Auf Bundesebene wurde die Diskussion um die Rolle eines CIO in der öffentlichen Verwaltung ab 2006 intensiv geführt. Sie begann im Rahmen der Vorbereitung auf den ersten IT-Gipfel der Bundeskanzlerin.
Vorgelegt hatte schon 2003 der damalige hessische Ministerpräsident Roland Koch mit der Ernennung eines CIO für sein Land - im Rang eines Staatssekretärs. Der Ministerpräsident hatte dabei den Vergleich mit den großen Wirtschaftsunternehmen im Auge, bei denen die Rolle der IT in Zusammenhang mit den Geschäftsprozessen als strategische Aufgabe gesehen wird. Hinzu kam die Auffassung, ein Land mit etwa 150.000 Mitarbeitern, einem Budgetvolumen von rund 22 Milliarden Euro und acht Ressorts sei durchaus als Konzern zu betrachten, bestehend aus einer Zentrale und acht Unternehmensbereichen.
Wie ein Scheinriese
Folglich war es richtig, einen Konzern-CIO zu etablieren, der Mitglied des erweiterten Vorstands, also des Kabinetts, sein sollte. Gleichzeitig wurde der CIO dem für Organisation, Prozesse, Personal und E-Government zuständigen Innenressort sowie dem für Haushaltsfragen (also auch für IT-Budgets) und für die internen IT-Service-Provider zuständigen Finanzministerium zugeordnet.
So war der hessische CIO bereits frühzeitig mit einer Reihe von IT-Governance-Instrumenten ausgestattet, die den CIO des Bundes, verortet im Bundesinnenministerium, wie einen Scheinriesen aussehen ließen. Zudem etablierte Hessen neben dieser Institutionalisierung des CIO schon 2003 Gremien für die IT-Governance, darunter einen Kabinettsausschuss für Verwaltungsmodernisierung und IT. Beteiligt waren die Ressortstaatssekretäre, den Vorsitz hatte der Chef der Staatskanzlei.
Der CIO des Bundes musste sich hingegen mit einem Gremium aus den IT-Referatsleitern der Ressorts begnügen. An eine tragende Rolle mit starken IT-Governance-Instrumenten war hier also von vornherein nicht zu denken.
Daran änderte sich auch dadurch nichts, dass 2009 der Artikel 91c in das Grundgesetz aufgenommen und anschließend ein IT-Planungsrat etabliert wurde. Die Situation auf Bundesseite besserte sich dadurch keineswegs - auch wenn der CIO des Bundes seit dieser Zeit jedes zweite Jahr im Wechsel mit einem Vertreter der Länder den Vorsitz des IT-Planungsrats übernimmt. Sein Einfluss blieb unverändert schwach.
In Hessen dagegen geschieht die Abstimmung mit den Ressorts nicht nur auf einer politischen Ebene, also im Kabinettsausschuss für Verwaltungsmodernisierung, sondern auch auf der Arbeitsebene mit den IT-Leitern der Ressorts sowie der Staatskanzlei. Dabei hat der CIO den Vorsitz im Programm-Management-Board. Eine Ebene darunter sind zwei weitere operative Arbeitskreise eingerichtet, die an das Programm-Management-Board berichten.
In den anderen 15 Bundesländern sind die Befugnisse des jeweiligen Vertreters im IT-Planungsrat eher schwach ausgeprägt. Manche dieser Vertreter sind Staatssekretäre, die IT nur als Zusatzaufgabe haben, andere nennen sich CIO, ohne jedoch einen maßgeblichen Einfluss auf die ressortübergreifende Gesamt-IT des Landes zu haben.
Diese unterschiedlichen Konstellationen gibt es allerdings auch in der Wirtschaft. Einige CIOs sind eigentlich Leiter des internen Rechenzentrums oder IT-Service-Providers. Und daneben gibt es CIOs, die eine Konzern-Stabsfunktion haben und einem Vorstandsmitglied zugeordnet sind, ohne dass sie die IT-Governance-Instrumente in Gänze nutzen können. Wenn die zentralen CIOs dem CFO zugeordnet sind, haben sie zumindest das Instrument des IT-Budgets, um die oft stärkeren IT-Chefs der Unternehmensbereiche/Ressorts zu kontrollieren.
Nimmt man die tatsächliche Bedeutung der IT für ein Unternehmen oder für Bund, Länder und große kommunale Körperschaften ernst, so führt an der Ausstattung des CIO mit den Instrumenten der IT-Governance kein Weg vorbei.
IT-Governance wird aus der Corporate-Governance-Verpflichtung abgeleitet. Der scheidende Vorsitzende der Regierungskommission Corporate Governance Kodex, Klaus-Peter Müller, wirft der Politik hier eine "gewisse Scheinheiligkeit" vor. Wie er zu Recht erläutert, haben weder der Bund noch die meisten Länder oder Kommunen entsprechende Regelungen für sich umgesetzt. Seiner Ansicht nach verliert die Politik an Glaubwürdigkeit, wenn sie anderen Regeln vorgibt, die sie selbst nicht befolgt. Wie kann aus einer nicht praktizierten Corporate Governance eine IT-Governance abgeleitet werden?
Corporate Governance als Klammer
Die Corporate Governance enthält anerkannte Standards guter und verantwortungsvoller Unternehmensführung. Die IT-Governance ist Bestandteil der Corporate Governance. Gleichzeitig ist sie ein kritischer Erfolgsfaktor der Corporate Governance. Damit unterliegt sie denselben Prämissen zur Steuerung und Überwachung der IT-Nutzung, ob es sich nun um ein Unternehmen oder eine öffentliche Körperschaft handelt. Allerdings behauptet einige führende IT-Verantwortliche des Bundes, die IT in der Verwaltung lasse sich nicht mit der derjenigen in der Wirtschaft vergleichen. Deswegen müsse man eigene Wege gehen. Dem kann man nur heftig widersprechen.
Eine Schnittstellenfunktion
Ziel der IT-Governance ist die Festlegung der IT-Strategie - ausgerichtet an den Kernprozessen des Unternehmens (Stichwort "IT-Business-Alignment"). Sie soll also sicherstellen, dass die aktuellen sowie künftigen Unternehmensziele erreicht werden können. Die Erwartungen des Geschäfts an die IT werden mit Hilfe von IT-Governance-Methoden umgesetzt. Dabei sollen alle damit verbunden Risiken aufgedeckt, bewertet und mit Lösungsszenarien versehen werden.
IT-Governance kann kein Bestandteil der IT-Organisation sein. Das ist deshalb unmöglich, weil es sich um eine Schnittstellenaufgabe zwischen der Fach- und IT-Seite handelt, die steuernd auf die IT wirkt.
Die IT hat einen Wertschöpfungsbeitrag für das Unternehmen zu leisten. Gleichzeitig müssen die mit der IT verbundenen Risiken möglichst gering gehalten werden. Die IT-Governance umfasst die Führungsstrukturen und Prozesse, die notwendig sind, um die Strategien und Ziele der IT-Organisation erreichen sowie sicherstellen zu können. Ohne ein kontinuierliches IT-Reporting und -Controlling ist eine IT-Governance nicht vorstellbar.
Ohne Standards geht es nicht
Vor allem in großen Unternehmen, dazu sind Bund und Länder zu rechnen, hat die IT-Unterstützung eine existenzielle Bedeutung hinsichtlich der Geschäfts- und Verwaltungsprozesse. Also kommt man hier an speziellen Regeln für Management, Steuerung und Kontrolle der IT auf keinen Fall vorbei.
Am besten ist es deshalb, einen Standard für IT-Governance zu nutzen. Dabei kann man sich beispielsweise an die vom IT-Governance-Verein ISACA erarbeiten Vorschläge halten. Denen zufolge gehört zu einer IT-Governance ein IT-StrategieKomitee, in dem geregelt ist, wer an wen berichtet, was der Wertbeitrag der IT ist und welche Leistungen die IT zu erbringen hat. Ferner ist ein Risiko-Management nötig. Ein sinnvolles Instrument ist auch eine IT-Balanced-Scorecard, mit der sich Effektivität, Effizienz und Risiken der IT darstellen lassen. Dabei kann das Framework COBIT als Werkzeugkasten dienen.
IT-Governance bedeutet einen gewissen Aufwand, der sich in Transaktionskosten niederschlägt. Damit diese Kosten nicht ausufern, ist es sinnvoll, sich auf derartige Standards der IT-Governance zu einigen.
In Groß- oder auch Mischkonzernen wird häufig ein "föderales" IT-Governance-Modell angewendet. Es berücksichtigt die bestehenden zentralen und dezentralen IT-Strukturen.
Aus Sicht der IT, genauso wie aus der Perspektive anderer Querschnittsfunktionen (Personal- und Rechnungswesen, Einkauf, Immobilienverwaltung, Fuhrpark-Management etc.) muss der richtige Mix aus dezentralem Support von Geschäftsprozessen und zentralen (Prozess-)Standards beziehungsweise -Services ausbalanciert werden. Dazu sind Strukturen und Gremien zu etablieren, die einen "Konzernkonsens" ermöglichen. Schließlich entspricht der Gesamtkonzern-Nutzen nicht immer dem Einzelinteresse eines Teilkonzerns.
