Unter dem Begriff Informationstechnologie (IT) werden alle Technologien zur Beschaffung, Verarbeitung, Speicherung, Übertragung und Ausgabe von elektronischen Daten und Informationen zusammengefasst. IT umfasst somit sowohl Verfahren der Informations- und Datenverarbeitung, als auch Kommunikationsverfahren (Software), die physikalische IT Infrastruktur (Hardware) sowie die Verbindung zwischen den einzelnen Komponenten innerhalb des Unternehmens und mit IT-Komponenten außerhalb des Unternehmens (Netzwerk) (Vanini 2007, S. 1).
Kontextabhängig wird unter „der IT" zusätzlich oftmals auch die gesamte Aufbau- und Ablauforganisation verstanden, welche für die Einrichtung und den Betrieb informationstechnologischer Verfahren im Unternehmen verantwortlich ist.
Dem IT Management kommt hierbei eine zentrale Rolle für die Steuerung der IT zu. So bestehen die Hauptaufgaben des IT Managements in der Definition der IT Strategie, in der strategischen Planung, in der Entscheidungsfindung sowie in der Umsetzung und deren Kontrolle von IT Maßnahmen und des IT Betriebs.
Durch die wachsende Bedeutung des Einsatzes von modernen Mitteln der Informationstechnologie in den Unternehmen ist die Bedeutung der IT von einem eher „notwendigen Übel" zu einer Kernfunktion geworden, ohne die heutige Unternehmen nicht mehr erfolgreich am Markt operieren könnten.
Einer weltweiten, branchenübergreifenden Umfrage des IT Governance Institutes (ITGI) zufolge stufen 93% aller Befragten auf Top-Management Ebene die Bedeutung der IT für die Erreichung der Unternehmensziele von „irgendwie wichtig" bis „sehr wichtig" ein (ITGI 2008b, S. 19). Bezogen auf US-amerikanische Unternehmen weisen 81% der befragten Unternehmen der IT einen „positiven" bis „sehr stark positiven" Beitrag zur Unternehmensleistung zu (Holtschke, Pfeifer 2003, S. 15).
Nicht überraschend ist die Situation in deutschen Unternehmen vergleichbar: auch hier wird der IT fast durchgehend ein mittleres bis hohes Relevanzniveau für den Unternehmenserfolg beigemessen (Großgloß et al. 2005, S. 11).
Heutzutage wird von der IT im Unternehmen mehr als eine bloße Unterstützungsfunktion für die eigentlichen Geschäftsprozesse erwartet. Vielmehr steht ein aktiver Beitrag zum Unternehmenserfolg und Wertsteigerung durch den Einsatz von IT auf der Prioritätenliste für das IT Managements ganz oben. Eine berechtigte Forderung, liegen doch die Ausgaben für IT Betrieb und IT Investitionen branchenabhängig mittlerweile zwischen 1,2% und beträchtlichen 4,8% Prozent des Gesamtumsatzes der Unternehmen (Holtschke, Pfeifer 2003, S. 48). Die wesentlichen Ansatzpunkte für den Wertbeitrag der IT bestehen hierbei vor allem in der Steigerung der Produktivität, der Erlangung von Wettbewerbsvorteilen, aber selbstverständlich auch weiterhin in der Abbildung der wesentlichen Geschäftsprozesse, insbesondere im Rahmen des Finanzwesens (Buchhaltung, Rechnungslegung, Berichterstattung, etc.). Dieses muss natürlich rechts- und normenkonform erfolgen, wodurch das Thema Compliance auch für die IT Bedeutung gewinnt.
Die hohe Abhängigkeit der Unternehmen von der IT birgt auch Risiken. So gehen mehr als 50% der befragten Unternehmen einer globalen, branchenübergreifenden Studie davon aus, dass bereits ein ungeplanter Ausfall der IT Systeme für mehr als 24 Stunden die Existenz des gesamten Unternehmens gefährde (EIU 2008a, S. 8). Es wird schnell klar, dass somit den mit dem Einsatz von IT verbunden Risiken im Rahmen des übergeordneten Risikomanagements auf Unternehmensebene besonderes Augenmerk gewidmet werden muss.
Es zeigt sich, dass die Herausforderungen der Informationstechnologie und die mit ihrer Nutzung verbundenen Risiken nicht mehr allein auf Ebene der obersten
Unternehmensführung bewältigt werden können. Gleichwohl die zuvor vorgestellten Bereiche der Corporate Governance, des Risikomanagements auf Unternehmensebene und der Compliance für die IT als Unternehmensteil ihre Relevanz behalten, wurden diese zunehmend auf die konkreten Belange der IT zugeschnitten und finden ihre Entsprechung in den Teildisziplinen IT Governance, IT Risikomanagement und IT Compliance als eigenständigen Handlungsfeldern.
Aus den Ansätzen zur Corporate Governance einerseits, aus der zunehmenden, teils unternehmenskritischen Bedeutung der IT für die allermeisten Unternehmen andererseits hat sich der Begriff der IT Governance herausgebildet. Ebenso wie im Verhältnis zwischen Unternehmensleitung und den Aktionären lässt sich im Verhältnis zwischen der Unternehmensleitung und der IT-Leitung in der Regel ein deutlicher Informationsvorsprung auf Seiten der IT-Leitung beobachten. Eine fachliche Überprüfbarkeit von IT-bezogenen Entscheidungen, welche oftmals auch mit nicht unerheblichen Investitionen verbunden sind, durch die Unternehmensleitung ist meistens nur bedingt möglich. Dies ist vor allem der zunehmenden Komplexität und fachlichen Tiefe der IT geschuldet, welche durch den Nicht-Fachmann kaum noch in jedem Einzelfall zu durchdringen und zu bewerten ist.
Anstelle von fallweiser Kontrolle von IT Aktivitäten durch die Unternehmensleitung muss daher die Vertrauensbildung in das grundsätzliche Funktionieren der IT Führung und IT Führungsentscheidungen treten, welches durch ein klares und transparentes Regelwerk für die zugrunde liegenden Prozesse und Mechanismen erreicht werden kann - die sogenannte IT Governance.
Ebenso wie im Fall der übergeordneten Corporate Governance existiert keine verbindliche, einheitliche Definition dieses Begriffs. Verschiedene Autoren bzw. Institutionen setzen hierbei unterschiedliche Schwerpunkte, sind sich in den grundsätzlichen Eckpunkten jedoch weitestgehend einig:
Das IT Governance Institute (ITGI) definiert die ITG wie folgt (ITGI 2003, S. 11): „IT Governance liegt in der Verantwortung des Vorstands und des Managements und ist ein wesentlicher Bestandteil der Unternehmensführung. IT Governance besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die IT die Unternehmensstrategie und -ziele unterstützt."
Die Definition von Meyer ist ähnlich, stellt jedoch die Punkte Ressourcen- und Risikomanagement zusätzlich heraus: „Unter IT Governance werden Grundsätze, Verfahren und Maßnahmen verstanden die sicherstellen, dass mit Hilfe der IT die Geschäftsziele abgedeckt, Ressourcen verantwortungsvoll eingesetzt und Risiken angemessen überwacht werden." (Meyer et al. 2003)
Diese Sichtweisen werden durch andere Autoren unterstützt, so umfasst IT Governance nach Rath „alle Maßnahmen zur Organisation, Steuerung und Kontrolle der IT-Systeme eines Unternehmens" (Rath 2006, S. 1). Zu ihren Aufgaben gehören die „Abstimmung der IT mit der Unternehmensstrategie und den Geschäftszielen, sowie eine operative Steuerung des Betriebes von Anwendungssystemen und die dafür erforderlichen aufbau- und ablauforganisatorischen Maßnahmen" (Johannsen, Goeken 2006, S. 14). Ihr Schwerpunkt liegt jedoch auf der „Transformation und der Anpassung der IT an die aktuelle und zukünftige Anforderungen, sowie Erkennung und Nutzung der IT- bezogenen Wettbewerbsvorteile" (vgl. Moormann, Schmidt 2006, S. 314).
Das ITGI definiert als Kernbereiche der IT Governance folgende Bereiche (vgl. ITGI 2003, S. 19 ff.):
Tabelle 1: Hauptaufgaben von IT Governance
Die wesentlichen Aufgaben der IT Governance bestehen dem zu Folge insbesondere in den Bereichen
Der Steigerung der Wertbeitrages der IT zum Unternehmenserfolg sowie
Der Minimierung von IT Risiken.
Risiken für ein Unternehmen, welche aus dem Einsatz von Informationstechnologie im Rahmen der Unternehmensprozesse erwachsen, sind in erster Linie Unternehmensrisiken und sollten daher bereits im Rahmen des übergeordneten Risikomanagements adressiert werden. Um bestehende IT Risiken jedoch überhaupt identifizieren, geschweige denn minimieren zu können, ist in den meisten Fällen umfangreiches Technologieverständnis und Experten wissen notwendig. Es liegt daher nahe, die Bewältigung der durch IT Einsatz resultierender Risiken in ein spezialisiertes Risikomanagement auszulagern, welches sich als IT Risikomanagement manifestiert.
Verschiedene Studien[7] haben die aus Unternehmenssicht gefährlichsten IT Risiken analysiert und zusammengetragen. Aufgrund der unterschiedlichen Grundgesamtheiten und Umfragemethoden wird an dieser Stelle auf eine statistisch korrekte Zusammenfassung verzichtet. Stattdessen wurde untersucht, welchen Rang bestimmte Risiken in der jeweiligen Umfrage einnehmen, um somit eine Rangfolge der wichtigsten IT Risiken zu erhalten. Hierzu wurden die in den unterschiedlichen Studien...
