Weg von der Trial-and-Error-Methode
Itil V2 hatte seinen Ursprung in den dokumentierten Erfahrungen aus 20 Jahren prozessgesteuertem IT-Betrieb in Großbritannien. Diese Best-Practices-Sammlung für die IT-Operations musste für den jeweiligen Nutzer angepasst werden - oft mit erheblichem Aufwand. Die damit verfolgten Ziele würden sich unter Umständen auch durch ein gepflegtes Chaos in den IT-Operations erreichen lassen - sofern das Unternehmen Zeit und Geld genug hat, eine gewisse Verlässlichkeit und Transparenz mit Hilfe der Trial-and-Error-Methode zu erreichen.
Mit dem V3-Modell hingegen ist es möglich, den Service-Design-Packages alle Anforderungen an den Betrieb mitzugeben und sie darüber hinaus nach gewissen Zyklen zu überwachen und zu verbessern. Zentrale Belege dafür sind die in Itil V3 unterstützte Dokumentation von IT und deren Veränderung sowie die daraus erwachsende Notwendigkeit, ein Wissens-Management im IT-Betrieb aufzubauen. Ableitbares Wissen über die Inhalte und Zusammenhänge von IT-Services bedeutet das Ende des Chaos.
Sechs Thesen zum Service-Management
Die Itil-Kritiker sollten sich einmal fragen, welche Good Practices sie eigentlich hervorzaubern können, um Itil V3 zu ersetzen. Dazu wäre es sinnvoll, über folgende sechs Thesen nachzudenken.
-
Die IT ist nur so gut, wie sie dokumentiert wurde.
-
Die Daten repräsentieren den Wert des Unternehmens, ein Betriebsmodell muss dieser Tatsache Rechnung tragen.
-
Die Idee des verantwortlichen Handelns gehört in die Köpfe der IT-Mitarbeiter.
-
Form follows function: Jede IT-Innovation muss in ein Betriebsmodell passen
-
Wer Management-Verantwortung nicht auf konkrete IT-Service-Aktivitäten herunterbrechen kann, wird Probleme bekommen.
-
Jedes Regelwerk ist gut, wenn es zu den Ideen eines Betriebsmodells passt und ein externer Prüfer sich darin wieder findet.
Itil V3 enthält Zugänge und Belege zu jeder dieser Thesen. Kein anderes Vorgehensmodell ist in der Lage, in so großem Umfang top down und bottom up zu agieren, um dem IT-Service-Management eine Daseinsberechtigung zu geben. So kann Itil V3 bei der Steuerung helfen - vorausgesetzt, das Unternehmen weiß, von welchen externen Anforderungen es angetrieben wird.
Die Compliance-Frage
Welchen Anforderungen das Management eines Unternehmens hinsichtlich seiner IT gehorchen muss, lässt sich nicht pauschal beantworten. Das hängt vom Land, der Branche und der Rechtsform ab. Compliant zu den jeweiligen Anforderungen zu sein bedeutet aber nicht, alle möglichen Regelungen einzuhalten, die eventuell auch noch mit IT in diesem Unternehmen zu tun haben könnten. Von Beraterseite wird den IT-Managern immer wieder Angst gemacht mit Gespenstern, vor denen sie sich nicht fürchten müssen. Hingegen werden die konkreten Hausaufgaben - etwa nach Paragraf 91 des Aktiengesetzes - selten erledigt.
Allen rechtlichen Anforderungen gemeinsam ist der in These 1 formulierte Grundsatz: Die IT ist nur so gut, sprich: prüfbar und Management-fähig, wie sie dokumentiert ist. Darüber hinaus muss sich das Management-System um die konkrete Vorsorge gegen IT-Risiken kümmern. Zu schützen sind dabei vor allem die Daten des Unternehmens, weniger die austauschbare IT-Infrastruktur (These 2).
Die Entwicklung, die die Gesetzgebung in den vergangenen Jahren genommen hat, belegt die Gültigkeit der Thesen 1 und 2 sowie 5: Wann immer externe Prüfer zufrieden zu stellen oder Risiken zu minimieren waren, hing der Erfolg in hohem Maße davon ab, dass die IT die Zusammenhänge der Configuration Items für Services und Geschäftsprozesse sowie deren Ausfallrisiken aufzeigen konnte. Darüber hinaus sind die konkreten Aufgaben in der Risikovorsorge zu dokumentieren, zu delegieren und zu organisieren - einschließlich des Aufbaus eines internen Kontrollsystems.