- Anzeigen -

Sie sind hier: Home » Fachartikel » Management

Compliance und IT Service Management

Wie implementiert man eine IT Service Management-Strategie ? - Ein Unternehmen sollte die Teile der ITIL umsetzen, die ihm Nutzen bringen
Die Zeiten, als langwierige Implementierungsmaßnahmen mit ungewissem Ausgang die einzige Alternative darstellten, sind Geschichte

Von Michael McCloskey

(26.02.07) - Regierungsbehörden auf nationaler und übernationaler Ebene nutzen heute mehr denn je die Möglichkeiten der Gesetzgebung, um die Vorgehensweise von Unternehmen zu regulieren – mit dem Ergebnis, dass die Anforderungen an Unternehmen im Hinblick auf die Einhaltung gesetzlicher Vorschriften unterschiedlichster Art (Compliance) so hoch sind wie noch nie. Für Unternehmen, die ein effektives IT-Management anstreben, sind die Hürden höher denn je, denn es wird immer schwieriger, nach innen Kosteneinsparungen zu erzielen und gleichzeitig nach außen Servicequalität anzubieten. Beides ist heute aber unverzichtbar, wenn man im hart umkämpften Markt eine klar definierte und dauerhaft gesicherte Wettbewerbsposition einnehmen möchte.

Hier nur ein kurzer Blick auf einige der Fragen und Herausforderungen, denen sich CEOs und CIOs zurzeit stellen müssen:
>> Haben Sie Ihre Infrastruktur noch unter Kontrolle?
>> Stehen Sie unter Druck, weil es an einer kohärenten Strategie fehlt?
>> Kämpfen Sie mit einer Vielzahl unterschiedlicher Zuliefererverträge und müssen miterleben, wie die Management- und Bereitstellungskosten unkontrollierbar steigen?
>> Gibt es grundlegende Informationslücken darüber, was das Unternehmen zurzeit tut?
>> Bereiten Ihnen immer neue gesetzliche Vorschriften schlaflose Nächte?
>> Erkennt das Unternehmen seine Abhängigkeit von der IT?

Jede einzelne dieser Fragen hat ihre Berechtigung.

Abstimmung der IT auf das Unternehmen:
Immer stärker setzt sich die Erkenntnis durch, dass eine IT-Infrastruktur, die zu echter Effizienz im Unternehmen beitragen will, mehr leisten muss, als "die Dinge einfach nur am Laufen zu halten": Sie muss optimiert und genau auf die Bedürfnisse des Unternehmens abgestimmt sein. Anders ausgedrückt, der CIO oder IT-Leiter muss umfassend und grundlegend in die Belange des Unternehmens eingebunden werden und auch in der Entscheidungsfindung bei wichtigen Fragen eine zentrale Rolle spielen.

Dies gilt jedoch nicht nur in einer Richtung. Denn gar nicht selten gerät der CIO von Seiten des Vertriebs oder der Operations-Abteilung unter Beschuss, weil man dort den Eindruck hat, dass die IT "ein Klotz am Bein ist" oder "das Unternehmen gar nicht wirklich unterstützt". Und ebenso oft hört man vom CIO (meist nicht ganz zu Unrecht), dass er, wie so oft, "wieder mal der Letzte" war, der über eine geplante Unternehmensinitiative unterrichtet wurde.

Solche Kritik zeigt in der Regel eine unternehmensweite und keineswegs nur abteilungsinterne Schwachstelle auf. Wenn das Marketing beispielsweise eine große Kampagne plant, die voraussichtlich Millionen von Web-Hits generieren wird, dann muss das IT-Team unbedingt rechtzeitig informiert werden und die nötigen Schritte unternehmen, um die Infrastruktur auf den zu erwartenden Ansturm vorzubereiten. Nur so lassen sich im Unternehmen überlastungsbedingte Ausfälle vermeiden und eine positive Kundenerfahrung sicherstellen.

Best Practices:
Damit es - zumal nach Debakeln wie bei Enron oder WorldCom - gar nicht erst zu Problemen kommt, müssen sich CEO und CFO rückhaltlos darauf verlassen können, dass Finanz- und andere unternehmenskritische Daten Tag für Tag in einer umfassend abgesicherten und wohl verwalteten Art und Weise im Netzwerk übertragen werden. Auch hier spielt die IT eine zentrale Rolle: Sie muss unautorisierte Zugriffe auf Daten wirksam unterbinden und für Transparenz in den Finanzdaten sorgen, damit auch strengsten Prüfvorgaben jederzeit Genüge getan wird.

Wo immer es darum geht, alle gesetzlichen Vorgaben zu erfüllen, die IT auf die Belange des Unternehmens abzustimmen und die zentralen Unternehmensdaten sachgerecht zu verwalten, wachsen zweifellos die Anforderungen. Und auch die gegenseitigen Abhängigkeiten auf allen diesen Gebieten nehmen an Komplexität zu. Hier kommen die so genannten "Best Practices" ins Spiel: Ihre Rolle bei der Korrektur unzureichend definierter oder implementierter Unternehmensprozesse kann gar nicht hoch genug eingeschätzt werden.

Es überrascht daher nicht, dass das Bewusstsein für die Thematik wächst und die Bemühungen um die Umsetzung von Best Practice-Prinzipien Rekordhöhen erreichen. Dennoch ist dies erst der Anfang. Die ITIL (IT Infrastructure Library) zum Beispiel, schon seit geraumer Zeit ein Best Practices-Schwerpunkt sowohl im öffentlichen wie im privatwirtschaftlichen Sektor, gewinnt immer mehr an Bedeutung.
In den USA ist die Zahl der Unternehmen, die sich einer ITIL-Zertifizierung unterzogen, allein in den letzten 12 Monaten von gerade einmal 50 auf nicht weniger als 300 pro Monat angestiegen! Das Marktforschungs- und Beratungsunternehmen Forrester Research, Inc., geht davon aus, dass bis Ende 2006 bereits 40 Prozent aller US-amerikanischen Unternehmen mit Umsätzen von 1 Milliarde US-Dollar und mehr nach ITIL-Prinzipien arbeiten werden.

Bei Unternehmen in Großbritannien – bei der Umsetzung von Best Practices in der Regel weiter als die amerikanischen Unternehmen – sieht es ganz ähnlich aus: Die Zahl der Mitgliedschaften im IT Service Management Forum (ITSMF) wächst in einer Größenordnung von 40 Prozent pro Jahr. Die Untersuchungen von Forrester zeigen auch, dass Unternehmen bei der ITIL-Umsetzung Schritt für Schritt vorgehen sollten, indem sie zunächst diejenigen Services identifizieren, die sich zur Behebung unmittelbar anstehender Probleme im Unternehmen eignen (zum Beispiel das Incident Manage¬ment) und die daher das größte Renditepotenzial aufweisen.

Dieses Ergebnis kommt nicht unerwartet, so denkt man bei Forrester, denn es ist als erster Schritt durchaus sinnvoll, einen strukturierten Prozess zur Bewältigung einer konkreten Krisensituation einzurichten. Kurz und gut, ein Unternehmen sollte die Teile der ITIL umsetzen, die ihm Nutzen bringen. Im Übrigen sollte man beim Streben nach IT-Serviceoptimierung nicht vergessen, dass die ITIL, genau wie jedes andere Best Practices-Konzept, kein Selbstzweck, sondern vielmehr Mittel zum Zweck ist. Es handelt sich dabei um ein Rahmenwerk, das als Leitlinie eingesetzt werden sollte, und keineswegs um eine strikte "Implementierungsvorschrift". Ein allzu strenges Festhalten an den ITIL-Prinzipien dürfte sich in den meisten Fällen sogar als Hemmschuh für die Reaktionsschnelligkeit erweisen, die ein wettbewerbsfähiges Unternehmen heute auszeichnet.

Die Gesetzeslage
Regierungsbehörden auf nationaler und übernationaler Ebene nutzen heute mehr denn je die Möglichkeiten der Gesetzgebung, um die Vorgehensweise von Unternehmen zu regulieren – mit dem Ergebnis, dass die Anforderungen an Unternehmen im Hinblick auf die Einhaltung gesetzlicher Vorschriften unterschiedlichster Art (Compliance) so hoch sind wie noch nie.

In vertikalen und horizontalen Märkten müssen zum Beispiel die Sarbanes-Oxley- und Basel II-Vorgaben umgesetzt werden. Dazu kommen mit wachsendem Umweltbewusstsein immer neue Vorschriften zur Herstellung und Nutzung von Produkten über deren gesamten Lebenszyklus hinweg. Die WEEE-Richtlinie (engl. "Waste Electrical and Electronic Equipment", Richtlinie zu Elektro- und Elektronikaltgeräten) und die RoHS-Richtlinie (engl. "Restriction of Use of Certain Hazardous Substances in Electrical and Electronic Equipment", Richtlinie zur Beschränkung der Verwendung bestimmter gefährlicher Stoffe in Elektro- und Elektronikgeräten) sind nur zwei davon. Wie solche Vorgaben umzusetzen sind, ist jedoch keineswegs immer klar.

Das Sarbanes-Oxley-Gesetz beispielsweise wurde in den USA infolge einiger spektakulärer Misswirtschaftsfälle in großen Konzernen beschlossen – in aller Eile und mit dem Ergebnis, dass große Unsicherheit darüber besteht, wie dieses Gesetz konkret in die Praxis umzusetzen ist. Die Strategien der Unternehmen reichen von wildem Aktionismus bis hin zum "Abwarten und Tee trinken".

Es ist eine Ironie, dass viele internationale Wirtschaftsprüfungsinstitute die Sarbanes-Oxley-Vorschriften – ungeachtet aller Verwirrung im Hinblick auf deren praktische Implementierung – mittlerweile ihren Prüfverfahren zugrunde legen. Infolgedessen stehen CFOs heute internen und externen Wirtschaftsprüfern gegenüber, die sich des "Sarbox-Jargons" bedienen, und müssen, um ihre Unternehmen abzusichern, in einer Weise reagieren, die der Gesetzgeber ursprünglich gar nicht beabsichtigt hatte.

Die Alternative
An dieser Stelle kann das Argument nicht ausbleiben, dass viele große, etablierte Anbieter ein ähnliches Bild malen, um ihre neuesten, Best Practice-basierten ITSM-Tools an den Mann zu bringen. Und viele CIOs in Unternehmen haben inzwischen die Erfahrung gemacht, dass die unternehmensweite Implementierung erfolgskritischer Servicemanagementlösungen viele Monate kostenintensiver Beratung voraussetzt, wobei noch nicht einmal garantiert ist, dass die nötigen Maßnahmen im vorgesehenen Zeitraum erfolgreich umgesetzt werden. Wie man es auch betrachtet, so der allgemeine Eindruck, die Bereitstellung eines funktionierenden IT Service Managements geht mit Risiken und einem beträchtlichen Aufwand an Zeit und Geld einher.

Das muss aber nicht so sein. Die Zeiten, als langwierige Implementierungsmaßnahmen mit ungewissem Ausgang die einzige Alternative darstellten, sind Geschichte. Inzwischen sind bei der Bereitstellung nicht mehr die Vorgaben des Anbieters, sondern die immer engeren Kunden- und Endanwendertermine das Maß der Dinge. John Ragsdale, hochrangiger Forschungsleiter bei Forrester Research, stellt diesen Paradigmenwechsel folgendermaßen dar: "Die signifikantesten Neuerungen im Servicedesk-Bereich… kommen unter Umständen gar nicht von den ganz großen Anbietern, sondern aus dem Mittelstand."

Heutzutage ist das Verständnis von Unternehmen für die Rolle ihrer IT in vielen Fällen immer noch unzureichend. Infolgedessen sollte sich die IT dringend eine neue Terminologie aneignen und beginnen, die Sprache des Unternehmens zu sprechen. Wenn die IT jedoch tatsächlich Brücken schlagen und ihre Aufgaben bei der Verwirklichung eines kundenzentrierten Unternehmens in vollem Umfang erfüllen soll, dann müssen Fremdanbieter genau wie unternehmensinterne Strategen erkennen, dass gemeinsame Probleme auch gemeinsamer Lösungen bedürfen.
Kurz: Die Zeit ist reif für ITSM. Und für ein gerüttelt Maß gemeinsamer Denkarbeit. (FrontRange: ra)