Peter Weill und Jeanne Ross vom Center for Information Systems Research (CISR) der MIT Sloan School of Management in Boston haben Governance definiert als eindeutigen Rahmen mit Entscheidungsrechten und Zuständigkeiten, die den unternehmensspezifisch «richtigen» Umgang mit der IT unterstützen.
Theoretisch wissen es alle: es ist das Management, das sich der «besten» Nutzung der IT annehmen sollte. Doch sobald ein CEO das Wort IT hört, werden alle damit verbundenen Aufgaben in die IT-Abteilung delegiert. Bei IT haben viele Manager Angst mitzureden. Ein geflügelter Satz, der in diesem Zusammenhang immer wieder zu hören ist, lautet: «Bei allen Fachthemen wie Marketing, Verkauf, Kommunikation, Finanzen kann ein Manager mitreden – bei der IT kann man sich nur blamieren.» Mischt sich die Geschäftsleitung aber nicht in die Governance der IT ein – so werden weiterhin Erfahrungsbudgets en gros gesprochen, die IT «nur» als Kosten- und nicht als Effizienzposten im Unternehmen klassiert und der Wert der IT und somit auch der an diesem Prozess beteiligten Personen sehr oft unterschätzt. Es geht um die beste Steuerung der IT und weniger um die Kontrolle.
Wieso Unternehmer sich mit Governance auch in der IT beschäftigen sollten
Aktuelle Studien zur Governance legen dar, dass die Kluft zwischen dem Glauben, auch die IT-Governance zu beachten, und dem realen Wissen dazu enorm gross sind. Dies kann zur Schlussfolgerung führen, dass oberstes Management und Verwaltungsrat sich der Thematik bewusst sind, es aber an der Umsetzung fehlt. Wieso ist es aber wichtig und lohnenswert, sich schon auf der strategischen Ebene mit dem Thema zu befassen? Die Arbeitsgruppe IT-Governance der SwissICT geht diesen spannenden Fragen nach und versucht, in ihrer Arbeit die Lücke zwischen der Realität und der Praxis durch anwendungsgerechte Ergebnisse zu schliessen. Warum aber ist IT-Governance immer wichtiger? Generell kann man sagen, dass Unternehmen immer mehr mit IT durchdrungen sind
- die IT kritisch für den Unternehmensfortbestand ist
- die IT strategischer Erfolgsfaktor ist, nicht nur
Kostenfaktor
- die Erwartungen an die IT und die Realität Diskrepanzen aufweisen
- der Stellenwert der IT unterbewertet ist
- IT hohe Investitionen und hohes Risiko bedeutet
Aufgaben der IT-Governance
Governance zieht sich durch das ganze Unternehmen. Für die «Teil»-Governance, wie es die IT darstellt, stellen sich wichtige Aufgaben für den Verwaltungsrat. Er hat Unternehmens-Strategie und -Ziele für die IT herunterzubrechen und die organisatorische Ausrichtung der IT prozessorientiert zu fordern und fördern. Wichtige Bereiche, die es zu beachten gilt, sind der Aufbau und der Unterhalt des internen Kontrollsystems (IKS) mit Fokussierung auf die Kontrolle und Messung der Zielerreichung. Die IT Abteilung wiederum soll bereits in der Umsetzung der Unternehmens-Strategie involviert werden.
Denn die IT wird schwerpunktmässig ihre Aufgaben in der Umsetzung finden wie z.B. messbare Werte für die IT-Kontrollpunkte liefern, Transparenz in allen Bereichen schaffen (Organisation, Projekte, Infrastruktur, Software Lifecycle) oder die prozessorientierte Aufstellung der IT- Dienstleistungen erarbeiten. Zudem ist es wesentlich, dass diese Abteilung eine marktgerechte Positionierung ihrer Dienstleistungen und Services mit einer wertorientierten Führung verbindet. Aufgabe der Kontrollinstanz ist die Unterstützung in der Erfassung von Werten und Auswahl von Kontrollpunkten. Ist eine «IT-Controlling» Abteilung involviert, hat diese auch die Bewertung innerhalb der festgelegten Bandbreiten und das Einbringen der Resultate in eine Feedbackschlaufe sicherzustellen.
