Strategisches Management der IT-Landschaft

■ 2.2 Aktuelle Herausforderungen im strategischen IT-Management

Nach Jahren mit dem Fuß auf der Kostenbremse hat sich der Fokus von CIOs und IT-Verantwortlichen zunehmend in Richtung Business-Orientierung verschoben. Von der IT wird ein hoher Beitrag zur Wettbewerbsdifferenzierung und Agilität erwartet. Differenzierende Geschäftsmodelle mit innovativen Produkt-, Marktzugangs- und Kundenbindungsstrategien sind mitzugestalten. Merger & Acquisitions, neue Kooperationsmodelle und Umstrukturierungen sind schnell und sicher zu bewältigen (siehe [Gau09]).

Dies stellt hohe Anforderungen an den CIO. Er muss sowohl das IT-Handwerk, das Geschäft als auch das Management beherrschen und gleichzeitig folgende Herausforderungen meistern:

• Operational Excellence herbeiführen,
• IT auf Veränderungen im Business vorbereiten (Agilität) und
• kontinuierlich den Wert- und Strategiebeitrag der IT steigern, um zum „Business Enabler“ oder „Money-Maker“ (siehe [Gar10]) zu werden.

Sehen wir uns die Herausforderungen für CIOs im Folgenden genauer an. Die beiden letzten Herausforderungen werden unter Strategic Excellence zusammengefasst erläutert.

2.2.1 Operational Excellence

Operational Excellence ist die Fähigkeit, das aktuelle Geschäft kostenangemessen und zuverlässig mithilfe der IT zu unterstützen und dabei die IT-Unterstützung kontinuierlich zu verbessern. Insbesondere Verlässlichkeit und Sicherheit des Geschäftsbetriebs sind für das Unternehmen überlebenswichtig. Der Basisbetrieb muss sicher, performant, stabil und kostenoptimiert gewährleistet werden, um die Geschäftstätigkeit des Unternehmens nicht zu gefährden. Die IT muss zudem über die Kompetenz verfügen, das Business bezüglich effizienzsteigernder Maßnahmen wie z. B. im Kontext der Automatisierung von Geschäftsprozessen zu beraten. Hierbei müssen immer IT-Trends und deren möglichen Auswirkungen auf das Business und die IT im Auge behalten werden. Beispiele für technische Trends sind die „Consumerization“ und „Cloud Computing“ und ihre vielfältigen Auswirkungen auf die Infrastruktur. Strategien, wie z. B. „bring you own device“, kurz BYOD, sind omnipräsent und müssen adressiert werden.

Eine hinreichende Operational Excellence ist notwendig, um den erforderlichen Freiraum für Veränderungen zu schaffen. In der Regel werden mit zunehmender Operational Excellence, wie in Bild 2.4 dargestellt, die Kosten im operativen Geschäftsbetrieb nachhaltig reduziert. Damit stehen selbst bei sinkendem IT-Budget mehr Mittel für Innovationen in Business und IT zur Verfügung, um Agilität sicherzustellen und den Wert- und Strategiebeitrag der IT zu steigern.

Wesentliche Aspekte der Operational Excellence sind:

• Risiken angemessen managen (Zuverlässigkeit)
  Gewährleistung eines zuverlässigen IT-Betriebs und Erfüllung der wachsenden Sicherheits- und Compliance-Anforderungen.

• Kostenreduktion im IT-Basisbetrieb
  Die Kosten im IT-Basisbetrieb müssen nachhaltig durch Konsolidierung der Betriebsinfrastruktur und angemessene Sourcing-Entscheidungen reduziert werden, um Freiraum für Innovationen zu schaffen.
• Beherrschung und/oder Reduktion der IT-Komplexität
  Die zunehmende IT-Komplexität führt dazu, dass IT-Verantwortliche die IT nicht mehr im Griff haben. Zudem verursacht IT-Komplexität immense Kosten, die es durch Konsolidierungsmaßnahmen einzudämmen gilt.
• Optimierung des Tagesgeschäfts
  Ohne IT ist das Tagesgeschäft kaum mehr durchzuführen. Der IT kommt damit auch eine tragende Rolle im Hinblick auf die Optimierung des Tagesgeschäfts z. B. durch Automatisierung zu. Durch die Unterstützung bei der Optimierung des Tagesgeschäfts erhöht sich der Wertbeitrag der IT, das Business-IT-Alignment wird verbessert.

Die ersten drei Aspekte können unter „die IT in den Griff bekommen“ zusammengefasst werden. Die Aspekte werden im Folgenden weiter beschrieben. In Abschnitt 2.4 finden Sie Hilfestellungen für die Bewältigung dieser Herausforderungen.

Risiken angemessen managen

Unzureichende Zuverlässigkeit im Geschäftsbetrieb sowie Nichterfüllung von Compliance- und Sicherheitsanforderungen sind wesentliche Risiken, die durch das IT-Management adressiert werden müssen. Dies wird im Folgenden weiter ausgeführt.

Ein zuverlässiger IT-Betrieb ist für einen reibungslosen Geschäftsbetrieb entscheidend. Die Betriebsinfrastruktur muss stabil und leistungsfähig sein. Sicherheit, Skalierbarkeit, Ausfallsicherheit, Verfügbarkeit und Performance sind sowohl auf Hardware-, Netzwerk-, Betriebssystem-, Laufzeitumgebungs- als auch auf Anwendungsebene erforderlich. Zudem ist ein ausreichendes Know-how bei den Mitarbeitern im IT-Betrieb bzw. beim IT-Dienstleister notwendig. Über entsprechende Service-Level-Vereinbarungen (Service Level Agreement – kurz SLA) werden der Leistungsumfang (funktional und nichtfunktional) und der Preis in der Regel festgelegt.

Der CIO oder IT-Verantwortliche muss ein systematisches Notfall- und Krisenmanagement zur Bewältigung von denkbaren Situationen durchführen. Es sind alle Situationen, die zum Stillstand kritischer Prozesse führen und damit das Überleben des Unternehmens bedrohen können, zu identifizieren und dafür Notfallkonzepte zu erstellen. Dies wird Business Continuity Management (kurz BCM) genannt. Siehe hierzu Abschnitt 6.2.4.

Die Risiken im Kontext von Compliance und Sicherheit nehmen immer weiter zu. Die sich laufend verändernden und erweiterten Compliance- und Sicherheitsanforderungen müssen bewältigt werden. Verstöße gegen gesetzliche oder freiwillige Auflagen können zu gravierenden wirtschaftlichen Schäden und persönlichen Haftungsrisiken von Vorständen und Geschäftsführern führen. Das Compliance-Management ist damit ein wesentlicher Bestandteil des unternehmensweiten Risikomanagements und strahlt in alle Unternehmensbereiche aus. Für die Umsetzung nahezu aller Compliance-Anforderungen resultierend aus Sarbanes-Oxley Act (SOX), MaK, Basel II, KonTraG oder Solvency II muss die Ordnungsmäßigkeit der Prozesse und Systeme in der Systementwicklung und im Systembetrieb nachgewiesen werden. Daraus folgen umfangreiche Berichtspflichten und zudem teilweise sehr lange Aufbewahrungsfristen von Dokumenten und Daten. Siehe hierzu Abschnitt 6.2.2.

Ähnlich sieht es mit dem Sicherheitsmanagement aus. Die Sicherheitsbedrohungen und die damit verbundenen möglichen Schäden nehmen auch wegen der globalen Vernetzung und Mobilität immer weiter zu. Bedrohungsanalysen müssen durchgeführt, unternehmensspezifische Sicherheitsrichtlinien erstellt und umgesetzt werden. Der IT-Sicherheit kommt hier zunehmend mehr Bedeutung zu. Siehe hierzu Abschnitt 6.2.3.

Kostenreduktion im IT-Basisbetrieb

Die IT-Kosten stehen nach wie vor unter Druck. Ansatzpunkte für eine nachhaltige Kostenreduktion sind:

• Betriebsinfrastrukturkonsolidierung
  Beispiele hierfür sind Lizenzmanagement, Virtualisierung, Plattformen und Plattform-Services, SLA-Management, Cloud Computing und Datacenter Management (siehe Abschnitt 6.2.5).
• Standardisierung und Homogenisierung der Betriebsinfrastruktur und der technischen Bausteine
  Nutzung von Skaleneffekten, einer zentralen Verhandlungsmacht im Einkauf und Know-how-Bündelung sowie Reduzierung von Lizenz-, Wartungs- und Betriebskosten (siehe Abschnitt 6.2.8)
• Angemessene Sourcing-Entscheidungen
  Viele Services, die nicht zum Kerngeschäft der Unternehmens-IT gehören oder aber nicht zu einem marktgerechten Preis bereitgestellt werden, werden häufig extern bezogen (siehe Abschnitt 6.2.7).
• Definition vom Produkt- und Dienstleistungsangebot mit Service-Level-Vereinbarungen
  Festlegung der angebotenen Leistungen, wie z. B. Bereitstellung eines Heimarbeitsplatzes, mit Service-Level und Preisen in einem Servicekatalog. Die damit verbundenen standardisierten Leistungen können dann schrittweise optimiert und damit kostengünstiger bereitgestellt werden. Siehe hierzu Abschnitt 6.2.7.

Beherrschung und/oder Reduktion der IT-Komplexität

Ein wesentlicher Erfolgsfaktor für Operational Excellence ist die Beherrschung und/oder Reduktion der IT-Komplexität. Die technologische Vielfalt, die Abhängigkeiten zwischen Systemen, die funktionalen Redundanzen, Datenredundanzen und -inkonsistenzen sowie unnötige Systeme und Schnittstellen führen zu immensen Wartungs- und Betriebskosten. Die zunehmende Komplexität ist zudem für die IT-Verantwortlichen nicht mehr zu bewältigen. Zeitnah fundierte Entscheidungen zu treffen, wird immer schwieriger.

Ohne eine Konsolidierung der Landschaft wird die Komplexität immer größer. Die IT-Landschaft muss vereinfacht, standardisiert und homogenisiert werden. Der Wildwuchs muss aufgeräumt werden.

Beispiele für Maßnahmen zur IT-Konsolidierung sind die fachliche und technische Standardisierung, die Reduktion von Redundanzen und Abhängigkeiten, die Homogenisierung, die Ablösung von überflüssigen Technologien oder Systemen sowie die Vereinfachung auf allen Ebenen.

Wichtig: Die IT-Konsolidierung ist eine langwierige...