CSR – Corporate Social Responsibility in der IT und mit der IT

PrintMailRate-it

veröffentlicht am 25. November 2021


Nachhaltigkeit ist ein Faktor, der in den kommenden Jahren über das Entwicklungspotenzial und die Zukunftsfähigkeit von Unternehmen entscheiden wird. Der Anspruch und die Forderung der Kunden an das eigene Konsumverhalten und letztlich den persönlichen Fußabdruck hat zunehmend konkrete Auswirkungen an Unternehmen, diesen auch erfüllbar werden zu lassen! Und dabei spielt in mehrfacher Hinsicht die IT eine herausragende Rolle: als Ort des Handelns, als Instrument zum Handeln und auch als Befähiger zum Handeln!

 
Schon heute sind Wirtschaftsunternehmen gefordert, den eigenen CO2-Fußabdruck zu verringern, Transparenz in der eigenen Wertschöpfungskette zu schaffen und ausführlich über soziale, ökonomische und ökologische Aspekte des Handelns zu berichten.


Kunden und damit auch Investoren achten verstärkt auf die sogenannten ESG-Kriterien (Environmental, Social und Governance-Kriterien) und erhöhen erkennbar den Druck auf Unternehmen, nicht-finanzielle Kennzahlen offenzulegen, und zwar in Folge, daher vergleichbar im zeitlichen Verlauf und mit anderen.


Dieser Handlungsdruck hat in dreifacher Hinsicht direkte Implikationen zur IT. Und diese drei Themenbereiche wollen wir heute als Auftakt für weiterführende Artikel zum Thema „CSR in der IT und mit der IT” näher beschreiben.

 

Grafik CSR in der IT und mit der IT 

 

 
In dieser Beitragsreihe wollen wir das Augenmerk nicht nur auf Unternehmen im Sinne von Endnutzern der IT, sondern auch besonders auf Unternehmen der Digitalwirtschaft legen, welche ebenso ein Teil der Wertschöpfungskette von Handel, Produktion und Dienstleistung sowie im Öffentlichen Sektor und Non-Profit sind.


In einer offensichtlichen Art und Weise können wir heute ableiten und damit verstehen, welchen wertvollen Beitrag die IT im Bereich ihres spezifischen Life-Cycles (Herstellung von Hard- wie Software, Inbetriebnahme, Ressourcenverzehr im Betrieb, Entsorgung etc.) liefern könnte und oftmals auch tut. Über diese Wahrnehmung hinaus wollen wir den Blick ein wenig weiten und die folgenden „Rollen der IT” näher beleuchten.


Die IT als Ort des Handelns

Wie oben angeführt ist offensichtlich, dass zur Herstellung und zum Betrieb von IT mit Blick auf soziale, ökonomische und ökologische Aspekte vielfältige Ansatzpunkte bestehen. Es fängt beim Energieverbrauch der IT und der bewussten Entscheidung für nachhaltige Energiequellen an, setzt sich über die bewusste Auswahl von Personal in der IT-Service Delivery, der bewussten Entscheidung zum Outsourcing in ggf. andere Länder mit prekärem Verhältnissen etc. fort.


Die heute erkennbaren Handlungsfelder in Aktivitäten rund um CSR lassen einen zarten, oftmals nach dem Diktat von „wir wollen erste Schritte gehen” Weg erkennen. Was wäre ggf. eine Spur unbequemer, damit wirksamer und mit Blick auf das Ziel authentischer? Ein erster Versuch:


Der Einkauf Hardware, Software, Services, Energie

Der Einkauf von Ressourcen in jeglicher Hinsicht ist ein entscheidender Moment, den eigenen CSR-Beitrag zu beeinflussen. Wir kennen nur wenige Unternehmen, welche konsequent bei der Bedarfsermittlung, der Lieferantenentscheidung und der jeweiligen einzelnen Beauftragung Vorgaben für den CSR-Beitrag einfordern.


Welchen CSR-Beitrag liefert ein IT-Lieferant erkennbar durch seine CSR-Berichterstattung? Gibt es diese überhaupt? Welche Auswirkung hat die Beschaffung von Hardware aus dem definierten internen IT-Katalog auf den CSR-Beitrag? Gibt es einen Prozess für diesen Katalog und werden dort CSR-relevante Fragen (und Antworten) eingebettet? Und konkret, wie kann die Nutzungsdauer und -art eines Endgerätes nachhaltig optimiert werden, ohne die Funktionalität und Sicherheit zu gefährden? Welchen Einfluss kann man als Einkaufsgemeinschaft bzw. über Interessensverbände auf die Distributoren und letztlich die Hersteller ausüben? U. v. m.


Für den unternehmensseitigen ökologischen Fußabdruck entscheidet sich vieles schon im Einkauf, da die Produkte selbst und deren Nutzungsart über Jahre hinweg das Unternehmen prägen.


Der IT-Betrieb

Natürlich ist der heutige IT-Betrieb, also die Summe aller Rechenzentren und verteilten Services – kommen sie heute von dezentralen Abteilungslandschaften, von externen Providern und zunehmend aus der Cloud – nach einer anderen Zielvorstellung historisch Schritt für Schritt gewachsen:

  • Vertraulichkeit, Verfügbarkeit und Integrität
  • Wirtschaftlichkeit
  • Qualität und Funktionalität


In diesen Zielvorstellungen war lange Zeit, gerade vor dem Hintergrund immer knapper IT-Personalressourcen kaum Platz für CSR! Mit Blick auf die zukünftigen Herausforderungen der Digitalisierung, der Demografie und des internationalen Wettbewerbs ist auch nicht von einer Entspannung auszugehen.


Dennoch gibt es Ansatzpunkte, bei welchen auch im Betrieb CSR einzubetten ist. Und dies soll an zwei Beispielen verdeutlicht werden:

 

  1. Zombie-Server

    Der Begriff stellt den Sachverhalt dar, dass ein ehemals bestellter und für einen Zeitraum vielleicht notwendiger Service (hier ein Server) ungenutzt über Jahre betrieben wird, aus der konkreten Beobachtung (Monitoring) der IT, aber auch des Fachbereichs gefallen ist und – wie soll es anders sein – wertvolle Ressourcen (Energie, Platz, Speicher, Rechenzeit, Arbeitszeit) in Anspruch nimmt. Aus Sicherheitsgründen sind Zombie-Server schon aus anderen Gründen ein unguter Zustand. Das am Rande vermerkt.

    Einen solchen Service zu erkennen, zu hinterfragen und abzustellen erfordert einen Prozess und Personal. Im IT-Betrieb werden unter den gängigen Frameworks wie ITIL oder ISO / IEC 270011 entsprechende Regelprozesse empfohlen, auf welchen man aufsetzen könnte. 
  2. Service-Level-Agreements

    Diese Agreements sind Vereinbarungen zwischen nutzenden Abteilungen und der IT über die zu geforderte Qualität. Qualität im Sinne von maximaler Ausfallzeit, späteste Reaktionszeit, Anzahl offener Tickets etc..

    Die Erfahrung zeigt, dass in einem Unternehmen nur in den seltensten Fällen solche Agreements bestehen und die IT somit – zwangsläufig – immer von einer maximalen Verfügbarkeit ausgeht. Ein auch aus wirtschaftlicher Hinsicht mit Blick auf zukünftige Abhängigkeiten von Clouddiensten und deren ständigen Wechsel in den Tarifen und Abo-Modellen aus Kostengründen mehr als ungünstiger Sachverhalt.

    Bestünde ein klares Verständnis über Verfügbarkeit und Service-Qualität, hätte die IT einen größeren Spielraum, die notwendigen Ressourcen neben Wirtschaftlichkeitsaspekten auch unter CSR-Kriterien anzupassen. 

 

Planung und Steuerung

Die IT hat über die letzten Jahrzehnte in Sachen Planung und Steuerung eine erhebliche Entwicklung erfahren. Durch die Komplexität der IT, der Abhängigkeit des Unternehmens von der IT und der sich in den Anwenderbereichen (interne Kunden) wachsenden Anspruchshaltung, wurden die Prozesse in der IT schrittweise standardisiert. Im Kern der Anpassung dieser Prozesse war immer, die Erwartungshaltung der internen Kunden zu erkennen und die IT-Services sowie die Prozesse, soweit es die Budgets zugelassen haben, daran auszurichten.

