Grundgesetzänderung nötig

Öffentliche Hand hat IT-Governance-Bedarf

08.01.2014
Von 
Horst Westerfeld, CIO und Staatssekretär im Finanzministerium des Landes Hessen.
Was in der Verwaltung anders läuft als in einem Industriebetrieb und was durchaus vergleichbar ist - aus der Perspektive eines Praktikers.

Auf Bundesebene wurde die Diskussion um die Rolle eines CIO in der öffentlichen Verwaltung ab 2006 intensiv geführt. Sie begann im Rahmen der Vorbereitung auf den ersten IT-Gipfel der Bundeskanzlerin.

Foto: Jorg Hackemann, Shutterstock.com

Vorgelegt hatte schon 2003 der damalige hessische Ministerpräsident Roland Koch mit der Ernennung eines CIO für sein Land - im Rang eines Staatssekretärs. Der Ministerpräsident hatte dabei den Vergleich mit den großen Wirtschaftsunternehmen im Auge, bei denen die Rolle der IT in Zusammenhang mit den Geschäftsprozessen als strategische Aufgabe gesehen wird. Hinzu kam die Auffassung, ein Land mit etwa 150.000 Mitarbeitern, einem Budgetvolumen von rund 22 Milliarden Euro und acht Ressorts sei durchaus als Konzern zu betrachten, bestehend aus einer Zentrale und acht Unternehmensbereichen.

Wie ein Scheinriese

Folglich war es richtig, einen Konzern-CIO zu etablieren, der Mitglied des erweiterten Vorstands, also des Kabinetts, sein sollte. Gleichzeitig wurde der CIO dem für Organisation, Prozesse, Personal und E-Government zuständigen Innenressort sowie dem für Haushaltsfragen (also auch für IT-Budgets) und für die internen IT-Service-Provider zuständigen Finanzministerium zugeordnet.

So war der hessische CIO bereits frühzeitig mit einer Reihe von IT-Governance-Instrumenten ausgestattet, die den CIO des Bundes, verortet im Bundesinnenministerium, wie einen Scheinriesen aussehen ließen. Zudem etablierte Hessen neben dieser Institutionalisierung des CIO schon 2003 Gremien für die IT-Governance, darunter einen Kabinettsausschuss für Verwaltungsmodernisierung und IT. Beteiligt waren die Ressortstaatssekretäre, den Vorsitz hatte der Chef der Staatskanzlei.

Der CIO des Bundes musste sich hingegen mit einem Gremium aus den IT-Referatsleitern der Ressorts begnügen. An eine tragende Rolle mit starken IT-Governance-Instrumenten war hier also von vornherein nicht zu denken.

Daran änderte sich auch dadurch nichts, dass 2009 der Artikel 91c in das Grundgesetz aufgenommen und anschließend ein IT-Planungsrat etabliert wurde. Die Situation auf Bundesseite besserte sich dadurch keineswegs - auch wenn der CIO des Bundes seit dieser Zeit jedes zweite Jahr im Wechsel mit einem Vertreter der Länder den Vorsitz des IT-Planungsrats übernimmt. Sein Einfluss blieb unverändert schwach.

In Hessen dagegen geschieht die Abstimmung mit den Ressorts nicht nur auf einer politischen Ebene, also im Kabinettsausschuss für Verwaltungsmodernisierung, sondern auch auf der Arbeitsebene mit den IT-Leitern der Ressorts sowie der Staatskanzlei. Dabei hat der CIO den Vorsitz im Programm-Management-Board. Eine Ebene darunter sind zwei weitere operative Arbeitskreise eingerichtet, die an das Programm-Management-Board berichten.

In den anderen 15 Bundesländern sind die Befugnisse des jeweiligen Vertreters im IT-Planungsrat eher schwach ausgeprägt. Manche dieser Vertreter sind Staatssekretäre, die IT nur als Zusatzaufgabe haben, andere nennen sich CIO, ohne jedoch einen maßgeblichen Einfluss auf die ressortübergreifende Gesamt-IT des Landes zu haben.

Diese unterschiedlichen Konstellationen gibt es allerdings auch in der Wirtschaft. Einige CIOs sind eigentlich Leiter des internen Rechenzentrums oder IT-Service-Providers. Und daneben gibt es CIOs, die eine Konzern-Stabsfunktion haben und einem Vorstandsmitglied zugeordnet sind, ohne dass sie die IT-Governance-Instrumente in Gänze nutzen können. Wenn die zentralen CIOs dem CFO zugeordnet sind, haben sie zumindest das Instrument des IT-Budgets, um die oft stärkeren IT-Chefs der Unternehmensbereiche/Ressorts zu kontrollieren.

Nimmt man die tatsächliche Bedeutung der IT für ein Unternehmen oder für Bund, Länder und große kommunale Körperschaften ernst, so führt an der Ausstattung des CIO mit den Instrumenten der IT-Governance kein Weg vorbei.

IT-Governance wird aus der Corporate-Governance-Verpflichtung abgeleitet. Der scheidende Vorsitzende der Regierungskommission Corporate Governance Kodex, Klaus-Peter Müller, wirft der Politik hier eine "gewisse Scheinheiligkeit" vor. Wie er zu Recht erläutert, haben weder der Bund noch die meisten Länder oder Kommunen entsprechende Regelungen für sich umgesetzt. Seiner Ansicht nach verliert die Politik an Glaubwürdigkeit, wenn sie anderen Regeln vorgibt, die sie selbst nicht befolgt. Wie kann aus einer nicht praktizierten Corporate Governance eine IT-Governance abgeleitet werden?

Corporate Governance als Klammer

Die Corporate Governance enthält anerkannte Standards guter und verantwortungsvoller Unternehmensführung. Die IT-Governance ist Bestandteil der Corporate Governance. Gleichzeitig ist sie ein kritischer Erfolgsfaktor der Corporate Governance. Damit unterliegt sie denselben Prämissen zur Steuerung und Überwachung der IT-Nutzung, ob es sich nun um ein Unternehmen oder eine öffentliche Körperschaft handelt. Allerdings behauptet einige führende IT-Verantwortliche des Bundes, die IT in der Verwaltung lasse sich nicht mit der derjenigen in der Wirtschaft vergleichen. Deswegen müsse man eigene Wege gehen. Dem kann man nur heftig widersprechen.

Eine Schnittstellenfunktion

Ziel der IT-Governance ist die Festlegung der IT-Strategie - ausgerichtet an den Kernprozessen des Unternehmens (Stichwort "IT-Business-Alignment"). Sie soll also sicherstellen, dass die aktuellen sowie künftigen Unternehmensziele erreicht werden können. Die Erwartungen des Geschäfts an die IT werden mit Hilfe von IT-Governance-Methoden umgesetzt. Dabei sollen alle damit verbunden Risiken aufgedeckt, bewertet und mit Lösungsszenarien versehen werden.

IT-Governance kann kein Bestandteil der IT-Organisation sein. Das ist deshalb unmöglich, weil es sich um eine Schnittstellenaufgabe zwischen der Fach- und IT-Seite handelt, die steuernd auf die IT wirkt.

Die IT hat einen Wertschöpfungsbeitrag für das Unternehmen zu leisten. Gleichzeitig müssen die mit der IT verbundenen Risiken möglichst gering gehalten werden. Die IT-Governance umfasst die Führungsstrukturen und Prozesse, die notwendig sind, um die Strategien und Ziele der IT-Organisation erreichen sowie sicherstellen zu können. Ohne ein kontinuierliches IT-Reporting und -Controlling ist eine IT-Governance nicht vorstellbar.

Ohne Standards geht es nicht

Vor allem in großen Unternehmen, dazu sind Bund und Länder zu rechnen, hat die IT-Unterstützung eine existenzielle Bedeutung hinsichtlich der Geschäfts- und Verwaltungsprozesse. Also kommt man hier an speziellen Regeln für Management, Steuerung und Kontrolle der IT auf keinen Fall vorbei.

Am besten ist es deshalb, einen Standard für IT-Governance zu nutzen. Dabei kann man sich beispielsweise an die vom IT-Governance-Verein ISACA erarbeiten Vorschläge halten. Denen zufolge gehört zu einer IT-Governance ein IT-StrategieKomitee, in dem geregelt ist, wer an wen berichtet, was der Wertbeitrag der IT ist und welche Leistungen die IT zu erbringen hat. Ferner ist ein Risiko-Management nötig. Ein sinnvolles Instrument ist auch eine IT-Balanced-Scorecard, mit der sich Effektivität, Effizienz und Risiken der IT darstellen lassen. Dabei kann das Framework COBIT als Werkzeugkasten dienen.

IT-Governance bedeutet einen gewissen Aufwand, der sich in Transaktionskosten niederschlägt. Damit diese Kosten nicht ausufern, ist es sinnvoll, sich auf derartige Standards der IT-Governance zu einigen.

In Groß- oder auch Mischkonzernen wird häufig ein "föderales" IT-Governance-Modell angewendet. Es berücksichtigt die bestehenden zentralen und dezentralen IT-Strukturen.

Aus Sicht der IT, genauso wie aus der Perspektive anderer Querschnittsfunktionen (Personal- und Rechnungswesen, Einkauf, Immobilienverwaltung, Fuhrpark-Management etc.) muss der richtige Mix aus dezentralem Support von Geschäftsprozessen und zentralen (Prozess-)Standards beziehungsweise -Services ausbalanciert werden. Dazu sind Strukturen und Gremien zu etablieren, die einen "Konzernkonsens" ermöglichen. Schließlich entspricht der Gesamtkonzern-Nutzen nicht immer dem Einzelinteresse eines Teilkonzerns.