Zielvereinbarung Unternehmen-IT, Quelle COBIT 5

Ist das Business seiner IT-Verantwortung gewachsen?

Die Geschäftsführung ist ultimativ verantwortlich für die IT. Gebetsmühlenartig wird es in sämtlichen Best Practice Leitfaden herausgestrichen, dass die Ownership der IT und all seinen Entscheidungen nicht in der IT selbst, sondern dem Business zuzuordnen ist. Der CIO führt letztlich nur aus, was das Business will. Ist ja auch klar: wer zahlt, befiehlt.

Aber ist es so einfach? Ist das Business seiner IT-Verantwortung überhaupt gewachsen oder gar bewusst? Was geschieht, wenn das Business nach ihren primären Interessen IT-Projekte plant, steuert und umsetzt? Wie werden Business-Unit übergreifende Interessen gewahrt, Architekturen durchgesetzt und Sicherheit, Betrieb und Support sichergestellt? Besteht nicht viel eher ein grosses Risiko, dass die IT-Kosten erst recht aus dem Ruder laufen und dass eine erfolgreiche IT noch viel schwieriger wird zu erzielen?

Über die letzten Jahre wurden vielerorts IT-Vorhaben stark ausgelagert und durch die verbleibenden Business-Einheiten selbst gesteuert. Insbesondere beim den öffentlichen Körperschaften aber auch bei vielen namhaften Unternehmen ist die Anzahl der IT-Debakel dadurch nicht kleiner geworden. Beispiele in der Schweiz ist der INSIEME-Skandal oder in Deutschland die zum Scheitern bedrohte Gesundheitskarte. Wenn früher der IT zu recht der Vorwurf gemacht wurde, sie agiere selbstherrlich, zu Technologie-bezogen und ohne genügende Abstimmung mit dem Business, muss heute vielfach erkannt werden, dass das Business die Komplexität solcher Projekte oftmals überschätzt und viel mehr auf die eignen Schultern lädt, als das die Organisation in der Lage ist zu verkraften.

Der CEO als Super-CIO?
Gemäss COBIT 5 obliegt die Governance-Verantwortung der Unternehmens-IT der Geschäftsführung und damit das Vorgeben der Richtung durch die Festlegung von Prioritäten und das Fällen von Entscheidungen und die Überwachung der Leistung und Regeleinhaltung gegen vereinbarte Vorgaben und Ziele.

Die Geschäftsleitung, respektive der CEO plant, erstellt, betreibt und überwacht alle Aktivitäten, auch die der IT – im Rahmen der von der Governance vorgegebenen Richtung –, um die Unternehmensziele zu erreichen.

Die Business-Prozessverantwortlichen sind ihrerseits für die Leistung eines Geschäftsprozesses verantwortlich, was die Realisierung von Zielvorgaben, das Vorantreiben von Prozessverbesserungen und die Genehmigung von Prozessänderungen betrifft. Und hier gehören IT-Mittel zur Automatisierung und zur Informations-Aufbereitung im speziellen dazu.

Der CIO letztlich ist für die Planung, Ressourcenbereitstellung und das Management bei der Bereitstellung von IT-Services und IT-Lösungen zur Unterstützung der Unternehmenszielvorgaben verantwortlich.

Die Hackordnung ist klar vorgegeben. Die Entscheidung obliegt dem Business, der CIO setzt um. Das Business muss letztlich auch die Betriebsergebnisse sicherstellen und will mit innovativen IT-Lösungen seinen Prozess besser positionieren und neue Marktmöglichkeiten ausschöpfen.

Wie soll der CEO nun alle seine Businesseinheiten auf eine gemeinsame Strategie ausrichten und die begrenzten finanziellen Mittel sinnvoll verteilen? Wie soll er die Prioritäten festlegen und über Realisierbarkeit entscheiden, ohne die Risiken wirklich zu verstehen? Wie verlässlich sind die vorgetragenen Business Cases wirklich und lässt sich dieser in der rasch drehenden Geschäftswelt überhaupt je feststellen?

