IT-Governance E-Book

Prof. Dr. Michael Klotz ist seit 1999 Professor für Betriebswirtschaftslehre, insb. Informationsmanagement, Organisation und Datenverarbeitung an der Hochschule Stralsund. Davor war er 15 Jahre in der IT-Branche als Berater, Projektmanager und Geschäftsführer tätig. Seine fachliche Arbeit dokumentiert sich in über 100 Publikationen zu IT-Governance, IT-Compliance und Projektmanagement.

Prof. Dr. Matthias Goeken ist Professor für Wirtschaftsinformatik an der Hochschule der Deutschen Bundesbank. Zuvor war er Juniorprofessor an der Frankfurt School of Finance & Management und dort Mitbegründer und Leiter einer Forschungsgruppe zum Themengebiet IT-Governance. Zu seinen weiteren Forschungsgebieten zählen Business Intelligence und Machine Learning. Im ISACA Germany Chapter ist er Vizepräsident für Publikationen.

Dr. Martin Fröhlich ist selbstständiger IT-Berater mit den Schwerpunkten Strategie-, IKS-Beratung und IT-Compliance. Davor war er 30 Jahre bei einer Big-Four-Wirtschaftsprüfungsgesellschaft tätig, davon knapp 20 Jahre als Partner verantwortlich für IT-Prüfung und Beratung im Finanzdienstleistungssektor. Dr. Fröhlich ist Mitglied des FAIT beim IDW und Vizepräsident des ISACA Germany Chapter.

Die Autoren sind Mitherausgeber der Zeitschrift »IT-Governance«.

Michael Klotz · Matthias Goeken · Martin Fröhlich

IT-Governance

Ordnungsrahmen und Handlungsfelder für eine erfolgreiche Steuerung der Unternehmens-IT

Edition ISACA Germany Chapter

Michael Klotz

[email protected]

Matthias Goeken

[email protected]

Martin Fröhlich

[email protected]

Lektorat: Christa Preisendanz

Lektoratsassistenz: Julia Griebel

Copy-Editing: Ursula Zimpfer, Herrenberg

Layout & Satz: Birgit Bäuerlein

Herstellung: Stefanie Weidner

Umschlaggestaltung: Helmut Kraus, www.exclam.de

Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

ISBN:

Print

978-3-86490-930-6

PDF

978-3-96910-874-1

ePub

978-3-96910-875-8

mobi

978-3-96910-876-5

1. Auflage 2023

Copyright © 2023 dpunkt.verlag GmbH

Wieblinger Weg 17

69123 Heidelberg

Hinweis:

Dieses Buch wurde auf PEFC-zertifiziertem Papier aus nachhaltiger Waldwirtschaft gedruckt. Der Umwelt zuliebe verzichten wir zusätzlich auf die Einschweißfolie.

Schreiben Sie uns:

Falls Sie Anregungen, Wünsche und Kommentare haben, lassen Sie es uns wissen: [email protected].

Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Die Verwendung der Texte und Abbildungen, auch auszugsweise, ist ohne die schriftliche Zustimmung des Verlags urheberrechtswidrig und daher strafbar. Dies gilt insbesondere für die Vervielfältigung, Übersetzung oder die Verwendung in elektronischen Systemen.

Es wird darauf hingewiesen, dass die im Buch verwendeten Soft- und Hardware-Bezeichnungen sowie Markennamen und Produktbezeichnungen der jeweiligen Firmen im Allgemeinen warenzeichen-, marken- oder patentrechtlichem Schutz unterliegen.

Alle Angaben und Programme in diesem Buch wurden mit größter Sorgfalt kontrolliert. Weder Autoren noch Verlag können jedoch für Schäden haftbar gemacht werden, die in Zusammenhang mit der Verwendung dieses Buches stehen.

5 4 3 2 1 0

Vorwort

Die unter dem Begriff »IT-Governance« zusammengefassten Ansätze, Verfahren und Methoden zur Führung und Organisation der Unternehmens-IT haben in den letzten 15 Jahren eine wechselvolle Entwicklung erfahren. Stand IT-Governance noch Anfang dieses Jahrhunderts als wichtiger Baustein zur Steigerung der Effizienz und Effektivität – mithin der Beitrag der IT zur Erreichung von Unternehmenszielen – im Vordergrund auch der wissenschaftlichen Diskussion, ist das Interesse an IT-Governance in Wissenschaft und Praxis in den letzten Jahren angesichts von Entwicklungen, wie Digitalisierung von Geschäftsprozessen, künstlicher Intelligenz oder Blockchain, etwas in den Hintergrund getreten. Erst Finanz- und Unternehmensskandale in jüngerer Zeit haben abermals deutlich gemacht, welchen Stellenwert »gute« bzw. »verantwortungsvolle« Unternehmensführung auch und gerade heute für Unternehmen und deren IT-Einsatz haben muss.

Mit diesem Buch sollen die wissenschaftlichen Erkenntnisse des noch relativ jungen Forschungsgebietes mit den Herausforderungen der Praxis bei der Ausprägung einer Governance für die IT verbunden werden. Zielsetzung ist nicht die Zusammenstellung eines »Kochbuches« mit Patentrezepten, sondern die Darstellung von Bausteinen eines Modells basierend auf wissenschaftlichen Erkenntnissen und Studien sowie Erfahrungen aus der Praxis.

Am Anfang des Buches steht eine Darstellung wesentlicher Forschungsergebnisse zu IT-Governance. Besonderes Augenmerk liegt dabei auf grundlegenden Konzepten und Ansätzen sowie dem Wertbeitrag, den IT-Governance zur Erreichung von Unternehmenszielen liefern kann. Hierzu bedarf es eines Ordnungsrahmens, bestehend aus Mechanismen (u.a. Prozesse, Strukturen) und Maßnahmen (u.a. Regelungen, Verfahren). Die Ausgestaltung dieses Ordnungsrahmens muss sich an Prinzipien orientieren, wie die Trennung von IT-Governance und IT-Management, die Beteiligung aller relevanten Stakeholder oder die Ausrichtung auf die gesamte Unternehmens-IT. Auf diesen methodischen Grundlagen ist die Governance für die IT auszuprägen.

Jedoch werfen die theoretischen Konzepte und Ansätze die Frage der praktischen Umsetzbarkeit auf. Sowohl der Ordnungsrahmen als auch die Prinzipien führen für sich allein nicht zu Vorgaben für die praktische Implementierung von IT-Governance, sondern bilden zunächst nur ein gedankliches Gerüst quasi als Leitplanken für die konkrete Umsetzung. Für die praktische Umsetzung bedarf es verschiedener Handlungsfelder, um IT-Governance zu institutionalisieren, die Beziehungen zu weiteren Managementsystemen, insbesondere für Risikomanagement und Compliance, zu organisieren, Vorgaben für das IT-Management zu machen und Nutzen aus Standards und Normen für die konkrete Ausgestaltung der IT-Governance zu ziehen.

Die Institutionalisierung von IT-Governance beruht auf den drei Säulen Organisation, Akteure und Stakeholder. Das Handlungsfeld IT-Organisation beschreibt verschiedene Organisationsformen und bewertet diese unter dem Gesichtspunkt der Eignung für die organisatorische Verankerung der IT-Governance in Strukturen und Prozessen. Im Handlungsfeld Akteure werden die für die IT-Governance besonders relevanten Personen und Gremien sowie ihre Aufgaben und Verantwortlichkeiten diskutiert. Das Handlungsfeld Stakeholder erweitert die Sichtweise auf die berechtigten Erwartungen und Interessen auch von Organisationseinheiten und Personen, die nicht dem direkt mit IT befassten Personenkreis zugehörig sind.

IT-Governance (G) ist eng mit den Managementsystemen Risikomanagement (R) und Compliance (C) verknüpft, was sich in dem Akronym GRC manifestiert. Aufgabe der Unternehmensführung ist die Identifizierung, Bewertung und die Reaktion auf Risiken, die die Erreichung von Unternehmenszielen gefährden können, sowie die Herstellung der Konformität mit regulatorischen Vorschriften, internen und externen Regelwerken sowie vertraglichen Zusagen. Diese Konformität muss durch ein Compliance-Management-System angestrebt und nachhaltig gesichert werden. Eine ausschließliche Fokussierung auf IT-GRC greift jedoch zu kurz. Weitere Handlungsfelder ergeben sich aus der Bedeutung der Daten für die Unternehmenssteuerung und Entscheidungsfindung (Data Governance) sowie aus der Berücksichtigung der einschlägigen Referenzmodelle, Standards und Normen bei der Gestaltung von Strukturen und Prozessen.

Bei der Entstehung dieses Buches und den vielfältigen Diskussionen zwischen den Autoren ist deutlich geworden, dass das Thema »IT-Governance« viele verschiedene Facetten aufweist. Eine einheitliche Sichtweise auf IT-Governance kann es nicht geben. Jedes Unternehmen wird für sich unterschiedliche Schwerpunkt setzen, bei den einzelnen Handlungsfeldern einen unterschiedlichen Reifegrad haben und bei der Ausgestaltung der Handlungsfelder unterschiedliche Wege gehen. Den Verantwortlichen in Unternehmen wollen wir am Ende eines jeden Kapitels Handlungsempfehlungen geben, um die praktische Implementierung zu erleichtern und den Blick auf die Aspekte zu lenken, um die es bei dem Thema »IT-Governance« letztlich geht: die IT zu befähigen, einen wertvollen Beitrag zum Unternehmenserfolg zu leisten und sich dabei von den Grundsätzen einer modernen und verantwortungsvollen Unternehmensführung leiten zu lassen.

Wir Autoren freuen uns, dass das Buch in der ISACA-Buchreihe erscheinen kann. Von den Fachdiskussionen in der ISACA-Community konnten wir in den vergangenen Jahren in vielerlei Hinsicht profitieren. Darüber hinaus gilt unser Dank dem dpunkt.verlag für die umsichtige und kompetente Begleitung unseres Buchprojekts und dabei insbesondere Frau Christa Preisendanz, unserer Lektorin!

Michael Klotz, Matthias Goeken, Martin FröhlichStralsund, Bensheim, Dinslaken im Oktober 2022

Inhaltsübersicht

1Grundlagen der IT-Governance

2Der Wertbeitrag der IT als Handlungsfeld der IT-Governance

3Akteure der IT-Governance

4Stakeholder als Handlungsfeld der IT-Governance

5IT-Organisation als Handlungsfeld der IT-Governance

6IT-Risiken als Handlungsfeld der IT-Governance

7IT-Compliance als Handlungsfeld der IT-Governance

8Data Governance

9Standards und Normen der IT-Governance

Anhang

AAbkürzungen

BLiteraturverzeichnis

Index

Inhaltsverzeichnis

1Grundlagen der IT-Governance

1.1Entwicklung der Corporate Governance

1.2Definitionen für IT-Governance

1.3IT-Governance nach Weill et al.

1.4IT-Governance nach der ISO/IEC 38500

1.5IT-Governance nach COBIT 2019

1.6IT-Governance nach Van Grembergen/De Haes et al.

