Marc H.,
TLDR;
IT Governance ist nicht COBIT und nicht ISO 38500. Es ist die Antwort auf vier einfache Fragen: Wer entscheidet was in deiner IT, wer trägt die Verantwortung, passen die Ausgaben zu den Zielen, und wie behältst du den Überblick? Für KMU reichen drei Bausteine: klare Entscheidungsrechte auf einer halben Seite, Business-Owner für kritische Systeme und ein einseitiges Dashboard statt 25-Seiten-Berichte.
IT Governance klingt komplizierter als es ist. Wirklich.
Wenn du bei dem Begriff an mehrtägige Workshops, COBIT-Zertifizierungen und Lenkungsausschüsse denkst, die sich alle drei Monate treffen und trotzdem nichts entscheiden, dann bist du in guter Gesellschaft. Die meisten IT-Leiter in KMU reagieren so. Und genau deshalb haben viele Unternehmen mit 50 bis 500 Mitarbeitenden überhaupt keine IT Governance.
Das ist schade. Denn im Kern geht es um etwas ganz Einfaches: Klarheit darüber, wer in deiner IT welche Entscheidungen trifft. Und diese Klarheit fehlt häufiger, als man denkt.
Lass uns das Schritt für Schritt aufbauen.
Schritt 1: Versteh, worum es wirklich geht
Vergiss Frameworks. Vergiss ISO 38500. Vergiss alles, was nach Zertifizierung klingt.
IT Governance beantwortet vier Fragen. Vier. Nicht vierzig.
Wer entscheidet über IT-Investitionen? Also: Wer gibt ein neues Tool frei? Wer bewilligt den Plattformwechsel? Wer sagt Ja oder Nein zum ERP-Upgrade?
Wer trägt die Verantwortung, wenn etwas schiefgeht? Nicht die technische Verantwortung. Die geschäftliche. Wenn das CRM zwei Tage ausfällt, wer entscheidet, was Priorität hat?
Wie stellst du sicher, dass IT-Ausgaben zu den Unternehmenszielen passen? Also: Investierst du in Dinge, die dem Geschäft helfen? Oder kauft jede Abteilung, was ihr gerade einfällt?
Wie bekommst du Transparenz, ohne dich in Reporting zu verlieren? Du brauchst einen Überblick. Aber keinen 25-seitigen Quartalsbericht, den niemand liest.
Wenn du diese vier Fragen beantworten kannst, hast du IT Governance. Kein Papier, keine Zertifikate. Einfach Klarheit.
Schritt 2: Erkenne das Problem hinter dem Problem
In unserem IT-Audit tauchen Governance-Lücken nicht als Randnotiz auf. Sie sind meistens die Ursache für alles Andere, was nicht funktioniert.
Das typische Muster sieht so aus: Niemand weiss genau, wer über IT-Ausgaben entscheidet. Also entscheiden irgendwie alle. Der Vertrieb kauft ein neues SaaS-Tool, weil die Budgetgrenze von 5.000 CHF nicht überschritten wird. Die IT erfährt davon zwei Monate später, wenn das Onboarding hakt. Der CTO wundert sich beim Jahresabschluss, warum die SaaS-Kosten wieder um 30 Prozent gestiegen sind.
Das ist Shadow IT als Governance-Symptom. Und Shadow IT entsteht fast immer dort, wo offizielle Wege fehlen oder zu langsam sind.
Die andere Seite ist genauso problematisch. Wenn jede kleine Software-Anfrage vier Unterschriften braucht und drei Wochen dauert, holen sich die Leute ihre Tools halt selbst. Zu restriktive Governance wird genauso ignoriert wie gar keine.
Schritt 3: Baue drei einfache Strukturen auf
Du brauchst kein RACI-Dokument mit 200 Zeilen. Du brauchst drei Dinge.
Entscheidungsrechte auf einer halben Seite
Schreib auf, wer was entscheiden darf. Für ein Unternehmen mit 200 Mitarbeitenden reichen meistens drei Ebenen.
Operative IT-Entscheidungen: Tagesgeschäft, Konfigurationen, Toolauswahl im definierten Budget. Das entscheidet die IT selbst. Kein Eskalationsprozess, kein Freigabeformular. Klares Mandat, klares Budget, fertig.
Taktische Entscheidungen: Neue Systeme, grössere Projekte, Lieferantenwechsel. Hier reicht ein strukturiertes Gespräch zwischen IT-Leitung und Geschäftsführung. Kein Lenkungsausschuss. Ein Gespräch mit einer klaren Entscheidungsgrundlage.
Strategische Entscheidungen: Transformationsprojekte, grosse Investitionen, Plattformwechsel. Das gehört zur Geschäftsführung. Mit einer Business-Begründung, nicht einem Technologie-Pitch.
Klingt offensichtlich? Frag mal drei Kolleginnen aus drei verschiedenen Abteilungen, wer das Budget für die nächste ERP-Erweiterung freigibt. Du wirst drei verschiedene Antworten bekommen.
Business-Owner für kritische Systeme
Für jedes wichtige System braucht es eine Person aus dem Business, die die Verantwortung trägt. Nicht die IT-Person, die es betreibt. Die Person, die am meisten davon abhängt.
Wenn das ERP ausfällt, kümmert sich natürlich die IT um die technische Lösung. Aber der Business-Owner aus der Logistik sagt: "Wir brauchen das bis 14 Uhr, weil sonst 30 Lieferungen nicht rausgehen." Das ist der Unterschied zwischen "IT löst das irgendwann" und einer klaren Priorität.
Dieser Schritt ist unbequem. Verantwortung zu benennen bedeutet, dass jemand auch ansprechbar ist, wenn es nicht läuft. Genau deshalb wird es oft vermieden. Und genau deshalb ist es so wichtig.
Ein Dashboard statt eines Berichts
Die häufigste Governance-Falle: der quartalsweise IT-Bericht mit 25 Seiten Folien, den die Geschäftsführung angefordert hat, den aber niemand wirklich liest. Die Governance-Runde dauert 90 Minuten und endet ohne klare Entscheidungen.
Was stattdessen funktioniert: ein einseitiges Dashboard mit fünf bis sieben Metriken. Projektstatus (grün, gelb, rot plus ein Satz Erklärung). IT-Kosten vs. Budget. Offene Sicherheitsrisiken. Das war's.
Dazu ein monatliches 30-Minuten-Gespräch zwischen IT-Leitung und Geschäftsführung. Keine Grosspräsentation. Eine strukturierte Konversation auf Basis der gleichen Zahlen.
(Wir haben einem Kunden geholfen, seinen quartalsweisen 40-Folien-Bericht durch ein A4-Dashboard zu ersetzen. Die Entscheidungsqualität ist gestiegen, nicht gesunken.)
Schritt 4: Versteh den Zusammenhang mit guten IT-Entscheidungen
Schlechte IT-Entscheidungen entstehen selten aus technischer Ignoranz. Sie entstehen, weil niemand weiss, wer eigentlich entscheidet, nach welchen Kriterien und mit welchen Informationen.
Ein Vendor macht eine Demo. Alle sind begeistert. Aber wer gibt grünes Licht? Nach welchen Kriterien? Wer prüft, ob das neue Tool zu den bestehenden Systemen passt? Wer rechnet die Gesamtkosten über drei Jahre durch?
IT Governance gibt diesen Fragen einen Rahmen. Nicht durch Bürokratie, sondern durch Klarheit. Und in der Praxis ist das der Unterschied zwischen einem Unternehmen, das IT als Werkzeug nutzt, und einem, das alle paar Jahre in ein vermeidbares IT-Projekt-Debakel rutscht.
Schritt 5: Fang klein an (und bleib dabei)
Die grösste Gefahr bei jedem Governance-Vorhaben: zu viel auf einmal wollen. Entscheidungsregeln, Eskalationspfade, Portfoliomanagement, Risikokatalog, Architecture Review Board. Alles sinnvoll. Aber für ein KMU, das gerade erst anfängt, ist das der sicherste Weg, das Ganze scheitern zu lassen.
Fang mit den drei Problemen an, die am meisten wehtun. Meistens sind das: unklare Budgetfreigaben bei IT-Investitionen, fehlende Ownership-Definitionen für kritische Systeme und mangelnde Transparenz über IT-Kosten für die Geschäftsführung.
Löst das. In sechs bis acht Wochen. Mit einfachen Dokumenten und ein paar strukturierten Gesprächen. Dann schaut ihr, was als nächstes gebraucht wird. Das ist kein Verzicht auf ein Framework. Es ist ein anderer Einstieg, der tatsächlich funktioniert.
Der nächste Schritt
Morgen früh, bevor der Alltag losgeht: Nimm dir 15 Minuten und schreib auf einer halben Seite auf, wer in deinem Unternehmen operative, taktische und strategische IT-Entscheidungen trifft. Keine perfekte Lösung, keine RACI-Matrix. Einfach aufschreiben, wie es heute ist. Du wirst merken, dass es an manchen Stellen überraschend unklar ist. Und genau diese Stellen sind dein Einstieg in pragmatische IT Governance.
Wenn du dabei Unterstützung brauchst, beim Aufbau der Entscheidungsstrukturen oder bei der Frage, wie der nächste Schritt nach dem Minimum aussieht, meld dich bei uns. Wir machen das regelmässig mit Unternehmen in deiner Grössenordnung.
