IT-Governance
0814
2013
978-3-7398-0369-2
978-3-8676-4484-6
UVK Verlag
Peter Ratzer
Uwe Probst
Was macht den CIO erfolgreich? Wie detailliert muss die IT das Geschäftsmodell verstehen? Welches Business-IT-Zusammenarbeitsmodell liegt dahinter? Wie tief geht die interne oder externe IT-Wertschöpfung? Das vorliegende Buch stellt sich diesen und weiteren Fragen und vermittelt das Praxiswissen mehrerer Deloitte-Unternehmensbereiche: Fachberater der Bereiche CIO Advisory, Enterprise Risk Services und Financial Services Solutions beschreiben ihre Beratungserfahrungen in sehr gut verständlichen Beiträgen zur IT-Governance-Methodik sowie zu aktuellen Projektbeispielen.
Die Steuerungsinstrumente der IT-Governance ermöglichen die konsequente Ausrichtung der IT auf die Unternehmensstrategie sowie die Umsetzung der geschäftlichen Anforderungen. IT-Governance regelt einerseits die Business-IT Zusammenarbeit. Andererseits steuert IT-Governance die IT-Leistungserbringung mit Organisations-, Prozess-, und Kontrollvorgaben. Deloitte-Studien belegen die Bedeutung eines funktionierenden IT-Governance-Modells für den Unternehmenserfolg.
Dieses Buch dokumentiert die Struktur und erprobte Ansätze der IT-Governance und zeigt gleichzeitig konstruktive Handlungsempfehlungen und mögliche Fallstricke bei der Umsetzung von IT-Governance-Projekten. Mit den Themenfeldern IT-Organisation, IT-Management-Prozesse, IT-Demand- und -Supply-Management, IT-Compliance sowie IT-Performance und -Risk Management werden sämtliche IT-Governance-Elemente anschaulich behandelt.
Unveränderter, broschierter Nachdruck des gebundenen Werks mit ISBN 978-3-86764-353-5.
<?page no="2"?> Peter Ratzer, Uwe Probst (Hg.) IT-Governance UVK Verlagsgesellschaft mbH <?page no="3"?> Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http: / / dnb.d-nb.de abrufbar. ISBN 978-3-86764-484-6 (Print) ISBN 978-3-7398-0369-2 (EPDF) Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. © UVK Verlagsgesellschaft mbH, Konstanz 201 3 Einbandgestaltung: Susanne Fuellhaas, Konstanz Druck und Bindung: fgb. freiburger graphische betriebe, Freiburg UVK Verlagsgesellschaft mbH Schützenstr. 24 · 78462 Konstanz Tel.: 07531-9053-0 · Fax: 07531-9053-98 www.uvk.de <?page no="4"?> Vorwort der Herausgeber Was macht den CIO erfolgreich? Wie detailliert muss die IT das Geschäftsmodell verstehen? Welches Business-IT-Zusammenarbeitsmodell liegt dahinter? Bis wohin geht die interne oder externe IT-Wertschöpfungstiefe? Was sind typische Erfolgsfaktoren und Fallstricke unserer Kunden? Dies sind oft gestellte Fragen an die Deloitte Fachberater. Das vorliegende Buch stellt sich diesen Fragen und vermittelt das Praxiswissen mehrerer Deloitte Unternehmensbereiche und Branchen. Fachberater der Bereiche CIO Advisory, Enterprise Risk Services und Financial Services Solutions beschreiben ihre Beratungserfahrungen in Artikeln zur IT-Governance-Methodik sowie zu aktuellen Projektbeispielen. Die Steuerungsinstrumente der IT-Governance ermöglichen die konsequente Ausrichtung der IT auf die Unternehmensstrategie sowie die Umsetzung der geschäftlichen Anforderungen. IT-Governance regelt einerseits die Business-IT-Zusammenarbeit. Andererseits steuert IT-Governance die IT-Leistungserbringung mit Organisations-, Prozess- und Kontrollvorgaben. Akuten Handlungsdruck in der IT-Governance belegen aktuelle Deloitte Studien. Die Studie „IT Business Balance 2011“ zeigt, dass IT-Investitionen nur in einer engen Business-IT-Zusammenarbeit erfolgreich sind. Auch die Studie „Tech Trends 2011“ verweist auf die enge Business-IT-Verzahnung in den aktuellen Innovationsthemen Cloud-, Social-Computing und Mobility. Diese Technologiethemen ermöglichen revolutionäre Änderungen der Geschäftsmodelle und fordern ein funktionierendes IT- Governance-Modell. Das Buch dokumentiert die Struktur und erprobte Ansätze der IT-Governance. Weiterhin zeigt es konstruktive Handlungsempfehlungen und Fallstricke von typischen IT- Governance-Projekten. Die Artikel umfassen das gesamte Spektrum der IT- Governance. Ausgehend vom IT-Governance-Modell werden alle IT-Governance- Elemente behandelt: IT-Organisation, IT-Managementprozesse, IT-Demand und Supply Management, IT-Compliance sowie IT-Performance und Riskmanagement. Zu Beginn gibt der Artikel „Einführung in die IT-Governance aus der Deloitte Perspektive“ einen Überblick an die IT-Governance-Anforderungen, das Deloitte IT- Governance-Modell und die grundlegenden Erfolgsfaktoren. Die IT gilt als eine sehr kosten- und zeitintensive Unternehmensressource. Umso wichtiger ist die zielgerichtete und optimale Steuerung der IT. Welche IT-Governance-Elemente machen den CIO dabei erfolgreich? <?page no="5"?> 6 Vorwort der Herausgeber Unser besonderer Dank gilt unseren Kollegen Burkhard Kühle, Jörg Lohmann, Philipp Marquardt, Oliver Rath, Sven Walter und Jens Weber für die Organisationsarbeit bei der Herausgabe des Werks. Beim Lesen des Buches wünschen wir Ihnen, dass sie viele neue Aspekte der IT- Governance kennenlernen, die Ihnen einen erweiterten und tieferen Blick in die praktischen Herausforderungen bei der Umsetzung der IT-Governance in Unternehmen ermöglichen. München und Frankfurt im September 2011 Peter Ratzer und Uwe Probst <?page no="6"?> Inhalt Vorwort der Herausgeber ...........................................................................5 1 Einführung in die IT-Governance aus der Deloitte Perspektive..................................................................................15 Peter Ratzer, Jörg Lohmann und Timm Riesenberg 1.1 Anforderungen an die IT-Governance ............................................................... 15 1.2 Das Deloitte IT-Governance-Modell ................................................................. 18 1.2.1 Elemente des IT-Governance-Modells .............................................................. 18 1.2.2 Abhängigkeiten zu anderen IT-Managementdomänen.................................... 21 1.2.3 Rahmenwerke zur Ausgestaltung des IT-Governance-Modells ..................... 23 1.2.4 Kontinuierliche Verbesserung der IT-Governance .......................................... 24 1.3 Erfolgsfaktoren für die Umsetzung von IT-Governance................................ 26 1.4 Literatur.................................................................................................................... 26 2 Rethinking IT-Governance: Auswirkungen steigenden IT-Einsatzes auf die Governance der IT.....................................29 Philipp Marquardt und Jens Weber 2.1 Einleitung................................................................................................................. 29 2.2 IT-Organisation ...................................................................................................... 30 2.3 IT-Managementprozesse....................................................................................... 32 2.4 Demand und Supply Management ...................................................................... 34 2.5 IT-Performance & Riskmanagement .................................................................. 35 2.6 IT-Compliance ........................................................................................................ 36 2.7 Unternehmenskultur .............................................................................................. 37 2.8 Literatur.................................................................................................................... 39 3 Einflussfaktoren für IT-Governance oder „Gibt es das richtige IT-Governance-Modell? “ ........................................41 Lars Schwarze und Christoph Dillmann 3.1 Motivation ............................................................................................................... 41 3.2 Einflussfaktoren zur Ausgestaltung der IT-Governance................................. 41 3.2.1 Einflussfaktoren aus Geschäftsperspektive ....................................................... 41 3.2.1.1 Branchenumfeld ..................................................................................................... 41 3.2.1.2 Geschäftsstrategie................................................................................................... 42 3.2.1.3 Trends und Entwicklungen .................................................................................. 43 <?page no="7"?> 8 Inhalt 3.2.1.4 Einflussgrößen im Hinblick auf die Holdingform............................................ 44 3.2.2 Einflussfaktoren aus IT-Perspektive ................................................................... 46 3.2.2.1 IT-Organisationsmodell ........................................................................................ 46 3.2.2.2 Grad der IT-Konvergenz ...................................................................................... 50 3.2.2.3 Einzigartigkeit der IT-Umgebung ....................................................................... 52 3.2.2.4 IT-Sourcingstrategie............................................................................................... 53 3.3 Gestaltungsoptionen .............................................................................................. 53 3.3.1 Gestaltungskomponenten ..................................................................................... 53 3.3.2 Idealtypische Basismodelle ................................................................................... 54 3.3.2.1 Laissez Faire ............................................................................................................ 55 3.3.2.2 Themen- oder Abteilungsstruktur ....................................................................... 55 3.3.2.3 Unternehmensweite Koordination...................................................................... 55 3.3.2.4 Zentralisierte Struktur............................................................................................ 55 3.4 Fazit .......................................................................................................................... 56 3.5 Literatur.................................................................................................................... 57 4 IT-Management-Frameworks - Wann welches Framework? ......59 Jan Korves 4.1 IT-Management-Frameworks als idealtypische Referenzmodelle.................. 59 4.2 Überblick aktueller IT-Management-Frameworks ........................................... 60 4.3 Beschreibung der IT-Management-Frameworks je Kategorie ....................... 62 4.3.1 IT-Governance-Frameworks................................................................................ 62 4.3.1.1 COBIT - Control Objectives for Information and related Technology ...... 62 4.3.1.2 ISO/ IEC 38500 - Corporate governance of information technology ......... 63 4.3.1.3 Val IT - Governance of IT Investments ........................................................... 64 4.3.2 IT-Service-Management Frameworks................................................................. 64 4.3.2.1 ITIL v3 - IT Infrastructure Library .................................................................... 64 4.3.2.2 ISO/ IEC 20000 - IT-Service-Management Standard ..................................... 65 4.3.2.3 eSCM-SP v2 - eSourcing Capability Model for Service Providers Version 2.................................................................................. 66 4.3.3 IT Application Development Framework ......................................................... 67 4.3.3.1 CMMI for Development - Capability Maturity Model Integration .............. 67 4.3.4 IT Architecture Management Framework ......................................................... 68 4.3.4.1 TOGAF - The Open Group Architecture Framework .................................. 68 4.3.5 IT Security Management Framework ................................................................. 69 4.3.5.1 ISO/ IEC 27001/ 27002 - Information Security Management Systems ....... 69 <?page no="8"?> Inhalt 9 4.3.6 IT Business Continuity Management.................................................................. 70 4.3.6.1 BS25999 - Business Continuity Management ................................................... 70 4.3.7 IT-Riskmanagement Frameworks ....................................................................... 70 4.3.7.1 M_o_R ® - Management of Risk.......................................................................... 70 4.3.7.2 Risk IT...................................................................................................................... 71 4.3.8 Qualitätsmanagement Frameworks ..................................................................... 72 4.3.8.1 ISO 9000 - Quality Management Systems......................................................... 72 4.3.8.2 Six Sigma .................................................................................................................. 73 4.3.9 Projektmanagement Frameworks ........................................................................ 73 4.3.9.1 PMBoK - Project Management Body of Knowledge ..................................... 73 4.3.9.2 PRINCE2 - Projects In Controlled Environments ......................................... 74 4.4 Zuordnung der IT-Management-Frameworks auf die Disziplinen des Deloitte CIO Management Frameworks TM ................................................ 74 4.5 Fazit und Anwendungsempfehlung .................................................................... 80 4.6 Literatur.................................................................................................................... 81 5 Design for Flexibility - Strategische Flexibilität in der IT durch konsequentes IT-Organisationsdesign................85 Marc Henselewski 5.1 Die Notwendigkeit zu gesteigerter Flexibilität in der IT ................................. 85 5.2 Die drei Dimensionen des IT-Organisationsdesigns ....................................... 87 5.3 Ansätze zur Erhöhung strategischer Flexibilität entlang der Dimensionen des IT-Organisationsdesigns ................................................ 90 5.3.1 Aufbauorganisatorische Struktur ......................................................................... 90 5.3.2 IT-Governance-Modell ......................................................................................... 93 5.3.3 IT-Workforce .......................................................................................................... 95 5.4 Zusammenfassung und weitergehende Fragestellungen.................................. 97 5.5 Literatur.................................................................................................................... 98 6 Auswirkungen der IT-Industrialisierung auf die Governance im Supplier-Management ...............................99 Sven Markus Walter 6.1 Einführung .............................................................................................................. 99 6.2 Industrialisierung der IT...................................................................................... 100 6.3 Auswirkungen der IT-Industrialisierung auf die Governance externer Supplier................................................................................................... 103 6.3.1 Grundlegende Veränderungen bei der Beschaffung von externen IT-Leistungen ............................................................................... 103 <?page no="9"?> 10 Inhalt 6.3.2 Einführung eines Supplier-Managements in der IT ....................................... 104 6.3.3 Veränderte Kriterien bei der Providerauswahl ................................................ 106 6.4 Zusammenfassung und Ausblick....................................................................... 110 6.5 Literatur.................................................................................................................. 111 7 IT-Performance-Management ..................................................113 Jan Hejmann und Robert Linden 7.1 Integriertes Performance-Management ............................................................ 113 7.1.1 IT-Performance-Management als Mittel zum wertorientierten IT-Management ...................................................................... 113 7.1.2 Vorgehensmodell zur Entwicklung eines integrierten IT-Performance-Management............................................................................ 115 7.1.3 Operative Durchführung des IT-Performance-Managements ..................... 116 7.2 Matrix-Methode .................................................................................................... 118 7.3 Fazit ........................................................................................................................ 120 7.4 Literatur.................................................................................................................. 121 8 Effizienzgewinne durch vollständige Integration der IT-Governance in die Corporate Governance am Beispiel des IT-Risikomanagements..................................123 Simon Benedikt Paquet, Claudia Müller und Burkhard Kühle 8.1 IT-Governance als Teil einer guten Unternehmensführung......................... 123 8.1.1 Begriff und Zielsetzung der IT-Governance ................................................... 123 8.1.2 IT-Governance als Bestandteil der Corporate Governance ......................... 123 8.2 Notwendigkeit eines integrierten IT-Risikomanagements ............................ 124 8.2.1 IT-Risikomanagement in der Praxis .................................................................. 124 8.2.1.1 Risikomanagement als Vorstandsaufgabe ........................................................ 125 8.2.2 Ziele des IT-Risikomanagements ...................................................................... 127 8.2.3 Kategorien des IT-Risikomanagements............................................................ 128 8.2.4 Arten von IT-Risiken für Unternehmen .......................................................... 129 8.2.5 Konsequenzen einer fehlenden Integration des IT-Risikomanagements ... 130 8.2.6 Mehrwert durch Integration und Harmonisierung des IT-Risikomanagements................................................................................. 130 8.3 Integration und Harmonisierung des IT-Risikomanagements in das Risikomanagement des Unternehmens ................................................. 131 8.3.1 Ansatz zur Integration des IT-Risikomanagements ....................................... 131 8.3.2 Prinzipien eines integrierten IT-Risikomanagements..................................... 132 8.3.3 Vorgehen bei der Integration des IT-Risikomanagements ........................... 134 <?page no="10"?> Inhalt 11 8.3.3.1 Strategieentwicklung und Strategieanwendung ............................................... 134 8.3.3.2 Risikoidentifikation .............................................................................................. 134 8.3.3.3 Bewertung und Messung von Risiken............................................................... 134 8.3.3.4 Umgang mit Risiken............................................................................................. 135 8.3.3.5 Nachhaltige und kontinuierliche Verbesserung .............................................. 135 8.4 Mehrwert durch eine integrierte IT-Governance............................................ 136 8.5 Fazit ........................................................................................................................ 136 8.6 Literatur.................................................................................................................. 138 9 Wertorientierte IT-Compliance................................................139 Dr. Andreas Knäbchen und Karl Viertel 9.1 Einleitung............................................................................................................... 139 9.2 Wertorientierte IT-Compliance-Funktion........................................................ 140 9.2.1 Anforderungen an die IT-Compliance ............................................................. 140 9.2.2 Mehrwert einer IT-Compliance-Funktion ....................................................... 141 9.2.3 Organisatorische Eingliederung ......................................................................... 142 9.2.4 Einführung der IT-Compliance-Funktion ....................................................... 143 9.2.5 Erfolgsfaktoren ..................................................................................................... 144 9.3 Umsetzung von regulatorischen Anforderungen in der IT........................... 145 9.3.1 Vorgehen zur Ableitung von IT-Compliance-Maßnahmen.......................... 145 9.3.2 Anwendungsbeispiel: Novellierung des Bundesdatenschutzgesetzes.......... 146 9.3.2.1 Abgleich mit bisheriger Regelung ...................................................................... 146 9.3.2.2 Ableitung der IT-Anforderungen ...................................................................... 147 9.4 Zukünftige Entwicklungen in der IT-Compliance ......................................... 151 9.5 Literatur.................................................................................................................. 152 10 IT-Governance in der Praxis - Fallbeispiel zum Aufbau einer Governance- und Organisationsstruktur .........153 Jörg Lohmann und Benjamin Juntermanns 10.1 Umfeld und Unternehmenssituation................................................................. 153 10.2 Beauftragung zur Definition einer geeigneten IT-Governance.................... 154 10.3 Analyse des Ist-Zustands und Beschreibung des Zielbilds ........................... 155 10.4 Verbesserung und Vervollständigung der IT-Governance der Abteilung.. 157 10.5 Kritische Erfolgsfaktoren die Veränderungen möglich machen.................. 162 10.6 Fazit ........................................................................................................................ 165 10.7 Literatur.................................................................................................................. 165 <?page no="11"?> 12 Inhalt 11 Provider-Management - Auslagerungscontrolling bei einem führenden deutschen Finanzdienstleister ............167 Thorsten Gudjons und Timm Riesenberg 11.1 Ausgangslage ......................................................................................................... 167 11.2 Projektzielsetzung................................................................................................. 168 11.3 Provider-Management: Lösungsansatz ............................................................. 169 11.3.1 Aufsichtsrechtliche Anforderungen .................................................................. 169 11.4 Organisation des Provider-Managements ........................................................ 170 11.4.1 Organisation des Risiko- und Compliance-Managements ............................ 171 11.4.1.1 Checklisten Tool im Risiko- und Compliance-Management ........................ 172 11.4.1.2 OpRisk Tool im Risiko- und Compliance-Management ............................... 174 11.4.2 Organisation des Service-Level- und Vertragsmanagements........................ 175 11.4.3 Organisation des Service-Controllings.............................................................. 176 11.4.4 Weitere Provider-Management-Funktionen .................................................... 177 11.4.5 Personelle Organisation im Provider-Management........................................ 178 11.5 Fazit ........................................................................................................................ 180 11.6 Literatur.................................................................................................................. 181 12 Governance im Umfeld von Asset-Management für Telekommunikationsdienstleister ....................................183 Stephan Barths und Robert Horndasch 12.1 Einleitung............................................................................................................... 183 12.2 Von Compliance-Anforderungen zur Realisierung eines End-to-End-Asset-Managements ...................................................................... 184 12.2.1 SOX und die daraus resultierenden Anforderungen an Buchhaltung und Technik................................................................................... 184 12.2.2 Bausteine eines End-to-End-Asset-Managements im Telekommunikationsbereich......................................................................... 186 12.2.2.1 Erzielung von Eindeutigkeit ............................................................................... 186 12.2.2.2 Integration der Asset-Management-relevanten Prozesslandschaft .............. 187 12.2.2.3 Qualitäts- und Effizienzsteigerung durch Automatisierung.......................... 187 12.2.3 Governance-Framework zur Realisierung eines End-to-End-Asset-Managements ...................................................................... 188 12.2.3.1 Einführung geeigneter Key-Performance-Indikatoren .................................. 190 12.3 Zusammenfassung und Ausblick....................................................................... 191 12.4 Literatur.................................................................................................................. 192 <?page no="12"?> Inhalt 13 13 Business-Case-Betrachtung für eine ordnungsgemäße Stilllegung von Legacy-Systemen am Beispiel von SAP .........193 Ingo Dassow 13.1 Gründe für die Entstehung von Legacy-Systemen......................................... 193 13.2 Alternativen zur Aufbewahrung von Informationen aus Legacy-Systemen............................................................................................ 194 13.3 Anforderungen an die Aufbewahrung .............................................................. 195 13.3.1 Gesetzliche Anforderungen an die Aufbewahrung ........................................ 195 13.3.2 Anforderungen an Technologie und organisatorisches Umfeld .................. 199 13.3.3 Trade-Off zwischen Investitions- und Betriebskostenbudgets .................... 200 13.4 Das Konzept „Information Lifecycle Management“ im Rahmen der „Migration“ von Legacy-Systemen ....................................... 202 13.4.1 Allgemeine Darstellung des Konzepts.............................................................. 202 13.4.2 Anwendung von ILM auf die Herausforderung Legacy-System.................. 204 13.4.3 SAP NetWeaver Information Lifecycle Management © ................................. 206 13.5 Business-Case-Betrachtung................................................................................. 206 13.5.1 Wirtschaftlichkeitsberechnung ........................................................................... 207 13.5.2 Modellierung der Ausgangsituation................................................................... 207 13.5.2.1 Ermittlung der entstehenden Kosten für Aufbewahrungsalternativen ....... 208 13.5.2.2 Ermittlung von Kennzahlen zur Entscheidungsunterstützung .................... 209 13.6 Methoden zur Risikominimierung bei Migration............................................ 212 13.6.1 Risiken bei einer Datenmigration ...................................................................... 212 13.6.2 Reduktion des Compliance-Risikos................................................................... 212 13.7 Fazit ........................................................................................................................ 213 13.8 Literatur.................................................................................................................. 213 Stichwortverzeichnis ..............................................................................215- <?page no="14"?> 1 Einführung in die IT-Governance aus der Deloitte Perspektive Peter Ratzer, Jörg Lohmann und Timm Riesenberg Die IT gilt als zentrales Asset eines Unternehmens und muss die Geschäftsziele effektiv und effizient unterstützen. Die IT-Strategie leitet sich unmittelbar aus der Business-Strategie ab. IT-Governance unterstützt den CIO bei der Vereinbarung und Umsetzung der IT-Strategie sowie der Erfüllung von Compliance-Anforderungen. 1.1 Anforderungen an die IT-Governance In den vergangenen Jahren standen Kostenoptimierung und Effizienzsteigerungen ganz oben auf der CIO-Prioritätenliste. Mittlerweile rücken Wachstumsvorgaben und Innovationen in den Blickpunkt des CIOs. Diese Entwicklung erfordert von den IT- Organisationen ein umfassendes Verständnis der Geschäftsziele und -aufgaben. Bei der Informationstechnologie handelt es sich um eines der zentralen Unternehmens- Assets (siehe Abbildung 1.1). Wie bei anderen Unternehmens-Assets ist auch die IT nicht unbegrenzt verfügbar. Abbildung 1.1: IT-Governance zur Steuerung des Unternehmens-Asset IT Um die Ressource IT effektiv und effizient für das Business einzusetzen, muss die Geschäftsstrategie innerhalb der IT verstanden sowie die IT-Strategie abgeleitet und umgesetzt werden. Dabei gilt es, professionelle Schnittstellen zu den Geschäftsfunktionen zu etablieren. Die IT-Governance stellt sicher, dass die IT-Strategie vereinbart wird und die getroffenen Entscheidungen auch tatsächlich umgesetzt werden. Vor diesem Hintergrund ist es Aufgabe einer erfolgreichen IT-Governance, geeignete Hu. Governance Fin. Governance Phy. Governance IP Governance IT Governance Corporate Governance Human Asset Financial Asset Physical Asset IP Asset Information & IT Asset Relationship Asset Stakeholders Shareholders Disclosure Monitoring Board Senior Executive Team Key Corporate Assets Business Strategy Market Strategy HR Strategy … IT Strategy • Comittees, Boards and Bodies • Policies and Procedures • Processes • Controls <?page no="15"?> 16 Einführung in die IT-Governance aus der Deloitte Perspektive Steuerungs- und Kontrollinstrumente bereit- und deren entsprechende Anwendung sicherzustellen. Eine gängige Definition für IT-Governance liefert das IT Governance Institute. Demnach heißt es, IT-Governance liegt in der Verantwortung des Vorstands und des Managements und ist ein wesentlicher Bestandteil der Unternehmensführung. IT- Governance besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die IT die Unternehmensstrategie und -ziele unterstützt. 1 IT-Governance umfasst die Organisation, Steuerung und Kontrolle der IT- Leistungserbringung sowie die konsequente Ausrichtung der IT-Strategie an die Unternehmensstrategie. Die IT-Governance versteht sich als Teil der Corporate Governance und unterliegt ständig zunehmenden rechtlichen, geschäftlichen und qualitativen Anforderungen sowie regulatorischen Vorgaben wie zum Beispiel Basel II, Sarbanes-Oxley Act (SOX) oder Solvency II. Analog zur Corporate Governance ist die IT-Governance in ein einheitliches Rahmenwerk eingebunden, welches sich am Geschäftszweck des Unternehmens orientiert und Leitlinien und Standards setzt. 2 In vielen Unternehmen wird IT-Governance immer noch unabhängig von der Corporate Governance betrachtet. Eine gute IT-Governance, die als Bestandteil der Corporate Governance gemanagt wird, soll sicherstellen, dass die Ausrichtung der IT an den Erfordernissen des Unternehmens erfolgt und die Umsetzung der IT-Strategie den geplanten Nutzen bringt. Dabei hat die IT-Governance eine enorme geschäftliche Bedeutung und muss unter anderen folgenden Anforderungen gerecht werden: 1. Sicherstelllung der Flexibilität - IT-Governance muss eine schnelle Reaktion auf Produktportfolio-Veränderungen bzw. Änderungen der Kundensegmentierung sichern, in dem Geschäftsprozesse und darunterliegende IT-Strukturen schnell angepasst werden. 2. Förderung von Innovationen - IT-Governance muss technische Innovationen und die Nutzung von innovativen Technologien in Produkten und Dienstleistungen fördern, um ein besseres Markt- und Kundenverständnis zu erhalten. 3. Umsetzung des Wertbeitrags der IT - IT-Governance muss eine strukturierte Auswahl von geschäftskritischen Projekten in einem Projekt- und Serviceportfolio Management ermöglichen, um jederzeit über den Zustand der IT quantitativ und qualitativ auskunftsfähig zu sein. 4. Einhaltung der Architektur - IT-Governance muss den Einsatz möglichst flexibler und dennoch kosteneffizienter Infrastrukturen und Anwendungssystemen steuern. 5. Optimierung des Sourcing - IT-Governance muss intelligent die IT- Wertschöpfungskette ausnutzen, in der kritische interne Ressourcen mit Marktkapazitäten ausbalanciert werden. 1 Vgl. IT Governance Institute: IT-Governance (2003), S. 11 2 Vgl. Fröhlich/ Glasner: IT-Governance (2007), S. 17 ff. <?page no="16"?> Einführung in die IT-Governance aus der Deloitte Perspektive 17 6. Erfüllung der Compliance Vorgaben - IT-Governance muss rechtliche Anforderungen bei minimalen Compliance-Kosten erfüllen und IT- Risiken aktiv steuern. IT-Governance setzt die Anforderungen in verschiedenen Tätigkeitsfeldern mit konkreten Aufgaben um. Die Tätigkeitsfelder sind in Anlehnung an das CobiT-Framework (Control Objectives for Information and related Technology) definiert (siehe Tabelle 1.1). Beispielsweise ist die konsequente Strategieentwicklung und Planung (IT-Business-Alignment) mit den Geschäftsfunktionen ein Tätigkeitsfeld der IT-Governance. Das Tätigkeitsfeld Organisation und Verantwortlichkeiten ermöglicht unter anderem klare Entscheidungswege und Zusammenarbeitsmodelle zwischen Business und IT. Das Tätigkeitsfeld Monitoring und Controlling stellt hingegen ein IT-Kontrollsystem bereit und sorgt für die kontinuierliche Messung der IT-Performance. 3 Tätigkeitsfelder der IT-Governance Aufgaben Leadership - Festlegung der strategischen Ausrichtung der IT innerhalb des Unternehmens - Unterstützung von kulturellen Werten und Corporate Identity - Herleitung und Abstimmung von Business und IT-Zielen Strategieentwicklung und Planung - Definition der IT- und Sourcing-Strategie - Festlegung von IT-Zielen - Vereinbarung von IT-Performance-Zielen mit den IT- Kunden Kapitalallokierung - Allokation der IT-Ressourcen - Festlegung des IT-Budgets und Investitionsbedarfs - Bestimmung von Auswahlkriterien für Investitionsentscheidungen sowie Bestimmung des Service- und Projektportfolios Monitoring und Controlling - Management des Wertbeitrags der IT und IT-Performance - Steuerung und Kontrolle von IT-Risiken - Steuerung und Kontrolle von Service Level und Serviceprovider Organisation und Verantwortlichkeiten - Definition des IT-Betriebsmodells - Aufbau der IT-Organisation mit Rollen und Verantwortlichkeiten sowie Ausrichtung zum Business - Definition der IT-Managementprozesse 3 Vgl. IT Governance Institute: IT-Governance (2003), S. 6 <?page no="17"?> 18 Einführung in die IT-Governance aus der Deloitte Perspektive Koordination und Compliance - Sicherstellung der Compliance von IT-Standards sowie regulatorischen Anforderungen - Koordination von IT-Aktivitäten als Vermittler zwischen IT-Demand und -Supply - Koordination der Anwendungsentwicklung Policies - Festlegung von grundlegenden IT-Governance-Prinzipien - Vereinbarung von Standards, Regeln und Vorgaben zur Umsetzung der IT-Governance - Definition der Fach-, Applikations- und System- Architektur Tabelle 1.1: Tätigkeitsfelder und Aufgaben der IT-Governance Die Umsetzung der Tätigkeitsfelder und Aufgaben der IT-Governance gehört zu den Kernverantwortungen der Unternehmensführung, des CIOs und des IT-Managements. Das Deloitte IT-Governance-Modell strukturiert die Tätigkeitsfelder und Aufgaben und ermöglicht eine adäquate Umsetzung in allen Unternehmensformen. 1.2 Das Deloitte IT-Governance-Modell 1.2.1 Elemente des IT-Governance-Modells Zur Umsetzung der Tätigkeitsfelder und Aufgaben der IT-Governance haben sich folgende IT-Governance-Elemente aus der Deloitte Marktperspektive bewährt (siehe Abbildung 1.2): IT-Organisation, IT-Managementprozesse, IT-Demand und -Supply, IT-Compliance sowie IT-Performance- und Riskmanagement. <?page no="18"?> Einführung in die IT-Governance aus der Deloitte Perspektive 19 Abbildung 1.2: Deloitte IT-Governance-Modell Zum einen unterstützt IT-Governance die Strategieumsetzung mittels gemeinsamer Business-IT-Organisationsstrukturen. Das IT-Governance-Element IT-Organisation vereinbart zum einen die Ausrichtung der IT zum Business föderal bis zentral. Zum anderen definieren IT-Managementprozesse die Ablauforganisation mit Gremien, Rollen und Prozessschritten. Die Auswahl und Definitionen relevanter IT-Managementprozesse orientiert sich an der Rolle der IT im Business. Das IT-Governance-Element IT-Demand und -Supply bestimmt die adäquate Wertschöpfungstiefe der IT. Hingegen identifiziert das IT-Governance-Element IT- Compliance Revisionslücken und leitet Maßnahmen zur Erfüllung aufsichtsrechtlicher Anforderungen ab. IT-Performance- & Riskmanagement unterstützt übergreifend bei der Erfassung, Bewertung und Steuerung von Performance-Kennzahlen sowie Risiken für IT-Investitionen, IT-Projekte und IT-Leistungserbringung. Das vorliegende Buch vertieft die IT-Governance-Elemente in den folgenden Artikeln (siehe Tabelle 1.2). IT-Governance-Element Artikel IT-Governance-Modell übergreifend Einflussfaktoren für IT-Governance oder Gibt es das richtige IT-Governance-Modell? (S. 41) IT-Governance in der Praxis - Fallbeispiel zum Aufbau einer Governance- und Organisationsstruktur (S. 153) Rethinking IT-Governance. Auswirkungen steigender IT-Durchdringung auf die Governance der IT (S. 29) IT-Compliance Auszug wesentlicher Prozesse: IT Strategie Planung Service Level Mgmt. Security Mgmt. IT Controlling Lizenz & Vertrags Mgmt. Innovation Mgmt. Kunden Mgmt. IT Architektur Mgmt. Projektportfolio Mgmt. SBU 1 SBU 2 SBU 3 SBU 4 IT Föderal Hybrid Zentral Corporate-Governance IT-Management- Prozesse Führungskultur, Persönlichkeiten und Skill-Profile des IT-Managements IT-Demand und -Supply IT-Performance- & Risk-Management IT-Compliance IT-Organisation IT-Governance Modell Business Applications Individual Software Applications Infrastructure Network Standard Software Printer Desktop Server Design Implement Maintenance Operate IT Management IT Strategy Planning IT Controlling Customer Management Service Level Management Contract Management IT Architecture Management Security Management Innovation Management Project Portfolio Management Support Services Authorization Management Order Management Legende intern extern Risk Management Help Desk 1st-Level Support <?page no="19"?> 20 Einführung in die IT-Governance aus der Deloitte Perspektive Business-Case-Betrachtung für eine ordnungsgemäße Stilllegung von Legacy-Systemen am Beispiel von SAP (S. 193) IT-Organisation Design for Flexibility - Strategische Flexibilität in der IT durch konsequentes IT-Organisationsdesign (S. 85) IT-Managementprozesse IT-Management-Frameworks - Wann welches Framework? (S. 59) Governance im Umfeld von Asset-Management für Telekommunikationsdienstleister (S. 183) IT-Demand und Supply Management Auswirkungen der IT-Industrialisierung auf die Governance im Supplier Management (S. 99) Provider-Management - Auslagerungscontrolling bei einem großen deutschen Finanzdienstleister (S.167) IT-Compliance Wertorientierte IT-Compliance (S. 139) IT-Performance und Riskmanagement IT-Performance-Management (S. 113) Effizienzgewinne durch die vollständige Integration der IT-Governance in die Corporate Governance am Beispiel des IT-Risikomanagements (S. 123) Tabelle 1.2: Artikelübersicht zum Buch Einhergehend mit dem IT-Governance-Modell hat Deloitte einen IT-Governance- Lebenszyklus entwickelt. Dieser leitet die Anwender durch die wichtigsten Schritte bei der Einführung oder Weiterentwicklung von IT-Governance-Modellen im Unternehmen. Wichtiger Faktor einer erfolgreichen IT-Governance ist die Berücksichtigung regulatorischer Anforderungen. Der Lebenszyklus der IT-Governance umfasst sechs Schritte (siehe Abbildung 1.3): 1. Beurteile die Ist-Situation der IT-Governance. 2. Definiere Ziel und Umfang der IT-Governance in Zusammenarbeit mit der Unternehmensführung. 3. Definiere das IT-Governance-Modell, welches die relevanten Geschäfts- und regulatorischen Anforderungen einbezieht. 4. Realisiere und implementiere das IT-Governance-Modell. 5. Bestätige und passe das IT-Governance-Modell an geänderte Anforderungen an. 6. Zertifiziere das IT-Governance-Modell (optionaler Schritt). <?page no="20"?> Einführung in die IT-Governance aus der Deloitte Perspektive 21 Abbildung 1.3: Deloitte IT-Governance-Lebenszyklus Durch die Einführung des IT-Governance-Lebenszyklus lassen sich folgende Vorteile erzielen: Effiziente Angleichung von IT- und Unternehmenszielen Implementierung einer optimierten IT, die Kosten reduziert und Potenziale fördert Erfüllung von IT-Leistungs-, Risiko- und Compliance-Anforderungen 1.2.2 Abhängigkeiten zu anderen IT-Managementdomänen IT-Governance ermöglicht die Umsetzung von strategischen Vorgaben und ist eine von vier zentralen Deloitte IT-Managementdomänen (siehe Abbildung 1.4). Regulatorische Faktoren • Flexibilität der IT • Innovationsfähigkeit • Wertbeitrag der IT • Gesteuerte IT-Architektur • Abgestimmte Einkaufsaktivitäten • IT als Geschäftsbereich • Steuerung der IT und der Risiken Interne Faktoren Realisiere und führe aus Zertifiziere 1 IT Governance Lebenszyklus Definiere Ziel und Umfang Bestätige und passe an IT Governance Lebenszyklus Beurteile Definiere IT Governance- Modell 1 Optionaler Schritt - nur auf Kundenwunsch hin • ISO 27001, ISO 15408 • Bundesdatenschutzgesetz • Deutscher Corporate Governance Kodex • Rechtliche Rechnungslegungsanforderungen • Jährliche Finanzaudits <?page no="21"?> 22 Einführung in die IT-Governance aus der Deloitte Perspektive Abbildung 1.4: Deloitte IT-Managementdomänen IT-Strategie & Architektur-Abhängigkeit zur IT-Governance IT-Strategie und Architektur gibt die Mission, Vision und strategische Zielsetzungen der IT vor. Je nach vereinbarter Rolle der IT zum Business, ist die IT-Strategie eng an Zielsetzungen des Business ausgerichtet. Die Fortschreibung der IT-Strategie erfolgt anhand einer Top-Down-Ableitung der Business-Strategie. Bottom-Up bestimmt das verfügbare IT-Leistungsportfolio die Fokusbereiche der IT-Strategie. Das IT-Leistungsportfolio wird dabei regelmäßig den Business-IT-Anforderungen sowie dem Investitionsbedarf angepasst. Facharchitekturen und Architekturblueprints definieren die technische Umsetzung der IT-Strategie. IT-Governance nimmt die IT-Strategie- und Architektur-Vorgaben auf und sichert die Umsetzung mit verfügbaren Steuerungs- und Kontrollinstrumenten. IT-Transformation Abhängigkeit zur IT-Governance IT-Transformation als IT-Managementdomäne verantwortet den gesamten Lebenszyklus von großen ITsowie M&A-Projekten über Planung, Durchführung bis hin zum Nutzeninkasso. Projekt-, Programm- und Risikomanagement-Methoden unterstützen die Transformation auf Steuerungsebene. IT-Governance unterstützt IT- Transformationen mit einheitlichen und verbindlichen Entscheidungswegen sowie Vorgaben zu Prozessen, Rollen und Gremien. IT-Provisioning Abhängigkeit zur IT-Governance Die IT-Managementdomäne IT-Provisioning definiert die optimale IT- Wertschöpfungstiefe. Diese orientiert sich an der definierten Rolle der IT zum Business sowie anderen Kernkompetenzen. Das IT-Management nimmt zumeist die Funktion eines Vermittlers zwischen dem Business sowie der internen und externen IT- Leistungserbringung ein. Zur Steuerung der externen Leistungserbringung definiert IT- Governance Sourcing und Provider-Management-Funktionen sowie Risiko- und Compliance-Vorgaben. Targ et IT D eliv er IT Transf orm IT Mana ge IT Deloitte Business IT Strategy 2 3 1 4 IT Strategy & Architecture - Systematically assess current state, develop business-aligned IT strategies which optimizes IT Value for the business and reduce architecture complexity IT Governance & Management - Creating effective IT organization and governance structures, implement efficient IT management processes and consequently measure and control IT cost and performance IT Provisioning - Finding the most appropriate (global) IT supply chain model and create value from (out)sourcing initiatives IT Transformation - Execute the defined IT Strategy by a well timed planning and efficient execution of transformational IT changes IT Governance IT Cost & Performance Mgmt IT Transformation Management (Out)sourcing Advisory IT Supply Chain Optimization Enterprise Architecture IT Strategy IT M&A Advisory IT Assessment IT Strategy Development IT Portfolio Design Architecture Blueprinting Sourcing Strategy IT Vendor Mgmt. IT Asset Management Outsourcing Advisory IT Shared Services IT Program Mgmt. IT Program Assurance IT Due Diligence IT PMI IT Carve-Out IT Organization IT Management IT Risk Management IT Cost Planning & Controlling IT Cost Reduction <?page no="22"?> Einführung in die IT-Governance aus der Deloitte Perspektive 23 1.2.3 Rahmenwerke zur Ausgestaltung des IT-Governance-Modells Das Deloitte IT-Governance-Modell bietet Strukturvorgaben und Good-Practices zur Umsetzung der IT-Governance in allen IT-Unternehmensformen. Zur Ausgestaltung des IT-Governance-Modells orientieren sich viele Unternehmen aus Effizienz- und Effektivitätsgründen an Referenzmodellen und Marktstandards. Beispielsweise bieten Referenzmodelle detaillierte Beschreibungen der IT-Managementprozesse. Das Rahmenwerk CobiT 4 als der De-Facto-IT-Governance-Standard unterstützt die Umsetzung der strategischen Vorgaben unter anderem mit Prozesszielen, Verantwortungsmatrizen und Metriken. CobiT ist aufgrund von Revisionsanforderungen auf die Einhaltung regulatorischer Vorgaben ausgerichtet, aber auch als effektives, pragmatisches IT-Governance-Instrument nutzbar. ITIL hingegen beschreibt schwerpunktmäßig als Referenzmodell ein systematisches und erprobtes Vorgehen für die IT-Leistungserstellung. ITIL ist derzeit der allgemein anerkannte Standard für das IT-Service-Management und weist in der aktuellen Version Überschneidungen mit dem CobiT-Modell auf. Die Version 3 stellt dem IT- Management zusätzlich IT-Governance-Vorgehensweisen zur strategischen Entwicklung von IT-Services (Buch „Service Strategy“) und Kontrollmethoden zur kontinuierlichen Serviceverbesserung (Buch „Continual Service Improvement“) zur Verfügung. ITIL V3 betrachtet die IT-Leistungserstellung als einen Kreislauf („Service Lifecyle“) und will sich in Zukunft verstärkt als ganzheitlicher IT-Governance und IT-Service- Management-Standard etablieren. Auch die internationale Standardisierungsbehörde (ISO) entwickelte einen Standard ISO/ IEC38500: 2008 „Corporate Governance in Information Technology“. Der Standard umfasst sehr allgemeine Richtlinien zur Corporate Governance der IT. Die definierten Normen sind jedoch weit von der operativen Umsetzung entfernt und bieten keine Good-Practices. Nun stellt sich die Frage, ob die führenden Referenzmodelle CobiT und ITIL die ganze Komplexität der Führung einer IT-Organisation abbilden können. Diese Frage muss mit „Nein“ beantwortet werden. Grundsätzlich sind die Führungsstrukturen in den einzelnen IT-Organisationen zu verschieden, als dass sie mittels vorhandener Referenzmodelle vollständig abgebildet werden können. Auf der einen Seite muss die IT- Führung die Umsetzung der regulatorischen Anforderungen durch ein funktionierendes IT-Governance-Modell belegen. Auf der anderen Seite ist die Definition der Schnittstellen zwischen der IT und den Fachbereichen eine der wichtigsten Managementaufgaben. Diese Schnittstellen müssen von der strategischen bis hin zur operativen Ebene verbindlich definiert und umgesetzt sein. Ein funktionierendes Business- IT-Zusammenarbeitsmodell steuert die Integration und Umsetzung von Business und IT-Strategien (siehe Abbildung 1.5). <?page no="23"?> 24 Einführung in die IT-Governance aus der Deloitte Perspektive Abbildung 1.5: Exemplarisches Business-IT-Zusammenarbeitsmodell der IT-Governance Auch wenn weder CobiT noch ITIL diesem ganzheitlichen Anspruch derzeit entsprechen, bieten sie wertvolle Ansätze zur Ausgestaltung der IT-Governance. Es ist allerdings eine gezielte Kombination beider Modelle notwendig, um sämtliche Steuerungsaufgaben abzubilden. In vielen Unternehmen orientiert sich das IT-Management in Bezug auf das IT-Governance-Modell praxisnah an CobiT mit angepassten Prozesszieldefinitionen, Verantwortlichkeiten, Reifegraden und Metriken. Die IT-Leistungsprozesse sind oftmals an ITIL angelehnt. Je nach IT-Prozess sind hierfür verschiedene Prozess-Detaillierungsgrade notwendig. Implementierungserfahrungen zeigen, dass zum Beispiel ein Change-Managementprozess sehr genau und konsistent beschrieben sein sollte, wohingegen andere IT-Unterstützungsprozesse eher weniger formalisiert gelebt werden können. Viele Unternehmen haben bisher den Schritt zu ITIL V3 noch nicht vollzogen. Es bleibt abzuwarten, ob der neue ITIL V3 Lebenzyklus-Ansatz mit den neuen IT- Governance-Anteilen (z.B. Service Strategy) kundenorientiert umsetzbar ist. Die ersten Erfahrungen zeigen, dass viele IT-Organisationen weiterhin auf CobiT-orientierte IT- Governance-Modelle setzen werden. 1.2.4 Kontinuierliche Verbesserung der IT-Governance Die Einführung und Ausgestaltung eines IT-Governance-Modells ist der erste Schritt zur Umsetzung geschäftlicher und regulatorischer Anforderungen in der IT. Die kontinuierliche Verbesserung der IT-Governance ist zwingend notwendig, um beispielsweise auf geschäftliche Wachstumsvorgaben oder Änderungen regulatorischer Anforderungen zu reagieren. Reifegradmodelle, unter anderem CobiT, bieten die Möglichkeit, IT-Managementprozesse zu bewerten. Im Reifegradmodell wird der Ist- und angestrebte Soll-Zustand je IT-Managementprozess in einer Skala von nicht-existent (0) bis optimiert (5) einge- Gemeinsame IT-Governance Gremien Geschäftsprozessverantwortliche Vorstände, CEO, COO IT-Verantwortliche der Fachbereiche Management der Fachbereiche Kundenmanager, Architekturverantwortliche CIO, Senior IT- Management Service-Manager IT-Management Lenkungsausschüsse Management-Gremien Architektur- und Technologiegremien Gremien der Leistungserstellung Unternehmen IT-Organisation Leistungserstellung der Fachbereiche und IT Rahmenmodell der IT-Leistungserstellung z.B. ITIL Rahmenmodelle der Geschäftsprozesse <?page no="24"?> Einführung in die IT-Governance aus der Deloitte Perspektive 25 ordnet. Anhand des festgelegten Soll-Zustands leiten sich notwendige Aktivitäten ab. Diese resultieren in Maßnahmen zur kontinuierlichen Verbesserung der IT-Governance. Im Tagesgeschäft überprüfen Kennzahlen und Kontrollziele die erfolgreiche Umsetzung der IT-Governance. Sinnvoll ausgestaltet, kann ein Kennzahlensystem den Gesundheitszustand der IT sowie versteckte Risiken widerspiegeln. Ausgewählte Frühbeziehungsweise Spätindikatoren ermöglichen die transparente Steuerung und Statuskommunikation der IT zum CIO und dem IT-Management. CobiT und ITIL liefern zum Teil dringend notwendige jedoch teilweise auch wenig aussagekräftige Kennzahlen. Die Modelle streben einzeln eine komplette Implementierung ihrer „Good-Practices“ über die gesamte IT-Organisation an. Oft besteht die Herausforderung für Unternehmen in der Auswahl der richtigen operativen bis strategischen Kennzahlen für die jeweiligen IT-Bereiche. In vielen IT-Organisationen setzen sich so genannte „Best-of-breed“-Kennzahlen durch. Diese nutzen die aussagekräftigsten Kennzahlen verschiedener Referenzmodelle für die jeweils geeignetsten IT-Bereiche (siehe Abbildung 1.6). ITIL bietet beispielsweise für den Change-Managementprozess des Service-Managements aussagekräftige Kennzahlen: 1. Anteil erfolgreicher Changes nach Bewertung im Change Advisory Board, 2. Anzahl Störungen, die Changes direkt zugeordnet werden können, 3. Anteil nicht genehmigter Changes zu durchgeführten Changes. Abbildung 1.6: Anwendung von CobiT und ITIL als „Best-of-breed“-Kennzahlen In vielen Unternehmen orientiert das IT-Management die Kontrollziele der IT- Governance-Prozesse praxisnah an CobiT mit angepassten Prozesszieldefinitionen, Richtlinien, Verfahren, Praktiken und Organisationsstrukturen. CobiT gliedert die Aufgaben der IT in Prozesse und Control Objectives. Jeder IT-Prozess von CobiT enthält ein übergeordnetes Control Objective sowie mehrere detaillierte Control Demand Management IT Customer Relationship Management Investment Management & Planning Portfolio Management CobiT IT Strategy & Architecture IT Governance & Organizational Design IT Financial Mgmt. Performance Management Business Internal & External (IT-)Service Providers Business unit 1 Business unit 2 … Application Development Application Maintenance Infrastructure … Business unit 3 CIO Office IT Organization IT Supply Focus Demand Focus Demand Supply Demand Supply Demand Supply Strategy Strategy Demand Supply Strategy Vendor Management IT Strategy & Architecture IT Governance & Organizational Design IT Financial Management Performance Management Demand Management IT customer Relationship Management Investment Management & Planning Portfolio Management Service Management Project Management/ PMO ITIL CobiT <?page no="25"?> 26 Einführung in die IT-Governance aus der Deloitte Perspektive Objectives. In Summe stellen sie die Zielsetzung der IT-Prozesse dar. Das Business- IT-Alignment wird durch Kennzahlen aus CobiT in hohem Maße unterstützt, da die dort vorgegeben Kontrollziele der IT-Aufgaben direkt aus den geschäftlichen und regulatorischen Vorgaben abgeleitet sind. Die IT-Leistungsprozesse sind oftmals an ITIL angelehnt. Je nach IT-Prozess sind hierfür verschiedene Prozess-Detaillierungsgrade notwendig. Implementierungserfahrungen zeigen, dass IT-Unterstützungsprozesse eher weniger formalisiert gelebt werden können, wohingegen zum Beispiel ein Change-Managementprozess sehr detaillierte Kontrollziele benötigt: 1. Verfolge und berichte den Change-Status der wichtigsten Stakeholder, 2. Führe genehmigte Änderungen an der IT Infrastruktur und Anwendungen durch, 3. Bewerte die Auswirkungen der Changes auf die IT-Infrastruktur, Anwendungen und technischen Lösungen. Wirksam implementierte Kontrollziele reduzieren Risiken, sie fokussieren den Geschäftserfolg durch IT und verbessern die Effizienz durch die Verringerung von Fehlern. 1.3 Erfolgsfaktoren für die Umsetzung von IT-Governance Der stetige Qualitäts- und Kostendruck sowie die steigende Innovationsorientierung in Unternehmen zwingen das Business und die IT zu effizienten gemeinsamen Steuerungs- und Kontrollinstrumenten der IT-Governance. Die übergreifende Entwicklung und Umsetzung der IT-Strategie ist dabei ein wichtiger Erfolgsfaktor für Unternehmen. Das belegen die aktuellen Deloitte-Studien „IT-Business-Balance“ 4 und „IT- Strategieumsetzung bei Banken und Versicherungen“ 5 . 83 % der befragten IT- Manager bei Finanzdienstleistern messen der Umsetzung der IT-Strategie einen hohen Stellenwert bei. Fast 92 % der Befragten sehen die IT-Strategieumsetzung geprägt durch die hohen Anforderungen der Leitung von Geschäftsbzw. Fachbereichen. Allerdings bestätigt die europaweite Studie „IT-Business Balance“, dass zwei Drittel der befragten IT-Organisationen ihre IT-Governancegremien nicht an das Business angebunden haben. Dabei ist IT-Governance entscheidend für den Geschäftserfolg. Einerseits liegt ein grundlegender Erfolgshebel in der klar definierten Rolle der IT zum Business, anderseits im Schärfen der Entscheidungsrechte bezüglich der IT- Governance-Domänen. Beispielsweise soll die IT Entscheidungen zur Anwendungs- und Systemarchitektur selbständig bestimmen, wohingegen die IT- Strategieentwicklung mit dem Business gemeinsam erfolgt. 4 Vgl. Deloitte Studie 2008: Survey on the IT-Business Balance 5 Vgl. Deloitte Studie 2009: IT-Strategieumsetzung bei Banken und Versicherungen <?page no="26"?> Einführung in die IT-Governance aus der Deloitte Perspektive 27 Anhand von Studien und Projekterfahrungen prüfte Deloitte 40 Erfolgsfaktoren und leitete die zehn wichtigsten Erfolgsfaktoren mit Handlungsempfehlungen zur Umsetzung ab (siehe Tabelle 1.3). Nr. Erfolgsfaktoren der IT-Governance 1. Das Topmanagement muss seine Unterstützung für die Umsetzung der IT- Strategie langfristig zusichern. 2. Für die IT-Governance müssen Organisation und Verantwortlichkeiten definiert werden. 3. Programme und Projekte zur IT-Strategieumsetzung müssen priorisiert werden. 4. Die IT-Strategieumsetzung ist an den Geschäftsanforderungen ausgerichtet. 5. Probleme bei Umsetzungsprojekten müssen frühzeitig erkannt und kommuniziert werden. 6. Die Umsetzung der IT-Strategie ist durch eine entsprechende Technologie- und IT-Architektur-Strategie zu unterstützen. 7. Die IT-Strategie muss realistisch und umsetzbar sein. 8. Projekte zur IT-Strategieumsetzung müssen durch ein standardisiertes Programmbzw. Projektmanagement unterstützt werden. 9. Die betroffenen Führungskräfte und Mitarbeiter müssen motiviert sein. 10. Die durch die bevorstehenden Änderungen betroffenen Führungskräfte sind frühzeitig zu identifizieren und einzubinden. Tabelle 1.3: Erfolgsfaktoren aus Studien und Deloitte Projekterfahrungen Als wichtigster Erfolgsfaktor muss das Topmanagement seine Unterstützung für die Umsetzung der IT-Strategie langfristig zusichern. Die Studien zeigen, dass das operative Tagesgeschäft oft Initiativen zur IT-Strategieumsetzung verdrängt. Deshalb müssen Funktionen der IT-Governance unternehmensweite Prioritäten und Initiativen der IT- Strategieumsetzung kontinuierlich überwachen und den Status mit realisiertem und angestrebtem Nutzen bis zum operativen Management kommunizieren. Als erfolgskritisch gilt die klare Vereinbarung von Entscheidungsrechten in der IT- Governance. Sie bilden die Grundlage für effiziente und nachvollziehbare Investitionsentscheidungen zwischen Business und IT. Zunächst sind Kerndomänen der IT- Governance - klar zu definieren. Anschließend führt die IT je nach angestrebtem Reifegrad IT-Governance-Strukturen mit Prinzipien, Gremien, Rollen und Verantwortlichkeiten ein. Die Steuerung und kontinuierliche Verbesserung des unternehmensspezifischen IT-Governance-Modells unterstützen Reifegradmodelle, Kennzahlen und Kontrollziele. Ein weiterer wichtiger Erfolgsfaktor ist die Priorisierung von Programmen und Projekten zur IT-Strategieumsetzung. Das IT-Management sollte die Portfolio-Bewertungskriterien zusammen mit dem Business angemessen hoch gewichten. Ein pauscha- <?page no="27"?> 28 Einführung in die IT-Governance aus der Deloitte Perspektive les Kriterium wie „etwas ist IT-Strategie relevant“ gilt als zu ungenau. Erfolgsversprechender ist die Aufgliederung der Geschäfts- und IT-Strategie in relevante Bereiche oder Dimensionen mit jeweiliger Ableitung der Bewertungskriterien. Programme und Projekte erhalten zur Umsetzung Zielvorgaben, die kontinuierlich während der Laufzeit und nach Abschluss auf Zielerreichung geprüft werden. Schließlich ermöglichen adäquate Business-Case-Kalkulationen im Projektantrag, zum Statusreporting und Projektabschluss ein unternehmensweites kostenorientiertes Handeln. Kritischer Erfolgsfaktor ist zudem die Ausrichtung der IT-Strategieumsetzung an den Geschäftsanforderungen. Zunächst muss das IT-Demand-Management ein klares Verständnis für die Geschäftsstrategie und -anforderungen des Unternehmens entwickeln. Kontinuierlich analysiert die IT-Demand-Funktion regulatorische und fachliche Anforderungen. Je nach definierter Rolle der IT erfolgt die Aufnahme und Umsetzung der fachlichen Anforderung in enger Kooperation mit dem Business. Nach der Deloitte „IT-Business Balance Studie“ ist die richtige Balance zwischen IT-Demand und IT-Supply-Managementfunktionen eine ständige Herausforderung in der IT- Governance. Das frühe Erkennen und Kommunizieren von Problemen in IT-Strategieumsetzungsprojekten ist weiterhin erfolgskritisch. Das Projektreporting sollte sich an etablierten Projektmanagement-Rahmenwerken wie zum Beispiel PMBOK oder Prince2 orientieren. Die kontinuierliche Messung und das Statusreporting der Umsetzungsprojekte erfolgt über Kennzahlen des IT-Performance-Managements. Neben formalen Kriterien sollte auch eine offene Unternehmenskultur gefördert werden. IT-Governance bietet Mechanismen zur effektiven Umsetzung der IT-Strategie und effizienten Nutzung der Ressource IT. Die erfolgreiche IT-Governance ist geprägt durch klare Entscheidungsrechte sowie durch die Business und IT gemeinsame Besetzung von Steuerungs- und Kontrollfunktionen. IT-Governance als wesentlicher Bestandteil der Unternehmensführung liegt in der Verantwortung des Vorstands, des CIOs und des IT-Managements. Die folgenden Artikel verdeutlichen aktuelle Herausforderungen und bieten Lösungsansätze im Umgang mit IT-Governance. 1.4 Literatur Fröhlich, M./ Glasner, K. (Hrsg.) (2007): IT Governance: Leitfaden für eine praxisgerechte Implementierung, Wiesbaden. ITGI® (2003): IT-Governance für Geschäftsführer und Vorstände, Ausgabe 2. Klein, E./ Lohmann, J./ Ratzer, P. (2009): Umsetzung von IT-Strategien bei Banken und Versicherungen (Marktstudie) Verdonck, C./ Combes, C. (2008): Deloitte 2008 Survey on the IT-Business Balance. <?page no="28"?> 2 Rethinking IT-Governance: Auswirkungen steigenden IT-Einsatzes auf die Governance der IT Philipp Marquardt und Jens Weber Der zunehmende Einsatz von IT in Geschäftsprozessen, Produkten und Services - und damit einhergehend die Zunahme des Wertschöpfungsanteils der IT - erhöht die Notwendigkeit einer Neubetrachtung der IT-Governance: Unternehmen müssen beginnen, weg von einer vorwiegend IT-getriebenen, hin zu einer umfassenderen, Businessorientierten IT-Governance zu gelangen, die eine bessere Integration von Business und IT ermöglicht, und so den Wertbeitrag erhöht. 2.1 Einleitung Kaum eine andere Entwicklung hat in den letzen Jahrzehnten so einen nachhaltigen Einfluss auf Wirtschaft und Unternehmen genommen wie der zunehmende Einsatz der Informationstechnologie (IT). Die IT soll den Unternehmen nachhaltige Wettbewerbsvorteile erschließen, Geschäftsprozesse optimal unterstützen und Kostenreduktion ermöglichen. Dabei muss sie heute mehr als zuvor eigenständige Beiträge zum unternehmerischen Gesamterfolg beisteuern, ihre strategische Bedeutung ist von der unternehmerischen Führung erkannt und wird zunehmend eingefordert. So verwundert es nicht, dass IT zu einem unverzichtbaren Bestandteil unternehmerischer Aktivitäten geworden ist. Die Investitionen in die IT sind dabei auf lange Sicht in den vergangenen Jahren über einen Großteil aller Branchen hinweg dauerhaft gestiegen 6 , und Geschäftsmodelle ohne informationstechnologische Unterstützung sind heute nur noch eine Randerscheinung. Geschäftsbereiche werden immer stärker mit dem Einsatz von IT in ihren Prozessen konfrontiert, auch Produkte und Services, die Unternehmen ihren Kunden extern am Markt anbieten, enthalten zunehmend „mehr IT“. Eine Verlangsamung dieser Entwicklung ist derzeit nicht abzusehen. Einhergehend mit der zunehmenden IT-Durchdringung von Geschäftsprozessen, Produkten und Services - demnach mit der Zunahme des Wertschöpfungsanteils der IT - erhöht sich auch die Bedeutung der IT am unternehmerischen Gesamterfolg. Entsprechend haben sich die Anforderungen der Unternehmen an den erfolgreichen Einsatz und die effektive Integration der IT in ihr Geschäft geändert. Unternehmensleitung und Geschäftsbereiche verlangen zunehmend von ihrer IT, dass sie zum wirtschaftlichen Gesamterfolg beizutragen habe - in nachweisbarer Form. Als vormals oft (rein) technikorientierter interner Dienstleister ist die IT damit heute kaum mehr fähig, sich Wirtschaftlichkeitsdiskussionen zu entziehen, und steht in der Pflicht, einen messbaren Wertbeitrag für das Unternehmen zu erbringen. 7 Den unternehmeri- 6 Vgl. Gartner (2010). 7 Vgl. Johannsen/ Goeken (2007), S. 5. <?page no="29"?> 30 Rethinking IT-Governance schen Anforderungen zu begegnen, erweist sich jedoch speziell aus dem Blickwinkel der gestiegenen Komplexität und einer erschwerten Steuerbarkeit der IT als zunehmende Herausforderung. In den vergangenen Jahren ist dabei in der Rollenausprägung der IT im Unternehmen eine Verschiebung vom Kostenzum Kompetenzfokus erkennbar. Lag in der Vergangenheit ein wesentlicher Fokus des Chief Information Officers (CIO) darauf, die Unternehmensproduktivität zu erhöhen und gleichzeitig die Kosten in seiner Abteilung zu senken, so übernimmt er nun zunehmend die Rolle des Beraters für die technologische Ausrichtung und Steuerung eines Unternehmens. Als wesentliches Merkmal zur Positionierung der IT innerhalb eines Unternehmens nimmt dabei die Fähigkeit, einen tatsächlichen Wertbeitrag für das Unternehmen realisieren zu können, eine strategisch bedeutende Stellung ein. Dieser Beitrag behandelt die Auswirkungen, die sich durch diese Entwicklung auf die Zusammenarbeit zwischen Business und IT ergeben. Ausgehend vom Deloitte IT- Governance-Modell werden folgende sechs Kernbereiche der IT-Governance betrachtet: IT-Organisation IT-Managementprozesse Demand und Supply Management IT-Performance & Riskmanagement IT-Compliance und Unternehmenskultur Es wird dargestellt, wie sich der vorgenannte Wandel der Bedeutung der IT auf die Organisation und Ausgestaltung der IT-Governance-Bereiche auswirkt und mit welchen potenziellen Maßnahmen CIOs auf die zunehmende geschäftliche Bedeutung der IT reagieren können. 2.2 IT-Organisation Die aufbauorganisatorische Gestaltung und Businessorientierte Ausrichtung der IT- Organisation stellt einen wesentlichen Baustein für den wertschöpfenden Einsatz der IT im Unternehmen dar. Das Business IT Alignment 8 , unter dem allgemein die Forderung nach einer auf die Geschäftsaktivitäten ausgerichteten Informationstechnologie verstanden wird, um Geschäftsziele und -strategien optimal zu unterstützen, ist in vielen Unternehmen jedoch trotz jahrelanger Erfahrung und Forschung immer noch 8 Vgl. Fröschle (2004), S. 102. Die Bezeichnung variiert in Literatur und Praxis. So wird bisweilen auch von „Business Partnering“, „Business-IT-Integration“, „Business-IT- Fusion“, oder „Strategic Alignment“ bzw. „IT-Strategie-Alignment“ (vgl. Johannsen/ Goeken (2007), S. 12) gesprochen. <?page no="30"?> Rethinking IT-Governance 31 verbesserungswürdig. Durch die stärkere Verflechtung zwischen IT und Geschäft der Unternehmen wird diese Herausforderung noch weiter verstärkt. Viele Unternehmen gingen in den vergangenen Jahren dazu über, ihre IT radikal zu zentralisieren und zu standardisieren, um so einer stetig ausufernden Komplexität entgegenzuwirken und signifikante Kosten- und Effizienzpotenziale zu heben. Während sich diese Vorteile in der Regel realisieren ließen, führte eine solche Zentralisierung auch zu mehr Distanz zwischen Business und IT. Ein exemplarisches Symptom hierfür sind die Beschwerden des Business über mangelndes Verständnis gegenüber ihren technologischen Anforderungen. Durch zu starke Zentralisierung mangelt es IT und Business an adäquater Kommunikation und ein partnerschaftliches Verhältnis ist in den seltensten Fällen vorhanden. Die wenigen kommunizierten Ziele der Fachbereiche werden von der IT-Geschäftsfunktion kaum oder gar nicht verstanden und ihnen wird wiederum häufig mit standardisierten Lösungsansätzen begegnet. Eine solch isolierte IT, die lediglich sporadisch mit ihren Kunden in den Geschäftsbereichen kommuniziert und Abstimmung sucht, wird sich daher insbesondere in Unternehmen mit hohem IT-Wertschöpfungsanteil mit einem erfolgreichen, beidseitig akzeptierten Business-IT-Alignment sehr schwer tun. Im Rahmen einer Businessorientierten IT-Governance muss dieses Problem grundlegend reflektiert und in der aufbauorganisatorischen Gestaltung der IT berücksichtigt werden. Die IT muss daher heute möglichst effektiv und effizient auf die unterschiedlichen Geschäftsbereiche des Unternehmens ausgerichtet werden, da mit steigendem Grad des Alignments auch der Wertbeitrag der IT zunimmt. 