Verantwortlichkeiten sinnvoll zwischen Fachbereich und IT-Abteilung regeln.

Ausgangslage

Klassische Unternehmensstrukturen waren früher so aufgebaut, dass in der Regel sämtliche Software/Hardware oder IT-Dienstleistungen organisatorisch der IT-Abteilung oblagen. Mit Voranschreiten der Digitalisierung, disruptiven Technologien und Paradigmenwechseln wurden aber neue Anforderungen sowohl an die Kernsysteme als auch an die IT-Unternehmensarchitektur gestellt. Fachbereiche haben sukzessive eigene System und Architekturen aufgebaut. Diese Entwicklung führt zu fließenden Übergängen von Zuständigkeiten und Verantwortungen zwischen Fachbereich und IT-Abteilung. Man spricht hier von Schatten-IT. Unser Blogbeitrag [Schatten IT – Was ist das überhaupt] geht an dieser Stelle detaillierter auf diese Begrifflichkeit ein.

Cloud Computing und Mobile IT ermöglichen Fachbereichs-Usern, sich IT-Lösungen zu besorgen, ohne auf die IT angewiesen zu sein. Hieraus resultiert eine Verschiebung der Machtverhältnisse. Dies ist insbesondere der Fall, wenn IT-Abteilungen überlastet sind. Schatten-IT wird meist erst dann sichtbar, wenn diese kritische Prozesse unterstützen und es zu einem Ausfall kommt. Um solche Situationen zu vermeiden, eignen sich gezielte Prozessanalysen, mit deren Hilfe Schatten-IT transparent gemacht wird. Durch ihre Sichtbarkeit fallen diese Systeme nicht mehr unter die eigentliche Definition des Begriffs Schatten-IT und es bedarf eines neuen Begriffs für die korrekte Einordnung. In ihrer Arbeit schlagen Kopper et al [1] hierfür den Begriff Business-Managed IT vor. Dieser Beitrag fasst ihre Arbeit kompakt zusammen, geht dabei aber nicht auf die untersuchten Use-Cases ein.

Aus dem Schatten ins Licht

Der Begriff Schatten-IT wird häufig negativ aufgefasst. So kann Schatten-IT beispielsweise für Ressourcenverschwendung, Sicherheitsrisiken oder Ineffizienz stehen[2]. Dieser düstere Begriff kann aber durchaus auch seine guten Seiten haben. So wird Schatten-IT auch als Treiber von Innovation und Agilität angesehen. Diese Gegensätzlichkeit der Schatten-IT kann teilweise zu einem Balance-Akt zwischen Governance und der Organisationsstruktur eines Unternehmens werden.

So existieren mittlerweile unterschiedliche Arten von IT-Systemen, die sich im Grad der Organisation und Aufgabenzuständigkeit zwischen Fachbereichs-IT und IT-Abteilung unterscheiden. Typische Charakteristika sind dabei beispielsweise der Umfang des IT Managements, die Verteilung der Verantwortung von typischen IT-Aufgaben (z.B. IT-Security) oder die organisatorische Verantwortung.

Fachbereichs-IT (Business-Managed IT)

Charakteristisch für die Fachbereichs-IT sind klare Regelungen der Zuständigkeiten und Verantwortungen zwischen Fachbereich und IT-Abteilung. Der Umfang ist dabei individuell zu ermitteln und bedarf einem kontinuierlichen und offenen Austausch zwischen Fachbereich und IT-Abteilung. Dadurch sind die Systeme offen bzw. sichtbar, können aktiv verwaltet werden und sind allen relevanten Stakeholdern bekannt. Dies ermöglicht mehr Transparenz und führt von einer Art „Ungewissheit“ über die Systeme zu einem „kalkulierbaren Risiko“, welches sich durch klare Verantwortungen minimieren lässt.

Schatten-IT

Zusammengefasst handelt es sich bei Schatten-IT um versteckte oder geschlossene IT-Systeme. Dabei haben relevante Stakeholder wie z.B. das Topmanagement, wenn überhaupt, nur bedingt Kenntnis dieser Systeme, sodass eine aktive Verwaltung oder Aufgabenverteilung unmöglich ist. Typischerweise kommt Schatten-IT in Fachbereichen vor, jedoch können auch Mitarbeiter der IT-Abteilung eigene Anwendungen entwickeln, von denen andere keine Kenntnis haben.

IT-verwaltete Systeme

Hierunter fallen die Systeme der traditionelle IT-Landschaft. Offene Systeme, die aktiv im organisatorischen IT-Management eingebunden sind und deren Verantwortlichkeiten der typischen Aufgaben wie z.B. Beschaffung, Entwicklung, Dokumentation etc. hochgradig innerhalb der IT-Abteilung geregelt sind.

Zusammenfassend lässt sich eine passende Einordnung in einen der drei Bereiche mit Hilfe zweier Parameter vornehmen. Zum einen ist das der Grad der Einbeziehung in das organisatorische IT-Management und zum anderen hängt die Einordnung von der Aufteilung der typischen IT-Aufgaben ab. Der Grad des organisatorischen IT-Managements hilft dabei, Ungewissheiten in ein kalkulierbares Risiko zu überführen und die Offenlegung der Systeme führt dazu, dass diese besser verwaltet und im Monitoring berücksichtigt werden können.

Die Verteilung der typischen IT-Aufgaben (Ausfallsicherheit, Kompatibilität etc.) ändert sich. Durch neue technische Möglichkeiten, welche den Fachbereichen zur Verfügung stehen, können diese eigene Lösungen erstellen, z.B. produktbezogene IT, oder shop-floor-IT, und machen sich somit unabhängiger von der IT-Abteilung. Dadurch ist die klassische Rollenverteilung zwischen Fachbereich und IT nicht mehr gültig.

Fazit

Die Sichtbarkeit der Systeme bildet die Basis für die Evaluierung und Risikoverwaltung von Informationssystemen. Jedoch besteht die Gefahr, dass es zu einem Machtkampf zwischen Fachbereich und IT kommen kann, wenn kein offener Dialog auf Augenhöhe durchgeführt wird.

Auf Basis der in diesem Beitrag genannten Parameter zur Einordnung von IT, kann Schatten-IT erhoben werden. Durch die Definition von Rollen und Verantwortlichkeiten wird dann aus Schatten- Fachbereichs-IT (Business-Managed IT). Dies führt neben der erwähnten Risikominimierung möglicherweise auch zu Synergieeffekten.

Sie möchten weitere Informationen oder benötigen Unterstützung bei der Transformation, so zögern Sie nicht uns unter contact@bitco3.com zu kontaktieren.

[1] Kopper, A. et al  (2018). “Business-Managed IT: A conceptual framework and empirical illustration”. In: ECIS2018.

[2] Kopper, A. and M. Westner (2016a). “Deriving a Framework for Causes, Consequences, and Governance of Shadow IT from Literature”. In: MKWI 2016 Proceedings.

Autor: Marcel Heinzelmann