Risikointelligente Steuerung der IT

IT–Governance ist ein IT-Managementsystem, das als Fortsetzung der funktionierenden Corporate Governance sicherstellt, dass die geschäftspolitischen Ziele eines Unternehmens durch die unternehmenseigene IT effizient unterstützt werden. Das IT-Governance-Modell stellt zudem sicher, dass gesetzliche und gegebenenfalls aufsichtsrechtliche Anforderungen erfüllt werden. Damit spielt IT-Governance bei der Umsetzung einer wirtschaftlichen IT, welche die Ziele eines Unternehmens unterstützt, eine wichtige Rolle. Drei Bausteine oder Säulen bilden dabei die Grundlage zur erfolgreichen Umsetzung von IT-Governance im Unternehmen.

Die drei Säulen der IT-Governance

Die drei Säulen der IT-Governance sind die IT-Organisation, IT-Management-prozesse und die Wertschöpfungstiefe der eigentlichen Leistungserbringspro-zesse. Dabei nehmen die IT-Managementprozesse, bei denen das IT-Risiko-management eine wichtige Rolle spielt, eine zentrale Position ein. Über die Compliancefunktionen wird sichergestellt, dass die gesetzlichen und aufsichts-rechtlichen Anforderungen erfüllt werden. Dementsprechend reflektieren sich die Compliancefunktionen auf die Komponenten der drei Säulen der IT-Governance. Für die erfolgreiche Einführung und Umsetzung eines IT-Governancemodells ist dessen Ausrichtung an der Corporate Governance zwingend erforderlich.

IT-Organisation
Eine der Unternehmensorganisation und für die Erreichung der Unternehmens-ziele angemessene IT-Organisation stellt eine wichtige Säule dar. Dabei spielt es weniger eine Rolle, ob das Unternehmen ein zentrales, ein dezentrales Organisationsmodell oder gar eine Matrixorganisation für seine IT wählt sondern die IT–Organisation ist zu wählen, die Geschäftsbereiche am effek-tivsten und effizientesten unterstützt, ihre Ziele zu erreichen. Wesentlich ist in diesem Kontext die Ausrichtung der IT-Organisation an der Unternehmens-organisation sowie die Koordinations- und Integrationsfunktion zwischen den Organisationseinheiten, die ebenfalls eine wichtige Rolle spielen.

IT-Managementprozesse
In dieser Säule sind all jene Funktionen einer IT zusammengefasst, die auf der planerischen Seite sicherstellen sollen, dass zum einen die IT-Strategie auf die Unternehmensstrategie angepasst ist und das aus der entsprechend abgeleiteten IT-Strategie zum einen eine angemessene IT-Organisation aufgebaut wird und auf der anderen Seite die Leistungserbringsprozesse so ausgerichtet werden, dass die geschäftspolitischen Ziele des Unternehmens bestmöglich erreicht werden. Dieses wird durch eine ganze Reihe von Managementprozessen unterstützt. So sind Planungs- und Steuerungsprozesse notwendig, mit deren Hilfe ein angemessenes Dienstleistungsportfolio für die Geschäftsbereiche des Unternehmens ausgewählt wird, die dazu notwendige IT-Architektur bestimmt wird, die Erbringung der Dienstleistungen und deren angemessene Abrechnung gesteuert werden, Projektportfolien aufgestellt werden oder die Beschaffung und Einführung von Ressourcen sichergestellt wird. Dazu gehören auch entsprechende Controllingprozesse und ein Risiko-managementprozess der alle Bereiche der IT–Organisation umfasst und mit dem Unternehmensrisikomanagement abgestimmt ist. Grundlage für den Aufbau solcher IT–Organisationen können Bezugsrahmenwerke wie COBIT und/oder ITIL sein.