1.7Verständnis von IT-Governance in diesem Buch

1.7.1Vorüberlegungen

1.7.2Darstellung unseres Verständnisses von IT-Governance

1.7.3Prinzipien gemäß dem IT-Governance-Verständnis

1.8Handlungsfelder für IT-Governance

1.8.1Messung und Management des Wertbeitrags der IT im Rahmen der IT-Governance

1.8.2Aufgaben und Verantwortlichkeiten der Akteure der Unternehmens-IT und ihre Positionierung in der Organisation

1.8.3IT-Stakeholder als Adressaten der IT-Governance – Stakeholder in die Entwicklung der Unternehmens-IT einbeziehen

1.8.4Organisation der Unternehmens-IT – interne und externe Anforderungen an die IT in Strukturen und Prozessen abbilden

1.8.5IT-Risikomanagement – Managen von Unsicherheit durch Bewertung, Steuerung und Überwachung der Risiken

1.8.6Compliance der Unternehmens-IT – Konformität mit gesetzlich-regulatorischen Vorgaben, IT-Standards und -Normen sowie internen IT-Richtlinien gewährleisten

1.8.7Wert von Daten durch Data Governance sichern – Ziele, Verantwortlichkeiten und Rollen für ein erfolgreiches Datenmanagement festlegen

1.8.8Standards und Normen der IT-Governance – bewährte Konzepte und Modelle für die Ausgestaltung der IT-Governance nutzen

1.9Handlungsempfehlungen

2Der Wertbeitrag der IT als Handlungsfeld der IT-Governance

2.1Prioritäten, Trends und Herausforderungen

2.2Wertbeitrag in wissenschaftlichen Studien und die Rolle der IT-Governance

2.3Was bedeutet Wert und was ist der Wertbeitrag der IT?

2.3.1Terminologie, Verfahren und Methoden

2.3.2Grundlegendes Verständnis von »Wert« und Wertbeitrag der IT

2.3.3Grundlegende Probleme und Herausforderungen bei der Ermittlung des Wertbeitrags

2.4Messung und Messkonzepte für den Wertbeitrag der IT

2.4.1Kostenorientierte Verfahren

2.4.2Prozesskosten in Fach- und Geschäftsbereichen

2.4.3Investitionsrechnung

2.4.4Nutzwertanalyse

2.4.5Weitere Verfahren im Überblick

2.4.6Wert als »Nutzenbündel« (»Bundle of Benefits«-Ansatz)

2.5Wertbeitrag und Wertbeitragsdimensionen

2.6Konzepte zur Steuerung und Verbesserung des Wertbeitrags der IT

2.6.1Business Case

2.6.1.1Konzept und Grundlagen

2.6.1.2Entwicklung eines Business Case

2.6.2Business/IT-Alignment

2.6.2.1Grundlagen und Definitionen

2.6.2.2Das Strategic Alignment Model (SAM) und Erweiterungen

2.6.2.3Alignment-Dimensionen und -Ebenen

2.6.2.4Strategic Alignment Maturity Model (SAMM)

2.6.3COBIT EDM02

2.7Herausforderungen und Handlungsempfehlungen

3Akteure der IT-Governance

3.1Der Chief Information Officer

3.1.1Stelle und Rolle des CIO

3.1.2Beispiel für eine CIO-Organisation

3.2Der Chief Digital Officer

3.2.1Position und Aufgaben des Chief Digital Officer

3.2.2Chief Digital Officer und Chief Information Officer

3.2.3Der CDO in der bimodalen bzw. ambidextrischen IT

3.3Gremien zur Steuerung und Überwachung der IT

3.3.1Aufsichtsrat

3.3.2Unternehmensleitung

3.3.3Ausschüsse

3.4Handlungsempfehlungen

4Stakeholder als Handlungsfeld der IT-Governance

4.1IT-Stakeholder als Adressaten der IT-Governance

4.1.1Externe Akteure im Unternehmensumfeld

4.1.2Stakeholder-Begriff

4.1.3Verantwortung für Einbeziehung von IT-Stakeholdern

4.1.4Beziehungen zwischen Unternehmens-IT und IT-Stakeholdern

4.1.5Akteure in der Unternehmensumwelt

4.2IT-Stakeholder

4.2.1Unterscheidung zwischen externen und internen IT-Stakeholdern

4.2.2Interne IT-Stakeholder

4.2.3Externe IT-Stakeholder

4.3Ziele der IT-Governance in Bezug auf die IT-Stakeholder

4.4Abgrenzung zum IT-Stakeholder-Management

4.5Konstitutive Entscheidungen für das IT-Stakeholder-Management

4.5.1IT-Stakeholder-Identifizierung

4.5.2IT-Stakeholder-Analyse

4.5.3IT-Stakeholder-Einbindung

4.5.4Qualifizierung für das IT-Stakeholder-Management

4.6Überwachung des IT-Stakeholder-Managements

4.6.1IT-Stakeholder-Identifizierung

4.6.2IT-Stakeholder-Analyse

4.6.3IT-Stakeholder-Einbindung

4.6.4Kennzahlen für die Überwachung des IT-Stakeholder-Managements

4.7Handlungsempfehlungen

5IT-Organisation als Handlungsfeld der IT-Governance

5.1Herausforderungen und Anforderungen an die IT-Organisation

5.1.1Aktuelle Herausforderungen für die IT-Organisation

5.1.2Gesetzlich-regulatorische Anforderungen an die Organisation der IT

5.2Begriff und Umfang der IT-Organisation

5.3Integration der IT-Funktion in die Unternehmensstruktur

5.3.1Aufgaben, Stellen und Rollen der IT-Funktion

5.3.1.1Aufgaben der IT-Abteilung

5.3.1.2Rollen in der IT-Organisation

5.3.2Aufbauorganisatorische Anbindung der IT-Abteilung

5.3.2.1Grundformen der aufbauorganisatorischen Eingliederung der IT

5.3.2.2Center-Konzepte für den IT-Bereich

5.3.3Einfluss von Outsourcing auf die IT-Organisation

5.3.4Integration der IT in das Unternehmen nach dem 3-Linien-Modell

5.4IT-Prozesse

5.4.1Struktur der IT-Prozesse nach COBIT 2019

5.4.2Leistungssteuerung der IT-Prozesse nach COBIT 2019

5.4.3Priorisierung der Prozesse mittels Designfaktoren

5.5Agile IT-Organisation

5.5.1Agile IT aus Sicht der IT-Governance

5.5.2Agile Aufbauorganisation

5.5.3DevOps

5.5.4Innovation Labs

5.6Handlungsempfehlungen

6IT-Risiken als Handlungsfeld der IT-Governance

6.1Grundlagen für die Governance von IT-Risiken

6.1.1Grundlagen in Gesetzen, Standards und Normen

6.1.2Begriff des IT-Risikos

6.1.3Systematik der IT-Risiken

6.2IT-Risiken im Rahmen der IT-Governance

6.2.1IT-Risiken in der Trias »IT-GRC«

6.2.2IT-Risiken in der ISO/IEC 38500

6.2.3Governance von IT-Risiken nach COBIT 2019

6.2.4IT-Risiken als Teilmenge der Unternehmensrisiken

6.2.5IT-Risiken im Rahmen des unternehmensweiten Risikomanagements

6.3Wertbeitrag der Governance von IT-Risiken

6.4Aufgabenbereiche der Governance von IT-Risiken

6.4.1Struktur der Aufgabenbereiche

6.4.2IT-Risikoziele

6.4.3IT-Risikobewusstsein

6.4.4IT-Risikokultur

6.4.5Grundlegende IT-Risikoorientierung

6.4.6IT-Risikostrategie und IT-Risikorichtlinie

6.4.7IT-Risiko-Stakeholder

6.4.8IT-Risikoorganisation

6.4.9IT-Risikomanagementsystem

6.5Organisation und Mechanismen des IT-Risikomanagements

6.5.1Umfeld der IT-Risikoorganisation

6.5.2IT-Risikomanagementprozess

6.5.2.1Risikomanagementprozess nach DIN ISO 31000

6.5.2.2Risikomanagementprozess nach COBIT 2019

6.5.2.3Risikomanagementprozess nach IDW PS 981

6.5.2.4Risikomanagementprozess nach DIIR Revisionsstandard Nr. 2

6.5.3Strukturelle IT-Risikoorganisation

6.5.3.1Organisationseinheiten

6.5.3.2Rollen

6.6IT-Risikomanagementsystem

6.6.1IT-Risikomanagementsystem nach DIN ISO 31000

6.6.2IT-Risikomanagementsystem nach IDW PS 981

6.6.3IT-Risikomanagementsystem nach DIIR Revisionsstandard Nr. 2

6.6.4Prüfung des IT-Risikomanagementsystems

6.6.4.1Formen und Zielsetzung der Prüfung

6.6.4.2Prüfung nach DIIR Revisionsstandard Nr. 2

6.6.4.3Prüfung nach IDW PS 981

6.7Handlungsempfehlungen

7IT-Compliance als Handlungsfeld der IT-Governance

7.1Grundlagen

7.1.1Einordnung von IT-Compliance in die Governance

7.1.2Treiber für IT-Compliance

7.1.3Wertbeitrag der IT-Compliance

7.2Methodische Grundlagen

7.2.1Begriff

7.2.2Rahmenwerke für IT-Compliance

7.2.2.1COBIT 2019

7.2.2.2ISO 37301

7.2.2.3IDW PS 980 n.F.

7.2.2.4Weitere Entwicklung der Rahmenwerke

7.3Regelwerke für IT-Compliance

7.3.1Klassifizierung der Regelwerke

7.3.2Rechtliche Vorgaben

7.3.2.1Gesetze

7.3.2.2Rechtsprechung

7.3.2.3Rechtsverordnungen

7.3.2.4Verwaltungsvorschriften

7.3.3Verträge

7.3.4Unternehmensinterne Regelwerke

7.3.5Unternehmensexterne Regelwerke

7.4Auswahl von relevanten Regelwerken

7.4.1Bestimmung des Compliance-Portfolios

7.4.2Konsolidierung von Regelwerken

7.4.3Mapping

7.5Gestaltungselemente der IT-Compliance

7.5.1Einordnung in die Corporate Compliance

7.5.2IT-Compliance-Kultur

7.5.3IT-Compliance-Ziele

7.5.4IT-Compliance-Risiken

7.5.5IT-Compliance-Programm

7.5.6IT-Compliance-Organisation

7.5.6.1Einflussfaktoren

7.5.6.2Organisationsformen

7.5.6.3IT-Compliance-Manager

7.5.6.4IT-Compliance-Prozess

7.5.7IT-Compliance-Kommunikation

7.5.8IT-Compliance-Überwachung

7.6Nachweis der IT-Compliance

7.6.1Prüfung nach IDW PS 980 n.F.

7.6.2Prüfungen nach IDW PS 860

7.6.3Prüfung nach IDW PS 951 n.F.

