Auch Outsourcing will gesteuert sein
Nun sind einige Berater der Ansicht, dass ein IT-Outsourcing hier der Stein der Weisen sei, weil der Service-Provider über die fast schon obligatorischen Itil-Ansätze alle Anforderungen abdecke. Das ist ein Irrtum. Denn steuern muss das auslagernde Unternehmen als Retained organization (siehe auch: "Kosten des Outsourcing") die IT schon noch selbst. Und dafür können die Itil-V3-Bände "Service Strategy", "Service Design" sowie "Contiual Service Improvement" Hilfestellung leisten.
Übersehen wird häufig auch, dass das IT-Outsourcing Compliance-Anforderungen an das Management des IT-Providers mit sich bringt, sofern dieser als eigenständige juristische Person des privaten Rechts agiert. So muss er beispielsweise die Bestimmungen der Bankenaufsicht einhalten, die er mit dem Outsourcing-Vertrag übertragen bekommt. Zudem ist der Vertrag selbst den Aufsichtsbehörden anzuzeigen.
Foto: Jürgen Dierlamm
Das Schaubild "Service-Management nach Itil V3" zeigt die externen Anforderungen für ein IT-Service-Management", wie sie in Itil V3 erfasst sind. Vom Gesetzgeber sind hier allerdings nur Basel II, SOX und die 8. EU Richtlinie (siehe auch: "Sind Sie auf EuroSOX vorbereitet?") gefordert. Die anderen Anforderungen sind entweder intrinsisch oder vom Kunden vorgegeben.
Kaum Alternativen zu Itil
Wer nun partout auf den Itil-Ansatz verzichten will, hat wenig Alternativen - wenn man mal vom gepflegten Chaos absieht. Ein möglicher Ansatz wäre vielleicht das Cobit-Modell (Control Objectives for Information and Related Technology). Es liefert einen IT-Governance-Ansatz aus Sicht der IT-Revision oder der externen Prüfer. Zudem gibt es herstellerorientierte beziehungsweise branchenspezifische Regelwerke wie das Microsoft Operations Framework (MOF) oder die Enhanced Telecom Operations Map (eTOM) für die TK-Branche. (Siehe auch das an der Universität Giessen erstellte Arbeitspapier "IT-Service-Management - Referenzmodelle im Vergleich"). Wer diese Ansätze näher betrachtet, wird finden, dass dort entweder schon Itil enthalten ist (MOF, Cobit) oder dass der Ansatz nicht alle Bestandteile eines IT-Service (People, Processes, Products, Partners) umfasst.
Wie die These 6 aufzeigt, spielt es eigentlich keine Rolle, für welches Modell sich ein Unternehmen entscheidet. Wichtig ist nur, dass sich ein Prüfer für die Einhaltung externer Anforderungen darin zurechtfindet, also die Risiken abgesichert weiß. Allerdings ist es einem Wirtschaftsprüfer nicht zuzumuten, dass er die etwa 20 anerkannten Vorgehensmodelle für das IT-(Service-)Management präsent hat und anwenden kann. Vielmehr ist hier auf Good Practices zu referenzieren.
So ist beispielsweise hinsichtlich der GOBS (Grundsätze ordnungsgemäßer Buchführungssysteme) nirgends hinterlegt, dass sie nur mit einem bestimmten Regelwerk eingehalten werden können. Zur Not ginge es auch ohne. Aber Cobit und Itil sind hier nun einmal die Good Practices mit der weitesten Verbreitung. Deshalb kommen sie als einzige Modelle in Frage.