Während die meisten Unternehmen den alltäglichen Betrieb ihrer Informatik in aller Regel im Griff haben, sieht die Situation bei der Einführung neuer Anwendungen oder der Migration bestehender Anwendungen auf neue Plattformen ganz anders aus: In einer nicht-repräsentativen Stichprobe erlitten drei von vier Unternehmen bei einer im letzten Jahr erfolgten Neueinführung oder Migration gravierende Verspätungen und massive Kostenüberschreitungen. Besonders kritisch waren die Auswirkungen im Bereich von ERP-Systemen, welche letztlich alle Aspekte der Unternehmensführung und -steuerung unterstützen sollten.
Es stellt sich die Frage, wie die Informatik mit einer gravieren Störung im Betrieb z.B. wegen Hardware-Defekten, einem versteckten Programmfehler oder einem Angriff aus dem Internet umgehen würde, wenn sie es nicht einmal schafft, ein von langer Hand geplantes Projekt ohne Probleme über die Runden zu bringen. Hier fehlt der Führungsetage in vielen Fällen das Vertrauen in die IT – wenn man sich in der Geschäftsleitung dieser Problematik überhaupt bewusst ist.
Die IT ist heute ein fester Bestandteil jeder Organisation und hat die betrieblichen Prozesse massgeblich verändert. Die IT unterstützt Firmen in ihrer gesamten Wertschöpfungskette und hat daher einen wesentlichen Einfluss auf deren Wettbewerbsfähigkeit, sei dies durch Verbesserung der Produktivität, Erhöhung der Kosteneffizienz oder Anstieg der Qualitätsniveaus von Produkten. IT-Governance, also «die IT im Griff zu haben», bedeutet demnach weit mehr, als nur die oft ungeliebte Informatik kostenwirksam zu betreiben – eine stabile und leistungsfähige Informatik ist eine Voraussetzung für die operative wie strategische Weiterentwicklung des Unternehmens.
Kein Risikomanagement ist riskantes Management
Das IT Governance Institute identifiziert drei zentrale Fragen, um welche sich die Informatik kümmern müsste und daher eine erhöhte Aufmerksamkeit von Geschäftsleitung und Verwaltungsrat benötigen. Dies sind:
1. Ist die Informatik optimal auf die Geschäftstätigkeit ausgerichtet, ermöglicht diese und maximiert deren Nutzen?
2. Werden IT-Ressourcen verantwortungsbewusst, also wirtschaftlich, eingesetzt?
3. Sind die IT-Risiken bekannt und werden sie rigoros gemanagt?
ie obigen Fragen mit einem klaren «Ja» beantworten zu können, setzt einerseits
voraus, dass die Informatik die Geschäftstätigkeit und die spezifischen Geschäftsbedürfnisse des Unternehmens viel besser verstehen lernt, also ins Geschäft einbezogen wird, das Geschäftsmodell kennt und letztlich auch dieselbe Sprache spricht wie die Geschäftsseite. Auf der anderen Seite muss auch das Top-Management sich entsprechendes Wissen und auch ein Verständnis für die hohe Komplexität der IT aneignen, um die Informatik adäquat führen zu können. Nur eine hinreichende Kommunikation ermöglicht eine hohe Effizienz und Effektivität der IT in der Unterstützung des Geschäfts sowohl im täglichen Betrieb als auch bei der Planung von Investitionen oder der Durchführung von Projekten. Wegen der hohen Komplexität der Informatik vor allem bei Unternehmen mit verschiedenen Standorten bedeutet dies einen erheblich höheren Aufwand als in den anderen Unternehmensbereichen.
Ist die Informatik in der Lage, die Strategie optimal zu unterstützen?
Gemäss dem IT Governance Institute muss sich ein Unternehmen erfolgreich um die folgenden fünf Kernaufgaben kümmern:
1. Ausrichtung der IT-Aktivitäten an der Geschäftsstrategie (strategic alignment)
2. Realisierung des geplanten Nutzens durch die IT (value delivery)
3. Optimierung des Einsatzes von Personal, der Verwendung von Infrastruktur und Anwendungen, sowie des Umgangs mit Informationen und Wissen (resource management)
4. Identifikation und Umgang mit Risiken (risk management)
5. Verfolgung und Überwachung der Leistungserbringung (performance measurement)
Betrachtet man das genauer, sind es in etwa 20 Aufgaben, welche ein Unternehmen auf einer genügend hohen Maturitätsstufe betreiben muss. Diese Kernaufgaben reichen vom stabilen Betrieb über ausreichende Datensicherung bis zur physischen und technischen Sicherheit – und vom konsequenten Testen von selbstentwickelten oder eingekauften Anwendungen bis zur Implementierung einer mittels Zugriffsschutzsystemen unterstützten, ausreichenden Funktionentrennung im Fachbereich wie in der IT. Besondere Aufmerksamkeit benötigen Aufgaben wie (IT-) Risikomanagement, Compliance oder auch Outsourcing; ein Thema, an dem kaum ein KMU vorbeikommt.
Eine solche Übersicht zeigt somit auf einen Blick, wo hinsichtlich der IT noch Handlungsbedarf besteht. Wenn das Unternehmen nicht in der Lage ist, derartige Analysen selber durchzuführen, sollte auf erfahrene Treuhänder, Revisoren oder spezialisierte Unternehmensberater zugegriffen werden, um ein qualitativ ausreichendes Ergebnis zu erzielen.
In einer vom Autor an der Universität Zürich betreuten Diplomarbeit «Lohnt sich IT-Governance auch für KMU?» wurden folgende Erkenntnisse hinsichtlich der IT bei KMU gesammelt:
- Die befragten KMU beurteilten die IT-Verfügbarkeit für die operativen Kernprozesse fast durchgängig als wichtig bis kritisch, wonach die maximale Ausfallzeit zentraler IT-Systeme nicht mehr als vier Stunden betragen darf. Diese aus Optik des Autors eher hohen Verfügbarkeitsanforderungen lassen sich allenfalls dadurch erklären, dass viele KMU eher auf die «üblichen» Betriebsstörungen fokussiert sind und darunter auch so häufig leiden, dass sie nicht mehr zwischen den normalen Betriebsstörungen und wirklich gravierenden Katastrophen im engeren oder weiteren Umfeld unterscheiden, wo auch längere Stillstandzeiten akzeptabel wären.
- Betreffend Innovationsgrad gaben die Firmen an, dass die IT-Infrastrukuren grösstenteils aus Standardkomponenten bestanden, aber neue Technologien relativ rasch eingeführt wurden. Bei KMU, bei denen die IT für die Geschäftstätigkeit als strategisch eingestuft wurde, war der Innovationsgrad beträchtlich höher als bei den anderen.
- Praktisch alle befragten KMU beschäftigten sich mit Sourcing-Fragen, wobei der Anteil ausgelagerter Leistungen stark variierte. Ob mangelhafte Fachkompetenzen der internen IT-Personen die Ursache oder eine Folge einer Auslagerung von bestimmten IT-Dienstleistungen war, konnte leider im Rahmen der Untersuchung nicht aufgezeigt werden. Wo stark ausgelagert wurde, behielten die KMU in aller Regel die Kontrolle über das ERP, mindestens über dessen Schnittstellen. Eingekauft wurden die Leistungen oft bei langjährigen strategischen Partnern und ohne grössere Abklärungen oder Auswahlverfahren.
- Es besteht der Verdacht, dass verantwortliche IT-Leiter bei KMU manchmal (zu) stark auf den Betrieb fokussiert sind und die höchst unterschiedlichen Bedürfnisse der zahlreichen Anspruchsgruppen ohne eine gesamthafte Betrachtung erfüllen, was zu einer sehr heterogenen IT-Infrastruktur- und Applikationslandschaft mit den entsprechenden Kompatibilitätsproblemen der IT-Systeme und Kosten führen kann.
- Hinsichtlich dem Risikomanagement fiel auf, dass sich praktisch sämtliche KMU mit IKS und Risikomanagement beschäftigten, was wahrscheinlich auf die kürzliche OR-Gesetzesrevision zurückzuführen ist. IT-Risiken wurden zwar zum Teil mit der Geschäftsleitung diskutiert, jedoch war in den meisten Fällen die IT «einfach» ein Risiko in der Risikolandschaft des Unternehmens – mit einer mittleren Ausfallwahrscheinlichkeit und einem ebenfalls mittleren Schadensausmass. Die spezifischen, individuellen IT-Risiken (z.B. Abhängigkeit von einem Lieferanten, Abhängigkeit von einem kleinen externen Provider usw.) wurden daher kaum eigenständig gemanagt.
Die in der Diplomarbeit dargestellten Erkenntnisse zeigen auch bei KMU einen klaren Bedarf an IT-Governance auf, wobei aber eine Umsetzung von sämtlichen z.B. im COBIT-Framework des IT Governance Institute aufgeführten Faktoren viel zu aufwändig und für ein KMU weder durchführbar noch sinnvoll ist. Eine Fokussierung auf wenige Themen und deren Verfolgung mit der notwendigen Ausdauer lohnt sich aber auf jeden Fall.
Die wichtigsten Sofort-Massnahmen für Verwaltungsrat, Geschäftsleitung und IT-Führung – speziell auch gültig für KMU – sind in den nachfolgenden Tipps aufgeführt. Deren Inhalte wurden anlässlich der europäischen Konferenz EuroCACS 2009 in Frankfurt vorgestellt und stiessen dort auf grosse Akzeptanz.
