ISO-Standard 38500 nimmt die Geschäftsleitung stärker in die IT-Pflicht

Die Veröffentlichung des internationalen Standards ISO/IEC 38500:2008 „Corporate Governance of Information Technology“ Mitte letzten Jahres zeigt das erhebliche internationale Interesse am Thema IT Governance. Denn obwohl bereits eine Vielfalt an Frameworks, Standards und Best Practices mit dem Ziel entwickelt wurde, die IT besser mit den Geschäftsstrategien zu verschmelzen, hapert es in der Praxis unverändert an einer ausreichenden Integration. „Bei den bisherigen Ansätzen fehlte es an einem gemeinsamen Nenner und breiter Akzeptanz“, sieht Dr. Gisela Böndgen, Business Consultant beim Beratungshaus Serview, eine große Notwendigkeit für die neue ISO-Norm 38500.

Vor allem aber würde der neue Standard den vielen Auslegungen und Missverständnissen bei der Gestaltung der Corporate Governance ein Ende bereiten. „Das unterschiedliche Verständnis behindert den Erfolg vieler Unternehmungen, deshalb bedarf es verbindlicher Klarheiten, damit die Unternehmen einen höheren Mehrwert aus ihren IT-Investitionen ziehen und die Risiken besser managen können.“ Zu den besonderen Merkmalen der ISO/IEC 38500 gehören:

• Der Standard definiert den Begriff „IT Governance“ eindeutig und in Abgrenzung zur Bezeichnung „Management“, so dass Licht in die Interpretationsvielfalt gebracht wird.
• Die ISO/IEC 38500 stellt klar, dass es sich bei „IT Governance“ nicht um eine reine IT-Angelegenheit handelt. Denn die Norm zieht mit ihrer Bezeichnung „Corporate Governace of Information Technology“ den Bogen wesentlich größer und macht damit deutlich, dass die IT ein essentieller Bestandteil der Geschäftsprozesse und damit des Unternehmens ist.
• Es wird klar gestellt, dass die Verantwortung für Einsatz und Nutzung der IT eindeutig auf Seiten der Unternehmensführung liegt, weil sie sich nicht primär an den CIO oder IT-Manager, sondern an die Unternehmensführung wendet.

„Angesichts der bestehenden Frameworks wie ITIL, COBIT und anderer, die alle die Ausrichtung der IT an den Geschäftszielen zum Ziel haben, wirkt der Ruf nach einem neuen Regelwerk auf den ersten Blick verwunderlich“, vermutet Dr. Böndgen einzelne Einwände. „Was aber, wenn die Geschäftsstrategie und -ziele gar nicht bekannt sind und wenn keine klaren Vorgaben aus den Chefetagen vorliegen“, fragt sie. Eine effektive und effiziente Nutzung der IT zur Erreichung von Geschäftszielen verlange auch eine Veränderung im Business hinsichtlich der Prozesse, Strukturen und Denkweisen in der Zusammenarbeit mit der IT.

Und hier setze die ISO/IEC 38500 gezielt an: „Darin wird erstmals zweifelsfrei die Verantwortung auf die Geschäftsleitung übertragen. Sie muss die Richtung vorgeben und die Umsetzung sicherstellen“, betont Serview Consultant Dr. Böndgen. So benenne der Standard die integralen Bestandteile der IT Governance mit ihren fundamentalen Aufgaben der Geschäftsführung, nämlich der Bewertung (Evaluation), Steuerung (Direction) und Überwachung (Monitoring) der IT-Nutzung mit ihrer Orientierung an den Unternehmenszielen. „Durch diese High Level-Beschreibung mit ihrer klaren Adressierung der Geschäftsleitung ergänzt die ISO/IEC 38500 bestehende Frameworks und Normen.“ Mit den klassischen IT-Rahmenwerken sei dies nicht realisierbar, weil sie für die Geschäftsleitung meist zu detailliert sind.