Kapitel 3 meiner Masterthesis "Outsourcing des IT-Strategieentwicklungsprozesses in österreichischen Klein- und Kleinstunternehmen"

Kapitel 3: Beachtenswerte Umwelten von Klein- und Kleinstunternehmen in Österreich

#Governance#Security#Strategie#Technologie

Diese Artikelserie beinhaltet meine Masterthesis “Outsourcing des IT-Strategieentwicklungsprozesses in österreichischen Klein- und Kleinstunternehmen”, welche ich im Rahmen des Universitätslehrgangs Management in Information and Business Technologies an der Alpen-Adria-Universität Klagenfurt geschrieben habe.

  1. Kapitel: Einleitung
  2. Kapitel: Begriffsdefinition
  3. Kapitel: Beachtenswerte Umwelten von Klein- und Kleinstunternehmen in Österreich
  4. Kapitel: Strategische Ziele und kritische Erfolgsfaktoren einer IT-Strategie
  5. Kapitel: Strategische Handlungsanweisungen für Klein- und Kleinstunternehmen in Bezug auf Einsatz von Informationstechnologie
  6. Kapitel: IT-Controlling in Klein- und Kleinstbetrieben
  7. Kapitel: Resümee und Ausblick

3. Beachtenswerte Umwelten von Klein- und Kleinstunternehmen in Österreich

3.1. Stakeholder

Projekte im IT-Bereich bringen häufig weitreichende Änderungen an Geschäftsprozessen mit sich und betreffen somit viele beteiligte Interessensgruppen, etwa Mitarbeiter, Kunden und Lieferanten.

Diese als “Stakeholder” bezeichneten Personen oder Gruppen haben ein wesentliches Interesse am Unternehmen und erwarten im weitesten Sinne einen finanziellen Vorteil.1 Selbst in Kleinstunternehmen gibt es unzählige Stakeholder mit verschieden großem Einfluss. So stellen die Mitarbeiter, Führungskräfte und Eigentümer des Unternehmens die internen Stakeholder dar. Lieferanten, Kunden, Banken und Investoren und im weitesten Sinne auch der Staat müssen als externe Stakeholder berücksichtigt werden.

Es ist wichtig, bei IT- und Strategieprojekten im Rahmen des “Stakeholder Managements” die verschiedenen Interessensgruppen zu erkennen, ihren Einfluss zu analysieren und die richtige Kommunikation zu entwickeln.2 Betroffene Stakeholder müssen über bevorstehende Änderungen frühzeitig informiert werden, um den Überraschungseffekt und die damit verbundenen Widerstände zu verringern. In Klein- und Kleinstbetrieben ist die Kommunikation mit den internen Stakeholdern aufgrund der überschaubaren Anzahl an betroffenen Personen sehr einfach möglich. Es wird dabei jedoch häufig die Kommunikation mit den externen Stakeholdern, etwa Kunden und Lieferanten vergessen. Weiand schlägt zur Lösung dieses Problems die Durchführung einer Stakeholder-Analyse vor – in Kleinunternehmen reicht hierzu eine Excel-Tabelle in den meisten Fällen aus.3 Eine modifizierte RASCI Matrix4 hat sich hierzu aus persönlicher Erfahrung am besten bewährt.

3.2 IT-Governance

Der Begriff “IT-Governance” bezeichnet die Führungsaufgaben zu Steuerung und Nutzung der IT im Einklang mit der Geschäftsstrategie. Basis hierfür ist die sogenannte “Corporate Governance”, bestehend aus allen internen und externen Werten, Grundsätzen, Verfahren und Maßnahmen für eine gute und verantwortungs-volle Unternehmensführung.5 In Klein- und Kleinstunternehmen werden diese Werte oft nicht schriftlich festgehalten, aber dennoch gelebt. Die Corporate Governance dient als Rahmen für die wirtschaftliche, verantwortliche und nachhaltige Unternehmensführung und soll zu einer hohen Transparenz für alle Stakeholder des Unternehmens führen.6 Da die Frage, wer die IT-Infrastruktur des Unternehmens steuert und überwacht zu einem regelmäßigen Streitpunkt zwischen IT-Verantwortlichen und der Unternehmensleitung geworden ist, soll die IT-Governance analog zur Corporate Governance helfen, ein gemeinsames Rahmenwerk zur verantwortlichen, effizienten und effektiven Nutzung der IT zur Verfügung zu stellen.7

Wie in Abbildung 6 von Rüter und Schröder aufgezeigt, wird die Corporate Governance von einer Vielzahl an Faktoren beeinflusst und versucht, zu diesen Vorgaben und Regeln, etwa die Unternehmensstrategie und -kultur innerhalb des Unternehmens zu etablieren. Die IT-Governance wird von diesen äußeren Faktoren ebenso beeinflusst wie durch die IT-Strategie, die vorhandenen IT-Skills und die Positionierung der IT innerhalb des Unternehmens.8

Abbildung 6: Einflussfaktoren auf die Corporate Governance und Vorgaben für die IT-Governance Abbildung 6: Einflussfaktoren auf die Corporate Governance und Vorgaben für die IT-Governance.9

Das Projekt “IT-Governance” kann nie abgeschlossen werden. Das sich stets wandelnde wirtschaftliche Umfeld, neue regulatorische Anforderungen oder Änderungen an der Struktur des Unternehmens erfordern eine regelmäßige Überprüfung und Anpassung der IT-Governance Richtlinien.10 Der Zusammenhang zwischen IT-Governance, IT-Strategie und den dafür nötigen Prozessen wird in Abbildung 7 verdeutlicht:

Abbildung 7: IT-Governance Prozess Abbildung 7: IT-Governance Prozess.11

Die IT-Strategie ist ein wichtiges Steuerungsinstrument der IT-Governance.12 Dies bedeutet im Umkehrschluss, dass im Rahmen der IT-Governance auch in Klein-und Kleinstunternehmen grundlegende Regeln und Richtlinien für das “Alignment” der IT-Strategie an die Geschäftsziele aufgestellt werden müssen.13 Die IT-Governance liegt jedoch nicht im Fokus dieser Arbeit und wird daher an dieser Stelle nicht näher behandelt.

3.3. IT-Compliance

Der Begriff “Compliance” beschreibt die Maßnahmen zur Einhaltung aller relevanten Gesetze, Bestimmungen und Verordnungen aber auch Normen, Branchen- und Verbandsstandards durch das Unternehmen. Unternehmens-Compliance und IT-Compliance sind in vielen Bereichen stark verzahnt. Die IT betreffenden Kernbereiche liegen im Sicherheits- und Risikomanagement, der Datenhaltung und der Verfügbarkeit von Systemen und Dienstleistungen.14

Compliance liegt vor, wenn alle für das Unternehmen verbindlich vorgegebenen bzw. als verbindlich akzeptierten Vorgaben nachweislich eingehalten werden.15

Obwohl auch Klein- und Kleinstunternehmen eine Fülle an Regulativen erfüllen müssen, wird die Bedeutung der IT-Compliance erst von 55 Prozent dieser Unternehmen als “hoch” oder “sehr hoch” eingeschätzt.16 In Capgeminis Studie “IT Trends 2012” befindet sich das Thema Compliance nur auf Platz 9 von 14 in der Liste der “Anforderungen an die IT 2012”.17

3.4. IT-Risiko- und Sicherheitsmanagement

Das IT-Sicherheitsmanagement ist als Teil der IT-Governance kein reines IT-Thema, sondern muss durch geeignete personelle und organisatorische Maßnahmen unterstützt werden. Es stellt oft nur einen Teil des unternehmensweiten Risikomanagements dar. Computerfehler, Dienstunterbrechungen, Datenverlust und Computerkriminalität betreffen Unternehmen aller Größen, können sich aber insbesondere für Klein- und Kleinstunternehmen mit wenigen IT-Systemen existenzbedrohend auswirken.18 Dennoch beschäftigen nur 15 Prozent der kleinen Unternehmen einen IT-Sicherheitsbeauftragten.19

Mit Hilfe einer Risikoabschätzung können die Eintrittswahrscheinlichkeit sowie die verursachten Kosten eines Problems bewertet werden.20 Die Anforderungen an ein Risikomanagement kommen aus unterschiedlichen gesetzlichen Vorgaben und haben die Sicherung des Unternehmensfortbestandes zum Ziel. In der Literatur gibt es hierzu eine ganze Reihe an Leitfäden und Best Practice Ansätzen. Zum aktuellen Zeitpunkt ist die Norm ISO 31000:2009 Stand der Technik.21 Eine Betrachtung des Risikomanagements über alle Bereiche eines Unternehmens würde jedoch den Rahmen dieser Arbeit sprengen. Aus diesem Grund wird im Folgenden nur der direkt mit der IT-Strategie zusammenhängende Bereich des Risikomanagements näher beschrieben.

