Governance, Risk und Compliance
Keine Frage - auch im eigenen Rechenzentrum drohen Gefahren, und nicht jeder Angestellte arbeitet sorgfältig und gewissenhaft. Interne Mitarbeiter sind jedoch auf die bestehenden Richtlinien verpflichtet, im Gegensatz zu Externen. Auch die Kontrollmöglichkeiten und die Aufmerksamkeit für Probleme sind im eigenen Unternehmen in der Regel besser.
Es ist nicht unmöglich, Sicherheit und Aufmerksamkeit zu delegieren. Aber dabei sollte die Kontrolle grundsätzlich vom eigentlichen Dienstleister unabhängig sein und die letztendliche Verantwortung beim Auftraggeber verbleiben. Der ist in jedem Fall für eine geeignete Kontrollstruktur verantwortlich. "Geeignet" heißt dabei auch "hinreichend kompetent" - ein weiteres, nicht zu unterschätzendes Problem. Durch den Abfluss (oder auch Nicht-Aufbau) von Know-how beim Kunden verschafft sich der Anbieter einen Wissensvorteil, den er für sich und gegen den Auftraggeber einsetzen kann ("Principal-Agent"-Problem).
Externe Services müssen also kontrolliert und gesteuert werden. Fehlt es an der nötigen Organisation und Kompetenz, droht Organisationsverschulden - und dem Management im schlimmsten Fall eine persönliche Haftung für diesen Mangel. Durch die externe Vergabe spart das Unternehmen Wissensaufbau und Organisation im Betrieb. Dafür muss es aber Wissen und Organisation im Controlling vorhalten oder aufbauen. Stichworte wie IKS (Internes Kontroll-System) oder GRC (Governance Risk und Compliance) werden künftig auch in der IT zum üblichen Jargon gehören.
- IT und Fachbereiche nähern sich an
Die Trendstudie "IT-Kompass 2014" zeigt vor allem eines: Die Notwendigkeiten der Digitalisierung führen IT und Fachbereiche enger zusammen. - An wen berichtet der CIO/IT-Leiter?
n = 329 - Bedeutung des IT-Einsatzes in der strategischen Unternehmensplanung
n = 327 - Werden die Potenziale, die sich durch den Einsatz von IT ergeben, genutzt?
n = 326 - Anforderungen der Fachbereiche an die IT
n = 132; Nur Business-Entscheider - Die wichtigsten Aufgaben aus IT-Sicht
n = 197; Nur IT-Entscheider - Wer treibt Innovationen in der IT voran?
n = 327 - Die wichtigsten Hardware-Themen
n = 197; Nur IT-Entscheider; Mehrfachnennungen möglich - Zufriedenheit der Unternehmen mit ihren Hardware-Anbietern
n = 197; Nur IT-Entscheider - Die wichtigsten Software-Themen
n = 197; Nur IT-Entscheider; Mehrfachnennungen möglich - Bevorzugte Software-Bezugsmodelle
n = 189; Nur IT-Entscheider - Zufriedenheit der Unternehmen mit ihren Software-Anbietern
n = 197; Nur IT-Entscheider - Die wichtigsten Services-Themen
n = 197; Nur IT-Entscheider; Mehrfachnennungen möglich - Geplante Arten von Outsourcing
n = 44; Nur IT-Entscheider; Mehrfachnennungen möglich - Zufriedenheit der Unternehmen mit ihren Services-Anbietern
n = 197; Nur IT-Entscheider - Geplante Nutzungsszenarien von Cloud-Services
n = 197; Nur IT-Entscheider; Mehrfachnennungen möglich - Höhe der IT-Budgets im Jahr 2013
n = 197; Nur IT-Entscheider - Verteilung der IT-Budgets nach Segmenten
n = 197; Nur IT-Entscheider - Anteil der IT-Budgets für operative Tätigkeiten und Projekte mit dem Business
n = 189; Nur IT-Entscheider - Erwartete Veränderung der IT-Budgets im Jahr 2013
n = 195; Nur IT-Entscheider - Anteil der Unternehmen, die die Einstellung von IT-Fachkräften planen
n = 196; Nur IT-Entscheider - Zufriedenheit der Fachabteilungen mit den Leistungen der eigenen IT-Abteilung
n = 328; IT = 197; Business =131 - Wie ist die Zusammenarbeit organisiert?
n = 328; IT = 197; Business =131 - Die wichtigsten Maßnahmen für eine gute Zusammenarbeit
n = 329; IT = 197; Business =132; Mehrfachnennungen möglich - Gibt es ein eigenes IT-Budget für das Business
n = 99; Nur Fachbereiche (ohne Unternehmens- und Geschäftsleitung) - Bezieht die Fachabteilung IT-Leistungen ohne Einbeziehung der zentralen IT-Abteilung
n = 329; IT = 197; Business =132 - Warum beziehen die Fachabteilungen IT-Leistungen ohne Einbeziehung der zentralen IT-Abteilung
n = 85; Mehrfachnennungen möglich - Wie die Befragten die Zukunft der IT-Abteilungen sehen
n = 325; IT = 196; Business =129 - Die strategische Bedeutung der internen IT
n = 324; IT = 196; Business =128
Die neue Rolle der IT
Doch es ist nicht allein der Aufbau einer effektiven Kontrollinfrastruktur, der die IT verändern wird. Eigenbrötlerisches Expertentum wird durch die Fachabteilungen kaum mehr geduldet - zu Recht. Andererseits bereiten die zunehmende Komplexität der IT und die internationalen Compliance-Rahmenbedingungen auch der Schatten-IT Probleme. Gerade global agierende Organisationen müssen sich ja vermehrt mit internationalen Datenschutzregeln, Exportkontrollen, Lizenzrecht, Verrechnung von gegenseitig genutzten Dienstleistungen, lokalen IT-Audits oder Corporate-Social-Responsibility-Vorgaben auseinandersetzen.
Chance und Herausforderung für die IT bestehen nun darin, das Komplexitäts-Management rund um die IT für die Fachabteilungen zu betreiben und als hochengagierter Dienstleister die Geschäftsprozesse aktiv zu unterstützen. Das wird ihr allerdings nur gelingen, wenn sie über den Tellerrand der eigenen IT-Produktion hinausschaut.
Auch die führenden Fachverbände spiegeln diese Erweiterung des Blickwinkels wider: Beim Bitkom finden sich beispielsweise neben den klassischen IT-Leitfäden auch Unterstützungspapiere mit Stichworten wie "Vertragsgestaltung im Auslandsgeschäft", "Wie Cloud Computing neue Geschäftsmodelle ermöglicht" oder "Unternehmen 2.0: kollaborativ. innovativ. erfolgreich."
Ein weiteres Indiz: Das weitverbreitete IT-Steuerungs-Rahmenwerk COBIT (bereitgestellt von derSystems Audit and Control Association, kurz Isaca) hat sich von einem Unterstützungswerkzeug für IT-System- und Compliance-Prüfungen in den vergangenen Jahres zu einem umfassenden Management-System weiterentwickelt, das sich mit Systematiken und Hilfestellungen für Risiko-Management und Wertschöpfung ebenso beschäftigt wie mit IT-Strategie und Ressourcen-Optimierung. Die moderne IT-Abteilung"im Zeitalter der Cloud wird also zunehmend mehr Ähnlichkeit mit und Nähe zu Organisationsabteilungen haben.
Vom Schrauber zum Kundenversteher
Durch den Einkauf günstiger "Commodity"-Services werden die Unternehmen die Kosten möglichst gering halten. Der eigene "Produktionsbereich" konzentriert sich auf kleine flexible Ad-hoc-Dienstleistungen oder hochspezialisierte Alleinstellungsanwendungen. Von der IT wird künftig die Rolle eines Beraters und Begleiters erwartet.
Berufsbild und Selbstverständnis werden sich an den neuen Aufgaben orientieren müssen: Lotsen leiten die IT-Projekte durch schwierige Fahrwasser von Standards, Schnittstellen, Trends und Compliance; Concierges nehmen ihren Kunden lästige Aufgaben des Veränderungs-Managements ab; Dirigenten wählen Services aus, um sie zu integrieren, trainieren und orchestrieren; Makler kaufen auf den IT-Marktplätzen die günstigsten Ressourcen ein und bieten vielleicht eigene überschüssige Ressourcen an. Kreative Designer entwickeln kundennahe und praktikable Lösungen, die sie dann von Dritten produzieren lassen. Verständnisvolle Ärzte werden Probleme analysieren, Ursachen diagnostizieren und Fehlentwicklungen therapieren. Darüber hinaus werden Lehrer - oder besser Prediger - benötigt, um die IT-Strategien den Nutzern nahezubringen, für die Einhaltung von Sicherheitsrichtlinien und Compliance zu werben und die Leistungen der IT zu vermitteln.
Es wird nur noch wenige Berufsbilder in der IT geben, die ohne Kommunikation und Kundenorientierung auskommen. Der stille Schrauber in der Werkstatt ist im Aussterben begriffen. Wenn der Kunde im Zentrum stehen soll, kommt die IT nicht umhin, regelmäßig und langfristig mit ihm zu kommunizieren. Sie entwickelt sich zum "Kundenversteher".
Wer dabei "Augenhöhe" und Respekt erreichen will, wird zum einen die Prozesse und Herausforderungen der Fachabteilungen, zum anderen aber auch Compliance, Wirtschaftlichkeit, Change-Management und Controlling verstehen müssen. So wie die gesamte IT muss auch der eine oder andere Mitarbeiter seine persönliche Metamorphose durchlaufen.
Motivation durch Wertschätzung
Neue Mitarbeiter kann sich der CIO nicht einfach backen. Noch kann er alte im Laden umtauschen oder von heute auf morgen umprogrammieren. Das Firmen- und Prozess-Knowhow altgedienter Mitarbeiter ist zudem ein wichtiger Wert, den man nicht einfach durch "Hire & Fire" aufgeben sollte.
Was ist also zu tun? Veränderung dürfte ohne Mitarbeitermotivation zum Scheitern verurteilt sein. Sofern die Rahmenbedingungen der Organisation dies zulassen, empfiehlt sich eine klare eigene Mission der IT, bei der das Business und das Wohl des Unternehmens im Mittelpunkt stehen. Damit lässt sich dann leichter die Notwendigkeit von Änderungen begründen und kommunizieren (Top-Down). Zudem bildet diese Mission den Rahmen für eigene Veränderungsideen, Strategien und Zielsysteme aus den IT-Bereichen, mit denen sich die Mitarbeiter identifizieren können (BottomUp).
Fachliche Kompetenzen für den Aufbau interner Kontroll- und Compliance-Management-Systeme lassen sich entweder aus den Risiko- oder Compliance-Abteilungen des Unternehmens heranziehen oder extern einkaufen. Bei der Auswahl neuer Mitarbeiter ist auf Kommunikationsfähigkeit und Sozialkompetenz zu achten. Auch die Weiterbildung wird vielleicht weniger auf die neueste Technik und dafür stärker auf sozialen Kompetenzen gerichtet sein.
Am Ende geht aber nichts ohne gegenseitige Wertschätzung. Soziale Anerkennung, die Verbundenheit mit anderen und dem Unternehmen sowie das Gefühl, etwas Nützliches zu tun, sind die wichtigsten Faktoren für Engagement, Loyalität und die Bereitschaft, sich zu verändern.
Erfolgreiche Computerspiele basieren im Kern auf der Idee, darauf, die Spieler herauszufordern, sie aber nicht zu überfordern. Dieses Erfolgsrezept gilt auch für den Beruf: Leistbare Herausforderungen helfen, Mitarbeiter als aktive Akteure des Wandels zu gewinnen. Die IT-Leitung wird sich in jedem Fall als Motivator für den Wandel begreifen müssen. (qua)