9 In der Vergangenheit haben viele CIOs Bereiche mit hoher IT-Wertschöpfung mit Bereichen geringer IT-Wertschöpfung eindimensional, als eine Einheit geführt. Die stetig zunehmende Bedeutung der IT für Geschäftsprozesse - und damit für die Erstellung und Erbringung von Produkten und Services - erfordert es jedoch, die klassischen Paradigmen der IT-Organisationsgestaltung zu überdenken und geeignete Mischformen organisatorisch umzusetzen: Business-Unit-IT Corporate-IT Um einen Wettbewerbs- und Kollaborationsvorteil durch IT zu generieren, geschäftliche Innovationen zu ermöglichen sowie Produkte und Services mit dem Business gemeinsam schneller zur Marktreife zu führen, muss die IT so eng wie möglich mit dem Business verbunden und gegebenenfalls personen- oder teamweise in dieses integriert werden. Wenig differenzierende IT-Leistungen, die jedem Marktakteur zur Verfügung stehen und daher keinerlei Wettbewerbsvorteil begründen können (beispielsweise das Betreiben von eigenen Rechenzentren als Unterstützungsfunktion), sollten unternehmensweit zentralisiert, ggfs. fremdbezogen und unter Kosteneffizienzaspekten geführt werden. Tabelle 2.1: Unterschiedliche Rollenausprägungen von IT-Funktionsbereichen 9 Vgl. Chan (2002), S. 97. <?page no="31"?> 32 Rethinking IT-Governance Die Herausforderung besteht darin, die unterschiedlichen Bereiche zu identifizieren, voneinander abzugrenzen und eine geeignete Aufbauorganisation hierfür im Unternehmen zu etablieren. Hierbei muss die Aufbauorganisation sowohl die hohe Verflechtung mit der IT für Bereiche mit hoher IT-Wertschöpfung als auch die starke Zentralisierung mit geringer Business-Verflechtung reflektieren. Eine vollständige Integration der IT mit dem Business ist jedoch nicht in jedem Fall sinnvoll. Gerade bei Unternehmen mit geringer IT-Wertschöpfung muss bei der Organisation der IT nur ein geringerer Schwerpunkt auf die Business-Integration gelegt werden. Hier ist es von größerer Bedeutung seine Leistungen als IT-Funktion möglichst effizient im Unternehmen zu erbringen. Aus einer strategischen Perspektive wird die IT mit zunehmender Standardisierung, Verfügbarkeit und abnehmenden Kosten zudem „unsichtbar“, und kann demnach keinen Wettbewerbsvorteil mehr generieren. Dieser Wandel wird als Kommodisierung bezeichnet, der häufig von grundsätzlichen Empfehlungen begleitet wird, weniger in die IT zu investieren, sich auf IT-Risiken statt auf IT-Chancen zu konzentrieren und die IT dem Wettbewerb folgend (und nicht führend) einzusetzen. 10 Unterstützende IT- Leistungen mit häufig kaum wahrnehmbaren Kundennutzen sowie leichter Imitier- und Substituierbarkeit 11 unterliegen diesem Kommodisierungseffekt in besonders hohem Maße. Es ist jedoch wichtig zu beachten, dass auch eine innovative, differenzierende IT, die dem Business einen geschäftlichen Vorteil ermöglicht, mit zunehmender Nutzungszeit genau diesem Kommodiserungseffekt unterliegt. Gründe hierfür können beispielsweise die Entwicklung neuer, verbesserter Technologien oder der Einsatz der vormals innovativen Technologie durch Wettbewerber sein. Diesen genannten Auswirkungen muss insbesondere aufbauorganisatorisch begegnet werden. Eine Integration der IT mit den einzelnen Business-Einheiten - unter zentraler Koordination des CIOs - kann hierfür eine angemessene Maßnahme darstellen. Es wird zukünftig zudem nicht mehr ausreichen, IT-Mitarbeiter lediglich mit Business- Alignment-Rollen zu belegen, um an der Schnittstelle zum Business zu agieren. Vielmehr ist die Platzierung der IT-Mitarbeiter im Business selbst notwendig, um die Anforderungen des Geschäfts noch besser zu verstehen und in geeignete IT-Lösungen umzusetzen. Eine IT-Geschäftsfunktion, die lediglich als reines Silo geführt wird, ist im Lichte des steigenden IT-Einsatzes nicht mehr zeitgemäß. 2.3 IT-Managementprozesse Im Zuge der Industrialisierung der IT werden nicht differenzierende Prozesse immer häufiger an externe IT-Service-Provider ausgelagert. Diese Entwicklung hat zur Folge, dass Unternehmen ihre IT-Kompetenzen auf die verbleibenden, in der Regel businessnahen IT-Prozesse fokussieren müssen - rein technisch orientierte Prozesse werden an Relevanz verlieren. 10 Vgl. Carr (2003) für eine ausführliche Diskussion der Kommodisierungsaspekte der IT. 11 Vgl. Kohl (2006), S. 458. <?page no="32"?> Rethinking IT-Governance 33 Die rasche Entwicklung der IT spiegelt sich auch in der Entwicklung der damit verbundenen Managementprozesse wider. Wo anfänglich noch einfache, ad hoc getriebene Prozesse ausreichten, um eine IT zu steuern, sind heute umfangreiche Referenzwerke mit kontinuierlichen Verbesserungsansätzen im Einsatz. Das allgemeine Voranschreiten der Prozessreife führte zudem zu der Erkenntnis, dass nicht mehr zwangsläufig alle IT-Managementprozesse im eigenen Unternehmen beheimatet sein müssen, sondern dass bestimmte Prozesse auch an Dienstleister ausgelagert werden können. Eine Vielzahl an IT-Managementprozessen, die früher noch als unternehmenskritisch eingestuft wurden, finden sich heute bereits häufig auf Providerseite wieder. Diese Entwicklung wird durch die fortschreitende Industrialisierung der IT verstärkt. In den Unternehmen verbleiben je nach Ausprägung meist nur noch zwei Kategorien von IT-Managementprozessen. Die einen sind die Prozesse, die das Unternehmen differenzieren und sehr nah an den Geschäftsprozessen des Unternehmens anliegen. Die anderen sind diejenigen Prozesse, die zum Management externer Dienstleister notwendig sind. Bei der ersten Prozesskategorie wird ein immer stärkeres Verständnis der Geschäftsabläufe notwendig werden. Die Bedeutung des Verständnisses für wirklich IT-technische Prozesse und Zusammenhänge nimmt hierbei deutlich ab. Eine zusätzliche Herausforderung besteht darin, IT-Managementprozesse mit den Geschäftsprozessen erfolgreich zu verbinden. Meist führt die Geschwindigkeit der Veränderungen im Unternehmen dazu, dass der Zeitraum, der für die Anpassung der Prozesse an die neuen Bedürfnisse benötigt wird, nicht mehr ausreicht. Wenn IT-Abteilungen sich gerade mit der Anpassung der IT-Managementprozesse beschäftigen, ergeben sich bereits neue unternehmerische Anforderungen, die wieder zu neuen Prozessanforderungen führen, während die alten noch nicht vollständig umgesetzt wurden. Heutige Ansätze zum Alignment der IT-Managementprozesse mit den Geschäftsprozessen werden ihrem Anspruch nur selten gerecht. Auch in der zweiten Kategorie an Prozessen, bei den Prozessen, die dem Dienstleister nahe sind, werden sich Veränderungen ergeben. Vielfach wird heute noch ein erhebliches technisches Verständnis vorausgesetzt, um auf Augenhöhe mit dem Dienstleister zusammenarbeiten zu können. Es ist jedoch fraglich, ob für das Management von Standard-IT-Leistungen wirklich ein tiefes technisches Know-how notwendig ist, oder ob nicht vielmehr stärkere Kompetenzen in Bereichen des Dienstleistermanagements notwendig werden. Etwas überspitzt in Anlehnung an Carrs „IT Doesn’t Matter“ 12 ließe sich behaupten, dass beim Einkauf anderer Standard-(Infrastruktur-)Leistungen wie Strom oder Wasser auch nicht verstanden werden muss, wie die dahinterstehende Technik funktioniert - oder wie die Endleistung erstellt wird. Eine zusätzliche Entwicklung, die die bisherige Betrachtung von IT-Managementprozessen in Frage stellt, ist das immer stärkere Aufkommen IT-Management naher Prozesse in den Geschäftsbereichen. Dies ist eine Konsequenz aus dem steigenden Wertschöpfungsanteil der IT an den Produkten und Dienstleistungen der Unternehmen. Plötzlich sehen sich Geschäftsbereiche mit klassischen IT-Prozessen konfrontiert. 12 Vgl. Carr (2003). <?page no="33"?> 34 Rethinking IT-Governance Traditionell waren diese immer nur in der internen IT angesiedelt. Nun enthalten die Endprodukte sehr viele IT-Komponenten und der Kundendienst der Geschäftsbereiche muss damit Support für Soft- und Hardware leisten. Hier bietet sich für die interne IT eine große Chance: Die Geschäftsbereiche können vom Know-how und den Erfahrungen der IT profitieren. Gleichzeitig bietet sich für die Unternehmen auch die Chance, ähnliche Prozesse übergreifend zu betrachten und einheitlich zu betreiben. Ein simples Beispiel hierfür können Supportprozesse für Soft- und Hardware sein: Im einfachsten Fall könnten Unternehmen sich die Frage stellen, warum eigentlich verschiedenste Ticketingsysteme in der IT - ggf. dort sogar mehrere - und in den unterschiedlichen Geschäftsbereichen im Einsatz sind. 2.4 Demand und Supply Management In der Vergangenheit wurde die IT als in sich geschlossener Bereich betrachtet und aus einer strategischen Perspektive häufig nicht differenziert geführt. Die Industrialisierung der IT fordert jedoch vermehrt die Unterteilung in wertschöpfende und kommodisierende Aspekte. Unternehmen müssen sich entscheiden, an welcher Stelle die Trennlinie zwischen Demand und Supply gezogen wird. Beide Bereiche müssen nach unterschiedlichen Prinzipien geführt und gesteuert werden: Während die „Demand“- Seite ein tiefes Verständnis des Geschäfts aufweisen muss, ist die „Supply“-Seite unter kostensparenden Aspekten zu führen, da sie viele kommodisierende Anteile enthält. Aus Unternehmenssicht ergeben sich hieraus zwei Herausforderungen: Zum einen muss die Trennlinie zwischen diesen zwei Dimensionen festgelegt werden und entschieden werden, wie mit Graubereichen umgegangen wird. Zum anderen muss klar festgelegt werden, wie die Abstimmung zwischen beiden Bereichen sichergestellt werden kann. Auf die Frage nach der Trennlinie zwischen Demand und Supply gibt es jedoch keine pauschale Antwort. Die Trennung ist vielmehr im Zusammenhang mit dem Geschäftsmodell des Unternehmens individuell zu beurteilen. Zum einen gibt es kommodisierende Aspekte und zum anderen wirklich differenzierende, wertschöpfende Aspekte. Die kommodisierenden Aspekte sind deutlich von einer Supply-Perspektive geprägt und legen einen starken Fokus auf kostensparende Elemente. Hier stellen sich unterschiedliche Fragen: Wer ist der passende Lieferant für welche Leistung? Sind die Preise, zu denen wir Leistungen beziehen, marktkonform und wettbewerbsfähig? Die wertschöpfenden Aspekte sind dahingegen eher von einem Demand-Gedanken geprägt und legen einen Schwerpunkt auf die Geschäftsaspekte des Unternehmens. Übliche Fragestellungen sind hier: Was benötigen meine internen Kunden heute und morgen? Welche Geschäftsbereiche entwickeln ähnliche Anforderungen? Als grobe Richtschnur kann eine Betrachtung der IT-Wertschöpfung der Produkte und Dienstleistungen des Unternehmens dienen. Ist die IT nur in einem geringen Umfang an der Wertschöpfung beteiligt, so ist meist auch der Demand-Anteil nur schwach ausgeprägt. Ist die IT-Wertschöpfung dahingegen hoch, ergibt sich die Notwendigkeit einer gesteigerten Demand-Kompetenz. Als Beispiel für ein Unternehmen mit geringem Anteil der IT-Wertschöpfung können ein Lebensmittelproduzent oder eine Wohnungsbaugesellschaft genannt werden. Unternehmen mit hoher IT-Wertschöpfung sind z.B. diese aus den Bereicen Banken oder Telekommunikation. <?page no="34"?> Rethinking IT-Governance 35 Eine effektive Abstimmung zwischen Demand und Supply ist hingegen oft schwieriger als anzunehmen ist. Nur wenn beide Seiten zusammenspielen, kann hier Effizienz gewährleistet werden. Symptome für eine verbesserungswürdige Abstimmung zwischen Demand und Supply sind z.B., dass ein IT-Dienstleister selbst bei strategischen Fragen direkt mit den Geschäftsbereichen zusammenarbeitet, und die eigene IT nur noch zur Abwicklung involviert, also auf eine Einkaufsfunktion reduziert wird. Die Demand-Seite „verbrüdert“ sich mit den Geschäftsbereichen und positioniert sich gemeinsam gegenüber der Supply-Seite. Zur Abstimmung zwischen Demand- und Supply-Seite sind die Moderations- und Kommunikationsfähigkeiten des übergeordneten Managements von entscheidender Bedeutung. Nur so lässt sich sicherstellen, dass auch auf zwischenmenschlicher Ebene die Zusammenarbeit zwischen Demand und Supply funktioniert. Dies ist meist entscheidend, um Reibungsverluste, die auch bei formalen Kommunikationsprozessen auftreten werden, zu vermeiden. 2.5 IT-Performance & Riskmanagement Wie zuvor bereits ausgeführt, erfolgt im Zuge der Trennung von Demand- und Supply-Leistungen oft eine Auslagerung der Supply-Dienste an externe Service Provider. Hierdurch rückt die Disziplin des Provider-Managements stärker in den Fokus der IT, sodass auch die beiden Bereiche IT-Performance & Riskmanagement an Priorität gewinnen werden. In der Vergangenheit war hier oft eine sehr technisch getriebene Betrachtung vorherrschend. Dies ist meist dem Umstand geschuldet, dass das Provider-Management von vormals technisch fokussierten Bereichen der eigenen IT übernommen wird. Typische Anzeichen für eine solche Betrachtungsweise sind komplexe Kennzahlen- und Risikosysteme, bei denen es sich zwar vielfach um interessante Aussagen und Zusammenhänge handelt, aber diese weitgehend losgelöst vom Geschäft des Unternehmens stehen. Die nachfolgende Tabelle zeigt diese beiden Ausprägungen im Überblick. Klassische IT Business IT Inhaltlicher Fokus des IT-Performance & Riskmanagement Betrachtung von technischorientierten Kennzahlen und Risiken Management von Businessorientierten Kennzahlen und Risiken - intern und extern Tabelle 2.2: Unterschiedliche Fokusbereiche in IT-Performance & Riskmanagement In der Vergangenheit investierten IT-Dienstleister zum einen ihre Zeit und Ressourcen darin, vorwiegend technische Leistungsindikatoren für ihre Kunden zu ermitteln und bereitzustellen, was sich entsprechend im Preis für die erbrachte Leistung niederschlug. Zum anderen war die interne IT nicht in der Lage, mit diesen technischen Kennzahlen ihre Leistungsfähigkeit gegenüber dem Business darzustellen. Zielführender ist es heute, weniger Leistungsindikatoren, dafür jedoch die richtigen und wichtigen gegenüber dem Dienstleister festzulegen. Beispielsweise können zwischen einer Service-Verfügbarkeit von 99,7 % und 99,9 % erhebliche finanzielle und technische Unterschiede liegen, deren Bedeutung das Business vielleicht nicht vollends einschätzen kann oder <?page no="35"?> 36 Rethinking IT-Governance unterschätzt. Um dies zu erreichen und Fehlentwicklungen gegenzusteuern, sollte das IT-Performance-Management in das unternehmensweite Performance-Management integriert werden. Eine umfassende Performancemessung erfüllt hier hauptsächlich zwei Zwecke: Einerseits wird durch eine professionelle Messung die zielorientierte Steuerung der IT (inkl. externer Provider) überhaupt erst ermöglicht. Andererseits erlauben die gewonnen Kennzahlen die Darstellung und Kommunikation der Wertschöpfungsleistung gegenüber dem Business. Gerade bei einem zukünftig steigenden Anteil der IT an der Gesamtwertschöpfung des Unternehmens ist eine ganzheitliche Betrachtung aus betrieblicher Sicht zwingend notwendig. Hierbei muss die gesamte IT bei der Leistungserbringung berücksichtigt werden. Eine Ausklammerung von bestimmten Teilen wie z.B. produkt- oder produktionsnaher IT sollte nicht vorgenommen werden. Beim IT-Riskmanagement sind ähnliche Ausprägungen zu beobachten. Das IT-Riskmanagement wird bei Standardleistungen sehr technisch und feingranular häufig ohne Verknüpfung zum Geschäft betrieben. Meist resultieren diese Betrachtungen in Werten, die wenig belastbar sind und auch nur eine geringe Aussagekraft bieten. Zusätzlich werden diese Ergebnisse auch nicht außerhalb des IT-Riskmanagements genutzt. Ein typisches Beispiel ist die Ermittlung von monetären Werten für Risiken über geschätzte Auswirkungen und Eintrittswahrscheinlichkeiten. In der Praxis sind die ermittelten Werte meist so grob geschätzt, dass die Ergebnisse nicht belastbar oder für Außenstehende nicht nachvollziehbar sind, und zum anderen haben die monetären Werte nur in seltenen Fällen eine geschäftsrelevante Konsequenz außerhalb der IT. Das heißt, sie werden beispielsweise nicht für die Bildung von Rückstellungen herangezogen. Oft resultieren diese Auswüchse aus einer Silo-Betrachtung des IT-Riskmanagements. Zielführender ist ein intelligenter Riskmanagement-Ansatz, der ein dem Thema angemessenes Riskmanagement ermöglicht. Riskmanagement sollte dabei kein Selbstzweck sein, sondern sollte dazu dienen, Risiken zu identifizieren und sinnvolle Vermeidungsverfahren sicherzustellen. 2.6 IT-Compliance Während IT-Compliance früher fast ausschließlich in stark regulierten Branchen eine gewichtige Rolle spielte, ist sie heute dagegen für nahezu alle Unternehmen von hoher Relevanz. Steigende gesetzliche, industrielle und interne Anforderungen sowie der Trend zu erhöhten Sanktionen - bspw. Strafzahlungen bei Datenschutzpannen - haben das Thema auf die CIO-Agenda gehoben. Dennoch funktioniert die Umsetzung in der Realität häufig nicht reibungslos. Ein Grund hierfür ist, dass viele Unternehmen die Implementierung der Anforderungen eher als notwendige Pflicht betrachten, der nur geringe Priorität zugeordnet wird. IT- Compliance ist jedoch eine wichtige und zugleich umfangreiche, weil technisch aufwändige und juristisch vielfältige Aufgabe, die nur selten erfolgreich „nebenbei erledigt“ werden kann. Mit zunehmendem IT-Einsatz wird sich diese Komplexität noch weiter erhöhen, sodass die IT immer mehr Compliance-Anforderungen aus immer unterschiedlicheren Unternehmensbereichen und Prozessen zentral überblicken, koordinieren und nachhaltig erfüllen muss. <?page no="36"?> Rethinking IT-Governance 37 Es stellt sich die Frage nach der Gesamtzuständigkeit für die IT-Compliance, und damit einhergehend wie Gesetzes- und Regelungskonformität erreicht und gleichzeitig der Wertbeitrag der IT aufrechterhalten werden kann. Als Erfolgsfaktoren für eine effektive IT-Compliance-Funktion haben sich unter anderem die eindeutige Definition von Verantwortlichkeiten und Ressourcen sowie in Abhängigkeit vom Umfang und Komplexität die Implementierung einer gesonderten Organisationseinheit herausgestellt. Die Übertragung der Verantwortlichkeiten auf einen dedizierten Organisationsbereich bzw. eine eigenständige Rolle - die des Chief Compliance Officers (CCO) - ermöglicht dem CIO, seiner Innovatoren- und Problemlösungsrolle gegenüber dem Business besser gerecht zu werden. Eine geschlossene Silo-Betrachtung der IT-Compliance ist auch hierbei nicht zielführend. Vielmehr ist es sinnvoll, eine übergreifende Compliancefunktion zu etablieren, welche die Fachthemen aus unterschiedlichen Unternehmensbereichen integriert und diese im Sinne einer Querschnittsfunktion adressiert. 2.7 Unternehmenskultur Der zunehmende Wertschöpfungsanteil der IT hat über die vorgenannten Themen hinaus Auswirkungen auf die Unternehmenskultur und damit einhergehend auf die Wahrnehmung und das interne Rollenverständnis der IT. Während sich die klassische IT in der Vergangenheit häufig durch Technikverliebtheit und Komplexitätsdenken hervorgetan hat, wird es in Zukunft wichtiger werden, dass die Mitarbeiter der IT sich vor allem als Lösungsanbieter des Business verstehen. Üblicherweise sind jedoch Mitarbeiter in der IT - und damit die vorherrschende Kultur - überwiegend technisch geprägt, da kaum ein anderer Unternehmensbereich einen solch technischen Charakter hat. Dementsprechend wird die IT auch von anderen Unternehmensbereichen häufiger als Techniker betrachtet, und nur selten als Geschäftspartner auf Augenhöhe akzeptiert. Die zukünftige Rolle der IT wird nicht mehr ausschließlich technisch geprägt sein. Vorwiegend wird es darum gehen, zwischen den operationalen Aspekten der IT und den Anforderungen des Business zu vermitteln. Hierfür ist ein technisches Basisverständnis der Mitarbeiter notwendig, jedoch keine tiefe, funktionale Expertise. Vielmehr rücken das Verständnis über das Geschäft des eigenen Unternehmens sowie deren Geschäftsprozesse, Produkte und Services immer stärker in den Fokus der IT. Es lassen sich daraus zwei grundlegende Entwicklungen ableiten: CIO und IT-Manager-Rollen werden sich zunehmend zu einer generellen Management-Position entwickeln, die Bedeutung der reinen Technikkompetenz wird weiter abnehmen. Die nachfolgende Tabelle fasst ausgewählte Merkmale dieser Entwicklungen zusammen. <?page no="37"?> 38 Rethinking IT-Governance Klassische IT Business IT Kompetenzfokus der Mitarbeiter IT-Manager sind Technikexperten IT-Manager sind Geschäftsproblemlöser Verständnis des Einsatzzwecks der IT IT zur Unterstützung der Geschäftsprozesse IT zur Erhöhung der Wettbewerbsfähigkeit Integrationsverständnis IT ist separierbar vom Business IT ist in das Business integriert Wahrnehmung des Business Das Business ist Antragsteller Das Business ist der wichtigste Kunde Tabelle 2.3: Veränderungen im Verständnis und Anforderungsprofil der IT Richtig ist, dass sich der Großteil der CIOs bereits heute eher auf der Businessals auf der Technikseite sieht. Korrekt ist allerdings auch, dass viele CEOs zwar häufig zufrieden mit, aber nur selten beeindruckt von ihren CIOs sind. Bei der Rekrutierung, individuellen Förderung und Qualifizierung der IT-Mitarbeiter ist daher zukünftig auf Businessorientierte Aspekte und Soft Skills besonderer Wert zu legen. Schlussbetrachtung Dieser Buchbeitrag erläuterte die Auswirkungen, die sich durch den zunehmenden Einsatz von IT in Geschäftsprozessen, Produkten und Services in Unternehmen auf unterschiedliche IT-Governance-Bereiche ergeben. Ausgehend vom Deloitte IT- Governance-Modell wurden folgende sechs Kernbereiche der IT-Governance betrachtet: IT-Organisation IT-Managementprozesse Demand und Supply Management IT-Performance & Riskmanagement IT-Compliance und Unternehmenskultur Es wurde dargestellt, dass sich die zunehmende Bedeutung der IT für das Geschäft auf ihre Governance auswirkt. In diesem Zusammenhang lassen sich zwei übergeordnete Anforderungsströmungen feststellen. Zum Ersten ist mehr denn je eine starke Partnerschaft mit der Geschäftsseite gefragt. Dies wirkt sich insbesondere auf organisatorische Veränderungen, die Professionalisierung der IT-Managementprozesse, IT-Performance- und Riskmanagement sowie die Unternehmensbzw. Zusammenarbeitskultur aus. Zum Zweiten ist es erforderlich, dass die Rolle der IT klar definiert und abgegrenzt wird - etwa mit Blick auf das Management von Demand- und Supply-Seite oder das Thema IT-Compliance. Hierbei gilt es zu beachten, dass die individuelle Ausgestaltung der einzelnen Bereiche unter Berücksichtigung der jeweiligen Industrie, des spezifischen Geschäftsmodells und der konkreten Unternehmensstrategie erfolgen muss. <?page no="38"?> Rethinking IT-Governance 39 Unternehmen, die diese Aspekte beachten, können ihre IT-Governance optimal auf eine zunehmende IT-Durchdringung ausrichten und CIOs die beschriebene Ausgestaltung und Steuerung der IT - das Rethinking der IT-Governance - somit zu ihrem Vorteil nutzen, um im Wettbewerb nicht überholt zu werden. 2.8 Literatur Carr, N. G. (2003): IT Doesn’t Matter. - In: Harvard Business Review, 81. Jg., Heft 5, S. 41-49. Chan, Y. E. (2002): Why haven't we mastered alignment? The importance of the informal organization structure. - In: MIS Quarterly Executive, 1. Jg., Ausgabe 2, S. 97-112. Fröschle, H.-P. (Hrsg.) (2004): Glossar zu Wettbewerbsvorteile durch IT. - In: HMD - Praxis der Wirtschaftsinformatik, 41. Jg., Heft 239, S. 102-104. Gartner (2010): The 2010 Gartner Scenario: The Current State and Future Directions of the IT Industry. Johannsen, W./ Goeken, M. (2007): Referenzmodelle für IT-Governance. Strategische Effektivität und Effizienz mit COBIT, ITIL & Co. Heidelberg. Kohl, H. (2006): Benchmarking in der IT - Methoden, Möglichkeiten, Grenzen. - In: Praktisches IT-Management. Controlling, Kennzahlensysteme, Konzepte, hrsg. v. Blomer, R./ Mann, H./ Bernhard, M. G. Düsseldorf, S. 457-474. <?page no="40"?> 3 Einflussfaktoren für IT-Governance oder „Gibt es das richtige IT-Governance-Modell? “ Lars Schwarze und Christoph Dillmann IT-Governance und -Governance-Modelle lassen sich unterschiedlich ausprägen. In einigen Fällen ist in der Praxis die Ansicht anzutreffen, dass es ein „bestes IT-Governance-Modell“ gibt. Diese Ansicht trifft in der Form nicht zu. Vielmehr sind in der Praxis sowohl Geschäftsals auch IT-Treiber bei der unternehmensspezifischen Ausgestaltung des IT-Governance-Modells zu berücksichtigen. Dieser Artikel zeigt auf, welche Geschäfts- und IT-Treiber bei der Ausgestaltung des IT-Governance- Modells zu berücksichtigen sind und welche Implikationen sich im Hinblick auf die Ausgestaltung ergeben. Somit bietet der Beitrag eine Hilfestellung bei diesem unternehmensindividuellen Gestaltungsprozess. 3.1 Motivation Die Erkenntnis, dass es einer IT-Governance im Unternehmen bedarf, um die IT möglichst optimal im Hinblick auf das Geschäft des Unternehmens zu steuern, ist mittlerweile als evident anzusehen. Die Diskussionen zeigen jedoch, dass die konkrete Ausprägung eines Governance-Modells in den Unternehmen nicht immer mit der optimalen Stringenz erfolgt, was häufigere Anpassungen zur Folge hat. Für IT-Governance gibt es keine Standardlösung. Es handelt sich hierbei um einen unternehmensindividuellen Gestaltungsprozess bei dem die relevanten Einflussfaktoren zur möglichst optimalen Ausrichtung des IT-Governance-Modells zu berücksichtigen sind. Vor diesem Hintergrund werden im Rahmen dieses Beitrags die wesentlichen Einflussfaktoren sowohl aus Geschäftsals auch aus IT-Perspektive erläutert. Als weitere Hilfestellung zur konkreten und unternehmensspezifischen Ausgestaltung des IT- Governance-Modells werden grundsätzliche Gestaltungsoptionen auf Basis der für ein Governance-Modell erforderlichen Komponenten sowie idealtypische Basismodelle vorgestellt. 3.2 Einflussfaktoren zur Ausgestaltung der IT-Governance 3.2.1 Einflussfaktoren aus Geschäftsperspektive 3.2.1.1 Branchenumfeld In Abhängigkeit vom Branchenumfeld eines Unternehmens muss die IT-Funktion angepasst werden. Als wesentliche Determinanten sind dabei das Leistungsprogramm als Kombination aus Produkten und Dienstleistungen, die Kundenstrukturen, der geographische Aktionsraum sowie das Ecosystem im Sinne von Kooperationen und Lieferantenstrukturen zu berücksichtigen. Eine Vielzahl der genannten Einflussfaktoren wurde in verschiedenen empirischen Studien erforscht und definiert. <?page no="41"?> 42 Einflussfaktoren für IT-Governance Die Leistungserbringungsprozesse des Unternehmens, die sich aus dem Leistungsprogramm ergeben, sind über die Geschäftsprozessanwendungen und ihren technischen IT-Infrastrukturen maßgebliche Determinanten der IT-Organisationsstruktur. Darüber hinaus ist der Diversifikationsgrad des Unternehmens bei der IT-Organisationsgestaltung zu berücksichtigen. Bei horizontaler und vertikaler Diversifikation spielen Synergieeffekte (Economy of Scope) eine bedeutende Rolle und bestimmen wiederum den Integrationsgrad von Wertschöpfungsstufen, Geschäftsprozesse und Informationsbzw. Datenbasen. Diese sind wiederum zentrale Treiber des Anwendungsportfolios und damit maßgebliche Einflussfaktoren der IT-Organisation. Ein weiterer Einflussfaktor ist die Kundenstruktur des Unternehmens. Die effektive und effiziente Bedienung derselben Kunden aus unterschiedlichen Geschäftseinheiten (Business Units) heraus mit unterschiedlichen Produktgruppen erfordern hoch integrierte Geschäftsprozesse und Datenbasen. Ein derart integriertes Anwendungsportfolio erfordert tendenziell zentrale Strukturen und Koordinationsprozesse. Sofern die einzelnen Geschäftseinheiten eines Unternehmens klar voneinander abgegrenzte Kunden bedienen, ist ein geringerer Integrationsgrad bezüglich der Geschäftsprozesse und Datenbasen erforderlich. Somit können die Strukturen und Koordinationsprozesse auch dezentraler ausgeprägt werden. Neben dem Leistungsprogramm des Unternehmens und seinen Kundenstrukturen ist seine Internationalisierung ein weiterer Einflussfaktor, d.h. die Geographie und Regionen in denen das Unternehmen tätig ist. Die Koordination ausländischer Tochtergesellschaften wirft zusätzliche Probleme für die IT-Governance auf. Dabei hat die Entfernung zu anderen Standorten (aus Sicht der Zentrale) ebenso einen Einfluss auf die Ausgestaltung von Organisationsstrukturen und auf Entscheidungs- und Koordinationsprozessen wie die Gesamtunternehmensstruktur. Empirisch zeigt sich, dass eine Internationalisierung tendenziell zu einer Divisionalisierung der Unternehmensstruktur führt. 13 Darüber hinaus sind in einigen Regionen kulturelle Unterschiede, Zeitzonen- und Sprachprobleme zu beachten und beeinflussen Entscheidungsprozesse und -strukturen. Das Ecosystem umfasst sowohl Kooperationen mit anderen Unternehmen (Kollaboratives Management) als auch Lieferanten. Diese Strukturen führen zur Auslagerung bestimmter Aufgaben und daher auch zu unterschiedlichen Organisationsstrukturen. Beispielsweise ist es in der Automobilzuliefererindustrie ein signifikanter Unterschied, ob ein Unternehmen 1 st oder 2 nd Tier-Lieferant (d.h. ob direkter oder indirekter Lieferant von Automobilherstellern) ist, insbesondere hinsichtlich des Integrationsgrads der Geschäftsprozesse und der Informationssysteme. Aus diesem Grund sollte eine Branchenstrukturanalyse ein wichtiger Bestandteil der strategischen Analyse sein und als Ergebnis in die IT-Strategieentwicklung einfließen. 3.2.1.2 Geschäftsstrategie Die Geschäftsstrategie als Einflussfaktor beeinflusst in hohem Maße die IT-Delivery und Managementfunktion. Gemäß Porter 14 lassen sich drei Grundtypen von Ge- 13 Vgl. Kieser, Alfred/ Kubicek, Herbert (1992). Organisation, 3. Auflage, Berlin et al. 1992, 253 ff. 14 Vgl. Porter, Michael E. (1980): Competitive Strategy: Techniques for analyzing industries and competitors, New York. <?page no="42"?> Einflussfaktoren für IT-Governance 43 schäftsstrategien differenzieren: Kostenführerschaft, Nischenanbieter, Differenzierung. Zudem müssen als Sonderform einer „Geschäftsstrategie“ monopolistische bzw. oligopolistische Marktstrukturen betrachtet werden, wobei sich diese Formen aufgrund von Marktstrukturen ergeben. Bei der Strategie der Kostenführerschaft will ein Unternehmen durch geringere Kosten einen Wettbewerbsvorteil erlangen, indem es auch dann noch Gewinne erwirtschaftet, wenn die Wettbewerber versuchen, mittels „ruinösem“ Preiswettbewerb Marktanteile zu gewinnen. Dies wird unter anderem z.B. durch Skaleneffekte, Verbundeffekte, Lernkurveneffekte, aber auch durch einen hohen Automatisierungsgrad der IT erzielt. Als Nischenplayer konzentriert sich die Unternehmung auf bestimmte Segmente der Branche und erzielt dadurch Wettbewerbsvorteile, sodass es in der Lage ist, seine Kompetenzen und Ressourcen besser auf die Bedürfnisse einer kleineren Kundengruppe auszurichten. Der Fokus liegt hier stark auf der Unterstützung von Innovationen durch IT. Für die IT-Organisation ergibt sich die Implikation einer hohen Flexibilität. Die Qualitätsführerschaft zeichnet ein Unternehmen aus, wenn seine Kunden mit seinen Produkten und Services einen höheren Nutzen als mit Produkten der Wettbewerber verbinden. Dieser Nutzen kann z.B. durch einen höheren Preis, Image oder Qualität generiert werden. In diesem Fall ist die Kaufbzw. Preisbereitschaft der Kunden zu maßgeschneiderten, erweiterten und damit auch teureren Leistungen höher. Ein Monopol liegt dann vor, wenn für ein bestimmtes Produkt/ für einen bestimmten Service nur ein Anbieter oder nur ein Nachfrager existiert. Beim Oligopol existieren auf der einen Seite viele Nachfrager, denen aber nur wenige Anbieter gegenüberstehen (Angebotsoligopol). In solchen Situation ist häufig ein Mangel an Unternehmertum zu beobachten, weshalb kein marktseitiger Druck zu standardisierten IT-Lösungen besteht und durchaus individuelle bzw. teilweise proprietäre Systeme zum Einsatz kommen. 3.2.1.3 Trends und Entwicklungen Generelle Markttrends, das Entwicklungsstadium des Unternehmens, die Wettbewerbssituation, Architekturen sowie die technologische Dynamik nehmen entscheidenden Einfluss auf die IT-Funktion eines Unternehmens. Das Entwicklungsstadium der Unternehmung hat unterschiedlichen Einfluss auf die Aufbauorganisation in Abhängigkeit auf die Entwicklungsphase des Unternehmens. Dabei sind folgende Entwicklungsphasen zu unterscheiden: Start-up, Growth, Mature und Renewing. Demnach haben beispielsweise Start-up-Unternehmen das Bestreben, ihre Strukturen gemäß dem zu erwartenden Wachstum skalierbar zu gestalten, um den Fixkostenanteil so gering wie möglich zu halten. Es gibt Beispiele, dass Start-ups bereits für wenige Mitarbeiter SAP R/ 3 eingeführt haben, um auf ein geplantes Wachstum vorbereitet zu <?page no="43"?> 44 Einflussfaktoren für IT-Governance sein. Fundamental ist die Bestimmung der optimalen Wertschöpfungstiefe, das heißt der Anteil an Eigenleistungen. Der steigende Wettbewerbsdruck induziert in fast allen Branchen und Industrien die Erfordernis, alle möglichen Effizienz- und Kostensenkungspotenziale im Unternehmen zu heben. Während in Wachstumsphasen die Effektivität vor Effizienz steht, da die Margen hoch genug sind, wird die eigene Wertschöpfungstiefe - insbesondere der IT - auf den Prüfstein gestellt. Somit sind bei Unternehmen in einem wettbewerbsintensiven Marktumfeld eher fokussiert auf zentralere Strukturen, um Synergien und damit Kostensenkungspotenziale zu realisieren. Eingesetzte IT-Infrastrukturen und Anwendungssysteme haben ebenfalls einen starken Einfluss auf die IT-Organisationsstruktur. In einem Host-Umfeld zum Beispiel trifft man eher auf zentralistische Strukturen. Des Weiteren gilt grundsätzlich der Erfahrungswert, dass je heterogener das Anwendungsportfolio und die zugrunde liegende IT- Infrastruktur eines Unternehmens ist, desto größer und aufwendiger ist der Koordinationsaufwand zur Weiterentwicklung und zum Betrieb. Der mögliche und sinnvolle Standardisierungsgrad ist abhängig von der Spezifität des Geschäftes und der Geschäftsprozesse und damit wiederum vom Leistungsprogramm des Unternehmens. Innovationszyklen von Technologien bedeuten, ständig neues Wissen aufzubauen. Aufgrund der zunehmend komplexeren Technologien können insbesondere kleinere IT- Organisationen das entsprechende Wissen nicht mehr schnell genug aufbauen. Damit sinkt die Fähigkeit, neue IT-Lösungen zu entwickeln. Verstärkt wird dieser Trend durch zunehmend konvergierende Technologien wie Informations- und Kommunikationstechnologien (z.B. integrierte Sprach-/ Datenübertragung wie Voice over IP, Endgeräte etc.). 3.2.1.4 Einflussgrößen im Hinblick auf die Holdingform Das IT-Governance-Modell sollte mit der Philosophie der Unternehmens-Governance abgestimmt werden (siehe Abbildung 3.1: Einflussgrößen im Hinblick auf die Holdingform). Häufig anzutreffen sind die Holdingorganisationstypen Finanz-Holding, Management-Holding sowie Stammhaus-Konzern. 15 Unter einem Konzern versteht man die Zusammenfassung mehrerer rechtlich selbständiger, aber beherrschter Unternehmen (i.d.R. Kapitalgesellschaften) unter einer einheitlichen Leitung des beherrschenden Unternehmens. Betreibt das beherrschende Unternehmen ein eigenes operatives Geschäft und nimmt tiefgreifenden Einfluss auf die Strategien, Planungen und Entscheidungen der Bereiche bzw. Tochtergesellschaften, so spricht man von einem Stammhauskonzern. In Abhängigkeit des Führungsanspruchs der Konzernzentrale (= Holding) ergeben sich drei grundlegende Holdingformen: Stammhauskonzern, strategische Management-Holding und die reine Finanzholding. 15 Vgl. Schmidt, G.: Grundlagen der Aufbauorganisation, 4. Auflage, Band 5, Gießen 2000, S. 332 ff. <?page no="44"?> Einflussfaktoren für IT-Governance 45 Ein klassischer Stammhauskonzern ist dadurch gekennzeichnet, dass die Zentrale selbst Umsätze tätigt und Querschnittsfunktionen wie z.B. Produktion, Einkauf, Forschung und Entwicklung oder Informationsverarbeitung usw. zentral übernimmt. Die Bedeutung der Zentrale als Stammhaus kommt demnach in ihrem wirtschaftlichen, finanziellen und organisatorischen Übergewicht zum Ausdruck. Grundsätzlich kann ein solcher Stammhauskonzern sowohl funktional als auch nach Geschäftsbereichen gegliedert sein. Weist hingegen ein Konzern eher eine Geschäftsbereichsorganisation auf, liegt häufig eine dezentrale Holdingstruktur vor, die mehrere weitgehend unabhängig voneinander operierende Geschäftsbereiche unter einem Holdingdach zusammenfasst, wobei sowohl die Holdingspitze als auch die einzelnen Geschäftsbereiche als rechtlich selbständige Einheiten gegeben sind. Dabei operieren nur die einzelnen Tochtergesellschaften auf den jeweiligen Gütermärkten, während die Holdinggesellschaft selbst keine externen Umsätze erzielt, sondern von allen operativen Aufgaben befreit ist. Sie konzentriert sich auf die strategische Ausrichtung des Konzerns und definiert Vorgaben im Sinne einer Unternehmens-Governance (z.B. Konzern-Rechnungslegungsvorschriften, IT-Standards usw.). Es soll also eine Trennung (Dekomposition) des operativen Tagesgeschäfts und der strategischen Aufgaben erreicht werden. Das operative Tagesgeschäft wird an die Töchter delegiert und die strategischen Aufgaben verbleiben bei der Konzernleitung. In der Zentrale verbleiben noch gewisse unterstützende, gegenüber den Tochtergesellschaften zu erbringende Serviceleistungen (z.B. Shared Service Organisationen) wie Rechtsberatung, Marktforschung, Öffentlichkeitsarbeit oder auch IT. Reine Finanzholdings werden in der Regel ausschließlich über Kennzahlen und Zielvorgaben gesteuert. Die IT-Governance muss sich als Bestandteil der Gesamtunternehmens-Governance an dieser ausrichten und ist damit der allgemeinen Diskussion um Zentralisierung und Dezentralisierung unterworfen. Dabei ist zu klären, was unter Zentralisierung zu verstehen ist, da unterschiedliche Objekte „zentralisiert“ oder „dezentralisiert“ werden können und in der Unternehmenspraxis selten Idealtypen anzutreffen sind, sondern stets Mischformen. Demzufolge wird unterschieden nach: geographischer (bezieht sich auf konkrete Standorte und Regionen), organisatorischer (Struktur und Prozesse) sowie technologischer Zentralisierung (IT-Systeme in Form von Anwendungen und IT-Infrastrukturen). <?page no="45"?> 46 Einflussfaktoren für IT-Governance Abbildung 3.1: Einflussgrößen im Hinblick auf die Holdingform 3.2.2 Einflussfaktoren aus IT-Perspektive 3.2.2.1 IT-Organisationsmodell Ein adäquates IT-Governance-Modell ist vom IT-Organisationsmodell des Unternehmens abhängig. Dabei lassen sich zwei idealtypische Grundformen unterscheiden: das zentrale und das dezentrale Modell. Diese Modelle sind bei realen IT-Organisationen nur selten in Reinform anzutreffen. Häufiger finden sich verschiedene Ausprägungen der Mischform des „koordinierten IT-Modells“ (auch hybrides Modell genannt). Das zentrale IT-Organisationsmodell ist dadurch gekennzeichnet, dass die wesentlichen Objekte und insbesondere die Entscheidungsprozesse zentral organisiert sind. Zentrale IT-Organisationsmodelle sind z.B. insbesondere bei Banken, Energieversorgungs- oder Chemieunternehmen anzutreffen. Der größte Vorteil des zentralen IT-Modells ist die optimale Ausschöpfung von Synergien. Die Ausschöpfung der Synergien ist wiederum vom Diversifikationsgrad des Unternehmens abhängig, da bei einem höheren Diversifikationsgrad die Synergien tendenziell geringer sind bzw. mit höherem Aufwand zu realisieren sind. Ferner kann das zentrale IT-Modell die beste Kostentransparenz und -struktur aufweisen. Seine Nachteile sind die Distanz zum Geschäft und seine Inflexibilität hinsichtlich neuer Lösungen, da aufgrund der Synergien regelmäßig ein größerer Lösungsdiskurs anvisiert wird, und aus der Sicht der dezentralen Geschäftseinheiten notwendig erscheint. Um den Grad der Ausprägung im dezentralen Organisationsmodell hinsichtlich der Entscheidungs- und Durchführungsprozesse zu bestimmen, dient eine typische Holdingstruktur als Basis. Bei dieser stellen Geschäftsbereiche eigene rechtliche Einheiten dar, die wiederum nach Geschäftseinheiten gegliedert sind. Diese Geschäftseinheiten führen ihrerseits rechtlich selbständige Unternehmen und Rechtsformen mit spezialisiertem Leistungsprogramm. Sind sämtliche IT-Funktionen (Entscheidung und Durchführung) in diesen rechtlichen Einheiten sozusagen auf Einzelunternehmensebene ange- Stammhauskonzern Strategische Management-Holding Finanzholding Führungsanspruch der Konzernleitung Diversifikationsgrad Möglicher Wertschöpfungsbeitrag der Konzernleitung H M N H M N H M N Globalisierung der Geschäftsfelder H M N Qualität der Führungsinstrumente H M N Zentrales IT Modell Koordiniertes IT Modell Dezentrales IT Modell <?page no="46"?> Einflussfaktoren für IT-Governance 47 siedelt, kann man von einer maximalen Dezentralisierung sprechen. Eine Koordination, wenn überhaupt, findet nur auf Ebene der Geschäftseinheiten statt. Zentrale IT- Instanzen haben keinen bis unwesentlichen Einfluss oder Zugriff auf diese Einheiten, die sich hinter ihrer Rechtsform abschotten können. Vorteile des dezentralen IT-Organisationsmodells sind die hohe Flexibilität sowie die Nähe zum Geschäft, da die IT-Lösungen nur einen überschaubaren und weniger komplexen Diskurs abdecken müssen. Gleichsam wird die IT häufig von den als Profitcenter geführten Geschäftsbereichen oder -einheiten als Hoheitsgebiet angesehen, wenn zentrale Einflussnahmen Investitionsentscheidungen „steuern“ sollen. Zu den größten Nachteilen dieses Modells gehören Aspekte wie hohe Gesamt-IT-Kosten, große Kostenintransparenz, geringe Nutzung von Skaleneffekten sowie fehlende Synergien durch Vermeidung von Mehrfachentwicklungen oder Lernkurveneffekten im Gesamtunternehmen. Wie bereits angedeutet, handelt es sich bei dem „koordinierten“ IT Organisationsmodell um eine Mischform. Für diesen Modelltyp werden zwei wesentliche Aspekte diskutiert: Differenzierung nach IT-Prozessclustern und Koordination durch IT-Gremien. Grundsätzlich ist in diesem Zusammenhang zwischen den einzelnen Objekten im Sinne von Geographie, Struktur, Prozesse und Systeme zu unterscheiden. Dabei können die Prozesse nicht nur nach ihrem Standardisierungs- und Verteilungsgrad differenziert werden. Es lassen sich folgende IT-Prozesscluster, nach dem IT-Lebenszyklus unterscheiden: Plan (i.S.v. Planung, Beratung, Konzept und Entscheidungsfindung), Build (i.S.v. Design, Entwicklung, Implementierung und Rollout), Run (i.S.v. Betrieb, Support, Service und kontinuierliche Optimierung) sowie Manage (i.S.v. Zielvorgaben, Steuerung). Beim koordinierten Modell werden diese Prozesscluster gemäß ihrem Synergiebeitrag mehr oder weniger zentralisiert. Der Zentralisierungsgrad muss dabei nicht homogen sein, sondern passt sich den jeweiligen Unternehmenssituationen an. In diesem Zusammenhang kann folgender Entwicklungstrend in der Praxis beobachtet werden: Der Konzernholding obliegt eine starke Koordinationsfunktion (entspricht: Manage und Plan), um identifizierte und nachgewiesene Synergiebereiche zu heben und mit einheitlichen Standards zu steuern. Auf Unternehmensbereichsebene oder durch bereichsübergreifende IT-Gremien gesteuert, findet man die Prozesscluster „Plan“ und „Build“. Diese planen den optimalen Einsatz der IT, ausgehend von den Geschäftsbedarfen. Dabei erfolgt auch häufig eine Bündelung auf regionaler Ebene in Form von Competence- oder Servicecentern. Der Prozesscluster „Run“ in Form des eigentlichen Betriebs der Informationssysteme und IT-Infrastrukturen ist zunehmend Gegenstand von Zentralisierungen in Form von Shared-Service-Organisationen (siehe z.B. Bayer, Lufthansa) oder umfassenden IT-Outsourcing-Aktivitäten (siehe z.B. Deutsche Bank). Dabei entstehen wiederum hybride Formen von so genannten „Delivery Organisationen“, in dem Shared-Service-Organisationen die Bedarfe der Konzerngesellschaften einheitlich und zentral/ regional bündeln und durch einen oder mehrere IT-Dienst- <?page no="47"?> 48 Einflussfaktoren für IT-Governance leister erbringen lassen. Die entsprechenden Steuerungsprozesse einer derartigen „Delivery Organisation“ werden unter dem Prozesscluster „Manage“ subsummiert. Abbildung 3.2: Vergleichender Überblick der idealtypischen IT-Modelle Der zweite Aspekt des „koordinierten“ IT-Organisationsmodells beschäftigt sich mit den IT-Gremien, einem wichtigen Koordinationsinstrument zur Meinungsbildung und Steuerung der IT. Bei den IT-Gremien (Councils) und Lenkungsausschüssen (Steering Committees) handelt es sich um so genannte sekundäre Organisationseinheiten, die zur Unterstützung der Primärorganisation eingesetzt werden und durch folgende Merkmale geprägt sind: zwei oder mehr Aufgaben- oder Entscheidungsträger sind beteiligt, Mitglieder kommen aus unterschiedlichen Einheiten der Primärorganisation oder von externen Dienstleistern, Mitglieder können aus unterschiedlichen Hierarchieebenen stammen, es werden nur klar abgegrenzte Aufgaben erledigt (gemäß Geschäftsordnung) und die Zusammenarbeit erfolgt in Form von vorbereiteten Sitzungen (keine permanente Zusammenarbeit). Die Gremien und Lenkungsausschüsse unterscheiden sich nach Aufgabenstellung und einzubindenden Hierarchieebenen. Typischerweise gibt es IT-Gremien, die zum einen die IT in ihrer Gesamtheit hinsichtlich der Ausrichtung und des IT-Projektportfolios steuern. Zum anderen kann der Steuerungsumfang auch die Abstimmung operativer Projektergebnisse und technischer Aspekte wie Standards oder Innovationen und den damit verbundenen, unternehmensweiten Investitionen beinhalten. Je nach Unternehmenssituation variieren die definierten IT-Gremien, ihr Aufgaben- und Entscheidungsspielraum sowie ihre Besetzung. Vorteile von IT-Gremien sind: Dezentrales IT Modell Zentrales IT Modell Koordiniertes IT Modell SGE 1 SGE 2 SGE 3 SGE 4 SGE 1 SGE 2 SGE 3 SGE 4 IT SGE 1 SGE 2 SGE 3 SGE 4 IT • Entscheidungen und IT Budgethoheit vollständig dezentral in den Strategischen Geschäftseinheiten • Erfahrungsaustausch evtl. über CIO-Kreis auf Ebene der Strategischen Geschäftseinheiten • Erfahrungsgemäß hohe IT- Gesamtkosten • Verteilte IT-Funktionen (z.B. Anwendungsentwicklung dezentral und IT Infrastruktur/ Produktion zentral) • Erfahrungsgemäß hohe Kommunikationskosten • Alle IT-Funktionen gebündelt in einer Organisationseinheit • Evtl. nur IT-Koordinatoren in den Fachbereichen bzw. Strategischen Geschäftseinheiten • Erfahrungsgemäß niedrigere IT- Gesamtkosten <?page no="48"?> Einflussfaktoren für IT-Governance 49 flexible Koordinationsfunktion über Abteilungs-, Bereichs-, Unternehmens- und Ländergrenzen hinweg, Koordination über Hierarchieebenen hinweg, ohne den Dienstweg einzuhalten, keine Veränderung der Primärorganisation, kurzfristig einzuberufende IT-Gremien oder Lenkungsausschüsse stellen ein flexibles Instrument dar, um schnell unternehmensweite Entscheidungen und damit Veränderungen herbeizuführen. Business-/ IT Strategy Council IT Business Council IT Technical Council Diskurs - Entscheidung über die unternehmensweite Informatikstrategie - Entscheidung über das gesamte IT-Projektportfolio - Entscheidung über unternehmensweite Infrastrukturinvestitionen - Operationalisierung der Unternehmensstrategie - IT-Finanzen und Budgetierung - Lösung von eskalierten Problemen - Überwachung der laufenden Umsetzungsprojekte - Vorprioirisierung von IT-Initiativen - Lösung oder Eskalation von Priorisierungs- oder Ressourcenkonflikten - Anpassung und Weiterentwicklung von technischen Architekturen, Standards, Projektmanagementme thoden und Best Practices Ziel Sicherstellung des Wertbeitrages der IT sowie der optimalen Ausrichtung der IT an die Unternehmens- und Geschäftsbereichsstrategien . Gewährleistung, dass IT-Initiativen aus Geschäftssicht und -nutzen initiiert und gesteuert werden. Abstimmung von übergreifenden Initiativen. Sicherstellung der übergreifenden Zusammenarbeit von allen Stakeholdern (inkl. externe Dienstleister) und Nutzung vorhandener Informationen. <?page no="49"?> 50 Einflussfaktoren für IT-Governance Mitglieder - Vorstand/ Geschäftsführung - Geschäftsbereichsleitungen - CIO - Projektauftraggeber - Process Owner - IT-Projektleiter - betroffene IT- Manager - Prozessmanager - IT-Manager - externe Dienstleister Tabelle 3.1: Grundsätzliche Typen von IT-Gremien Allgemeingültige Handlungsempfehlungen zur Anzahl, zum Aufgaben- und Entscheidungsspielraum oder zur Besetzung können nur sehr grob gemacht werden. Aus unserer Beratungserfahrung ergeben sich folgende Leitlinien: Die Gesamtanzahl von IT steuernden Gremien ist so niedrig wie möglich zu halten. Die Anzahl der Mitglieder ist in engen Grenzen zu halten und sollte <10 sein, um effektiv Entscheidungen treffen zu können. Als Selektionskriterium für die Besetzung ist die relative Bedeutung der Fachbereiche gemessen an ihrem Geschäftsbeitrag heranzuziehen. Die Interessen der Fachbereichen, die nicht involviert sind, sind explizit durch »verwandte« Fachbereiche zu übernehmen. Querschnittsfunktionen sind entsprechend ihrer Bedeutung einzubeziehen (z.B. Controlling). Die Gremienorganisation in Struktur und in ihren Entscheidungsprozessen ist innerhalb einer Geschäftsordnung oder eines Projektmanagement-Handbuchs zu definieren. Zum Informationsaustausch können je Agenda zusätzliche Berichterstatter hinzugezogen werden. Und letztendlich: Der Entscheidungsprozess ist zielorientiert durch den CIO oder den jeweils verantwortlichen IT-Manager zu steuern und zu protokollieren (im Sinne der Revisionsfähigkeit). Eine allgemeingültige Bewertung der einzelnen Organisationsmodelle ist immer mit Unsicherheiten verbunden. Daher sind die bewertenden Aussagen stets nur als grobe Erfahrungswerte zu verstehen und im Kontext der jeweiligen Situation des Unternehmens zu beurteilen. 3.2.2.2 Grad der IT-Konvergenz Bei der Diskussion von IT-Organisationsmodellen ist die Unterscheidung hinsichtlich des Marktbezugs zu beachten. IT-Organisationen mit überwiegend externem Marktbezug (wie z.B. IBM, CSC, HP/ EDS, T-Systems, SAP o.a.) verfolgen andere Zielsetzungen und funktionieren partiell anders als solche IT-Organisationen, die im Wesentlichen unternehmensinternen Zwecken dienen. Im ersten Fall ist die Erbringung von IT-Dienstleistungen zentraler Gesamtunternehmenszweck und ist geprägt durch das Gewinnstreben. Auf dieses Unternehmensziel hin sind die Unternehmensstrukturen <?page no="50"?> Einflussfaktoren für IT-Governance 51 ausgerichtet. Bei IT-Organisationen mit internem Marktbezug hingegen handelt es sich um eine klassische Querschnitts- und Unterstützungsfunktion, die am eigentlichen Geschäftssystem auszurichten ist. Dieser Beitrag konzentriert sich auf IT- Organisationen mit tendenziell internem Marktbezug. Neben der Differenzierung des Marktbezugs ist bei der Betrachtung und Gestaltung von Governance-Strukturen zu klären, welche Unternehmensfunktionen mit IT unterstützt werden, d.h. welchem Zweck sie letztendlich dienen. Demzufolge werden die Domänen betriebswirtschaftliche IT, technische IT und Produkt-IT unterschieden. Die Abgrenzung zwischen betriebswirtschaftlichen und technischen Anwendungssystemen wird auf der Ebene der Maschinengruppe (DNC/ Prozessleitstand) gesehen, d.h. die Maschinen- und Prozessebene wird zu den technischen Anwendungssystemen gezählt. Die Ebenen Betrieb/ Bereich gehören zu betriebswirtschaftlichen Anwendungssystemen, wobei diese Abgrenzung aufgrund der gegenwärtigen technischen Entwicklung zunehmend ihre Trennschärfe verliert. Betriebswirtschaftliche IT umfasst im Wesentlichen Anwendungssysteme der Unternehmensplanung und -steuerung, des Kundenmanagements oder auch der Produktionsplanung und -steuerung (z.B. SAP R/ 3, Siebel CRM, Oracle oder Peoplesoft o.a.). Unter technischer IT werden Informationssysteme verstanden, die primär der operativen Steuerung von Produktionsmaschinen und -anlagen dienen. Aufgrund der notwendigen Integration zu den betriebswirtschaftlichen Steuerungsfunktionen z.B. eines SAP R/ 3 PP sind einheitliche Kommunikationsstandards notwendig. In der Zukunft besteht insbesondere bei einem zunehmenden Integrationsgrad und Konvergenz von Technologien die Herausforderung, eine Abgrenzung zwischen betriebswirtschaftlicher und technischer IT zu finden. Da in der Regel zentrale und dezentrale IT- Verantwortungsbereiche tangiert sind, kommt es in der Praxis immer wieder zu Konflikten zwischen zentraler IT, ggf. zentraler Verwaltung (Telefon) und IT-Aufgaben in den Fachbereichen. Jedes Unternehmen muss für sich im Hinblick auf die IT- Governance Antworten auf folgende Fragen finden: Was wird im Unternehmen unter IT-Aufgaben verstanden? Welche Anwendungssystemklassen sind zu definieren, um das gesamte Anwendungsportfolio sinnvoll zu strukturieren? Welche Organisationseinheiten sind für welche Anwendungssystemklassen in welcher Form und Umfang verantwortlich? Als dritte Domäne kann die Produkt-IT identifiziert werden. Unter Produkt-IT werden sowohl Hardwareals auch Softwarekomponenten verstanden, die in das vom Unternehmen zu vertreibende Produkt eingehen. Derartige Systeme nutzen ggf. identische Entwicklungsumgebungen oder internes Wissen, kommen aber unternehmensintern nicht zum Einsatz. Ein Beispiel haben wir bei einem Energieversorgungsunternehmen kennengelernt, welches bedarfsgerechte CRM-Systeme für eine bestimmte Kunden- <?page no="51"?> 52 Einflussfaktoren für IT-Governance gruppe entwickelt und kostenlos zur Verfügung gestellt hat, um damit die Kundenbindung zu fördern. Derartige Software- oder Technologieentwicklungen finden in der Regel in den jeweiligen Funktionsbzw. Fachbereichen und damit dezentral statt. Es kann festgestellt werden, dass keine über den Professionalitätsgrad hinausgehende Notwendigkeit besteht, diese Form von IT zwingend zu zentralisieren. Voraussetzung ist allerdings, dass keine physischen Zugänge oder sonstigen Integrationsbeziehungen zur gesamten IT-Architektur bestehen. Wie die nachfolgende Abbildung verdeutlichen soll, unterscheiden sich die Abhängigkeiten und Beziehungen zwischen den IT-Kategorien deutlich in Abhängigkeit der Branche und Industrie. Je klarer eine Trennung zwischen diesen Kategorien im Unternehmen erfolgen kann, desto einfacher ist die IT-Governance zu gestalten. Grundsätzlich ist ein Trend zu erkennen, dass die betriebswirtschaftliche und technische IT immer stärker zusammenwachsen (Technologiekonvergenz). Dieser Trend verstärkt die Notwendigkeit, das Abgrenzungsproblem bei der IT-Governance oder der IT- Strategieentwicklung zu adressieren und zu klären. Abbildung 3.3: Interdependenzen zwischen IT-Domänen 3.2.2.3 Einzigartigkeit der IT-Umgebung Die Einzigartigkeit der IT Umgebung hängt insbesondere sowohl von den Geschäftsanforderungen als auch vom Reifegrad der eingesetzten Technologie ab. Je stärker die Ausrichtung der Serviceportfolios an den Geschäftsanforderungen, desto schwieriger wird eine Auslagerung der entsprechenden IT-Services an externe Dienstleister. So sind zum Beispiel für Support-Dienstleistungen generell viele externe Anbieter zu finden, doch lassen sich im Kontext von in der Entwicklung befindlichen Anwendungen oder im Einsatz befindlicher Individualsoftware ggf. beabsichtigte Einsparungshebel schwieriger realisieren. Der Einfluss auf das IT-Management hängt von der Einbindung der IT an der Wertschöpfungskette ab. So sollten IT-Komponenten, die eindeutig als Kernkompetenz deklariert sind, nicht ausgelagert werden - im Gegensatz zu „Massenprodukten“, die z.B. Energieversorgung z.B. Banken/ Versicherungen z.B. Automobilzulieferer T • Zunehmende Integration (z.B. GIS, Dispatching, Energiehandel) von Technik und Betriebswirtschaft. • Eigentliches Endprodukt hat keinen IT Bezug (abgesehen von Finanzgeschäften des Energiehandels). • Extrem hohe Integration der IT aufgrund der sehr hohen Anforderungen (z.B. Meldewesen). Bankprodukt fast ausschließlich IT. • Technische IT gibt es in der Form nicht. • Zunehmende Integrationsmöglichkeiten zwischen betriebswirtschaftlicher und technischer IT. • Kaum Synergien in Anwendungsentwicklung zwischen Betriebswirtschaftlicher und Produkt-IT. PPS und CAx STP Systemoptimierung • ERP • CRM • DWH • Reporting • Collaboration Systeme • PPS • Chip Software • Elektronische Services • Navigationssysteme • CAD • CAx • Netztechnik Betriebswirtschaftliche IT Produkt- IT Technische IT B P T B P B P T Konvergenz von technischen und betriebswirtschaftlichen Anwendungssystemen <?page no="52"?> Einflussfaktoren für IT-Governance 53 aufgrund geringerer Komplexität ausgelagert werden können. Die Einbindung in den Governanceprozess hängt somit vorrangig von Geschäftsspezifität und Reifegrad ab. 3.2.2.4 IT-Sourcingstrategie Das Governance-Modell sollte unter anderem auch an bestehende und zukünftige Sourcingstrategien angepasst werden bzw. Strukturen und Abläufe beinhalten, die eine Flexibilität gegenüber der Veränderung von Sourcingstrategien gewährleisten. So sind z.B. sowohl Fragestellungen der Lieferantensteuerung als auch die Ausrichtung der internen IT und eigene IT-Tochterfirmen an die Geschäftsanforderungen zu berücksichtigen. So muss bei der „internen“ Sourcingstrategie im Rahmen des Governance-Modells die Bereitstellung von Ressourcen und Know-how sowie eine darauf aufbauende anforderungsgerechte operative Leistung gewährleistet werden. Die Anforderungen aus einer Strategie im Zusammenhang mit einer abhängigen Konzern IT-Gesellschaft ergeben sich aus den Ausrichtungen der Konzern-IT an die Geschäftsanforderungen. Dabei sollen insbesondere Konflikte aufgrund etwaiger Ausschließlichkeit gelöst und, wenn möglich, verhindert werden. Beim Outsourcing ist es von besonderer Bedeutung, die detaillierten Spezifikationen der Anforderungen und das Lieferanten- und Vertragsmanagement mit Unterstützung des Governanceprozesses an die Ziele der IT und des Unternehmens auszurichten und zu steuern. 3.3 Gestaltungsoptionen Wie die vorherigen Ausführungen verdeutlichen, gibt es zahlreiche Einflussfaktoren aus Geschäfts- und IT-Perspektive, die bei der Ausgestaltung von IT-Governance- Strukturen zu berücksichtigen sind. Ein allgemeingültiges Governance-Modell gibt es nicht. Aus diesem Grund werden nachfolgend zunächst die Gestaltungskomponenten zur Definition eines Governance-Modells erläutert. Im Anschluss daran werden idealtypische Basismodelle vorgestellt, die eine Ausgangsbasis zur Ausprägung unternehmensspezifischer Governance-Modelle bilden können. 3.3.1 Gestaltungskomponenten Bei der spezifischen Ausprägung eines IT-Governance-Modells sind eine durchdachte Risikoeinschätzung und Festlegung auf die unternehmenskritischen Prozesse sowie die vorab zu planenden technischen Aspekte von Bedeutung. Des Weiteren trägt nach unserer Erfahrung die gezielt langfristig und offen kommunizierte Einführung der organisatorischen Elemente im Unternehmen den entscheidenden Anteil am Erfolg des IT-Governance-Modells. Die Basis für ein effektives Steuerungssystem bildet eine klare Organisationsstruktur, welche die Festlegung der Verantwortlichkeiten und die nötige Autorität sowie die Erreichung der vorgegebenen Kontrollziele einfordert. Neben den vielen Details bei der Planung und Einführung der organisatorischen Elemente muss das Governance-Modell vor allem als langfristiges Projekt betrachtet werden. Die Entscheidung, ob die Verantwortung für die Prüfung von Kontrollen und für das Management insgesamt an zentraler Stelle liegt oder dezentral einzelnen Prozess- <?page no="53"?> 54 Einflussfaktoren für IT-Governance oder Anwendungsverantwortlichen zugeordnet wird, spielt deshalb auch eine besonders wichtige Rolle. Abbildung 3.4: Organisatorische Elemente eines Governance-Modells Sollten schon Steuerungs- Überwachungs-, Controlling- und Berichtssysteme im Unternehmen existieren, ist zu prüfen, inwieweit das einzuführende Governance-Modell in diese Systeme integriert werden kann. Die Unterstützung durch spezielle Software ist sinnvoll, sofern die Abläufe eines Kontrollsystems schon beherrscht werden und die rein technische Integration einer Software im Projektteam keine vorrangige Stellung einnimmt. Das Automatisieren von Kontrollaufgaben ist immer zweitrangig. Häufig wird die Verantwortung für eine bewusste Kontrolle von geschäftskritischen Prozessen auf technische Lösungen abgewälzt. Software Tools sollten demnach nur unterstützend und erst nach der erfolgreichen Einführung der oben beschriebenen organisatorischen Elemente des Governance-Modells eingesetzt werden. 3.3.2 Idealtypische Basismodelle Nachdem zuvor die für ein Governance-Modell erforderlichen Komponenten sowie die bei der Ausprägung zu berücksichtigenden unternehmensspezifischen Rahmenbedingungen erläutert wurden, soll hier auf die idealtypisch möglichen Basismodelle und -strukturen eingegangen werden. Grundsätzlich gibt es verschiedene Möglichkeiten zur Strukturierung und Ausgestaltung der Kontrollstrukturen. Als Extreme sind hier die absolut zentralisierte Ausrichtung sowie die dezentrale Ausrichtung - nachfolgend als Laissez Faire bezeichnet - zu unterscheiden. Als wesentliche Zwischenstrukturen werden die Themenbzw. Abteilungsstruktur sowie die unternehmensweite Koordination dargestellt. Wesentlicher Aspekt bei der Ausgestaltung der Kontrollstrukturen ist die Berücksichtigung der unternehmensspezifischen Rahmenbedingungen und Strukturen, wie im Kapitel „Unternehmensspezifische Rahmenbedingungen“ erläutert. In einem dezentral organisierten Unternehmen, wie zum Beispiel bei einem über eine reine Finanzholding geführten Konzern, wird eine zentral ausgerichtete Kontrollstruktur wenig Akzeptanz finden und von den einzelnen Beteiligten erfahrungsgemäß blockiert. Entscheidungsparameter für die Beschaffung Elemente Ziele und Feedback Compliance Prozess/ zeitliche Koordination Struktur/ Verantwortlichkeit/ Kompetenz Beispiele Komponenten Basis des IT-Kontrollsystems • Berichtsstruktur an die Mitarbeiter, an Abteilungen und an das Management • Kontrollziele in den Performance Reviews • Überwachung der internen Kontrollprozesse • Persönliche Ziele für IT-Mitarbeiter und das Management • Anerkennung und Motivationsanreize • Unabhängige Stelle („Revision“) einrichten • Performanzkriterien • Gezielte Kommunikation von Informationen, die zur Lenkung des Betriebs notwendig sind • Transparenz in den Geschäftsprozessen • IT Performance „Dashboards“ • Entscheidungsparameter für die Beschaffung oder z.B. Systemeinführung • IT Scorecard • Klare Entscheidungsprozesse • Strategische und taktische Planung • Risikomanagement • Berichtsstruktur der Kontrollen • IT-Portfolio-Management • Risikobewertung und einzuführende Maßnahmen • Festgelegte und kommunizierte Zeitpläne • Klare Organisationsstrukturen • Definierte Rollen, Verantwortlichkeiten und Entscheidungsbefugnisse • Verhaltensregeln auf Kontrollziele hin ausrichten • IT Executive Steering Committee • IT Technical Council • Quality Assurance Oversight • IT Revision <?page no="54"?> Einflussfaktoren für IT-Governance 55 3.3.2.1 Laissez Faire Der Laissez Faire-Ansatz kann als Mindestansatz im Hinblick auf die Abbildung von Kontrollstrukturen bezeichnet werden. Dieser Ansatz ist durch absolut dezentrale Verantwortung in den einzelnen Abteilungen gekennzeichnet. Die Durchführung von Kontrollmaßnahmen erfolgt in Abhängigkeit der Zielsetzungen und Priorisierungen der einzelnen Abteilungen. Die im Rahmen der Kontrollstrukturen eingesetzten Methoden werden ebenfalls in der Regel individuell in den Abteilungen definiert und genutzt. Durch die Freiheit der Abteilungen in der Ausgestaltung des Kontrollsystems wird häufig eine hohe Akzeptanz erreicht. Allerdings erfolgt kein Austausch und somit auch keine Standardisierung über mehrere Abteilungen hinweg. Da primär die Interessen der jeweiligen Abteilung verfolgt werden, ist übergreifend keine Ausrichtung im Sinne einer kontrollierten Geschäftsumgebung zu erwarten. 3.3.2.2 Themen- oder Abteilungsstruktur Im Rahmen der themenbzw. abteilungsorientierten Struktur erfolgt eine Koordination innerhalb zuvor ausgewählter Themen bzw. Abteilungen, die als Fokus für das Kontrollsystem definiert wurden. Zum Beispiel kann im Rahmen des Kontrollsystems eine Fokussierung auf Anwendungen, Infrastruktur bzw. Sicherheit erfolgen. Durch eine Fokussierung wird im Allgemeinen auch ein Austausch innerhalb der einzelnen Fokusbereiche erreicht. Ein weiterer Vorteil liegt darin, dass bei einer Fokussierung der Themen, die aus Unternehmenssicht primär wichtig sind, ein Kontrollsystem etabliert werden kann, welches aufgrund des eher geringen Umfangs weniger Kosten verursacht. Hierbei ist zu berücksichtigen, dass dennoch die Bereiche abgedeckt werden, die aus Unternehmenssicht besonders kritisch eingestuft werden. Auf diese Weise wird auch ein Austausch zumindest innerhalb des Themas bzw. der Abteilung erreicht und somit das Bewusstsein für die Thematik geschärft. Ein Nachteil ist, dass bei einem Ansatz über mehrere Themen bzw. Abteilungen ein übergreifender Austausch bzw. Koordination in der Regel nicht realisiert wird. 3.3.2.3 Unternehmensweite Koordination Bei einer unternehmensweiten Koordination erfolgt eine Berücksichtigung aller Themen/ Abteilungen, wobei eine rein informelle Abstimmung erfolgt. Somit wird zumindest ein einheitliches Prozessverständnis in Bezug auf den Aufbau und Ablauf der Kontrollaktivitäten erreicht. Da ein Austausch auf der Ebene der einzelnen Beteiligten erfolgt, wird zum einen die Expertise insgesamt erhöht und es kann andererseits somit auch etwa durch Mehrfachnutzung von Wissen, Prozessen und Tools eine Kostenreduktion erreicht werden. Allerdings ist eine Arbeitsteilung durch die individuelle Bereitschaft einzelner Personen limitiert. 3.3.2.4 Zentralisierte Struktur Der zentralisierte Ansatz basiert darauf, dass alle Bestandteile der Kontrollstrukturen inklusive der Prozesse und Verantwortlichkeiten unternehmensweit definiert sind und eingehalten werden. Dabei werden alle Entscheidungen zentral gesteuert, was zur Folge hat, dass für die Abteilungen ein sehr geringer Freiheitsgrad verbleibt. Auf diese Weise kann erreicht werden, dass über das Kontrollsystem insgesamt eine maximale Kontrolle über die Geschäftswerte des Unternehmens erreicht wird und entgegengesetzte Aktivitäten einzelner Abteilungen minimiert bzw. unterbunden werden. Zudem wird so eine maximale Kostenreduktion durch eine einheitliche Implementierung des <?page no="55"?