Information Management & Consulting 23 (2008) 260

In den meisten Unternehmen stellt die IT heute einen wichti-

gen Produktionsfaktor dar, und vielen verschafft kluger IT-Ein-

satz maßgebliche Wettbewerbsvorteile. Darum ist es zweck-

mäßig, auch auf die IT die bewährten Konzepte und Verfahren

der Unternehmensführung anzuwenden, nämlich IT-Gover-

nance auf der strategischen Ebene und IT-Controlling auf der

operativen Ebene.

Beide beruhen auf den Kernprozessen Planen, Messen und

Steuern, allerdings in unterschiedlichen Ausprägungen: Die IT-

Governance bringt Unternehmensstrategie und IT-Strategie in

Einklang, legt geeignete Bewertungsmaßstäbe für die Leistun-

gen der IT fest und vermittelt IT-spezifische Führungs-

grundsätze. Das IT-Controlling umfasst den analytischen Pla-

nungsprozeß für die Produkte und Projekte der IT, die IT-spe-

zifische (Prozeß-) Kostenrechnung und das steuerungsorien-

tierte Berichtswesen, letzteres idealerweise in Form der Balan-

ced Scorecard (BSC).

Sowohl für IT-Governance als auch für IT-Controlling gibt es

Referenzmodelle; diese sind jedoch den materiellen Gegeben-

heiten und der Kultur des Unternehmens anzupassen. Zur Un-

terstützung der einschlägigen Prozesse können in vielen Fällen

die Funktionen vorhandener Standard-Software eingesetzt

werden, was die Kosten für Einführung und Betrieb in Grenzen

hält. Eine solchermaßen gestaltete pragmatische Lösung ge-

währleistet, dass die IT die strategischen Unternehmensziele

bestmöglich unterstützt, dass die IT alle gesetzlichen und re-

gulatorischen Vorschriften einhält, dass die Leistungen und

Kosten der IT transparent werden und dass die IT ihre Ressour-

cen wirksam und rationell einsetzt.

1. Planen, Messen und Steuern der IT

Die Tätigkeit eines Wirtschaftsunternehmens kann durch Men-genflüsse, Werteflüsse und Informationsflüsse beschrieben wer-den; diese Sichtweise bildet die Grundlage der Prozessorganisati-on. Die Logistik, das Rechnungswesen und die IT sind diejenigenOrganisationseinheiten, die für das Planen, Messen und Steuernder entsprechenden Prozesse im Unternehmen verantwortlichsind. Die IT stellt somit für sich einen wesentlichen Produktions-faktor dar, und die meisten Prozesse in den anderen Bereichenwären ohne IT in der heute geforderten Geschwindigkeit, Effizienzund Qualität gar nicht durchführbar. Die in diesem Artikel vorge-stellten Ansätze sind jedoch nicht auf die IT in der produzierendenIndustrie beschränkt, sondern lassen sich gleichermaßen auf die ITin Handels- und (Finanz-) Dienstleistungsunternehmen anwen-den. Selbst eigenständige IT-Dienstleister können von demmarkt-wirtschaftlichen, industriellen Ansatz zu Governance und Con-trolling profitieren.Mithin erscheint es angemessen, die IT ebenso wie die anderenProduktionsfaktoren mit Governance- und Controlling-Methodenzu behandeln. Deren IT-spezifische Ausprägungen sowie die zurUnterstützung der Verfahren geeigneten Werkzeuge beschreibtdieser Artikel. Dabei werden sowohl die strategische als auch dieoperative Ebene betrachtet: Die IT-Governance gibt die Ausrich-tung und die Rahmenbedingungen der IT im Sinne der Unterneh-mensstrategie vor, und das IT-Controlling begleitet die Umset-zung der Vorgaben durch das IT-Management. Sowohl IT-Gover-nance als auch IT-Controlling sollen dabei als „Ober-Prozesse“verstanden werden, die ihrerseits jeweils aus den Prozessen Pla-nen, Messen und Steuern bestehen, welche in der unternehmens-weiten Ablauforganisation auf den entsprechenden Ebenen ein-gerichtet sind. Die IT-Governance bringt Unternehmensstrategie

Planen – Messen – Steuern: Die Kernprozesse

von IT-Governance und IT-Controlling

Robert Brun, Plaut Business Consulting GmbH

KeywordsIT-Governance, IT-Controlling, IT-Strategy, Industrialialisationof IT, Project-Controlling, Risk-Management, Compliance.StichworteIT-Governance, IT-Controlling, IT-Strategie, Industrialisierungder IT, Projekt-Controlling, Risiko-Management, Compliance.

Information Management & Consulting 23 (2008) 2 61

und IT-Strategie in Einklang, legt geeignete Bewertungsmaßstä-be für die Leistungen der IT fest und vermittelt IT-spezifischeFührungsgrundsätze. Das IT-Controlling umfasst den analytischenPlanungsprozeß für die Produkte und Projekte der IT, die IT-spezi-fische (Prozeß-) Kostenrechnung und das steuerungsorientierteBerichtswesen, letzteres idealerweise in Form der Balanced Score-card (BSC). Das IT-Controlling ist ferner mit der betrieblichen Ebe-ne - nämlich mit den Prozessen des IT Service Managements unddes Projektmanagements - durch die innerbetriebliche Leistungs-verrechnung (Metering & Accounting) verknüpft. Diese Hierarchieist in der Abbildung 1 veranschaulicht.Sowohl für IT-Governance als auch für IT-Controlling gibt es Re-ferenzmodelle von Beratungshäusern [1], Wissenschaftlern [2]und Branchenorganisationen [3]; das IT Service Management istvon den internationalen „de facto“ Standards IT Infrastructure Li-brary (ITIL) [4] bzw. Control Objectives for Information and relatedTechnology (COBIT) [5] geprägt. Um zu einer pragmatischen, lang-fristig tragfähigen Lösung zu gelangen, müssen dieseModelle undStandards jedoch den materiellen Gegebenheiten und der Kulturdes Unternehmens angepasst werden. Hierzu empfiehlt sich einestufenweise, projektmäßige Einführung, die schließlich in einenkontinuierlichen Anpassungs- und Verbesserungsprozeß über-geht. Dadurch wird gewährleistet, dass die IT die strategischenUnternehmensziele jederzeit bestmöglich unterstützt, dass die ITalle gesetzlichen und regulatorischen Vorschriften einhält, dassdie Leistungen und Kosten der IT transparent werden und dass dieIT ihre Ressourcen wirksam und rationell einsetztIn den Abschnitten 2 und 3 sind pragmatische Ansätze für IT-Go-vernance und IT-Controlling weiter ausgeführt, die sich als „bestpractice“ in mehr als 20 Jahren bei der Beratungsgruppe Plautherausgebildet haben. Der Abschnitt 4 zeigt auf, welche Werk-zeuge, die in den Unternehmen häufig bereits vorhanden sind, zurUnterstützung herangezogen werden können.

