Keine klare Linie

Feature | 18. April 2007 von admin 0

Der CEO eines Unternehmens muss gemäß des amerikanischen Sarbanes-Oxley Act von 2002 für eine ordnungsgemäße Buchführung gerade stehen. Doch wer im Unternehmen gewährleistet, dass die Finanzanwendung tatsächlich richtig läuft? Der CFO vertritt die Ausgaben des Unternehmens den Aktionären gegenüber, aber muss er sich in diesem Rahmen auch vergewissern, dass seine Personalabteilung eine geeignete Abrechnungssoftware verwendet?

Nach Ansicht einiger Analysten liegt die IT-Governance ganz und gar in der Verantwortung des CEO, da ihm eine Schlüsselrolle bei der Corporate Governance zukommt. In Wirklichkeit aber ist die Rollenverteilung mit Blick auf IT-Governance schlecht definiert. In den Unternehmen sind die verschiedensten Praktiken anzutreffen. Diese reichen von klar definierten und gut verwalteten Strukturen bis hin zu völlig unsystematischen Ad-hoc-Entscheidungen, die mit den Unternehmenszielen in Einklang stehen oder auch nicht.

Diesem Wirrwarr ist nun das amerikanische IT Governance Institute (ITGI) auf den Grund gegangen. Beauftragt von PricewaterhouseCoopers, hat ITGI 695 CEOs und CIOs aus 22 Ländern befragt, um sich ein Bild davon zu machen, welchen Stellenwert IT-Governance in den Unternehmen hat. Das erschreckende Resultat: Den meisten Firmen ist weder klar, was genau IT-Governance ist, noch wer dafür zuständig sein soll.

Nur 17 Prozent der befragten Unternehmen haben irgendeine Form von IT-Governance-Lösung implementiert. 36 Prozent ziehen die Einführung einer solchen Lösung laut dem „IT Governance Global Status Report – 2006“ nicht einmal in Erwägung.

Unklare Rollen, unklare Zuständigkeiten

Die Studie zeigt erhebliche Wissenslücken bezüglich IT-Governance auf. 35 Prozent der Umfrageteilnehmer sind die einschlägigen Anbieter von strukturierten Methodiken oder Werkzeugen zur Entwicklung einer IT-Governance-Lösung schlichtweg unbekannt. Dieses Ergebnis ist umso alarmierender, als neben Softwarehäusern wie SAP eine Vielzahl großer Unternehmensberatungen wie Accenture oder McKinsey, kleinere Nischenberater und Technologieanalysten bis hin zu ITGI selbst in diesem Umfeld aktiv sind.

SAP beispielsweise bietet hierzu unter dem Namen „SAP Lösungen für Governance, Risk und Compliance“ ein ganzes Paket von Anwendungen an. Auch stehen SAP-Kunden mit dem „Benchmarking and Best Practices Program“ der Americas’ SAP Users’ Group (ASUG) Daten zur Verfügung, mit denen sich die IT-Performance messen und steuern lässt. Grundvoraussetzung ist natürlich in beiden Fällen, dass IT-Governance überhaupt auf der Arbeitsliste der jeweiligen Unternehmen steht.

Bei sechs Prozent der befragten Unternehmen fühlt sich darüber hinaus niemand für IT-Governance zuständig. In 33 Prozent der Firmen hat sich der CIO des Themas angenommen – obwohl die meisten Marktforscher einschließlich ITGI den CEO für IT-Governance zuständig halten.

PricewaterhouseCoopers fragte außerdem nach dem Nutzen, den IT-Lösungen aus Sicht der CEOs und CFOs für die Kundenbeziehungen, das Risikomanagement, niedrigere Kosten oder die Produktführerschaft bringen. 26 Prozent der Befragten erklärten, keinen oder nur geringen Nutzen aus ihren IT-Systemen zu ziehen oder sich eines solchen Nutzens nicht sicher zu sein. Somit liegt auch hier ein „Betätigungsfeld“ für IT-Governance. Denn: Sie soll auch aufzeigen, in welcher Weise die IT den Unternehmen Mehrwert schafft. Daher offenbart auch dieses Resultat eine Lücke zwischen gängigen Best Practices und der Realität. „Dem IT Value Management muss eindeutig mehr Beachtung gewidmet werden“, folgert der ITGI-Report.

