In früheren Artikeln haben wir aus aktuellen Anlässen mehrfach darauf hingewiesen, dass die Öffentliche Verwaltung ein Problem mit der IT-Governance hat. So stellt sich die Frage: In welcher Form führen Geschäftsleitungen von Öffentlichen Verwaltungen die IT vorausschauend und risikobewusst derart, dass geringere Risiken resultieren?

Geschäftsleitungen von Verwaltungen müssen sich bewusst darüber werden, dass Informationsmanagement und das Management von Informationssystemen heute zu den zentralen Aufgaben von Geschäftsleitungen der Verwaltungen gehören. Unter Informationsmanagement verstehen wir den umfassenden Umgang mit der Ressource Information in Verwaltungen. Die IT stellt einzig ein Werkzeug zur Unterstützung desselben dar.

Analog etwa zum Bankensektor, aber noch nicht mit der gleichen Unmittelbarkeit, funktionieren heute ganz viele Dinge in der Verwaltung nicht mehr, wenn nicht ein hochsicheres und hoch verfügbares Informationsmanagement mit genügender Kapazität betrieben wird. Mit E-Government wird dies noch viel unmittelbarer und vernetzter der Fall sein. Das Informationsmanagement in der Verwaltung nimmt damit heute und künftig eine immer bedeutendere Stellung ein, analog zur Ressource Mensch, die in der Verwaltung eingesetzt wird, und die mit dieser Vernetzung umgehen lernen muss. Ein aktueller Blick in die Verwaltungslandschaft zeigt jedoch ein beängstigendes Bild: Harzendes E-Government in der Schweiz sowie diverse in der Vergangenheit in Schieflage befindliche IT-Projekte auf allen föderalen Ebenen. Dies zeigt beispielhaft, dass grundlegende Entwicklungen in Richtung einer Verantwortungsübernahme von Verwaltungsgeschäftsleitungen bezüglich Informationsmanagement, IT und deren Führung vielenorts noch überhaupt nicht stattgefunden haben.

Der vorliegende Beitrag thematisiert ausgehend von dieser Problemstellung mehrere Aspekte. Er geht einerseits auf die aktuellen Massnahmen ein, welche aus der Sicht des Bundes ergriffen wurden, um die Risiken, insbesondere bezüglich IT-Projekten und Beschaffung, zu reduzieren. Überdies analysieren wir diese Massnahmen kurz auf deren Wirksamkeit. Andererseits stellt sich in diesem Beitrag die Frage, ob das vorliegende neue Setting bezüglich Projekt- und IT-Governance nicht auch andere föderale Ebenen erfassen sollte. Zudem wird aufgezeigt, was diese Ebenen bei der Entwicklung der IT-Governance besser machen könnten als der Bund.

Mit einer "vollständigen Delegation der IT-Verantwortung" vom Bundesrat auf Generalsekretäre und später auf die meist auf der vierten oder fünften Hierarchieebene angesiedelten IT-Leiter oder CIOs haben einige der heute bekannten Probleme in der Bundesverwaltung ausgehend vom alten Projekt Nove-IT bügelt einige der entsprechenden Fehler aus, noch nicht aber alle, wie die aktuellen Entwicklungen auf der Bundesebene bezüglich gewichtiger IT-Projekte und bezüglich der aktuell implementierten Massnahmen zeigen.

Mit der neuen Bundesinformatikverordnung übernimmt der Bundesrat mehr Verantwortung. Zudem hat der Bundesrat das ehemalige Informatikstrategieorgan zu einem Informatiksteuerungsorgan umgebaut. Dieses ISB bereitet entsprechende IT-Bundesratsgeschäfte vor. Mit diesen Veränderungen gingen in den letzten Monaten diverse Entscheidungen einher, die der Bundesrat ausgehend vom zunehmendem Druck seitens Parlament, Finanzdelegation der Eidgenössischen Räte und Eidgenössischer Finanzkontrolle zu fällen begann. Dieser Druck darf denn auch auf keinen Fall nachlassen. Entscheidungen seitens Bundesrat betrafen unter anderem die Themengebiete Beschaffungswesen sowie Projektsteuerung und Quality Gates zu strategisch bedeutsamen Projekten. Die Prüfung grosser Projekte übernimmt die Eidgenössische Finanzkontrolle.

Der Bundesrat genehmigte im November 2012 Weisungen für das strategische IT-Controlling.

Ausgehend von den nun implementierten Massnahmen stellt sich die Frage, ob eines der in der Vergangenheit in Schieflage befindlichen Projekte bessere Resultate gebracht hätte, wenn bereits Quality Gates im Einsatz gewesen wären, wenn das Beschaffungscontrolling eingeführt gewesen wäre und wenn die Qualität im Bereich Projektmanagement mittels Quality Gates überwacht worden wäre.

Eine erste Hypothese dazu lautet mit an Sicherheit grenzender Wahrscheinlichkeit nein, und zwar aus den folgenden Gründen. In Schieflage befindliche Projekte ergaben sich in der Vergangenheit typischerweise dort, wo die verwaltungsinterne Führung aus IT-Sicht seitens Verwaltungsgeschäftsleitung schwach war. Typischerweise existieren in der Verwaltung unterschiedliche departementale Strukturen, mit mehr oder weniger starker Führung oder mit mehr oder weniger Autonomie der Ämter oder Direktionen. Dies hat gewichtige Einflüsse auf die Governance. Mit anderen Worten muss die Governance hier unterschiedlich ausgeprägt sein. In der Vergangenheit zeigte sich, dass zunehmende interne Regulierung gerade in dezentralen Strukturen nicht notwendigerweise zu mehr Steuerungsfähigkeit bezüglich IT im Sinne von Risikominimierung führt(e). Zudem scheint einem Aussenstehenden all das suspekt zu sein, was als "Kontrolle von aussen" – etwa mittels Weisungen - daherkommt.

Daraus kann eine zweite Hypothese abgeleitet werden, die besagt, dass es bei den in der Vergangenheit diskutierten Projekten nicht die fehlende Kontrolle von aussen war, welche zu den Debakeln geführt hat. Wohl wird auch nur diese partiell funktioniert haben; weshalb, wird noch zu zeigen sein. Vielmehr war es die fehlende Kontrolle von innen sowie die Verantwortungslosigkeit sowie ein vollständiges Desinteresse seitens Verwaltungsleitung daran, was im Bereich Informationsmanagement und IT in der eigenen Verwaltungseinheit abläuft.

Deswegen zeigen die eingeschlagenen Stossrichtungen seitens Informatiksteuerungsorgan zwar klar, dass der Bundesrat handlungsfähig ist. Er hat neben seiner Handlungsfähigkeit von aussen – über das Informatiksteuerungsorgan – die Handlungsfähigkeit nach innen, das heisst über die eigene Aufbau- und Ablauforganisation sowie die Kontrolle über die internen möglicherweise zu dürftig ausgestatteten Stellen im IT-Steuerungsbereich viel stärker wahrzunehmen. Dafür genügen Weisungen nicht. Dafür sind schlicht und ergreifend ein Interesse für die Führung des Informationsmanagements eines Departements und eines Amts in der Bundesverwaltung erforderlich. Das Informationssystem Verwaltung und dessen IT ist viel zu wichtig, was die Effizienz und die Effektivität des Verwaltungshandelns von morgen betrifft. Erst wenn dieser zweite interne Governance-Arm greift, neben dem ersten Arm, welcher von aussen über Weisungen und Kontrollen regiert, kann eine Reduktion der IT-Risiken wirklich gelingen.

Im Sinne einer dritten Hypothese: Die Kontrollen von aussen haben ja nicht versagt. Die Eidgenössische Finanzkontrolle oder die Finanzdelegation des Bundes haben ihre Hausaufgaben etwa bezüglich des Projekts Insieme lässt es erahnen.

Die Menschen in den Verwaltungseinheiten müssen spüren, dass in der Aufbauorganisation zuoberst ein Interesse für das Informationssystem Verwaltung und dessen IT vorhanden ist und diesbezüglich aktiv geführt wird. Ist dem so, sind aus Sicht der IT-Governance Weisungen und Kontrollen zwar nötig, aber nicht mehr das Allheilmittel um Führung sicherzustellen. Es bleibt überdies zu hoffen, dass dafür nicht das Einziehen der "Digital Natives" in die Führungspositionen der Schweizerischen Bundesverwaltung erforderlich oder abzuwarten ist.

