IT-Governance - Checkpoint zwischen IT und Business

Über die Steuerung der Informationstechnik, im Fachjargon "IT-Governance", lässt sich trefflich schwadronieren. COMPUTERWOCHE und die Hamburger Unternehmensberatung Schickler wollten wissen, wie sie in der Praxis funktioniert. Eine Roundtable-Diskussion mit sechs ausgewählten CIOs sollte die Ergebnisse der vorangegangenen Anwenderumfrage erläutern und vertiefen.

Drei Fragen machen deutlich, wozu die Unternehmen eigentlich eine IT-Governance benötigen, konstatierte Niels Fischer, Geschäftsführer und Partner der Schickler Unternehmensberatung:

• Wie werden IT-Entscheidungen getroffen?

• Wie lässt sich eine Mitverantwortung der Fachbereiche erreichen?

• Und wie bringt man die Anforderungen des Business mit den notwendigen Innovationen in Einklang?

Wer die Antworten darauf suche, komme um eine IT-Governance nicht herum.

Die Diskussionsteilnehmer stimmten prinzipiell zu - auch wenn einige zu bedenken gaben, dass sich die Unternehmen zunächst Gedanken über ihre Corporate Governance machen sollten. Schließlich gehe es doch vor allem um die Beziehung zwischen IT und Business.

Prämissen, Policies, Leitplanken

Zu dieser Fraktion gehörte Wolfram Müller, CIO und Geschäftsführer des Hamburger Container-Terminal-Betreibers Eurogate. Für ihn ist die IT-Governance in erster Linie ein Mittel, um allzu kühne Forderungen der Fachbereiche möglichst früh einzuschränken: "Im Business sitzen heute PC-Anwender mit einem recht weit gehenden IT-Verständnis. Die fahren zu Messen, kommen mit eigenen Vorstellungen zurück und erklären, was sie von der IT haben wollen."

IT-Governance helfe ihm, "fair" mit diesen Ansprüchen umzugeben, sagte Müller: "Ich muss den Leuten im Business sagen, was aus Sicht der IT möglich ist und was wir supporten können, bevor sie zu diesen Messen gehen. Ich muss Prämissen, Policies, Leitplanken setzen, sonst habe ich als CIO am Ende die Torte im Gesicht und muss erklären, warum die IT-Kosten so hoch sind." In Form einer IT-Governance gebe die IT den Business-Verantwortlichen "quasi eine Bibel an die Hand", so Müller weiter. Dort stehe, was die IT leisten beziehungsweise supporten könne. Nur wenn darüber Einverständnis bestehe, sei die IT in der Lage, einen effizienten Support zu sichern.

Die Technik bleibt außen vor

Auf jeden Fall müsse die technische Diskussion aus der IT-Governance herausgehalten werden, forderte Müller: "Mit welchem Betriebssystem oder welcher Programmiersprache ich etwas mache, ist Mittel zum Zweck - und sonst nichts." Das deckt sich mit der Empfehlung vieler Unternehmensberater, IT-Governance und operatives IT-Management unbedingt zu trennen.

"Ich gehöre zu den Dinosauriern aus der Mainframe-Zeit", räumte Müller ein. Damals habe kein Anwender technische Diskussionen geführt. "Diese Welt wünsche ich mir heute ein Stück weit zurück", seufzte der Eurogate-Manager. "Wir haben zugelassen, dass die Anwender über die Technik mitdiskutieren und wir viel Zeit verlieren, aber letztlich bin ich für den Support einer Applikation verantwortlich und muss die Höhe der IT-Kosten vertreten. Deshalb kann ich nicht jede Anforderung wunschgemäß realisieren."

Oliver Radtke, Geschäftsführer Operations des ebenfalls in Hamburg ansässigen Verlagshauses Gruner + Jahr, pflichtete Müller bei. Auch aus seiner Sicht wird die Diskussion mit dem Business zu technisch geführt: "Es interessiert doch niemanden mehr, wie eine Steckdose aussieht, solange 230 Volt drauf sind."

