Komplexitäts-Management

Mehr Cloud erfordert auch mehr IT-Governance

08.11.2014
Von  , und


Folker Scholz schreibt zu den Themen Governance, Risk, Compliance, Nachhaltigkeit/CSR und Veränderungsmanagement. Als selbständiger Berater und Coach hilft er Unternehmen das dynamische IT-Umfeld und den Innovationsdruck neuer Geschäftsmodelle zu beherrschen. Er engagiert sich in der Fachgruppe Cloud der ISACA, in der Risk Management Association (RMA) und im Deutschen Netzwerk Wirtschaftsethik (DNWE).
Edgar Röder ist Senior Consultant bei der DHC Dr. Herterich & Consultants GmbH und Mitglied der Fachgruppe Cloud Computing im ISACA Germany Chapter.
Jürgen Sonsalla ist ICT Security Officer bei der Flughafen Köln Bonn GmbH und Mitglied der Fachgruppe Cloud Computing im ISACA Germany Chapter.

Governance, Risk und Compliance

Keine Frage - auch im eigenen Rechenzentrum drohen Gefahren, und nicht jeder Angestellte arbeitet sorgfältig und gewissenhaft. Interne Mitarbeiter sind jedoch auf die bestehenden Richtlinien verpflichtet, im Gegensatz zu Externen. Auch die Kontrollmöglichkeiten und die Aufmerksamkeit für Probleme sind im eigenen Unternehmen in der Regel besser.

Es ist nicht unmöglich, Sicherheit und Aufmerksamkeit zu delegieren. Aber dabei sollte die Kontrolle grundsätzlich vom eigentlichen Dienstleister unabhängig sein und die letztendliche Verantwortung beim Auftraggeber verbleiben. Der ist in jedem Fall für eine geeignete Kontrollstruktur verantwortlich. "Geeignet" heißt dabei auch "hinreichend kompetent" - ein weiteres, nicht zu unterschätzendes Problem. Durch den Abfluss (oder auch Nicht-Aufbau) von Know-how beim Kunden verschafft sich der Anbieter einen Wissensvorteil, den er für sich und gegen den Auftraggeber einsetzen kann ("Principal­-Agent"-Problem).

Externe Services müssen also kontrolliert und gesteuert werden. Fehlt es an der nötigen Organisation und Kompetenz, droht Organisationsverschulden - und dem Management im schlimmsten Fall eine persönliche Haftung für diesen Mangel. Durch die externe Vergabe spart das Unternehmen Wissensaufbau und Organisation im Betrieb. Dafür muss es aber Wissen und Organisation im Controlling vorhalten oder aufbauen. Stichworte wie IKS (Internes Kontroll-System) oder GRC (Governance Risk und Compliance) werden künftig auch in der IT zum üblichen Jargon gehören.

Die neue Rolle der IT

Doch es ist nicht allein der Aufbau einer effektiven Kontrollinfrastruktur, der die IT verändern wird. Eigenbrötlerisches Expertentum wird durch die Fachabteilungen kaum mehr geduldet - zu Recht. Andererseits bereiten die zunehmende Komplexität der IT und die internationalen Compliance-Rahmenbedingungen auch der Schatten-IT Probleme. Gerade global agierende Organisationen müssen sich ja vermehrt mit internationalen Datenschutzregeln, Exportkontrollen, Lizenzrecht, Verrechnung von gegenseitig genutzten Dienstleistungen, lokalen IT-Audits oder Corporate-Social-Responsibility-Vorgaben auseinandersetzen.

Chance und Herausforderung für die IT bestehen nun darin, das Komplexitäts-Management rund um die IT für die Fachabteilungen zu betreiben und als hochengagierter Dienstleister die Geschäftsprozesse aktiv zu unterstützen. Das wird ihr allerdings nur gelingen, wenn sie über den Tellerrand der eigenen IT-Produktion hinausschaut.

Auch die führenden Fachverbände spiegeln diese Erweiterung des Blickwinkels wider: Beim Bitkom finden sich beispielsweise neben den klassischen IT-Leitfäden auch Unterstützungspapiere mit Stichworten wie "Vertragsgestaltung im Auslandsgeschäft", "Wie Cloud Computing neue Geschäftsmodelle ermöglicht" oder "Unternehmen 2.0: kollaborativ. innovativ. erfolgreich."

Ein weiteres Indiz: Das weitverbreitete IT-Steuerungs-Rahmenwerk COBIT (bereitgestellt von derSystems Audit and Control Association, kurz Isaca) hat sich von einem Unterstützungswerkzeug für IT-System- und Compliance-Prüfungen in den vergangenen Jahres zu einem umfassenden Management-System weiterentwickelt, das sich mit Systematiken und Hilfestellungen für Risiko-Management und Wertschöpfung ebenso beschäftigt wie mit IT-Strategie und Ressourcen-Optimierung. Die moderne IT-Abteilung"im Zeitalter der Cloud wird also zunehmend mehr Ähnlichkeit mit und Nähe zu Organisationsabteilungen haben.

