Bei der Abstimmung von IT- und Business-Zielen spielt IT-Governance eine tragende Rolle - wenn sie richtig konzipiert ist und funktioniert. Leider erliegen jedoch viele IT-Entscheider weit verbreiteten Missverständnissen, die nicht nur eine effektive IT-Governance verhindern können, sondern auch dazu führen, dass wichtige Geschäftsziele erreicht werden. Das kann zu unnötigen Risiken, Schwachstellen bei der Einhaltung von Vorschriften und letztendlich zu verpassten Geschäftschancen führen.
Die folgenden sieben Governance-Mythen verhindern, dass IT- und Business-Governance-Frameworks harmonisch zusammenwirken. Höchste Zeit also, mit ihnen aufzuräumen.
1. Outsourcing verlagert Risiken
Viele IT-Entscheider gehen leichtfertig davon aus, dass Drittanbieter in Sachen Cyberhygiene gute Standards praktizieren. "Oft wird eine Due-Diligence-Prüfung versäumt, die nötig ist, um sicherzustellen, dass der Anbieter die Grundlagenarbeit in Sachen IT-Kontrollen für alle Unternehmensbereiche erledigt", meint Tom Garrubba, Vice President und CISO bei der globalen Risk-Management-Organisation Shared Assessments. "Im Fall eines Cyberangriffs oder eines Systemausfalls kann blindes Vertrauen zu unerwarteten Problemen führen."
Garrubba rät deshalb zu regelmäßigen, detaillierten Assessments, mit deren Hilfe die IT-Hygienekontrollen eines Anbieters validiert und geprüft werden können. Darüber hinaus sei es ratsam, die Cyberperformance des Anbieters mit verschiedenen Tools kontinuierlich zu überwachen, um sicherzustellen, dass die Erwartungen erfüllt werden, fügt der Experte hinzu. Unternehmen, die auf eine (vollständige) Risikobewertung von Dritten verzichten, seien - unabhängig von ihrer Branche - bereits jetzt rückständig: "Solche Bewertungen werden mittlerweile in allen Branchen als Standardverfahren angesehen", weiß er.
2. Software behebt alle Schwächen
Mit Hilfe von Workflow-Software können Organisationsabläufe effektiv gesteuert werden, um die Einhaltung und Vervollständigung von definierten Prozessen zu gewährleisten. Für viele Unternehmen ist ein "definierter Prozess" allerdings kaum mehr als ein mythisches Konzept, ist Bryan Shoe, IT-Governance-Coach bei DevelopIntelligence, überzeugt: "Tools sind kein Mittel, um bestehende organisatorische Probleme zu lösen."
Bevor sich Unternehmen einer Governance-Software bedienen, müssten sie zunächst sicherstellen, dass ihre Vision, Mission und Ziele klar definiert sind: "Von diesem Punkt aus sollte die Governance die Entscheidungen darüber leiten, welche Geschäftsprozesse eingezogen werden, um Vision, Mission und Ziele zu erreichen. Im Anschluss können Unternehmen dann Software-Tools auswählen und konfigurieren, um diesen Prozess der Zielerreichung zu unterstützen."
3. Mit All-in-One zur Governance
Erfolgreiche IT-Governance optimiert das Risikomanagement, die Ressourcen und die Strategien, um die geplanten Ziele zu erreichen. "Alle kritischen Aspekte der IT-Performance und Delivery über mehrere Bereiche hinweg erfassen zu können, schafft die Grundlage für ein effektives IT-Governance-Programm", meint Andrew Morrison, US Cyber Risk Services Strategy, Defense, and Response Solutions Leader bei Deloitte.
Das Streben nach einem klaren, prägnanten und für Entscheider leicht konsumierbaren IT-Governance Reporting hat dazu geführt, dass einige Anbieter ihre Lösungen und Tools als "Allheilmittel" anpreisen: Ein Tool reicht angeblich, um Transparenz über alle Unternehmensbereiche zu schaffen und stemmt jede noch so komplexe Auswertung. Die harte Realität ist leider, dass die Nachfrage nach Echtzeitdaten, die über verschiedene Technologien, Prozesse, Richtlinien und Zuständigkeiten hinweg aggregiert werden, das tatsächliche Angebot bei weitem übersteigt.
