Wenn Unternehmen ihren aktuellen Modus kennen, müssen sie entscheiden, welche Art von IT-Know-how sie in ihrem Aufsichtsgremium brauchen. Ist ein hohes Maß an Zuverlässigkeit nötig, muss der Schwerpunkt darauf liegen, das Risiko zu steuern. Pflicht der Aufsichtsräte ist es, die Vollständigkeit, Qualität, Sicherheit, Zuverlässigkeit und Wartung bestehender Prozesse zu gewährleisten, die alle täglichen Arbeitsabläufe unterstützen.
Solche Unternehmen werden sich nur selten für einen eigenständigen IT-Ausschuss entscheiden. Stattdessen sollte das Audit Committee die Aufgabe einer IT-Kontrollinstanz übernehmen und sich fundierte Kenntnisse über die Qualität des im Unternehmen angewendeten Systems aneignen.
Wer über den defensiven Modus hinausgehen will, braucht mehr als einen einzelnen IT-Experten im Audit Committee. Hier ist ein eigenständiger Ausschuss erforderlich, der den Aufsichtsrat darüber auf dem Laufenden halten muss, was andere Firmen, vor allem die Konkurrenz, im Bereich Technologie tun. Im Folgenden zeigen wir, welche Aufgaben in den einzelnen Modi auf die Vorstände zukommen.
Bestandsaufnahme (alle Modi)
Ein Aufsichtsrat muss die Architektur der IT-Anwendungen verstehen sowie dessen Management kennen. Eine Bestandsaufnahme der vorhandenen Hardware, Software und anderer Bestandteile gibt Aufschluss darüber, ob die Investitionen auch rentabel sind.
Materielle IT-Anlagegüter, also Hardware, sind sehr leicht zu erfassen. Obwohl immaterielle Vermögenswerte in der Bilanz weitgehend unberücksichtigt bleiben, sind immer mehr Unternehmen von ihnen abhängig. Sie investieren massiv in Anwendungssoftware - von Kunden- und Personaldatenbanken bis zur integrierten Supply-Chain. Der Aufsichtsrat muss gewährleisten, dass das Management weiß, welche IT-Ressourcen vorhanden sind, in welchem Zustand sie sich befinden und welche Rolle sie für den Umsatz spielen.
Eine Faustregel für die Bewertung immaterieller Vermögenswerte besagt: Erstellen Sie eine Inventarliste der Hardware - einschließlich aller Großcomputer, Server und PC - und multiplizieren Sie das Ergebnis mit zehn. Das ergibt eine grobe Schätzung, welchen Wert die vorhandene Software (Standard- und hauseigene Software) hat. Danach muss ermittelt werden, wie viele veraltete Programme im Einsatz sind und welche aktualisiert oder beibehalten werden sollten.
Das Aufsichtsgremium muss außerdem sicherstellen, dass die IT-Infrastruktur geeignet ist, um zum Beispiel ein Kundenfeedback über Produkte und Dienstleistungen einzuholen. Der Aufsichtsrat muss wissen, wie vertraut die Mitarbeiter mit den IT-Systemen sind, um ein solches Feedback zu analysieren und Produkte und Dienstleistungen zu entwickeln oder zu verbessern.
Sicherheit und Zuverlässigkeit gewährleisten (Fabrikmodus und strategischer Modus)
Idealerweise sollten Aufsichtsräte von Unternehmen im Fabrik- und im strategischen Modus ihre Sicherheitsmaßnahmen und die Zuverlässigkeit ihrer Systeme regelmäßig überprüfen, sodass Service-Unterbrechungen ein Unternehmen nicht ins Wanken bringen. Leider findet die Überprüfung oft erst statt, wenn die Krise bereits eingetreten ist.
Als sich hochintegrierte IT-Netzwerke innerhalb und außerhalb des Unternehmens entwickelten, nahm die Bedeutung geeigneter Sicherheitsmaßnahmen stark zu. Ein Angriff durch einen Hacker oder ein Computervirus kann ein Unternehmen Millionen von US-Dollar kosten.
Ein Angriff auf das Internetversandhaus Amazon zum Beispiel würde den Umsatz des Unternehmens pro Stunde um 600.000 Dollar schmälern. Fielen die Systeme des Netzwerkausrüsters Cisco für einen Tag aus, würde das Unternehmen 70 Millionen Dollar Umsatz verlieren.
