IT-Governance für mehr Effizienz. Eine langfristige strategische Planung der IT, die auch externe Faktoren berücksichtigt, wird bei Behörden immer wichtiger.

IT-Governance für mehr Effizienz

Die Informationstechnologie (IT) in öffentlichen Einrichtungen steht unter enormem Leistungsdruck: Sinkende IT-Budgets und die Abkehr von Mammutprojekten erfordert einen effizienteren Einsatz vorhandener IT-Infrastrukturen. Gleichzeitig gewinnt die elektronische Vernetzung mit Geschäftspartnern eine immer größere Rolle. Eine Lösung, um Kostendruck und mögliche Risiken für die IT zu minimieren, sind IT-Governance-Modelle. Bei etwa 95 Prozent aller öffentlichen Institutionen existieren bereits Elemente des IT-Governance. In den allermeisten Fällen sind dies strategische Planungselemente und Best Practices wie zum Beispiel die "IT Infrastructure Library" (ITIL) oder die "Control Objectives for IT" (CobIT). 60 Prozent der Institutionen geben an, als nächsten evolutionären Schritt IT-Governance einführen zu wollen.

Für den Aufbau von IT-Governance-Strukturen existieren im Wesentlichen zwei Anlässe: Zu 53 Prozent sollen sie technische und Sicherheitsrisiken verhindern. In 42 Prozent der Fälle sind äußere Zwänge oder interne Vorgaben der Auslöser für den Aufbau eines Governance-Modells, so die Angaben der Studie "Elektronische Signaturen im E-Government" von Mummert Consulting aus dem Jahr 2003.

Integration von Public Governance / IT-Governance

IT-Governance ist nur erfolgreich, wenn Public Governance und IT-Governance integriert betrachtet werden: Public Governance koordiniert das partnerschaftliche Zusammenwirken von Bürger, Wirtschaft und Staat, um den neuen Herausforderungen der Transformation in die Informationsgesellschaft gerecht werden zu können. IT-Governance regelt organisatorische Strukturen und Prozesse, um die Informationstechnologie so zu gestalten, dass die Ziele der Public Governance nachhaltig gesichert, unterstützt und gefördert werden. Dabei ist IT-Governance breiter zu fassen als IT-Management. Das IT-Management hat einen eher internen und mittelfristigen Fokus. IT-Governance hingegen berücksichtigt externe Faktoren stärker und hat zudem einen langfristigen Fokus. Insbesondere sind auch die Auswirkungen der E-Governance - nach der Speyerer Definition - zu berücksichtigen. Die größten Herausforderungen, denen sich öffentliche Institutionen in ihrer IT nun gegenübergestellt sehen, sind:

das Erfüllen der Anforderungen mit den vorgegebenen IT-Budgets, der Nachweis des erbrachten wirtschaftlichen und qualitativen Mehrwerts der IT, die rascher zunehmende Komplexität von fachlichen Prozessen und technischen Plattformen, die quantitativ und qualitativ zunehmenden Sicherheitsrisiken sowie der Mangel an erfahrenen bzw. gut ausgebildeten IT-Fachkräften in öffentlichen Verwaltungen.

Neben diversen Neuerungen sieht die IT-Governance vor, schon existierende Instrumente weiterzuentwickeln. Dazu gehören: die Identifikation aller kritischen Anwendungen mit vollständiger Erfassung ihrer Angriffspunkte sowie umfassender Risikobetrachtung, die integrierte Sicherheitsanalyse der gesamten technischen Infrastruktur, die Auditierung der IT-Organisation und ihrer Prozesse durch unabhängige Dritte, die Identifikation von kritischen Erfolgsfaktoren nach technischen (z.B. Ausfall- und Reaktionszeiten) und strategischen (z.B. Grad des IT-Alignments) Gesichtspunkten sowie die Einführung und das Monitoring von Kennziffern für die Kernprozesse der IT (z.B. Release- und Changemanagement).

Sobald diese Maßnahmen eingeführt werden, umfasst das resultierende IT-Governance-Instrument vier wesentliche Bereiche und erfüllt damit die Standards der CObIT. Diese Bereiche sind das strategische Alignment, der Wertbeitrag der IT sowie das Performanz- und Risikomanagement.

Strategisches Alignment

Der Kernpunkt des so genannten strategischen Alignments besteht darin, die Mittel für IT so einsetzen, dass die Kernaufgaben einer Institution, eines Amtes oder einer Behörde auch bestmöglich unterstützt werden. Dabei ist aber nicht nur sicherzustellen, dass die IT für die Zukunft entsprechend der Vorgaben der Fachbereiche aufgestellt ist. Entscheidend ist, dass auch die täglichen Prozesse optimal unterstützt werden. Ist dies für beide Aspekte der Fall, so spricht man von "Alignment". Die Leitung einer Institution sollte daher insbesondere darauf achten, IT-Investitionen zu unterscheiden. Nach solchen, die den täglichen Betrieb sicherstellen, solchen die transformierende Wirkung haben und solchen, die neue Kooperations- und Kollaborationsformen ermöglichen und behördliche Prozesse stark verändern (E-Government). Darüber hinaus ist es wichtig, IT-Ressourcen zielgerichtet einzusetzen, je nach dem, ob sie haushaltsentlastende (Kosteneinsparung), haushaltsmehrende (z.B. Gebühreneingang) oder qualitätsverbessernde Maßnahmen unterstützen.

Wertbeitrag der IT

Der zweite Bereich der IT-Governance ist der Wertbeitrag der IT, der durch drei Faktoren bestimmt wird: Die Leistungen müssen gemäß den zeitlichen Vorgaben bereitgestellt werden. Außerdem dürfen sie ein definiertes Budget nicht überschreiten und sollten drittens den vereinbarten Leistungsinhalten entsprechen. Dabei lässt sich auf die bekannten Prozesskennziffern zurückgreifen. Zugleich werden Informationen über behördliche Prozesse vorgehalten sowie produktivitäts- und effizienzfördernde Instrumente (Performanz- und Wissensmanagement) implementiert und genutzt. Damit sind die Voraussetzungen geschaffen, um neue Technologien integrieren zu können.

Performanzmanagement

Die zunehmende Vernetzung öffentlicher Institutionen mit der Privatwirtschaft und bürgernahe Dienstleistungen schaffen Herausforderungen, die denen aus dem privatwirtschaftlichen Umfeld entsprechen: Zum einen müssen IT-Leistungen in vielen Fällen mit dem Bürger beziehungsweise dem Unternehmen gestaltet werden. Stichwort: Kundenorientierung. Zum anderen ist es notwendig, behördliche Prozesse und die sie unterstützenden IT-Prozesse - wie beispielsweise Incident- und Problemmanagement, Change- und Releasemanagement - effizient und transparent zu gestalten. Darüber hinaus müssen Wissensmanagement und ständiges Lernen durch das Schaffen geeigneter Voraussetzungen wie Fachtrainings ermöglicht werden.

Risikomanagement

Ein wichtiger Bereich der IT-Governance ist das Risikomanagement. IT-Risiken sind vielgestaltig und - vor allem in technischer Hinsicht - komplex. Auch die mögliche Schadensbreite und -tiefe nimmt beträchtlich zu. Jüngste Entwicklungen in der Privatwirtschaft verdeutlichen dies, insbesondere in den Bereichen Risikovorsorge, Bewertung der IT-Systeme unter Risikogesichtspunkten und Mindestanforderungen an die IT. Öffentliche Einrichtungen verfügen mit dem Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) über ein geeignetes Instrument, um im Rahmen der IT-Governance die folgenden Sicherheitsfragestellungen zu bearbeiten:

n die transparente Darstellung aller relevanten möglichen Risiken sowie Formulierung der Gegenmaßnahmen (Annahme bzw. Vermeidung der identifizierten Risiken),

n die durchgängige Prozessverantwortung für das Risikomanagement von der Behördenleitung bis in die IT-Abteilung,

n die Bereitstellung geeigneter Eskalationsmechanismen, die beim Auftreten von Schadensereignissen sofort greifen und gegebenenfalls mit Kommunikationsmaßnahmen nach Außen verzahnt sind.

Jeder dieser vier Bereiche lässt sich zunächst für sich allein verbessern. Empfehlenswert ist jedoch, sie zusammenhängend zu betrachten. Dies lässt sich beispielsweise durch eine so genannte Balanced Score Card realisieren. Sie ist ein strategisches Führungs- und Controllinginstrument, um Ziele zu erarbeiten, Strategien zu kommunizieren und Maßnahmen umzusetzen. Damit verfügt eine Behörde zugleich über ein integriertes Instrument, das IT-relevante Maßnahmen messbar und nachvollziehbar macht. IT-Governance wird transparent, verständlich und ist von einer Behördenleitung ebenso nachvollziehbar wie von der jeweiligen IT-Einrichtung selbst.

* Daniel Just ist IT-Governance-Experte der Mummert Consulting AG