Ein Cloud Computing Anbieter wird, ausgehend von einer Service Strategie, sein Cloud Service Angebot in seinem Portfolio im Wesentlichen ausgehend von den folgenden Fragestellungen verankern:

Warum sollen Kunden diesen Service einkaufen? Wieso sollen sie die Services von uns kaufen?

Wie sieht die Preisstruktur aus – oder wie erfolgt die Rückvergütung?

Was sind unsere Stärken und Schwächen, Prioritäten und Risiken?

Wie sollen unsere Ressourcen und Fähigkeiten eingesetzt werden?

Welche Fragestellungen ergeben sich aber auf der Service-Bezieher Seite, um ein mögliches Cloud-Angebot in das Portfolio einer „internen“ IT Service Organisation einordnen zu können ?

1. Service Anforderungen des eigenen Business, die wir nicht mit dem bestehenden Portfolio abdecken können oder wollen, die zu den typischen Diskussionen über die Vorteile einer Sourcing Entscheidung führen werden:

Wir sind zu teuer (ein CRM System können wir niemals so kostengünstig für unsere Sales & Marketing Abteilung anbieten, wie es z.B. Salesforce.com kann) !

Wir fokussieren uns nur auf unsere Kernkompetenzen (Business Analyse, Schnittstellen zum Business) !

Wir sind zu langsam und zu unflexible, bei uns dauert es Jahre, Lotus Notes abzulösen !

Wir haben kein Budget, und das Business wird uns keine zusätzlichen Mittel geben, um eine globale, „Unified Communication“ Lösung einzuführen !

Dieser Business-Prozess ist völlig neu für uns. Wir haben keinerlei Erfahrung in seiner Automation !

Unsere Testsystem-Verwaltung ist funktioniert nicht. Wann immer unser Business etwas neues Testen will, haben wir Probleme mit der Kapazität und mit der Verfügbarkeit.

2. Was sind die Anforderungen an einen „einzukaufenden“ Service ?

Zur Beantwortung dieser Frage kann man sich durchaus an die Struktur der allgemeinen Servicedefinition halten:

Der gelieferte Mehrwert des Service (siehe oben), dass, was ich intern nicht in der Lage bin zu erbringen in einem vernünftigen Verhältnis zum Aufwand.

Die Ergebnisse des Service (funktionale und nichtfunktionale): Der automatisierte Businessprozess, weltweit verfügbar, Tag und Nacht.

Die Servicekosten (im Vergleich zu den eigenen Kosten und den Marktpreisen)

Die Servicerisiken, die für mich gemanagt werden (Verfügbarkeit, Kapazitäten, Sicherheit)

3. Was sind die damit verbundenen, typischen Risiken bei Cloud Services ?

Neben den Risiken, die mein eingekaufter Service vor mir verbergen wird (z.B. Virenschutz), gibt es allgemeine Risiken, die mit dem externen Bezug verbunden sind und deshalb analysiert und gemanagt werden müssen (strategische, operationale, transaktionale und finanzielle Risiken)

4. Finde ich meine Service Requirements als ein Service Angebot überhaupt auf dem Markt wieder und welche Kompromisse bin ich bereit einzugehen ?

Hier verbindet sich das Service Portfolio des Cloud-Anbieters (über seinen Service Katalog) mit der Analyse Aktivität innerhalb des Portfolio Management Prozesses des Cloud Kunden. Ein Cloud-Anbieter wird Services für eine Vielzahl von Kunden anbieten und liefern, aber ein Kunde wird sich für nur einen Anbieter per Service suchen  – dies Ungleichheit wird letztendlich auf beiden Seiten zu einem Kompromiss führen (genannt „Vertrag“).

5. Welchen „value add“ bietet die eigene, interne IT Organisation während des gesamten Service Lifecycles, von der Definition des Services, beim Einkauf, bis zur Transition und in Service Operation ?

Schauen wir uns mögliche Szenarien an, um einem eingekauften Cloud Service mit den Assets der eignen, internen IT anzureichern am Beispiel von Service Design:

Eine solche Übersicht über alle Lifecycle Phasen eines eingekauften Cloud Services hinweg (so wie hier am Beispiel von Service Design) kann sehr wohl helfen, die eigene IT Organisation richtig zu platzieren und den eignen Mehrwert auch in Sourcing Situation gegenüber den eigenen Mitarbeitern und dem  Business hervorzuheben.

Die Einbindung von externen Services (so wie Cloud Computing) in das eigene Service Portfolio Management macht Sinn, wenn damit auch ein eigener Service in den Service Katalog aufgenommen wird.

Tweet

BYOD - Bring your own Device

Es nützt nichts – gegen diesen Trend können sich auch hart gesottene IT-Verantwortliche nicht standhaft wehren. BYOD – „Bring your own Device“ ist das aktuell heissdiskutierteste Konzept, dass jeder mit „seinem“ eigenen „Device“ arbeiten und auf die Unternehmensnetzwerke und Daten zugreifen kann. Und es scheint, als ob sich BYOD durchsetzt, obwohl dies manchen IT-Leiter erschaudern lässt. Wie soll da die Sicherheit noch gewährleistet werden – und wie soll man einen Geräte-Zoo unterstützen, wenn man gerade erst mit aller Mühe die IT-Standardisierung im eigenen Hause vorangetrieben hat?!

Mühsame Standardisierung

Als IT-Veteran mit bald 30 Jahren Erfahrung weiss ich, wovon ich rede. Das hat schon damals in den 90er Jahren angefangen, als das Internet in den Unternehmen Einzug erhielt. Wie hat sich doch unser damaliger Sicherheits-Verantwortliche lange und durchaus erfolgreich gewehrt und vollständig getrennte Netzwerke und abgeschottete PCs gefordert! Mit dem Aufkommen der Mobilen Devices gab es ebenfalls Riesenaufstände seitens der IT-Verantwortlichen. So, dass man die fordernde Masse von Benutzern in die Schranken weisen musste, um ja nur die firmeneigenen und zugelassenen Geräte einsetzen zu müssen. Mit dem Aufkommen der Smartphones wie iPhone,  welches die Integration zum Mailsystem kinderleicht gestaltete, haben viele IT-Organisationen angefangen, zu kapitulieren. Der Benutzer wurde immer mündiger.

Wieso also sich ständig gegen die von Benutzern bevorzugte Geräte auflehnen, während man laufend mit Akzeptanzproblemen der eigenen Standard-„Devices“ zu kämpfen hat. Die ständig aufreibenden Auseinandersetzungen mit dem Business bezüglich Einhaltung der selbst erstellten Sicherheitsregeln und der aus Kostendruck entstandenen Standardisierungsrichtlinien sind ermüdend. Der Umgang mit den oft ungeliebten, von der IT durchgesetzten Gerätschaften sind unter dem Strich eben auch aufwendig in der Schulung und im Support – und ein Dauerthema bei Service Desk Mitarbeitern.

Cortado Pressphoto - Bring Your Own Device

Kommt das wirklich gut, wenn nun jeder mit seinem persönlichen Gerät arbeitet. Die IT ist ja gar nicht in der Lage, all die verschiedenen Typen von Hardware-Modellen, Betriebssystemen und Apps-Software-Stände zu beherrschen, geschweige denn zu unterstützen. Gleichzeitig entschwindet die interne Infrastruktur irgendwo in einer externen Cloud (Lies mein letzter Blog-Beitrag: IT Services in der Cloud – aus den Augen, aus dem Sinn?). Ist Service Management für diese Art von Betrieb überhaupt noch geeignet, oder hat das Framework die Zeichen der Zeit verkannt? Braucht es eine IT überhaupt noch?

SPOC - Single Point of Contact

Ja, ich denke das kommt gut. Es muss einfach gut kommen. Und es wird auch in Zukunft eine Service Organisation brauchen. Nur eine andere als heute. Als IT-Veteran habe ich miterlebt, wie schwer sich die Benutzer mit der Einführung des PCs am Arbeitsplatz getan haben. Benutzerfreundlichkeit der Geräte und Anwendungen waren immer zentrale Anliegen, welchen man mehr oder weniger von den technologie-verliebten Programmierern und Systemtechnikern abverlangen konnte. Die Einführung eines Service Desks, welches als SPOC (Single-Point-of-Contact) eine Hilfestellung bei Störungen und Nutzerproblemen bot, war und ist immer noch die Errungenschaft, welche IT Organisationen dem Business näher gebracht haben. Der Service war eben primär in der Hilfestellung bei der Nutzung und im Umgang mit den IT-Systemen und –Geräten geboten. Service Management hat mit Incident und Problem Management ihre Blütezeit gehabt.

Workplace Digital Native

Nun kommt eine neue Generation von Benutzern in die Unternehmen. Die sogenannten „Digital-Natives“ welche mit den Computern, den Web 2.0 Technologien und sozialen Netzwerken aufgewachsen sind, haben ein vollständig unverkrampfteres Verhältnis zur IT und den Geräten. Sie wollen von überall ihre Arbeiten erledigen können – am liebsten von ihren eigenen „Devices“ aus, welche sie am besten kennen.  Auf diesen Geräten sind sie in aller Regel auch produktiver, mobiler, zufriedener und effizienter bei ihrer Arbeit. Diese neuen Benutzer können einfache Probleme in aller Regel auch selber lösen und sind nicht so schnell auf die Unterstützung eines Help-Desks angewiesen.

Service Tankstelle

Und gerade hier muss der Paradigmen-Wechsel stattfinden. Während viele IT-Leiter das Thema Service Management und ITIL® immer noch primär in der Ecke „Incident/Problem/Service-Desk“ sehen und deren Aufgabe primär in der schnellen Fix-Rate verstehen, wird sich ein dramatischer Wandel vollziehen, was die Daseinsberechtigung von IT-Organisationen anbelangt. Nicht das Beheben von Störungen ist in Zukunft im Vordergrund – sondern das Erbringen von Services. Analog zur kleinen Garage im Dorf, wo man früher sein defektes Auto zum Reparieren gebracht hatte, stehen heute Full-Service-Stationen welche Lebensmittel verkaufen.

Apple Store

Ob das SPOC-Konzept in Zukunft noch funktioniert, wird aber fraglich sein. Beim klassischen SPOC geht man von der 80/20-Regel aus. Das heisst, dass 80% der Kontakte rund 20% der Probleme betrifft und daher mit den geschulten Service Desk Mitarbeitern gelöst werden können. Der Service Desk der nächsten Service Management Generation ITSM 2.0 ist zu vergleichen mit einem Apple Store (Siehe Artikel: “10 Things You Can Learn From the Apple Store“). Klar werden auch Defekts behandelt – aber primär wird auf den Kunden eingegangen und ihm ein Service – neue Produkte und Lösungen angeboten. Der Fokus liegt weniger auf Incident-Handling denn auf Service-Erbringung. Die Spannweite von Produkten und Kontakten sprengt das 80/20-Prinzip des klassischen SPOCs.  Das sieht man heute bereits in komplexen Organisationen, wo der Service Desk oft nur Durchlaufstation ist und die Triage zu den spezialisierten Support Teams wahrnimmt.

BYOD - Ein Service der IT

Der einzelne Service Desk als SPOC wird in Zukunft zu einer Illusion. Die Alternative wird ein MPOC – ein Multiple Point of Contact, wo es für verschiedene Themenbereiche unterschiedliche Service Desks mit genügend Knowhow und Erfahrung gibt, und wo der Benutzer unmittelbaren Support erhält. Der Fokus muss in Zukunft auf der Bereitstellung von robusteren und zuverlässigeren Anwendungen sein. Und das ist genau das, was sich im Apps-Markt abspielt. Wie erste Erfahrungen zeigen, geht der Supportaufwand interessanterweise bei BYOD-Organisationen stark zurück während die Zufriedenheit der Anwender steigt. Die Benutzer sind in aller Regel mündiger und können sich selber helfen.

Fazit: BYOD darf nicht als Schreckensgespenst der Zukunft angesehen werden. Es gilt vielmehr, sich auf diese Entwicklung einzustellen und die Hausaufgaben bezüglich Sicherheit und Anbindung an das Firmennetz zu machen. Die Zukunft liegt nun mal in der Vernetzung und weniger in der Abschottung. Je eher IT-Verantwortliche sich dieser Herausforderung stellen, desto eher bereiten sie ihre IT-Mitarbeiter auf das vor, was ohnehin auf sie zukommen wird. Die Frage ist nur, ob er selbst dabei die Zügel in der Hand behält. Service Management wird mit Bestimmtheit zur Kernaufgabe eines Service Providers. Eben im Erbringen von erstklassigen Services – und weniger bei der Behebung von Störungen.

Tweet

Man kann den Umfang dieses Releases schon mit dem Wechsel von ITIL® V2 auf V3 vergleichen. Doch während bei ITIL® die Wogen der Entrüstung und die Angst vor der neuen Komplexität lange anhielten, werden sich all jene, welche sich noch mit der Vorgängerversion 4.1 herumgeschlagen haben, sehr schnell anfreunden und die Vorzüge der besseren Strukturierung sowie die absolut hervorragenden Integration der verschiedenen Themen zu schätzen wissen.

Eine erste Information zum neuen COBIT Release 5 habe ich bereits letzten August dokumentiert „COBIT 5 – eine reife Leistung!“. Ich möchte Euch heute vor allem zwei zentrale Elemente dieses neuen Releases aufzeigen. Erstens die Ziel-Kaskadierung von den Unternehmenszielen auf die IT-Ziele; und von den IT-Zielen  zu den Prozess-Zielen. Dann möchte ich die Granularität der Prozess-Beschreibungen aufzeigen, welche in dieser Detaillierung eine echte Bereicherung und Ergänzung zur reinen ITIL-Sicht darstellt. Dazu aber etwas später.

Das Governance Framework hat einen erstaunlichen Wandel durchgemacht. Als die erste Version 1996 publiziert wurde, war es nicht mehr als eine Checkliste für IT-Auditoren. Schon zwei Jahre später wurde in der zweiten Version das Prinzip der „Control Objectives“ im Auditoren-Umfeld populär, weil erstmals die Zielzustände beschrieben wurden, wie Kontrollen zu definieren sind.

COBIT History

Im Jahre 2000 wurde das Framework in seiner dritten Version für das Management nutzbar. Die Prozesse wurden mit RACI-Charts, Aktivitäten und Zielen ergänzt. Als Governance-Framework für die IT wurde das Rahmenwerk in seiner vierten Version bereits ein mächtiges und weit beachtetes Referenzmodell, um Governance-Strukturen aufzubauen. Sobald es heute bei der Umsetzung von regulatorischen Anforderungen in der IT geht, wird vom Regulator auf COBIT verwiesen – und nicht etwa auf ITIL (…). COBIT war aber bis zu dieser Version auf die IT Umgebung begrenzt. In der aktuellen Version 5 hat COBIT die gesamten Informationen des Unternehmens im Scope. Es nennt sich daher auch Governance of Enterprise IT: GEIT.

Principles COBIT 5

Wichtige Bestandteile des COBIT 5 Frameworks sind die Prinzipien und die sogenannten Enabler. Die Prinzipien stellen die fest verankerten Grundsätze dar, welche für den Aufbau einer wirkungsvollen Governance beachtet werden müssen:

1. Meeting Stakeholder needs: Unternehmen können nur existieren, wenn sie einen Mehrwert generieren. Den Nutzen zu realisieren, die Risiken zu optimieren und die Ressourcen treuhänderisch und optimal einzusetzen ist durch klare Zielsetzungen und Messkriterien sicherzustellen.
2. Covering the Enterprise end-to-end: Die Governance und das Management von Informationen wird in COBIT 5 aus einer unternehmensweiten Sicht betrachtet. Daher lässt sich das Governance System der Enterprise IT auch nahtlos in jedes Unternehmens Governance System integrieren.
3. Applying a Single Integrated Framework: COBIT 5 hat sich auf die heute relevanten Framewok ausgerichtet und deckt alle Unternehmensthemen ab. COBIT 5 positioniert sich als Integrationsframework für andere Standardwerke.
4. 

   Enablers COBIT 5

   Enabling a Holistic Approach: Enablers sind Faktoren welche einzeln oder im Kollektiv einen Einfluss darauf nehmen, ob die Governance funktioniert oder nicht. Diese Enablers werden durch kaskadierende Ziele angetrieben. Beispielsweise definieren höhere IT-Ziele was die unterschiedlichen Enabler erreichen müssen.

5. 

   Trennung Governance & Management

   Separating Governance from Management: COBIT 5 macht eine klare Unterscheidung zwischen Governance und Management. Governance stellt sicher, dass die Stakeholder Bedürfnisse, Bedingungen und Optionen bewertet werden und die notwendigen Direktiven erlassen und kontrolliert werden, um diese umzusetzen. Management ist dafür zuständig, die alle dafür notwendigen Aktivitäten zu planen, zu betreiben und zu überwachen, um die Direktiven und Ziele zu erfüllen.

Verlinkung der Unternehmensziele mit den IT-Zielen

Verlinkung Enterprise-Goals mit IT-Goals

Dieses Feature war bereits in der Version 4.1 enthalten – jedoch von vielen nicht beachtet. Die Zielkaskadierung wurde in der Version 5 vollständig überarbeitet. Ausgehend von den Stakeholder-Bedürfnissen, welche durch eine Reihe von Einflussfaktoren wie beispielsweise Strategie-Änderungen, Business-Änderungen, Regulatorische Veränderungen etc. geprägt werden sind in COBIT 5 auf Basis einer Balanced Scorecard 17 generische Unternehmensziele definiert worden.

Die Erreichung dieser Unternehmensziele bedingt eine Anzahl von IT-bezogenen Ergebnissen, welche in COBIT 5 durch „IT-related Goals“ dargestellt werden. IT-related steht dabei für Informationen und zugehörige Technologie. In COBIT 5 wurden diese IT Ziele ebenfalls in einer IT Balanced Scorecard generisch festgehalten.

In der Graphik werden nun die Unternehmens-Ziele mit den IT-Zielen verlinkt. Dabei wird mit „P“ der primäre Einfluss dargestellt, „S“ sekundär.

IT Goals - Process Goals

Verlinkung der IT-Ziele mit den Enabler-Zielen
Um die IT Ziele zu erreichen, müssen die eine Reihe Enabler erfolgreich angewendet werden. Diese Enabler beinhalten Grundsätze, Richtlinien, Prozesse, Organisations Strukturen, Kultur & Ethik, Informationen, Services sowie Mitarbeiter mit Erfahrung, Kompetenzen und Ausbildung. Für alle diese Enabler gibt es ein spezifisches Set an Zielen, welche die IT-related Ziele unterstützen.

Die COBIT 5 Prozessbeschreibung

Prozess Reference Model COBIT 5

Das COBIT 5 Prozessframework umfasst 37 Prozesse! Folgende Prozesse sind gegenüber der Version 4.1 neu oder stark überarbeitet worden:

• APO03 Manage enterprise architecture.
• APO04 Manage innovation.
• APO05 Manage portfolio.
• APO06 Manage budget and costs.
• APO08 Manage relationships.
• APO13 Manage security.
• BAI05 Manage organisational change enablement.
• BAI08 Manage knowledge.
• BAI09 Manage assets.
• DSS05 Manage security service.
• DSS06 Manage business process controls.

Beispiel Incident Management Teil 1

Diese Prozesse umfassen nun die End-to-End Business und IT Aktivitäten in einer ganzheitlichen unternehmerischen Sicht. Gegenüber der Version 4.1 wird der Input und Output nicht bloss auf Ebene Prozesse beschrieben, sondern auf Ebene der Management oder Governance Praktiken.

Incident Management RACI Chart COBIT 5

Die Governance und Management Praktiken ersetzen die in den Vorgängerversionen definierten „Control Objectives“. Die „Control Practices“ sind neu in COBIT 5 als Aktivitäten der Management Praktiken vollständig integriert.

Incident Mgmt Prozess Praktiken

Ebenfalls die auf Basis von COBIT 4.1 entwickelten Frameworks „Val IT“ und „Risk IT“ sind vollständig in das Basis-Framework COBIT 5 integriert. Dadurch ist die neue Version vollständiger und handlicher in der Handhabung.

Mit der aktuellen Publikation sind jedoch noch nicht alle Guidelines verfügbar. Bis im Herbst 2012 sind insbesondere folgende Produkte zu erwarten:

Prozess Enablers

• COBIT 5 for Information Security
• COBIT 5 for Assurance (Audit Guidelines)
• COBIT 5 for Risk
• COBIT 5: Enabling Information
• COBIT Online Replacement (Ersatz vom heutigen COBIT Online)
• Process Assessment Model (PAM):  Using COBIT 5
• Assessor Guide:  Using COBIT 5
• Self-assessment Guide:  Using COBIT 5

Im Unterschied zu ITIL stellt ISACA als Owner und Treiber von COBIT die Publikationen elektronisch gratis zur Verfügung. Die folgenden Links führen direkt zu den entsprechenden Informationen:

COBIT 5 Product Family
COBIT 5 FAQs
COBIT 5 News
Introduction COBIT5 English

Ausbildung und Zertifizierungsprogram für COBIT 5
Es ist zu erwarten, dass die Foundation-Ausbildung bis im Herbst 2012 zertifizierbar sein wird. Anlässlich des ITIL Forums Schweiz findet ein Pre-Workshop „COBIT 5 Overview“ statt, in welchem bereits eine sehr vertiefte Sicht zur Handhabung dieses neuen Frameworks vermittelt wird.

Die Glenfis AG bietet zudem gezielte Ausbildungen für Service Manager in der Anwendung von COBIT an. Es lohnt sich, den Blick für die Governance zu öffnen. Denn ohne Governance ist auch für das Service Managment das Fundament für die Generierung von Mehrwert, für eine wirkungsvolle und effiziente Erreichung der Business-Ziele nicht gefestigt.

Arbeiten Sie bereits mit COBIT? Wie positionieren Sie COBIT und wo sehen Sie Synergien mit ITIL? Ihre Meinung interessiert mich.

Tweet

Da haben interne IT Organisationen nun einen schweren Stand. Wurden früher Anfragen aus den Fachbereichen mit schnöden Hinweisen auf fehlendes Budget und Ressourcen ruhiggestellt, müssen sie sich heute ganz anders rechtfertigen. So wie Cloud-Services aus dem Boden schiessen, können keine klassischen Projekte mehr abgewickelt werden. Für das Geld, das man früher sich ein Grobkonzept in der IT leistete, werden heute pfannenfertige Services über mehrere Jahre bereitgestellt. Da kann man beim besten Willen nicht mehr konkurrenzieren.

Solange es sich nur um Rechnerleistungen oder Funktionalitäten handelt, sind solche Ressourcen auch völlig unproblematisch. Sobald jedoch Daten gelesen, verarbeitet, verändert und gespeichert werden, kommen unweigerlich Sorgfaltspflichten zum Tragen, welcher sich eine Unternehmung nicht entziehen kann. Die Internet-Foren sind zurzeit voll mit Sicherheitsfragen und –Antworten im Cloud-Bereich. Und kein Cloud-Anbieter kann es sich auf die Dauer leisten, diesen Fragestellungen keine adäquate Lösung anzubieten.

Interne Services unter interner Kontrolle

Das Unternehmen kann sich aber von seinen Sorgfaltspflichten nicht einfach mit einer Lösung freikaufen. Letztlich bleibt die Unternehmensführung für den ordnungsgemässen Ablauf und Handhabung der Unternehmensdaten verantwortlich; und seinen Kunden auch schuldig.

Da heute praktisch alles was mit Informationen zu tun hat über IT Systeme verarbeitet und automatisiert wird, kommt die IT Organisation in die Pflicht, die Management Kontrollen in den Systemen, den Applikationen und den Prozessen einzurichten. Die Management Kontrollen müssen in den Systemen und Prozessen so ausgestaltet sein, dass mit genügend Sicherheit die Einhaltung der Vorgaben garantiert werden kann.

In reinen internen IT Organisationen kann diese Management Kontrolle auch mit entsprechenden Einrichtungen und Prozessgateways wahrgenommen werden. Alle Änderungen beispielsweise werden ordentlich beantragt, autorisiert und überwacht. Datensicherungen und –Haltungen werden in den dafür vorgesehenen Medien und Aufbewahrungsorten gemacht. Der Zugriff auf Daten, Ressourcen und Applikationen wird restriktiv gehandhabt und getrackt. Für all diese Tätigkeiten wird Buch geführt und dem Management berichtet. Eine Quality- oder Audit-Stelle führt regelmässige Stichproben und Prüfungen durch, um die Einhaltung von unabhängiger Seite zu verifizieren und Verbesserungen anzustossen.

Cloud Services: Wie sieht es mit der Management Kontrolle aus?

Wie sieht dies aber beim Bezug von Services aus der Cloud aus? Sind die Sorgfaltspflichten mit der routinemässigen Rechnungskontrolle getan? Mitnichten. Es stellt sich vielmehr die Frage, wie und welche Management Kontrollen notwendig sind – und wie diese auch durchgeführt, respektive beim Cloud-Provider durchgesetzt werden können. Lässt sich ein Cloud-Provider in die internen Karten schauen und ist er bereit, seine Abläufe offen zu legen? Bedingt er sich nicht jegliche Risiken in seinen wohl 100seitigen allgemeinen Geschäftsbedingungen einfach weg?

In der Euphorie der Cloud-Hysterie sollte man sich ein paar Hausaufgaben nicht verkneifen. Letztlich handelt es sich bei einer Cloud-Strategie um eine spezifische Form des Sourcing. Der Schritt muss gut überlegt sein. „Sourcing a mess is an outsourced mess!“ Wenn ein Management keine Übersicht über die notwendigsten Kontrollen innehat, dann muss man sich wohl fragen, wie die Führung und Steuerung bis anhin funktionierte. Wohl eher schlecht als recht muss man vermuten. Das heisst nicht, dass die IT nicht funktioniert unter solchen Umständen. Solange nichts Gravierendes passiert und das Business auch über Fehlinvestitionen hinwegsieht (oder sich täuschen lässt), kann die Angelegenheit intern „geregelt“ werden.

Je mehr Rechenschaftspflicht dem CIO übertragen wird, desto mehr ist er gezwungen, die Management Kontrollen wahrzunehmen und einzufordern. Er ist sich den Risiken bewusst, wenn diese Kontrollen versagen oder nicht wahrgenommen werden. Entsprechend wird er Massnahmen einrichten wie beispielsweise Gewaltentrennung zwischen Entwicklung und Betrieb, oder Vier-Augenprinzip bei wichtigen Geschäftsfällen.

Klärung der Verantwortlichkeiten

Bei einer Cloud-Strategie muss sich der verantwortungsbewusste CIO gut überlegen, welche seiner Management Kontrolle nun in die Kontrolle des Cloud-Anbieters wechseln und wie er seine Kontrolle trotz allem noch wahrnehmen kann. Welche Kontrollen kann er sich in den Verhandlungen mit dem Anbieter vertraglich zusichern lassen und wo muss er allenfalls kompensierende Massnahmen überlegen, welche eine angemessene Sicherheit geben, dass der Cloud-Anbieter die Sorgfaltspflichten wahrnimmt.

Idealerweise verfügt der Cloud-Anbieter über ein zertifiziertes Management System wie beispielsweise ISO/IEC 20000 oder ISO/IEC 270001 und demonstriert dadurch, dass er Prozesse soweit eingerichtet und im Betrieb hat, sodass ordnungsmässige Prozessverarbeitung und die Wahrnehmung der Verantwortlichkeiten berechtigt vermutet werden können. Durch entsprechendes Reporting sowie Involvierung in Schlüsselprozessen (wie beispielsweise Change Management) lässt sich der CIO vom Cloud-Anbieter aktiv einbinden.

Cloud Services unter interner Management Kontrolle

Management Kontrolle kann der CIO aber nur wahrnehmen, wenn er die Verantwortlichkeit in seiner Organisation behält. Gerade bei Schlüsselprozessen muss er die Rolle des Prozess-Owners intern besetzen und die Wahrnehmung dieser Verantwortung in der Zusammenarbeit mit dem Cloud-Anbieter demonstrieren. Er kann sich nicht darauf verlassen, dass alles gut kommt beim externen Profi. Vielmehr muss er durch aktives Einbringen und Einfordern, Kontrolle über Input und Output sowie Messung der Performance die Leistungen soweit angemessen überprüfen, dass Risiken rechtzeitig erkannt und gebannt werden können. Das Unternehmen muss jederzeit wissen, wo die Daten gespeichert, verarbeitet und zugegriffen werden – und von wem.

Letztlich muss gerade auch in einer Cloud-Strategie nicht nur der Transfer in die Cloud geregelt werden. Insbesondere der Rückzug aus der Cloud in eine andere Cloud – oder wieder zurück ins eigene Unternehmen muss mit klaren Pflichten und Verantwortlichkeiten festgelegt sein. Da reicht blosses Vertrauen nicht – so etwas ist in regelmässigen Abständen auch zu überprüfen und zu testen; und wenn es nur auf dem Papier ist.

Services in der Cloud sind eine bestechende Sache. Die Wolke soll aber nicht versinnbildlichen, dass die Sicht vernebelt bleibt. Transparenz, Durchblick und Kontrolle sind gerade in der Cloud die kritischen Erfolgsfaktoren, um keine bösen Überraschungen zu erleben.

Tweet

ITIL-Forum 2012

Wie jedes Jahr wird der Anlass von nationalen und internationalen Experten unterstützt. Ganz besonders freuen dürfen wir uns auf Sharon Taylor, die ITSM Queen und ITIL V3 Projektleiterin aus Kanada. Sie wird die Eröffnungs-Keynote halten mit dem Titel „Governance & Service Management“ und damit die Frage erläutern, weshalb wir nach mehr als 20 Jahren ITIL immer noch mit den gleichen Fragestellungen konfrontiert werden.

Ein weiterer Gast ist Paul Wilkinson, Geschäftsführer und Gründer der Gamingworks. Im Rahmen einer Pre-Workshop Veranstaltung ABC-mit-Apollo13 wird er die Worst Practices in IT Organisationen ermitteln und anlässlich des Forums die Resultate im internationalen Vergleich präsentieren.

Gespannt sein dürfen wir auch auf Urs Meier, den zu den Besten gehörenden FIFA Schiedsrichter, erfolgreichen Geschäftsmann, Berater der FIFA und UEFA, Kommentator des ZDF. Er wird die Management Sicht ausserhalb der IT in die Veranstaltung einbringen. In seinem Referat werden die Parallelen zwischen Sport und Wirtschaft aufgezeigt. Was für Eigenschaften braucht man zum Führen und Leiten?

Was sind die Antworten und praktischen Erfahrungen mit den heutigen Herausforderungen in der Praxis? Dies und vor allem Erfahrungsaustausch ist das Motto des vierten ITIL-Forum Schweiz.

1.Tag: Qualität um jeden Preis?
Was macht denn die Qualität eines Services aus? Worin liegt der Wert des Service aus Sicht unserer Nutzer und Kunden? Was sind die Erfahrungen im Alltag und wie wird bereits im Design der Services auf die Qualität im Tagesgeschäft Rücksicht genommen? Wie hat sich der Dialog mit dem Business in den letzten 4 – 5 Jahren entwickelt?

Vortragsthemen:

• Service Qualität – Was sind heute die Ansprüche?
• Performance Management – von Statistiken zu echten Leistungsaussagen
• Service Kultur – Welchen Stellenwert hat das Serviceverhalten beim Management?
• Business Relationship Management – Mehr als Service Katalog und SLAs

2. Tag:  Service Management 2.0 -  Was kommt denn noch?
Der Wolke kann man sich nicht entziehen. Aus der Virtualisierungstechnik endstanden, entpuppen sich wahre Goldgruben von Anwendungen und scheinbar unbegrenzte Kapazitäten aus der Steckdose. Dadurch entstehen nun völlig neue Herausforderungen, welche IT Organisationen mit den klassischen Delivery-Ansätzen nicht mehr zu erfüllen vermögen.

Wie gehen IT Organisatinen mit der neuen Technologie um und wie kann Service Management dazu beitragen, diese neuen Herausforderungen zu kontrollieren und zu steuern?

Vortragsthemen:

• Kontrollierte Service Umgebung – Wie halte ich als Manager die Fäden zusammen?
• IT Governance – Erfahrungen mit der konsequenten Durchsetzung
• Service Management 2.0 – eine neue Generation? – oder bloss folgerichtige Anwendung von ITIL?

Paxmontana Jugendstil Hotel

Umrahmt wird der diesjährige Anlass durch einen Abend der besonderen Art. Teilnehmende, welche beide Forumstage besuchen, sind zu einem Abendprogramm in entspannter Atmosphäre eingeladen. Dort können Kontakte zu Fachkollegen geknüpft werden und die gewonnenen Eindrücke diskutiert werden. Für das gediegene Nachtessen entführen wir alle in das neu renovierte und historische Jugendstil-Hotel Paxmontana in Flüeli Ranft (www.paxmontana.ch).

Tweet

Und auch im deutschen Sprachraum tun sich derzeit viele sehr schwer mit ITIL. Gerade die bücherschleppenden, von Tür-zu-Tür pilgernden Berater, die Alles-out-of-the-box Verkäufer und noch mehr die selbsternannten Service-Analysten welche ihre eigene Lehre verbreiten wollen, weisen die Schuld der schlechten Erfahrungen in der Umsetzung gerne den ITIL-Büchern zu. Zugegeben, die Bücher sind keine Garantie-Formel und erst recht kein Kochbuchrezept. Den Weg zum Gipfel müssen alle selber gehen.

Wir werden ITIL installieren - das wird doch wohl nicht so schwierig sein

Ja, wenn Service Management Implementationen misslingen, dann ist das mit Bestimmtheit irgendjemandes Schuld:

• Berater, welche bloss Theorie predigen und nichts wirklich überführen
• Verkäufer, welche zu viel verkaufen oder Prozesse out-of-the-box versprechen
• Das Management, welches unrealistische Ziele setzt (z.bsp. alle ITIL V3 Prozesse in 9 Monaten, oder die finanziellen Mittel nicht sprechen, oder den Support verweigern)
• Die Arbeit wird an Lieferanten vergeben, welche auf Basis der produzierten Papiere oder irgendwelcher erreichter Projektmeilensteine gemessen werden
• Die Einkaufs-Spezialisten, welche gemachte Erfahrungen ignorieren und diese bei der Vergabe von Aufträgen nicht berücksichtigen
• Die Mitarbeiter-Aspekte wie Einstellung, Verhalten und Kultur werden ignoriert und dadurch nichts verändert

ITIL ist ein Leitfaden, eine Empfehlung – keine Norm. Ein englisches Sprichwort besagt: „Guidance is for the wise, Rules for the foolish”.

Schuld ist also nicht die Methode, welche ITIL empfiehlt. Vielmehr sind es die übereifrigen, pingeligen, aufdringlichen, fehlgeleiteten, geschwollenen, dogmatischen, theoretischen, abgehobenen (…) Menschen, die die Fehler verursachen.

Ein Beispiel solcher dogmatischen Diskussionen sind im folgenden Xing-Thread nachzulesen, welche nach der Publikation eines simplen ITIL-Glossars entstanden sind.

ITIL wird als Ziel definiert - nicht das, was man eigentlich erreichen sollte

Gründe dazu gibt es viele. Sicherlich hat die ITIL-Industrie selbst dazu beigetragen. Gerade die ITIL-Zertifizierungsprogramme helfen dem Einzelnen zwar, die richtige Antwort auf dem Prüfungsbogen anzukreuzen – aber selten Fragestellungen aus der Praxis zu beantworten. Darauf habe ich in einem meiner früheren Posts bereits hingewiesen (ITIL experimentell erlernen – spielerisch, dafür nachhaltig).

