Analysten-Kolumne

Mehrwert - von der IT-Compliance zur Performance

30.04.2008 von Axel Diefenbach
Gesetzliche Anforderungen in der IT zu erfüllen, beispielsweise Archivierungs-, Dokumentations- oder Sorgfaltspflichten, steht für einen CIO außer Frage. Kaum ein CIO würde verneinen, dass das für die IT-Compliance notwendige interne Kontrollsystem sinnvoll ist. Doch wenn es um den tatsächlichen Wertbeitrag dieser Strukturen für das Unternehmen geht, teilen sich die Meinungen.
KPMG-Berater Axel Diefenbach: "Die Herausforderung bei der Val IT besteht darin, Prozessziele und -inhalte in der Organisation nachhaltig umzusetzen und zu leben."

Viele CIOs konzentrieren sich daher lieber darauf, den Wertbetrag der IT für das Unternehmen auszubauen und die IT Leistungen an zukünftige Anforderungen auszurichten. Ein praktikabler Ansatz, um den Schritt von der Compliance zur Performance zu schaffen, stellt das Val IT Framework des IT Governance Instituts (ITGI) dar. Ausschlaggebend ist dabei ein gut funktionierendes, internes Kontrollsystem ist.

Im Fokus: Investitionsentscheidungen und Realisierung des Wertes

Wie trifft man Investitionsentscheidungen, so dass die Erhöhung des IT Wertbeitrages für das Unternehmen im Fokus steht? Wie stellt man sicher, dass der potentielle Wert einer Investitionsentscheidung auch realisiert wird? Angesichts fehlender best practice-Ansätze zur Beantwortung dieser Fragen, veröffentlichte das IT Governance Institut im April 2006 das Val IT Framework. Val IT begreift IT-Investitionen nicht als bloße Notwendigkeit zur Einführung neuer IT-Lösungen. Stattdessen sieht es sie als Mittel, eine IT gestützte Weiterentwicklung des Unternehmens zu ermöglichen ("IT-enabled change"). Das IT Governance-Institut publiziert auch das bekannte Governance- und Kontroll-Framework Cobit.

Das Val IT Framework stellt zwei Themen ins Zentrum:

Dazu empfiehlt es die Umsetzung von drei Prozessen, die in einzelnen Management Practices, also best practice-Ansätzen von Prozessschritten und -charakteristika, näher beschrieben sind.

Prozesse zur IT-Wertorientierung

Value Governance: Der Prozess Value Governance schafft die Voraussetzungen, um die Unternehmensstrategie effektiv mit der IT verknüpfen zu können. Hierzu formuliert er wesentliche Entscheidungs- und Steuerstrukturen, etabliert strategische Richtlinien für IT-Investitionen und definiert die Merkmale des Investitionsportfolios. Die empfohlene Governance definiert das Verhältnis der IT zu anderen Bereichen im Unternehmen und die damit verbundenen, typischen Verantwortlichkeiten. Val IT beschreibt die Value Governance in insgesamt elf Management Practices.

Portfolio Management: Das Portfolio Management richtet das Portfolio der IT-Investitionen an die Unternehmensstrategie aus. Dazu fordert es in 14 Management Practices die klare Definition der Investitionsprogramme und die Erstellung von Business Cases. Ressourcen sollen umfassend organisiert sein, Risiken und Probleme müssen betrachtet werden, und das Portfolio der Investitionsprogramme muss kontinuierlich gesteuert werden.

Investment Management: Das Ziel des Investment Managements ist es, den Wert von Investitionsprogrammen unter Berücksichtigung gegebener Risiken optimal auszuprägen. Dabei ist es wichtig, die geschäftlichen Anforderungen an mögliche Investitionsprogramme zu identifizieren und zu verstehen, denn nur so lassen sich alternative Lösungen bewerten. Nach der Entwicklung eines Business Cases begleitet und steuert das Investment Management die Investitionsprogramme während ihres gesamten Lebenszyklus. Die Empfehlungen sind in insgesamt 15 Management Practices beschrieben.

Ein internes Kontrollsystem sichert operative Grundlagen, auf denen die Val IT Prozesse effektiv implementiert werden können.

Das Zusammenspiel der drei Prozesse Value Governance, Portfolio Management und Investment Management ermöglicht eine wertorientierte Steuerung von IT-Investitionsprogrammen. Das übergeordnete Ziel ist dabei, durch gezielte IT -nvestitionen die Weiterentwicklung des Unternehmens zu ermöglichen ("IT-enabled change").

Von der Pflicht zur Kür

Eingangs wurde die These aufgestellt, dass ein gut funktionierendes, internes Kontrollsystem ausschlaggebend für den erfolgreichen Schritt von der Compliance zur Performance ist. Val IT ergänzt das bekannte IT Governance Framework Cobit: Cobit fokussiert die Steuerung von technologisch orientierten Projekten, IT-Services, IT-Systemen und der unterstützenden Infrastruktur. Val IT steuert ein Portfolio von Business-orientierten Änderungsprogrammen.

Auch wenn die beiden Frameworks unterschiedliche Ziele verfolgen und damit prinzipiell eigenständig sind, setzt Val IT in gewisser Hinsicht auf Cobit auf. Denn Cobit legt operative Grundlagen, ohne die ein Unternehmen die Val IT Prozesse nicht effektiv implementieren kann. Dazu gehören insbesondere Bereiche, die viele Unternehmen auch zur Ausgestaltung ihres internen Kontrollsystems heranziehen - beispielsweise Verfahren zur Programmentwicklung und -änderung oder zum IT Betrieb. Ohne diese Grundlagen können komplexere Strukturen, wie sie Val IT vorschlägt, nicht ihre Wirkung entfalten.

Ein weiteres Argument stützt die These: Die wahre Herausforderung bei der Einführung der Val IT-Prozesse besteht nicht in der Vermittlung des theoretischen Wissens um die Prozessziele und -inhalte. Sie besteht vielmehr darin, diese in der Organisation nachhaltig umzusetzen und zu leben. Hierbei ist es äußerst nützlich, wenn die IT-Organisation bereits auf operativerer Ebene entsprechende Erfahrungen gesammelt hat. Zum Beispiel, indem sie durch die Implementierung eines internen Kontrollsystems gelernt hat, sich an Prozessen auszurichten und diese auch einzuhalten.

Hat man die "Pflicht" erst einmal geschafft und ein leistungsfähiges, internes Kontrollsystem aufgebaut, steht nichts mehr im Wege, sich der "Kür" zu widmen und den Wertbeitrag der IT systematisch auszubauen. Das Val IT Framework bietet hierzu einen praktikablen Ansatz.

Zurzeit überarbeitet das ITGC das Val IT Framework. Die Version 2.0 wird in Kürze erscheinen und ein Reifegradmodell beinhalten, das die Umsetzung erleichtert.

Dr. Axel Diefenbach ist Manager im Bereich IT Advisory bei der KPMG Deutsche Treuhand-Gesellschaft.