Vom Schrauber zum Kundenversteher

Durch den Einkauf günstiger "Commodity"-Services werden die Unternehmen die Kosten möglichst gering halten. Der eigene "Produktionsbereich" konzentriert sich auf kleine flexible Ad-hoc-Dienstleistungen oder hochspezialisierte Alleinstellungsanwendungen. Von der IT wird künftig die Rolle eines Beraters und Begleiters erwartet.

Berufsbild und Selbstverständnis werden sich an den neuen Aufgaben orientieren müssen: Lotsen leiten die IT-Projekte durch schwierige Fahrwasser von Standards, Schnittstellen, Trends und Compliance; Concierges nehmen ihren Kunden lästige Aufgaben des Veränderungs-Managements ab; Dirigenten wählen Services aus, um sie zu integrieren, trainieren und orchestrieren; Makler kaufen auf den IT-Marktplätzen die günstigsten Ressourcen ein und bieten vielleicht eigene überschüssige Ressourcen an. Kreative Designer entwickeln kundennahe und praktikable Lösungen, die sie dann von Dritten produzieren lassen. Verständnisvolle Ärzte werden Probleme analysieren, Ursachen diagnostizieren und Fehlentwicklungen therapieren. Darüber hinaus werden Lehrer - oder besser Prediger - benötigt, um die IT-Strategien den Nutzern nahezubringen, für die Einhaltung von Sicherheitsrichtlinien und Compliance zu werben und die Leistungen der IT zu vermitteln.

Es wird nur noch wenige Berufsbilder in der IT geben, die ohne Kommunikation und Kundenorientierung auskommen. Der stille Schrauber in der Werkstatt ist im Aussterben begriffen. Wenn der Kunde im Zentrum stehen soll, kommt die IT nicht umhin, regelmäßig und langfristig mit ihm zu kommunizieren. Sie entwickelt sich zum "Kundenversteher".

Wer dabei "Augenhöhe" und Respekt erreichen will, wird zum einen die Prozesse und Herausforderungen der Fachabteilungen, zum anderen aber auch Compliance, Wirtschaftlichkeit, Change-Management und Controlling verstehen müssen. So wie die gesamte IT muss auch der eine oder andere Mitarbeiter seine persönliche Metamorphose durchlaufen.

Motivation durch Wertschätzung

Neue Mitarbeiter kann sich der CIO nicht einfach backen. Noch kann er alte im Laden umtauschen oder von heute auf morgen umprogrammieren. Das Firmen- und Prozess-Knowhow altgedienter Mitarbeiter ist zudem ein wichtiger Wert, den man nicht einfach durch "Hire & Fire" aufgeben sollte.

Was ist also zu tun? Veränderung dürfte ohne Mitarbeitermotivation zum Scheitern verurteilt sein. Sofern die Rahmenbedingungen der Organisation dies zulassen, empfiehlt sich eine klare eigene Mission der IT, bei der das Business und das Wohl des Unternehmens im Mittelpunkt stehen. Damit lässt sich dann leichter die Notwendigkeit von Änderungen begründen und kommunizieren (Top-Down). Zudem bildet diese Mission den Rahmen für eigene Veränderungsideen, Strategien und Zielsysteme aus den IT-Bereichen, mit denen sich die Mitarbeiter identifizieren können (BottomUp).

Fachliche Kompetenzen für den Aufbau interner Kontroll- und Compliance-Management-Systeme lassen sich entweder aus den Risiko- oder Compliance-Abteilungen des Unternehmens heranziehen oder extern einkaufen. Bei der Auswahl neuer Mitarbeiter ist auf Kommunikationsfähigkeit und Sozialkompetenz zu achten. Auch die Weiterbildung wird vielleicht weniger auf die neueste Technik und dafür stärker auf sozialen Kompetenzen gerichtet sein.

Am Ende geht aber nichts ohne gegenseitige Wertschätzung. Soziale Anerkennung, die Verbundenheit mit anderen und dem Unternehmen sowie das Gefühl, etwas Nützliches zu tun, sind die wichtigsten Faktoren für Engagement, Loyalität und die Bereitschaft, sich zu verändern.

Erfolgreiche Computerspiele basieren im Kern auf der Idee, darauf, die Spieler herauszufordern, sie aber nicht zu überfordern. Dieses Erfolgsrezept gilt auch für den Beruf: Leistbare Herausforderungen helfen, Mitarbeiter als aktive Akteure des Wandels zu gewinnen. Die IT-Leitung wird sich in jedem Fall als Motivator für den Wandel begreifen müssen. (qua)