ISO 20000 ist schon die halbe Miete

27.05.2008
Von Gerry Wallner  und Klaus Dettmer 
Wer die Norm umsetzt, hat die Voraussetzungen für Itil V3 zum Großteil bereits erfüllt.

Never change a running system. Gemäß dieser Devise schrecken viele Unternehmen, die ihre IT bereits an Itil (IT Infrastucture Library) ausgerichtet haben, vor der Auseinandersetzung mit der aktuellen Version 3 zurück. Welchen Nutzen die neue Version hat, wird jedoch deutlicher, wenn sich das Unternehmen zusätzlich mit ISO 20000 beschäftigt. Dieser international anerkannte Standard wurde geschaffen, um einen objektiven Nachweis für die Implementierung eines IT-Service-Managements erbringen zu können. Er erleichtert die Ausrichtung an Itil V3 und macht zugleich deutlich, für welche Unternehmen sie überhaupt sinnvoll ist.

Als Richtlinie für strukturiertes und systematisches IT-Service-Management stand Itil in den vergangenen Jahren bei vielen Unternehmen ganz oben auf der To-do-Liste. Das bestätigt auch eine Studie, die das ITSM Institute 2007 in Zusammenarbeit mit Serview und iET Solutions erarbeitet hat. Demnach würden 99 Prozent der Unternehmen, die ihre IT an Itil (V1 oder V2) ausgerichtet haben, den Quasi-Standard jederzeit wieder zur Grundlage für ihre IT-Prozesse machen.

Intransparenter V3-Nutzen

Quelle: Beck et al. Der Service-Lifecycle ist die hauptsächliche Neuerung in der Itil-Version 3.
Quelle: Beck et al. Der Service-Lifecycle ist die hauptsächliche Neuerung in der Itil-Version 3.

Hingegen betrachten viele Unternehmen die jüngste Itil-Version (V3) zurückhaltend. Der Nutzen der Änderungen ist für viele nicht transparent. Im Wesentlichen liegen die Neuerungen in der Ausrichtung am Service-Lifecycle sowie in einer höheren Gewichtung der kontinuierlichen Prozessoptimierung.

Zudem zielt Itil V3 auf eine bessere Integration in Standards wie ISO/IEC 20000, Six Sigma, CMMI und Cobit. Wer sich mit Itil V3 beschäftigt, kommt inhaltlich also auch mit ISO 20000 in Berührung. Umgekehrt ist die Itil-V3-Implementierung eine gute Ausgangslage für eine ISO-20000-Zertifizierung.

Hier lesen Sie ...

  • welche Beziehung zwischen Itil V 3 und der ISO-Norm 20000 besteht;

  • was die Norm von der Best-Practices-Sammlung unterscheidet;

  • warum sich Unternehmen mit ISO 20000 beschäftigen sollten;

  • für welche Unternehmen das notwendig beziehungsweise sinnvoll ist.

Die Integration in ISO 20000 macht Itil nicht nur für IT-Abteilungen, sondern auch für Marketing und Vertrieb interessant: IT-Dienstleister haben die ISO-20000-Zertifizierung bereits als wichtiges Instrument zur Kundenbindung und -gewinnung erkannt, denn sie gilt als Nachweis für die Implementierung von IT-Service-Management-Prozessen, während eine Zertifizierung nach Itil V3 für Unternehmen nicht möglich ist.

Veröffentlicht wurde ISO 20000 Ende 2005. Schon damals sorgten die Themen für Aufmerksamkeit, die sich nun auch in Itil V3 wiederfinden. Hierzu gehört die kontinuierliche Verbesserung der Servicequalität (Continual Service Improvement). Im Gegensatz zu den älteren Itil-Versionen wird die Prozessoptimierung jetzt in einem eigenen Buch behandelt und erhält somit einen höheren Stellenwert als bisher.

Weniger Raum für Diskussionen

Itil V3 kann jedoch lediglich Richtlinien vorgeben. Hingegen konkretisiert ISO 20000 die Anforderungen an einen nachweisbaren, kontinuierlichen Verbesserungsprozess, der sich sowohl auf die einzelnen Prozesse als auch auf das gesamte IT-Service-Management-System bezieht. Mit diesen definierten Anforderungen bekommt die Implementierung der Prozesse ein klares Ziel. Die Folge: Es gibt weniger Raum für "philosophische Diskussionen", denn eine Norm lässt weniger Freiheiten als eine Best-Practices-Sammlung.

Eine "Itil-Konformität" im eigentlichen Sinn wird es nie geben. Itil beschreibt Best Practices, die jedes Unternehmen für sich selbst prüfen, anpassen und umsetzen muss. Deshalb ist die Zertifizierung nach dem ISO-20000-Standard die einzige Möglichkeit für einen objektiven Nachweis darüber, dass IT-Service-Management-Prozesse im Unternehmen etabliert und gelebt werden. Einen Nachweis, wohlgemerkt, den auch ein unabhängiger Prüfer nachvollziehen kann.

Großen Wert legt ISO 20000 darauf, dass Planung und Implementierung des IT-Service-Managements einem kontinuierlichen Verbesserungsprozess unterliegen. In diesem Punkt decken sich die Vorgaben der Norm mit den Absichten der Itil-V3-Autoren.

Eine Zertifizierung nach ISO 20000 setzt die vollständige Implementierung aller Itil-Prozesse voraus. Von daher eignet sie sich nicht für jedes Unternehmen. Hilfreich ist sie auf jeden Fall für Firmen, die in qualitätskritischen Branchen wie der Automobilindustrie tätig sind, sowie für Unternehmen, die einen Nachweis ihrer leistungsfähigen IT-Service-Management-Prozesse benötigen - sei es für Versicherungen, Wirtschaftsprüfer oder Banken (Basel II). Auch Anforderungen des Gesetzgebers (EuroSOX) sind ein Grund, sich nach ISO 20000 zertifizieren zu lassen.

Was messbar ist, gibt Aufschluss

ISO 20000 enthält verbindliche und konkrete Anforderungen, deren Erfüllung nachgewiesen werden muss. Wenn ein Unternehmen diesen Vorgaben nachkommt, verfügt es nicht nur über Mess- und Vergleichswerte zur Kontrolle der eigenen IT-Prozesse, sondern auch über die ideale Grundlage für die geforderten Nachweise.

Darüber hinaus profitieren Unternehmen in vielerlei Hinsicht. Sie gewinnen:

  • mehr Vertrauen der Kunden,

  • eine klare Ausrichtung der IT-Services an der Unternehmensstrategie,

  • Transparenz in der Darstellung der IT-Leistung und

  • einen Nachweis über die Erfüllung branchenspezifischer Compliance-Anforderungen.

Mit ISO 20000 lassen sich die in Itil V3 angestrebte Verbesserung der Servicequalität und der Wertbeitrag der IT für die Geschäftsprozesse messbar machen. Und bekanntlich gibt nur das, was gemessen werden kann und vergleichbar ist, wirklich Aufschluss über eine Leistung und deren Verbesserungen. (qua)

Tipps zur ISO-20000-Zertifizierung

  1. Geschäftsleitung und Topmanagement müssen die Initiative unterstützen. Wenn ein aufwändiges Projekt neben dem Tagesgeschäft zu bewältigen ist, und das auch noch mit zu knappen Ressourcen, wird es höchstwahrscheinlich scheitern.

  2. Die Motivation der Mitarbeiter ist essenziell. Wer immer in das ISO-20000-Vorhaben involviert ist, muss die Zertifizierung als sein persönliches Ziel verstehen.

  3. Notwendig ist eine eingehende Risiko-analyse im Vorfeld. Ein so umfangreiches Projekt wie eine ISO-20000-Zertifizierung wird nie unbemerkt von Kunden und Partnern über die Bühne gehen. Deshalb gilt es, rechtzeitig abzuschätzen, welche Schwierigkeiten auftreten könnten, und Gegenmaßnahmen zu erarbeiten.

  4. Die Prozesse sind zu operationalisieren! Von Anfang an muss sich die Projektleitung überlegen, wie die neu definierten oder verbesserten Prozesse gelebt werden können und welche Maßnahmen dafür nötig sind. Eine Rolle spielt auch die Auswahl der richtigen IT-Service-Management-Software.

  5. Die Zertifizierung ist nur der erste Schritt. Sie bedeutet eine Investition in die Zukunft des Unternehmens, die sich mittel- und langfristig in gesteigerter Qualität und Kundenzufriedenheit auswirkt. Dazu müssen die Ziele aber auch nach erreichter Zertifizierung weiter angestrebt werden.