IT-Controlling für die Praxis E-Book

Prof. Dr. Martin Kütz lehrt Wirtschaftsinformatik an der Hochschule Anhalt und ist geschäftsführender Gesellschafter des Beratungsunternehmens TESYCON GmbH. Er verbindet langjährige praktische Erfahrungen in IT-Management und IT-Beratung mit einem starken Interesse an theoretischen und methodischen Fragestellungen. Seine Erfahrungen gibt er in Lehrveranstaltungen, Beratungsprojekten, Veröffentlichungen, Vorträgen und Seminaren weiter. Er arbeitet aktiv in der Fachgruppe IT-Controlling der Gesellschaft für Informatik e.V. mit.

IT-Controlling für die Praxis

Konzeption und Methoden

2., überarbeitete und erweiterte Auflage

Martin Kütz

Martin Kü[email protected]

Lektorat: Christa Preisendanz & Vanessa WittmerCopy-Editing: Friederike Daenecke, ZülpichHerstellung: Birgit BäuerleinUmschlaggestaltung: Helmut Kraus, www.exclam.deDruck und Bindung: M.P. Media-Print Informationstechnologie GmbH, 33100 Paderborn

Bibliografische Information der Deutschen NationalbibliothekDie Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie;detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

ISBNBuch 978-3-86490-003-7PDF 978-3-86491-290-0ePub 978-3-86491-291-7

2., überarbeitete und erweiterte Auflage 2013Copyright © 2013 dpunkt.verlag GmbHRingstraße 19 B69115 Heidelberg

Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Die Verwendung der Texte und Abbildungen, auch auszugsweise, ist ohne die schriftliche Zustimmung des Verlags urheberrechtswidrig und daher strafbar. Dies gilt insbesondere für die Vervielfältigung, Übersetzung oder die Verwendung in elektronischen Systemen.Es wird darauf hingewiesen, dass die im Buch verwendeten Soft- und Hardware-Bezeichnungen sowie Markennamen und Produktbezeichnungen der jeweiligen Firmen im Allgemeinen warenzeichen-, marken- oder patentrechtlichem Schutz unterliegen.Alle Angaben und Programme in diesem Buch wurden mit größter Sorgfalt kontrolliert. Weder Autor noch Verlag können jedoch für Schäden haftbar gemacht werden, die in Zusammenhang mit der Verwendung dieses Buches stehen.5 4 3 2 1 0

Vorwort zur zweiten Auflage

Wenn die zweite Auflage eines Buches ansteht, muss sich der Autor die Frage stellen, was sich in seinem Themenfeld geändert hat, ob Themen obsolet geworden sind und was eventuell neu hinzugekommen ist. Meine Antwort für »IT-Controlling in der Praxis« liegt vor Ihnen, verehrter Leser, verehrte Leserin.

Die Struktur des Buches ist unverändert geblieben, aber die verschiedenen Kapitel wurden zum größten Teil stark überarbeitet, zum Teil völlig neu geschrieben. Das liegt sicherlich daran, dass jeder Autor im Laufe der Zeit immer mehr über »sein« Thema lernt, aber im Falle des IT-Controllings liegt es auch daran, dass sich die IT selber stark verändert und neue Anforderungen an das IT-Management und dementsprechend an das IT-Controlling stellt. Es sei an dieser Stelle nur auf Themen wie E-Business, Cloud Computing oder IT-Wertbeitrag hingewiesen.

Hinter all dem steht die Erkenntnis, dass IT-Controlling ein integraler Bestandteil des IT-Managements sein muss, hohe Dynamik und steigende Komplexität zu bewältigen hat und sich darüber hinaus auf verschiedene Kategorien des IT-Managements einstellen muss (nämlich auf die Erzeugung von IT-Leistungen, den Einsatz und die Verwendung von IT-Leistungen und schließlich auf die beide Seiten regulierende IT-Governance). Diese Kategorien stellen jeweils spezifische Anforderungen an das unterstützende Controlling.

Als Autor hoffe ich, dass ich Ihnen mit der zweiten Auflage wieder eine fundierte und zuverlässige Navigationshilfe im weiten Feld des IT-Controllings an die Hand geben kann. Wenn Sie weiterführende Fragen haben, scheuen Sie sich aber nicht, den Kontakt zu mir aufzunehmen (z.B. per Mail über [email protected]).

Auch bei der zweiten Auflage waren der dpunkt.verlag und seine Mitarbeiter wieder professionelle, konstruktive und geduldige, aber im richtigen Moment auch treibende Partner. Dem dpunkt.team möchte ich an dieser Stelle für die gute und hilfreiche Zusammenarbeit herzlich danken.

Martin KützKöthen und Plötzky, im März 2013

Vorwort zur 1. Auflage

Informationstechnologie (IT) ist in fast allen Organisationen zu einer übergreifenden Infrastruktur geworden. Ihre aktive Steuerung ist eine wichtige Führungsaufgabe. Dabei geht es nicht nur darum, die Verfügbarkeit und Funktionsfähigkeit der benötigten IT-Systeme sicherzustellen, sondern auch darum, die für die IT benötigten Mittel möglichst wirtschaftlich einzusetzen. Themen wie »Total Cost of Ownership (TCO)«, »Offshore-Outsourcing« und »Computing-on-Demand« zeigen das Bemühen um die Optimierung der Wirtschaftlichkeit in der IT.

Vor diesem Hintergrund wird ein professionelles IT-Controlling immer wichtiger. In der Tat hat das Interesse an diesem Thema kontinuierlich zugenommen. Dies zeigt sich auch darin, dass IT- und Controlling-Zeitschriften spürbar mehr Veröffentlichungen zu Themen aus dem Bereich des IT-Controllings enthalten. Das Angebot an Monographien ist jedoch nach wie vor eher gering.

An dieser Stelle möchte dieses Buch aufsetzen und einen Beitrag zum Thema IT-Controlling leisten. Dabei geht es um zwei wesentliche Fragen: Zum einen, was denn eigentlich Thema und Umfang des IT-Controllings ist, zum anderen, welche Methoden das Handwerkzeug des IT-Controllers bilden. Die erste Frage versuchen wir in Kapitel 2 des Buches zu beantworten. Zwar gibt es bewährte Ansätze, IT-Controlling zu systematisieren, aber uns scheint, dass eine Neubesinnung an der Zeit und gerechtfertigt ist. Die zweite Frage behandeln wir in Kapitel 3. Einerseits gibt es ein riesiges und verwirrendes Angebot an Verfahren und (Software-)Systemen, aber grundlegende Begriffe sind unklar und elementare Arbeitstechniken des Controllings in der IT-Praxis oftmals unbekannt. Wir wollen hier die – aus unserer Sicht – wichtigen Methoden so beschreiben, dass der Praktiker sie in sein Umfeld übertragen und dort anwenden kann.

Dem Praktiker wird auffallen, dass wir im hinteren Teil des Buches immer wieder mathematische Begriffe und Schreibweisen nutzen. Davon sollte er sich nicht abschrecken lassen, denn das mathematische Kalkül hilft, grundlegende Muster und Strukturen sowie Verwandtschaften zwischen unterschiedlichen Verfahren besser zu erkennen. Dahinter steht letztlich eine alte Erkenntnis: Nichts ist praktischer als eine gute Theorie.

Das führt uns zur Zielgruppe des Buches. Hauptsächlich sind es IT-Verantwortliche und IT-Controller, die zur Bewältigung ihrer Aufgaben in der IT-Steuerung neben praktischen Hinweisen auch an theoretischen Hintergründen und Zusammenhängen interessiert sind. Wir denken aber auch an wissenschaftlich und beratend Tätige, die insbesondere an den begrifflichen und systematisierenden Teilen des Buches interessiert sein könnten.

Natürlich sind in dieses Buch Anregungen und Erfahrungen vieler Menschen eingeflossen. Besonders sei an dieser Stelle auf die Fachgruppe 5.7 IT-Controlling in der Gesellschaft für Informatik e.V. hingewiesen. Die unzähligen Diskussionen im Kreis der Fachgruppenmitglieder waren ein wesentlicher Impuls für dieses Buch.

Ein besonderer Dank gilt Frau Heidi Heilmann, die dieses Buchprojekt seitens des Verlages fachlich betreut und die schwierige Aufgabe der inhaltlichen Qualitätssicherung übernommen hat.

Wir hoffen, dass dieses Buch ein wenig von der Faszination des Themas »IT-Controlling« vermitteln kann, und würden uns über vielfältiges Feedback (z.B. per E-Mail an: [email protected]) der Leser freuen.

Martin KützKelkheim, im Juni 2005

Inhaltsverzeichnis

1       Einleitung

2       Das IT-Controlling-Konzept

2.1    IT-Controlling als System

2.1.1    Das allgemeine Controllingsystem

2.1.2    Adressaten des IT-Controllings

2.1.3    Objekte des IT-Controllings

2.1.4    IT-Controllingsysteme in der Literatur

2.1.5    IT-Supply-Controlling

2.1.6    Schwerpunkte des IT-Supply-Controllings

2.1.7    IT-Demand-Controlling

2.1.8    Schwerpunkte des IT-Demand-Controllings

2.1.9    IT-Governance-Controlling

2.1.10  Schwerpunkte des IT-Governance-Controllings

2.2    IT-Controlling als Prozess

2.2.1    Prozessmodell für das IT-Controlling

2.2.2    Alternative Prozessmodelle

2.2.3    Operatives IT-Controlling

2.2.4    Strategisches IT-Controlling

2.2.5    Benchmarking

2.3    IT-Controlling als Instanz

2.3.1    Allgemeine Ansätze

2.3.2    Integration des IT-Controllings in die Organisation

2.3.3    Gremien

2.3.4    Anforderungen an IT-Controller

2.3.5    Abgrenzungen zu Finanzbereich und Revision

2.3.6    Aufbau eines IT-Controllings

2.4    Sonderfälle des IT-Controllings

2.4.1    Ausgliederung und Auslagerung der IT

2.4.2    Transfer von IT-Organisationen

2.4.3    E-Business und E-Government

3       Die Controlling-Methoden

3.1    Kostenrechnung in der IT

3.1.1    Grundlagen und Begriffe

3.1.2    Fixe und variable Kosten

3.1.3    Einzel- und Gemeinkosten

3.1.4    Voll- und Teilkostenrechnung

3.1.5    Plankostenrechnung

3.1.6    Prozesskostenrechnung

3.1.7    Stückkostenrechnung

3.1.8    Total Cost of Ownership

3.1.9    Zielkostenrechnung

3.2    Leistungsrechnung in der IT

3.2.1    Grundlagen und Begriffe

3.2.2    Servicedefinition und Prozessmodellierung

3.2.3    Service Level Agreements

3.2.4    Stückkosten und Verrechnungspreise

3.2.5    Leistungsverrechnung

3.3    Wirtschaftlichkeitsrechnung in der IT

3.3.1    Grundlagen und Begriffe

3.3.2    Rentabilität

3.3.3    Statische Investitionsrechnung

3.3.4    Dynamische Investitionsrechnung

3.3.5    Der Projektabbruch

3.3.6    Der IT-Wertbeitrag

3.3.7    Bewertung von Nutzeffekten

3.3.8    Einflussfaktoren

3.4    IT-Kennzahlensysteme

3.4.1    Grundlagen und Begriffe

3.4.2    Kategorien für IT-Kennzahlen

3.4.3    Handlungsorientierung von IT-Kennzahlen

3.4.4    Strukturierung von IT-Kennzahlensystemen

3.4.5    IT Balanced Scorecard

3.4.6    Nutzung von IT-Kennzahlensystemen

3.4.7    Praxisbeispiele

3.5    Planungsverfahren

3.5.1    Grundlagen und Begriffe

3.5.2    Budgetplanung

3.5.3    Projektplanung

3.5.4    Projektorganisation und Kommunikation

3.5.5    Projektsteuerung und Qualitätssicherung

3.5.6    Vorgehensmodelle

3.5.7    Puffermanagement

3.5.8    Portfolioplanung

3.5.9    Aufwandsschätzungen

3.6    Analyse- und Prognoseverfahren

3.6.1    Grundlagen und Begriffe

3.6.2    Datenerhebung

3.6.3    Zeitreihenanalysen

3.6.4    ABC-Analysen

3.6.5    Sensitivitätsanalysen

3.6.6    Prognoserechnungen

3.6.7    Risikomanagement

3.7    Entscheidungsunterstützung

3.7.1    Grundlagen und Begriffe

3.7.2    Ermittlung einer Präferenzordnung

3.7.3    Bestimmung von Nutzenfunktionen

3.7.4    Der Analytische Hierarchieprozess

3.7.5    Portfolioanalysen

4       Nachwort

Abkürzungen

Literatur

Stichwortverzeichnis

1 Einleitung

Bedeutung der IT

Der Einsatz von Informationstechnologie (IT) ist für Unternehmen und andere Organisationen (z.B. öffentliche Verwaltung) von existenzieller Bedeutung. Viele Abläufe sind ohne IT-Nutzung entweder nicht möglich oder ihre Gestaltung ohne IT würde zu längeren Laufzeiten und höheren Kosten führen. Die heute üblichen Datenmengen wären ohne leistungsfähige Informations- und Kommunikationssysteme nicht zu bewältigen.

