Vorgehensmodell  für die Einführung von IT-Governance in mittelständischen Unternehmen  

Inhaltsverzeichnis

Inhaltsverzeichnis   II

Abstract   IV

1  Einleitung  1

1.1  Mittelständische Unternehmen  2

1.2  Aufbau der Arbeit  4

2  Problembeschreibung  6

3  IT-Governance  8

3.1  Der Begriff „Governance“  8

3.2  Corporate Governance  8

3.3  Von der Corporate Governance zur IT-Governance  9

3.4  Definition IT-Governance  14

3.5  Domänen in der IT-Governance  18

3.5.1  Strategische Ausrichtung  19

3.5.2  Schaffen von Unternehmenswerten und -nutzen  23

3.5.3  Risikomanagement  26

3.5.4  Ressourcenmanagement  28

3.5.5  Messen von Performance  31

4  Referenzmodelle  35

4.1  COBIT  37

4.1.1  Planung und Organisation  39

4.1.2  Beschaffung und Implementierung  41

4.1.3  Bereitstellung und Unterstützung  42

4.1.4  Überwachung und Bewertung  44

4.1.5  Gesamtprozessübersicht von COBIT  45

4.2  Val-IT  46

4.2.1  Werte-Governance  48

4.2.2  Portfoliomanagement  49

4.2.3  Investitionsmanagement  50

4.2.4  Gesamtprozessübersicht von Val-IT  52

4.3  ITIL  53

4.3.1  ITIL V2.  56

4.3.1.1  Servicemanagement  56

4.3.1.2  Planung zur Implementierung des Servicemanagements  57

4.3.1.3  Unternehmensperspektive  58

4.3.1.4  Infrastrukturmanagement  58

4.3.1.5  Sicherheitsmanagement  58

II

Vorgehensmodell  für die Einführung von IT-Governance in mittelständischen Unternehmen  

4.3.1.6  Anwendungsmanagement.  59

4.3.2  ITIL V3.  60

4.3.2.1  Servicestrategie  61

4.3.2.2  Servicedesign  62

4.3.2.3  Serviceüberführung  63

4.3.2.4  Servicebetrieb  65

4.3.2.5  Kontinuierliche Serviceverbesserung  66

4.4  Vergleich der Referenzmodelle  67

4.5  Reifegradmodell  69

5  Vorgehensmodell  73

5.1  Verständnis und Initialisierung.  76

5.1.1  Bewusstsein erhöhen und Etablierung in der Geschäftsführung  76

5.1.2  Analyse der Geschäftsanforderungen und Strukturen ableiten  78

5.1.3  Bestimmen des Projektrahmens  80

5.2  Analyse und Priorisierung von IT-Prozessen  82

5.2.1  Analyse des Reifegrades der IT-Prozesse  82

5.2.2  Priorisierung der IT-Prozesse  89

5.3  Detailplanung  92

5.3.1  Definition der Projekte  92

5.3.2  Planung der Projekte  94

5.4  Umsetzung  96

5.4.1  Umsetzung und Überwachung der geplanten Projekte  96

5.5  Betrieb  98

5.5.1  Nachhaltigkeit gewährleisten und neue Anforderungen prüfen  98

6  Evaluation  100

6.1  Evaluationsmethoden  100

6.2  Evaluierungskriterien  101

6.3  Vorgehensweise für die Gesamtevaluation  103

7  Fazit  104

Literaturverzeichnis   V

Abbildungsverzeichnis   XI

Tabellenverzeichnis   XII

Abk  ürzungsverzeichnis  XIII

III

Vorgehensmodell für die Einführung von IT-Governance in mittelständischen Unternehmen

Abstract

Informationstechnologie (IT) ist heutzutage für Unternehmen sehr wichtig. Mittlerweile stehen fast alle Unternehmensprozesse mit IT in Verbindung oder sind sogar unmittelbar von IT-Unterstützung abhängig. Die Unterstützung für eine innovative, sichere, schnelle und kosteneffiziente Abwicklung dieser Geschäftsprozesse ist der primäre Ansatzpunkt für den Wertbeitrag der IT und hiermit wird IT-Governance in Verbindung gebracht. Das Hauptziel von IT-Governance ist dabei, die IT nach Unternehmensstrategie und -zielen auszurichten. IT-Governance beinhaltet dafür Grundsätze, Verfahren und Maßnahmen, die sicherstellen, dass mit Hilfe der eingesetzten IT die Geschäftsanforderungen erfüllt, IT-Ressourcen nachhaltig eingesetzt und IT-Risiken angemessen überwacht werden. Deshalb ist IT-Governance nicht nur für grosse, sondern ebenso für kleine und noch mehr für mittelständische Unternehmen sehr wichtig. Aber gerade hier ist IT-Governance noch unzureichend verbreitet und es gibt noch keine angemessenen Methoden und Vorgehensweisen für die Einführung von IT-Governance. Deshalb ist das Ziel dieser Arbeit, aufbauend auf den aktuellen Referenzmodellen CO-BIT, Val-IT und ITIL, ein angemessenes Vorgehensmodell für die Einführung von IT-Governance für mittelständische Unternehmen zu entwickeln.

Nowadays, Information Technology (IT) is very important for companies. Almost all business processes are linked to IT or even depend on IT support directly. The innovative, secure, fast and costeffective execution of these business processes is the primary focus for the value proposition of IT and hereby for IT governance. The primary objective of IT governance is to align business strategy and business goals with IT. IT governance therefore includes principles, methods and procedures which ensure that with IT support the business requirements are fulfilled, IT resources are used sustainable and IT risks are controlled adequately. Hence IT governance is not only important for large companies but also important for small and even more for medium-sized companies. But especially in these companies IT governance is not widely used and there are no adequate methods and procedures of implementing IT governance. Therefore the goal of this study is to evolve an appropriate procedure model for implementing IT governance in mid-sized companies based on current reference models COBIT, Val-IT and ITIL.

IV

Vorgehensmodell für die Einführung von IT-Governance in mittelständischen Unternehmen

1 Einleitung

Die Mitarbeiter im Unternehmen sehen die IT immer noch nur als technologischen Dienstleister und Kostenstelle, welche die einzelnen Abteilungen dabei unterstützt, ihre Aufgaben durchzuführen. Die IT bleibt dabei oft einen Nachweis der eigenen Effizienz und Effektivität bzw. ihres Wertbeitrags schuldig, obwohl die Prozessunterstützung durch IT-Systeme als Erfolgsfaktor im Wettbewerb gilt. ¹ Mit dem Anspruch der wertorientierten Ausrichtung der IT rückt die prozessbezogene IT-Steuerung in den Mittelpunkt. In der heutigen Zeit ist deshalb die Entwicklung der IT von einem Kostenfaktor hin zum echten Wertschöpfer ein wesentlicher Einflussfaktor auf die Arbeit des IT-Managements. ² IT-Governance ist das Schlagwort, welches damit in Verbindung gebracht wird. Darunter werden Grundsätze, Verfahren und Maßnahmen zusammengefasst, die sicherstellen, dass mit Hilfe der eingesetzten IT die Geschäftsstrategie und -ziele abgedeckt, Ressourcen verantwortungsvoll eingesetzt und Risiken angemessen überwacht werden. 3

Das Hauptziel von IT-Governance ist dabei die Anforderungen an die IT, sowie die strategische Bedeutung der IT zu verstehen, um den optimalen IT-Betrieb nach Unternehmensanforderungen sicherzustellen und Strategien für die zukünftige Erweiterung des Geschäftsbetriebes zu schaffen. 4

IT-Governance ist nicht nur für grosse, sondern ebenso für mittelständische Unternehmen sehr wichtig, weil mittlerweile auch hier fast alle Unternehmensprozesse mit der IT in Verbindung stehen oder sogar unmittelbar von der IT-Unterstützung abhängen. Die Unterstützung für eine innovative, sichere, schnelle und kosteneffiziente Abwicklung dieser Geschäftsprozesse ist daher der primäre Ansatzpunkt für den Wertbeitrag der IT. 5

Der Einsatz von IT generiert damit auch in mittelständischen Unternehmen einen Wert und mit IT-Governance besteht eine Möglichkeit diesen darzustellen. Die IT-Governance lässt sich aber auch hier nur umsetzen, wenn die IT-Leitung und die Unternehmensführung eng zusammenarbeiten und die Anforderungen und Probleme des jeweils anderen verstehen.

Ziel der Arbeit ist es, den praktischen Einsatz von IT-Governance für mittelständische Unternehmen am Muster einer Beispielunternehmung abzuleiten. Aufbauend auf dem erarbeiteten Verständnis für IT-Governance werden diejenigen Methoden und Aktivitäten aus etablierten Modellen identifiziert, welche für ein mittelständisches Unternehmen sinnvoll und lohnenswert sind. Daraus wird ein Vorgehensmodell für die Einführung von IT-Governance in mittelständischen Unternehmen abgeleitet. Zu- ¹ Vgl.Meyer, Zarnekow, Kolbe (2003), S. 445 und Prottung, (2008), S. 65.

² Vgl. Holtschke, Heier, Hummel (2009), S. 1-2 und 7-8.

³ Meyer, Zarnekow, Kolbe (2003), S. 445.

⁴ Vgl. ITGI (2003), S. 8.

⁵ Vgl. Johannsen, Goeken (2007), S. 10.

1

Vorgehensmodell für die Einführung von IT-Governance in mittelständischen Unternehmen

dem wird der aktuelle Stand der Entwicklungen in IT-Governance beleuchtet und analysiert wie mit besonders in Grossunternehmen weit verbreiteten Referenzmodellen die IT-Governance in mittelständischen Unternehmen eingeführt werden kann. Das in dieser Arbeit herangezogene Beispielunternehmen wird dieses Konzept später als Basis für eine konkrete Implementierung von IT-Governance anwenden.

1.1 Mittelständische Unternehmen

Im Blickpunkt dieser Arbeit stehen mittelständische Unternehmen als Untersuchungsobjekt für das Vorgehensmodell für die Einführung von IT-Governance. Deshalb wird in diesem Abschnitt beschrieben, was unter mittelständischen Unternehmen verstanden wird.

Für die Europäische Union gelten nach neuer Definition der Europäischen Kommission seit dem 01. Januar 2005 folgende Definitionen zur Kategorisierung von kleinen und mittelständischen Unternehmen, sogenannte KMU. Dabei wurden die „Schwellenwerte für die Jahresumsätze und die Bilanzsumme erhöht, um der Inflationsentwicklung sowie den höheren Produktivitätssteigerungen seit 1996 - dem Jahr, in dem die alte KMU-Definition festgelegt wurde - Rechnung getragen". ⁶ Folgende Tabelle 1 zeigt die wirksamen Abgrenzungen für KMU.

Diese veränderte KMU-Definition dient den Mitgliedstaaten der Europäischen Union, der Europäischen Investitionsbank und den Europäischen Investitionsfonds als einheitlicher Orientierungsrahmen, um "Wettbewerbsverzerrungen zu vermeiden und die Ausrichtung von Fördermaßnahmen an einem einheitlichen KMU-Leitbild zu fördern“. 8

⁶ Brockmann (2005), S. 39.

⁷ Vgl. Brockmann (2005), S. 39.

⁸ Brockmann (2005), S. 39-40.

2

Vorgehensmodell für die Einführung von IT-Governance in mittelständischen Unternehmen

Tabelle 1 zeigt, dass mittelständische Unternehmen nach der Definition der Europäischen Union eine Mitarbeiterzahl zwischen 50 und 250 sowie eine Bilanzsumme von 10 bis 43 Millionen Euro haben. Kleine und mittelständische Unternehmen bilden dabei mehr als 90% der Unternehmen in Europa und sind z. B. verantwortlich für 70% der Arbeitsplätze in Deutschland. 9

Die verschiedenen Ansprüche einer Unternehmung an die IT lassen sich natürlich nur teilweise von der Unternehmensgrösse und Bilanzsumme ableiten. Vor allem aber haben kleine und mittelständische Unternehmen eine Menge von Eigenschaften, welche sie von Grossunternehmen oder Konzernen differenzieren. Die Entscheidungsstrukturen in mittelständischen Unternehmen sind zentralisiert, flach und informativ. Insbesondere in der Organisationsstruktur gibt es weitere Unterschiede, sowie die finanziellen Möglichkeiten sind im Verhältnis zu grossen Unternehmen oft viel geringer. Mitarbeiter in mittelständischen Unternehmen sind meistens Generalisten mit abteilungsübergreifenden Kenntnissen, hingegen arbeiten in Grossunternehmen die Spezialisten mit ausgereiften technologischen Kenntnissen. Im IT-Bereich bestehen die Unterschiede hauptsächlich in den geringeren Möglichkeiten für Umsetzung von IT-Projekten und der schlechteren Positionierung der IT im Unternehmen, da diese meistens nicht in der Geschäftsführungsebene angesiedelt ist. Die finanziellen Bedingungen limitieren oft die Möglichkeiten, in innovative Technologien zu investieren sowie erfahrenes und hochqualifiziertes IT-Fachpersonal zu beschäftigen. Deshalb lassen mittelständische Unternehmen ihre Spezialanwendungen öfters über externe Dienstleister oder Berater betreuen und übergeben IT-Serviceleistungen öfters an Dritte, die dann allerdings überwacht werden müssen. Zudem hat die interne IT-Abteilung oft eine mangelnde Reife der eigenen Prozesse und einen fehlenden langfristigen Fokus, um strategische Möglichkeiten zu erkennen. 10

Ein grosser Vorteil, den IT-Abteilungen von mittelständischen Unternehmen im Gegensatz zu grösseren haben, ist die Nähe zum Anwender und dadurch die bessere Kenntnisse der Geschäftsanforderungen. Allerdings zeigt sich sowohl anhand der Analyse bestehender Literatur als auch anhand von empirischen Daten von Studien, dass strategisches Management in kleinen und mittelständischen Unternehmen trotz der wahrgenommenen Relevanz des Themas noch immer zu wenig Anwendung findet. Hauptargument der Geschäftsführung von diesen Unternehmen für den Mangel sind fehlende Zeitressourcen sowie fehlende Fachkenntnisse darüber. Weiterhin ist der Planungshorizont innerhalb dieser Unternehmen eher kurz- und mittelfristig orientiert. Es ist aber festzustellen, dass mit steigender Unternehmensgrösse das Verständnis und die Umsetzung für strategisches Management zunehmen. ¹¹ Diese Erkenntnisse haben natürlich Auswirkungen auf das strategische IT-Management und somit auch auf die IT-Governance im Unternehmen und müssen deshalb im Verlauf dieser Arbeit berücksichtigt werden und wirken sich natürlich auch auf die Problembeschreibung in Kapitel 2 aus.

⁹ Vgl. Deimel, Kraus (2007), S. 155.

¹⁰ Vgl. Huang, Zmud, Price (2009), S. 161-162.

¹¹ Vgl. Deimel, Kraus (2007), S. 160-161.

3

Vorgehensmodell für die Einführung von IT-Governance in mittelständischen Unternehmen

1.2 Aufbau der Arbeit

In Abbildung 2 wird nun der Aufbau der Arbeit dargestellt und danach werden zusätzlich die einzelnen Kaptitel mit ihren Inhalten beschrieben.

Abbildung 1 : Aufbau der Arbeit

4

Vorgehensmodell für die Einführung von IT-Governance in mittelständischen Unternehmen

Nach der Einführung in die Arbeit in diesem Kapitel, wird im zweiten Kaptitel explizit auf die Problemstellung der Arbeit eingegangen und diese deutlich gemacht.

Das dritte Kapitel umfasst eine Einführung in IT-Governance. Nach der Begriffserklärung wird eine Ableitung von Corporate Governance auf IT-Governance vollzogen. Des Weiteren werden die unterschiedlichen Definitionen von IT-Governance aus den Literaturquellen zusammengefasst und die definierten Domänen detailliert untersucht sowie Ableitungen auf mitteständische Unternehmen vollzogen.

Im vierten Kapitel werden im ersten Schritt die drei Referenzmodelle COBIT, Val-IT und ITIL intensiv untersucht. Die jeweiligen Prozesse der Modelle werden vorgestellt und geeignete Fragestellungen für die Analyse der jeweiligen Prozesse entwickelt, welche als Grundlage für die Analysephase im fünften Kapitel dienen. Die Referenzmodelle werden des Weiteren im Kontext von mittelständischen Unternehmen miteinander verglichen. Abschliessend wird in diesem Kapitel noch ein Reifegradmodell für IT-Governance vorgestellt, welches wiederum als Grundlage für die Analysephase im fünften Kapitel dienen wird.

Das fünfte Kapitel beinhaltet den Hauptteil der Arbeit und beginnt mit der Erläuterung von Vorgehensmodellen. Danach wird auf Grundlage der Referenzmodelle aus dem vierten Kapitel das Vorgehensmodell für die Einführung von IT-Governance in mittelständischen Unternehmen entwickelt. Es wird detailliert auf jede der fünf Phasen und ihre Teilschritte eingegangen. Zusätzlich werden für einige Teilschritte individuelle Methoden und Werkzeuge vorgeschlagen oder angedacht. Teilweise werden noch die Erfahrungen des Beispielunternehmens zu den einzelnen Schritten des Vorgehensmodells eingebracht und somit in Ansätzen praktisch evaluiert.

Im sechsten Kapitel wird mit der Evaluation fortgefahren und ein grobes Konzept erarbeitet, mit welchem das Vorgehensmodell im Anschluss der Arbeit ganzheitlich evaluiert werden kann. Dafür werden Evaluationsmethoden, -kriterien und eine Vorgehensweise für die Gesamtevaluation vorgeschlagen.

Am Schluss der Arbeit wird ein Fazit gezogen. In der kritischen Würdigung werden die Vorteile und Grenzen des erarbeiteten Vorgehensmodells aufgezeigt. Mit einem Ausblick auf mögliche Folgeaktivitäten wird die Arbeit abgeschlossen.

5

Vorgehensmodell für die Einführung von IT-Governance in mittelständischen Unternehmen

2 Problembeschreibung

In einer Studie des „IT Governance Institute“ im Jahre 2008 gaben 93 Prozent von weltweit 749 befragten Führungskräften an, sie seien der Ansicht, dass IT für die Unternehmensstrategie insgesamt eine wichtige bis sehr wichtige Rolle spielt. Dagegen bemängeln 36 Prozent der Befragten, die Ausrichtung der IT-Strategie an der Unternehmensstrategie sei durchschnittlich, dürftig oder sogar mangelhaft und deshalb starker Bedarf für eine gesteuerte IT bzw. IT-Governance besteht. ¹² In grossen Unternehmen ist IT-Governance mittlerweile fast durchgängig bekannt und sogar eingeführt, aber in vielen kleinen und mittelständischen Unternehmen ist IT-Governance oft weder bekannt noch implementiert. Dies bestätigt eine aktuelle Umfrage der Schickler-Gruppe in Abbildung 1, in der Unternehmen befragt wurden, ob IT-Governance schon besteht oder eine Einführung geplant ist.

Abbildung 2 : Unternehmen mit oder geplanter IT-Governance nach Grössenklasse (Anzahl Mitarbeiter) Quelle : Schickler (2009 a), S. 14.

Die Ergebnisse zeigen, dass in mittelständischen Unternehmen ein grosser Handlungsbedarf für die Einführung von IT-Governance besteht. Es wird dabei erkannt, dass Unternehmen ohne IT-Governance oft eine Reihe von Elementen einer IT-Governance schon implementiert haben, es jedoch hauptsächlich kein Gesamtkonzept für eine dokumentierte IT-Governance gibt ^.13 Reizvoll scheint für Theorie und Praxis zum einen die Frage, wie ein Referenzmodell auf unternehmensspezifische Belange hin zugeschnitten werden kann, zum anderen die Entwicklung von Methoden zur konsistenten und ebenfalls unternehmensspezifischen Kombination dieser Modelle ¹⁴ .

¹² Vgl. ITGI (2008 b), S. 19 und 27.

¹³ Schickler (2009 a), S. 14.

¹⁴ Johannsen, Goeken (2006), S. 18-19.

6

Vorgehensmodell für die Einführung von IT-Governance in mittelständischen Unternehmen

Diese Problemstellungen können nur mit dem Bewusstsein gelöst werden, dass es zusätzlich eine Reihe von Einflussfaktoren auf die Ausgestaltung von IT-Governance gibt. ¹⁵ Hierzu gehören vor allem ¹⁶ :

Corporate Governance, Unternehmensstrategie und -ziele

Erfahrung mit IT-Governance im Unternehmen Unternehmensgrösse Aufbauorganisation und Organisation der IT Branchen- und regionale Besonderheiten

Diese Einflussfaktoren gilt es bei der Einführung von IT-Governance in Unternehmen zwingend zu berücksichtigen. Raghupahti bemerkt zudem, dass jedes Unternehmen sehr individuelle Anforderungen an IT-Governance stellt und deshalb seine eigenen Regeln und Prozesse dafür aufstellen soll. ¹⁷ Aber mit welcher Vorgehensweise können diese Regeln und Prozesse für IT-Governance überhaupt in Unternehmen und speziell in mittelständischen Unternehmen aufgestellt werden? Dabei fällt auf, dass es momentan kein geeignetes Vorgehensmodell für die Einführung von IT-Governance gibt, welches sich speziell auf Unternehmensgrösse und Aufbauorganisation von mittelständischen Unternehmen konzentriert. Deshalb sind eine gründliche Problemanalyse und die Erstellung eines fachlichen Konzepts für die Implementierung von IT-Governance in mittelständischen Unternehmen unerlässlich. Bei der Problemanalyse ist festzustellen, dass mittlerweile eine Reihe von Referenzmodellen und Standards wie COBIT, ITIL, usw. zur Verfügung stehen. Allerdings fehlt es oftmals an methodischer Unterstützung und an angemessenen Vorgehensmodellen, diese zur besseren Erreichung der Unternehmensziele zu nutzen. In der Praxis zeigt sich, dass auf dieser Ebene, insbesondere für mittelständische Unternehmen, weitere Entwicklungsarbeiten vonnöten sind, um den Weg zu einer erfolgreichen IT-Governance zu ebnen. Wesentliche Erfolgsfaktoren einer erfolgreichen IT-Governance sind letzten Endes nicht nur die gelungene Umsetzung von Standards und/oder Referenzmodellen, sondern auch die Implementierung wirkungsvoller Methoden, die von der Problemanalyse bis zum Betrieb durchgängig unterstützend einsetzbar sind. Es zeigt sich also, dass bei vielen Unternehmen in dieser Hinsicht Handlungsbedarf besteht. 18

Auf allen diesen Problemstellungen baut die Arbeit auf und versucht nachfolgend ein geeignetes Vorgehensmodell für die Einführung von IT-Governance in mittelständischen Unternehmen zu entwickeln.

¹⁵ Vgl. Otto, Wende (2008), S. 271.

¹⁶ Vgl. Weill, P. (2004 b), S. 10.

¹⁷ Vgl. Raghupathi (2007), S. 94ff.

¹⁸ Vgl. Fröhlich, Glasner, Goeken, Johannsen, (2007 b), S. 8.

7

Vorgehensmodell für die Einführung von IT-Governance in mittelständischen Unternehmen

3 IT-Governance

3.1 Der Begriff „Governance“

Der Begriff „governance“ wird aus dem englischen mit „Regieren, Herrschaft, Regierung, Regierungsgewalt, Staatsführung oder Steuerung“ übersetzt. Dabei entspricht „Steuerung“ der lateinischen Wurzel des Wortes, „GUBERNARE“ und dem griechischen Wort „KYBERNÂN“, von welchem wiederum der Begriff „Kybernetik“ abstammt. Diese Begriffe drücken, im engeren Sinne, das „Steuern eines Schiffes“ aus. 19

3.2 Corporate Governance

Corporate Governance bezeichnet die auf verantwortliche und langfristige Wertschöpfung ausgerichtete Organisation der Unternehmensleitung und -kontrolle. Damit ist Corporate Governance ein Teilgebiet der Unternehmensführung und wird seit Anfang der 90er Jahre diskutiert, wobei 1999 von der OECD (Organisation for Economic Cooperation and Development) mit den so genannten „Principles of Corporate Governance“ eine Orientierungshilfe für die Entwicklung länderspezifischer Richtlinien vorgestellt wurde. 20

In der aktuellen Version 2004 wird Corporate Governance von der OECD folgenderweise definiert ²¹ :

¹⁹ Vgl. Benz (2004), S. 18 und Steinberg (1999), S. 11 -12.

²⁰ Vgl. Meyer, Zarnekow, Kolbe (2003), S. 445.

²¹ OECD (2004), S. 11.

8

Vorgehensmodell für die Einführung von IT-Governance in mittelständischen Unternehmen

Speziell nach der Jahrtausendwende führten schwere Fehler bzw. kriminelle Praktiken in der Betriebsführung (z.B. der Firmen Worldcom und Enron) und dadurch ausgelöste heftige Erschütterungen auf den Finanzmärkten zu einer Reihe neuer Gesetze und Regulierungen. Die damit erzwungene größere Transparenz in der Unternehmensführung soll verloren gegangenes Vertrauen wiederherstellen. Um diesen Bemühungen weiteres Gewicht zu verleihen, wurde der Corporate Governance erhebliche Aufmerksamkeit zugeteilt. 22

Darüber hinaus verschärft die momentane weltweite Finanzkrise die grosse Bedeutung von Corporate Governance heutzutage noch mal enorm. Im Mittelpunkt der erlassenen Gesetze und Regulierungen stehen dabei die z. T. sehr aufwendigen Aktivitäten zur Herstellung von Compliance, also der Übereinstimmung von gesetzlichen, aufsichtsrechtlichen und freiwilligen Regeln. Die geläufigsten Gesetze dieser Art sind der „Sarbanes-Oxley Act“ (SOX), die „International Accounting Standards“ (IAS), die „Mindestanforderungen an das Risikomanagement“ (MaRisk), „Basel II“, das Gesetz zur „Kontrolle und Transparenz im Unternehmensbereich“ (KonTraG) und „Solvency II“, um nur einige zu nennen. Zum Beispiel ist SOX bindend für alle in- und ausländischen Unternehmen, die bei der amerikanischen Börsenaufsicht „Securities and Exchange Commission“ (SEC) registrierungspflichtig sind, sowie für deren Tochtergesellschaften. 23

Dies trifft auch für das in dieser Arbeit herangezogenen Beispielunternehmen, als hundertprozentige Tochter einer an der New York Aktienbörse notierten Unternehmensgesellschaft, zu.

3.3 Von der Corporate Governance zur IT-Governance

Der Zusammenhang zwischen den im „Sorbanes-Oxley Act“ geforderten Massnahmen und der IT in den betroffenen Unternehmen wird insbesondere in Abschnitten 404 und 409 des Gesetzes deutlich. In Abschnitt 404 (Testierung der internen Controls) werden die Korrektheit, Nachvollziehbarkeit und Sicherheit der Berichtsprozesse geregelt. Es sind die Implementierung und Einhaltung der Controls vom Management schriftlich zu bestätigen und von unabhängigen Prüfern zu testieren. In nahezu jedem Unternehmen werden heutzutage Finanzflüsse und Finanzinformationen elektronisch abgewickelt bzw. vorgehalten. Dies gilt für eine einfache Überweisung genauso wie für eine Bilanzkonsolidierung in einem ERP-System. Damit wird deutlich, dass sich die Kontrollelemente auch auf alle IT-Systeme,

²² Vgl. Weill, Ross (2004 a), S. 4 ff.

²³ Vgl. Johannsen, Goeken (2007), S. 14-15.

9

Vorgehensmodell für die Einführung von IT-Governance in mittelständischen Unternehmen

die in die Erstellung der Finanzberichte einbezogen sind, auswirken bzw. in diesen implementiert werden müssen.

In Abschnitt 409 (Berichtspflicht über Veränderungen des Bestands) sollen die Anteilseigner vor verspäteter Offenlegung von Bestands- und Lagervorräten und damit vor drohenden Verlusten geschützt werden. Zu dieser Überwachung operationaler Risiken gehört auch die Berichtspflicht zu gravierenden Vorgängen wie Lieferantenausfällen und IT-Fehlern bzw. Systemausfällen. 24

Die beispielhaft erläuterten Abschnitte 404 und 409 aus SOX sollen ansatzweise aufzeigen, dass nahezu jedes der Gesetzes- und Regelwerke der Corporate Governance signifikante Auswirkungen auf das IT-Management hat. Deshalb hat sich IT-Governance schon alleine durch die Compliance-Anforderungen als Pendant zur Corporate Governance und als Funktion in der IT etabliert. IT spielt also eine wichtige Rolle, wenn es um Themen der Corporate Governance geht. Das zeigen immer wieder die gesetzlichen Vorgaben, welche erhöhte Anforderungen an das Unternehmensinterne Kontrollsystem und damit an die IT stellen. 25

Ausser den gesetzlichen und regulatorischen wirken eine Vielzahl industriespezifischer Einflussfaktoren verschiedenen Anspruchsgruppen auf die Corporate Governance ein. Darunter fallen die Unternehmensinternen Anspruchsgruppen, wie Vorstände, Unternehmensführung, Geschäftsbereiche, Unternehmensabteilungen und Mitarbeiter und Unternehmensexterne Anspruchsgruppen, wie Wettbewerb und öffentliche Organe. Alle diese Gruppen stellen Vorgaben und Regeln an die Corporate Governance, insbesondere hinsichtlich der Unternehmensstrategie und -kultur, welche im Rahmen der IT-Governance zu berücksichtigen sind. 26

Die Abbildung 3 verdeutlicht die Einflussfaktoren auf die Corporate Governance und Vorgaben für die IT-Governance. Sie zeigt einen Bezugsrahmen, der die Einbindung der IT-Governance im Kontext darstellt. Die Vorgaben durch die Corporate Governance sowie die Unternehmens- und die Technologie-Strategie oder auch die spezifische Unternehmenskultur beeinflussen die IT-Governance von aussen. Von innen bestimmt die IT die Ausgestaltung der IT-Governance über IT-Strategie, IT-Bebauungsplan ²⁷ , Positionierung und Rolle der IT oder die vorhandenen IT-Fähigkeiten. 28

²⁴ Vgl. Johannsen, Goeken (2007), S. 107-108.

²⁵ Vgl. Niemann (2005), S. 28.

²⁶ Vgl. Rüter, Schröder, Göldner (2006), S. 10-11.

²⁷ In einem IT-Bebauungsplan wird die zukünftig einzusetzende Hard- und Software eines Unternehmens zur Unterstützung seiner Geschäftsprozesse festgelegt.

