Die IT in KMUs zeichnet sich in der Regel dadurch aus, dass sie in Funktionsunion mit anderen Bereichen geleitet wird, dass es keine hausinterne EDV-Abteilung gibt und dass IT-Leistungen von lokalen Kleinanbietern zugekauft werden. Der Standardisierungsgrad von Hardware und Software ist im Allgemeinen gering, der Fokus liegt im „Betrieb“ und „management by incident“. Service Levels sind nicht definiert, Budgetierung und Reporting der IT Kosten oft nicht vorhanden, die IT-Ausgaben ohnedies gering. In der einen oder anderen Fachabteilung sitzt zudem ein Mitarbeiter mit besonderer IT-Affinität, der sich – oft in unbezahlter Freizeit – in der Programmierung von MS – Access Datenbanken etc. übt.
Dies ist tatsächlich auch ok so (!!!), denn klarerweise liegen IT-Struktur und Steuerungsschwerpunkte zwischen KMUs und Großbetrieben weit auseinander. Dennoch gilt das „ok“ nur mit folgender Einschränkung:
- Ist bekannt womit sich die IT beschäftigt / beschäftigen soll und ob die bereitgestellten Mittel zielgerichtet verwendet werden?
- Weiß das Unternehmen wie viel Geld es für IT ausgibt und wie IT-Beschaffungsvorgänge ausgelöst und abgewickelt werden?
- Beschäftigt sich das Unternehmen fallweise mit bestehenden IT-Chancen und -Risiken und erfüllt es die Kriterien im Sinne einer „license to operate“?(Etwa Einsatz lizensierter und vom Hersteller gewarteter Software – Versionen, Datenschutzgesetz, ABGB, AGB, Schutz vor unerlaubten Zugriff auf Daten etc.)
Vorgehensmodell
1.) Definition einer klaren Zielsetzung für Steuerungsmaßnahmen:
Auch wenn sich die Motivation für die Verbesserung der IT-Steuerung zwischen Klein- und Großbetrieben nicht zwangsweise unterscheiden muss, lässt sich doch die Tendenz erkennen, dass Themen wie Security, Compliance, Integrität allein schon wegen der Spezialisierung des Know Hows vor allem in Großbetrieben eine Rolle spielen, auch Compliance i.e.S. wird in erster Linie Aktiengesellschaften abverlangt (Basel II, Solvency etc…). Die IT-Operations – allen voran die Verfügbarkeit der Systeme und bedarfsgerechte Service Levels – sind zwar generell „oberstes Gebot“, aber ebenso bei tausend oder mehr Anwendern ungleich wichtiger als in kleinen Teams mit oft praktikablen Workarounds.
Die Zielsetzung der IT-Steuerung in KMUs liegt erfahrungsgemäß vor allem in der zweckgerichteten Mittelverwendung, der operativen Steuerung des Geldflusses und der Optimierung der damit verbundenen Prozesse.
Für die Ableitung unseres Beispiels sei folgende Zielsetzung angenommen:
- Es ist sicherzustellen, dass nur mit den Geschäftsinteressen konform gehender IT-Aufwand (intern wie extern) betrieben wird und das Geld „zielgerichtet“ ausgegeben wird
- Es ist der operative Geldfluss für die IT – allen voran die Beschaffung von HW und SW – durch geeignete Maßnahmen zu regeln
- Als logische Konsequenz: IT Ausgaben sind zu budgetieren und einem laufenden Soll-Ist-Vergleich zu unterziehen.
2.) Identifikation der relevanten IT–Geschäftsprozesse:
Literatur und industrielle Praxis zeigen eine Reihe von IT-Steuerungsmodellen, die vereinfacht ausgedrückt allesamt das Ziel haben, die IT an der Strategie des Unternehmens auszurichten, IT-Risiken zu minimieren und mittels geeigneter Prozessmodelle ein umfassendes strukturelles Fundament für IT-Management zu schaffen. Beispiele dafür sind etwa: ITIL, COBIT, MOF, ISO27001 (BS7799), etc. Vor allem COBIT (Control Objectives for Information Technology) liefert ein sehr umfassendes Framework, das Geschäftsanforderungen und IT-Prozesse (sowie erforderliche Ressourcen) in einen überschaubaren und gut verständlichen Zusammenhang bringt (siehe u.a. Matrix). Diese Modelle zeigen ihre Stärke vor allem in Großunternehmen oder Konzernorganisationen.
Dennoch sind derartige Modelle auch für KMUs zumindest in einem Punkt von Nutzen: Sie unterstützen bei der Auswahl des oder der wichtigsten Steuerungsziele und Zuordnung der relevanten IT-Prozesse, wie in der u.a. Matrix (Abbildung 1) dargestellt.
Neben der Auswahl der relevanten Prozesse und deren Priorität für die Zielsetzung („rote“ Markierungen in der Prioritätenspalte der u.a. Tabelle identifizieren hohe Priorität), wird auch auf die Istsituation im jeweiligen Unternehmen Bezug genommen und der Handlungsbedarf der Priorität entgegengestellt. Ein Prozess kann somit trotz hoher Wichtigkeit keinen Handlungsbedarf haben, wenn er eben aus Sicht der IT-Steuerung schon gut geregelt ist. In unserem Beispiel trifft dies etwa für das Change Management – also die Einlastung und Umsetzung von Anforderungen und deren Umsetzung – zu.
Der Blick auf die „Landkarte“ der roten Markierungen in der Tabelle macht vor allem deutlich, wie zielgerichtet und schlank man in der Ausprägung eines sinnvollen IT-Steuerungsmodells für KMUs vorgehen kann. Ein Schritt von „Hobbyismus“ zur gut dosierten professionellen IT-Steuerung ist mit wenig Aufwand vollziehbar.
Hat man die Prozesse identifiziert, so folgt als nächster Schritt die Identifikation notwendiger Verfahrensanweisungen oder Referenzdokumente (Pkt. 3).
Abbildung 1: Matrix Prozesse / Geschäftsanforderungen
3.) Definition der prozesskorrelativen Maßnahmen:
Die Fortführung des Beispiels ergibt 3 Themenblöcke als Fokusbereiche für das Steuerungsmodell:
a.) Sicherstellung der zielgerichteten Mittelverwendung
- Erstellen eines jährlichen IT-Themenspeichers zur Definition der mit der GF abgestimmten IT-Themen
- Definition und Ausgestaltung einer Verfahrensanweisung für dessen Erstellung, Freigabe, Monitoring und die Einlastung und Freigabe von Themen als Projekt
- Erstellen einer Verfahrensanweisung IT-Beschaffung
- Erstellen folgender Referenzdokumente:
- Hardware- / Softwarekatalog
- Rollen und Arbeitsplatztypen (inkl. Beschreibung der IT Ausstattung pro Arbeitsplatztyp)
- Freigaberegeln für Bestellabwicklung (abhängig vom Bestellwert)
- Definition der Muss- und Vorzugslieferanten je „Materialart“ / Dienstleistung
- Implementieren einer IT-Budgetierung mit periodischen Soll-Ist-Vergleich.