Professor Klotz sieht Herausforderungen und Chancen des IT-Vertragsmanagements. (Foto:privat)
Nachgefragt bei: Prof. Dr. Michael Klotz
„Die Bedeutung des IT-Vertragsmanagements dürfte noch steigen”
ESV-Redaktion Management und Wirtschaft
22.07.2016
Die zunehmende Digitalisierung erhöht auch die Anforderungen an das IT-Vertragsmanagement. Darüber sprach die ESV-Redaktion mit Michael Klotz, Professor für Organisation, Informationsmanagement und DV an der FH Stralsund.
Herr Professor Klotz, die IT hat einen immer größeren Einfluss sowohl auf uns persönlich als auch auf die Gesellschaft. Wo liegen Ihrer Meinung nach die Chancen und Risiken der zunehmenden Digitalisierung?
Michael Klotz: Die Digitalisierung ermöglicht in vielen Lebens- und Wirtschaftsbereichen neue Leistungsangebote, Hilfe und Unterstützung in Alltagsfragen, neue Geschäftsmodelle in der Wirtschaft, insgesamt eine höhere Effizienz, die auch auf Inklusion und Nachhaltigkeit ausgelegt ist. Die Risiken liegen in der Abhängigkeit von der Informations- und Kommunikationstechnik, quasi dem Ausgeliefertsein an ihre Verfügbarkeit und ihr ständiges Funktionieren. Die technische Infrastruktur kann ausfallen oder angegriffen werden, dadurch wird die Gesellschaft verletzlich. Davor muss sie sich schützen, aber nicht um den Preis einer möglichen Totalüberwachung der Bürgerinnen und Bürger.
Sind Unternehmen den neuen Herausforderungen gewachsen?
Michael Klotz: Die Herausforderungen und der daraus resultierende Handlungsbedarf sind den Verantwortlichen in den meisten Unternehmen sicherlich bewusst. Inwieweit dies zu Maßnahmen führt, hängt jeweils von der Risikoeinschätzung sowie wirtschaftlichen Erwägungen ab. In sehr vielen Bereichen der IT-Governance und des IT-Managements stehen heute Normen und Standards bereit, an denen sich die Unternehmens-IT orientieren kann und sollte.
Wie sieht es mit Blick auf das Vertragsmanagement in der IT aus? Wie sind die Unternehmen hier aufgestellt?
Michael Klotz: Vertragskonformität ist ein Teilbereich der Compliance, das gilt auch für IT-Verträge. Insofern ist mit der Entwicklung der IT-Compliance in den letzten Jahren auch das Thema „IT-Vertragsmanagement“ fokussiert worden. Trotzdem scheint mir immer noch genug zu tun, sei es in Bezug auf die organisatorische Integration, die Einbeziehung des Vertragsmanagements in das IT-Projektmanagement oder die methodische und instrumentelle Abstimmung zwischen Vertrags-, Compliance- und Risikomanagement.
Welche Unternehmen haben das Vertragsmanagement in der IT bereits als wichtige Aufgabe identifiziert und bei welchen Unternehmen bzw. Branchen könnte es in Zukunft an Bedeutung gewinnen?
Michael Klotz: Dazu kenne ich keine aktuelle empirische Studie. Über die Einflugschneise „Compliance“ wird (IT-)Vertragsmanagement jedoch dort eine wichtige Rolle spielen müssen, wo regulatorische Vorgaben ein Risikomanagement nicht nur allgemein vorschreiben, sondern konkretisierende Vorgaben machen, also z.B. in der Finanzdienstleistung oder im Bereich kritischer Infrastrukturen. Generell gilt: Wenn ein Unternehmen sein Risiko- und Compliance-Management entwickelt, muss es in diesem Rahmen auch sein Vertragsmanagement effektiv und effizient gestalten.
Stellt das Vertragsmanagement in der IT lediglich eine weitere lästige Pflichtübung für Unternehmen dar oder ergeben sich hieraus neue strategische Chancen?
Michael Klotz: Das Bild passt meines Erachtens so nicht. Strategisch zu handeln, ist in Zeiten eines globalisierten Wettbewerbs Pflicht, nicht Kür. Die Notwendigkeit des IT-Vertragsmanagements resultiert somit aus wichtigen Entwicklungen des IT-Managements, also zum Beispiel der Konzentration auf Kernkompetenzen, dem IT-Outsourcing oder technisch der Inanspruchnahme von Leistungen des Cloud Computing. In diesen und weiteren Punkten liegen die strategischen Chancen. Um diese zu realisieren, bedarf es eines professionellen IT-Vertragsmanagements. IT-Vertragsmanagement ist damit Teil der Pflicht. Wer es als lästige Pflichtübung ansieht, gefährdet die Realisierung seiner strategischen Potenziale.
Die erste Auflage Ihres Buches „Vertragsmanagement in der IT”, das sie mit Herrn Dr. Dietrich-W. Dorn verfasst haben, ist im Jahr 2006 erschienen. Was hat sich in den letzten zehn Jahren geändert? Welche Aspekte sind in der zweiten Auflage neu hinzugekommen und welche spielen heute vielleicht gar keine Rolle mehr?
Michael Klotz: Es war bei der Überarbeitung des Buches für uns überraschend zu sehen, dass die meisten Teile immer noch aktuell waren und sich die Grundstruktur nach wie vor als stimmig erwiesen hat. Natürlich mussten rechtliche Änderungen, z.B. im Werkvertragsrecht, ebenso berücksichtigt werden wie Entwicklungen, die sich vor zehn Jahren noch nicht so deutlich durchgesetzt hatten, wie z.B. das Application Service Providing. Hinzugekommen ist die Diskussion, wie IT-Standards und -Normen das Thema „Vertragsmanagement“ berücksichtigen und welche Empfehlungen sie dazu geben. Entscheidend ist aber nach wie vor der Ansatz des Buches, nicht eine juristische Perspektive einzunehmen, sondern das Management von IT-Verträgen in den Mittelpunkt zu stellen.
Immer mehr Beachtung findet die IT-Compliance. Wie kann diese gewährleistet werden, auch wenn wichtige IT-Funktionen an externe Partner outgesourct werden?
Michael Klotz: Die Auslagerung von IT-Leistungen bedeutet ja keine Verlagerung der Verantwortung für Rechtskonformität, Risiken, Sicherheit etc. Anforderungen all dieser Bereiche zu gewährleisten, ist Ziel des internen Kontrollsystems. Dieses muss bei Outsourcing natürlich auch die Prozesse der ausgewählten Dienstleister umfassen. Die Möglichkeit hierzu muss vertraglich geregelt und im Rahmen des Vertragsmanagements durchgesetzt werden.
Verträge können nie alle Eventualitäten komplett abbilden und gerade im dynamischen IT-Bereich kommt es regelmäßig zu unvorhergesehen Entwicklungen. Was empfehlen Sie Unternehmen, um daraus entstehende Risiken im Vorfeld am besten zu kontrollieren?
Michael Klotz: Aus Sicht des IT-Vertragsmanagements ist es wichtig, die Anforderungen aller Stakeholder in die Vertragsplanung einfließen zu lassen. Hierzu gehört dann unter anderem auch die Beurteilung der Notwendigkeit von Anpassungen während der Vertragsdurchführung. Während dieser ist es dann entscheidend, Entwicklungen, die vertragliche Anpassungen erfordern, schnell zu identifizieren und ein entsprechendes Change Management zu initiieren. Im Vorfeld sind somit entsprechende Prozesse zu etablieren, Instrumente, z.B. für Identifizierung und Risikoabschätzung wichtiger Entwicklungen, bereitzustellen und insbesondere die notwendige Sensibilisierung aller Beteiligten zu bewirken.
Eine weitere Herausforderung ist sicher die hohe Komplexität des IT-Vertragsmanagements. Wie kann Ihrer Meinung nach sichergestellt werden, dass unterschiedliche Fachabteilungen und Schnittstellen zu einem gemeinsamen Ergebnis kommen?
Michael Klotz: In der Tat sehe ich dies heute als wesentliche Herausforderung. Wie in anderen Managementbereichen auch ist eine Zusammenarbeit aller beteiligten Stellen und Bereiche erforderlich. Diese ergibt sich aber nicht von selbst, sondern sie muss geplant, umgesetzt, gesteuert und überwacht werden. Wer hier den Hut auf hat, wird von den Gegebenheiten des jeweiligen Unternehmens abhängen. Zum anderen kommt es auf die prozessuale Ausgestaltung des IT-Vertragsmanagements an. Gerade hierzu soll das Buch ja eine Hilfestellung bieten.
Wagen wir einen Blick in die Zukunft! Welche neuen Herausforderungen erkennen Sie am Horizont und wie schätzen Sie die Bedeutung des Vertragsmanagements in der IT in 10 Jahren ein?
Michael Klotz: Heutige Entwicklungen, z.B. im Cloud Computing, lassen sich noch einige Jahre fortschreiben. IT-Outsourcing ist und bleibt ein wichtiges Element eines effektiven und effizienten IT-Managements. IT-Verträge werden in Zukunft damit sicherlich nicht weniger werden – und die Bedeutung des IT-Vertragsmanagements dürfte eher noch steigen. Wesentliche juristische Herausforderungen sehe ich für die nächsten Jahre im Bereich von Industrie 4.0 bzw. Internet of Things (IoT). Die Klärung, wie autonome, lernende cyber-physische Systeme rechtswirksame Interaktionen vollziehen können und wem – ggf. gerade negative Folgen – dieser Interaktionen zugerechnet werden, wird sicherlich spannend. Das wird nicht ohne Auswirkungen auf ein IT-Vertragsmanagement bleiben.
(ESV/ap)
Michael Klotz: Die Digitalisierung ermöglicht in vielen Lebens- und Wirtschaftsbereichen neue Leistungsangebote, Hilfe und Unterstützung in Alltagsfragen, neue Geschäftsmodelle in der Wirtschaft, insgesamt eine höhere Effizienz, die auch auf Inklusion und Nachhaltigkeit ausgelegt ist. Die Risiken liegen in der Abhängigkeit von der Informations- und Kommunikationstechnik, quasi dem Ausgeliefertsein an ihre Verfügbarkeit und ihr ständiges Funktionieren. Die technische Infrastruktur kann ausfallen oder angegriffen werden, dadurch wird die Gesellschaft verletzlich. Davor muss sie sich schützen, aber nicht um den Preis einer möglichen Totalüberwachung der Bürgerinnen und Bürger.
Sind Unternehmen den neuen Herausforderungen gewachsen?
Michael Klotz: Die Herausforderungen und der daraus resultierende Handlungsbedarf sind den Verantwortlichen in den meisten Unternehmen sicherlich bewusst. Inwieweit dies zu Maßnahmen führt, hängt jeweils von der Risikoeinschätzung sowie wirtschaftlichen Erwägungen ab. In sehr vielen Bereichen der IT-Governance und des IT-Managements stehen heute Normen und Standards bereit, an denen sich die Unternehmens-IT orientieren kann und sollte.
Wie sieht es mit Blick auf das Vertragsmanagement in der IT aus? Wie sind die Unternehmen hier aufgestellt?
Michael Klotz: Vertragskonformität ist ein Teilbereich der Compliance, das gilt auch für IT-Verträge. Insofern ist mit der Entwicklung der IT-Compliance in den letzten Jahren auch das Thema „IT-Vertragsmanagement“ fokussiert worden. Trotzdem scheint mir immer noch genug zu tun, sei es in Bezug auf die organisatorische Integration, die Einbeziehung des Vertragsmanagements in das IT-Projektmanagement oder die methodische und instrumentelle Abstimmung zwischen Vertrags-, Compliance- und Risikomanagement.