3.5. IT-Controlling

Hauptaufgabe des IT-Controllings ist die Steuerung und Koordination der IT-Organisation. Durch den in Kapitel 2.2 bereits beschriebenen Wandel der IT vom reinen Kostenfaktor zum “Business Partner” verschiebt sich auch die Funktion des Controllings im IT-Bereich weg von der Kostenanalyse hin zur Darstellung von Wertebeiträgen und Leistungen.22 Horváth teilt IT-Controlling wie in Abbildung 8 dargestellt in die Dimensionen “Ebene”, “Gegenstand” und “Aspekt” ein:

Abbildung 8: Dimensionen des IT-Controllings Abbildung 8: Dimensionen des IT-Controllings.23

Strategisches IT-Controlling beschäftigt sich mit der Sicherstellung der Effektivität und versucht die Frage “Tun wir die richtigen Dinge?” zu beantworten, während beim operativen Controlling die Effizienz (also die Fragestellung “Tun wir die Dinge richtig?”) im Vordergrund steht.24 Die Dimension “Gegenstand” bezieht sich auf die Sichtweise des IT-Controllings. Der IT-Einsatz betrifft hierbei die Sichtweise der Anwender, IT-Leistungserstellung die des Unternehmens.

Auf die Möglichkeiten des IT-Controllings wird in Kapitel 6 näher eingegangen.

Footnotes

  1. Vgl. (Ward & Peppard, 2005, S. 80).

  2. Vgl. (Resch, Brenner, & Schulz, 2009, S. 242).

  3. Vgl. (Weiand, 2012, S. 136).

  4. Auch “Responsibility Assignment Matrix”. Vgl. (Jacka & Keller, 2009, S. 257), (Schmid, IT-Governance, 2007, S. 309 und 319).

  5. Vgl. (Laudon, Laudon, & Schoder, 2010, S. 918), (Maicher & Schwarze, 2003, S. 44), (Bergmann & Tiemeyer, 2011, S. 464).

  6. Vgl. (Österreichischer Arbeitskreis für Corporate Governance, 2012, S. 11).

  7. Vgl. (Laudon, Laudon, & Schoder, 2010, S. 269), (Schmid, IT-Governance, 2007, S. 292).

  8. Vgl. (Rüter & Schröder, 2006, S. 4 und 45).

  9. Quelle: (Rüter & Schröder, 2006, S. 5).

  10. Vgl. (Rüter & Schröder, 2006, S. 44).

  11. Quelle: (Schröckner, 2008, S. 17).

  12. Vgl. (Rüter & Schröder, 2006, S. 45).

  13. Vgl. (Schmid, IT-Governance, 2007, S. 293f).

  14. Vgl. (Laudon, Laudon, & Schoder, 2010, S. 877).

  15. (Klotz, 2011, S. 586).

  16. Vgl. (Kronschnabl, 2010, S. 19).

  17. Vgl. (Capgemini, 2012, S. 13).

  18. Vgl. (Laudon, Laudon, & Schoder, 2010, S. 1035).

  19. Vgl. (Kronschnabl, 2010, S. 15).

  20. Vgl. (Laudon, Laudon, & Schoder, 2010, S. 1048).

  21. Vgl. (Brühwiler, 2008, S. 26), (Ketterer, 2009, S. 4).

  22. Vgl. (Krcmar & Schwertsik, 2011, S. 339).

  23. Quelle: in Anlehnung an (Horváth, 2001).

  24. In Anlehnung an Peter Druckers bekanntes Zitat “Efficiency is doing things right. Effectiveness is doing the right things.”.