Wie sich IT-Manager anpassen können
IT-Governance hat Folgen
Auf den ersten Blick scheint "IT-Governance" nur ein neues Schlagwort auf der Ebene der Unternehmensleitung zu sein. IT-Manager und Administratoren sollten dennoch aufmerken - hier spiegelt sich ein Trend, der Reaktionen verlangt.
Die IT genießt in vielen Unternehmen einen anderen Stellenwert als beispielsweise der Fuhrpark
oder die Wasserversorgung, obwohl sie den eigentlichen Geschäftsbetrieb ebenfalls nur unterstützt.
Für die Sonderrolle gibt es gute und schlechte Gründe. Die guten, die obendrein noch an Bedeutung
gewinnen, haben mit dem besonderen Wert der digitalen Kommunikation, Informationsverarbeitung und
-speicherung für moderne Unternehmen zu tun – Aspekte, die in der Wirtschaft immer mehr zum
Geschäftserfolg jeder beliebigen Organisation beitragen. Die schlechten Gründe für die Sonderrolle
der IT resultieren daraus, wie jung die Informationstechnik noch ist. Auch wenn die Zahl jener
Manager, deren Erfahrungshorizont die Welt der Computer und Netzwerke völlig fremd geblieben ist,
inzwischen abnimmt, fehlt es doch durchweg an echter Erfahrung damit. IT umfasst Infrastrukturen
und Kommunikationsmittel, deren gesamte Historie jünger ist als manche Produktionsmaschine und
manches Gerät, das in heutigen Unternehmen noch längst nicht das Ende seines Nutzungszeitraums
erreicht hat.
Informationstechnik ohne Sonderstatus
Das Aufkommen von "IT-Governance" ist vor diesem Hintergrund nichts weiter als ein Zeichen
dafür, dass die IT nun zum selbstverständlichen Element der Wertschöpfungskette in den Unternehmen
wird und unter dem Blickwinkel des Managements einiges von ihrem Sonderstatus verliert.
Entscheidungen über Informationstechnik sollen sich den strategischen Entscheidungen über die
Entwicklung eines Unternehmens so einordnen wie die über andere zentrale Produktions- oder
Betriebsmittel. Dies bedeutet vor allem, dass man IT-Spezialisten in Zukunft weniger Raum geben
wird, über Produkte, Infrastrukturmaßnahmen, Projekte und Anwendungsrichtlinien von
Informationstechnik unbeeinflusst zu entscheiden und beispielsweise grundsätzlich die von
technischen Standpunkt her perfekte Lösung anzustreben.
IT unter betriebswirtschaftlicher Kontrolle
Betriebswirtschaftliche Maßstäbe treten noch stärker als bisher in den Mittelpunkt. Vorstände
beginnen, Kostenbewusstsein und Orientierung an den Bedürfnissen der unmittelbar produktiv tätigen
Mitarbeiter stärker einzufordern als bisher. Im Sicherheitsbereich etwa wird man Investitionen in
neue Systeme oder einschränkende Richtlinien in Zukunft genauer als bisher daraufhin hinterfragen,
ob das Risiko, das auf diese Weise abgebaut werden soll, die Ausgaben auf der einen Seite oder die
Behinderungen in der Kommunikation auf der anderen Seite überhaupt rechtfertigen. Umgekehrt wird
eine Investition um so leichter durchzusetzen sein, je gründlicher der Antragsteller auf den Nutzen
neuer Systeme für den eigentlichen Geschäftszweck hinweisen kann.