COBIT: Steuerung, Verwaltung und Messung von IT-Prozessen

Die Studie hat zudem die Nutzung der Control Objectives for Information and Related Technology (COBIT) 4.0 unter die Lupe genommen, die von ITGI und der gemeinnützigen Information Systems Audit and Control Association (ISACA) empfohlen werden. ITGI charakterisiert COBIT als „IT-Governance-Framework und unterstützendes Toolset, das Manager in die Lage versetzt, die Lücke zwischen Steuerungsanforderungen, technischen Aspekten und Geschäftsrisiken zu schließen.“

COBIT dient der Steuerung, Verwaltung und Messung von 34 IT-Prozessen. Beispielsweise bietet COBIT einen Ablauf für das Risikomanagement sowie Kriterien für die Risikokontrolle. COBIT definiert ein übergeordnetes Kontrollziel, ein detailliertes Kontrollziel, Management-Richtlinien und Reifegrademodelle für die einzelnen Prozesse. Das Framework integriert die Kontrollmechanismen, die laut Sarbanes-Oxley und anderen internationalen Vorgaben erforderlich sind.
Außerdem setzt COBIT Schwerpunkte auf fünf speziellen Bereichen: Die strategische Abstimmung zwischen IT-Zielen und Geschäftszielen, die Garantie, dass die IT auch tatsächlich den versprochenen Nutzen bringt, ein Ressourcenmanagement, mit dem neue Investitionen sinnvoll gesteuert werden, ein Risikomanagement und ein Performance Management, das die Prozesse überwacht und bewertet.

Zusammenspiel von COBIT, ISO 9000 und ITIL

In diesem Zusammenhang befasst sich die ITGI-Studie auch mit dem Zusammenspiel von COBIT, ISO 9000 und ITIL (Infrastructure Library). Nach Ansicht von Forrester Research ergänzen sich diese drei Richtlinien. ISO liefert Sicherheitsmechanismen, aber keine Implementierungshilfen. ITIL wiederum beschreibt die Strukturierung operativer Prozesse, ist aber schwach in punkto Sicherheit. Der Schwerpunkt bei COBIT liegt auf Kontrollmechanismen und Messgrößen. Das Framework liefert eine allgemeine Sicht auf IT-Prozesse und deren Steuerung, die ITIL nicht bietet, lässt aber ebenfalls Sicherheitsaspekte außer Acht.

Forrester kommentiert daher in der Studie „The Management Process Alphabet Soup“: „Diese Frameworks ergänzen sich gegenseitig, geben jedoch keine direkt umsetzbaren Empfehlungen. Sie dienen also ausgezeichnet als Leitfäden oder Checklisten, aber nicht als Blueprints für Implementierungsvorhaben.”

Der ITGI-Studie zufolge verwenden lediglich neun Prozent der Befragten das COBIT-Framework oder ziehen dessen Einsatz in Erwägung. 21 Prozent setzen auf Sicherheitsmaßnahmen gemäß ISO 9000, 13 Prozent gehen ihre Prozesse mit ITIL an oder wollen künftig Schritte in diese Richtung unternehmen. Diese Zahlen decken sich quantitativ mit einem anderen Ergebnis der ITGI-Studie: 33 Prozent der Befragten verwendet ein intern entwickeltes Framework für die IT-Governance, Systeme, die entweder Werkzeuge wie COBIT oder ITIL einbinden, oder spezifische Lösungen.

Führung erforderlich

Obwohl 80 Prozent der Umfrageteilnehmer angegeben hatten, IT-Governance nicht unmittelbar auf ihrer Arbeitsliste zu führen, ergreifen trotzdem rund 80 Prozent von ihnen Maßnahmen, die sich mehr oder weniger als IT-Governance einordnen lassen, so die ITGI-Studie weiter. Hierzu zählen beispielsweise Prozesse rund um die Kontrolle der IT-Kosten, der Verwaltung von IT-Ressourcen oder die Abstimmung von IT- und Unternehmensstrategie.

Dennoch ist ein Ergebnis unmissverständlich: Die meisten Unternehmen sind von einer konsistenten IT-Governance weit entfernt. Beispielsweise steht die IT nur bei 25 Prozent der Umfrageteilnehmer permanent auf der Agenda der Unternehmensführung – bei erschreckenden 36 Prozent ist sie selten oder nie ein Thema.

Die Analysten Eric Monnoyer und Paul Willmott, McKinsey, fassen dieses Manko im McKinsey Quarterly wie folgt zusammen: „Allzu häufig mangelt es bei IT-Abteilung und den Fachbereichen an einem gemeinsamen Verständnis der wesentlichen Unternehmensziele. Manche Firmen würden sich viel lieber auf IT-Governance-Systeme verlassen, als eine echte IT-Führung zu schaffen“.

Da die Analysten die IT-Governance einstimmig als Thema des CEO einstufen, schlussfolgert die ITGI-Studie mit Fug und Recht, dass die Vorstandsebene hier deutlich gefragt ist: „IT-Governance und der Einsatz eines IT-Governance-Frameworks liegt in der Zuständigkeit des Vorstands und der Führungskräfte.“

Leave a Reply