 
Und jetzt? Mit CSR entwickelt sich die nächste Erwartungshaltung, nämlich IT-Services auch unter Nachhaltigkeitsgesichtspunkten zu planen, zu entwickeln, zu betreiben und zu steuern. Und dies setzt unserer Ansicht nach voraus, dass die entsprechenden Prozesse danach angepasst bzw. ergänzt werden, wo ein CSR-Beitrag sinnvoll und notwendig erscheint. Anpassungen werden demnach insbesondere in folgenden Bereichen notwendig sein:

  • Entwicklung der von der Unternehmensstrategie abgeleiteten IT-Strategie
  • Budgetplanung (mehrjährige)
  • Auswirkungen von CSR auf IT-Richtlinien und Regelungen
  • Strategische und taktische Partnerschaften mit Nachhaltigkeitsfokus
  • Forschung & Entwicklung mit CSR-Beitrag
  • Laufende Programm- und Projektplanung sowie Controlling
  • Aufbau und Überwachung von Service-Level-Agreements
  • Laufende C-Level-Berichterstattung


Die IT als Ort des Handelns ist aus den obigen Beispielen erkennbar und es wird deutlich, dass es nur ein kleiner Ausschnitt aus einem vielfältigen Spektrum sein kann. Erfahrung und Kreativität sind gefragt!


IT als Instrument zum Handeln

Die Projektplanung zu bzw. die laufende Umsetzung eines CSR-Prozesses, also die Identifikation des jeweiligen Status quo, die Kommunikation mit den verantwortlichen und wissenden Stellen in einem Unternehmen, die Bewertung der Rückmeldungen, die Ableitung von Handlungsoptionen und das Herbeiführen von Entscheidungen sowie die Überwachung der Umsetzung und zuletzt auch die komplexe, gesetzeskonforme Berichterstattung schreit ja förmlich nach einer Umsetzung mit IT, und zwar einer Umsetzung mit CSR-Beitrag, also eine Nachhaltige!


Die funktionalen Elemente für eine solche IT-Unterstützung sind nicht unbekannt. Aus der Betriebswirtschaft, dem internen und externen Rechnungswesen sowie der Organisationslehre sind viele Parallelen herstellbar. Beispielsweise ist ein Risikomanagementsystem im Kern dem Erhebungs- und Bewertungsprozess sehr ähnlich. Auch die Berichterstattung kann Parallelen zur finanzbezogenen Berichterstattung aufweisen.


Daher bieten sich für CSR-Verantwortliche in einem Unternehmen zwei grundsätzliche Optionen:

  1. Anschaffung einer dedizierten CSR-Lösung
  2. Erweiterung, Ergänzung, Adaption bestehender Lösungen, welche eine hohe funktionale Deckung zur Aufgabenstellung aufweisen


Zu 2. lassen sich heute oftmals schon eine Vielzahl von Sublösungen in einem Unternehmen erkennen. Hierzu zählen Kollaborationslösungen (wie Teams, Sharepoint, JIRA etc.), deren Akzeptanz und Verbreitung gerade in Zeiten der Pandemie zu einer erheblichen Reduktion vormals notwendiger Dienstreisen geführt haben sowie Lösungen im Zusammenhang mit dem erhöhten IT-Sicherheitsrisiko durch mobiles Arbeiten und Home-Office (Datenschutz- und Informationssicherheitslösungen, Risikomanagementsysteme etc.). Auch für die Berichterstattung sind Lösungen regelmäßig vorhanden (Module für ERP-Lösungen, Konsolidierungswerkzeuge, Planungs- und Controllingtools, Lösungen wie PowerBI etc.).

 
Entscheidend für die Auswahl des generellen Wegs, die Umsetzungsentscheidung über einen Proof-of-Concept (PoC) sowie dem eigentlichen Roll-Out wird eine strukturierte IST-Aufnahme und Bewertung sein.


IT als Befähiger zum Handeln

Unter den Punkten 1 und 2 stand die Blickrichtung sehr stark auf die IT selbst. Jetzt wollen wir die Richtung wechseln und uns fragen, ob mit der vorhandenen IT-Funktionalität sowie der sich abzeichnenden Trends ein Beitrag insgesamt in allen Wertschöpfungsketten aller Unternehmen denkbar ist. Hier wollen wir zwei Beispiele anführen, welche diese Blickrichtung verdeutlichen sollen.

 

  1. Catena-X: eine internationale und branchenübergreifende Delivery-Organisation auf Basis von Gaia X

    Catena-X ist ein von mehreren Unternehmen getragenes Projekt zur Schaffung eines kollaborativen Daten-Ökosystem entlang der automobilen Wertschöpfungskette – vom Automobilhersteller oder einem klein- und mittelständischen Zulieferer bis hin zum Recyclingunternehmen. Gaia-X beschreibt dabei die technischen Mindestanforderungen für den Aufbau einer Dateninfrastruktur, welche einen sicheren Datenaustausch bietet. Catena-X ist die darauf abgebildete Anwendung.

    Dieses Projekt ist im CSR-Umfeld besonders interessant, da hier ein Anwendungsfall der „Kreislaufwirtschaft” in den Startlöchern steht. Dabei soll ein datengeneriertes Abbild von Fahrzeugkomponenten die Möglichkeit bieten nachzuvollziehen, welche Rohstoffe in welchen Mengen verbaut sind, um den Kreislauf am Ende eines Lebenszyklus der Teile oder des Fahrzeugs komplett zu schließen. Ein Verwertungsunternehmen wird somit bei seiner Entscheidung unterstützt, ob es die Fahrzeug-Komponente recyceln oder aufgrund der gesammelten Zustandsdaten aufbereiten oder wiederverwenden kann.

    Eindringlicher kann eine eher abstrakte Basis wie Gaia X unter Einbezug des unternehmensübergreifenden Bedarfs innerhalb eines Life-Cycles zu einem CSR-Beitrag nicht führen.
  2. Blockchain-Technologie

    Kryptowährungen und das ressourcenfressende Mining sind aus der CSR-Brille sicherlich kritisch zu bewerten. Die hinter den Währungen stehende Technologie, die Blockchain, hat dennoch das Potenzial viele analoge, ressourcenbindende Prozesse oder Geschäftsmodelle zu verbessern.

    Beispiele:
  • herkömmliche aufwendige Journalführungen
  • umständliche Vertragsabschlüsse
  • mehrstufige Freigabe- und Unterschriftenverfahren
  • aufwendige Erhebungen aufgrund fehlender Zustandsdaten
  • Umständliche Recherchearbeiten für Sachverhaltsaufklärung
  • U. v. m.

 

Auch wenn die „Schlussrechnung” heute nicht abschließend aufgestellt werden kann, was der Aufbau und der Betrieb eines auf Blockchain basierenden Geschäftsmodells an Ressourcen bindet und welche sozialen Verwerfungen durch die Skalierung des Geschäftsmodells (Verlust an Arbeitsplätzen, Benachteiligung von Gesellschaftsgruppen etc.) entstehen, so kann zunächst konstatiert werden, dass eine Option zur verbessernden Nutzung insgesamt gegeben ist.

Auch hier stellt sich die Notwendigkeit, bei Entwicklung von entsprechenden Geschäftsmodellen zunächst den positiven CSR-Beitrag bewusst einzufordern, aber auch die Eindämmung von negativen Entwicklungen zu beherrschen.

 
Aus den beiden Beispielen lässt sich schließen, dass im Rahmen von Strategieentwicklungsprozessen in einem Unternehmen auch das Potenzial von IT mit einbezogen werden sollte, um CSR-Beiträge zu ermöglichen.
 

Kontaktieren Sie uns gerne, wenn Sie noch offene Fragen zum Thema haben.

__________________________________________________________________________________________________________________
1 ITIL ist eine Sammlung von Standardprozessen in der IT, ISO / IEC 27001 ist ein Informationssicherheitsmanagementsystem, welches ebenso einen Prozess zum Umgang mit Assets erwartet

Anrede
Titel
Vorname
Nachname
Branche
Firma
Straße/Hausnummer
PLZ
Ort
Land
Telefon
E-Mail *
Frage *
Datenschutzerklärung *

Einwilligung

Helfen Sie uns, Spam zu bekämpfen.


Captcha image
Show another codeAnderen Code generieren



Aus dem Newsletter

​Digital GRC Kompass Nr. 9/2021

Kontakt

Contact Person Picture

Hannes Hahn

CISA - CSP - DSB, IT-Auditor IDW

Partner, Rödl IT Secure GmbH

+49 221 9499 092 00

Anfrage senden

Contact Person Picture

Falk Hofmann

ISO/IEC27001/KRITIS -Auditor

Partner

+49 30 810 795 84

Anfrage senden

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu