Wer sollte eigentlich die Verantwortung für IT-Systeme tragen?
In vielen Organisationen ist die Frage nach der Verantwortung für IT-Systeme immer wieder heißer Diskussionspunkt. Unterschiedliche Vorstellungen, Traditionen und Interessen kollidieren. Klassischerweise traf man in der Vergangenheit folgende Verantwortungsmodelle an:
1.) Das Rechenzentrums-Modell
Historisch aus der Zeit der Großrechner stammt dieses Verantwortungs-Modell, das so auch heute noch in vielen Organisationen anzutreffen ist: die zentrale IT-Abteilung trägt die alleinige Verantwortung für die IT-Systeme. Dies in erster Linie unter dem Gesichtspunkt, dass der Komplexität der Systeme durch kompetentes Fachwissen der IT-Experten Rechnung getragen wird. IT-Anwender erhalten auf Antrag Systemzugriff und können Funktionen in dem Ausmaß in Anspruch nehmen, wie sie durch die IT-Abteilung autorisiert wurden.
Die Vorteile liegen auf der Hand: Effizienz, Sicherheit und Kontrolle werden durch die Spezialisierung an einer zentralen Stelle erreicht. Die Nachteile sind eine hohe Immunität vor Anwenderanforderungen, eine immens wachsende Bürokratie und eine Systemstabilität, die für Innovationen kaum Raum lässt.
2.) Das dezentrale Modell
Mit dem Aufkommen der Personal Computer in der Mitte der achtziger Jahre gewann ein zweites Modell an Bedeutung, das durchaus auch als Antwort auf die Unzulänglichkeiten des ersten Modells verstanden werden kann. Beim dezentralen Modell werden IT-Systeme direkt durch ihre Anwender betrieben und betreut. Zumeist assistiert durch die Hilfe von PC-Experten, Lieferanten, lokale Spezialisten oder eine IT-Abteilung, die sich primär als Betreuungs-Dienstleister sieht, verbleibt die Verantwortung für den Betrieb der Systeme in der Hand der Anwender bzw. der Fachabteilung.
Der bei diesem Modell auf der Hand liegende Vorteil ist die immense Flexibilität, die Möglichkeit, ad-hoc innovative Lösungen zu erzielen sowie die geringen Kosten der Administration und Verwaltung. Der Nachteil dieser Lösung steigt mit der Größe der Organisation und der Bedarf der Mitarbeiter, vernetzt zu arbeiten. Fehlende Architektur, Bastellösungen, und oftmals mangelndes Sachwissen führen zu kurzsichtigen Lösungen. Darüber hinaus steigen mit dem Aufkommen der Bedrohung durch Computerviren und Spyware die Sicherheitsprobleme durch mangelnde Absicherung und fehlende Sensibilisierung der Anwender.
Welche Lösung für das Einundzwanzigste Jahrhundert?
Es scheint auf der Hand zu liegen, dass weder das erste, noch das zweite Modell geeignet sind, den Anforderungen des einundzwanzigsten Jahrhunderts gerecht zu werden. Innovativität und Flexibilität mit den heutigen Sicherheitsanforderungen und den Effizienzanforderungen bei den Supportkosten zu vereinen benötigt einen Ansatz, der die Vorteile beider Modelle unter Ausschluss ihrer Nachteile vereint.
Tatsächlich gibt es solche Modelle: sie basieren auf dem dezentralen Modell – legen also die Verantwortung in die Hände des Anwenders, überlassen aber die Betreuung der Systeme zu genau geregelten Konditionen den Spezialisten. Aktuelle IT-Governance-Ansätze fordern vom Anwender Transparenz bezüglich seiner Anforderungen und belohnen ihn mit der professionell durchgeführten, fach- und sachgerechten Dienstleistung von Seiten der IT-Abteilung oder eines outgesourcten Dienstleisters.
Dies erfordert drei Grundlagen:
- Ein aktives Anforderungs- (oder auch Bedarfs-)management der IT-Anwender.
- Die bewusste organisatorische Gestaltung der Dienstleisterbeziehungen und
- Änderungsbewusste Prozesse sowie das Primat einer veränderungsfreundlichen Systemarchitektur.
In den USA sind Firmen inzwischen übrigens gesetzlich gezwungen, solche Strukturen einzuführen. Dort ist die Verantwortung der Anwender über alle finanzrelevanten Systeme im Sarbanes-Oxley-Act festgeschrieben. Es ist wohl nur eine Frage der Zeit, bis dies auch in Europa zur Pflicht wird.
Erfahren Sie hier mehr über die wichtigsten IT-Management-Frameworks wie z.B. Cobit und ITIL.
Auch für kleine Unternehmen ist IT-Governance wichtig. Erfahren Sie hier, warum!