7.7Handlungsempfehlungen

8Data Governance

8.1Data Governance im Rahmen der IT-Governance

8.2Begriff der Data Governance

8.3Wertbeitrag und Ziele von Data Governance

8.4Organisation der Data Governance

8.5Normen und Standards für Data Governance

8.5.1Data Governance nach DAMA-DMBOK

8.5.1.1Der »Data Management Body of Knowledge«

8.5.1.2Zielsetzung und Prinzipien von Data Governance

8.5.1.3Data Governance und Datenmanagement

8.5.1.4Prozess der Data Governance

8.5.1.5Akteure der Data Governance

8.5.1.6Bewertung des DAMA-DMBOK

8.5.2Data Governance nach COBIT 2019

8.5.2.1Managementziel APO14

8.5.2.2Governance-Ziel EDM04

8.5.2.3Bewertung von COBIT 2019

8.5.3Data Governance nach ISO/IEC 38505-1 und -2

8.5.3.1ISO/IEC 38505-1

8.5.3.2ISO/IEC 38505-2

8.6Handlungsempfehlungen

9Standards und Normen der IT-Governance

9.1Frameworks, Standards und Normen

9.1.1Zur Begrifflichkeit

9.1.1.1Standard

9.1.1.2Norm

9.1.1.3Framework

9.1.2Normungsorganisationen

9.1.3Allgemeiner Nutzen aus IT-Normen und -Standards

9.2Für IT-Governance relevante IT-Normen

9.2.1Die Normenreihe ISO/IEC 3850x

9.2.2Die Norm ISO/IEC 27014

9.3COBIT 2019 als Standard für die IT-Governance

9.3.1Struktur der COBIT-Dokumente

9.3.2IT-Governance-System nach COBIT 2019

9.3.3IT-Governance und IT-Managementziele

9.3.4IT-Prozesse

9.3.5Zielkaskade

9.4Handlungsempfehlungen

Anhang

AAbkürzungen

BLiteraturverzeichnis

Index

1Grundlagen der IT-Governance

Ausblick

IT-Governance ist einerseits Teil der Corporate Governance und besteht – andererseits – aus einer Vielzahl an Handlungsfeldern, Zielen und Zwecken sowie inhaltlichen, strukturellen, personellen und instrumentellen Elementen. Diese gilt es zu einem konsistenten und ganzheitlichen Ordnungsrahmen für die IT zusammenzufügen. Aus diesem Grunde beginnen die Ausführungen mit der Darstellung des Governance-Begriffs und des Zusammenhangs zwischen Corporate Governance und IT-Governance. Ein klares Verständnis von IT-Governance wird als Voraussetzung für ihre Gestaltung angesehen. Daher werden verschiedene Ansätze der IT-Governance aus der Literatur ebenso wie das Verständnis von IT-Governance in Normen und Standards dargestellt. Insbesondere wird das Augenmerk auf die Unterscheidung von IT-Governance und IT-Management bzw. auf die Schnittstelle gelegt. Basierend hierauf werden das in diesem Buch zugrunde gelegte Begriffsverständnis und elf Prinzipien für IT-Governance entwickelt. Daraus lassen sich Handlungsfelder der IT-Governance, die in den weiteren Kapiteln diskutiert werden, ableiten. Für die betrachteten Handlungsfelder wird ein kurzer Ausblick gegeben.

1.1Entwicklung der Corporate Governance

Herkunft des Governance-Begriffs

Das Wort »Governance« geht zurück auf das griechische Wort »kybernétes« (Steuermann) bzw. das lateinische Verb »gubernare« (steuern, herrschen) bzw. »gubernantia« (Steuerung, Leitung)« (nach [Klenk 2019], S. 153). In seiner aktuellen Verwendung wurde der Begriff »Governance« in den Sozialwissenschaften, insbesondere von der Politikwissenschaft, eingeführt. Obwohl er recht verbreitet ist und das Governance-Konzept einen häufig verwendeten Theorieansatz darstellt, hat sich bislang kein allgemein anerkanntes Verständnis herausgebildet – Governance ist vielmehr ein »anerkannt uneindeutiger Begriff« ([Bohne 2018], S. 123).

Good Governance

In der Politik bildet »Good Governance« einen »Sammelbegriff für Best Practices im Bereich des Regierungshandelns« [Klein 2018]. Der Begriff zielt u.a. auf einen effizienten öffentlichen Sektor, ein zuverlässiges Rechtssystem, eine der Öffentlichkeit rechenschaftspflichtige und transparente Verwaltung sowie weitere Aspekte wie z.B. die Unterbindung von Korruption ab (vgl. [Klein 2018]). Sie zeichnet sich also – und das gilt nicht nur für Governance in der Politik – durch Kriterien wie Legitimität, Nachvollziehbarkeit, Transparenz, Effizienz und Regelorientierung aus.

Governance-Forschung

Die Governance-Forschung richtet sich auf Handlungen (also Regieren, Steuern, Koordinieren etc.) von staatlichen, gesellschaftlichen und wirtschaftlichen Akteuren, die in Netzwerken interagieren (vgl. [Bohne 2018], S. 23 ff. u. S. 138 ff.). Im Vordergrund stehen nicht mehr singuläre Steuerungsaktivitäten staatlicher Akteure, sondern das abgestimmte Zusammenwirken verschiedener betroffener Akteure über mehrere Ebenen hinweg (z.B. national, international, transnational). Betrachtet wird dementsprechend der Prozess, durch den kontroverse oder unterschiedliche Interessen ausgeglichen und kooperatives Handeln initiiert werden kann. Hiermit angesprochene Aspekte wie Interessenausgleich, Konfliktmanagement und Koordination des Zusammenwirkens in Organisationen und Netzwerken sind sowohl für die »Corporate Governance« als auch für die »IT-Governance« von Bedeutung.

Corporate Governance

Der Begriff »Corporate Governance« entstammt der seit Anfang der 1990er-Jahre geführten angelsächsischen Diskussion um eine effektive Unternehmensleitung und -überwachung. Eine deutsche Übersetzung für »Corporate Governance« existiert nicht, sodass die Bezeichnung mittlerweile als eigenständiger Begriff Eingang in die hiesige Fachdiskussion und -literatur (siehe beispielsweise [Stiglbauer 2010], [Paetzmann 2012], [Hilb 2016], [Welge & Eulereich 2021]) gefunden hat. Adressiert werden letztlich Unternehmen aller Größenordnungen und Branchen, wobei sich die wissenschaftliche Betrachtung jedoch vor allem auf börsennotierte Publikumsgesellschaften bzw. kapitalmarktorientierte Unternehmen richtet (nach [Hilb 2016], S. 48). Mitunter wird der Begriff der Unternehmensverfassung als Übersetzung angeboten. Allerdings gehen Governance-Überlegungen deutlich über die teilweise gesetzlich vorgegebenen und damit eher starren konstitutiven Strukturregelungen einer Unternehmensverfassung hinaus und haben eine deutlich flexiblere Leitung und Überwachung des Unternehmens zum Ziel (vgl. [Stiglbauer 2010], S. 14 f.).

Skandale als Treiber

In die Öffentlichkeit gelangte die Governance-Thematik ab Mitte der 1990er-Jahre durch spektakuläre Bilanzfälschungen (beispielsweise der Firmen Enron und Worldcom in den USA, Flowtex in Deutschland) bzw. Unternehmenskrisen (von Metallgesellschaft und Phillip Holzmann über Volkswagen bis hin zum aktuellen Fall von Wirecard). Missmanagement und Betrugsfälle werfen seitdem Fragen bezüglich der Effektivität von Steuerungs- und Planungssystemen, Kontroll- und Risikomanagementsystemen, Interner Revision und externer Prüfung auf. Hierbei gerät auch die Rolle der Verantwortungsträger in den Leitungsorganen in den Fokus – häufig in Verbindung mit ihnen gewährten, vermeintlich zu hohen Gehalts-, Prämien- oder Abfindungszahlungen.

G20/OECD-Grundsätze

In der internationalen Diskussion um Corporate Governance sind vor allem die Corporate-Governance-Grundsätze der OECD (Organisation for Economic Cooperation and Development) von nachhaltiger Wirkung gewesen. Diese von der OECD erstmals im Jahr 1999 aufgestellten Grundsätze waren in vielen Staaten ein Initiator für Reformen von Governance-Regularien. In der aktuellen Version von 2015 wurden die Grundsätze in die Kernstandards für solide Finanzsysteme des Finanzstabilitätsrats aufgenommen und von der G20, der Gruppe der wichtigsten Industrie- und Schwellenländer, gebilligt. Nach dem Verständnis von G20/OECD richtet sich Corporate Governance auf das »Geflecht der Beziehungen zwischen der Geschäftsführung eines Unternehmens, seinem Aufsichtsorgan (Board), seinen Aktionären und anderen Unternehmensbeteiligten (Stakeholdern)« sowie auf »den strukturellen Rahmen für die Festlegung der Unternehmensziele, die Identifizierung der Mittel und Wege zu ihrer Umsetzung und die Modalitäten der Erfolgskontrolle« ([OECD 2015], S. 9).

Deutscher Corporate Governance KodexDCGK-Definition

Die Corporate-Governance-Grundsätze der OECD fanden in Deutschland im Rahmen des »Deutschen Corporate Governance Kodex« (DCGK) Berücksichtigung. Erstellt wurde der DCGK durch die 2001 einberufene »Regierungskommission Deutscher Corporate Governance Kodex«. Die erste Fassung des Kodex wurde 2002 vorgelegt. Seitdem finden jährliche Überprüfungen und ggf. Anpassungen statt. Ein grundlegendes Verständnis von Corporate Governance und die Zielsetzung des DCGK sind in seiner Präambel enthalten:

Bemerkenswert ist, dass in dieser im Vergleich zur OECD weiteren Fassung mit Belegschaft und Mitarbeitern sowie der Öffentlichkeit deutlich mehr Akteure in den Kreis der Stakeholder einbezogen werden – Corporate Governance also durchaus auch eine gesellschaftliche Perspektive einschließt (vgl. [Kreipl 2020], 37 ff.).

Entsprechenserklärung nach § 161 AktG

Der Kodex beschreibt in weiten Teilen geltende gesetzliche Regelungen. Er enthält zudem Empfehlungen und Anregungen. Folgen die betroffenen Unternehmen den Empfehlungen nicht, müssen sie ihre Abweichungen nach § 161 AktG offenlegen und begründen (Comply or Explain). Diese Darstellungen sind auf der Internetseite der Unternehmen zu publizieren. An dieser Stelle bzw. im Umfeld der Entsprechenserklärung finden sich Aussagen des Unternehmens zu seinem Verständnis von Corporate Governance (siehe die Beispiele in Tab. 1–1).