2. IT-Governance2.1 Definition

IT-Governance ist ein Bestandteil der Corporate Governance undumfasst demgemäß die Führung, die organisatorischen Struktu-ren und die Prozesse, welche sicherstellen, dass die IT die Strate-gie und die Ziele des Unternehmens unterstützt [6].IT-Governance legt die Richtlinien, Kriterien und Standards zurEntscheidungsfindung, Überwachung, Messung, Weiterentwick-lung und Verbesserung der Leistung der IT fest [7].IT-Governance ist eine Aufgabe der strategischen Unternehmens-führung; IT-Governance regelt die Zusammenarbeit aller mit ITbefassten Stellen im Unternehmen [8].Die Abbildung 1 zeigt beispielhaft ein IT-Governance Rahmen-werk, welches die wesentlichen Komponenten der strategischenund operativen Ebenen zusammenfasst. Die Ausrichtung der IT aufdie Unternehmensstrategie („Strategic Alignment“) erfolgt dabeiauf der Grundlage der Geschäftsprozesse, d.h. die IT ist gehalten,ihre Leistungen auf die Unterstützung der Geschäftsprozesse zukonzentrieren.

2.2 Die Rolle der IT im Unternehmen

MancheManager ordnen der IT die Rolle eines „Business Enablers“zu, viele aber sehen bloß den „Kostenfaktor IT“. Eine enge Verzah-nung zwischen Unternehmensstrategie und IT-Strategie ist in je-dem Fall unerlässlich. Dennoch zeigt die Praxis, dass die Kluft zwi-schen IT und Unternehmensleitung zunehmend größer wird. Inden seltensten Fällen ist der IT-Verantwortliche in die Erarbeitungder Unternehmensstrategie eingebunden – oft erfährt er erst inletzter Minute von anstehenden Vorhaben.

„IT does not matter“ behauptet Nicholas G. Carr im Harvard Bu-siness Review [9] und meint damit, dass IT als allgemein verfüg-bare Infrastrukturleistung infolge der Standardisierung und Ho-mogenisierung von Technologie, Architekturen und Anwendun-gen überall zur Verfügung steht - wie der Strom aus der Steckdo-se. Nachhaltige Wettbewerbsvorteile seien demnach – auch auf-grund der schnellen Nachahmung guter IT-Lösungen – schwer er-zielbar, und deshalb rechnen sich hohe Investitionen in „leadingedge“ IT-Projekte nicht.

Ob man diese Meinung teilt oder nicht: der zielsichere Einsatz derknappen IT-Ressourcen ist in jedem Fall wichtig.Die IT kann ihre Rolle im Unternehmen am besten wahrnehmen,wenn ein marktwirtschaftliches Kunden / Lieferanten Verhältniszwischen den Bedarfsträgern und der IT besteht. Die Zusammen-arbeit zwischen den beiden Partnern ist in der Abbildung 2 darge-stellt.

2.3 Organisations- und Führungsprobleme der IT

Unternehmensführer rekrutieren sich meist aus den „klassischen“Disziplinen und haben zur IT oft ein ambivalentes Verhältnis. Siekönnen die durch IT erreichbaren Potentiale nicht nützen bzw. –trotz Hinweisen – oft nicht einmal erkennen. Umgekehrt hält sichbei IT-Verantwortlichen das Verständnis für betriebswirtschaftli-che Unternehmensziele und deren optimale Unterstützung durchIT oft in Grenzen. IT-Verantwortliche sind – von reinen IT-Gesell-schaften abgesehen – nur in Ausnahmefällen Mitglieder der Ge-schäftsleitung.

Abbildung 1: Das IT-Governance Rahmenwerk von Plaut

IT Controlling

Information Management & Consulting 23 (2008) 262

Auchwird die IT sowohl von der Geschäftsleitung als auch von denMitarbeitern sehr oft als eigenständiger und vor allem sehr kos-tenintensiver Bereich empfunden, der nicht richtig in die Unter-nehmensstruktur eingebunden ist und die geschäftsrelevantenBedürfnisse nicht ausreichend unterstützt. IT als Zentralbereichmit Querschnittsfunktion? IT dezentral integriert in die Fachberei-che? Führung der IT durch einen CIO oder dem Finanzressort un-terstellt? Diese Fragen müssen im Rahmen der IT-Governance be-antwortet werden. Unabhängig von ihrer Organisationsform soll-te die IT jedoch dieselben Grundsätze und Prozesse wie die ande-ren Fachabteilungen einhalten, vor allem hinsichtlich Logistik(z.B. Einkauf) und Controlling (siehe Abschnitt 3).

2.4 Verstärkte Kostenkontrolle in der IT

Für viele Unternehmen lauten die Prioritäten heute „Konsolidie-rung“, „Konzentration auf das Kerngeschäft“ und „Operational Ex-cellence“. Genau diese drei Themen sind aber sehr eng mit einemsoliden Geschäftsprozessmanagement und der zugrunde liegen-den IT verknüpft. Unbestritten ist, dass ohne IT-Infrastruktur kei-ne Unternehmung bestehen kann. Es muss also darum gehen, diePotentiale, die in der modernen Informationstechnologie stecken,im eigenen Unternehmen möglicht wirkungsvoll, kostengünstig,sicher und risikobewusst einzusetzen.

IT-Investitionen sind oft sehr hoch, und der Nutzen (Return on In-vestment, ROI) ist oft schwer quantifizierbar. Die IT-Governancestellt auf der strategischen Ebene die Konzepte und Werkzeugebereit, um die Informationstechnologie optimal im Sinne der Er-reichung der Unternehmensziele einzusetzen. Auf der operativenEbene sorgt das IT-Controlling (siehe Abschnitt 3) dafür, dass indie richtigen IT-Projekte investiert wird, dass eine laufende Er-folgskontrolle stattfindet und dass am Ende der veranschlagteNutzen auch realisiert wird („Nutzeninkasso“).

2.5 Steigende Leistungsanforderungen an die IT

Im Zeitalter der Akquisitionen, Fusionen, Kooperationen und or-ganisatorischen Umbrüche steht die IT im Unternehmen vorgroßen Herausforderungen. Ein Missachten der nötigen bzw.möglichen IT-Integrationsschritte wird in nicht wenigen Fällenzum Hemmschuh, in manchen Fällen sogar zum Stolperstein fürunternehmensübergreifende Zusammenarbeit.

Gerade die zunehmende wirtschaftliche Vernetzung erfordert so-wohl in den Unternehmungen als auch im öffentlichen Dienst dengezielten Einsatz moderner Informations- und Kommunikations-technologien zur Unterstützung der Geschäftsprozesse.Die IT kann dabei folgende Beiträge zur Wertschöpfung im Unter-nehmen leisten:- systematische Nutzung des in den Geschäftsdaten schlum-

mernden Informations- und Wissenspotentials- Integration von Geschäftsprozessen innerhalb des Unter-

nehmens (Intranet) und mit Partnern (Extranet)- Verringerung von Durchlaufzeiten und Fehlerraten in den

Geschäftsprozessen- Optimierung der Kostenstrukturen- Verbesserung des Leistungsangebotes am Markt (Internet)

In jüngerer Zeit sind zu den internen Leistungsanforderungenauch vermehrt externe hinzugekommen: gesetzliche Vorschriftenwie die 8. EU Audit-Richtlinie, das Gesetz zur Kontrolle und Trans-parenz im Unternehmensbereich (KonTraG), das Transparenzricht-linien-Umsetzungsgesetz (TUG) oder die Grundsätze zum Daten-zugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) machenes notwendig, die „Compliance“ [10] als Bestandteil der IT-Gover-nance zu etablieren.

2.6 Make or Buy

IT-Leistungen müssen heute aufgrund des hohen Homogenisie-rungs- und Standardisierungsgrades nicht zwingend im eigenenUnternehmen erbracht werden; Outsourcing war und ist oft einewirtschaftlich sinnvolle Alternative. Mit „e-business on demand“versuchen beispielsweise professionelle IT-Dienstleister die Un-ternehmen bei der Markteinführung neuer Produkte, deren An-nahme durch die Kunden oft sehr schwer abschätzbar ist, durchUmleitungen von IT-Investitionen auf umsatzabhängige variableKosten zu unterstützen.

3. IT-Controlling3.1 Aufgaben des prozessorientierten IT-Controlling

In vielen IT-Abteilungen sind weder die Kosten noch deren Vertei-lung transparent; auch gibt es selten eine Zuordnung der IT-Kos-ten zu den Geschäftsprozessen. Daher fällt es schwer, Einsparpo-tenziale systematisch aufzudecken, und der Rotstift wird oft will-kürlich angesetzt. Allerdings gefährden unbedachte Streichungenin der IT die Zukunftsfähigkeit des Unternehmens. Gefragt ist da-

Abbildung 2: Das marktwirtschaftliche Kunden / Lieferanten Verhält-nis

Information Management & Consulting 23 (2008) 2 63

her ein wirksames IT-Controlling als Teil des Unternehmenscon-trollings, das die Kosten auf operativer Ebene optimiert und die ITstrategisch im Sinne der Unternehmensziele steuert.

Um IT-Controlling sinnvoll im Unternehmen zu etablieren, bedarfes eines ganzheitlichen Konzepts. Dieses ist in nach dem Refe-renzmodell von Plaut [11] in fünf Aufgabengebiete unterteilt:- Portfolio-Management (PFM): auf die Unternehmensstrate-

gie ausgerichtete Bewertung und Priorisierung der Investi-tionsvorhaben (= IT-Projekte)

- Projekt-Controlling (PRC): qualitätsorientierte, termin- undbudgetgerechte Projektabwicklung

- Produkt- und Infrastruktur-Controlling (PIC): IT-Produktbil-dung, Service Level Agreements und Service Level Manage-ment, Bedarfsplanung, Ressourcenplanung, interne Leis-tungsverrechnung

- Risiko-Management und Compliance (RMC): Handhabungder IT-spezifischen Projekt- und Betriebsrisiken, IT-Sicher-heit, Einhaltung der gesetzlichen und regulatorischen Vor-schriften

- Balanced Scorecard (BSC) für die IT: auf Kennzahlen und Ur-sache-/Wirkungs-Beziehungen gestütztes Steuerungsin-strument für das IT-Management

Die Abbildung 3 zeigt die logischen Zusammenhänge der Aufga-bengebiete, welche den Lebenszyklus eines typischen IT-Vorha-bens abbilden: Alle Vorhaben werden zunächst in einem Portfoliogesammelt und nach ihrem Nutzen priorisiert; die freigegebenenProjekte erstellen sodann die geplanten Produkte (z.B. ein Anwen-dungsprogramm), und die Produkte werden schließlich nach derÜberführung in den Betrieb proportional gemäß Leistung – undnicht pauschal als Umlage – an die Abnehmer in den Fachberei-chen verrechnet. Die Module RMC und BSC begleiten diesen Le-benszyklus im Sinne permanenter Management-Prozesse.

Die Erfahrung zeigt, dass bereits die Transparenz der Herstellkos-ten, die durch das Produkt- und Infrastruktur-Controlling (PIC)geschaffen wird, ein besseres Kostenbewusstsein bei den Bedarfs-trägern erzeugt. Dies führt meistens schon zu einer kritischen Prü-fung ihrer Leistungsanforderungen, und in der Praxis konnten er-

hebliche Einsparungen bei den Sachkosten beobachtet werden,ohne dass das Management von oben herab Kürzungen verordnethätte.Die klare Strukturierung der Leistungsprozesse und die Transpa-renz der Herstellkosten helfen auch dem IT-Management bei derstrategiekonformen Allokation der IT-Ressourcen. Zusammen miteinem marktwirtschaftliches Kunden / Lieferanten Verhältniskann somit der Wandel der IT vom „Kunsthandwerk“ zur „Indus-trie“ vollzogen werden.

3.2 Die richtigen IT-Vorhaben genehmigen

Um den Anforderungen desMarktes nachzukommen, entstehen inden Unternehmensbereichen laufend Vorhaben, die systematischbewertet und koordiniert werden müssen, damit die verfügbarenInvestitionsmittel zum Besten des Gesamtunternehmens einge-setzt werden. Da viele dieser Vorhaben auch IT-Ressourcenbenötigen, ist es zweckmäßig, das IT-Controlling bereits beimPortfoliomanagement (PFM) anzusetzen. Dabei steht die Relevanzder Vorhaben in Bezug auf die Unternehmensziele im Vorder-grund; weitere Bewertungskriterien sind der veranschlagte Nut-zen, die geplanten Kosten und die erwarteten Risiken. Allfällige IT-spezifische Vorhaben wie beispielsweise Modernisierung der In-frastruktur sind genau so wie die Vorhaben der Fachbereiche alsBestandteile des Gesamtportfolios zu verstehen.Der strategische Abstimmprozeß auf der Gesamtheit der bewerte-ten Vorhaben führt zu einem Paket priorisierter und genehmigterVorhaben, die in weitere Folge als (Entwicklungs-) Projekte aufzu-setzen und durchzuführen sind, wie aus der Abbildung 4 hervor-geht. In der Praxis hat es sich als zweckmäßig erwiesen, auch diesogenannten „Muss-Projekte“ in demselben Verfahren zu behan-deln, um sicherzustellen, dass deren Ressourcen- und Zeitbedarfin allen nachfolgenden Planungen berücksichtigt wird.

Die Fachbereiche sind für das Portfolio-Management verantwort-lichIn einem typischen Portfolio werden zwar viele Projekte einen IT-Anteil enthalten, jedoch sollten bei ihrer Bewertung immer dieAuswirkungen auf die Fachbereiche im Vordergrund stehen. Kön-nen Prozesse in den Fachbereichen durch eine neue IT-Lösung ef-fizienter ablaufen? Werden Fehler oder Redundanzen in der Pro-zessdurchführung vermieden? Kann das neue IT-System helfen,Bestände effizienter zu disponieren? Kann das neue System dieMarktbearbeitungsprozesse besser unterstützen, sodass sich Um-satzsteigerungen – und in Folge Gewinnsteigerungen generierenlassen? Der IT-Bereich ist mit der Beantwortung dieser Fragenüberfordert. Hier müssen die Fach- und Marktbereiche ihre Ab-schätzungen zu Zielunterstützung, Kosten, Nutzen und Risikenliefern. Dabei sind alle von einem neuen IT-System berührten Pro-zessschritte und die damit betrauten Organisationseinheiten zuberücksichtigen.

Abbildung 3: die Aufgabengebiete des IT-Controlling im Lebenszykluseines typischen IT-Vorhabens

IT Controlling

Information Management & Consulting 23 (2008) 264

Projektevaluierung spart KostenNatürlich bedeutet dies einen gewissen Aufwand für die Projekt-evaluierung. Allerdings helfen systematische und sorgfältige Vor-untersuchungen, teure Fehlinvestitionen zu vermeiden. Gleichzei-tig wird dabei Wissen generiert, das für eine umfassende Projekt-planung – inklusive Risikoanalyse – und eine reibungslose Pro-jektdurchführung erforderlich ist. Verschafft sich ein Unterneh-men dieses Wissen nicht vor Projektstart, sind unangenehmeÜberraschungen vorprogrammiert, die wiederum zu Projektverzö-gerungen führen. Leider werden immer noch in vielen Unterneh-men die Aufwände für Projektevaluierungen, die letztlich viel-leicht zu einer Ablehnung des Projektantrags führen, als Zeit- undGeldverschwendung betrachtet. Entscheidungssicherheit bedarfjedoch des Wissens um Sachverhalte, und Wissen kostet Geld, wiedas ausgeführte Beispiel verdeutlicht (-> Infobox).Der standardisierte Beantragungsprozess im Portfolio-Manage-ment gewährleistet die Bereitstellung aller bewertungs- und ge-nehmigungsrelevanten Daten oder Kennzahlen in einer einheitli-chen Form und sichert somit die faire, nachvollziehbare Bewer-tung aller Vorhaben und die effiziente Durchführung der Bewilli-gung. Ein formalisierter, geregelter Prozeß bietet zudem die Chan-ce, die Entscheidungsvorbereitung auf eine breitere Basis zu stel-len („second opinion“).Grundsätzlich muss sich eine IT-Investition mit Investitionen inProduktionsanlagen oder andere Infrastruktur vergleichen lassen.Um nach der Durchführung der Investition festzustellen, ob sichder vorhergesagte Nutzen tatsächlich eingestellt hat, sollte auchein formales Nutzeninkasso durchgeführt oder zumindest ein sys-tematisches Nutzencontrolling etabliert werden. Dabei kann zwar

nicht ausgeschlossen werden, dass sich die Auswirkungen ver-schiedener Maßnahmen überlagern oder dass sich die Rahmenbe-dingungen in der Zeit zwischen Genehmigung und Nachbetrach-tung ändern, doch darf dies kein Hinderungsgrund für das Nut-zencontrolling sein; die systematische Auswertung der Erfahrun-gen und deren Einbringung in zukünftige Vorhaben lohnen denAufwand in jedem Fall. Erfahrungsgemäß bewirkt das Vorhanden-sein eines solchen Verfahrens auch realistischere Nutzenverspre-chen in den Projektanträgen.

