Erstellung eines Business-Case für das IT-Projekt

Mit dem Business-Case erfolgt eine wirtschaftliche Bewertung der geplanten IT-Lösung hinsichtlich Kosten, Nutzen und Risiken.

Mögliche Lösung finden

Sie benötigen zur Erstellung eines Business Case konkrete Zahlen. Da zum Zeitpunkt der Business-Case-Erstellung typischerweise noch keine IT-Lösung ausgewählt ist, empfiehlt sich eine Markt-Recherche mit passenden IT-Lösungen. Eine IT-Lösung passt, wenn die wesentlichen Anforderungen erfüllt werden und sie geeignet ist die definierten Projektziele zu erreichen.

Um passende Lösungen zu finden und Zahlen zu erhalten, können Sie auch ähnlich vorgehen wie bei der Angebotseinholung.

Evaluierung von Kosten und Nutzen

Sie evaluieren Kosten und Nutzen für zumindest eine passende IT-Lösung. Wenn Sie Zahlen von mehreren IT-Lösungen haben, dann empfiehlt sich der Vergleich mit mehreren Lösungen, um einen besser abgesicherten Business-Case zu erhalten.

Kosten

• Investitionsaufwand für die Implementierung der IT-Lösung
  • Dienstleistungen bzw. Services
  • Software
  • Hardware
• Investitions-Aufwände im Umfeld der IT-Implementierung
  • externe Ressourcen (Consultant, Freelancer, Rechtsanwalt)
  • Anpassungen anderer IT-Systeme (Schnittstellen)
  • Umbau, Einrichtung, Verkabelung, Erweiterung der IT-Infrastruktur, usw.
• Finanzierungskosten (operative Kosten) für die Investition
  • Leasing
  • Kreditzinsen oder ähnliche Finanzierungskosten
• Aufwände (operative Kosten) für den Betrieb der IT-Lösung über den Nutzungszeitraum
  • Hardware-Wartung
  • Software-Wartung
  • Support und andere externe Services
  • Mehrkosten für eigenes Rechenzentrum (Strom, Miete)
  • Mehrkosten für externe Netzwerkdienste (Internet, VPN)
• Interne Personalaufwände
  • Projektteam
  • Administration und den Betrieb der IT-Lösung

Hier sollten Sie nur Kosten berücksichtigen, welche erst durch die Umsetzung des IT-Projekts verursacht werden. Kosten, welche unabhängig von der Projektumsetzung anfallen, bleiben im Business-Case unberücksichtigt.

Kosteneinsparungen werden im Nutzen-Block berücksichtigt.

Monetäre und nicht-monetäre Nutzen

• Wirtschaftlicher (monetärer) Nutzen über den Nutzungszeitraum
  • Kosteneinsparungen bei Ablöse bestehender Infrastruktur
    • Reduktion Hardware-Wartung
    • Reduktion Software-Wartung
  • Betriebskosten-Einsparungen
    • reduzierter Sachaufwand
    • reduzierter Serviceaufwand (externe Ressourcen)
    • Kostenreduktion für externe Netzwerkdienste (Internet, VPN)
    • Kostenreduktion für eigenes Rechenzentrum (Strom, Miete
  • Vermiedene Schadenskosten
• Reduktion des internen Personalaufwandes
  • Administrationsaufwand für abgelöste Systeme
  • Aufwandsreduktion durch optimierte Abläufe
• Nicht-monetäre Nutzen, wie z.B.
  • Gesteigerte Kunden-Zufriedenheit
  • Gesteigerte Mitarbeiter-Zufriedenheit
  • Erhöhung des Marktwertes, verbessertes Image des Unternehmens bzw. sonstiger Marketing-Nutzen

Interne Personalaufwände können in dieser Bewertung auch weggelassen werden. Eine Zeiteinsparung, welche nicht zu einer Reduktion von Mitarbeitern führt, hat monetär oft keine Auswirkung.

Nutzungszeitraum

Der kalkulierte Nutzungszeitraum sollte der geplanten Nutzungsdauer der IT-Lösung entsprechen. Dieser weicht oft vom Abschreibungszeitraum (Buchhaltung) ab.

Realistische Nutzungszeiträume sind:

• Software: 8 – 12 Jahre
• PCs und Notebooks: 4 Jahre
• Server Hardware: 3 – 5 Jahre
• Netzwerk Hardware (Switches): 5 – 7 Jahre

Vorsicht mit ungewöhnlich langen Nutzungszeiträumen, da damit die Lösung „schöngerechnet“ wird!

Vermiedene Schadenskosten

Hierfür sind die monetären Schäden relevant, welche mit der IT-Lösung vermieden werden können.

Die potenziellen Schäden müssen mit der Eintrittswahrscheinlichkeit über den Nutzungszeitraum multipliziert werden.

Hier ein Beispiel für eine Bewertung:

Bewertung für	Implementierung einer Web-Application-Firewall für die öffentlichen IT-Services eines Unternehmens Geplanter Nutzungszeitraum: 5 Jahre
Risiko	Das Unternehmensportal wird gehackt und die Kundendaten gelangen in unbefugte Hände (Verlust von personenbezogenen Daten)
Auswirkungen	Monetäre Schaden: * Interner Personalaufwand zur Abwicklung des Sicherheitsvorfalles und Information der Betroffenen: geschätzt 60 Personentage, 60.000 EUR * IT-Security-Expertise zur Analyse und Schadensbehebung: Kostenschätzung 10.000 EUR * öffentliche IT-Services (Web-Portal) auf einen sicheren Stand wiederherstellen: Kostenschätzung 10.000 EUR Gesamter monetärer Schaden: 80.000 EUR
Eintritts-wahrscheinlichkeit	Ohne Web-Firewall: 1 x alle 5 Jahre Mit Web-Firewall: 1 x alle 10 Jahre = 0.5 x alle 5 Jahre
Nutzen	40.000 EUR

Bewertung nicht-monetärer Nutzen

Manche Unternehmen versuchen auch nicht-monetäre Nutzen in monetäre Nutzen umzurechnen. Z.B könnte eine gesteigerte Kundenzufriedenheit zu mehr Stammkunden und mehr Umsatz führen.

Für die Nachvollziehbarkeit sollten Sie diese Bewertung so dokumentieren, dass diese auch von anderen später noch nachvollzogen werden kann.

Risiko-Analyse

Für alle möglichen Risiken bewerten Sie die Eintrittswahrscheinlichkeit und das potenzielle Schadensausmaß. Das Produkt dieser zwei Kriterien ergibt das Risikomaß (gering/mittel/hoch):

Wahrscheinlichkeit für Risiko-Eintritt	geringer Schaden	mittlerer Schaden	hoher Schaden
gering	geringes Risiko	mittleres Risiko	mittleres Risiko
mittel	mittleres Risiko	mittleres Risiko	hohes Risiko
hoch	mittleres Risiko	hohes Risiko	hohes Risiko

Um relevante Risiken zu finden, betrachten Sie folgende Bereiche:

• Typische Projektrisiken
• Produktrisiken und technische Risiken (IT-Risiken)
• Rechtliche Risiken
• Folgerisiken – Auswirkungen der Umsetzung des Vorhabens

Daraus lassen sich z.B. folgende konkreten Risiken ableiten:

• Projekt-Risiken
  • Erwartete Nutzen treten nach der Implementierung nicht ein
  • Die Implementierung der IT-Lösung scheitert
  • Kosten höher als geplant
  • Dauer länger als geplant
• Produkt-Risiken
  • Die IT-Lösung entspricht nicht den Anforderungen
  • Die IT-Lösung wird von den Anwendern nicht akzeptiert
• Rechtliche Risiken
  • Es kommt zur Verletzung gesetzlicher oder vertraglicher Pflichten (Datenschutz etc.)
• Folge-Risiken
  • Es kommt zu negativen Auswirkungen durch Datendiebstahl (Einbruch in das IT-System)
  • Datenverlust führt zu negativen Auswirkungen (technisches und menschliches Versagen)
  • Der Betriebsaufwand ist höher als geplant
  • Die IT-Lösung führt zu einer Verlangsamung der betrieblichen Abläufe oder erhöhtem administrativen Aufwand
  • Betriebseinschränkungen resultieren aus dem Ausfall des IT-Systems.

Die BSI IT-Grundschutz-Kataloge sind eine Sammlung an Methoden, Prozesse und Checklisten für Informationssicherheit. Diese können Sie nutzen, um mögliche Risiken zu evaluieren.

Definieren Sie Maßnahmen zur Minderung aller hohen Risiken: Ziel ist, alle hohen Risiken durch Maßnahmen in mittlere oder geringe Risiken „umzuwandeln“. Diese Maßnahmen können Auswirkungen auf Aufwand und Nutzen des Projekts haben, welche Sie somit dort berücksichtigen sollten.

Die monetäre Auswirkung von Risiken wird im Kapitel Nutzen behandelt.

Bewertung des Vorhabens

Investitionsrechnung

Es gibt in der Betriebswirtschaft mehrere Methoden zur Berechnung der monetären Wirtschaftlichkeit einer Investition (Wikipedia). Generell kann man sagen, dass für eine IT-Lösung mit langem Nutzungszeitraum die Berechnungsmethoden mit Berücksichtigung der kalkulatorischen Zinsen besser geeignet sind.

Welche Methode die für Sie passende ist klären Sie am besten mit Ihrem Controller, Buchhalter bzw. Steuerberater.

Beurteilung

Neben der monetären Bewertung (Investitionsrechnung) sollten auch die nicht-monetären Nutzen und Risiken in die Beurteilung einfließen.

Sie sollten das Bewertungsergebnis mit Hinblick auf die Zuverlässigkeit der verwendeten Zahlen betrachten. Bei neuartigen Vorhaben fehlen die Erfahrungen und die Zahlen sind selten mehr als eine grobe Schätzung. Manche Start-Ups haben gezeigt, dass anfangs unrentable Projekte später doch noch sehr erfolgreich sein können. Allerdings muss Ihnen das Risiko dabei bewusst sein und Durchhaltevermögen ist gefordert.

Mehrere Business-Case-Varianten für bessere Entscheidungen

Bewertung von „Nichts ändern“

Gerade bei wirtschaftlich riskanten Projekten sollte ein zweiter Business Case unter der Annahme „Das Vorhaben wird nicht umgesetzt“ erstellt werden. Das ist deshalb interessant, weil die Nicht-Umsetzung Folgen haben könnte, z.B. dass Ihr Unternehmen gegenüber dem Mitbewerb an Boden verliert.

Die Evaluierung könnte aber auch ergeben, dass derzeit noch mit keinen negativen Auswirkungen zu rechnen ist. Damit können Sie mit der Umsetzung noch etwas warten und das Vorhaben nach einiger Zeit neu bewerten.

Unterschiedliche Lösungen

Bei mehreren unterschiedlichen IT-Lösungen sollten Sie für jede Lösung einen eigenen Business Case erstellen.

Best/Worst/Realistic Cases

Die Bewertung von Best/Worst/Realistic Cases ist die Lösung für das Problem, dass die Zahlen für die geplante Lösung oft nur geschätzt sind und besser durch einen Min/Max-Bereich abgebildet werden sollten.

Damit ergeben sich folgende Szenarien:

• Best Case: maximaler Nutzen, minimale Kosten und Risiko
• Worst Case: minimaler Nutzen, maximale Kosten und Risiko
• Realistic Case: realistische Einschätzung von Nutzen, Kosten und Risiko (Mittelweg der Best/Worst Cases)

Entwicklungsprojekte, wirtschaftlich riskante Projekte

Bei wirtschaftliche riskanten Projekten ist es sinnvoll eine agile Vorgehensweise zu wählen:

• Kleine Schritte machen
• Nach jedem Schritt das Ergebnis prüfen
• Das Projekt abbrechen, wenn ein Desaster absehbar wird. Dafür die Möglichkeit der vorzeitigen Beendigung in den Verträgen mit externen Parteien vereinbaren.

Weiteres dazu finden Sie unter Agiles Projektmanagement.