Home
Intern
veröffentlicht am 15. Juli 2021
Eine erfolgreiche IT ist in der heutigen Zeit ein unverzichtbarer Unternehmensbestandteil. Immer wichtiger wird der Bereich IT-Governance, der in vielen Unternehmen ganz unbewusst in Grundlagen zwar existiert – eine IT-Strategie geht bei der Einrichtung von IT-Systemen und deren Umsetzung automatisch mit einher – aber wer diesen Bereich optimiert und genauer beleuchtet, wird feststellen, welche Synergien und Potenziale sich für ein Unternehmen und seine Ziele ergeben können.
In Fachkreisen taucht immer öfter die Thematik IT-Governance in Bezug auf eine gute Führung der IT auf – doch was ist darunter zu verstehen?
IT-Governance kann im Allgemeinen als ein wichtiger Teil der Corporate Governance angesehen werden. Der Begriff Corporate Governance hat seine Wurzeln in der Idee einer wertorientierten Unternehmensführung mit dem Ziel der Maximierung des Unternehmenswertes, z. B. in Form der Verzinsung des von den Eigenkapitalgebern eingesetzten Kapitals. Im Rahmen einer daraus entstehenden verantwortungsvollen Unternehmensführung und dementsprechend zum Schutz der Anspruchsgruppen existiert eine Reihe an Rahmenwerken (s. u.).
Laut dem IT-Governance-Institute kann IT-Governance als die Verantwortung von Führungskräften und des Aufsichtsrats angesehen werden, die aus Führung, Organisationsstrukturen und Prozessen besteht. Diese Elemente stellen sicher, dass die Unternehmens-IT dazu beiträgt, die Organisationsstrategie und -ziele zu erreichen und zu erweitern.
IT-Governance spielt eine wesentliche Rolle beim IT-Business Alignment, also bei der Abstimmung von IT- und Geschäftszielen. So kann ein Silo-Denken verhindert werden und es fällt leichter, sich konsolidiert auf die Gesamtgeschäftsstrategie eines Unternehmens zu fokussieren. Die Praxis zeigt jedoch, dass IT-Governance und die einhergehenden regulatorischen Notwendigkeiten oftmals eher stiefmütterlich behandelt werden und somit leicht aus dem Blickfeld geraten. Dadurch setzen sich Unternehmen unnötigen Risiken, Compliance-Schwachstellen und verpassten Chancen aus, was teilweise zu nicht zu unterschätzenden regulatorischen Defiziten führen kann.
Das Aufgabenspektrum der IT-Governance bedient sich methodischer Unterstützung und vereint verschiedene Referenzmodelle und (internationale) Standards als Best Practices. Diese sind natürlich branchen- und disziplinübergreifend zu betrachten. Vorgaben und Grundlagen ergeben sich v. a. aus folgenden Rahmenwerken:
Neben der übergreifenden Orientierung an Referenzmodellen ist die Einbettung in eine ausgeprägte Compliance- und Revisionsstruktur, wie folgend dargestellt, ebenfalls unerlässlich.
Die Anforderungen an die IT-Governance können durch das Three-Lines-of-Defense-Modell auch Modell der drei Verteidigungslinien (3LOD) definiert werden. Hierbei handelt es sich um ein Modell zur systematischen Herangehensweise an Risiken, die in Unternehmen und Organisationen auftreten können.
Der Aufbau kann wie folgt dargestellt werden:
Um eine stabile und zukunftsfähige IT zu etablieren, sind einige Elemente von besonderer Bedeutung, um insbesondere eine effektive erste Verteidigungslinie zu gestalten, in der sich die IT-Governance widerspiegelt. Der erste Schritt sollte die Implementierung einer IT-Strategie sein, mit einer sukzessiven Ableitung strategischer Einzelziele. Hierbei spielen selbstverständlich die Corporate Governance und die dazugehörige Unternehmensstrategie eine entscheidende Rolle.