3.3 IT-Projekte zum Erfolg steuern

Jedes einzelne Projekt wird im Projekt-Controlling (PRC) laufendverfolgt. Dadurch können Warnsignale rechtzeitig wahrgenom-men und die Chance auf eine termin- und budgetgerechte Fertig-stellung gesichert werden – was letztlich für den Investitionser-folg ausschlaggebend ist. Die Berechnung des betriebswirtschaft-lichen Nutzens einer Investition erfolgt üblicherweise nach derBarwert-Methode. Treten im Projektablauf Verzögerungen auf,werden Kostenreduzierungen oder zusätzlicher Nutzen späterrealisiert. Das führt zu einer stärkeren Diskontierung der erwarte-ten, positiven monetären Wirkungen bzw. zu einer Verringerungdes Barwerts in der Investitionsrechnung. Der Vorteil einer Inves-tition unter Kosten-Nutzen-Aspekten kann somit also schrump-fen, sodass bei größeren Änderungen im Projektablauf durchauseine Neubewertung angezeigt ist, die unter Umständen zu einerRückstufung des Projektes führen kann.

Abbildung 4: Der Lebenszyklus eines IT-Vorhabens

Information Management & Consulting 23 (2008) 2 65

Das PRC bedient sich in erster Linie derjenigen Merkmale für Kos-ten, Zeit, Risiko und Qualität, die der Bewertung im PFM zugrun-de lagen; diese Kontinuität ist wichtig, um am Ende auch dendurch das Projekt erzeugten Nutzen überprüfen zu können.

3.4 IT-Produkte richtig definieren und kalkulieren

Das Produkt- und Infrastrukturcontrolling (PIC) bildet - analog zurindustriellen Güterproduktion – die betriebswirtschaftlicheGrundlage der Leistungserbringung der IT. Dabei geht es darum,den Herstellprozeß der IT-Produkte, der üblicherweise nach einemIT-Referenzmodell (z.B. ITIL, COBIT) organisiert ist, aus betriebs-wirtschaftlicher Sicht nachzubilden, um zu einer kaufmännischenErzeugniskalkulation zu gelangen. Bei Bedarf kann diese durch ei-ne Verkaufspreiskalkulation, Deckungsbeitragsrechung und Er-gebnisrechnung ergänzt werden. Letztere lässt sich auch multidi-mensional ausführen, um dem Management der IT-Organisation

alle Aspekte ihres Produktportfolios – beispielsweise die Sichtnach Kundengruppen oder Technologien - aufzuzeigen. Dies istvor allem für einen eigenständigen, auf dem freien Markt tätigenIT-Dienstleister wichtig.Gemäß dieser Analogie lässt sich PIC mit den Standardverfahrender industriellen Güter- und Leistungsproduktion, beispielsweiseArbeitsplänen oder Stücklisten, leicht realisieren; alternativ kön-nen zu diesem Zweck auch spezielle Konstruktionen aus der Kos-tenrechnung (Kostenstellen, Kostenarten) oder die Prozeßkosten-rechnung (Activity Based Costing, ABC) eingesetzt werden. In je-dem Fall sind zunächst verkaufbare Produkte mit konkretem Nut-zen für die Fachbereiche einschließlich Qualitätsmerkmalen (Ser-vice Levels) zu definieren. Anhand der Bedarfsplanungen derFachbereiche wird der Bedarf an IT-Ressourcen für die Herstellungabgeschätzt. Die Preise für die IT-Produkte entstehen am Endedurch eine kaufmännische Erzeugniskalkulation, nötigenfalls ineinem iterativen Verfahren. Die Abbildung 6 zeigt vereinfacht denanalytischen Planungs- und Kalkulationsprozeß für IT-Produkte.

Die transparenten Preise der IT-Produkte und die verursacherge-rechte Abrechnung bewirken ein stärkeres Kostenbewusstsein beiden Fachbereichen: Bestellt und bezahlt wird nur, was Nutzenbringt. So nahmen in einem Unternehmen beispielsweise dieFachbereiche ihre Anforderungen von Flachbildschirmen und mo-bilen Endgeräten drastisch zurück, als die Belastung der Benut-zerkostenstellen in der Jahresplanung offenkundig wurde. Gleich-zeitig sind Unternehmen in der Lage, mit der internen IT-Leis-tungsverrechnung und dem an Bedarfsmengen orientierten Pla-nungsprozess die IT-Kapazitäten anzupassen und so die Kostennachhaltig zu senken.

Abbildung 6: Der analytische Planungs- und Kalkulationsprozeß für IT-Produkte

Abbildung 5: Priorisierungs- und Bewertungsschema für IT-Vorhaben

IT Controlling

Information Management & Consulting 23 (2008) 266

Darüber hinaus liefert die interne IT-Leistungsverrechnung exak-te Steuerungsinformationen über die Marktleistungen des Unter-nehmens, denn die IT-Kosten lassen sich direkt den verschiedenenProdukten zuordnen. Auf diese Weise können auch die Deckungs-beiträge genauer ermittelt werden, um beispielsweise fundierteSortimentsentscheidungen zu treffen. Dies ist ein erheblicherFortschritt gegenüber den unklaren und oft ungerechten Gemein-kostenumlagen.

