Neuer Standard

ISO/IEC 38500 stärkt die IT-Position im Unternehmen

Karin Quack arbeitet als freie Autorin und Editorial Consultant vor allem zu IT-strategische und Innovations-Themen. Zuvor war sie viele Jahre lang in leitender redaktioneller Position bei der COMPUTERWOCHE tätig.
Nach dieser Norm sollte sich die Gestaltung der Corporate Governance in der IT an sechs zentralen Prinzipien orientieren.

Corporate Governance in Information Technology, so lautet die Bezeichnung eines ISO/IEC-Standards, der im vergangenen Jahr verabschiedet wurde und als ISO/IEC 38500:2008 bekannt ist. Nach Ansicht des auf IT-Alignment-Themen spezialisierten Beratungsunternehmens Serview ist mit einer schnellen Durchsetzung des Regelwerks zu rechnen.

Die Unternehmens- und IT-Strategien seien in den meisten Fällen nur wenig miteinander verzahnt, so Serview. Einer Umfrage aus dem vergangenen Jahr zufolge gebe es nur in nur 13 Prozent der Unternehmen eine "sehr enge" und in weiteren 18 Prozent eine "enge" Abstimmung zwischen den Business-Zielen und der IT-Ausrichtung (IT-Alignment). Mit dem neuen ISO-Standard zeige sich jedoch Licht am Horizont. "Damit können die IT-Abteilungen und ihre Verantwortlichen Hilfestellung für ihre angemessene Positionierung im Unternehmen finden", sagt Gisela Böndgen, Business Consultant bei Serview. Der Standard ziele darauf ab, die Corporate Governance als den entscheidenden Schlüssel für eine leistungsfähige IT zu etablieren.

Die sechs Prizipien des ISO-Standards

Zur Gestaltung der Corporate Governance sieht ISO/IEC 38500 sechs Prinzipien:

  1. Responsibility (Verantwortung): Das Topmanagement sollte die IT-Belange adäquat wahrnehmen.

  2. Strategy (Strategie): Es gilt, die unternehmensstrategische Planung mit Blick auf die IT-Potenziale zu erweitern und die IT-Strategie aus den Unternehmensstrategien abzuleiten.

  3. Acquisition (Beschaffung): Die Gestaltung der IT-Budgets muss sich im Rahmen transparenter Entscheidungsprozesse konsequent am Bedarf orientieren.

  4. Performance (Leistung): Die IT-Services sind in Anlehnung an die Anforderungen der Fach- und Organisationsbereiche zu gestalten.

  5. Conformance (Konformität): Die IT hat mit allen rechtlichen Vorgaben, Normen, internen Standards etc. konform zu gehen.

  6. Human Behaviour (der menschliche Faktor): Die IT-Konzepte müssen den Bedürfnissen der internen und externen IT-Nutzer hohe Aufmerksamkeit beimessen..

Jedem dieser sechs Prinzipien sind von ISO/IEC 38500 jeweils drei Funktionen zugeordnet:

  • Bewertung: Kontinuierliche Beurteilung des IT-Einsatzes.

  • Leitung: Steuerung einer Business-gerechten Fokussierung der IT-Maßnahmen.

  • Kontrolle: Systematische Überwachung von Regelkonformität (Compliance) und Leistungsfähigkeit der IT.

Auf diese Weise entsteht eine Matrix mit 18 Leistungsfeldern.

"Wir haben keinen Zweifel, dass sich dieses Regelwerk für eine Corporate Governance in der Praxis sehr schnell durchsetzen wird", so Böndgen, "denn es besteht ein erheblicher Bedarf an einem klaren Ordnungsrahmen." Das belegten die Signale aus dem Markt. Eine erste Serview-Veranstaltung zu ISO/IEC 38500 sei auf großen Zuspruch gestoßen - "obwohl das Thema bislang kaum in der Öffentlichkeit diskutiert wurde", wie die Beraterin konstatiert. (qua)