Ein IT-Outsourcing ist immer eine Gratwanderung: Klappt die Kommunikation zwischen Management und Auftragnehmer nicht, kann es zu schweren Pannen kommen. Und die gefährden nicht selten die Existenz. Denn heute basieren die gesamten Transaktionen von Businesspartnern und Kunden, die Logistik, das Personalwesen und die Unternehmenskommunikation auf IT. Damit es nicht so weit kommt, braucht es umfassende Vorkehrungen sprich eine IT-Governance.
Schritt für Schritt vorgehen
Vereinfacht kann IT-Governance mit dem bekannten Satz «Tu die richtigen Dinge, und tu sie richtig» beschrieben werden. Im Einzelnen umfasst die IT-Governance die folgenden fünf Kernelemente: Erstens gilt es, die rechtlichen Erfordernisse einzuhalten. Zweitens wird sichergestellt, dass die ITden Business-Prozessen möglichst viel Nutzen bringt. Ist dies getan, folgt drittens die Zielformulierung und strategische Ausrichtung der IT auf die gesetzten Ziele durch Planung und Einsatz geeigneter Ressourcen, Organisationsformen und Prozesse.
Dazu gehört auch die Implementierung eines permanent laufenden Risiko- und Sicherheits-Managements im täglichen Betrieb und Support. Um für Kontinuität zu sorgen, wird schliesslich ein laufendes Performance Monitoring und Measurement errichtet, das die Ordnungsmässigkeit der Berichterstattung und Ableiten und Umsetzen von Korrekturmassnahmen sicherstellt. Jedes Unternehmen ist aber frei, die Vorgehensweise für die Umsetzung dieser fünf Kernelemente selber zu definieren. Die vom Unternehmen festgelegten Vorgaben an die IT und deren Governance sollten zusätzlich in einem so genannten «IT-Governance Framework» schriftlich festgehalten werden.
Angesichts der heutigen IT-Standards erscheinen die fünf Elemente der IT-Governance als nichts Besonderes. Dennoch bieten sie nicht zu unterschätzende Herausforderungen: Neben fundierter Kenntnis der gesetzlichen Vorgaben, der eigenen Applikationen und Systeme, der IT-Sicherheit und der standardisierten IT-Betriebsprozesse benötigt es ein sehr gutes Management, das sich gegen alte Manieren und Gewohnheiten durchzusetzen und die Governance gemäss den Vorgaben umzusetzen vermag. Hier kann das Zurückgreifen auf etablierte Outsourcer hilfreich sein: Oft sind deren Services in modularer Struktur aufgebaut. Standardprozesse, die einen Betrieb nach gesetzlichen Vorschriften sicherstellen, sind definiert. Weiter bestehen für Katastrophenfälle erprobte Verfahren, mittels derer in einem Notfall die gesamte IT des Kunden innerhalb eines definierten Zeitraumes an einem alternativen Standort wieder zur Verfügung gestellt werden kann. Weitere Vorteile kommen hinzu, etwa die Nutzung von vorhandenem Wissen, Minimierung der Umsetzungszeit und -kosten sowie die Skalierbarkeit der Sicherheitsmassnahmen.
Kunde behält Verantwortung
Für den Kunden stellt sich nun die Frage, wie er seine IT-GovernanceStrategien zusammen mit dem Outsourcer in effektiver und kostengünstiger Weise umsetzen kann. Denn obwohl er seine Informatiksysteme auslagert, kann und darf er die IT-Governance nicht einfach delegieren. Im Gegenteil: Er muss das IT-Governance Framework selbst erstellen. Die Realisierung jedoch kann er dem Outsourcer überlassen. Er behält aber jederzeit die Verantwortung.
Und stellt mittels geeigneter Kontrollen sicher, dass seine Vorgaben durch den Outsourcer auch eingehalten werden. Um seine ITGovernance-Strategien mit dem Outsourcer umsetzen zu können, sollte der Kunde eine Reihe von Vorkehrungen treffen (siehe Kasten). Wer diese Vorkehrungen einhält, hat seine Hausaufgaben im Bereich IT-Governance gemacht.
Michel Döringer, Head of Financial Services, Swisscom ITServices, Bern.
-----
Checkliste IT-Governance: Zusammenspiel
1. Erstellen einer Liste der aktuellen gesetzlichen Vorgaben, welche er an die IT und den Outsourcer hat.
2. Erfassen der Rahmenbedingungen.
3. Definition seiner wichtigsten Geschäftsprozesse und deren Output.
4. Festlegen, welche seiner Geschäftsprozesse/Outputs wo und wie durch die IT unterstützt werden.
5. Nutzwertanalyse und Klassifikation der Geschäftsprozesse.
6. Klassifikation der einzusetzenden IT-Mittel aufgrund derer Geschäftsrisiken.
7. Definition der mit IT zu unterstützenden Geschäftsprozesse/Outputs.
8. Setzen der Ziele der IT.
9. Festlegen von Messgrössen (Key Performance Indicators KPI) für die IT.
10. Bestimmen von Benchmarks, denen die IT zu genügen hat.
11. Review und Abstimmung der Ziele mit dem Auditor.
12. Absprache und Abgleich der KPI mit dem Outsourcer. Analyse der Feasibility und der Kosten für die Erreichung/Einhaltung der Vorgaben durch den Outsourcer.
13. Bestimmung der Critical Success Factors (CSF) für Zielerreichung und Abgleich mit dem Outsourcer.
14. Festlegen der Schnittstellen zum Outsourcer und der Informationspolitik bezüglich IT-Governance-Regeln.
15. Festlegen der Rollen und Verantwortlichkeiten beider Parteien.
16. Festlegen der durchzuführenden Kontrollen, deren Frequenz und der resultierenden Reports.
17. Festlegen der Change und Eskalationsverfahren.
18. Erstellen eines IT Governance Framework sowie der Policies und Weisungen. (hz)