Seit dem Jahr-2000-Problem sorgen sich Unternehmensführer - Vorstand und Aufsichtsrat - um die Abhängigkeit ihrer Firmen von Informationstechnologie (IT). Computerabstürze, Angriffe auf die Funktionstüchtigkeit des Systems, Konkurrenzdruck oder der Zwang, neue gesetzliche Vorschriften einzuhalten, haben sie stärker für Risiken sensibilisiert. Dennoch herrscht im Top-Management und in den Aufsichtsgremien noch immer Unsicherheit, wenn es um die Kosten für IT und die strategische Ausrichtung des Unternehmens in diesem Bereich geht.
Obwohl oft mehr als 50 Prozent der Investitionen in IT fließen, begnügen sich die meisten Unternehmensführer mit Entscheidungsstandards, die sie sich von den Praktiken anderer Unternehmen abgeschaut haben. Nur wenige begreifen, wie abhängig sie von Computersystemen sind und welche Rolle IT bei der Formulierung ihrer Strategie einnimmt.
Das scheint entschuldbar, gab es doch bisher keine anerkannten Standards für die Aufsicht über das IT-Management. Bei Aufsichtsratsausschüssen anderer Unternehmensbereiche ist völlig klar, wie die Kontrolle aussehen muss.
In den Vereinigten Staaten ist die Aufgabe des Audit Committee (Prüfungsausschuss des Aufsichtsrats für Bilanzierungs- und Finanzierungsfragen) in den Grundsätzen ordnungsgemäßer Buchführung eindeutig festgelegt; sie wird untermauert von den Vorschriften, wie sie etwa bei der New York Stock Exchange (NYSE) und der Securities and Exchange Commission (SEC) gelten.
Mangelnde IT-Kenntnisse in Aufsichtsräten
Auch das für Topmanager-Vergütung zuständige Compensation Committee arbeitet nach allgemein akzeptierten Regeln. Es engagiert externe Berater mit dem Auftrag, seine Ergebnisse zu überprüfen und den Aktionären die Entscheidungen zu erläutern.
Schließlich hat auch das Governance Committee eine klare Aufgabe. Es überprüft die Zusammensetzung des Vorstands und gibt Empfehlungen, wie dessen Arbeit verbessert werden kann. Aufsichtsräte halten diese Standards zwar nicht immer ein, es gibt sie aber immerhin.
Vergleichbares Wissen oder nachahmenswerte Beispiele in Bezug auf das Thema IT gab es in den Aufsichtsräten bislang nicht. Den Mitgliedern dieses Gremiums fehlen häufig grundlegende Kenntnisse, um zu Risiken und Kosten der IT und zu damit verbundenen Wettbewerbsrisiken intelligente Fragen zu stellen.
Dadurch sind IT-Vorstände, die wichtiges Vermögen eines Unternehmens managen, weitgehend auf sich allein gestellt. Fehlt dem Aufsichtsrat der Überblick über die IT-Aktivitäten, ist das eine brisante Sache; es gefährdet ein Unternehmen genauso sehr, als wenn es seine Finanzlage nicht überprüft.
Nur wenige Firmen haben dies bisher verstanden. Der Finanzdienstleister Mellon Financial , der Netzwerkspezialist Novell , die Baumarktkette Home Depot , der Markenartikler Procter & Gamble , das Handelsunternehmen Wal-Mart sowie das Logistikunternehmen FedEx beispielsweise richteten IT-Ausschüsse auf Aufsichtsratsebene (IT Governance Committees) ein, die mit den Audit, Compensation und Governance Committees gleichgestellt sind.
Wenn dieser Ausschuss den Vorstandschef, den IT-Vorstand, das übrige Top-Management bei Technologieentscheidungen unterstützt, bleiben kostspielige Projekte meist unter Kontrolle, und die Firma kann sich dadurch einen Wettbewerbsvorteil verschaffen.
Kontrollorgan Aufsichtsrat
Es geht also darum, wie ein Aufsichtsrat an IT-Entscheidungen beteiligt sein sollte, nicht, ob er es überhaupt ist. Wir untersuchten die IT-Strategien von hunderten von Unternehmen über einen Zeitraum von mehr als 40 Jahren.
Dabei fanden wir heraus, dass es kein allgemein anerkanntes Modell gibt. Richtige Entscheidungen müssen aber die Geschichte eines Unternehmens und der Branche, die Wettbewerbssituation, die Finanzlage und die Qualität des IT-Managements berücksichtigen.
Eine Strategie, die perfekt auf den Textilhandel passt, kann nicht auf eine große Fluggesellschaft angewendet werden; der Weg, der beim Online-Auktionär Ebay funktioniert, kann bei einer Zementfirma versagen.
Einen speziellen IT-Ausschuss einzurichten ist nicht für alle Unternehmen sinnvoll. Beratungsunternehmen, kleine Handelsunternehmen oder Verlage würden damit nur Zeit verschwenden.
Position des Unternehmens analysieren
In den folgenden Beiträgen zeigen wir Aufsichtsräten, wie sie die Position ihres Unternehmens analysieren und wie sie entscheiden können, ob sie das Thema offensiver angehen müssen. Wir beschreiben, wann sie sich weniger oder mehr in IT-Entscheidungen einbringen sollten.
Wir schildern, wie ein IT-Ausschuss aussehen, welche Satzung, Mitglieder, Pflichten und Aufgaben er haben sollte. Wir sprechen Empfehlungen aus, wie sich ein übergeordnetes IT-Management umsetzen lässt, das die operativen und strategischen Bedürfnisse einer Organisation berücksichtigt.
Ferner zeigen wir, was zu tun ist, wenn sich diese Anforderungen ändern. Wie wir nachweisen, kann eine erfolgreiche Kontrolle viel dafür tun, ein Unternehmen dabei zu unterstützen, unnötige Risiken zu vermeiden und seine Wettbewerbsposition zu verbessern.
Richard Nolan ist Professor für Wirtschaft an der Harvard Business School in Boston und Professor für Management and Organization an der University of Washington Business School in Seattle. F. Warren McFarlan ist Professor an der Harvard Business School.