Die Aufgaben des CIO
Auf Konzernebene verantwortet der CIO die übergreifende Steuerung mit der IT-Gesamtplanung sowie den zentralen IT-Projekten. Nur so lassen sich übergreifende Synergien erzielen. In Abstimmung mit den IT-Verantwortlichen der Teilkonzerne gibt der CIO die IT-Standards vor und überwacht deren Einhaltung. Des Weiteren steuert und kontrolliert er den IT-Nutzen übergreifend, wobei er sich mit den Funktionen IT-Demand und IT-Supply abstimmt.
Daraus ergeben sich dann auch die jeweiligen Sourcing-Strategien. Sie gehören zu den Funktionen, die einen Wertbeitrag der IT unterstützen und eine Organisation damit gegenüber dem Wettbewerb herausheben können.
Die erwähnten Funktionen IT-Demand und IT-Supply selbst sind keine direkten Aufgaben des CIO. Demand bezeichnet die Anlaufstelle für die Fachabteilungen zur Anforderungsdefinition und Konzeption. Deshalb sollte diese Funktion dezentral bei den Teilkonzernen verankert sein. Supply setzt die Anforderungen von Demand um und erbringt damit die "IT-Leistungen" (Entwicklung, Produktion und technische Standards) für die Fachabteilungen. Aus wirtschaftlichen Gründen (also wegen Skaleneffekten, Know-how-Tiefe und -Breite sowie ITIL und ISO 27001) muss es sich hier um eine zentrale Funktion handeln.
Beitrag zum Standortfaktor
Letztlich sollte die Politik erkennen, dass die Bedeutung der IT für Steuerung und Entwicklung der öffentlichen Verwaltung essenziell ist. Die Leistungsfähigkeit der Bürokratien hängt unmittelbar von der Leistungsfähigkeit und der Effizienz der IT ab. Die Wirkungsmächtigkeit der internen Verwaltungsprozesse sowie die einfache und effektive elektronische Kommunikation zwischen Bürger und Wirtschaft auf der einen und den Verwaltungsorganen auf der anderen Seite liefert auch einen entscheidenden Beitrag zum "Standortfaktor".
Weiter fordert der Wirtschaftsrat, dass betriebswirtschaftliche Controlling- und Steuerungsinstrumente in der öffentlichen Verwaltung verankert und Bürokratiekosten gesenkt werden müssen. Dazu zählt auch die Verbesserung der E-Government-Strukturen von Bund, Ländern und Kommunen.
Deshalb fordert der Wirtschaftsrat die Einrichtung eines "Kabinettsausschusses Verwaltungsreform" im Bundeskanzleramt. Damit sind wir wieder bei dem eingangs geschilderten Status, der 2003 in Hessen etabliert wurde und bis heute kontinuierlich verbessert wird.
Neue bürokratische Hürden
Die bloße Konstituierung des IT-Planungsrats bewirkt noch nicht viel. Jedenfalls macht sie es noch nicht möglich, die Verwaltungs-IT und das E-Government vernünftig weiterzuentwickeln. Also in der Art, wie es in einer Befragung von 1000 Innovationsunternehmen in Deutschland durch den Deutschen Industrie- und Handelskammertag (DIHT) gefordert wurde: Noch vor Fachkräftemangel und Vereinfachung des Steuerrechts steht für die Befragten ganz oben auf der Prioritätenliste die Forderung nach Bürokratieabbau.
Bürokratieabbau wird ermöglicht, indem Schriftformerfordernisse abgebaut werden, sofern sie nicht zwingend erforderlich sind. So zumindest war der ursprüngliche Ansatz, den das E-Government-Gesetz des Bundes formulierte. Tatsächlich sollen jetzt aber, vom Bundesinnenministerium getrieben und vom IT-Planungsrat abgesegnet, die unnötigen Schriftformerfordernisse (mehrere tausend Bürokratievorschriften) nicht etwa abgeschafft, sondern durch bürokratische und teure Technik wie De-Mail und den neuen elektronischen Personalausweis ersetzt werden.
Grundgesetzänderung nötig
Verwaltungsmodernisierung und Bürokratieabbau als wesentliches Ziel der IT in der öffentlichen Verwaltung deckt sich mit dem Sinn einer guten IT-Governance. Hier kann die IT einen Wertbeitrag für den Standort Deutschland leisten. Doch derartige Tendenzen sind im IT-Planungsrat bestenfalls ansatzweise zu finden.
Um dies zu verbessern, würden Juristen argumentieren, dass der Staatsvertrag zur Konstituierung des IT-Planungsrats, ja sogar das Grundgesetz, namentlich Artikel 91c, umgehend zu ändern wären.