Die Vielseitigkeit der Informationstechnologie stellt für viele KMU eine grosse Herausforderung dar. Stets steigender Ressourcenbedarf und wandelnde Anforderungen untermauern die Dynamik des IT-Alltags, welche manchem IT-Verantwortlichen schlaflose Nächte bereitet. Jede noch so kleine Störung demonstriert, wie abhängig der Endbenutzer von funktionierenden IT-Systemen ist. Weiter können Fehlentscheidungen, beispielsweise bei der Beschaffung, gravierende Konsequenzen nach sich ziehen, sei dies in inkompatiblen Schnittstellen oder anderen Limitationen. Wie kann sich ein KMU aktiv gegen solche Situationen rüsten? Gibt es ein probates Werkzeug, welches den Ansprüchen von kleinen und mittleren Unternehmen gerecht wird und die Koordination und Kontrolle der IT merklich zu verbessern vermag? Ja! - Dieser Artikel stellt ein Framework vor, welches den Bedürfnissen hinsichtlich IT-Governance an kleine und mittlere Unternehmen angepasst wurde.
Was ist eigentlich IT-Governance?
Der Gebrauch von Informations- und Kommunikationstechnologien ist aus dem heutigen Alltag nicht mehr wegzudenken. In fast allen Unternehmen besteht in irgendeiner Form eine Abhängigkeit zur Informatik oder anderen Kommunikationsmitteln. Ein sorgfältiger Umgang mit diesen Ressourcen ist daher Pflicht, nicht zuletzt weil die Informations- und Telekommunikationstechnologien oftmals auch neue Türen öffnen, sei dies bei den Vertriebskanälen oder der Steigerung der innerbetrieblichen Produktivität.
IT-Governance fasst sämtliche Steuerungs- und Kontrollaktivitäten der IT unter einem Begriff zusammen. Das primäre Ziel der IT-Governance ist, die Geschäftsstrategie und die Geschäftsanforderungen mit der IT abzugleichen, um einen möglichst optimalen Ressourceneinsatz zu erreichen.
Um Unternehmen bei der Umsetzung von IT-Governance Aktivitäten zu unterstützen, gibt es von diversen Organisationen Standards, Richtlinien und Frameworks, wovon COBIT zu den prominentesten Vertretern gehört. COBIT war ursprünglich als Hilfsmittel für die IT-Revision gedacht und hat sich in den letzten 16 Jahren zu einem erprobten Mittel für die Steuerung der IT weiterentwickelt. Herausgeber von COBIT ist das IT-Governance Institute, eine Schwestergesellschaft der ISACA (Information Systems Audit and Control Association). COBIT ist im Frühjahr 2012 in der 5. Version erschienen, gilt heute als de facto Standard für IT-Governance und wird von vielen Grossunternehmen verwendet. Im Wesentlichen stellt COBIT 5 ein generisches Prozessmodell zur Verfügung und liefert für jeden Prozess detaillierte Handlungsempfehlungen und Metriken, anhand welcher die Prozessmaturität sowie die Zielerreichung gemessen und kontrolliert werden kann. Die Prozesse widerspiegeln die «üblichen» Aktivitäten in einer grösseren IT Abteilung und können sowohl aufbau- als auch ablauforganisationsunabhängig implementiert werden.
Braucht es IT-Governance in KMU?
Auch kleine und mittlere Unternehmen sind auf eine verlässliche IT angewiesen. Die Hauptproblematik bei der Umsetzung von IT-Governance-Aktivitäten ist jedoch, dass sich viele kleinere Unternehmen eine Umsetzung im Stile von COBIT 5 schlichtweg nicht leisten können. Sowohl die finanziellen als auch die personellen Ressourcen erlauben es KMU oftmals nicht, solche Governance-Strukturen zu schaffen.
Eine eigens für die Erstellung des Frameworks durchgeführte Umfrage (siehe Abbildung 1) auf Basis des «Vorgehensmodell IT-Risikoanalyse; Arbeitshilfe für KMU-Prüfer (Fachstab für Informatik der Treuhand-Kammer, 2012)» hat gezeigt, dass die Anforderungen von KMU an die IT nur minimal von denjenigen der Grossunternehmen divergieren. Auch die Mitarbeitenden in KMU wollen von überall auf ihre Mails zugreifen können, sich per Fernzugriff mit dem lokalen Firmennetz verbinden und dies selbstverständlich auch an den Wochenenden. Diese Tatsache stellt KMU vor eine grosse Herausforderung, zumal ganz generell die IT-Prozessmaturität in KMU oftmals nicht ausreichend hoch ist.
In IT-Abteilungen von KMU dominiert nach wie vor das Tagesgeschäft; typische Governance-Themen wie strategische Planung oder Konfigurationsmanagement stehen hinten an. Diese Ergebnisse dienen als Grundlage für die Struktur des Frameworks, welches im nächsten Kapitel vorgestellt wird.
Zum Framework
Das im Rahmen der Diplomarbeit erstellte Framework besteht aus drei Komponenten: Einem Life-Cycle, welcher die Implementierung des Frameworks in einem Unternehmen beschreibt, einem Prozessmodell, so wie man es auch in COBIT 5 findet, und einem Online-Assessment, das zur Bestimmung der Prozessreife verwendet wird. Doch nun schön der Reihe nach. Das Prozessmodell ist in drei Ebenen aufgeteilt, «Operate», «Plan & Organize» und «Optimize». Die pyramidenförmige Struktur soll die Wichtigkeit der jeweiligen Ebenen zum Ausdruck bringen. Innerhalb der Ebenen existieren Domänen, in welchen dann schliesslich die Prozesse beschrieben sind. Die Domänen dienen der logischen Separation der Prozesse. Das Framework besteht aus insgesamt dreizehn Prozessen (siehe Tabelle 1) und für jeden Prozess gibt es ein Prozessziel, eine Auflistung der Aktivitäten, Best Practices, vorausgesetzte Artefakte und mögliche Metriken.
Zum Beispiel beschreibt der Prozess «DP01 Backup & Recovery», wie ein Unternehmen Daten sichern und deren Wiederherstellung testen kann. Dieser Prozess setzt sich aus drei Aktivitäten zusammen. Die erste Aktivität (Backup) widmet sich der Datensicherung, die zweite der Wiederherstellung und dem Testing (Test backup) der Backup-Archive. Die dritte Aktivität verlangt, dass die zuständigen Administratoren mehrere Gelegenheiten erhalten, um die Wiederherstellung zu testen (establish restoration routines). Der Prozess schreibt ein Artefakt namens Backup-Plan vor, in welchem alle wesentlichen Informationen der drei Aktivitäten dokumentiert werden müssen. Weiter bietet das Framework mit den vorgeschlagenen Metriken eine Möglichkeit, die Qualität der Prozesse zu messen. Eine für diesen Prozess empfohlene Metrik ist beispielsweise die Anzahl der Recovery-Tests, welche in einem gewissen Zeitraum durchgeführt wurden.
Die folgende Tabelle beschreibt in Kürze alle dreizehn Prozesse, inklusive der verlangten Metriken. Das komplette Framework steht unter www.it-governance-for-sme.ch zum Download bereit.
Wie wird es angewendet?
Der Life-Cycle (siehe Abbildung 3) dient als Handlungsempfehlung bei der Umsetzung einer IT-Governance-Initiative. Ihm zugrunde liegt der Gedanke der kontinuierlichen Verbesserung, wobei zu Beginn des Life-Cycles die momentane Prozessreife beurteilt wird. Erst dann werden konkrete Umsetzungsmassnahmen nach den Vorgaben der im Framework beschriebenen Prozesse geplant und umgesetzt. Nach erfolgreicher Implementierung kann die Prozessreife erneut bewertet werden und allfällige Korrekturen gelangen erneut in die Umsetzung.