Die Bewertungen der IT, unter der in diesem Buch sowohl Informationstechnologien als auch Kommunikationstechnologien zusammengefasst werden, sind allerdings von Extremen geprägt. Sie reichen von der euphorischen Einschätzung der IT als »Business Enabler«, die beinahe zwangsläufig Wettbewerbsvorteile schafft, bis hin zur niederschmetternden Aussage von Nicholas Carr »IT doesn’t matter« (vgl. [Carr 2003], [Mieze 2004]), IT sei also nicht (mehr) wettbewerbsentscheidend. Auch im Falle der IT ist die Realität jedoch weder schwarz noch weiß, sondern hat viele Grautöne. Klar ist jedenfalls: Ohne IT ist das moderne Wirtschaftsleben nicht vorstellbar.

Zielorientierte Führung der IT

Die Abhängigkeit von der IT und der aus ihrem Einsatz resultierende Aufwand erfordern die Aufmerksamkeit des Managements auf allen Führungsebenen. Die zielorientierte Führung einer Organisation muss den richtigen (oder effektiven) und wirtschaftlichen (oder effizienten) Einsatz von IT-Systemen einbeziehen. Die Ziele für Nutzung, Betrieb und Realisierung von IT-Systemen müssen aus den Zielen der Gesamtorganisation abgeleitet werden. Erfolgreiche Organisationen steuern (natürlich) auch ihre IT professionell. Die Verantwortung für die Nutzung der IT-Systeme liegt in den Fachbereichen. Für Betrieb und Realisierung der IT-Systeme werden üblicherweise spezifische IT-Bereiche gebildet, die selber IT-Leistungen erstellen oder solche Leistungen über externe Dienstleister bereitstellen lassen.

Führung und Entscheidungen

Die zielorientierte Führung einer Organisation erfordert ein Management (im Sinne einer Personengruppe), das Ziele festlegt und dafür Sorge trägt, dass diese Ziele erreicht werden. In beiden Fällen müssen Entscheidungen getroffen werden. Der Entscheidende weiß jedoch immer erst im Nachhinein, ob seine Entscheidung richtig oder falsch, gut oder schlecht war. Er möchte und muss daher das Risiko der Fehlentscheidung minimieren. Ganz vermeiden kann er es nicht, denn dann bräuchte er nichts mehr zu entscheiden.

Arbeitsteilung zwischen Management und Controlling

Um das Risiko von Fehlentscheidungen zu minimieren, werden Informationen benötigt. An diesem Punkt setzt in Organisationen eine Arbeitsteilung ein. Der Manager konzentriert sich auf den eigentlichen Entscheidungsvorgang und die Bewertung der vorliegenden Informationen. Die Beschaffung und Analyse von Informationen, also die Vorbereitung von Entscheidungen, wird zur eigenständigen Aufgabe, die im Rahmen einer Arbeitsteilung auf Experten übertragen wird. Es entsteht ein Controlling, das seine Aufgabe in der zielorientierten Koordination von Planung und Kontrolle sowie der Informationsversorgung des Managements sieht (vgl. [Horváth 2011, S. 95–98]).

Der Begriff »Controlling« ist insofern ambivalent. Einerseits bezeichnet er eine originäre Managementaufgabe, nämlich die aktive und zielgerichtete Steuerung einer Organisation oder eines Systems. Andererseits bezeichnet er eine spezifische Dienstleistungsaufgabe, die das Management bei dieser Steuerung unterstützt.

Fachcontrolling für IT

Mit zunehmender Komplexität und Bedeutung der IT bildet sich in Organisationen ein eigenständiges Fachcontrolling auch für IT heraus. Dieses IT-Controlling ist Thema des vorliegenden Buches. In Kapitel 2 wird das Thema IT-Controlling insgesamt und systematisch behandelt. In Kapitel 3 werden wichtige und bewährte Arbeitstechniken und Methoden vorgestellt, die im IT-Controlling genutzt werden können.

2 Das IT-Controlling-Konzept

Ordnungsrahmen für das IT-Controlling

Um die vielfältigen Objekte, Fragestellungen und Vorgehensweisen im IT-Controlling in eine sinnvolle Struktur zu bringen, bedarf es eines IT-Controlling-Konzeptes. Dieses Konzept bildet einen Ordnungsrahmen für alle Aktivitäten in diesem Bereich. Es beschreibt die verschiedenen Teilbereiche und Aspekte des IT-Controllings und ihre Beziehungen und Zusammenhänge.

Beim Aufbau eines IT-Controllings bietet das IT-Controlling-Konzept den Verantwortlichen eine wirksame Navigationshilfe, denn fehlende oder redundante Elemente können erkannt werden. Spezifische Fragestellungen oder Probleme können präzise verortet werden. IT-Controlling ohne Konzept bleibt weitgehend wirkungslos und kann dem Management nicht die Unterstützung geben, die es erwartet und benötigt.

IT-Controlling und allgemeines Controlling

Man sollte die bewährten Ansätze des allgemeinen Controllings nutzen und sie geeignet auf das IT-Controlling übertragen. So lässt sich das IT-Controlling nahtlos in das Controlling der Gesamtorganisation integrieren. So wird die Ausrichtung der IT auf die Ziele der Gesamtorganisation erleichtert und verbessert. Durch Nutzung bekannter Begriffsbildungen und Denkmuster erhält das allgemeine Management einen besseren Zugang zum Bereich der IT und wird sie leichter als gezielt einsetzbaren Leistungsfaktor und nicht nur als amorphen Kostenblock wahrnehmen.

Elemente des IT-Controllings

Im Folgenden wird IT-Controlling zunächst als System mit seinen wesentlichen Subsystemen, Hauptaufgaben, Steuerungsobjekten und adressierten Rollen im Management dargestellt. Dann werden die Prozesse und die aufbauorganisatorische Gestaltung des IT-Controllings untersucht. Abschließend wird die Rolle des IT-Controllings bei strukturellen Umbrüchen sowohl in der IT selber als auch in der umgebenden Organisation betrachtet.

2.1 IT-Controlling als System

Systembegriff

Unter einem System versteht man eine Menge von Elementen, zwischen denen bestimmte Beziehungen und Wechselwirkungen bestehen (vgl. EN ISO 9000, Abschnitt 3.2.1 sowie [Grochla 1978, S. 203–219]). Ein System kann Subsysteme enthalten oder selber Subsystem übergeordneter Systeme sein. Die Elemente eines Systems besitzen aus der Sicht dieses Systems keine innere Struktur. Sie sind aber in der Regel sehr verschieden und keineswegs gleichartig. Ein System wird nicht nur durch seine Subsysteme und Elemente charakterisiert, sondern auch und vor allem sowohl durch die Beziehungen und Wechselwirkungen zwischen seinen Subsystemen und Elementen als auch durch seine Beziehungen zu anderen Systemen (vgl. Abb. 2–1). Systeme sind also in der Regel nicht geschlossen, sondern offen und haben Schnittstellen zu ihrer Umgebung.

Abb. 2–1Allgemeines System

Beispiele für Systeme

Hardware- und Softwaresysteme sind Beispiele für Systeme, die aus technischen Subsystemen und Elementen bestehen. Ein Unternehmen ist mit seinen Maschinen, Menschen und Organisationsstrukturen ebenfalls ein System und wird in der Organisationslehre als soziotechnisches System bezeichnet (vgl. [Grochla 1978, S. 9–16]).

Controllingsystem

Auch das IT-Controlling lässt sich als System auffassen, und vor diesem Hintergrund sind seine Subsysteme, Elemente und Strukturen sowie die übergeordneten Systeme zu diskutieren. Primär wird in diesem Buch von einer Organisation, z.B. einem Unternehmen, ausgegangen, die IT zur Unterstützung ihrer Geschäftsprozesse nutzt. Die IT wird also zunächst als unterstützende Funktion in einer übergeordneten Organisation betrachtet. Jedoch kann man alle Aspekte, die mit der Erbringung von IT-Leistungen zusammenhängen, auch auf Organisationen übertragen, deren Kerngeschäft die Erbringung von IT-Leistungen ist.

Weiteres Vorgehen

Auf Grundlage des Systembegriffs ist zunächst ein allgemeines Controllingsystem darzustellen. Dies ist dann auf die spezifischen Belange des IT-Controllings zu übertragen. Neben den wesentlichen Subsystemen des IT-Controllings sind die Steuerungsobjekte in der IT einerseits und die Adressaten des IT-Controllings andererseits zu untersuchen. Die Steuerungsobjekte in der IT in Verbindung mit den jeweiligen Adressaten führen zu spezifischen IT-Controllingsystemen, die untereinander viele Schnittstellen haben und hochgradig miteinander vernetzt sind.

2.1.1 Das allgemeine Controllingsystem

Leitbild

Jede Organisation muss ihre Existenz rechtfertigen und eine Leistung erbringen, die aus der Sicht ihres Umfeldes nützlich ist. Und sie muss diese Leistung so erbringen, dass sie vom Umfeld akzeptiert wird. Dazu entwickelt sie ein Leitbild, in dem sie ihr Verhältnis zu diesem Umfeld definiert und beschreibt, wie sie von ihrer Umgebung wahrgenommen werden will.

Ziele

Im Rahmen dieses Leitbildes entwickelt sie dann Ziele, mit denen sie für ihren Eigentümer einen möglichst hohen Nutzen realisiert. Das ist bei Unternehmen eine attraktive Verzinsung des vom Eigentümer eingebrachten Kapitals. Der angestrebte Nutzen muss aber nicht zwingend ökonomischer Natur sein (z.B. bei einer karitativen Einrichtung).

Managementsystem

Um ihre Ziele zu erreichen, benötigt jede Organisation ein Management. Dieses Management muss in Abstimmung mit den Eigentümern der Organisation die übergeordneten Ziele konkretisieren, Strategien zur Zielerreichung entwickeln und nachfolgend die Umsetzung dieser Strategien vorantreiben.

Zur Wahrnehmung seiner Führungsaufgabe benötigt das Management einerseits ein Steuerungsunterstützungssystem, das es bei der Festlegung oder Vereinbarung von Zielen, bei der Planung und der nachfolgenden Umsetzung der Strategien und bei der Überprüfung des Zielerreichungsgrades unterstützt, andererseits ein Informationsversorgungssystem, das die vom Steuerungsunterstützungssystem benötigten Daten beschafft, aufbereitet, präsentiert und kommuniziert.

Beide Systeme müssen an die spezifische Führungsaufgabe angepasst und aufeinander abgestimmt sein. Sie müssen so leistungsfähig und flexibel sein, dass das Management seine Aufgaben unter wechselnden Rahmenbedingungen wahrnehmen kann. Arbeiten beide Systeme nicht optimal, so verschlechtert sich die Führungsleistung. Im Extremfall werden die Ziele der Organisation nicht erreicht und ihre Existenz ist gefährdet.

Controllingsystem

An dieser Stelle kommt das Controlling als eigenständige Funktion ins Spiel. Denn seine Aufgabe ist es, die Führungsfähigkeit der Organisation zu sichern und zu verbessern – auch unter wechselnden und sich ändernden Rahmenbedingungen. Die Gesamtaufgabe des Controllings lässt sich in die drei Hauptaufgaben Systementwicklung, Systembetrieb und Systemnutzung untergliedern (vgl. Abb. 2–2).

Systementwicklung

In der Systementwicklung werden die benötigten Steuerungsunterstützungs- und Informationsversorgungssysteme konzipiert, entwickelt und dem Management bereitgestellt. Das erfolgt entweder in Projekten oder in inkrementellen Verbesserungsschritten. In der Literatur bezeichnet man diesen Bereich des Controllings als systembildende Koordination (vgl. [Horváth 2011, S. 104–109]).

Systembetrieb

Im Systembetrieb sorgt das Controlling dafür, dass beide Systeme arbeiten und arbeitsfähig bleiben, ihnen die benötigten Daten aus dem zu steuernden System und dem Umfeld zugeführt werden und die daraus erzeugten Informationen den jeweiligen Adressaten aufgaben- und zeitgerecht zugeleitet werden. In der Literatur wird dies als systemkoppelnde Koordination bezeichnet (vgl. [Horváth 2011, S. 104–109]).

Systemnutzung

In der Systemnutzung wird das Management bei der Nutzung der beiden Systeme unterstützt und bei der Interpretation und Anwendung der bereitgestellten Informationen beraten. Dies bezeichnet die einschlägige Literatur als ergebnisorientierte Koordination (vgl. [Horváth 2011, S. 104–109]).

Abb. 2–2Allgemeines Controllingsystem

Alle Aufgaben, Prozesse, Informationssysteme, Organisationsstrukturen und Instrumente, die die Führungsfähigkeit einer Organisation erhalten und verbessern, werden in ihrer Gesamtheit als Controllingsystem bezeichnet.

Entscheidungs- und Transparenzverantwortung

Controlling ist also ein Subsystem des Managementsystems. Es unterstützt das Management bei der Erreichung der Organisationsziele. Als Aufgabe ist Controlling ein integraler Bestandteil jeder Führungsaufgabe.

Als Rollen, die von Personen wahrgenommen werden, benötigt die Führungsaufgabe Management und Controlling in gleicher Weise. Das Management übernimmt die eigentliche Entscheidungsverantwortung. Das Controlling bereitet Entscheidungen vor und sichert die Entscheidungsfähigkeit des Managements. Es ist dafür verantwortlich, dass das Management die »richtigen« Informationen erhält. Man bezeichnet dies als die Transparenzverantwortung des Controllings.

Management und Controlling sind untrennbar verbunden und werden von den verantwortlichen Personen zunächst im Verbund wahrgenommen. Erst bei zunehmender Größe und Komplexität setzt eine Arbeitsteilung ein, die zu eigenständigen Controlling-Stellen führt (vgl. Abschnitt 2.3).

Die Entscheidungsverantwortung bleibt jedoch stets beim Management und kann nicht an Controlling-Stellen übertragen werden. Der Controller ist Berater und Navigator. Es kann ihm also passieren, dass der »Kapitän« seinen fachmännischen Rat nicht annimmt. Der Manager ist jedoch in seiner Entscheidung grundsätzlich frei. Für eine Fehlentscheidung trägt allein er die Verantwortung – unabhängig davon, ob er dem Rat »seines« Controllers gefolgt ist oder nicht.

Leitbild IT-Controller

Die Arbeitsteilung zwischen Management und Controlling hat folgerichtig zur Herausbildung von Controlling-Spezialisten geführt, die im Laufe der Zeit ein spezifisches Selbstverständnis entwickelt haben. Wie ein entsprechendes Controller-Leitbild für den Bereich der IT aussieht, zeigt Tabelle 2–1 (vgl. [GI 2009]).

Tab. 2–1IT-Controller-Leitbild der Gesellschaft für Informatik e.V.

Das IT-Controller-Leitbild

IT-Controller gestalten und unterstützen den Managementprozess der betrieblichen Informationsverarbeitung und tragen damit eine Mitverantwortung für die Zielerreichung des Informationsmanagements. Das heißt:

IT-Controller überbrücken Kommunikations- und Kulturbarrieren zwischen technischen und betriebswirtschaftlichen Perspektiven und tragen somit zu einer adäquaten Kultur im Umgang mit der Ressource Information bei.

IT-Controller agieren als Dienstleister an den Schnittstellen von Informationsmanagement, Unternehmenscontrolling und Unternehmensführung.

IT-Controller moderieren und unterstützen den Prozess der Planung, Steuerung und Kontrolle für das Informationsmanagement so, dass jeder involvierte Entscheidungsträger zielorientiert handeln kann.

IT-Controller leisten dazu einen betriebswirtschaftlichen Service der Informationsversorgung der Entscheidungsträger.

IT-Controller sorgen – neben Strategie-, Ergebnis-, Finanz- und Prozesstransparenz des Informationsmanagements – auch für Transparenz über die betriebliche Informationsverarbeitung und ihre Wirkungen im Unternehmen. Sie schlagen dabei und damit eine Brücke zur Strategie-, Ergebnis-, Finanz- und Prozesstransparenz des Unternehmens.

IT-Controller bewerten Methoden des Informationsmanagements, des Unternehmenscontrollings und der Unternehmensführung im Hinblick auf eine angemessene Berücksichtigung der spezifischen Wirkungen der Informationsverarbeitung im Unternehmen (u.a. vielfältige, interdependente, erst langfristig wirksame Wirkungen).

IT-Controller empfehlen und gestalten Methoden für das Informationsmanagement und – bezogen auf den IT-Einsatz – für das Unternehmenscontrolling und die Unternehmensführung.

IT-Controller sorgen für die Existenz von Verfahrensrichtlinien und stellen deren Überwachung sicher.

IT-Controller erkennen und bewerten die durch den IT-Einsatz entstehenden Risiken und Chancen.

IT-Controller gestalten und betreiben ein in das unternehmensweite Reporting integriertes IT-Berichtswesen.

IT-Controller gestalten und pflegen dazu Informationssysteme für das IT-Controlling.

2.1.2 Adressaten des IT-Controllings

Das vorstehend diskutierte allgemeine Controllingsystem lässt sich unmittelbar auf die IT übertragen. Geht man von einer Organisation aus, die IT zur Unterstützung ihrer Geschäftsprozesse nutzt, so stellt sich sofort die Frage, was denn IT in dieser Organisation ist und welche Teile des Managements sich mit IT befassen müssen.

IT-Verwendung

Zunächst ist offenbar das für die Geschäftsprozesse verantwortliche Management gefordert, denn in den Geschäftsprozessen soll die IT als Ressource oder Werkzeug genutzt werden. Die Verwendung von IT-Leistungen soll in einem bestimmten Sinne optimal erfolgen.

IT-Erstellung

Andererseits müssen die benötigten IT-Leistungen erstellt werden, und es wird demzufolge ein Management geben, das für die in einem gewissen Sinne optimale Erstellung dieser IT-Leistungen zu sorgen hat.

Übergreifende Steuerung

Während nun aber der Verwender von IT-Leistungen spezifische und auf den Verwendungszweck passgenau abgestimmte IT-Leistungen fordert, wird der Ersteller von IT-Leistungen im Sinne einer optimierten Produktion einheitliche und standardisierte Leistungen anbieten wollen. Ersteller und Verwender von IT-Leistungen haben also divergierende und konfligierende Zielsetzungen. Daher bedarf es eines Managements, das das Feld IT übergreifend regelt, und zwar so, dass ein aus der Sicht der Gesamtorganisation optimales Ergebnis entsteht.

Praxisszenario

Ein typisches Szenario, das die divergierenden Zielsetzungen verdeutlicht, zeigt das folgende Beispiel: Das Produktionsmanagement (als Verwender von IT-Leistungen) benötigt für das Halb- und Fertigwarenlager eine Softwareunterstützung und fordert eine individuelle, auf seine Belange abgestimmte Lösung. Der IT-Bereich (als Ersteller von IT-Leistungen) will eine gekaufte Standardsoftwarelösung anbieten, die perfekt zur vorhandenen Datenbank- und Betriebssystemumgebung passt. Das Management mit der übergreifenden Regelungsaufgabe für IT entscheidet, dass eine am Markt angebotene ERP-Lösung einzusetzen ist, da diese das Lagermanagement nahtlos in die Material- und Finanzwirtschaft des Unternehmens integriert.

Formen des IT-Controllings

Das Management der Verwendung von IT-Leistungen bezeichnet man als IT-Demand-Management, das Management der Erstellung oder Bereitstellung von IT-Leistungen als IT-Supply-Management und die übergreifende Regulierung der gesamten IT-Wirtschaft einer Organisation als IT-Governance. Dementsprechend benötigt man drei Formen des IT-Controllings, nämlich ein IT-Demand-Controlling, ein IT-Supply-Controlling und ein IT-Governance-Controlling.

Diese Begriffsbildung ist so zu verstehen, dass jede Organisationseinheit, die IT-Leistungen verwendet, ein spezifisches IT-Demand-Management und ein dazu korrespondierendes IT-Demand-Controlling benötigt. Analog braucht jede Organisationseinheit, die IT-Leistungen erstellt (in einer größeren Organisation sind das eventuell mehrere Organisationseinheiten), ein spezifisches IT-Supply-Management und ein dazu korrespondierendes IT-Supply-Controlling. Darüber hinaus braucht die Gesamtorganisation eine IT-Governance, die innerhalb der Organisation Angebot und Nachfrage für IT-Leistungen übergreifend steuert und reguliert und deren Management durch ein spezifisches IT-Governance-Controlling unterstützt werden muss. Wie diese unterschiedlichen Sichten auf die IT in einer Organisation zusammenwirken, stellt Abbildung 2–3 dar.

Abb. 2–3Modell der IT-Steuerung

Das hier zugrunde gelegte Modell eines internen IT-Marktes mit mehreren Nachfragern nach IT-Leistungen und (eventuell) mehreren Anbietern von IT-Leistungen lässt sich flexibel an verschiedene Situationen anpassen und führt zu folgenden Schlussfolgerungen:

Eigenständigkeit der IT-Governance

Die IT-Governance ist eine eigenständige und notwendige Managementaufgabe. In der Gesamtorganisation ist sie eine Art Regulierungsinstanz und legt fest, wer welche IT-Leistungen erstellen darf bzw. erstellen muss und wer welche IT-Leistungen verwenden darf bzw. verwenden muss. Daher kann sie nicht von einem Ersteller oder Verwender von IT-Leistungen wahrgenommen werden. Denn dann würde sie ihre Unabhängigkeit und Neutralität verlieren.

Der interne IT-Markt

Auf dem internen IT-Markt treffen sämtliche nachgefragten und angebotenen IT-Leistungen aufeinander. Der einzelne IT-Verwender fragt eventuell aber nur einen Teil der insgesamt angebotenen IT-Leistungen nach, und der einzelne IT-Anbieter wird, wenn es sich um mehrere IT-Anbieter handelt, auch nur einen Ausschnitt aus dem insgesamt angebotenen Leistungsspektrum anbieten. Auch das führt zu der Erkenntnis, dass Nachfrage und Angebot von IT-Leistungen übergreifend gesteuert werden müssen. Wie die drei Rollen des IT-Managements zusammenarbeiten, zeigt Abbildung 2–4.

Das Modell des regulierten internen IT-Marktes erfasst auch diejenigen Situationen, in denen es nur einen Ersteller von IT-Leistungen (den traditionellen IT-Bereich) oder sowohl interne als auch externe Anbieter von IT-Leistungen gibt.

Abb. 2–4Zusammenarbeit der IT-Rollen

Der IT-Markt im Konzern

Erfasst werden auch Konzernsituationen, in denen Ersteller von IT-Leistungen und Verwender von IT-Leistungen rechtlich selbstständige Unternehmen sind. Hier gibt es möglicherweise einen innerhalb dieses Konzerns globalen internen IT-Markt und zugleich lokale IT-Märkte in den verschiedenen Konzerngesellschaften. Entsprechend gibt es einerseits eine IT-Governance auf Konzernebene und andererseits eine IT-Governance in den einzelnen Konzerngesellschaften.

In der Konzernsituation muss die konzernweite IT-Governance entsprechend der Konzernstruktur ausgeprägt sein. Im Falle einer Finanzholding (vgl. [Wöhe/Döring 2010, S. 265]) wird sie sich möglicherweise auf Beschaffungskoordination und Erfahrungsaustausch beschränken; in der Situation einer Managementholding (vgl. [Wöhe/Döring 2010, S. 265]) wird sie ihre regulierenden Aktivitäten bis in die laufende Operation der Konzerngesellschaften hinein ausdehnen.

Unterschiedliche IT-Controllingsysteme

Für das IT-Controlling bedeutet das Modell des internen IT-Marktes, dass es unterschiedliche IT-Controllingsysteme geben muss. Ob man Controlling-Aufgaben übergreifend zentralisieren und zusammenfassen sollte, kann nur im Einzelfall entschieden werden. Jedenfalls ist es nicht richtig, wenn man IT-Controlling, wie es zuweilen geschieht, nur als Aufgabe der IT-Governance ansieht.

Wirtschaftlichkeit der IT

Im IT-Controlling werden seit Langem die Begriffe der Bereitstellungswirtschaftlichkeit und der Verwendungswirtschaftlichkeit diskutiert. Das Modell des internen IT-Marktes verdeutlicht auch hier Unterschiede und Zuständigkeit. Die Bereitstellungswirtschaftlichkeit ist Aufgabe des IT-Supply-Managements, die Verwendungswirtschaftlichkeit Aufgabe des IT-Demand-Managements. Aufgabe der IT-Governance ist die Optimierung der Gesamtwirtschaftlichkeit der IT.

2.1.3 Objekte des IT-Controllings

Lebenszyklus von IT-Leistungen

Will man die Besonderheiten des IT-Controllings durchdringen, muss man ein Modell einsetzen, das das Spektrum der IT-Leistungen umfassend beschreibt, wie z.B. das Lebenszyklusmodell (vgl. [Fröschle/Kütz 2011, S. 205–207]). Ursprünglich beschränkte sich die Betrachtung des Lebenszyklus auf IT-Systeme im Sinne von Infrastruktur- oder Anwendungssystemen. Sie lässt sich jedoch ohne Weiteres auf IT-Leistungen (oder: IT-Services) übertragen und führt zu folgender logischer Kette:

Services

Bestimmte Mengen von (vorab definierten) IT-Services werden erstellt und verwendet.

Prozesse

Um diese Servicemengen zu produzieren und zu verwenden, müssen Prozesse ausgeführt werden, die in gleicher oder ähnlicher Weise immer wieder durchlaufen werden.

Systeme

In den Prozessen des Erstellers von IT-Leistungen spielen IT-Systeme im herkömmlichen Sinne, also Infrastruktur- oder Anwendungssysteme, eine zentrale Rolle. Diese Systeme sind unabhängig von den Prozessen vorhanden und müssen gepflegt, verwaltet und betrieben werden. Sie werden vom Verwender der IT-Leistungen erst im Rahmen der Leistungsabnahme wahrgenommen.

Projekte

Die IT-Systeme und die mit ihrer Hilfe möglichen Serviceangebote werden im Rahmen von Projekten realisiert, verändert und erweitert.

IT-Supply-Management

IT-Projekte, -Systeme, -Prozesse und -Services sind die elementaren Objekte des IT-Controllings. Sie sind relevant für jeden Ersteller von IT-Leistungen.

IT-Demand-Management

Für den Verwender von IT-Leistungen sind einerseits die IT-Projekte und andererseits die IT-Services von Interesse. In den IT-Projekten ist das IT-Demand-Management als Auftraggeber involviert und bringt seine Anforderungen ein. Im Rahmen der Serviceerstellung ist das IT-Demand-Management Kunde des Leistungserstellers und will die abgenommenen Leistungen in seiner eigenen Organisation nutzbringend einsetzen.

IT-Governance

Die IT-Governance wiederum betrachtet sämtliche Steuerungsobjekte der IT. Bei Projekten und Services will sie die partikulären Interessen der verschiedenen Ersteller und Verwender von IT-Leistungen im Sinne der Gesamtorganisation zum Ausgleich bringen, und bei IT-Systemen und IT-Prozessen greift sie regulierend und normierend in die Aktivitäten der beteiligten Leistungsersteller ein.

Einheitlicher Systembegriff

Der hier gewählte Ansatz unterscheidet nicht nach Anwendungen und Infrastruktur. Das hat seinen Grund darin, dass sich die Grenzen zwischen beiden Systemkategorien im Zuge der technologischen Entwicklung ständig verschieben (vgl. z.B. den Bereich des Cloud Computing) und der Verwender von IT-Leistungen letztlich nur den IT-Service insgesamt wahrnimmt. Die verschiedenen Bestandteile des Service, insbesondere die eingebundenen Systeme, sind für ihn nicht relevant. Zudem gibt es weder im Bereich der IT-Projekte noch im Bereich des Systembetriebs wesentliche Unterschiede zwischen beiden Systemkategorien.

Portfolios

Die vorgenannten elementaren Objekte des IT-Controllings bilden zwar einen wesentlichen Teil der Steuerungsobjekte, aber sie sind nicht erschöpfend. Neben den elementaren Objekten muss jeweils auch die Gesamtheit der Services, Prozesse, Systeme und Projekte betrachtet werden. Entsprechend wird vom Serviceportfolio, Prozessportfolio, Systemportfolio und Projektportfolio gesprochen.

Serviceportfolio und Servicekatalog

Der Begriff des Serviceportfolios wird hier weniger spezifisch betrachtet als in ITIL, das zwischen Serviceportfolio und Servicekatalog unterscheidet. Dort umfasst der Servicekatalog nur die aktuell angebotenen IT-Services, während das Serviceportfolio auch die nicht mehr angebotenen und die noch in der Entwicklung befindlichen oder zukünftig geplanten IT-Services umfasst (vgl. [Böttcher 2010, S. 22]). Hier soll das Serviceportfolio eine beliebige Gruppe von IT-Services bezeichnen.

Systemportfolio und Prozessportfolio

Beim Systemportfolio spricht man in der Praxis eher von einer Systemlandschaft oder nicht ganz korrekt von einer Systemarchitektur. Prozessportfolios werden eher als Prozessmodelle bezeichnet. Mit dem hier allgemein genutzten Begriff des Portfolios soll ausgedrückt werden, dass man sich in einer bestimmten Klasse von Steuerungsobjekten bewegt.

Portfolio als Steuerungsobjekt

Die vorgenannten Portfolios als Gruppen gleichartiger Steuerungsobjekte sind selber eigenständige Steuerungsobjekte. Sie erfordern ein dediziertes Management und folglich auch ein spezifisches Controlling. Betrachtet man Portfolios unter dem Aspekt von IT-Supply-Management, IT-Demand-Management und IT-Governance, so stellt man fest, dass sich Portfolios aus der Sicht dieser drei Rollen (natürlich) unterscheiden.

Jeder Ersteller und jeder Verwender von IT-Leistungen wird nur die Portfolios mit den für ihn relevanten Elementen betrachten, während die IT-Governance auch hier wieder eine übergreifende und konsolidierende Sichtweise einnehmen muss. Sie muss dafür sorgen, dass es bei den IT-Services weder redundante Angebote noch unnötige Varianten gibt, dass in Projekten identische oder gleichartige Ergebnisse nicht mehrfach erarbeitet werden, dass die Priorisierung von Projekten organisationsweit einheitlich erfolgt, dass Systemdoubletten vermieden werden und dass Prozesse, insbesondere, wenn sie Schnittstellen zu den IT-Demand-Organisationen haben, einheitlich und standardisiert sind. Sind unter den Erstellern von IT-Leistungen auch externe Leistungsersteller, so wird man deren Portfolios natürlich nur insoweit einbeziehen (können), als ihre Elemente für die eigene Organisation Relevanz haben.

Weitere Steuerungsobjekte

Natürlich sind Services, Prozesse, Systeme, Projekte und die daraus gebildeten Portfolios nicht erschöpfend. Es gibt viele weitere Steuerungsobjekte in der IT, mit denen sich das IT-Controlling auseinandersetzen muss. Lapidar könnte man sagen, dass alles, was die Bezeichnung »Management« trägt, zwangsläufig auch ein Feld des IT-Controllings darstellt. Wegen ihrer besonderen Bedeutung für die IT seien jedoch die Bereiche des Ressourcenmanagements und des GRC-Managements (GRC=Governance, Risk, Compliance) herausgegriffen und gesondert betrachtet.

Ressourcenmanagement

Sämtliche IT-Aktivitäten benötigen und verbrauchen Ressourcen. Diese Ressourcen müssen beschafft, bereitgestellt und zugeordnet werden. Dabei kann es sich um personelle Ressourcen in Form eigener Mitarbeiter oder externer Berater oder Zeitarbeitskräfte handeln, aber auch um diverse Sachmittel, insbesondere Hardware und Software. Auch Räumlichkeiten, Büroausstattung oder Energie gehören dazu.

Eine besondere Form von Ressourcen sind IT-Services, die man von anderen internen Leistungserstellern übernimmt oder von externen Leistungserstellern zukauft.

Der Schwerpunkt des Ressourcenmanagements liegt sicherlich beim Ersteller von IT-Leistungen, aber auch der Verwender von IT-Leistungen benötigt IT-spezifisch (personelle) Ressourcen, um abgenommene IT-Leistungen in seine Geschäftsprozesse zu integrieren und wirtschaftlich zu nutzen. Darüber hinaus kann es möglich sein, dass er Hardware und Software direkt bei externen Quellen beschaffen kann. Die IT-Governance muss auch hier dafür sorgen, dass das IT-Ressourcenmanagement im Sinne der Gesamtorganisation optimiert wird. Sie wird z.B. Vorgaben für Leistungen bzw. Produkte und Lieferanten machen und entsprechende Rahmenverträge mit externen Lieferanten oder Leistungserstellern schließen.

GRC-Management

Hinter der Abkürzung GRC (vgl. [Hildebrand/Meinhardt 2008]) steht ein Steuerungsthema, das in der jüngsten Vergangenheit immer stärker in das Blickfeld der IT-Verantwortlichen und damit auch des IT-Controllings geraten ist.

Governance

Governance, die bereits als eigenständige Rolle im IT-Management diskutiert wurde, sorgt dafür, dass die IT im Sinne der Gesamtorganisation geführt wird und die Existenz der Organisation sichergestellt wird.

Hinter der Governance stehen vor allem die Eigentümer der Organisation, aber auch andere »Stakeholder«, die über gesetzliche, soziale, moralische oder politische Vorgaben auf die Organisation einwirken. Sie bestimmen die Freiheitsgrade der normierenden und standardisierenden Gestaltung. Damit werden die Bereiche des Risikomanagements, also der Umgang mit Bedrohungen und daraus sich ergebenden Schäden, und des Compliance-Managements, also der Einhaltung von gesetzlichen und gesetzesähnlichen (externen und internen) Vorgaben zu integralen Bestandteilen der Governance. Für die IT macht es jedoch Sinn, die begriffliche Trennung beizubehalten, da Risikomanagement und Compliance-Management große, eigenständige Aufgabenbereiche darstellen und jeweils spezifisches Wissen und eigene fachliche Kompetenz erfordern.

Risikomanagement

Im Risikomanagement geht es um die Vermeidung oder Verringerung von Bedrohungen für die IT und der daraus (möglicherweise) resultierenden Schäden. Dies umfasst auch den immer wichtiger werdenden Bereich des Sicherheitsmanagements. Hier wiederum kann und muss die IT aktiv sein. Dazu gehört auch, dass das IT-Management dafür sorgt, dass man auf eintretende negative Ereignisse reagiert und reagieren kann.

Compliance-Management

Im Compliance-Management geht es um die Einhaltung von Vorgaben aus der eigenen Organisation, die von der IT-Governance aufgestellt werden, und von Vorgaben von externen Dritten, z.B. dem Gesetzgeber. Insbesondere bei den Vorgaben Dritter kann das IT-Management nicht mehr aktiv gestalten, sondern nur noch reagieren.

Verantwortung für das GRC-Management

Das GRC-Management ist vorrangig eine Aufgabe der IT-Governance; dementsprechend ist GRC ein wichtiger Bereich des IT-Governance-Controllings. Nachgelagert ist GRC auch bei Erstellern und Verwendern von IT-Leistungen controlling-relevant, allerdings dominieren im IT-Supply- und IT-Demand-Management Risiko- bzw. Sicherheitsmanagement und Compliance-Management. Das Compliance-Management hat hier vor allem die Aufgabe, Vorgaben der IT-Governance umzusetzen.

IT als Steuerungsobjekt

Geht man in der Hierarchie der Steuerungsobjekte noch eine Ebene höher, dann wird die IT selber zum Steuerungsobjekt. Im IT-Supply-Management betrachtet man die Organisation des Leistungserstellers, die innerhalb einer Gesamtorganisation als Fachbereich angelegt ist. Auf der Seite des IT-Demand-Managements, das in einer Gesamtorganisation durch Fachabteilungen, Unternehmensbereiche, Standorte oder andere Arten von Geschäftseinheiten repräsentiert wird, ist die IT natürlich nur ein Teil dieser Organisationen, kann aber durch Personen, z.B. einen IT-Koordinator, oder eigenständige Unterorganisationen repräsentiert werden. Auch die IT-Governance selber ist ein Steuerungsobjekt und wird in der Gesamtorganisation durch Personen, Personengruppen (Gremien) oder eigenständige Organisationseinheiten repräsentiert.

CIO

Der Träger der Governance-Aufgabe in der IT ist der CIO, der Chief Information Officer, also der oberste für IT Verantwortliche in einem Unternehmen oder einer Organisation. Die Organisationseinheit, die mit ihren Ressourcen die IT-Governance in der Gesamtorganisation wahrnimmt, bezeichnet man in der Praxis als CIO-Office. Die Rolle des CIOs darf keinesfalls von einem IT-Supply-Manager übernommen werden. In etlichen Organisationen ist der CIO zugleich oberster Repräsentant der IT-Demand-Seite, aber auch hier besteht die Gefahr, dass die normierende, regulierende Aufgabe der IT-Governance nicht konsequent wahrgenommen werden kann.

IT als Kerngeschäft

Für den Verwender ist IT eine unterstützende Funktion, also wird IT bei ihm allenfalls eine Teilorganisation bilden. Für den Ersteller von IT-Leistungen sieht das anders aus. Hier kann die IT Geschäftszweck sein und daher kann er als eigenständiges Unternehmen agieren. In diesem Fall weitet sich das Steuerungsobjekt »IT« zum Steuerungsobjekt »Unternehmen« aus, und das IT-Controlling erweitert sich zum allgemeinen Controlling und muss eine Unternehmensführung unterstützen. In einem IT-Unternehmen ist die IT-Governance prägender Bestandteil der allgemeinen Governance, während sie in einem Unternehmen, das IT zur Unterstützung seiner Geschäftsprozesse einsetzt, zwar ein wichtiger, aber eben doch nur nachgeordneter Teil der allgemeinen Governance ist.

Abbildung 2–5 veranschaulicht das Zusammenspiel der Sichten und der Objekte auf die IT und der verschiedenen Steuerungsobjekten. Elementarobjekte sind, wie weiter vorne beschrieben, IT-Services, (interne) IT-Prozesse, IT-Systeme und IT-Projekte. Naturgemäß haben IT-Prozesse und IT-Systeme in den IT-Demand-Organisationen eine geringere Bedeutung als in IT-Supply-Organisationen.

Abb. 2–5Zusammenspiel der IT-Sichten und IT-Steuerungsobjekte

2.1.4 IT-Controllingsysteme in der Literatur

Allgemeine Definition des IT-Controllings

Eine gängige Definition des IT-Controllings findet sich in [Horváth/Reichmann 2003, S. 343–346]. Danach stellt IT-Controlling ein funktions- und bereichsübergreifendes Koordinationssystem für den IT-Bereich und die Informationswirtschaft der Gesamtorganisation dar. Es darf nicht nur den IT-Supply-Bereich begleiten, sondern muss alle informationswirtschaftlichen Aktivitäten der Organisation unterstützen. Es wird also nicht nach Erstellung und Verwendung von IT-Leistungen und der ausgleichenden Regulierung beider Bereiche durch die IT-Governance unterschieden.

Als Ziele des IT-Controllings werden Wirtschaftlichkeit und Effektivität der Planung, Steuerung und Kontrolle aller IT-Prozesse, deren Ressourcen und der Infrastruktur definiert. Die Elemente dieses IT-Controllingsystems zeigt Abbildung 2–6 (vgl. [Krcmar/Buresch 2000, S. 6]).

Abb. 2–6IT-Controllingsystem nach Krcmar/Buresch

IT-Controlling nach Krcmar/Buresch

Der Kern dieses IT-Controllings ist der Lebenszyklus von IT-Systemen, der von Ideen für neue Systeme über Projekte und deren Realisierung bis hin zu fertigen Anwendungs- und Infrastruktursystemen führt. Die Anwendungssysteme werden als Produkte bezeichnet und unterstützen die Geschäftsprozesse der Organisation. Infrastruktursysteme bilden die Plattformen, auf denen die Anwendungssysteme betrieben und am Ort ihrer Nutzung bereitgestellt werden können.

Ein Steuerungsunterstützungssystem wird nicht explizit benannt, das Informationsversorgungssystem dürfte vom Berichtswesen erfasst werden. Die Unterscheidung nach Systembildung, Systembetrieb und Systemnutzung wird nicht vorgenommen. Aspekte der Systembildung klingen im Element »Werkzeuge & Methoden« an. Explizit werden Kosten- und Leistungsrechnung (vgl. Abschnitte 3.1 und 3.2) und Benchmarking (vgl. Abschnitt 2.2.5) genannt. Systembetrieb und Systemnutzung findet man wohl in der Koordinationsaufgabe. Etliche vertiefende Darstellungen zum IT-Controlling beziehen sich auf dieses IT-Controllingsystem.

IT-Controlling nach Kargl/Kütz

Der Ansatz von Kargl und Kütz (vgl. [Kargl/Kütz 2007]) geht stärker vom allgemeinen Controlling-Ansatz aus. Er sieht die Unterstützung des IT-Managements als Kern des IT-Controllings und nennt folgende Teilaufgaben:

IT-Strategie

IT-Projekte

IT-Servicemanagement

Kosten- und Leistungsmanagement

Organisation der IT-Abteilung

Als separate Themenblöcke werden die Transformation der IT-Abteilung zum IT Profit Center und der Einsatz von Kennzahlen zur IT-Steuerung genannt. Für jeden Bereich werden explizit die (aus Sicht der Autoren) relevanten Steuerungsinformationen genannt. Außerdem wird jeweils eine Reihe von Empfehlungen für die praktische Controlling-Arbeit gegeben.

Weitere Ansätze zum IT-Controlling

Ein weiterer Ansatz wird von [Gadatsch/Mayer 2006] mit folgender Struktur und einer starken Betonung der Kostenrechnung vorgestellt:

Leitbild-Controlling-Konzept in der Informationswirtschaft

IT-Controlling-Konzept (mit den Elementen »IT-Strategie«, »IT-Entwicklung« und »IT-Betrieb«)

Einsatz strategischer IT-Controlling-Werkzeuge (mit den Elementen »IT-Strategie«, »IT Balanced Scorecard«, »IT-Standardisierung & -Konsolidierung« und »IT-(Projekt-)Portfoliomanagement«)

Einsatz operativer IT-Controlling-Werkzeuge (mit den Elementen »IT-Kosten- und Leistungsrechnung«, »Geschäftspartnermanagement«, »IT-Berichtswesen und Kennzahlen«, »IT-Projektmanagement« und »IT-Prozessmanagement«)

Kostenrechnung für IT-Controller

Deckungsbeitragsrechnung für IT-Controller

Prozesskostenrechnung für IT-Controller

Target-Costing für IT-Controller

Ein ähnlicher Ansatz, der aber Outsourcing und Einführung eines IT-Controllings stärker hervorhebt, findet sich in [Gómez/Junker/Odebrecht 2009]. Es werden die Themenkreise »Grundlagen des IT-Controllings«, »IT-Controlling unter Outsourcingbedingungen«, »Methoden und Werkzeuge des IT-Controllings« und »IT-Controlling-Einführungskonzept« behandelt.

Der Ansatz von [Kesten/Müller/Schröder 2007] orientiert sich stärker an der IT-Strategie und der Projektarbeit und hat gewisse Ähnlichkeiten mit dem Ansatz von [Kargl/Kütz 2007]:

Handlungsrahmen für das IT-Controlling

Ermittlung der strategischen Bedeutung der IT

Analyse des IT-Reifegrades

Prozessorientierte Planung von IT-Systemen

Multiprojektmanagement – Steuerung des IT-Projektportfolios

IT-Projektcontrolling mit Earned-Value-Kennzahlen

Prognose der Wirtschaftlichkeit von IT-Projekten

Performancekontrolle von IT-Projekten in der Nutzungsphase

Produkt- und prozessorientierte Kalkulation und Verrechnung von IT-Leistungen

Controlling-Aufgaben im Prozess des IT-Outsourcing

Performance Measurement der IT mit der Balanced Scorecard

2.1.5 IT-Supply-Controlling

Innerhalb einer Organisation, die IT-Leistungen zur Unterstützung ihrer Geschäftsprozesse benötigt, gibt es üblicherweise eine oder mehrere Organisationseinheiten, die IT-Leistungen erbringen. Diese Einheiten reagieren auf die Nachfrage ihrer Kunden, also derjenigen Organisationseinheiten, die IT-Leistungen in ihren Geschäftsprozessen nutzen. Gleichzeitig müssen sie sich den von der IT-Governance vorgegebenen Rahmenbedingungen unterordnen. Was das für das IT-Controllingsystem einer solchen IT-Supply-Organisation bedeutet, zeigt Tabelle 2–2.