> 56 Einflussfaktoren für IT-Governance Kontrollsystems und somit eine möglichst weitgehende Nutzung der Synergien erreicht. Das Risiko des zentralisierten Ansatzes besteht in einer begrenzten Flexibilität im Hinblick auf spezifische Anforderungen einzelner Abteilungen beziehungsweise einzelner Regionen oder Länder. Die nachfolgende Abbildung fasst die vier typischen Modelle zur Ausprägung von Kontrollstrukturen mit den jeweils primär verbundenen Vorteilen und Risiken zusammen. Abbildung 3.5: Alternative Kontrollstrukturen 3.4 Fazit Zusammenfassend ist festzustellen, dass es nicht das richtige IT-Governance-Modell für alle Unternehmen gibt. Vielmehr ist das IT-Governance-Modell unternehmensspezifisch auszuprägen. Hierbei sind die jeweils zutreffenden Treiber aus Geschäfts- und IT-Perspektive zu berücksichtigen. Da sich sowohl die Geschäftsals auch die IT-Treiber über den Zeitverlauf ändern, ist das IT-Governance-Modell eines Unternehmens auch nicht statisch zu betrachten, sondern ist entsprechend der Veränderung der Einflussfaktoren anzupassen. Bei der Ausgestaltung eines unternehmensspezifischen Governance-Modells kann als Ausgangsbasis auf den dargestellten idealtypischen Basismodellen aufgesetzt werden. Zudem bieten die vorgestellten Komponenten einen Rahmen zur Ausprägung des unternehmensspezifischen Governance-Modells. • Dezentralisiert • Getrieben durch Bedarf, Kundenzufriedenheit, und/ oder finanzielle Kennzahlen • Hohes Maß an funktioneller Eigenständigkeit Laissez Faire Eigenschaften • Starke Kontrolle durch Geschäftseinheiten • Geringe Kosten für Kontrollmaßnahmen Vorteile • Keine Koordination, begrenzte Arbeitsteilung • Führt i.d.R. zu Aktionen, die gegen eine kontrollierte Geschäftsumgebung sprechen Risiken • Einzelne Themen sind im Fokus (z.B. Sicherheit, Anwendungen, Infrastruktur etc.) • Bereiche der Selbständigkeit sind festgelegt (z.B. Einkauf) Themen- oder Abteilungsstruktur Eigenschaften • Stellt themenbezogenen Austausch sicher • Reduziert Kosten • Schafft allgemein mehr Bewusstsein Vorteile • Langsamerer Entscheidungsfindungsprozess • Reduktion der Kontrolle einzelner Einheiten • Kann als bürokratisch angesehen werden Risiken • Informelle Abstimmung zwischen den Geschäftseinheiten/ Abteilungen • Gemeinsames Prozessverständnis vorhanden Unternehmensweite Koordination Eigenschaften • Austausch auf Ebene Einzelner • Kostenreduktion • Erhöhung der Expertise insgesamt Vorteile • Arbeitsteilung begrenzt durch individuelle Partizipation Risiken • Kontrollstrukturen, Verantwortlichkeiten und Prozesse sind definiert • Zentrale Entscheidungsprozesse • Geringe Selbständigkeit in den Abteilungen Stark zentralisiert Eigenschaften • Starke Kontrolle über Geschäftswerte/ Dienste • Reduzierte Kosten durch Synergien • Stellt Austausch untereinander sicher Vorteile • Begrenzte Flexibilität für individuelle/ lokale Anforderungen Risiken <?page no="56"?> Einflussfaktoren für IT-Governance 57 3.5 Literatur Kieser, A./ Kubicek, H. (1992): Organisation, 3. Auflage, Berlin et al. 1992, S. 253 ff. Maicher, M./ Schwarze, L. (2003): IT-Governance - Grundlagen und Erfolgsfaktoren. Strategisches IT-Management - Band 1: Organisation - Prozesse - Referenzmodelle. - In: M. G. Bernhard/ R. Blomer/ J. (2003): Titel. Bonn. Düsseldorf, S. 41-80. Porter, M. E. (1980): Competitive Strategy: Techniques for analyzing industries and competitors, New York. Schmidt, G. (2000): Grundlagen der Aufbauorganisation, 4. Auflage, Band 5, Gießen. Weill, P./ Ross, J. W. (2005): „How effective is your IT-Governance? “. Weill, P./ Woodham, R. (2001): Effective IT-Governance. CISR Research Briefings 2001. 1: 1-4. Weill, P./ Woodham, R. (2002): Don’t Just Lead, Govern: Implementing Effective IT- Governance. CISR Working Paper. Cambridge Massachusetts, Massachusetts Institute of Technology (MIT), Sloan School of Management. Weill, P./ Ross, J. (2004): „Recipe for Good Governance.“ CIO Magazine 17 (17). <?page no="58"?> 4 IT-Management-Frameworks - Wann welches Framework? Jan Korves Ein Ziel des IT-Managements ist es, die Organisationsstrukturen und Prozesse der IT auf die Unternehmensstrategie auszurichten und die für das Unternehmen besten IT-Services zu den geringsten Kosten anzubieten. So erstrebenswert diese Idealsituation einerseits ist, so schwierig ist sie andererseits auch zu realisieren. Sogenannte Best Practice IT-Frameworks unterstützen diesen Zusammenhang, indem sie idealtypische Vorgehensweisen beschreiben, welche im praktischen Anwendungsfall als Referenz herangezogen werden können. Bis heute hat sich eine Vielzahl von IT-Management-Frameworks am Markt etabliert, die Lösungen für verschiedenste Problemstellungen des IT-Managements bieten. Dabei muss zwischen Frameworks, Methoden, Standards und Normen unterschieden werden. Im Folgenden werden jedoch alle diese Begriffe als Framework bezeichnet, da ein jedes in sich ein Rahmenwerk zur Anwendung durch das IT-Management darstellt. Aufgrund der Vielfalt an Frameworks kommt die Frage auf, welches am besten für eine bestimmte Anwendungssituation geeignet ist. Der folgende Artikel nimmt sich dieser Frage im Detail an, indem die gängigsten IT-Management- Frameworks identifiziert, kategorisiert und beschrieben werden. Unter Zuhilfenahme des Deloitte CIO Management Frameworks erfolgt eine Ableitung des bestmöglichen Einsatzgebiets für das IT- Management. 4.1 IT-Management-Frameworks als idealtypische Referenzmodelle Best Practice Frameworks haben das Ziel, idealtypische Vorgehensweisen zu beschreiben, die im praktischen Anwendungsfall als Referenz herangezogen werden können. Dabei verfolgen die meisten der IT-Management-Frameworks eine gewisse Allgemeingültigkeit und beinhalten keine stringent gültigen Umsetzungsanweisungen, sodass sie einer Vielzahl individueller Anwendungsfälle als bewährte Verfahren zugrunde gelegt werden können. Seit vielen Jahren werden Referenzmodelle für das IT-Management am Markt diskutiert und vermehrt implementiert. Den Durchbruch im IT-Umfeld erlangten sie jedoch erst mit der steigenden Professionalisierung des IT-Sektors zu Beginn der 1990er Jahre. Die stetig steigenden Anforderungen an die Unternehmens-IT sowie die zunehmende Komplexität gepaart mit globalen Unternehmensprozessen verlangen nach einer geregelten, transparent geführten und dokumentierten IT-Leistungserbringung. 16 Dieser globale Trend wird durch den zunehmenden Kostendruck, die Diskussion des Wertbeitrags der IT und die geforderte Professionalisierung der IT zusätzlich verstärkt. Da der IT-Dienstleistungssektor auch in Zukunft weiterhin eine zunehmend größere Bedeutung bekommen wird, ist die Anwendung von Referenzmodellen zur Schaffung einheitlicher Vorgehensweisen und Definitionen zur Steuerung im Sinne des IT- Managements unumgänglich. In diesem Kontext haben sich auch die IT-Management- 16 Vgl. Brenner, Walter/ Ebert, Nico/ Hochstein, Axel/ Übernickel, Falk (IT Industrialisierung, 2007). <?page no="59"?> 60 IT-Management-Frameworks - Wann welches Framework? Frameworks stetig weiterentwickelt und sind heutzutage aus der IT-Industrie nicht mehr wegzudenken. 17 Bis dato haben sich zahlreiche Frameworks am Markt etabliert. Die Praxis zeigt, dass viele IT-Organisationen und Unternehmen gleichzeitig mehrere Frameworks einsetzen, um die gestellten Anforderungen aus Sicht der Compliance, Governance und Kostenkontrolle zu erfüllen. Aufgrund der unterschiedlichen Zielsetzungen und Aufgabenstellungen der einzelnen Frameworks sind sie aber oft in ihrer Anwendung auf spezifische Bereiche in einer IT-Organisation beschränkt. Die richtige Selektion der zu einer individuellen Anwendung und Zielsetzung passenden Frameworks sowie eine gezielte Kombination der Stärken der einzelnen Modelle spielen in diesem Zusammenhang eine entscheidende Rolle. Im Folgenden wird daher die Fragestellung diskutiert „wann welches Framework am besten einzusetzen ist“. Dazu werden die gängigsten Frameworks identifiziert, kategorisiert und beschrieben. Das Deloitte CIO Management Framework, als ganzheitliches IT-Framework, dient dabei als Referenz, auf dessen elf Disziplinen der IT-Wertschöpfung die im nachfolgenden Artikel behandelten Frameworks zugeordnet werden. 4.2 Überblick aktueller IT-Management-Frameworks Bis dato haben sich zahlreiche Frameworks, die zur Konzeption und Implementierung von IT-Managementprozessen herangezogen werden können, etabliert. Da jedes dieser Modelle unterschiedliche Zielsetzungen verfolgt und differenzierte Aufgabenstellungen behandelt, ist ihre Anwendung auf bestimmte Anwendungsgebiete in einer IT- Organisation beschränkt. 18 Um das Portfolio an Referenzmodellen einordnen und einsetzen zu können, wird im Folgenden eine Kategorisierung anhand des Anwendungsgebiets vorgenommen, in welche sich die betrachteten IT-Management- Frameworks einordnen lassen. Kategorie Optimal geeignet für die Ausgewählte IT-Management-Frameworks IT-Governance gewinnmaximierende Ausrichtung von Organisationsstrukturen und Prozessen der IT auf die Unternehmensstrategie und -ziele - CobiT - Control Objectives for Information and related Technology - ISO/ IEC 38500 - Corporate governance of information technology - Val IT - Governance of IT Investments 17 Vgl. Oud, Ernst Jan (The Value of IT, 2005), S. 1-2. 18 Vgl. Johannsen, Wolfgang/ Goeken, Matthias (Neue Aufgaben des IT-Managements, 2007), S. 12-19. <?page no="60"?> IT-Management-Frameworks - Wann welches Framework? 61 Kategorie Optimal geeignet für die Ausgewählte IT-Management-Frameworks IT-Service- Management standardisierte Definition und Implementierung von IT- Service Managementprozessen zur effektiven und effizienten Erbringung von IT- Dienstleistungen - ITIL v3 - IT Infrastructure Library - ISO/ IEC 20000 - IT- Service-Management Standard eSCM-SP v2 - eSourcing Capability Model for Service Providers Version 2 IT Application Development kontinuierliche Verbesserung der Anwendungsentwicklungsprozesse einer IT-Organisation - CMMI for Development IT Security Management Sicherstellung der Informationssicherheit und die Verwaltung unternehmenskritischer Daten - ISO/ IEC 27001/ 27002 - Information Security Management Systems IT Business Continuity Management Gewährleistung eines betrieblichen Kontinuitätsmanagements - BS25999 - Business Continuity Management IT Architecture Management Entwurf, Planung, Implementierung und Wartung von IT- Architekturen - TOGAF - The Open Group Architecture Framework IT- Riskmanagemen t nachhaltige Verwaltung von Risiken zur Gewährleistung des Unternehmensfortbestands - M_o_R® - Management of Risk - Risk IT IT Quality Management Qualitätsverbesserung von IT- Produkten und Dienstleistungen - ISO 9000 - Quality Management Systems - Six Sigma IT Project Management erfolgreiche Durchführung von IT-Programmen und Projekten mit dem Ziel der Generierung eines nachhaltigen Wertbeitrags - PMBoK - Project Management Body of Knowledge - PRINCE2 - Project In Controlled Environments Tabelle 4.1: Kategorisierung ausgewählter IT-Management-Frameworks Während IT-Governance-Frameworks bewährte Konzepte, Prinzipien und Verfahrensweisen beschreiben, auf welche das IT-Management zurückgreifen kann, um die Organisationsstrukturen und Prozesse der IT auf die Unternehmensstrategie und -ziele auszurichten, zielen die IT-Service-Management Frameworks auf eine an Kundenbedürfnissen ausgerichtete Bereitstellung von IT-Dienstleistungen. Dabei werden effizi- <?page no="61"?> 62 IT-Management-Frameworks - Wann welches Framework? ente und effektive Vorgaben zur Implementierung von Prozessen für den gesamten IT-Service-Lebenszyklus gegeben. Die IT Application Development Frameworks unterstützen die kontinuierliche Verbesserung der Anwendungsentwicklung unter Nutzung definierter Standards. Die Sicherheit der Informationen und IT-Komponenten innerhalb einer Organisation wird durch die IT Security Management Frameworks gewährleistet. Darauf aufbauend wird durch IT Business Continuity Management Frameworks die Sicherstellung des kontinuierlichen, gesamten betrieblichen Ablaufes gewahrt. Die IT Architecture Management Frameworks unterstützen bei der konsistenten Planung, Implementierung und Verwaltung von Enterprise IT-Architekturen mit dem Fokus auf die Sicherstellung einer zentralen Entscheidungsinstanz. Risiken, denen sich eine IT-Organisation ausgesetzt sieht, werden durch IT-Riskmanagement Frameworks überwacht und verwaltet, um den Fortbestand eines Unternehmens zu gewährleisten. Qualitäts- und Projektmanagement Frameworks befassen sich zu guter Letzt mit Konzepten zur Qualitätsverbesserung von IT-Dienstleistungen sowie Verfahrensweisen zur erfolgreichen Durchführung von Projekten. 19 Neben den zuvor dargestellten Frameworks gibt es am Markt zahlreiche weitere Frameworks, die im Rahmen dieses Artikels nicht weiter betrachtet werden. Ziel des Artikels ist es, einen Überblick über die wichtigsten Frameworks zu geben, die die gesamte IT-Wertschöpfungskette abdecken. Weitere Modelle sind zum einem als Varianz zu den im Artikel vorgestellten Frameworks zu verstehen, andere sind herstellerspezifisch oder industriespezifisch und wiederum andere haben eine sehr geringe Marktdurchdringung und werden von den Autoren daher nicht als Best Practice angesehen. 4.3 Beschreibung der IT-Management-Frameworks je Kategorie 4.3.1 IT-Governance-Frameworks 4.3.1.1 COBIT - Control Objectives for Information and related Technology Kurzbeschreibung/ Anwendungsgebiet Control Objectives for Information and related Technologies (COBIT) ist ein auf übergeordneter Ebene angesiedeltes IT-Governance-Framework, das vom Information Systems Audit and Control Association (ISACA) entwickelt wurde und seit 2000 vom IT Governance Institute (ITGI) fortgeschrieben wird. Es beschreibt einen umfassenden Bereich von IT-Aktivitäten durch Prozesse und legt dabei ein starkes Gewicht auf die Geschäftsanforderungen an die IT. Das COBIT-Framework 20 fokussiert auf die Kernbereiche Strategic Alignment, Value Delivery, Resource Management, Riskmanagement sowie Performance Measurement und gliedert IT-Aktivitäten in 34 Prozesse, aufgeteilt auf die vier Domänen Plan & Organize, Acquire & Implement, Deliver & Support sowie Monitor & Evaluate. Für jeden Prozess existieren eine detaillierte Beschreibung und so genannte Control Objectives, mit denen das Erreichen der Geschäftsziele für einen bestimmten Prozess überprüft werden kann. Es bietet einen umfassenden Überblick über generelle 19 Vgl. Oud, Ernst Jan (The Value of IT, 2005), S. 1-5. 20 Während die aktuelle Version 4.1 seit 2007 vorliegt, befindet sich eine neue Version 5.0 momentan in der Entwicklung. <?page no="62"?> IT-Management-Frameworks - Wann welches Framework? 63 Verfahrensweisen und Steuerungsfunktionen der IT für Führungskräfte, leitende IT- Manager sowie IT-Mitarbeiter. Darüber hinaus führt die steigende Anzahl an gesetzlichen, regulatorischen und vertraglichen Anforderungen (externes Rechnungswesen, Sarbanes-Oxley, Basel II etc.) zur vermehrten Nutzung. 21 Stärken/ Schwächen COBIT ist stark in der prägnanten und leicht verständlichen Beschreibung von zweckmäßigen Vorgehensweisen in der IT und unterstützt das IT-Management mit konkreten Zielen und Messgrößen. In der Kombination mit der IT Balanced Scorecard (IT BSC 22 ) ermöglicht COBIT somit eine bestens geeignete Möglichkeit zur Steuerung der IT in Anlehnung an die strategischen Geschäftsziele. Dabei nutzt COBIT das Herunterbrechen der IT-Strategie auf die vier Dimensionen der IT BSC, indem es Ressourcen, Prozesse und Informationen diesen zuordnet. COBIT fehlt es allerdings an umfassenden Umsetzungsdetails, um für die Implementierung einer IT-Governance hinreichend geeignet zu sein, sodass sich die Kombination mit dem tieferreichenden ITIL v3 Framework empfiehlt. 4.3.1.2 ISO/ IEC 38500 - Corporate governance of information technology Kurzbeschreibung/ Anwendungsgebiet Der ISO/ IEC 38500 Standard, hervorgegangen aus dem australischen Standard AS8015, umfasst ein Modell sowie eine Reihe von Richtlinien und einheitliche Definitionen, die dem IT-Management eines Unternehmens zur erfolgreichen Steuerung des IT-Einsatzes dienen sollen. Das zugrunde liegende Modell teilt die Steuerung der IT in die drei Hauptaufgaben Evaluate, Direct und Monitor und offeriert Handlungsanweisungen, wie diese Aufgaben in Bezug auf Verantwortung, Strategie, Beschaffung, Leistungsfähigkeit, Konformität und menschliches Verhalten in der IT auszuführen sind. 23 Stärken/ Schwächen Der veröffentlichte Standard gibt einen guten, umfassenden Überblick über die Aufgaben, Kernprinzipien und Definitionen für eine erfolgreiche Steuerung der IT eines Unternehmens. Von Vorteil ist die effektive und prägnante Beschreibung der Kernprinzipien für das IT-Management. Da das Dokument jedoch relativ kurz ist und das entsprechende Vorgehen auf nur 22 Seiten beschreibt, fehlen umfangreiche Details, die für eine effiziente Implementierung des Frameworks notwendig wären. Nachteilig wirkt sich ebenfalls die fehlende Verknüpfung mit bestehenden Frameworks aus, um den Standard tatsächlich im Unternehmen zu verankern und nicht nur zu messen. 21 Vgl. IT Governance Institute (COBIT, 2007) und vgl. Van Bon, Jan/ Verheijen Tieneke (IT-Management-Frameworks, 2007), S. 144-155. 22 Die IT Balanced Scorecard beschreibt ein Konzept zur Messung, Dokumentation und Steuerung der IT-Aktivitäten eines Unternehmens bzw. einer IT-Organisation im Hinblick auf seine IT-Vision und IT-Strategie. Eine detaillierte Betrachtung des Konzepts ist nicht Bestandteil dieses Artikels. 23 Vgl. International Organization for Standardization, ISO (ISO/ IEC 38500, 2009). <?page no="63"?> 64 IT-Management-Frameworks - Wann welches Framework? 4.3.1.3 Val IT - Governance of IT Investments Kurzbeschreibung/ Anwendungsgebiet Val IT ist ein IT-Governance-Framework des IT Governance Institute, welches sich speziell mit der Wirtschaftlichkeit von IT-Investitionen beschäftigt. Es baut auf dem COBIT-Framework auf und besteht aus einer Reihe von bewährten Leitprinzipien, Prozessen und Verfahren, welche als Best Practices zusammengefasst werden. Dem IT-Management wird damit ermöglicht, den wertmäßigen Beitrag einer IT-Investition ausgerichtet auf die Geschäftsstrategie zu messen, zu überwachen und zu optimieren. Im Kern gliedert Val IT diese Best Practices in die drei Domänen Value Governance, Portfolio Management und Investment Management. Dabei orientiert sich das Framework an der zentralen Fragestellung, ob eine bestimmte IT-Investition strategisch richtig ist, den beabsichtigten Nutzen erzielt, zur existierenden IT-Architektur passt und erfolgreich umgesetzt werden kann. Entwickelt wurde das Framework für das IT-Management - vom CxO über den IT-Manager bis hin zu IT Administratoren, welche direkt in den Investitionsprozess (Selektion, Beschaffung, Entwicklung, Implementierung, Anwendung) und der beabsichtigen Realisierung eines Mehrwerts durch den Einsatz von IT involviert sind. 24 Stärken/ Schwächen Val IT ergänzt COBIT um bewährte Verfahrensweisen zur Erzielung eines auf die Geschäftsstrategie ausgerichteten Wertbeitrags durch IT-Investitionen. Im Einklang mit COBIT sind die Stärken ebenso in der prägnanten und leicht verständlichen Beschreibung von zweckmäßigen Vorgehensweisen in der IT zu sehen. Ebenfalls sollte die IT Balanced Scorecard als nützliches, ergänzendes Instrument herangezogen werden, um den Wertbeitrag der IT-Investitionen auf die strategischen vier Dimensionen und damit auf die IT- und Geschäftsstrategie abzudecken. Analog zu COBIT fehlt es jedoch Val IT ebenso an umfassenden Umsetzungsdetails, um für die Implementierung einer IT-Governance hinreichend geeignet zu sein. Daher empfiehlt sich ebenfalls eine Kombination mit dem tiefer reichenden ITIL v3 Framework aus der Kategorie IT-Service-Management, um diese Schwäche zu egalisieren. 4.3.2 IT-Service-Management Frameworks 4.3.2.1 ITIL v3 - IT Infrastructure Library Kurzbeschreibung/ Anwendungsgebiet ITIL v3 ist ein Rahmenwerk von Best Practices für das IT-Service-Management. Es hat sich ausgehend vom öffentlichen Sektor zu einem industrieübergreifenden Defacto-Standard entwickelt. Die mittlerweile veröffentlichte Version 3 umfasst die Bände 25 Service Strategy, Service Design, Service Transition, Service Operation und Continual Service Improvement. 26 Die beschriebenen Prozesse decken nahezu die gesamte Wertschöp- 24 Vgl. IT Governance Institute (Val IT, 2008). 25 Die fünf Bände des ITIL v3 Frameworks stellen die fünf Phasen im Lebenszyklus von IT-Dienstleistungen dar. 26 Vgl. Office of Government Commerce (ITIL v3, 2010). <?page no="64"?> IT-Management-Frameworks - Wann welches Framework? 65 fungskette einer IT-Organisation ab. Jedes der Bücher aus dem ITIL v3 Regel- und Definitionswerk beschreibt die Prozesse anhand von grundsätzlichen Voraussetzungen, allgemeingültigen Erfahrungen und Vorgehensweisen, notwendigen Aktivitäten, Gremien und Rollen sowie geeigneten Werkzeugen. Im Mittelpunkt steht dabei der wirtschaftliche Mehrwert, der durch eine strukturierte IT-Organisation effizient und effektiv erbracht wird. Dabei werden die Planung, Erbringung, Unterstützung und Effizienz-Optimierung von IT-Dienstleistungen in Einklang mit den Kundenanforderungen und wirtschaftlichen Interessen des Unternehmens gebracht. ITIL v3 setzt den Fokus auf eine ganzheitliche Betrachtung des IT-Service-Lebenszyklus vom Kunden bis zum Lieferanten und deckt das gesamte Spektrum von Prozessen, Produkten, Personen und Partnern ab. Das Rahmenwerk ITIL v3 wird bereits heute weltweit im IT- Management eingesetzt, um transparente Service-Managementstrukturen innerhalb einer internen IT-Organisation, eines Outsourcings-Vorhabens oder eines externen IT- Dienstleisters aufzubauen. 27 Stärken/ Schwächen ITIL v3 stellt ein weithin akzeptiertes Best Practice Framework für das IT-Service- Management dar und zielt auf die ganzheitliche Sichtweise der Steuerung von IT- Services. Dabei legt ITIL v3 neben dem Continual Service Improvement einen besonderen Fokus auf die Prozessorientierung, insbesondere in den Bereichen Service Transition und Service Operation. ITIL v3 besitzt eine nachweisbare Stärke in der erprobten Vorgehensweise, die das Framework beschreibt. Diesbezüglich sind die praxisnahen Empfehlungen als großer Mehrwert anzusehen. Daneben stellen verfügbare ITIL v3-Zertifizierungen, ITIL v3-unterstützende Werkzeuge sowie weitere ITIL v3-Publikationen, z.B. zum Thema Anwendungsmanagement, weitere Vorteile des De-facto-Standards dar. Neben den vielen verfügbaren Publikationen, die beschreiben, wie Prozesse zu definieren und umzusetzen sind, fehlt jedoch eine Anlehnung an das „was“ zu etablieren ist. ITIL v3 muss daher als ein flexibles Rahmenwerk mit einem jedoch hohen Umsetzungsaufwand angesehen werden, welches nur durch Anpassung und Adaption auf die eigene IT den größten Nutzen bringen kann. Die Kombination mit einem IT- Governance-Framework, wie z.B. COBIT, hilft die Schwächen von ITIL v3 in der Steuerung und Kontrolle einer IT-Organisation auszugleichen. 28 Ebenso empfiehlt sich eine Kombination mit IT Security Frameworks, um der geringen Berücksichtigung von Sicherheitsaspekten in ITIL v3 entgegenzuwirken. 4.3.2.2 ISO/ IEC 20000 - IT-Service-Management Standard Kurzbeschreibung/ Anwendungsgebiet Die ISO/ IEC 20000 ist eine international gültige und anerkannte Managementnorm für das IT-Service-Management. Es dient als zentraler Qualitätsstandard für das IT- Service-Management und wird ebenso zum Vergleich von IT-Organisationen eingesetzt. ISO/ IEC 20000 spezifiziert dazu die notwendigen Mindestanforderungen/ Prinzipien an Prozesse, die eine IT-Organisation etablieren muss, um IT-Dienst- 27 Vgl. Van Bon, Jan/ Verheijen Tieneke (IT-Management-Frameworks, 2007), S. 195-207 und vgl. Office of Government Commerce (ITIL v3, 2010). 28 Vgl. Oud, Ernst Jan (The Value of IT, 2005), S. 3-5. <?page no="65"?> 66 IT-Management-Frameworks - Wann welches Framework? leistungen in definierter Qualität liefern und verwalten zu können. 29 Die ISO/ IEC 20000 richtet sich dabei an den Prozessbeschreibungen aus, wie sie durch ITIL v2 beschrieben sind, und ergänzt diese komplementär. Im Kern wird die ISO/ IEC 20000 in den Teil 1 - Spezifikation - und den Teil 2 - Code of Practice - unterschieden. Während Teil 1 die Vorgaben für eine notwendige Zertifizierung definiert, erweitert Teil 2 die Beschreibung um Best Practices zur Erlangung des formalen Standards. Die Zertifizierung nach ISO/ IEC 20000 kann von IT-Organisationen und Einzelpersonen erlangt werden und stellt ein Instrument zur Qualitätssicherung und Vergleichbarkeit dar. 30 Stärken/ Schwächen Die ISO/ IEC 20000 ist ein weltweit akzeptierter Standard, der durch verfügbare Zertifizierungen eine wachsende Bedeutung für die Erbringung von IT-Dienstleistungen einnimmt. Unterstützend kommt dabei die Unabhängigkeit der ISO/ IEC 20000 gegenüber den gewählten Prozessmodellen, Implementierungsvorgehen, Werkzeugen und Bewertungen eines IT-Dienstleisters zum Tragen. Die komplementäre Ausrichtung an ITIL v2 hilft der Oberflächlichkeit der Prozessbeschreibungen und des betrachteten Umfangs des Standards entgegenzuwirken. Während ITIL die Prozesse des IT-Service-Lebenszyklus beschreiben, stellt die ISO/ IEC 20000 den zur Messung der Qualität notwendigen Standard zur Verfügung, fokussiert dabei aber nachteilig primär auf die Bereiche Service Design und Service Operation aus ITIL v2. Weitere Schwächen der ISO/ IEC 20000 sind das fehlende Prozessmodell und die rein auf Prinzipien basierende, abstrakte Beschreibung der IT-Service-Managementprozesse, die nur durch ein bereits zugrunde liegendes Prozessmodell ausgeglichen werden können. 4.3.2.3 eSCM-SP v2 - eSourcing Capability Model for Service Providers Version 2 Kurzbeschreibung/ Anwendungsgebiet Das eSourcing Capability Model for Service Providers Version 2 (eSCM-SP v2) ist ein Best Practice Framework, das die Unterstützung der Beziehungen zwischen Kunden und Lieferanten von IT-Dienstleistungen und Sourcing-Modellen zum Ziel hat. Der Fokus des eSCM-SP liegt zum einen auf der Unterstützung der IT-Dienstleister und der Bewertung/ Verbesserung ihrer Leistungsfähigkeit sowie zum anderen auf der Bereitstellung von geeigneten Werkzeugen zur Messung und Steuerung von IT- Lieferanten aus Sicht des Kunden. Das eSCM-SP ist erstmalig in der Version 1 im Jahr 2001 erschienen und trägt der zunehmenden Verlagerung von IT-Dienstleistungen an externe Partner und in andere Regionen Rechnung. 31 Dazu stellt das Framework ein Referenzmodell, eine Methode zur Bestimmung der aktuellen Leistungsfähigkeit sowie ein Zertifizierungsschema bereit. Analog zu CMMI werden auch vom eSCM-SP Reifegrade definiert, um einen Weg zur Verbesserung innerhalb des Vertragsverhältnisses oder für einen oder mehrere Lieferanten aufzuzeigen. Das eSCM-SP definiert sich aus drei Dimensionen, dem Sourcing Life-Cycle, den Capability Areas und den Capability Levels, 29 Vgl. itSMF (ISO/ IEC 20000, 2010). 30 Vgl. Van Bon, Jan/ Verheijen Tieneke (IT-Management-Frameworks, 2007), S. 165-72. 31 Vgl. IT-Services Qualification Center (eSCM-SP v2, 2010). <?page no="66"?> IT-Management-Frameworks - Wann welches Framework? 67 um die Leistungsfähigkeit einer Kunden-Lieferanten-Beziehung zu beurteilen. Insgesamt stehen dazu 84 Best Practices zur Verfügung, anhand derer eine Bewertung vorgenommen werden kann. Somit stellt das Framework eine konsistente Methode zur Bewertung und zum Vergleich von IT-Lieferanten für eine IT-Organisation bereit, die bereits mit externen Lieferanten zusammenarbeitet oder darauf im Rahmen eines RFP (Request for Proposal) hinsteuert. 32 Stärken/ Schwächen Das eSCM-SP Version 2 ist auf dem Weg ein De-facto-Standard im Umfeld des IT Sourcings zu werden, da es den gesamten Lebenszyklus eines IT Sourcing-Vorhabens abdeckt. Von Vorteil ist der besondere Fokus auf die Gesamtunternehmenssicht mit dem Ziel der Sicherstellung einer wertbasierten beiderseitigen Partnerschaft von Kunde und Lieferant. Die vorhandene Möglichkeit der Zertifizierung schafft eine Vergleichbarkeit von IT-Dienstleistern und deren Fähigkeiten, auch wenn bislang wenige Zertifizierungen erteilt worden sind. Von Nachteil ist das abstrakte Level an Best Practices, welches das eSCM-SP beschreibt. Dies erfordert eine konsequente Einbindung komplementärer Frameworks wie z.B. ITIL v3 oder ISO/ IEC 27001/ 27002, um den größtmöglichen Nutzen in der Implementierung zu erzielen. 4.3.3 IT Application Development Framework 4.3.3.1 CMMI for Development - Capability Maturity Model Integration Kurzbeschreibung/ Anwendungsgebiet Das CMMI (Capability Maturity Model Integration) beinhaltet eine ganze Reihe von Referenzmodellen. Neben der Anwendungsentwicklung kann es auch auf die Hardwareentwicklung angewendet werden. CMMI-Modelle sind ein Werkzeug für die Verbesserung der Ablauforganisation und die Messung der eigenen Fähigkeiten. Häufig wird deshalb CMMI auch als Reifegradmodell bezeichnet, obwohl die Reifegrade nur ein Aspekt von CMMI sind. Die Unterstützung der kontinuierlichen Prozessverbesserung kann auf sehr unterschiedliche Organisationen und Organisationsgrößen angewendet werden, da keine konkreten Vorgehensweisen für die Prozessgebiete definiert sind. Die Prozessgebiete von CMMI for Development (CMMI for Dev) sind in die Kategorien Projektmanagement, Entwicklung, Unterstützung und Prozessmanagement eingeteilt. CMMI for Dev stellt für jedes der Prozessgebiete eine Erläuterung und die Verknüpfung zu anderen Prozessgebieten dar. Ergänzend werden die Ziele und Praktiken durch typische Arbeitsergebnisse und typische Arbeitsschritte spezifiziert. Das CMMI for Dev definiert verschiedene Reifegrade einer Organisation. Im Fokus steht dabei die Priorisierung der Prozessgebiete. Die CMMI for Dev Reifegrade umfassen 1-Initial, 2-Managed, 3-Defined, 4-Quantitatively Managed und 5-Optimizing und sind mit Detailbeschreibungen versehen. 33 32 Vgl. Van Bon, Jan/ Verheijen Tieneke (IT-Management-Frameworks, 2007), S. 111- 120. 33 Vgl. Van Bon, Jan/ Verheijen Tieneke (IT-Management-Frameworks, 2007), S. 73-87. <?page no="67"?> 68 IT-Management-Frameworks - Wann welches Framework? Neben dem CMMI for Dev, gibt es noch zwei weitere veröffentlichte Modelle, CMMI for Acquisition (CMMI for Acq) und CMMI for Services (CMMI for Svc), die der Verbesserung des Einkaufssowie der Service-Organisation dienen. Stärken/ Schwächen Die Stärke von CMMI for Dev liegt in der Fokussierung auf die kontinuierliche Prozessverbesserung der Anwendungsentwicklung. Es bietet mit den verschiedenen Reifegraden einen strukturiert beschriebenen Weg zur Erreichung des optimalen Zielbildes für eine Organisation. Es ergänzt komplementär das IT-Governance-Framework COBIT im Bereich der Softwareerstellung, indem es das Thema methodisch aufbereitet und auch Compliance-Aspekte herausstellt. Nachteilig wirken sich die fehlenden Prozessbeschreibungen aus. Daneben beinhaltet das CMMI for Dev nicht die notwendigen Umsetzungsschritte, sondern lediglich die maßgeblich vorhandenen Prozesseigenschaften zur Erlangung eines definierten Reifegrads. Dies ist gleichzeitig aber auch ein Vorteil des Modells: Es lässt Organisationen die notwendige Freiheit, selbst über die Vorgehensweise zur Erreichung eines angestrebten, definierten Reifegrads zu entscheiden. 4.3.4 IT Architecture Management Framework 4.3.4.1 TOGAF - The Open Group Architecture Framework Kurzbeschreibung/ Anwendungsgebiet Das Architecture Framework der Open Group (TOGAF) bietet einen umfassenden Ansatz für Entwurf, Planung, Implementierung und Wartung von IT-Architekturen. 34 Es gliedert die IT-Architektur in die vier Domänen Business-, Applications-, Data- und Technical Architecture. Darüber hinaus definiert es einen Prozess zur Entwicklung der Architektur (Architecture Development Method, ADM), der aus den acht Phasen Architecture Vision, Business Architecture, Information System Architecture, Technology Architecture, Opportunities and Solutions, Migration Planning, Implementation Governance und Architecture Change-Management besteht. In der Phase 1 werden die Ziele und Beteiligten der Aktualisierung der IT-Architektur bestimmt. In den Phasen 2 bis 4 werden für die Geschäfts-, Anwendungs-, Informations-/ Daten- und die Technologiearchitektur der Ist- und der Soll-Zustand beschrieben und bestehende Abweichungen identifiziert. In den Phasen 5 bis 6 wird über die durchzuführende Transformation vom Istin den Soll- Zustand entschieden und ein entsprechendes Vorgehen definiert, welches in Phase 7 überwacht wird. In Phase 8 werden Anforderungen und externe Einflüsse gesammelt, die als Grundlage für eine weitere Aktualisierung der IT-Architektur dienen. 35 Stärken/ Schwächen TOGAF besticht vor allem nachhaltig durch seine Methodik, die Architecture Development Method (ADM), welche ausführlich beschrieben wird. Zudem ist es ein weltweit anerkanntes Framework und stellt die Anforderungen des Geschäfts ins Zentrum 34 Am 2. Februar 2009 wurde TOGAF in der Version 9 veröffentlicht und wird für die interne Nutzung zur Entwicklung einer IT Architektur kostenfrei angeboten. 35 Vgl. The Open Group (TOGAF, 2010). <?page no="68"?> IT-Management-Frameworks - Wann welches Framework? 69 der Architekturentwicklung, wobei es jedoch an einer klaren Definition von Rollenprofilen der verschiedenen Beteiligten fehlt. Aufgrund der Komplexität des Frameworks ist der Aufwand für eine Implementierung von TOGAF nicht zu unterschätzen. 36 4.3.5 IT Security Management Framework 4.3.5.1 ISO/ IEC 27001/ 27002 - Information Security Management Systems Kurzbeschreibung/ Anwendungsgebiet Die ISO/ IEC 27001/ 27002 Normen sind ein international anerkanntes Framework für das Management der Informationssicherheit. Kern der Normen ist die Definition von Anforderungen für die Herstellung, die Implementierung, den Betrieb, die Überwachung, die Wartung und die kontinuierliche Verbesserung der Informationssicherheit und eines Informationssicherheit-Management-Systems. Die Identifikation und die Überwachung relevanter Risiken bildet dabei eine zentrale Säule. Die ISO/ IEC 27001 Norm beschreibt den Teil Anforderungen an die Informationssicherheit und die ISO/ IEC 27002 Norm greift das Thema Code of Practices auf, der die formale Erfüllung der Norm unterstützt. Zentraler Bestandteil der ISO 27001/ 27002 sind die elf definierten Domänen Security Policy, Organization of Information Security, Asset-Management, Human Resource Security, Physical & Environmental Security, Communication & Operational Management, Access Control, Systems Development & Maintenance, Information Security & Incident Management, Business Continuity Plan und Compliance. Der Zyklus Plan-Do-Check-Act (PDCA) stellt sicher, dass eine fortlaufende Überwachung der Informationssicherheit an sich stetig ändernde Bedrohungen erfolgt. 37 Stärken/ Schwächen Die ISO/ IEC 27001/ 27002 Normen bieten eine umfassende Betrachtung des Themas Informationssicherheit. Die Effektivität des Systems wird durch die kontinuierliche Verbesserung unterstützt. In Zeiten des stetig wachsenden Austauschs von Informationen mit Geschäftspartnern können die Normen helfen, über Unternehmensgrenzen hinweg ein gemeinsames Verständnis von IT-Sicherheit zu erzielen. Die Normen ISO/ IEC 27001/ 27002 stellen daher eine sehr gute komplementäre Ergänzung zum IT-Service-Management Standard ITIL v3 im Umfeld der Informationssicherheit dar. Die angebotene Zertifizierung ermöglicht zugleich die Schaffung eines Vertrauensverhältnisses zwischen Geschäftspartnern. Die Stärken der Normen sind daher die Ganzheitlichkeit mit dem Fokus auf eine unternehmensweite Informationssicherheit sowie die risikoorientierte Vorgehensweise. Von Nachteil sind die geringe Ausprägung in taktischen und strategischen Dimensionen sowie der geringe Bezug zu den Geschäftszielen. Auch die operative Überwachung von einer immer größer werdenden Anzahl an IT-Komponenten ohne unterstützende Werkzeuge und geeignete Vorgehenswesen trifft an ihre Grenzen. 36 Vgl. Lenz (IT-Architekturmanagement, 2006), S. 54. 37 Vgl. Van Bon, Jan/ Verheijen Tieneke (IT-Management-Frameworks, 2007), S. 157- 161. <?page no="69"?> 70 IT-Management-Frameworks - Wann welches Framework? 4.3.6 IT Business Continuity Management 4.3.6.1 BS25999 - Business Continuity Management Kurzbeschreibung/ Anwendungsgebiet Im Umfeld des betrieblichen Kontinuitätsmanagements hat sich des BS25999 Framwork „Business Continuity Management“ etabliert. Das BS25999 Framework untergliedert sich in den Teil 1 Code of Practice und den Teil 2 Specification. Der BS25999 Standard fokussiert auf die Bereitstellung eines ganzheitlichen, unternehmensübergreifenden Prozesses mit dem Ziel der Identifizierung möglicher Auswirkungen von Störungen auf den dauerhaften Betriebsablauf. Dazu werden Vorkehrungen und Maßnahmen zur Reduzierung der Risiken und zur Erhöhung der Ausfallsicherheit definiert. 38 Für eine Implementierung eines Business Continuity Managements (BCM) innerhalb einer Organisation beschreibt der Teil 1 den BCM-Lebenszyklus bestehend aus BCM Programme Management, Understanding the Organization, Determining the Business Continuity Strategy, Developing and Implementing a BCM Response, BCM exercising - maintaining - reviewing BCM arrangements und Embedding BCM in the Organizations Culture. Für jeden Teil des BCM-Lebenszyklus stellt das BS25999 Framework eine Beschreibung der Best Practices zur Verfügung, die eine Organisation idealerweise berücksichtigen sollte. Der Teil 2 unterstützt die Organisation auf Grundlage des Zyklus Plan-Do-Check-Act (PDCA) bei der effektiven Einführung, Steuerung und Kontrolle der Business Continuity Management-Maßnahmen bis hin zu einer möglichen Zertifizierung der Organisation. 39 Stärken/ Schwächen Der B25999 Standard ist ein umfassendes Framework, welches auf die Sicherung des Fortbestands eines Unternehmens zielt. Er beschreibt auf hohem Niveau die notwendigen Bestandteile eines Business Continuity Managements, die notwendige Verankerung in der Organisation, Steuerung und Messung. Von Vorteil ist daher die Ganzheitlichkeit und universelle Einsetzbarkeit des Frameworks auch innerhalb einer IT- Organisation. Eine zusätzliche Stärke ist die vorhandene Möglichkeit zur Zertifizierung von Organisationen nach dem BS25999 Framework. Von Nachteil ist der geringe Fokus auf die Ermittlung von Risiken, weshalb sich ein sinnvoller Einsatz in Zusammenhang mit IT-Riskmanagement Frameworks wie dem M_o_R ® Framework oder Risk IT empfiehlt. Ebenfalls wenig Beachtung schenkt das BS25999 Framework möglichen technischen Unterstützungswerkzeugen zur Umsetzung des Business Continuity Managements. 4.3.7 IT-Riskmanagement Frameworks 4.3.7.1 M_o_R ® - Management of Risk Kurzbeschreibung/ Anwendungsgebiet Das Management of Risk Framework (M_o_R ® ) ist ein in Großbritannien entwickeltes und veröffentlichtes Framework mit Hauptaugenmerk auf dem IT-Risikomanagement. 38 Vgl. British Standards BSI (BS25999, Teil 1, 2006). 39 Vgl. British Standards BSI (BS25999, Teil 2, 2007). <?page no="70"?> IT-Management-Frameworks - Wann welches Framework? 71 Das M_o_R ® Framework zielt auf das unternehmensweite Risikomanagement ab und unterscheidet dafür die drei Elemente Strategie (strategic), Veränderung (change) und Betrieb (operational). Die abzuleitende Kernaussage ist dabei, dass Risikomanagement eine Leitungsaufgabe ist und die Risikostrategie vom Management vorgegeben werden sollte. Das M_o_R ® Framework zeichnet sich weiterhin dadurch aus, dass es neben der operativen Eliminierung von IT-Risiken einen Fokus auf das strategische Risikomanagement im Sinne des Erhalts und Ausbaus des Wertbeitrags der IT zum Unternehmenserfolg legt. Es bietet dazu eine Vielzahl an Informationen zum Risikomanagement und stellt einen Lebenszyklus für das Risikomanagement bereit. Dieser deckt das Themenspektrum von Risikoidentifizierung, -bewertung und -minderung bis hin zu Verantwortlichkeiten, Notfallplänen sowie Kontrolle und Auswertung ab. Die Adaption und Übernahme des Frameworks in die IT stellt für das IT-Management eine konsistente Vorgehensweise in Anlehnung an das Gesamtunternehmens-Risikomanagement dar. 40 Stärken/ Schwächen Das Management of Risk (M_o_R ® ) ist ein nachhaltiges Framework für das IT- Risikomanagement innerhalb eines Unternehmens. Als fundamentaler Teil der Corporate Governance verbindet es die Informationssicherheit mit dem Ziel des Fortbestands des Gesamtunternehmens und ist als ein komplementäres Framework zu COBIT zu verstehen. Der gut beschriebene Lebenszyklus spezifiziert hierzu alle notwendigen Aktivitäten. Die kritischen Faktoren für den Erfolg des Frameworks sind die Unterstützung des Managements und die Eingliederung in die Gesamtunternehmensstrategie, was bislang nur geringfügig im Framework Beachtung findet. 4.3.7.2 Risk IT Kurzbeschreibung/ Anwendungsgebiet Das Risk IT-Framework wurde vom IT Governance Institute entwickelt und erweitert die beiden Frameworks COBIT und Val IT um Best Practices zum Management von IT-Risiken. Risk IT ist ein Prozessmodell und gliedert sich in die drei Domänen Risk Governance, Risk Evaluation und Risk Response, welche jeweils drei Prozesse mit detaillierten Beschreibungen der Hauptaktivitäten und Verantwortlichkeiten sowie der Informationsflüsse zwischen den Prozessen beinhalten. Während die Prozessdomäne Risk Governance sicherstellt, dass IT-Riskmanagement Best Practices im Einklang mit dem Enterprise Riskmanagement stehen, bezieht sich die Domäne Risk Evaluation auf Prozesse zur adäquaten Identifikation, Analyse und Präsentation von IT-Risiken. Die Domäne Risk Response fokussiert schließlich darauf, IT-Risiken kosteneffektiv und ausgerichtet auf die Geschäftsziele zu reduzieren. Im Kern basiert Risk IT auf sechs Leitsätzen zum effektiven Management von IT-Risiken. Diesen Leitsätzen folgend sollte das IT-Riskmanagement an den Geschäftszielen ausgerichtet und mit dem Enterprise Riskmanagement abgestimmt werden. Zusätzlich sollte das Kosten-Nutzen Verhältnis beim Managen von IT-Risiken berücksichtigt, eine offene Kommunikation der IT-Risiken gefördert, der richtige Ton bei der Festlegung von Verantwortlichkeiten getroffen sowie Risikomanagement als kontinuierlicher Prozess des Tagesgeschäfts durchgeführt werden. Es kategorisiert IT-Risiken in die drei Bereiche IT benefit/ value 40 Vgl. Office of Government Commerce (M_o_R © , 2010). <?page no="71"?> 72 IT-Management-Frameworks - Wann welches Framework? enablement risk (Opportunitätsrisiko, IT im Hinblick auf die Geschäftsziele nicht gewinnbringend/ wertsteigernd einzusetzen), IT programme and project delivery risk (Risiko, dass IT-Programme und -Projekte nicht den beabsichtigten Nutzen erzielen) und IT operations and service delivery risk (Risiko, dass Fehler in IT-Services zu einer Verringerung des Geschäftswertes führen können). 41 Stärken/ Schwächen Die Stärke von Risk IT liegt in der Kombination mit COBIT und Val IT zu einem umfangreichen Ansatz an Best Practices für ein erfolgreiches IT-Management. Risk IT bietet eine praktische Anleitung mit entsprechenden Instrumenten und Techniken zum angemessenen Umgang mit konkreten IT-Risiken. Dies beinhaltet ebenfalls eine Zusammenstellung bekannter IT-Risikoszenarien, die für eine konkrete Anwendungssituation zurate gezogen werden können. Da es jedoch auch Risk IT an umfassenden Umsetzungsdetails fehlt, empfiehlt sich eine Kombination mit dem M_o_R® - Management of Risk Framework. 4.3.8 Qualitätsmanagement Frameworks 4.3.8.1 ISO 9000 - Quality Management Systems Kurzbeschreibung/ Anwendungsgebiet Der ISO 9000 ist ein Qualitätsmanagementstandard, der von internationalen Akkreditierungs- und Zertifizierungsinstitutionen abgenommen wird. Der Standard wird in großem Umfang sowohl im verarbeitenden Gewerbe als auch im Dienstleistungssektor eingesetzt. Aufgrund seiner Allgemeingültigkeit ist er jedoch für alle Organisationen, Produkte und Dienstleistungen relevant und bietet zudem speziell für das IT- Management eine Reihe von Richtlinien zur Qualitätssicherung bei der Einführung von Software. Die Zielsetzung ist es, Nutzer darin zu unterstützen, ein Qualitätsmanagementsystem zu entwickeln, das flexibel, strukturiert und kundenorientiert ist. Im Kern beschäftigt sich die ISO 9000 mit acht Prinzipien (systemorientierter Ansatz, Kundenorientierung, Führung, Einbeziehung der Personen, prozessorientierter Ansatz, ständige Verbesserung, sachbezogener Ansatz der Entscheidungsfindung und Lieferantenbeziehungen zum gegenseitigen Nutzen), welche einen direkten Einfluss auf die Qualität einer IT-Dienstleistung haben. 42 Stärken/ Schwächen Die Stärke des ISO 9000 liegt in der Allgemeingültigkeit, sodass es für alle IT- Organisationen, IT-Produkte und IT-Dienstleistungen anwendbar ist. Weiterhin ist es der einzige Standard, der für die Zertifizierung eines Qualitätsmanagementsystems genutzt werden kann. Von Nachteil ist, dass es neben den allgemeingültigen Prinzipien wenige praxisnahe Hilfestellungen enthält und der Zertifizierungsprozess kosten- und zeitintensiv ist. 41 Vgl. IT Governance Institute (Risk IT, 2009). 42 Vgl. Van Bon, Jan/ Verheijen Tieneke (IT-Management-Frameworks, 2007), S. 37-46. <?page no="72"?> IT-Management-Frameworks - Wann welches Framework? 73 4.3.8.2 Six Sigma Kurzbeschreibung/ Anwendungsgebiet Six Sigma ist ein Qualitätsmanagement Framework, das sowohl auf die Verbesserung von Geschäftsals auch IT-Prozessen ausgerichtet ist. Der Name Six Sigma geht dabei auf ein statistisches Qualitätsziel von 3,4 Fehlern pro Million Möglichkeiten zurück. Es hat seinen Ursprung in der Produktions- und Fertigungsindustrie, wird aber heutzutage industrieübergreifend eingesetzt. Im Hinblick auf die IT wird es als Werkzeugkasten für die Lösung von IT-Managementproblemen eingesetzt. Praktisches Ziel von Six Sigma ist die Steigerung der Gewinne durch Beseitigung von Schwankungen der IT- Dienstleistungsqualität, Defekten oder Verschwendungen von IT-Ressourcen, welche die Kundenloyalität untergraben. Die am häufigsten eingesetzte Six-Sigma-Methode ist der so genannte DMAIC-Zyklus (Define, Measure, Analyze, Improve, Control), welcher dazu dient, bestehende IT-Prozesse messbar zu machen und sie nachhaltig zu verbessern. 43 Stärken/ Schwächen Six Sigma kann als tiefgreifende Verbesserungsmethode oder -philosophie bezeichnet werden, welche schnell zu implementieren ist, eine hohe Erfolgsquote aufweist und weltweit ein gemeinsames Vokabular vereint. Sehr erfolgversprechend ist vor allem der Einsatz bei wiederhol- und messbaren, nicht innovativen IT-Prozessen, bei denen umfangreiche Datensätze verfügbar sind. Darüber hinaus kann es als Werkzeugkasten in annähernd jeder Situation in der IT eingesetzt werden. Der Einsatz des gesamten Zyklus sollte jedoch sorgfältig überdacht werden, weil die zeitlichen und ressourcenbedingten Auswirkungen der Umsetzung auf die IT und auch das Gesamtunternehmen beträchtlich sein können. 4.3.9 Projektmanagement Frameworks 4.3.9.1 PMBoK - Project Management Body of Knowledge Kurzbeschreibung/ Anwendungsgebiet Der Project Management Body of Knowledge (PMBoK) ist ein Framework, welches Wissen, Konzepte und Verfahren für die erfolgreiche Durchführung von Projekten vereint. Es ist nicht auf einen bestimmten Bereich beschränkt und kann daher zum Management eines jeglichen IT-Managementprojekts eingesetzt werden. Es bietet eine Vielzahl an Informationen zu bewährten Verfahren des Projektmanagements und stellt ein einheitliches Vokabular für dieses Fachgebiet bereit. Das Framework folgt einem Lebenszyklus, der ein Projekt in die Phasen Initiating, Planning, Executing, Monitoring/ Controlling und Closing einteilt. Zudem gliedert sich der Zyklus in die neun Wissensbereiche Integration, Scope, Time, Cost, Quality, Human Resource, Communications, Risk und Procurement Management. Jeder Bereich enthält spezifische Prozesse, die durch Ziele, Aktivitäten, Inputs, Outputs und Verknüpfungen beschrieben werden. 44 43 Vgl. Van Bon, Jan/ Verheijen Tieneke (IT-Management-Frameworks, 2007), S. 97-109. 44 Vgl. Van Bon, Jan/ Verheijen Tieneke (IT-Management-Frameworks, 2007), S. 255- 266. <?page no="73"?> 74 IT-Management-Frameworks - Wann welches Framework? Stärken/ Schwächen Das PMBoK Framework ist weltweit anerkannt, zeichnet sich durch eine umfangreiche Mitarbeit der unterschiedlichsten Wirtschaftszweige und Organisationen aus, kann auf jegliches IT Projekt angewendet werden und stellt den Prozessgedanken in den Vordergrund. Von Vorteil ist die sehr gute Harmonisierung in der Anwendung mit anderen IT-Management-Frameworks, wie z.B. COBIT oder ITIL v3. Zu bemängeln sind jedoch fehlende Implementierungsaspekte und praxisnahe Beispiele für den Einsatz der beschriebenen Methoden. 4.3.9.2 PRINCE2 - Projects In Controlled Environments Kurzbeschreibung/ Anwendungsgebiet PRINCE2 (Projects In Controlled Environments) ist ein skalierbares und flexibles Projektmanagement Framework, welches für den Einsatz in Projekten jeglicher Art und Größe geeignet ist. Es basiert auf den beiden Grundprinzipien, dass ein Projekt nur durchgeführt werden soll, wenn ein solider Business Case für das Projekt existiert und ein konkretes Projektergebnis im Fokus steht. Das Framework besteht aus verschiedenen Prozessen, Komponenten und Techniken, wobei die Unterscheidung zwischen Entwicklungsprozessen und Techniken elementar ist. 45 Stärken/ Schwächen PRINCE2 trägt zur erfolgreichen Durchführung von Projekten bei, indem es ein strukturiertes Vorgehen beschreibt, auf die Rendite eines Projekts fokussiert, den Anwender des Endprodukts über den gesamten Entwicklungsprozess einbezieht, Risiko- und Qualitätsmanagementaspekte berücksichtigt und Produktänderungen aktiv kontrolliert. Dem stehen eine fehlende Betrachtung von Leadership-Aspekten sowie eine geringe Detailtiefe bei der Beurteilung von Business Cases gegenüber. Ebenfalls von Nachteil ist die fehlende Programmbetrachtung innerhalb von PRINCE2. Es bietet sich daher eine Kombination mit dem Schwester Framework Managing Successful Programmes an, welches sich mit dem Programmmanagement detailliert beschäftigt, jedoch nicht explizit in diesem Artikel betrachtet wird. 4.4 Zuordnung der IT-Management-Frameworks auf die Disziplinen des Deloitte CIO Management Frameworks TM Das Deloitte CIO Management Framework TM ist ein ganzheitliches, multidimensionales und integriertes Rahmenwerk zur Abbildung einer IT-Organisation. Es gliedert sich in die drei Wertschöpfungskategorien Create Value, Manage Value und Realize Value. Diese drei Kategorien wiederum lassen sich in elf Disziplinen unterteilen. Eine Disziplin ist eine logische Gruppierung von IT-Prozessen, Aktivitäten, Rollen und Verantwortlichkeiten, Werkzeugen und Kontrollmechanismen. Die Disziplinen sind sowohl in die IT integriert als auch mit anderen Unternehmensteilen verknüpft, um einen nachhaltigen Wertbeitrag für das Gesamtunternehmen zu gewährleisten. Die 45 Vgl. Office of Government Commerce (PRINCE2, 2010) und vgl. Van Bon, Jan/ Verheijen Tieneke (IT-Management-Frameworks, 2007), S. 241-253. <?page no="74"?> IT-Management-Frameworks - Wann welches Framework? 75 folgende Tabelle gibt einen aggregierten Überblick über die elf Disziplinen des Deloitte CIO Management Frameworks TM . 46 Kategorie Disziplin Beschreibung Create Value IT Strategy Planning Management Strategische Ausrichtung und Festlegung der Prioritäten der IT, abgestimmt auf die Unternehmensstrategie IT Innovation Management Identifikation neuer oder existierender Technologien, welche die Geschäftsbereiche besser unterstützen IT Architecture Management Konsolidierung und Standardisierung bestehender Technologie- und Systemarchitekturen IT Delivery Management Sicherstellung einer rechtzeitigen, kostenoptimalen und risikominimalen Planung und Durchführung von IT-Programmen, Projekten und Dienstleistungen IT Sourcing Management Entwicklung und Implementierung einer Beschaffungsstrategie, die im Hinblick auf die Geschäftsanforderungen bestehende Lieferantenbeziehungen bewertet IT Program Management Identifikation, Priorisierung und Verwaltung eines Portfolios an Programmen und Projekten, das gewinnmaximierend auf die Unternehmensziele ausgerichtet ist Manage Value IT Business Management Behandlung der IT als eine Wertschöpfungsorganisation und nicht als Kostenstelle, welche die Geschäftsziele unterstützt IT-Governance Management Sicherstellung eines angemessen Führungsstils, von Strukturen und Prozessen, im Einklang mit den Geschäftszielen Realize Value IT Human Capital Management Bereitstellung der richtigen (organisiert, verfügbar und produktiv) Ressourcen, um die IT-Ziele kosteneffizient zu erreichen IT Operations Management Kosteneffektiver Einsatz der IT unter Einhaltung der staatlichen Vorschriften, um das Geschäftsrisiko zu minimieren und die Kontinuität zu gewährleisten 46 Neben den elf Disziplinen beinhaltet das Deloitte CIO Management Framework TM ebenfalls sechs Perspektiven, welche in dieser Arbeit jedoch keine Berücksichtigung gefunden haben, um die Komplexität zu reduzieren. <?page no="75"?> 76 IT-Management-Frameworks - Wann welches Framework? Kategorie Disziplin Beschreibung IT Customer Relationship Management Definition der für den Kunden zufriedenstellenden IT-Dienstleistungen Tabelle 4.2: Deloitte CIO Management Framework TM Disziplinen und Beschreibung Im Folgenden wird eine Zuordnung der 16 ausgewählten Frameworks und Standards auf die elf Disziplinen des Deloitte CIO Management Framework TM vorgenommen. Dabei werden neben dem dargestelltem Anwendungsgebiet und dem Reifegrad auch die aufgezeigten Stärken und Schwächen der analysierten Frameworks zurate gezogen, um den Abdeckungsgrad der elf Disziplinen zu bestimmen. Für die Zuordnung wird eine Bewertungsskala mit fünf Stufen verwendet. Bewertungsstufe Beschreibung Das Framework unterstützt die Disziplin komplett. Keine ergänzenden Frameworks und Standards werden benötigt. Das Framework unterstützt die Disziplin größtenteils. Eine geringe Anzahl an ergänzenden Frameworks und Standards wird benötigt. Das Framework unterstützt die Disziplin teilweise. Eine große Anzahl an ergänzenden Frameworks und Standards wird benötigt. Das Framework unterstützt die Disziplin geringfügig. Eine sehr große Anzahl an ergänzenden Framework und Standards wird benötigt. Das Framework unterstützt die Disziplin nicht. Tabelle 4.3: Bewertungsstufen Die nachfolgende Tabelle gibt einen Gesamtüberblick der vorgenommenen Bewertung und Zuordnung der untersuchten Frameworks auf das Deloitte CIO Management Framework TM . <?page no="76"?> IT-Management-Frameworks - Wann welches Framework? 77 Disziplinen des Deloitte CIO Management Frameworks TM Create Value Manage Value Realize Value Kategorie Framework IT Strategy Planning IT Innovation IT Enterprise Architecture IT Delivery IT Sourcing IT Program Management IT Business Management IT-Governance Human Capital IT Operations IT Customer Relationship IT-Governance COBIT ISO/ IEC 385000 Val IT IT-Service- Management ITIL ISO/ IEC 20000 eSCM-SP v2 IT Application Development CMMI for Dev IT Architecture Management TOGAF IT Security Management ISO/ IEC 27001/ 270 02 IT Business Continuity Management BS25999 IT- Riskmanag ement M_o_R Risk IT Quality Management ISO/ IEC 9000 Six Sigma <?page no="77"?> 78 IT-Management-Frameworks - Wann welches Framework? Disziplinen des Deloitte CIO Management Frameworks TM Create Value Manage Value Realize Value Kategorie Framework IT Strategy Planning IT Innovation IT Enterprise Architecture IT Delivery IT Sourcing IT Program Management IT Business Management IT-Governance Human Capital IT Operations IT Customer Relationship Project Management PMBoK PRINCE2 Tabelle 4.4: Zuordnung ausgewählter Frameworks auf das Deloitte CIO Management Framework TM IT Strategy Planning Management: Diese Disziplin weist einen hohen Abdeckungsgrad in fast allen Framework- Kategorien auf. Hervorzuheben sind jedoch die Kategorien IT-Governance (COBIT), IT-Riskmanagement (M_o_R ® - Management of Risk) sowie Quality- und Project Management. Das IT-Management kann auf zahlreiche Frameworks für die strategische Planung zurückgreifen. IT Innovation Management: Für die Disziplin IT Innovation Management stehen nur bedingt explizite Frameworks zur Verfügung. Eine Abdeckung kann am ehesten mit den Kategorien IT-Governance und Quality Management nachgewiesen werden. Sowohl COBIT als auch Six Sigma berühren im Rahmen der Qualitätsverbesserung das Thema Innovation. IT Enterprise Architecture Management: Das verbreitete Framework TOGAF aus der Kategorie IT Architecture Management ist für die Disziplin IT Enterprise Architecture Management hervorzuheben. TOGAF beschäftigt sich explizit mit Entwurf, Planung, Implementierung und Wartung von IT- Architekturen und sollte daher als primäre Referenz herangezogen werden. Ferner werden selektive Architekturvorgaben durch CMMI for Development im Rahmen der Anwendungsentwicklung oder durch ISO/ IEC 27001/ 27002 aus der Sicht des IT Security Management gemacht. IT Delivery Management: Für das IT Delivery Management stehen in zentraler Position das ITIL v3 Framework, der ISO/ IEC 20000 Standard sowie der BS25999 Standard für das Kontinuitätsmanagement zur Verfügung. Daneben decken weitere Frameworks wie die ISO/ IEC 27001/ 27002 aus anderen Kategorien die Lieferung von IT-Dienstleistungen aus den unterschiedlichen Gesichtspunkten einer IT-Organisation ab. Weiterhin sind insbesondere die Frameworks aus der Kategorie Projektmanagement zu erwähnen, da sie sich explizit mit der Sicherstellung einer rechtzeitigen, kostenoptimalen und risikominimalen Planung und Durchführung von IT Projekten und Dienstleistungen beschäftigen. <?page no="78"?> IT-Management-Frameworks - Wann welches Framework? 79 IT Sourcing Management: Für die Disziplin IT Sourcing Management ist das Framework eSCM-SP v2 aus der Kategorie IT-Service-Management hervorzuheben, das speziell auf die Beziehungen zwischen Kunden und Lieferanten von IT-Dienstleistungen ausgerichtet ist. Darüber hinaus wird diese Disziplin in weiteren Frameworks, wie z.B. ITIL v3, COBIT oder dem BS25999 Standard, in seinen Grundlagen behandelt. Die Fokussierung des IT- Managements auf die Kategorie IT-Service-Management in selektiver Kombination mit anderen Frameworks ist somit ein folgerichtiger Schritt für die Steuerung von Beziehungen zwischen Kunden und Lieferanten von IT-Dienstleistungen. IT Program Management: Die Disziplin des IT Program Management wird durch die Project Management Kategorie sehr gut abgedeckt. Die Frameworks PMBok und PRINCE2 verknüpfen das Projektmanagement mit dem Programmmanagement. Das Val IT-Framework aus der Kategorie IT-Governance stellt darüber hinaus die notwendigen Hilfsmittel und Aktivitäten bereit, um auch eine planerische und finanzielle Sichtweise auf IT-Programme sicherzustellen. IT Business Management: Das IT Business Management als zentraler Bestandteil eines Governance-Systems weist eine folgerichtige Überlappung mit den Frameworks der Kategorie IT-Governance auf. Neben COBIT und Val IT gibt auch ISO/ IEC 38500 spezifische Vorgaben zur Umsetzung des IT Business Managements. Ergänzend stellen sowohl ITIL v3 als auch ISO/ IEC 20000 aus Sicht des IT-Service-Managements Umsetzungsempfehlungen bereit. IT-Governance Management: Für das IT-Governance Management stehen dem IT-Management dedizierte Frameworks wie COBIT oder ISO/ IEC 385000 zur Verfügung. Die vorhandenen Umsetzungslücken und die Ausrichtung auf die strategischen und taktischen IT-Aktivitäten und Komponenten werden komplementär durch weitere Frameworks wie z.B. ITIL v3, ISO/ IEC 27001/ 27002, BS25999, M_o_R ® oder Risk IT abgedeckt. IT Human Capital Management: Der Disziplin IT Human Capital Management stehen keine standardisierten Frameworks für das IT-Management zur Verfügung. Das Hauptaugenmerk liegt hier auf den Projektmanagement Frameworks wie PMBoK und PRINCE2, welche Rollen und Verantwortlichkeiten im Kontext von Programmen und Projekten definieren. IT Operations Management: Die Abdeckung der Disziplin IT Operations Management erfolgt durch die komplementäre Anwendung von verschiedenen Frameworks aus verschiedenen Kategorien. Zentrale Frameworks für den kosteneffektiven Einsatz der IT unter Einhaltung der staatlichen Vorschriften, Minimierung des Geschäftsrisikos und Gewährleistung der Businesskontinuität sind COBIT, ITIL v3, ISO/ IEC 27001/ 27002, BS25999, Risk IT und M_o_R ® , die vom verantwortlichen IT-Management in Betracht gezogen werden müssen. <?page no="79"?> 80 IT-Management-Frameworks - Wann welches Framework? IT Customer Relationship Management: Für die Disziplin IT Customer Relationship Management steht kein dediziertes Framework zur Verfügung. Sowohl COBIT als auch ITIL v3 greifen jedoch aus Sicht einer IT- Governance bzw. des IT-Service-Managements die Schnittstelle zum Kunden auf. Der Fokus liegt hierbei auf dem Anforderungsmanagement, der Messung der IT- Dienstleistungsqualität und Kundenzufriedenheit, der Transparenz des Dienstleistungsportfolios und der zielgerichteten Kommunikation. Dazu können die Qualitäts- und Projektmanagement Frameworks zur Definition und Implementierung der für den Kunden zufriedenstellenden IT-Dienstleistungen eingesetzt werden, da diese die Kundenperspektive ebenfalls aufgreifen. Die Kontinuität der Lieferantenbeziehung auf IT- Services Ebene wird durch den BS25999 Standard abgedeckt. 4.5 Fazit und Anwendungsempfehlung Die vorangegangene Analyse der wichtigsten IT-Management-Frameworks sowie die Zuordnung auf die elf Disziplinen des ganzheitlichen Deloitte CIO Management Framework TM zeigen auf, dass der gezielte Einsatz eines Frameworks in einer IT- Organisation nicht immer durchführbar ist. Die Fokussierung einzelner Frameworks auf bestimmte Themengebiete erlaubt es aber, einen hohen Abdeckungsgrad in einzelnen Disziplinen des Deloitte CIO Management Framework TM zu erzielen. Während die Disziplinen IT Strategy Planning Management, IT Delivery Management, IT Program Management, IT Business Management und IT-Governance Management eine Vielzahl an Frameworks zur Unterstützung und Implementierung aufweisen, gibt es Disziplinen, die nur unzureichend mit zugrunde liegenden IT-Management-Frameworks unterstützt werden. Insbesondere für die Disziplinen IT Innovation Management, IT Human Capital Management und IT Customer Relationship Management haben sich bisher keine reifen IT-Frameworks am Markt etablieren können. Hier erscheint es als sinnvoll, dass sich das IT- Management an anderen - nicht IT-Standards - orientiert und diese auf die IT adaptiert. Es bleibt des Weiteren festzuhalten, dass mehrere der untersuchten IT-Management- Frameworks einen hohen Abdeckungsgrad gegenüber den verwendeten Disziplinen des CIO Management Framework TM aufweisen. Während COBIT, ISO/ IEC 38500, ITIL v3, ISO/ IEC 27001/ 27002, BS25999, M_o_R ® und Risk IT querschnittlich mehrere der Disziplinen des Deloitte CIO Management Framework TM abbilden und damit ein größeres Anwendungsgebiet unterstützen, fokussieren sich z.B. Val IT, eSCM-SP v2 und CMMI for Dev auf wenige, wichtige Kerndisziplinen. Daneben gilt es ebenfalls hervorzuheben, dass die elf Disziplinen des Deloitte CIO Management Frameworks einen sehr umfänglichen Ansatz zur Abdeckung der IT-Wertschöpfungskette bieten. Weiterhin gilt es im Hinblick auf das IT-Management zu beachten, welches Framework von welcher Organisationseinheit zu verfolgen und zu implementieren ist. Während das IT-Management auf die Kontrolle, Steuerung, Kosteneffizienz und Transparenz zielt, stehen bei den IT Fachbereichen eher die Themen Optimierung der Dienstleistungserbringung und Sicherstellung von effizienten, effektiven und dauerhaften Arbeitsabläufen im Fokus. Diese Gesichtspunkte sollten in die engere Auswahl der Kriterien hinsichtlich der Entscheidung für oder gegen eine Implementierung eines IT- Management-Frameworks einbezogen werden. <?page no="80"?> IT-Management-Frameworks - Wann welches Framework? 81 Zusammenfassend ist festzuhalten, dass nur durch die Kombination komplementärer Frameworks sowie durch die gezielte Nutzung ihrer Stärken und Schwächen ausgerichtet auf eine individuelle IT-Organisation, die gesamte IT-Wertschöpfungskette einer IT-Organisation abdeckbar ist. Dabei sollte sich das IT-Management sinnvoll auf eine Handvoll an Frameworks beschränken, um ein transparentes und zugleich einfaches IT-Management System für alle Belange der Organisation zu installieren. Der schrittweise Ausbau dieses Systems, durch die Ergänzung weiterer dedizierter und fokussierter Frameworks, ist IT-Organisationen mit einem hohen Reifegrad und speziellen Anforderungen vorbehalten. 4.6 Literatur Andenmatten, M. (2005): ITIL IT Infrastructure Library - COBIT Mapping. http: / / www.glenfis.ch/ media/ download/ ITIL_C_2005_L01-01.pdf (06.02.2006). Applegate, L./ Austin, R./ Warren McFarlan, F. (2008): Corporate Information Strategy and Management, McGraw Hill Book Co. Brenner, M. (2007): Werkzeugunterstützung für ITIL-orientiertes Dienstmanagement - Ein modellbasierter Ansatz, Norderstedt, Books on Demand. Brenner, W./ Ebert, N./ Hochstein, A./ Übernickel, F. (2007): IT-Industrialisierung - Was ist das? , http: / / www.computerwoche.de/ management/ it-strategie/ 592035/ (10.11.2009). Brenner, W./ Ebert, N./ Hochstein, A./ Übernickel, F. (2007): IT-Industrialisierung - Die neuen Wertschöpfungsketten. http: / / www.computerwoche.de/ management/ it-strategie/ 592036/ (10.11.2009). British Standards Institutions (BS25999, 2007): Business Continuity Management - Part 1 & Part 2. http: / / www.bsigroup.de/ de/ Audit-und-Zertifizierung/ Managementsysteme/ Standards-und-Systeme/ BS-25999-Betriebliche-Kontinuitaet (15.03.2010). Deloitte (2009): The CIO Management Framework. Gerrard, M./ Gomolski, B. (2006): Best Practices for IT-Governance in a Global Organization. http: / / www.gartner.com/ DisplayDocument? ref=g_search&id=499505 (17.12.2009). Gerrard, M./ Short J. (2009): IT-Governance Must Be Driven by Corporate Governance. http: / / www.gartner.com/ DisplayDocument? ref=g_search&id=499505 (17.12.2009). Guldentops, E./ Hardy, G. et al. (2005): Aligning COBIT, ITIL and ISO 17799 for Business Benefit: A Management Briefing from ITGI und OGC. http: / / www.itil.co.uk/ includes/ ITIL-COBIT.pdf (07.01.2010). International Organization for Standardization, ISO (2009): Corporate governance of information technology. http: / / www.itgovernance.co.uk/ iso38500.aspx (15.02.2010). <?page no="81"?> 82 IT-Management-Frameworks - Wann welches Framework? IT Governance Institute (2008): IT-Governance Global Status Report - 2008. http: / / www.isaca.org/ template_ITGI.cfm? template=/ ContentManagement/ ContentDisplay.cfm&ContentID=40584 (17.12.2009). IT Governance Institute (2009): An Executive View of IT-Governance. http: / / www.itgi.org/ AMTemplate.cfm? Section=Deliverables&Template=/ Content Management/ ContentDisplay.cfm&ContentID=47365 (18.12.2009). IT Governance Institute (2007): COBIT is Available! http: / / www.isaca.org/ Template.cfm? Section=COBIT6&Template=/ TaggedPage/ TaggedPageDisplay. cfm&TPLID=55&ContentID=31519 (15.02.2010). IT Governance Institute (2009): The Risk IT-Framework. http: / / www.amazon.de/ Frameworks-f%C3%BCr-das-Management-Jan/ dp/ 9087530862/ ref=sr_1_1? ie =UTF8&s=books&qid=1266244948&sr=8- (15.02.2010). IT Governance Institute (2008): Val IT based on COBIT. http: / / www.isaca.org/ Template.cfm? Section=Val_IT4&Template=/ TaggedPage/ TaggedPageDisplay. cfm&TPLID=80&ContentID=51867 (15.02.2010). IT Governance Institute (2008): ISO/ IEC 38500: 2008 Adoption. http: / / www.itgi.org/ AMTemplate.cfm? Section=Deliverables&Template=/ ContentManagement/ ContentDisplay.cfm&ContentID=47865 (12.02.2010). IT-Services Qualification Center (2010), eSCM-SP v2 - eSourcing Capability Maturity Model for Service Providers v2. http: / / www.itsqc.org/ models/ escm-sp/ index. html (15.02.2010). itSMF, IT-Service-Management Forum (2010): Welcome to the itSMF ISO/ IEC 20000 Certification web site. http: / / www.isoiec20000certification.com/ (17.01.2010). ISACA CH, Information Systems Control Journal (1998): CoP, COBIT, Marion, IT- Grundschutzhandbuch: vier Methoden im Vergleich. http: / / www.isaca.ch/ files/ igcop_broschuere.pdf (12.07.2006). ISACA (2008): Aligning ITIL v3, COBIT 4.1, ISO 27200 for business benefits, A Management Briefing from ITGI and OGC. http: / / www.isaca.org/ AMTemplate. cfm? Section=Deliverables&Template=/ ContentManagement/ ContentDisplay.cfm &ContentID=54909 (12.12.2009). Johannsen, W./ Goeken, M. (2007) : IT-Governance - neue Aufgaben des IT- Managements, HfB - Business School of Finance & Management. www.frankfurtschool.de/ dms/ publications_it_governance/ IT/ IT.pdf (16.12.2009). Lenz, S. (2010): Geschäftsorientiertes IT-Architektur-Management in der Zürcher Kantonalbank - Die IT-Architektur als Bestandteil der Unternehmensarchitektur. http: / / www.stefan-lenz.ch/ _downloads/ da_mas_bim_sl.pdf (15.02.2010). Mingay, S./ Brittain K. (2003): Align ITIL With Other IT Process Models to Improve Quality, Gartner Research, Stamford, CT, Gartner Group. Office of Government Commerce (2010): The Official ITIL Website. http: / / www.itilofficialsite.com/ home/ home.asp (15.02.2010). Office of Government Commerce (2010): PRINCE2. http: / / www.ogc.gov.uk/ methods_prince_2.asp (15.02.2010). <?page no="82"?