Ein Trend auch für kleinere Unternehmen
Große Unternehmen arbeiten schon länger auf diese Weise, kleinere werden entsprechend
nachziehen. Hersteller ändern bereits ihre Argumentation und verweisen auch bei IT-Sicherheit
vermehrt auf Einsparpotenziale oder neue Geschäftsmodelle oder arbeitstechnische
Organisationsformen, die durch maßgeschneiderte Sicherheitstechnik erst möglich werden. Ein kleines
Lehrbeispiel hierzu im ähnlich gelagerten Bereich des auf den ersten Blick trockenen und lästigen
Themas Archivierung ist übrigens der Beitrag "Der Traum von der Ordnung im Postfach" auf S. 52 in
diesem Heft, der völlig zurecht auf den Nutzen spezialisierter E-Mail-Archivierungslösungen fürs
tägliche Business aufmerksam macht statt primär mit der Compliance-Keule zu drohen.
IT-Manager können ihre Position festigen
Dieser Artikel will auf den IT-Governance-Trend aufmerksam machen und IT-Managern ein paar
Ratschläge geben, wie sie unter den neuen Prämissen ihre Position halten und sogar stärken
können.
Dabei hilft ein etwas abgenutztes Idealbild, das sich hinter IT-Governance versteckt. Die
Theoretiker des Modells kommen darauf gern immer wieder zurück: Vorstand und Geschäftsführung eines
Unternehmens sollen die Organisation so leiten, wie ein Kapitän ein Schiff führt. Der Kapitän kennt
Kurs, Leistung und Nutzen seines Schiffs, kann den Wert jeder im Schiff verwendeten Technik als
Ganzes einschätzen, plant voraus und gibt die Richtung vor. Seine Spezialisten steuern nach seinen
Vorgaben und halten einzelne Bereiche wie die Maschine und die Kommunikationstechnik in Gang. Sie
optimieren sie auch selbstständig, allerdings in enger Abstimmung mit dem Kapitän, der ihre
Vorschläge daraufhin überprüft, ob sie seinem Schiff nutzen und angemessen sind – ein Eiswarnsystem
etwa ist schön, aber unnötig, wenn die Reederei das Schiff in den nächsten Jahre nur zwischen
Venezuela und Marokko pendeln lassen will.
Ganz gleich, ob in Ihrem Unternehmen die oberste Führungsebene in der Lage ist, IT gut genug zu
verstehen, um den Wert einzelner Projekte einschätzen zu können – sie wird sich in Zukunft
zumindest entsprechend aufführen und das Kommando auf der Brücke übernehmen. Vorstände und
Geschäftsführer reagieren damit auch auf wachsenden Druck von außen, gegenüber Behörden, Banken und
Wirtschaftsprüfern jederzeit Rechenschaft über die unterschiedlichsten Entscheidungen ablegen zu
können.
Zu viele misslungene Projekte
Das neue Interesse für übergreifende Management-Ansätze in der IT resultiert auch daraus, dass
in der Vergangenheit zu viele IT-Projekte in großen Unternehmen misslungen sind. Häufig leisten die
neu implementierten Lösungen und Ressourcen nicht das, was man von ihnen erwartete, dass die
Budgets oft maßlos überschritten wurden, and dass Großprojekte in der Vergangenheit allzu oft
abgebrochen werden mussten. Höchst problematisch ist auch die Tatsache, dass vor allem die
Folgekosten von Projekten selten richtig eingeschätzt werden.
Je mehr Sie als IT-Manager in dieser Situation den Bedürfnissen der Unternehmensleitung nach
besserer Kontrolle und Vorhersagbarkeit entgegenkommen, desto größere Chancen haben Sie, Ihrer
Sicht der Dinge auch in Zukunft hinreichend Gehör zu verschaffen:
Argumentieren Sie stärker als bisher mit dem Nutzen für die Geschäftsziele
eines Unternehmens. Versuchen Sie, Betriebs- und Servicekosten noch sicherer als bisher zu
ermitteln. Ziehen Sie neben Herstellerinformationen möglichst unabhängige Marktinformationen heran.
Gehen Sie mit "Best-Practice"-Argumentati-onen Marke "bei XY macht man das auch schon so" aber
vorsichtig um – prüfen Sie genau, ob die Vorbilder, die Sie wählen, wirklich mit ihrer Organisation
vergleichbar sind, sonst werden ihre Anträge schnell abgeschmettert.