"Zudem sorgt die Komplexität heutiger IT-Systeme und die kontinuierlichen Veränderungen innerhalb der IT die Aufrechterhaltung von Konnektivität für einen potenziellen Irrweg", meint Morrison. "Obwohl viele ausgezeichnete Tools eine einheitliche Sicht auf Teile der IT-Governance bieten - etwa Risiko, Sicherheit, Compliance, Kontrollen und Betriebskosten - dürften die meisten Unternehmen effektiver arbeiten, wenn sie die Verwendung mehrerer zweckgebundener Reporting-Lösungen optimieren, anstatt einer zentralen Verwaltungskonsole hinterher zu jagen."
4. Metriken reichen zur Compliance
Metriken sind bedeutungslos, wenn sie nicht im (richtigen) Kontext gesehen werden. "Die Führungsebene braucht Metriken, um die Security-Maßnahmen zu verstehen und den Projektfortschritt nachzuweisen, aber das allein ist keine Garantie für Compliance", weiß Karen Walsh, Gründerin und CEO des Beratungsunternehmens Allegro Solutions. Der Kontext ergebe sich aus dem, was die Metriken umgibt - Menschen, Prozesse und Technologien: "Letztendlich geht es bei Governance darum, Ihr Geschäft und Ihren IT-Stack zu kennen und zu verstehen, wie die Bereiche sich gegenseitig befruchten", meint die Geschäftsführerin.
Anstatt sich Gedanken darüber zu machen, ob Teams bestimmte Zielkennzahlen erreichen, sollte das Ziel des IT-Leiters ihrer Meinung nach sein, ein Quartal mit dem nächsten zu vergleichen. "Wenn Sie im Quartalsvergleich Konsistenz erreichen und mit dem Ergebnis zufrieden sind, haben Sie Stabilität erreicht", so Walsh.
- 1. Gesunder Menschenverstand
Die IT-Governance muss klar verständlich und preisgünstig umsetzbar sein. Testfrage: Würden Sie selbst die IT Governance verstehen und umsetzen wollen? - 2. Frühzeitige Organisation
Wenn es noch keine Governance-Organisation im Unternehmen gibt, sollte sie laut Experton mindestens ein Jahr vor einem großen Outsourcing-Vorhaben geschaffen werden. Testfrage: Sind IT-Abteilung und interne Anwender schon an Vorgaben und Kontrolle durch die IT-Governance gewöhnt? - 3. Governance vor Vereinbarung
Die IT-Governance sollte stehen, bevor das Outsourcing startet. Testfrage: Sind die neuen Regeln und Prozesse bereits überall bekannt und werden sie gelebt? - 4. Aktivitäten im Vorfeld
Die Governance-Organisation sollte bereits während der Ausschreibungs- und Vergabephase beteiligt werden. Testfragen: Hat die Governance-Organisation bereits Input zur Ausschreibung geleistet? Hat sie bereits Anpassungen ihrer Vorgaben und Prozesse im Hinblick auf das Outsourcing vorgenommen? - 5. Rasche Einbindung
Die übrige bleibende IT-Abteilung sollte auch frühzeitig in den Outsourcing-Prozess eingebunden werden. Vor allem in der Transitions- und Transformationsphase, so Experton. Testfragen: Sind Personal, Aufgaben und Rollen der Retained Organisation bereits klar definiert? Ist sie vom Kick-Off an in alle Gremien und Prozesse fest eingebunden? - 6. Gelebte Kultur
Die neue Governance-Kultur sollte konsequent gelebt und umgesetzt werden. Testfragen: Haben Sie Sanktionen für Verstöße definiert? Haben Sie in den ersten drei Monaten nach Einführung gezielt nach Verstößen gesucht und diese behoben? Weiß jeder Anwender und für Sie tätige Mitarbeiter des Anbieters genau, welche Regeln er einhalten muss? - 7. Kontrolle unumgänglich
Key Performance Indicators (KPIs) und Service Level Agreements (SLAs) müssen nach Umsetzung der Transaktion eingehalten, regelmäßig überprüft und anschaulich berichtet werden. "Sonst nützt die schönste IT Governance nichts", warnt Experton. Testfragen: Haben Sie genaue Berichtsvorgaben für die SLA definiert? Wird die Einhaltung aller KPI durch dedizierte Mitarbeiter der Retained Organisation regelmäßig und gezielt nachgeprüft?