Deshalb muss der Aufsichtsrat dafür sorgen, dass das Management das Unternehmensnetzwerk kontinuierlich auf Sicherheitslücken untersucht. Manche Unternehmen arbeiten sogar mit "legalen" Hackern zusammen, um Schwächen des Systems aufzuspüren.
Ein Aufsichtsrat wird sicherstellen wollen, dass die Systeme auch bei Stromunterbrechungen oder bei einer Naturkatastrophe nicht ausfallen. IT-Services sind vergleichbar mit der Stromversorgung. Ein Ausfall von mehreren Tagen kann ein Unternehmen ruinieren, vor allem wenn es sich im defensiven Modus befindet.
Die Sicherungssysteme müssen deshalb kontinuierlich getestet werden. Geeignete Schleifen oder Sicherungssysteme sorgen dafür, dass die IT-Infrastruktur auch während der Dauer von Wartungsarbeiten funktioniert.
Viele Unternehmen setzen Dieselgeneratoren ein, um Notfallsysteme am Laufen zu halten. Wie der große Stromausfall im August 2003 an der Ostküste der Vereinigten Staaten zeigte, kann aber auch der Kraftstoff ausgehen, wenn Sicherungssysteme über längere Zeit in Betrieb sind.
Unternehmen müssen notfalls außergewöhnliche Maßnahmen ergreifen. Die Fluggesellschaft Delta Air Lines entwickelte nach dem Stromausfall einen Notfallplan, nach dem Generatorkraftstoff im Falle einer Katastrophe mit Helikoptern angeliefert wird.
Überraschungen vermeiden (Fabrik-, Umstrukturierungs- und strategischer Modus)
Die häufigste Quelle für Überraschungen im IT-Bereich ist nachlässiges oder ineffizientes Projektmanagement. Je größer das IT-Projekt, desto größer das Risiko.
Was dem Süßigkeitenhersteller Hersheys passierte, als eine Erweiterung seines neuen Planungssoftware-Systems (ERP) das gesamte Unternehmen zum Erliegen brachte, ist typisch: Als Halloween näher rückte, konnte das Unternehmen seine Bestellungen, seinen Umsatz und seine Lagerbestände nicht kontrollieren. Diese Panne kostete das Unternehmen schätzungsweise 150 Millionen Dollar.
Auch Firmen, die technisch auf der Höhe sein sollten, können ein Projekt in den Sand setzen. Der IT-Dienstleister EDS verlor zwei Milliarden Dollar bei dem Auftrag, für die US-Marine ein Intranet einzurichten.
Da EDS den Umfang des strategisch wichtigen Marine-Projekts nicht vollständig verstanden hatte, verzögerte es sich unerwartet, und es passierten technische Pannen, die EDS enorm viel Geld kosteten. Die Anleihen des Unternehmens besaßen am Ende nur noch ein Junk-Bond-Rating.
Aufsichtsräte, die solche Überraschungen vermeiden wollen, müssen sicherstellen, dass ein geeignetes Projekt-Management eingesetzt wird und wichtige Entscheidungen während der Projektphase auf der richtigen Ebene behandelt werden, sodass das Management jederzeit entscheiden kann, ob das Projekt noch rentabel ist.
Auch wenn Unternehmen keine wasserdichten Leistungsverträge mit Verkäufern oder Kunden abgeschlossen haben, treten unerwartete Schwierigkeiten auf. Das passiert häufig, wenn sie ihre IT-Prozesse auslagern wollen.
Ein fundierter, gut durchdachter Dienstleistungsvertrag mit expliziten Vereinbarungen, Zielvorgaben und Verantwortlichkeiten kann Firmen helfen, ernsthafte Probleme im Projekt-Management zu vermeiden. Die Bedürfnisse der unterschiedlichen Bereiche - wie Marketing, Vertrieb, Kundenservice und Inkasso - sollten im Vertrag berücksichtigt sein.
Veraltete Software birgt, wie das Jahr-2000-Problem zeigte, unangenehme Überraschungen. Anstatt sie zu ersetzen, bauen Unternehmen lieber auf der alten Software auf. Firmen, die zum Beispiel sequenzielle Systeme verwenden, setzen häufig neue Benutzeroberflächen auf Bestehendes.
Dies kann zu erheblichen Problemen für die Buchhaltung führen: Der Benutzer einer Eingabemaske könnte beispielsweise glauben, die Antwort, die er erhält, sei aktuell; werden die Daten aber nicht in Echtzeit, sondern sequenziell verarbeitet, kann die Information in Wirklichkeit bereits viele Stunden alt sein.
Derartige Missverständnisse kosten viel Zeit. Das bedeutet, dass die Buchhaltung möglicherweise zusätzliches Personal benötigt, um die Bilanzen pünktlich fertig zu stellen.
Um das zu vermeiden, muss der Ausschuss des Aufsichtsrats entscheiden, ob es wirtschaftlicher ist, veraltete Hardware, Software und Anwendungen zu behalten oder sie zu ersetzen. Zu entscheiden, wann Computerhardware erneuert werden muss, ist einfach.
Wenn es aber um immaterielle Vermögenswerte wie ein veraltetes Datenbanksystem geht, wird die Frage schon schwieriger. Es ist üblich, dass auf die Wartung und Pflege bis zu 90 Prozent der Ausgaben für Programmierung entfallen.
Auf rechtliche Probleme achten (Umstrukturierungs- und strategischer Modus)
Rechtliche Probleme tauchen immer dann auf, wenn Firmen nicht sorgfältig mit Urheberrechtsfragen umgehen. Die Einführung des Linux-Betriebssystems zum Beispiel war ein Segen. Gleichzeitig aber setzten sich Unternehmen einem rechtlichen Risiko aus, weil sie einfach patentierte Programme verwendeten.
Denken wir an die Drei-Milliarden-Dollar-Klage der Netware-Firma SCO gegen IBM . SCO beschuldigte IBM, geistiges Eigentum illegal in den Quellcode des Linux-Betriebssystems integriert zu haben. Jeder Aufsichtsrat muss auf derartige Risiken achten und darauf vorbereitet sein, bei Bedarf geeigneten juristischen Beistand zu leisten, damit das Management nicht von seinen eigentlichen Aufgaben abgelenkt wird.
Gefahren und Chancen beobachten (Umstrukturierungs- und strategischer Modus)
Ausschussmitglieder sollten sich beim IT-Vorstand und bei den Bereichs-Managern über neue Produkte informieren, die sie möglicherweise auf Fachmessen oder Branchentreffen gesehen oder von denen sie gehört haben. Es ist auch lohnenswert, Unternehmen anderer Branchen zu beobachten, die den Ruf haben, Spitzentechnologie effizient einzusetzen.
Der Ausschuss muss technologiebasierte Gefahren für die Wettbewerbsposition im Auge behalten, die ein Unternehmen "strategisch gefährden" könnten. Der Aufsichtsrat oder das Management können zum Beispiel ein Beratungsunternehmen engagieren, um Informationen zu sammeln, die Erkenntnisse zu evaluieren und ein Szenario möglicher Bedrohungen durch die Konkurrenz zu entwickeln.
IT-Ausschüsse sollten die Gewissheit haben, dass das Management ein gutes Kundenfeedback-System geschaffen hat, über das Kunden ihre Meinung über Produkte und Dienstleistungen der Konkurrenz mitteilen können. Wichtig ist auch, Firmen zu beobachten, die genügend Mittel und die Absicht haben, Konkurrenten zu werden. Hätten andere Supermarktketten die RFID-Pläne von Wal-Mart gekannt, wären sie nicht aus heiterem Himmel von der aggressiven Supply-Chain-Strategie des Unternehmens im Lebensmittelbereich getroffen worden.
Da der technische Fortschritt immer weiter voranschreitet und die Kosten in diesem Bereich immer schneller fallen, müssen Aufsichtsräte von Unternehmen im offensiven Modus ständig nach neuen Chancen suchen. Alle zuvor manuell durchgeführten Arbeiten lassen sich automatisieren. Dadurch verbessern sich Produkte oder Dienstleistungen.
Der Fahrstuhlhersteller Otis Elevator optimierte seine Lieferzeiten, indem er IT einsetzte, als ein papierbasiertes System ausgetauscht wurde, das die Abwicklung von Aufträgen dokumentierte. Wird heute ein Vertrag für einen Aufzug, eine Rolltreppe oder ein Laufband unterzeichnet, sendet ein Programm namens E-Logistics die Informationen direkt über beinahe 1.000 lokale und 1.000 weltweite Netzwerke zu vertraglich gebundenen Logistikzentren. Das Ergebnis: zum einen eine erhebliche Reduzierung der Lagerbestände, zum anderen fünfmal schnellere Lieferzeiten.
Richard Nolan ist Professor emeritus für Wirtschaft an der Harvard Business School in Boston und Professor für Management and Organization an der University of Washington Business School in Seattle. F. Warren McFarlan ist Professor an der Harvard Business School.
Bereits erschienen in dieser Reihe sind folgende Artikel: