Wozu eine formale IT-Governance?
Die Diskussion belegte einmal mehr, dass so gut wie jedes Unternehmen wesentliche Elemente einer IT-Governance bereits eingeführt hat. Aber ein formales Dokument darüber findet sich längst nicht überall - und ist teilweise auch nicht erwünscht. "Was ich vermeiden möchte, ist ein 500-seitiges Regelbuch darüber, wie Business und IT zusammenarbeiten sollen", bekannte Olufs: "Am Ende des Tages wollen wir uns ja nicht zu 90 Prozent nur mit den Ausprägungen der IT-Governance beschäftigen."
Er habe auch "keine 300 Seiten Schrankware", entgegnete Müller, "das ergibt doch keinen Sinn". Auch ohne eine formale IT-Governance habe Eurogate vieles umgesetzt, was zur IT-Steuerung gehöre, beispielsweise Anforderderungs-, Change-, Release- und Configuration-Management: "In Summe kann man das durchaus als IT-Governance titulieren."
Compliance - der CIO als Getriebener
Die Notwendigkeit einer formalen IT-Governance ergibt sich heute zum großen Teil, darin war sich die Runde einig, aus den Anforderungen der gesetzlichen Regelungen. Wirtschaftsprüfer fragen nun einmal nach solch einem Dokument. Deshalb müssten die einzelnen Elemente der IT-Governance "in ein paar Ordnern" zusammengefasst werden, die sich bei Bedarf vorzeigen ließen.
Foto: Bildschön/Gesine Born
"Und wenn man etwas für die Wirtschaftsprüfer macht, dann hat man gleich etwas für den Datenschutzbeauftragten und das Qualitäts-Management", fügte Thaden an. Der TÜV-CIO machte kein Hehl aus seiner Abneigung gegen solche Formalismen. "Die Compliance-Verkünder umzingeln uns mittlerweile regelrecht", klagte er. "Sie werfen uns Begriffe wie Itil, Cobit und KonTraG um die Ohren - da bin ich als CIO nur noch ein Getriebener." Besonders ärgere ihn, dass für das Thema Compliance große Finanzierungstöpfe aufgemacht würden, über die häufig keine Sekunde nachgedacht werde. Andere wichtige IT-Vorhaben müssten deswegen eventuell zurückstehen.
Das konnte Fritz nur bestätigen: "Durch die Compliance-Anforderungen werden Mittel gebunden, die man für innovative Dinge brauchen würde."
"Als DAX-geführtes Unternehmen haben Sie aber keine Wahl", entgegnete Olufs: "Aus den Anforderungen leiten sich nun einmal bestimmte, nicht diskutierbare Maßnahmen ab." Ihn störe viel mehr, dass das Thema Compliance immer aus der Risiko- und nicht aus der Nutzenperspektive betrachtet werde: "Der Hauptzweck der IT ist es doch immer noch, Nutzen zu stiften."