3.5 Mit IT-Risiken umgehen und Ordnungsmäßigkeitgewährleisten

Das Modul Risiko-Management und Compliance (RMC) machtdeutlich, welche Risiken bestehen, welche gesetzlichen und regu-latorischen Auflagen einzuhalten sind und welche Kosten diesverursacht. Diese Kosten sind im Rahmen einer modernen Unter-nehmenssteuerung bei der Gestaltung des Marktsortiments zuberücksichtigen.

Gesenkte Risikokosten sind gesenkte ProzeßkostenDie Analyse von Prozessen unter IT-Risiko- und Compliance-Aspekten führt zur Identifikation von speziellen Kosten, die denLeistungs- bzw. Produktionsprozessen und damit den IT-Produk-ten und weiter den Marktprodukten (sofern eine IT-Leistungsver-rechnung implementiert ist) zuzuordnen sind. Die Reduzierungvon Risiken und damit auch der Risikokosten führt somit unmit-telbar zu einer Verminderung der echten Prozesskosten und somitzu einer Steigerung der Prozesseffizienz.Darüber hinaus bietet eine offene Verrechnung der Risikokosten,die bisher meist über das allgemeine unternehmerische Risiko unddamit im Eintrittsfall über die Reduzierung des Unternehmensge-winns höchst intransparent getragen werden, dem Unternehmeneine detailliertere Steuerungsinformation hinsichtlich seinerMarktprodukte. Kann ein Produkt seine spezifischen Risikokostenselbst tragen und lässt sich ein positiver Deckungsbeitrag errech-nen, oder erfolgt eine stillschweigende Quersubventionierungdurch andere Marktprodukte?Mit Hilfe moderner ERP- oder Business Intelligence (BI) Systeme,die in den Unternehmen heute meistens bereits vorhanden sind,lässt sich ein Risikomanagement- und Frühwarnsystem mit ver-tretbarem Aufwand etablieren. Die Unterstützung des Risikoma-nagements, der Überwachungs- und Protokollierungsaufgabensowie der Eskalationsverfahren durch ein IT-System ist besondersfür jene Unternehmen wichtig, die gesetzlich zur Führung einesInternen Kontroll-Systemes (IKS) verpflichtet sind.

3.6 IT-Prozesse überwachen und steuern

ZumMessen und Steuern der Prozesse in der IT-Organisation wer-den Kennzahlen benötigt. Die bereits genannten Referenzmodel-le enthalten nicht nur Prozeßstrukturen, sondern auch Meßpunk-te und Kennzahlen zur Quantifizierung der Abläufe. Auf der ope-rativen Ebene kommen somit recht viele Kennzahlen zusammen,die häufig auch logisch verknüpft sind. Für die Belange des IT-Ma-

nagements ist es deshalb hilfreich, diese Kennzahlen in einer Ba-lanced Score Card (BSC) zu organisieren, um die Hierarchien an-zubilden (Verbindung zwischen operativer und strategischer Ebe-ne) und die Wechselwirkungen niederzulegen (Ursache / Wirkung– Beziehungen).Eine IT-BSC ist ein an Kennzahlen orientiertes Führungsinstru-ment, das selbst keine neuen Informationen erzeugt, sondern dieInformationen aus relevanten Quellsystemen verdichtet. BevorUnternehmen eine solche IT-BSC implementieren, müssen sie dieSteuerungsziele für die IT sowie die Wechselwirkungen der Steue-rungsgrößen untereinander festlegen. Darüber hinaus sind dieDatenquellen für die Kennzahlen zu erschließen. Letzteres ist ineinem integrierten ERP-System relativ einfach und vor allem mitgesicherter Datenqualität zu bewerkstelligen. Moderne BI-Syste-me stellen standardmäßig Komponenten bereit, um Kennzahlenzu kodifizieren und BSC-Tableaus zu erstellen (siehe Abschnitt 4).Um die wertvollen IT-Ressourcen richtig zu bewirtschaften, gibtes langfristig keine Alternative zum IT-Controlling. Die Erfahrungzeigt, dass nur jene Unternehmen auf lange Sicht erfolgreich sind,die ihre IT betriebswirtschaftlich im Griff haben und sie im Sinneder Unternehmensstrategie weiterentwickeln.

4. Umsetzung4.1 IT-Governance und IT-Controlling müssen nicht teuer

sein

Das integrierte prozessorientierte Steuerungsmodell des IT-Con-trollings ermöglicht eine vielfältige Steigerung der Prozesseffizi-enz sowohl in der IT als auch in den Fachbereichen. Darüber hin-aus können zusätzliche Steuerungsinformationen bezüglich derMarktprodukte gewonnen werden. Die zu einer Implementierungdes Konzepts im Unternehmen erforderlichen Systeme sind meistbereits vorhanden, werden jedoch selten in der erforderlichen ArtundWeise genutzt. Erfahrung und Know-how vorausgesetzt, kön-nen die Prozesse der IT-Governance und des IT-Controllings so-wohl auf der Basis vorhandener Standard-Software als auch mitHilfe der bekannten Office-Applikationen „mit Bordmitteln“, d.h.kostengünstig unterstützt werden.

4.2 Werkzeuge für IT-Governance

Falls es in den Unternehmen überhaupt Werkzeuge für CorporateGovernance und IT-Governance gibt, sind diese oft insular und in-kohärent, d.h. auf einzelne Aspekte oder Bereiche beschränkt.Deshalb muß das erste Ziel eines Werkzeug-Einsatzes sein, eineeinheitliche Plattform zu schaffen, auf der alle Governance-rele-vanten Informationen ohne System- und Medienbrüche zusam-mengeführt werden.Eine Business-Intelligence-orientierte Lösung auf Data Ware-house Basis bietet die zetVisions AG an, wobei der Schwerpunktauf Corporate Governance und Compliance liegt [12]. Es wirdauch ein spezifisches ETL-Tool bereitgestellt, mit dem die relevan-ten Daten aus beliebigen Quellsystemen extrahiert werden kön-nen.