Tab. 2–2Aspekte des IT-Supply-Controllings

Adressat:Management der IT-Supply-Einheit

Steuerungsunterstützungssystem (SUS):Fokus auf Bereitstellungsleistung und Bereitstellungswirtschaftlichkeit

Systementwicklung:Ausbau und Verbesserung von SUS und IVS

Informationsversorgungssystem (IVS):Fokus auf Bereitstellungsleistung und Bereitstellungswirtschaftlichkeit

Systembetrieb:Sicherstellung von Datenversorgung, Qualitätssicherung, Datenaufbereitung

Systemnutzung:Abweichungsanalyse, Entscheidungsvorbereitung, Beratung

Steuerungsobjekte:Relevanz aller Steuerungsobjekte

Schnittstellen:

IT-Governance:

Beachtung der Vorgaben, Abstimmung, Berichterstattung

IT-Demand-Management:

Kommunikation, Feedback der Kunden

Service- und Serviceportfolio-Controlling

Kundenwahrnehmbare IT-Leistungen

Der IT-Dienstleister muss Services definieren, die er seinen Kunden, also den Verwendern von IT-Leistungen, anbieten will. Diese Leistungen müssen für seine Kunden wahrnehmbar sein. Die Wahrnehmbarkeit von IT-Leistungen für die Kunden, also die Verwender der IT-Leistungen, ist jedoch kein objektives Kriterium, sondern hängt vom jeweiligen Kunden ab.

Bezug der IT-Leistungen zum Geschäft

Die Leistungen müssen stets so definiert werden, dass die abgenommenen Leistungsmengen für die Kunden (grundsätzlich) nachprüfbar sind. Außerdem müssen die Kunden eine Beziehung dieser Leistungsmengen zu ihren eigenen Aktivitäten herstellen und den Nutzen der IT-Leistungen für ihr Geschäft erkennen können. Sie müssen also verstehen, warum sie viel oder wenig IT-Leistungen abgenommen haben. Ist das nicht der Fall, werden sie auch einem sachlich und formal korrekten Leistungsnachweis misstrauisch gegenüberstehen und im Falle einer IT-Leistungsverrechnung den ermittelten Rechnungsbetrag als willkürliche Kostenumlage empfinden. Die Kunden müssen die Abnahme von IT-Services beeinflussen können, indem sie die Menge der abgenommenen Leistungen oder ihre Ausprägung (Service Levels) verändern.

Ungeeignete Services

Natürlich kann der IT-Dienstleister Rechen-, Speicher- und Übertragungsleistungen als Services ansehen und Preise dafür so kalkulieren und abrechnen, dass seine Organisation kostendeckend oder profitabel arbeitet. Da technische Leistungseinheiten für Fachbereiche jedoch weder erkennbar noch verständlich sind, wird die formal korrekte Verrechnung dieser Leistungen als willkürliche Kostenumlage empfunden. Eine Positionierung der IT als Dienstleistungsorganisation ist so nicht möglich.

Angebotsportfolio

Durch regelmäßige Kommunikation mit seinen Kunden stellt der IT-Dienstleister fest, welche Services, Servicevarianten und Servicemengen nachgefragt werden. Daraus leitet er sein Angebotsportfolio ab. Er kann, aber er muss im Prinzip nicht alle nachgefragten Leistungen anbieten. Wie er sich verhält, hängt von den Rahmenbedingungen ab, unter denen er arbeiten muss. Innerhalb von Organisationen (also bei einem IT-Anwender) wird er in der Regel alle benötigten Leistungen anbieten müssen. Als freier Dienstleister (eigenständiges Unternehmen) wird er nur die aus seiner Sicht interessanten, nämlich profitablen Produkte anbieten. Beide Strategien können parallel verfolgt werden, wenn nämlich innerhalb der eigenen Organisation (z.B. bei einem konzerngebundenen Systemhaus) Versorgungspflicht besteht, gleichzeitig aber Leistungen auch externen (konzernfremden) Organisationen angeboten werden.

Vorhalte- und Verbrauchsleistungen

Bei den Leistungen, die IT-Organisationen anbieten, kann man zwei Leistungskategorien unterscheiden: Vorhalteleistungen und Verbrauchsleistungen. Die letztgenannte Gruppe wird vom Kunden aktiv abgenommen; die Abnahmemengen variieren mit dem aktuellen Kundenbedarf. Die erstgenannten Leistungen müssen erbracht werden, damit der Kunde die Leistungen der zweiten Kategorie überhaupt abnehmen kann. Diese Leistungen müssen unabhängig von der Abnahmemenge des Kunden erbracht werden. So muss jeder Benutzer Zugang zu einem Textverarbeitungsprogramm haben, unabhängig davon, wann und wie intensiv er es benutzen will. Der IT-Dienstleister muss dies bei der Servicegestaltung und Preiskalkulation berücksichtigen.

Aufgaben des IT-Controllings

Das IT-Controlling hat im Bereich des Serviceportfolios die Aufgabe, das IT-Supply-Management bei der Analyse der Marktpotenziale, der Ableitung von Serviceangeboten und der Gestaltung des Serviceportfolios, der Mengenplanung sowie der Kosten- und Preiskalkulation zu unterstützen. Für die definierten Services werden Service Level Agreements (SLA) vorbereitet, und es wird die Messung der abgegebenen Leistungsmengen sowie der Einhaltung der vereinbarten Service Levels sichergestellt.

Prozess- und Prozessportfolio-Controlling

Ableitung von Prozessen aus dem Serviceportfolio

Wenn das Serviceportfolio nach Struktur und Menge feststeht, werden daraus die erforderlichen Prozesse abgeleitet. Die Gestaltung seiner Prozesse ist für den IT-Dienstleister wichtig, da die Prozesse seine Ressourcenverbräuche und Kosten bestimmen. Aus den Prozessbeschreibungen ermittelt er die Arbeitspläne oder »Stücklisten« für jeden angebotenen Service und kalkuliert die Stückkosten als Grundlage der Preisgestaltung.

Aufgaben des IT-Controllings

Hier muss das IT-Controlling die Koordination der verschiedenen Leistungserstellungsprozesse und der benötigten unterstützenden Prozesse übernehmen. Außerdem muss es dem Management des IT-Dienstleisters geeignete Systeme und Werkzeuge für die Prozesssteuerung zur Verfügung stellen. Eng verknüpft damit sind Leistungsmessung, Stückkostenkalkulation und Prozesskostenrechnung. Hinzu kommt die Unterstützung des IT-Managements bei der Fertigungstiefenoptimierung, also bei der Beantwortung der Frage, welche Prozesse oder Prozessteile der IT-Dienstleister selber durchführen und welche Prozesse oder Prozessteile er an andere Dienstleister übertragen soll (Outsourcing, Offshore-Programmierung usw.).

System- und Systemportfolio-Controlling

IT-Systeme und IT-Services

Die IT-Systeme, und zwar sowohl Anwendungs- als auch Infrastruktursysteme, sind Träger der angebotenen IT-Services. Der Kunde erwartet die Bereitstellung von IT-Systemen und die Aufrechterhaltung von Funktionsfähigkeit und Betriebsbereitschaft, also die Nutzbarkeit dieser Systeme in seinen Geschäftsprozessen. IT-Services, soweit sie nicht direkt diesem Zweck dienen, umfassen Dienstleistungen, die die Kundenorganisation selber erbringen könnte, aber aus unterschiedlichen Gründen an den IT-Dienstleister überträgt, z.B. die Pflege von Geschäftsdaten, den Ausdruck und Versand von Rechnungen, das Einscannen von Belegen usw. Stets ist die unmittelbare Nähe zu einem IT-System gegeben.

Darüber hinaus ist in den IT-Systemen ein erhebliches Kapital, d.h. Anlagevermögen, gebunden. Der Wert dieses Kapitals muss erhalten und gepflegt werden.

Aufgaben des IT-Controllings

Das IT-Controlling unterstützt das Management des IT-Dienstleisters bei Analyse, Bewertung und Entwicklung des Systemportfolios. Es untersucht Komplexität und Altersstruktur der Systemlandschaft, fehlende Funktionalitäten oder Redundanzen, Investitionsbedarfe für neue Systeme oder den Ersatz alter Systeme, unterstützt Entscheidungen hinsichtlich Individual- oder Standardsystemen (Make-or-Buy) sowie Kauf oder Miete oder anderer Beschaffungsformen (z.B. Application Service Provision, Computing on Demand) von Standardsystemen oder Standardkomponenten. Da ein großer Teil der eingesetzten Systeme von externen Geschäftspartnern bezogen wird, gehört auch die Unterstützung der Lieferantenbewertung zu den Aufgaben des IT-Controllings.

Projekt- und Projektportfolio-Controlling

Anforderungen an das Projektcontrolling

Neue IT-Services müssen realisiert werden, und vorhandene IT-Services müssen verändert und verbessert werden. Dazu werden in hohem Maße IT-Systeme beschafft oder realisiert. Während Prozesse in gleicher oder gleichartiger Form immer wieder durchlaufen werden, weil die erzeugte Leistung in großen Stückzahlen nachgefragt wird, erfolgen Realisierung und Veränderung von IT-Services in Projektform. Jeder Service und jedes System ist anders, daher gibt es keine zwei identischen Projekte. Jedes Projekt liefert ein Ergebnis, das es vorher noch nicht gab. Damit stellen Projekte besondere Anforderungen an das IT-Controlling.

Projektrisiken

Die Neuartigkeit der angestrebten Ergebnisse bedeutet, dass Projekte von Natur aus mit Risiken behaftet sind. ProjektmanagementExperten [Bea/Scheurer/Hesselmann 2008, S. 31–32] formulieren das zuweilen sogar so, dass Projektmanagement ein Synonym für Risikomanagement sei. So geht es im Projektcontrolling nicht nur darum, den Fortschritt hinsichtlich der angestrebten Ergebnisse transparent zu machen, sondern ebenso die Risikolage des Projektes. Die Summe aller Risiken, die sich innerhalb eines laufenden Projektes auswirken könnte, sollte im Verlauf des Projekts tendenziell sinken (vgl. Abschnitt 3.6.7).

Ursachen der Projektrisiken

Projektrisiken ergeben sich großenteils daraus, dass sich die zur Projektinitiierung definierten Ergebnisse im Verlauf des Projekts ändern – teilweise dramatisch. Meist kommen neue Anforderungen auf das Projekt zu, die zusätzlichen Aufwand verursachen. Natürlich entfallen auch Anforderungen und entlasten das Projekt. Im Saldo nimmt das Volumen des Projektaufwandes jedoch normalerweise zu. Auch verändern sich Grundlagen und Rahmenbedingungen des Projektes, weil sich das Umfeld verändert. Die beauftragende Organisation wächst (z.B. durch Übernahmen oder Fusionen) oder wird kleiner (durch Verkäufe oder Ausgliederungen), verändert ihre Tätigkeitsfelder usw. Schließlich liegen erhebliche Risiken auch darin, dass – bedingt durch die Neuartigkeit jedes Projektes – die gesamte Planung unsicher ist. Die Annahmen über erforderliche Aufwände und benötigte Zeiten stellen sich vielfach im Projektverlauf als nicht haltbar heraus. In der Praxis sind sie üblicherweise zu optimistisch.