Um die strategischen Ziele organisatorisch einzuordnen, ist insbesondere die Erstellung eines Organisationshandbuchs zu empfehlen, in dem sich alle organisatorischen und betrieblichen Regelungen der IT darstellen lassen. Das Organisationshandbuch kann als wesentlicher Teil der schriftlich fixierten Ordnung der IT gesehen werden. Kernbestandteil ist die Aufbau- und Ablauforganisation, die sich in Form eines Organigramms oder einer Prozesslandkarte gestalten lässt. Weitere komplexere Elemente können u.a. die Darstellung der Einbettung in das Unternehmen oder in den Konzern bei Funktionsauslagerungen (z. B. interne IT-Dienstleistungen), die Darstellung von Entscheidungskompetenzen (z. B. Zahlungsvollmachten) oder ein Rollenmodell (s. u.) sein.
Ziel des Organisationshandbuchs ist es, den Mitarbeitern sowie dem Management in der IT aber auch internen und externen Prüfern eine zentrale Anlaufstelle zu bieten. Es soll allen Mitarbeitern die standardisierten Abläufe bestimmter Prozessaktivitäten sowie die Organisationsstrukturen und Vorschriften darstellen. Das Organisationshandbuch kann bspw. auch bei der Einarbeitung neuer Mitarbeiter herangezogen werden, um deren Einstieg zu erleichtern.
In diesem Zusammenhang sollte auch auf den strukturierten Aufbau eines Normensystems geachtet werden. Hierbei kaskadieren die Normen idealerweise von allgemeinen Inhalten zu speziellen, wie etwa von Leitlinien über Richtlinien zu Arbeitsanweisungen, wodurch die Inhalte konkretisiert werden. Je nach Ausgestaltung muss auf ein geeignetes Ablagesystem, eine korrekte Versionisierung sowie einen sinnvollen Freigabeworkflow geachtet werden. Ferner ist es unerlässlich, alle relevanten Normen den Mitarbeitern vollumfänglich zugängig zu machen. Auf diese Weise kann eine gleichbleibende Qualität der Prozesse gewährleistet sowie etwaigen Kopfmonopolen entgegengewirkt werden.
Um auch für die Zukunft gewappnet zu sein und um mögliche technische Trends zu antizipieren, empfiehlt es sich, ein Skill Management zu etablieren. Dadurch können die relevanten fachlichen und methodischen sowie soziale und persönliche Fähigkeiten identifiziert und weiter ausgebaut werden. Hierbei können Rollen definiert werden, um Mitarbeiter zielgerichtet gemäß der Aufbau- und Ablauforganisation einzusetzen. Stellenbeschreibungen sind hierbei von entscheidender Bedeutung. Um die genannten Punkte kontinuierlich und systematisch weiterzuentwickeln ist ein ausgeprägtes Wissensmanagement unerlässlich, das auch in der jährlichen Budgetplanung Einzug halten sollte.
Die Vorzüge einer gut strukturierten IT-Governance liegen darin, dass das Unternehmen sich bei Auftreten von haftungsrechtlichen Fragen durch die Darstellung einer ausgeprägten Organisation im Rahmen der Sorgfaltspflicht (i. S. d. § 831 Abs. 1 S. 2 BGB) vor monetären und reputativen Schäden schützen kann. Je nach regulatorischer Notwendigkeit der jeweiligen Branche kann somit ein mögliches Organisationsverschulden, das zu empfindlichen Konsequenzen führen kann, entkräftet werden.
Gerne unterstützen wir Sie bei der Ausrichtung der IT-Governance, zugeschnitten auf Ihre individuellen Herausforderungen und übergeordneten Unternehmensziele und helfen Ihnen bei der gemeinschaftlichen Optimierung der IT- und Businessperformance.
Ausgabe Juli 2021
Bernd Vogel
Wirtschaftsprüfer, Steuerberater
Partner
Anfrage senden
Rüdiger Hanke
M.Sc. Wirtschaftsinformatik, Diplom-Kaufmann (Univ.), IT-Security Beauftragter (TÜV)