Unternehmen

Aussagen zur Corporate Governance

Deutsche Bank AG

»Wirkungsvolle Corporate Governance Strukturen, die höchsten internationalen Standards entsprechen, sind Teil unseres Selbstverständnisses. Durch diese stellen wir eine verantwortungsbewusste, auf nachhaltige Wertschöpfung ausgerichtete Leitung und Kontrolle der Bank sicher. Unsere Corporate Governance Strukturen beruhen auf vier wichtigen Säulen: Gute Beziehungen zu den Aktionären, eine effektive Zusammenarbeit von Vorstand und Aufsichtsrat, ein leistungsorientiertes Vergütungssystem für Führungskräfte und Mitarbeiter sowie eine transparente und frühzeitige Rechnungslegung.« [Deutsche Bank 2022]

Lufthansa AG

»Corporate Governance kommt bei Lufthansa zum Ausdruck durch eine verantwortungsbewusste und auf nachhaltige Wertschöpfung ausgerichtete Unternehmensleitung und -kontrolle, die hohen internationalen Standards entspricht. Sie ist von zentraler Bedeutung für erhöhte Transparenz gegenüber Aktionären und die kontinuierliche Steigerung des Vertrauens in die Unternehmensführung. Das deutsche Aktiengesetz und der Deutsche Corporate Governance Kodex sind dabei wesentliche Grundlagen.« [Lufthansa 2021]

Volkswagen AG

»Corporate Governance bezeichnet die verantwortungsvolle, transparente und auf langfristige Wertschöpfung ausgelegte Leitung und Überwachung von Unternehmen. Eine gute Corporate Governance bildet die Basis für nachhaltigen Erfolg und ist für uns zugleich eine wichtige Voraussetzung, um das Vertrauen unserer Stakeholder in unsere Arbeit zu stärken.« [VW 2021]

Tab. 1–1Beispiele für Aussagen zur Corporate Governance

Definition des Cadbury Report

Neben den G20/OECD-Grundsätzen zur Corporate Governance finden zahlreiche nationale Reports in der Literatur Erwähnung. Der wohl am häufigsten zitierte Bericht ist der sogenannte »Cadbury Report«. Benannt ist er nach Sir Adrian Cadbury, dem Leiter einer Arbeitsgruppe, die sich mit der Verbesserung der Corporate Governance in der britischen Wirtschaft befasste. Die Ergebnisse der Arbeitsgruppe wurden 1992 als »Report of the Committee on the Financial Aspects of Corporate Governance« vorgelegt. In dem Bericht findet sich die knappe Definition von Corporate Governance, die seitdem häufig zitiert wird und in verschiedene Normen und Standards Eingang gefunden hat ([TC 1992], Ziff. 2.5):

Diese Definition wurde 16 Jahre später, im Jahr 2008, von der Norm ISO/IEC 38500, die auf die Governance der Unternehmens-IT abzielt, übernommen. Im folgenden Abschnitt werden Definitionen und Konzepte von IT-Governance dargestellt und diskutiert, die zum Teil an das dargestellte Corporate-Governance-Verständnis anknüpfen.

1.2Definitionen für IT-Governance

Aufkommen des Begriffs »IT-Governance«

Während der Begriff »IT-Governance« in der Literatur erst Mitte der 1990er-Jahre Eingang fand und erst nach 2005 im deutschsprachigen Raum an Bedeutung gewann, gab es bereits seit den 1970er-Jahren eine Reihe von Studien zu verwandten Konzepten und Fragestellungen, wie zum Beispiel der Kontrolle und Organisation von Informationssystemen (vgl. [Gregory et al. 2018], S. 1227; [Schwertsik 2013], S. 20). Insofern handelte es sich zwar um einen neuen Begriff – die betrachteten Fragestellungen waren allerdings nicht vollkommen neu.

Frühe Definition

Eine frühe Definition, die breite Beachtung fand, stammt vom IT Governance Institute (ITGI), einer Tochterorganisation der Information Systems Audit and Control Association (ISACA). Der in Bezug auf IT-Governance einflussreichste Wissenschaftler dürfte Peter Weill von der Sloan School of Management des Massachusetts Institute of Technology (MIT) sein. Er hat wesentliche Konzepte und Modelle der IT-Governance entwickelt und die Diskussion geprägt. In Europa sind es die Arbeiten von Wim Van Grembergen und Steven De Haes von der Universität Antwerpen, die großen Einfluss auf die Weiterentwicklung der IT-Governance haben. Tabelle 1–2 zeigt verschiedene einschlägige Definitionen im Überblick.1

Autor/Institution

Jahr

Definition

ITGI

2001

»IT-Governance is the responsibility of the board of directors and executive management. It is an integral part of enterprise governance and consists of the leadership and organisational structures and processes that ensure that the organisation’s IT sustains and extends the organisation’s strategies and objectives.« ([ITGI 2001], S. 9)

Weill/Woodham

2002

»We define IT governance as specifying the decision rights and accountability framework to encourage desirable behavior in the use of IT.« ([Weill & Woodham 2002], S. 1)

Meyer/Zarnekow/Kolbe

2003

»Unter IT-Governance werden Grundsätze, Verfahren und Maßnahmen zusammengefasst, die sicherstellen, dass mit Hilfe der eingesetzten IT die Geschäftsziele abgedeckt, Ressourcen verantwortungsvoll eingesetzt und Risiken angemessen überwacht werden.« ([Meyer et al. 2003], S. 445)

Van Grembergen/De Haes/Guldentops

2004

IT-Governance is »the organisational capacity exercised by the Board, executive management and IT management to control the formulation and implementation of IT strategy and in this way ensure the fusion of business and IT«. ([Van Grembergen et al. 2004], S. 5)

ISO/IEC

2015

»The system by which the current and future use of IT is directed and controlled. […] Governance of IT is a component or a subset of organizational governance.« ([ISO/IEC 38500], S. 2)

De Haes/Van Grembergen/Joshi/Huygh

2020

»Enterprise Governance of IT (EGIT) is an integral part of corporate governance for which, as such, the board is accountable. It involves the definition and implementation of processes, structures, and relational mechanisms that enable both business and IT stakeholders to execute their responsibilities in support of business/IT alignment, and the creation and protection of IT business value.« ([De Haes et al. 2020a], S. 3)

Tab. 1–2Definitionen für IT-Governance

Wie zu erkennen ist, divergieren die Definitionen nach Umfang und Inhalten des als »IT-Governance« bezeichneten Themenfeldes (vgl. auch [Johannsen & Goeken 2011], S. 22).

ITGI

Die Definition des ITGI stellt neben der Führungsverantwortung die Aufbau- und die Prozessorganisation in den Vordergrund. Diese bilden die Grundlage dafür, dass die IT die Ziele und Strategien des Unternehmens unterstützen und erweitern kann.

Weill/Woodham

Die am von Peter Weill geleiteten Center for Information Systems Research (CISR) zugrunde gelegte Definition von IT-Governance fokussiert die Entscheidungs- und Verantwortungsstruktur in Bezug auf die Nutzung von IT. Die Definition und insbesondere das IT-Governance-Modell von Weill et al. werden in

Abschnitt 1.3

näher betrachtet.

Meyer, Zarnekow, Kolbe

In ihrer Diskussion des Schlagwortes »IT-Governance« weiten Meyer, Zarnekow und Kolbe die Sichtweise von strukturellen Überlegungen in Form von Verfahren auf Grundsätze und Maßnahmen aus, damit die IT das Erreichen der Unternehmensziele unterstützt. Weiterhin bringen sie die zu nutzenden IT-Ressourcen sowie eine Risikosicht ins Spiel. Der Umgang mit Risiken, die sich aus der IT-Unterstützung der Geschäftsprozesse ergeben, stellt einen »der Kernbereiche der IT-Governance« dar (

[Meyer et al. 2003]

, S. 448).

Van Grembergen

In dieser, erstmals im Jahr 2002 veröffentlichten Definition von Van Grembergen werden das Aufsichtsorgan, die Unternehmensleitung und das IT-Management als die wesentlichen Akteure der IT-Governance explizit benannt. Deren Fokus soll die Formulierung und Implementierung einer IT-Strategie sein, die die Verzahnung von Geschäftsseite und IT sicherstellt.

ISO/IEC 38500

Die Definition der ISO/IEC 38500:2015 stellt ebenso wie das ITGI heraus, dass IT-Governance einen (funktionsspezifischen) Teilbereich der Corporate Governance darstellt. Ausdrücklich wird in dieser Definition darauf hingewiesen, dass sich Steuerung und Überwachung sowohl auf die im Unternehmen aktuell eingesetzte als auch auf die künftig einzusetzende IT richten müssen. Das Modell nach ISO/IEC 38500 wird in

Abschnitt 1.4

ausführlicher dargestellt.

De Haes et al.

De Haes et al. sehen IT-Governance ebenfalls als Aufgabe der Unternehmensleitung und orientieren sich am Stakeholder-Konzept der Corporate Governance. Weiterhin wird hier wie in der Definition des ITGI die strategische Ausrichtung (»Alignment«) der IT am Business im Sinne der Unterstützung von Unternehmenszielen und -strategien und dem daraus folgenden Wertbeitrag der IT hervorgehoben. Eine Besonderheit dieser Definition ist, dass sie konkrete sogenannte »Governance-Mechanismen« benennt, die zur Ausgestaltung einer IT-Governance zum Einsatz kommen. Der EGIT-Ansatz von De Haes und Van Grembergen ist Gegenstand von

Abschnitt 1.6

.

Nach der Darstellung von vier prominenten IT-Governance-Konzepten in den folgenden Unterkapiteln greifen wir die Definitionen zur Begründung des in diesem Buch vertretenen Verständnisses von IT-Governance wieder auf.

1.3IT-Governance nach Weill et al.

Wie sich in der Definition oben bereits zeigte, stehen bei Weill und Woodham bzw. Ross Entscheidungsrechte und Rechenschaftspflichten im Mittelpunkt (»decision rights and accountability framework«). Einfach ausgedrückt: »Governance determines who makes the decisions« ([Weill & Ross 2004a], S. 8). Hieran anknüpfend grenzen sie IT-Governance und IT-Management voneinander ab: »IT governance is not about making specific IT decisions – management does that – but rather determines who systematically makes and contributes to those decisions« ([Weill & Ross 2004a], S. 2)

In ihrem Ansatz beschreiben sie, dass für eine effektive IT-Governance festgelegt werden muss, was in Bezug auf die IT geregelt werden soll. Darüber hinaus sind die Entscheidungsstrukturen und die Verantwortungsteilung zu definieren, d.h., wer trifft die Entscheidungen und wie wird diese getroffen sowie überwacht (siehe auch [Schwertsik 2013], S. 31 ff.; [Beetz 2014], S. 3 ff. u. S. 17 ff.).

Governance-Arrangement-Matrix

Dementsprechend ist in den Arbeiten von Weill et al. die sogenannte »Governance-Arrangement-Matrix«, die die genannten Aspekte kombiniert, von zentraler Bedeutung (Tab. 1–3):

»IT-Decisions« bzw. »Decision Domains«

»IT-Decisions« bzw. »Decision Domains« sind Themenbereiche, die mit Blick auf die IT-Governance besondere Relevanz besitzen, beispielsweise die IT-Architektur oder IT-Investitionen. Sie beantworten die Frage, für welche Sachverhalte und Gegenstände Entscheidungen zu treffen sind.

»Archetypes«

»Archetypes« sind Muster bzw. Ausprägungen der Verantwortungsteilung zwischen IT- und der Geschäftsseite. Sie beschreiben mögliche Zuordnungen von Entscheidungsrechten und Rechenschaftspflichten. Die jeweilige Ausprägung beantwortet somit die Frage, von wem eine bestimmte Entscheidung getroffen wird. Bei der Benennung der Archetypen orientieren sich Weill et al. anschaulich an Regierungsformen bzw. Formen des Staatsaufbaus.

Im Folgenden wird das Modell näher erläutert.

Tab. 1–3Governance-Arrangement-Matrix ([Weill & Ross 2004a], S. 11)

Archetypen

Die Ausprägungen der Archetypen ergeben sich daraus, welche Führungskräfte bzw. Bereiche in Entscheidungen einbezogen sind (Tab. 1–4). Sie sind jeweils nach dem Grad der Zentralität bzw. Dezentralität und der Frage, wie stark die Verantwortung bei den geschäftlichen Bereichen bzw. der IT-Einheit liegt, geordnet (absteigend).