Ein Assessment als Starthilfe…Der erste Schritt ist immer der Schwierigste. Um diesen Anlaufschwierigkeiten entgegen zu wirken, bietet das Framework ein Online-Assessment. Das Ziel des Online-Assessments ist, Interessenten rasch einen allfälligen Handlungsbedarf aufzuzeigen (evtl. auch zur Überzeugung des Managements). Andererseits kann das Online-Assessment ebenfalls als Grundlage für die kommende Umsetzungsplanung genutzt werden, indem beispielsweise die Prozesse mit einem eher tieferen Reifegrad prioritär behandelt werden.
Abbildung 4 zeigt exemplarisch das Resultat eines Online-Assessments. Die Fragen werden den entsprechenden Prozessen zugewiesen und die Farben repräsentieren die erreichte Prozessreife.
Das Online-Assessment ist ebenfalls unter www.it-governance-for-sme.ch verfügbar. Testen Sie Ihren Reifegrad noch heute!
Was sind die Vorteile?
Bei dem in diesem Artikel präsentierten Framework handelt es sich zugegebenermassen um ein IT-Governance Framework «reduced to the max». Durch die konsequente Fokussierung auf das Wesentliche kann der Anspruch vieler KMU nach einem einfachen und übersichtlichen Framework erfüllt werden. Zugleich bleibt das Framework kompatibel mit dem grossen Bruder, COBIT 5. Sämtliche Inhalte des Prozessmodells entstammen aus COBIT 5. Dadurch ist auch ein Upgrade auf COBIT 5 jederzeit möglich, was zusätzliche Flexibilität bietet und ein Grund mehr dafür ist, dass dieses Framework ein idealer Einstiegspunkt in die spannende Welt der IT-Governance ist.
Ein weiterer Vorteil des Frameworks besteht darin, dass es mit seinem generischen Ansatz keinerlei Ansprüche an die Ablauf- oder Aufbauorganisation stellt. Das Framework kann unabhängig der Unternehmensgrösse implementiert werden. Es ist ausserdem möglich, dass sich lediglich eine einzige Person mit dem Thema befasst. Gerade in kleinen Unternehmen sind Generalisten im Einsatz und dieses Framework bietet einfache und übersichtliche Prozesse, ohne komplizierte RACI Charts.
Fazit
Dieses Framework kann KMU helfen, ihre IT zu professionalisieren. Mit lediglich vierzehn vorgeschriebenen Artefakten bleibt das Framework schlank und ist, im Vergleich mit anderen Frameworks, rasch und einfach zu implementieren.
Literaturverzeichnis- Fachstab für Informatik der Treuhand-Kammer. (2012). Vorgehensmodell IT-Risikoanalyse - Arbeitshilfe für KMU Prüfer. Treuhand Kammer.
- ISACA. (2012). COBIT 5 - A Business Framework for the Governance and Management of IT. Rolling Meadows, USA: ISACA.
- ISACA. (2012). COBIT 5 - Enabling Processes. Rolling Meadows, USA: ISACA.
- Josi, P. (2012). IT-Governance for SME. From www.it-governance-for-sme.ch.
Der Autor
Peter Josi ist Wirtschaftsinformatiker (MSc BIS) und 27 Jahre alt. Nach einer kaufmännischen Ausbildung hat er Wirtschaftsinformatik studiert und arbeitet seit sechs Jahren bei der Fischer-ICT GmbH. Er leitet dort die Business Unit Infrastructure, welche ICT-Services für kleine und mittlere Unternehmen anbietet. Weiter ist er in verschiedenen Grossunternehmen als externer Projektleiter im Einsatz. Das hier vorgestellte Framework hat er im Rahmen des Masterstudiums entwickelt.
Peter Josi (Quelle: ISACA)