Foto: Fotolia, Stefan Rajewski
Dem IT-Service-Management (ITSM) haftete lange Zeit ein verstaubtes Image an. Es fehlte einfach an spannenden Stories, wie sie die Hard- und Softwaresysteme mit immer neuen Funktionen und Leistungsstärken vorweisen können. Erst seit einigen Jahren ist das anders geworden. Plötzlich legte die Entwicklung an Dynamik zu: In den Unternehmen wurde zunehmend deutlich, dass die von den Geschäftsprozessen angestrebten Ergebnisse immer stärker und unmittelbarer von verlässlichen IT-Leistungen und funktionierenden IT-Prozessstrukturen anhängen.
Ein wesentlicher Impulsgeber für diese deutliche Wandlung verbirgt sich in dem Regelwerk Itil (IT Infrastrukcture Libary): Mit ihm hat die Prozessorientierung in den IT-Organisationen Einzug gehalten, und dadurch ließen die Steuerungsmöglichkeiten erheblich verbessern. Dieser Bewusstseinsumschwung war allerdings auch dringend erforderlich, weil Nutzer in den Fachbereichen - inzwischen als Kunden bezeichnet - immer höhere Ansprüche an die IT-Unterstützung stellen. Um ihre eigene Produktivität zu erhöhen, fordern sie beispielsweise zunehmend schnellere Reaktionszeiten oder verlässlichere Dienste.
Mittels Itil sind die Grundstrukturen geschaffen worden, um diesen Ansprüchen gerecht zu werden: Der "Service" gilt nun als das zentrale Objekt aller Überlegungen, Aktivitäten und Prozesse des internen oder externen IT-Providers. Dabei müssen sich die Provider daran messen lassen, wie hoch die Qualität ihrer Leistungen in der Wahrnehmung der Kunden ist. Zu den vertraglich vereinbarten Kriterien gehören typischerweise Funktionalität, Verfügbarkeit, Kapazität, Kontinuität und Sicherheit.
Wird die Itil-Idee konsequent umgesetzt, müssen sich in der Folge alle IT-bezogenen Aktivitäten in allen Lebenszyklusphasen eines Services konsequent an den kundenspezifischen Anforderungen und den damit verbundenen Anforderungen der Geschäftsfelder ausrichten. Denn wenn die Benutzer mit dem Service zufrieden sind, hat der Provider im Kundensinne gute Arbeit geleistet und wird dafür entsprechend entlohnt. So jedenfalls die ITil-Sicht.
Wer sind die Stakeholder?
Allerdings stellt sich inzwischen die Frage, ob diese strikte Fokussierung auf den Kunden und seine Bedürfnisse eigentlich reicht. Muss man nicht im Hinblick auf IT-Services den Blick auch auf weitere Verantwortliche im Unternehmen ("Stakeholder" genannt) lenken? Schließlich sind die Benutzer zwar die direkten Leistungsnehmer, aber nicht die einzigen Nutznießer von IT-Services. Daneben gibt es weitere Interessensgruppen, die Anforderungen und Erwartungen an einen Service und die mit ihm verbundenen Prozesse stellen. Die IT-Organisationen leben ja keineswegs unabhängig von der strategischen Orientierung des Unternehmens. Diese Strategien müssen sich demzufolge auch operativ in der Definition und Ausrichtung der IT-Prozesse wiederfinden.
Zu den weiteren Stakeholdern zählen etwa das zentrale Security- und Risk-Management, das IT-Controlling, der CIO, der Leiter IT Operations und der Leiter Application Management. Sie haben jeweils ihre eigenen Anforderungen:
-
Der CIO benötigt effiziente und verlässliche Bereitstellungsprozesse für die aktuellen Services, außerdem eine agile Serviceorganisation mit einem dynamischen Servicekonzept für neue oder modifizierten Diensten, so dass er verschärfte Time-to-Market-Ansprüche erfüllen kann.
-
Das Risk Management erwartet den Nachweis, dass die servicebezogenen Risiken für das Unternehmen über ein verlässliches Internes Kontrollsystem (IKS) erkannt und gemanagt werden.
-
Dem Verantwortlichen im IT-Controlling ist ein wirtschaftlicher Umgang mit den servicebezogenen Assets - fokussiert auf die IT Ressourcen - wichtig; zudem erwartet er, dass das servicebezogene Financial Reportings einschließlich der zugehörigen Kennzahlen nachvollziebar ist.
-
Der Leiter IT Operations benötigt leistungsstarke IT-Prozesse für den Betrieb der Services; gleichzeitig muss er servicebezogenen Risiken vorbeugen und den internen wie den externen Compliance-Anforderungen gerecht werden.
Eine vergebene Chance
Für diese vielfältigen und deutlich über die Kundeninteressen hinausgehenden Erfordernisse bietet Itil keine ausreichenden Antworten. Anders das Governance-orientierte Regelwerk Cobit. Wer die Frage stellt, wie sich IT-Qualität bewerten und steuern lässt, kommt an diesem ebenfalls international etablierten Framework nicht vorbei (siehe Kasten)
Cobit schafft die Basis für ein wirksames Kontrollsystem und ermöglicht es, die IT-Performance in Hinblick auf die Unternehmensziele zu analysieren. Damit lässt sich die Qualität des Endprodukts von IT-Prozessen, also des IT-Service, unter Berücksichtigung der Anforderungen aus allen unterschiedlichen Interessensgruppen darstellen, messen und gestalten. Abgedeckt sind die Qualitätskriterien für die IT-Prozesse aus verschiedensten Blickwinkeln, beispielsweise aus der Sicht des Risiko-, Security- und Finance-Management, aber auch von der Warte der IT-Betriebsleitung aus. Das Regelwerk integriert weiterführende Standards wie ISO 17799 und ISO 20000 sowie Aspekte des Committee of Sponsoring Organization (COSO), darf also getrost als vollständig betrachtet werden.
Folglich ist Cobit ein wichtiges Instrument, das sich vorteilhaft mit Itil verknüpfen lässt, wobei beide Regelwerke voneinander profitieren. Trotzdem richtet sich im Moment der Blick fast ausschließlich auf Itil. Cobit spielt in den Planungen der IT-Organisationen vielfach nur eine Nebenrolle. Das ist schade, denn damit lassen sich die Unternehmen die Chance entgehen, ergänzende und aus der Governance abgeleitete Anforderungen mit einem klaren Qualitätsbezug abzubilden.
Was ist CoBIT?
-
Die Control Objectives for Information and Related Technology, kurz Cobit, dienen als international anerkanntes Framework der IT-Governance.
-
Das Regelwerk ist als Standard für die strategische Ausrichtung, Qualität und Ordnungmäßigkeit in der Informationstechnologie positioniert.
-
Es versteht sich als Steuerungssystem an der Schnittstelle zwischen Unternehmen und IT-Organisation.
-
Dazu differenziert es die IT-spezifischen Erfordernisse einerseits in Prozesse und andererseits in Control Objectives als Steuerungsvorgaben zur Steuerung
-
Cobit beschäftigt sich in erster Linie nicht damit, wie die Anforderungen zu realisieren sind, sondern was eigentlich umzusetzen ist.
-
Entwickelt wurde das Regelwerk 1993 von der Information Systems Audit and Control Association (Isaca), einem internationalen Verband der IT-Prüfer.
-
Seit dem Jahr 2000 obliegt seine Weiterentwicklung dem IT Governance Institute, einer Schwesterorganisation der Isaca.
-
Derzeit ist die Version 4.1 im Einsatz, voraussichtlich 2012 erscheint die aktualisierte Version 5.0.
-
Weiterführende Informationen zu Cobit finden sich unter http://www.isaca.org.
Der logische nächste Schritt im ITSM
Nach der Itil-Phase stellt der zusätzliche Einsatz von Cobit aus Sicht des Evolutionsprozesses des IT-Service-Managements einen fast logischen Folgeschritt dar. Mit Itil sind zunächst einmal die primären Prozessvoraussetzungen geschaffen worden. Dieser zeitlich begrenzte Fokus war in gewisser Hinsicht auch notwendig: Vielfach bedurften die Prozessstrukturen in der IT einer grundlegenden Gestaltung. Doch allmählich setzt sich die Erkenntnis durch, dass eine Strukturierung von Prozessen nicht zwangsläufig auch eine höhere Qualität des Endprodukts erzeugt.
Diesem Thema haben sich die Unternehmen bislang noch nicht ausreichend gewidmet; in den vergangenen Jahren waren sie zu sehr vom Aufbau der strukturellen Basis für die IT-Prozesse in Anspruch genommen. Das lässt sich auch daran ablesen, dass das IT-Management Kennzahlen zur umfassenden Qualitätssteuerung noch relativ zurückhaltend und vor allem nicht differenziert genug einsetzt. Im Business-Bereich ist das längst zur Selbstverständlichkeit geworden. Diese Diskrepanz zwischen IT und Business sollte zügig geschlossen werden - durch einen engagierten Ausbau Kennzahlen-basierender Methoden und Verfahren. Denn ohne ein solches Instrument bleiben die Möglichkeiten des Qualitäts-Managements begrenzt; zudem wird eine geschäftsprozessorientierte Steuerung der IT verhindert.
Die Zukunft liegt in der Kombination
Itil und Cobit bilden ein ideales Paar: Die Risk-, Governance- und Compliance-bezogenen Lücken in Itil werden von Cobit adressiert. Das Governance-Regelwerk definiert die Anforderungen an IT-Prozesse und beschreibt das "Was". Itil hingegen liefert mit seinem Prozess-Framework die Antwort auf diese Anforderungen, indem es sich auf das "Wie" konzentriert.
Die Kombination aus beiden Frameworks stellt sicher, dass Service-Provider kunden- und unternehmensbezogen agieren, marktfähige Services anbieten, organisationsbezogene Risiken verringern und die vorhandenen Ressourcen ökonomisch einsetzen. Aus diesem Grund sollte Cobit als weiteres Framework gezielt in die Struktur des IT-Service-Managements einbezogen werden.
Auf Dauer reicht eine gute Gestaltung der IT-Prozesse nicht aus. Vielmehr müssen diese Prozesse über die Qualitätsdimension mit Substanz angereichert werden. Die Governance-gerechte Ausrichtung der IT-Organisation an der Unternehmensstratige sollte sich auch in den IT-Prozessen widerfinden.
Es ist also an der Zeit, dass sich die Unternehmen von der dominierenden Itil-Orientierung lossagen und gezielt Cobit einbeziehen. Das ist auch nicht einmal mit besonderen Schwierigkeiten verbunden, denn dieses Framework ist ja kein abstraktes und exklusives Werkzeug der externen oder internen Auditoren. Vielmehr überzeugt es in der Praxis durch wirkungsvolle und überraschend konkrete Hilfestellungen, beispielsweise für die Identifikation von Schwachstellen einer IT Organisation, für die Prozessoptimierung oder für die strategische Ausrichtung. (qua)