Zentrale Modelle

Bei einer »Monarchy« werden Entscheidungen zentralisiert getroffen – entweder von den obersten Führungskräften oder der IT-Leitung. In der feudalen Ordnung werden die Entscheidungen hingegen von den Leitern der Business Units (BU), Geschäfts- oder Zentralbereiche dezentral und eigenverantwortlich getroffen, sodass hier die lokalen Bedarfe im Vordergrund stehen und unternehmensweite Synergien entsprechend von nachrangiger Bedeutung sind.

Tab. 1–4»Key Players« der IT-Governance-Archetypen ([Weill & Ross 2004a], S. 60)

Dezentrale Modelle

Während bei den ersten drei Archetypen eine Partei allein entscheidet, ist ab dem föderalen Modell (»Federal«) ein abgestimmtes Zusammenwirken verschiedener betroffener Akteure über Ebenen hinweg gegeben. Entweder sind dies die obersten Führungskräfte zusammen mit den Leitern der Business Units, Geschäfts- oder Zentralbereichen; ggf. wird dabei die IT-Leitung einbezogen. Oder die Unternehmens-IT hat genau einen Counterpart (»IT Duopoly«). Ein Duopol unterscheidet sich also von einem föderalen Modell dadurch, dass in Letzterem immer sowohl die Fachseite als auch lokale Organisationseinheiten (BU/Fachbereiche) vertreten sind, während in einem Duopol entweder die eine oder die andere, nicht aber beide vertreten sind und immer auch IT-Fachleute einbezogen werden. Beim Duopol sitzen also Führungskräfte der IT immer »mit am Tisch«.

Vor allem im föderalen Modell ist das Ausbalancieren der Interessen der vielen beteiligten und formal gleichberechtigten BU/Fachbereiche eine wesentliche Herausforderung. Hier besteht die Gefahr, dass ein großer Fachbereich die anderen dominiert. Die Notwendigkeit, einen angemessenen Ausgleich herbeizuführen, ist in den dezentraleren Varianten in abgeschwächter Form ebenfalls gegeben. Gleichzeitig ermöglichen sie – vor allem im Vergleich mit dem föderalen Modell – die Identifizierung von Synergiepotenzialen. Insbesondere Duopole haben im Vergleich zu feudalen Modellen den Vorteil, dass die zentrale IT-Gruppe oft eine der wenigen Gruppen ist, die – mit Blick auf Technologienutzung – die Organisation als Ganzes sieht und nach Möglichkeiten für die gemeinsame Nutzung und Wiederverwendung von Ressourcen suchen kann (vgl. [Weill & Ross 2004a], S. 63).

Anarchie

Der Fall der Anarchie ist der Tendenz nach von der Abwesenheit einer Governance gekennzeichnet und wird daher im Folgenden nicht weiter betrachtet.

Das Nebeneinander verschiedener Entscheidungsstrukturen

Weill und Ross beschreiben konkrete Ausgestaltungen unter anderem anhand von Fallbeispielen aus Unternehmen, deren IT-Governance sie untersucht haben. Dabei zeigt sich eine gewisse Vielgestaltigkeit, zum Beispiel darin, dass im Falle einer IT-Monarchie in manchen Organisationen von vielen IT-Führungskräften gemeinsam entschieden wird (Führungskräfte der Unternehmens-IT und IT der Business Units bilden ein »IT Governance Committee«), in anderen hingegen nur wenige Führungskräfte involviert sind. Nichtsdestotrotz lässt sich für die verschiedenen Fälle jeweils ein dominierendes Muster identifizieren (vgl. [Weill & Ross 2004a], S. 58 ff.).

Die genannten Archetypen sind nicht für sämtliche die IT betreffenden Themen und Inhalte von Relevanz. Vielmehr sind lt. Weill und Ross fünf Entscheidungsdomänen – im Sinne von Entscheidungsbereichen der IT-Governance – besonders einschlägig und geeignet, die IT-Governance zu erfassen (vgl. [Weill & Ross 2004a], S. 27 ff.):

Entscheidungsdomänen der IT-Governance

IT-Prinzipien sind Grundsatzentscheidungen bezüglich der strategischen Rolle der IT in der Organisation. Sie betreffen die Finanzierung der IT-Organisation sowie die Frage, wie die Prinzipien und Ziele der Geschäfts- bzw. Fachbereiche in IT-Ziele/Prinzipien umgesetzt werden.

In der Entscheidungsdomäne »IT-Architektur« werden Anforderungen an die Integration und Standardisierung definiert. Dies beinhaltet Grundsatzentscheidungen bezüglich der Architektur, also Entscheidungen und Regeln, die die technologische Basis für die Standardisierung der realisierten IT-Services sowie andere technologische Fragen betreffen.

IT-Infrastruktur bezieht sich auf gemeinsam genutzte (technische) IT-Services und definiert Verantwortlichkeiten für diese, d.h., welche IT-Services die Grundlage für die unternehmensweiten IT-Fähigkeiten bilden sollen, welche kritisch sind, welche selbst erstellt bzw. von extern bezogen werden und wer für sie verantwortlich ist.

In der Entscheidungsdomäne »Business Application Needs« (Geschäftsanforderungen) werden die fachlichen Bedarfe und Anforderungen für eigenentwickelte oder fremdbezogene Anwendungssysteme spezifiziert. Vor dem Hintergrund der Unternehmensziele dient die vorzunehmende Priorisierung, also die Entscheidung darüber, welche Bedarfe wann adressiert werden sollen, der Definition funktionaler und nicht funktionaler Anforderungen an aktuelle oder zukünftige Anwendungssysteme. Dabei können auch Ausnahmen von Architekturrichtlinien beschlossen werden.

Bei der letzten Domäne geht es um finanzielle Aspekte von IT-Investitionen. Diese betreffen den gesamten Entscheidungsprozess bei IT-Investitionen, also die Ermittlung, Priorisierung und die Auswahl der Schwerpunkte für IT-Investitionen, und beschreiben die Verfahren für die Beantragung, Priorisierung sowie Genehmigung von Projektvorschlägen etc. (vgl.

[Weill & Ross 2004a]

). Offensichtlich sind hier viele Schnittstellen zu den anderen Domänen zu beachten, da die finanziellen Aspekte auch die Priorisierung mit Blick auf Infrastruktur und Anwendungssysteme tangieren. Die Berührungspunkte und Schnittstellen von IT-Controlling (insbesondere Budgetierung) und Programm- bzw. Portfoliomanagement werden hier deutlich erkennbar.

Parallelität

Wie dargestellt können Governance-Arrangements von eher zentralen Ansätzen (vor allem Monarchien) bis hin zu eher dezentralen Ansätzen (vor allem feudale Formen) reichen, wobei föderale und einige Duopol-Formen zwischen diesen beiden Varianten liegen. Dabei wird in der Regel für die jeweiligen Entscheidungsdomänen eine jeweils unternehmensindividuelle Verteilung der Entscheidungsrechte vorgenommen. Innerhalb einer Organisation können dementsprechend gleichzeitig verschiedene Entscheidungsformen (Archetypen) parallel für unterschiedliche Domänen vorliegen (vgl. [Schwertsik 2013], S. 35).

Einbeziehung der Business Units

IT-Prinzipien, Geschäftsanforderungen und IT-Investitionen sind die geschäftsorientierten Entscheidungen, bei denen in den meisten Organisationen solche Archetypen gewählt werden, die eine Involvierung der Business Units/Fachbereiche oder der oberen Führungskräfte sicherstellen. Hingegen sind die eher technischen Entscheidungen (IT-Architektur und Infrastruktur) häufig in der Hand der IT (IT-Monarchie) bzw. die Beteiligung der IT ist sichergestellt (föderales Modell) (vgl. [Weill & Ross 2004a], S. 64 ff.).

»Governance on one page«

Weill und Ross bezeichnen die oben dargestellte »Governance-Arrangement-Matrix« auch als »one-page framework«, das die IT-Governance einer Organisation knapp und anschaulich darstellt (»Governance on one page«). Ihre Anwendung erfolgt, indem man für eine konkrete Organisation für jede Domäne die definierte oder faktisch gegebene (»gelebte«) Verantwortungsteilung oder -zuordnung gemäß den Archetypen markiert. Dies ermöglicht es zu spezifizieren, zu analysieren und zu kommunizieren, wo IT-Entscheidungen getroffen werden (vgl. [Weill & Ross 2004b]).

Empirische Erkenntnisse

In einer breit angelegten Untersuchung von fast 300 Unternehmen haben Weill et al. Muster identifiziert, die in besonders erfolgreichen Organisationen anzutreffen sind. Erfolg wird anhand von betriebswirtschaftlichen Kennzahlen gemessen. Es werden drei Performance-Strategien unterschieden:

Performance-Strategien

Profit

Gewinn-(Profit-)Orientierung, gemessen an der Eigenkapitalrendite (ROE), dem Return on Investment (ROI) und der Gewinnspanne in Prozent.

Asset Utilization

Effizienz der Nutzung aller Vermögensgegenstände, gemessen mit der Gesamtkapitalrentabilität (Return on Assets (ROA)).

Growth

Wachstum, gemessen an Umsatzsteigerungen (in Prozent), also Umsatzwachstum.

Erfolgreiche Kombinationen und Ausprägunge

Besonders erfolgreiche Organisationen untersuchten sie daraufhin, welche Entscheidungsbereiche mit welchen Archetypen assoziiert sind. Die identifizierten Muster sind in Tabelle 1–5 dargestellt.

Tab. 1–5Erfolgreiche IT-Governance-Arrangements (»Governance Lessons from Top Performers«) (nach [Weill & Ross 2004b], S. 8; [Schwertsik 2013], S. 35)

Dabei finden sich bei Organisationen mit

Gewinn-/Profit-Orientierung

der Tendenz nach eher zentrale Archetypen, d.h., es stehen Effizienz durch Standardisierung, Synergien und Kosteneffizienz im Vordergrund, was eher durch zentralisierte Muster in Unternehmen und Betrieben umgesetzt werden kann.

Organisationen, die

wachstumsorientiert

sind, erreichen dies durch lokale Optimierung und lokale Innovationen. Wachstum wird hier dadurch unterstützt, dass auf lokale Besonderheiten Rücksicht genommen werden kann, was mit dezentralen Governance-Archetypen einhergeht.

Die Strategie in der Mitte (

Nutzung von Anlagegütern

) ist hingegen eine Mischung, die durch gemeinsame Koordination in Duopolen am besten realisiert werden kann.

Der Tendenz nach ist erkennbar, dass Zentralisierung Kontrolle, Effizienz und Zuverlässigkeit bei der Nutzung von IT-Ressourcen ermöglicht, während Flexibilität, Innovation und Reaktionsfähigkeit auf sich ändernde Anforderungen eher durch Dezentralisierung gefördert wird.

Dominanz der Struktursicht

Zwar beziehen Weill et al. auch das Business/IT-Alignment und Kommunikationsmechanismen in ihren Ansatz ein (vgl. [Weill & Ross, 2004a], S. 97 ff. sowie Abschnitt 2.6.2); im Wesentlichen dominiert jedoch die strukturorientierte Sicht auf die IT-Governance. Er ist gewiss einer der weitverbreitetsten Ansätze in diesem Bereich und insofern eine Pionierarbeit. Die anschauliche Darstellung der groben Muster, die die Zuordnung von Entscheidungsrechten und die Verantwortungsteilung deutlich machen, bietet einen guten Einstieg in die strukturelle Perspektive der IT-Governance und für die Beschreibung von organisationsspezifischen Ausgestaltungen in der Praxis.

