Mehr als die Hälfte aller deutschen Unternehmen arbeitet mittlerweile auf Basis der IT Infrastructure Library (Itil). Doch in der Qualität von Serviceorganisationen, die Itil-Konformität für sich beanspruchen, gibt es große Unterschiede - unter anderem deshalb, weil nur einzelne IT-Mitarbeiter, aber nicht ganze IT-Organisationen ein Itil-Zertifikat erhalten.
Best Practices
Die Best-Practices-Sammlung an und für sich ist kein Standard. Die im Itil-Umfeld federführende Organisation itSMF (IT Service Management Forum) sah hier Handlungsbedarf und ließ eine international gültige Norm entwickeln: Sie basiert auf dem britischen Standard BS 15000, trägt die Bezeichnung ISO 20000 und ist seit Dezember vergangenen Jahres gültig. Folglich können nun auch IT-Organisationen ihre Serviceprozesse durch unabhängige Auditoren zertifizieren lassen.
ISO 20000 zeigt anhand eines Kriterienkatalogs die Itil-Kernprozesse auf, die ein Unternehmen nachprüfbar erfüllen muss. Darüber hinaus erweitert die neue Norm die Itil-Anforderungen, beispielsweise in Richtung auf stringent ausgerichtete Geschäfts- und IT-Prozesse. Organisationen, die sich zertifizieren lassen wollen, müssen Prozesse zu den Themen "Management-System", "Planung und Implementierung" sowie "Planung neuer Services" einführen. Darüber hinaus haben sie Strukturen und Kennzahlen für die kontinuierliche Verbesserung ihrer Prozessqualität vorzuweisen.
Der ISO-20000-Pionier
Der Flughafen München wollte die Qualität und Stabilität seiner IT-Services langfristig gewährleisten. "Unser Ziel besteht darin, eine hohe Servicequalität zu möglichst geringen Kosten zu erbringen", erklärt der IT-Bereichsleiter Michael Zaddach. Deshalb hatte sich sein Bereich schon frühzeitig an den Itil-Kriterien orientiert. Und im vergangenen Frühjahr ließ er sich nach ISO-20000 zertifizieren. Als Begründung führt Zaddach an, er habe "die neuen Prozesse mit der erforderlichen Motivation und einem klaren Ziel vor Augen einführen" wollen.
Unterstützung für dieses Projekt holte sich die IT-Organisation des Münchner Flughafens von der Kess DV-Beratung. Deren Service-Management-Spezialisten hatten im Vorfeld die Schwachstellen analysiert und Maßnahmenkataloge entwickelt, aus denen sie Vorschläge für Teilprojekte ableiteten. "Unternehmen, die sich zertifizieren lassen wollen, müssen sich darüber im Klaren sein, dass sie alle Prozesse der ISO-Norm erfüllen müssen und nicht nur einige", erinnert der bei Kess beschäftigte Projektleiter Peter Pieronczyk.
Zaddach benannte zehn Mitarbeiter, die als Prozesseigner für die Definition, Implementierung und Qualitätskontrolle der Teilprozesse zuständig zeichnen. Ein Mitarbeiter aus dem Qualitäts-Management übernahm die Projektleitung auf der Kundenseite.
Ein häufiger Denkfehler
Nicht schaden kann es, rechtzeitig Kontakt mit dem Zertifizierer aufzunehmen, denn er kennt die größten Herausforderungen. Auf einen häufigen Denkfehler verweist beispielsweise Marcus Giese, Auditor beim TÜV Süd Management Service: "Die meisten Unternehmen haben zwar einen Prozess für das Incident-Management festgelegt. Viele beachten aber nicht, dass sich Störfälle auch zu Objekten für das Change-Management entwickeln können. Hierfür fehlen dann nahtlose Übergabeprozesse."
Vorherige Transformation
Beim Start des Projekts profitierte der Servicebereich des Münchner Flughafens davon, dass er im Rahmen einer konzernweiten Restrukturierung auch die eigene Organisation transformiert hatte - von einer stark systemorientierten zu einer prozessorientierten. Beispielsweise unterhielt früher jeder der vier Bereiche Telekommunikation, Anzeigesysteme, Netzwerk und Videoüberwachung eine eigene Auftragsannahme; heute werden alle Aufträge zentral angenommen und durchgängig bearbeitet. Dasselbe gilt für das Störungs-Management: Die zentrale Annahmestelle nimmt den Vorfall entgegen und verfolgt dessen Verlauf sowie die Problemlösung. Lässt sich eine Störung nicht innerhalb der Service-Levels beheben, tritt automatisch ein systemgestützter und dokumentierter Eskalationsmechanismus in Kraft.
Entscheidend für die Zertifizierung sind Definition und Nachprüfbarkeit aller Prozesse. Der Auditor schaut sich anhand der Dokumentationen an, auf welche Weise Störungen erfasst, qualifiziert und weitergegeben werden. Außerdem will er wissen, wann die Kriterien für eine "schwerwiegende" Störung erfüllt sind und wo sie festgelegt wurden. "In unserer Stichprobe konzentrieren wir uns zumeist auf Extremfälle", berichtet Giese. Die Ticket-Historie im System müsse die Eskalation aufzeigen. "Es kann durchaus Gründe haben, warum Störungen nicht in der erforderlichen Zeit behoben worden sind", geht der Auditor ins Detail, "entscheidend ist aber, dass dies dokumentiert ist und nicht häufig passiert."
In Form von Interviews überprüfen die Lizenzierer, ob die definierten Prozesse auch tatsächlich gelebt werden. "Ich frage Systemtechniker und Entwickler, ob sie wissen, wie sie beispielsweise einen Request for Change stellen müssen", berichtet Giese. Der Münchner Flughafen bietet seinen Servicekräften daher ein Intranet-Portal an, in dem alle Prozesse dokumentiert und beschrieben sind. Damit jeder Mitarbeiter weiß, wie er wann vorgehen soll, werden die Abläufe über die Tools des "Action Request System" (ARS) von Remedy organisiert.
Zertifikat ist kein Selbstzweck
Explizit fordert die ISO-20000-Norm einen strategischen Planungsprozess für das IT-Service-Management. Er soll unter anderem kurz- und langfristige Planungen miteinander vereinen. Deshalb hat die Flughafen-IT ein Quartals-Review eingeführt, das regelmäßig alle strategischen Ziele des Unternehmens mit den operativen Zielen für die IT ausfüllt. Ebenfalls alle drei Monate überprüfen die Verantwortlichen die Ergebnisse der Kennzahlen, mit denen die Qualität der IT-Service-Prozesse wie Durchlaufzeiten, Erstelldauer und Anzahl erfolgreicher Angebote sowie termintreue Auftragserfüllung gemessen wird.
Eine ISO-20000-Zertifizierung sollte nie das alleinige Ziel der Unternehmen sein. "Die Triebfeder des Handelns sollte vielmehr darin bestehen, Prozesse und Qualität, Effektivität und Effizienz permanent verbessern zu wollen", mahnt der Itil-Experte Pieronczyk. Wer die notwendigen Aktivitäten bereits strukturiert habe, hole sich "den offiziellen Stempel gleich mit ab".
Klares Ziel vor Augen
Auf der anderen Seite lenkt ein klares Ziel wie die ISO-2000-Zertifizierung das Augenmerk von Management und Mitarbeitern auf die Serviceverbesserung, bestätigt IT-Chef Zaddach. So läuft das Itil-Vorhaben nicht Gefahr, nur nachrangig beachtet zu werden. (qua)