Wertschöpfungstiefe der Leistungserbringungsprozesse
Die Leistungserbringungsprozesse beinhalten die Kernprozesse einer jeden Unternehmens-IT. Dazu gehören: zur Verfügungstellung und Betreiben der Anwendungen, Durchführen des Changemanagements, des Problem- und Incidentmanagements, Gewährleistung von Verfügbarkeit, Sicherheit und Datenschutz. Der Anteil der outgesourcten IT-Leistungen in Bezug auf das gesamte IT-Leistungsportfolio definiert die IT-Wertschöpfungstiefe eines Unternehmens. Ein Outsourcing von IT-Leistungen entbindet das outsourcende Unternehmen selbstverständlich nicht von den Kontrollpflichten in Bezug auf die IT. Es gilt die Leistungserbringungsprozesse möglichst effizient zu erbrin-gen, um den Geschäftsbereichen den größtmöglichen Nutzen zu gewährleisten. Um dieses sicherzustellen, bietet es sich an, dass für die Leistungser-bringsprozesse der IT entsprechende Ziele, Zielerreichungsindikatoren und Leistungsindikatoren eingerichtet werden. Mit Hilfe dieser Indikatoren können die Prozesse dann entsprechend gesteuert werden.

Umsetzung der IT-Governance

Damit eine effiziente und effektive IT-Governance im Unternehmen eingeführt werden kann, müssen eine Reihe von Rahmenbedingungen erfüllt sein, zu deren wichtigsten die Rolle des Sponsors eines solchen Einführungsprojekts zählt. Neben der Klärung dieser Frage, stellt die Wahl eines entsprechenden Vorgehensmodells den zweiten wichtigen Aspekt bei der Einführung von IT-Governance im Unternehmen dar.

Rahmenbedingungen
Wer ist der Treiber und Hauptstakeholder der IT-Governance eines Unterneh-mens? Ist dies der Chief Information Officer (CIO), oder aber der Compliance Officer (CO)? Für beide ist IT-Governance ein Kerngebiet ihrer Aufgaben. Deswegen sind sie die wichtigsten Stakeholder der IT-Governance.

Compliance Officer
Der CO ist hauptsächlich von dem sogenannten Governance, Risk and Controls (GRC) Ansatz getrieben. Sein Hauptaugenmerk richtet sich auf die Einhaltung der für Unternehmen zutreffenden regulatorischen Anforderungen und Gesetze für die Gesamtunternehmung. Diese unterscheiden sich je nach Unternehmens-größe, Branche, Gesellschaftsform und natürlich auch den Ländern in denen eine Unternehmung vertreten ist. Die IT-Governance, als Teil der Corporate Compliance, trägt wesentlich zur Erfüllung dieser Anforderungen und Gesetze bei. Als Beispiele lassen sich der Sarbanes Oxley Act aus dem Jahr 2002, BASEL II oder aber auch das Gesetz zur Transparenz und Kontrolle (KonTraG) nennen. Neben diesen Beispielen besteht aber noch eine Fülle von weiteren Gesetzen, Richtlinien und Vorschriften deren Einhaltung Aufgabe des CO ist. Das sekundäre Ziel des CO besteht darin die Compliancekosten auf ein Minimum zu reduzieren, ohne vorgeschriebene Pflichten zu verletzten. Hierbei geht es sowohl um Einmalkosten als auch um die laufenden Kosten aus der Compliance. Die Balance aus Erfüllung der Vorgaben bei gleichzeitig minimalen Mitteleinsatz ist die Herausforderung des Compliance Officers.

Chief Information Officer
Nach einer Deloitte Studie zum Thema Demand Management [1] aus dem Jahr 2007 ist das Thema IT-Governance eines der 5 wichtigsten Themen der IT-Verantwortlichen. Je nach Rolle der Geschäftstrategie und dem Status der IT verfolgt der CIO unterschiedliche Ziele bei dem ihn die IT-Governance unter-stützen kann. Der CIO unterscheidet, je nach Strategie, vom reinen Liefe-ranten bis hin zum Business Enabler. Sein Fokus liegt unter anderem auf dem Business IT-Alignment und der kosteneffektiven Leistungserbringung inner-halb der IT. Dies erfolgreich umzusetzen erfordert  entsprechende Gremien innerhalb der IT zur Steuerung bei gleichzeitiger Transparenzschaffung inner-halb der Leistungserbringung. Je nach Geschäftsstrategie verfolgt der CIO hier unterschiedliche primäre Ziele. Definiert sich die Unternehmung als Preisführer muss sich dies auch in der IT reflektieren, und die Leistungserstellung muss kosteneffektiv erfolgen. Anders erfolgt die Leistungserstellung wenn eine Qualitätsführerschaft angestrebt wird, hierbei geht es um einen maximalen Output bei festgelegten Mitteleinsatz. Dieses strategische Alignment mit Hilfe der IT-Governance umsetzen ist Aufgabe des obersten IT-Verantwortlichen.