Kritik

Gleichwohl bleiben einige der verwendeten Konzepte etwas vage (die Vielgestaltigkeit der Archetypen wurde oben bereits angesprochen). Darüber hinaus wird nicht deutlich, ob Weill et al. die Entscheidungsbereiche als so generisch ansehen, dass sie eher unveränderlich sind, oder ob sie davon ausgehen, dass sie mit der Veränderung von IT-Organisationen, Technologien und Konzepten sowie sich wandelnden Schwerpunktsetzungen in der IT anzupassen wären – beispielsweise ob gewisse Themen wie Cloud Computing, Cybersecurity und digitale Transformation ggf. die Neubegründung von Entscheidungsdomänen rechtfertigen (den Verfassern sind in dieser Hinsicht keine Weiterentwicklungen durch Weill et al. bekannt). Etwas zu kurz kommt bei Weill et al. die Betrachtung von Governance-Mechanismen, die sich nicht auf die Struktur im Sinne der Entscheidungsfindung und Verantwortungsteilung beziehen. In jüngeren Ansätzen – und entsprechend in den folgenden Abschnitten – werden diese mit Blick auf eine ganzheitliche Governance der Unternehmens-IT intensiver betrachtet und einbezogen.

1.4IT-Governance nach der ISO/IEC 38500

ISO/IEC 38500 – die IT-Governance-Norm

Die erstmals im Juni 2008 publizierte Norm »ISO/IEC 38500:2008 Corporate governance of information technology« resultierte aus der australischen Norm »AS8015:2005 Corporate governance of information and communication technology«, die im sogenannten »Fast Track«-Verfahren übernommen worden war. Mittlerweile liegt die ISO/IEC 38500 in der zweiten Ausgabe vom 15. Februar 2015 vor und wird derzeit überarbeitet. Gegenüber der ersten Version trägt sie den veränderten Titel »Information technology – Governance of IT for the organization«.

Grundlegende Ausrichtung und Ziele

Die ISO/IEC 38500 zielt auf einen effektiven, effizienten und den Erwartungen der Stakeholder entsprechenden Einsatz der IT. Vor allem soll das Vertrauen der Stakeholder in die Governance der IT gestärkt werden. Für die Unternehmensleitung bietet die Norm eine Orientierung, wie sie ihrer Governance-Verantwortung für IT gerecht werden kann (nach [Klotz 2016b], S. 18). Die Norm versteht sich selbst als »principles-based advisory standard«. Demgemäß werden im Rahmen von sechs Prinzipien verschiedene Zielsetzungen guter IT-Governance (siehe Tab. 1–6) postuliert.

Nr.

Prinzip

Inhalt

1

Verantwortlichkeit(responsibility)

▪ Kenntnis und Akzeptanz der Verantwortlichkeiten für IT-Nachfrage und -Angebot

▪ Verteilung verantwortungsadäquater Befugnisse

2

Strategie(strategy)

▪ Berücksichtigung der aktuellen und künftigen Potenziale der IT im Rahmen der strategischen Planung

▪ Ausrichtung des IT-Einsatzes an der Unternehmensstrategie

3

Beschaffung(acquisition)

▪ Transparenz und Fundierung von IT-Beschaffungen

▪ Kurz- und langfristige Ausgewogenheit von Nutzen und Kosten, Chancen und Risiken von IT-Beschaffungen

4

Performanz(performance)

▪ Verfügbarkeit von IT-Services entsprechend den aktuellen und künftigen Leistungs- und Qualitätsanforderungen der Geschäftsbereiche

5

Konformität(conformance)

▪ Konformität der IT mit verpflichtenden gesetzlichen und regulatorischen Vorgaben

▪ Definierte, implementierte und durchgesetzte Richtlinien und Verfahren

6

Verhalten(human behaviour)

▪ IT-Richtlinien, -Verfahren und -Entscheidungen berücksichtigen Verhaltensweisen sowie aktuelle und künftige Bedürfnisse aller Personen, die in die IT-Nutzung involviert sind

Tab. 1–6Prinzipien der IT-Governance nach der ISO/IEC 38500:2015 (nach [Klotz 2016b], S. 19; vgl. [ISO/IEC 38500], S. 5 f.)

Grundlegende Governance-Aufgaben

Die sechs Prinzipien werden durch drei grundlegende Governance-Aufgaben (Evaluate, Direct, Monitor), die von der Unternehmensleitung wahrzunehmen sind, ergänzt.

Evaluate

Die Bewertung des aktuellen und künftigen IT-Einsatzes richtet sich einerseits auf die Ergebnisse der Überwachung (Monitor), andererseits auf die seitens der Managementebene erstellten und eingereichten Planungen und Vorschläge sowie interne und/oder externe Liefervereinbarungen. Hierbei sind die Auswirkungen der verschiedenen internen und externen Einflussfaktoren zu berücksichtigen (z.B. technische und soziale Entwicklungen, regulatorische und geschäftliche Anforderungen).

Direct

Kern der Leitungsaufgabe ist die Festlegung von Strategien und Richtlinien zur IT-Nutzung. Zur Umsetzung der Strategien und Richtlinien hat die Unternehmensleitung entsprechende Verantwortlichkeiten an die Managementebene zu delegieren und den Prozess der Umsetzung zu steuern. Mittels der Strategien sind insbesondere die durch IT-Investitionen zu erreichenden Ziele festzulegen, während die Richtlinien eine korrekte Nutzung der IT durch die Mitarbeiter sicherstellen sollen. Für im Rahmen der Bewertung identifizierte Bedarfe ist durch die Leitungsorgane die Entwicklung entsprechender Vorschläge zu initiieren. Im Hinblick auf eine gute Governance-Kultur sind die Führungskräfte der Managementebene durch die Leitungsorgane zu transparenter Information sowie zum Einhalten aller Regelungen zur Steuerung der IT und der sechs Prinzipien der IT-Governance anzuhalten.

Monitor

Die Überwachungsaufgabe der Unternehmensleitung bezieht sich auf die Leistungsüberwachung der IT. Diese erfolgt auf der Basis entsprechender Rückmeldungen aus der Managementebene unter Nutzung geeigneter Messsysteme. Die Überwachung soll die Erreichung der Unternehmensziele, die Übereinstimmung mit den verfolgten Strategien und die Konformität mit Compliance-Verpflichtungen aus gesetzlichen, behördlichen und vertraglichen Vorgaben sowie unternehmensinternen Regelungen sicherstellen (nach [Klotz 2016b], S. 25 ff.; vgl. [ISO/IEC 38500], S. 7 f.).

Trennung von Governance und Management

Mit der Betonung von Governance-Aufgaben folgt die ISO/IEC 38500 der in den OECD-Grundsätzen beschriebenen, auf dem allgemeinen Konzept von Kontrolle und Gegenkontrolle beruhenden Trennung zwischen Governance und Management. Diese bildet in den OECD-Grundsätzen ein durchgängiges Prinzip, das sich in der Unterscheidung zwischen der von der Unternehmensleitung ausgeübten Managementfunktion einerseits und der diesbezüglichen Steuerung und Überwachung durch Aufsichtsgremium und Eigentümer andererseits ausprägt. Für die IT führt dies zu einer expliziten Trennung der IT-Governance von Aufgaben des IT-Managements (siehe Abb. 1–1).

Abb. 1–1IT-Governance nach ISO/IEC 38500:2015 (nach [Klotz 2016b]; vgl. [ISO/IEC 38500], S. 7)

Kombination von Aufgaben und Prinzipien

Die weitere Ausgestaltung der IT-Governance erfolgt in der ISO/IEC 38500 dadurch, dass die drei Governance-Aufgaben für jedes der sechs Prinzipien konkretisiert werden. So entstehen Leitlinien für die Unternehmensleitung, die ihre Verantwortung für IT-Governance umreißen. Die ISO/IEC 38500:2015 versteht diese Aussagen als Startpunkt für eine interne Diskussion darüber, wie die Governance-Verantwortung der Leitungsorgane unternehmensspezifisch auszugestalten ist (vgl. [ISO/IEC 38500], S. 8). So werden beispielsweise dem Strategieprinzip insgesamt sieben Leitlinien zugeordnet (vgl. Tab. 1–7).

Prinzip

Governance-Aufgabe

Strategie (strategy)

▪ Berücksichtigung der aktuellen und künftigen Potenziale der IT im Rahmen der strategischen Planung

▪ Ausrichtung des IT-Einsatzes an der Unternehmensstrategie

Evaluieren

1.Entwicklungen sowohl der IT als auch der Geschäftsprozesse sollten bewertet werden, um die Unterstützung der künftigen Geschäftsanforderungen durch die IT sicherzustellen.

2.Im Rahmen der Prüfung von Plänen und Richtlinien sollten IT-Nutzung und -Maßnahmen bewertet werden, um die Ausrichtung an den Unternehmenszielen und die Erfüllung der Anforderungen wichtiger Stakeholder zu gewährleisten. Hierbei sollten auch bewährte Verfahren berücksichtigt werden.

3.Der IT-Einsatz sollte Gegenstand eines geeigneten Risikomanagements sein.

Richtung vorgeben

4.Die Erstellung und Verwendung von Strategien und Richtlinien sollte dahingehend gesteuert werden, dass das Unternehmen von den Entwicklungen der IT profitiert.

5.Vorschläge für innovativen IT-Einsatz sollten angeregt werden, damit das Unternehmen auf neue Chancen und Herausforderungen reagieren, neue Geschäftspotenziale erschließen oder Prozesse verbessern kann.

Überwachen

6.Der Fortschritt in der Umsetzung genehmigter IT-Vorschläge sollte überwacht werden, um sicherzustellen, dass die Ziele mit den geplanten Ressourcen in der vorgesehenen Zeit erreicht werden.

7.Der IT-Einsatz sollte überwacht werden, um sicherzustellen, dass der beabsichtigte Nutzen realisiert wird.

Tab. 1–7Kombination aus Prinzip und Governance-Aufgaben am Beispiel von Prinzip 2

ISO/IEC 38500 und COBIT

Die drei von der ISO/IEC 38500 formulierten Governance-Aufgaben haben Eingang in das führende IT-Governance- und -Management-Framework »COBIT®« gefunden. Die COBIT-Version von 2012 (COBIT 5) führte die »Unterscheidung zwischen Governance und Management« als eines der grundlegenden Prinzipien für die Governance und das Management der Unternehmens-IT ein. Der wesentliche Beweggrund wurde darin gesehen, dass beide Disziplinen »mit unterschiedlichen Arten von Aktivitäten verbunden« sind, unterschiedliche Organisationsstrukturen erfordern und unterschiedlichen Zwecken dienen (vgl. [ISACA 2012a], S. 16). Im Prozessreferenzmodell von COBIT 5 wirkte sich die Anwendung des Prinzips in der Unterscheidung zwischen Governance- und Managementprozessen aus. Mit ausdrücklicher und erkennbarer Anlehnung an die Konzepte der ISO/IEC 38500 bestehen die Governance-Prozesse nach COBIT 5 »aus Praktiken und Aktivitäten, die darauf ausgelegt sind, strategische Optionen zu evaluieren, die IT-Richtung vorzugeben (die IT zu steuern) und Ergebnisse zu überwachen« ([ISACA 2012b], S. 25). Auch COBIT 5 verwendet für die Benennung der Governance-Domäne bzw. der zugehörigen IT-Governance-Zielsetzungen die drei Begriffe »Evaluate, Direct, Monitor« (abgekürzt »EDM«). Die aktuelle COBIT-Version, COBIT 2019, führt diesen Ansatz fort. Auch hier fordert eines der Prinzipien für ein Governance-System eine klare Unterscheidung zwischen Governance- und Managementstrukturen und Aktivitäten (vgl. [ISACA 2020a], S. 17).

