IT vor Wertverlust bewahren
Artikel erschienen in Swiss IT Magazine 2010/06
Das Gute vorneweg: Es braucht auch in Zukunft Visionäre und fachlich versierte Informatikführungskräfte. Solche, die eine gehörige Portion Eigen-initiative und Mut haben und bereit sind, Verantwortung zu übernehmen. Diese Verantwortung verursacht jedoch wesentlich weniger Kopfschmerzen, wenn man sich auf eine gut ausgereifte IT Governance abstützen kann. IT Governance soll die Frage der IT-Steuerung klären, die IT strategisch ausrichten, Wert und Nutzen generieren, Risiken managen, die Effizienz und Effektivität aller Ressourcen sicherstellen und die erbrachten Leistungen messen. Sie hilft also, die Fähigkeiten auszubauen und noch besser einzusetzen. Umso erstaunlicher ist es, wie selten eine gründliche IT-Governance-Ausbildung absolviert wird.
Die geringe Verbreitung hängt vielleicht damit zusammen, dass die Führungsthemen inhaltlich vermeintlich längst allgemein bekannt sind und in Seminaren gelehrt werden. Schliesslich kennt man die viel beschriebenen Strategie- und Risikoansätze sowie das Ressourcen-Management und die Schlagworte Effizienz und Wertsteigerung bestens. Die einen setzen sie vielleicht sehr bewusst ein und andere doch zumindest inhärent in ihrem Verständnis der Führungsaufgabe. Doch die Fragen, wie man sich in diesem Bereich strukturiert weiterentwickeln, sich vergleichen und an Effektivität gewinnen kann, stellen sich die wenigsten. Für die Führung einer IT wäre es auf alle Fälle hilfreich, die oben erwähnten Themen wie zum Beispiel die Steuerung der IT spezifisch aufzubereiten, zu strukturieren und vermittelbar darzustellen.
Genau dieses Ziel macht sich die IT Govern-ance zur Aufgabe, auch wenn sie leider im Begriff und Inhalt weltweit bis heute nicht einheitlich gefördert und definiert wurde. Immerhin zielen die verschiedenen Initiativen alle in die gleiche Richtung, fördern sie doch Standards im Management der IT, teils sogar mit wissenschaftlichen Ansätzen. Erwähnenswert sind die Anstrengungen der Information Systems Audit and Control Association (ISACA), des IT Governance Institute (ITGI), des Office of Government Commerce (OGC), der International Organization for Standardization (ISO), des Software Engineering Institute (SEI) und des Massachusetts Institute of Technology (MIT).
Eine Branche, die sich Standards setzt und auch durchsetzt, schafft sich so Wettbewerbsvorteile. Die dadurch anfallenden Kosten sind wie üblich von den einzelnen Wettbewerbsteilnehmern selbst zu zahlen. Es ist gewissermassen eine Sozialisierung von Marktfähigkeitskosten der globalen IT. Das Gute ist, dass jeder bereits heute profitieren kann.
Die Herausforderung für die Geschäftsleitung wie auch den Vorstand einer Firma liegt darin, aufgrund von steigenden gesetzlichen Regulatoren und Selbstregulierungen eine vermehrt transparente, nachvollziehbare und getreue Geschäftsführung zu gewähren. Dies tun sie zum einen durch einen klaren Firmenaufbau und bewusste Ablaufstrukturen. Und nicht selten greifen sie selbst auf Standards zurück oder müssen solche einhalten. Beim Thema IT fühlen sie sich dagegen häufig fachlich nicht versiert genug und verlangen eine branchenübliche IT Governance respektive ein adäquates Governance-, Risiko- und Compliance-Management. Die IT kann die Erwartungen der Geschäftsleitung am besten durch die Einführung von Standards in allen Governance-Themen sowie deren konsequenten Durchsetzung erfüllen. IT-Manager sind oft aus der Gilde der Ingenieure und somit dem Erfindergeist verschrieben. Hier ist diese Kompetenz jedoch hinderlich und sollte aktiv unterdrückt werden. Das tut weh, muss aber sein.
Die wichtigste Disziplin einer IT Governance ist die Frage nach der Steuerung der Informatik. Wer steuert was und wie? Jeanne Ross und Peter Weill geben darauf in ihrem Bestseller-Buch «IT-Governance» wissenschaftliche Antworten (www.mit.edu). Sie beschreiben mehrere Szenarien für die Steuerung einer IT. Ob die Steuerung dem Business überlassen wird, eine Zusammenarbeit gesucht wird oder die IT sich selber bestimmt, sind wichtige Grundsätze, die laut Ross und Weill geklärt werden müssen. Ohne klare Zuständigkeiten gibt es keine Governance und keine Stetigkeit im IT-Management. Dies führt oft zu selbst verschuldeter Hektik, auch wenn die Mitarbeiter durch Technologien und Trends der IT schon genug gefordert sind. Vernünftige Entscheidungswege sorgen hier für Ruhe und Ordnung.
Manch einer, der in einer kleinen oder mittelständischen Firma arbeitet, ist nun versucht, hier nicht weiterzulesen, in der irrtümlichen Meinung, IT Governance sei eine Frage der Grösse oder besser gesagt nur etwas für grosse Unternehmen. Aber gerade KMU leiden darunter, dass sich Standards noch nicht durchgesetzt haben. Denn je geringer die finanziellen Mittel sind, desto wichtiger ist es, die richtigen Entscheidungen zu treffen. Wer was entscheidet, ist einer der zentralen Aspekte, der bei KMU aber oft nicht schriftlich und klar geregelt wird. Sind die Kompetenzen nicht festgelegt und auch gelebt, ist die schönste und teuerste IT-Strategie ihr Papier nicht wert. Die Geschäftsleitung einer Firma beschäftigt sich dann unnötig lange mit der strategischen Ausrichtung und den Investitionen in der IT. Wer sich über Entscheidungswege nicht im klaren ist und die IT-Strategie nicht sauber ins Geschäft einbindet, wird sich im Berufsalltag mit unnötigen Fragen herumschlagen. Wer die Kompetenzen und Zuständigkeiten aber vorher festlegt, spart Geld, Zeit und Nerven.
Grossunternehmen machen derweil oft den Fehler, dass sie sich damit begnügen, den CIO in die Geschäftsleitung zu berufen. Dies ist zwar sehr dienlich, sorgt jedoch in den wenigsten Fällen für eine nachhaltige Entscheidungsfindung in IT-Fragen. Es braucht auch hier klare Steuerungsstrukturen für die IT.
Sicher ist, dass IT Governance nicht einzig und alleine eine Aufgabe des IT-Managements ist. Das Business oder die Geschäftsleitung müssen einen wesentlichen Teil verantworten. Falls diese Einsicht im Unternehmen noch nicht so weit gereift ist, bietet die ISACA (www.isaca.org) eine gute Anleitung über die Verantwortung in IT-Fragen im Artikel «IT Govern-ance für Geschäftsführer und Vorstände».
IT Governance ist ein evolutionäres Thema und muss Schritt um Schritt angegangen werden. Zu vermeiden sind grosse Soll-Planungen. Vielmehr sollten anstehende Probleme nachhaltig durch die Verwendung von Defacto-Standards wie Cobit – ein international anerkanntes Framework zur IT Governance – gelöst werden. Themen wie «IT-Wert und -Nutzen» können hinten anstehen, wenn latente Risiken in Applikationen und Rechenzentren offenkundig sind. Zwar ist die höchste Maturität in einer IT Governance ein möglicher Endzustand, der jedoch meist weder erstrebenswert noch zahlbar ist. Firmen und Führungskräfte sollten sich realistische Ziele setzen. Als Frame-work für die Wert- und Nutzen-Darstellung empfiehlt sich das ValIT, für das Risiko-Management das RiskIT von ISACA. Für Hilfe bei den IT-Prozessen und deren Strukturierung ist ITIL von OGC ratsam. Man muss als Unternehmen also nichts Neues erfinden und bei null anfangen. Vielmehr kann man von anderen lernen. Das ist schneller und kostengünstiger. Zudem macht man so die Fehler der anderen nicht noch einmal. Es ist kein Wettbewerbsvorteil, Wissen in diesem Bereich zurückzuhalten. Die IT-Branche lebt von diesem Austausch.
Die Frage der IT-Steuerung ist einer der zentralsten und sollte als erste in Angriff genommen werden. Als Grundlage für alle anderen Themen – die Generierung von Wert und Nutzen, das Managen von Risiken sowie die Effizienz und Effektivität aller Ressourcen – muss danach die IT-Strategie erstellt werden. Hierbei ist nicht nur die viel beschworene Business-Ausrichtung einzubringen, sondern auch die Fähigkeit der IT, das Geschäft über technologische Innovationen und Möglichkeiten aufzuklären. Es müssen nicht nur Technologien und deren Einsätze beschrieben werden, vielmehr sollte man auch das IT-Management in all seinen Facetten konkretisieren. Sinnvoll sind also Aussagen zu IT-Prozessen, zur IT-Organisation und zu den IT-Mitarbeitern und deren Fähigkeiten.
Eine gute Governance zu entwickeln, ist komplex, weshalb häufig Berater um Hilfe gebeten werden. Das Leben findet jedoch auf der Rennbahn statt und nicht auf der Tribüne. Dieses Wissen ist leider etlichen Beratern abhanden gekommen. Man sollte sich als Geschäftsleitung daher damit abfinden, dass man selber und auch die Mitarbeiter Kompetenzen aufbauen und dafür Zeit und Geld opfern müssen. Diese Verlangsamung des Prozesses entsteht jedoch bewusst zugunsten von Qualität und Nachhaltigkeit.
Wenn Führungskräfte die Möglichkeit oder den Auftrag haben, die IT Governance ihrer Firma aufzubauen, dann geschieht dies meist aus regulatorischen Gründen. Dieser Schritt ist eine Chance, die IT koordiniert in einem wesentlichen Entwicklungsschritt zu begleiten. Die IT wird an Wert und Nutzen im Unternehmen gewinnen. Setzen Firmen für die zentralen Führungsaufgaben des IT-Managements nicht auf Standards und machen sich so nicht messbar und beherrschbar, so verliert man an Vertrauen und Wert. Und wertlos zu sein, ist keine Option.