rückstellungen und teuren Prozesskosten, Kostentransparenz ebenso wie Profitabilität nicht nur einzelner Projekte, sondern ganzer Transitionsprogramme.

Über den Autor

Ayhan Aslan, KPMG

Ayhan Aslan ist Senior Manager CIO Ad­visory/Lizenzmanagement bei KPMG.

Über den Autor

Johannes Schmidt, KPMG

Johannes Schmidt ist Partner für CIO Advisory/Lizenzmanagement bei KPMG.

Hinterlassen Sie einen Kommentar