Gestützt werden die Forderungen nach mehr IT-Governance vor allem durch Fachgutachten, SAS 70, Sarbanes Oxley Act und weiteren relevanten Gesetzen, die eine strengere Regulierung der Informatik wünschen, aber auch durch unternehmerische Aspekte, die marktorientiertes Arbeiten und somit alle wirtschaftlichen Aspekte abdecken.
Methoden und Modelle
Es fehlt nicht an Methoden und Modellen, um Governance in der IT einzuführen. Die einen sind sehr umfangreich und eher für komplexe Unternehmen und IT-Landschaften geeignet. Andere wiederum legen Schwergewichte beispielsweise in der Organisation und decken andere Bereiche nicht komplett ab. Da sich vor allem Revisoren auf diesem Gebiet einsetzten, sind Modelle der IT-Governance in Anlehnung an bekannte Revisions-Rahmenwerke gehalten. So findet man vielerorts CobiT, ITIL, ISO 17799 und weitere. Einige der bekanntesten Modelle sollen im Folgenden kurz dargestellt werden (Quelle Urs Fischer, Swiss Life):
- CobiT ist ein international anerkanntes IT-Governance Framework und gliedert die Aufgaben der IT in Prozesse und Control Objectives (oft mit Kontrollziel übersetzt, eigentlich sind Steuerungsvorgaben gemeint). CobiT wurde ursprünglich in 1993 vom Internationalen Verband der EDV-Revisoren (EDPAA später ISACA) entwickelt, seit 2000 obliegt es dem IT Governance Institute, einer Schwesterorganisation der ISACA, CobiT weiterzuentwickeln. CobiT hat sich von einem Werkzeug für IT-Revisoren zu einem Werkzeug für die Steuerung der IT aus Unternehmenssicht entwickelt.
- Die IT Infrastructure Library, kurz ITIL, beschreibt die für den Betrieb einer IT-Infrastruktur notwendigen Prozesse. Diese orientieren sich bei ITIL nicht an der Technik, sondern an den durch den IT-Betrieb (Operations) erbrachten Services bzw. den Dienstleistungen. Damit bildet ITIL eine mögliche Grundlage für ein IT-Service-Management.
- ISO 17799 ist ein internationaler Standard, der diverse Kontrollmechanismen für die Informationssicherheit beinhaltet. Grundlage war eine Sammlung von Erfahrungen, Verfahren und Methoden aus der Praxis um einen «Best Practice»-Ansatz zu erreichen. Eine Zertifizierung nach ISO 17799 ist grundsätzlich nicht möglich, da es sich bei der Norm um eine Sammlung von Vorschlägen und nicht Forderungen handelt. Soll ein Informationssicherheits-Managementsystem zertifiziert werden, ist dies nur über die Erfüllung der Anforderungen nach ISO 27001 möglich.
- Die internationale Norm ISO/IEC 27001:2005, «Information technology – Security techniques – Information security management systems – Requirements» spezifiziert die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Management-Systems unter Berücksichtigung der Risiken innerhalb der gesamten Organisation. Die ISO/IEC 27001:2005 wurde entworfen, um die Auswahl geeigneter Sicherheitsmechanismen zum Schutz sämtlicher IT-Assets sicherzustellen. Als weitere Normen der Reihe ISO 27000 sind geplant:
- 27000 wird Begriffe und Definitionen enthalten, welche in der Reihe ISO 27000 verwendet werden.
- 27002 wird weitgehend den Inhalt von ISO 17799 enthalten.
- 27003 soll einen Leitfaden zur Umsetzung der ISO 27001/2 enthalten.
- 27004 hat den Arbeitstitel «Information Security Management Metrics and Measurements».
- 27005 ist an den BS 7799-3 angelehnt und behandelt das Informationsystem-Risikomanagement.
Als IT-Grundschutz bezeichnet man die Standardsicherheits-Massnahmen für typische IT-Systeme. Durch die Umstrukturierung/Erweiterung des Grundschutzhandbuchs 2005 des BSI (Bundesamt für Sicherheit in der Informationstechnik) wurden die Methodik und die Grundschutzkataloge getrennt. Die Standards BSI 100-1, BSI 100-2 und BSI 100-3 enthalten Angaben zum Aufbau eines ISMS (Informations-Sicherheits-Mangagement-System), der Methodik (Vorgehensweise nach Grundschutz) und der Erstellung einer Sicherheitsanalyse für hohen und sehr hohen Schutzbedarf, aufbauend auf einer durchgeführten Grundschutzerhebung. Das BSI versucht damit, einen Angleich an internationale Normen zu erreichen.
