Governance und Management

Warum tut sich das Management so schwer mit Governance?

Management und Governance sind für viele IT Manager zwei Synonyme: das eine ist sowohl auch das andere oder zumindest ein Teil davon. Dabei sehen diese IT-Manager beim Management wohl primär das Führen und Steuern der IT-Organisation selbst, während die Governance als die dabei grundlegend zu berücksichtigenden Entscheidungskompetenzen und -regeln darstellen. Und wenn man sich diese Kompetenzen und Regeln selber auferlegt, ist es nicht erstaunlich, dass man dies als Teil des Managements betrachtet.

Governance heisst Führen
Governance heisst Führen

Dabei gilt nicht erst seit Peter Weil/Jeanne W. Ross oder seit COBIT® 5, dem Best Practice Leitfaden von Governance und Management, eine klare und strikte Trennung dieser beiden Funktionen. Die Prinzipien einer guten Governance in Unternehmen verlangen sogar die Trennung von Steuerung und Umsetzung. Die strategische Richtung vorgeben, deren Umsetzung überwachen und bei Abweichung korrigierend eingreifen ist in der Verantwortung der Governance. Das Umsetzen, respektive deren Planung, Realisierung und Bereitstellung ist dann die Aufgabe des Managements. Das kann und darf nicht gleichzeitig ein einer Hand liegen. Die Überwachung und Kontrolle würde damit zur Farce.

So bin ich aber nicht wirklich erstaunt, wenn ich wieder einmal die Prozess- und Führungsstrukturen einer IT-Organisation hinsichtlich ihrer Reife beurteilen soll und dabei auf ein völliges Vakuum von klaren Governance-Strukturen stosse. Man hat zwar in den meisten Organisationen den Wandel hin zur Prozessorientierung vollzogen, jedoch hat sich das IT-Management in den meisten Fällen dabei ausgeklinkt. Die Zusammenhänge zwischen Führung einer ICT-Organisation, des Prozess-Managements sowie einer Klärung der Governance-Situation mit dem Business sind dabei in aller Regel den Beteiligten nicht klar. Prozesse werden zwar oft noch gemessen – deren Ziele aber selbst festgelegt, aber von der ICT-Führung nicht wirklich ernstgenommen.

Business und IT verstehen sich nicht
Business und IT verstehen sich nicht

Wenn man fragt, was die Rolle der ICT-Organisation im Unternehmen ist, so kommt es unisono klar zum Ausdruck: das Business unterstützen mit zeitgemässen IT-Lösungen und Infrastrukturen, zu selbstredend tiefen Kosten. Und alle machten mit – jeder auf seine Weise. So ist es dann auch nicht erstaunlich, dass immer wieder die gleichen Stereotypen in diesen Organisationen auftreten: hier das Business, das immer mit unausgereiften Anforderungen kommt. Dort die IT, welche zu wenig von ihrem Einfluss auf das Ergebnis des Unternehmens versteht. Die IT beschwert sich darüber, dass das Business ständig etwas anderes will. Das Business versteht nicht, dass die IT nicht begreift, dass die Businesswelt sich ständig ändern muss.

Obwohl die IT gerade in der heute digitalisierenden Welt schlicht nicht weg zu denken ist, tut sich das Business mit einer ICT-Organisation trotzdem schwer. Es wird als ein Fremdkörper im Unternehmen gesehen, welcher mit dem eigentlichen Business nur am Rande zu tun hat. Zudem ist der CIO praktisch nie verfügbar (dies gilt auch für IT-Mitarbeiter) und sich das Business als Bittsteller fühlt, das von Spezialist zu Spezialist laufen muss bis es einen Ansprechpartner für sein Problem gefunden hat.

Das müsste eigentlich alles nicht sein, wenn man Governance versteht und entsprechend einrichtet. Ich behaupte mal, dass das Business die ICT-Organisation hat, welche es auch verdient. Letztlich ist die ICT eine Support-Funktion in Unternehmen – eine wichtige zwar – aber auch nicht viel mehr. Und diese Funktion gehört geführt, gesteuert und überwacht – durch die Unternehmensleitung. Auf keinen Fall durch die ICT selbst. Aber gerade hier hapert es gewaltig.

Governance und Management
Governance und Management

Governance heisst Verantwortung von Entscheidungen übernehmen müssen. Gerade hier tun sich das Business und die Unternehmensführung oft schwer, weil sie von der ICT-Materie keine Ahnung haben und die Folgen Ihrer Entscheide nicht wirklich einschätzen können. Dann ist es einfacher, dass man dies lieber dem CIO überlässt, welcher als Profi genau diese Aufgabe hat. Wenn die IT nur nicht so strategisch wichtig wäre, dann könnte man dies allenfalls noch akzeptieren.

So kommt es wie es kommen muss: die ICT-Organisation bemüht sich, den verschiedenen Ansprüchen zu genügen und riskiert dabei, manchmal über das Ziel hinauszuschiessen und nicht wirklich ernst genommen zu werden. Der Wert der IT wird dann primär über die Kosten definiert und nicht in Bezug seines Business-Beitrages. Wenn dann die Projekte noch länger dauern, nicht das liefern, was man sich vorgestellt hat und bereitgestellte Lösungen als IT-Luxus abtut, ist die Wertschätzung der ICT-Organisation erwartungsgemäss eher bescheiden. Je stärker das Business dem Leistungs- und Kostendruck unterworfen ist, desto eher wird die ICT-Organisation gern als Ventil missbraucht.

Governance der Zukunft
Governance der Zukunft

Dabei ist es gar nicht notwendig, dass die Unternehmensführung die ICT-Technik versteht. Dazu hat sie ja den CIO eingestellt. Was aber das Business verstehen muss, ist Ziele zu definieren und den Wertbeitrag der IT festlegen, welcher durch die ICT-Organisation erbracht werden muss. Dieser Wertbeitrag muss in der Sprache des Unternehmens festgehalten sein. Dies kann aus Finanzieller Sicht (Portfolio wettbewerbsfähiger Produkte und Services, oder Finanzielle Transparenz), aus Kunden-Sicht (Kontinuität und Verfügbarkeit der Services, Agile Reaktionen auf sich wandelndes Geschäftsumfeld), aus interner Sicht (Optimierung der Geschäftsprozesskosten, Gemanagte Programme für Änderungen im Unternehmen) oder aus Weiterentwicklungs-Sicht (Kultur der Produkt- und Geschäftsinnovationen) erfolgen.

Neben den Werten muss die Unternehmensführung auch die Risiken verstehen, welche mit der IT in Verbindung stehen. Oft unterscheiden Unternehmen zwischen Business-Risiken und IT-Risiken. Dementsprechend ist die ICT-Organisation für die IT-Risiken zuständig, während das Business die eigenen Risiken bewirtschaftet. Es gibt aber streng genommen gar keine IT-Risiken. Es gibt „nur“ Business-Risiken. Das Unternehmen muss lernen, Risiken in Zusammenhang mit der IT als Unternehmensrisiken zu verstehen und auch zu behandeln. Die dazu notwendigen Mittel müssen in Relation zum potentiellen Schaden betrachtet werden. Das kann nie eine IT-interne Thematik alleine sein.

Ressourcen in digitaler Welt
Ressourcen in digitaler Welt

Und letztlich liegt es in der Verantwortung des Unternehmens, die Ressourcen für die IT bereitzustellen und diese zu optimieren. Die Mitarbeiter stellen dabei die wichtigste und auch kritischste Ressource dar. Die vorhandenen und erarbeiteten Capabilities und Skills sind unmittelbar mit der Qualität der IT-Serviceerbringung verknüpft. Die Sourcing-Strategie und der damit erhofften Vorteile für das Unternehmen müssen auch durch die Unternehmensführung definiert und abgesegnet sein. Das kann die ICT-Organisation nicht für sich bestimmen.

Die Governance-Strukturen sollen letztlich die Ordnung, die Beziehung und die Zusammenarbeit zwischen Business und ICT regeln und überwachen. Überall dort, wo diese Strukturen fehlen, arbeitet man nach bestem Wissen und Gewissen – nach best guess. Wenn dann in den IT-Abteilungen ITSM-Prozesse oder Entwicklungsprozesse und Projektstrukturen aufgebaut werden, dann fehlt oft der Governance-Überbau, welcher die Fäden zusammenhält. Die Prozesse sind dann wie führungslose Pilze in der ICT-Organisation, einem Prozess-Owner übertragen, dem jegliche Kompetenzen fehlen.

Es gibt nun zwei Möglichkeiten, wie ICT-Organisationen mit dieser Situation umgehen können:

  1. Man zuckt mit den Schultern und weist den Handlungsbedarf dem Business zu. Die ICT-Organisation bleibt der Laune des Business ausgesetzt und versucht sich möglichst lange zu erhalten
  2. Man übernimmt die Themenführerschaft und sorgt dafür, dass die Governance-Strukturen für die IT-Themen etabliert werden

Klar kann hier nur die zweite Variante zum empfohlenen Weg erklärt werden. Als erstes ist es dabei wichtig, dass es gelingt, das Risiko-Management der IT als direkte Unterstützung des Unternehmens-Risiko-Management zu integrieren. Es braucht einen CIO, welches es auch versteht, dass hinter allen IT-bezogenen Aktivitäten ein Risiko für das Business bedeutet.

Governance und Risk Management
Governance und Risk Management

Um die Positionierung der ICT-Organisation als wahrgenommener Business-Partner zu etabliere, empfiehlt sich folgendes Vorgehen:

  1. Alle IT-bezogenen Aktivitäten und Initiativen müssen in eine direkte Verbindung mit den Business-Zielen und –Strategien gebracht werden. Der Zusammenhang der IT zur Zielerreichung der Business-Strategie muss offensichtlich werden.
  2. Die ICT-Organisation kann gerade in der heutigen digitalen Zeit die Führung von Technologie-Initiativen wahrnehmen, um neue Unternehmensstrategien zu lancieren (z.bsp. Mobile Computing, Digitalisierung von Geschäftsprozessen)
  3. Integration der IT-Risiko-Aktivitäten in das Unternehmensrisiko Management System
  4. Sicherstellen, dass das Business ihre Entscheidungen auf Basis von zeitnahen, zuverlässigen, aktuell und verfügbaren Informationen der ICT abstützen kann. Hier ist es wichtig, dass das Business weg kommt von den fragmentierten und unzuverlässigen Daten, weil die ICT-Organisation nicht in der Lage ist, schnell die richtigen Informationen bereitzustellen.
  5. Vereinfachung und Standardisierung der Infrastruktur und Applikationen, um damit die Kosten in den Griff zu bekommen und das Wachstum für die Zukunft zu ermöglichen
  6. Unterstützung aller Compliance-Anforderungen des Business mit Hilfe einer Strategie einfacher Lösungen – anstelle eines undurchsichtigen Sammelsuriums an Kontrollen und Vorschriften.

Die Governance-Strukturen entstehen zusehends mit der besseren Integration der ICT-Organisation: die Business-Ziele werden mit den ICT-Zielen verlinkt. Die Rollen und Verantwortlichkeiten hinsichtlich Entscheidung und Ausführung werden geregelt und die Einhaltung der Leistungsversprechen objektiver überwacht.

Damit machen die IT-Prozesse für das IT-Management plötzlich auch mehr Sinn. Nur durch die Prozesse kann er die Erreichung der versprochenen Ziele erwirken und überwachen. Prozess-Ziele werden direkter mit den ICT-Zielen verlinkt und damit die Grundlage für ein prozess-orientiertes Management System gelegt.

Mit der Übernahme der Themenführerschaft im Business sitzt der CIO mit seiner ICT-Organisation vor dem Teller – und nicht auf dem Teller. Dies kann entscheidend sein, wenn es um künftige Sourcing-Strategien geht.


 

Kommentar verfassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert