IT Governance: Modetrend oder Notwendigkeit?

Um die Investitionsbereitschaft im Bereich der Informatik steht es in der Geschäftswelt zwar noch nicht sehr gut. Dennoch hat sich die IT in vielen Betrieben in den letzten Jahren weiterentwickelt. Statt sich mit vielen Investitions- und Entwicklungsprojekten abzukämpfen, hat die Unternehmensinformatik damit begonnen, sich vermehrt mit sich selbst zu beschäftigen. «IT Governance» lautet das Zauberwort, das niemand so genau definieren kann, aber letztlich wohl die Fähigkeit meint, die IT-Belange eines Betriebs mit anerkannten Organisations- und Kontrollmitteln zu formulieren und «im Griff» zu haben.

Nun könnte IT Governance als Spielwiese unterbeschäftigter oder ordnungsliebender CIOs abgetan werden. Das aber wäre falsch: Der IT Governance steht eine grosse Zukunft bevor. Die IT eines Betriebes wird künftig nicht mehr nur
daran gemessen werden, welche Dienste sie gegenüber ihren Leistungsbezügern erbringt
und was dies alles kostet, sondern ebenso, wie sie sich organisiert, kontrolliert und ihre Risiken
verwaltet. Die Anlässe dazu sind konkreter, als sich dies manche IT-Verantwortliche vermutlich bewusst sind.
Ein Beispiel ist Basel II, die Neuauflage eines internationalen Regelwerks für Kreditrisiken von Finanzinstituten. Es soll bis Ende 2006 umgesetzt sein und definiert unter anderem, mit wie viel Eigenkapital Banken die an Dritte gewährten Kredite unterlegen müssen. Entscheidend ist dabei die Risikobeurteilung der Kredite. Weil Eigenkapital aber teuer ist, wird mit Basel II das Risikomanagement intensiviert werden. Die Folge: Die Banken werden ihre Kreditnehmer stärker unter die Lupe nehmen und versuchen, deren Risiken besser einzuschätzen und sich diese entsprechend bezahlen lassen. Dazu gehören neu mancherorts auch die operationellen Risiken im IT-Bereich.

Damit schliesst sich der Kreis: Um seine eigenen Kreditkosten möglichst zu tief zu halten, werden Unternehmen je länger je mehr alles daran setzen müssen, auch ihre IT-Betriebsrisiken zu minimieren – oder wenigstens einen solchen Eindruck erwecken. Denn die Risiken im IT-Bereich sind bekannterweise zahlreich, schwer kalkulierbar und technisch bei vernünftigem Mitteleinsatz auch nicht auszuschliessen. Das verleiht der IT Governance ihren wachsenden Stellenwert. Mit ihr kann ein Unternehmen dokumentieren und deutlich machen, wie gut es mit seinen IT-Risiken umgeht und seine IT meistert.

Das beginnt beim Formulieren von Zielen der IT, reicht über die Einführung von definierten Prozessen, Rollen und Verantwortlichkeiten bis hin zur Überprüfung der Soll- und Ist-Lage. Dabei umfasst IT Governance nicht nur die Betrachtung aus der Sicht der Leistungserbringer, die häufig nach Subbereichen wie Sicherheit, Business Continuity, Architektur, Daten und Prozesse, Lieferantenbeziehungen, Entwicklungsstandards oder Kontrolle und Management von Ressourcen geordnet ist. Auch die Bezügerseite muss betrachtet werden, etwa um wissen zu können, wie viel Geld für welche Informatikleistungen ausgegeben wird, welchen Nutzen dies hat und ob die Verantwortlichkeiten klar definiert sind.
Noch tun sich manche Unternehmen, auch grosse, schwer mit ihrer IT Governance. Es erstaunt daher nicht, dass formalisierte Methoden, Standards und Best Practices wie COBIT oder ITIL regen Zulauf haben. Die Informatikverantwortlichen sollten im Ruf nach IT Governance aber nicht nur eine Last, sondern auch eine Bestätigung des Stellenwerts ihrer Arbeit sehen. Wenn mehr Investitionen etwa in Sicherheit und Verfügbarkeit helfen können, die Kreditkosten einer Firma zu senken, wird dies dem CIO die Arbeit zweifellos erleichtern.