Welche Unternehmen haben das Vertragsmanagement in der IT bereits als wichtige Aufgabe identifiziert und bei welchen Unternehmen bzw. Branchen könnte es in Zukunft an Bedeutung gewinnen?
Michael Klotz: Dazu kenne ich keine aktuelle empirische Studie. Über die Einflugschneise „Compliance“ wird (IT-)Vertragsmanagement jedoch dort eine wichtige Rolle spielen müssen, wo regulatorische Vorgaben ein Risikomanagement nicht nur allgemein vorschreiben, sondern konkretisierende Vorgaben machen, also z.B. in der Finanzdienstleistung oder im Bereich kritischer Infrastrukturen. Generell gilt: Wenn ein Unternehmen sein Risiko- und Compliance-Management entwickelt, muss es in diesem Rahmen auch sein Vertragsmanagement effektiv und effizient gestalten.
Stellt das Vertragsmanagement in der IT lediglich eine weitere lästige Pflichtübung für Unternehmen dar oder ergeben sich hieraus neue strategische Chancen?
Michael Klotz: Das Bild passt meines Erachtens so nicht. Strategisch zu handeln, ist in Zeiten eines globalisierten Wettbewerbs Pflicht, nicht Kür. Die Notwendigkeit des IT-Vertragsmanagements resultiert somit aus wichtigen Entwicklungen des IT-Managements, also zum Beispiel der Konzentration auf Kernkompetenzen, dem IT-Outsourcing oder technisch der Inanspruchnahme von Leistungen des Cloud Computing. In diesen und weiteren Punkten liegen die strategischen Chancen. Um diese zu realisieren, bedarf es eines professionellen IT-Vertragsmanagements. IT-Vertragsmanagement ist damit Teil der Pflicht. Wer es als lästige Pflichtübung ansieht, gefährdet die Realisierung seiner strategischen Potenziale.
Die erste Auflage Ihres Buches „Vertragsmanagement in der IT”, das sie mit Herrn Dr. Dietrich-W. Dorn verfasst haben, ist im Jahr 2006 erschienen. Was hat sich in den letzten zehn Jahren geändert? Welche Aspekte sind in der zweiten Auflage neu hinzugekommen und welche spielen heute vielleicht gar keine Rolle mehr?
Michael Klotz: Es war bei der Überarbeitung des Buches für uns überraschend zu sehen, dass die meisten Teile immer noch aktuell waren und sich die Grundstruktur nach wie vor als stimmig erwiesen hat. Natürlich mussten rechtliche Änderungen, z.B. im Werkvertragsrecht, ebenso berücksichtigt werden wie Entwicklungen, die sich vor zehn Jahren noch nicht so deutlich durchgesetzt hatten, wie z.B. das Application Service Providing. Hinzugekommen ist die Diskussion, wie IT-Standards und -Normen das Thema „Vertragsmanagement“ berücksichtigen und welche Empfehlungen sie dazu geben. Entscheidend ist aber nach wie vor der Ansatz des Buches, nicht eine juristische Perspektive einzunehmen, sondern das Management von IT-Verträgen in den Mittelpunkt zu stellen.
Immer mehr Beachtung findet die IT-Compliance. Wie kann diese gewährleistet werden, auch wenn wichtige IT-Funktionen an externe Partner outgesourct werden?
Michael Klotz: Die Auslagerung von IT-Leistungen bedeutet ja keine Verlagerung der Verantwortung für Rechtskonformität, Risiken, Sicherheit etc. Anforderungen all dieser Bereiche zu gewährleisten, ist Ziel des internen Kontrollsystems. Dieses muss bei Outsourcing natürlich auch die Prozesse der ausgewählten Dienstleister umfassen. Die Möglichkeit hierzu muss vertraglich geregelt und im Rahmen des Vertragsmanagements durchgesetzt werden.
Verträge können nie alle Eventualitäten komplett abbilden und gerade im dynamischen IT-Bereich kommt es regelmäßig zu unvorhergesehen Entwicklungen. Was empfehlen Sie Unternehmen, um daraus entstehende Risiken im Vorfeld am besten zu kontrollieren?
Michael Klotz: Aus Sicht des IT-Vertragsmanagements ist es wichtig, die Anforderungen aller Stakeholder in die Vertragsplanung einfließen zu lassen. Hierzu gehört dann unter anderem auch die Beurteilung der Notwendigkeit von Anpassungen während der Vertragsdurchführung. Während dieser ist es dann entscheidend, Entwicklungen, die vertragliche Anpassungen erfordern, schnell zu identifizieren und ein entsprechendes Change Management zu initiieren. Im Vorfeld sind somit entsprechende Prozesse zu etablieren, Instrumente, z.B. für Identifizierung und Risikoabschätzung wichtiger Entwicklungen, bereitzustellen und insbesondere die notwendige Sensibilisierung aller Beteiligten zu bewirken.
Eine weitere Herausforderung ist sicher die hohe Komplexität des IT-Vertragsmanagements. Wie kann Ihrer Meinung nach sichergestellt werden, dass unterschiedliche Fachabteilungen und Schnittstellen zu einem gemeinsamen Ergebnis kommen?
Michael Klotz: In der Tat sehe ich dies heute als wesentliche Herausforderung. Wie in anderen Managementbereichen auch ist eine Zusammenarbeit aller beteiligten Stellen und Bereiche erforderlich. Diese ergibt sich aber nicht von selbst, sondern sie muss geplant, umgesetzt, gesteuert und überwacht werden. Wer hier den Hut auf hat, wird von den Gegebenheiten des jeweiligen Unternehmens abhängen. Zum anderen kommt es auf die prozessuale Ausgestaltung des IT-Vertragsmanagements an. Gerade hierzu soll das Buch ja eine Hilfestellung bieten.
Wagen wir einen Blick in die Zukunft! Welche neuen Herausforderungen erkennen Sie am Horizont und wie schätzen Sie die Bedeutung des Vertragsmanagements in der IT in 10 Jahren ein?
Michael Klotz: Heutige Entwicklungen, z.B. im Cloud Computing, lassen sich noch einige Jahre fortschreiben. IT-Outsourcing ist und bleibt ein wichtiges Element eines effektiven und effizienten IT-Managements. IT-Verträge werden in Zukunft damit sicherlich nicht weniger werden – und die Bedeutung des IT-Vertragsmanagements dürfte eher noch steigen. Wesentliche juristische Herausforderungen sehe ich für die nächsten Jahre im Bereich von Industrie 4.0 bzw. Internet of Things (IoT). Die Klärung, wie autonome, lernende cyber-physische Systeme rechtswirksame Interaktionen vollziehen können und wem – ggf. gerade negative Folgen – dieser Interaktionen zugerechnet werden, wird sicherlich spannend. Das wird nicht ohne Auswirkungen auf ein IT-Vertragsmanagement bleiben.
| Zur Person |
| Prof. Dr. Michael Klotz ist Inhaber der Professur für Organisation, Informationsmanagement und Datenverarbeitung an der Fachhochschule Stralsund. Seine Forschungsarbeiten liegen schwerpunktmäßig in den Bereichen IT-Compliance, Interne Kontrollsysteme und digitale Betriebsprüfung. Dabei spielt die adäquate Anwendung von Standards wie COBIT und Frameworks wie UCF eine große Rolle. |
| Weiterführende Literatur |
| Innerhalb ihres Buches „Vertragsmanagement in der IT - Standards, Konzeption, Aufgaben und Vertragsarten” gehen Prof. Dr. Michael Klotz und Dr. Dietrich-W. Dorn detailliert auf aktuelle Anforderungen der IT-Compliance und das Thema Cloud Computing ein. Wichtige Normen und Standards werden ebenso behandelt wie Fragen zu Vertragscontrolling und der Steuerung des IT-Vertragsportfolios. Umfangreiche Checklisten helfen bei der praktischen Umsetzung der Inhalte. |
(ESV/ap)
Programmbereich: Management und Wirtschaft