5. Governance frisst Kostenkontrolle
Obwohl Governance-Kontrollmechanismen die Kostentransparenz erhöhen und bei der anfänglichen Dimensionierung von Workloads helfen können (was sich auf die Kosten auswirkt), ist Governance keine Wunderpille für alle kostenrelevanten Dinge, wie Brian Adler, Senior Director of Cloud Strategy bei Flexera, anmerkt. IT-Kostenoptimierung sei vielmehr ein kontinuierlicher Prozess, der sich im Laufe der Zeit einfacher gestalte: "In dem Maße, in dem Unternehmen Governance-Kontrollen in Bezug auf die Bereitstellung entwickeln, wird auch ihre Anfälligkeit für Kostenüberschreitungen reduziert", erklärt Adler.
Governance spielt eine wichtige Rolle bei der Kostenkontrolle, insbesondere während des Provisionierungsprozesses. Kostenoptimierung umfasst jedoch auch andere wichtige Aspekte, die in traditionellen On-Premises-Umgebungen oft eine untergeordnete Rolle spielen.
Adler fordert die CIOs deshalb auf, einer Überprovisionierung zu widerstehen: "Wenn Sie die Cloud nutzen, sollten Sie auch deren Skalierbarkeit nutzen. Planen Sie Ressourcen, die nicht rund um die Uhr verfügbar sind, entsprechend." Darüber hinaus empfiehlt der Cloud-Experte, die Rabattangebote der Provider zu nutzen - etwa in Form reservierter Instanzen und Lizenzmodellen.
6. Governance erzwingt Compliance
Bemerkenswert viele CIOs sind der Meinung, IT-Governance diene in erster Linie dazu, diejenigen zu disziplinieren, die sich nicht an Compliance-Richtlinien oder andere interne wie externe Anforderungen halten. "Compliance ist nur eine Funktion von IT-Governance", meint Matt Donahue, Risikoanalyst beim Softwareanbieter Entrust Solutions.
Bei der IT-Governance gehe es vornehmlich darum, eine starke Synergie zwischen finanziellen und technologischen Zielen zu erzeugen und dabei sowohl Stakeholder- als auch Kundeninteressen gerecht zu werden: "Die IT-Governance als disziplinierendes Gremium zu sehen, negiert ihr Potenzial und den potenziellen Mehrwert, den sie für Anbieter als auch für Beteiligte bieten kann. Unternehmen, die daran nicht glauben, werden auch deutlich weniger in ihre IT-Governance-Strukturen investieren", erklärt Donahue.
7. Governance ist etwas Schlechtes
Der größte IT-Governance-Mythos ist, dass es sich dabei (bestenfalls) um ein notwendiges Übel handelt. CIOs sollten die IT-Governance vielmehr als potentes Werkzeug wahrnehmen, das erforderlich ist, um die gewünschten Ziele zu erreichen. "Verwenden Sie, was Sie brauchen, und verwenden Sie nicht, was Sie nicht brauchen", rät Mike Kelly, CIO von Red Hat. "Sie müssen bestimmen, wie viel Governance notwendig ist."
Dabei sollten Sie laut dem Experten auch daran denken, dass Governance kein Zwang von oben sein sollte: "Um die Akzeptanz zu erhöhen, sollten Sie die Governance zu einer gemeinschaftlichen, von der Basis ausgehenden Mission machen", so Kelly.
Zu guter Letzt sollten Sie auch nicht außer Acht lassen, dass sich die IT-Governance kontinuierlich weiterentwickeln sollte: "Sie sollten diesen Prozess als einen solchen begreifen, der verändert werden kann und muss, um veränderten Bedürfnissen und Anforderungen gerecht werden zu können", empfiehlt der Red-Hat-CIO. (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CIO.com.