Ganzheitliches IT-Lifecycle Management
Durchführung eines Projekts "Ganzheitliches IT-Lifecycle Management" bildet Asset-, Licence-, Contract-, Purchase-, Risk-, und Security- Management in einem System ab
Absolut neu und innovativ ist die Einbindung der prozessrelevanten Daten aus dem IT-Security und IT-Risk Management.
Von Ellen Wüpper, WMC Wüpper Management Consulting GmbH
(27.11.06) - Ein Großkunde im Bereich Automotiv benötigte eine hochverfügbare und bedarfsgerecht planbare IT-Unterstützung zur Ausübung seiner Geschäftsprozesse. Das einzuführende "Ganzheitliche IT-Lifecycle Management" sollte die vorhandenen Daten aus unterschiedlichsten technischen und betriebswirtschaftlichen Systemen (SAP, Tivoli, Applikationsdatenbank) zusammenfassen und aufbereiten. Ziel war, den gesamten IT-Lifecycle der definierten Assets, von der Anforderung bis zur Entsorgung, abzubilden. Im Hinblick auf Folgeprojekte, z.B. "Auditierung Sicherheitsmanagement nach ISO 27001", sollten wesentliche Informationen aus dem Risk- und Business-Continuity-Management im IT-LCM bzgl. der Risikoklassifikation der IT-Systeme abgebildet werden.
Mit diesem außergewöhnlichen Projekt hat die WMC Wüpper Management Consulting GmbH die hochrangige Jury des in diesem Jahr erstmals vergebenen Hamburger Consulting Preises 2006 überzeugt. Als einziges Technologie Consulting Haus der Endrunde in diesem Wettbewerb, wurde das Unternehmen mit dem zweiten Platz geehrt. Die Entscheidungskriterien hierbei waren, der Innovationsgrad und der Anteil des Beratungshauses am Projekt, sowie die durch den Kunden testierte Nachhaltigkeit des Erfolgs.
Bei einem großen Unternehmen (Automotiv) wurde von WMC ein hochintegriertes, prozessorientiertes Projekt zum Management der IT-Assets des Kunden etabliert, welches die Geschäftsprozesse des Kunden umfangreich und bedarfsgerecht unterstützt. Der innovative Ansatz hat nicht nur zu umfangreicher Transparenz bezüglich der IT-Assets und ihrer Beteiligung an den Geschäftsprozessen des Kunden, sondern ebenso zu bemerkenswerten Einsparungen geführt.
Detailprojektbeschreibung Projekts "Ganzheitliches IT-Lifecycle Management"
Hintergrund
Der Großkunde (7.500 MA) im Bereich Automotiv benötigte eine hochverfügbare und bedarfsgerecht planbare IT-Unterstützung zur Ausübung seiner Geschäftsprozesse. Exaktes Wissen bezüglich aller technischen, organisatorischen und kaufmännischen Daten betreffend die IT-Güter des Unternehmens sollte gewonnen werden. Dem Kunden war es dabei wichtig, dass die dazugehörigen Business Prozesse beschrieben und vereinheitlicht wurden. So wurde das Projekt "Ganzheitliches IT-Lifecycle Management" in Zusammenarbeit mit der auf IT-Security- und IT-Lifecycle Management spezialisierten Unternehmensberatung initiiert.
Ziel des Konzepts war eine möglichst hohe Integration aller zu den Assets gehörigen Daten. Im Einzelnen bezüglich ihrer Ausstattung, ihrer Ein- und Anbindung an die Infrastruktur (Server/Netze etc.), ihrer Zugehörigkeit zu Verträgen (Kauf, Service), der darauf eingesetzten SW-Lizenzen und der Risikoklassifikation. Im Hinblick auf in Zukunft anstehende Projekte, z.B. die "Zertifizierung nach ISO 27001", war die Verbindung der Assets mit den Daten des Risikomanagements wesentlich.
Businessprozesse im Mittelpunkt der Konzeption
Durch den konsequenten ganzheitlichen Start des Projekts aus Sicht der Anforderungen der Businessprozesse des Kunden hebt sich dieses von der gängigen Praxis der reinen Tool-Einführung deutlich ab.