Information Management & Consulting 23 (2008) 2 67

Als erster großer Hersteller von ERP Standard-Software hat dieSAP AG im Jahr 2006 mit dem Produkt „Governance, Risk & Com-pliance (GRC)“ eine Lösung auf den Markt gebracht, die alle not-wendigen Funktionen auf einer einheitlichen IT-Plattform anbie-tet. Die Funktionalität reicht von der Dokumentation von Richtli-nien („policies“) bis zur Verwaltung von Zugriffsrechten auf IT-Systeme („access control & monitoring“).

4.3 Werkzeuge für Portfolio-Management und Projekt-Controlling

Mit den Funktionsbausteinen der marktgängigen ERP- und BI-Systeme lässt sich für jedes Unternehmen ein Portfoliomanage-ment-Prozess mit individuellen Bewertungsschemata abbilden.Dazu sind die Standardfunktionen des Projektmanagements unddes DataWarehouses so zu kombinieren, dass sowohl die transak-tionalen als auch die analytischen Anforderungen erfüllt werden.

Eine integrierte PFM-Lösung bietet mehrere Vorteile: Die zur Be-wertung und Priorisierung erfassten Daten müssen nach der Ge-nehmigung eines Projektes nicht erneut eingegeben werden, son-dern stehen auch zur Projektsteuerung und zum Controlling zurVerfügung. Dies spart Zeit und vermeidet Übertragungsfehler.Zudem kann das Portfolio bereits laufender und beantragter Pro-jekte jeweils neu priorisiert werden, wenn sich die grundsätzli-chen Entscheidungsparameter ändern, etwa die Gewichte in denBewertungsdimensionen oder der Dimensionen zueinander, oderwenn Verzögerungen in der Projektabwicklung eine Neudispositi-on der Ressourcen erfordern. Sollen sich beispielsweise Projekt-kosten kurzfristig amortisieren, bekommen wirtschaftlicheAspekte eine größere Bedeutung. Oder das Unternehmen will denGrundstein für künftigen Erfolg legen und gibt der strategischenKomponente der Projektbewertung mehr Gewicht. Möglicherwei-se führt ein Wechsel an der Unternehmensspitze dazu, Fragestel-lungen zu den Risiken stärker zu betonen. Mit entsprechendermaschineller Unterstützung lässt sich das Projektportfolio raschan die neuen Bewertungspräferenzen anpassen.

4.4 Werkzeuge für das Produkt- und Infrastruktur-Controlling

Viele Unternehmen besitzen bereits ein leistungsfähiges ERP-Sys-tem, dessen Standardfunktionen für das Produkt- und Infrastruk-tur-Controlling genutzt werden können. Dazu gehören etwa dieObjekte und Strukturen für Kostenstellen und Kostenarten, die Be-handlung von Anlagegütern und Projekten sowie verschiedeneVerrechnungsverfahren bis hin zur Prozesskostenrechnung. DiePlanungs-, Kalkulations-, Controlling- und Abrechnungsverfah-ren des PIC lassen sich auf unterschiedliche Weisen implementie-ren, die sich entweder stärker an Kostenstellen (Cost CenterAccounting) oder mehr an Prozessen (Activity Based Costing, ABC)orientieren [13]. Es empfiehlt sich, die Deckungsbeitrags- und Er-gebnisrechnung zu nutzen, wenn die IT-Produkte nicht explizitfakturiert werden sollen.

Die Nutzung des vorhandenen ERP-Systemes vermeidet die An-schaffungs- und Betriebskosten eines dedizierten IT-ControllingWerkzeuges; sie minimiert ferner den Aufwand für Schnittstellen,Datenerfassung, Reporting und Anwenderschulungen.

Ein professionelles IT-Service-Management, wie es beispielsweiseder ITIL-Standard vorgibt, verlangt heute fast alle Funktionen, dieman in den Service- und Helpdesk-Modulen moderner CustomerRelationship Management Systeme (CRM) findet, vom IncidentManagement bis zum Installed Base Management. Ist das CRMmit dem ERP integriert, lassen sich die Prozesse des IT-Service-Managements im Zyklus des "engage – transact - fulfill - ser-vice" ohne System- und Medienbrüche unterstützen. Als Alterna-tive zum CRM bietet sich die Nutzung der Funktionalitäten an,welche ERP-Systeme üblicherweise im Bereich der Instandhal-tung enthalten. Diese Prozesse reichen vom Help Desk über dieAufnahme eines Reparaturauftrages bis zur Planung von War-tungsmaßnahmen.Für ein detailliertes, differenziertes Service Level Reporting eignensich die Funktionen eines Data Warehouses besonders gut, na-mentlich das multidimensionale Datenmodell und das ExceptionReporting. Geeignete Strukturen und Kontierungen vorausge-setzt, lassen sich auf einfache Weise Plan-/Ist-Vergleiche oderTrend-Reports für die IT erstellen. Zudem können die gesammel-ten Daten auch für das Risikomanagement und den Nachweis derCompliance bzw. den Aufbau eines Internen Kontroll-Systemes(IKS) verwendet werden.Der Standard-Software Hersteller SAP AG bietet neuerdings inseiner BI-Komponente auch vorgefertigte Objekte und Verfahren(„Business Content“) für das Service Level Management an, wobeineben Prozeßdaten aus den Fachanwendungen des ERP auch Leis-tungsdaten aus der technischen Basis (SolutionManager) zur Ver-fügung gestellt werden.

Projektevaluierung

In einem Unternehmen der metallverarbeitenden Industrie standdie Einführung eines neuen ERP-Systems auf der Tagesordnung. Indie entsprechende Voruntersuchung waren IT, Zentralbereicheund Produktionsstandorte einbezogen. Bei einem Investitionsvo-lumen im oberen einstelligenMillionen-Euro-Bereich erschien einVoruntersuchungsbudget von } 93 000 (interne und externe Kos-ten) als angemessen. Die Untersuchung bestätigte eine Amortisa-tionsdauer von etwa 2,75 Jahren. Bei einer erwarteten Nutzungs-dauer von sieben Jahren würde es sich also um eine rentable In-vestition handeln. Ein bis fünf Prozent der geplanten Einzelinves-titionssumme – oder etwa zwei Prozent des gesamten Investiti-onsvolumens – sind ein akzeptabler Preis für die Auswahl des Sys-tems mit dem besten Kosten-Nutzen-Verhältnis oder die Ausson-derung eines unrentablen Projekts. Die Rentabilität der Gesamtin-vestitionen lässt sich so signifikant erhöhen. OrganisatorischeVoraussetzungen für die Durchführung von PFM sind die Defini-tion eines entsprechenden Beantragungsprozesses sowie einesunternehmensweiten Bewertungsschemas.

IT Controlling

Information Management & Consulting 23 (2008) 268

Literatur

[1] Beranek K. et al.: Abschlußbericht Arbeitskreis „IT-Gover-nance“, GUIDE SHARE EUROPE 2004, http://www.gse.org/ABOUTGSE/GSEProjects/

[2] S. Sewera: Referenzmodelle im Rahmen von IT-Governance,Seminararbeit aus Informationswirtschaft,Wirtschaftsuniversität Wien, 2005

[3] IT-Governance für Geschäftsführer und Vorstände, The IT-Governance Institute 2004, http://www.itgi.org

[4] The IT Service Management Forum, IT Infrastructure Library(ITIL) http://www.itsmfi.org

[5] ISACA (Information Systems Audit and Control Association),Control Objectives for Information and Related Technology (CO-BIT), http://www.isaca.org/cobit

[6] Meyer M., Zarnekow R., Kolbe L.: IT-Governance: Begriff, Sta-tus quo und Bedeutung, WIRTSCHAFTSINFORMATIK 45 (2003) 4,S. 445–448

[7] Weill P.: Don’t Just Lead, Govern: How Top-Performing FirmsGovern IT, MIT Sloan Institute of Management, Center for Infor-mation Systems Research, CISR WP 341, March 2004,

[8] Weill P.: IT Governance on One Page, MIT Sloan Institute ofManagement, Center for Information Systems Research, CISRWP 349, November 2004,

[9] Carr, N.G.: IT doesn't matter, Harvard Business Review, Mai2003

[10] Ratzer P.: Zentrale Komponenten von IT-Governance identi-fizieren, CIO-Magazin 05/2007,http://www.cio.de/knowledgecenter/rm/836006/

[11] Jaeger F.: Prozeßorientiertes Controlling der Informations-verarbeitung, Kostenrechnungspraxis 9/1999

[12] Pürsing M.: Corporate Governance und Beteiligungsma-nagement, Zeitschrift für Corporate Governance 01/2008

[13] Brun R., Hasse A., Kunze C.: Kalkulation und Leistungsver-rechnung in der IT, in: Praktisches IT-Management, Herausgeber:Blömer, Mann, Bernhard, Symposion Verlag, 2006

Über Plaut

Die moderne Kostenrechnung ist untrennbar mit dem NamenPlaut verbunden. Hans-Georg Plaut (1918 - 1992) gilt als Pioniereines wissenschaftlich fundierten Kostenmanagements und alsInnovator der Beratungsbranche.Die Beratungsgruppe Plaut ist seit ihrer Gründung im Jahr 1946ein Pionier in der Entwicklung wegweisender Systeme für Unter-nehmensplanung, -steuerung und -controlling. Der wissenschaft-

liche Beitrag des Firmengründers Hans-Georg Plaut liefert diekostenwirtschaftliche Basis moderner Softwaresysteme. Unteranderem auch für die entsprechenden Softwaremodule der SAPAG.

Die Beratungsgruppe Plaut ist eine börsennotierte Management-Beratung mit regionalem Schwerpunkt in der Region Deutsch-land, Österreich, Schweiz. Die Kernkompetenzen umfassen alleBelange der Unternehmenssteuerung in den Bereichen Rech-nungswesen, Logistik und IT. Als SAP-Partner setzt Plaut diese Lö-sungen in Anwendungssysteme um, die dem neuesten Stand derTechnik entsprechen.

Autor

Dr. rer. nat. Robert BrunPlaut Business Consulting GmbHBusiness Manager IT-GovernanceMax-von-Eyth-Strasse 385737 IsmaningTel. 089/96280-155E-Mail: Robert.Brun@plaut.deInternet: www.plaut.de

Plan – Measure – Guide: The Core Processes ofIT-Governance and IT-Controlling

Today IT is an important asset in most enterprises, and mostof them enjoy competitive advantages through diligent useof IT. Thus it is reasonable to apply to the IT the proven con-cepts and procedures of corporate governance, namely IT-Governance at the strategic level and IT-Controlling at theoperational level.Both comprise the core processes of planning, measuring andguiding, however in different manifestations: IT-Governancealigns enterprise strategy and IT strategy, defines bench-marks to assess the IT, and provides IT-specific leadership. IT-Controlling provides the analytical planning process for ITproducts and services, IT-specific cost accounting (or activi-ty based costing), and management-oriented reporting, ide-ally by way of a balanced scorecard (BSC).Reference models exist for both IT-Governance and IT-Con-trolling, but they must be adapted to the situation and theculture of the enterprise. Functionality supporting those pro-cesses can often be found in a company’s standard softwareinventory, thereby limiting the cost of implementation andoperation. Such a tailored and pragmatic solution guaran-tees optimum support of the enterprise goals through IT, fullaccountability for services and costs of IT, as well as effectiveand efficient deployment of IT resources.