Make or Buy: das eigene Hinweisgebersystem?!

Make or Buy, machen oder kaufen; das ist eine grundsätzliche Entscheidung, vor die viele Organisationen in Sachen IT regelmäßig gestellt werden. Manche Unternehmen fahren mit “make” sehr gut, andere setzen eher auf “buy”. In unseren Kundengesprächen für das Hinweisgebersystem Got Ethics kommt das Thema immer mal wieder auf. Insofern versuchen wir uns hier an einer Antwort.

Zu Beginn eine kleine Begriffsklärung. Es gibt die operativen und die strategischen Entscheidungen für oder wider Make und Buy. Amazon beispielsweise ist ein Verfechter der Make-Strategie. Von jeher setzt das Unternehmen auf Eigenfertigung in der IT, was nicht nur zu hoher Qualität der Plattform sondern auch zur Entwicklung von Produkten wie AWS (Amazon Web Services) geführt hat. Die Entscheidung für Make war früh und strategisch – man könnte gut argumentieren, dass diese Strategie essentiell für den Erfolg des E-Commerce-Riesen war.

Im Gegensatz dazu ist die operative Herangehensweise rein opportun getrieben. Kosten, Ziele und Zeit sind die stärksten Argumente für Make oder Buy. Wir sprechen hier – und sonst auch – immer über die operative Seite, schließlich stellt sich die Frage ob Make oder Buy überhaupt nicht, wenn längst eine Strategie die Richtung vorgegeben hat.

Hinweisgebersystem Marke Eigenbau oder Outsourcing?

Der “Fit” der Lösung, also die Passgenauigkeit, ist das wichtigste Argument der “Selbermacher”. Ein selbstgebautes Hinweisgebersystem folgt ausschließlich den Anforderungen aus dem Unternehmen und strebt natürlich den “perfect fit” an.

Auch versprechen sich “Maker” eine hohe Flexibilität bei der Entwicklung – den sprichwörtlichen kurzen Weg zum Entwickler und eine hohe Bereitschaft in der Entwicklung, auf die eigenen Sorgen, Nöte und Bedürfnisse zu hören. Der Kunde ist König und klar, ist das eigene Compliance-Team der einzige Kunde, wird die Software sich stark an den Vorgaben des Kunden ausrichten.

Pro Make: Warum tendieren Entscheider zum Selbermachen?

• “perfect fit”
• Flexibilität
• Kosten
• Zeit

Viele der Make-Argumente lassen sich jedoch umdrehen. Ein bereits fertiges und am Markt bewährtes Hinweisgebersystem – insbesondere ein webbasiertes System – ist innerhalb weniger Wochen implementiert, eingerichtet und fertig zum Launch.

Contra: Die Make-Argumente auf dem Prüfstand

Zeit: In Sachen “Time-to-market” oder “Time-to-usage” ist die Buy-Lösung nicht zu schlagen. Insbesondere dann, wenn das genutzte System auditiert sein soll oder gewissen Rahmenbedingungen erfüllen muss, kommt hier “Make” immer weiter ins Hintertreffen. Im Bereich der Hinweisgebersysteme kann die Time-to-market essentiell sein. Wenn gesetzliche Bedingungen oder Unternehmensstrukturen sich ändern, kann ein Hinweisgebersystem schnell zur Pflicht werden.

Kosten: Die Kosten für die Selbstentwicklung werden häufig unterschätzt. Insbesondere dann, wenn nicht nur die initialen Entwicklungskosten betrachtet werden, sondern auch die TCO (Total Cost of Ownership) unter die Lupe genommen wird. In diese Rechnung fließen jedoch viele Faktoren gar nicht ein, zum Beispiel das Risiko Personalfluktuation.

Auf den ersten Blick kann Make hier attraktiv erscheinen, Buy verursacht sofort zusätzliche Kosten während Make in der Bilanz erstmal nicht auftaucht:

“Im Unternehmen sind gerade ein paar Entwickler unterbeschäftigt, setzen wir sie doch hierfür ein. Die Gehälter überweisen wir sowieso, das macht doch Sinn.“

Ja. Aber. Wir sprechen hier von Compliance-Software. Die Fehlertoleranz muss hier extrem gering sein. Denken Sie mal an die Anonymität der Hinweisgeber. Ein Hinweisgebersystem ist ein Job für ein Experten-Team, kein Lückenbüßer für noch so fähige Coder.

Flexibilität: Wenn gesetzliche Änderungen in einem Land aktiv werden, dann hat Got Ethics, unser Partner für Hinweisgebersysteme, das in seiner webbasierten Software schon implementiert. Die komplexen Regelungen der DSGVO? Um sie im Hinweisgebersystem umzusetzen, dafür mussten sich Got Ethics-Kunden nur zurücklehnen.

Ein Software-Unternehmen kann und muss schnell auf die Gegebenheiten reagieren – schließlich fordert es der Markt. Für das Make-Unternehmen sind kleine und größere Änderungen ein organisatorischer Albtraum, den meistens die Mitarbeiter der Compliance-Abteilung ausbaden müssen.

International tätige Unternehmen profitieren von der Buy-Lösung auch insofern, als das Mehrsprachigkeit und (wahlweise automatischer) Übersetzungs-Service schon integriert sein können – so wie bei Got Ethics.

Perfect Fit: Ist der “perfect fit” so wichtig? Ein gekauftes Hinweisgebersystem übererfüllt manchmal die Anforderungen vieler Unternehmen; es kann mehr als nötig. Aber: es kann alles, was für das einzelne Unternehmen wichtig ist. Eine Software ist keine Hose; auch eine zu große Lösung kann passen. Wichtig ist, dass die Komplexität nicht zu sehr anwächst.

Für Hinweisgebersysteme ist der perfect fit nicht sehr wichtig – zu sehr ähneln sich die Anforderungen und Prozesse.

Pro Buy: Was spricht noch für die Kauflösung?

Personal: Ein eigenes Softwareprojekt steht und fällt mit dem Personal; das gilt für kleinere Projekte besonders. Was wenn im Team zu starke Fluktuationen auftreten und das interne Wissen um die Software und die Prozesse abwandert? Nur sehr wenige Unternehmen, in denen Software-Entwicklung nicht das Kerngeschäft darstellt, sind in der Lage, solche Risiken aufzufangen.

Ressourcen: Insbesondere dann, wenn das Projekt Hinweisgebersystem von Entwicklern gestemmt wurde, die eigentlich für andere Projekte vorgesehen waren, entstehen häufig Probleme mit den verfügbaren Ressourcen. Der interne Kunde ist eben manchmal auch der Kunde mit der geringsten Priorität.

Projektübersicht: So lapidar ein Hinweisgebersystem auf den ersten Blick erscheinen mag; es ist eine Herausforderung für Entwickler und Projektleiter, wenn sie nicht “vom Fach” sind. Viele Workflows, Anforderungen und deren Konsequenzen im Gesamtkonzept sind für themenfremde Experten schwer zu überblicken.

Verantwortung: Wer ist verantwortlich, wenn Bestimmungen nicht eingehalten werden? Wer trägt die Verantwortung bei Cyberattacken? Im Falle von Buy ist es immer der Dienstleister – eine Form von Risiko-Outsourcing.

Sind Sie schon überzeugt? Außerhalb einer Strategie macht Make für ein Hinweisgebersystem keinen Sinn. Es rechnet sich nicht, es ist aufwändiger und birgt ungeahnte Probleme im Projektverlauf.

Sollten Sie noch zweifeln, hier ist noch das gewichtigste Argument:

Vertrauen: Ein Hinweisgeber muss sich auf das Anonymitätsversprechen verlassen können. Sie oder er riskiert potentiell das Auskommen, die Sicherheit oder gar das eigene Leben für Gerechtigkeit und Aufrichtigkeit. Wenn sie oder er sich dazu durchringt, dann weil der Hinweisgeber dem System Vertrauen entgegenbringt.

Außerdem können die Entwickler und auch die Unternehmens-IT zu Cases, zu Compliance-Fällen, werden. Wie wird hier die Neutralität sichergestellt und einem Interessenskonflikt vorgebeugt? Wo ist das System gehostet? Wie sicher kann man sein, dass die eigene IT keinen Zugriff auf die Daten des Systems hat?

In manchen, seltenen Fällen kann das vielleicht klappen; in den meisten Fällen ist das Vertrauen nicht da oder erschüttert. Hier ist ein externes Unternehmen Pflicht, wenn das Hinweisgebersystem auch genutzt werden soll. Zusätzlich zur Distanz zum eigenen Unternehmen sollte ein externer Dienstleister Zertifizierungen mitbringen, die das Vertrauen in die Sicherheit und Software-Qualität weiter erhöhen.

Haben Sie Interesse an einem unverbindlichen Gespräch über Compliance, das Hinweisgebersystem von Got Ethics und unsere Dienstleistungen? Sie können mich gerne anrufen (+49 521 986 47-0), mir eine Mail schreiben oder mich per Twitter kontaktieren.