Modellauswahl
Bei der Auswahl der Modelle ist darauf zu achten, dass das Machbare im Vordergrund steht. IT-Governance ist keine theoretische Disziplin, der Erfolg wird sich in der Qualität der Resultate aus den gewählten Messpunkten widerspiegeln. Das ist einer der spannendsten Aspekte der Governance, denn der Erfolg ist messbar. Ein weiterer zentraler Punkt, der eine sehr grosse Rolle spielt, ist die Positionierung der Kontrollinstanz. Es ist in vielen Unternehmen nicht etwa das Controlling, das diese Aufgabe wahrnimmt, vielmals werden die internen IT-Revisoren aufgefordert, (auch) auf Effizienz zu achten, diese nach Möglichkeit zu bewerten und dem Vorstand zu rapportieren. Aus dieser Perspektive erstaunt es nicht sonderlich, dass renommierte Institutionen wie die Gartner Advisory on CobiT and ITIL bestätigen, dass eine Kombination dieser Instrumente für eine schlagkräftige Implementierung von IT-Governance gut geeignet ist. Die Auswahl, was, wie, wo und in welcher Form abgedeckt ist, haben die Sachverständigen von der ISACA bereits gelöst. So gibt es eine Vielzahl von Mapping-Dokumenten, die CobiT und andere Methoden vergleichen.
Die Modelle in die Praxis so umzusetzen, dass die Steuerpunkte die gewünschten Informationen liefern, ist die grösste Herausforderung der IT-Governance. Sie müssen gelebt werden, es heisst Messdaten kontinuierlich zu liefern und die daraus resultierenden Ergebnisse wieder in die Prozessoptimierung einzubringen.
Welche Voraussetzungen müssen IT-Organisationen erfüllen?
Eine zentrale Herausforderung der IT-Governance stellt sich zum einen in historisch gewachsenen IT-Landschaften und zum anderen in den Ansprüchen der verschiedenen Unternehmensgruppen an eine gemeinsame Governance. Bei beiden Aspekten steht die heute vielfach fehlende Transparenz im Vordergrund. Diese, gepaart mit dem immer höheren Durchdringungsgrad der IT, stellt die Umsetzung von noch so guten Modellen als technische und organisatorische Meisterleistung dar.
Die IT-Organisation muss zuerst die Bereitschaft zu einer höheren Transparenz erfüllen, bevor sich ein Projekt an das Abenteuer wagen kann. Sehr oft zeigt sich, dass es zielgerichteter ist mit einem dedizierten Teilbereich zu beginnen, um die gewonnenen Erkenntnisse und erste Erfolge für das weitere Governance-Marketing einzusetzen. Ob zur Erreichung der Ziele mehr Ressourcen in organisatorischen oder eher technisch gelagerten Massnahmen gesprochen werden müssen, kann nicht pauschal definiert werden. Es gilt die Balance zu halten, Modelle flexibel einzusetzen und (manchmal) auch auf Umwegen ans Ziel zu gelangen.
Sind IT-Services bereit für eine Governance?
Wie lässt sich IT-Governance eingliedern, ohne dass die betroffenen Services an Effizienz und Dynamik verlieren? Viele in der Schweiz implementierten IT-Services laufen gut; sie funktionieren ohne grosse Einbussen in der Verfügbarkeit. Die meisten haben Standardsoftware individuell auf kundenspezifische Anforderungen angepasst oder mit Eigenentwicklungen ergänzt. Dies bringt auf der einen Seite eine höhere Akzeptanz bei den Benutzern, auf der anderen Seite jedoch ein höheres Bedürfnis an Dokumentation und Transparenz in der Systemumgebung. Letzteres wurde aufgrund des Kosten- und Zeitdrucks häufig unvollständig oder gar nicht erfüllt.
