Die zunehmende Durchdringung von Unternehmen mit Informationstechnologie (IT) und die dadurch bedingende steigende Abhängigkeit von der Verfügbarkeit und Verlässlichkeit der IT erfordern, die IT-Prozesse besser in das interne Kontrollsystem des Unternehmens einzubeziehen. Seit den Bilanzierungsvorfällen in Amerika haben sich die Anforderungen an die Sicherheit und Verlässlichkeit der Informationen und damit an das Management der IT-Prozesse noch weiter erhöht. IT-Governance ist heutzutage ein wesentlicher Bestandteil eines ganzheitlichen Corporate Governance-Ansatzes zur Steuerung und Kontrolle eines Unternehmens. IT-Governance zielt darauf ab, die IT-Prozesse besser zu steuern und zu überwachen.
Das IT Governance Institute, das durch die ISACA und die ISACF gegründet wurde, definiert IT Governance folgendermaßen:
“IT governance is the responsibility of the board of directors and executive management. It is an integral part of enterprise governance and consists of the leadership and organizational structures and processes that ensure that the organization's IT sustains and extends the organization's strategies and objectives.”
Die Ziele der IT Governance sind im wesentlichen, einen Wertbeitrag für das Unternehmen zu liefern („value delivery“) und die IT-Risiken auf ein vertretbares Niveau zu reduzieren („risk management“). Das erste Ziel bedingt natürlich vor allem eine Ausrichtung der IT auf die Unternehmensziele und Unternehmensprozesse („IT strategic alignment“). Risikomanagement im IT-Bereich beinhaltet die Absicherung gegen IT-bezogene operative Risiken, wie sie beispielweise aus kritischen IT-Themen wie Projektmanagement, Informationssicherheit oder Notfallkonzeption herrühren können. Die Zielerreichung muss natürlich überwacht werden („performance measurement“). Dazu können bewährte Managementinstrumentarien, wie z.B. die Balanced Scorecard, adaptiert werden. Der Balanced Scorecard-Ansatz wird auch in den Management Guidelines von CObIT als Beispiel für einen kritischen Erfolgsfaktor bei der Überwachung der IT vorgeschlagen: „Measurements of IT performance include financial, operational, customer and organisational learning criteria that ensure alignment with organisation-wide goals and can be integrated with tools such as the IT Balanced Business Scorecard.”
Nachfolgende Abbildung verdeutlicht den Zusammenhang zwischen den fünf Elementen in Form eines IT-Governance Kreislaufes:
IT-Governance setzt voraus, dass IT-Prozesse angemessen gesteuert und überwacht werden. Das international anerkannte Kontroll- und Steuerungsrahmenwerk COBIT bietet in seiner neusten Version zwei Ansätze, um die zur Erfüllung geschäftlicher Anforderungen relevanten IT-Prozesse zu selektieren und über die Verbesserung der Kontroll- und Steuerungsmechanismen in diesen IT-Prozessen einen konkreten Wertbeitrag der IT zu ermöglichen. Darüber hinaus beschreibt COBIT auch die notwendigen Mindestanforderungen bei der Umsetzung eines auf die geschäftlichen Bedürfnisse angepassten IT-Risikomanagements und bietet schlussendlich auch Hilfsmittel zur Überwachung der Umsetzungsqualität von IT-Governance-Maßnahmen an. Weitere Details können Sie in meinen Aufsatz "COBIT als IT-Governance Leitfaden" nachlesen, der in HMD - Praxis der Wirtschaftsinformatik: IT-Governance (Hrsg: Fröschle, Strahinger), Heft 250, Ausgabe August 2006, erschienen ist.