> IT-Management-Frameworks - Wann welches Framework? 83 Office of Government Commerce (2010): Management of Risk. http: / / www.ogc. gov.uk/ guidance_management_of_risk_4441.asp (13.02.2010). Office of Government Commerce (2010): Managing Successful Programmes. http: / / www.ogc.gov.uk/ delivery_lifecycle_overview_of_managing_successful_pro grammes_msp_.asp (14.02.2010). Oud, E. J. (2005): The Value to IT of Using International Standards, Information Systems Control Journal, ISACA, 2005. http: / / www.isaca.org/ Template.cfm? Section=Home&CONTENTID=25089&TEMPLATE=/ ContentManagement/ ContentDisplay.cfm (07.12.2009). Rothlauf (2004): Total Quality Management in Theorie und Praxis: Zum ganzheitlichen Unternehmensverständnis; 2. Aufl., München. The British Standards Institution (2010): ISO/ IEC 27001/ 27002 Informationssicherheit. http: / / www.bsigroup.de/ de/ Audit-und-Zertifizierung/ Managementsysteme/ Standards-und-Systeme/ ISOIEC-27001/ (12.02.2010). The Open Group (2010): Welcome to TOGAF™ - Version 9 „Enterprise Edition“. http: / / www.opengroup.org/ togaf/ (15.02.2010). Van Bon, J./ Verheijen T. (2007): Frameworks für das IT-Management - Die führenden 22; 1. Aufl., Amersfoort, Niederlande. Walter, S. M./ Krcmar, H. (2006): Reorganisation der IT-Prozesse auf Basis von Referenzmodellen - eine kritische Analyse, itService-Management 1(2), S. 3-9. <?page no="84"?> 5 Design for Flexibility - Strategische Flexibilität in der IT durch konsequentes IT-Organisationsdesign Marc Henselewski Unternehmen werden mit stetiger Veränderung des wirtschaftlichen Umfelds konfrontiert und müssen Wege finden, die Organisation schnell an veränderte Situationen und Anforderungen anzupassen. Diese Tatsache wirkt sich insbesondere auf die IT-Organisation aus, da diese die notwendige Flexibilität besitzen muss, auf kontinuierlich veränderte Anforderungen reagieren zu können. Dieser Artikel stellt dar, wie im Rahmen des IT-Organisationsdesigns die strategische Flexibilität einer IT-Organisation verbessert werden kann und welche Fragestellungen bezüglich aufbauorganisatorischer Struktur, IT-Governance-Modell sowie IT-Workforce in diesem Kontext zu beantworten sind. 5.1 Die Notwendigkeit zu gesteigerter Flexibilität in der IT Märkte und Wettbewerb erfordern von Managern seit jeher, Wege zu finden, um mit Unsicherheit im Umfeld ihres Unternehmens umzugehen. Unvorhersehbare Marktentwicklungen, starke Veränderungen der Nachfragestrukturen (z.B. wechselnde Auftragsvolumina oder verstärkte Individualisierung der Produkte) und ein wechselndes Feld von konkurrierenden Wettbewerbern sind nur einige Aspekte, die den Begriff Unsicherheit in diesem Zusammenhang prägen und von Bullinger 47 als Turbulenzfaktoren charakterisiert werden. In der Management-Theorie hat sich das Konzept der strategischen Flexibilität als ein Ansatz für den Umgang mit unternehmerischer Unsicherheit entwickelt. Danach wird strategische Flexibilität verstanden als die Notwendigkeit der dauerhaften Anpassung an Veränderungen der Unternehmenssituation zur Sicherung der Überlebensfähigkeit des Unternehmens. 48 Insbesondere die wirtschaftlichen Entwicklungen im Rahmen der Globalisierung und der wachsenden Intensität der Nutzung der Informationstechnologie (IT) haben durch kürzer werdende Produktlebenszyklen, globalen Wettbewerb und eine wachsende Nachfragemacht zu der Notwendigkeit für Unternehmen geführt, sich an stetig wechselnde Anforderungen anzupassen, um Marktpositionen zu halten oder zu verbessern. Gleichzeitig stellt die IT nicht mehr nur eine reine Unterstützungsfunktion dar, sondern es kann beobachtet werden, dass die IT zunehmend an strategischer Bedeutung gewinnt, wenngleich mit verändertem Fokus. Wenn ursprünglich der Betrieb einzelner technologischer Plattformen und Rechenzentren Hauptaufgabe der IT war, ist diese Aufgabe mittlerweile insbesondere um strategische Aktivitäten wie die Planung der funktionalen und technologischen Architektur des Unternehmens als Ganzes erweitert worden. Zudem hat sich der Durchdringungsgrad der Informationstechnologie in allen Bereichen und Prozessen des Unternehmens stark erhöht. Dies führt zu der Situation, dass die IT direkt von jeder Veränderung im Unternehmen betroffen ist. Präziser ausgedrückt, steht die IT aufgrund ihrer hohen Bedeutung für die reibungslosen Abläufe 47 Vgl. Bullinger et al 2003, S. 74. 48 Vgl. Kaluza 2004. <?page no="85"?> 86 Design for Flexibility - Strategische Flexibilität in der IT im Unternehmen vor der Aufgabe, die Anforderungen aus Veränderung und Anpassung, die in den Fachbereichen entstehen, umzusetzen. Das erfordert, dass die IT- Organisation mit kontinuierlicher Veränderung umgehen und auf diese flexibel reagieren können muss. Dies erscheint aufgrund der Historie vieler IT-Abteilungen in Unternehmen als nicht selbstverständlich. Gewachsene Strukturen in der IT-Landschaft, eine Kultur der Erfüllung von Sonderwünschen der Fachbereiche ohne übergeordnete Koordination oder eine unzureichende Konsequenz bei der Umsetzung der IT- Strategie in früheren Jahren resultierten häufig in starren Strukturen oder Insellösungen innerhalb der IT-Leistungserbringung. Die Fähigkeit, auf Veränderungen schnell und flexibel reagieren zu können, erfordert jedoch eine möglichst dynamische Anpassbarkeit sowohl der IT-Landschaft als auch der IT-Leistungserbringung. Hohe Effizienzanforderungen an die IT und sinkende IT-Budgets haben Standardisierungsinitiativen begünstigt, die sich positiv auf die Flexibilisierung der IT auswirken können. Zudem erleichtern die in diesem Zusammenhang angewendeten Konzepte, wie z.B. Service-orientierte Architekturen (SOA), flexible Ergänzungen und Veränderungen der IT-Landschaft. Applikationen können auf Basis standardisierter Integrations- und Middleware-Lösungen im Idealfall modular in die IT-Landschaft integriert bzw. aus ihr herausgeschnitten werden. Infrastrukturseitig bieten Konzepte wie u.a. Storage-on-Demand, Virtualisierung oder Cloud Computing teilweise bereits seit längerer Zeit Optionen, Kapazitäten zu flexibilisieren, Schwankungen in der Nachfrage nach IT-Leistungen besser abzufedern und zusätzlich die Kostenstruktur zugunsten variabler Kosten zu verschieben und somit die Fixkosten zu verringern. Jedoch ist es in den meisten Unternehmen noch ein schwieriger und risikoreicher Weg, die existierenden Strukturen in eine derartige IT-Landschaft zu überführen. Unabhängig davon muss eine solche Flexibilisierung der technologischen Plattform mit einer flexiblen Gestaltung der gesamten IT-Organisation einhergehen, um adäquat auf Veränderungen reagieren zu können. Um diesem Gedanken gerecht zu werden, soll im Rahmen dieses Beitrags strategische IT-Flexibilität verstanden werden als die Fähigkeit der IT-Organisation, ganzheitlich und kontinuierlich auf Veränderungen der Unternehmenssituation zu reagieren und sich schnell an neue Anforderungen anzupassen. Aus Sicht des Autors bedingt die Notwendigkeit zur dauerhaften Anpassung an Veränderungen der Unternehmenssituation eine tief greifende Verankerung von Flexibilität in den Leitprinzipien für das Design der IT-Organisation. Nur wenn die IT von Grund auf in die Lage versetzt wird, flexibel zu reagieren, können Ansätze zur Steigerung der IT-Flexibilität, wie die im vorherigen Absatz beschriebenen, in der Umsetzung ihre volle Wirkung erreichen. Darüber hinaus muss sichergestellt werden, dass Flexibilität nicht zulasten des Kostenbewusstseins geht und die IT-Organisation den Spagat zwischen flexibler und auf das Geschäft ausgerichteter Aufstellung sowie kosteneffizienter Leistungserbringung erfolgreich meistert. In den folgenden Abschnitten werden die Dimensionen des IT-Organisationsdesigns eingeführt, die in dem Kontext Flexibilisierung der IT eine wichtige Rolle spielen. Anschließend werden die einzelnen Dimensionen im Detail diskutiert und Ansätze zur Lösung der Fragestellung, auf welche Weise IT-Organisationsdesign zu erhöhter IT- Flexibilität beitragen kann, erörtert. Der Beitrag endet mit einer integrativen Betrachtung der vorgestellten Ansätze und einem Ausblick auf weiterführende Fragestellungen. <?page no="86"?> Design for Flexibility - Strategische Flexibilität in der IT 87 5.2 Die drei Dimensionen des IT-Organisationsdesigns Bevor die Fragestellung, auf welche Weise IT-Organisationsdesign zu erhöhter IT- Flexibilität beitragen kann, im Detail betrachtet wird, werden in diesem Abschnitt drei Dimensionen des IT-Organisationsdesigns vorgestellt, die im Kontext einer Erhöhung der Flexibilität der IT von Bedeutung sind. Die hier betrachteten Dimensionen sind die aufbauorganisatorische Struktur, das IT-Governance-Modell sowie die IT-Workforce. Abbildung 5.1: Dimensionen des IT-Organisationsdesigns Eine grundlegende Aufgabe im Rahmen des IT-Organisationsdesigns ist die Festlegung der aufbauorganisatorischen Struktur. „Mit der Aufbauorganisation wird die stabile Struktur, das Stellengefüge der Unternehmung geschaffen, welche sich sichtbar im „Bauplan“ der Unternehmung (dem Organigramm) niederschlägt (statischer Aspekt). Im Mittelpunkt der Aufbauorganisation steht die Verteilung von Aufgaben auf Aufgabenträger.“ 49 Dabei muss das Design der Aufbauorganisation für die IT sicherstellen, dass die Untergliederung der IT- Einheit eines Unternehmens in logische, der Leistungserbringung zweckdienliche Untereinheiten, in Summe optimal der Gesamtaufgabe der IT dient. Aus dem vorhergehenden Absatz folgt die Frage, wie die einzelnen Teilaufgaben der IT kombiniert oder zusammengefasst bzw. welche Grundprinzipien zur Gestaltung der IT-Organisation angewandt werden sollten. Ansätze für die Lösung dieser Fragestellung gibt es viele, wie z.B. die Aufspaltung der IT in eine Supply- und eine Demand- Organisation, um nur eines der viel diskutierten Designprinzipien zu nennen. Die 49 Vgl. Bea, Göbel 1999. • Was sind Leitprinzipien für die IT Governance? • Wie sollte eine Entscheidungs-/ Gremienstruktur aufgebaut werden? • Wie sollten IT Governance Prozesse ausgestaltet werden, damit Leitprinzipien und Gremienstruktur bestmöglich umgesetzt bzw. unterstützt werden? • Welche Mitarbeiterqualifikationen sind heute kritisch und welche werden in Zukunft benötigt? • Welche Rollen um Kompetenzen müssen zukünftig besetzt werden? • Wie kann eine effektive und effiziente Entwicklung der Mitarbeiter gestaltet werden, um um die in Zukunft benötigten Qualifikationen im notwendigen Maße verfügbar zu haben? IT Workforce Aufbauorganisatorische Struktur IT Organisationsdesign IT Governance Modell • In welche Einheiten sollte die Aufgabe der IT gegliedert und welche Grundprinzipien zur Gestaltung der IT Organisation sollten angewandt werden? • Welcher Grad an Zentralisierung der IT Organisation ist der geeignete? • Welche Teile der IT Leistungserbringung werden inhouse erbracht und welche durch externe Anbieter? <?page no="87"?> 88 Design for Flexibility - Strategische Flexibilität in der IT Entscheidung für die Anwendung solcher oder ähnlicher Prinzipien hat direkten Einfluss auf die Fähigkeit der IT, sich flexibel an Veränderungen anzupassen. Die Aufbauorganisation definiert Abhängigkeiten zwischen den IT-Organisationseinheiten und damit die Komplexität der IT-Organisation. Eine hohe Komplexität resultiert in einer gleichfalls hohen Komplexität im Falle von großen Veränderungen. Daher muss im Rahmen der Gestaltung der aufbauorganisatorischen Struktur die Flexibilität als grundlegendes Design-Prinzip verankert werden, d.h. für jede Designentscheidung muss zusätzlich die Frage beantwortet werden, welche Konsequenzen aus der Anforderung nach Flexibilität berücksichtigt werden müssen und welche Auswirkungen diese auf die Design-Entscheidung haben. Abschnitt 3.1 beschreibt, welche Aspekte des Aufbauorganisationsdesigns einen Einfluss auf die strategische Flexibilität der IT haben, welche Ansätze und Maßnahmen für die jeweiligen Aspekte existieren und welchen positiven oder negativen Einfluss diese auf eine flexible Ausrichtung der IT haben. Während es die Zielstellung des Designs der Aufbauorganisation ist, die Leistungserbringung der IT so zu gestalten, dass effiziente und gleichzeitig flexible Strukturen entstehen, muss die Einhaltung von Effizienz, Effektivität und zentraler Vorgaben über ein passendes IT-Governance-Modell sichergestellt werden. Das IT Governance Institute schreibt zu der Frage, was IT-Governance sei, „IT-Governance liegt in der Verantwortung des Vorstands und des Managements und ist ein wesentlicher Bestandteil der Unternehmensführung. IT-Governance besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die IT die Unternehmensstrategie und -ziele unterstützt“. 50 Dies bedeutet, dass mit einem IT-Governance-Modell, die notwendigen Steuerungs- und Entscheidungsstrukturen geschaffen werden, die zur Einhaltung von aus der Unternehmensstrategie abgeleiteten IT Leitprinzipien und zur Umsetzung der IT-Strategie dienen. Ein IT-Governance-Modell kann durch drei Fragestellungen gekennzeichnet werden: Was sind Leitprinzipien für die IT-Governance? Wie sollte eine Entscheidungs-/ Gremienstruktur aufgebaut werden? Wie sollten IT-Governance-Prozesse ausgestaltet werden, damit Leitprinzipen und Gremienstruktur bestmöglich umgesetzt bzw. unterstützt werden? Insbesondere die ersten beiden Aspekte haben eine hervorgehobene Bedeutung im Kontext strategischer IT-Flexibilität, da sie das Grundrahmenwerk für eine flexible Aufstellung der IT bilden und gleichzeitig, durch ihre steuernden Eigenschaften, wichtige Hebel zur Erhaltung der Effizienz sowie eines allgemeinen Nutzen- und Kostenbewusstseins in der IT sind. Die Beantwortung der dritten Frage nach einer idealen Ausgestaltung der Prozesse, mit Hilfe derer IT-Governance implementiert wird, wird in diesem Kapitel nicht thematisiert. Die Leitprinzipien der IT-Governance sollten sich aus den Regelwerken der Corporate Governance ableiten und sicherstellen, dass die IT den übergeordneten Zielen der Unternehmung dient. sie definieren grundsätzliche Verantwortlichkeiten für die Zusammenarbeit innerhalb der IT, mit den entsprechenden Schnittstellen in Fachberei- 50 Vgl. ITGI 2003. <?page no="88"?> Design for Flexibility - Strategische Flexibilität in der IT 89 chen und Unternehmensführung, sowie auch in Bezug auf Lieferanten und Servicepartner und haben insofern direkten Einfluss auf den möglichen Flexibilisierungsgrad in der IT. Die Entscheidungs- und Gremienstruktur setzt auf den Leitprinzipien auf und organisiert die Entscheidungsfindung in der IT. Insbesondere in flexiblen Strukturen ist die Gremienstruktur Kerninstrument, übergreifende Ziele und Strategien umzusetzen sowie IT-Strukturen zu erhalten, die in sich konsistent und kosteneffizient sind. Die unternehmensweite Systemlandschaft, als ein Beispiel, sollte einem abgestimmten Zielbild folgend weiterentwickelt werden, um Ineffizienz, Fehleranfälligkeit und Inflexibilität zu vermeiden, die als Folge unkontrollierter Strukturen entstehen können. Insofern muss über eine geeignete Gremienstruktur und entsprechende Entscheidungskompetenzen sichergestellt sein, dass zentrale Vorgaben eingehalten und umgesetzt werden. Abschnitt 3.2 untersucht die verschiedenen Aspekte der IT-Governance auf ihren Beitrag zu erhöhter Flexibilität in der IT und zeigt auf, welche Ansätze und Maßnahmen positiven oder negativen Einfluss auf eine flexible Ausrichtung der IT haben. Die beiden bisher beschriebenen Dimensionen zielen auf die Sicherstellung einer effektiven und effizienten Erfüllung der Aufgabe der IT-Organisation ab und bilden damit den Rahmen für eine mögliche Flexibilisierung. Dadurch ist eine langfristig erfolgreiche und flexible IT-Organisation jedoch noch nicht garantiert, da die geschaffenen Strukturen von der Theorie in gelebte Prozesse und Denkweisen umgesetzt werden müssen. Aus diesem Grund muss eine Neugestaltung der IT-Organisation auch eine Betrachtung des IT-Personals enthalten, welche die Weiterentwicklung und Ausrichtung der Mitarbeiter und derer Qualifikationen auf die zukünftigen Anforderungen hin sicherstellt. Die dritte Dimension des IT-Organisationsdesigns bildet daher die Gestaltung der IT-Workforce. Jede Veränderung einer Unternehmensorganisation beinhaltet Implikationen für das Personal, sei es durch kurzfristig veränderte Rollen und Stellenprofile oder mittelfristig veränderte Anforderungen an die Mitarbeiterqualifikationen und Fähigkeiten. In diesem Zusammenhang spielt die Personalentwicklung eine entscheidende Rolle, denn sie verfolgt das Ziel, „Mitarbeiter aller hierarchischen Stufen für die Bewältigung der gegenwärtigen und zukünftigen Anforderungen zu qualifizieren.“ 51 Demzufolge müssen u.a. folgende zentrale Fragestellungen im Rahmen einer organisatorischen Veränderung beantwortet werden: Welche Mitarbeiterqualifikationen sind heute kritisch und welche werden in Zukunft benötigt? Welche Rollen und Kompetenzen müssen zukünftig besetzt werden? Wie kann eine effektive und effiziente Entwicklung der Mitarbeiter gestaltet werden, um die in Zukunft benötigten Qualifikationen im notwendigen Maße verfügbar zu haben? Insbesondere das Design der IT-Organisation mit dem Ziel vergrößerter strategischer Flexibilität muss diese zentralen Fragestellungen berücksichtigen. Mitarbeiter müssen in die Lage versetzt werden, auf Veränderungen schnell reagieren zu können und 51 Vgl. Jung 2008. <?page no="89"?> 90 Design for Flexibility - Strategische Flexibilität in der IT gleichzeitig eine konstant hohe Qualität in der Leistungserbringung zu erzielen. Wo es bisher ausreichend war, die Weiterentwicklung des technischen Wissens zu gewährleisten, erfordern flexible IT-Strukturen eine breitere Wissensbasis für die Mehrheit der IT-Mitarbeiter. Die Mitarbeiter müssen bei ihrer Arbeit den Gesamtzusammenhang verstehen, um sich schnell an geänderte Anforderungen anzupassen und der veränderten Situation gerecht zu werden. Dies bedeutet, dass sowohl eine passende Balance aus dem Verständnis der Prozesse und Anforderungen der Fachbereiche, relevantem technischen Wissen und abstrakten Kompetenzen, wie z.B. Vendor Management oder Enterprise Architecture Management, geschaffen werden muss als auch ein kontinuierlicher Change-Managementprozess sichergestellt wird, der die Mitarbeiter bei der Anpassung unterstützt. Abschnitt 3.3 greift diese Punkte auf und beschreibt, wie sich Rollen und Anforderungen innerhalb der IT verändern und welche Aspekte der Entwicklung der IT- Workforce einen positiven oder negativen Einfluss auf die strategische Flexibilität der IT haben. 5.3 Ansätze zur Erhöhung strategischer Flexibilität entlang der Dimensionen des IT-Organisationsdesigns 5.3.1 Aufbauorganisatorische Struktur Die klassischen Ansätze zur Definition der Aufbauorganisation unterscheiden zu einem großen Teil nach funktionalen (z.B. Einkauf, Produktion, Verkauf) und objektorientierten Strukturen (z.B. Regionen, Produkte, Kunden) sowie nach Grad der Zentralisierung. Grob gesprochen werden bei der Definition der Aufbauorganisation die nach Aufgabenanalyse und -synthese definierten Stellen entsprechend der gewählten Form nach Funktionen oder Objekten gruppiert, in eine Leitungs- und Linienstruktur (ggf. auch in Mischformen und Matrix-Strukturen) übertragen und in einem Organigramm für den entsprechenden Unternehmensteil bzw. das gesamte Unternehmen für die Umsetzung dokumentiert. 52 Angelehnt daran stellen sich für die IT vergleichbare Fragen. Ein zu bestimmender Aspekt ist der Grad der Zentralisierung. Es gilt zu definieren, zu welchen Unternehmenseinheiten IT-Ressourcen zugeordnet werden, d.h. inwieweit Ressourcen direkt zu den Geschäfts- oder Fachbereichen gehören und inwieweit eine zentrale IT- Unternehmenseinheit existiert. In der Praxis findet man sowohl Unternehmen mit einer stark zentralisierten und unternehmensweiten IT-Funktion, Unternehmen mit völlig dezentralen Strukturen, in denen die IT ausschließlich in den Geschäftsbereichen verankert ist, sowie mehr und mehr Mischformen, wobei es keine klare Antwort gibt, welche Form der Zuordnung die erfolgreichste ist. Generell erleichtert die Bündelung von IT-Funktionen und Kapazitäten in eine zentrale Unternehmenseinheit IT die Realisierung von Standardisierung und einheitlichen Strukturen. Es liegt auf der Hand, dass, verglichen mit in den Geschäftsbereichen verankerten IT-Funktionen, eine zentral organisierte IT-Funktion eine geringere Komplexität in den IT internen Schnittstellen aufweist und Dopplungen in der Aufgaben- 52 Vgl. z.B. Scherm, Pietsch 2007. <?page no="90"?> Design for Flexibility - Strategische Flexibilität in der IT 91 verteilung einfacher vermieden werden können. Gleichzeitig ist es möglich, durch Standardisierung und Bündelung in der Leistungserbringung, Kostendegressions- und Lernkurveneffekte zu nutzen und so eine effizientere Ausführung der standardisierten IT-Leistungen zu erreichen. Als Konsequenz kann eine zentralisierte IT-Organisation einfacher auf unternehmensweite Veränderungen reagieren, da diese aufgrund der geringeren Komplexität einfacher umgesetzt werden und die IT somit schneller reagieren kann. Gleichzeitig fehlt der IT aber die Möglichkeit, sich schnell an spezifische Anforderungen der Geschäftsbereiche anzupassen, da jede geänderte Anforderung erst im Gesamtkontext betrachtet und in Abstimmung mit den anderen Bereichen umgesetzt werden muss. Mit einer Standardisierung der IT-Leistungserbringung geht auch eine Verallgemeinerung der Leistung einher. Anforderungen stark differenzierter Geschäftsbereiche sind unter Umständen schwer über eine zentrale IT-Organisation zu erfüllen, da Geschäftsbereichs-spezifische Anforderungen der Standardisierung zum Opfer fallen können. In dieser Situation kann über eine dezentrale IT-Organisation eine engere Abstimmung zwischen IT und Geschäftsbereichen und dadurch eine effektivere Unterstützung der Geschäftsbereiche erreicht werden. In seiner Reinform führt die Einordnung von IT- Funktionen innerhalb verschiedener Geschäftsbereiche zur Dopplung von IT-Aufgaben und zu erhöhter Komplexität in den organisatorischen Schnittstellen und somit in der Abstimmung zwischen den Geschäftsbereichs-IT-Funktionen. Zwischen diesen beiden Extremformen des Zentralisierungsgrades gibt es mannigfaltige Abstufungen von Hybrid-Organisationen, die zum Ziel haben, die positiven Aspekte beider Welten miteinander zu verbinden. Hoch standardisierte Aktivitäten oder Bereiche, wie z.B. Data Center, Netzwerk- und Help Desk-Support oder auch ERP Applikationen, werden in zentralisierten Einheiten, häufig in Form von Centers of Excellence, gebündelt, um Kosteneinsparungen zu erzielen. Darüber hinaus wird mehr und mehr auch nach Kompetenzen, wie z.B. Projekt- oder Programmmanagement oder Applikationsentwicklung, gebündelt, um auch in diesen Bereichen von Lernkurven- und Skaleneffekten zu profitieren. Gleichzeitig können auf diese Weise Methoden und Prinzipien unternehmensweit angeglichen und vereinheitlicht werden. Die andere Komponente von Hybrid-Organisationen wird durch dezentrale IT-Einheiten gebildet. Darin sind Funktionen und Objekte enthalten, die in höchstem Maße Geschäftsbereich-spezifisch sind und nicht standardisiert werden können. Gleichzeitig beinhalten diese dezentralen IT-Funktionen eine definierte Schnittstelle zwischen zentraler IT und den Geschäftsbzw. Fachbereichen. Diese Schnittstellen dienen der engen Abstimmung der IT mit den Fachbereichen und erleichtern die stetige Aktualisierung der Anforderungen an die IT. Aus diesen Gründen erscheint nach Ansicht des Autors eine Hybrid-Organisation mit starkem Fokus auf die Geschäftsbereiche als die sinnvollste Lösung, um kurzfristig flexibel auf Anforderungsänderungen in den Geschäftsbereichen reagieren zu können und unternehmensweite Änderungen schnell und effizient auszurollen. Die Bindung der dezentralen Teile an die zentrale IT-Organisation muss dann über ein entsprechendes Governance-Modell (vgl. Abschnitt 3.2) sichergestellt werden. An die Frage nach dem passenden Zentralisierungsgrad knüpft die Frage nach der Tiefe der internen Leistungserbringung an, d.h. welche Teile der IT-Leistung sollen intern erbracht und welche Teile können an einen externen Dienstleister vergeben werden. Interne Leistungserbringung bietet den Vorteil, dass ein hohes Maß an Kon- <?page no="91"?> 92 Design for Flexibility - Strategische Flexibilität in der IT trolle über Inhalt der Aufgaben, die zu liefernde Qualität und die Form der Leistungserbringung besteht. Auf diese Weise können für das Unternehmen ideal passende IT- Leistungen erzielt und Anforderungen der Fachbereiche in hohem Maße umgesetzt werden. Dieser Aspekt ist besonders von Bedeutung, wenn es sich um stark Unternehmens-spezifische Leistungen handelt, die entweder Teil des Wettbewerbsvorteils des Unternehmens sind oder im Markt in der notwendigen Form oder Qualität nicht eingekauft werden können. Je stärker die IT-Organisation jedoch Kompetenzen vorhält, die im Markt als Standarddienstleistungen erhältlich sind, desto größer ist die Gefahr, dass Kostenoptimierungspotenziale nicht genutzt werden. Die Entscheidung für oder gegen die interne Leistungserbringung besitzt großen Einfluss auf die erreichbare Flexibilität einer IT-Organisation. Auslagerungsverträge werden typischerweise für einen Zeitraum von fünf bis zehn Jahren geschlossen. Dabei gilt der Grundsatz, dass längere Verträge wirtschaftlich attraktiver sind. Aufgrund der Tatsache, dass Anbieter für IT-Dienstleistungen auf Skaleneffekte angewiesen sind, um attraktive Konditionen und somit Kosteneinsparpotenziale für ihre Kunden zu realisieren, können sie es sich nicht erlauben, von einem standardisierten Dienstleistungskatalog abzuweichen und Leistungen auf ein Unternehmen zuzuschneiden. Aus dieser Tatsache ergeben sich für Unternehmen auf Kundenseite eine langfristige Bindung an bestehende Vertragsverhältnisse und eine daraus resultierende Inflexibilität. Veränderungen sind entweder nicht möglich oder nur mit hohem Aufwand zu erreichen. Zusätzlich zu den daraus entstehenden Kosten kommen noch eventuelle Kosten für Vertragsstrafen im Falle einer frühzeitigen Kündigung oder Kosten für die Transition und Migration vom alten zum neuen Dienstleister. Daher sollten bei einer Entscheidung bezüglich der internen oder externen Leistungserbringung nicht ausschließlich die Kriterien Standardisierungsgrad, Qualität und Kosten berücksichtigen werden, sondern auch die zu erwartenden Konsequenzen im Falle von Änderungen. Ein Auslagerungsverhältnis im Falle von standardisierten Dienstleistungen ermöglicht die Flexibilisierung der Kostenbasis durch die Umwandlung von Fixkosten in variable Kosten. Im Fall von Infrastuktur-Dienstleistungen, als Beispiel, kann ein Auslagerungsverhältnis von Vorteil sein, da Nachfrageschwankungen bis zu einem gewissen Teil über eine variable Kostenstruktur abgefangen werden können, sofern der Aspekt der Flexibilität in den Auslagerungsvereinbarungen berücksichtigt wurde. Zusammenfassend bedeutet dies, dass die Auslagerung von standardisierten Leistungen, für die im Falle von geänderten Unternehmensanforderungen keine oder nur geringe organisatorischen Anpassungen notwendig sind, sich sehr vorteilhaft auf die Flexibilität der IT-Organisation auswirkt, da diese im Fall von Veränderung vollständige Kontrolle über die kritischen Leistungen behält und standardisierte Leistungen vereinfacht anpassen kann. Mehr und mehr Unternehmen gehen dazu über, die IT-Organisation eigenständig und unabhängig zu positionieren. Die IT rückt somit stärker in die Position des internen Dienstleisters und ist für die Leistungserbringung und Ressourcenverteilung verantwortlich. Solche IT-Organisationen nutzen insbesondere eine Aufteilung nach Angebot (Supply - Ressourcen und Leistungen) und Nachfrage (Demand - Anforderungen der Fachbereiche), um die internen Strukturen und die Schnittstellen zu den Fachbereichen zu definieren. Im Gegensatz zu eigenständigen IT-Einheiten steht die Integration der IT-Funktionen in die Leitungsverantwortung der einzelnen Bereiche der Unternehmung. Vergleichbar mit der dezentralen IT-Struktur dient die enge Integration der Abstimmung mit den Bereichen und einer idealen Erfüllung der Anforderungen. <?page no="92"?> Design for Flexibility - Strategische Flexibilität in der IT 93 Vergleicht man die beiden Modelle, dann wird deutlich, dass neben der verbesserten Effizienz, die aufgrund der geförderten Spezialisierung erreicht werden kann, das eigenständige Modell auch positive Effekte auf die flexible Aufstellung der IT- Organisation hat. Über die Demand-Strukturen wird die Anbindung der IT an die Geschäftsbereiche sichergestellt und gleichzeitig besitzt die IT völlige Hoheit über den Einsatz der Ressourcen im Bereich Supply, um die geforderten Leistungen zu erbringen. So ist die IT in der Lage, sich schnell an veränderte Situationen anzupassen und strategische Entscheidungen umzusetzen. 5.3.2 IT-Governance-Modell Es ist die Aufgabe der Corporate Governance, die Umsetzung der Unternehmensstrategie in der Steuerung des Unternehmens zu verankern und mit der Erfüllung gesetzlicher, aufsichtsrechtlicher sowie freiwilliger Anforderungen und Regularien (z.B. Sarbanes-Oxley Act, Basel II) zu vereinbaren. Aufgrund der hohen Durchdringung der IT in heutigen Unternehmen folgt aus einer effektiven Corporate Governance die Notwendigkeit einer effektiven Steuerung und Kontrolle der IT-Organisation. Das IT- Governance-Modell bildet somit die Basis für die effektive Steuerung und Kontrolle der IT-Organisation entlang einer aus den Unternehmenszielen abgeleiteten IT- Strategie. Aus den Regularien der Corporate Governance entwickelte IT-Governance-Leitprinzipien dienen auf der einen Seite der Erfüllung der Compliance-Anforderungen im Rahmen der IT-Leistungserbringung und der eingesetzten Technologie sowie der Ausrichtung der IT-Steuerung auf die IT-Strategie und den darin enthaltenen Zielen der IT. Sie bilden damit die grundlegenden und übergreifenden Regeln zur Ausrichtung, Steuerung und Kontrolle der IT. Ein wichtiger Bestandteil der übergreifenden Leitprinzipien ist die Definition von Erfolgsgrößen und Ansätzen zur Messung und Überwachung der Zielerreichung. Dieser Aspekt reicht z.B. von der übergreifenden Definition von Strukturen des Berichtswesens über Investitions- oder Architekturrichtlinien (sowohl funktionale als auch System-Komponenten) bis hin zu konkreten Entscheidungsparametern für die Durchführung von IT-Programmen. Die Problematik besteht jedoch darin, dass die IT-Performance auf der Ebene der technischen Infrastruktur und geschäftsspezifischer Anwendungen gut messbar, jedoch der direkte Einfluss der IT auf Gesamtunternehmensebene schwer bewertbar ist. Mögliche Lösungsansätze der Bewertungsproblematik bilden hier z.B. IT-Kennzahlensysteme und IT-Balanced Scorecards. Die Risikominimierung ist ein weiterer wesentlicher Bestandteil der Definition von IT- Governance-Leitprinzipien. Die Minimierung der Risiken hat in der jüngeren Vergangenheit an Beachtung gewonnen und damit der IT-Governance weitere Bedeutung verliehen. Die Wirksamkeit des internen Kontrollsystems, des Risikomanagements und der internen Revision muss vom Prüfungsausschuss des Unternehmens kontinuierlich überwacht werden. Die IT spielt in diesem Zusammenhang aufgrund ihrer engen Verzahnung mit den Geschäftsprozessen eine wichtige Rolle und muss daher den Anforderungen interner und externer Kontrollsysteme gerecht werden. Um diese Anforderungen zu erfüllen, können IT-Organisationen u.a. auf bewährte Referenzmodelle wie COBIT oder ITIL zurückgreifen und so die Governance der IT an die Governance des Gesamtunternehmens ausrichten. <?page no="93"?> 94 Design for Flexibility - Strategische Flexibilität in der IT Aufgrund der den IT-Governance-Leitprinzipien inhärenten Tragweite für die gesamte IT entscheiden diese maßgebend über die Ausrichtung der IT und den Rahmen, in dem sich diese bewegen kann. Sie bestimmen damit unmittelbar den möglichen Flexibilisierungsgrad der IT, d.h. zu enge Leitprinzipien und starre Rahmenbedingungen können eine flexible IT-Organisation verhindern. ihre Angemessenheit sollte daher regelmäßig im Rahmen von Strategie-Reviews geprüft werden, sodass sie den notwendigen Grad an Flexibilität erlauben und gleichzeitig ein effektives Instrument darstellen, die IT auf ein definiertes Ziel auszurichten. Für die adäquate Anwendung und Umsetzung der IT-Governance-Leitprinzipien ist insbesondere die Ausgestaltung der Verantwortlichkeiten maßgebend. Hierzu ist es notwendig, die definierte Organisationsform mit IT-Governance-Gremien zu unterlegen. Die Rollen müssen so ausgestaltet werden, dass die aufbauorganisatorische Struktur unterstützt und der Position der IT im Unternehmen Rechnung getragen wird. Es existieren verschiedene Konfigurationen und Ausprägungen von IT-Governance- Gremien. In der Praxis wird häufig die IT-Governance-Ebene durch einen IT- Lenkungsausschuss (IT-Steering Committee) vertreten, welcher durch die klassischen Rollen des IT-Risiko- und Progammmanagements unterstützt wird. Für die Aufbereitung von Informationen und für die Verankerung zu den Fachbereichen sind themenverantwortliche Gremien installiert. Der IT-Lenkungsausschuss ist u.a. für die Wahrnehmung der Aufgaben der IT-Governance, die Festlegung einer einheitlichen IT- Strategie und für die Koordination sämtlicher IT-Projekte verantwortlich. Mitglieder dieses permanenten Gremiums sind üblicherweise das für IT zuständige Vorstands- oder Geschäftsführungsmitglied und Führungskräfte des IT- und Fachbereichs. Für die Abstimmung und übergreifende Koordination zwischen IT- und Fachbereich können aber auch temporäre Gremien eingesetzt werden. Sie werden üblicherweise im Zusammenhang mit einzelnen IT-Projekten eingerichtet und sind für die Steuerung der Projektteams verantwortlich. Grundsätzlich sind die Führungsstrukturen in den einzelnen IT-Organisationen zu verschieden, als dass sie mittels vorhandener Referenzmodelle vollständig abgebildet werden können. Allerdings ist eine Zusammenarbeit auf allen Ebenen des Unternehmens für eine erfolgreiche Abstimmung zwischen Fach- und IT-Seite notwendig. Es ist nicht ausreichend, lediglich auf hohem Führungslevel - etwa unmittelbar unter der Vorstandsetage - einen intensiven Austausch zwischen Geschäft und IT zu leben. Auch auf darunter liegenden Ebenen bis hin zu den Verantwortlichen der eigentlichen Leistungserstellung/ -erbringung sollten gemeinsame Gremien eingerichtet werden. Nur auf diese Weise kann die IT-Organisation die Geschäftsanforderungen vollständig verstehen und angemessen adressieren. Gleichzeitig bietet diese Gremienstruktur die Möglichkeit, die Fachbereiche aus IT-Sicht besser zu steuern, d.h. sowohl im Rahmen eines Demand Managements die Anforderungen adäquat aufzunehmen als auch z.B. Zielarchitekturen (inkl. der einhergehenden Restriktionen und Kostenvorteile) zu kommunizieren und zu erklären. Schnittstellen zwischen IT und Fachbereich von der strategischen bis hin zur operativen Ebene müssen somit verbindlich definiert und umgesetzt werden, um eine effektive und auf die Fachbereiche ausgerichtete IT- Steuerung zu erreichen (siehe Abbildung 5.2: Gremienstruktur der IT-Governance). <?page no="94"?> Design for Flexibility - Strategische Flexibilität in der IT 95 Abbildung 5.2: Gremienstruktur der IT-Governance Um dem Konzept der Ausrichtung der gesamten IT auf aus der Unternehmensstrategie abgeleitete IT-Ziele gerecht zu werden, sollten Gremien für übergreifende Themen (z.B. signifikante Investitionsentscheidungen oder Steuerung des IT-Projektportfolios) zentralisiert aufgestellt und sowohl aus dem ITals auch aus dem Fachbereich besetzt werden. Gleichzeitig müssen klare Eskalationsprozesse zwischen den Gremien der einzelnen Stufen definiert werden, sodass z.B. Entscheidungen zu zentralen Komponenten der Enterprise Architecture mit bereichsübergreifenden Konsequenzen in einem entsprechenden bereichsübergreifenden Gremium diskutiert werden. Insgesamt dient die Definition der Leitprinzipien und der Gremienstruktur in der IT- Governance der Schaffung eines Entscheidungs- und Verantwortungssystems, welches sich über die aufbauorganisatorische Struktur legt, auf diese Weise eine integrierte Steuerung der einzelnen IT-Organisationseinheiten in Abstimmung mit den Fachbereichen ermöglicht und somit eine Maßnahme bildet, IT-Flexibilität kontrollierbar zu halten. 5.3.3 IT-Workforce Mit veränderten industriespezifischen Geschäftsanforderungen, aber auch veränderten globalen Rahmenbedingungen, geht eine Veränderung an erforderlichen Mitarbeiterqualifikationen in der IT-Organisation einher. Dies wird zusätzlich durch den Trend verstärkt, dass heutige IT-Abteilungen nicht nur als reine Unterstützer gesehen werden, sondern vielmehr bei der engen Zusammenarbeit mit den Fachbereichen von strategischer Bedeutung sind. Um diese Rolle ausfüllen zu können, müssen innerhalb der IT Fähigkeiten aufgebaut werden, Anforderungen aus den Fachbereichen aufzunehmen, diese zu verstehen und in IT Anforderungen und Initiativen zu übersetzen. Diese Aufgabe wird typischerweise durch Business Relationship Manager oder über ein Demand Management wahrgenommen. Insbesondere in einem durch Unsicherheit und Veränderung geprägten Umfeld erleichtern eine breite Wissensbasis und übergreifende Kenntnisse der Unternehmensprozesse innerhalb der IT-Workforce die schnellere Umsetzung der veränderten Anforderungen sowie eine dynamischere Anpassung Gemeinsame IT-Governance Gremien Geschäftsprozessverantwortliche Vorstände, CEO, COO IT-Verantwortliche der Fachbereiche Management der Fachbereiche Kundenmanager, Architekturverantwortliche CIO, Senior IT- Management Service-Manager IT-Management Lenkungsausschüsse Management-Gremien Architektur- und Technologiegremien Gremien der Leistungserstellung Unternehmen IT-Organisation Leistungserstellung der Fachbereiche und der IT Rahmenmodell der IT-Leistungserstellung z.B. ITIL Rahmenmodelle der Geschäftsprozesse <?page no="95"?> 96 Design for Flexibility - Strategische Flexibilität in der IT an veränderte Rollenstrukturen und Aufgabenbereiche. Lag der Schwerpunkt in der Vergangenheit z.B. auf System- und Applikationsentwicklung, Datenarchitektur und Infrastruktur, liegt heute, nicht zuletzt aufgrund von Sourcing-Initiativen, der Fokus auf Prozessdesign, Vendor Management und Applikations- und Systemintegration. Es gilt daher, die zukünftig kritischen Qualifikationen der IT-Mitarbeiter frühzeitig zu identifizieren und ein möglichst breites Spektrum an Fähigkeiten innerhalb der IT aufzubauen. Hierzu sollte zunächst ein formaler Prozess definiert werden, welcher kontinuierlich die Fähigkeiten der Mitarbeiter, ihre Interessen und ihre Entwicklungspotentiale mit den Tätigkeitsanforderungen vergleicht und bewertet. Das Ziel der Personalentwicklung ist es dann, die Anforderungsprofile der Stellen mit den Fähigkeitsprofilen der Stelleninhaber in bestmögliche Übereinstimmung zu bringen. Dabei sollten sowohl mittelfristige als auch langfristige Anforderungen definiert und entsprechende Trainingsprogramme entwickelt werden. Die Personalentwicklung besteht im Wesentlichen aus unternehmensweiten Förderungs- und speziellen Schulungsmaßnahmen. Gezielte Weiterbildungen sind notwendig, um insbesondere Softskill- und Managementfähigkeiten zu erlernen und weiterzuentwickeln. Dies erleichtert es, den Anforderungen aus der veränderten Rollenlandschaft einer flexiblen IT-Organisation gerecht zu werden. Gleichzeitig sollte eine Kultur der Wissensverbreitung und der Kommunikation aufgebaut werden, sodass jeder Mitarbeiter das richtige Maß an Informationen besitzt, um Konsequenzen aus veränderten Anforderungen frühzeitig identifizieren und bewerten zu können. Allerdings stößt die interne Personalentwicklung auch an natürliche Grenzen. Aufgrund von persönlichen Interessen und Eigenschaften ist die Weiterentwicklung des Personals limitiert. Es muss daher eine IT-Workforce-Strategie entwickelt werden, die verschiedene Zukunftsszenarien berücksichtigt und den jeweiligen Bedarf an interner Weiterentwicklung von IT-Mitarbeitern, an Rekrutierung neuer Mitarbeitern vom globalen Markt sowie an Beschaffung externer, zeitlich begrenzt einzusetzender Mitarbeiter definiert. Neben der Personalstrategie und -entwicklung ist die Personaleinsatzplanung ein maßgebliches Instrument zur Steigerung der Flexibilität. Die Personaleinsatzplanung ist für die effiziente Koordination des IT-Personals und damit auch für die Optimierung von Kosten, Arbeitskraft und Prozessabläufen verantwortlich. Dabei ist es in erster Linie notwendig, eine optimale Abstimmung zwischen Arbeitsvolumenbzw. Arbeitsaufkommen einerseits und verfüg- und einsetzbarem Personal andererseits zu finden, sodass die notwendige Kapazitätsanpassung schnell und ohne zusätzlichen Kostenaufwand durchgeführt werden kann. Hierzu ist ein regelmäßiger Abgleich von Personalverfügbarkeit und aktuellem sowie zukünftig erwartetem Personalbedarf in Kombination mit Erfahrungswerten bezüglich saisonaler Spitzen und Tiefen notwendig. Dies bildet die Basis für die Gestaltung eines ganz am individuellen Bedarf des Unternehmens orientierten Personaleinsatzplans und zeigt gleichzeitig frühzeitig den Mangel an entsprechenden Fähigkeiten und Kompetenzen auf. Neben den individuellen Fähigkeiten hängt die Flexibilität des Personaleinsatzplanes stark von der gewählten Aufbaustruktur und den zugrunde liegenden Designprinzipien ab. Insbesondere die Bündelung von Mitarbeitern nach Kompetenzen, z.B. im Falle von Projektmanagement nach Fähigkeiten, ohne feste Zugehörigkeit der Mitarbeiter zu spezifischen leistungserbringenden Abteilungen der IT, vereinfacht eine flexible Einsatzplanung. <?page no="96"?> Design for Flexibility - Strategische Flexibilität in der IT 97 5.4 Zusammenfassung und weitergehende Fragestellungen In den vorherigen Abschnitten wurde deutlich, dass sich aufgrund der engen Beziehungen und Abhängigkeiten zwischen den betrachteten Dimensionen des IT- Organisationsdesigns die Fragestellung nach strategischer Flexibilität als zentraler Bestandteil durch alle Aspekte einer Neugestaltung sowie der kontinuierlichen Entwicklung der IT ziehen muss, um als Resultat eine flexiblere Aufstellung der IT erreichen zu können. Die notwendige Grundlage für erhöhte Flexibilität in der Aufstellung der IT wird über eine entsprechende Definition der Aufbauorganisation geschaffen. Diese stellt sicher, dass sowohl die Schnittstelle zu den Fachbereichen klar definiert ist, damit Änderungen in den Anforderungen an die IT frühzeitig erkannt werden können als auch die IT- Leistungserstellung effizient und flexibel gestaltet werden kann. Insbesondere der Grad der Fertigungstiefe in der internen Organisation und die resultierenden Sourcing- Entscheidungen zur Fokussierung auf die kritischen und mehrwertbringenden Prozesse und Leistungen sind in diesem Kontext von Bedeutung. Das resultierende Konstrukt muss über ein entsprechendes IT-Governance-Modell kontrollierbar und steuerbar gemacht werden. An die Aufbauorganisation angepasste Gremien und Entscheidungsstrukturen sichern unter Berücksichtigung übergreifender Thematiken und Ziele die korrekte Zuordnung von Entscheidungsbefugnissen und Verantwortung und bilden dadurch ein Kernelement der strategischen Flexibilität der IT. In diesem Kontext muss berücksichtigt werden, dass zu komplex gestaltete Entscheidungsstrukturen eine schnelle und dynamische Anpassung der IT an sich kontinuierlich ändernde Unternehmenssituationen negativ beeinträchtigen können. Sowohl die auf Flexibilität ausgerichtete Struktur der Aufbauorganisation als auch das damit verbundene IT-Governance-Modell resultieren in veränderten Anforderungen an Rollen und Profile der IT-Mitarbeiter. Um die IT schnell an veränderte Situationen anzupassen, ist es notwendig, Konsequenzen aus Anforderungsänderungen im Gesamtzusammenhang von Geschäftsprozessen identifizieren und beurteilen zu können. Aus diesem Grund treten in IT-Organisationen mit Fokus auf strategische Flexibilität Rollen mit hoher technischer Ausprägung und Spezialisierung vermehrt in den Hintergrund und Rollen, die sowohl technisches als auch fachliches Wissen mit Methodenkompetenzen (z.B. im Projektmanagement oder Architekturmanagement) kombinieren, werden wichtiger. Für diese kritischen Rollen und Kompetenzen müssen für die Zukunft in ausreichender Ausprägung entsprechende Mitarbeiterfähigkeiten entwickelt und gefördert werden, damit die Mitarbeiter in einem flexiblen Umfeld nicht überfordert und die IT-Leistungserbringung effizient und erfolgreich durchgeführt werden kann. Daher ist bei einer Neugestaltung der IT-Organisation die Weiterentwicklung der IT-Workforce integraler Bestandteil des auf Flexibilität ausgelegten Organisationsdesigns. Dieses Kapitel beschreibt die grundlegenden Zusammenhänge der Dimensionen des IT-Organisationsdesigns unter Berücksichtigung erhöhter strategischer Flexibilität in der IT. Genau wie es nicht eine einzelne sinnvolle Lösung für die IT-Aufbauorganisation gibt, existieren keine allgemeingültigen Konzepte für die Erhöhung der IT-Flexibilität im Unternehmen. IT-Leiter müssen sich daher vor der Neugestaltung der IT-Organisation Fragen bezüglich möglicher Treiber für Veränderungen stellen und verschiedene Zukunftsszenarien für die IT entwickeln. Aus diesen Betrachtungen <?page no="97"?> 98 Design for Flexibility - Strategische Flexibilität in der IT können dann Schlüsse gezogen werden, an welchen Stellen Flexibilität besonders relevant ist und welche bewährten Strukturen beibehalten werden können. Gleichzeitig sollten kontinuierlich mögliche Veränderungsszenarien unter Berücksichtigung von Eintrittswahrscheinlichkeiten betrachtet und die Fähigkeit der IT-Organisation zur Reaktion auf diese Szenarien überprüft werden. Dieser kontinuierliche Prozess hilft, die strategische Flexibilität der IT aufrechtzuhalten und notwendige Veränderungen in den IT-Kompetenzen frühzeitig zu erkennen. 5.5 Literatur Bea F. X./ Göbel E. (1999): Organisation: Theorie und Gestaltung (2. Edition), Volume 2077 of UTB für Wissenschaft, UTB. Bullinger H.-J./ Warnecke, H.-J./ Westkämper, E. (2003): Neue Organisationsformen im Unternehmen: Ein Handbuch für das moderne Management, Springer. ITGI (2003): IT-Governance für Geschäftsführer und Vorstände (2. Ausgabe), IT Governance Institute. Jung, H. (2008): Personalwirtschaft (8. Edition), Oldenbourg Wissenschaftsverlag. Kaluza, B. (2004): Erfolgsfaktor Flexibilität: Strategien und Konzepte für wandlungsfähige Unternehmen, Volume 60 of Technological Economics, Erich Schmidt Verlag GmbH. Scherm, E./ Pietsch, G. (2007): Organisation: Theorie, Gestaltung, Wandel, Oldenbourg Wissenschaftsverlag. <?page no="98"?> 6 Auswirkungen der IT-Industrialisierung auf die Governance im Supplier-Management Sven Markus Walter Dieses Kapitel knüpft an den durch die IT-Industrialisierung ausgelösten Wandel bei der Governance im Supplier-Management an. Im Zuge der IT-Industrialisierung kommt es bei der Beauftragung und dem Management von externen IT-Service-Providern zu tief greifenden Veränderungen. Zukünftig ist es nicht mehr entscheidend, ob eine weitgehend standardisierte IT-Outsourcingleistung international oder lokal erstellt wird. Wie der Anbieter die nachgelagerte Leistungserstellung organisiert, muss dem Auftraggeber nicht transparent sein. Schließlich hat er ja das Ziel, im Zuge einer Auslagerung die Gesamtkosten und die Komplexität seines Kerngeschäfts zu reduzieren. Für den Nachfrager ist nur noch wichtig, wie viel Beteiligung und Management von ihm für das Supplier-Management benötigt wird. Dieser Veränderung muss mit der Etablierung einer geeigneten Supplier-Governance Rechnung getragen werden. 6.1 Einführung Im Zuge der IT-Industrialisierung kommt es bei der Beauftragung und dem Management von externen IT-Service-Providern zu tief greifenden Veränderungen, auf die mit geeigneten Governance-Strukturen reagiert werden muss. 53 Sourcing-Entscheidungen werden in der IT künftig als Produktauswahlprozess ablaufen, indem zwischen verschiedenen Produkten, wie z.B. Business-Process-Outsourcing-Paketen oder standardisierten Application-Hosting-Modellen, ausgewählt wird. Die strategische Entscheidung einen bestimmten Unternehmensbereich oder eine Unternehmensfunktion auszulagern, ist dafür die Grundlage. Damit gewinnen bei diesen Sourcing-Entscheidungen Kriterien aus dem Umfeld des Auftraggebers gegenüber Anbieterkriterien an Bedeutung. Detailfragen zur IT-Leistungserstellung, d.h. wie der Anbieter eine standardisierte Leistung erstellt, sind für den Auftraggeber nicht entscheidend - wie viel Beteiligung und Management von ihm für das Supplier-Management benötigt wird, ist wichtiger und beeinflusst z.B., ob sich der Kunde für nur einen Vertrag und Ansprechpartner (Single-Sourcing) entscheidet, der damit weniger Managementaufwand verursacht, oder ob der Auftraggeber selbst die Integration verschiedener Anbieter und Lösungen übernimmt (Multiple-Sourcing). Der Kern dieses Kapitels ist die Diskussion der Frage, wie die IT-Nachfrager auf die veränderten Marktgegebenheiten reagieren können, wenn Sourcing-Entscheidungen zukünftig als Produktauswahlprozess ablaufen. In diesem Kapitel wird gezeigt, dass die Einführung standardisierter Einkaufs- und Auswahlprozesse sowie die Institutionalisierung des kontinuierlichen Managements von IT-Outsourcing-Leistungen für die Nachfrager zukünftig bedeutender sind als die periodisch anstehende Auswahl einzelner Anbieter und Sourcing-Verträge. Die im Zuge der Standardisierung von Sourcing- Leistungen schwindenden Unterschiede zwischen den Anbietern und den einzelnen 53 Vgl. Walter 2009, S. 127. <?page no="99"?> 100 Auswirkungen der IT-Industrialisierung auf die Governance im Supplier-Management Sourcing-Verträgen verlieren im Gesamtzusammenhang der Schaffung einer geeigneten Supplier-Governance an Bedeutung. Die Etablierung standardisierter Einkaufs- und Supplier-Managementprozesse beim Nachfrager gewinnt in einem produktorientierten IT-Outsourcing-Markt an Bedeutung und hat zur Folge, dass der effiziente Einkauf von Sourcing-Leistungen für den Nachfrager immer entscheidender wird. Nachfolgend wird zuerst auf die Grundlagen der IT-Industrialisierung eingegangen, bevor die in dem Zusammenhang stehende Bildung von IT-Produkten, die über den Markt als eigenständige Leistungen zugekauft werden können, näher beschrieben wird. Auf dieser Basis werden die Auswirkungen der IT-Industrialisierung auf die Governance externer Supplier analysiert und grundlegende Veränderungen bei der Beschaffung von externen IT-Leistungen dargestellt. Dabei wird die Notwendigkeit einer Supplier-Managementfunktion in der IT aufgezeigt und es wird dargestellt, welche Veränderungen es durch die IT-Industrialisierung bei der Providerauswahl gibt. Abschließend werden Erfolgsfaktoren für die Gestaltung einer geeigneten Supplier- Governance vorgestellt. 6.2 Industrialisierung der IT Bereits seit einigen Jahren hat die IT nicht nur zur Industrialisierung anderer Wirtschaftszweige beigetragen - sie unterliegt in zunehmendem Maße selbst einem Industrialisierungsprozess. 54 Lange wurde die Rolle der IT nur als wettbewerbsdifferenzierender Produktionsfaktor diskutiert. IT wurde als „Enabler“ neuer Geschäftsmodelle wahrgenommen - der Einsatz von IT war oft eine wichtige strategische Entscheidung. Seit einiger Zeit wird nun diskutiert, ob die IT zur „Commodity“ wird, die - ähnlich wie elektrische Energie - eine geschäftskritische Ressource ist, deren Einsatz aber keine Wettbewerbsvorteile mit sich bringt. 55 „Commodity“ bedeutet, dass das jeweilige Produkt im Produktlebenszyklus einen hohen Reifegrad mit standardisierten Produktqualitäten erreicht hat. Unterschiede bestehen dann lediglich im Preis, der für vergleichbare Qualitäten bezahlt wird. Für die Nachfrager existieren damit zwei Möglichkeiten, die Beschaffungskosten zu optimieren: zum einen durch eine Reduzierung des Preises, der für das standardisierte IT-Produkt gezahlt wird, und zum anderen durch Verbesserungen in Supplier-Management für das jeweilige Produkt. Es stellt sich die Frage, ob ausgelagerte IT-Dienstleistungen bereits zu einem Massenprodukt geworden sind, die von den nachfragenden Unternehmen nur noch gekauft werden müssen. Bevor nun auf die Auswirkungen der IT-Industrialisierung auf das Supplier- Management in der IT eingegangen wird, soll nochmals kurz zusammengefasst werden, was sich hinter dem Begriff Industrialisierung verbirgt und was die Auswirkungen der Industrialisierung waren und - im Fall der IT - sein werden. Im Zuge der so genannte „industriellen Revolution“ setzte sich im 19. Jahrhundert erstmals die industrielle Produktionsform durch. 56 Davor waren Kleingewerbe und handwerkliche Produktion dominierend. Die Ursachen für die umfangreichen Verän- 54 Vgl. Taubner 2005, S. 292. 55 Vgl. Carr 2003, S. 44-48. 56 Vgl. Engels 1882. <?page no="100"?> Auswirkungen der IT-Industrialisierung auf die Governance im Supplier-Management 101 derungen im Produktionsprozess waren einerseits eine zunehmende Automatisierung der Produktion, d.h. die Ersetzung von menschlicher Arbeitskraft durch Maschinen. Andererseits war die Innovation in Produktionstechniken, der Produktionslogistik und die zunehmende Arbeitsteilung innerhalb des produzierenden Gewerbes Ursache dieses Strukturwandels. 57 Dadurch wurde erstmals die Massenproduktion von Gütern möglich. Bei der Massenproduktion konnte mit Hilfe zusätzlicher Produktionsausstattung und mit speziell ausgebildeten Arbeitskräften höherer Output zu stark gesunkenen Stückkosten hergestellt werden. Die Ausnutzung dieser positiven Skaleneffekte („economies of scale“) führte u.a. zur Spezialisierung auf einzelne Produkte. 58 Im Zeitablauf ergaben sich daraus eine generell zunehmende Spezialisierung der einzelnen Hersteller, höhere Produktionsvolumina und sinkende Stückkosten, die zur Erweiterung von Märkten führten. Diese Standardisierung von Produkten ermöglicht den Herstellern die Standardisierung der Produktionsprozesse, deren Automatisierung und die Verteilung auf verschiedene Wertschöpfungspartner in der ganzen Welt. Industrialisierung basiert also auf technischem und organisatorischem Fortschritt, ist durch Automatisierung der Produktion charakterisiert und führt dadurch zu signifikant sinkenden Kosten für die bei wenigen Anbietern zentralisierte, spezialisierte und global verteilte Produktion standardisierter Produkte. 59 In der Diskussion um die Industrialisierung der IT argumentieren zahlreiche Wissenschaftler und Praktiker, dass sich die IT-Branche drastisch verändert und individuelle IT-Lösungen zunehmend durch Standardprodukte - so genannte „Commodities“ - ersetzt würden. 60, 61 Dies lässt sich bereits seit Längerem im Bereich Hardware und Software beobachten. 62 Es kann davon ausgegangen werden, dass in der Folge die „Commoditisierung der IT“ auch im Bereich der IT-Dienstleistungen zunimmt. 63 Die fortschreitende Durchsetzung von Standards und die Aufspaltung der Wertschöpfungskette auf viele Spezialanbieter für einzelne Wertschöpfungsschritte ist bei der Erstellung von IT-Dienstleistungen anhand vieler Beispiele und Schlagwörter zu beobachten. Componentware, Service-orientierte Architekturen (SOA), Application Service Providing (ASP), Software-as-a-Service (SaaS) und Cloud Computing sind nur einige der Stichworte, die dafür sprechen, dass es in der IT zu einer zunehmenden Standardisierung und der Bildung von funktional eigenständigen IT-Produkten bzw. IT-Services kommt, die einzeln auf dem Markt angeboten und nachgefragt werden. Bei IT-Dienstleistungen, die eng mit einzelnen Hard- oder Softwareprodukten verbunden sind, ist die Industrialisierung beispielsweise bereits fortgeschritten. Dazu gehören 57 Vgl. Landes 1969, S. 15-16. 58 Vgl. Piore/ Sabel 1984. 59 Vgl. Walter/ Böhmann/ Krcmar 2007, S. 7. 60 Vgl. Carr 2003, S. 44-48. 61 Vgl. Taubner 2005, S. 293 f. 62 Vgl. Walter/ Böhmann/ Krcmar 2008, S. 21. 63 Vgl. Walter 2009, S. 131. <?page no="101"?> 102 Auswirkungen der IT-Industrialisierung auf die Governance im Supplier-Management unter anderem standardisierte Wartungspakete für Hardware-Produkte oder die Wartung von Standardsoftware. In der Vergangenheit beschränkten sich IT-Outsourcing-Leistungen v.a. auf die Bereitstellung standardisierter und damit auslagerungsfähiger Infrastrukturleistungen, wie z.B. die Auslagerung der Netzwerk-Bereitstellung, Datacenter-Outsourcing oder die ausgelagerte Desktop-Bereitstellung. Zusätzlich bieten Sourcing-Anbieter jedoch auch an, standardisierte Geschäftsprozesse bzw. leicht austauschbarer Teilprozesse davon zu übernehmen. Diese können von dem spezialisierten Anbieter als Massengeschäft erbracht werden, welcher durch seine hohe Spezialisierung und der verbundenen Nutzung von Skaleneffekten wirtschaftlicher als der Auftraggeber operiert. Auch im Bereich Business Process Outsourcing (BPO) bestehen eine Reihe standardisierter Angebote. Vor allem in der Buchhaltung, Gehaltsabrechnung oder für das Back- und Middleoffice von Finanzdienstleistern gibt es bereits zahlreiche Sourcing-Angebote, die weit über die reine Bereitstellung von IT-Infrastruktur hinausgehen. Mit dem zunehmenden Reifegrad und einer zunehmenden Standardisierung spezifischer IT-Outsourcing- Angebote kommen weitere IT-Leistungen für ein IT-Outsourcing in Betracht. Ein weiterer Indikator für eine zunehmende Produktbildung von IT-Dienstleistungen ist die Durchsetzung von Produktmanagement bei den IT-Unternehmen. In traditionell stark produktgetriebenen Bereichen, wie z.B. bei Konsum- und Investitionsgüterunternehmen sind solche Konzepte weit verbreitet - aber auch in der noch jungen IT- Dienstleistungsbranche gibt es einen Trend in diese Richtung. 64 Produktmanagement führt die Abstimmung aller Maßnahmen, Entscheidungen und Pläne auf ein Produkt bzw. eine Produktgruppe zusammen. Ein Beispiel für solche Produkte sind IT- Dienstleistungspakete, bei denen verschiedene Teilleistungen, wie z.B. Hotline, Vor- Ort-Service, Hardware-Austausch, Netzanschluss und Installationsservice zu dem standardisierten Leistungsbündel „Filial-Client“ zusammengefasst werden. Da der Vertrieb mit Unterstützung eines vordefinierten Produktkatalogs den Nutzen und den Leistungsumfang von gut gestalteten Paketen einfach und schnell vermitteln kann, wird der Vertrieb von IT-Dienstleistungen durch das Produktmanagement vereinfacht. 65 Nach einer Studie der TU München kann davon ausgegangen werden, dass Produktmanagement für IT-Dienstleistungen bereits flächendeckend eingesetzt wird. 80 % der in dieser Studie befragten IT-Dienstleistungsunternehmen gaben an, dass sie bereits über ein Produktmanagement verfügen. 66 Am umfassendsten ist Produktmanagement für Support- und Maintenance-Leistungen etabliert. Hier nutzen 90 % der Unternehmen die Vorteile dieses Ansatzes; rund ein Drittel der Befragten gab an, dies bereits seit mehr als sechs Jahren zu tun. Die Nähe des Segments zu Hard- und Softwareprodukten bedingt einen ebenfalls hohen Reife- und Standardisierungsgrad der zugehörigen Dienstleistungsangebote, der im Produktmanagement für diese produktnahen Support- und Maintenanceleistungen seine Entsprechung findet. Durch die Bildung von IT-Dienstleistungsprodukten schreitet die Standardisierung bei den IT- Dienstleistungen voran. Darauf müssen Nachfrager von IT-Dienstleistungen mit entsprechenden Veränderungen der Governance im Supplier-Management reagieren. 64 Vgl. Böhmann/ Taurel/ Krcmar 2006. 65 Vgl. Böhmann/ Taurel/ Krcmar 2006, S. 10. 66 Vg. Böhmann/ Taurel/ Krcmar 2006, S. 6. <?page no="102"?> Auswirkungen der IT-Industrialisierung auf die Governance im Supplier-Management 103 Diese Analyse der strukturellen Grundlagen der Industrialisierung zeigt, dass es im Zuge einer fortschreitenden Industrialisierung bei IT-Dienstleistungen zu Veränderungen bei den Faktoren Preis, Produkt, Produktion, Personal und den beteiligten Partnern kommt. 67 Dabei ist vor allem die Bildung von IT-Produkten eine wichtige Veränderung, die direkte Auswirkungen auf die Governance externer Supplier hat. 6.3 Auswirkungen der IT-Industrialisierung auf die Governance externer Supplier 6.3.1 Grundlegende Veränderungen bei der Beschaffung von externen IT-Leistungen Die Veränderungen, die sich im Zuge der IT-Industrialisierung beim Supplier-Management ergeben, ziehen Anpassungen der Supplier-Governance nach sich. Die stärkere Produktorientierung verändert das Sourcing-Geschäft sowohl für Anbieter von IT- Outsourcing-Produkten als auch für die Nachfrager von Sourcing-Leistungen. Die im Zuge der Industrialisierung beobachtbare Produktbildung hat aus Sicht des Nachfragers nicht nur Vereinfachungen zur Folge. Mit der Auslagerung werden auch Risiken transferiert, die der Nachfrager weiterhin steuern muss, da er für die Gesamtqualität und Liefertreue des Endprodukts verantwortlich bleibt. Durch Auslagerungen wird die Wertschöpfung z.T. sogar schwerer nachvollziehbar und kontrollierbar, wenn z.B. ein Dienstleister weitere nachgeordnete Dienstleister einsetzt, die ebenfalls an der Leistungserstellung mitwirken. Außerdem können service-übergreifende Abhängigkeiten bestehen, wenn nicht nur einzelne IT-Leistungen eingekauft werden. Das hat zur Folge, dass die Menge und Komplexität externer Zulieferungen generell zunimmt, wenn nicht nur stundenweise Arbeitsleistung zugekauft wird, sondern komplexe Dienstleistungsprodukte eingekauft werden. Neben dem Ziel einer Kostenreduktion sind für die Nachfrager von Sourcing-Leistungen weitere Kriterien auschlaggebend, wenn IT-Leistungen extern beschafft werden. So kann sowohl der Zugang zu innovativen und qualitativ hochwertigen Leistungen, strategische Flexibilität bzw. die Skalierbarkeit extern zugekaufter IT-Leistungen, der Fokus auf Kernkompetenzen als auch mangelnde interne Kapazitäten die Entscheidung für eine externe Beschaffung von IT-Leistungen beeinflussen. 68 67 Vgl. Walter/ Böhmann/ Krcmar 2007. 68 Vgl. Deloitte 2005, S. 5. <?page no="103"?> 104 Auswirkungen der IT-Industrialisierung auf die Governance im Supplier-Management Abbildung 6.1: Treiber für Outsourcing-Entscheidungen Quelle: (Deloitte 2005, 5) Während die klassische Outsourcing-Literatur 69 sich v.a. mit der Anbieterauswahl und dem Vertragsschluss beschäftigt, geht die neuere Literatur davon aus, dass ein guter Outsourcing-Vertrag und entsprechende Service Level Agreements alleine nicht ausreichend sind, die Beziehung zwischen dem Sourcing-Nachfrager und den externen Anbietern erfolgreich zu steuern. Daher betrachtet die heutige Forschung zwei so genannte „Moments-of-Governance“: Der erste ist der Abschluss des formellen Outsourcing-Vertrags - der zweite ist das Supplier-Relationship-Management nach dem Vertragsschluss. 70 6.3.2 Einführung eines Supplier-Managements in der IT Die zunehmende Menge und Komplexität externer Zulieferungen bedingt die Notwendigkeit eines eigenen Supplier-Managements für IT-Leistungen. Durch die Einführung eines aus der Betriebswirtschaftslehre bekannten Supplier-Relationship-Managements für IT-Leistungen kann das beschaffungsseitige Vertragsmanagement auch für die IT effizient und effektiv gestaltet werden, damit die immer komplexer werdenden Leistungsbeziehungen zwischen IT-Outsourcing-Anbietern und deren Sourcing- Nachfragern optimiert bewirtschaftet werden können. Sobald sich Nachfrager in einem reifen Markt bewegen, in dem verschiedene Anbieter konkurrenzfähige Leistungen als Produkt anbieten, sind für sie v.a. Kriterien wie Preis, verfügbare Menge und Liefertreue entscheidende Kriterien, die in weitgehend standar- 69 Für eine Übersicht siehe: Lacity/ Willcocks 1998. 70 Vgl. Miranda/ Kavan 2005, S. 152. 0% 20% 40% 60% 80% Lack of Expertise In-House Transfer Risk to Vendor Access to High-Caliber Labor Focus on Core/ Strategic Flexibility/ Capacity/ Scalability Best Practices/ Quality/ Innovation Cost Savings 70% 57% 35% 35% 22% 22% 16% <?page no="104"?> Auswirkungen der IT-Industrialisierung auf die Governance im Supplier-Management 105 disierten Einkaufsprozessen verglichen werden können. 71, 72 Gleichzeitig bedingt die zunehmende Menge und Komplexität externer Zulieferungen die Notwendigkeit eines eigenen Supplier-Managements für IT-Outsourcing-Leistungen. Insbesondere in großen, international tätigen Unternehmen muss der Tatsache Rechnung getragen werden, dass die Anzahl und vor allem die Bedeutung von ausgelagerten Leistungen zunimmt. Das hat zur Folge, dass bei umfangreichen Leistungspaketen das Lieferanten- und Vertragsmanagement nicht mehr von einem einzelnen Servicemanager aus dem operativ tätigen IT-Betrieb übernommen werden kann, da i.d.R. service-übergreifende Abhängigkeiten bestehen und vielfach nicht nur einzelne IT-Leistungen eingekauft werden. Gleichzeitig führt der insgesamt gestiegene Sourcing-Umfang dazu, dass Sourcing-Kontrakte nicht mehr ausschließlich auf der IT-Managementebene entschieden und abgewickelt werden können. Somit zwingen die sinkende Leistungstiefe und die immer komplexeren Leistungsbeziehungen die Sourcing-Nachfrager dazu, den Einkaufsprozess für Sourcing-Leistungen zu standardisieren und ein professionelles Supplier-Management einzuführen, das die Organisation und Steuerung der Leistungsbeziehungen zwischen IT-Outsourcing-Anbieter und Sourcing-Nachfrager regelt. Ähnlich wie der Einkauf in der Automobilindustrie vor rund 15 Jahren in den Mittelpunkt der Betrachtungen gerückt wurde, ist derselbe Trend nun im IT-Sourcing zu erwarten. In dem Zusammenhang wird sogar von „Lopezierung“ der IT-Industrie gesprochen, in Anlehnung an den VW-Chefeinkäufer Ignacio Lopez, der vor rund 15 Jahren einen erheblichen Kostendruck auf die Autozulieferer ausübte. 73 Bereits Anfang des neuen Jahrtausends wurde festgestellt, dass Unternehmen das Supplier- Management auch für IT-Leistungen professionalisieren müssen, ähnlich wie es zuvor bereits im produzierenden Gewerbe erfolgt war. 74 Durch die Einführung eines aus der Betriebswirtschaftslehre bekannten Supplier- Relationship-Managements 75 für IT-Outsourcing-Leistungen kann das beschaffungsseitige Vertragsmanagement effizient und effektiv gestaltet werden, damit die immer komplexer werdenden Leistungsbeziehungen zwischen IT-Outsourcing-Anbieter und deren Sourcing-Nachfrager überhaupt noch gesteuert werden können. 76 Durch die Konzentration auf Kernkompetenzen - auch in der IT - begibt sich der Sourcing-Nachfrager in zunehmendem Maße in eine qualitative und quantitative Lieferantenabhängigkeit. Der steigende Anteil von Fremdleistungen im IT-Wertschöpfungsprozess muss mit immer komplexeren Vertragswerken abgesichert werden. 77 Dazu stellt das Konzept des Supplier-Relationship-Managements Methoden und Instrumente zur ganzheitlichen Organisation und Steuerung der Lieferantenbeziehungen zur Verfügung. 78 Insbesondere 71 Vgl. Fries 2006. 72 Vgl. Pfeiffer 2009. 73 Vgl. Koenen 2009. 74 Vgl. Ross/ Westerman 2004, S. 5. 75 Vgl. Fries 2006; Pfeiffer 2009; Stölzle/ Heusler 2003, S. 167. 76 Vgl. Pfeiffer 2009, S. 68. 77 Ebd. 78 Vgl. Fries 2006. <?page no="105"?> 106 Auswirkungen der IT-Industrialisierung auf die Governance im Supplier-Management für das Management der Neu- und Bestandslieferanten kommt dabei dem Vertragsmanagement eine wichtige Rolle bei der einzelvertraglichen Steuerung der Lieferantenbeziehung zu. 79 Dieses beschaffungsseitige Vertragsmanagement beim Sourcing- Nachfrager umfasst alle planerischen sowie organisatorischen Grundlagen und Maßnahmen, die den Leistungsaustausch zwischen Anbieter und Nachfrager betreffen. 80 Die Tätigkeiten, die der Abwicklung einer Transaktion - von der Vertragsverhandlung bis zum eigentlichen Vertragsabschluss - vorausgehen, werden dabei aus fachlicher, rechtlicher und wirtschaftlicher Perspektive betrachtet. Zusätzlich sind alle Maßnahmen zur Dokumentation der Vertragshistorie und zur kontinuierlichen Überwachung und Steuerung Gegenstand des Vertragsmanagements. 81 Schließlich muss, im Zuge der kontinuierlichen Vertragsbewirtschaftung, das Monitoring der Leistungen und Termine (SLA Management) sichergestellt werden. Mit der Einführung standardisierter Einkaufsprozesse für IT-Outsourcing-Leistungen muss v.a. die organisatorische Verantwortung für Vertragsverhandlung und -bewirtschaftung sowie die Vorgabe von einheitlichen Referenzprozessen in einem Governance-Konzept eindeutig festgelegt werden. Nur so kann die Einführung eines Supplier-Managements zu Zeit- und Kostenvorteilen führen und beschaffungsseitige Risiken minimieren. 6.3.3 Veränderte Kriterien bei der Providerauswahl Klassische Auswahlkriterien bei Sourcing-Entscheidungen Neben der Notwendigkeit zur Einführung eines eigenen Supplier-Managements in der IT, die stärker die organisatorische Veränderung der Beschaffung von IT-Outsourcing- Leistungen beschreibt, kommt auch veränderten Kriterien für die Auswahl von IT- Outsourcing-Providern eine wichtige Rolle zu. Während früher differenzierte Kriterien für die Bewertung, Auswahl und Beauftragung von Sourcing-Providern angelegt wurden, die v.a. auf Eigenschafen des Anbieters fokussiert waren, werden zukünftig hauptsächlich Kriterien auf der Nachfragerseite entscheidend für die Auswahl des IT- Outsourcing-Anbieters sein. 82 Der traditionelle Auswahlprozess für IT-Outsourcing zielt darauf ab, durch ein systematisches Vorgehen Sourcing-Risiken durch den Anbieter zu minimieren und Kosteneinsparungen gegenüber einer selbsterstellten Lösung zu sichern. Dabei können z.B. Scoring-Modelle eingesetzt werden, um eine quantifizierte Bewertung der Sourcing- Alternativen auf Basis von Anbieter-Eigenschaften vorzunehmen. 83 Typische Kriterien, die traditionellerweise bei der Providerauswahl Anwendung finden, sind z.B. die in Tabelle 6.1 genannten. 79 Vgl. Pfeiffer 2009, S. 68. 80 Vgl. Pfeiffer 2009, S. 68 f. 81 Vgl. Pfeiffer 2009, S. 69. 82 Vgl. Walter 2009, S. 135-138. 83 Vgl. Asgarian/ Walter 2009. <?page no="106"?> Auswirkungen der IT-Industrialisierung auf die Governance im Supplier-Management 107 Bereich Kriterium (beispielhaft) Kosten Kosteneinsparpotential beim einzelnen Anbieter Qualität Qualität der Leistungserstellung durch den Provider Anbieter Kompetenzen des Anbieters bezogen auf geplante Zulieferung Länderauswahl Ursprungsland/ -region der Leistungserstellung Sicherheit Sicherstellung von Datensicherheit und Wettbewerbsvorteilen Gesetze und Regelungen Gesetzliche Vorgaben sowie Compliance und regulatorische Anforderungen bei Auslagerung (z.B.: BDSG, TKG, KWG, MaRisk, BilMog, SOX, usw.) Steuern Steueroptimierung durch Anpassung der Leistungstiefe bzw. Standort- oder Länderwahl Tabelle 6.1: Gängige Auswahlkriterien bei Sourcing-Entscheidungen Auf Basis solcher Kriterien werden mögliche IT-Outsourcing-Anbieter verglichen und ausgewählt. Für die einzelnen Bereiche, wie beispielsweise die Länderauswahl, können die Optionen dann im Detail weiter nach bestimmten Kriterien, wie „wirtschaftliche Lage“, „Arbeitskräfte“, „Infrastruktur“ oder „Marktgegebenheiten“ der betrachteten Region spezifiziert werden. 84 Beschaffung von IT-Outsourcing-Produkten als Produktauswahlprozess Je standardisierter und vergleichbarer die angebotenen IT-Outsourcing-Produkte im Zuge der IT-Industrialisierung werden, umso weniger ist bei der Providerauswahl der Fokus auf einzelne Anbieterkriterien sinnvoll. Beispielsweise ist das so genannte „Offshoring“ bei vielen IT-Dienstleistungen die Regel und keine Ausnahme mehr. Der generell hohe Kostendruck führt dazu, dass die Anbieter solcher Dienstleistungen bestimmte Teile nach Übersee verlagern, um den heute aktuellen Kostenzielen der Sourcing-Nachfrager gerecht zu werden. Zukünftig wird beispielsweise noch weniger entscheidend sein, ob eine weitgehend standardisierte Sourcing-Leistung international oder lokal erstellt wird, da der Trend zur Produktorientierung dazu führen wird, dass die Sourcing-Nachfrager aus einer Menge von teilweise oder sogar fast vollständig standardisierten IT-Outsourcing-Produkten auswählen können. Wie der Anbieter die nachgelagerte Leistungserstellung organisiert, muss dem Auftraggeber nicht unbedingt transparent sein, da er sich beim Kauf eines IT-Outsourcing- Produkts auf die Lieferfähigkeit und -treue des Produktanbieters verlassen muss. Schließlich ist eines der Ziele bei einer Auslagerung die Reduktion der Komplexität beim Anbieter. Deshalb ist davon auszugehen, dass Sourcing-Entscheidungen zukünftig als Produktauswahlprozess ablaufen werden, in dem zwischen verschiedenen Produkten, wie z.B. BPO-Paketen oder standardisierten Application-Hosting-Modellen, ausgewählt wird, je nachdem, wie viel Outsourcing der Nachfrager für einen bestimmten Bereich nutzen möchte. 85 84 Vgl. Asgarian/ Walter 2009. 85 Vgl. Walter 2009, 136 f. <?page no="107"?> 108 Auswirkungen der IT-Industrialisierung auf die Governance im Supplier-Management Viel entscheidender als einzelne Anbieterkriterien ist für die Nachfrager von IT- Outsourcing-Leistungen in Zukunft die eigene Sourcing-Struktur und -Strategie sowie der entsprechende Abgleich mit den angebotenen IT-Outsourcing-Produkten. Schon heute ist die gewachsene Sourcing-Landschaft der Unternehmen vielfach fragmentiert, da bereits einzelne Teile der Leistungserstellung an viele verschiedene Provider ausgelagert wurden. Zukünftig reichen einige wenige Kriterien auf der Seite des Nachfragers, um die Beschaffung von IT-Outsourcing-Produkten zu steuern. Vor dem Hintergrund eines vielfältigen Angebots weitgehend standardisierter IT-Outsourcing-Produkte mit unterschiedlichem Leistungsumfang (Managed Infrastructure Services vs. Application Hosting vs. Business Process Outsourcing) und alternativen Sourcing-Optionen (Outsourcing vs. Joint Venture vs. Captive Solution) muss der Nachfrager auf Basis seiner von der Unternehmensstrategie abgeleiteten Sourcing-Strategie ein für ihn geeignetes Szenario aus einer großen Bandbreite an Sourcing-Lösungen auswählen. Dabei ist v.a. die Übereinstimmung mit der eigenen Strategie entscheidend - Einzelkriterien des IT- Outsourcing-Anbieters werden erst dann wieder relevant, wenn über die grundsätzliche Ziellösung entschieden wurde. Das setzt allerdings voraus, dass der Nachfrager zuvor bereits ein Verständnis dafür gewonnen hat, welche seiner Leistungen Teil seines Kerngeschäfts sind. 86 Szenario Beschreibung Vorteile Nachteile Single- Source ein Vertrag mit einem Generalunternehmer, der als BPO die unternehmensweite Verantwortung für eine Leistung übernimmt (inkl. Kündigung/ Übernahme bestehender Sourcing-Verträge) einfaches Management, Kontrolle wenige Anbieter, Abhängigkeit, Kosten Bereichslösung regionale, Sparten- oder Abteilungslösung als Single-Sourcing je Unternehmenseinheit Orientierung am Business keine zentrale Steuerung, komplex Multi- Vendor selektive Auswahl der besten Lösung je Unternehmensbereich/ Sourcing-Objekt Zugang zu best-in-class- Lösungen komplex, Strategie- Fit? Tabelle 6.2: Grundsätzliche Sourcing-Szenarien In Tabelle 6.2 sind grundsätzliche Sourcing-Szenarien mit deren generellen Vor- und Nachteilen aufgezeigt; Tabelle 6.3 zeigt beispielhafte Kriterien, die - abhängig von der jeweiligen Strategie des Unternehmens - zur Auswahl eines geeigneten Sourcing-Szenarios herangezogen werden können. Es gibt zwei grundsätzliche Sourcing-Szenarien, aus denen Unternehmen die für sie geeignete Option auswählen können: 87 zum einen das selektive Management eines Netzwerks an Sourcing-Partnern (Multi-Vendor) und zum anderen das Management von großvolumigen Exklusiv-Partnerschaften (Single- 86 Vgl. Ross/ Westerman 2004, S. 12. 87 Vgl. Ross/ Westerman 2004, S. 5, 12. <?page no="108"?> Auswirkungen der IT-Industrialisierung auf die Governance im Supplier-Management 109 Source). Daneben gibt es Bereichslösungen als Option, bei denen der Nachfrager sich eine regionale, Sparten- oder Abteilungslösung aus verschiedenen Single-Source- Lösungen je Unternehmenseinheit zusammenstellt. Kriterien Szenarien Kostenreduktion Fokus auf Kernkompetenzen Kontrolle über Anbieter Lösungskomplexität Service-Qualität Günstige Gelegenheiten im Markt Interne Kompetenzen Partner-Risiko Single-Source Bereichslösung Multi-Vendor Tabelle 6.3: Nachfragergetriebene Kriterien zur Auswahl von Sourcing-Szenarien Auf der Grundlage der in Tabelle 2 und Tabelle 3 gezeigten Auswahlhilfen können Sourcing-Entscheidungen auf Basis von Kriterien, die aus der Unternehmensstrategie abgeleitet sind, getroffen werden. Werte wie beispielsweise intellektuelles und ökonomisches Kapital sowie die Wahrung von Kernkompetenzen sind für den Sourcing- Nachfrager entscheidend und bestimmen die Kriterien, die bei der Supplier-Auswahl herangezogen werden. 88 Das bedeutet, dass der strategische Fokus bei der Auswahl externer Supplier zunimmt. 89 Damit verändern sich die Ziele beim IT-Outsourcing von der reinen Kosteneinsparung hin zum Ziel der strategischen Flexibilität durch den externen Bezug von IT-Leistungen. 90 Somit gewinnen bei der Sourcing-Entscheidung Kriterien aus dem Umfeld des Auftraggebers gegenüber Anbieterkriterien an Bedeutung. Detailfragen zur IT-Leistungserstellung, d.h. wie der Anbieter eine standardisierte Leistung erstellt, sind für den Auftraggeber weniger wichtig. Wie viel Beteiligung und Management von ihm für das Supplier-Management benötigt wird, ist hingegen entscheidend. Diese Entscheidung beeinflusst z.B., ob sich der Kunde für nur einen Vertrag und Ansprechpartner (Single-Source) entscheidet, der damit weniger Managementaufwand verursacht oder ob der Auftraggeber selbst die Integration verschiedener Anbieter und Lösungen übernimmt (Multi-Vendor). Insbesondere für global agierende Sourcing-Nachfrager ist z.B. die Frage, wohin ausgelagert wird, sekundär, da eher strategische Fragestellungen bestimmen, welche Sourcing-Szenarien sich im Entscheidungsprozess durchsetzen. Welcher Provider das am Ende von welchem Standort aus leisten kann, ist dann ein nicht strategisches, sekundäres Thema, das nicht vom Management, sondern auf der Ebene des IT-Einkaufs ge- 88 Vgl. Miranda/ Kavan 2005, S. 158. 89 Vgl. Ross/ Westerman 2004, S. 14. 90 Vgl. Ross/ Westerman 2004, S. 15. <?page no="109"?> 110 Auswirkungen der IT-Industrialisierung auf die Governance im Supplier-Management klärt wird. Detailfragen der Leistungserstellung und notwendige Qualitätskriterien des Sourcing-Produkts sind für das Supplier-Management auch weiterhin von Bedeutung, sie verlieren jedoch für den Auswahlprozess an Einfluss, da mit zunehmender Standardisierung der Wettbewerb zwischen den Anbietern für qualitativ hochwertige und vor allem vergleichbare Produkte sorgen wird (Walter 2009, 138). 6.4 Zusammenfassung und Ausblick In diesem Kapitel wurde diskutiert, wie Sourcing-Nachfrager auf die veränderten Marktgegebenheiten reagieren können, wenn Sourcing-Entscheidungen zukünftig als Produktauswahlprozess ablaufen. Es wurde gezeigt, dass zum einen die Etablierung einer geeigneten Supplier-Governance mit standardisierten Einkaufs- und Auswahlprozessen und der Institutionalisierung des kontinuierlichen Managements von Sourcing-Leistungen für die Nachfrager zukünftig bedeutender sind als die periodisch anstehende Auswahl einzelner Anbieter und Sourcing-Verträge. Im Zuge der Standardisierung von IT-Outsourcing-Leistungen schwinden die Unterschiede zwischen den Anbietern und den einzelnen Outsourcing-Verträgen und verlieren damit im Gesamtzusammenhang der Etablierung eines geeigneten Supplier-Managements an Bedeutung. Während sich die Anbieter von IT-Dienstleistungen durch die Einführung eines Produktmanagements schon auf die Veränderungen durch die IT-Industrialisierung eingestellt haben, müssen nun die Nachfrager auf die Veränderungen des IT- Outsourcing-Marktes reagieren. Insbesondere die Trennung zwischen der strategischen Entscheidung über die Leistungstiefengestaltung und der operativen Umsetzung dieser Strategie im IT-Einkauf muss in vielen Bereichen erst noch organisatorisch umgesetzt werden. Die Etablierung standardisierter Einkaufs- und Supplier-Managementprozesse beim Nachfrager gewinnen in einem produktorientierten IT-Outsourcing-Markt an Bedeutung und haben zur Folge, dass der effiziente Einkauf von Sourcing-Leistungen für den Nachfrager immer entscheidender wird. Gleichzeitig verändern sich die Kriterien, die bei der Sourcing-Entscheidung herangezogen werden, von einem nachfragergetriebenen Anbieterauswahlprozess hin zu einem angebotsfokussierten Produktauswahlprozess. Die Erörterungen haben gezeigt, dass insbesondere die Sourcing-Nachfrager auf die Industrialisierung der IT reagieren müssen, indem sie z.B. ihre Einkaufsfunktion im IT-Bereich erweitern und ihre Dienstleister stärker risikoorientiert steuern. Daraus ergibt sich auch der Bedarf, Sourcing-Steuerungsgremien einzurichten, in denen neben den IT-Bereichen und dem Einkauf auch die Fachbereiche, Compliance-Verantwortliche, Revision usw. mitwirken, um die externen IT-Lieferanten ganzheitlich steuern zu können. Vorausschauend stellt sich die Frage, was die IT-Branche z.B. aus der bereits fortgeschrittenen Industrialisierung der Automobilindustrie lernen kann. Die Erkenntnisse aus dieser Industrie könnten für die IT als Muster dienen, um beispielsweise mit einer stärkeren Verzahnung von Vertragsmanagement und inhaltlich orientierten Tätigkeiten, wie dem Availability und Service-Level-Management, Erfolge zu erzielen. Zudem kann es sinnvoll sein, auch die Prozessabläufe beim Supplier zu verbessern, um auch diese „verlängerte Werkbank“ zu optimieren. Einzelne Automobilhersteller setzen bspw. eigene Consultants ein, um Qualität und Prozesseffizienz bei ihren Zulieferern zu heben. Das zeigt auf, das weitergehende Verbesserungen im Sourcing nicht nur <?page no="110"?> Auswirkungen der IT-Industrialisierung auf die Governance im Supplier-Management 111 über die rein vertragsorientierte Auswahl, Beauftragung und Kontrolle der Lieferanten, sondern v.a. über eine stärker inhaltlich getriebene Steuerung erfolgen müssen. Der zweite Moment-of-Governance, das Supplier-Relationship-Management nach dem Vertragsschluss, gewinnt zunehmend an Bedeutung. 6.5 Literatur Asgarian, C./ Walter, S. (2009): „Indien, Indonesien oder Island“: Länderauswahl als Erfolgsfaktor beim Offshoring, Deloitte, München. Böhmann, T./ Taurel, W./ Krcmar, H. (2006): Produktmanagement für IT-Dienstleistungen in Deutschland (Arbeitspapiere des Lehrstuhls für Wirtschaftsinformatik Nr. 23). Technische Universität München, München. Carr, N. G. (2003): IT doesn't matter. In: Harvard Business Review, 81, Nr. 5, S. 41-49. Deloitte (2005): Calling a Change in the Outsourcing Market: The Realities for the World's Largest Organizations, LLP, Deloitte Consulting. Engels, F. (1882): Die Entwicklung des Sozialismus von der Utopie zur Wissenschaft. Fries, A. J. (2006): Supplier Relationship Management: ein begriffliches und prozessuales Konzept. Förderges. Produkt-Marketing, Köln. Koenen, J. (2009): IT-Branche: Druck auf die Anbieter wächst. http: / / www. handelsblatt.com/ unternehmen/ _b=2426769,_p=5,_t=ftprint (01.08.2009). Lacity, M./ Willcocks, L. (1998): An Empirical Investigation Of Information Technology Sourcing Practices: Lessons From Experience. In: MIS Quarterly, 22, Nr. 3, S. 363-408. Landes, D. S. (1969): The unbound Prometheus: technological change and industrial development in Western Europe from 1750 to the present. Cambridge University Press, London. Miranda, S. M./ Kavan, C. B. (2005): Moments of governance in IS outsourcing: conceptualizing effects of contracts on value capture and creation. In: Journal of Information Technology, 20, S. 152-169. Pfeiffer, A. (2009): Verträge richtig managen. - In: Wirtschaftsinformatik und Management, 1 Nr. 03/ 2009, S. 68-73. Piore, M. J./ Sabel, C. F. (1984): The second industrial divide: possibilities for prosperity. Basic Books, New York, NY. Ross, J. W./ Westerman, G. (2004): Preparing for utility computing: The role of IT architecture and relationship management. In: IBM Systems Journal, 43, (2004/ / / ) Nr. 1, S. 5-19. Stölzle, W./ Heusler, K. F. (2003): Supplier Relationship Management: Entstehung, Konzeptverständnis und methodisch-instrumentelle Anwendung. In: Management und Controlling von Einkauf und Logistik, S. 167-194. Taubner, D. (2005): Software-Industrialisierung. In: Informatik-Spektrum, 28, Nr. 4, S. 292-296. <?page no="111"?> 112 Auswirkungen der IT-Industrialisierung auf die Governance im Supplier-Management Walter, S. M. (2009): „I couldn’t care less! “: Auswirkungen der Produktorientierung auf die Providerauswahl beim Outsourcing. In: Industrialisierung im Outsourcing: Welchen Nutzen Outsourcing-Anwender und -Anbieter aus der Industrialisierung ziehen können. Hrsg.: Oecking, C./ Jahnke, R./ Kiehle, H./ Weber, M., CMP- WEKA, Bad Homburg, S. 127-140. Walter, S. M./ Böhmann, T./ Krcmar, H. (2007): Industrialisierung der IT: Grundlagen, Merkmale und Ausprägungen eines Trends. - In: HMD - Praxis der Wirtschaftsinformatik, 256, S. 6-16. Walter, S. M./ Böhmann, T./ Krcmar, H. (2008): Grundlagen der IT-Industrialisierung. - In: Industrialisierung des Software-Managements, Tagungsband zur GI-Fachtagung Software-Management 2008, Bonn, S. 19-30. <?page no="112"?> 7 IT-Performance-Management Jan Hejmann und Robert Linden Ziele des IT-Performance-Management sind sowohl Messung als auch Steuerung des Wertbeitrages und der Leistungsfähigkeit der IT. Es stellt zusammen mit der IT-Planung und der IT-Governance wichtige Bausteine eines stringenten Managementkonzeptes bereit. Zu einem erfolgreichen und effektiven Performance-Management gehört jedoch mehr als das bloße Erheben und Vergleichen von Kennzahlen. Einer der wichtigsten Erfolgsfaktoren besteht in der Abstimmung der zu erhebenden Kennzahlen mit der IT-Strategie. In diesem Beitrag wird ein Vorgehensmodell zur Entwicklung eines integrierten IT-Performance-Management vorgestellt, welches die Überführung der strategischen Ziele in ein operatives Performance-Management ermöglicht. Als bewährte Praxismethode zur Abstimmung mit der strategischen Ausrichtung wird dabei besonders auf die Matrix-Methode eingegangen. 7.1 Integriertes Performance-Management 7.1.1 IT-Performance-Management als Mittel zum wertorientierten IT-Management Als wichtiges Steuerungselement für ein wertorientiertes IT-Management hat sich ein in die Gesamtorganisation integriertes Performance-Management durchgesetzt. Unter dem Begriff der Performance wird allgemein im Kontext der Organisationslehre der bewertete Beitrag zur Erreichung der Ziele einer Organisation verstanden. 91 Sowohl Ziele als auch Bewertungen können sowohl finanzwirtschaftlicher Natur sein (klassische Ansätze beinhalten fast ausschließlich Messgrößen aus dem Finanzbzw. Bilanzbereich) als auch auf die Prozesse eines Unternehmens fokussieren. In diesem Fall werden zusätzliche Dimensionen wie beispielsweise Zeit oder Qualität betrachtet. Aufgabe eines Performance-Management besteht in der ganzheitlichen Abbildung und Steuerung dieses Wertbeitrages mit Hilfe von Kennzahlen und Kennzahlensystemen. 92 Hierbei wird sowohl die traditionell berücksichtigte Kostenseite als auch die Leistungsseite in die Betrachtung eingeschlossen. Der durch Vergleich mit den entsprechenden Kostenbzw. Leistungsvorgaben (Performance Measuring) sowie durch einen eventuellen Vergleich mit Dritten (Benchmarking) erzielte Erkenntnisgewinn dient wiederum der optimalen Steuerung der IT-Organisation. In der Praxis haben sich unter anderem folgende Vorteile eines integrierten IT-Performance-Managements gezeigt: Fokussierung auf die Kernfaktoren: Es werden nur die wirklich relevanten Aspekte der IT verbessert. Diese sind dadurch gekennzeichnet, dass sie direkt zur Erreichung der in der Strategie vorgegebenen Ziele beitragen und somit den Kernprozessen zuzurechnen sind. Klassische Querschnittsfunktionen können zwar ebenfalls Ziel von Performance- Betrachtungen sein, sollten jedoch zunächst niedriger priorisiert werden. Dies führt dazu, dass eine ineffiziente Ressourcennutzung durch nicht zielgerichtete Aktivitäten vermieden wird. 91 Vgl. Hoffmann 1999. 92 Vgl. Kütz 2006. <?page no="113"?> 114 IT-Performance-Management Erhöhte Sichtbarkeit des Wertbeitrages: Durch die Verbesserung und konsequente Messung der wertschöpfenden Aktivitäten lassen sich diese besser im Gesamtunternehmen kommunizieren. Der konkrete Mehrwert der IT wird dadurch auch in der Außenwirkung besser wahrnehmbar. Vereinfachtes Aufdecken von Verbesserungspotenzialen: Erst durch ein regelmäßiges Überwachen der Aktivitäten und Initiativen der IT-Organisation lassen sich Abweichungen vom Soll-Zustand oder Branchendurchschnitt identifizieren und im Anschluss gezielt beheben. Es gilt auch hier der bekannte Satz: „What gets measured gets done! “ Verlinkung zwischen Performance und IT-Risikomanagement bzw. IT-Governance: Sowohl das klassische Risikomanagement als auch die strategischen Ziele der IT-Governance können als Grundlage für ein Performance-Management dienen. Zwar handeln diese Bereiche aus einer unterschiedlichen Motivation heraus; allerdings lassen sich dennoch Synergien identifizieren, durch deren Nutzung sich die Implementierung eines Performance-Management einfacher kontrollieren und steuern lässt. Verbesserte Überwachung der strategischen Initiativen: Durch das IT-Performance-Management lässt sich der Erfolg strategischer Initiativen an konkreten Kennzahlen messen. Hierdurch lassen sich sowohl deren Umsetzung als auch deren Wirkung besser nachweisen und steuern. Um die angesprochenen Vorteile durch die optimale Steuerung der IT-Organisation sicherzustellen, müssen die verwendeten Kennzahlensysteme und Vorgaben mit der IT-Strategie abgestimmt werden. Ferner müssen Kennzahlen bzw. Kennzahlsysteme mit quantitativem, prozessbezogenen Bezug zum Einsatz kommen. 93 In der Praxis wird dieser wichtige Schritt jedoch oft übergangen und es werden, ohne Beachtung der Strategie, allgemeine, weitverbreitete und untereinander nicht abgestimmte Indikatoren und Kennzahlensysteme verwendet. Dies führt nicht nur zu wenig aussagekräftigen Ergebnissen: Sollten die nicht bedarfsgerecht gewonnenen Kennzahlen zur Steuerung der Organisation herangezogen werden, kann dies sogar zu einer Verschlechterung der Gesamtperformance führen. Als Beispiel sei das Lagerverwaltungssystem eines Logistikdienstleisters genannt, bei dem als Hauptkennzahl der möglichst konstante, kosteneffiziente Betrieb festgesetzt wurde. Die Ausrichtung der internen Steuerungsaktivitäten auf diese Kennzahl wird voraussichtlich langfristig eine Verschlechterung des Lastverhaltens in Spitzenzeiten und damit eine geringere Termintreue zur Folge haben. Eine prozessorientierte Zielgröße (z.B. „Termineinhaltungsquote > 95 %“) wäre an dieser Stelle sicherlich sinnvoller gewesen. Allgemein muss ein aus finanzwirtschaftlicher Sicht unterdurchschnittlicher Benchmark der IT-Strukturen nicht zwangsläufig ein Indikator für eine ineffiziente IT- Organisation sein. Zielt die strategische Ausrichtung der IT vor allem auf flexible Unterstützung von Businessprozessen und höchste Kundenzufriedenheit ab, treten Kostenaspekte zunächst in den Hintergrund. Würden in diesem Fall aufgrund des schlechten Benchmarks Maßnahmen zur Kostensenkung ergriffen, könnten sich diese negativ sowohl auf die Leistungsfähigkeit der IT als auch auf das Gesamtunternehmen auswirken. Im umgekehrten Fall muss eine nachgewiesene, aber teurer erkaufte Hochverfügbarkeit aller Anwendungen kein Indikator für eine effizient gestaltete IT-Organisation 93 Vgl. Gladen 2002. <?page no="114"?> IT-Performance-Management 115 sein: Möglicherweise ist die Verfügbarkeit einiger Anwendungen aus strategischer Sicht unkritisch für das Unternehmen und eventuelle Ausfallzeiten wären akzeptabel. Aus den oben genannten Gründen empfiehlt sich ein von der IT-Strategie ausgehendes, strukturiertes Vorgehen zum Aufbau eines Performance-Management Systems (vgl. Abschnitt 7.1.2), bevor mit der operativen Durchführung des Performance- Managements (vgl. Abschnitt 7.1.3) begonnen werden kann. Ziel des im Folgenden vorgestellten Vorgehens ist sowohl die Ableitung der Indikatoren aus der IT-Strategie als auch die nachhaltige Verankerung des Performance-Managements in der Organisation. 7.1.2 Vorgehensmodell zur Entwicklung eines integrierten IT-Performance-Management Das in diesem Abschnitt vorgestellte Modell beschreibt in vier Schritten ein Vorgehen, um ein integriertes Performance-Management System in der IT-Organisation zu implementieren (vgl. Abbildung 7.1). Ausgangspunkt sind hierbei die strategischen Zielvorgaben der IT. Durch die Einbeziehung der Zielvorgaben wird sichergestellt, dass das zu entwickelnde operative IT-Performance-Management System zur Gesamtzielerreichung der IT-Organisation beiträgt. Abbildung 7.1: Vorgehensmodell zum Aufbau eines IT-Performance-Management Im ersten Schritt, der Fokussierung, soll ein unternehmensweit einheitliches Verständnis für die Werte, die Strategie und die Ziele des Unternehmens sowie die daraus resultierende IT-Strategie geschaffen werden. Auf Basis der Unternehmensziele wird definiert, welchen Wertbeitrag die IT leisten kann und welche Wertetreiber zukünftig beobachtet und gesteuert werden sollen. Es folgt eine Analyse der wichtigsten Wertetreiber und der Verbindungen und Abhängigkeiten untereinander. Erste Key Performance Indicator (KPI) sollen zur Unterstützung der Treiber definiert werden. Im darauffolgenden Schritt, der Abstimmung, werden die identifizierten IT-relevanten Wertetreiber mit der IT-Strategie abgestimmt, d.h. es wird überprüft, ob die Wertetreiber und die IT-Strategie zu den gleichen Ergebnissen führen und sich so gegenseitig unterstützen. Hierzu wird die IT-Strategie in konkrete Ziele heruntergebrochen, beispielsweise „Steigerung der Anwenderzufriedenheit“ oder auch „Senkung der Kosten pro Arbeitsplatz“. Dabei ist zu beachten, dass die verschiedenen Ziele nicht miteinander in Konflikt stehen und sowohl nachvollziehbar als auch messbar sein müssen. Für die Messung können auch die im ersten Schritt eingeführten Kennzahlen genutzt werden. Zur Unterstützung dieses komplexen Schritts hat sich die Matrix-Methode als bewährtes Praxiswerkzeug erwiesen (siehe Exkurs in Kapitel 7.2). Strategie Planung Finanzierung Externe Berichte Analyse Prognose Mehrwert generieren Strategische Richtlinien Funktionsübergreifende Unterstützung Fokussierung Abstimmung Integration Umsetzung Operationaler Lebenszyklus Operatives Berichten Management Berichte Intervention P ersonen und Organisatio n Ent wicklung und Entlohn ung Integrierte Architektur der Technologie Gemeinsame Informationsplattform <?page no="115"?> 116 IT-Performance-Management Ziel des folgenden Integrationschritts ist das Einbinden der abgestimmten Ziele in die Organisation. Dazu werden die vereinbarten Ziele konkreten Organisationsfunktionen zugeordnet und entsprechende Verantwortlichkeiten festgelegt. Des Weiteren werden in diesem Schritt die operativen Maßnahmen und Prozeduren zur Durchführung und Überwachung des Performance-Managements festgelegt. In Abschnitt 7.1.3 wird ein operativer Lebenszyklus beschrieben, der alle nötigen Maßnahmen und Prozeduren vereinigt. Dieses umfasst die Definition von Messmethoden und -rhythmen, das Auswählen und die organisatorische Zuordnung von Aufgaben, die Toolauswahl zur Unterstützung von Messung und Auswertung sowie die Spezifikation der Informationsprozesse, über welche die Ergebnisse kommuniziert werden sollen. Um das IT-Performance-Management nachhaltig in der Organisation zu verankern, ist die Unterstützung und Befähigung aller Beteiligten unerlässlich. Dieses ist Ziel des letzten Schrittes, der Umsetzung. Hier werden beispielsweise Anreizprogramme mit den Maßnahmen des Performance-Management verknüpft, um deren nachhaltigen Erfolg sicherzustellen. Beispielsweise kann für die Mitarbeiter des Service Desk ein finanzieller Bonus vereinbart werden, falls diese eine festgelegte Erstlösungsquote erfüllen. Ein weiterer zu beachtender Aspekt sind die notwendigen Aus- und Weiterbildungsanforderungen, die zur dauerhaften Erreichung der gesetzten Ziele notwendig sind. So sind beispielsweise Schulungen in den relevanten Anwendungen für den Mitarbeiter des Service Desk notwendig, damit dieser die geforderte Erstlösungsquote erreichen kann. Nur bei einer ausreichenden Motivation und Qualifikation der Mitarbeiter kann ein integriertes IT-Performance-Management zur dauerhaften Steigerung des Wertbeitrags zum Gesamtunternehmenserfolg beisteuern. Das Ergebnis dieser Vorgehensweise ist ein operatives IT-Performance-Management System. Dieses besteht aus einer Menge von Performance-Indikatoren und deren strategischen Zielwerten sowie Verfahren und Maßnahmen, welche eine Überwachung dieser sicherstellen. Durch eine konsequente methodische Ableitung der Kennzahlensysteme und deren Zielwerten aus der Strategie ist sichergestellt, dass diese nicht zueinander in Konflikt stehen und die Erreichung der Strategie unterstützen. 7.1.3 Operative Durchführung des IT-Performance-Managements Um die gesetzten Ziele zu erreichen, ist die regelmäßige Überwachung und Anpassung dieser Performance Indikatoren unerlässlich. Hierzu ist ein mehrstufiges, zyklisches Vorgehen empfehlenswert, da eine Änderung der IT-Organisation selten in einem Schritt vollziehbar ist und einige Zwischenziele erfordert. Die regelmäßige Anpassung der Zwischenziele in Richtung des strategisch festgelegten Zielzustandes lässt sich in einem operationalen Lebenszyklus darstellen (vgl. Abbildung 7.2). Dieses zyklische Vorgehen besteht aus den drei folgenden Phasen. Die erste Phase Planung und Zielsetzung besteht aus den Teilphasen Strategie, Planung und Finanzierung. In der zweiten Phase Messen und Auswerten werden verschiedene Berichte erstellt (Operative, Management, und Externe) sowie Analysen durchgeführt. In der dritten und letzten Phase Eingreifen und Nachjustieren werden die Maßnahmen umgesetzt und Prognosen erstellt. Nach einem kompletten Durchlauf des operativen Lebenszyklus soll dieser erneut durchlaufen werden. <?page no="116"?> IT-Performance-Management 117 Es folgt eine detailliertere Beschreibung der drei Phasen. Außerdem wird für jede Phase ein Beispiel erläutert, welches die Praxistauglichkeit des operativen Lebenszyklus bestätigt. Als Beispiel wird im Folgenden die Erhöhung der Erstlösungsquote des Service Desk verwendet. Planung und Zielsetzung. Die erste Phase ist gekennzeichnet durch die Hauptaktivitäten der operativen Zielsetzung, welche auf den in der Entwicklungsphase aus der Strategie abgeleiteten Zielen aufbaut. Dazu werden für die definierten Indikatoren kurz- und mittelfristige Zielgrößen festgelegt, welche innerhalb einer Zyklusdurchführung erreichbar sein sollten. In dieser ersten Phase der Planung und Zielsetzung kann die im späteren Verlauf dieses Artikels vorgestellte „Matrix-Methode“ angewendet werden. Sie unterstützt bei der Definition von Zielen mit geeigneten Unterzielen. Eine detaillierte Beschreibung der Methode erfolgt in Abschnitt 7.2. Abbildung 7.2: Operationaler Lebenszyklus für ein integriertes IT-Performance-Management Beispiel: Auch wenn die strategische Zielsetzung des Service Desk eine Erstlösungsquote von 75 % vorsieht und die aktuelle Quote bei 50 % liegt, kann es durchaus sinnvoll sein, im ersten Zyklusdurchlauf (bspw. 3 Monate) das operative Ziel auf einen erreichbaren Wert, etwa 60 %, festzulegen. Dies soll einerseits die Mitarbeiter anzuspornen, diese jedoch gleichzeitig nicht durch ein unrealistisches Ziel demotivieren. In einem weiteren Durchlauf des operativen Lebenszyklus könnte das Ziel auf 75 % gesetzt werden und damit die strategische Zielsetzung erfüllt werden. Messen und Auswerten. In dieser zweiten Phase finden das Messen der aktuellen Leistungsfähigkeit der IT statt, das so genannte Performance Measurement sowie die Erstellung von Berichten und Analysen. Es wird neben dem opera- Strategie Planung Finanzierung Externe Berichte Analyse Prognose Mehrwert generieren Operatives Berichten Management Berichte Intervention P ersonen und Organisatio n Ent wicklung und Entlohn ung Integrierte Architektur der Technologie Gemeinsame Informationsplattform <?page no="117"?> 118 IT-Performance-Management tionalen Reporting auch die Konsolidierung interner und externer Reports verstanden. In der Analysephase erfolgen eine kritische Untersuchung des Datenmaterials sowie ein Vergleich mit den in der vorherigen Phase entwickelten Zielgrößen. Auf Basis der festgestellten Abweichungen werden konkrete Handlungsempfehlungen für ein eventuelles Nachjustieren abgeleitet. Beispiel: Die Erstlösungsquote wird durch eine Analyse des Ticketsystems ermittelt und ergibt einen Wert von 62 %. Damit wäre das operative Ziel erreicht, nicht jedoch die strategische Vorgabe. Eine tiefer gehende Analyse der Ticketdaten ergibt daraufhin stark unterschiedliche Erstlösungsquoten bei den verschiedenen Anwendungen. Als Gegenmaßnahmen werden intensive Schulungen der Service-Desk-Mitarbeiter in den Anwendungen mit niedrigen Erstlösungsquoten beschlossen. Eingreifen und Nachjustieren. Die in den vorherigen Phasen ausgesprochenen Handlungsempfehlungen werden in dieser Phase umgesetzt. Ziel der Maßnahmen ist die Korrektur des aktuellen Status quo in Richtung der definierten strategischen Ziele. Auf Grundlage dieser Korrekturen startet der operative Lebenszyklus erneut mit der Phase „Planung und Zielsetzung“. Beispiel: Die geplanten Schulungsmaßnahmen werden in dieser Phase umgesetzt. Auf deren Grundlage startet der operationale Lebenszyklus erneut. Allerdings kann im nächsten Durchlauf die operative Zielgröße erhöht und damit mehr der strategischen Zielvorgabe angepasst werden. Die Mitarbeiter sowie die gesamte Organisation müssen während der gesamten Dauer der Durchführung Änderungen unterstützen und umsetzen. Dies kann nur durch gute Kommunikation geschehen, sodass jeder Mitarbeiter von den Entwicklungen in Kenntnis gesetzt ist. 7.2 Matrix-Methode Die im Rahmen der Aktivitäten eines Performance Measurement gewonnenen Ergebnisse können sowohl zur Definition als auch zur Weiterführung der strategischen IT- Ausrichtung herangezogen werden. Ergebnis dieses Prozesses ist eine Dokumentation bzw. eine Zieldefinition, in der die mittel- und langfristige strategische Ausrichtung der IT-Bereiche eines Unternehmens festgeschrieben ist. Die im Anschluss folgenden Aktivitäten stellen einen entscheidenden und oft vernachlässigten Erfolgsfaktor des strategischen Managements dar: Im Rahmen der Umsetzung der vorab definierten Strategie muss gewährleistet werden, dass strategische Zielvorgaben in konkrete Aktivitäten münden, die wiederum in geeigneter Weise von adäquaten Aufgabenträgern durchgeführt werden. Im Anschluss muss überprüft werden, ob die durchgeführten Aktivitäten auch wirklich einen positiven Beitrag zur Strategieumsetzung geleistet haben. Der Weg von einer auf teils hohem Abstraktionsniveau formulierten strategischen Ausrichtung hin zu einer zielführenden Umsetzung verläuft häufig nicht geradlinig. Um hierbei den Überblick zu behalten, bedarf es eines praxiserprobten und zuverlässigen Methodensets. So können unklare Zieldefinitionen und Verantwortlichkeiten verhindern, dass ein eigentlich sinnvolles strategisches Rahmenwerk nachhaltig in der <?page no="118"?> IT-Performance-Management 119 Organisation verankert wird. Etwa zwei Drittel der Unternehmen geben offen zu, dass die Umsetzung ihrer Strategien teilweise erhebliche Defizite aufweist; gleichzeitig jedoch steht strategische Umsetzungsfähigkeit in Umfragen nach wie vor auf Rang 2 der von CEOs als am häufigsten genannten Herausforderungen. 94 Um dieser Herausforderung erfolgreich zu begegnen, hat Deloitte Consulting in Kooperation mit dem Allianzpartner STRACIENTA die Matrix-Methode als ein Werkzeug entwickelt, den Brückenschlag von der Strategie zur Umsetzung zu begleiten. Es handelt sich hierbei um ein bewusst einfach gestaltetes Werkzeug, das ein methodisches Vorgehen mit unkomplizierter Umsetzbarkeit in Einklang bringt. Im Vordergrund der Matrix-Methode stehen vor allem die Aspekte Transparenz, Messbarkeit und Verbindlichkeit. Wie in Abbildung 7.3 aufgeführt, besteht die oberste Ebene des Ordnungssystems aus den zwei Dimensionen Unternehmenszielen sowie Organisationseinheiten: Abbildung 7.3: Matrix mit Ziel- und Einheitendefinition In einem ersten Schritt erfolgt eine Konkretisierung des strategischen Oberzieles in Form einer Dekomposition in mehrere Unterziele (Ziel 1, Ziel 2). Diese werden horizontal in der Matrix angeordnet. Anschließend werden die an der Strategieimplementierung beteiligten Unternehmenseinheiten identifiziert und auf der Vertikalachse positioniert. Im letzten Schritt wird deren Beitrag zur Erfüllung der Teilziele definiert. Ergebnis ist eine Matrixdarstellung, aus der sich die Zuordnung von strategischen Zielen zu Unternehmensteilen in einem klar strukturieren Diagramm ablesen lässt. Wurden die Zuordnungen auf der ersten Ebene erfolgreich vorgenommen, kann eine Verfeinerung der Ziele erfolgen. Hierbei wird das Unterziel der Vorgängerebene als Oberziel der neuen Ebene herangezogen und dieses wiederum konkretisiert. In gleicher Weise wird mit der Untergliederung der Unternehmenseinheiten verfahren. Wie Abbildung 4 zeigt, entsteht durch dieses Vorgehen eine eindeutige und operative Zuordnung von Zielen zu Unternehmenseinheiten, die durch sukzessive Verfeinerung auf Aktivitätenebene heruntergebrochen werden kann. 94 Vgl. Research Report 2010. Oberziel Ziel 1 Ziel 2 Einheit 1 Einheit 2 Beitrag (1,1) Beitrag (1,2) Beitrag (2,1) Beitrag (2,2) <?page no="119"?> 120 IT-Performance-Management Abbildung 7.4: Verfeinerung der Matrix durch Drilldown innerhalb einzelner Beiträge Um die Methode in der Umsetzung messbar zu machen, sollten die in jeder Ebene geleisteten Beiträge mit konkreten Messgrößen hinterlegt werden, die in der Summe einen Gesamtbeitrag für ein vorab definiertes Zielniveau ergeben. So können beispielsweise Aktivitäten mit der quantitativen Zielvorgabe „4 % Kostensenkung im Bereich Datacenter“ versehen sein, die wiederum in das Oberziel „Produktivitätssteigerung Backend“ einfließen. Zur langfristigen Verankerung dieses Ansatzes im Alltag sollte neben einer Priorisierung der Tagesaktivitäten über die operative bis zur strategischen Ebene vor allem das unternehmensinterne Anreizsystem konsequent auf die Ziele der Matrixebenen ausgerichtet werden. Dies ermöglicht eine stetige und messbare Einbindung von Mitarbeitern und Management. Die mögliche Ausgestaltung eines Anreizsystems könnte beispielsweise in der Auszahlung eines finanziellen Bonus bei Erfüllung oder Übererfüllung der in der Matrix definierten Ziele durch eine bestimmte Organisationseinheit bestehen. Hierbei sollte jedoch beachtet werden, dass eine Synchronisierung zwischen den in der Matrix festgeschriebenen Unternehmenszielen und den persönlichen Zielen der Mitarbeiter vorgenommen werden muss. Die Matrix-Methode wurde bereits von zahlreichen internationalen Kunden erfolgreich implementiert und hat ihre Eignung als pragmatisches Werkzeug zur Umsetzung komplexer Strategien mehrfach bewiesen. Insbesondere die einfache Implementierbarkeit sowie die Transparenz durch die Fokussierung auf konkrete Zielbeiträge wirken als Treiber für die Akzeptanz der Methode. 7.3 Fazit Ein solides IT-Performance-Management sollte nicht nur die eher „handwerklichen“ Tätigkeiten zur Bestimmung der relevanten KPIs umfassen. Ebenso müssen die Schnittstellen zur zugrunde liegenden IT-Strategie, konkrete und messbare Zieldefini- Beitrag = Oberziel Ziel 1.1 Ziel 1.2 Einheit 1.1 Einheit 1.2 Beitrag (1.1,1.1) Beitrag (1.2,1.1) ? Beitrag (1.2,1.2) Oberziel Ziel 1 Ziel 2 Einheit 1 Einheit 2 Beitrag (1,1) Beitrag (1,2) Beitrag (2,1) Beitrag (2,2) <?page no="120"?> IT-Performance-Management 121 tionen sowie entsprechende Korrekturaktivitäten bei Nichterfüllung dieser Ziele beachtet werden. Ein wichtiger Punkt besteht weiterhin in der organisatorischen Verankerung der Ziele. Nur wenn eine klare, messbare Zuordnung konkreter Aktivitäten zu entsprechenden Organisationseinheiten vorgenommen wird, kann sich ein Performance-Management nachhaltig etablieren. Zur Implementierung eines entsprechenden Management Systems bietet sich die Matrix-Methode als bewährtes methodisches Werkzeug an, da sie komplexe Oberziele strukturiert in kleinere, messbare Beiträge zerlegt: die pragmatische Anwendbarkeit der Methode sowie das bedarfsweise anpassbare Aggregationsniveau die operative Umsetzung. Weiterhin lassen sich aufgrund der transparenten Darstellung von Verantwortlichkeiten adäquate Maßnahmen zur Incentivierung der Mitarbeiter ableiten. 7.4 Literatur Gladen, W. (2002): Performance Measurement als Methode der Unternehmenssteuerung. - In: HMD - Theorie und Praxis der Wirtschaftsinformatik (227). Hoffmann, O. (1999): Performance-Management: Systeme und Implementierungsansätze. Bern. Kütz, M. (2006): IT-Steuerung mit Kennzahlensystemen. Heidelberg. Research Report (2010): „CEO Challenges 2010“. The Conference Board. New York. <?page no="122"?> 8 Effizienzgewinne durch vollständige Integration der IT- Governance in die Corporate Governance am Beispiel des IT-Risikomanagements Simon Benedikt Paquet, Claudia Müller, Burkhard Kühle Das Management von Risiken, speziell von IT-Risiken gewinnt in der heutigen, stark IT-gestützt operierenden Geschäftswelt immer größere Bedeutung. Hierbei wird es für Unternehmen immer wichtiger, eine übergreifende Sicht auf ihre Risiken und deren Bedeutung und Implikationen für das Tagesgeschäft und die Unternehmensstrategie zu gewinnen. Ein so genannter risikointelligenter Ansatz, der alle Risikomanagement-Bemühungen innerhalb des Unternehmens zusammenfasst, kann hier einen Wertbeitrag leisten. 8.1 IT-Governance als Teil einer guten Unternehmensführung 8.1.1 Begriff und Zielsetzung der IT-Governance In den letzten Jahren kann beobachtet werden, dass eine immer tiefer greifende Verzahnung der IT mit den Geschäftsprozessen stattfindet und strategisch gewünscht ist. Dies führt zu einer intensiven und dauerhaften Betrachtung und Bewertung der IT auch im Hinblick auf mögliche Risiken im Unternehmen. Die Ausrichtung der IT an den Unternehmenszielen kann Wettbewerbsvorteile bringen. Dabei ist darauf zu achten, dass Organisationsstrukturen entwickelt werden, die die Umsetzung der Strategie und Ziele ermöglichen. Ein Kriterium für den Erfolg ist die Abstimmung zwischen der IT und den Geschäftsfunktionen durch die gemeinsame Definition von Strategie, Zielen, Maßnahmen, und Prozessen. Hierzu zählen auch ein adaptiertes und implementiertes IT-Risikomanagement- und Kontrollsystem. 95 Gerade bei unternehmenskritischen IT-Systemen ist es unabdingbar, für eine wirksame, transparente und messbare Steuerung mit klar zugewiesenen Verantwortungen zu sorgen. Daher ist es notwendig, eine klare IT Verantwortung gerade auch, aber nicht nur im Vorstand zu etablieren und zu stützen. Darüber hinaus müssen entsprechende Systeme zur Überwachung implementiert sein und definierte Prozesse die Ausrichtung und die Nutzung der IT in allen Unternehmensbereichen gewährleisten. 96 8.1.2 IT-Governance als Bestandteil der Corporate Governance In vielen Unternehmen wird das Thema IT-Governance immer noch unabhängig von der Corporate Governance betrachtet. Gerade vor dem Hintergrund des zunehmenden Wettbewerbsdrucks sind Unternehmen heute mehr denn je dazu gezwungen, schnell und flexibel auf neue Marktsituationen zu reagieren und ihre Geschäftsprozesse an neue Anforderungen anzupassen. Da heutzutage nahezu alle Geschäftsprozesse durch die IT unterstützt bzw. durch die IT überhaupt erst ermöglicht werden, lässt sich diese 95 Vgl. IT Governance Institute (IT-Governance, 2003), S. 6. 96 Vgl. IT Governance Institute (IT-Governance, 2003), S. 12. <?page no="123"?> 124 Effizienzgewinne durch vollständige Integration der IT-Governance Herausforderung nur über eine transparente und flexible IT lösen. Neben der Ausgestaltung der IT-Prozesse muss auch die Aufbauorganisation in komplexen Unternehmensstrukturen berücksichtigt werden. Damit wird klar, dass die IT ein existenzieller Bestandteil eines Unternehmens ist und daher ein integriertes Management benötigt wird. Der wertschaffende Einsatz der IT gehört demnach zu den Kernaufgaben der gesamten Unternehmensführung und liegt somit nicht nur in der Verantwortung des CIOs. Die daraus resultierende Verantwortung der Unternehmensleitung kann nicht delegiert oder aus deren Handlungsbereich ausgegliedert werden, sondern ist vielmehr intensiv und selbstständig wahrzunehmen. 97 Eine gute IT-Governance, die als Bestandteil der Corporate Governance gesteuert wird, soll sicherstellen, dass die Ausrichtung der IT an den Erfordernissen des Unternehmens erfolgt und die Realisierung des anvisierten Nutzens erreicht wird. Durch den IT-Einsatz soll der Unternehmenswert gesteigert, der Nutzen der IT maximiert und mit IT-Ressourcen verantwortungsvoll umgegangen werden. Dies erfordert eine angemessene Steuerung der IT sowie der verwandten Risiken. 98 8.2 Notwendigkeit eines integrierten IT-Risikomanagements Die IT spielt in Unternehmen eine zentrale Rolle. Geschäftsprozesse können bei einem Ausfall der IT oft nicht mehr oder zumindest nur mit einer wesentlich geringeren Effizienz ausgeführt werden. Deswegen rücken die IT-Risiken und vor allem deren Beherrschbarkeit immer mehr in das zentrale Betrachtungsfeld von Unternehmensentscheidern. Obwohl das IT-Risikomanagement zunehmend wichtiger wird, reduzieren die Unternehmen gleichzeitig die Ausgaben für Investitionen in das IT-Risikomanagement. IT-Organisationen konkurrieren um knappe Mittel, die die Unternehmensführung in für sie bedeutende Initiativen investiert und dabei vor allem den größtmöglichen Wert erzielen möchte. Folgerichtig stellt sie sich dabei die Frage, wie ein größerer Beitrag aus den Risikomanagementaktivitäten generiert werden kann. Es muss aufgezeigt werden, dass es um weit mehr geht, als nur darum, die Kosten für das Risikomanagement zu reduzieren. Vielmehr müssen sowohl die ITals auch die Geschäftsprozesse im Risikomanagement verbessert werden. 99 8.2.1 IT-Risikomanagement in der Praxis In der Praxis wird verstärkt eine Trennung von unternehmensweiten Aktivitäten und IT-Aktivitäten vorgenommen. Ein Problem ist oft das fehlende Verständnis zwischen CEO/ CFO und CIO sowie deren fehlende gegenseitige Einbindung in das Risikomanagement. Dadurch werden IT-Risiken häufig nachrangig zu anderen Unternehmensrisiken betrachtet und es besteht die Gefahr, dass keine umfassende Überwachung der Risiken erfolgt. Eine weitere Gefahr liegt darin, dass unterschiedliche Auffassungen bezüglich der wesentlichen Risiken im Unternehmen bestehen. Was der CFO als Risiko betrachtet, weicht häufig erheblich von der Risikobetrachtung des CIO ab. CIOs 97 Vgl. Fröhlich/ Glasner (IT-Governance, 2007), S. 24. 98 Vgl. IT Governance Institute (IT-Governance, 2003), S. 13. 99 Vgl. Westerman, Barnier (ISACA Journal, 2010, Volume 1), S. 53 ff. <?page no="124"?> Effizienzgewinne durch vollständige Integration der IT-Governance 125 haben eine sehr präzise Sichtweise auf Risiken in ihrem Verantwortungsbereich und primär das Ziel, die benötigten Dienstleistungen zur richtigen Zeit an die richtige Person zu liefern, Verfügbarkeiten und Betriebszeiten sicherzustellen, neue Technologien zu bewerten und diese kosteneffizient einzusetzen. Der CFO hat verstärkt einen finanzstrategischen Blick auf Risiken mit der Fragestellung, ob sich Investitionen lohnen, ob und wie diese die Unternehmensstrategie unterstützen können oder ob die Kosten effektiv gemanagt werden. Selten verfügen CFOs/ CEOs über ausreichendes IT-Verständnis, um das Potential der IT bei der Unterstützung der Geschäftsstrategie zu erkennen. In der Konsequenz findet eine Einbindung des IT-Managements bzw. des CIO in die Strategieentwicklung nicht oder nur unzureichend statt. Den IT-Abteilungen fehlt daher oft der Überblick über den Gesamtzusammenhang der einzelnen Entscheidungen und die entsprechende Information, in welche Richtung das Unternehmen gesteuert wird. Diesen Zusammenhang unterstreicht auch eine Deloitte Studie aus dem Jahr 2009, die den Blick anderer Unternehmensteile auf die IT-Themen zeigt. Sie ergab, dass nur bei der Hälfte der befragten Unternehmensvertreter IT-Themen regelmäßig auf Vorstandsebene diskutiert werden. Die andere Hälfte gab an, selten oder nie IT-Themen auf Vorstandsebene zu diskutieren. 100 Diese Erkenntnis unterstreicht die Bedeutung der intensiven Vernetzung zwischen Business und IT. Ein wesentlicher Teilaspekt hiervon ist der Aufbau eines effektiven und effizienten Risikomanagements, das unternehmensweit und integriert alle Risiken - auch IT-Risiken - steuert. Hierzu ist es notwendig, ein einheitliches Verständnis der wesentlichen Risiken herzustellen und dabei den täglichen Einfluss der IT auf den Geschäftsbetrieb zu berücksichtigen. Darüber hinaus ist ein integrierter, ganzheitlicher Ansatz für das Management der IT-Risiken auf Basis einer standardisierten Taxonomie, Risikoklassifikation und einheitlicher Risikokennzahlen zu etablieren. 8.2.1.1 Risikomanagement als Vorstandsaufgabe Im Rahmen einer Studie 101 hat Deloitte 130 Banken und Finanzinstitutionen in Amerika, Asien und Europa zum Thema „Global Risk Management“ befragt. Dabei wurde festgestellt, dass in klassischen Bereichen wie Kredit, Markt und Liquidität vier von fünf Geldinstituten bereits leistungsfähige Risikomanagementprozesse eingeführt haben. Auf neueren Risikofeldern wie z.B. IT-Sicherheit und operationelle Risiken schätzen die Mehrzahl der teilnehmenden Unternehmen ihre Risikomanagementprozesse hingegen noch als verbesserungswürdig ein. Nachholbedarf sehen die Befragten beispielsweise im Bereich IT-Sicherheit. Auf diesem Sektor schätzen nur 56 % der Umfrageteilnehmer ihr Risikomanagement als „sehr gut“ ein. Im Umfeld operationeller Risiken sind es sogar nur 48 %. 84 % der Befragten haben die Position eines Chief Risk Officer (CRO) eingeführt. Weitere acht Prozent planen, eine solche Position zu etablieren. Die CROs berichten entweder direkt an den Vorstandsvorsitzenden (52 %) oder an die Geschäftsleitung 100 Vgl. Deloitte (Deloitte Belgium Survey, 2009), S. 12 101 Vgl. Deloitte (Deloitte Global Risk Management Survey: Sixth Edition, 2009), S. 8 <?page no="125"?> 126 Effizienzgewinne durch vollständige Integration der IT-Governance (53 %). In den meisten Fällen haben die CROs direkten Zugang zur oberen Leitungsebene (78 %). Eine weitere Studie von Deloitte 102 , bei der mehr als 450 Vorstände und Geschäftsführer von Banken und Versicherungen, aus Telekommunikations- und Medienunternehmen, der Fertigungs- und Konsumgüterindustrie sowie dem Energiesektor in 35 Ländern befragt wurden, ergab, dass die IT eine entscheidende Rolle bei der strategischen Unternehmensentwicklung spielt. Laut den Analysten hat sich bei den erfolgreichsten Unternehmen die Erkenntnis durchgesetzt, dass positive Unternehmensergebnisse unter anderem auf eine kontinuierliche Diskussion von IT-Themen auf Vorstandsebene zurückzuführen sind. Gleichzeitig haben aber nur 14 % der Befragten angegeben, vollständig über die IT-Strategien ihres Unternehmens informiert zu sein. Vorstände sollten deshalb zukünftig verstärkt bei IT-Diskussionen (und damit auch bei Diskussionen zu wesentlichen IT-Risiken) eine Führungsrolle übernehmen. Die Studie belegt, dass eine konstante Beobachtung und Bewertung der eigenen IT- Strategie einen direkten Einfluss auf das Geschäftsergebnis hat, insbesondere, wenn Aktionäre über die Kosten einer IT-Implementierung informiert werden müssen. Hierbei gehen die Vorstände davon aus, dass die IT in vielen Bereichen einen wesentlichen Beitrag zum Erfolg wichtiger strategischer Fragestellungen liefert. Hierbei fällt auf, dass bei allen wesentlichen Fragestellungen der IT-Governance, zuvorderst Compliance und Risikomanagement, der IT ein wesentlicher Beitrag zum strategischen Erfolg des Unternehmens beigemessen wird. Ebenfalls ist zu erwähnen, dass in nahezu allen Bereichen die Vorstände der IT einen höheren Beitrag zum strategischen Erfolg beimessen, die sich vollständig und angemessen über ihre IT informiert fühlen. Zusammengefasst waren dies die wesentlichen Ergebnisse der Deloitte-Studie: 103 IT ist ein wichtiges Thema auf der Vorstandsebene. Immer mehr Vorstände fangen an, den wesentlichen Wertbeitrag der IT zu erkennen. Wird der IT-Strategie auf Vorstandsebene angemessene Aufmerksamkeit zuteil und wird der Wertbeitrag der IT gemessen und überwacht, wirkt sich dies positiv auf die Performance des Unternehmens aus. Vielen Vorständen fehlen angemessene Informationen zur IT-Strategie und zu bedeutenden IT-Risiken. Sobald die Aufmerksamkeit des Vorstands sich vermehrt auf die IT richtet, verstärkt sich das Verständnis für die Rolle der IT bei der Strategieumsetzung und die IT unterstützt das Geschäft des Unternehmens in höherem Maße. Es ist wichtig, dass CIOs und CTOs als Übersetzer für den Vorstand fungieren können. Beide sollten in der Lage sein, wesentliche Sachverhalte der IT in der Sprache des „Business“ und nicht in der Sprache der IT dem Vorstand zu vermitteln. 102 Vgl. Deloitte (Deloitte Studie: Maximizing Performance through IT Strategy, 2007), S. 9 103 Vgl. Deloitte (Deloitte Studie: Maximizing Performance through IT Strategy, 2007), S. 4 ff. <?page no="126"?> Effizienzgewinne durch vollständige Integration der IT-Governance 127 8.2.2 Ziele des IT-Risikomanagements Die primäre Absicht der Risikomanagementaktivitäten besteht erstens in der Reduktion der Kosten für das Risiko in Unternehmensprozessen und zweitens in der Verringerung der negativen Auswirkungen, die im Zusammenhang mit der Unsicherheit von Ereignissen stehen. Diese zwei Ziele haben eine messbare Auswirkung auf den Return on Investment und die Wertschöpfung auf vielen Ebenen des Unternehmens einschließlich: der Gewährleistung der optimalen Ressourcenallokation innerhalb eines Unternehmens und auf höchster Ebene, die Erhöhung der Sicherheit einer Investition in das Unternehmen, welches damit auch über einen entsprechend höheren Shareholder Value verfügt. Grundsätzlich werden im Risikomanagement zwei Arten des Umgangs mit Risiken betrachtet: Der Umgang mit Risiken, bevor es zu Schäden kommt (sog. Pre- Loss Response) Bevor es zu Schäden für das Unternehmen kommt, ist es das Ziel eines Risikomanagementprogramms, die Wirtschaftlichkeit der Maßnahmen zu sichern, d.h., dass die Kosten der Kontrollen (und des Programms selbst) die potenziellen Einsparungen nicht übersteigen dürfen. Dies wird durch die Anwendung von durchdachten und geeigneten Kontrollen erreicht, bei denen sich ein günstiges Kosten-Nutzen-Verhältnis ergibt. Darüber hinaus ist ein weiteres Preloss-Ziel die Einbeziehung einer „tolerierbaren Unsicherheit“. Diese stellt den Umfang der Machbarkeit sicher und wie mit jedem möglichen Ereignis umgegangen werden kann. Das Preloss-Ziel, die Rechtsgültigkeit zu gewährleisten, ist ebenfalls ein wichtiger Teil des Risikoprogramms, da es sich nicht nur auf die deliktische Haftung sondern auch auf Verwaltungsgesetze und Technologierichtlinien inklusive wie z.B. dem amerikanischen Sarbanes-Oxley Act oder Payment Card Industry (PCI) Data Security Standards (DSS), etc. bezieht. Der Umgang mit Risiken nachdem, es zu Schäden gekommen ist (so genannte Post-Loss Response) Nach einem Schadenseintritt ist es das Ziel des Risikomanagements, das Überleben und im Folgenden und engen Zusammenhang dazu, die Kontinuität der betrieblichen Tätigkeiten zu gewährleisten. Diese Maßnahme umfasst technische und betriebliche Elemente, die kombiniert sicherstellen, dass kritische Funktionen unter einer Vielfalt von Schadensszenarien weiter durchführbar sind. Das Risikomanagementprogramm bietet ein Konzept zur Planung, Organisation, Führung und Zuweisung von Ressourcen zur Abschwächung der Auswirkungen zufälligen Schadens. Damit ist die Unterstützung der Risikomanagementprinzipien und -prozesse ein eindeutiger Beleg für die Sorgfaltspflicht der Unternehmensleitung, wie sie in den folgenden Themengebieten der ITGI CObIT 4.1 IT-Governance beschrieben ist: Strategische Ausrichtung (strategic alignment) Schaffen von Werten/ Nutzen (value delivery) <?page no="127"?> 128 Effizienzgewinne durch vollständige Integration der IT-Governance Ressourcenmanagement (resource management Risikomanagement (risk management) und Messen von Performance (performance measurement) Das Einsetzen eines effektiven strategischen „Tone at the Top“, d.h. die Unterstützung der Absichten durch die Unternehmensleitung, hilft dabei, das Risikomanagement im Unternehmen zu verwurzeln. Eine Anwendung auch im IT-Betriebsmanagement ist notwendig, damit die Kontrolltypen und -kosten sowie deren Einführung sich angemessen zu den Ressourcen und den Informationen, die verarbeitet werden müssen, verhalten. 104 8.2.3 Kategorien des IT-Risikomanagements Geschäftsrisiken können unterschiedliche Hintergründe haben, z.B. Finanzen, Markt, Wettbewerb, IT etc. IT-Risiko ist ein Geschäftsrisiko, das in Verbindung mit der Nutzung, dem Besitz, dem Betrieb, der Mitwirkung, dem Einfluss und der Anpassung der IT innerhalb eines Unternehmens steht. Ein IT-Risiko besteht aus IT-bezogenen Ereignissen, die einen potenziellen Einfluss auf den Geschäftsbetrieb haben können. Es beinhaltet sowohl die Unsicherheit bezüglich der Eintrittswahrscheinlichkeit als auch des Ausmaßes des Ereignisses. Darüber hinaus bildet das IT-Risiko die Möglichkeit, strategische Ziele mit Hilfe der IT zu erreichen sowie die Unsicherheit bei der Identifizierung von Wettbewerbschancen, ab. IT-Risiken können hierzu in verschiedene Kategorien eingeteilt werden: 105 IT-Service Delivery Risiko bezieht sich auf die Leistung und Verfügbarkeit von IT-Services, die den Unternehmenswert vernichten oder schmälern können. IT Solution Delivery Risiko bezieht sich auf den entgangenen Beitrag der IT zu neuen oder verbesserten Geschäftslösungen, meist in Form von fehlgeschlagenen Projekten oder Programmen. IT Benefit Realisation bezieht sich auf entgangene Chancen, die IT zur Verbesserung der Effizienz und Effektivität von Geschäftsprozessen einzusetzen oder die IT als einen Treiber für neue Geschäftsinitiativen zu nutzen. IT-Risiken sind hierbei immer aus zwei Perspektiven zu betrachten: IT-interne Risiken (z.B. Rechenzentrumsausfall) entstehen im direkten Einflussbereich der IT. IT-externe Risiken (z.B. fehlende Beistellung von Business-Ressourcen bei der Anforderungsdefinition eines neuen Business-IT-Systems) entstehen außerhalb des direkten Einflussbereiches der IT und sind nur im Zusammenspiel mit anderen Abteilungen im Unternehmen adäquat adressierbar. 104 Vgl. Abram (The Hidden Values of IT-Riskmanagement, Volume 2, ISACA Journal, 2009) 105 Vgl. IT Governance Institute: RiskIT (2009), S. 7 <?page no="128"?> Effizienzgewinne durch vollständige Integration der IT-Governance 129 Um die Geschäftsrisiken und Chancen optimal zu identifizieren bzw. zu adressieren, ist es somit notwendig, den Blick auch auf Risiken außerhalb des unmittelbaren Einflussbereichs der IT zu richten und die IT-Risiken mit den Geschäftsrisiken in Verbindung zu bringen. Nur damit lässt sich ein effektives und effizientes Management der unternehmensweiten Risiken ermöglichen. 8.2.4 Arten von IT-Risiken für Unternehmen Die Schadenswirkungen im Risikomanagement lassen sich in vier Klassen gruppieren: Eigentum Haftbarkeit Personal Ergebnisverluste Der Eigentumsverlust deckt die Wahrscheinlichkeit ab, dass das Unternehmen einen Verlust resultierend aus Zerstörung, Diebstahl oder Schwund erleidet. Übersetzt in eine technische Aufgabenbeschreibung ergibt sich daraus die Gefährdung der Vertraulichkeit, der Integrität oder der Verfügbarkeit innerhalb einer Anwendung, einer Informationsstruktur oder eines Mitarbeiterstamms. Haftungsschäden sind potenzielle Verluste, die durch den Anspruch einer anderen Partei aufgrund von Eigentumsschäden oder körperlichen Verletzungen entstehen und dabei auf ein Versäumnis in der Sorgfaltspflicht des Unternehmens zurückzuführen sind. Die Gefahr eines Verlusts im Personalbereich liegt im Risiko eines Unternehmens, welches aus dem Tod, der Arbeitsunfähigkeit, der Pensionierung oder dem Rücktritt einer Einzelperson mit besonderen Fähigkeiten oder Wissen entsteht, wenn diese nicht einfach ersetzt werden kann. Diese Risikoklasse spielt für die IT eine wesentliche Rolle, da aufgrund komplexer Technologien in verschiedenen Organisationen und der daraus resultierenden Nachfrage nach speziellen Fähigkeiten, das Wissen in den Köpfen der Mitarbeiter von entscheidender Bedeutung ist (so genannte Kopfmonopole). 106 Der Ergebnisverlust spielt für IT-Verantwortliche dann eine Rolle, wenn Fehler der handelnden Mitarbeiter oder der laufenden IT-Systeme unmittelbar zu bilanzrelevanten Verlusten führen. So musste beispielsweise ein großer europäischer Konzern im Jahr 2010 rund 120 Millionen Euro aufgrund von Systemfehlern in seinem Rechnungslegungssystem abschreiben. 107 106 Vgl. Abram (The Hidden Values of IT-Riskmanagement, Volume 2, ISACA Journal, 2009), S. 54. 107 Vgl. http: / / www.manager-magazin.de/ unternehmen/ artikel/ 0,2828,724385,00.html vom 21.10.2010. <?page no="129"?> 130 Effizienzgewinne durch vollständige Integration der IT-Governance 8.2.5 Konsequenzen einer fehlenden Integration des IT- Risikomanagements IT-Risikomanagement hat durch die besondere Komplexität und Vielschichtigkeit verschiedene Facetten. Manager in unterschiedlichen Bereichen (wie z.B. Sicherheit, Betriebskontinuität, Projektmanagement und regulatorische Compliance) agieren oft unabhängig voneinander. Zu lange wurde IT-Risikomanagement zwischen dem unternehmensweiten Risikomanagement und vereinzelten Silo-Aktivitäten im Rahmen von IT-Risikobemühungen angesiedelt. 108 Im heutigen wirtschaftlichen Umfeld spielt Risikomanagement jedoch eine kritische Rolle. Fast jede Entscheidung im Unternehmen erfordert die Abwägung von Chancen und Risiken. Zu oft werden IT-Risiken (d.h. IT-interne Risiken und IT-externe Risiken) noch übersehen. IT-Risiken werden häufig den Technikern des Unternehmens, die einen großen Abstand zur Vorstandsetage haben, überlassen, obwohl sie eigentlich unter die gleiche Risikokategorie wie andere Geschäftsrisiken fallen. Unvermeidliche Ergebnisse des Risikomanagements in Silos sind Redundanz, Überlappung und eine zunehmende Belastung für das Unternehmen, ganz zu schweigen von dem potenziellen Versagen bei der Einhaltung kritischer regulatorischer Anforderungen. Häufig findet man in Unternehmen die folgende Situation vor. Der operative Bereich hat einen eigenen Blick auf Risiken sowie einen eigenen Risikomanagementprozess, eigene Risikokennzahlen oder eigene Berichterstattungsstrukturen. Der Bereich IT hat wiederum seine eigenen Risiken, wie z.B. die Sicherheit, Verfügbarkeit oder Verlässlichkeit der IT-Systeme, die meist noch losgelöst von den Geschäftsrisiken gesteuert werden. Auch hier gibt es einen eigenen Risikomanagementprozess mit eigenen Risikokennzahlen, Berichterstattungsstrukturen etc. Unterschiedliche Werkzeuge, Kulturen und Verständnisse führen zur einer Einzelrisikobetrachtung und -bewertung. Durch die daraus resultierenden Ineffizienzen entstehen dem Unternehmen hohe Kosten. Konsequenz der fehlenden Integration ist die Gefahr von nicht angemessenem Risikomanagement oder gar fehlendem Management von Risiken. 8.2.6 Mehrwert durch Integration und Harmonisierung des IT- Risikomanagements Um einen tatsächlichen Mehrwert aus dem IT-Risikomanagement zu generieren, ist eine Standardisierung des Vorgehens, eine Integration in bereits bestehende Risikomanagementbemühungen sowie eine Harmonisierung der Risikomanagement-Methodik notwendig. Ein standardisierter, integrierter und harmonisierter (so genannte risikointelligenter) Ansatz ermöglicht ein einheitliches Verständnis im Hinblick auf unternehmensweite Risiken einschließlich der IT-Risiken und deren Auswirkung auf die Geschäftsaktivitäten. Durch eine verbesserte, risikointelligente Steuerung der Risiken können: 108 Vgl. Abram (The Hidden Values of IT-Riskmanagement, Volume 2, ISACA Journal, 2009), S. 53 ff. <?page no="130"?> Effizienzgewinne durch vollständige Integration der IT-Governance 131 die Kosten für das Risikomanagement gesenkt werden, indem eine verbesserte Verteilung der Informationen und eine Integration der bestehenden Risikomanagementfunktionen erfolgt, kritische Risiken schneller erkannt, korrigiert und eskaliert werden, eine reduzierte Belastung der Geschäftstätigkeit durch einen standardisierten Ansatz zum Risikomanagement und eine einheitliche Risikosprache erreicht werden, die Flexibilität für Best Case- und Worst Case-Szenarien verbessert werden und das Verständnis und Management der Risiken im Unternehmen verbessert und die Kommunikation mit Vorstand und anderen Stakeholdern hinsichtlich des Risikomanagements optimiert werden. Die Integration des IT-Risikomanagements in das Unternehmens-Risikomanagement führt zu einem einheitlichen Risikomanagementprozess. Es erfolgt eine abgestimmte und standardisierte Risikoerfassung und -bewertung für alle Bereiche, allgemein gültige Risikokennzahlen und konsolidierte Berichterstattungsstrukturen. Durch einen einheitlichen Ansatz erfolgt eine: klare Definition der Ziele und des Umfangs der Risikobewertung, die Verwendung einheitlicher Risikobegriffe und Risikokategorien, eine verbesserte Definition der Risikoneigung und Risikotoleranz und eine einheitliche Risikobeurteilungsskala. Dies ermöglicht die kontinuierliche Verbesserung, Rationalisierung und eine integrierte, unternehmensweite Risikoberichterstattung. 8.3 Integration und Harmonisierung des IT-Risikomanagements in das Risikomanagement des Unternehmens 8.3.1 Ansatz zur Integration des IT-Risikomanagements Zur Integration des IT-Risikomanagements in das unternehmensweite Risikomanagement sollten folgende Prinzipien beachtet werden: 109 effektive unternehmensweite Steuerung von IT-Risiken: permanente Ausrichtung an den Geschäftszielen, Abstimmung des Managements der IT-bezogenen Geschäftsrisiken mit dem unternehmensweiten Risikomanagement, Gegenüberstellung von Kosten und Nutzen des Risikomanagements, 109 Vgl. IT Governance Institute (IT Governance Institute: RiskIT, 2009), S. 9 <?page no="131"?