Die Situation auf kantonaler und kommunaler Ebene ist vergleichbar mit der Situation auf Bundesebene. Es stellt sich die Frage, ob analog zum Bund Verordnungen, externe Kontrollen und Gremien zu schaffen sind, um eine bessere IT-Governance zu erreichen. Analog zur Bundesebene gilt hier Gleiches. Eine über externe Kanäle - Weisungen und Kontrollen – angeordnete Governance kann zwar partiell nützlich sein. Jedoch löst sie auch hier nicht das Problem der Verantwortungsübernahme der Regierenden und der Verwaltungsspitze für das Informationsmanagement und die IT im Inneren. Erst dadurch kann ein vernetztes und wirksames Verwaltungsinformationsmanagement entstehen. Daher tun kantonale und kommunale Verwaltungen gut daran, sparsam aber wirksam Gremien einzurichten, Prozesse zu implementieren, Rollen adäquat mit Fähigkeiten auszustatten, über welche ein effektiver Abgleich zwischen Verwaltungsgeschäft und IT sichergestellt werden kann.

Zu empfehlen ist, dass Kantone und Gemeinden über bundesähnliche Strukturen mit einer kantonalen oder kommunalen IT-Verordnung nachdenken. Überdies sind sowohl auf kantonaler Ebene wie auf Gemeindeebene IT-Governance-Sachverhalte zu überdenken und sollten angesichts immer engerer Integrationen auf kantonaler und kommunaler Ebene die Entscheidungsmechanismen und Gremien dahingehend überdacht werden, dass Exekutiven und IT kantons- und/oder gemeindeübergreifend stärker zusammenarbeiten und damit im gegenseitigen Verständnis im Sinne eines Business-IT-Alignments Fortschritte machen.

Wie Untersuchungen zeigen, kann das Business-IT-Alignment in unterschiedlicher Form ausgeprägt sein. Beispielsweise dienen IT-Gremien mit Geschäftsleitungsbeteiligung, Implementierung bestimmter IT-Prozesse, Architekturen, Bebauungsplanungen oder Portfoliomanagement allesamt einem Abgleich zwischen Geschäft und IT und sind je nach Konfiguration von Verwaltungen (dezentral, zentral, autonom, wenig autonom) in unterschiedlicher Kombination und Konstellation zur wirksamen Steuerung der IT einsetzbar.

Kantonen und Gemeinden ist explizit abzuraten davon, die Führung der IT analog zur Bundesebene alleine oder überwiegend über externe Steuerungsorgane sicherzustellen. Vielmehr sollten Kantone und Gemeinden dafür sorgen, dass die Führung der IT viel intensiver von innen der Aufbau- und Ablauforganisation entlang vom Regierungs- oder Gemeinderat her sichergestellt wird. Zudem ist einer Kontrolle mit Biss durch Gremien und Parlament das Wort zu reden. Die Tatsache, dass die IT eine vielen Regierungs- und Gemeinderäten unvertraute Materie ist, darf dabei kein Grund für eine vollständige und allenfalls an externe Gremien delegierte Verantwortung sein. Im Gegenteil, die Verantwortung für die wichtige Ressource Information und das Informationssystem Verwaltung muss immer bei der Exekutive bleiben und ist nicht delegierbar. Delegierbar sind dedizierte Aufgaben und Kompetenzen mit gewissen Verantwortungen, die Letztverantwortung muss immer bei der Exekutive bleiben und sie muss diese künftig viel stärker wahrnehmen als heute.

Fazit: Es wartet viel Arbeit auf die Öffentliche Verwaltung der Schweiz im Bereich IT-Governance. Wenn nicht alles täuscht, ist diese Arbeit unter anderem eine Voraussetzung dafür, dass es mit dem E-Government in der Schweiz schneller vorwärts geht und dass es künftig weniger gescheiterte IT-Projekte in der Öffentlichen Verwaltung gibt.

Die Berner Fachhochschule veranstaltet im Herbst 2013 eine halb- oder ganztägige Konferenz zum Thema IT-Governance in der Öffentlichen Verwaltung. Weitere Informationen dazu folgen auf inside-it.ch. (Konrad Walser)