Unvereinbare Perspektiven?

Sind die Perspektiven des CO und des CIO nun grundsätzlich als unvereinbar anzusehen? Nein, zwar gibt es Interessen bei denen keinerlei Deckung besteht, aber es besteht auch eine Schnittmenge zwischen dem obersten Compliance-Verantwortlichen und dem IT-Chef. Kosteneffizienz ist nur ein Beispiel das beide Stakeholder verfolgen. Ein gemeinsamer IT-Governance-Ansatz verspricht hier ein niedrigeres Anfangsinvestment. Die Gesamtaus-gaben für GRC werden 2008 um8 Prozent [2] auf 32 Milliarden Dollar steigen. Durchschnittlich investierte ein Unternehmen im Jahr 2006 10 Prozent seines IT-Budgets für Compliance [3] getrieben durch den CO. Dem stehen zusätzlich noch einmal Ausgaben des CIOs für Management von 7 Prozent [4] des IT-Budgets entgegen. Bei einemdurchschnittlichen IT Budget von 173 Millionen Euro im Jahr 2007 nach Gartner ergeben sich hier große Synergiepotenziale. Ein gemeinsamer Ansatz, der alle Interessen des CIO und CO zusammenführt verspricht also Einsparungen beim Investment und den späteren prozessualen Kosten. Durch frühzeitige Berücksichtigung der regulatorischen Anforderungen lassen sich sowohl die laufenden Compliance – wie auch IT-Management Kosten nachhaltig senken. Durch eine Verankerung der Compliance relevanten Aspekte von IT-Governance bereits in der Entwicklungsphase kann vermieden werden, dass später kostspielige manuelle Sonderaufgaben anfallen. Denkt man zum Beispiel im Zusammenhang mit Kontrollanforderungen aus dem Sarbanes Oxley Act an IT-Prozesse, so wird deutlich, dass eine frühe Einbindung von Complianceaspekten Kosten reduzieren kann. Als Beispiel lässt sich das Incident Management heranziehen. Wird in der Entstehung des IT-Governancemodels nicht berücksichtigt, dass entsprechende Nachweise über zeitnahe Lösung von Störungen erbracht werden müssen, kann diese Anforderung durch den Abschlussprüfer beim Jahresabschluss erfolgen. Dies verursacht zusätzliche Kosten, die durch ein frühzeitiges Einbinden des Abschlussprüfers und die gemeinsame Bestimmung der relevanten Kontroll-nachwiese, vermieden werden könnten. Zusätzlich zu Synergien bestehen aber auch Wechselwirkungen der Interessengebiete. GRC-Regelungen, die sich aus entsprechenden gesetzlichen Regelwerken ableiten, greifen teilweise tief ins IT-Management ein. Beispielweise sind hier die strengen Kontrollnachweise des Sarbanes Oxley Acts zu nennen. Aber auch in Europa und Deutschland sind in naher Zukunft ähnliche Anforderungen zu erwarten und branchenspezifische Standards, wie sie sich aus den Basel II Anforderungen oder aus den MARISK ableiten lassen, sind bereits heute verpflichtend. Zusammenfassend ergibt sich, dass nicht nur die Kosten für IT-Governance, mit Hinblick die Compliance-kosten, möglichst niedrig zu halten sind, sondern das diese bereits dadurch optimiert werden können, dass in den IT-Prozessen und in den diese unter-stützenden Systemen, das interne Kontrollsystemautomatisiert wird. Dieses kann über automatisierte Kontrollen oder auch Faktoren, wie Funktionstren-nung, durch angemessene Berechtigungen entscheidend beeinflusst werden.

Vorgehensmodell zur Einführung von IT-Governance

Nachdem aufgezeigt wurde, welche Rahmenbedingungen zu erfüllen sind, wird ein durchgängiger Ansatz dargestellt, um IT Governance im Unternehmen einzuführen. Insgesamt kann IT–Governance in fünf Schritten eingeführt werden und in einemsechsten optionalen Schritt kann das Ergebnis prüferisch begutachtet werden, beziehungsweise auf eine solche Prüfung vorbereitet werden. In einemersten Schritt werden bestehenden Elemente der IT und der IT-Steuerung aufgenommen und evaluiert. Als Orientierungswert für eine solche Evaluierung können die Bezugsrahmenwerke wie COBIT, ITIL oder entsprechende Reifegradmodelle dienen. Aufbauend auf diesen Ergebnissen werden dann die Zielsetzungen, Erwartungen und Wünsche der Unterneh-mensverantwortlichen (CEO, CO) und IT-Verantwortlichen (CIO) aufgenom-men und der Rahmen und die Zielsetzungen für ein revidiertes oder ein neues IT-Governancemodell des Unternehmens erarbeitet. Ein weiterer wichtiger Faktor ist die Identifikation der relevanten regulatorischen Anforderungen an die IT. Auf einer solchen Basis wird dann das konkrete IT-Governancemodell für das Unternehmen entworfen. Ein solches Modell wird die dargestellten Elemente eines IT-Governancemodells enthalten (IT-Management-Prozesse, IT-Organisation, IT-Leistungserbringungsprozesse, IT-Risikomanagement und Compliance-Strukturen), die aber jeweils an die individuellen Erwartungen und Zielsetzungen der Unternehmensverantwortlichen angepasst werden. Um eine Einhaltung der compliance-relevanten Vorschriften sicherzustellen, muss zwingend eine Abstimmung mit dem Abschlussprüfer erfolgen, umso spätere teure Beanstandungen zu verhindern. Ist dieses konkrete Modell dann abgestimmt und wurde sichergestellt, dass es die Zielsetzung und Erwartungen des Managements erfüllt, folgt die Umsetzungsphase. Über entsprechende Einführungspläne, Anweisungen, Schulungen, Workshops und Coachings wird sichergestellt, dass die einzelnen Konzepte und Elemente des IT-Gover-nancemodells eingeführt beziehungsweise umgesetzt werden. Im Anschluss daran muss im Rahmen einer Evaluierung überprüft werden, ob die an die IT-Governance–Einführung gerichteten Ziele auch erfüllt wurden. Gegebenenfalls müssen als Ergebnis einer solchen Evaluierung auch noch entsprechende Anpassungen vorgenommen werden. Auf optionaler Ebene kann das Unternehmen zum Abschluss noch eine Zertifizierung der IT-Prozesse vornehmen, etwa wenn das Unternehmen ein IT-Dienstleister ist und es seinen Auftraggebern nachweisen möchte, dass die IT anerkannten Standards genügt.

Fazit

Zusammenfassend stellt sich für Unternehmen die Frage, wie viel in das Thema IT-Governance zu investieren ist, und für welche Aspekte von IT-Governance die finanziellen Mittel investiert werden sollen. Grundsätzlich gilt, dass Unternehmen zumindest in den Bereichen investieren müssen, die für die Erfüllung von jeweils geltenden Compliance-Anforderungen ausschlaggebend sind. Werden solche Investitionen gleichzeitig auch zur Erfüllung der IT-Management-Anforderungen eingesetzt – wie im Rahmen dieses Beitrags dargelegt – ergeben sich mehrere Vorteile:
° Es hilft den Unternehmen ihre IT auf die Unterstützung der Unterneh-mensziele zu fokussieren.
° Es hilft die IT-Prozesse effektiver undeffizienter zu gestalten, was in Zeiten eines immer stärkeren globalen Wettbewerbs von wirtschaftlichem Vorteil ist.
° Unternehmen sehen sich immer häufiger immer neuen gesetzlichen und aufsichtsrechtlichen Anforderungen ausgesetzt (z.B. SOX, Basel II, etc.). Eine intelligente IT-Governance kann Unternehmen helfen die Kosten für die Erfüllung dieser Anforderungen möglichst gering zu halten.

LARS SCHWARZE, DIETER FABRITIUS, DENNIS TRAWNITSCHEK

Diesen Artikel finden Sie auch in der Ausgabe Juni 2008 des it management.