> 132 Effizienzgewinne durch vollständige Integration der IT-Governance effektives IT-Risikomanagement: Förderung fairer und offener Kommunikation von IT-Risiken, Etablierung einer angemessenen Unternehmenskultur („Tone at the Top“) sowie der Definition und Bestimmung von persönlicher Verantwortung für Risiken, Einrichtung als kontinuierlicher Prozess und Teil der täglichen Geschäftsaktivitäten. Basierend auf diesen Prinzipien lassen sich die wesentliche Bausteine eines guten IT- Risikomanagements wie folgt darstellen: Bestimmung von Rollen und Verantwortlichkeiten für das IT-Risikomanagement, Zielfestlegung und Bestimmung der Risikoneigung und Risikotoleranz, Risikoidentifikation, -analyse und -beschreibung, Überwachung des Risikoausmaßes, Festlegung von Maßnahmen zur Risikominimierung bzw. -eliminierung. Die Einhaltung der Prinzipien zur Integration des IT-Risikomanagements sowie die Nutzung der Bausteine eines guten IT-Risikomanagements führen zu einem risikointelligenten IT-Risikomanagement. Dieses kann sichtbare Erfolge bei den Geschäftsaktivitäten erzielen. Zu den Erfolgen bei den Geschäftsaktivitäten zählen z.B.: niedrigere Kosten bei betrieblichen, aber unvorhergesehenen Ereignisse und Fehler, niedrigere Kosten bei Fehlern (durch Mitarbeiter induziert oder fremdinduziert), erhöhte Qualität der Informationen, höheres Vertrauen der Stakeholder und, bessere Erfüllung regulatorischer Anforderungen. 110 8.3.2 Prinzipien eines integrierten IT-Risikomanagements 111 Eine unternehmensweite effektive Steuerung von IT-Risiken sollte immer in Verbindung mit den Geschäftszielen gesehen werden. Das IT-Risiko sollte hierbei als Geschäftsrisiko behandelt werden. Der Fokus liegt immer auf dem Geschäftserfolg. Die IT unterstützt die Erreichung der Geschäftsziele und IT-Risiken werden hinsichtlich ihrer Auswirkung auf die Erreichung der Geschäftsziele oder die Geschäftsstrategie formuliert. IT-Risiken sollten dabei hinsichtlich Wertgenerierung und auch Wertvernichtung betrachtet werden. 110 Vgl. IT Governance Institute (IT Governance Institute: RiskIT, 2009), S. 9. 111 Vgl. IT Governance Institute (IT Governance Institute: RiskIT, 2009), S. 14 ff. <?page no="132"?> Effizienzgewinne durch vollständige Integration der IT-Governance 133 Am Anfang der Bemühungen sollte eine Risikoanalyse stehen. Diese umfasst eine Analyse der Abhängigkeiten, die darstellt, wie die Geschäftsfunktion von der IT abhängt. Hierbei sollte beachtet werden, dass dies nur gelingen kann, wenn sowohl die Geschäftsziele als auch die Risikoneigung des Unternehmens klar definiert sind. Die Risikoneigung des Unternehmens entspricht dabei der Risikomanagement-Philosophie. Sie beeinflusst die Unternehmenskultur sowie den betrieblichen Stil. Alle Konsequenzen und Chancen von IT-Risiken sollten im unternehmerischen Entscheidungsprozess berücksichtigt werden. Hierfür ist es unerlässlich, eine integrierte und harmonisierte Sicht auf Risiken und Risikothemen in allen Geschäftseinheiten zu besitzen. Eine effiziente unternehmensweite Governance der IT-Risiken wägt Kosten und Nutzen für das Management der Risiken ab. Risiken werden hierbei entsprechend der Risikoneigung und -toleranz priorisiert und adressiert. Sofern diese nicht bereits vorhanden sind, werden angemessene und notwendige Kontrollen implementiert. Bereits vorhandene Kontrollen werden eingesetzt, um mehrere Risiken zu adressieren oder diese effektiver zu adressieren. Zur effektiven Steuerung und dem Management der IT-Risiken gehört hierbei auch eine gelebte offene Kommunikation der Chancen und Risiken im Unternehmen. Hierfür sollten offene, angemessene und zeitnahe Informationen zu IT-Risiken im Unternehmen ausgetauscht werden. Vor allem bei der Kommunikation von IT-Risiken bzw. der Kommunikation über IT-Risiken ist es hierbei wichtig, technische wie fachliche Sachverhalte in einer auch für andere Abteilungen im Unternehmen verständlichen Sprache und mit im Unternehmen geläufigen Geschäftsbegriffen zu kommunizieren. Basierend auf der offenen Risikokommunikation bedingt ein effektives Management der IT-Risiken eine aufgeschlossene und kooperative Unternehmenskultur, die einen offenen Umgang mit Risiken erlaubt bzw. diesen sogar ermutigt und aktiv unterstützt. Die Etablierung dieser Unternehmenskultur ist eine primäre Aufgabe des Topmanagements (Tone at the Top). Teil dieser Kultur ist ebenso die klare Definition und Benennung von Verantwortlichkeiten für den Umgang mit Risiken sowie akzeptierte und definierte Risikotoleranzgrenzen. Wesentlich ist hierbei eine klare Zuteilung und Zustimmung zur Risikoverantwortung, einschließlich der Integration des Risikomanagements in die Ziel- und Bonusvereinbarungen. Die Richtung wird von der Unternehmensleitung durch verbindliche Richtlinien und Verfahrensanweisungen vorgegeben. Entscheidungen zu IT-Risiken sollten hierbei möglichst vom direkt betroffenen Personal getroffen werden, d.h. von den Personen, die mit Blick auf die Geschäftsaktivitäten die Entscheidungen z.B. für IT-Investitionen, Projektfinanzierungen etc. treffen. Eine Zentralisierung der Risikoentscheidungen ist hierbei zu vermeiden. Ein effektives Management der IT-Risiken ist ein kontinuierlicher Prozess und Teil des täglichen Geschäfts. Es ist zu beachten, dass einheitliche Methoden zur Risikobewertung, Werkzeuge, Techniken und Kriterien unternehmensübergreifend eingesetzt werden, um ein einheitliches Risikoverständnis sicherzustellen. Dies ist gilt vor allem bei: der Identifikation der Kernprozesse und den dazugehörigen Risiken (z.B. Priorisierung der Risiken, Risikoprofil), dem Verständnis bezüglich der Auswirkungen auf die Zielerreichung. <?page no="133"?> 134 Effizienzgewinne durch vollständige Integration der IT-Governance 8.3.3 Vorgehen bei der Integration des IT-Risikomanagements Zur Integration des IT-Risikomanagements in das unternehmensweite Risikomanagement müssen IT-Aspekte in den Gesamtprozess des Risikomanagements eingebettet werden. Der integrierte Ansatz muss an alle Funktionen und Geschäftseinheiten im Unternehmen kommuniziert werden, um eine erfolgreiche Integration erreichen zu können. Der Prozess geht von der Strategieentwicklung und -anwendung, der Risikoidentifikation, der Einschätzung und Bewertung von Risiken, dem Umgang mit Risiken, der angemessenen Adressierung der Risiken durch Kontrollen, der Überwachung der Risiken und der kontinuierlichen Verbesserung des Prozesses aus. 8.3.3.1 Strategieentwicklung und Strategieanwendung Ein intelligentes Risikomanagement erfolgt über einen Top-down-Ansatz und ist in die Unternehmenskultur eingebettet. Es beinhaltet: die Einführung eines einheitlichen Risikomanagement-Rahmenwerks, welches auf anerkannten Standards (z.B. COSO, RiskIT, COBIT) basiert, die Definition der Risikoakzeptanz und Ermittlung, welche Risiken das Unternehmen bis zu welchem Grad eingehen kann bzw. möchte, die Definition klarer Rollen, Verantwortungen und Kompetenzen bezogen auf das Risikomanagement und die Abgrenzung im Unternehmen, u.a. zur Sicherstellung der Kompetenzen im IT-Risikomanagementprozess, die Sicherstellung der Wertgenerierung durch Schutz der Ressourcen und Systeme. 8.3.3.2 Risikoidentifikation Risiken sollen gemäß der entwickelten Strategie und Methodik direkt mit der Werterzeugung und strategischen Initiativen in Verbindung gebracht werden. Dabei muss beachtet werden, dass sich Risiken gegenseitig beeinflussen können und auch über Unternehmensgrenzen hinweg wirken. Die Risikoakzeptanz der IT-Risiken orientiert sich an der strategischen Ausrichtung des Gesamtunternehmens. Dabei müssen IT Ereignisse und deren potenzielle Auswirkungen auf die Ziele und die Geschäftsaktivitäten identifiziert werden. Grundsätzlich sollten neben originären IT-Risiken (z.B. Infrastrukturrisiken) auch die aus den Geschäftsaktivitäten induzierten Risiken (z.B. Projektrisiken) identifiziert werden. Der IT Risikoidentifikation geht ein IT Scoping voraus, in dem wesentliche risikorelevante Einheiten und/ oder IT-Systeme ermittelt werden, für die dann die individuellen spezifischen IT-Risiken zu ermitteln sind. 8.3.3.3 Bewertung und Messung von Risiken Zur Bewertung der Risiken sollte im Hinblick auf die Schadensanfälligkeit von einer standardmäßigen Gewichtung abgesehen werden. Auf Basis eines Risikoportfolios werden die Wahrscheinlichkeit und die Auswirkung der inhärenten Risiken individuell pro Risikokategorie bestimmt. Neben den Standardbewertungsdimensionen Eintritts- <?page no="134"?> Effizienzgewinne durch vollständige Integration der IT-Governance 135 wahrscheinlichkeit und materieller Schaden kann zusätzlich über die Einführung weiterer Risikodimensionen nachgedacht werden, z.B.: immaterieller Schaden (Reputationsschaden), strafrechtliche Auswirkungen, auswirkung auf die Geschäftsstrategie, zusätzlicher Aufwand von Topmanagement-Zeit, beeinträchtigung des täglichen Geschäftsbetriebs, Auswirkungen auf den Kapitalmarkt. Die Auswirkung aller identifizierten Risiken wird regelmäßig mit dem Einsatz von qualitativen und quantitativen Methoden beurteilt. Aus den bewerteten Risiken sollten dann in einem nächsten Schritt Risikoindikatoren (so genannte Key Risk Indicators - KRIs) abgeleitet werden. Dies ist in der Regel nicht für die Gesamtheit aller Risiken, sondern je nach Unternehmen für ca. 60 % bis 80 % aller IT-Risiken möglich, z.B. die Anzahl der festgestellten externen Angriffe auf das Unternehmensnetzwerk innerhalb eines definierten Zeitraums. 8.3.3.4 Umgang mit Risiken Damit effektiv und effizient mit Risiken umgegangen wird, ist es wichtig, dass Risiko- und Prozessverantwortliche bestimmt werden. Nach der Identifikation von Risiken sollten Maßnahmen zur Risikoreduktion identifiziert und implementiert werden. Anschließend sollten Kontrollen in den Prozessen verankert werden, um kontinuierlich das Gefährdungspotenzial zu reduzieren. Der Umgang mit Risiken sollte auf allen Ebenen geplant und priorisiert werden, dafür müssen Risikostrategien wie Vermeidung, Reduzierung oder Akzeptanz bereichsübergreifend identifiziert werden. Hierbei ist es wichtig, dass Kosten und Nutzen gegenübergestellt werden sowie angemessene Maßstäbe ausgewählt werden, um das Restrisiko innerhalb des definierten Toleranzlevels halten. Das IT-Risikomanagement sollte wenn immer möglich auf bestehenden Initiativen im Unternehmen aufbauen. So sollten bestehende Datenschutz-, Sicherheits- oder Business-Continuity-Konzepte genutzt und in das IT-Risikomanagement eingebunden werden. 8.3.3.5 Nachhaltige und kontinuierliche Verbesserung Maßnahmen zur kontinuierlichen Verbesserung des integrierten (IT) Risikomanagements sollten in regelmäßigen Abständen auf Vorstandebene und in den Aufsichtsgremien des Unternehmens diskutiert werden. Dabei sind messbare Indikatoren für die Verbesserung zu definieren. Zur ganzheitlichen Umsetzung des Risikomanagements ist es wichtig, dass ein Risikobewusstsein bei den Mitarbeitern im ganzen Unternehmen hergestellt wird. Zur Einschätzung bezüglich der Qualität des IT-Risikomanagements sollten regelmäßig Best Practice-Analysen und Benchmarks durchgeführt und an den Vorstand berichtet werden. Über Verbesserungskennzahlen wird die Realisierung der angestrebten Ziele überprüft. <?page no="135"?> 136 Effizienzgewinne durch vollständige Integration der IT-Governance 8.4 Mehrwert durch eine integrierte IT-Governance Wird die IT-Governance in die unternehmensweite Governance integriert, lassen sich erhebliche Vorteile innerhalb des Unternehmens erzielen. Betrachtet man dies an der Integration des IT-Risikomanagements, kann eine Vielzahl an Themen, denen ein Unternehmen gegenübersteht, adressiert werden. Unternehmen erreichen: einen angemessenen Blick auf aktuelle und zukünftige IT-Risiken über das gesamte Unternehmen hinweg, eine Anleitung, wie IT bezogene Risiken gemanagt werden können, die über rein technische Kontrollmessungen und Sicherheitsaspekte hinausgehen, ein besseres Verständnis, wie ein bereits vorhandenes IT-internes Kontrollsystem genutzt und verbessert werden kann, um IT-bezogene Risiken zu managen, eine Integration mit den unternehmensweiten Risiko- und Compliance- Strukturen innerhalb des Unternehmens bei der Bewertung der IT-Risiken, ein einheitliches Rahmenwerk, um die Beziehung zwischen Entscheidern im Vorstand, dem CIO und dem unternehmensweiten Risikomanagement zu managen und eine Förderung von Risikoverantwortung und -akzeptanz innerhalb des Unternehmens. 8.5 Fazit Bisher hat es noch kein Unternehmen bewerkstelligt, alle Risiken zu eliminieren und gleichzeitig funktionsfähig zu bleiben. Es liegt in der Natur der Sache, dass Unternehmen inhärente Risiken akzeptieren müssen. Dies ist auch hinnehmbar, da im Besonderen die Wahrscheinlichkeit, Häufigkeit und das Ausmaß der Risiken immer kleiner werden. Der Wert des IT-Risikomanagements generiert sich daraus, das Wissen über die Eintrittsfaktoren und die resultierenden Auswirkungen zu haben. Mit diesem Wissen ist es möglich, Risiken zu priorisieren und effizient und effektiv zu steuern. Ohne dieses Wissen würde das Unternehmen jedoch nur reagieren und sich in Unsicherheit bewegen. IT-Risikomanagement ist eine der Facetten des Enterprise Risk Managements (ERM), das sich mit dem Schutz des Informationsbestands und des Informationssystems des Unternehmens beschäftigt. Risikomanagement ist im weitesten Sinn ein Eckpfeiler der Corporate Governance, da es letztlich durch verbesserte Transparenz und gezielte Reaktionen hilft, den Shareholder Value anzutreiben. Es gibt den Investoren Sicherheit über das Risiko ihrer Investition. Deshalb sollte das IT-Risikomanagement als ein Programm und nicht als ein periodisches Projekt, das sich auf IT Sicherheitskontrollen konzentriert, gesehen werden. Als ein Programm auf einer kontinuierlichen Basis kann IT-Risikomanagement die ganze Breite der Risikomaßnahmen beachten und aufgrund <?page no="136"?> Effizienzgewinne durch vollständige Integration der IT-Governance 137 einer risikobewussten Entscheidungsfindung die Möglichkeit bieten, für höhere Renditen zusätzliche Risiken einzugehen. 112 8.6 Literatur Abram, T. (2009): The Hidden Values of IT-Riskmanagement, Volume 2, ISACA Journal. Deloitte (2009): Deloitte Belgium Survey, S. 12. Deloitte (2009): Deloitte Global Risk Management Survey: Sixth Edition, S. 8. Deloitte (2007): Deloitte Studie: Maximizing Performance through IT Strategy, S. 4 ff., 9. Fröhlich/ Glasner (2007): IT-Governance, S. 24. IT Governance Institute (2003): IT-Governance, S. 6, 12 f. IT Governance Institute (2009): IT Governance Institute: RiskIT, S. 7, 9, 14 ff. Manager Magazin (2010): http: / / www.manager-magazin.de/ unternehmen/ artikel/ 0,2828, 724385,00.html (21.10.2010). Westerman, B. (2010): ISACA Journal, Volume 1, S. 53 ff. 112 Vgl. Abram (The Hidden Values of IT-Riskmanagement, Volume 2, ISACA Journal, 2009) <?page no="138"?> 9 Wertorientierte IT-Compliance Dr. Andreas Knäbchen und Karl Viertel Die IT steht zunehmend vor der Aufgabe, aus einer steigenden Anzahl gesetzlicher und aufsichtsrechtlicher Anforderungen die notwendigen IT-Aktivitäten abzuleiten und mit häufig knappen Mitteln umzusetzen. Dieser Artikel beschreibt, wie eine IT-Compliance-Funktion auf künftige Entwicklungen im regulatorischen Umfeld des Unternehmens ausgerichtet werden kann. Es werden Methoden vorgestellt, mit denen regulatorische Anforderungen unter Verwendung von etablierten Standards wie COBIT auf die IT abgebildet werden können. Im Ergebnis entsteht ein vollständiger Katalog der Compliance-Aktivitäten, der vorausschauend in der IT adressiert werden kann. Am Beispiel der Novellierung des Bundesdatenschutzgesetzes (BDSG) wird ein Vorgehen für die wirtschaftliche und wertorientierte Umsetzung der IT-Anforderungen im Rahmen der IT-Compliance-Funktion aufgezeigt. 9.1 Einleitung Immer mehr internationale, europäische und lokale Gesetze sowie industriespezifische Regularien stellen neue Anforderungen an Unternehmen. So wird im Zuge der Bewältigung der Wirtschaftskrise der Jahre 2008/ 2009 in den kommenden Monaten und Jahren mit einem Anstieg der industriespezifischen Regulierung gerechnet. Zudem sind viele Unternehmen noch stark durch die Krise gezeichnet und verfahren entsprechend restriktiv im Umgang mit IT-Budgets. Vor diesem Hintergrund muss die IT für jede neue gesetzliche und aufsichtsrechtliche Änderung die IT-spezifischen Anforderungen ableiten und kostenoptimiert Maßnahmen planen und umsetzen. Werden die einzelnen Compliance-Anforderungen jedoch unabhängig voneinander adressiert, bedeutet dies häufig eine hohe personelle und finanzielle Belastung für den IT-Bereich. Im Einzelfall können Investitionen in innovative IT-Projekte verzögert oder verhindert werden. Während IT-Compliance in der Vergangenheit lediglich ein Kernthema in stark regulierten Industrien war (z.B. im Bankensektor), müssen sich heute die IT-Bereiche aller Unternehmen, die IT in ihrem Tagesgeschäft nutzen, damit auseinandersetzen. Bestes Beispiel hierfür sind gesetzliche Anforderungen zur Archivierung von geschäftlichem E-Mail-Verkehr - sie gelten branchenübergreifend. Daneben streben viele Unternehmen eine verbesserte Informationssicherheit an, indem sie ihre Abläufe konform zu dem internationalen Sicherheitsstandard ISO 27001 organisieren. Für IT-Dienstleister ist eine erfolgreiche Umsetzung der Prüfungsanforderungen gemäß SAS 70 (Service Organization Auditing Standards) oder PS 951 (Prüfungsstandard des Instituts der Wirtschaftsprüfer in Deutschland) notwendig. Verarbeitet ein Unternehmen Kreditkarteninformationen, dann ist die Einhaltung des entsprechenden Standards PCI DSS (Payment Card Industry Data Security Standard) wichtig. Diese Aufzählung an IT- Compliance-Anforderungen lässt sich weiter fortsetzen, beispielsweise mit GoBS (Grundsätze ordnungsgemäßer Buchführung) oder GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen). Eine wertorientierte IT-Compliance-Funktion kann diesen Rahmenbedingungen wirtschaftlich und effektiv Rechnung tragen. Im Folgenden beschreiben wir den Aufga- <?page no="139"?> 140 Wertorientierte IT-Compliance benbereich einer solchen Funktion und diskutieren Optionen für die Integration in die Unternehmensorganisation. Anschließend wird eine Methodik für die Ausgestaltung der IT-Compliance vorgestellt sowie auf Herausforderungen und Erfolgsfaktoren hingewiesen. Anhand der Novellierung des Bundesdatenschutzgesetzes (BDSG) vom September 2009 wird am Praxisbeispiel erläutert, wie eine wirksame IT-Compliance- Funktion Anforderungen und Maßnahmen aus der gesetzlichen Änderung ableiten und implementieren kann. 9.2 Wertorientierte IT-Compliance-Funktion 9.2.1 Anforderungen an die IT-Compliance Im Detail ergibt sich der Aufgabenbereich der IT-Compliance aus den jeweiligen gesetzlichen und aufsichtsrechtlichen Anforderungen, welche an das Unternehmen gestellt werden. Diese Anforderungen folgen teilweise nur mittelbar aus den Regularien und erzeugen Ermessensspielräume für die Unternehmen. Es lassen sich die folgenden drei Anforderungsbereiche grob abgrenzen. Gesetzliche Anforderungen für die IT folgen mittelbar und unmittelbar aus den handels- und steuerrechtlichen Gesetzen wie dem Handelsgesetz (HGB), der Abgabenordnung (AO), den Grundsätzen ordnungsgemäßer (DV-gestützter) Buchführung(-ssysteme) (GoB, GoBS) sowie den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU), z.B. in Form von Regelungen zur Kontrolle von rechnungsrelevanten Systemen. Darüber hinaus werden mittelbar Anforderungen durch branchenübergreifende Regelungen zum Risikomanagement (KontraG, AktG) gestellt. Weiterhin ergeben sich umfangreiche Anforderungen zur Datensicherheit und zum Datenschutz aus dem Bundesdatenschutzgesetz (BDSG). Industriespezifische gesetzliche und aufsichtsrechtliche Anforderungen existieren je nach Branche in unterschiedlichem Umfang. Für Banken beispielsweise bestehen umfangreiche Anforderungen mit z.B. dem Wertpapierhandelsgesetz (WpHG), Geldwäschegesetz (GWG), Kreditwesengesetz (KWG), der Markets in Financial Instruments Directive (MiFID) sowie den Mindestanforderungen an das Risikomanagement (MaRisk). Interne Anforderungen in Form von Regelungen und Arbeitsanweisungen, welche durch die Geschäftsleitung zur Lenkung des operativen Geschäfts formuliert werden, gehören ebenfalls in den Aufgabenbereich der IT-Compliance. Der Einfachheit halber sprechen wir in diesem Beitrag meist nur von den externen Anforderungen; interne Regelungen sind sinngemäß mit eingeschlossen. Eine IT-Compliance-Funktion muss alle drei Anforderungsbereiche erfassen, IT- Anforderungen ableiten, Maßnahmen definieren und deren Umsetzung kontrollieren. Die Kernaufgaben einer IT-Compliance-Funktion lassen sich in den folgenden Schritten beschreiben: 1. Verfolgung (Monitoring) gesetzlicher und aufsichtsrechtlicher Änderungen sowie die Sammlung und Dokumentation aller bestehenden Anforderungen an die IT. <?page no="140"?> Wertorientierte IT-Compliance 141 2. Ableiten von neuen IT-Anforderungen aus einer gesetzlichen oder aufsichtsrechtlichen Änderung, Analyse verbundener Compliance-Risiken sowie Definition von Maßnahmen. 3. Kommunizieren der Änderung, sodass die Mitarbeiter in der Lage sind, ihre Aufgaben und Pflichten nach den gesetzlichen, aufsichtsrechtlichen und internen Anforderungen zu erfüllen. 4. Implementieren von Prozessen und Kontrollen zur Überwachung bzw. Aufrechterhaltung der Gesetzeskonformität sowie Sensibilisierung und Weiterbildung der Mitarbeiter falls notwendig. 5. Beauftragen und kontrollieren von Umsetzungsprojekten, soweit notwendig in begleitenden Rollen (z.B. Teilnahme an Lenkungskreisen) und regelmäßiges Reporting über den aktuellen Stand der IT-Compliance und verbundener Risiken. 6. Pflegen der IT-Policies, sodass alle internen Anweisungen den aktuellen Stand der IT- Compliance-Anforderungen widerspiegeln. Sofern ein ISMS (Information Security Management System) betrieben wird, sind diese Aktivitäten im Rahmen des PDCA-Kreislaufs (Plan-Do-Check-Act) zu integrieren. 7. Management der IT-Compliance-Risiken im unternehmensweiten Risikomanagementsystem inklusive entsprechendem Reporting. 9.2.2 Mehrwert einer IT-Compliance-Funktion Gesetzliche und aufsichtsrechtliche Anforderungen betreffen zunächst das Unternehmen - repräsentiert durch seine Geschäftsleitung. Mit der hohen IT-Durchdringung der Geschäftsprozesse wirken sich diese Anforderungen aber zunehmend auf die Informationsverarbeitung selbst aus. Es ist einsichtig, dass die IT ihren spezifischen Beitrag zur Erreichung der Compliance im Gesamtunternehmen leisten muss. Häufig stehen die IT-Leiter jedoch bereits vor Herausforderungen, wenn es um die Abbildung der Unternehmensanforderungen auf konkrete Handlungsanweisungen für die IT geht. Dann folgt die Umsetzung der Anforderungen - sie ist nicht selten kostspielig und bindet knappe Ressourcen. Als Erfahrungswert kann hier die Herstellung der SOX- Compliance und der entsprechenden IT-Kontrollen dienen. Bei der erstmaligen Einführung von SOX hatten sich viele Unternehmen ein eigenständiges SOX-Kontrollsystem zum Ziel gesetzt und mussten dafür hohe Investitionen tragen. Mittlerweile arbeiten die Unternehmen daran, die SOX-spezifischen Kontrollen mit anderen Kontrollpflichten zu verbinden und dadurch Kostensenkungen zu erzielen. Es liegt nahe, neue Compliance-Anforderungen in der IT durch die Erweiterung des bestehenden IT-Kontrollsystems abzudecken. Vor diesem Hintergrund stellt sich die Frage nach dem Mehrwert einer gesonderten Organisationseinheit für die IT-Compliance, zumal gesetzliche und regulatorische Auswirkungen auf die IT für viele Unternehmen nicht neu sind. Oft geben hier die wachsenden Compliance-Risiken, verursacht durch ein höheres Volumen an gesetzlichen und aufsichtsrechtlichen Anforderungen, den Ausschlag: Der Mehrwert einer IT- Compliance-Funktion liegt somit in der mittel- und langfristigen, systematischen Reduktion von Compliance-Risiken, beispielsweise der Vermeidung von Bußgeldern durch Aufsichtsbehörden. Mit einher geht die verbesserte Auskunftsfähigkeit des Vorstands gegenüber internen und externen Aufsichtsorganen. Schließlich können bei der <?page no="141"?> 142 Wertorientierte IT-Compliance Planung und Umsetzung von Compliance-Maßnahmen durch eine dedizierte Organisation Synergien realisiert und Compliance-Kosten planbarer gemacht werden. Häufig stellen sich schwierige Compliance-Fragen in Unternehmen, die IT-Aktivitäten in mehreren Ländern unterhalten. Mit mehr gesetzlichen Änderungen und stärkerer Regulierung gewinnen diese Fragestellungen weiter an Bedeutung. Unternehmen, welche heute eine internationale IT-Compliance-Funktion aufbauen, legen eine methodische Grundlage für den Umgang mit solchen Fragestellungen und verschaffen sich damit einen strategischen Vorteil. 9.2.3 Organisatorische Eingliederung Die IT-Compliance ist als Bestandteil der IT-Governance zu verstehen. Im Rahmen der IT-Governance ist sie für die Umsetzung gesetzlicher und aufsichtsrechtlicher Anforderungen in der IT verantwortlich. Hierfür definiert und implementiert die IT-Compliance- Funktion geeignete Kontrollmechanismen und sorgt dafür, dass gesetzliche und aufsichtsrechtliche Anforderungen effektiv und wirtschaftlich umgesetzt werden. Form, Ausgestaltung und organisatorische Eingliederung einer IT-Compliance- Funktion sind jedoch weder gesetzlich oder aufsichtsrechtlich spezifiziert noch hat sich in der Praxis ein Standardvorgehen etabliert. Die zweckmäßige Gestaltung hängt damit maßgeblich vom beschriebenen Aufgabenbereich der IT-Compliance-Funktion, den gegebenen Organisationsstrukturen in der Unternehmung sowie den vielfältigen Abhängigkeiten innerhalb des Aufgabenbereichs ab. Abhängigkeiten bestehen beispielsweise zu den folgenden Stellen: Compliance-Funktion unter dem Chief Compliance Officer des Unternehmens, da die IT-Compliance im Rahmen der Compliance-Organisation des Unternehmens handelt, Unternehmensbereich Recht unter dem Chef Syndikus des Unternehmens, da eine juristische Bewertung von gesetzlichen und aufsichtsrechtlichen Anforderungen häufig notwendig ist, IT unter der Leitung des Chief Information Officers, da die IT-Compliance Bestandteil der IT-Organisation ist oder zumindest in sie hineinwirkt, Unternehmensweites Risikomanagement unter Leitung des Chief Risk Officers, da die IT-Compliance-Funktion für das Management verbundener Risiken verantwortlich ist, Datenschutzorganisation unter Leitung des Datenschutzbeauftragten, da wichtige IT-Compliance-Anforderungen im BDSG formuliert sind, Revision, da ein gemeinsames Verständnis der Compliance-Prioritäten notwendig ist. Hiermit ergeben sich zwei grundlegende organisatorische Gestaltungsoptionen für die IT-Compliance-Funktion. Als erste Option kann die IT-Compliance-Funktion als Stabstelle des Chief Compliance Officers, Chief Information Officers oder des Chief Risk Officers fungieren. Die genaue Positionierung in der Organisation ist hierbei abhängig von der Risiko- und Compliance-Organisation der Unternehmung. Als zweite Option für die organisatorische Eingliederung kann ein Gremium gebildet werden, <?page no="142"?> Wertorientierte IT-Compliance 143 welches den Aufgabenbereich der IT-Compliance betreut. Hierfür werden Personen aus den betroffenen Bereichen benannt, die in Teil- oder Vollzeit für den Aufgabenbereich Verantwortung tragen. Ein IT-Compliance-Beauftragter wird zur Leitung des Gremiums ernannt. Dieses tagt regelmäßig, um neue Anforderungen zu diskutieren, Maßnahmen zu definieren sowie Projekte und Risiken zu steuern. Entscheidungen erfolgen konsensgetrieben. Vorteile einer Stabstelle bestehen in der direkten Kommunikation zwischen der IT- Compliance-Funktion und anderen Unternehmensbereichen, schnellen Entscheidungen und einer hohen Auskunftsfähigkeit durch eine zentrale Person. Potenziell führt eine zentrale Stelle zu mangelnder Partizipation im Unternehmen, da Maßnahmen in der Regel ohne starke Beteiligung der Mitarbeiter erarbeitet werden. Ein Gremium hingegen ermöglicht eine Bearbeitung von Compliance-Anforderungen näher am operativen Geschäft. Ein höheres Engagement der Mitarbeiter ist wahrscheinlich. Entscheidungsprozesse sind jedoch potenziell langwieriger. Die Entscheidung für eine bestimmte Organisationsform ist daher unter Beachtung der bestehenden Unternehmenskultur (hierarchisch vs. konsensgetrieben), der Unternehmensstruktur (Matrix vs. Stabs-/ Linienorganisation), der aktuellen Struktur der Compliance- und Risikomanagementorganisation, der Unternehmensgröße und -branche (mittelständischer Maschinenbauer vs. große Privatbank) sowie den Kenntnissen und Fähigkeiten einzelner Mitarbeiter zu treffen. 9.2.4 Einführung der IT-Compliance-Funktion Nachdem eine geeignete Form der organisatorischen Gestaltung gewählt wurde, kann die Einführung der IT-Compliance-Funktion erfolgen. Die folgenden Schritte haben sich in der Praxis als zweckmäßig erwiesen: Kick-off: Für den Aufbau der IT-Compliance-Funktion ist zunächst ein Auftrag durch die Geschäftsleitung nötig. Dies liegt im Interesse dieser, da sie persönliche Verantwortung für die Compliance des Unternehmens im Sinne der Organhaftung trägt. Mit dem Auftrag werden die strategischen Ziele, das Budget und verantwortliche Führungspersonen und Mitarbeiter festgelegt. Einbindung der Unternehmensbereiche: Um die Kooperation und Akzeptanz im Unternehmen zu sichern, sind anschließend SPOCs (Single Points of Contact) für die betroffenen Unternehmensbereiche zu definieren. Die Leiter der Unternehmensbereiche sollten in diesen Schritt eingebunden werden, um die Verfügbarkeit der Ressourcen zu sichern. Etablierung von Kommunikationskanälen: Zur Sicherung von umfassender IT- Compliance müssen Kommunikationskanäle vom Gesetzgeber bzw. Aufsichtsorgan in das Unternehmen (z.B. über Rechtsabteilung, Verbände, lokale Kanzleien etc.) geschaffen werden. Ebenso müssen geeignete Kanäle von der IT-Compliance-Funktion in das Unternehmen (z.B. über SPOCs, Newsletter, etc.), aus dem Unternehmen an die IT-Compliance-Funktion (z.B. über Reporting, Quartalsberichte, Ergebnisse aus Self-Assessments, etc.) sowie von der IT-Compliance-Funktion an die Unternehmensleitung definiert werden. Hierfür sind genutzte Medien, Häufigkeit der Kommunikation, Umfang, Adressaten, Archivierung etc. für jeden Kommunikationskanal festzulegen. <?page no="143"?> 144 Wertorientierte IT-Compliance Definition von Kernprozessen: Anschließend sind die Kernprozesse der IT- Compliance-Funktion zu modellieren und zu dokumentieren. Hierfür sollte in angemessener Detaillierung das Vorgehen zur Identifikation relevanter gesetzlicher und aufsichtsrechtlicher Anforderungen, zur Ableitung der Implikationen und Anforderungen für die IT, zur Initiierung und Steuerung von Umsetzungsprojekten sowie Kommunikations- und Reportingprozesse beschrieben werden. Festlegung eines Verbesserungsprozesses: Schließlich ist ein Prozess zur Bewertung und Verbesserung der IT-Compliance-Maßnahmen zu definieren. Dieser sollte eine regelmäßige Bewertung durch die SPOCs, die Geschäftsleitung sowie durch die Compliance-Organisation beinhalten (z.B. durch Self-Assessments, Reporting über KRIs (Key Risk Indicators), Compliance Dashboards etc.). Zudem sollten regelmäßige Prüfungen der IT-Compliance-Funktion in den Prüfungsplan der Revision aufgenommen werden. Je nach Ergebnissen des Verbesserungsprozesses werden Maßnahmen und Kernprozesse angepasst. 9.2.5 Erfolgsfaktoren In der Praxis können Faktoren beobachtet werden, die eine erfolgreiche Umsetzung der IT-Compliance unterstützen. Aufgrund der vielen beteiligten Bereiche und Personen im Aufgabenfeld der IT-Compliance ist die eindeutige Zuweisung von Verantwortlichkeiten für alle Kernprozesse der IT-Compliance-Funktion ein wichtiger Aspekt. Diesen „Prozessverantwortlichen“ fordert die Koordination aller Parteien viel Aufwand ab - entsprechend umfangreich sollte das ihnen zur Verfügung gestellte Zeitbudget sein. Größte Herausforderung bleibt jedoch die Rechtfertigung der Investition und Budgetallokation für eine IT-Compliance-Funktion oder eine IT-Compliance-Maßnahme. Rath/ Sponholz 113 fassen übliche Ansätze zur Budgetallokation sehr treffend zusammen: Entweder werden Umsetzungskosten einer anderen IT-Investition entnommen, es werden Sonderbudgets beantragt oder die IT-Compliance-Maßnahmen werden minimal gestaltet, um das geplante IT-Budget zu erhalten. Keine dieser Lösungen ist jedoch im Sinne der strategischen IT-(Kosten-)Planung befriedigend. Die Rechtfertigung des Compliance-Budgets lässt sich über die Bewertung der wirtschaftlichen Faktoren der geplanten IT-Compliance-Maßnahmen erreichen. Hierfür muss zunächst der Umfang der Maßnahme nach rechtlichen und fachlichen Faktoren exakt eingegrenzt werden, um eine möglichst zielgenaue Wirkung im Rahmen des Ermessensspielraums der Anforderung zu sichern. Die Angemessenheit der Maßnahme ist Grundlage für eine weitere Bewertung der Wirtschaftlichkeit. Anschließend sollte ein Business Case die Investition in die entsprechende Maßnahme unterstützen. Hierzu eignen sich Kennzahlen wie bspw. Cost of Compliance (CoC), Cost of Noncompliance (CoNC) sowie Return on Security Investment (ROSI). Ebenso ist ein potenzieller „Business Benefit“ durch die Maßnahme (z.B. Wettbewerbsvorteil, Marketingnutzen, Stärkung der Kundenbindung etc.) zu betrachten. Nur wenn der Betrieb einer IT-Compliance-Funktion durchgehend auch an wirtschaftlichen Faktoren bemes- 113 Rath, M.; Sponholz, R. (IT-Compliance, 2009) <?page no="144"?> Wertorientierte IT-Compliance 145 sen wird, ist das im Titel dieses Beitrags geforderte Kriterium der wertorientierten IT- Compliance erfüllt. Weiterer Erfolgsfaktor ist die unternehmensweite Betrachtung der IT-Compliance. In der Vermeidung von redundanten Strukturen oder Insellösungen kann die Wirtschaftlichkeit der Compliance in der Gesamtsicht verbessert werden. Sie ermöglicht zudem potenziell die Hebung von Synergien über mehrere Compliance-Maßnahmen hinweg. Mit der Fülle von gesetzlichen und aufsichtsrechtlichen Anforderungen gewinnt die gemeinsame Nutzung von Infrastruktur wie beispielsweise ein unternehmensweites internes Kontrollsystem (IKS), Information Security Management System (ISMS) oder Policy Framework zunehmend an Bedeutung. Schließlich lässt sich bei erfolgreichen IT-Compliance-Funktionen ein Trend von einer statischen (binären) Betrachtung hin zu einer risikoorientierten Sichtweise feststellen. Während im ersten Fall Maßnahmen spezifisch für eine bestimmte gesetzliche oder aufsichtsrechtliche Anforderung konzipiert werden, tendiert eine risikoorientierte Organisation dazu, die Maßnahmen an den jeweiligen Risiken und Bedrohungen für das Unternehmen auszurichten. Dadurch werden knappe Ressourcen gezielt zur Minderung der größten Compliance-Risiken eingesetzt und nach Möglichkeit Mehrwert generiert. Die IT-Compliance-Funktion handelt dadurch strategisch, anstelle auf gesetzliche oder aufsichtsrechtliche Anforderungen nur zu reagieren. 9.3 Umsetzung von regulatorischen Anforderungen in der IT 9.3.1 Vorgehen zur Ableitung von IT-Compliance-Maßnahmen Wie können nun konkrete Anforderungen für die IT aus einer gesetzlichen oder aufsichtsrechtlichen Änderung abgeleitet werden? Die hier dargelegte Vorgehensweise ist auf unterschiedliche Änderungen anwendbar und führt zu wiederholbaren Ergebnissen. In diesem Kapitel wird zunächst das Vorgehen selbst beschrieben, bevor im Folgekapitel mit der Novellierung des Bundesdatenschutzgesetzes vom September 2009 ein Praxisbeispiel vorgestellt wird. IT-Compliance-Maßnahmen werden in den folgenden Schritten erarbeitet: Abgleich mit bisheriger Regelung: Durch Gegenüberstellung des bisher gültigen Gesetzes mit der neuen Regelung wird die Änderung hervorgehoben. Zur Interpretation der Änderung sollte - falls notwendig - die Rechtsabteilung oder eine externe Kanzlei hinzugezogen werden. Ergebnis: Liste der gesetzlichen oder aufsichtsrechtlichen Änderungen. Ableitung von IT-Anforderungen: Mittels eines Fragenkatalogs basierend auf einem vollständigen Modell der IT werden alle Bereiche der IT untersucht, inwieweit sie von den identifizierten gesetzlichen oder aufsichtsrechtlichen Änderungen betroffen sind. Ein Workshop mit Kernmitarbeitern der IT ist ein geeignetes Mittel, um den Fragenkatalog zu bearbeiten. Ergebnis: Liste neuer Anforderungen an die IT. Definition von Handlungsbedarf: Angemessene Maßnahmen werden ausgewählt, um die IT-Anforderungen umzusetzen. Durch die Abschätzung von Business <?page no="145"?> 146 Wertorientierte IT-Compliance Cases wird die Angemessenheit, Wirtschaftlichkeit und Eignung verschiedener alternativer Maßnahmen gegeneinander abgewogen. Bestehende Compliance-Infrastruktur wird auf wieder verwendbare Komponenten untersucht, um potenzielle Synergien zu heben. Ergebnis: Wirtschaftlich bewerteter Maßnahmenkatalog. Formulierung des Umsetzungsplans: Ein Umsetzungsplan wird für alle beschlossenen Maßnahmen formuliert. Die Meilensteine der Umsetzung sind gemäß den gesetzlichen und aufsichtsrechtlichen Fristen zu planen und mit relevanten Personen abzustimmen. Bei Bedarf können Meilensteintermine an die Aufsichtsorgane kommuniziert werden. Ergebnis: Abgestimmter Umsetzungsplan. Kontrolle der Umsetzung: Die IT-Compliance-Funktion führt entweder über Beteiligung an Lenkungskreisen der Projekte oder über die Einsicht in regelmäßige Statusberichte Umsetzungscontrolling für die beschlossenen Maßnahmen durch. Die IT-Compliance-Funktion sollte gegenüber dem Vorstand zum Stand der IT-Compliance jederzeit auskunftsfähig sein. Ergebnis: Aktueller Status der IT-Compliance. 9.3.2 Anwendungsbeispiel: Novellierung des Bundesdatenschutzgesetzes Zum September 2009 trat die zweite Stufe der Novellierung des Bundesdatenschutzgesetzes (BDSG) in Kraft. Im Folgenden wird erläutert, wie Änderungen identifiziert und IT-Anforderungen mittels eines auf dem COBIT-Modell basierenden Fragenkatalogs abgeleitet werden können. 9.3.2.1 Abgleich mit bisheriger Regelung Mittels eines direkten Vergleichs zwischen der vorherigen Version des BDSG und der Novellierung werden die gesetzlichen Änderungen herausgearbeitet. Das Ergebnis kann beispielsweise wie folgt aussehen, wobei die genannten Punkte nicht abschließend sind: 1. Verarbeitungsgrundsätze (§ 3a BDSG) Das Prinzip der Datenvermeidung und der Datensparsamkeit wurde auf jede Verwendung von Daten erweitert. Die Beweislast für den Verzicht auf Anonymisierung und Pseudonymisierung wurde umgekehrt. 2. Auftragsdatenverarbeitung (§11 BDSG) Verträge über Auftragsdatenverarbeitung müssen einem Katalog von Mindestanforderungen genügen. Die Einhaltung der Verträge ist zu Beginn und sodann regelmäßig zu überprüfen und die Ergebnisse sind schriftlich zu dokumentieren. <?page no="146"?> Wertorientierte IT-Compliance 147 3. Informationspflicht (§ 42a BDSG) Der Verlust oder Offenlegung sensibler personenbezogener Daten muss der Aufsichtsbehörde sowie den betroffenen Personen gemeldet werden (nach US-amerikanischem Vorbild). 4. Arbeitnehmerdatenschutz (§ 32 BDSG) Die eigenständige Aufklärung von Straftaten durch die Nutzung personenbezogener Daten wird eingeschränkt auf Fälle, in denen tatsächliche Anhaltspunkte den Verdacht begründen. Der Schutz von personenbezogenen Daten der Arbeitnehmer wird gestärkt. 5. Stärkung des Datenschutzbeauftragten (§ 4f BDSG) Die Position des Datenschutzbeauftragten wird innerhalb der Unternehmung gestärkt, u.a. durch Einschränkung der Kündigungsmöglichkeiten. Fort- und Weiterbildung zur Erhaltung der Fachkunde sind zu ermöglichen. 6. Sanktionen (§ 43 (3) BDSG) Die Geldbußen für Verstöße gegen das BDSG wurden erhöht. Die Geldbuße kann einen erzielten wirtschaftlichen Vorteil abschöpfen. 9.3.2.2 Ableitung der IT-Anforderungen Die oben identifizierten Änderungen werden nun mit den im COBIT-Modell definierten Bereichen (Unternehmensanforderungen und IT-Prozesse, IT-Ressourcen, IT- Entwicklungszyklus) abgeglichen. Hierfür wird eine Checkliste (siehe Tabelle 9.1) angewandt, welche eine strukturierte und möglichst vollständige Analyse der IT ermöglicht. ID Kategorie Fragen 1 Unternehmensanforderungen und IT-Prozesse 1.1 Geschäftsziele Sind strategische Geschäftsziele beeinflusst? Ändert sich das regulatorische Umfeld unseres Kerngeschäfts signifikant? Ändern sich die Prioritäten der Geschäftsziele durch die Änderung? … 1.2 IT-Prozesse Müssen unsere IT-Prozesse auf Compliance mit der Änderung untersucht werden? Müssen wir neue IT-Prozesse einführen? Benötigen wir zusätzliche Kontrollen an unseren IT- Prozessen? … <?page no="147"?> 148 Wertorientierte IT-Compliance 1.3 Strategische IT-Ziele Wird unsere IT-Strategie durch die Änderung beeinflusst? Ändern sich die Business Cases unserer geplanten IT- Investitionen durch die Änderung? Müssen wir unsere IT-Compliance-Strategie aufgrund dieser Änderung anpassen? … 2 IT-Ressourcen 2.1 Applikationen Werden unsere bestehenden oder zukünftigen Applikationen durch diese Änderung reguliert? Müssen wir zusätzliche Kontrollen oder Reports in unseren Applikationen generieren? Müssen zusätzliche Risiko- oder Sicherheitsanforderungen von unseren Applikationen erfüllt werden? … 2.2 Daten Werden bestimmte Daten oder Datenklassen durch die Änderung reguliert? Müssen Datenanalysen oder -erhebungen für die Compliance-Untersuchung durchgeführt werden? Werden neue Anforderung an Datenerhebung, -speicherung, -übermittlung, -archivierung oder -löschung gestellt? … 2.3 Infrastruktur Wird unsere Infrastruktur durch die Änderung stärker reguliert? Werden zusätzliche Standards für bestimmte Infrastrukturbereiche gefordert? Müssen zusätzliche Risiko- oder Sicherheitsanforderungen erfüllt werden? … 2.4 Personen Müssen unsere Mitarbeiter für die gesetzliche oder aufsichtsrechtliche Änderung sensibilisiert oder geschult werden? Müssen die Verträge mit unseren Mitarbeitern angepasst werden? Werden Anforderungen an den Umgang mit personenbezogenen Daten gestellt? … <?page no="148"?> Wertorientierte IT-Compliance 149 3 IT-Entwicklungszyklus 3.1 Planen & Organisieren Müssen wir unsere Organisationsstruktur aufgrund der Änderung anpassen? Müssen die Planungsprozesse zusätzliche Anforderungen erfüllen? Werden zusätzliche Rollen oder Stellen durch die Änderung erforderlich? … 3.2 Entwickeln & Implementieren Werden neue Anforderungen an unsere Entwicklungsmethodik gestellt? Müssen wir Entscheidungsprozesse für die Wahl unserer Implementierungspartner aufgrund der Änderung modifizieren? Werden zusätzliche Anforderungen an unser Testvorgehen gestellt (Testdaten, Abnahmen etc.)? … 3.3 Liefern & Betreiben Werden zusätzliche Anforderungen an Qualität, Verfügbarkeit etc. im Betrieb unserer IT gefordert? Werden zusätzliche Standards im Betrieb unserer Anwendungen gefordert? Werden Anforderungen an das Outsourcing des Betriebs gestellt? … 3.4 Kontrollieren & Bewerten Werden zusätzliche Anforderungen an das Risikomanagement gestellt? Müssen zusätzliche Kontrollen eingeführt werden? Müssen zusätzliche regulatorische Reports erstellt werden? … Tabelle 9.1: Auszug aus IT-Compliance-Checkliste nach COBIT So kann beispielsweise aus Kategorie 1.1 abgeleitet werden, dass neue Anforderungen an die Auftragsdatenverarbeitung (§ 11 BDSG) Einfluss auf strategische Geschäftsziele haben kann. Sehen diese Strategien die systematische Auslagerung von bestimmten Prozessen vor, werden entsprechende Business Cases durch die Anforderungen des § 11 BDSG (Auftragsdatenverarbeitung) signifikant beeinflusst. Diese Handlungsbereiche können entsprechend Abbildung 1 dargestellt werden. <?page no="149"?> 150 Wertorientierte IT-Compliance Abbildung 9.1: IT-Anforderungen anhand des COBIT-Modells Beispielsweise werden die folgenden Handlungsbereiche aus der Novellierung des Bundesdatenschutzgesetzes abgeleitet und in Abbildung 1 dargestellt: 1. Verarbeitungsgrundsätze (§ 3a BDSG) Applikationen müssen dahingehend untersucht werden, ob das Prinzip der Datensparsamkeit in der Verarbeitung erfüllt wurde. Daten müssen für Testzwecke immer anonymisiert werden. Die Entwicklungsmethodik muss angepasst werden, um anonymisierte Testdaten vorzuschreiben. Das Prinzip der Datensparsamkeit sollte als strategisches IT-Ziel definiert werden. 2. Auftragsdatenverarbeitung (§ 11 BDSG) Die Auftragsdatenverarbeitung wurde erheblich stärker reguliert; strategische IT- und Geschäftsziele zur Auslagerung von Datenverarbeitung müssen damit neu bewertet werden. § 4f § 43 § 43 § 3a § 42a § 3a § 32 § 42a § 32 § 42a § 11 § 3a § 11 § 3a § 43 § 4f § 3a § 42a § 11 § 11 Kontrollieren & Bewerten Planen & Organisieren Liefern & Betreiben Entwickeln & Implementieren Personen Infrastruktur Daten Applikationen Geschäftsziele IT-Prozesse Strategische IT-Ziele <?page no="150"?> Wertorientierte IT-Compliance 151 Zusätzliche Kontrollen (Auftragsdatenverarbeitungsprüfungen) müssen für alle bestehenden und zukünftigen Datenverarbeitungsverträge durchgeführt werden. Betriebskonzepte für Service-Provider müssen entsprechend überarbeitet werden. 3. Informationspflicht (§ 42a BDSG) Verantwortliche Personen und ein abgestimmtes Vorgehen für die Information der Aufsichtsbehörde und betroffener Personen müssen in der IT- Organisation geschaffen werden. Mechanismen und Tools für Applikationen müssen eingesetzt werden, um Datenverlust erkennen zu können. Betriebsprozesse müssen regelmäßige Kontrollen auf Datenverlust beinhalten. 4. Arbeitnehmerdatenschutz (§ 32 BDSG) Mitarbeiter, die sensible Mitarbeiterdaten betreuen, müssen entsprechend geschult werden. Datenhaushalte müssen analysiert und auf angemessene Kontroll- und Schutzmechanismen geprüft werden. 5. Stärkung des Datenschutzbeauftragten (§ 4f BDSG) Der Datenschutzbeauftragte muss in angemessene Schulungsprogramme der IT aufgenommen werden. Der Datenschutzbeauftragte muss in den IT-Risk-Reporting-Verteiler aufgenommen werden. 6. Sanktionen (§ 43 (3) BDSG) Bestehende Geschäftsziele müssen auf Einfluss durch die gestiegenen Cost of Noncompliance geprüft werden. Die gestiegenen Cost of Noncompliance müssen im Bewertungsmodell der IT aufgenommen werden. Aus diesem Anforderungskatalog lassen sich in Zusammenarbeit mit Kern-Mitarbeitern der IT konkrete Maßnahmen ableiten, die Wirtschaftlichkeit und Angemessenheit abschätzen, sowie einen Umsetzungsplan entwerfen. Zielsetzung ist hierbei, die bestehende Infrastruktur zu nutzen, um Synergien zu heben. 9.4 Zukünftige Entwicklungen in der IT-Compliance Zuletzt stellt sich die Frage, mit welchen Herausforderungen eine IT-Compliance- Funktion mittel- und langfristig konfrontiert werden wird. Aus aktuellen Diskussionen in der Presse lässt sich für die Finanzindustrie bereits eine Welle von neuen aufsichtsrechtlichen Anforderungen ablesen. Auch für weniger stark regulierte Branchen wird die Komplexität des Compliance-Umfelds steigen. Vor allem in Fragen der grenzübergreifenden Compliance (z.B. bei internationalen Fusionen und Übernahmen, Auslage- <?page no="151"?> 152 Wertorientierte IT-Compliance rungen ins Ausland, Kooperationen etc.) ist von einer strengeren Kontrolle durch Aufsichtsorgane und Gesetzgeber auszugehen. Dabei ist auch europaweit ein weiterer Trend zu erkennen: Die Sanktionen bei Verstößen steigen beständig an. Bestes Beispiel hierfür sind die Strafzahlungen im Zuge der Datenschutzskandale der vergangenen Jahre. Es ist zu erwarten, dass Unternehmen, die sich frühzeitig und strukturiert mit dem Thema IT-Compliance beschäftigen, diese Herausforderungen leichter meistern werden. 9.5 Literatur Rath, M./ Sponholz, R. (2009): IT-Compliance, Erich Schmidt Verlag, Berlin. <?page no="152"?> 10 IT-Governance in der Praxis - Fallbeispiel zum Aufbau einer Governance- und Organisationsstruktur Jörg Lohmann und Benjamin Juntermanns Das folgende Projektbeispiel soll einen praktischen Einblick in den Aufbau von IT-Governance- Strukturen geben. Deloitte unterstützte die Infrastrukturabteilung eines internationalen Unternehmens in der Telekommunikationsbranche dabei, den Reifegrad seiner internen Prozesse zu ermitteln und am Industriedurchschnitt auszurichten. Hierbei wurde eine große Bandbreite an IT-Governancebereichen berücksichtigt. Dieses Beispiel bietet, neben einem Einblick in die Bedeutsamkeit von IT-Governance, Einsicht in gängige IT-Governance-Praktiken sowie Erfolgsfaktoren für deren Entwicklung und Umsetzung. 10.1 Umfeld und Unternehmenssituation Deloitte wurde beauftragt, das Unternehmen dabei zu unterstützen, seine IT- Governance sowie internen Prozesse dem Industriedurchschnitt anzugleichen. Das Unternehmen war durch einen Joint Venture (JV) zweier europäischer Großkonzerne im Bereich Telekommunikation entstanden. Zu diesem Zeitpunkt war der Markt durch wenige große Unternehmen geprägt und befand sich in einer Konsolidierungsphase, was in hohem Kostendruck resultierte. Ziel des Joint Ventures war es, eine kritische Marktgröße zu erreichen, um erfolgreich in diesem Umfeld bestehen und konkurrieren zu können. IT-Struktur und strategische Ausrichtung Die IT-Abteilung des Unternehmens wurde zu gleichen Teilen aus beiden Gesellschaften gebildet. Die Integration bedurfte eines erheblichen Aufwandes, da Struktur und strategische Ausrichtung der beiden Gesellschaften relativ konträr zueinander standen. Die IT des einen Unternehmens war stark zentralisiert aufgestellt: Die IT und die global bereitgestellten IT-Services wurden vom Heimatstandort gesteuert. Lediglich lokal benötigte, kleinere Services und Applikationen waren in den einzelnen Ablegern organisiert. Die starke Zentralisierung der Entscheidungsprozesse, Strategieentwicklung und der daraus resultierende hohe Standardisierungsgrad der global bereitgestellten IT- Services führte zu Kostenvorteilen sowie zu einer hohen Entscheidungskompetenz, da Entscheidungen zentral getroffen werden konnten. Allerdings ergab diese Ausrichtung Einschränkungen bezüglich der Bereitstellung der IT-Systeme rund um die Uhr, da in nur einer Zeitzone Expertenwissen vorhanden war, um die Bereitstellung garantieren zu können. Zudem wurde wenig auf spezifische Bedürfnisse in den einzelnen Landesgesellschaften eingegangen und Reaktionszeiten auf Anforderungen der Fachabteilungen in den einzelnen Ländern waren in diesem Modell relativ lang. Die IT des anderen Unternehmens hatte eine weit dezentralere Ausrichtung. Zwar waren Leitungsstab und zentrale Funktionen ebenfalls am Hauptsitz angesiedelt, jedoch gab es in den Regionen weitgehend unabhängig geführte IT-Abteilungen, die das jeweilige Landesgeschäft selbstverantwortlich verwalteten. Somit ergab sich eine hohe Kundennähe der IT-Services auch in den einzelnen Ländergesellschaften und es konn- <?page no="153"?> 154 IT-Governance in der Praxis te explizit auf spezielle Anforderungen eingegangen werden. Diese Kundennähe führte aber auch zu einer erhöhten Komplexität und Zerstreuung der Service- und Applikationslandschaft und folglich zu einem erhöhten Aufwand bezüglich der Schnittstellen und der Verwaltung der Zulieferer. Für zentral bereitgestellte Services gab es teilweise unklare Verantwortlichkeiten, was Entscheidungsprozesse verzögern konnte. Zusätzlich waren durch diese dezentrale Aufstellung bedeutend weniger Skaleneffekte erzielbar - die Kosten für die IT-Abteilung waren somit bedeutend höher. Nach Entstehung des Joint Ventures beschloss das Management, ein geeignetes Modell zur Nutzung der Stärken beider IT-Strukturen zu implementieren. Die neue IT- Organisation basierte auf einem Hybridmodell, in dem eine zentral gemanagte, jedoch weltweit verteilte Einheit einerseits eine größtmögliche Kontrolle und Kostenvorteile gewährleisten und andererseits gleichzeitig auf die regionalen Bedürfnissen und Besonderheiten eingehen sollte. Zentrale IT Standorte wurden in den beiden Hauptstandorten in Europa errichtet, jedoch gab es weltweit verteilte IT-Zentren, die nicht nur regionale Aufgaben bewältigten, sondern auch in die zentral gesteuerten Prozesse und Initiativen eingebunden wurden. Die Einführung dieses Hybridmodells brachte einige Herausforderungen mit sich, denen die neue IT-Organisation sich stellen musste. So gestalteten nicht nur verteilte Verantwortlichkeiten den Entscheidungsprozess schwierig, auch die länder- und unternehmensspezifischen kulturellen Unterschiede zwischen den beiden europäischen Hauptstandorten sowie den weiteren global verteilten IT-Zentren galt es zu überwinden. 10.2 Beauftragung zur Definition einer geeigneten IT-Governance Zum Zeitpunkt der Projektbeauftragung hatten bereits erste Aktivitäten stattgefunden, um die neu zu gestaltende IT-Abteilung aufzusetzen. Insbesondere waren ein Großteil des Organisationsdesigns, der Governance und der Prozesslandschaft auf IT Ebene bereits implementiert und auf die einzelnen IT-Abteilungen heruntergebrochen. Die Infrastrukturabteilung des Joint Ventures, die von Deloitte unterstützt wurde, hatte bereits grundlegende Arbeit geleistet, um den IT-Betrieb sicherzustellen. Hierzu gab es bereits initiale Governance-Strukturen und Prozesse, die grundlegende Strategie der Infrastrukturabteilung orientierte sich jedoch weiterhin daran, die Konsolidierung und Organisation der Abteilung voranzutreiben. Grundsätzlich ergaben sich aus diesen Voraussetzungen folgende Erwartungshaltungen gegenüber dem Projekt: Die Etablierung eines Betriebsmodells, das auf einer globalen, agilen, flexiblen und dynamischen Infrastrukturorganisation beruht, inklusive der Definition von Rollen und Verantwortlichkeiten, um ein kosteneffizientes Betriebsmodell schnell zu implementieren. Die Transformation der Infrastrukturorganisation sowie die Definition eines „Future Mode of Operation“. In diesem sollten sowohl kurzfristige, mittelfristige und langfristige Entwicklungsziele festgelegt sein sowie ein Businessplan, der die Produktivitätssteigerungen der zukünftigen Infrastrukturorganisation beschreibt. <?page no="154"?> IT-Governance in der Praxis 155 Das Projekt wurde in zwei Phasen eingeteilt. Zunächst sollte in einer initialisierenden „Create Phase“ das zukünftige Betriebsmodell definiert und in einem Transformationshandbuch dokumentiert werden. Auf dieser Grundlage sollte im Folgenden die Umsetzung begleitet werden, um die Infrastrukturabteilung in einen definierten „Future Mode of Operation“ zu überführen und die vorher definierten Governance-Bereiche adäquat in der Organisation zu verankern. 10.3 Analyse des Ist-Zustands und Beschreibung des Zielbilds In einem ersten Schritt wurde eine Analyse des aktuellen Reifegrades durchgeführt, um eine Grundlage für Verbesserungsvorhaben zu erhalten. Die Analyse konzentrierte sich dabei auf eine Reihe von Governance-Domänen, die das komplette Spektrum des Betriebsmodells abdecken sollten. Besonderer Fokus lag auf der Analyse der IT- Managementprozesse. Als Grundlage zur Bestimmung des Reifegrades dienten das CMMI Framework 114 sowie ITIL v3 115 . Ein weiterer Fokuspunkt der Analyse lag darauf, Verantwortlichkeiten und Governance-Strukturen im Hinblick auf eine effiziente Arbeitsweise sowohl innerhalb der Infrastrukturabteilung als auch in der Zusammenarbeit mit anderen IT-Abteilungen zu untersuchen. Damit deckte die Analyse sowohl strategische als auch taktische und operative Governance-Dimensionen ab (vgl. Abbildung 10.1). Abbildung 10.1: Generischer Aufbau der geplanten IT-Governance-Strukturen Die Analyse zeigte, dass die existierenden Entscheidungsgremien keine Transparenz über den genauen Zustand der Abteilung geben und weitertragen konnten. Dies führte zu Defiziten bei der Entscheidungsfindung. Besonders in der Aufbauorganisation der Abteilung sowie bei der Betrachtung der Prozesse und Workflows wurde deutlich, dass die aktuelle Arbeitsweise Verbesserungspotentiale in sich barg. Aus der gerade abgeschlossenen Zusammenlegung der beiden Infrastrukturabteilungen hatte sich ergeben, 114 Vgl. Software Engineering Institute, (CMMI® for Services, Version 1.3) 115 Vgl. Office of Government Commerce, (ITIL v3®) Operativ Taktisch Strategisch Richtlinien Entscheidungskompetenzen Kommunikation Besprechungsstrukturen und -praktiken Gremien, Rollen & Verantwortlichkeiten Prozesse <?page no="155"?> 156 IT-Governance in der Praxis dass es in einigen Bereichen Ressourcenüberschüsse gab, an anderer Stelle jedoch erhebliche Ressourcendefizite. Zusätzlich wurden einige Prozesse teilweise mehrfach und parallel, andere nur mangelhaft durchgeführt. Hier sollte eine effektive und effiziente Ausgestaltung der Organisation und Prozesse erfolgen. Auf der Grundlage der Analyse wurden gemeinsam mit dem IT-Management mittel- und langfristige Ziele definiert, um eine klare Zielvorstellung vorzugeben und Aktivitäten entsprechend daran auszurichten und zu messen. Eine wichtige Komponente in dieser Überlegung war die Ausrichtung am Reifegrad vergleichbarer Unternehmen. Hier konnte sich das Management der Infrastrukturabteilung auf die Erfahrung Deloittes bei der Definition und Umsetzung von IT-Governance-Vorhaben stützen, um auf der einen Seite sicherzustellen, dass mit anderen Unternehmen der Branche aufgeschlossen werden konnte, und andererseits zu gewährleisten, dass die definierten Ziele umsetzbar waren (vgl. Abbildung 10.2). Abbildung 10.2: Analyse des Reifegrades der Infrastrukturabteilung vor Beginn der Umsetzung des Zielmodells Um die Umsetzung zu gewährleisten, wurde ein umfassendes Handbuch ausgearbeitet. Dieses enthielt eine Roadmap, in der die Zielmodelle definiert wurden. Zusätzlich wurden die Inhalte der Verbesserungsvorhaben in den einzelnen Domänen definiert, an der sich die Umsetzung für die nächsten zwölf Monate orientieren sollte. Lessons Learned Bereits in der Analysephase des Projektes wurde deutlich, dass die organisationale Veränderung eines großen Aufwandes sowohl aufseiten der operativen Mitarbeiter als auch aufseiten des Managements bedürfen würde. Die enormen Veränderungen in kurzer Zeit, die durch das Joint Venture und entsprechende grundsätzliche organisatorische Aufbauarbeiten verursacht worden waren, hatten im gesamten Unternehmen für große Verunsicherung gesorgt, die es zu überwinden galt. Somit kam von Anfang an einem adäquat durchgeführten Veränderungsmanagement große Bedeutung zu, um Vertrauen und Offenheit und eine aktive Zukunftsgestaltung in der Infrastrukturabteilung zu etablieren. Das Deloitte-Projektteam griff dies früh auf und so gelang es, eine * Based on CMMI Maturity Framework 0 = Non-existent, 1 = Initial, 2 = Repeatable, 3 = Defined, 4 = Managed, 5 = Optimized* 0 1 2 3 4 5 Definiertes zukünftiges Betriebsmodell Aktuelles Betriebsmodell <?page no="156"?> IT-Governance in der Praxis 157 konstruktive Projektumgebung zu schaffen. Dies wurde vor allem durch eine enge Zusammenarbeit und Abstimmung mit dem IT-Management gewährleistet, welches die zentrale Führungsrolle bei den anstehenden Veränderungen einnehmen musste. Nur durch eine positive Wahrnehmung des Projektes und der ausgegebenen Ziele war es möglich, die Analysephase adäquat durchzuführen sowie Lücken und Entwicklungsfelder aufzudecken. Dabei galt es auch, organisationspolitische Einflüsse, wie Diskussionen um Verantwortlichkeiten, weitestgehend auszuschalten, um die ehrgeizig gesteckten Ziele nicht aus dem Auge zu verlieren. 10.4 Verbesserung und Vervollständigung der IT-Governance der Abteilung Mit Hilfe des Handbuches sollte in der nächsten Phase die Reifegraderhöhung in den definierten Bereichen vorgenommen werden. Das Handbuch, sowie die vorangegangene Analyse und Definition war dabei in acht Bereiche unterteilt (vgl. Abbildung 10.3), die auf dem Deloitte IT-Governance-Modell basierten. Abbildung 10.3: Übersicht der relevanten Governance-Bereiche für das Projekt Im Folgenden wird auf die Bereiche eingegangen und die jeweiligen Verbesserungen werden dargestellt. I. Organisation & Governance Aufbauend auf Referenzmodellen wie CMMI und ITIL war es das Ziel, eine einheitliche IT-Organisation aufzusetzen und durch die Definition geeigneter Governance- Strukturen und Entscheidungsflüsse zu unterstützen, um eine effiziente und effektive Infrastrukturabteilung zu schaffen. Dies war besonders wichtig, da nach dem initialen Setup der Abteilung wichtige Entscheidungen, wie z.B. Projektfinanzierungen, teilweise intransparent gefällt wurden, ohne Einbeziehung der verantwortlichen Ansprechpartner. Zusätzlich sollten weitere wichtige Themen in die jeweiligen Gremien als fester Punkt aufgenommen werden, um zu garantieren, dass diese im geeigneten Rahmen entschieden werden konnten. Organisation I. Organisation & Governance Prozesse IV. Relevante ITIL V3 Prozesse • Technical Change Management • Incident Management • Problem Management • Emergency Escalation Management • Configuration Management • Event Management • Availability Management • Financial Management • Supplier Management Demand & Supply V. Delivery- & Sourcing-Modell III. Standorte VIII. Performance VII. Infrastruktur-Portfolio II. Mitarbeiter VI. Technology & Integration <?page no="157"?> 158 IT-Governance in der Praxis Abbildung 10.4: Governance-Struktur für die Infrastrukturabteilung Aufbauend auf dem Deloitte IT-Governance-Modell und unter Berücksichtigung des bestehenden Reifegrades wurde beim Design der Governance-Strukturen besonderes Augenmerk darauf gelegt, eine Balance zwischen IT-Supply (IT-Lieferant) und IT- Demand (IT-Kunde) herstellen zu können (vgl. Abbildung 10.4). Daher wurden diese beiden Seiten in die neuen Strukturen eingebunden. Die zentrale Abteilung „Supplier Management“ wurde in die Governance-Struktur stark einbezogen, um strategische Führung zu geben sowie taktische Maßnahmen zu diskutieren. Auf der anderen Seite wurde Demand Management als klare Verantwortlichkeit innerhalb der Abteilung etabliert. Eine weitere wichtige Prämisse bei der Definition des Zielbetriebsmodells war, dass die Governance-Strukturen geeignet sein sollten, die strategischen Entscheidungen der Infrastrukturabteilung bis in die Operationalisierung herunterzutragen. Entsprechend wurde auf eine Verbindung der Gremien zwischen operativen, taktischen und strategischen Entscheidungen Wert gelegt. Das Zielmodell bestand aus einer umfassenden Landschaft von Entscheidungsgremien, die nun aufgesetzt und institutionalisiert werden mussten (vgl. Abbildung 10.4). Nach der Definition der Meetings, Teilnehmer und wesentlicher Agendapunkte war es wichtig, die ersten Meetings zu unterstützen, um so alle involvierten Mitarbeiter zur Teilnahme zu bewegen und eine gewisse Routine bei Entscheidungsflüssen zu etablieren. Durch diese Veränderung konnte so bis Projektende erreicht werden, eine Organisation zu formen, in der eine definierte Governance-Struktur sowie Entscheidungsgremien mit objektiven Entscheidungs- und Eskalationskriterien etabliert waren. Verantwortlichkeiten waren nun klarer geregelt und relevante Stakeholder waren in Entscheidungen und Entwicklungen der Infrastrukturabteilung eingebunden. Einige Teilbereiche bedurften nach Projektende weiterer Arbeit. Der größte Verbesserungsbedarf bestand darin, die geschaffene Governance-Struktur noch besser in die konzernweiten Entscheidungsprozesse einzubinden, um eine IT und konzernweit effektive Governance zu schaffen. So sollten in einem nächsten Schritt die Schnittstellen zu IT-weiten Gremien geschärft werden. IT Kunde Strategisch Strategisch Strategisch Taktisch Taktisch Taktisch Operativ Operativ Operativ Infrastruktur-Governancestruktur IT Lieferant IT Infrastruktur Leitungskreis Infrastruktur- Führungsgremium Führungsausschuss Infrastruktur- Innovationsgremium Infrastruktur-Change Advisory Gremium Regionale Service Managementgremien Sicherheitsrat Infrastruktur- Planungs- & Finanzierungs- Gremium Service Management Leitung Infrastruktur-Portfolio & Demand Management- Kreis Infrastruktur-Program & Project Review Gremium Infrastruktur-Service & Supplier Management Gremium Change- und Vertragsmanagementgremium Service Cluster Management Leitung Technische Architektur und Innovationsgremium <?page no="158"?> IT-Governance in der Praxis 159 II. Mitarbeiter Durch die Anpassung der Rollenbeschreibungen und benötigter Fähigkeiten sowie der Analyse des Trainingsbedarfs für die Belegschaft sollte ein geeignetes Mitarbeiterprofil erstellt und die bestehende Belegschaft vorbereitet werden, um einen gestiegenen Reifegrad der IT-Prozesse erreichen zu können. Dieser Bereich war grundsätzlich als Zusatz der Prozess- und Governance-Ebene von geringer Komplexität, da sich Anforderungen aus diesen Bereichen einfach ableiten ließen. Da es hier gelungen war, klare Verantwortlichkeiten und Rollenaufteilungen zu definieren, konnte auch die Mitarbeiterdomäne einen guten Fortschritt erzielen. III. Standorte Als Folge der Strategie einer der beiden Gesellschaften hatte sich eine weit verteilte Infrastrukturorganisation ergeben. Um Kosten zu sparen, Informationsflüsse zu verbessern und Kundennähe zu garantieren, war es nötig, die genutzten Standorte zu analysieren und entsprechend ihrer Kosten-Nutzen-Relation zu konsolidieren. Der Strategie folgend waren hier einige weltweit verteilte IT-Zentren ausgewählt und weitere Standorte entsprechend konsolidiert worden. Insgesamt bedurfte es in dieser Domäne jedoch eines weiteren Engagements des IT-Managements, um die vorgegebene strategische Richtung durchzusetzen und das gewählte hybride Betriebsmodell entsprechend umzusetzen. IV. Prozesse Diese Domäne bildete einen weiteren zentralen Punkt der Infrastruktur- Transformation. Insbesondere das Prozessgerüst und die Definition der Prozesse und Arbeitsabläufe bedurften hier einer Optimierung. Dies war insbesondere von Bedeutung, um die nach dem Joint Venture rudimentären IT-Managementprozesse effizienter und effektiver gestalten zu können. Desweiteren war die Berücksichtigung der IT- Managementprozesse wichtig, um die IT-Strategie und die Geschäftsbedürfnisse treffend identifizieren und berücksichtigen zu können. Besonderes Augenmerk wurde hierbei auf folgende Prozesse gelegt, wie sie nach ITIL v3 definiert sind: Incident Management Problem Management Technical Change-Management Configuration Management Financial Management Supplier Management Emergency Escalation Management Availability Management Event Management Hier wurde zunächst auf die Reifegradanalyse aufgebaut und mit Hilfe der umfassenden Erfahrung von Deloitte ein Prozessdesign erstellt und durch die detaillierte Roadmap mit kurzsowie langfristigen Zielen eine Umsetzungsvorgabe gegeben. <?page no="159"?> 160 IT-Governance in der Praxis Die geplanten Verbesserungen konnten in einem Parallelprojekt mit umgesetzt werden, das grundlegend auf den Erkenntnissen der Analysephase aufbaute. Dieses Projekt, dass sich zentral mit der Einführung eines IT-Servicemanagementtools befasste, konzentrierte sich zunächst auf die Implementierung und Unterstützung der Kernprozesse Incident, Problem, Change, Configuration und Event Management. Das gewählte Tool wurde entsprechend der Prozessausgestaltung, die im Transformationsprojekt definiert worden war angepasst. Auf dieser Grundlage sollten die genannten Prozesse dann implementiert und von Beginn an technisch unterstützt werden. Durch diese Synergien konnte der Reifegrad in den Kern-IT-Managementprozessen auf das zuvor gewählte Niveau gehoben werden. So war nach Projektende ein auf Industriestandards beruhender Prozess definiert, der zudem adäquat den Bedürfnissen der Abteilung, wie die gewählte Governance und Gremienstruktur, sowie Rollenaufteilung entsprach. Weiterhin wurde ein kontinuierlicher Verbesserungsprozess vorgeschlagen, um den sich ändernden Anforderungen aktiv begegnen zu können. V. Delivery & Sourcing Model Ein wichtiger Bereich, um die Entwicklung der Infrastrukturabteilung über eine geeignete IT-Governance zu forcieren, war eine Analyse und die entsprechende Entwicklung des Delivery und Sourcing Modells der Abteilung. Hierbei diente die Strategie der Abteilung, nämlich eine flexible und agile IT-Service-Bereitstellung zu garantieren, als Ausgangspunkt. Dieser Bereich war zentral, um eine geeignete Balance zwischen IT- Demand und IT-Supply zu erreichen, und so kostengerechte IT-Services zur Verfügung stellen zu können, die dennoch Flexibilität und Agilität sowie Effektivität und Effizienz der Geschäftsprozesse erlauben. Da es im Unternehmen eine zentrale Abteilung für das Supplier Management des Unternehmens gab, von der strategische Vorgaben an die einzelnen Bereiche weitergegeben wurden, war der Hauptauftrag des Verbesserungsvorhabens, das Delivery & Sourcing Modell der Infrastrukturabteilung stark in eine unternehmensweite Initiative zur Harmonisierung des Lieferantemanagement einzubinden, die von der zentralen Abteilung gesteuert wurde. Eine wichtige Aufgabe des Projektteams bestand dementsprechend darin, eine klar definierte Struktur für das Infrastruktur Supplier Management zu schaffen und an die zentrale Abteilung anzugliedern. So wurde eine transparente Organisation und Gremienstruktur geschaffen, in der strategische Vorgaben in taktische und operative Maßnahmen heruntergebrochen und für die bereitgestellten Infrastrukturservices umgesetzt wurden. Im Zuge dieser Umstrukturierung gelang es außerdem, eine deutliche Transparenzsteigerung der Supplierbeziehungen und Eskalationspfade der bereitgestellten Infrastrukturservices zu erreichen. Bei Projektende konnte somit ein grundlegend funktionstüchtiges Delivery & Sourcing-Modell eingeführt werden. Weitere Entwicklungspunkte ergaben sich auf der einen Seite in einer noch stärkeren Zusammenarbeit und Einbindung der Prozesse mit denen der zentralen Sourcingabteilung sowie einer Verbesserung der Daten- und Vertragsbasis im Bezug auf Service Levels mit den Zulieferern auf der anderen Seite. Dieser Bedarf war von der Infrastrukturabteilung erkannt worden und würde nach Projektende außerhalb des Transformationsprojekts fortgesetzt. <?page no="160"?> IT-Governance in der Praxis 161 VI. Technology & Information Um auch zukünftig flexibel auf sich ändernde Geschäftsanforderungen reagieren zu können, sowie auf die strategische Direktive der Infrastrukturabteilung einzugehen, bedurfte es einer näheren Betrachtung der genutzten Technologie und des Informationsmanagements. Auch hier stand der Gedanke der Operationalisierung im Vordergrund, es sollten Anforderungen an IT-Systeme und -Werkzeuge sowie die benötigte Datenqualität auf konstanter Basis analysiert werden und eine Technologie-Roadmap erstellt werden. Dazu wurde die bestehende Toolunterstützung der IT-Managementprozesse sowie die genutzte Datenqualität analysiert und entsprechende Verbesserungsmaßnahmen über die Roadmap definiert. Zusätzlich wurde ein Parallelprojekt in die Entwicklung einbezogen, das die Einführung eines IT-Servicemanagementtools zum Ziel hatte. Dieses Tool konnte mit Hilfe automatisierter IT-Servicemanagementprozesse (z.B. Incident Management, Problem Management, Configuration Management) einen starken Beitrag dazu leisten, dass die IT-Abteilung effektiv durch Technologie unterstützt wurde. Bei Projektende konnte so ein deutlicher Fortschritt angestoßen werden. Der Hauptentwicklungspunkt bezog sich auf die Einführung und Nutzung einer einheitlichen Configuration Management Database, wie sie vom IT-Servicemanagementtool bereitgestellt werden sollte. VII. Infrastruktur-Portfolio Das Service- und Projektportfolio war ein zentraler Punkt für eine Weiterentwicklung der Infrastrukturorganisation und somit eine kritische Komponente, um die vorgegebenen Ziele in die Tat umzusetzen. Zunächst sollte das Service- und Projektportfolio analysiert werden, um daraus eine geeignete Strategie zu erstellen, die Services an eine optimierte Organisation anzupassen. Dies schloss auch die generelle Governance und das Management des Service- und Projektportfolios mit ein, um die zukünftige Entwicklung gemäß der definierten Richtung zu steuern. Innovation spielte in der Vision der Infrastrukturabteilung eine zentrale Rolle. Der Portfolio-Managementprozess sollte Innovation als Steuerungsinstrument effektiv und effizient gestalten. Als Ergebnis gab das Transformationshandbuch einen standardisierten Prozess zum Review, zur Erweiterung und Veränderung des Service Portfolios vor und war ebenfalls über geeignete Entscheidungsgremien und Prozesse operationalisiert. Die Implementierung eines solchen soliden, objektiven und transparenten Prozesses zur Bewertung und Priorisierung des Projektportfolios erreichte dann auch eine entscheidende Reifegradverbesserung in der Domäne. Dieser Prozess wurde von einem Managementtool unterstützt, und diente dazu, die vorgegebene Strategie zu tragen und durch die Auswahl geeigneter Projekte entsprechend umzusetzen. Nach Projektende bestand eine weitere Optimierungsmöglichkeit darin, einen einheitlichen Servicekatalog zu erstellen und zu pflegen. Dies würde bessere Transparenz schaffen, Lücken und Entwicklungsfelder offenlegen und so die Steuerungsfähigkeit der Abteilung durch den definierten Portfoliomanagementprozess weiter zu erhöhen. <?page no="161"?> 162 IT-Governance in der Praxis VIII. Performance Die Performancedomäne war in zweierlei Hinsicht von Bedeutung. Zunächst galt es, die Ergebnisse des Transformationsprojektes zu messen. Es wurden also Kennzahlen für jede der genannten Domänen definiert, die den Zielerreichungsgrad für jede der definierten Verbesserungsdomänen widerspiegeln sollte. Zweitens wurden bereits im Vorhinein geeignete KPIs definiert, um die optimierten Domänen und Prozesse selbst im Hinblick auf einen kontinuierlichen Verbesserungsprozess zu messen. Diese fortlaufenden KPIs sollten nach Projektende in der Linienorganisation weitergeführt werden, z.B. im Rahmen einer abteilungsweiten IT Balanced Scorecard, um eine angemessene Definition und Implementierung der Prozesse und Domänen sicherzustellen. Lessons Learned Bei einem solch komplexen Projekt war es wichtig, alle bestehenden Abhängigkeiten zu identifizieren und zu berücksichtigen und „Silo-Bildung“ zu vermeiden. Dies war ein entscheidender Erfolgsfaktor, um die Einführung einer funktionierenden Governance für die Infrastrukturabteilung auf ein dauerhaftes und in der Organisation verankertes Fundament zu stellen. Daher musste zunächst die Gesamtstrategie sowie die übergreifende IT-Strategie und Governance des Joint Ventures betrachtet und einbezogen werden. Dies bezog sich auch auf die getroffenen und zu erwartenden Portfolio- und Sourcing-Entscheidungen. Um die Infrastrukturabteilung auch zukünftig adäquat steuern zu können, musste Bezug auf das zukünftige Betriebsmodell der Abteilung sowie der angeschlossenen und ebenfalls betroffenen IT-Abteilungen genommen werden. Zusätzlich war es von großer Bedeutung, die Zusammenarbeit zwischen der Geschäftsabteilung und der Infrastrukturabteilung zu verbessern. Das Business/ IT Alignment war eine wichtige Komponente, um ein verbessertes Betriebsmodell zu erreichen. Daher musste schon früh der IT-Kunde einbezogen werden, um Anforderungen und Spezifika in die Überlegungen zur Governance-Gestaltung einzubeziehen. Auf der anderen Seite war es ebenso wichtig, die Schnittstellen zu den Infrastruktur- Zulieferern zu beschreiben und in die Überlegungen zu einer geeigneten Governance einzubeziehen. Das auf IT Ebene verankerte Lieferantenmanagement musste auch auf Infrastrukturebene heruntergebrochen werden, damit eine optimale Balance zwischen „Supply und Demand“ durch das Betriebsmodell unterstützt werden konnte. 10.5 Kritische Erfolgsfaktoren die Veränderungen möglich machen In der Umsetzungsphase war ein gut aufgesetztes Veränderungsmanagement sehr wichtig, um den Herausforderungen eines solchen Projektes, wie der Tragweite der Veränderungen, dem enormen Einfluss der Veränderungen auf die Mitarbeiter und den komplexen internen und externen Abhängigkeiten, begegnen zu können. Im Laufe des Projektes ergaben sich somit einige kritische Erfolgsfaktoren, die eine Umsetzung der Transformation ermöglichten. Die wichtigsten Elemente stellten sich wie folgt dar: <?page no="162"?> IT-Governance in der Praxis 163 Leadership Wie bei jeder großen organisatorischen Veränderung war Leadership ein unerlässlicher Erfolgsfaktor. Der Begriff „Leadership“ bezieht sich dabei auf das Schaffen und Vermitteln von Visionen und Inspirationen sowie Sinnerfüllung und Wandel. 116 Diese Eigenschaften mussten auch bei der Transformation der Infrastrukturabteilung im Management verankert werden. Leadership bezog sich dabei darauf, die Belegschaft aktiv in die Veränderung mit einzubeziehen, Transparenz über die Veränderung zu schaffen und Veränderungen vorzuleben. Hierbei wurde die Bereichsführung vom Projektteam unterstützt. So war es Aufgabe des Projektmanagements, die „Awareness“ auf Managementebene hochzuhalten und so die Unterstützung durch das Topmanagement dauerhaft zu sichern. Dies geschah durch regelmäßige Abstimmungsrunden, Entscheidungsabfragen sowie Involvierung bei nötigen Anpassungen des Zielbildes. Dabei wurde Leadership von der Abteilungsführung gefordert und durch die Unterstützung bei der Erstellung geeigneter Kommunikation und Entscheidungen unterstützt. Schließlich gehörte zu Leadership auch der Durchgriff auf die Organisation und Mitarbeiter. Dieser wurde auch vom Projektteam immer wieder gefordert. Im Laufe der Qualitätsverbesserung der Governance und Prozesse war es wichtig, dass Anforderungsprofile auf Rollen und Positionen angeglichen wurden. Dies war zentraler Bestandteil des Transformationsbereichs „Mitarbeiter“. Die angestrebten Veränderungen zogen naturgemäß Positionswechsel mit sich, um Rollen und Verantwortlichkeiten effizient zu verteilen. Den Durchgriff auf die Organisation der Infrastrukturabteilung durchzuführen war für den Erfolg des Projektes notwendig, zeigte jedoch auch die Ernsthaftigkeit, mit der das Projekt vom IT-Management verfolgt wurde. Projektmanagement Die Infrastrukturabteilung als Teil eines großen, internationalen Konzerns war von verschiedenen Initiativen und Strategien beeinflusst. Daher war es notwendig, ein gutes Management für den Veränderungsprozess aufzusetzen sowie parallele und konträre Entwicklungen in die Planungen mit einzubeziehen. Ein definiertes und konsequentes Projektmanagement war somit ein wichtiger Erfolgsfaktor. Das Projektmanagement war in erster Linie relevant, um die gegebene projektinterne sowie -externe Komplexität beherrschbar zu machen. Nur so konnten auch externe Veränderungen und überlappende Projekte beachtet und entsprechende Abstimmungen vorgenommen werden. So konnten parallel laufende Outsourcingvorhaben frühzeitig in die Umsetzung eines geeigneten Lieferantenmanagements einbezogen werden, gleichzeitig wurde eine schnelle Verantwortungsübergabe im Outsourcingvorhaben unterstützt. Auch konnte so eine starke Verbindung zwischen dem Transformationsprojekt sowie der Implementierung des IT-Servicemanagementtools hergestellt werden. Diese Verbindung erzielte starke Synergien und konnte so maßgeblich zum Projekterfolg beitragen. Ohne ein geeignetes Management der internen und externen Abhängigkeiten wäre die Kontrolle der teilweise konkurrierenden Ziele und Projekte sowie eine zeitgerechte Umsetzung des Transformationshandbuchs nicht möglich gewesen. 116 Vgl. Abraham Zaleznik, (Managers and Leaders, 2004), S. 75 <?page no="163"?> 164 IT-Governance in der Praxis Management of Change Das Management des Veränderungsprozesses war ein wichtiger Bestandteil der Projektunterstützung. Dieser Teil war maßgeblich mit dem Thema Leadership verbunden, da die Abteilungsführung in der zentralen Rolle der Veränderung vorangehen und diese steuern musste. Neben der Einbeziehung der Abteilungsleitung kam der Kommunikation durch die Kernprojektmitglieder eine zentrale Rolle zu. Gut geplante, regelmäßige und offene Kommunikation waren wichtig, um die Mitarbeiter auch bei einem solch langfristig angelegten Projekt für den anstehenden Wandel motiviert und gut informiert zu halten. So wurde sichergestellt, dass die erwähnten Änderungen in der Organisation verankert wurden. Kommunikation fand dabei über mehrere definierte Kanäle statt, wie z.B. Newsletter, E-Mails, Besprechungen und Informationsveranstaltungen sowie Einzelgespräche mit Mitarbeitern an zentralen Knotenpunkten. Die Abteilungsleitung und unternehmensinterne Projektmitarbeiter waren in die Kommunikationsprozesse stark als Übermittler involviert und sollten so garantieren, dass die Awareness in der gesamten Infrastrukturabteilung hoch blieb. Ebenso war es wichtig, die Mitarbeiter aktiv in die Veränderungsprozesse einzubeziehen. Dies sollte schon so früh wie möglich passieren, nicht nur um relevante Informationen zu erhalten, sondern auch, um den Mitarbeitern zu signalisieren, dass sie aktiv an der Veränderung mitwirken und so die zukünftige Gestaltung ihres Arbeitsplatzes und der Infrastrukturabteilung beeinflussen konnten. Bei dieser Einbeziehung galt es, eine Balance zwischen breiter Zusammenarbeit und Zustimmung auf der einen und einem zügigen Fortschritt der Implementierung der definierten Transformationsbereiche auf der anderen Seite sicherzustellen. Neben der Involvierung der Mitarbeiter war es wichtig, nach der Definitionsphase geeignete Trainings durchzuführen, um die Mitarbeiter in die neuen Arbeitsweisen, Prozesse und Entscheidungsflüsse einzuführen. Das Resultat war eine passgenaue Implementierung der Prozesse und Governance-Strukturen, die von einer breiten Mehrheit der Infrastrukturabteilung getragen und gelebt wurden. Operationalisierung Die Operationalisierung der Governance, also die Definition der zugehörigen Gremien, Prozesse und Rollen, half dabei, die Veränderung greifbar und Verbesserungen schnell und verständlich sichtbar zu machen. Diese Operationalisierung war bereits in der Create Phase gestartet worden und wurde nun durch Involvierung der Mitarbeiter spezifisch auf die Infrastrukturabteilung angewandt. Zusätzlich dazu wurde den Mitarbeitern Unterstützung bei der Implementierung und Institutionalisierung der neuen Prozesse angeboten. Dies erleichterte die Umstellung auf neue Arbeitsweisen und half dabei, Arbeitsabläufe zu implementieren und zu automatisieren. So begleitete das Projektteam bei ersten Terminen und half, Inhalte zu erstellen oder Teilnehmer zu definieren. Mit dieser Operationalisierung gelang es, auf spezifische Bedürfnisse und Wünsche von Mitarbeitern in der Infrastrukturabteilung einzugehen. Zusätzlich konnte so eine Atmosphäre der Unterstützung und des Wandels geschaffen werden - das Konzept wurde „lebbar“. <?page no="164"?> IT-Governance in der Praxis 165 10.6 Fazit Das Transformationsprojekt wurde nach Ablauf der Beauftragung erfolgreich beendet. Um den Fortschritt objektiv messbar zu machen, wurde eine zweite Reifegradanalyse durchgeführt und mit der initialen Reifegradanalyse bei Projektbeginn verglichen. Dabei wurde deutlich, dass jeder Bereich den größtmöglichen Fortschritt vorzuweisen hatte. Die Organisation musste die angestoßenen Veränderungen nun verarbeiten und sich zunächst weiter konsolidieren, bevor weitere Schritte in einem ähnlich hohen Tempo in Angriff genommen werden konnten. Insgesamt wurde das Projekt dann auch bei einer abschließenden Befragung des IT-Managements als Erfolg gewertet. Alle angestrebten Verbesserungen waren komplett implementiert worden. Dieser große Wandel beruhte auf einer Reihe von Erfolgsfaktoren, besonders im klassischen Projekt- und Change-Management. Dem Projektmanagement gelang es, Parallelprojekte mit einzubinden, um so den Zielerreichungsgrad zu erhöhen. Es konnte frühzeitig auf Einflüsse eingegangen werden und interne und externe Abhängigkeiten wurden rechtzeitig identifiziert. Zusätzlich war es wichtig, die organisatorische Veränderung durch geeignetes Change-Management zu begleiten, um positive Awareness für das Projekt zu schaffen und aufrecht zu erhalten. IT-Governance stellt in diesem Sinne eine komplexe und weitreichende Disziplin dar. Das definierte Governance-Modell baute dabei auf den Säulen Organisation und Managementprozesse und der Balance zwischen Demand und Supply auf. Durch die Verzahnung dieser drei Bereiche war es gelungen, die definierten Richtlinien und Entscheidungskompetenzen herunterzubrechen, Gremien, Rollen und Prozesse zu definieren und konkret in Strukturen und Praktiken umzusetzen. Das Projekt zeigt, wie wichtig eine funktionierende, verzahnte IT-Governance für IT- Abteilungen ist. Durch die Zusammenlegung zweier funktionierender IT-Abteilungen ergab sich die besondere Situation, dass eine IT-Governance vollkommen neu erstellt werden musste. Ehemals eingespielte Organisationsabläufe mussten neu aufgesetzt und Prozesse neu definiert werden. Ohne diese wäre die Infrastrukturabteilung nicht in der Lage gewesen, langfristig gute Services zu bieten, und auf neue Einflüsse adäquat reagieren zu können. Eine strategische Steuerung der Abteilung wäre ohne funktionierende Governance nicht möglich gewesen. 10.7 Literatur Office of Government Commerce (2011): ITIL v3, Service Operation. http: / / www. itil-officialsite.com/ home/ home.aspx (04.02.2011). Software Engineering Institute (2011): CMMI® for Services, Version 1.3. http: / / www. sei.cmu.edu/ reports/ 10tr034.pdf (04.02.2011). Zaleznik, A. (2004): Leaders and Managers: Are They Different? ; in: Harvard Business Review, Vol. 82, Issue 1, S. 74-81. <?page no="166"?> 11 Provider-Management - Auslagerungscontrolling bei einem führenden deutschen Finanzdienstleister Thorsten Gudjons und Timm Riesenberg Die Auslagerung von Geschäftsprozessen nimmt bei Finanzdienstleistern zu und findet in immer größeren Teilen der Wertschöpfungskette Anwendung. Der mögliche Nutzen ist hoch, allerdings sind auch die damit verbundenen Risiken vielfältig. Dabei stellen sich die gesteckten Nutzenziele nicht von allein ein - die Auslagerungsbeziehung muss über die Laufzeit wirkungsvoll gesteuert werden. In dem dargestellten Projektbeispiel lagerte ein führender deutscher Finanzdienstleister seine Backoffice- Tätigkeiten in ein Joint-Venture aus. Anforderungen an die Auslagerung waren: wettbewerbsfähige Kosten, sichergestellte Qualität, erfüllte Auflagen, gesteuerte Risiken und unterstützte Innovationen. Um nachhaltig die Anforderungen zu erfüllen, wurde ein zentrales Provider-Management eingeführt. In dem Artikel werden die eingeführten Lösungsbausteine für die Auflagenerfüllung und Risikosteuerung dargestellt. Das Provider-Management bedient sich dabei der klassischen Methoden und Tools der IT-Governance. 11.1 Ausgangslage Die Auslagerung von Geschäftsprozessen nimmt bei Finanzdienstleistern stark zu. 117 Standen bisher vor allem Business-Support-Bereiche im Mittelpunkt, werden nun verstärkt auch Kernprozesse ausgelagert. Gleichzeitig steigt die Komplexität der Auslagerungsmodelle - angefangen von Joint Ventures, Multiprovider-Modellen bis hin zu kooperativen Geschäftsmodellen. Ein deutscher Finanzdienstleister hat zum Anfang des Jahres 2009 einen Teil seiner Backoffice-Tätigkeiten in ein Joint-Venture ausgelagert. Der neu gegründete Dienstleister ist einer der größten Anbieter im deutschen Markt. Die Auslagerung bedeutete für den Finanzdienstleister operativ zwei Hauptveränderungen: Auslagerung wesentlicher Geschäftsprozesse als Business-Process-Outsourcing, Migration auf eine neue IT-Plattform im Joint-Venture. Auch nach der Auslagerung verbleibt die Verantwortung über den Gesamtgeschäftsprozess aufsichtsrechtlich wie auch gegenüber dem Kunden grundsätzlich weiterhin beim auslagernden Unternehmen. Somit war für den auslagernden Finanzdienstleister insbesondere der Aufbau eines Provider-Managements erforderlich, das zwei verpflichtende Steuerungsaufgaben verantwortet: 1) Einhaltung der Auflagen sowie 2) Steuerung der veränderten operationellen Risiken. 117 Vgl. Lamberti (Industrialisierung des Bankgeschäfts, 2004), S. 18. <?page no="167"?> 168 Provider-Management Vor diesem Hintergrund führte der auslagernde Finanzdienstleister zusammen mit Deloitte zunächst eine Standortbestimmung durch und leitete Handlungsempfehlungen ab. In der Folge unterstützte Deloitte die Weiterentwicklung der Provider- Management-Funktionen. Ein Erfolgsfaktor des Projekts war die interdisziplinäre Einbindung von Wirtschaftsprüfern und Beratern, um Anforderungen beispielsweise zu Auflagen, Prozess-Know-how und betriebswirtlicher Steuerung abzudecken. 11.2 Projektzielsetzung Auslagerungen sind strategische und langfristige Entscheidungen. Der Erfolg einer Auslagerung bestimmt sich über die gesamte Laufzeit. Provider-Management ist dabei eine geschäftskritische Steuerungsaufgabe. Es verantwortet die taktische und operative Steuerung einer erfolgreichen Leistungsbeziehung zwischen Finanzdienstleister und Provider. Bereits in der Phase der Auslagerungsüberlegungen und später in der Due Diligence sollten die Steuerungsaufgaben eingeplant werden, nicht zuletzt aufgrund der Kosten bei der Business-Case-Betrachtung. Spätestens mit der Auslagerung muss die Provider-Management-Funktion etabliert und handlungsfähig sein. Die angestrebten Ziele der Auslagerung - unter anderem die Steigerung der Servicequalität sowie eine Kostenoptimierung - können ohne eine effektive Steuerung der Leistungsbeziehung zwischen Finanzdienstleister und Joint-Venture nicht realisiert werden. Beim auslagernden Finanzdienstleister verantwortet ein zentrales Provider- Management die Steuerung der Leistungsbeziehung in den Dimensionen Kosten, Qualität, Risikomanagement & Compliance sowie Innovation (siehe Abbildung 11.1). Grundsätzlich sollten die Kosten für die bezogenen Dienstleistungen wettbewerbsfähig sein. Auch muss die Leistungserbringung in adäquater Qualität bei geringem Risiko erfolgen. Compliance- und Innovationsanforderungen sollen weiterhin kontinuierlich geprüft und umgesetzt werden. Abbildung 11.1: Zielsetzungen des Provider-Managements • Benchmark der Service-Preise am Markt • Gewährleistung skalierbarer Kosten Kosten • Sicherstellung einer hohen Kundenzufriedenheit • Monitoring der vereinbarten Diensteleistungsqualität Qualität • Erfüllung regulatorischer Auflagen • Überwachung und Steuerung von Risiken Risikomanagement/ Compliance • Kontinuierliche Verbesserung der Dienstleistung • Beobachtung des Marktes und aktives Einbringen von Verbesserungsvorschlägen Innovation <?page no="168"?> Provider-Management 169 11.3 Provider-Management: Lösungsansatz Deloitte nutzte zur Umsetzung der Anforderungen an ein Provider-Management ein Referenzmodell zur betriebswirtschaftlichen und aufsichtsrechtlichen Steuerung von Dienstleistern (siehe Abbildung 11.3). Das Referenzmodell kam in allen Projektphasen zur Anwendung, zum Beispiel als Leitbild zur Standortbestimmung im Rahmen des Setup oder zur konkreten Weiterentwicklung im Rahmen der Linienfunktion des Provider-Managements (siehe Abbildung 11.2). Abbildung 11.2: Aufgaben im Provider-Management Das Referenzmodell besteht aus neun Provider-Management-Funktionen und beinhaltet zu jeder Funktion Bausteine u.a. zu organisatorischen Regelungen, Rollen, Werkzeugen und Good Practices. Dabei haben drei Funktionen eine besondere Relevanz für das aufsichtsrechtliche Auslagerungscontrolling: Risiko- und Compliance-Management, Service-Level- und Vertragsmanagement sowie Service-Controlling. 11.3.1 Aufsichtsrechtliche Anforderungen Die aufsichtsrechtlichen Anforderungen an die Steuerung und Kontrolle der Auslagerungsaktivitäten im hoch regulierten Umfeld der Banken, Versicherungen, Finanzdienstleister und Kapitalanlagegesellschaften sind unter anderen im InvG 118 und im KWG 119 beziehungsweise den MaRisk 120 definiert. 118 Investmentgesetz 119 Gesetz über das Kreditwesen 120 Mindestanforderungen an das Risikomanagement Aufbau Organisation Auslagerungscontrolling Setup Linienfunktion Weiterentwicklung Organisation Auslagerungscontrolling 1. Initiale Bestimmung reg. Anforderungen und Ableitung von Maßnahmen Health Check regulatorische Anforderungen 2. Initiale Bewertung operationeller Risiken und Bestimmung von Risikostrategien Kontinuierliche Bewertung und Steuerung operationeller Risiken 3. <?page no="169"?> 170 Provider-Management Weitere Anforderungen ergaben sich durch die Neuregelung des BDSG 121 mit Wirkung zum 1. September 2009. Die Neuregelungen verpflichteten den Finanzdienstleister, die Verträge der Auftragsdatenvereinbarungen zu prüfen, bei denen Daten im Auftrag durch Dritte erhoben, verarbeitet und genutzt werden. Das BDSG regelt im §11 Abs. 2 die Ausgestaltung dieser Verträge anhand eines definierten Kriterienkatalogs. Beispielsweise müssen in den Verträgen die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers definiert sein. Abbildung 11.3: Deloitte Provider-Management Referenzmodell In jedem Fall ist das Provider-Management eine nicht delegierbare Leitungsfunktion. 122 Aufgrund der Auslagerung wesentlicher Backoffice-Prozesse beim Finanzdienstleister ist die Einhaltung der aufsichtsrechtlichen Auflagen anspruchsvoll. Parallel gilt es, die veränderten operationellen Risiken zu identifizieren und zu steuern. Zu den Risiken zählen beispielsweise ein Know-how-Verlust im auslagernden Unternehmen sowie erhöhte Komplexität der Datenschnittstellen zum externen Provider. 11.4 Organisation des Provider-Managements Der auslagernde Finanzdienstleister hat die Provider-Management-Funktion zentral im Unternehmen angesiedelt. Die Funktion ist vernetzt und integriert mit bestehenden Unternehmensbereichen wie z.B. Risikomanagement, Compliance, Interne Revision und Recht. Aufgaben, Kompetenzen und Verantwortungen wurden auf Basis des Provider-Management-Referenzmodells klar geregelt und abgestimmt. 121 Bundesdatenschutzgesetz 122 Vgl. BaFin Rundschreiben (MaRisk, 2009), AT 9 Tz. 4 Kunden Intern Extern Provider Management Funktionen Provider Risiko- und Compliance- Management Kundenbeziehungs- Management Finanz- Management Service-Level- und Vertrags- Management Service- Controlling Projektportfolio- Management Innovations- und Serviceportfolio- Management Anforderungs- und Kapazitäts- Management Geschäftsfeld- Beratung Externer Provider … Intern Interner Provider … Geschäftsfeld 1 Geschäftsfeld n <?page no="170"?> Provider-Management 171 Grundsätzlich wurde das Provider-Management so angelegt, dass es alle relevanten internen und externen Leistungsbeziehungen steuern kann. Die Einführung selbst wurde für die hier beschriebene Auslagerung pilotiert und kann dann auf andere Leistungsbeziehungen ausgeweitet werden. Somit ist die Skalierbarkeit für die Funktion gegeben. Weiterhin grenzt sich das Provider-Management auch klar zu den bestehenden Unternehmensbereichen ab. Beispielsweise übernimmt die Einkaufsfunktion übergreifende Verhandlungen und Bewertungen von Lieferanten. Das Provider-Management hingegen steuert im Tagesgeschäft die Leistungsbeziehung. Die klar abgegrenzte sowie zentrale Organisation und Skalierbarkeit der Provider- Management-Funktion ist ein entscheidender Erfolgsfaktor zur Steuerung der ausgelagerten Leistungsbeziehung beim Finanzdienstleister. Das Provider-Management übernimmt die Gesamtkontrolle der Providersteuerung. Es bündelt unter anderem die vertragliche und aufsichtsrechtliche Kompetenz sowie interne und externe Aussagefähigkeit in einer Funktion. 11.4.1 Organisation des Risiko- und Compliance-Managements Die zentrale Risiko- und Compliance-Management-Funktion verantwortet ein kontinuierliches Monitoring und die Umsetzung aufsichtsrechtlicher Neuerungen. Darüber hinaus bewertet sie die operationellen Risiken und leitet Service-Level-Agreement (SLA) Reporting-Anforderungen ab. Die aufsichtsrechtlichen Vorgaben für ein umfassendes Risikosowie Compliance- Management sind in Deutschland geregelt, unter anderem im: § 16 InvG und §§ 9, 9a InvG, MaRisk (BaFin Rundschreiben 15/ 2009), § 25a Abs. 2 KWG sowie § 33 Abs. 2 WpHG 123 . Die Risiko- und Compliance-Funktion strukturiert die aufsichtsrechtlichen Anforderungen hinsichtlich der Ausgestaltung des Auslagerungscontrollings und führt diese zentral gesteuert ein. Dabei ist beim Finanzdienstleister die Zusammenarbeit mit bestehen Unternehmensbereichen wie Risikomanagement, Interne Revision und Compliance entscheidend. Die internen Unternehmensbereiche informieren die Risiko- und Compliance-Funktion des Provider-Managements regelmäßig über neue aufsichtsrechtliche und interne Regelungen. Dabei stellt die Risiko- und Compliance-Funktion sicher, dass Maßnahmen ergriffen werden, um die Tätigkeiten des Service-Provider jederzeit wirksam zu überwachen und die Anforderungen aus dem Business-Continuity-Management zu erfüllen. Auf diese Weise wird sichergestellt, dass die Auslagerung von Aktivitäten und Prozessen nicht zu einem Verlust an Kontrolle über die Risiken beim Finanzdienstleister führt. 124 123 Gesetz über den Wertpapierhandel 124 Vgl. Ketessidis (Outsourcing, 2007), S. 13. <?page no="171"?> 172 Provider-Management Der Finanzdienstleister hat die Risiko- und Compliance-Management-Funktion durch die Rollen des Risiko-Managers sowie dem Compliance-Manager im Provider- Management besetzt (siehe Abbildung 11.4). Abbildung 11.4: Aufgaben im Risiko- und Compliance-Management 11.4.1.1 Checklisten Tool im Risiko- und Compliance-Management Unterstützt wird die Risiko- und Compliance-Management-Funktion durch die Checkliste mit regulatorischen Anforderungen. Die Checkliste strukturiert und dokumentiert vollständig die Erfüllung aufsichtsrechtlicher Bestimmungen. Dargestellt werden der Soll-Zustand, der erreichte Status, Überwachungslücken sowie eingeleitete Maßnahmen (siehe Abbildung 11.5). Die Compliance-Unternehmensfunktion sowie die Interne Revision des Finanzdienstleisters sind zwei wesentliche Quellen für die Bereitstellung aktueller aufsichtsrechtliche Anforderungen. Das Provider-Management bereitet diese Anforderungen für die operativen und Steuerungsaufgaben auf und übernimmt sie in die Checkliste. Damit ist die Checkliste ein zentrales Instrument für die Effizienz der Provider-Management- Funktion. Aufgaben des Risikomanagers im Provider Management Aufgaben des Compliance-Managers im Provider Management • Kontinuierliche Bewertung und Nachverfolgung operationeller Risiken in Bezug auf die Auslagerung • Steuerung der operationellen Risiken und Festlegung von Risikostrategien und -Mitigationen • Berichterstattung an das interne Risiko- Management, Geschäftsführung und Aufsichtsrat über Art, Ursachen, Ausmaß von Risiken sowie Risikostrategie und Maßnahmen • Einbeziehung des ausgelagerten Unternehmens in das Risikomanagement • Monitoring der aufsichtsrechtlichen Bestimmungen sowie Ableitung der Anforderungen und Initiierung der Maßnahmen für das Auslagerungscontrolling • Zentraler Ansprechpartner für Wirtschaftsprüfer, Finanzbehörde und Aufsicht (Auslagerungsbeauftragte(r)) in den relevanten Auslagerungsbeziehungen • Koordination, Adressierung und Umsetzung der Compliance-Anforderungen in Abstimmung mit den internen Organisationseinheiten Compliance, Interne Revision und dem Auslagerungsunternehmen • Durchführung Berichterstattung zum Status und Abhängigkeiten Compliance-Management-Aktivitäten <?page no="172"?> Provider-Management 173 Abbildung 11.5: Checkliste regulatorischer Anforderungen, Strukturierung Soll-Zustand und Tracking-Status Die Risiko- und Compliance-Management-Funktion nutzt die Checkliste in drei Aufgabenbereichen: 1. Aufnahme und Prüfung aufsichtsrechtlicher Bestimmungen, 2. Koordination, Adressierung und Umsetzung der Compliance-Anforderungen, 3. Compliance-Berichterstattung. 1. Im ersten Aufgabenbereich erfolgt die Aufnahme und Prüfung der aktuellen aufsichtsrechtlichen Bestimmungen. Die Bestimmungen werden durch interne Abteilungen beim Finanzdienstleister wie Compliance und Interner Revision an die Risiko- und Compliance-Funktion des Provider-Managements übermittelt. Auch externe Prüfer stellen Anforderungen an die Auslagerung, beispielsweise in der Jahresabschlussprüfung. Die Risiko- und Compliance-Funktion bündelt alle aufsichtsrechtlichen Anforderungen und verantwortet eine kontinuierliche Prüfung und Pflege der Checkliste. Vierteljährlich erfolgt mit Hilfe der Checkliste ein Self-Assessment der Leistungsbeziehung zwischen dem auslagernden Finanzdienstleister und dem Provider. Die Funktion bestimmt den Ist- und Soll-Zustand und leitet aufsichtsrechtlich notwendige Aktionen für das Auslagerungscontrolling ab. 2. Im zweiten Aufgabenbereich nutzt die Risiko- und Compliance-Funktion die Checkliste zur Koordination, Adressierung und Umsetzung aufsichtsrechtlicher Anforderungen. Dabei werden die aufsichtsrechtlich notwendigen Aktionen mit einem Zeitplan und Verantwortlichkeiten versehen. Die Checkliste unterstützt bei der Steuerung und Überwachung der definierten Aktionspläne. Kategorie/ Prüfungsfeld 2.1 Risikomangement (Risikosteuerung und -controlling) • § 9a Satz 2 Nr. 1 InvG • WVRIV Regularorische Grundlage Anforderung 2.0 Outsourcing operative Beziehung Soll-Status Ist-Status To Do • Aufbau und Integration des Risiko-Managements des Auslagerungscontrollings in Risiko-Management • Berichterstattung des Auslagerungs-Beauftragten an den Risikomanager, GF, Aufsichtsrat über Art, Ursachen, Ausmaß und ggf. getroffene Gegenmaßnahmen von Risiken • Einbeziehung des Tochterunternehmens in das Risikomanagement • Berücksichtigung der Wechselwirkungen zwischen Risiken aus der Auslagerung und anderen Risiken • Anforderung der Risikoberichterstattung und Einarbeitung der Ergebnisse in das RM • Monatliche Berichterstattung mit Ad-hoc-Berichterstattung an GF, RM, IR evtl. Gw G-, Compliance- oder Betrugs- Beauftragten • Der Aufsichtsrat ist über die Gesamtrisikosituation der Gesellschaft vierteljährlich schriftlich zu informieren • Rahmenanweisung operative Risiken ist vorhanden (Aufnahme und Bewertung von Szenarien) • Funktion des Operational Risk Managers ist beschrieben und Zuständigkeiten sind benannt • Ein Auslagerungscontrolling mit Risiko Management Rollen, Prozessen sowie Integration in das Risiko- Management ist definiert • Das Risiko-Handbuch wurde zur Auslagerungsbeziehung ergänzt bzw. aktualisiert • MaRiskAT4.3.2. Tz.2 • MaRiskAT4.3.2. Tz.5 • MaRiskAT4.3.2. Tz.6 2.1.1. • Risikoerfassung, Bewertung, Risikokommunikation • Abgleich operationelle Risiken mit Ausgestaltung der SLAs • Aufnahme, Neubewertung der aus der Auslagerung resultierenden Risiken unter Berücksichtigung von Rückwirkungen auf bereits identifizierte Risiken, Risikoszenarien und darauf ausgerichtete Risikosteuerungsmaßnahmen • Bei der Erstellung der SLA sind die operationellen Risiken zu berücksichtigen und mit dem Ziel einer Minderung der Risiken ausgestaltet sein • Risikoszenarien (u.a. operationellen Risiken, sonstigen Risiken) zur Auslagerung sind bewertet • Übertragung der operationellen Risiken in die Szenario DB 2.1.2. <?page no="173"?> 174 Provider-Management 3. Im dritten Aufgabenbereich koordiniert die Risiko- und Compliance-Funktion die Berichterstattung. Dabei erfolgt eine Statusaufnahme der Compliance-Situation in der Auslagerungsbeziehung mit Hilfe der Checkliste. Monatlich meldet die Risiko- und Compliance-Funktion den Status an die Geschäftsführung, Interne Revision und Compliance. 11.4.1.2 OpRisk Tool im Risiko- und Compliance-Management Eine weitere zentrale Aufgabe des Provider-Managements ist die Überwachung und Steuerung der operationellen Risiken. Dazu nutzt die Risiko- und Compliance- Funktion das Deloitte OpRisk Tool des Provider-Management-Referenzmodells zum effektiven Risikomanagement. Die Funktion strukturiert und bewertet die operationellen Risiken, die aufgrund der Auslagerung neu entstehen oder sich verändern. Aus der Praxis empfiehlt sich eine Bewertung operationeller Risiken auf Ebene der Services beziehungsweise Service-Level-Agreements (SLAs). Maßnahmen der Risikostrategien, zum Beispiel Reporting-Anforderungen, können den SLAs direkt zugeordnet werden. Das Vorgehen in dem hier vorgestellten Projekt folgt den erprobten Verfahren im Umgang und bei der Behandlung von operationellen Risiken. Entsprechend dem Rahmenwerk des Finanzdienstleiters erfolgt zunächst die Erstellung eines Risikoinventars. Eine zentrale Vorgehensweise dabei ist die Durchführung strukturierter Workshops, bei denen alle relevanten Parteien eingebunden sind. Nachfolgende Schritte sind die initiale Bewertung der aufgenommenen Risiken sowie die Festlegung der Behandlung konform mit der Risikostrategie des Finanzdienstleiters. Dies erfolgt ebenfalls in moderierten, strukturierten Workshops, die übergreifend besetzt sind. Die Struktur, die Vollständigkeit und die Transparenz des OpRisk Tools unterstützt die effektive Steuerung der operationellen Risiken. Auch beinhaltet das Tool eine vollständige Dokumentation und lässt sich leicht in bestehende Risiko-Dashboards einfügen (siehe Abbildung 11.6). Abbildung 11.6: OpRisk Tool: Bewertung der operationellen Risiken in den Dimensionen Eintrittswahrscheinlichkeit und Schadenshöhe vor und nach der Risikomitigation 8-10 6-8 4-6 2-4 0-2 Risikoverteilung Brutto ohne Auslagerungscontrolling Risikoverteilung Netto mit Auslagerungscontrolling <?page no="174"?> Provider-Management 175 Die Risiko- und Compliance-Management Funktion des Provider-Managements nutzt das OpRisk Tool in drei Aufgabenbereichen: 1. Risikoidentifikation, 2. Bewertung und Steuerung, 3. Berichterstattung. 1. Im ersten Aufgabenbereich führt die Risiko- und Compliance-Funktion eine Risikoidentifikation und -bewertung durch. Die Funktion dokumentiert die operationellen Risiken systematisch im OpRisk Tool. Dazu findet einerseits vierteljährlich ein Self- Assessment mit der Validierung bestehender Risiken statt. Andererseits nimmt die Funktion ad hoc alle eingetretenen und potentiellen Schadensfälle in dem OpRisk Tool auf. Das OpRisk Tool unterstützt weiterhin bei der Risikoanalyse und -bewertung. Die Risiko- und Compliance-Funktion definiert an dieser Stelle für jedes operationelle Risiko Schadensszenarien, Eintrittswahrscheinlichkeiten und Schadenshöhen. Zu den operationellen Risiken sind noch keine Aktionen definiert, daher gelten diese als Bruttorisiken. 2. Im zweiten Aufgabenbereich koordiniert die Risiko- und Compliance-Funktion die Steuerung und Überwachung der operationellen Risiken. Bei der Risikosteuerung wird für jedes operationelle Risiko eine Risikostrategie definiert. Die Strategie kann in der Ausprägung Akzeptieren, Reduzieren, Transferieren oder Vermeiden des Risikos bestimmt sein. Zu den Risikostrategien werden Aktionen (u.a. Ableitung von Reportinganforderungen) festgelegt. Abschließend bewertet die Risiko- und Compliance- Funktion das Nettorisiko mit vereinbarten Aktionen. Parallel zur Risikosteuerung erfolgt die Risikoüberwachung. Dabei führt die Risiko- und Compliance-Funktion regelmäßige Kontrollen der Wirksamkeit der eingeleiteten Aktionen durch. Vierteljährlich bewertet die Funktion in einem Self-Assessment alle operationellen Risiken mit eingeleiteten Aktionen. 3. Im dritten Aufgabenbereich verantwortet die Risiko- und Compliance-Funktion die Risiko-Berichterstattung. Dabei ist die Risikosituation in der Auslagerungsbeziehung in dem OpRisk Tool dargestellt. Die Funktion berichtet die Risikosituation an die Geschäftsführung sowie die Unternehmenseinheit Risikomanagement. Zusätzlich erfolgen, wenn erforderlich, Meldungen neuer risiko-relevanter Ereignisse in der Leistungsbeziehung zwischen Finanzdienstleister und Provider ad hoc. 11.4.2 Organisation des Service-Level- und Vertragsmanagements Als weitere aufsichtsrechtlich relevante Funktion des Provider-Managements steuert die Service-Level- und Vertragsmanagement Funktion die Planung, Vertragsverhandlung und Umsetzung von Services in der Leistungsbeziehung Finanzdienstleister und Provider. Die Funktion vereinbart vertraglich mit dem Provider die Anforderungen des Finanzdienstleisters in Form von Service-Level-Agreements (SLAs) und aktualisiert den Produkt- und Leistungskatalog mit neuen SLAs. Weiterhin berücksichtigt die Funktion bestehende Rahmenverträge, beispielsweise Lizenzverträge oder sonstige Dienstleistungsverträge, und bindet die Rechtsabteilung beziehungsweise das Risikomanagement ein. <?page no="175"?> 176 Provider-Management Für die erfolgreiche Vereinbarung von SLAs arbeitet die Service-Level- und Vertragsmanagement Funktion beim Finanzdienstleister eng mit den Fachbereichen beim Servicegeber und -nehmer zusammen. Die Service-Level- und Vertragsmanagement-Funktion wurde beim Finanzdienstleister durch die Rolle des Servicemanagers sowie einem Review-Gremium besetzt (siehe Abbildung 11.7). Abbildung 11.7: Aufgaben im Service-Level- und Vertragsmanagement 11.4.3 Organisation des Service-Controllings Operativ wird die Leistungserbringung des ausgelagerten Bereichs durch die aufsichtsrechtlich relevante Service-Controlling-Funktion überwacht. Das Service-Controlling besteht aus Kontroll- und Eskalationsprozessen, die die vereinbarte und erbrachte Serviceleistung monitoren. Die Funktion kann mit Hilfe von Frühindikatoren einer fehlerhaften Leistungserbringung entgegenwirken sowie über Spätindikatoren die tatsächliche Leistungserbringung bewerten. So hat das Service-Controlling einerseits Kontrollreports eingefordert. Mit diesen erfolgt u.a. die Beurteilung der Angemessenheit des internen Kontrollsystems (IKS) beim Provider. Die effektivste Überwachung des IKS beim Provider stellt der Kontrollreport i.S.v. IDW PS951 dar. Auch die BaFin sieht die Kontrollreports als effektiven Bestandteil des Auslagerungscontrollings. 125 Andererseits wurde der Provider zu regelmäßigen Berichten zur Leistungserbringung verpflichtet. Das Service-Controlling kann mit dieser Informationsbasis zwei Ziele erfüllen: erstens das Review beziehungsweise Monitoring der Leistungserbringung und zweitens Vorschläge für die Verbesserung der Leistungsbeziehung. Für beide Ziele sind die drei Ebenen - operativ, taktisch und strategisch - relevant. Beispielhaft sind die Review-Aspekte in den Ebenen nachfolgend dargestellt (siehe Abbildung 11.8). 125 Vgl. Schneider (Modernisierung der Outsourcing-Regelungen, 2008), S. 443. Aufgaben des Service-Managers im Provider Management Aufgaben des Review-Gremiums im Provider Management • Operatives Vertrags- und Service-Level- Management gegenüber dem Provider • Organisatorische Vorbereitung der laufenden operativen Vertragsabstimmung zwischen den Gesellschaftern und dem Provider • Operative Unterstützung bei Eskalationen resultierend aus Vertrags- und Service-Level- Vereinbarung • Organisation von relevanten Gremien, Rollen und Prozessen zum Vertrags- Management, insbesondere des Review- Gremiums • Definition der Vertragsinhalte und Entscheidung über Service-Level-Bedarf • Koordination der Anforderung und Beauftragung zusätzlicher spezifischer Leistungen, der Veränderung und Beendigung von spezifischen Leistungen • Abstimmung des Preis-Leistungs- Verzeichnisses auf Service-Ebene • Steuerung der vertraglichen Service- Beziehungen zwischen Provider und Kunde • Sicherstellung einer störungsfreien Leistungserbringung • Überprüfung der Einhaltung der Service- Level Agreements <?page no="176"?> Provider-Management 177 Abbildung 11.8: Review-Ebenen im Service-Controlling Der Finanzdienstleister hat die Service-Controlling-Funktion mit der Rolle des Service- Controllers besetzt (siehe Abbildung 11.9). Für die Überwachung der Leistungsbeziehung verfügt der Service-Controller beim Finanzdienstleister über ausgeprägtes fachliches Know-how der ausgelagerten Backoffice-Prozesse. Zur beschleunigten Handlungsfähigkeit des Service-Controllings gilt auch das Pareto-Prinzip: schnelle Einführung von 20 % Topkennzahlen zur Steuerung von 80 % der Leistungserbringung. Die Auswahl der Topkennzahlen orientiert sich an den Ergebnissen des Risiko- Assessments sowie strategischen Zielsetzungen der Auslagerung. Abbildung 11.9: Aufgaben im Service-Controlling 11.4.4 Weitere Provider-Management-Funktionen Zusätzlich zu den drei aufsichtsrechtlich relevanten Provider-Management-Funktionen: Risiko- und Compliance-Management, Servicelevel- und Vertragsmanagement sowie Service-Controlling • Strategische Bewertung der Leistungsbeziehung • Beantwortung des aufsichtsrechtlichen Fragenbogens durch den Provider mit Fragen zu Compliance- und Risiko-Management Service-Review (jährlich) • Gemeinsame Providerbewertung im Review-Gremium mit Finanzdienstleister und Provider • Berichterstattung der Providerleistung über ausgewählte Key-Performance- Indikatoren (KPIs) in einem Cockpit Service-Cockpit (monatlich) • Operatives Monitoring der vereinbarten Diensteleistungsqualität • Ad-hoc Koordination von Schadensfällen und Einberufung des Review- Gremiums Review- Leistungserbringung (täglich) Aufgaben des Service-Controllers im Provider Management • Durchführung einer wöchentlichen Jour Fixe-Sitzung zum Status des Tagesbetriebs sowie der laufenden Projekte, die zwischen Kunden und Provider vereinbart sind • Organisatorische Vorbereitung des Review-Gremiums • Überwachung der SLA Einhaltung und kontinuierliche Weiterentwicklung der SLAs und des SLA Monitorings entsprechend den fachlichen Anforderungen • Monitoring der vereinbarten und erbrachten Serviceleistungen sowie Meldung von Störungen • Operative Unterstützung bei Eskalationen resultierend aus Leistungsstörungen und Beschwerden sowie Mediation im Fall von Konflikten • Regelmäßige Berichterstattung zum Status und Abhängigkeiten der Serviceleistungen <?page no="177"?> 178 Provider-Management wurden zur vollständigen Steuerung der Leistungsbeziehung in den Dimensionen Kosten, Qualität, Risikomanagement & Compliance sowie Innovation weitere sechs Provider-Management-Funktionen beim Finanzdienstleister handlungsfähig weiterentwickelt. Das Kundenbeziehungsmanagement entgegnet der „gefühlten“ Schlechtleistung des Providers auf Managementebene. Die Funktion verantwortet die kontinuierliche Verbesserung der Kunden-/ Provider-Beziehung. Auch fungiert es in hoch priorisierten Problemfällen als zentrale Eskalationsinstanz aufseiten des Kunden. Das Anforderungsmanagement ist ein zentraler Hebel zur Sicherung der Servicequalität und Minimierung der Kosten. Richtig aufgestellt nimmt es alle Anforderungen der Geschäftsfelder strukturiert auf, harmonisiert diese und leitet sie einheitlich dokumentiert zur Entscheidung an das Projektportfolio- oder Serviceportfolio-Management weiter. Entscheidend für die spätere Kontrolle der Provider-Leistungsbeziehung ist die rechtzeitige Wissenskonservierung. Die Geschäftsfeldberatung betreibt gezielte(n) Wissensaufbau beziehungsweise -archivierung - vor und nach der Auslagerung. Auch erbringt die Funktion methodische Unterstützungsleistungen zur Umsetzung des Service- und Projektportfolios. Das Projektportfolio-Management überwacht die Zielerreichung des Projektportfolios mit Fokus auf die Dimensionen Kosten, Qualität und Innovation. Die Funktion begleitet und unterstützt den Gesamtprozess von der Planung über die Projektdurchführung bis zum Abschluss. Weiterhin schafft sie Transparenz über alle Providerprojekte und entscheidet anhand von Bewertungskriterien und Prioritäten, welche Projekte wann durchgeführt werden. Das Innovations- und Serviceportfolio-Management treibt Innovationspotentiale für Services in die Geschäftsfelder und beobachtet aktuelle Marktanforderungen. Die Funktion agiert im gesamten Service-Lifecycle bei Investitionsentscheidungen bzw. Desinvestition. Es bewertet kontinuierlich den Produkt-/ Servicekatalog auf fachliche Notwendigkeit, führt Benchmarks durch und veranlasst die „Stilllegungen“ von Services. Das Finanzmanagement liefert kontinuierlich Kosteneinsparpotentiale. Die Funktion übernimmt das Finanz-Controlling und die Budgetplanung der Providerbeziehungen. Es sorgt für eine leistungsgerechte Bepreisung der Services und stellt die transparente Leistungsverrechnung sowie Rechnungsstellung sicher. Generell können in anderen Kundensituationen Aufgaben der Provider-Management- Funktionen auch durch bestehende Unternehmensfunktionen beispielsweise dem Projektportfolio-Management oder Finanzmanagement abgedeckt sein. Entscheidend ist die vollständige Prüfung und Zuordnung aller Aufgaben zur Steuerung des Auslagerungsverhältnisses. 11.4.5 Personelle Organisation im Provider-Management Die erfolgreiche Organisation der Provider-Management-Funktionen ist abhängig von der richtigen Stellenbesetzung. Provider-Management ist eine klassische Schnittstellenfunktion und befindet sich im „Sandwich“ zwischen Leistungserbringer und Leistungsempfänger. Die Komplexität dieser Schnittstellenfunktion ergibt sich aus ver- <?page no="178"?> Provider-Management 179 schiedenen Gründen. Einerseits ist die Leistungsverflechtung komplex und erhebliche Abhängigkeiten existieren - nicht nur auf der operativen Ebene im Geschäftsprozess. Andererseits liegen naturgemäß divergierende Ansätze und Sichten zwischen Service- Provider und Service-Empfänger. Zur Steuerung dieser anspruchsvollen Schnittstellenfunktion muss insbesondere das Profil der Leitungsfunktion ausgeprägte fachliche und persönliche Kompetenzen erfüllen. Auf fachlicher Ebene umfasst das Profil der Leitungsfunktion im Projektbeispiel des Finanzdienstleisters u.a. folgende Eigenschaften: führungsstark - einschlägige Führungserfahrung im Provider-Management für Finanzinstitute fachlich versiert - grundlegendes Prozessverständnis der durch den Provider erbrachten Dienstleistungen und deren Integration in die Wertschöpfungskette methodenstark - fundierte Kenntnis der Service-Controlling-Prozesse sowie Beherrschung der einschlägigen Methoden und Instrumente Weiterhin sind auf persönlicher Ebene u.a. folgende Anforderungen gegeben: durchsetzungsstark - Kommunikations- und Verhandlungsgeschick bei angemessener Kritikfähigkeit robust - Stabilität und Selbstvertrauen zielorientiert - Fähigkeit, Aufgaben und Ziele konsequent zu verfolgen und zu erreichen vernetzt - Fähigkeit, bestehende Netzwerke in allen Hierarchieebenen zu nutzen und auszubauen selbständig und strukturiert - proaktive Entwicklung von eigenen Ideen und Projekten Unterstützt wird die Leitungsfunktion durch vier weitere Stellenprofile im Provider- Management, dem (siehe Abbildung 11.10): Kundenmanager, Risiko- und Compliance-Manager, Service-Controller sowie Finanzmanager <?page no="179"?> 180 Provider-Management Abbildung 11.10: Skillprofile im Provider-Management Die Anzahl der zu besetzenden Stellen ist abhängig von der Größe und Komplexität der Auslagerung. Im dargestellten Projektbeispiel wurden 5 % des Auslagerungsumsatzvolumens für Provider-Management-Stellen vorgesehen. 11.5 Fazit Mit dem neu eingeführten Provider-Management ist der auslagernde Finanzdienstleister in der Lage, die regulatorischen Anforderungen effizient zu erfüllen und die operationellen Risiken effektiv zu steuern. Das Projektbeispiel beim Finanzdienstleister kennzeichnete zentrale Erfolgsfaktoren zum Aufbau eines handlungsfähigen Provider-Managements. Einerseits muss das Management die strategischen Ziele und Prioritäten der Auslagerungsbeziehung beispielsweise über das Service Review Board kommunizieren und einfordern. Andererseits muss die Provider-Management-Funktion die strategischen Ziele in operative Vorgaben der Dimensionen Kosten, Qualität, Risikomanagement & Compliance sowie Innovation übersetzen. Weiterhin sollten Anforderungen an das Provider-Management - beispielsweise der Personalstärke - bereits vor der Auslagerung sowie bei der Ermittlung des Business Case berücksichtig werden. Externe Prüfer und Berater können aktuelle aufsichtsrechtliche Anforderungen bestimmen und eine schnelle Handlungsfähigkeit mit erprobten Methoden und Tools gewährleisten. Dabei sollten die Provider-Management-Aufgaben frühzeitig und vollständig adressiert oder in einer neuen Funktion besetzt werden. Die klare Verteilung der Aufgaben, Kompetenzen und Verantwortungen sowie Nutzung vorhandener Bereiche beispielsweise dem Risikomanagement, Interne Revision und Einkauf ermöglicht eine schnelle Integration und Akzeptanz der Providersteuerung. Zur beschleunigten Handlungsfähigkeit des Provider-Managements gilt auch das Pareto-Prinzip: Schnelle Einführung von 20 % Topkennzahlen in der Funktion Service-Controlling zur Steuerung von 80 % der Leistungserbringung. Die Auswahl der Topkennzahlen orientierte sich an den Ergebnissen des Risiko-Assessments sowie an strategischen Zielsetzungen der Auslagerung. Provider Management Provider Manager Leitungsfunktionen Kunden Manager Risiko- und Compliance Manager Service- Controller Finanz Manager • Langjährige Erfahrungen im Bereich Service und Provider Management • Koordinations- und Abstimmungskompetenz • Erfahrungen in der Zusammenarbeit mit Wirtschaftsprüfern • Hintergrund im Bereich Compliance/ Legal • Erfahrungen in der Zusammenarbeit mit Providern • Erfahrung im Auslagerungscontrolling • Sehr gute Kenntnisse in der Fondsbuchhaltung und -administration • Erfahrungen in der Zusammenarbeit mit Providern • Einschlägige Erfahrungen im Finanzcontrolling • Koordinations- und Abstimmungskompetenz <?page no="180"?> Provider-Management 181 Grundsätzlich gilt, dass die mit einer Auslagerung angestrebten Ziele über die Laufzeit der Auslagerung erreicht werden - nicht mit dem Vertragsabschluss. Mit dem Vertrag werden die Weichen gestellt. Die Ziele müssen jedoch durch eine aktive Steuerung über den gesamten Lebenszyklus der des Vertrags eingefahren werden. Anders dargestellt - ohne aktive Steuerung verschlechtert sich die Situation bei dem auslagernden Unternehmen. Mit dem Aufbau des handlungsfähigen Provider-Managements wird die aktive Steuerung ermöglicht und die Grundlage für die Zielerreichung erarbeitet. 11.6 Literatur BaFin (2009): Mindestanforderungen an das Risikomanagement, in Rundschreiben (BA), 15/ 2009, AT 9 Tz. 4. Ketessidis, A. (2007): Outsourcing: Neue Anforderungen als Chance für Banken und Herausforderung für die Aufsicht. - In: BaFin Journal, 10/ 2007, S. 13. Lamberti, H.-J. (2004): Industrialisierung des Bankgeschäfts. - In: die bank, 06/ 2004, S. 8. Schneider, A. (2008): Modernisierung der Outsourcing-Regelungen und Integration in die Mindestanforderungen an das Risikomanagement. - In: WPg, 10/ 2008, S. 443. <?page no="182"?> 12 Governance im Umfeld von Asset-Management für Telekommunikationsdienstleister Stephan Barths und Robert Horndasch In historisch gewachsenen Unternehmensstrukturen ist es häufig schwierig, Veränderungen zu realisieren, um bewährte Prozesse und IT sowohl effektiver als auch effizienter zu gestalten oder auf neue Regelwerke, wie z.B. SOX, hin anzupassen. Um eine einheitliche Verwaltung von Anlagegütern (Assets) für komplexe Netzwerkstrukturen in der technischen als auch kaufmännischen Bestandsführung zu realisieren, ist die Etablierung von eindeutigen Governance-Strukturen im Bereich des Asset- Managements erforderlich. Bei der Umsetzung eines betriebsweiten Asset-Managements sind einheitliche Prozess- und Datenmodelle sowie durchgängige IT-Systeme zwingende Voraussetzung. Dabei unterstützt eine Governance die Sicherstellung der Konsistenz von Design, Implementierung und Controlling der Geschäftsprozesse und hilft bei der IT-seitigen Realisierung. Die Einführung einer betriebsweiten Governance für Asset-Management motiviert sich neben effizienzsteigernden Maßnahmen auch durch die Einführung neuer Regelungswerke, wie z.B. SOX, die eine Anpassung vorhandener Prozess- und IT-Architekturen erfordern. Der vorliegende Beitrag beschreibt die Ausgangslage eines anonymisierten Kundenprojektes, erläutert die zentralen Erfolgsfaktoren und Maßnahmenblöcke einer Governance im Umfeld des Asset-Managements und zeigt abschließend das Gesamtkonzept in Form eines Frameworks auf. 12.1 Einleitung Unternehmen aus der Telekommunikationsbranche sehen sich seit geraumer Zeit einem kontinuierlichen Wandel ausgesetzt, welcher zum einen durch regulatorische Rahmenbedingungen Anpassungen in der Betriebsorganisation erfordert, zum anderen durch verstärkten Wettbewerb im Telekommunikationsmarkt die Notwendigkeit der Business-Ausrichtung auf Kundenbedürfnisse, der Flexibilisierung des Geschäftsbetriebs und der Steigerung von Transparenz und Effizienz des Geschäftsbetriebs bedingt. Daneben haben gerade in den letzten Jahrzehnten historisch gewachsene Unternehmen funktional starke Organisationsstrukturen aufgebaut, die abteilungsspezifisch effiziente Dienstleistungen erbringen, abteilungsübergreifend jedoch nicht optimal zusammenarbeiten. Eine abteilungsübergreifende, auf Prozesseffizienz ausgerichtete Zusammenarbeit ist jedoch essentiell, um in einer Gesamtbzw. End-to-End-Sicht Produkte und Dienstleistungen zu erzeugen und am Markt zu etablieren. Ein Beispiel für eine solche abteilungsübergreifende Zusammenarbeit ist das Asset- Management, welches sich einerseits mit der buchhalterischen Verwaltung anlagerelevanter Güter im Rahmen der Bilanzbuchhaltung beschäftigt, <?page no="183"?> 184 Governance im Umfeld von Asset-Management für Telekommunikationsdienstleister andererseits eine eng verzahnte Schnittstelle zu den Bereichen der Technik/ Produktion und IT aufweist. Deloitte hat im Rahmen von Kundenprojekten Asset-Management zur Verwaltung von Anlagegütern bei nationalen und internationalen Anbietern für Telekommunikationsleistungen realisiert. Die Erkenntnisse aus den Kundenprojekten zum End-to-End-Asset-Management werden gemeinsam mit den Erfahrungen aus angrenzenden Projekten im folgenden Beitrag beschrieben. Im Fokus steht die Entwicklung einer übergeordneten Governance, welche im Rahmen der Kundenprojekte realisiert wurde. Der vorliegende Beitrag gliedert sich wie folgt: Nach der Einleitung werden in Kapitel 2 zunächst die Anforderungen erläutert, die eine übergeordnete Governance erfordern. Darauf aufbauend werden die einzelnen Bausteine eines End-to-End-Asset-Managements vorgestellt. In einem Governance-Framework werden abschließend die einzelnen Bausteine im Gesamtzusammenhang dargestellt. Der Beitrag schließt mit einer Zusammenfassung des Beitrags und einem Ausblick. 12.2 Von Compliance-Anforderungen zur Realisierung eines End-to- End-Asset-Managements 12.2.1 SOX und die daraus resultierenden Anforderungen an Buchhaltung und Technik SOX ist die Kurzform für Sarbanes-Oxley Act und bezeichnet ein im Jahre 2002 festgelegtes US-Bundesgesetz als Reaktion auf Bilanzfälschungen. Die mit SOX einhergehende Einführung neuer Regelungen hat auch für deutsche Unternehmen weitreichende Konsequenzen. Insbesondere dann, wenn sie an einer US-amerikanischen Börse aktiv bzw. ausländische Töchter deutscher Unternehmen Teil SEC-registrierter Unternehmen sind (Library of Congress 2002), (Fiege 2006), (Kraus 2007). Wesentliches Ziel von SOX ist die Schaffung von Transparenz in den Unternehmensprozessen. Auf diese Weise soll das Vertrauen in die Richtigkeit der durch Unternehmen veröffentlichten Finanzdaten wiederhergestellt werden, welches im Rahmen der Bilanzskandale verloren ging (Kraus 2007). Für weitere Ausführung zu SOX wird auf die Literatur verwiesen (Congress 2002). Die Reaktion auf regulatorische Anforderungen wie SOX hat für viele Unternehmen weitreichende Konsequenzen zur Folge, die im Betriebsablauf zwingend zu berücksichtigen sind. Die neuen Anforderungen bzgl. Erhöhung der Datenqualität der technischen Betriebsführung sowie der Finanzbuchhaltung, Berücksichtigung neuer Publizitätspflichten und neuer Standards sowie Schaffung von Transparenz in den Geschäftsprozessen zur Nachverfolgbarkeit der Leistungserstellung führen zur Notwendigkeit organisatorischer Anpassungen. Zunächst müssen Prüfmechanismen in Prozessen realisiert werden, die gewährleisten, dass die regulatorischen Anforderungen auch berücksichtigt werden. Weiterhin müssen Personalressourcen mit <?page no="184"?> Governance im Umfeld von Asset-Management für Telekommunikationsdienstleister 185 der Aufgabe bedacht werden, jene Prüfmechanismen zu implementieren und für die fortbleibende Befolgung jener Regularien zu sorgen (Compliance). Schlussendlich muss die Nachhaltigkeit der Compliance-Maßnahmen gewährleistet werden, um z.B. Strafzahlungen zu vermeiden. Im Folgenden wird, ohne Anspruch auf Vollständigkeit, ein Kurzüberblick gegeben, welche Problemstellungen bei der Erreichung der Compliance-Anforderungen für Regulatorien wie SOX auftreten können. Diese werden in Form einer einfachen Ursache-Wirkungs-Betrachtung dargestellt: Ineffiziente Abläufe und mangelnde Mechanismen zur Prozesssteuerung führen zu unsauberen und intransparenten Prozessen, die nicht „compliant“ sind, was wiederum Probleme in der Datenqualität hervorruft, die zu Fehlern bei der Publikation von Finanzdaten sowie Daten des technischen Betriebs führen (vgl. folgende Abbildung). Abbildung 12.1: Darstellung der Ursache-Wirkungs-Kette Wenngleich die Schaffung von Compliance einem prüfungssowie regulatorisch getriebenen Umfeld entspringt, so finden sich doch - wie die eben dargestellte Ursache- Wirkungs-Kette vermuten lässt - weitreichende Auswirkungen in den verschiedensten Fachabteilungen einer Organisation wieder. Nur wenn die Prozesse einer Organisation in z.B. Finanzbuchhaltung, Produktion, Logistik und IT den SOX-Regularien genügen, kann die Organisation auf verlässliche Zahlen zurückgreifen, die im Rahmen der Offenlegung von Finanzdaten bspw. in der Bilanz Verwendung finden. Eine enge Zusammenarbeit zwischen Fachabteilungen und Buchhaltung ist somit erforderlich. Im folgenden Abschnitt werden die Bausteine beschrieben, die im Rahmen eines Endto-End-Asset-Managements bei Kunden der Telekommunikationsindustrie realisiert wurden. Unzureichende Prozesssteuerung Ineffiziente Prozesse Mangelhafte Datenqualität Handlungsbedarf! ! ! Finanzen: Fehlinformationen Technik: Fehlinformationen <?page no="185"?> 186 Governance im Umfeld von Asset-Management für Telekommunikationsdienstleister 12.2.2 Bausteine eines End-to-End-Asset-Managements im Telekommunikationsbereich 12.2.2.1 Erzielung von Eindeutigkeit Die Schaffung von Eindeutigkeit bezüglich der Identifizierung von Vermögensgegenständen ist wesentliche Grundvoraussetzung zur Publikation valider Finanzzahlen. Neben finanziellen Belangen spielt die Eindeutigkeit auch für die Prozesse des Product Life Cycle Managements (PLM) und der Logistik eine wesentliche Rolle. Die eindeutige Identifikation von Vermögensgegenständen ist zur Realisierung eines End-to-End-Managements über verschiedenen Dimensionen zu erzielen: Physische Ebene: Auf der physischen Ebene sind Vermögensgegenstände mit einem eindeutigen Identifier (UID = Unique Identifier) zu kennzeichnen, damit sie über den gesamten Produktlebenszyklus identifizierbar sind, bspw. im Rahmen von Inventuren. Darüber hinaus bietet sich eine Steuerung logistischer Wege auf Basis physisch repräsentierter IDs an. Auf physischer Ebene kann die ID z.B. als Barcode-Label oder RFID-Chip repräsentiert werden. Dabei sind verschiedene Ausprägungen möglich, auf die im Rahmen des Beitrags nicht näher eingegangen werden soll. IV-Ebene : In den informationsverarbeitenden Systemen (IV-Systeme) einer Organisation - insbesondere in der Datenhaltung - ist eine eindeutige ID zu hinterlegen und konsistent zu pflegen. Da Vermögensgegenstände in Großunternehmen oftmals unter Zuhilfenahme mehrerer Bestandsführungssysteme gepflegt werden, ist die eindeutige ID in den heterogenen Systemen zu hinterlegen und mittels Datenintegration (Punkt-zu-Punkt Schnittstellen bzw. Middleware/ EAI-Engine) eine konsistente Verwendung der IDs zu gewährleisten. Eine wesentliche Herausforderung bei der Schaffung einer eindeutigen ID ist die Abstimmung bzgl. Format und Inhalt mit den Lieferanten eines Unternehmens. Um den Aufwand der Einführung einer eindeutigen ID für ein Unternehmen zu reduzieren, ist bereits sehr früh im Life Cycle Management eines Produktes - bestenfalls bereits zum Zeitpunkt der Produktion - die Schaffung einer eindeutigen ID (z.B. in Form eines Barcodes) zu berücksichtigen, der die zur eindeutigen Identifizierung notwendigen Attribute aufweisen muss. Im Rahmen des Kundenprojektes wurde eine eindeutige Kombination aus drei Datensätzen zur Definition der ID herangezogen, welche aus folgenden Attributen besteht: Herstellernummer + Herstellermaterialnummer + Seriennummer Durch diese Nummernkombination werden einzelne Materialien weltweit eindeutig identifiziert. Die Einführung einer eindeutigen ID hat folgende Vorteile: Die Qualität von bestandsführenden Datensätzen wird erhöht, da Datensätze nicht mehr redundant gehalten werden und eine system- und herstellerübergreifende Identifikation von Anlagegütern ermöglicht wird. Die ID schafft zudem die Grundlage für Prozessverbesserungen, insbesondere im Hinblick auf <?page no="186"?> Governance im Umfeld von Asset-Management für Telekommunikationsdienstleister 187 o die Integration von Prozessen, o die Möglichkeit eines Materialbzw. Anlagegüter-Trackings sowie o die Datengrundlage zur Verbesserung von Inventurprozessen. Prozesse müssen „lernen“, mit dem physischen und auch auf Datenebene repräsentierten UID-Standard umzugehen. In den Prozessen müssen zur Erfassung und Prüfung der neuen standardisierten Datensätze Erhebungs- und Prüfmechanismen etabliert werden. 12.2.2.2 Integration der Asset-Management-relevanten Prozesslandschaft Die wesentlichste Herausforderung ist die Integration der verschiedenen Fachbereichsprozesse im Rahmen eines Asset-Managements. Verschiedene Organisationseinheiten mit verschiedenen Fachbereichszielen müssen mit Blick auf die Integration bestandsführungsrelevanter Prozesse zusammengebracht werden. Hierbei können folgende Kernerfolgsfaktoren identifiziert werden: Die Erstellung eines bereichsübergreifenden Projektteams mit Projektmitgliedern, die in der Lage sind, die Interessen der verschiedenen Fachbereiche zu repräsentieren, ist wesentlich für den Erfolg eines Asset-Managements. Die Definition des Gesamtprozesses „Asset-Management“ im Sinne eines Referenzprozesses/ Referenzframeworks ist Grundlage sowohl zur Erhebung von Ist-Prozessen als auch Grundlage zur Definition neuer Soll-Prozesse. Für die Umsetzung einer Prozessintegration im Rahmen des Asset-Managements hat sich folgendes Vorgehen etabliert: Zunächst muss der Gesamtprozess „Asset-Management“ mit den verschiedenen Ansprechpartnern aus den Fachbereichen besprochen werden, um die Interessen der verschiedenen Fachbereiche zu berücksichtigen. Dabei sind die notwendigen Anforderungen an den neuen Zielprozess aufzunehmen. Anschließend sollte eine explizite Definition der Schnittstellen zwischen den einzelnen Fachbereichen erfolgen, um die Abhängigkeiten zwischen den Prozessen verschiedener Fachbereiche zu klären. Erst wenn alle beteiligten Fachbereiche ein gemeinsames Verständnis über den Prozess sowie die wechselseitigen Abhängigkeiten vorweisen, kann der neue Zielbzw. Soll-Prozess als integriertes Gesamtbild entwickelt werden. 12.2.2.3 Qualitäts- und Effizienzsteigerung durch Automatisierung Ein weiterer signifikanter Bereich zur Qualitäts- und Effizienzsteigerung im Rahmen eines Asset-Management Projektes ist der Bereich Automatisierung. Durch die Schaffung eindeutiger, effizienter Prozesse kann die Einhaltung der Compliance- Anforderung gewährleistet werden. Die Evaluierung der Automatisierungspotenziale bezieht sich im Wesentlichen auf die für das Asset-Management relevante Auftragslogik. Hier werden die für das Asset-Management relevanten Prozesse aus Sicht der Anlagenbuchhaltung als auch aus Sicht der Technik mit Bezug auf Bestellung und Buchung der für die Produktion erforderlichen Materialien untersucht. <?page no="187"?> 188 Governance im Umfeld von Asset-Management für Telekommunikationsdienstleister Zunächst müssen die unterschiedlichen Optionen zur Automation im Auftragslebenszyklus analysiert werden. Die folgende Darstellung zeigt das Modell des Auftragslebenszyklus. Abbildung 12.2: Auftragslebenszyklus - vom Anlegen eines Auftrags bis zum Abschluss Das Modell umfasst das Anlegen eines Auftrags, die Planung und Durchführung bis hin zur Abrechnung und Dokumentation. Wesentliche initiale Ziele der Automatisierung sind hierbei: Sicherstellung der eindeutigen Zuordnung von baulichen Maßnahmen in der Technik zu den relevanten Anlageklassen mittels einer durchgängigen Auftragslogik, um eine eindeutige Identifizierbarkeit der buchungsrelevanten Maßnahmen zu erzielen, Automatisierung von harmonisierten Buchungsprozessen durch Schaffung einer durchgängigen Auftragslogik. Hierdurch wird schließlich die automatische Ableitung einer eindeutigen Kontierung der Betriebs-, bzw. Investitionskosten (CAPEX/ OPEX-Zuordnung) sowie eine Effizienzsteigerung für den Bereich der Kontierungsprozesse, z.B. der Kostenzuordnung bei der Durchführung von technischen Maßnahmen erzielt. Zur Vervollständigung wird die Automatisierung der technischen Dokumentation für das Anlagevermögen eingeführt. 12.2.3 Governance-Framework zur Realisierung eines End-to-End-Asset- Managements Die Komplexität eines übergreifenden Asset-Managements für ein Unternehmen der Telekommunikationsindustrie entsteht - wie in der folgenden Abbildung dargestellt - durch das Zusammenspiel von Netztechnik, IT sowie Finanzbuchhaltung. Bei Aufbauarbeiten der Netzwerkstruktur beispielsweise müssen netzwerkrelevante Daten über IT-Systeme mit Buchungsdaten der Finanzbuchhaltung verknüpft werden und die entstehenden Kosten sowohl verursachergerecht wie auch anlagenklassenspezifisch zugeordnet werden. Auftragslebenszyklus Anlegen Planen Ausführen Abrechnen Abschließen <?page no="188"?> Governance im Umfeld von Asset-Management für Telekommunikationsdienstleister 189 Abbildung 12.3: Asset-Management als bereichsübergreifendes Thema Ein wesentliches Kriterium für die Einführung eines Asset-Managements ist die Schaffung eines abteilungsübergreifenden Asset-Managementprozesses sowie die abteilungsübergreifenden Harmonisierung von Daten bzw. Datenflüssen. Bei der Einführung einer funktionsübergreifenden Governance für das End-to-End- Asset-Management müssen im Wesentlichen vier Governance-Hebel berücksichtigt werden: 1. eine klare Schneidung der Asset-Klassen (z.B. Glasfaser-, Kupferkabel oder Kabelrohre, …), sowie eine exakte Zuordnung der Assets zur jeweiligen Klasse, 2. ein eindeutiges Geschäftsprozessmodell mit klarer Zuordnung der Prozessverantwortlichen, 3. ein funktionsübergreifendes Asset-Management-Gremium, 4. die Steuerung des End-to-End-Asset-Managementprozesses durch KPI. Netztechnik IT Assetmanagement Finanzbuchhaltung <?page no="189"?> 190 Governance im Umfeld von Asset-Management für Telekommunikationsdienstleister Abbildung 12.4: Framework Die Darstellung zeigt als Übersicht die vier wesentlichen Hebel der funktionsübergreifenden Governance, mit der die Einführung sowie der Betrieb des Asset-Managements in einem Unternehmen gesteuert werden kann. Bei der Schneidung der Anlagenklassen geht es im Wesentlichen darum, die Materialien/ Komponenten des Netzwerks festgelegten Anlagenklassen zuzuordnen. Hierbei ist eine Unterteilung in Anlagenklassen bezogen auf die Netztechnik entsprechend der unterschiedlichen Netzkomponenten sinnvoll. Um eine sinnvolle Klassifizierung vorzunehmen, wird im Rahmen der Governance ein kompetentes Gremium eingeführt, dass diese Unterteilung bzw. Zuordnung bei der Einführung neuer Netzwerkkomponenten vornimmt. Durch die Schaffung einer transparenten Geschäftsprozessverantwortung und der Zuordnung entsprechender Key-Performance-Indikatoren ist schließlich eine Steuerung des Asset-Managements als Bestandteil der Unternehmenssteuerung möglich. 12.2.3.1 Einführung geeigneter Key-Performance-Indikatoren Zur nachhaltigen Realisierung eines ganzheitlichen Governance-Frameworks müssen Maßnahmen ergriffen werden, die es dem Management ermöglichen, Zeit, Kosten und Qualität des Asset-Managements zu messen sowie unter Berücksichtigung von Zielerfüllungsgraden zu bewerten. Key-Performance-Indikatoren (KPI) für wesentliche Bewertungsgrößen wie z.B. die Qualität der technischen Dokumentation, die Synchronität von technischer und buchhalterischer Bestandsführung oder auch die Qualität der in der Anlagebuchhaltung durchgeführten Buchungen spielen hierbei eine zentrale Rolle. Weitere wichtige KPI sind unter anderem auch das Einhalten kurzer Lagerzeiten bzw. kleiner Lagerbestände. Unter Definition und Verwendung geeigneter KPI können für das Asset- Management wesentliche Steuerungsmechanismen geschaffen werden. Ausgangslage zur KPI-Entwicklung ist die Kenntnis der Zielgrößen, die im Rahmen eines ganzheitlichen Governance-Ansatzes gemessen werden sollen. Zielgrößen leiten sich insbesondere aus den Maßnahmenblöcken ab, die zur Realisierung einer ganzheitlichen Governance im Rahmen eines Asset-Managements initiiert werden. Um den Erfolg der Maßnahmen zu messen, werden hierzu KPI herangezogen, welche Werte liefern, die im Kontext eines zu definierenden Bewertungsrahmens mit Schwellwerten zu interpretieren sind. Ziel ist hierbei beim Durchlaufen des End-to-End-Asset- Managementprozesses mit Hilfe der KPI die Einhaltung der Effizienz und Datenqualität sicherzustellen. Funktionsübergreifende Governance Asset-Management Klare Schneidung der Assest-Klassen Klare Geschäftsprozessverantwortung Funktionsübergreifendes Asset Management Komitee Steuerung über KPIs und Individualziele <?page no="190"?> Governance im Umfeld von Asset-Management für Telekommunikationsdienstleister 191 Die bereits in vorherigen Abschnitten erwähnte Schaffung von Datenqualität kann mit Bezug auf eine konkrete Datenbasis im Vergleich der Ist- und Soll-Daten gemessen und bewertet werden. Hierzu sind genaue metrische Maße (bspw. Datenqualität in Prozent - Anzahl der übereinstimmenden = korrekten Datensätze/ Anzahl aller Datensätze) und vereinfachte Schwellwerte (Datenqualität = gering/ mittel/ hoch) denkbar. 12.3 Zusammenfassung und Ausblick Im vorliegenden Beitrag wurde ein Ansatz zur Schaffung einer übergeordneten Governance beschrieben. Grundlage des Beitrags ist die Umsetzung einer solchen Governance bei Telekommunikationsdienstleistern im Umfeld des Asset-Managements. Im Einzelnen wurden folgende Lösungskomponenten aufgezeigt: Lösungselement zur Erzielung von Eindeutigkeit im Rahmen des Asset- Managements als Grundlage der Daten- und Prozessintegration, Lösungselement zur Integration der am Asset-Management beteiligten Prozesse verschiedener Fachabteilungen zur Reduktion von Friktionen an den Prozessgrenzen der Fachprozesse (Netztechnik, FiBu, IT usw.), Lösungselement zur Automatisierung wesentlicher Prozesse zur Steigerung von Effizienz und zur Erhöhung der Datenqualität für das Asset-Management, Lösungselement zur Messung und Bewertung der Ergebnisdimension des Asset-Managements zur Schaffung einer nachhaltig steuerbaren Asset-Management-Architektur. Abschließend wurde ein Framework aufgezeigt, welches die verschiedenen Maßnahmenblöcke in einen integrierten Zusammenhang setzt. Der beschriebene Ansatz zielt auf folgenden Nutzen ab: Neben der Schaffung von Transparenz in den Prozessen des Anwendungsbereichs Asset-Management kann über die Umsetzung einer ganzheitlichen Governance die Effizienz der zugrunde gelegten Prozesse erhöht, die Anzahl der Prozessschnittstellen sowie damit verbundener Prozessbrüche zwischen verschiedenen Fachabteilungen reduziert sowie eine nachhaltige Prozess- und IT-Architektur mit Hilfe einer ganzheitlichen Governance realisiert werden. Wenngleich der beschriebene Ansatz primär auf Erfahrungen mit Unternehmen aus der Telekommunikationsindustrie basiert, so eignen sich die im Beitrag beschriebenen Erkenntnisse auch für Infrastruktur nahe Industrien wie Energie oder Transport, da auch in diesen Industrien die Prozesse verschiedener Fachabteilungen (Produktion bzw. Netztechnik, FiBu und IT) eng zusammenarbeiten, um beispielsweise eine synchrone Datenhaltung sicherzustellen. Nur so lässt sich letztlich eine effiziente und Compliance-konforme Betriebsarchitektur realisieren. <?page no="191"?> 192 Governance im Umfeld von Asset-Management für Telekommunikationsdienstleister 12.4 Literatur Library of Congress (2002): http: / / thomas.loc.gov/ cgi-bin/ query/ z? c107: H.R.3763. ENR: (25.01.2010). Fiege, S. (2006): Risikomanagement- und Überwachungssystem nach KonTraG. DUV, Wiesbaden. Kraus, P. (2007): Auswirkungen des Sarbanes-oxley Acts in Deutschland, GRIN Verlag. <?page no="192"?> 13 Business-Case-Betrachtung für eine ordnungsgemäße Stilllegung von Legacy-Systemen am Beispiel von SAP Ingo Dassow Die Harmonisierung von IT-Landschaften hat im Zuge von Unternehmensaufkäufen oder Anstrengungen zur Prozessoptimierung in den letzten Jahren zunehmend an Bedeutung gewonnen. Wachsende Datenmengen und hohe gesetzliche Anforderungen stellen Unternehmen vor die Herausforderung, die daraus resultierenden Informationsmengen während des gesamten Lebenszyklus vorausschauend zu managen. Innerhalb von Harmonisierungsprojekten entstehen neue Systemlandschaften, die während oft global angelegter Migrationsprojekte Informationen mit Stammdatencharakter aus der abzulösenden Legacy-Welt aufnehmen. Als „Altlasten“ bleiben Legacy-Systeme zurück, die entsprechend der auf den verbleibenden Buchungsstoff wirkenden Aufbewahrungspflichten über einen langen Zeitraum am Leben gehalten werden müssen. Für die Wertschöpfung des Unternehmens liefern die Legacy- Systeme nur noch einen geringen Beitrag, sodass Kosten und Nutzen für die Erhaltung auf den Prüfstand gebracht werden müssen. Methoden für eine Archivierung der in den Legacy-Systemen gespeicherten Informationen bergen unter dem Synonym „Information Lifecycle Management (ILM)“ neben dem Potenzial zur Betriebskostensenkung auch Optimierungsmöglichkeiten im Hinblick auf die Speicherung von Informationen. Dieser Beitrag zeigt den Zielkonflikt auf, der aus der Notwendigkeit zur Senkung der Betriebskosten für die Informationserhaltung und der Einhaltung bestehender Compliance-Anforderungen unter Beachtung beteiligter Technologiekomponenten resultiert. Innerhalb der Fallstudie wird am Beispiel einer SAP-Lösung zur Langzeitarchivierung dargestellt, dass Information Lifecycle Manangement (ILM) beim Einsatz eines auf die Einführungsmethodik abgestimmten „Control Frameworks“ zu einer kostenoptimierten und ordnungsgemäßen Aufbewahrungslösung führt. 13.1 Gründe für die Entstehung von Legacy-Systemen Aufgrund zunehmender Komplexität und Internationalisierung bzw. Globalisierung von Unternehmen unterliegen die Unternehmensstruktur sowie deren IT-Landschaft einem stetigen Wandel. Im Fall einer Firmenfusion stehen die an der Fusion beteiligten Unternehmen vor der Herausforderung, dass mindestens zwei völlig unterschiedliche IT-Landschaften zusammengeführt werden müssen. Ein Großteil der aufbewahrungspflichtigen Informationen, die während der Zusammenführung in den vorhandenen IT-Systemen/ Landschaften gespeichert sind, wird originär in „Enterprise Resource Planning“ Systemen (im Folgenden: ERP-Systeme) erzeugt. Aufgrund der Notwendigkeit zur Kostenreduktion, zur Effizienzsteigerung der eigenen IT-Abteilung und zur Optimierung der Geschäftsprozesse stellt die Harmonisierung der ERP-Systeme für 70 % der IT-Leiter das wichtigste IT-Thema der kommenden Jahre dar. Mit weniger Systemen, Instanzen und Rechenzentren soll der Aufwand für Wartung und Pflege sinken und die IT vereinfacht werden. Die Harmonisierung mehrerer ERP-Systeme kann durch die Einrichtung eines neuen ERP-Systems mit gleichzeitiger Überführung der Informationen aus den zu harmonisierenden Systemen erzielt werden. <?page no="193"?> 194 Business-Case-Betrachtung für eine ordnungsgemäße Stilllegung von Legacy-Systemen Als „Altlasten“ bleiben Legacy-Systeme zurück, die entsprechend der auf den verbleibenden Buchungsstoff wirkenden Aufbewahrungspflichten über einen langen Zeitraum am Leben gehalten werden müssen. Denn spätestens, wenn auf Daten zugegriffen werden muss, zum Beispiel im Rahmen von Betriebsprüfungen, rücken die Legacy- Systeme erneut in den Mittelpunkt. Für die Wertschöpfung des Unternehmens liefern die Legacy-Systeme nur noch einen geringen Beitrag, sodass die Kosten für deren Erhaltung im Hinblick auf eine alternative Aufbewahrungsform auf den Prüfstand gestellt werden müssen. 13.2 Alternativen zur Aufbewahrung von Informationen aus Legacy-Systemen Anhand folgender tabellarischen Darstellung werden die am Markt zu findenden Alternativen zur Aufbewahrung der Informationen aus Legacy-Systemen kurz dargestellt. Alternative Beschreibung der Alternative Entsorgung Eine vorangegangene Analyse der in den Legacy-Applikationen enthaltenen Informationen hat ergeben, dass entweder keine Aufbewahrungspflicht für die Informationen besteht oder dass die Aufbewahrungszeit für die enthaltenen Informationen nur noch sehr gering ist. Eine sofortige Abschaltung und Entsorgung wird nach Abwägung eines Restrisikos durchgeführt. Für die folgende Ausarbeitung wird diese Alternative nicht weiter betrachtet. Einfrieren Die Systeme werden aus dem Tagesbetrieb genommen. Soft- und Hardwarekomponenten werden zusammen mit einer Sicherung, der Konfiguration und der Informationen eingelagert. Sofern ein späterer Zugriff notwendig ist, werden die Systeme hochgefahren und nach Einspielen der Sicherung wieder in Betrieb genommen. Da insbesondere die Hardware aufgrund zum Teil mechanischer Komponenten während der Aufbewahrungszeit funktionsunfähig werden kann, bedienen sich viele Unternehmen beim Einfrieren von Systemen einer „Virtualisierung“, bei welcher die Anwendung über eine Abstraktionsschicht von der ursprünglichen Hardware isoliert wird. Fortführen Die Legacy-Systeme werden unter Beibehaltung der Betriebsorganisation während der Aufbewahrungszeit weiter betrieben und durch Updates/ Upgrades der Software und periodischer Erneuerung der Hardware betriebsfähig gehalten. Migration Nachdem die aufbewahrungspflichtigen Informationen identifiziert, zu Informationsobjekten gruppiert und unter Definition einer Aufbewahrungsregel in ein Verfahren zur Langzeitarchivierung mit Auswertemöglichkeiten übertragen worden sind, werden die Legacy-Systeme abgeschaltet und entsorgt. Tabelle 13.1: Alternative Aufbewahrungsstrategien (Quelle: eigene Darstellung) <?page no="194"?> Business-Case-Betrachtung für eine ordnungsgemäße Stilllegung von Legacy-Systemen 195 Mit Hilfe einer Analyse der Anforderungen an die Aufbewahrung von Informationen wird in diesem Kapitel zunächst ermittelt, welche der oben beschriebenen Alternativen valide sind, um sie einem detaillierten Vergleich innerhalb einer quantitativen Business- Case-Betrachtung zu unterziehen. 13.3 Anforderungen an die Aufbewahrung 13.3.1 Gesetzliche Anforderungen an die Aufbewahrung Auf die Informationen aus Legacy-Systemen wirken wie unten dargestellt unterschiedlichste Rechtsnormen nationaler und internationaler Gesetze. Der Fokus liegt in den meisten Fällen auf den Aufbewahrungsvorschriften aus Handels- und Steuerrecht und auf Vorgaben aus der Produkthaftung, welche in Abhängigkeit von internationalem Recht und Branchenzugehörigkeit sehr unterschiedlich sein können. Die Übereinstimmung und Erfüllung der rechtlichen und regulativen Vorgaben wird international unter dem Synonym „Compliance“ subsumiert. In der folgenden grafischen Darstellung wird dem Begriff „Compliance“ ein statischer und ein dynamischer Aspekt zugeschrieben. Übereinstimmung mit und Erfüllung von rechtlichen und regulativen Vorgaben Zur Erreichung der „Übereinstimmung“ wird vorausgesetzt, dass es nachlesbare, definierte, offizielle Vorgaben gibt, die die Regeln enthalten, was zu tun ist. Hier ist „Übereinstimmung“ gefordert, ohne das die Regeln meistens eine technische Vorgabe enthalten, wie die Anforderung umzusetzen ist. Dies ist auch sinnvoll, da sich solche Vorgaben nicht an einer Technologie festmachen sollten, die in ein paar Jahren schon wieder obsolet ist. Der Begriff „Erfüllung“ impliziert zweierlei: zum Einen, dass die Anforderungen in einer Lösung umgesetzt werden müssen, und zum anderen, dass dies ein Prozess ist und keine einmalige Aktion. Das Unternehmen oder die Organisation muss kontinuierlich für die Einhaltung der Vorgaben Sorge tragen. „Erfüllung“ geht dabei meistens über eine rein technische Lösung hinaus und beinhaltet auch organisatorische und Management-Aspekte. Die Übereinstimmung ist der „statische Aspekt“ von Compliance. Die kontinuierliche Erfüllung ist der „dynamische Aspekt“ von Compliance. Gesetzliche Vorgaben detailliert durch Grundsätze und Richtlinien Best Practice-Vorgehen durch Anwendung von Standards Tabelle 13.2: Definition des Begriffs „Compliance“ unter einem statischen und dynamischen Aspekt 126 126 Vgl. Compliance Whitepaper, Dr. Ulrich Kampffmeyer, 2004 <?page no="195"?> 196 Business-Case-Betrachtung für eine ordnungsgemäße Stilllegung von Legacy-Systemen Die rechtlichen und regulativen Vorgaben geben zunächst nur den statischen Rahmen vor, innerhalb dessen die Aufbewahrung von Informationen zu organisieren ist. In Deutschland findet eine Detaillierung von Gesetzesnormen im Erlassen von Grundsätzen und Richtlinien statt. An dieser Stelle sei insbesondere auf die GoBS 127 hingewiesen, welche die Anforderungen an die Speicherung von digital erzeugten Informationen mit handelsrechtlichem Charakter konkretisieren. Die GoBS zielen neben der Anforderung an die Ordnungsmäßigkeit insbesondere auf die Informationssicherheit bei der Speicherung handelsrechtlicher Informationen ab. „Da zur Erfüllung der Anforderung, die buchhalterisch relevanten Informationen während der Dauer der Aufbewahrungspflicht jederzeit lesbar machen zu können, nicht nur die Verfügbarkeit der Daten und der Software, sondern auch der Hardware gewährleistet sein muss, muss das Datensicherungskonzept im weiteren Sinne auch die Sicherung der EDV-technischen Installationen […] umfassen.“ 128 Unternehmen sind demnach verpflichtet, geeignete Verfahren, bestehend aus Soft- und Hardwarekomponenten vorzuhalten, um Informationen auswertbar und jederzeit lesbar zu machen. Gemäß der „Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen“ (im Folgenden: GDPdU) ist aus Gründen der Verhältnismäßigkeit ein Austausch der Hard- und Software bei Systemwechsel möglich, sodass ein Vorhalten der Ursprungskomponenten, welche die Informationen erzeugen, nicht notwendig ist. 129 Der Gesetzgeber verlangt für die Auswertbarkeit von Informationen also ein beliebiges Verfahren, welches nicht mit dem originär erzeugenden Verfahren übereinstimmen muss. Innerhalb von Standards zur IT-Governance gelten externe Regularien wie die beschriebenen als eine Einflusskomponente auf die Organisation der IT-Landschaft. Standards sind eine Zusammenfassung von Erfahrungen gut organisierter IT-Landschaften (Best Practices), welche sich auch zur nachhaltigen Erfüllung von Compliance-Anforderungen (dynamischer Aspekt) bewährt haben. Die nachfolgende Tabelle enthält die Best Practice-IT-Ziele aus dem IT-Governance-Framework COBIT 130 , welche für die Erreichung des Unternehmensziels „Einhaltung rechtlicher Erfordernisse (Compliance) sicherstellen“ definiert werden sollten. 127 Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme. 128 Vgl. AVV, BMF Schreiben vom 7. November 1995, GoBS, Kapitel 5, Abschnitt 5.4, 2. Absatz. 129 Vgl. BMF, BMF Schreiben vom 16. Juli 2001, GDPdU, Kapitel I, Abschnitt 3b. 130 Control Objectives for Information and Related Technology, Version 4.1. <?page no="196"?> Business-Case-Betrachtung für eine ordnungsgemäße Stilllegung von Legacy-Systemen 197 Nr. IT-Ziele 2 Reagiere auf Anforderungen der Governance entsprechend der Geschäftsführungsvorgaben. 19 Stelle den Schutz von kritischen und vertraulichen Informationen vor unberechtigtem Zugriff sicher. 20 Stelle sicher, dass automatischen Transaktionen und Informationsaustausch vertraut werden kann. 21 Stelle sicher, dass IT-Services und Infrastruktur Ausfällen aufgrund von Fehlern, bewussten Angriffen oder Katastrophen standhalten können und ihre Wiederherstellung gewährleistet ist. 22 Stelle sicher, dass der Einfluss einer IT-Service-Störung oder -Änderung auf das Geschäft minimiert ist. 26 Erhalte die Integrität der Informationen und die diese Information verarbeitende Infrastruktur. 27 Stelle die IT-Compliance mit Gesetzen und Vorschriften sicher. Tabelle 13.3: IT-Ziele für das Unternehmensziel „Compliance sicherstellen“ 131 Gemäß der von COBIT definierten Verbindung zwischen IT-Zielen und IT-Prozessen sollten Steuerungsmechanismen innerhalb der in der folgenden Tabelle aufgelisteten IT-Prozesse definiert werden, um die IT-Organisation auf das Unternehmensziel „Compliance sicherstellen“ auszurichten. IT-Ziele 2 19 20 21 22 26 27 Resultierende IT-Prozesse PO1 Definition eines strategischen Plans für die IT x PO4 Defintion der IT-Prozesse, der IT- Organisation und Beziehungen x PO6 Kommunikation von Zielsetzungen und Richtungen des Managements x x x x PO10 Projektmanagement x AI6 Änderungsmanagement x AI7 Installation und Freigabe von Lösungen und Änderungen x x x DS4 Sicherstellen des kontinuierlichen Betriebs x x x 131 Vgl. IT Governance Institute, COBIT 4.0, Deutsche Ausgabe, 2005, Anhang I. <?page no="197"?> 198 Business-Case-Betrachtung für eine ordnungsgemäße Stilllegung von Legacy-Systemen DS5 Sicherstellung der Systemsicherheit x x DS11 Datenmanagement x x DS12 Management der physischen Umgebung x x x x DS13 Management des Betriebs x ME1 Überwachung und Evaluierung der IT- Leistung x ME2 Überwachung und Beurteilung der internen Controls x x ME3 Compliance gewährleisten x x ME4 IT-Governance sicherstellen x Tabelle 13.4: Zu betrachtende IT-Prozesse für abgeleitete IT-Ziele 132 PO: Plan and Optimize AI: Acquire and Implement DS: Deliver and Support ME: Monitor and Evaluate In nachfolgender Betrachtung werden Beispiele für Steuerungsmechanismen innerhalb der Domäne „Deliver and Support“ (DS) aufgeführt, welche für die Beurteilung der Aufbewahrungsalternativen im Hinblick auf die Unterstützung des Unternehmensziels „Compliance sicherstellen“ herangezogen werden. Control Objective Inhalt DS4 Sicherstellung eines kontinuierlichen Betriebs Die Notwendigkeit, IT-Services kontinuierlich anzubieten, erfordert die Entwicklung, Aufrechterhaltung und den Test von IT-Kontinuitätsplänen, ausgelagerte Aufbewahrung von Backup und das regelmäßige Training des Notfallvorsorgeplans. 133 DS5 Sicherstellung der Systemsicherheit Die Notwendigkeit, die Integrität von Informationen zu erhalten sowie die IT-bezogenen Vermögenswerte zu schützen, erfordert einen Security Managementprozess. Dieser Prozess umfasst die Erstellung und Aufrechterhaltung von Rollen, Verantwortlichkeiten, Richtlinien, Standards und Verfahren für die IT-Sicherheit. 134 132 Vgl. IT Governance Institute, COBIT 4.0, Deutsche Ausgabe, 2005, Anhang I. 133 IT Governance Institute, COBIT 4.0, Deutsche Ausgabe, 2005, S. 125. 134 Ebenda, S. 131. <?page no="198"?> Business-Case-Betrachtung für eine ordnungsgemäße Stilllegung von Legacy-Systemen 199 DS11 Management der Daten Der Datenmanagementprozess umfasst auch die Entwicklung wirksamer Verfahren zum Management der Medienbibliothek, der Sicherung und Wiederherstellung von Daten sowie die sorgsame Vernichtung von Medien. Eine wirksames Datenmanagement hilft, die Qualität, Aktualität und Verfügbarkeit von Geschäftsdaten zu gewährleisten. 135 DS12 Management der physischen Umgebung Der Schutz von Computerausrüstung und Personal erfordert eine gut konzipierte und verwaltete physische Einrichtung. 136 DS13 Management des Betriebs Die vollständige und richtige Verarbeitung von Daten erfordert ein effektives Management der Datenverarbeitung und Wartung von Hardware. Dieser Prozess umfasst die Festlegung von Betriebsanweisungen sowie Verfahren zum wirksamen Management der zeitgesteuerten Verarbeitung, den Schutz von sensitivem Output, die Überwachung der Infrastruktur und vorbeugende Wartung von Hardware. 137 Tabelle 13.5: Auswahl von High-Level Control Objectives aus der COBIT-Phase „Deliver und Support“ (Quelle: IT Governance Institute, COBIT 4.0, Deutsche Ausgabe, 2005) Sowohl statische als auch dynamische Aspekte von Compliance sprechen für den Betrieb eines Gesamtverfahrens zur sicheren Speicherung von Informationen aus Legacy- Systemen. Unter dynamischen Compliance-Aspekten erscheinen die Alternativen „Fortführen“ und „Migration“ als valide, da bei beiden Lösungen Verfahren zur Anzeige, der in den Legacy-Systemen erzeugten Information betrieben werden. Die dargestellte Alternative des „Einfrierens“ von Legacy-Systemen missachtet die Anforderung zur Erhaltung einer ganzheitlichen Betriebsumgebung bestehend aus Hard- und Softwarekomponenten. Unternehmen, welche diese Alternative zur Aufbewahrung nutzen wollen, müssen das Risiko, welches aus einer alternden Betriebsumgebung entsteht, mit in die Abwägung einbeziehen. In der in diesem Artikel dargestellten Betrachtung des Business-Cases wird die Alternative des „Einfrierens“ aus den oben genannten Gründen nur noch am Rande berücksichtigt. 13.3.2 Anforderungen an Technologie und organisatorisches Umfeld Bei der Aufbewahrung von Information gilt ein besonderes Augenmerk der Langfristverfügbarkeit von Informationen und einem Verfahren zur Auswertung derselben. Es wurde dargestellt, dass Compliance-Anforderungen aufgrund der Dynamik unserer Gesellschaft Änderungen unterzogen sind, was sich in immer neuen Gesetzen und Verordnungen täglich wieder beweist. 135 Ebenda, S. 157 136 Ebenda, S. 161 137 Ebenda, S. 165 <?page no="199"?> 200 Business-Case-Betrachtung für eine ordnungsgemäße Stilllegung von Legacy-Systemen Der Technologiefortschritt ist für die Langzeitaufbewahrung von Informationen kontraproduktiv. Technologien altern auch aufgrund der Dynamik der Gesellschaft bedeutend schneller als für die Aufbewahrung zuträglich. Aus diesem Grund müssen Verfahren und die sie stützenden Komponenten einer regelmäßigen Kontrolle unterzogen werden, um abzusichern, dass Anforderungen mit Hilfe der im Einsatz befindlichen Komponenten weiterhin erfüllt werden können. Eine solche Kontrolle kann nur von IT-Personal durchgeführt werden, welches entsprechendes Know-how über die eingesetzte Technologie besitzt. Das Wissen über die Technologien hat eine ebenso geringe Halbwertszeit wie die Technologie selbst. Aus diesem Grund liegt ein hohes Risiko darin, eine Legacy-Applikation aus Kostengründen aus der normalen Betriebsumgebung zu entfernen. Die Motivation für IT-Personal zur weiteren Beschäftigung mit einem „eingefrorenen“ Legacy-System ist nur gering bzw. aufgrund der Ableistung des Tagesgeschäfts nicht gewünscht. Bei der Entnahme eines Systems aus dem Tagesbetrieb wächst demnach mit voranschreitender Zeit das Risiko, dass Legacy-System zum Zeitpunkt einer externen Zugriffsanforderung auf die Informationen nicht mehr „aufgetaut“ zu bekommen. Sowohl die Fortführung des Systems unter Einhaltung regelmäßiger Updates der Technologiekomponenten als auch die Migration in ein auswertbares Langzeitarchiv werden in einer organisierten Betriebsumgebung verwaltet. Entsprechend entwickeln sich die Technologiekomponenten und das notwendige Wissen der Mitarbeiter bei diesen Alternativen mit der Dynamik der Gesellschaft. 13.3.3 Trade-Off zwischen Investitions- und Betriebskostenbudgets Im Rahmen der Entscheidung für die Aufbewahrung von Informationen aus Legacy- Systemen ist der qualitative Vergleich der Kostenarten für die verschiedenen Alternativen der Aufbewahrung hilfreich. Generell können die Kosten in Investitionskosten (also Kosten die z.B. während der Projektphase für die Migration der Informationen in ein Langzeitarchiv anfallen) und Betriebskosten (z.B. für den Betrieb des Archivs über die Aufbewahrungszeit) unterteilt werden. Externe Kosten 138 in der Projektphase sind Anschaffungskosten für Hard- und Software sowie Dienstleistungskosten für Hard- und Softwareanpassungen, Implementierung und Consulting/ Beratung. Zu externen Betriebskosten zählen die Administration, Wartung, Updates und Lizenzgebühren für Software sowie die Rechenleistungskosten der Hardware und deren Wartungsverträge. Bei den internen Kosten 139 handelt es sich vor allem um die primären und sekundären Personalkosten. Für die Alternative „Fortführung“ fallen zum Zeitpunkt der Entscheidung keinerlei Investitionskosten an. Das bisher genehmigte Betriebskostenbudget ist aufgrund der Aktualität der Legacy-Applikation zunächst noch gleichbleibend. Eine Steigerung der Betriebskosten ist erst bei fortschreitender Alterung der Hard- und Softwarekomponenten anzunehmen. Die folgende Tabelle enthält eine beispielhafte Aufzählung für das Risiko steigender Betriebskosten für die Alternative „Fortführen“. 138 „Kosten, die an Dritte (außenstehende Vertragspartner) geleistet werden“ (Brugger, Ralph (2009), S. 65). 139 „Kosten, die innerhalb des Unternehmens anfallen“ (Brugger, Ralph (2009), S. 65). <?page no="200"?> Business-Case-Betrachtung für eine ordnungsgemäße Stilllegung von Legacy-Systemen 201 Kostenkomponenten Gründe für Risiko steigender Kosten Hardware Die Kosten für Hardware sind aufgrund der geringen Halbwertszeit tendenziell fallend. Ab einem bestimmten Punkt werden auch Hardwarekomponenten als „Antiquität“, wenn überhaupt verfügbar, mit entsprechenden Preisaufschlägen gehandelt. Software Auch für Legacy Applikationen fallen Lizenzkosten an, welche aufgrund des geringeren Benutzervolumens zunächst fallen. Die Wartungskosten für Lizenzen steigen mit der Zeit. Ab einem bestimmten Zeitpunkt wird eine Wartung vom Hersteller nicht mehr unterstützt bzw. individuell und kostenintensiv abgerechnet. Betrieb Durch Downsizing der Verfahren, Abschaltung der Qualitäts- und Testsysteme wird ein Betrieb zunächst kostengünstiger. Bei einem Langzeitbetrieb alternder Komponenten kann sich schon das Thema Stromkosten negativ auf die Betriebskosten auswirken. Personal Das dedizierte Halten des Know-hows bzw. das Einkaufen ist für die Fortführung mehrerer Legacy- Systeme langfristig gesehen kostspielig. Implementierung Notwendige Anpassungen (z.B. Legal Patches) müssten ab Einstellung der Hersteller-seitigen Wartung in Eigenregie durchgeführt und budgetiert werden, wenn es für die Anzeige von Informationen notwendig ist. Tabelle 13.6: Beispiele für das Risiko steigender Betriebskosten bei Fortführung von Legacy-Systemen (Quelle: eigene Darstellung) Die Erfahrung zeigt, dass eine Entscheidung zur Migration der Informationen in ein Langzeitarchiv zunächst hohe Investitionskosten verursacht. Die Infrastruktur und das Verfahren zur Langzeitarchivierung müssen aufgesetzt werden. Die Auswahl, Gruppierung und Migration der Informationen muss auch unter Einbezug externer Dienstleistung innerhalb eines Projekts durchgeführt werden. Unter der Annahme, dass die Migration von Informationen mehrerer Legacy-Systeme bei Nutzung eines einmalig definierten Templates in ein aufnehmendes Archiv erfolgt, werden die Betriebskosten aufgrund der Synergien drastisch fallen. Auch die Alternative „Einfrieren“ wird zunächst erhöhte Dienstleistungskosten als Investition nach sich ziehen. Die Systeme müssen insbesondere bei der Entscheidung für eine „Virtualisierung“ vorbereitet werden. Für diese Alternative spricht, dass die Betriebskosten aufgrund des fehlenden Betriebs nahezu gegen Null laufen werden. Im Rahmen von Beratungsprojekten konnte beobachtet werden, dass sich IT-Verantwortliche oft im Hinblick auf die Investitionskosten zugunsten des Weiterbetriebs entscheiden. Das Risiko der steigenden Betriebskosten wird hierbei oft unterschätzt. <?page no="201"?> 202 Business-Case-Betrachtung für eine ordnungsgemäße Stilllegung von Legacy-Systemen Nach einer kostenintensiven Harmonisierung ist es schwierig, ohne fundierten Business Case zusätzliche Investitionsbudgets für eine Migration der Legacy-Systeme vom Management freigegeben zu bekommen. Die Realität zeigt, dass die Volksweisheit „Aufgeschoben ist nicht aufgehoben“ beim Thema Migration von Informationen aus Legacy-Systemen nur selten zum Zuge kommt. Ist das Interesse an den Systemen aufgrund der geringen Nutzung für die Geschäftsprozesse erst einmal abgeklungen, rücken die Systeme mehr und mehr aus dem Fokus. Eine schleichende Firmierung einer Schattenbetriebsorganisation für die Legacy-Systemlandschaft ist oft die Folge. Die IT-Verantwortlichen sollten sich darüber im Klaren sein, dass mit jedem Monat Weiterbetrieb sich bei steigendem Risiko für den Betrieb auch die Potentiale einer Business-Case-Betrachtung verringern. Ein Vergleich der Alternativen in Form einer Wirtschaftlichkeitsberechnung (Beispiel siehe Kapitel 13.5.1) sollte zeitnah nach der Harmonisierung in Angriff genommen werden. Eine Entscheidung für die Fortführung des Betriebs sollte nicht aufgrund des „Weg des geringsten Widerstands“ getroffen worden sein. Nach Darstellung der Anforderung sollen zwei Alternativen in eine quantitative Business-Case-Betrachtung einbezogen werden. Die Alternativen „Entsorgung“ und „Einfrieren“ werden aufgrund der dargestellten Bedenken insbesondere im Bezug auf die Erfüllung der dynamischen Aspekte der Compliance keiner weiteren Betrachtung unterzogen. Die Business-Case-Betrachtung soll zur Vereinfachung eine reine Kostenbetrachtung sein. Strategische, Sicherheits-, Risiko und externe Aspekte werden in diesem Artikel nicht berücksichtigt. Zum besseren Verständnis der Business-Case-Berechnung ist zunächst eine kurze Darstellung des Konzepts „Information Lifecycle Management“ für die Alternative „Migration“ notwendig. 13.4 Das Konzept „Information Lifecycle Management“ im Rahmen der „Migration“ von Legacy-Systemen In dem folgenden Kapitel soll neben der allgemeinen Darstellung des Information Lifecycle Management (ILM) Konzepts und dessen Vorteile auch der Zielkonflikt zwischen der Bereitstellung von Informationen und der Kostenoptimierung aufgezeigt werden. Ziel ist es, die Informationsbereitstellung unter möglichst geringen Kosten sicherzustellen. Durch die „Migration“ von Legacy-Systemen mit Hilfe von ILM können sowohl qualitative als auch quantitative Vorteile gegenüber anderen Alternativen wie „Einfrieren“ oder „Fortlaufen“ erzielt werden. 13.4.1 Allgemeine Darstellung des Konzepts ILM ist eine Zusammenfassung von größtenteils altbekannten Storage-Management- Konzepten, welche „Informationsobjekte während der gesamten Lebenszeit aktiv verwalten.“ 140 Bekannt wurde der Begriff ILM im Jahr 2003 durch die Firma StorageTek. Im Jahr 2004 wurde durch die Storage Networking Industry Association (SNIA) dieser Begriff erstmalig konkret definiert als: 140 Bitkom (2004), S. 4. <?page no="202"?> Business-Case-Betrachtung für eine ordnungsgemäße Stilllegung von Legacy-Systemen 203 „A new set of management practices based on aligning the business value of information to the most appropriate and cost effective infrastructure.“ 141 Darauf aufbauend wurde eine konkrete Definition für ILM entwickelt, die zunehmend Akzeptanz findet. Sie beschreibt ILM „als eine Kombination von Prozessen und Technologien, deren Ziel es ist, die richtige Information zum richtigen Zeitpunkt am richtigen Ort bereitzustellen. Und dies alles zu den geringsten Kosten und mit dem geringsten Risiko über den gesamten Lebenszyklus der Daten hinweg.“ 142 ILM unterstützt somit das Unternehmen hinsichtlich der Verwaltung von Informationen, indem insbesondere die Betriebskosten aufgrund einer Verlagerung in eine andere Speicherhierarchie unter Einhaltung gesetzlicher Vorschriften zur Aufbewahrung von Informationen gesenkt werden. ILM beschreibt folglich einen ständigen Entscheidungsprozess zwischen den konträren Zielen Zugriffsanforderung und minimale Kosten für die Aufbewahrung von Daten. Im optimalen Fall sollte die Entscheidung aufgrund von Aufbewahrungsregeln pro Informationsobjekt 143 automatisiert erfolgen. Jedes Informationsobjekt durchläuft im Unternehmen einen Lebenszyklus, der in fünf Phasen eingeteilt werden kann: Abbildung 13.1: Lebenszyklus eines Informationsobjekts (Quelle: eigene Darstellung) In den ersten drei Phasen unterliegen die Informationen ständigen Änderungen. Aufgrund zahlreicher Zugriffe kann in dieser Zeit der Wert des Informationsobjekts für das Unternehmen am Höchsten sein 144 . Wenn die Informationen für das laufende Geschäft nicht mehr benötigt werden und der Wert folglich sinkt, 145 können diese auf 141 SNIA (2004), S. 4. 142 Stefani (2007), S. 30. 143 „Informationsobjekte sind z.B. […] Dateien, E-Mail-Nachrichten inklusive Anhänge, digitalisierte Verträge/ Policen, Patientenunterlagen in Krankenhäuser“ (Bitkom (Hrsg.) (2004), S. 4.). 144 Vgl. Thome, Günter/ Sollbach, Wolfgang (2007), S. 24. 145 Vgl. Ebenda, S. 35. Zeit Anzahl der Zugriffe Wert der Information Erstellung Verdichtung Nutzung Bewahrung Löschung Archivierung <?page no="203"?> 204 Business-Case-Betrachtung für eine ordnungsgemäße Stilllegung von Legacy-Systemen kostengünstigeren, aber weniger performanten Speichermedien archiviert werden. 146 In der Phase der Archivierung kann es aber durchaus zu Zugriffen kommen, so kann z.B. ein externer Steuerprüfer hohes Interesse an den Daten haben. Jedes Informationsobjekt wird anhand einer Aufbewahrungsregel, welche sich an der Zugriffshäufigkeit orientiert, innerhalb unterschiedlicher Speicherhierarchien abgelegt. In den Regelwerken ist vermerkt, wann eine Information endgültig gelöscht werden kann. Das Verwalten der Aufbewahrungszeit wird als „Retention Management“ bezeichnet. Diese Funktionalität hat einen entscheidenden Einfluss auf die Business- Case-Betrachtung unterschiedlicher Technologien zur Aufbewahrung von Informationen aus Legacy-Systemen. 13.4.2 Anwendung von ILM auf die Herausforderung Legacy-System Ziel muss es sein, die Anforderungen an die Informationsbereitstellung unter Einsatz entsprechender Technologien möglichst kosteneffizient darzustellen. Die Wahl des kostenoptimalen und risikominimalen Szenarios hängt von dem rechtlichen Kontext ab, in welchem die aufbewahrungspflichtigen Informationen stehen, den Budgets zur Aufbewahrung von Informationen aus Legacy-Systemen und dem Vorhandensein alternativer Technologien, die einen Kostenvorteil bei gleichzeitiger Erfüllung externer Anforderungen versprechen. Bei der Beurteilung von Alternativen zur Aufbewahrung bilden folgende Annahmen die Basis: Der Druck zur Reduktion der Kapitalbindung in IT-Infrastrukturen für die Datenspeicherung wächst. Das Wachstum der Informationsflut ist exponentiell. Die Anzahl der Zugriffe auf Informationen nimmt jedoch über die Aufbewahrungszeit ab. Der größte Prozentsatz der aufzubewahrenden Informationen ist irrelevant für die Unterstützung der operationalen Geschäftsprozesse eines Unternehmens. Gesetze und Richtlinien erheben Mindestanforderungen an die Aufbewahrung. Technologischer Fortschritt ermöglicht effektivere und effizientere Prozesse der Informationsbereitstellung, jedoch veralten diese aufgrund des Fortschritts moderne Architekturen schneller als für Langzeitspeicherung zuträglich. Die dargestellten Annahmen untermauern das Dilemma, in welchem viele IT- Verantwortliche stecken. Ein großer Teil ihres Betriebsbudgets wird von Legacy- Systemen verschlungen, welche für eine einfache Aufbewahrung von Informationen funktionell überdimensioniert sind und zur Wertschöpfung des Unternehmens keinen nennenswerten Beitrag leisten. Zur Funktionsfähigkeit von ILM ist es notwendig, Informationen zu so genannten Informationsobjekten zuzuordnen, welche einer Aufbewahrungsregel unterliegen. Die von ERP-Systemen erzeugten Informationen werden hingegen in einer Datenbankstruktur abgelegt, die der Objektdefinition von ILM 146 Vgl. Ebenda, S. 47. <?page no="204"?> Business-Case-Betrachtung für eine ordnungsgemäße Stilllegung von Legacy-Systemen 205 nur bedingt entsprechen. Für die Anwendung von ILM auf Legacy-Systeme sind innerhalb einer Migration das Herausbrechen der relevanten Informationen aus der Datenbank und die Überführung in Informationsobjekte notwendig. Die Reduktion des Informationsbestands (Aufbewahrung nur rechtlich relevanter Informationen) und die Überführung des verbleibenden Informationsbestands in kostengünstige Speicherhierarchien bietet auf der einen Seite die größten Rationalisierungspotentiale, aber auf der anderen Seite das Risiko des Informationsverlusts, welches durch bewährte Methoden zur Überführung in ein Langzeitarchiv zu minimieren ist (siehe Kapitel 13.6). Der ILM Ansatz bietet mit seinem automatisierten Retention Management die Möglichkeit, dass einzelne Informationsobjektinstanzen direkt nach Ablauf der Aufbewahrungszeit gelöscht werden können. Dies ist ein klarer Vorteil gegenüber dem Legacy- System, welches die Möglichkeit der schrittweisen Löschung nicht bietet. Der in das Archivsystem überführte Informationsbestand löst sich somit mit fortschreitender Aufbewahrungszeit automatisiert auf, sodass ein weiterer kostenoptimierender Faktor mit ILM erreicht wird. Abbildung 13.2: Vergleich Speichervolumen Legacy-System zu ILM Ansatz (Quelle: eigene Darstellung) Die langfristige Automatisierung der ILM-Prozesse erfolgt mit Hilfe von Werkzeugen, zu denen Technologien wie z.B. Enterprise-Content-Management (ECM), Dokumenten-Management-Systeme (DMS) und Hierarchical-Storage-Management (HSM) gehören. Mit Hilfe einer Infrastruktur, die Computersysteme inklusive Software, Netzwerke (die Computersysteme untereinander und mit den Speichersystemen vernetzen) und Speichersysteme enthält, wird somit der Lebenszyklus von Informationen und Daten abgebildet. 147 Die Entscheidung für die Aufbewahrung der Informationen aus einem Legacy-System in ein Langzeitarchiv bedeutet für ein Unternehmen zumeist eine Entscheidung für ein neues Verwaltungssystem in Form eines ECM-Systems. In dieser Ausarbeitung wird das von der SAP AG angebotene System zur Umsetzung eines ILM Konzepts vorgestellt und für die Modellierung einer Business-Case-Darstellung herangezogen. 147 Vgl. Thome (2007), S. 151. Aufbewahrungszeit Speichervolumen Legacy System Aufbewahrungszeit Speichervolumen ILM <?page no="205"?> 206 Business-Case-Betrachtung für eine ordnungsgemäße Stilllegung von Legacy-Systemen 13.4.3 SAP NetWeaver Information Lifecycle Management © Um den beschriebenen Zielkonflikt bei der Aufbewahrung von Informationen zwischen gesetzlichen Anforderungen zur Aufbewahrung und der Notwendigkeit zur Kostenminimierung zu lösen, entwickelt die SAP AG die Lösung „SAP NetWeaver Information Lifecycle Management“, welche seit Anfang 2009 generell für alle SAP Anwender verfügbar ist. „To satisfy your risk, TCO, and compliance requirements, the new ILM solution from SAP is built on three tightly integrated pillars: data archiving and management, retention management, and retention warehouse.“ 148 Die Lösung setzt sich in der Hauptsache aus drei Säulen zusammen: Datenarchivierung für die Analyse des Datenvolumens sowie die sichere Auslagerung von Informationen in das Archivsystem nach definierten Regeln. Retention Management zur einheitlichen Pflege des Regelwerks zur Aufbewahrung und der Anwendung der Regeln zur Verwaltung der Informationen. Retention Warehouse zur Auswertung der archivierten Daten in einem Business Warehouse System ohne Vorhaltung des Quellsystems. Aufgrund der vom erzeugenden System unabhängigen Auswertungsmöglichkeiten ist es möglich, Legacy-Systeme stillzulegen sowie Aufbewahrungsregeln für Daten außerhalb der Quelle Legacy-System umzusetzen. Die SAP AG erklärt, mit Hilfe dieser Technologie sowohl SAP Systeme als auch Non-SAP Systeme stilllegen zu können. Durch die Etablierung eines einheitlichen Regelwerks für die Verwaltung des Informationsbestands können regelbasierte Löschungen zum stetigen Abbau der Altbestände zeitgerecht erfolgen. Standardauswertungen zur Darstellung der migrierten Informationen werden zur Verfügung gestellt. Kundenindividuelles Reporting auf den archivierten Daten ist aufgrund der Flexibilität des Business Warehouse möglich. 13.5 Business-Case-Betrachtung Das modellhafte Herleiten einer Wirtschaftlichkeitsbetrachtung soll das Kostenoptimierungspotenzial von ILM im Zusammenhang mit Legacy-Systemen aufzeigen und ein Instrument zur Entscheidungsfindung liefern. Wie in den vorangegangenen Kapiteln erläutert, werden in dieser Business-Case-Betrachtung die Alternativen „Entsorgung“ und „Einfrieren“ nicht berücksichtigt. Vielmehr werden die zwei Alternativen „Fortführen“ und „Migration“ gegenübergestellt, um die wirtschaftlichste Alternative zu ermitteln. Weitere qualitative Aspekte werden bei dieser Wirtschaftlichkeitsbetrachtung nicht berücksichtigt. 148 Vgl. Fischer/ Kaufmann (2008). <?page no="206"?> Business-Case-Betrachtung für eine ordnungsgemäße Stilllegung von Legacy-Systemen 207 13.5.1 Wirtschaftlichkeitsberechnung „Bei Investitionen in IT-Projekte steht am Anfang ein Aufwand, dem zu [einem] späteren Zeitpunkten ein Nutzen in Form von Einsparungen“ entgegensteht. 149 Als Standardwerkzeuge für Wirtschaftlichkeitsberechnungen gelten die Investitionsrechenverfahren. Diese lassen sich in statische und dynamische Methoden unterteilen. 150 Statische Methoden sind einfach anzuwenden, berücksichtigen jedoch den Zeitwert des Geldes nicht. 151 Die dynamischen Methoden sind hingegen deutlich flexibler. Kosten- und Nutzengrößen werden als zeitveränderliche Ein- und Auszahlungsreihen betrachtet. 152 Zu den dynamischen Verfahren zählen u.a. die Kapitalwertmethode und die dynamische Amortisationsdauer. Der Kapitalwert einer Investition gibt die Summe aller auf einen Zeitpunkt abbzw. aufgezinsten Ein- und Auszahlungen an. 153 Die Amortisationsdauer hingegen gibt die Anzahl der Jahre an, die benötigt werden, um die Projektkosten und eine angemessene Kapitalverzinsung aus den Einzahlungen wiederzugewinnen. 154 13.5.2 Modellierung der Ausgangsituation Im folgenden Kapitel wird, im Rahmen einer Harmonisierung der IT-Landschaft, dem unveränderten Weiterbetrieb eine Investition in die Langzeitarchivierung gegenübergestellt. Die Wirtschaftlichkeit dieser Investition wird aus dem Kostenaspekt heraus ermittelt. Es wird angenommen, dass es sich sowohl bei den Legacy-Systemen als auch bei dem ILM System um Lösungen von SAP handelt. Zur vereinfachten Modelldarstellung wird davon ausgegangen, dass in einem SAP- System nur drei Module existieren. Das Modul Finanzbuchhaltung (FI) mit Buchungsbelegen, die einer Aufbewahrungsfrist von zehn Jahren unterliegen, das Modul Controlling (CO) mit einer betriebsinternen Archivierungsdauer der Informationen von drei Jahren sowie das Modul Vertrieb (SD), dessen Informationen aufgrund des Handelsbriefcharakters sechs Jahre bereitgehalten werden müssen. Die längste Aufbewahrungszeit (zehn Jahre) dient als Zeitfenster für die Investitionsberechnung. Die auf diesen Daten und Fakten aufsetzende Beispielrechnung basiert ausschließlich auf Erfahrungswerten, die auf ein fiktives Unternehmen übertragen wurden. Die einzelnen Werte können in der Realität unternehmensspezifisch verschieden sein. Bei folgender Berechnung wird von einer nachstehenden Ist-Situation ausgegangen. Es existiert eine IT-Landschaft mit drei Legacy-Systemen, aus denen während eines Harmonisierungsprojekts nur Stammdaten und offene Posten in ein neues ERP System überführt wurden. Der aufbewahrungspflichtige Buchungsstoff ist in den Legacy-Systemen verblieben. Die Informationen werden durch folgendes Mengengerüst von Belegen beschrieben. Es wird von einer Gleichverteilung der Entstehung ausgegangen. 149 Vgl. Brugger, Ralph (2009), S. 139. 150 Vgl. Brugger, Ralph (2009), S. 140; Bleis, Christian (2008), S. 8; 31. 151 Vgl. Bleis, Christian (2008), S. 13. 152 Vgl. Brugger, Ralph (2009), S. 140. 153 Vgl. Bleis, Christian (2008), S. 32. 154 Vgl. Brugger, Ralph (2009), S. 211. <?page no="207"?> 208 Business-Case-Betrachtung für eine ordnungsgemäße Stilllegung von Legacy-Systemen System A System B System C Gesamt Anzahl FI-Belege 3.000.000 12.000.000 10.000.000 25.000.000 Anzahl CO-Belege 6.000.000 48.000.000 20.000.000 74.000.000 Anzahl SD-Belege 4.000.000 4.000.000 70.000.000 78.000.000 Gesamt 13.000.000 64.000.000 100.000.000 177.000.000 Tabelle 13.7: Datenzusammensetzung in den Systemen (Quelle: eigene Darstellung) Fortführen der Altsysteme Der Betrieb der Legacy-Systeme wird parallel zur neuen Systemlandschaft fortgeführt. Dabei besteht aus technischen Gründen keine Möglichkeit, einzelne Datenobjekte vor Ablauf der längsten Aufbewahrungsfrist zu löschen. Das Speichervolumen (177.000.000 Belege) bleibt somit über zehn Jahre hinweg konstant. Migration unter Nutzung von SAP NetWeaver Information Lifecycle Management © Nach dem Aufbau eines ILM Retention Warehouse Systems und der Migration der Daten in dieses System können die Legacy-Systeme stillgelegt werden. Aufgrund der während der Migration durchgeführten Gruppierung können Aufbewahrungsregeln auf die Informationen wirken und deshalb schon vor Ablauf der längsten Aufbewahrungsfrist zu einer Löschung von Informationen führen. Das Informationsvolumen reduziert sich schrittweise entsprechend der in „Abbildung 13.2: Vergleich Speichervolumen Legacy-System zu ILM Ansatz“ dargestellten Weise. 13.5.2.1 Ermittlung der entstehenden Kosten für Aufbewahrungsalternativen Zur Ermittlung der Wirtschaftlichkeit einer Investition in eine Lösung zur Langzeitarchivierung werden im Folgenden die zu berücksichtigenden Kosten definiert. Fortführen Die Hard- und Software für die Legacy-Systeme wird von einem Hosting-Unternehmen bereitgestellt, wodurch externe Hard- und Softwarekosten anfallen, die z.B. auch Lizenzen, Wartungen oder Rechenleistungen enthalten. Ebenso wird davon ausgegangen, dass für den Anwendersupport der Legacy-Systeme eine Vollzeitkraft pro System benötigt wird. Die Personalkosten umfassen die Gehälter und Löhne sowie anteilig auch Kosten für den Arbeitsplatz (Miete etc.). Betriebskosten System A pro Monat Betriebskosten System B pro Monat Betriebskosten System C pro Monat Gesamtbetriebskosten pro Monat Gesamtbetriebskosten pro Jahr Hard- und Software 5.000 € 10.000 € 15.000 € 30.000 € 360.000 € Applikationssupport 7.500 € 7.500 € 7.500 € 22.500 € 270.000 € Gesamt 12.500 € 15.500 € 22.5000 € 52.500 € 630.000 € Tabelle 13.8: Betriebskosten für „Fortführung“ (Quelle: eigene Darstellung) <?page no="208"?> Business-Case-Betrachtung für eine ordnungsgemäße Stilllegung von Legacy-Systemen 209 Aufgrund des in Kapitel 13.3.3 dargestellten Kostenrisikos beim Hosting einer aus der Wartung gelaufenen Software wird eine jährliche Steigerungsrate für die Gesamtbetriebskosten von 5 % eingerechnet. Migration Es wird angenommen, dass der Betrieb des entstehenden Langzeitarchivs von der zumeist im Unternehmen befindlichen Betriebsabteilung für die Langzeitarchivierung übernommen werden kann. Für den zusätzlichen Betrieb und Anwendersupport wird eine Vollzeitkraft für das ILM System angenommen. Die Archivinfrastruktur muss um ein WebDav 155 -fähiges Storage System erweitert werden. Pro 20.000.000 Informationsobjekte fällt eine einmalige Lizenzgebühr von 50.000 EURO an. Entsprechend dem SAP Lizenzmodell werden für eine Anwendung SAP ILMs zum Zwecke der Systemstilllegung die Anzahl der Beleginstanzen nur zu einem Drittel eingerechnet, da die Systemstilllegung ein einmaliges Archivierungsvorhaben darstellt. Das Lizenzmodell wird entsprechend für eine Objektanzahl von 59 Millionen Beleginstanzen ausgelegt. Für die Softwarelizenzen entstehen Wartungskosten in Höhe von 17 % pro Jahr. Aufgrund der bestehenden Wartungsvereinbarungen werden keine Steigerungsraten in die Rechnung einbezogen. System A System B System C ILM Gesamt Dienstleistung 50.000 € 100.000 € 150.000 € 300.000 € Hardware 75.000 € 75.000 € Software 150.000 € 150.000 € Gesamt 50.000 € 100.000 € 150.000 € 225.000 € 525.000 € Tabelle 13.9: Einmalige Investitionskosten für „Migration“ (Quelle: eigene Darstellung) System A System B System C ILM Monat Jahr Softwarewartung 156 - - - 8.500 € 708 € 8.500 € Support - - - 7.500 € 7.500 € 90.000 € Tabelle 13.10: Betriebskosten für „Migration“ (Quelle: eigene Darstellung) 13.5.2.2 Ermittlung von Kennzahlen zur Entscheidungsunterstützung Wie in Kapitel 13.5.1 „Wirtschaftlichkeitsberechnung“ erläutert, bezieht sich diese Business-Case-Betrachtung auf die Kennzahlen „Kapitalwert“ und „Amortisationsdauer“. 155 „Web-based Distributed Authoring and Versioning“ - Standard zur Bereitstellung von Dateien im Internet 156 pro 20.000.000 Objekte <?page no="209"?> 210 Business-Case-Betrachtung für eine ordnungsgemäße Stilllegung von Legacy-Systemen Um diese Kennzahlen errechnen zu können, werden Zahlungsreihen entwickelt. Den beiden Lösungsvorschlägen werden die identifizierten Kosten als Auszahlungen (ASZ) und Einzahlungen (ESZ) zugeordnet. 157 Aus den jeweiligen Salden ergibt sich die Zahlungsreihe. Fortführen Da dieser Variante keine Einzahlungen zugeordnet werden können, setzt sich die Zahlungsreihe lediglich aus den Auszahlungen für die jährlichen Betriebskosten der drei Legacy-Systeme unter Einbezug der fünfprozentigen Kostensteigerung zusammen. Die Tabelle zeigt, dass bei der Alternative „Fortführen“ im 10. Jahr durch die fünfprozentige Kostensteigerung für die 177 Millionen Belege 978 TEUR anfallen. Jahr 1 2 3 4 5 6 7 8 9 10 Anzahl Belege in Millionen 177 177 177 177 177 177 177 177 177 177 ASZ (in TEUR) 630 662 695 730 767 805 845 887 931 978 Tabelle 13.11: Zahlungsreihe „Fortführen“ (Quelle: eigene Darstellung) Migration Diese Lösungsvariante spart die bisher angefallenen Auszahlungen für den Betrieb der drei Altsysteme ein. Somit können „diese eingesparten Auszahlungen dem Investitionsobjekt als Einzahlungen zugerechnet werden“. 158 Da während der Zeit des Migrationsprojekts ein Doppelbetrieb stattfindet, wird eine Einsparung erst ab dem zweiten Jahr realisiert. Jahr 1 2 3 4 5 6 7 8 9 10 Anzahl Belege in Millionen 177 137 97 57 41 26 10 8 5 3 ASZ 525 116 107 99 99 99 99 99 99 99 ENZ - 662 695 730 767 805 845 887 931 978 157 Vgl. Wirtschaftslexikon (2009), 1. Abschnitt im Hauptframe (siehe Internetverzeichnis). 158 Vgl. Bleis, Christian (2008), S. 2. <?page no="210"?> Business-Case-Betrachtung für eine ordnungsgemäße Stilllegung von Legacy-Systemen 211 ENZÜ (ENZ - ASZ) -525 546 588 631 668 706 746 788 832 879 Tabelle 13.12: Zahlungsreihe „Migration“ (Quelle: eigene Darstellung) Die folgende Investitionsrechnung beruht auf den oben dargestellten Zahlungsreihe und einem angenommenen Kalkulationszinssatz von 12 % bei einem zugrunde liegenden Investitionszeitraum von zehn Jahren. Abschreibungen und Steuereffekte werden zur Reduktion der Komplexität an dieser Stelle nicht berücksichtigt. Der Kapitalwert wird anhand folgender Formel berechnet werden. 159 ∑ Ü Jahr (n) 1 2 3 4 5 6 7 8 9 10 Gesamt Kapitalwert -525 435 419 401 379 358 337 318 300 283 2.705 Tabelle 13.13: Kapitalwert aus Summe der um den Kalkulationszins bereinigten Einzahlungsüberschüsse (Quelle: eigene Darstellung) Daraus ergibt sich somit ein Kapitalwert von 2.705 Millionen EURO. Die dynamische Amortisationsdauer ergibt sich aus folgender Formel: 160 - - - - - - - - Ü- - - - Kumulierter Barwert der Nettozahlungen in TEUR auf das Jahr 1 abgezinster ENZÜ Jahr 1 -525 Jahr 2 -90 435 Jahr 3 329 419 Jahr 4 730 401 … Tabelle 13.14: Zahlungsreihe „Migration“ (Quelle: eigene Darstellung) 159 Vgl. Bleis, Christian (2008), S. IX. 160 In Anlehnung an Bleis, Christian (2008), S. 76 und Brugger, Ralph (2009), S. 212. <?page no="211"?> 212 Business-Case-Betrachtung für eine ordnungsgemäße Stilllegung von Legacy-Systemen Es ergibt sich eine Amortisationsdauer von rund 1,8 Jahren. Aus Sicht einer Wirtschaftlichkeitsrechnung sollte der Alternative „Migration“ der Vorrang gegeben werden. 13.6 Methoden zur Risikominimierung bei Migration 13.6.1 Risiken bei einer Datenmigration Vor der Speicherung im Langzeitarchiv ist eine Migration der Informationen durchzuführen. Bei der Migration gibt es generell zwei Risiken, welche es durch ein optimiertes Projektvorgehen zu minimieren gilt. Zunächst kann es bei einer Migration zu einer Verletzung der Informationsintegrität kommen. Informationen können entweder unvollständig oder inhaltlich falsch migriert werden. Ein zweites Risiko bietet der Umstand, dass die Informationen nach Migration in einem Verfahren verwaltet werden, welches den gesetzlichen Anforderungen an die Auswertbarkeit nicht nachkommt. Entsprechend müssen Standards zur Reduktion der Risiken entwickelt werden, anhand derer Unternehmen sich vor der positiven Entscheidung für eine Investition in die Langzeitarchivierung orientieren können. 13.6.2 Reduktion des Compliance-Risikos Zur Reduktion eines Compliance-Risikos hat Deloitte ein phasenorientiertes Control Framework entwickelt. Abbildung 13.3: Übersicht „System Decommission Control Framework“ (Quelle: eigene Darstellung) Das Framework ist in drei Kontrollbereiche unterteilt. Innerhalb des ersten Kontrollbereichs wird geprüft, ob der errechnete Business Case valide ist, der analysierte Umfang der zu archivierenden Informationen dem gesetzlichen Umfang entspricht, die Aufbewahrungsregeln korrekt definiert worden sind und die Legacy-Systeme entsprechend den zu implementierenden Tools für eine Migration vorbereitet worden sind. Im zweiten Kontrollbereich wird die Vorbereitung und Vollständigkeit der im Kon- Control Unit I: Verify Evaluation and Business Case Legacy Preparation 1 2 3 4 5 Legacy Analysis Scoping Decision Control Unit II: Check Extraction Completeness ILM Enablement 1 2 3 4 Data and Content Extraction Index Migration Rule Based Retention Split Control Unit III: Perform Audit Simulation Audit Areas 1 2 3 4 5 Data Upload Data Analysis Information Security Procedure Documentation <?page no="212"?> Business-Case-Betrachtung für eine ordnungsgemäße Stilllegung von Legacy-Systemen 213 zept festgelegten Extraktionsschritte und die Migration in das Zielsystem überwacht. Der dritte Kontrollbereich widmet sich der Qualität der im Konzept vereinbarten Auswertemöglichkeit im Hinblick auf die gesetzlichen Anforderungen. 13.7 Fazit In den vorangegangenen Kapiteln wurde in Form einer Anforderungsanalyse und einer Wirtschaftlichkeitsbetrachtung hergeleitet, dass zu einer Aufbewahrung von Informationen aus Legacy-Systemen eine Investition in eine Lösung zur Langzeitarchivierung mit verbundener Migration aufbewahrungspflichtiger Informationen sinnvoll erscheint. Strategien zur Archivierung bzw. Systemstilllegung sollten in die Unternehmensstrategie eingebunden werden, um eine verbesserte und ganzheitliche Corporate Governance zu erhalten. Wirtschaftsprüfungsgesellschaften können innerhalb einer Systemstilllegung durch eine projektbegleitende Prüfung die „Revisionssicherheit“ erhöhen, indem das Vorgehen zur Migration unter Aspekten der Ordnungsmäßigkeit während des Stilllegungsprojekts sukzessive einem Review unterzogen wird. Die Kombination aus mehrfach erfolgreich eingesetzter Technologie, erprobter Implementierungsservices und projektbegleitender Prüfung der Ordnungsmäßigkeit gibt die Rechtssicherheit, welche IT-Entscheider benötigen, um die Realisierung von Einsparpotentialen durch Stilllegung von Legacy-Systemen bei gleichzeitiger Erfüllung dynamischer Compliance-Anforderungen zu erreichen. 13.8 Literatur Arbeitsgemeinschaft für wirtschaftliche Verwaltung e.V. (Hrsg.), o.V. (1995): Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme ([GoBS]), Eschborn. http: / / www.bundesfinanzministerium.de/ nn_314/ DE/ BMF__Startseite/ Service/ Downloads/ Abt__IV/ BMF__Schreiben/ 015,templateId=raw,property=publication File.pdf. Bitkom (Hrsg.), o.V. (2004): Leitfaden zum Thema „Information Lifecycle Management“, Berlin. http: / / www.bitkom.org/ files/ documents/ BITKOM_Leitfaden_ ILM__Stand_21-04-2004.pdf (18.01.2010). Bleis, C. (2008): Grundlagen Investition und Finanzierung: Lehr- und Arbeitsbuch, München u.a., 2. Aufl., Oldenbourg Wissenschaftsverlag GmbH. Brugger, R. (2009): Der IT Business Case: Kosten erfassen und analysieren - Nutzen erkennen und quantifizieren - Wirtschaftlichkeit nachweisen und realisieren, Berlin u.a., 2. Aufl., Springer-Verlag. Bundesministerium der Finanzen (BMF) (2001): Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen ([GDPdU]), BMF Schreiben vom 16. Juli 2001 - IV D 2 - S 0316 - 136/ 01-, http: / / www.bundesfinanzministerium.de/ nn_314/ DE/ BMF__Startseite/ Aktuelles/ BMF__Schreiben/ Veroffentlichungen__zu__Ste uerarten/ abgabenordnung/ 006,templateId=raw,property=publicationFile.pdf (18.01.2010). <?page no="213"?> 214 Business-Case-Betrachtung für eine ordnungsgemäße Stilllegung von Legacy-Systemen IT Governance Institute (2005): COBIT 4.0, Deutsche Ausgabe, o.O., o.V. http: / / www. isaca.at/ Ressourcen/ COBIT%204.0%20Deutsch.pdf (18.01.2010). Johannsen, W./ Goeken, M. (2007): Referenzmodelle für IT-Governance, Heidelberg, 1. Aufl., dpunkt-Verlag. Project Consult: Kampffmeyer, U. (2004): Compliance White Paper, o.O., o.V. http: / / www.project-consult.net/ Files/ Compliance_Whitepaper.pdf (18.01.2010). SAPInsider: Fischer, G./ Kaufmann, T. (2008): Supporting Your ILM Needs from Start to Finish: A Holistic Look at the Information Lifecycle Management Solution from SAP, o.O., o.V. http: / / sapinsider.wispubs.com/ article.cfm? id=4373 (26.01.2010) SAPInsider: Kaufmann, T./ Dangers, C. (2009): Running a System Decommissioning Project with SAP NetWeaver Information Lifecycle Management, o.O., o.V. http: / / sapinsider.wispubs.com/ article.cfm? id=4552; abgerufen am 26.01.2010 Stefani, H. (2007): Datenarchivierung mit SAP, Bonn, 2. Aufl., Galileo Press. Thome, G./ Sollbach, W. (2007): Grundlagen und Modelle des Information Lifecycle Management, Berlin u.a., 1. Aufl., Springer-Verlag. Wirtschaftslexikon (2009): Zahlungsreihe. http: / / www.wirtschaftslexikon24.net/ d/ zahlungsreihe/ zahlungsreihe.htm (20.08.2009). <?page no="214"?> Stichwortverzeichnis Anlagegüter 183 Asset-Management-Hebel 190 Aufbauorganisation 32, 43 - design 88 Aufbewahrung - vorschriften 195 - Langzeit- 200, 201 Aufsichtsrechtliche Anforderungen 140 Auftragslebenszyklus 188 Auslagerungscontrolling 167 Auswertbarkeit 212 Automatisierung 101 Basel II 93 Basismodelle, idealtypische 54 Bestandsführung 186 Betriebskosten 200 Branchenumfeld 41 Business Continuity Management (BS25999) 70 Business IT Alignment 30, 162 Business Relationship Manager 95 Business-Process- Outsourcing 167 Capability Maturity Model Integration (CMMI for Development) 67 CObIT (Control Objectives for Information and related Technology) 23, 25, 62, 127, 139, 196 Commodity 100, 101 Compliance 126, 185, 195 - Cost of 144 - Risiken 141 Corporate Governance 88 COSO 134 Datenarchivierung 206 Datenqualität 184 Delivery und Sourcing Modells 160 Deloitte CIO Management Framework 74 Demand Management 95 Demand und Supply 34 Dokumenten-Management- Systeme 205 Ecosystem 42 Effizienzsteigerung 187 Einkauf 104 Enterprise Risk Management 136 Enterprise-Content- Management 205 Entscheidungsgremien 158 ERP-Systeme 193 eSourcing Capability Model for Service Providers Version 2 (eSCM-SP v2) 66 Flexibilität, strategische 85 GDPdU 196 Gesamtprozess (End-to- End-Prozess) 187 Geschäftsprozesse, Auslagerung 167 Geschäftsrisiken 129 Geschäftsstrategie 15, 42 Geschäftsziele 15 Gesetzliche Anforderungen 140 GoBS 196 Governance - funktionsübergreifende 190 - Gesamtunternehmens- 45 - Modell 54 - Strukturen 51, 158 Harmonisierung 193 Hierarchial-Management- Systeme 205 Holdingform 44 Hybridmodell 154 Identifizierung 186 Industrialisierung 100 Information Lifecycle Management 202 Informationsintegrität 212 Informationsobjekte 205 Innovationszyklen von Technologien 44 Integriertes Performance- Management-System 115 Investitionskosten 200 Investitionsrechenverfahren 207 ISO 9000 (Quality Management Systems) 72 ISO/ IEC 20000 (IT- Service-Management Standard) 65 ISO/ IEC 27001/ 27002 (Information Security Management Systems) 69 ISO/ IEC 38500 (Corporate governance of information technology) 63 ISO/ IEC38500 (2008) 23 IT Application Development 61 IT Architecture Management 61 IT Business Continuity Management 61 IT Project Management 61 IT Quality Management 61 IT Security Management 61 IT-Bereiche, strategische Ausrichtung der 118 IT-Compliance 37, 139, 142 - Maßnahmen, Abteilung von 145 - zukünftige Entwicklung in der 151 IT-Flexibilität 86 IT-Governance of IT Investments (Val) 64 IT-Governance - Beauftragter 143 - Einflussfaktoren für 41 - Elemente 18 - Erfolgsfaktoren von 26, 165 - Gremien 94 - Lebenszyklus 20 - Leitprinzipien 93 - Modell 88 IT-Gremien 48 - Vorteile von 48 ITIL 23 ITIL v3 - IT Infrastructure Library 64 IT-Industrialisierung 99, 100 IT-internes Kontrollsystem 136 IT-Kontrollsysteme 123, 141 IT-Konvergenz 50 IT-Lebenszyklus 47 IT-Lenkungsausschuss 94 IT-Managementdomänen 21 IT-Management- Frameworks 59 IT-Managementprozess 33, 159 - Toolunterstützung der 161 IT-Mitarbeiter 38 IT-Organisation 157 - Design 87 <?page no="215"?> 216 Stichwortverzeichnis - Modell 46 - koordiniertes 47 - zentrales 46 IT-Performance & Riskmanagement 35 IT-Provisioning 22 IT-Risiko 125, 126, 128 - Management 61, 123, 124, 132 IT-Service-Management 61 - Tools 160 IT-Sourcing 104 - Strategie 53 IT-Strategie 15 - und Architektur 22 IT-Transformation 22 IT-Workforce 89 - Strategie 96 Kapitalwert 207 Kennzahlensystem 25, 114 Key Performance Indicator (KPI) 115, 190 Key Risk Indicators 135 Kommodisierung 32 Kosten - optimierung 202 - zuordnung 188 Kundenstruktur 42 Leadership 163 Lebenszyklus, operationaler 116 Legacy-Systeme 194 Lösungselement 191 Management of Risk (M_o_R®) 70 Matrix-Methode 118 Messgrößen 120 Mitarbeiterqualifikationen 89 Multi-Vendor 107 Non-compliance, Cost of 144 Novellierung des Bundesdatenschutzgesetztes 145, 146 Operationalisierung 164 Organisation - Geschäftsbereichs- 45 - Hybrid- 91 Organisationsmodell, dezentrales 46 Outsourcing- Entscheidungen 103 Performance-Management 113 Performance-Messung 36 Personaleinsatzplanung 96 Produktauswahlprozess 106 Produktbildung 102 Produktmanagement 102 Project Management Body of Knowledge (PMBoK) 73 Projects in Controlled Environments (PRINCE2) 74 Projekt - beauftragung 154 - beispiel 153 - management 163 Provider - auswahl 105 - Management 167, 169 Prozesssteuerung 185 Qualitätssteigerung 187 Rahmenbedingungen, regulatorische 183 Rationalisierungspotenziale 205 Referenzmodell 59, 169 Reifegrad - Analyse des aktuellen 155 - erhöhung 157 - modelle 24 Retention Management 204, 205, 206 Retention Warehouse 206 Return on Security Investment 144 Risiken, operationelle 174 Risiko- und Compliance- Management 171 Risikoanalyse 133 Risikoidentifikation 132 Risikokennzahlen 130 Risikoklasse 129 Risikokommunikation 133 Risikomanagement - aktivitäten 127 - prozess 125, 130 Risikoneigung 131 Risikostrategie 135 Risikotoleranz 131 Risk IT 71, 134 Rollenbeschreibungen 159 Sarbanes-Oxley 93 Schnittstellen 120 Scoring-Modelle 105 Service- und Projektportfolio 161 Service-Controlling 176 Servicekatalog 161 Service-Level und Vertragsmanagement 175 Single-Source 107 Six Sigma 73 Sourcing - Szenarien 107, 108 - Entscheidungen 105, 106, 109 - Optionen 106 - Strategie 107 Sox 184 Standardisierung 90, 101 Steuerungssystem 53 Strategie, Werkzeug zur Umsetzung komplexer 120 Supplier-Auswahl 108 Supplier-Governance Supplier-Management 99, 102, 104, 160 Supplier-Relationship- Management 104, 109 The Open Group Architecture Framework (TO- GAF) 68 Tone at the Top 128 Transparenz 184 Unternehmensführung 16 Unternehmens-Governance 44 Unternehmenskultur 37 Veränderungsmanagement 156, 162 Veränderungsprozess 164 Veränderungsszenarien 97 Vermögensgegenstand 186 Vertragsmanagement 104, 105 Wertbeitrag 30 Wertschöpfungsanteil 29 Wirtschaftlichkeit 208 - sberechnung 202 Zentralisierung 31 Ziel- und Einheitendefinition 119 Ziele, langfristige 156