Unabdingbar: ein Anforderungs-Management

Der Umgang mit den Anforderungen aus den Fachbereichen zählt für die meisten CIOs offenbar zu den zentralen Bausteinen einer IT-Governance. "Wir werden künftig viele standardisierte IT-Produkte von außen bekommen, und wir müssen grundsätzliche Verabredungen zwischen IT und Business treffen, wie wir damit arbeiten wollen", so umschrieb Radtke das Thema. Und Müller konkretisierte: "Ich brauche ein vernünftiges Anforderungs-Management über das gesamte Business, um nicht immer den Einzelfall bewerten zu müssen."

Was Governance und Innovation verbindet

Aus dieser Perspektive betrachtet, sieht IT-Governance wie eine Reihe von Beschränkungen und Verboten aus. Das wollte Kay Holzkamp, Geschäftsführer des Dienstleisters CircIT GmbH & Co. KG mit Sitz in Düsseldorf, nicht so stehen lassen: "Die IT-Governance auf Einschränkungen zu reduzieren ist doch ein bisschen zu kurz gesprungen, es sollte auch darum gehen, wie man mit IT neues Business entwickeln kann", mahnte der IT-Manager, der für die Unterstützung von zehn Regionalverlagen verantwortlich zeichnet.

Selbstverständlich müsse die IT "generell" ein Business-Verständnis haben, räumte Müller ein, "aber ein Governance-Modell wird dieses Problem nicht lösen". Zudem sollte die Prozessverantwortung unbedingt dort bleiben, wo sie hingehöre, sprich: im Business.

Das reizte Gunnar Thaden, den Leiter IT der TÜV Nord Gruppe, Hannover, zum Widerspruch: "Das Innovationsthema ist in der IT richtig aufgehoben. Nach meiner Erfahrung gibt es vor allem hier wirklich neugierige Leute. Deshalb hat die IT die Grundaufgabe, das Unternehmen voranzubringen."

Müller wandte ein, dass man sich erst einmal darauf verständigen müssen, was innovativ sei: "Für mich bedeutet Innovation nicht, von Windows XP auf Vista zu gehen. Das bringt dem Business nichts außer Kosten und Unruhe." Die Anwender hechelten naturgemäß jedem Hype hinterher: "Da will jeder Ferrari fahren, und oft fallen wir darauf herein." Er selbst habe sich ein VoIP-System (Voice over IP) "gegönnt", aber am Ende keine darstellbare Kostenersparnis gefunden: "Letztendlich muss ich dann einräumen, dass ich das besser nicht getan hätte."

Dirk Olufs, CIO des Logistikdienstleisters DHL Express Europe mit Sitz in Brüssel, brachte die Diskussion wieder auf das Ausgangsthema: "Aus meiner Sicht sind IT-Governance und Innovation zwei ganz verschiedene Dinge." Sie berührten sich allenfalls, wenn festgelegt werde, dass das Unternehmen einen bestimmten Betrag pro Jahr in Innovationen investieren wolle. Und eventuell gebe es dort noch einen zweiten Satz, der besage: Über die Verwendung dieses Budgetanteils entscheidet ein Gremium, ergänzet Radtke

Portfolio-Management: priorisieren statt verbieten

Aus Olufs Sicht steht ein Thema im Mittelpunkt der IT-Governance, das eng mit dem Anforderungs-Mangement verbunden ist: das Portfolio-Management: "Der Haupttreiber ist für uns, die Schnittstellen zu den Fachbereichen auf die Reihe zu bringen - mit dem Ziel, unsere IT-Investitionen zu priorisieren." Die Anwender sollten bekommen, was sie wirklich bräuchten, um ihre Geschäftsprozesse zu unterstützen. Für die Priorisieurng zeichne ein Board verantwortlich, das nicht nur mit IT-Fachleuten, sondern vor allem mit Business-Stakeholdern besetzt sei: "Denn die Projektwunschliste ist immer größer als das, was das Budget hergibt."