Viele Unternehmen stehen daher vor der Situation, nicht mehr ganz genau zu wissen, wo welche Datenströme fliessen oder wie die System-Schnittstellen genau arbeiten. Diese schwere Altlast, gekoppelt m einer schlechten Systemhygiene lässt sich nicht ohne Aufwand beheben und so verzichten Unternehmen oft auf eine Bereinigung. Zusätzlich stehen manche Unternehmen vor einem Wissensverlust durch Fluktuation der Mitarbeiter. Die heute vorgefundenen IT-Landschaften haben ihre Möglichkeiten zur Governance nicht ausgeschöpft.
Von der Black Box zu einer schlagkräftigen Governance
Wir haben es also in zahlreichen Unternehmen mit einer Black Box oder besser mit vielen Black «Böxchen» zu tun und es gilt, diese in einem ersten Schritt zu öffnen. Auf der einen Seite sind dem Management Zahlen zu liefern, die es braucht um ihre Entscheide auf strategischer und taktischer Ebene zu fällen. Auf der anderen Seite sind den IT-Mitarbeitern aussagekräftige Resultate aus der erlangten Transparenz bereitzustellen, so dass der damit verbundene Initialaufwand sich für alle persönlich lohnt.
Neben Modellen und Methoden gibt es zahlreiche technische IT-Governance-Tools. Gemeinsam haben alle, dass gewisse Steuerungszahlen managementgerecht in Cockpits präsentiert werden. Diese anzuwenden und für die Governance die gewünschte Effizienz zu erhalten, ist nur mit einer gewissen Transparenz und Bereitschaft der involvierten Personen zu erreichen. Tools decken oft wichtige Aspekte von der IT ab, können aber selten die gesamte Komplexität einer Landschaft erfassen. Zusammen mit den technischen und organisatorischen Massnahmen können Hilfsmittel sicher zu einer beschleunigten und effizienten Einführung und Umsetzung IT-Governance Projekten führen.
Festgestellt wurde, dass die Vorgehensweise nicht komplex und theoretisches Wissen standardmässig vorhanden sind, dass aber die Umsetzung problematisch und mit viel (Detail-)Arbeit verbunden ist und das eigene Risiko für Projektleiter, ein solches Thema anzugehen eher mit verhältnismässig mageren Profilierungsaussichten belohnt wird.
Gap zwischen Modellen und Umsetzung
Einen Governance Hut über ein Unternehmen zu stülpen, um so Proforma-Resultate zu erhalten, bringt soviel wie ein ISO-Ordner im Büchergestell. Der Qualitätsreifegrad von IT-Services ist ausschlaggebend für eine erfolgreiche Implementierung. Es gilt, in kleinen Schritten komplexe IT-Services mit Governance auszustatten, damit valable Resultate bereitgestellt werden können. Die Nachhaltigkeit dieser Vorgehensweise macht sich in jedem Fall bezahlt, denn es ist motivierender, effizient und transparent zu arbeiten. Was die Anerkennung der Leistungen schwierig macht, ist die Tatsache, dass viele Betreiber wie auch Anwender von IT-Services (noch) nicht bereit sind, für eine höhere Qualität einzustehen.
Das Management zahlreicher Unternehmen wird noch einige Zeit benötigen, IT-Governance nicht ausschliesslich innerhalb der internen Revision zu positionieren, sondern als integralen Teilbereich des Controllings und der Unternehmens-Steuerung zu sehen.
SwissICT - Arbeitsgruppe IT-Governance
Diesem spannenden Thema hat sich die Arbeitsgruppe IT-Governance der SwissICT angenommen. Die Hauptziele der Gruppe sind die folgenden:
- Organisatorische Aspekte für die Steuerung von IT Organisationen transparent machen
- Modelle und Ansätze speziell für Unternehmen in der Schweiz weiterentwickeln
- Erfahrungsaustausch zwischen Experten für IT Governance aus Forschung, Wirtschaft und Lehre fördern
- Anwendungsgerechte Modelle und Verfahren für die Mitglieder entwickeln
- Allen SwissICT-Mitgliedern Wissen zur Verfügung stellen
Haben auch Sie Lust, sich als volles Mitglied oder einmal als Gast bei einem IT-Governance Arbeitstreffen dabei zu sein, dann kontaktieren Sie uns. Weitere Informationen finden Sie auf der SwissICT Homepage www.swissICT.ch. Im November 2007 wird die Arbeitsgruppe IT-Governance eine Veranstaltung zum Thema organisieren.