Das Wichtigste ist, unabhängig von der Hierarchieebene die persönliche Verantwortung wahr zu nehmen und dafür zu sorgen, dass die wenigen aber zentralen Aufgaben mit der notwendigen Hartnäckigkeit verfolgt werden.
IT-Governance (Versuch einer Definition)
IT-Governance ist das System zur Führung, Kontrolle und Überwachung, also der Steuerung der IT innerhalb von Unternehmen. Die IT Governance-Struktur legt die Verteilung von Aufgaben und Verantwortlichkeiten zwischen der Geschäftsleitung, den Führungskräften in den Fachbereichen und der IT fest. Damit wird auch geregelt, wie die IT-Ziele, die Mittel zur Erreichung dieser Ziele und zur Überwachung der Ausführung bestimmt werden.
Tipps für Geschäftsleitung und Verwaltungsrat
-(IT-) Risikomanagement regelmässig traktandieren und sich inhaltlich mit der Bewertung der Risiken auseinandersetzen
-Die Verantwortlichkeiten für die zentralen Governance-Aufgaben klar einzelnen Personen zuweisen
-Im gesamten Unternehmen einen hohen Grad an Bewusstsein für die verschiedenen Governance-Themen kultivieren
-Aufzeigen (lassen), wie die zukünftige Geschäftsstrategie durch die Informatik unterstützt werden soll
-Sicherstellen, dass Sie als Mitglied von Geschäftsleitung oder VR ausreichend aktuelle, korrekte und detaillierte Informationen über den Stand der IT erhalten
Hinweise auf Quellen und weitere Unterlagen
- IT Governance Institute; zahlreiche, für das
Management geschriebene Unterlagen zu
Führungsthemen der IT: www.itgi.org
-COBIT, das international etablierte Standard-Framework für IT-Governance. Neben den zahlreichen detaillierten Dokumenten gibt es auch eine Einführung für das Management. Erhältlich bei www.isaca.org im Bookstore.
-«Lohnt sich IT-Governance für KMU?»;
Diplomarbeit von Ch. Landolt, zu finden auf www.isaca.ch
Tipps für oberes Management
-Massnahmen (Kontrollen) implementieren, welche sicherstellen, dass Führungsentscheide tatsächlich ausgeführt werden
-Nur diejenigen IT-Projekte durchführen, welche die Geschäftsziele unterstützen und deren Erfolg wahrscheinlich ist
-Ownership für Governance-bezogene Aufgaben eindeutig Einzelpersonen zuweisen
-Die korrekte Durchführung von Aufgaben in Ihrem persönlichen Verantwortungsbereich routinemässig überprüfen
-Periodisch Beurteilungen von IT-Governance-Aktivitäten durchführen und dokumentieren
-Für den Umgang mit Ausnahmen (z.B. Nicht-Einhalten von etablierten Richtlinien) einen standardisierten Prozess implementieren, der in das Risikomanagement integriert oder mindestens mit diesem verknüpft wird, so dass die Ausnahmen in der Risikolandschaft auftauchen
Tipps für das Management in Fachbereichen
-Spezifische und detaillierte Geschäftsziele festlegen und daraus klare Geschäftsvorgaben für die IT ableiten
-Eine Übersicht über die Geschäftsprozesse und die dafür notwendigen Support-Prozesse (inkl. IT-Unterstützung) erstellen
-Die Leistung der IT an ihrem konkreten Beitrag an die Geschäftstätigkeit messen
-Enge Kontakte zur IT aufbauen und pflegen
-Nur das anordnen (z.B. in der Form von Richtlinien), was man auch wirklich durchsetzen und überwachen möchte
Tipps für das Management der Informatik
-Die IT (wieder) zentralisieren, integrieren und standardisieren
-Einen mittelfristigen Plan zur Verbesserung der IT aufstellen (z.B. basierend auf der COBIT IT Assurance Roadmap)
-Die Maturität der wesentlichen IT-Prozesse auf mindestens Stufe 3 (nach CMM, PMM oder COBIT) anheben
-Enge Kontakte zum Business aufbauen und pflegen
-Überlegen, welche Bereiche der IT besser selber gemacht und welche sinnvollerweise ausgelagert werden können
Der Autor
Peter R. Bitterli,
CISA, CISM, CGEIT
Gründungsmitglied und Vorstandsmitglied des ISACA Switzerland Chapter, Mitglied Fachstab für Informatik der Treuhand-Kammer; ist seit mehr als 25 Jahren in den Gebieten IT-Revision, IT-Security, IT-Risikomanagement und IT-Governance als Prüfer und Berater unterwegs.