²⁸ Vgl. Rüter, Schröder, Göldner (2006), S. 4.

10

In Abbildung 3 wird deutlich, dass IT-Governance sich an den Prinzipien der Corporate Governance orientiert und auf diesen aufbaut. 29

Weill und Ross schlagen ein Model vor, wodurch eine Verbindung von Corporate Governance und IT-Governance geschaffen werden soll. „Informationen und IT“ ist dabei einer von sechs gewinnbringenden Vermögenswerten, für welche es sich besonders lohnt, die Unternehmensstrategie und -ziele zu verfeinern. 30

In Tabelle 2werden diese sechs geschäftlichen Vermögenswerte mit ihren Schlüsselelementen genauer erläutert.

Tabelle 2 : Vermögenswerte mit Schlüsselelementen 31

²⁹ Vgl. Heinrich, Lehner (2005), S. 64.

³⁰ Vgl. Weill, Ross (2004 a), S. 4 ff.

³¹ Vgl. Weill, Ross (2004 a), S. 6-7.

11

Vorgehensmodell für die Einführung von IT-Governance in mittelständischen Unternehmen

Die Steuerung der Vermögenswerte erfolgt regelmässig durch eine Vielzahl von organisatorischen Institutionen, wie z. B. in der Geschäftsführung, Bereichsgremien und Untergruppen, Prüfungen und Audits, sowie direkt in den Prozessen und täglichen Vorgängen des Unternehmens. Jeder Vermögenswert hat auch seine eigenen Mechanismen, durch welche er gesteuert wird. Im unteren Teil der Abbildung 4 wird gezeigt, wie „Finanzen“ und „Informationen und IT“ einerseits durch jeweils eigene Governance-Mechanismen, wie z. B. Bereichsgremien und -budgets, gesteuert werden. Anderseits verstärken die übergeordneten gemeinschaftliche Einrichtungen „Strategie“ und „erstrebenswertes Verhalten“ die Integration der Vermögenswerte in die Corporate Governance. Die gemeinschaftlichen Einrichtungen können übergreifend einheitlicher und klarer kommuniziert werden. In der Regel können diese Governance-Objekte in Organisationen auch leichter eingeführt werden und bewähren sich langfristiger. Das bedeutet, dass IT-Governance nicht isoliert betrachtet werden darf, weil sie vor allem durch die gemeinschaftlichen Einrichtungen in Verbindung mit den anderen Vermögenswerten steht und dadurch ein Teil der Corporate Governance ist. „Strategie“ ist dabei eine Reihe von ausgewählten Elementen, während „erstrebenswertes Verhalten“ die Glaubenswerte und die Kultur der Organisation abbilden. Diese sind definiert und werden gelebt durch Leitbild, Leitspruch, ständige Weisungen, Geschäftsprinzipien, Strukturen und Ritualen einer Organisation. Nicht durch Strategie, sondern durch das Verhalten einer Organisation werden Werte geschaffen. Der Schlüssel zu einer effektiven Governance ist demnach nicht nur die Strategie, sondern ein deutlich definiertes „erstrebenwertes Verhalten“ eines Unternehmens. 32

Die Abbildung 4 zeigt die gewonnen Erkenntnisse in einem Schaubild, dabei sind die wichtigen Elemente für IT-Governance besonders hervorgehoben worden.

³² Vgl. Weill, Ross (2004 a), S. 5-7.

12

Abbildung 4 : Verbindung der Corporate Governance zur IT-Governance Quelle : in Anlehnung an Weill, P., Ross, J. W. (2004 a), S. 5.

Die strategische Ausrichtung der IT ist ein wichtiger Schlüsselwert für den Unternehmenserfolg, deshalb lassen sich die Corporate Governance und die IT-Governance nicht von einander losgelöst be-handeln. Vielmehr kann IT-Governance als IT-bezogene Spezialisierung der unter dem Begriff Corporate Governance zusammengefassten Vorschläge und Konzepte angesehen werden. 33

³³ Moormann, Schmidt (2007), S. 316.

13

Vorgehensmodell für die Einführung von IT-Governance in mittelständischen Unternehmen

3.4 Definition IT-Governance

Der Begriff “IT-Governance” wird bis heute noch nicht einheitlich interpretiert. Dies bestätigt vor allem Kozlova in einer vergleichenden Literaturstudie über IT-Governance. Die Autorin zeigt auf, wie die meisten Autoren auf die zwei wohl bekanntesten Definitionen der IT-Governance zurück greifen, zum einen auf die Definition von Weill und Ross, zum anderen auf die Definition des „IT Governance Institutes“. 34

Das “IT Governance Institute” definiert IT-Governance folgendermaßen 35 :

Das in der Literatur oft zitierte Grundlagenwerk über IT-Governance von Weill und Ross beschreibt die Thematik wie folgt ³⁶ :

³⁴ Vgl. Kozlova (2008), S. 424.

³⁵ De Haes, Van Grembergen (2004), S. 1.

³⁶ Weill, Ross (2004 a), S. 8.

14

Vorgehensmodell für die Einführung von IT-Governance in mittelständischen Unternehmen

Die Definitionen lassen erkennen, dass IT-Governance sowohl organisatorische Strukturen als auch Führungs- und Kontrollprozesse umfassen, und als Teil der Corporate Governance im Verantwortungsbereich der Unternehmensführung liegt. Wie schon in Abbildung 3 und Abbildung 4 dargestellt wurde, ist IT-Governance also keine isolierte Struktur, sondern ist in die allgemeine Governance-Struktur eines Unternehmens eingebunden. Dadurch soll sichergestellt werden, dass die Umsetzung der IT-Strategie im Sinn der Verantwortungsträger der Unternehmung erfolgt und damit zum Beispiel auch ressourcen- oder kostenintensive IT-Projekte zum Unternehmenserfolg beitragen. ³⁷ Mit diesen Definitionen wurden der IT keine Hilfsmittel bezüglich der Einführung und Etablierung der IT-Governance in der Praxis gegeben. Vielmehr zielen die Definitionen auf die Einführung allgemeingültiger Strukturen und Rahmenbedingungen ab, was sich auch bei weitergehenden IT-Governance-Konzepten zeigt. Dies zeigen Untersuchungen zwischen 1994 und 2004 der „MIT Sloan School of Management Center For Information System Research“ (CISR), in welchen weltweit über 250 CIOs in 23 Ländern hinsichtlich ihres Ansatzes zur Steuerung der IT befragt wurden. Um das Ergebnis der Studie darzustellen, wurde eine Matrix entwickelt, die die IT-relevanten Entscheidungsdomänen mit den in Betracht kommenden Governance-Typen in Beziehung setzt. 38

Dabei umfasst die IT-Governance im Wesentlichen fünf Entscheidungsbereiche, die auf verschiedenen Hierarchieebenen entschieden werden können. Die IT-Entscheidungsbereiche stehen dabei miteinander in Wechselwirkung und stellen sich wie folgt dar ³⁹ :

IT-Prinzipien - Abklärung der Rolle der IT im Unternehmen,

IT-Architektur - Definition der Anforderungen für Integration und Standardisierung, IT-Infrastruktur - Festlegung der gemeinsamen und freigegebenen Services, Identifizierung der wesentlichen Business Applikationen - Spezifizierung der Unterneh-mensanforderungen für gekaufte und intern entwickelte IT-Applikationen, IT-Investitionen und Priorisierung - Auswahl, welche IT-Initiativen/-Projekte gefördert werden sollen und wieviel Ressourcen diese benötigen.

Der nächste wichtige Schritt beim Aufbau einer IT-Governance ist, die jeweils verantwortlichen Entscheidungsebenen festzulegen. Es gibt sechs Ansätze für IT-Entscheidungen ⁴⁰ :

Business-Monarchie - IT-Entscheidungen erfolgen zentral durch das oberste Management, IT-Monarchie - IT-Experten bzw. Spezialisten entscheiden,

³⁷ Heinrich, Lehner (2005), S. 65.

³⁸ Vgl. Rüter, Schröder, Göldner (2006), S. 29.

³⁹ Vgl. Weill, Ross (2004 a), S. 10-11.

⁴⁰ Vgl. Weill, Ross (2004 a), S. 12.

15

Vorgehensmodell für die Einführung von IT-Governance in mittelständischen Unternehmen

Feudalsystem - Leiter von Abteilungen treffen unabhängige Entscheidungen aufgrund ihrer jeweiligen Anforderungen,

Föderalistisches Prinzip - Kombination aus Mittelmanagement der operativen Gruppen im Unternehmen zusammen mit der Unternehmenszentrale entscheiden mit oder ohne Unterstützung von der IT,

IT-Duopol - Gemeinsame Entscheidungen durch Business- und IT-Führungskräfte.

Mittels der schon erwähnten Entscheidungsmatrix, in der die fünf Entscheidungsbereiche den sechs Entscheidungsansätzen gegenübergestellt werden, kann für jede Organisation deren Entscheidungsstruktur festgelegt, analysiert und kommuniziert werden.

Abbildung 5 : IT-Governance Entscheidungsmatrix

Quelle : Weill, Ross (2005), S. 31.

Bei den in der Studie untersuchten Unternehmen zeigen sich typische Häufungspunkte in der Matrix. Es zeigt sich ausserdem, dass sehr erfolgreiche Unternehmen unterschiedliche Entscheidungsstrukturen anwenden. Dabei wurden vor allem drei Gruppen identifiziert ⁴¹ :

Maximaler Profit - Firmen mit einer maximalen Profitrate bevorzugen einen zentralisierten Ansatz bei ihren Entscheidungsstrukturen,

Optimale Ausnutzung der Betriebsmittel - Firmen mit einer optimalen Ausnutzung ihrer vorhanden Betriebsmittel favorisieren eine gemischten Ansatz ,

Starker Wachstum - Firmen mit starkem Wachstum entscheiden sich hauptsächlich für einen dezentralisierten Ansatz.

⁴¹ Vgl. Weill, Ross (2005), S. 31-32.

16

Vorgehensmodell für die Einführung von IT-Governance in mittelständischen Unternehmen

Einen Auszug der Ergebnisse bei den erfolgreichsten Firmen werden in der nachfolgenden Abbildung 6 zusammengefasst.

Abbildung 6 : Entscheidungskriterien mit Optimierungskriterien

Quelle : Weill, Ross (2005), S. 32.

Die Ergebnisse der Studien zeigten, dass es kein allgemeines IT-Governance-Modell gibt, sondern dass dieses vom Umfeld und den Rahmenbedingungen abhängig ist.

Vielmehr gibt die Studie ausserdem einen Hinweis an die Unternehmen, dass diese im ersten Schritt ihre Rahmenbedingungen zu analysieren haben und dann unter Beachtung der gewonnenen Erfahrungen erfolgreicher, ähnlich aufgestellter Unternehmen ihre IT-Governance ausformulieren, überarbeiten und umsetzen sollten. 42

Das in der Studie erarbeitete Entscheidungsmodell kann unabhängig der Unternehmensgrösse eingesetzt werden. Gerade in mittelständischen Unternehmen in Abhängigkeit der Unternehmensstruktur können Entscheidungsebenen entfallen. Zum Beispiel sind Feudalsystem und Föderalistisches Prinzip in klassisch aufgestellten mittelständischen Unternehmen selten zutreffend, dadurch ist die Verteilung der möglichen Ergebnisse eingeschränkt und daher kann die Annahme getroffen werden, dass besonders mittelständische Unternehmen sich an ähnlichen Modellen für die Einführung einer IT-Governance orientieren können. Dies bestätigt die mögliche Bedeutung und vor allem den breiteren Nutzen für ein einheitliches Vorgehensmodell für die Einführung einer IT-Governance in mittelständischen Unternehmen.

⁴² Vgl. Rüter, Schröder, Göldner (2006), S. 30.

17

Vorgehensmodell für die Einführung von IT-Governance in mittelständischen Unternehmen

3.5 Domänen in der IT-Governance

Zusammen mit Wissenschaftlern und führenden Forschungsunternehmen, wie z. B. Gartner, Meta-Group, KPMG, Ernst & Young identifizierte das „IT-Governance Institute“ aus verschiedenen Themenbereichen insgesamt fünf Domänen, aus denen sich IT-Governance zusammensetzt. ⁴³ Darin sind diejenigen Felder beinhaltet, denen das Geschäftsmanagement hauptsächlich Beachtung schenken muss, um die IT aus Geschäftssicht adäquat steuern zu können ⁴⁴ :

Strategische Ausrichtung,

Schaffen von Unternehmenswerten und -nutzen, Risikomanagement, Ressourcenmanagement und Messen von Performance.

Die Hauptaufgaben der IT-Governance sind getrieben von den Erwartungen und Zielen verschiedener Anspruchs- und Interessengruppen (Stakeholder Value Drivers). 45

Die wesentlichen zwei Bereiche sind, das Schaffen von Unternehmenswerten und -nutzen, sowie die Minimierung von IT-Risiken durch Risikomanagement. Strategische Ausrichtung, Ressourcenmanagement und Messen von Performance unterstützen die Hauptaufgaben, um die Erwartungen der Anspruchs- und Interessengruppen zu erfüllen. Die Abbildung 7 veranschaulicht das Zusammenspiel von Treibern und Ergebnissen der IT-Governance.

⁴³ Vgl. ITGI (2003), S. 26 ff.

⁴⁴ Vgl. Fröhlich, et. al (2007 b), S. 3.

⁴⁵ Vgl. Meyer, Zarnekow, Kolbe (2003), S. 446.

18

Abbildung 7 : Fokus der IT-Governance Quelle : In Anlehnung an ITGI (2003), S. 27

IT-Governance ist ein kontinuierlicher Zyklus, der an jedem Punkt begonnen werden kann, aber üblicherweise, nach Anforderungen der Anspruchs- und Interessengruppen, mit der Formulierung der Strategischen Ausrichtung beginnt. Durch Umsetzung der in der Strategie festgelegten Elemente sollen Unternehmenswerte und -nutzen geschaffen werden. Darauf folgend sollen Risiken identifiziert und Maßnahmen zu deren Minimierung und Beseitigung ausgeführt werden. In regelmäßigen Abständen müssen die Ergebnisse aus dem Risikomanagement und dem Schaffen von Unternehmenswerten und -nutzen gemessen werden, um mit einem Bericht an die Unternehmensführung die Strategische Ausrichtung zu bestätigen oder entsprechend den Ergebnissen anzupassen. Der Prozess wird begleitet von einem kontinuierlichen und ausgereiften IT-Ressourcenmanagement, welches auf die Bedürfnisse an IT-Ressourcen aus den verschiedenen Bereichen abgestimmt ist. Die nachfolgenden Abschnitte stellen die einzelnen Teilbereiche und Disziplinen der IT-Governance detailierter vor.

3.5.1 Strategische Ausrichtung

Der Abgleich der strategischen Ausrichtung von Geschäftsseite und IT (Business/IT-Alignment) stellt aktuell eine der wesentlichen Herausforderungen für die Praxis dar und ist ein Thema, das in jüngerer

19

Vorgehensmodell für die Einführung von IT-Governance in mittelständischen Unternehmen

Zeit auch von verschiedenen Teildisziplinen und Forschungsbereichen der Wirtschaftsinformatik vermehrt aufgegriffen worden ist. 46

Gerade in der IT wird dabei deutlich, dass Strategieauswahlentscheidungen in Unternehmensbereichen mit hohem Einfluss der Technik als besonders problematisch gelten. Dies liegt daran, weil in der IT Stand und Entwicklungsgeschwindigkeit der eingesetzten Technik die Strategie mit prägen. Andererseits aber Annahmen über die IT-Entwicklung und ihre Auswirkungen für das Unternehmen mit einem hohen Unsicherheitsfaktor behaftet sind. Darüber hinaus sind Grundsatzentscheidungen, wie in anderen Unternehmensbereichen, mit einer Wirkungsverzögerung versehen, d.h. die in der Gegenwart auserwählten Strategien zeigen ihre Wirkung erst in naher oder ferner Zukunft. Außerdem wird die Planungsgenauigkeit dadurch beeinträchtigt, dass eine Vielzahl verschiedener Einflussfaktoren berücksichtigt werden müssen. 47

Viele Unternehmen haben Schwierigkeiten, das Potential der IT für ihren langfristigen Unternehmenserfolg auszunutzen. Sie unterschätzen den Einfluss der IT auf ihre Produkte und auf ihre Position in Branchen und Märkten. Doch die Wichtigkeit und Bedeutung der strategischen Ausrichtung der IT steigt mit den Bemühungen von Unternehmen, die Verbindung zwischen IT und Geschäftsbetrieb herzustellen. Die strategische Ausrichtung der IT ist Grundvoraussetzung für ein angemessenes Risiko- und Ressourcenmanagement und Grundvoraussetzung dafür, dass Unternehmenswert und -nutzen durch die IT geschaffen wird.

Ziel der IT ist es nun, die strategische Ausrichtung an den Prioritäten, Kompetenzen, Entscheidungen und Aktivitäten des Gesamtunternehmens hin auszurichten und abzustimmen. ⁴⁸ Dabei bezeichnet speziell der Begriff „Business/IT-Alignment“ die Abstimmung von IT-Strategie und IT-Infrastruktur mit der Geschäftsstrategie und der Geschäftsarchitektur, mit dem Ziel einer nachhaltigen Wertschöpfung eines Unternehmens. 49

In verschiedenen empirischen Studien wird aufgezeigt, dass eine verbesserte strategische Ausrichtung der IT auf das Unternehmen zu einem höheren Wertbeitrag führen kann. Dabei wurde vor allem festgestellt, dass durch eine Verbesserung der strategischen Ausrichtung die Effektivität und Leistung der Unternehmung gesteigert werden. Ein positiver Zusammenhang zwischen sichtbaren Nutzen aus dem Einsatz der IT und der Übereinstimmung von IT- und Geschäftsstrategie wird ebenso aufgezeigt. ⁵⁰ Im Rahmen der IT-Governance umfasst die strategische Ausrichtung der IT weit mehr als die strategische Integration zwischen der zukünftigen IT-Organisation und der zukünftigen Unternehmensorgani-

⁴⁶ Goeken,Johannsen, Pfeiffer (2007), S. 1.

⁴⁷ Krcmar (2004), S. 293-294.

⁴⁸ Vgl. Johannsen, Goeken (2007), S. 12.

⁴⁹ Brocke, Buddendick (2008), S. 7.

⁵⁰ Vgl. Johannsen, Goeken (2007), S. 12-13.

20