Wohl kaum ein Thema hat die am IT-Service-Management Interessierten in den vergangenen zwölf Monaten mehr bewegt als die dritte Version der IT Infrastructure Library (Itil), die zum 31. Mai 2007 veröffentlicht wurde. Neben begeisterten Befürwortern gibt es auch entschiedene Kritiker oder sogar Gegner des IT-Management-Standards (siehe beispielsweise "Finger weg von Itil 3" oder "Wohin steuert Itil?")
Vom Support zum Management
Im Zusammenhang mit Itil beziehungsweise IT-Service-Management nach Itil wird oft von "Best Practices" für die Organisation der IT-Prozesse im Betrieb gesprochen. Ziel ist ein Management-System, mit dem der IT-Provider in der Lage ist, den IT-Betrieb, vor allem die IT-Services, zuverlässig zu steuern.
Der Begriff Management-System ist allerdings vorbelastet: Geprägt wurde er von QM-Systemen (Qualitäts-Management) wie etwa ISO 9000:2000 (siehe auch: "Wettbewerbsvorteil durch Prozessgüte"). Erst mit der Gestaltung der Norm BS15000 beziehungsweise mit ISO/IEC 20000:2005 wurde Ende 2005 aus der Best-Practices-Sammlung Itil Version 2 (V2) ein formell anerkanntes Management-System.
Itil V3 hat diesen Ansatz konsequent aufgegriffen, vor allem mit den Büchern "Service Strategy" und "Service Design". Es geht nicht mehr nur um Betriebsprozesse, sondern um die Gestaltung, Steuerung und Verbesserung von IT-Services als Ganzes - unterstützt durch ein Bündel guter Ideen für das IT-Management.
Warum viele vor V3 zurückschrecken
Das wäre auch mit der Itil V2 erreichbar gewesen. Aber dazu hätte man alle elf Bücher lesen und anwenden müssen. Die meisten Unternehmen haben sich aber mit den Bänden Support und Delivery begnügt. Das ist sicher auch dem Lizenzwesen geschuldet, das sich inhaltlich auf den bisherigen Itil-Kern, also das IT-Service-Management, beschränkte. Die Personenzertifikate waren bislang auch die "Cash Cow" von Itil - mit zuletzt mehr als 20.000 Foundation- und über 1000 Service-Manager-Zertifikaten im Jahr (siehe dazu beispielsweise: "Dann klappt es auch mit Itil" in der COMPUTERWOCHE-Schwesterpublikation "CIO")
Für die Personenzertifikate nach Itil V3 ist das ganze Werk zu lesen. Das sind mehr als 1200 Seiten Text. Davor schrecken viele zurück. So kommt es, dass sich die Mehrzahl der Unternehmen mit der Einführung von Itil V3 überfordert sieht. Unterstützt wird diese Sicht dadurch, dass nach V3 über 35 einzelne Prozesse gestaltet werden sollen, wo man doch bisher glaubte, mit elf Prozessen auszukommen.
Aber dieser Unterschied beruht auf einem Trugschluss. Die meisten Steuerungs- und Supportprozesse sind ansatzweise bereits in den Unternehmen vorhanden - wenn auch häufig unter anderen Bezeichnungen oder ohne echte Prozessverantwortung. Irgendjemand kümmert sich bereits um das Supplier-Management oder das Daten-Management, um nur einmal zwei der drei Dutzend V3-Prozesse zu nennen. Die Notwendigkeit anderer Prozesse ergibt sich schon aus dem gesunden Menschenverstand oder wegen rechtlicher Anforderungen, so beispielsweise die des Information-Security-Managements.
Mehr Sicherheit für den IT-Anwender
Itil hat sich von Best Practices für die Supportprozesse zu Good Practices für das IT-Management insgesamt entwickelt. Der Begriff Good Practices ist derzeit von den Compliance-Anforderungen der internationalen Pharma- und Lebensmittelbranche vorgeprägt. Mit ihren GxP-Regularien will die US-amerikanische Food and Drug Administration (FDA) die Verbraucher schützen, damit sie der Produktqualität vertrauen können. Dieser Grundgedanke lässt sich auf die IT-Services übertragen: Die User und deren Management sollen sich auf die IT-Qualität verlassen können - vor allem im Hinblick auf die Verlässlichkeit der Unterstützung von Geschäftsprozessen.
In Itil V3 ist ein Management-System beschrieben, das den Anforderungen an Steuerung (Governance), Konformität (Compliance) und Transparenz genügt, wie sie in den meisten Ländern und Branchen gefordert sind. In den fünf Bänden findet sich sowohl das Management der Kundenanforderungen wieder als auch das Management der internen oder externen IT-Provider; es gibt Prozesse für das Requirements-Engineering, das Demand-Management (siehe auch: "Aus Beschaffung wird Beratung") die Definition und Steuerung von Betriebskennzahlen und Prozessen sowie die kontinuierliche Verbesserung von Services und Prozessen.
Zwar merkt man dem Werk noch an, dass unterschiedliche Autoren daran mitgewirkt haben. Doch ist tatsächlich ein Lifecycle für Services und Prozesse erkennbar, aus dem sich Governance- und Compliance Anforderungen der Kunden jederzeit ableiten lassen.
Weg von der Trial-and-Error-Methode
Itil V2 hatte seinen Ursprung in den dokumentierten Erfahrungen aus 20 Jahren prozessgesteuertem IT-Betrieb in Großbritannien. Diese Best-Practices-Sammlung für die IT-Operations musste für den jeweiligen Nutzer angepasst werden - oft mit erheblichem Aufwand. Die damit verfolgten Ziele würden sich unter Umständen auch durch ein gepflegtes Chaos in den IT-Operations erreichen lassen - sofern das Unternehmen Zeit und Geld genug hat, eine gewisse Verlässlichkeit und Transparenz mit Hilfe der Trial-and-Error-Methode zu erreichen.
Mit dem V3-Modell hingegen ist es möglich, den Service-Design-Packages alle Anforderungen an den Betrieb mitzugeben und sie darüber hinaus nach gewissen Zyklen zu überwachen und zu verbessern. Zentrale Belege dafür sind die in Itil V3 unterstützte Dokumentation von IT und deren Veränderung sowie die daraus erwachsende Notwendigkeit, ein Wissens-Management im IT-Betrieb aufzubauen. Ableitbares Wissen über die Inhalte und Zusammenhänge von IT-Services bedeutet das Ende des Chaos.
Sechs Thesen zum Service-Management
Die Itil-Kritiker sollten sich einmal fragen, welche Good Practices sie eigentlich hervorzaubern können, um Itil V3 zu ersetzen. Dazu wäre es sinnvoll, über folgende sechs Thesen nachzudenken.
-
Die IT ist nur so gut, wie sie dokumentiert wurde.
-
Die Daten repräsentieren den Wert des Unternehmens, ein Betriebsmodell muss dieser Tatsache Rechnung tragen.
-
Die Idee des verantwortlichen Handelns gehört in die Köpfe der IT-Mitarbeiter.
-
Form follows function: Jede IT-Innovation muss in ein Betriebsmodell passen
-
Wer Management-Verantwortung nicht auf konkrete IT-Service-Aktivitäten herunterbrechen kann, wird Probleme bekommen.
-
Jedes Regelwerk ist gut, wenn es zu den Ideen eines Betriebsmodells passt und ein externer Prüfer sich darin wieder findet.
Itil V3 enthält Zugänge und Belege zu jeder dieser Thesen. Kein anderes Vorgehensmodell ist in der Lage, in so großem Umfang top down und bottom up zu agieren, um dem IT-Service-Management eine Daseinsberechtigung zu geben. So kann Itil V3 bei der Steuerung helfen - vorausgesetzt, das Unternehmen weiß, von welchen externen Anforderungen es angetrieben wird.
Die Compliance-Frage
Welchen Anforderungen das Management eines Unternehmens hinsichtlich seiner IT gehorchen muss, lässt sich nicht pauschal beantworten. Das hängt vom Land, der Branche und der Rechtsform ab. Compliant zu den jeweiligen Anforderungen zu sein bedeutet aber nicht, alle möglichen Regelungen einzuhalten, die eventuell auch noch mit IT in diesem Unternehmen zu tun haben könnten. Von Beraterseite wird den IT-Managern immer wieder Angst gemacht mit Gespenstern, vor denen sie sich nicht fürchten müssen. Hingegen werden die konkreten Hausaufgaben - etwa nach Paragraf 91 des Aktiengesetzes - selten erledigt.
Allen rechtlichen Anforderungen gemeinsam ist der in These 1 formulierte Grundsatz: Die IT ist nur so gut, sprich: prüfbar und Management-fähig, wie sie dokumentiert ist. Darüber hinaus muss sich das Management-System um die konkrete Vorsorge gegen IT-Risiken kümmern. Zu schützen sind dabei vor allem die Daten des Unternehmens, weniger die austauschbare IT-Infrastruktur (These 2).
Die Entwicklung, die die Gesetzgebung in den vergangenen Jahren genommen hat, belegt die Gültigkeit der Thesen 1 und 2 sowie 5: Wann immer externe Prüfer zufrieden zu stellen oder Risiken zu minimieren waren, hing der Erfolg in hohem Maße davon ab, dass die IT die Zusammenhänge der Configuration Items für Services und Geschäftsprozesse sowie deren Ausfallrisiken aufzeigen konnte. Darüber hinaus sind die konkreten Aufgaben in der Risikovorsorge zu dokumentieren, zu delegieren und zu organisieren - einschließlich des Aufbaus eines internen Kontrollsystems.
Auch Outsourcing will gesteuert sein
Nun sind einige Berater der Ansicht, dass ein IT-Outsourcing hier der Stein der Weisen sei, weil der Service-Provider über die fast schon obligatorischen Itil-Ansätze alle Anforderungen abdecke. Das ist ein Irrtum. Denn steuern muss das auslagernde Unternehmen als Retained organization (siehe auch: "Kosten des Outsourcing") die IT schon noch selbst. Und dafür können die Itil-V3-Bände "Service Strategy", "Service Design" sowie "Contiual Service Improvement" Hilfestellung leisten.
Übersehen wird häufig auch, dass das IT-Outsourcing Compliance-Anforderungen an das Management des IT-Providers mit sich bringt, sofern dieser als eigenständige juristische Person des privaten Rechts agiert. So muss er beispielsweise die Bestimmungen der Bankenaufsicht einhalten, die er mit dem Outsourcing-Vertrag übertragen bekommt. Zudem ist der Vertrag selbst den Aufsichtsbehörden anzuzeigen.
Foto: Jürgen Dierlamm
Das Schaubild "Service-Management nach Itil V3" zeigt die externen Anforderungen für ein IT-Service-Management", wie sie in Itil V3 erfasst sind. Vom Gesetzgeber sind hier allerdings nur Basel II, SOX und die 8. EU Richtlinie (siehe auch: "Sind Sie auf EuroSOX vorbereitet?") gefordert. Die anderen Anforderungen sind entweder intrinsisch oder vom Kunden vorgegeben.
Kaum Alternativen zu Itil
Wer nun partout auf den Itil-Ansatz verzichten will, hat wenig Alternativen - wenn man mal vom gepflegten Chaos absieht. Ein möglicher Ansatz wäre vielleicht das Cobit-Modell (Control Objectives for Information and Related Technology). Es liefert einen IT-Governance-Ansatz aus Sicht der IT-Revision oder der externen Prüfer. Zudem gibt es herstellerorientierte beziehungsweise branchenspezifische Regelwerke wie das Microsoft Operations Framework (MOF) oder die Enhanced Telecom Operations Map (eTOM) für die TK-Branche. (Siehe auch das an der Universität Giessen erstellte Arbeitspapier "IT-Service-Management - Referenzmodelle im Vergleich"). Wer diese Ansätze näher betrachtet, wird finden, dass dort entweder schon Itil enthalten ist (MOF, Cobit) oder dass der Ansatz nicht alle Bestandteile eines IT-Service (People, Processes, Products, Partners) umfasst.
Wie die These 6 aufzeigt, spielt es eigentlich keine Rolle, für welches Modell sich ein Unternehmen entscheidet. Wichtig ist nur, dass sich ein Prüfer für die Einhaltung externer Anforderungen darin zurechtfindet, also die Risiken abgesichert weiß. Allerdings ist es einem Wirtschaftsprüfer nicht zuzumuten, dass er die etwa 20 anerkannten Vorgehensmodelle für das IT-(Service-)Management präsent hat und anwenden kann. Vielmehr ist hier auf Good Practices zu referenzieren.
So ist beispielsweise hinsichtlich der GOBS (Grundsätze ordnungsgemäßer Buchführungssysteme) nirgends hinterlegt, dass sie nur mit einem bestimmten Regelwerk eingehalten werden können. Zur Not ginge es auch ohne. Aber Cobit und Itil sind hier nun einmal die Good Practices mit der weitesten Verbreitung. Deshalb kommen sie als einzige Modelle in Frage.
Ergänzendes Organisationszertifikat
Noch ein paar Sätze zur These 3, also zum verantwortlichen Handeln, das in den Köpfen der Mitarbeiter verankert werden muss.. Ein Unternehmen erzielt Compliance sicher nicht allein dadurch, dass 20 seiner 200 IT-Mitarbeiter zertifizierte Itil-Service-Manager sind und weitere 120 über eine Itil-Foundation-Zertifizierung verfügen. Aber immerhin zeigt dies, dass hier Bewusstsein für die IT-Services und das Modell der Risikovorsorge geschaffen wurde.
Selbstverständlich ist das rettende Ufer nicht über die Menge der Personenzertifikate zu erreichen, sondern über die Transparenz des Steuerungsmodells. Ein ergänzendes Organisationszertifikat wäre deshalb hilfreich. Und Itil ist das einzige Modell, das ein solches Zertifikat mitbringt - wenn auch über den Umweg von ISO/IEC 20.000.
Ob ein Unternehmen sein Steuerungsmodell als Management-System oder aber seine Mitarbeiter zertifizieren lässt, liegt letztlich in seiner eigenen Entscheidung. Zertifikate belegen nur die Beschäftigung mit einem Thema, die erfolgreiche Umsetzung "testieren" letztlich die IT-Kunden und die Prüfer.
Am Steuerrad stehen Sie selbst
Erfolgreiches IT-Management schließt eine gewisse Innovationsfreude ein (These 4). Itil ist das einzige Modell, mit dessen Hilfe sich Projekte über Service-Pipeline, Service-Portfolio, Service-Transition und Change-Management strukturiert betreiben lassen.
Foto: Jürgen Dierlamm
Mein Fazit lautet deshalb: Sowohl die internen und externen IT-Provider als auch die auslagernden Unternehmen werden auf Itil nicht verzichten können. Es gibt kein umfangreicheres Steuerungsmodell, das bis in die Tiefen des IT-Betriebs reicht und allgemein anerkannt ist. Um in der üblichen Bildersprache von Itil V3 zu bleiben: Das Fahrwasser gibt der Gesetzgeber vor, und Itil bietet Ihnen das Steuerrad. Manövrieren müssen Sie allerdings immer noch selbst. (qua)