Technisch wurde durch Beseitigung der Medienbrüche in den Prozessschritten der Arbeitsaufwand reduziert und optimiert.
Absolut neu und innovativ bei dieser hoch integrierten Realisierung eines IT-Lifecycle Managements ist die Einbindung der prozessrelevanten Daten aus dem IT-Security und IT-Risk Management. Durch die Zuordnung dieser Daten wird für die Verantwortlichen transparent, welche Wichtigkeit das einzelne IT-Asset innerhalb der Businessprozesse des Unternehmens einnimmt. Technisch sind alle zugehörigen Daten in einer gemeinsamen Datenbank vereint, damit geht diese Realisierung über heutiges "best-practice" für IT-Lifecycle Management deutlich hinaus. Neben den oben genannten Aspekten birgt dies den weiteren Vorteil, dass alle korrelierenden Daten den beteiligten Abteilungen und Entscheidern mit umfassenden Informationen zur Verfügung gestellt werden können. Damit sind diese in der Lage, tagesaktuell exakt zu planen und Entscheidungen aufgrund absolut transparenter Faktenlage zu treffen. Optimierungspotentiale werden schnell transparent und können zeitnah umgesetzt werden.
Ausgangssituation beim Kunden
Die Ausgangssituation beim Auftraggeber entsprach der, wie sie in vielen Unternehmen gleicher Größenordnung anzutreffen ist. Hardware und Software wurden von fünf Fachbereichen angefordert (Technische Entwicklung, Betriebsmittelbau, Fahrzeugbau, Dachsysteme, Materialwirtschaft/Einkauf/Logistik).
Jeder Fachbereich verwaltete seine IT-Assets in unterschiedlicher Software (Lotus Notes, Excel, Access) verwaltet. Daraus ergaben sich unterschiedliche Prozesse und Datenhaltung im Umgang mit den IT-Gütern. Standardisierte Prozesse waren nicht durchgängig etabliert. Die kaufmännischen Daten wurden händisch an die zuständigen Abteilungen (Anlagenbuchhaltung, Controlling, Finanzbuchhaltung) übermittelt und dort in SAP (AA, CO, FI) eingepflegt.
Die Bedarfsanforderungen wurden formlos an den Einkauf übermittelt. Die Beschaffung erfolgte über diesen mit einer eigen entwickelten Anwendung, Host-basiert.
Die Beziehungen von Verträgen, Assets und Lizenzen zueinander waren nicht exakt zuzuordnen, ein Soll- und Ist- Abgleich nur mit großem Aufwand möglich. Daraus ergaben sich Unsicherheiten bzgl. der sicheren Lizenzierung von Software, der Zuordnung von SLA (Service Level Agreement) Vereinbarungen zu den einzelnen Assets und der Gewährleistung für Hard- und Software.
Ebenso waren Planungsaufwand und -unsicherheit in Bezug auf die IT-Budgets unvermeidlich, da die Planungen je Periode händisch aus den nicht integrierten Systemen erarbeitet werden mussten. Die Möglichkeit der Zuordnung der IT-Assets zu den Risikokategorien und damit das Erkennen der Wichtigkeit des einzelnen Assets im Hinblick auf Business Continuity Prozesse (Integration - Ergebnisse IT-Riskmanagement) waren nicht gegeben und vorgesehen. Auswirkungen von Changes und Incidents im Infrastrukturbereich waren aufgrund mangelnder Kopplung von IT und Applikation nicht vorhersehbar – somit war es auch nicht möglich, dem Anwender (Interne Kunden) definierte Servicelevel auf der Basis von internen Vereinbarungen anzubieten.
Der User Help Desk konnte nur auf eine – nicht durchgängig von den Prozessbeteiligten gepflegte – Lotus Notes-Datenbank zugreifen.
Projektziele
>> Das einzuführende „Ganzheitliche IT-Lifecycle Management“ sollte die vorhandenen Daten aus unterschiedlichsten technischen und betriebswirtschaftlichen Systemen (SAP, Tivoli, Applikationsdatenbank) zusammenfassen und aufbereiten. Ziel war, den gesamten IT-Lifecycle der definierten Assets, von der Anforderung bis zur Entsorgung, abzubilden. Im Rahmen der Konzeption sollten für den Beschaffungsprozess Standards (Warenkorb) eingeführt werden.
>> Eine exakte Kenntnis der vorhandenen Geräte und ihrer Konfiguration sowie die dazugehörigen Verträge sollten jederzeit verfügbar sein. Die Qualität der Serviceprozesse sollte durch die Verfügbarkeit der kompletten IT-Asset-Daten verbessert werden. Das bedeutete, die Asset-Changes transparent darzustellen, damit Veränderungen an Konfiguration, Standortwechsel oder vorzeitige Entsorgung nicht mehr verloren gehen und an die entsprechenden Systeme weitergegeben werden können.
>> Im Hinblick auf Folgeprojekte, z.B. "Auditierung Sicherheitsmanagement nach ISO 27001", sollten wesentliche Informationen aus dem Risk- und Business-Continuity-Management im IT-LCM bzgl. der Risikoklassifikation der IT-Systeme abgebildet werden.
>> Es sollte eine einheitliche Bestands- und Betriebsführungs-, Verrechnungs- und Datenbasis geschaffen werden und damit eine transparente Planungsgrundlage für Bedarfsbewertung, Investitionen und Roll-Outs.
>> Neben diesen Einsparpotentialen sollte das IT-Lifecycle Management zu Qualitätsverbesserungen führen und externen Revisionsanforderungen entsprechen. Das sollte unter anderem durch eine exakte, auf eine Plausibilitätsprüfung ausgerichtete Lizenzverwaltung erreicht werden.
>> Durch transparente Informationen und definierte Prozesse sollten Prozesskosten gesenkt werden.
Projektaufbau
Mit dem Projektstart am 01.01.2005 wurde die Projektorganisation (Lenkungskreis, Projektleitung und Projektteam) etabliert.
Das Projektphasenmodell sah eine Untergliederung des Gesamtprojektes in vier Teilprojekte, zuzüglich der übergreifenden Businessprozessbetrachtung, vor. Es wurde mit dem Teilprojekt "Asset Management" gestartet und im Folgenden, zeitlich versetzt, mit den Teilprojekten "Contract Management", "Licence Management" und "Purchase Management" ergänzt.
Innerhalb dieser Teilprojekte wurde nach einem 4 Phasenmodell (Analysephase, Konzeptphase, Realisierungsphase und Einführungsphase) gearbeitet. Jede Phase wurde dokumentiert und kundenseitig abgenommen.
Teilprojekt Businessprozesse
Die Businessprozesse bilden die Grundlage für alle vier anderen Teilprojekte. Dieses Teilprojekt war über die gesamte Laufzeit bis zur Produktivsetzung aktiv und bildete auch die Basis für die Schulungsunterlagen.
Für die Konzeption der Soll-Prozesse wurde das komplette Lifecycle-Modell (alle 10 Module von der Anforderung bis zur Entsorgung, mit allen angrenzenden Tätigkeitsfeldern) herangezogen. Die Soll-Prozesse sowie zugehörige Rollen und Verantwortlichkeiten wurden durch Interviews und Workshops erarbeitet und definiert.
Die daraufhin verabschiedeten Soll-Prozesse wurden als ganzheitliche, abteilungsübergreifende, standardisierte IT-Lifecycle-Prozesse für alle IT-Güter mit dem Schwerpunkt Endgeräte beschrieben. Die Dokumentation erfolgte nach der Lovem-Methode.
Besondere Priorität in diesem Umfeld hatte die gleichzeitige Überprüfung und Optimierung der zugehörigen IT-bezogenen Prozesse (Evaluierung/Validierung, Einkauf/Beschaffung, Inbetriebnahme, Betrieb und Entsorgung). Über die Projektziele hinausgehende identifizierte Optimierungspotentiale wurden aufgrund der Komplexität zu Folgeprojekten erklärt und für eine spätere Umsetzung eingeplant (z.B. Vendor-Strategie). Die Rollendefinition wurde am ITIL-Prozessmodell orientiert.
Teilprojekte Asset-, Contract-, Licence-, Purchase
>> Analysephase
Für alle Teilprojekte wurde ein Vision and Scope (V&S) Workshop durchgeführt, um sich auf ein gemeinsames Verständnis des Projektes zu verständigen. Die Ergebnisse wurden in einem V&S-Dokument beschrieben. Dieses Dokument bildete die Grundlage für die Ausprägung der einzelnen SW-Module. Jegliche darüber hinaus gehenden Erkenntnisse im Verlauf des Projekts wurden in einer Change-Request-Liste dokumentiert und nach Projektende ggf. als Change Request ausgeführt.
>> Konzeptionsphase
Die Erkenntnisse aus dem Teilprojekt "Businessprozesse" wurden berücksichtigt und die entsprechenden Regeln (z.B. Genehmigungsstufen) beschrieben. Ebenso wurde ein Berechtigungskonzept für die definierten Rollen erstellt.
Es wurde ein neues Datenmodell entwickelt, das die mit den IT-Gütern in Zusammenhang stehenden Daten aus anderen Systemen umfangreich berücksichtigte. Das Datenmodell sieht eine Zusammenfassung der zusammengehörigen Komponenten der IT-Assets zu Funktionseinheiten (FE) vor. Daraus wurde mit dem Software-Hersteller gemeinsam die Parametrisierung der Datenfelder vorgenommen. Hierbei wurden auch die Datenfelder zur Pflege der benötigten Daten für die Integration von wesentlichen Informationen aus dem und für das Risk- und Security Management ergänzt.
In allen Teilprojekten wurden die Schnittstellen zu den angrenzenden Systemen definiert und dokumentiert. Es wurde die Datenübernahme für die "Erstbefüllung" aus den vorhandenen und ggf. abzulösenden Systemen beschrieben.
Erkenntnisse aus dem Teilprojekt „Businessprozesse" wurden berücksichtigt und die entsprechenden Regeln (z.B.
>> Realisierungsphase
Es wurde ein LCM-Test- und Produktivsystem aufgesetzt (u.a. Microsoft Windows Server 2003, Internet Information Server und SQL Server). Aus Kostengründen wurde bei dem Kunden auf ein separates Entwicklungssystem verzichtet.
Die User wurden im Microsoft Active Directory mit der entsprechenden Berechtigung versehen. Damit wird der User automatisch mit seiner Berechtigung in der LCM-Software angemeldet und geführt.
Die Anforderungen aus der Konzeptionsphase wurden im Testsystem unter Ausprägung der beschriebenen Schnittstellen abgebildet. Darauf folgte der Test der Anwendung durch das Gesamtprojektteam.
Es wurden Schulungsunterlagen erstellt und die Schulungen mit den Usern, Administratoren usw. durchgeführt.
Letztendlich erfolgte die Abnahme des Testsystems je Teilprojekt.
>> Einführungsphase
Alle User wurden im Produktivsystem eingerichtet. Es erfolgte die Definition und Bekanntmachung einer "frozen zone" (in dieser Phase dürfen keine Veränderungen im Produktivsystem und den Altsystemen durchgeführt werden) mit der Einführung des ersten Teilprojektes ("Asset Management"). Die Bestandsdaten aus den Altsystemen (Lotus Notes, Excel) wurden übernommen. Die Abschaltung der Altsysteme erfolgte mit dem letzten Teilprojekt. Die Schnittstellen zur Datenübergabe wurden produktiv gesetzt. Abschließend erfolgten die Produktivsetzung des Gesamtsystems und die Abnahme.
>> Projektergebnisse
Es wurden alle inhaltlichen Vorgaben aus den Projektzielen realisiert. An Einsparungen von Ressourcen und finanziell wurden bisher erzielt:
Intern - 10 Prozent Einsparung gegenüber bisherigen Ressourcen durch Optimierung des Engerätemanagements
Extern - 20 Prozent Einsparung bei Technikereinsätzen, 20Prozent Reduzierung der Beschaffungspauschale seitens externer Dienstleister.
>> Projektlaufzeit
Januar – November 2005.
(WMC Wüpper Management Consulting: ra)