Good Practices versus gepflegtes Chaos

21.05.2008
Von Jürgen Dierlamm 
Warum das Regelwerk Itil für die meisten Unternehmen auch künftig unverzichtbar ist.

Wohl kaum ein Thema hat die am IT-Service-Management Interessierten in den vergangenen zwölf Monaten mehr bewegt als die dritte Version der IT Infrastructure Library (Itil). Neben begeisterten Befürwortern gibt es auch entschiedene Kritiker oder sogar Gegner des IT-Management-Standards (siehe beispielsweise "Wohin steuert Itil?" unter www.computerwoche.de/1858583).

Im Zusammenhang mit Itil beziehungsweise IT-Service-Management nach Itil wird oft von "Best Practices" für die Organisation der IT-Prozesse im Betrieb gesprochen. Ziel ist ein Management-System, mit dem der IT-Provider in der Lage ist, den Betrieb, vor allem die IT-Services, zuverlässig zu steuern.

Der Begriff Management-System ist allerdings vorbelastet: Geprägt wurde er von QM-Systemen (Qualitäts-Management) wie etwa ISO 9000:2000. Erst mit der Gestaltung der Norm BS15000 beziehungsweise mit ISO/IEC 20000:2005 wurde Ende 2005 aus der Best-Practices-Sammlung Itil Version 2 (V2) ein formell anerkanntes Management-System.

Itil V3 hat diesen Ansatz konsequent aufgegriffen, vor allem mit den Büchern "Service Strategy" und "Service Design". Es geht nicht mehr nur um Betriebsprozesse, sondern um die Gestaltung, Steuerung und Verbesserung von IT-Services als Ganzes.

Die meisten Unternehmen begnügen sich mit zwei Bänden

Das wäre auch mit der Itil V2 erreichbar gewesen. Aber dazu hätte man alle elf Bücher lesen und anwenden müssen. Die meisten Unternehmen haben sich aber mit den Bänden Support und Delivery begnügt. Das ist sicher auch dem Lizenzwesen geschuldet, das sich inhaltlich auf den bisherigen Itil-Kern, also das IT-Service-Management, beschränkte. Die Personenzertifikate waren bislang auch die "Cash Cow" von Itil - mit zuletzt mehr als 20 000 Foundation- und über 1000 Service-Manager-Zertifikaten im Jahr.

Für die Version 3 ist nun das ganze Werk zu lesen

Für die Personenzertifikate nach Itil V3 ist das ganze Werk zu lesen. Das sind mehr als 1200 Seiten Text. Davor schrecken viele zurück. So kommt es, dass sich die Mehrzahl der Unternehmen mit der Einführung von Itil V3 überfordert sieht. Unterstützt wird diese Sicht dadurch, dass nach V3 über 35 einzelne Prozesse gestaltet werden sollen, wo man doch bisher glaubte, mit elf Prozessen auszukommen.

Aber dieser Unterschied beruht auf einem Trugschluss. Die meisten Steuerungs- und Supportprozesse sind ansatzweise bereits in den Unternehmen vorhanden, doch häufig unter anderen Bezeichnungen oder ohne echte Prozessverantwortung. Irgendjemand kümmert sich bereits um das Supplier-Management oder das Daten-Management. Die Notwendigkeit anderer Prozesse ergibt sich aus dem gesunden Menschenverstand oder wegen rechtlicher Anforderungen.

Mehr Sicherheit für den IT-Anwender

Der Begriff Good Practices ist derzeit von den Compliance-Anforderungen der internationalen Pharma- und Lebensmittelbranche vorgeprägt. Mit ihren GxP-Regularien will die US-amerikanische Food and Drug Administration (FDA) die Verbraucher schützen, damit sie der Produktqualität vertrauen können. Dieser Grundgedanke lässt sich auf die IT-Services übertragen: Die User und deren Management sollten in der Lage sein, sich auf die IT-Qualität zu verlassen - vor allem im Hinblick auf die Funktionstüchtigkeit der Geschäftsprozess-Unterstützung.

In Itil V3 ist ein Management-System beschrieben, das den Anforderungen an Steuerung (Governance), Konformität (Compliance) und Transparenz genügt, wie sie in den meisten Ländern und Branchen gefordert sind.

Zwar merkt man dem Werk noch an, dass unterschiedliche Autoren daran mitgewirkt haben. Doch ist tatsächlich ein Lifecycle für Services und Prozesse erkennbar, aus dem sich Governance- und Compliance-Anforderungen der Kunden jederzeit ableiten lassen.

Itil V2 hatte seinen Ursprung in den dokumentierten Erfahrungen aus 20 Jahren prozessgesteuertem IT-Betrieb in Großbritannien. Diese Best-Practices-Sammlung für die IT-Operations musste für den jeweiligen Nutzer angepasst werden - oft mit erheblichem Aufwand. Die damit verfolgten Ziele würden sich unter Umständen auch durch ein gepflegtes Chaos in den IT-Operations erreichen lassen, sofern das Unternehmen Zeit und Geld genug für die Trial-and-Error-Methode hat.

Mit dem V3-Modell hingegen ist es möglich, den Service-Design-Packages alle Anforderungen an den Betrieb mitzugeben, sie nach gewissen Zyklen zu überwachen und sie zu verbessern. Zentrale Belege dafür sind die in Itil V3 unterstützte Dokumentation von IT und deren Veränderung sowie die daraus erwachsende Notwendigkeit, ein Wissens-Management im IT-Betrieb aufzubauen.

Mehr zum Thema

Sechs Thesen zum Service-Management

Die Itil-Kritiker sollten sich einmal fragen, welche Good Practices sie eigentlich hervorzaubern können, um Itil V3 zu ersetzen. Dazu wäre es sinnvoll, über folgende Thesen nachzudenken.

  1. Die IT ist nur so gut, wie sie dokumentiert wurde.

  2. Die Daten sind der Wert des Unternehmens, jedes Betriebsmodell muss dem Rechnung tragen.

  3. Die Idee verantwortlichen Handelns gehört in die Köpfe der IT-Mitarbeiter.

  4. Form follows function: Jede IT-Innovation muss in ein Betriebsmodell passen

  5. Management-Verantwortung ist auf IT-Service-Aktivitäten herunterzubrechen.

  6. Jedes Regelwerk ist gut, wenn sich ein externer Prüfer darin wiederfindet.

Itil V3 enthält Zugänge und Belege zu jeder dieser Thesen. Kein anderes Vorgehensmodell ist in der Lage, in so großem Umfang top down und bottom up zu agieren, um dem IT-Service-Management eine Daseinsberechtigung zu geben. So kann Itil V3 bei der Steuerung helfen - vorausgesetzt, das Unternehmen weiß, von welchen externen Anforderungen es angetrieben wird.

Die Compliance-Frage ruft Gespenster hervor

Welchen Anforderungen das Management eines Unternehmens hinsichtlich seiner IT gehorchen muss, lässt sich nicht pauschal beantworten. Das hängt vom Land, der Branche und der Rechtsform ab. Compliant zu den jeweiligen Anforderungen zu sein bedeutet aber nicht, alle möglichen Regelungen einzuhalten, die eventuell auch noch mit IT in diesem Unternehmen zu tun haben könnten. Von Beraterseite wird den IT-Managern immer wieder Angst gemacht mit Gespenstern, vor denen sie sich nicht fürchten müssen. Hingegen werden die Hausaufgaben - etwa nach Paragraf 91 des Aktiengesetzes - selten erledigt.

Der externe Prüfer muss zufrieden sein

Allen rechtlichen Anforderungen gemeinsam ist der in These 1 formulierte Grundsatz: Die IT ist nur so gut, sprich: prüfbar und Management-fähig, wie sie dokumentiert ist. Darüber hinaus muss sich das Management-System um die konkrete Vorsorge gegen IT-Risiken kümmern. Zu schützen sind dabei vor allem die Daten des Unternehmens, weniger die austauschbare IT-Infrastruktur (These 2).

Die Entwicklung, die die Gesetzgebung in den vergangenen Jahren genommen hat, belegt die Gültigkeit der Thesen 1 und 2 sowie 5: Wann immer externe Prüfer zufrieden zu stellen oder Risiken zu minimieren waren, hing der Erfolg in hohem Maße davon ab, dass die IT die Zusammenhänge der "Configuration Items" für Services und Geschäftsprozesse sowie deren Ausfallrisiken aufzeigen konnte. Darüber hinaus sind die konkreten Aufgaben in der Risikovorsorge zu dokumentieren, zu delegieren und zu organisieren - einschließlich des Aufbaus eines internen Kontrollsystems.

Nun sind einige Berater der Ansicht, dass ein IT-Outsourcing hier der Stein der Weisen sei, weil der Service-Provider über die fast schon obligatorischen Itil-Ansätze alle Anforderungen abdecke. Das ist ein Irrtum. Denn steuern muss das auslagernde Unternehmen als "retained organization" die IT selbst. Und dafür können die Itil-V3-Bände "Service Strategy", "Service Design" sowie "Contiual Service Improvement" Hilfestellung leisten.

Übersehen wird häufig auch, dass das IT-Outsourcing Compliance-Anforderungen an das Management des IT-Providers mit sich bringt, sofern dieser als eigenständige juristische Person des privaten Rechts agiert. So muss er beispielsweise die Bestimmungen der Bankenaufsicht einhalten, die er mit dem Outsourcing-Vertrag übertragen bekommt. Zudem ist der Vertrag selbst den Aufsichtsbehörden anzuzeigen.

Es gibt kaum Alternativen zu Itil

Wer nun partout auf den Itil-Ansatz verzichten will, hat wenig Alternativen - wenn man mal vom gepflegten Chaos absieht. Ein möglicher Ansatz wäre vielleicht das Cobit-Modell (Control Objectives for Information and Related Technology). Dabei handelt es sich um einen IT-Governance-Ansatz aus Sicht der IT-Revision oder der externen Prüfer. Zudem gibt es herstellerorientierte beziehungsweise branchenspezifische Regelwerke wie das Microsoft Operations Framework (MOF) oder die Enhanced Telecom Operations Map (eTOM) für die TK-Branche. Wenn man diese Ansätze näher betrachtet, ist dort häufig schon Itil enthalten, so beispielsweise in MOF oder Cobit. Einige Ansätze umfassen hingegen nicht alle Bestandteile eines IT-Service (People, Processes, Products, Partners).

Wie die These 6 aufzeigt, spielt es eigentlich keine Rolle, für welches Modell sich ein Unternehmen entscheidet. Wichtig ist nur, dass sich ein Prüfer für die Einhaltung externer Anforderungen darin zurechtfindet, also die Risiken abgesichert weiß. Allerdings ist es einem Wirtschaftsprüfer nicht zuzumuten, dass er die etwa 20 anerkannten Vorgehensmodelle für das IT-(Service-) Management präsent hat und anwenden kann.

So ist beispielsweise hinsichtlich der GOBS (Grundsätze ordnungsgemäßer Buchführungssysteme) nirgends hinterlegt, dass sie nur mit einem bestimmten Regelwerk eingehalten werden können. Zur Not ginge es auch ohne. Aber Cobit und Itil sind hier nun einmal die Good Practices mit der weitesten Verbreitung. Deshalb kommen sie als einzige Modelle in Frage.

Sinnvoll ist ein ergänzendes Organisationszertifikat

Noch ein paar Sätze zur These 3, also zum verantwortlichen Handeln, das in den Köpfen der Mitarbeiter verankert werden muss.. Ein Unternehmen erzielt Compliance sicher nicht allein dadurch, dass 20 seiner 200 IT-Mitarbeiter zertifizierte Itil-Service-Manager sind und weitere 120 über eine Itil-Foundation-Zertifizierung verfügen. Aber immerhin zeigt dies, dass hier Bewusstsein für die IT-Services und das Modell der Risikovorsorge geschaffen wurde.

Selbstverständlich ist das rettende Ufer nicht über die Menge der Personenzertifikate zu erreichen, sondern über die Transparenz des Steuerungsmodells. Ein ergänzendes Organisationszertifikat wäre deshalb hilfreich. Und Itil ist das einzige Modell, das ein solches Zertifikat mitbringt -wenn auch über den Umweg von ISO/IEC 20000.

Ob ein Unternehmen sein Steuerungsmodell als Management-System oder aber seine Mitarbeiter zertifizieren lässt, liegt letztlich in seiner eigenen Entscheidung. Zertifikate belegen nur die Beschäftigung mit einem Thema, die erfolgreiche Umsetzung "testieren" letztlich die IT-Kunden und die Prüfer.

Erfolgreiches IT-Management schließt eine gewisse Innovationsfreude ein (These 4). Itil hilft dabei, denn es ist das einzige Modell, mit dem sich Projekte über Service-Pipeline, Service-Portfolio, Service-Transition und Change-Management strukturiert betreiben lassen.

Am Steuerrad stehen die Anwender selbst

An das IT-Service-Management werden die unterschiedlichsten Anforderungen herangetragen - sei es vom Gesetzgeber oder vom Kunden.
An das IT-Service-Management werden die unterschiedlichsten Anforderungen herangetragen - sei es vom Gesetzgeber oder vom Kunden.
Foto: Jürgen Dierlamm
Schon in Itil V2 war das Strategic Alignment Model (SAM) etabliert. Es dient zur Integration von Business und IT.
Schon in Itil V2 war das Strategic Alignment Model (SAM) etabliert. Es dient zur Integration von Business und IT.

Mein Fazit lautet deshalb: Sowohl die internen und externen IT-Provider als auch die auslagernden Unternehmen werden auf Itil nicht verzichten können. Es gibt kein umfangreicheres Steuerungsmodell, das bis in die Tiefen des IT-Betriebs reicht und allgemein anerkannt ist. Um in der üblichen Bildersprache von Itil V3 zu bleiben: Das Fahrwasser gibt der Gesetzgeber vor, und Itil bietet Ihnen das Steuerrad. Manövrieren müssen Sie allerdings immer noch selbst. (qua)

Hier lesen Sie ...

warum viele Unternehmen vor Itil V3 zurückschrecken; was der Begriff Good Practices bedeutet; inwiefern Itil auch im Outsourcing-Fall wichtig ist.