Wenn Sie "Best of Breed" günstigen Verträgen oder "Alles-aus-einer-Hand"
-Vorteilen vorziehen, bereiten Sie ihre Argumente besonders gut vor. Entscheidungen dieser Art
werden es in Zukunft eventuell schwerer haben – nicht zuletzt, weil die IT aus
betriebswirtschaftlicher Sicht ja dazu beitragen soll, Vorteile gegenüber dem unmittelbaren
Wettbewerb zu erreichen und ihn nicht einfach zu kopieren..
Nehmen Sie Anträge von Abteilungen und Endanwendern für neue Funktionalität
oder Ressourcen unbedingt Ernst. Um auf der sicheren Seite zu sein, verlangen Sie selbst nach
genauer Information über die Ziele, die damit erreicht werden sollen. Versetzen Sie sich dabei in
die Lage der Anwender und machen Sie ihre technische Position nicht zum Maß aller Dinge – manchmal
müssen Sie einen arbeitsintensiven oder ressourcentreibenden Service auch dann akzeptieren, wenn er
in der Systematik Ihrer IT ein Fremdkörper ist. Denken Sie daran, dass sich ein technisch weniger
versierter Vorstand vielleicht leichter mit den Endanwendern identifizieren kann, als er ihrer
Argumentation zu folgen vermag.
Auch Sicherheitsmaßnahmen sollten genau auf ihren Nutzen geprüft werden.
Achten Sie darauf, ob Sie selbst von den Herstellern mit Angstmarketing für ein Produkt gewonnen
werden sollen – zurzeit ist hier immer noch die "Gefahr von innen" ein heiß geliebtes
Verkaufsvehikel der Anbieter (siehe "Der ?innere Feind? ist ein Marketing-Tool: Zweifel am
Innentäter-Primat." LANline 2/2006, S. 6-7). Maßnahmen wie Netzsegmentierung, Verschlüsselung oder
Dokumentenklassifizierung, die den gezielten Einsatz teurer Sicherheitsmaßnahmen für
Hochrisiko-Bereiche ermöglichen, passen dagegen gut in die IT-Governance-Landschaft. Rechnen Sie
damit, dass die IT-Landschaft durch Mobilität und mehr oder weniger freie Mitarbeiter immer
unübersichtlicher werden muss, und schlagen Sie dazu passende Maßnahmen vor. Beachten Sie die
menschliche Seite der IT-Sicherheit und betrachten Sie die Mitarbeiter als ihre Verbündeten –
informieren Sie sie, arbeiten Sie mit verständlichen Policies und gegebenenfalls
Awareness-Kampagnen.
Sorgen Sie für Kommunikation und ergreifen Sie die Initiative – beispielsweise
sollten Sie von der Geschäftsleitung frühzeitige Informationen über alles einfordern, was eine
Neuausrichtung des Unternehmens und damit neue Anforderungen für die IT zur Folge haben könnte.
Wenn der Kapitän dem Maschinisten nicht früh genug sagt, dass er wochenlang stromaufwärts fahren
will, darf er sich über Treibstoffmangel nicht wundern!
Bessere Kommunikation gewinnt an Stellenwert
Der letzte Punkt ist wahrscheinlich der wichtigste: Da man IT-Abteilungen in Zukunft weniger
ungestört vor sich hin arbeiten lassen wird als je zuvor, sollten Sie ihre eigenen
Kommunikationskanäle etablieren und in eigener Regie Schnittstellen zwischen Geschäftsleitung und
IT-Ressort einzurichten. Die Mittelvergabe ist aus Sicht des Vorstands oder der Geschäftsführung
immerhin das wirksamste Instrument, die IT unter Kontrolle zu behalten, so dass hier eine
unmittelbare Präsenz der IT-Leitung und die Etablierung eines "Vorwarnsystem" für ungünstige
Entscheidungen von Vorteil sein muss.
Software-Tools können Brücken bauen
Nützlich sind mit Sicherheit auch Tools, die der Unternehmensleitung, den Fachabteilungen und
der IT unterschiedliche, maßgeschneiderte Ansichten beispielsweise auf die im Unternehmen zu
bewältigenden Risiken erlauben – so hat man zumindest eine gemeinsame Gesprächsgrundlage. Das von
BT entwickelte und auf der Cisco Expo im Mai 2007 in Berlin und zuvor bereits auf dem Gartner
Summit 2006 präsentierte "Risk Cockpit" ist solch ein Instrument. Im kleineren Maßstab empfiehlt es
sich, von den "Management-Summary"-Funktionen geeigneter Verwaltungs-Tools regen Gebrauch zu machen
und die Unternehmensleitung auf diese Weise in einer Weise zu informieren, die professionell
anmutet und im Zweifelsfall auch Statusnachweise gegenüber Dritten wie etwa Anwälten oder Banken
ermöglicht.
Fazit
IT-Governance läuft aus Sicht der Unternehmensleitung darauf hinaus, IT-Anschaffungen als
zukunftsträchtige Investitionen zu betrachten und danach zu bewerten, was sie auf längere Sicht an
Ertrag abwerfen.
Um dieser Perspektive entgegenzukommen, ist es für IT-Manager hilfreich, sich im eigenen
Unternehmen guter Marketingmethoden zu bedienen – für viele Spezialisten sicherlich eine ungewohnte
Vorgehensweise, aber sicherlich eine, der man in Zukunft nirgendwo mehr entkommen wird.
Nach Bienert und Wildhaber (siehe Kasten mit Buchbesprechung) muss eine IT, die nach Coporate-Governance-Prinzipien geführt wird, folgernden fünf Kriterien gehorchen:
Sie muss den Unternehmenswert erhöhen und die Unternehmensentwicklung unterstützen,
sie muss für die Kernprozesse der Wertschöpfungskette einen Wertbeitrag leisten und die Prozesse unterstützen,
sie muss Risiken kontrolliert bahandeln,
sie mus alle Ressourcen optimal nutzen und
das Informationssystem muss sich selbst einer kontinuierlichen Überprüfung und Optimierung unterziehen.
Peter Bienert und Bruno Wildhaber sind zwei Berater mit fundierten Kenntnissen der IT-Technik
und großer Erfahrung mit IT-Projekten. Ihrem Buch über IT-Governance merkt man an, das Frustration
über unnötig misslungene Projekte ein treibendes Element war, das Werk in Angriff zu nehmen – und
genau dieses Element, der stets spürbare Blick auf missglückte Praxis, macht das Buch für
IT-Manager genau so lesbar wie für die Vorstandsmitglieder, Investoren und Geschäftsführer, für die
es laut Klappentext primär gedacht ist.
"IT Governance" räumt mit einer ganzen Reihe an Missverständnissen in Sachen IT-Management auf
und plädiert für eine strategische Behandlung der IT, die die Informationstechnik als wichtiges,
aber nüchtern zu betrachtendes Element der unternehmerischen Wertschöpfungskette unter Kontrolle
behält. Als Leitbild steht dabei das "New-Corporate-Governance"-Modell der Hochschule St. Gallen
Pate, während die beliebte Orientierung an "Best Practices" herzhaft vorgetragene Kritik einstecken
muss, weil sie die individuelle Unterschiedlichkeit der Unternehmen und ihrer Märkte ignoriert. Die
Schwächen manch traditioneller Aufgaben- und Kompetenzteilung zwischen oberster Firmenleitung und
IT-Managern kommen in Bienerts und Wildhabers Buch ebenso zur Sprache wie das leidige Thema des
Risikomanagements im Bereich IT-Sicherheit, das kaum ein Unternehmen bereits hinreichend
beherrscht.
Lesen Sie mehr zum Thema