Normenreihe ISO/IEC 3850x

Die ISO/IEC 38500 steht am Anfang einer Normenreihe zu IT-Governance, die auch technische Spezifikationen und technische Reports umfasst. Die verschiedenen Dokumente enthalten Vertiefungen und ergänzende Themen. So wird z.B. das Modell der IT-Governance näher beschrieben und ein Implementierungsleitfaden gibt Empfehlungen zur Einführung von IT-Governance. Data Governance wird in einer eigenen Norm behandelt, die mehrere Teile umfasst. Zudem liegen Normen und Spezifikationen zur Datenklassifikation in Zusammenhang mit Data Governance, zur Bewertung der IT-Governance oder den Folgen des KI-Einsatzes für die IT-Governance vor.2

1.5IT-Governance nach COBIT 2019

COBIT als umfassendes Rahmenwerk (Framework)

COBIT 2019 versteht sich als Framework für die »Governance der unternehmensweiten I&T« (enterprise governance of information and technology – EGIT)« und stellt mit »Information & Technology« nicht nur auf die Informationstechnologie ab.3

»I&T« und »Information Governance«

Während sich im Modell der ISO der Bezug auf das Gesamtunternehmen (»Corporate Governance of IT« bzw. »Governance of IT for the organization«) andeutet, wird von der ISACA eine Ausweitung in eine andere Richtung angestrebt, weg von der (Informations-)Technologie und hin zu Technologie und Information: Die eigentliche Information, also der Rohstoff bzw. das Zwischen- und/oder Endprodukt der Informationsverarbeitung, soll durch diese Namensgebung verstärkt in den Blick genommen werden. Im Zuge dessen wird und wurde vermehrt auch über »Information Governance« als Konzept und Managementansatz nachgedacht (vgl. [Johannsen & Goeken 2017]; [Tallon et al. 2013], beispielsweise auch [Information Governance Initiative o.J.]). Dies scheint sachlogisch, wenn man bedenkt, dass Information als Produktionsfaktor angesehen wird und – so [Broadbent et al. 2003] – Technologie die Verpackung ist: »IT [information technology] does matter, but not because of hardware or even standard commercial software. It is because the intelligent and innovative application of information solves business problems and creates customer value.« Gleichwohl hat »Information Governance« eine eher begrenzte Resonanz in Praxis und Forschung gefunden und auch in COBIT selbst steht die Informationstechnologie nach wie vor im Mittelpunkt.

Organisatorische Aufhängung und Abgrenzung zwischen Governance und Management

Auch für COBIT ist IT-Governance integraler Bestandteil der Corporate Governance. Ihre Ausgestaltung obliegt der Unternehmensleitung, die die Definition und Implementierung von Prozessen, Strukturen und Arbeitszusammenhängen im Unternehmen überwacht, sodass sowohl die Fachabteilungen (das »Business«) als auch die Unternehmens-IT in der Lage ist, die jeweilige Verantwortung hinsichtlich des Business/IT-Alignments und der Wertschöpfung durch IT-Investitionen wahrzunehmen (nach [ISACA 2020a], S. 11). Die Abgrenzung zwischen Governance und Management zeigt Abbildung 1–2.

Abb. 1–2Abgrenzung zwischen Governance und Management nach COBIT 2019 (vgl. [ISACA 2020a], S. 13)

Governance- und Management-Domänen

Den Kern von COBIT 2019 bildet ein Referenzmodell für Governance- und Managementziele, die über eine Kaskadierung letztlich zu einer Vielzahl von IT-Governance- und IT-Managementpraktiken führen. Hierbei werden die Zielsetzungen für die IT-Governance in der Governance-Domäne »Evaluate, Direct, Monitor (EDM)« (dt.: Evaluieren, Vorgeben, Überwachen), die Zielsetzungen für das IT-Management in vier Management-Domänen abgebildet (nach [ISACA 2020b], S. 11):

Evaluate, Direct and Monitor (EDM) – Evaluieren, Vorgeben, Überwachen

: umfasst die Evaluierung strategischer Optionen, die Steuerung der gewählten strategischen Optionen und die Überwachung der Umsetzung der IT-Strategie.

Align, Plan and Organize (APO) – Anpassen, Planen, Organisieren

: befasst sich mit der Gesamtorganisation, der Strategie und den unterstützenden Planungs- und Koordinationsaktivitäten für IT.

Build, Acquire and Implement (BAI) – Aufbauen, Beschaffen, Implementieren

: behandelt die Definition, Beschaffung und Implementierung von IT-Lösungen und ihre Integration in Geschäftsprozesse.

Deliver, Service and Support (DSS) – Bereitstellen, Betreiben, Unterstützen

: richtet sich auf die operative, sichere Bereitstellung und Unterstützung von IT-Services.

Monitor, Evaluate and Assess (MEA) – Überwachen, Evaluieren und Beurteilen:

befasst sich mit der Leistungsüberwachung in Bezug auf interne Leistungs- und Kontrollziele und der Compliance der IT mit externen Anforderungen.

IT-Governance- und IT-Management-Domänen beinhalten u.a. IT-Prozesse und zugehörige Praktiken. Diese sind über ein Input/Output-Modell für informationelle und materielle Beziehungen miteinander verbunden. Auf diese Weise lassen sich die komplexen Zusammenhänge zwischen der Governance-Domäne und den Management-Domänen nachvollziehen.

Beispiel

Eine der IT-Governance-Zielsetzungen von COBIT 2019 ist die sichergestellte Lieferung von Wertbeiträgen des IT-Einsatzes (EDM02). Dieses Ziel wird durch verschiedene Governance-Praktiken erreicht, wobei die Steuerung der Wertoptimierung eine dieser Governance-Praktiken ist (EDM02.03). Abbildung 1–3 zeigt die Input-/Output-Beziehungen dieser Governance-Praktik mit insgesamt vier Managementpraktiken. Zwei dieser Praktiken sind dem IT-Managementziel »Gemanagtes Portfolio« zuzurechnen, während sich die anderen beiden Praktiken auf die IT-Managementziele »Gemanagte Programme« bzw. »Gemanagte Projekte« beziehen.

Abb. 1–3Zusammenhang zwischen IT-Governance- und IT-Management-Domänen nach COBIT 2019

Die IT-Governance-Praktik erhält einen Input aus der Managementpraktik »APO05.03 Überwachen, Optimieren und Berichten der Leistung des Investitionsportfolios«, nämlich Leistungsberichte in Bezug auf das IT-Investitionsportfolio. Diese Berichte werden benötigt, um im Rahmen der Steuerung der Wertoptimierung erforderliche Änderungen am IT-Investitionsportfolio vorzunehmen, damit die betreffenden Investitionen und IT-Services sich (wieder) an den Unternehmenszielen bzw. Beschränkungen des Unternehmens ausrichten.

Durch die Durchführung der IT-Governance-Praktik entstehen zwei Outputs, die in drei Managementpraktiken verwendet werden. So richtet sich die Governance-Praktik zum einen u.a. auf die Definition und Kommunikation von Investitionskategorien und -kriterien für die IT-Investitionsentscheidungen. Diese stellen damit die notwendige Grundlage dar, auf der im Rahmen der Managementpraktik »APO05.02 Evaluieren und Auswählen der zu finanzierenden Programme« IT-Investitionsmöglichkeiten mit adäquaten Wertbeiträgen identifiziert, klassifiziert, bewertet und entschieden werden können. Zum anderen werden Anforderungen für Stage-Gate-Überprüfungen definiert, die – im Rahmen der beiden Managementpraktiken BAI01.01 und BAI11.01 – als Element eines hausinternen Standards für das Vorgehen im Programmund Projektmanagement festzulegen und weiterzuentwickeln sind. Die Anforderungen richten sich z.B. auf die Bedeutung der IT-Investition für das Unternehmen, die damit verbundenen Risiken, Finanzierungspläne, die erforderlichen Schlüsselqualifikationen und den laufenden Wertbeitrag.

Integration von Normen und Standards

Bei der Beschreibung der einzelnen Praktiken verweist COBIT 2019 auf Normen und Standards, die in die jeweilige Praktik eingegangen sind. Zum Beispiel wird für die Steuerung der Wertoptimierung die ISO/IEC 38500:2015 angeführt (vgl. [ISACA 2020b], S. 37). Die in dieser Praktik beschriebenen Aktivitäten sollen das Strategieprinzip abdecken, nach dem durch die IT-Governance die Ausrichtung des IT-Einsatzes an der Unternehmensstrategie sicherzustellen ist und die aktuellen und künftigen Potenziale der IT im Rahmen der strategischen Planung zu berücksichtigen sind.4

1.6IT-Governance nach Van Grembergen/De Haes et al.

Definition

Die Definitionen von Van Grembergen bzw. De Haes et al. (siehe Tab. 1–2) beziehen sich nicht nur auf die »Enterprise Governance of IT« als organisatorische Fähigkeit (sogenannte EGIT-/IT-Governance-Mechanismen), sondern auch auf die angestrebten Ergebnisse.

»Enterprise Governance of IT (EGIT)« statt »IT-Governance«

Bemerkenswert ist, dass die Autoren den Begriff IT-Governance abzulösen versuchen. Sie argumentieren, dass durch die Fokussierung auf »IT« die Diskussion über IT-Governance hauptsächlich im IT-Bereich geführt wurde und dort verblieb. Jedoch reiche diese Fokussierung, obwohl in der Praxis viele IT-Governance-Vorhaben von der IT vorangetrieben und verantwortet werden, nicht aus. Ein Wertbeitrag und Wirkungen auf Prozesse und Geschäftsmodelle können so nicht erzielt werden. Vielmehr sei die Einbeziehung der Ziele, Anforderungen und Bedarfe der Fachbereiche von entscheidender Bedeutung, was mit der Verschiebung der Definition von »IT-Governance« hin zu »Enterprise Governance of IT (EGIT)« (d.h. mit Schwerpunkt auf die Einbeziehung des Unternehmens) zum Ausdruck gebracht werden soll (vgl. [De Haes et al. 2020a]; [De Haes & Van Grembergen 2009]).

Erweiterter Fokus

Wie bereits in der Definition zum Ausdruck kommt, ist Enterprise Governance of IT ein integraler Bestandteil der Corporate Governance, für die der Vorstand als solcher verantwortlich ist. Sie umfasst die Definition und Implementierung von Prozessen, Strukturen und Beziehungsmechanismen, die es sowohl den Geschäfts- als auch den IT-Stakeholdern ermöglichen, ihre Verantwortlichkeiten zur Unterstützung der Ausrichtung von Business und IT (Alignment) sowie zur Schaffung und zum Schutz eines IT-Wertbeitrags wahrzunehmen. Enterprise Governance of IT geht demnach über die IT-bezogenen Verantwortlichkeiten hinaus und erstreckt sich auch auf Geschäftsprozesse, was für die Schaffung und die Sicherung eines Wertbeitrags der IT erforderlich ist. Dies korrespondiert mit der Namensgebung von ISO/IEC, die 2008 die neue globale Norm zur »Corporate Governance of IT« (ISO/IEC 38500:2008) veröffentlicht hat.

De Haes und Van Grembergen gestehen zwar ein, dass – vordergründig – die Änderung der Bezeichnung und des Schwerpunkts von »IT-Governance« zu »Enterprise Governance of IT« spitzfindig und nicht bahnbrechend erscheinen mag, sie plädieren jedoch vehement dafür, dass es eines entscheidenden Wandels in der Denkweise der Unternehmensakteure bedarf. Die führende Rolle der IT-Stakeholder bei der IT-Governance sei schon immer paradox gewesen – ähnlich wie bei anderen IT-unterstützten Vorhaben wie Prozessoptimierung und Reengineering (vgl. [De Haes et al. 2020a], S. 4).

Auch an anderer Stelle zeigen sie, dass empirische Evidenz darauf hinweist, dass Führungskräfte und Aufsichtsgremien eben nicht in dem Maße in die IT-bezogene strategische Entscheidungsfindung und Kontrolle eingebunden sind, wie es wünschenswert und nötig wäre. Dies sei insbesondere auch bei der »Digitalisierung« bzw. der »digitalen Transformation« ein entscheidendes Hindernis (vgl. [De Haes et al. 2020b], S. 1 ff.).

IT-Governance-Mechanismen

Neben dem modifizierten Grundverständnis spielen bei Van Grembergen et al. die verschiedenen IT-Governance-Mechanismen eine zentrale Rolle. Aufbauend auf relevanten Vorarbeiten der IT-Governance-Forschung schlagen sie vor, dass ein IT-Governance-Arrangement aus Strukturen, Prozessen und Beziehungsmechanismen bestehen solle (vgl. [De Haes et al. 2020a], S. 17 ff. insbesondere S. 19 und 23 ff.) – siehe Abb. 1–4).

Abb. 1–4Strukturen, Prozesse und Beziehungsmechanismen im IT-Governance-Modell von Van Grembergen et al.

Strukturen

EGIT-Strukturen umfassen Organisationseinheiten, Gremien und Komitees sowie Rollen, die für IT-Entscheidungen verantwortlich sind und strukturelle Verbindungen zwischen den Geschäftsfunktionen und dem IT-Management herstellen (z.B. IT-Lenkungsausschuss).

Prozesse

EGIT-Prozesse beziehen sich auf die Formalisierung und Institutionalisierung von strategischen IT-Entscheidungs- und IT-Überwachungsverfahren, um sicherzustellen, dass die tägliche und gelebte Praxis mit den Richtlinien übereinstimmt und angemessen gesteuert und kontrolliert wird, also Feedback und Rückkopplungen vorgesehen sind (z.B. Portfoliomanagement).

Beziehungsmechanismen (»relational mechanisms«)

Bei den EGIT-Beziehungsmechanismen schließlich geht es um eher »weiche Faktoren«, die die aktive Beteiligung von und die Zusammenarbeit zwischen den Führungskräften des Unternehmens, der IT-Leitung und der Geschäftsleitung sicherstellen; dazu gehören beispielsweise Job-Rotation, Kommunikations- und Schulungsmaßnahmen.

Ein wesentliches Ergebnis ist eine Menge von 33 EGIT-/IT-Governance-Mechanismen in den drei Gruppen, die von De Haes und Van Grembergen (vgl. [De Haes & Van Grembergen 2009]) identifiziert wurden und sowohl von ihnen als auch von anderen Autoren in empirischen Studien analysiert und auf ihren Beitrag für eine effektive und effiziente IT-Governance hin untersucht worden sind und in aktuellen Arbeiten untersucht werden (siehe Tab. 1–8).

IT Governance PracticeIT-Governance-Mechanismen

IT governance structures

IT governance processes

IT governance relational mechanisms

Strukturen

Prozesse

Beziehungsmechanismen

IT strategy committee at level of board of directors

Strategic information systems planning

Job-rotation

IT-Strategieausschuss auf Vorstandsebene

Strategische Informationssystemplanung

Job-Rotation

IT expertise at level of board of directors

IT performance measurement (e.g. IT balanced scorecard)

Co-location

IT-Kompetenz auf Vorstandsebene

IT-Leistungsmessung (z.B. IT Balanced Scorecard)

IT-Personal in Fachabteilung u/o vice versa

(IT) audit committee at level of board of directors

Portfolio management (incl. business cases, ROI, payback)

Cross-training

(IT-)Prüfungsausschuss auf Vorstandsebene

Portfoliomanagement (inkl. Business Cases, ROI, Payback)

Cross-Training/Hospitation u.Ä.

CIO on executive committee

Charge back arrangements – total cost of ownership (e.g. activity based costing)

Knowledge management (on IT governance)

CIO im Vorstand

Verrechnungskosten – Total Cost of Ownership (z.B. Prozesskostenrechnung)

Wissensmanagement (zu IT-Governance)

CIO reporting to CEO and/or COO

Service level agreements

Business/IT account management

CIO-Berichterstattung an CEO und/oder COO

Service-Level-Vereinbarungen

Business/IT-Account-Management

IT steering committee (IT investment evaluation/prioritization at executive/senior management level)

IT governance framework COBIT

Executive/senior management giving the good example

IT-Lenkungsausschuss (IT-Investitionsbewertung/Priorisierung auf Führungsebene)

IT-Governance-Framework COBIT

Executive/Senior Management mit gutem Beispiel vorangehen

IT governance function/officer

IT governance assurance and self-assessment

Informal meetings between business and IT executive/senior management

IT-Governance-Funktion/-Beauftragter

IT-Governance-Assurance und Self-Assessments

Informelle Treffen zwischen Fach- und IT-Führungskräften/Senior Management

Security/compliance/risk officer

Project governance/management methodologies

IT leadership

Beauftragter für Sicherheit/Compliance/Risiko

Project-Governance/Managementmethoden

IT-Leadership

IT project steering committee

IT budget control and reporting

Corporate internal communication addressing IT on a regular basis

IT-Projekt-Lenkungsausschuss

IT-Budgetkontrolle und Reporting

Unternehmensinterne Kommunikation, die regelmäßig IT-Themen adressiert

IT security steering committee

Benefits management and reporting

IT governance awareness campaigns

Lenkungsausschuss IT-Sicherheit

Management des Wertbeitrags und Reporting

IT-Governance-Aufklärungskampagnen

Architecture steering committee

Lenkungsausschuss Architektur

Integration of governance/alignment tasks in roles & responsibilities

Integration von Governance-Alignment in Rollen & Verantwortlichkeiten

Tab. 1–8EGIT-/IT-Governance-Mechanismen nach Van Grembergen und De Haes

1.7Verständnis von IT-Governance in diesem Buch

1.7.1Vorüberlegungen

Unterschiedliche Perspektiven

Wie die Ausführungen zum Begriff der IT-Governance in den vorherigen Abschnitten und zu den unterschiedlichen Ansätzen und Modellen gezeigt haben, gibt es zahlreiche Blickwinkel auf IT-Governance. Die einzelnen Definitionen und Ansätze setzen unterschiedliche inhaltliche Schwerpunkte und priorisieren verschiedene Handlungsfelder. Diese Verschiebung von Perspektiven und neuen Fokussierungen im Zeitablauf verweisen auch immer auf Veränderungen im praktischen Handlungsbedarf und damit auf notwendige Anpassungen der Aufgaben der IT-Governance, was in dem hier entwickelten Verständnis reflektiert werden soll.

Begriffskombinationen

Besonders deutlich zeigt sich dies daran, dass an verschiedenen Stellen der Begriff »IT-Governance« als zu eng betrachtet und abgelöst wird:

Corporate Governance of IT

Die ISO/IEC 38500:2008 spricht von »Corporate Governance of IT«. Diese Sichtweise in der ersten Version der Norm adressiert die Governance der Managementprozesse, die sich auf die Informations- und Kommunikationsservices einer Organisation richten. Wie in

Abschnitt 1.4

beschrieben, wird durch die Definition hervorgehoben, dass IT-Governance einen Teilbereich der Corporate Governance darstellt.

Governance of IT for the Organization

»Governance of IT for the Organization«: Diese Bezeichnung wird von der aktuellen Version der Norm ISO/IEC 38500:2015 gewählt. Im Begriffsteil der Norm wird klargestellt, dass die Bezeichnung synonym mit »Enterprise Governance of IT« zu verstehen ist (vgl.

[ISO/IEC 38500]

, S. 2). Damit kommt zum einen zum Ausdruck, dass die ISO/IEC 38500 neben Unternehmen Organisationen aller Art adressiert. Zum anderen wird in der zweiten Version der Norm mehrmals betont, dass die Leitungsorgane vor allem Compliance-Risiken in der Unternehmens-IT durch die Umsetzung der in der Norm enthaltenen Empfehlungen begegnen können (vgl.

[ISO/IEC 38500]

, S. 5).

»Enterprise Governance of IT« (EGIT)

Die von De Haes u.a. gewählte Bezeichnung »Enterprise Governance of IT« (EGIT)« dient vor allem dazu, die Beschränkung der Perspektive auf »die IT« aufzulösen und damit zu vermeiden, dass sich die Leitungsorgane des Unternehmens nicht für die Unternehmens-IT verantwortlich fühlen (siehe auch

Abschnitt 1.6

). Es sollte verdeutlicht werden, dass die Governance der IT eben nicht nur die IT-Abteilung betrifft, sondern das gesamte Unternehmen, da die Geschäftsprozesse insgesamt und durchgängig von IT-Systemen und -Services unterstützt werden (vgl.

[De Haes et al. 2020a]

, S. 3 f.).

I&T Governance

»I&T Governance« bzw. »Enterprise Governance of Information & Technology«: Das Verständnis der ISACA hat sich darüber hinaus noch insofern gewandelt, als dass neben der Technologie auch der Rohstoff »Information« explizit berücksichtigt wird. Damit hat COBIT eine umfassende Entwicklung durchlaufen, von einem Werkzeug für Revisoren und IT-Prüfer über ein IT-Governance-Framework hin zu einem Ansatz, der das gesamte Unternehmen abdeckt und sich nicht nur auf die IT-Funktion, sondern auf alle Technologien und die gesamte Informationsverarbeitung bezieht, die das Unternehmen zur Erreichung seiner Ziele einsetzt, unabhängig davon, wo sie im Unternehmen angesiedelt ist (vgl.

[ISACA 2020a]

, S. 17).

In diesem Buch verwenden wir weiterhin den Begriff »IT-Governance« – auch im Titel – und bevorzugen, keine weitere Begriffsinnovation hinzuzufügen. Zum einen, weil sich im Deutschen keine Entsprechung zu den zuvor genannten Phrasen und Formulierungen anbietet und etabliert hat. Zum anderen, weil beispielsweise »Governance der Unternehmens-IT« sich nur auf erwerbswirtschaftliche Betriebe bezöge und damit öffentliche Unternehmen und Non-Profit-Organisationen ausschließen würde.