Wenn sich der CEO den Business Einheiten bezüglich der IT-Projekte verweigert, wird er die Erreichung der Business-Ziele auch nicht so einfach durchsetzen können. Er steht ziemlich unter Erfolgsdruck und muss Entscheidungen fällen, welche er womöglich nicht in seiner ganzen Konsequenz versteht:

  • Neue mobile Devices, welche seitens des IT-Supports nicht unterstützt werden
  • Neue Technologien, welche nicht den Standards und den Architektur-Vorgaben der IT-Organisation entsprechen
  • Bezug des IT-Dienste aus der Cloud mit verlockenden Preis-Leistungsangeboten entgegen den Sicherheitsbedenken der IT-Organisation
  • Verlagerung von Shared-Services wie HR oder Logistik in ein Billiglohnland inklusive allen dazu notwendigen technologischen Auswirkungen

Wenn dann in den Business-Einheiten Mitarbeiter mit etwas IT-Sachverstand bereit erklären, die Umsetzung so nebenbei zum Job sicherzustellen, dann hat die zentrale IT-Organisation mit ihrer bedenklichen und mahnenden Haltung oftmals schlechte Karten. Sie ist ja aus Erfahrung zu langsam, zu teuer und daher letztlich auch nicht erfolgreich gewesen.

Der CEO als superCIO
Der CEO als superCIO

Der CEO muss ein Super-CIO sein, um seiner Verantwortung nachzukommen. Zählt dies aber zu seinen Kernkompetenzen? Eher kaum. Was seitens Business oft unterschätzt wird, ist das Business-Knowhow innerhalb der IT-Organisation. Vielfach sind die Business-Analysten der IT die wahren Detail-Kenner der Geschäftsprozesse. Da sich die meisten Geschäftsprozesse mittlerweile automatisiert und in IT gegossen sind, wissen viele Sachbearbeiter die Zusammenhänge und Abhängigkeiten ihres Tuns nicht mehr. Bei der Auslagerung der IT fliesst in aller Regel sehr viel Business-KnowHow ab, was intern nicht mehr vorhanden ist.

Die IT-Governance als Basis einer partnerschaftlichen Zusammenarbeit
Mit diesen Ausführungen möchte ich jetzt nicht dazu plädieren, dem Business die Verantwortung für die IT wieder wegzunehmen und den CIO endlich wieder schalten und walten zu lassen, wie er und seine Mannschaft sich das womöglich vorstellen. Nein – die Verantwortung muss bei der Geschäftsführung bleiben. Das sieht auch ein moderner CIO so. Aber über welche Verantwortung reden wir hier? Sicherlich nicht über die fachliche Führung der IT.

Die IT darf dabei nicht mehr als ein vom Business abgetrennter Bereich betrachtet werden. Sie muss viel mehr direkt in das Business integriert werden. Die strategische Ausrichtung der IT muss mit den strategischen Zielen der Unternehmensführung laufend abgestimmt werden. Die Chancen und Risiken der Informations-Technologie müssen mit dem Business abgestimmt und verstanden werden. Die treuhänderische Umsetzung und Bereitstellung der Ressourcen und IT-Services muss dem CIO übertragen werden. Seine Leistungen werden über Zielvereinbarungen gemessen, welche sich direkt von den Unternehmenszielen ableiten lassen.

Zielvereinbarung Unternehmen-IT, Quelle COBIT 5
Zielvereinbarung Unternehmen-IT, Quelle COBIT 5

Beide Seiten, das Business und die IT müssen bezüglich der Ziele die gleiche Sprache sprechen und sich gegenseitig aber auch vertrauen können. Die Anforderungen des Business an die IT mögen sehr hoch sein und in seiner Gesamtheit wohl nicht zu erreichen. Darum muss die gemeinsame Governance sicherstellen, die wertmässigen Interessen unterschiedlicher Anspruchsgruppen bei Entscheidungen über Nutzen, Ressourcen und Risikobewertung abgewogen werden können.

Für jede Entscheidung ist zu fragen:

  • Wer hat den Nutzen?
  • Wer trägt das Risiko?
  • Welche Ressourcen sind erforderlich?

Wenn die Geschäftsführung diese Governance sicherstellt, dann kann sie auch getrost die Verantwortung darüber übernehmen. Das operative Geschäft überlässt sie dem Profi.


 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert