Agilität für IT-Governance, Prüfung & Revision

1Einführung

Ein Buch zur Agilität für IT-Governance, Prüfung & Revision muss sich mit Widersprüchlichkeiten, Paradoxien und Spannungsfeldern beschäftigen:

Agilität steht oft als Metapher und Schlagwort für situative Flexibilität, Veränderlichkeit und rasche Reaktionsfähigkeit, notfalls auch anders als ursprünglich geplant. IT-Governance hingegen möchte den Einsatz der IT in Organisationen in einem magischen Dreieck zwischen Wirtschaftlichkeit, Wertbeitrag und Risikobetrachtungen geordnet führen und (planmäßig) kontrolliert weiterentwickeln. Prüfung & Revision beschäftigen sich mit der Ordnungsmäßigkeit von Geschäftsaktivitäten und benötigen dazu mehr oder weniger stabile Bezugspunkte.

Dieses Buch handelt also im Kern von Widersprüchen, z.B. zwischen Stabilität und Veränderung sowie zwischen vorausschauender Planung und Ergebnisoffenheit. Diese Spannungsfelder stellen sich zunehmend auch für die Gebiete der IT-Governance, Prüfung & Revision, beispielsweise: Wie kann IT-Governance ergebnisoffener und somit agiler werden, ohne dass daraus Beliebigkeit entsteht?

Die Antwort des Buches ist nicht, diese Widersprüche und Spannungsfelder durch einen harmonischen Ansatz zu beseitigen, der bestehende Widersprüche einfach ignoriert oder zudeckt. Stattdessen werden Wege aufgezeigt, wie Organisationen konstruktiv mit diesen Spannungsfeldern umgehen und sie in einer angemessenen Balance halten können. Das ist der Kern von Agilität für IT-Governance, Prüfung & Revision.1

Dieses Kapitel beginnt mit einem Überblick, um welche grundlegenden Widersprüche es hauptsächlich im Buch gehen wird, und wir gehen darauf ein, für wen das Buch besonders geeignet ist. Außerdem geht es der Frage nach, warum es noch ein Buch zur Agilität braucht, wo es doch schon so viele Veröffentlichungen dazu gibt. Zum Abschluss des Kapitels werden Aufbau und zentrale Inhalte des Buches skizziert.

1.1Worum es uns geht

Agilität und der Einsatz agiler Methoden sind heute nicht mehr nur auf IT-Projekte begrenzt, sondern prägen zunehmend ganze Organisationen. Man erwartet von Agilität beispielsweise verbesserte Reaktionsfähigkeiten auf eine zunehmende Marktdynamik und eine stärkere Kundenorientierung. Agilität ist dabei weniger eine einzelne konkrete Methode, sondern eine eigenständige Denk- und Sichtweise, die verspricht, Stabilität und Flexibilität einer Organisation wirksam zu verbinden.

Oft wird die Flexibilität und Dynamik, die man mit Agilität in einer Organisation erreichen möchte, jedoch als besondere Herausforderung für die IT-Governance sowie für die Prüfung & Revision gesehen, die eher auf Stabilität, Kontinuität und Gewissheit ausgerichtet sind. Dabei wird leicht das Verbindende zwischen diesen Disziplinen und der Agilität übersehen, nämlich ein bewusster Umgang mit Risiko und Unsicherheit:

• IT-Governance (beispielsweise auf Basis von COBIT (Control Objectives for Information and Related Technology)) ist ein von der Geschäftsstrategie her getriebener Führungsansatz für die Entwicklung und den Einsatz von IT in der Organisation, der durch planbasierte, aber prozesshaft auszugestaltende Vorgehensweisen prospektiv Risiken und Unsicherheit abmildern möchte. Pläne und quantitative Zielvorgaben haben einen hohen normativen Stellenwert, Abweichungen von den Plänen und zugehörigen Kenn- und Erfolgsgrößen zeigen Risiken an, die behandelt werden müssen.
• (IT-)Prüfung & Revision möchten mithilfe systematisch aus historischer Erfahrung gewonnenen Prüfkriterien vorhandene Risiken aufdecken und (oft rückblickende) Prüfungsurteile über die Ordnungsmäßigkeit der abgeschlossenen Geschäftsvorfälle liefern. Erfahrungsbasierte Prüfungsstandards und Checklisten werden als normative Grundlage herangezogen, Abweichungen davon zeigen Risiken an, die behandelt werden müssen.
• Agilität möchte in kleinen, aber eng aufeinanderfolgenden Explorationsschritten möglichst rasch konkrete Arbeitsfortschritte und Erkenntnisse in einem Themengebiet erreichen, das typischerweise noch nicht ganz verstanden ist. Agilität arbeitet bewusst mit überschaubaren Zielsetzungen und hält die inhaltlichen Details, so lange es geht, offen. Falls Risiken und Schäden eintreten - so die Annahme -, sind sie eher klein, verkraftbar und eine rechtzeitige Reaktion ist möglich. In der Agilität kann man deshalb als Leitmotiv formulieren: »Do fast - fail fast - learn fast.« An die Stelle eines normativen Ansatzes mit klaren Vorgaben als SOLL-Bezugspunkt tritt eine situativ und laufend fortgeschriebene Bewertung, ob bzw. inwieweit eine Abweichung ein Risiko oder eine neue Erkenntnis darstellt. Abweichungen von den ursprünglichen Vorgaben, Zielsetzungen oder Erwartungen werden als Gelegenheiten zum Lernen verstanden. Pläne, Prüfungsstandards und standardisierte Risikoklassifikationen sind zwar als Orientierungshilfe auch in der Agilität nützlich, jedoch ist ihr Stellenwert nicht so zentral wie in klassischen Ansätzen der IT-Governance, Prüfung & Revision.

Einig sind sich also Agilität, (klassische) IT-Governance und (normative) Prüfung & Revision in ihrem Fokus auf einen bewussten Umgang mit dem Risiko und dessen Begrenzung. Der Weg ist jedoch unterschiedlich und das hat Konsequenzen, wie das Beispiel der UP-Bank aus dem Vorwort zeigt. Klassische IT-Governance und normative Prüfung & Revision stoßen nämlich immer öfter auf hartnäckige Fragestellungen, beispielsweise:

• Wie soll man aufgrund der vielfältigen neuen Technologien, für deren Zusammenwirken es noch keine hinreichenden Erfahrungswerte gibt, längerfristig valide Planungen und IT-Strategien erstellen?
• Wie wäre es stattdessen, rasch ein überschaubares, aber funktionsfähiges Projektergebnis zu erhalten, mit dem man schon mal erste Erfahrungswerte bekommt?
• Wie soll man die sich im Zusammenspiel mit den neuen Technologien herausbildenden neuen Organisations- und Arbeitsprozesse valide auf Basis von vergangenheitsbasierten Checklisten und Risikoeinschätzungen prüfen?
• Wie gehen wir mit dem Problem um, dass bei der Veränderungsdynamik der Organisation und der langen Erstellungsdauer von Prüfungsberichten der Bericht zum Zeitpunkt seiner finalen Veröffentlichung bereits wieder veraltet sein dürfte?
• Wie wäre es stattdessen, rasch ein überschaubares, aber funktionsfähiges Projektergebnis zu erhalten, mit dem wir ganz konkret die offenen Fragen beantworten könnten, statt noch ein Jahr bis zum kompletten IT-Produkt zu warten, das dann vielleicht nicht freigegeben wird?

Um die Beantwortung von solchen Fragen, wie hier exemplarisch formuliert, geht es in diesem Buch. Das Buch versucht, die bewährte Risikoorientierung von (klassischer) IT-Governance und (normativer) Prüfung & Revision mit dem Ansatz der Agilität zu verbinden. Dabei wird insbesondere einer Vorgehensweise in kleinen Schritten und der Kontinuität und Qualität der Kommunikationsprozesse eine größere Bedeutung zukommen als in stärker plangetriebenen Ansätzen von IT-Governance und Prüfung & Revision.

1.2Für wen ist dieses Buch?

Das Buch richtet sich an erfahrene Führungskräfte, Praktiker und anwendungsorientierte Wissenschaftler aus dem gesamten Berufsspektrum der IT-Governance, Prüfung & Revision. Während wir das Buch geschrieben haben, hatten wir verschiedene Zielgruppen besonders im Blick:

• Leserinnen und Leser im gesamten Spektrum von IT-Governance, Prüfung & Revision, die eine fundierte und kompakte Orientierungshilfe suchen zu Grundkonzepten der Agilität und/oder konkrete Perspektiven und Entscheidungshilfen zur Umsetzung in ihren Berufsfeldern benötigen. Sie können sich an aktuellen Diskussionen kompetent beteiligen und Entscheidungen in diesem Themenfeld informiert treffen.
• IT-Governance-Verantwortliche, Prüfer und Revisoren, die zwar von Agilität gehört haben, aber noch nicht praktisch damit vertraut sind, können lernen, was mit Agilität im Kern gemeint ist und wie sich ihre Aufgabengebiete dadurch verändern werden. Sie können dann besser entscheiden, ob und wo sie Agilität nutzbringend einsetzen können.
• IT-Governance-Verantwortliche, Prüfer und Revisoren, die bereits erste Umsetzungsversuche der Agilität in ihren Aufgabengebieten unternommen haben, können lernen, worauf für eine erfolgreiche Umsetzung besonders zu achten ist. Sie erhalten vielfältige Hinweise zu den Grundkonzepten, die hinter der methodischen Ebene der Agilität »versteckt« sind, die aber oft den kleinen Unterschied für eine erfolgreiche Umsetzung ausmachen.
• IT-Governance-Verantwortliche, Prüfer und Revisoren, für die IT-Steuerung und eine Prüfung mehr sind...