„ Die IT Governance erhält endlich die Aufmerksamkeit, die ihr schon seit langem zusteht“ möchte man erleichtert aufatmen. Und in der Tat manifestiert sich das gewachsene Interesse derzeit in vielfältiger Weise. Nicht nur, dass die Zahl der relevanten Veröffentlichungen rasant steigt, auch das Angebot an einschlägigen Seminaren nimmt zu. Entscheidend ist jedoch, dass die Zuordnung von expliziter Verantwortung für den Aufgabenbereich IT-Governance in Unternehmen zunehmend vollzogen wird.

Diese Entwicklung ist begrüßenswert, nährt sie doch die Hoffnung, das „Corporate Governance of IT“, -wie IT-Governance im Titel des ISO-Standards 38500 genannt wird – bei der Bewältigung von Leistungsanforderungen (Performance) und gleichzeitig bei dem Herstellen von „Compliance“ (Conformance) einen wesentlichen Beitrag leisten wird.

Die Dinge in Sachen IT-Governance entwickeln sich in Theorie und Praxis also grundsätzlich begrüßenswert. Dennoch bleibt es die Aufgabe des wissenschaftlich-praktischen Diskurses, ständig zu hinterfragen, ob sich aus dem Guten das Bessere entwickeln lässt.

Information: der zentrale Gegenstand der Governance

.

Im Kern einer beginnenden Diskussion steht die die Frage, ob die von IT-Governance – zumindest dem Namen nach – adressierte IT wirklich das primäre Objekt der Governance-Anstrengungen sein sollte. Der eigentliche Vermögenswert der Unternehmen (immer mehr auch der Privathaushalte) ist schließlich die Information – nicht die Maschinerie mit der diese bearbeitet, übertragen, visualisiert etc. wird. Der so angedeutete Perspektivenwechsel soll hier kurz weiter motiviert werden.

Welche Gründe sprechen nun für einen Perspektivenwechsel von der IT-Governance hin zu einer Information-Governance?

1. Der Trend der ubiquitären Verfügbarkeit von Informationen wird vor allem über die hochgradige und weiter wachsende Vernetzung der IT-Systeme untereinander gefördert. Cloud-Computing wird hier besonders im geschäftlichen Bereich beschleunigend wirken. Obwohl Information gleichsam überall vorhanden ist, steht die gleiche Information jedoch in verschiedenen Kontexten, trägt damit unterschiedliche Semantiken und weist verschiedene Grade der Vollständigkeit auf. Dennoch mag sie gleichbleibenden Anforderungen hinsichtlich rechtlicher Konformität (Compliance) ausgesetzt. sein wie z.B. bei personenbezogenen Daten oder im Kopierschutz.
2. Mobile und stationäre Zugänge und die rapide steigende Verteilung von  Informationen schaffen verteilte Informationssystemen mit neuen Charakteristika. Ihr Wachstum erfolgt organisch und unkontrolliert. Die darin enthaltenden Informationen sind multimedial (Text, Bild, Bewegtbild) und liegen in unterschiedlichsten Formaten vor. Oftmals sind sie unstrukturiert (Chats, Blogs etc.), häufig semi-strukturiert (Email, soziale Netze) und zu einem abnehmenden Anteil strukturiert (Datenbanken, Data Warehouses etc.). Insgesamt reift eine Situation heran, in der zwar das Zusammenspiel der Technologiekomponenten möglich ist, nicht aber das methodisch abgesicherte Management sensitiver bzw. wertvoller Informationen.
3. Nicht zuletzt schafft das schlichte Anwachsen der Datenvolumina die Notwendigkeit Spreu vom Weizen zu trennen. Informationen müssen bewertet werden und das Ergebnis ihrer Bewertung sollte Teil der Information werden und bleiben. Einer Schätzung von Cisco zufolge werden 2013 nahezu 700 Exabyte (Exabyte: 10 hoch 18) Informationen durchs Internet fließen (Economist, Februar 2010) gegenüber derzeitig geschätzten 22 Exabyte. Es fehlt im geschäftlichen Bereich an Methoden und Verfahren, diese gigantischen Informationsmenge zu steuern und adäquate nutzbar zu machen.
4. Die weitgehend unkontrollierte Diffusion von Informationen im internet und anderen Netzen wirft neue Fragen des Alignments, d.h. dem Imperativ der Angleichung der Geschäftsstrategie und IT-Strategie („Performamce“), sowie der Compliance („Conformance“), d.h. der Sicherstellung von Konformität mit gesetzlichen und regulatorischen Anforderungen auf. Alignment wird mit zunehmenden Datenvolumina und abnehmender Strukturierung der Daten komplexer.

Abgrenzung Information-Governance und IT-Governance

.

Wie häufig bei der Entwicklung neuer Themen zu beobachten ist, steht eine begriffsscharfe Definition der Inhalte nicht am Anfang, sondern ergibt sich evolutionär und schrittweise im fachlichen Diskurs. Die bisher vorliegenden Definitionen zum Begriff Information-Governance lassen eine gemeinsame Richtung erkennen, sind jedoch nicht deckungsgleich. Exemplarisch sei hier die recht umfassende Definition der Gartner-Group angeführt:

Definition: Information-Governance umfasst die Festlegung von Entscheidungsbefugnissen und eines „Frameworks“ zur Förderung eines gezielten Umganges mit der Bewertung, Erzeugung, Speicherung, Nutzung, Archivierung und Vernichtung von Informationen. Es umfasst Prozesse, Rollen, Metriken und Standards  zur Sicherstellung der Effektivität und Effizienz bei der Nutzung von Informationen, um die  gesetzten Ziele einer Organisation bestmöglich zu erreichen.

Im Vergleich dazu die weithin akzeptierte Definition von IT-Governance der ISACA:

Definition: IT-Governance liegt in der Verantwortung des Vorstands und des Aufsichtsrates. Sie ist ein integrierter Teil des Corporate Governance und besteht aus der Führung, den organisatorischen Strukturen und den Prozessen, die sicherstellen, dass die Unternehmens-IT die Unternehmensstrategie und  -ziele unterstützt und erweitert werden.

Es wird deutlich, dass die IT-Governance die  Konzentration auf die IT und damit wesentlich  auf die Beherrschung der Technologien und ihres Einsatzes in Unternehmen zum Inhalt hat. Während also eine Information-Governance den Prozess des unternehmensweiten Informationsmanagements im Fokus hätte, steuert die IT-Governance den Prozess des unternehmensweiten IT-Alignments und der unternehmensweiten IT-Compliance.

Information-Governance

.

Aufgrund der oben beschriebenen Ausgangssituation kann zunächst festgehalten werden, dass ein Perspektivenwechsel hin zu einer Information-Governance die strategisch orientierten Fragen im Zusammenhang mit Informationen, d.h. ihrer Bewertung, ihrer Identifizierung und ihrer Handhabung über ihren gesamten Lebenszyklus (Erzeugung, Nutzung, Zerstörung) neu bzw. anders stellen muss. Dies hat ganzheitlich unter Einbezug von Prozessen, Menschen, Technologien und Strategien zu erfolgen.  Dabei stehen u.a. die folgenden Fragen im Mittelpunkt:

-          Wie können die absehbar großen Datenmengen der Zukunft geschäftlich optimiert werden und dabei gleichzeitig den wachsenden Compliance-Anforderungen genügen?

-          Wie können Informationen dauerhaft bewertet, klassifiziert und mit Merkmalsdaten für die Compliance-Sicherung verknüpft werden?

-          Wie kann ein Life-Cycle Management (Erzeugung, Bewertung, Klassifizierung, Verwertung, Verbreitung, Zerstörung) für Informationen in hochvernetzten Umgebungen gestaltet werden?

-          Welche organisatorischen und prozeduralen Konsequenzen sind für Unternehmen im Umgang mit den neuen Informationsmengen vorzusehen.

Selbstverständlich werden die bekannten Methoden der IT-Governance und des IT-Managements sowie die dabei verwendeten Methoden, Prozesse und Referenzmodelle ebensowenig überflüssig wie Datenbanken, Data Warehouses und ERM-Systeme (s. Abbildung). Die erweiterten Anforderungen einer Information-Governance zwingen jedoch zu deren Überprüfung und ggfs. zur Erweiterung und Ergänzung.

Das oben zur Diskussion gestellte Thema ist recht neu. Es existiert keine dedizierte Fachliteratur mit Definitionen, Methoden und Ergebnissen. In der Linkliste finden Sie jedoch einige einführende Aufsätze,  Referenzen und Links zu Materialien.

Ich würde mich freuen, wenn sich in diesem Blog bald vielfältige Meinungen, Kommentare und Hinweise finden, die helfen, die Thematik weiter auszuloten, mit Substanz zu füllen und damit die Grundlage für praktisch verwertbare Ergebnisse zu legen.

Tags: Corporate Governance, Information Governance, IT-Governance

Trackback URI | Kommentare als RSS