Auch für Radtke ist die Priorisierung derzeit ein wichtiges Thema: "Der Druck steigt, die Budgets sinken, aber die Zahl der angemeldeten Projekte nimmt nicht ab." Deshalb sei es nötig, sich an einen Tisch zu setzen und darüber zu reden, wie viel das Unternehmen für IT-Projekte ausgeben wolle und nach welchen Regeln über diese Ausgaben bestimmt werde. "Da muss man dann auch mal über den Vorgarten des anderen reden", warnte der Gruner+Jahr-CIO.

"Piorisierung ist schön und gut, aber bei uns gibt es die wichtigen und die ganz wichtigen Vorstandsbereiche", gab Thaden zu bedenken, "und die IT sitzt zwischen allen Stühlen." Dass der IT-Chef des TÜV Nord mit diesem Problem offenbar nicht alleinsteht, belegte das mitfühlende Kopfnicken in der Runde.

Zentral versus dezentral

Eine weitere Frage, die durch IT-Governance beantwortet werden muss, warf Wolfgang Fritz, CIO IT-Services bei der Tchibo GmbH, Hamburg, auf: Wo werden die Entscheidungen getroffen - in der Zentrale oder in den dezentralen Business-Units? "IT-Governance wird oft mit einer zentralen Budgetverantwortung in Zusammenhang gebracht, das ist zwar praktisch, aber auch problematisch", ließ Fritz seine Kollegen wissen: "Die dezentralen Units haben eine Ergebnisverantwortung, aber wir exportieren die Kosten dorthin."

Es sei nur zu natürlich, dass die dezentralen Bereiche nicht unbedingt immer das wollten, was das Beste für das Gesamtunternehmen sei, weiß der Tchibo-CIO. Gerade im Handel sei dezentrale Verantwortung wichtig: "Wir brauchen die zentrale Budgetverantwortung, und wir brauchen Freiräume - beispielsweise bei Themen wie Lifecycle- und Innovations-Management." (Siehe auch: "Spagat der Glokalisierung") Er selbst habe diese Erfahrung "auf beiden Seiten" gemacht: "Jahrelang habe ich ein dezentrales R/3-System verteidigt, das zwei zentrale CIOs überlebt hat - bis man mich in die Zentrale holte und ich es selbst abgeschaltet habe."

Eine extrem dezentrale Geschäftverantwortung ziehe häufig eine schlecht integrierte IT nach sich, die sich nicht mehr warten und betreiben lassen, steuerte Olufs zum Thema bei. Andererseits gebe es keinen Grund, ein lokales System, das beispielsweise die Kunden in Hintertupfing optimal anbinde, mit einer globalen Standarddiskussion "tot zu machen", wenn die zentrale IT keine brauchbare Alternative anzubieten habe.

Wozu eine formale IT-Governance?

Die Diskussion belegte einmal mehr, dass so gut wie jedes Unternehmen wesentliche Elemente einer IT-Governance bereits eingeführt hat. Aber ein formales Dokument darüber findet sich längst nicht überall - und ist teilweise auch nicht erwünscht. "Was ich vermeiden möchte, ist ein 500-seitiges Regelbuch darüber, wie Business und IT zusammenarbeiten sollen", bekannte Olufs: "Am Ende des Tages wollen wir uns ja nicht zu 90 Prozent nur mit den Ausprägungen der IT-Governance beschäftigen."

Er habe auch "keine 300 Seiten Schrankware", entgegnete Müller, "das ergibt doch keinen Sinn". Auch ohne eine formale IT-Governance habe Eurogate vieles umgesetzt, was zur IT-Steuerung gehöre, beispielsweise Anforderderungs-, Change-, Release- und Configuration-Management: "In Summe kann man das durchaus als IT-Governance titulieren."

Compliance - der CIO als Getriebener

Die Notwendigkeit einer formalen IT-Governance ergibt sich heute zum großen Teil, darin war sich die Runde einig, aus den Anforderungen der gesetzlichen Regelungen. Wirtschaftsprüfer fragen nun einmal nach solch einem Dokument. Deshalb müssten die einzelnen Elemente der IT-Governance "in ein paar Ordnern" zusammengefasst werden, die sich bei Bedarf vorzeigen ließen.

"Und wenn man etwas für die Wirtschaftsprüfer macht, dann hat man gleich etwas für den Datenschutzbeauftragten und das Qualitäts-Management", fügte Thaden an. Der TÜV-CIO machte kein Hehl aus seiner Abneigung gegen solche Formalismen. "Die Compliance-Verkünder umzingeln uns mittlerweile regelrecht", klagte er. "Sie werfen uns Begriffe wie Itil, Cobit und KonTraG um die Ohren - da bin ich als CIO nur noch ein Getriebener." Besonders ärgere ihn, dass für das Thema Compliance große Finanzierungstöpfe aufgemacht würden, über die häufig keine Sekunde nachgedacht werde. Andere wichtige IT-Vorhaben müssten deswegen eventuell zurückstehen.

Das konnte Fritz nur bestätigen: "Durch die Compliance-Anforderungen werden Mittel gebunden, die man für innovative Dinge brauchen würde."

"Als DAX-geführtes Unternehmen haben Sie aber keine Wahl", entgegnete Olufs: "Aus den Anforderungen leiten sich nun einmal bestimmte, nicht diskutierbare Maßnahmen ab." Ihn störe viel mehr, dass das Thema Compliance immer aus der Risiko- und nicht aus der Nutzenperspektive betrachtet werde: "Der Hauptzweck der IT ist es doch immer noch, Nutzen zu stiften."

IT-Governance bestimmt den Stellenwert der IT

Wer nun aber meint, dass die CIOs einer IT-Governance im Prinzip eher ablehnend gegenüberstünden, sah sich am Ende getäuscht. "Eine pragmatisch angegangene IT-Governance halte ich für sinnvoll, weil sie unter anderem den Stellenwert der IT im Unternehmen bezeichnet", resümierte Holzkamp. Für ihn als Dienstleister bedeute das auch, dass er nicht immer nur im Hinblick auf die Kosten beurteilt werde: "IT-Governance erlaubt die Frage, ob die Leistung dem Stellenwert der IT im Unternehmen entspricht."

Ein Unternehmen, das eine IT-Governance habe, versicherte der CircIT-Geschäftsführer, sei eher bereit, Geld für die IT auszugeben, denn es befasse sich "bewusster" mit der Informationstechnik. Last, but not least stelle die Governance sicher, dass das Geld an der richtigen Stelle aufgewendet werde.

Diese Einschätzung wird durch eine Anwenderbefragung der Schickler Unternehmensberatung und der COMPUTERWOCHE gestützt. Befragt wurden Unternehmen mit und ohne IT-Governance. Letztere erhoffen sich von der Einführung einer IT-Steuerung in erster Linie operative Vorteile, während Erstere vor allem die strategischen Vorteile der Governance loben. Für sie tritt der Kostenaspekt ein wenig in den Hintergrund.

Möglichst wenig Papierkram

Unternehmen, die eine IT-Governance einführen wollen, sollen auf deren Handhabbarkeit achten, stellte Radtke heraus: "Wir brauchen möglichst einfache Regeln und wenig Papierkram, sonst läuft die IT-Governance Gefahr, in Bürokratie zu ersticken."

"Auf jeden Fall sollen wir die IT-Governance nicht zu einem Wirtschaftsprüferthema machen", ergänzt Holzkamp. Aus Olufs Sicht dreht sich "am Ende des Tages" alles um die Frage: Wofür steht die IT? Um sie zu beantworten, sollten die Unternehmen zum einen pragmatisch vorgehen und zum anderen den Nutzen im Auge behalten.

Das Schlusswort hatte der Schickler-Geschäftsführer Dirk Trapp: "Im Grunde ist das Thema simpel: Die IT ist eng verwoben mit der Gesamtsteuerung des Unternehmens. Wir brauchen also eine Art Küchendurchreiche zum Business."