„Corporate Governance ist mehr als ein analytisches Konzept – es ist gelebte Unternehmenskultur.“ ([ISO20000a], S. 230)
Der Begriff Corporate Governance (Unternehmensleitung und -überwachung) hat eine vielfältige Bedeutung. Im Allgemeinen umfasst er national und international anerkannte Regeln, Grundsätze und Standards für eine gute Unternehmensführung - also die Art und Weise, wie ein Unternehmen verantwortungsvoll und ethisch einwandfrei geführt werden soll. Somit dient er auch der Förderung und Sicherung von Effizienz und klarer Verantwortlichkeit. (vgl. [ITGOV07a], S. 1)
Es gibt hierzu zahlreiche Regelwerke, die eine solche gute Unternehmensführung definieren. Eines hiervon ist der Deutsche Corporate Governance Kodex, welcher von der Regierungskommission der Bundesministerin für Justiz am 26. Februar 2002 verabschiedet wurde. Der Kodex hat zur Aufgabe, das deutsche Corporate Governance System transparent und nachvollziehbar zu machen und empfiehlt Verhaltensstandards zur Unternehmensführung und -überwachung. (vgl. [CORGOV09a])
In der aktuellen Kodex-Version ist die grundsätzliche Zielrichtung unter anderem wie folgt definiert:
„Der Kodex verdeutlicht die Verpflichtung von Vorstand und Aufsichtsrat, im Einklang mit den Prinzipien der sozialen Marktwirtschaft für den Bestand des Unternehmens und seine nachhaltige Wertschöpfung zu sorgen (Unternehmensinteresse).“ ([CORGOV09b], S. 2)
Somit stehen in der Praxis zum Teil sehr aufwendige Aktivitäten im Mittelpunkt, um die Übereinstimmung zu gesetzlichen, aufsichtsrechtlichen und freiwilligen Regeln zu gewährleisten. Die bekanntesten Gesetze dieser Art für Banken sind die Mindestanforderungen an das Risikomanagement (MaRisk) und Basel II (Gesamtheit der Eigenkapitalvorschriften). Nahezu jedes dieser Gesetzes- und Regelwerke hat wesentliche Auswirkungen und Anforderungen auf das IT-Management, welches sich nur mit einer IT-Governance sinnvoll umsetzen lässt. (vgl. [ITGOV07a], S. 15)
In vielen Fällen verursachen die oben genannten Regulierungen einen erhöhten unternehmensinternen Kontrollbedarf. An dieser Stelle spätestens schlägt die Corporate Governance auf die IT im Unternehmen durch.
Bestehende und künftige Vorschriften stützen sich oft auf die gleichen ISO/IEC Standards. Eine derart gleichartige und solide Basis reduziert den IT-Compliance-Aufwand erheblich, da mit „einer Klappe“ fast alle heutigen und künftigen Kontrollanforderungen abgedeckt werden können. Die IT muss nicht für jede neue Kontrollanforderung bei Null anfangen. Die IT Performance und der Mehrwert beziehungsweise Compliance Service der IT gegenüber dem Business steigt. Die IT leistet einen Beitrag zur Kostenreduktion und entwickelt gleichzeitig einen internen Mehrwert. (vgl. [ISO20000a], S. 241)
Ein wertorientiertes Informationsmanagement erfordert den entsprechenden organisatorischen Rahmen, der die Informationsverarbeitung insbesondere befähigt, die Kluft zwischen den Informatik-Spezialisten in den IT-Bereichen und den Nutzern in den Anwenderbereichen (Geschäftsbereiche) zu überbrücken. Erst ein derartiger struktureller Rahmen ermöglicht der Informationsverarbeitung den erforderlichen Einfluss auf die Entscheidungsinstanzen im Unternehmen. Dieser Rahmen wird durch die IT Governance geschaffen, in der die Steuerung der gesamten Informationsverarbeitung im Gesamtunternehmen quasi als „Metaplanung“ der Informationsverarbeitung definiert wird. Das Kosten- Nutzenpotential der Informationstechnologie (IT) kann nur dann vollständig erschlossen werden, wenn die IT-Seite („Supply“-Seite) die Bedürfnisse der Anwenderseite („Business“-Seite) kennt. (vgl. [INFMGT08], S. 28)
Im Allgemeinen werden unter IT Governance „Grundsätze, Verfahren und Maßnahmen zusammengefasst, die sicherstellen, dass mit Hilfe der eingesetzten IT die Geschäftsziele abgedeckt, Ressourcen verantwortungsvoll eingesetzt und Risiken angemessen überwacht werden“ (vgl. [ITGOV03b], S. 445 - 448). IT-Governance ist also in erster Linie eine Managementaufgabe.
Eine weitere Definition für IT Governance erhalten wir von ITGI (IT Governance Institute):
„IT Governance liegt in der Verantwortung des Vorstands und des Managements und ist ein wesentlicher Bestandteil der Unternehmensführung. IT Governance besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die IT die Unternehmensstrategie und -ziele unterstützt.“ ([ITGOV03a], S. 11)
Damit umfasst IT Governance im engeren Sinne den betriebswirtschaftlichen Auftrag, die Investitionen nach Gesichtspunkten der Effektivität und Effizienz besser zu steuern.
Diese Steuerung (Governance) durch die Unternehmensführung ist notwendig, da die Informationsfunktion in vielen Unternehmen eine zunehmend wichtige Rolle spielt. Ein reibungsloser Ablauf und konsequente Verbesserung der IT-Prozesse stellen einen wesentlichen Erfolgsfaktor für die Unternehmen dar. Dabei geht es darum, die IT-Geschäftsziele zu unterstützen, Investitionen in die IT zu optimieren und ein angemessenes IT-bezogenes Risiko- und IT-Servicemanagement zu betreiben. IT-Governance kann als übergeordnete Einheit zum IT-Management betrachtet werden. (vgl. [ISO20000a], S. 241)
Abb. 11: Einordnung von IT Governance
(eigene Darstellung, in Anlehnung an [ITGOV06b], S. 14)
Diese Darstellungen lassen die Wichtigkeit von IT Governance erkennen. Darauf aufbauend werden die Aufgaben und die Zielsetzung von IT Governance wie folgt beschrieben.
Das ITGI definiert fünf Domänen (Hauptaufgaben, Ziele) für IT Governance: (vgl. [ITGOV03a], S. 10)
- Strategic Alignment (Strategische Ausrichtung),
- Value Delivery (Schaffung von Werten Nutzen),
- Risk Management (Risikomanagement),
- Ressource Management (Ressourcen Management)
- Performance Measurement (Messen von Performance).
Damit lassen sich die im Rahmen einer IT-Governance anfallenden Aufgaben wie in der folgenden Abbildung grafisch darstellen:
Abb. 12: Aufgaben der IT-Governance nach ITGI
(eigene Darstellung, in Anlehnung an [ITGOV03a], S. 1)
Eine Übersicht über die Beziehungen zwischen den einzelnen Aufgaben gibt die folgende Abbildung:
Abb. 13: Zusammenhang zwischen den Aufgaben der IT-Governance
(eigene Darstellung, in Anlehnung an [ITGOV06a], S. 10)
Diese Beziehungen werden zusammen mit den Aufgaben in den nachfolgenden Kapiteln erläutert.
3.1.2.1 Strategische Ausrichtung
Ziel der strategischen Ausrichtung ist es, die Prioritäten, Komponenten, Entscheidungen und Aktivitäten der IT auf das Gesamtunternehmen hin abzustimmen. Ein verbesserter Abgleich zwischen Geschäfts- und IT-Strategie führt zu einem höheren Wertbeitrag, was sowohl die Effektivität als auch die Unternehmensleistung an sich ansteigen lässt. (vgl. [ITGOV07a], S. 12)
Zur Verdeutlichung wird das Strategic Alignment Model (SAM) betrachtet (vgl. [STRALIG93]). Es bildet die geschäftliche Seite eines Unternehmens ab und stellt diese der IT-Seite gegenüber. Auf beiden Seiten unterscheidet es zwischen der Strategie (nach außen gerichteten Domänen - in der Abb. die oberen Quadrate) und der Infrastruktur (nach innen gerichteten Domänen – in der Abb. die unteren Quadrate).
Abb. 14: Strategic Alignment (Strategische Ausrichtung) gemäß SAM
(eigene Darstellung, in Anlehnung an [STRALIG93])
Wie ersichtlich, geht es neben der bilateralen Abstimmung der Domänen auch um multilaterale Beziehungen zwischen ihnen. Das SAM ist als Strukturierungshilfe und als Modell zur Systematisierung des Alignment-Problems geeignet, berücksichtigt jedoch nicht die Prozessperspektive. Diese stellt jedoch einen wesentlichen Hebel für den Wertbeitrag IT dar. (vgl. [ITGOV07a], S. 12)
3.1.2.2 Schaffen von Werten / Nutzen
Wie unter Kapitel 3.1.2 zu erkennen ist, steht das Erreichen eines angemessenen Wertbeitrags der IT (Value Delivery – Schaffung von Werten/Nutzen) im Mittelpunkt aller IT Governance Aufgaben. Das Potenzial liegt jedoch weniger auf der Seite der Informationstechnik an sich. Entscheidend ist vielmehr das Management des Technikeinsatzes, um die effiziente und effektive Nutzung sicherzustellen. Es muss daher sichergestellt werden, dass geschäftliche Anforderungen sich in Managementverfahren und Leistungen der...