Veränderungen und Rentabilität

Bei jeder Veränderung muss das Projektcontrolling prüfen und bewerten, wie sich Veränderungen auf das Projekt und seine Rentabilität auswirken. Falls die Rentabilität eines Projektes sinkt – sei es durch veränderte Rahmenbedingungen oder Anforderungen, sei es durch notwendige Korrekturen bei Aufwänden oder Terminen –, muss auch geprüft werden, ob ein Projektabbruch sinnvoll ist. Der Abbruch eines Projektes kann wirtschaftlich sinnvoller sein als die Weiterführung und darf kein Tabu sein. Das gilt insbesondere dann, wenn man feststellt, dass die Ziele des Projektes nicht (mehr) erreicht werden können.

Einbindung der Projektauftraggeber

Projekte sind noch unter einem weiteren Aspekt von besonderem Interesse für das IT-Controlling. Neben den Services, die die IT-Organisation erbringt, sind auch Projekte ein Bereich, in dem intensiv mit den Kunden der IT-Organisation zusammengearbeitet werden muss. Zum einen, weil die Fachbereiche Auftraggeber der Projekte sind und durch Investitionen in IT-Systeme die Wirtschaftlichkeit ihrer Organisation verbessern wollen. Zum anderen, weil Projekte die aktive Mitarbeit der Auftraggeberorganisationen erfordern. Die Auftraggeber müssen zumindest das angestrebte Projektergebnis spezifizieren (Lastenheft) und die Arbeitsergebnisse prüfen und abnehmen. Die Projektorganisation muss Mitarbeiter aus allen beteiligten und betroffenen Organisationen geeignet zusammenführen, bis das Projekt erfolgreich abgeschlossen wird.

Projektorganisation und Regelorganisation

Damit steht jedes Projekt in einem Spannungsverhältnis zur Regelorganisation, sowohl der des Fachbereiches als auch der des IT-Bereiches. Einerseits entzieht es ihr Ressourcen, die dort in der laufenden Operation fehlen. Andererseits hebt es die normalen Über- oder Unterordnungsverhältnisse auf. So können Mitarbeiter, die in einem Projekt als Projektleiter, Teilprojektleiter oder Arbeitspaketverantwortlicher tätig sind, im Projekt Mitarbeiter führen, die in der Regelorganisation hierarchisch über ihnen stehen. Solche Rollenwechsel fallen den Betroffenen oftmals schwer und sind Ursache vieler Projektprobleme. IT-Controlling in Projekten heißt daher auch, sensibel für solche Phänomene zu sein, sie zu erkennen und zu kommunizieren.

Aufgaben des IT-Controllings

Das IT-Controlling unterstützt die Planung und Durchführung von IT-Projekten. Die wichtigen Controlling-Schwerpunkte sind Leistung und Qualität, Kosten, Termine und Risiko. Für alle Dimensionen stellt das IT-Controlling geeignete Verfahren zur Verfügung und sorgt für die einheitliche und konsequente Anwendung. Darüber hinaus unterstützt das IT-Controlling das IT-Management, aber auch das Fachbereichsmanagement, bei der Bewertung, Auswahl und Initiierung von IT-Projekten. Hier kommen nicht nur Methoden der Wirtschaftlichkeitsrechnung (vgl. Abschnitt 3.3), sondern auch allgemeine Bewertungs- und Entscheidungsunterstützungsverfahren zum Einsatz (vgl. Abschnitt 3.7).

Portfolio-Controlling

Über das einzelne Projekt hinaus muss auch die Gesamtheit aller IT- Projekte gesteuert werden. Hauptaufgabe des Portfolio-Controllings ist neben der Projektbewertung und Priorisierung die übergreifende Steuerung des Ressourceneinsatzes. Durch die gemeinsame Nutzung von Ressourcen (Mitarbeiter, Systeme, Infrastrukturen) entstehen zwischen den Projekten vielfältige Querbeziehungen und Abhängigkeiten. In der Planung müssen die Ressourcenforderungen der Projekte übergreifend abgestimmt werden. Einerseits sollen die verfügbaren Ressourcen optimal ausgelastet werden, andererseits dürfen die partikulären Interessen der einzelnen Projekte nicht zu sehr leiden. In der Durchführung müssen vor allem Termine konsequent eingehalten werden, denn Verzögerungen in einem Projekt und die damit verbundenen Ressourcenbindungen führen zu Dominoeffekten, die sich auf mehrere Projekte auswirken.

Ressourcencontrolling

Bedarfsgerechte Versorgung mit Ressourcen

Bei der Leistungserstellung in der IT werden unterschiedliche Ressourcen genutzt und verbraucht. Personal, Hardware und Software sind wesentliche Vertreter dieser Ressourcen. Sie müssen beschafft, bereitgestellt und in den Leistungserstellungsprozess der IT-Supply-Organisation eingesteuert werden. Das muss bedarfsgerecht erfolgen, denn wenn weniger Ressourcen verfügbar sind, als man benötigt, kann die Leistung nicht in der Menge oder Qualität erstellt werden, wie Kunden und Geschäft sie benötigen, und wenn mehr Ressourcen vorhanden sind, als man benötigt, arbeitet die IT unwirtschaftlich. Das IT-Controlling muss also das IT-Supply-Management bei der bedarfsgerechten Versorgung der IT-Leistungserstellung mit den benötigten Ressourcen unterstützen.

Herstellung von Leistungsfähigkeit

Dabei steht das IT-Controlling vor der besonderen Herausforderung, dass große Anteile der IT-Services nicht so sehr darin bestehen, konkret Leistung abzugeben, sondern stärker darin bestehen, die Fähigkeit herzustellen und aufrechtzuerhalten, Leistungen bei Nachfrage unverzüglich erzeugen und abgeben zu können. Dazu müssen Kapazitäten vorgehalten werden, die Ressourcen verbrauchen, selbst wenn keine Leistung abgenommen wird. Hier muss also Transparenz derart geschaffen und erhalten werden, dass Leistungsabgabe und Ressourcenverbrauch im Verbund verfolgt werden und man somit feststellen kann, ob sich beide im Einklang befinden oder voneinander abweichen.

Einbindung von Ressourcen aus der IT-Demand-Organisation

Eine erhebliche Herausforderung für das IT-Supply-Management und das ihm zugeordnete Controlling besteht darin, dass die zur Leistungserstellung benötigten Ressourcen zum Teil aus der IT-Demand-Organisation kommen müssen. Man denke etwa an die Mitwirkung der Fachbereiche in IT-Projekten, z.B. im Bereich der Qualitätssicherung und der agilen Softwareentwicklung. Oder man denke an Aktivitäten der Freigabe und Abstimmung im Rahmen von Monats- oder Jahresabschlüssen. Diese Ressourcen werden dringend benötigt, weil ohne sie der Leistungserstellungsprozess zum Erliegen kommt, aber sie unterliegen nicht der Verfügungsgewalt des IT-Supply-Managements.

Das IT-Controlling muss hier Klarheit schaffen, ob diese von der IT-Demand-Seite beizustellenden Ressourcen bedarfsgerecht verfügbar sind oder welche Auswirkungen eine Nichtverfügbarkeit oder unzureichende Verfügbarkeit auf die Leistungserstellung hat.

Vorleistungen

Schließlich muss das Ressourcencontrolling noch beachten, dass die zur Leistungserstellung benötigten Ressourcen oftmals IT-Leistungen externer Organisationen sind, z.B. Beratungsleistungen, Wartungsleistungen, Netzwerk- oder Hostingleistungen sowie vor dem Hintergrund aktueller Entwicklungen (2012) Leistungen aus dem Bereich des Cloud Computings (vgl. [Vossen/Haselmann/Hoeren 2012]). Hier ist das IT-Controlling gefordert, das IT-Supply-Management bei der Identifikation und Bewertung von Leistungspartnern, bei der Spezifikation von zu beziehenden Leistungen, bei Vertragsabschlüssen sowie beim Monitoring der laufenden Leistungserbringung der Zulieferer zu unterstützen.

GRC-Controlling

Aufgaben des IT-Controllings

Im Rahmen ihrer Leistungserstellung muss die IT-Supply-Organisation die Vorgaben der IT-Governance beachten und einhalten, innerhalb der eigenen Organisation eine lokale IT-Governance etablieren und betreiben, ein geeignetes Risiko- bzw. Sicherheitsmanagement durchführen und im Bereich der Compliance die Einhaltung externer Vorgaben, insbesondere gesetzlicher und gesetzesähnlicher Vorgaben, z.B. Verordnungen, sicherstellen. Auch dabei muss das IT-Controlling unterstützen und für Transparenz sorgen.

Governance und Compliance

Vor dem Hintergrund der IT-Leistungserstellung bilden Governance und Compliance einen Rahmen, in dem das IT-Supply-Management nur noch relativ wenige Gestaltungsmöglichkeiten hat, allerdings für eine effiziente Umsetzung sorgen muss. Hier ist es die Aufgabe des IT-Controllings, die zu beachtenden Randbedingungen zu identifizieren und den Grad ihrer Einhaltung bzw. Abweichung zu verfolgen.

Risikomanagement

Das Risiko- bzw. Sicherheitsmanagement ist hingegen ein Bereich, in dem das IT-Supply-Management eine dominierende Rolle spielt und weitreichende Verantwortung trägt. Durch die elektronische Kooperation mit Geschäftspartnern und Organisationen (vgl. E-Business, E-Government) hat die Bedeutung dieses Aufgabenbereiches stark zugenommen, und sie wird zukünftig voraussichtlich noch weiter wachsen. Hier ist es die Aufgabe des IT-Controllings, das IT-Supply-Management bei der Identifizierung von Bedrohungen und Risiken zu unterstützen, bei ihrer Bewertung aktiv mitzuwirken und die Wirkungen entsprechender Schutzmaßnahmen zu erfassen und zu verfolgen.

2.1.6 Schwerpunkte des IT-Supply-Controllings

Fragestellungen

Das IT-Supply-Controlling muss sich außer mit den beschriebenen Steuerungsobjekten auch mit einer Reihe übergeordneter Fragen befassen, die sich aus dem Zusammenwirken dieser Steuerungsobjekte und aus der Einbettung der IT-Leistungserstellung in das Umfeld ergeben. Besonders wichtige Fragestellungen sind Bereitstellungswirtschaftlichkeit und Wertbeitrag, Leistungsverrechnung und Profit Center, Fixkosten und Gemeinkosten.

Bereitstellungswirtschaftlichkeit und Wertbeitrag

Begriff der Bereitstellungswirtschaftlichkeit

IT-Dienstleister sollen ihre Leistungen wirtschaftlich erbringen. Bereitstellungswirtschaftlichkeit der IT bedeutet, eine definierte Leistung zu möglichst niedrigen Kosten zu erzeugen. Natürlich dürfen nur solche Leistungen erzeugt werden, die auch benötigt und nachgefragt werden.

Zielsetzung: Kostensenkung

Vor diesem Hintergrund werden (insbesondere interne) IT-Supply-Organisationen in der Regel an den von ihnen zu verantwortenden Kosten gemessen. Ein Ziel der übergeordneten Gesamtorganisation ist es dementsprechend, die IT-Kosten zu senken, die man mit den Kosten der IT-Supply-Organisation gleichsetzt.

Total Cost of Ownership

Jedoch gibt es in erheblichem Umfang auch IT-Kosten, die nicht aus der Erstellung, sondern aus der Verwendung von IT-Leistungen resultieren. Das wird unter dem Begriff der Total Cost of Ownership weiter vertieft (vgl. Abschnitt 3.1.8).

Kosten und Leistungen

Implizit geht der Kostensenkungsansatz davon aus, dass die Leistungen der IT-Organisation definiert und statisch sind. Bei einer Ausweitung des Leistungsangebotes muss es jedoch zwangsläufig zu Kostensteigerungen kommen. Bei einer Reduktion der IT-Leistung sollten auch die IT-Kosten sinken; dass sie das nicht ohne Weiteres tun, wird in Abschnitt 3.1.2 näher beschrieben. Jedenfalls verbessert sich die Wirtschaftlichkeit der IT-Leistungserstellung nur dann, wenn sich das Verhältnis aus Leistungswert und Kosten vergrößert bzw. eine Leistungseinheit zu niedrigeren Kosten erstellt werden kann als zuvor.

Kostentransparenz und Leistungstransparenz

Kostenvergleiche in der IT sind daher wertlos, wenn kein Leistungsvergleich erfolgt. Das IT-Controlling muss natürlich Kostentransparenz herstellen, aber Kostendaten werden erst dann zu Steuerungsinformationen, wenn sie zu Leistungsdaten in Beziehung gesetzt werden können. Dazu müssen die abgegebenen Leistungen definiert sein und erfasst werden. Nur dann kann die IT-Organisation ihre Wirtschaftlichkeit belegen. Schafft sie das nicht, bleibt sie für das Top-Management ein amorpher Kostenblock und dementsprechend in der Kritik.

Leistungsmessung über Preise

Es ist eine zentrale Aufgabe des IT-Supply-Controllings, Leistungsmaße für die IT zu entwickeln und die erzeugte bzw. abgegebene Leistung praktisch zu messen. Diese Aufgabe ist schwierig, denn der (interne) IT-Dienstleister bietet in der Regel ein breit gefächertes, heterogenes Leistungsspektrum (Serviceportfolio) an. Allerdings hat man letztlich keine größeren Schwierigkeiten als Unternehmen, die ihre Gesamtleistung messen wollen. Dort ist der Umsatz ein Maß für die Unternehmensleistung, also die Summe aller mit den jeweiligen Abgabepreisen gewichteten Leistungsmengen der einzelnen Produkte.

Die Übertragung auf die Erstellung von IT-Leistungen ist jedoch insofern problematisch, als sich bei Unternehmen der Preis auf den Märkten durch den Kräfteausgleich zwischen Angebot und Nachfrage ergibt, intern erzeugte IT-Leistungen jedoch nur auf internen IT-Märkten abgesetzt werden, auf denen die Mechanismen der freien Preisbildung außer Kraft gesetzt sind. Das ist gewollt, denn mit der Bildung von mehrgliedrigen, arbeitsteiligen Organisationen will man ja den Markt umgehen, um Transaktionskosten zu vermeiden. Allerdings kann man auch innerhalb von Organisationen einen marktähnlichen Leistungswert ermitteln. Dazu stehen die Verfahren der Kostenrechnung und Transferpreisbildung zur Verfügung (vgl. [Schweitzer/Küpper 2008] und [Abdallah 2004]).

Benchmarking

Um den Aufwand für die Bewertung und die Messung von IT-Leistungen zu vermeiden, versucht man in der Praxis seit Langem, die IT-Kosten der eigenen Organisation mit den IT-Kosten anderer Organisationen zu vergleichen (Benchmarking, vgl. Abschnitt 2.2.5). Man geht davon aus, dass bei zwei Organisationen vergleichbarer Größe, Struktur und Geschäftsaktivitäten diejenige Organisation besser mit IT wirtschaftet, die niedrigere IT-Kosten aufweist. Das ist ein verständliches, aber auch trügerisches Denkmodell.

Beispiel

Man stelle sich dazu zwei Unternehmen vor, die die gleichen Produkte herstellen und denselben Umsatz erzielen. Das Unternehmen mit dem höheren Gewinn muss dann die insgesamt niedrigeren Kosten der beiden Unternehmen haben. Wenn dieses Unternehmen nun aber zugleich die höheren IT-Kosten von den beiden Unternehmen aufweist, dann stellt sich die Frage, welches von beiden Unternehmen die »bessere« IT hat.

Natürlich erwartet man, dass das insgesamt erfolgreichere Unternehmen auch die leistungsstärkere IT hat (und für die IT-Verantwortlichen ist das auch zu hoffen). Aber es könnte auch genau anders sein, dass nämlich das erfolgreichere Unternehmen eine unwirtschaftliche IT betreibt, dies aber in anderen Leistungsbereichen überkompensiert.

Noch deutlicher wird diese Problematik bei der Annahme, dass in beiden Unternehmen Ergebnis und Kosten identisch sind. Darf man dann schließen, dass das Unternehmen mit den höheren IT-Kosten eine geringere Wirtschaftlichkeit der IT aufweist? Aus der Höhe der IT-Kosten oder ihrem Anteil an Umsatz, Rohertrag oder Gesamtkosten auf die Leistungsfähigkeit und Wirtschaftlichkeit einer IT-Organisation schließen zu wollen, ist nicht möglich. Man muss stets die Leistung der IT-Organisation in die Bewertung mit einbeziehen.

Transparenzgebot

Das Transparenzgebot des IT-Controllings erfordert natürlich Kostentransparenz. Aber die zentrale Herausforderung des IT-Controllings ist Leistungstransparenz. Wenn es dem IT-Controlling nicht gelingt, Leistungstransparenz zu schaffen, hat es versagt.

Wertbeitrag der IT

Seit einiger Zeit werden für die IT eines Unternehmens oder einer Organisation nicht mehr nur ein niedriges Kostenniveau und eine hohe Wirtschaftlichkeit gefordert. Es wird zudem gefragt, wie groß der Wertbeitrag der IT ist.

Wertorientierte Unternehmensführung

Begrifflich kann man diese Fragestellung aus der wertorientierten Unternehmensführung ableiten (vgl. [Stiefl/von Westerholt 2008]), die erkannt hat, dass ein beliebig niedriger Bilanzgewinn auf Dauer nicht ausreicht, um den Unternehmenserfolg und die Unternehmensexistenz zu sichern. Im Gegenteil, der Bilanzgewinn muss (im Mittel) so hoch sein, dass die Kapitalkosten gedeckt werden können und idealerweise dann noch ein Residualgewinn (oder Übergewinn) erzielt wird.

Kapitalkosten

Kapitalkosten sind die Kosten des im Unternehmen eingesetzten Kapitals, also die an die Kapitalgeber für die Überlassung des Kapitals zu zahlenden Zinsen. Wer zeigen will, dass die IT einen positiven Wertbeitrag leistet, der muss nicht nur den Leistungswert der IT und ihre Kosten ermitteln, sondern darüber hinaus auch die auf die IT entfallenden Kapitalkosten bestimmen.

Wertbeitragsberechnung

Der Leistungswert der IT, reduziert um die (Betriebs-)Kosten und die Kapitalkosten, muss größer als 0 sein. Ein entsprechendes Rechenverfahren wird in Abschnitt 3.3.6 dargestellt.

Leistungsverrechnung und Profit Center

Viele Organisationen versuchen, dem Leistungsaspekt der IT dadurch Rechnung zu tragen, dass sie eine IT-Leistungsverrechnung einführen (vgl. Abschnitt 3.2.5) und dadurch ihre interne IT-Supply-Organisation als Profit Center aufstellen. Was bedeutet das für das IT-Supply-Controlling?

IT als Cost Center

Herkömmlich werden IT-Bereiche als Cost Center betrieben. Ein Cost Center ist ein abgegrenzter Teilbereich einer Organisation, dem Kosten klar zugeordnet werden können. Diese sind vom Leiter des Cost Centers zu verantworten. Die IT-Kosten können am Periodenende als Gemeinkostenblock (vgl. Abschnitt 3.1.3) in die Erfolgsrechnung der Organisation übernommen werden. Dort mindern sie den Gewinn der Organisation. Es wird jedoch nicht klar, wer oder was die IT-Kosten verursacht hat. IT ist in einer solchen Organisation ein freies Gut, und IT-Leistungen werden praktisch unbegrenzt nachgefragt.

Kostenverteilung

Um das zu verhindern, werden die IT-Kosten zum Periodenende oftmals nach bestimmten Verfahren (Schlüsselungen) auf die Organisationseinheiten verteilt, die IT-Leistungen »verbraucht« haben. Damit will man die IT-Kosten dem Ort ihrer Entstehung zuordnen. Die Verteilungsschlüssel können sehr einfach sein, z.B. proportional zu Mitarbeiteranzahlen oder anderen Größenmerkmalen, werden aber dann von den Fachbereichen als zu pauschal empfunden.

Um das zu vermeiden und IT-Kosten verursachungsgerecht zu verteilen, werden unterschiedliche Schlüssel miteinander kombiniert, führen dann aber zu komplizierten Verteilungsschlüsseln. Die Praxis zeigt, dass mit zunehmender Komplexität der Verteilungsschlüssel die Unzufriedenheit der belasteten Fachbereiche wieder zunimmt. Sie verstehen die Ergebnisse der Kostenverteilung nicht mehr und empfinden sie daher als ungerecht und willkürlich. Die Verteilungsverfahren dürfen also weder zu einfach noch zu kompliziert sein.

Beeinflussbarkeit der IT-Kosten durch IT-Verwender

Die Verteilung der IT-Kosten auf Fachbereiche und Organisationseinheiten der IT-Verwender zeigt schon ein gewisses Leistungselement, denn IT-Leistung ist kein freies, also kostenlos erhältliches Gut mehr.

Allerdings können die verteilten IT-Kosten stark schwanken. Diese Schwankungen haben mit der Leistungsabnahme nur mittelbar zu tun. Wenn z.B. die Mieten für IT-Geräte vierteljährlich bezahlt werden, dann gibt es in den verteilten Kosten – wenn die Verteilung monatlich erfolgt – alle drei Monate eine Spitze. Einige Organisationen versuchen, das durch Abschlagsverrechnungen (monatliche Pauschalen) abzufangen. Dann jedoch kann es passieren, dass die Fachbereiche zum Periodenende eine Gutschrift oder Nachbelastung erhalten. Insbesondere Nachbelastungen sind äußerst unerwünscht, da sie das Periodenergebnis der belasteten Einheiten stark und für die Betroffenen unerwartet verschlechtern können.

Da sämtliche IT-Kosten verteilt werden, fehlt zudem der exakte Bezug zur tatsächlich abgenommenen Leistung. Der IT-Verwender kann die ihm belasteten IT-Kosten nicht aktiv beeinflussen. Insbesondere kann er die ihm zugeordneten IT-Kosten nicht planen.

IT-Leistungsverrechnung und IT Profit Center

Diese Schwierigkeiten führen dazu, dass immer mehr Organisationen eine IT-Leistungsverrechnung einführen oder die IT-Organisation als Profit Center aufstellen. Das erzwingt eine klare Beschreibung der Leistungen (Services) und eine entsprechende Preiskalkulation für die definierten Leistungseinheiten. Wenn der IT-Dienstleister eine Leistungseinheit abgibt, wird der Leistungsnehmer mit dem zuvor definierten Verrechnungspreis belastet. So erzielt der IT-Bereich Umsatz, und zum Periodenende ergibt sich aus der Differenz von Umsatz und angefallenen Kosten ein Überschuss oder ein Verlust. (Bereitstellungs-) Wirtschaftlichkeit der IT heißt dann, dass die IT-Organisation ihre Leistungen kostendeckend absetzen konnte.