Service Management ist komplex. Das Business ist in den letzten 10 Jahren auch komplexer geworden. Es gibt nicht die eine einzige Lösung, welche für alle passt. Service Management muss adaptiert werden – und ITIL ist dabei ein Leitfaden, wie das gemacht werden kann. „Adapt and adopt“ ist die Devise. Und ITIL ist nicht in Stein gemeisselt. Es ist jeder aufgerufen, Verbesserungen einzubringen. Gerade der letzte Update Edition 2011 ist aus Feedbacks der Öffentlichkeit entstanden.

IT denkt, man muss das Business nicht verstehen

Bei der Umsetzung von Service Management muss das Business im Fokus sein. Wer ITIL versucht zu implementieren, ohne die damit zu lösenden Businessprobleme zu definieren, wird mit Garantie scheitern. ITIL beschreibt wie man designt, betreibt, ausführt, sich verhält, misst und wie man Verantwortlichkeiten zuweist. ITIL ist ein prozessorientiertes Framework – aber es ist selber kein fertiges Prozessmodell. Es ist auch kein Organisationsmodell. Es ist eine Sammlung an Good-Practice Empfehlungen, welche bei der Umsetzung zu berücksichtigen sind. Mehr nicht – aber auch nicht weniger.

Also begrabt nicht die Botschaft von ITIL – schiesst eher auf die unbeholfenen Boten.

Tweet

Im Part I des Blogs habe ich die 5 Herausforderungen vorgestellt, mit welchen IT-Organisationen derzeit konfrontiert sind und es ihnen fast verunmöglichen, den erwarteten Nutzen zu demonstrieren:

1. Der Wert der IT kann nicht genutzt werden – Das Business erkennt das Potential zu wenig
2. Schwierigkeiten mit der Einhaltung gesetzlicher Vorschriften – Automatisierung und Globalisierung machen IT Systeme komplex in der Einhaltung der lokalen Gesetze
3. Sicherheitsbedenken – Die Mobilität und Cloud-Technologie erschweren die Übersicht, wer wo und wann auf Daten und Informationen zugreift.
4. Beherrschung der Komplexität – Kein einzelner in der Organisation hat den Überblick, wie alles zusammenhängt und funktioniert
5. Anpassungsschwierigkeiten an sich wandelnde Erwartungen – „Time to market“ und Gewährleistung der Stabilität müssen gemanagt werden können

Ob all dieser schier nicht zu bewältigenden Herausforderungen muss man sich fragen, ob es überhaupt noch eine Hoffnung gibt. Auch hierzu hat die Empire-Research Studie eine interessantes analysiert:

• IT ist nicht mehr nur Technologie, sondern eine sich weiter entwickelnde Branche
• Es gibt Schritte, die unternommen werden können, um sowohl den internen IT-Wandel als auch den Wandel des Business zu unterstützen

In diesem Blog möchte ich die Lösungswege aufzeigen, welche gemäss der Empire-Studie den Ausweg aus dieser prekären Situation ermöglicht, ja den eigentlichen Silberstreifen am Horizont darstellt.

Wichtigste Erkenntnis der Studie ist, dass die IT ist nicht mehr nur Technologie, sondern eine sich weiter entwickelnde Branche ist. Es gibt durchaus Schritte, die unternommen werden können, um sowohl den internen IT-Wandel als auch den Wandel des Business zu unterstützen

Die folgenden 6 Schritte sind gemäss Empire-Research in jedem Fall von IT Organisationen anzugehen, um die eigene Daseinsberechtigung für das Business zu begründen.

Schritt Nr. 1: Werden Sie serviceorientiert
Für IT Abteilungen ist es heute unabdingbar, ein Service Management System (SMS) aufzubauen. Dieses Management System hat den Zweck, den Mehrwert durch Serviceorientierung und konsequente Zielorientierung zu erreichen. Das SMS stellt dabei sicher, dass Kosten und Risiken besser unter Kontrolle sind.

Serviceorientierung geht nicht ohne Kundenfokussierung! Es ist unbedingt erforderlich, die Kunden wirklich zu verstehen. Forschungen haben gezeigt, dass Kunden analog einer Speisekarte im Restaurant in der Lage sein müssen, genau das zu bekommen, was sie bestellt haben. Und sie haben Anspruch auf Qualität. Die Kunden müssen nicht unbedingt wissen, wie der Koch das Essen zubereitet hat – oder wie die Dienstleistung zustande gekommen ist.

Die Kunden müssen jedoch verstehen, dass die IT eine Dienstleistung liefern müssen, die die geschäftlichen Erwartungen erfüllen.

Schritt Nr. 2: Einbeziehen aller Departemente innerhalb der IT
Die Einbindung aller Abteilungen ist unverzichtbar, um eine end-to-end Qualität gewährleisten zu können. Dies ist eine entscheidende Voraussetzung dafür, die Stimme des Kunden zu verstehen und ihm auf diese Weise werthaltige Dienstleistungen liefern zu können

Zwischen 70 und 80% aller IT-Projekte scheitern aufgrund einer Kombination aus schlechter abteilungsübergreifender Kommunikation und Integration – vom Betrieb über das Personalwesen bis hin zum CFO.

Die IT Organisation muss lernen, ihr Tun mit den geschäftlichen Zielen zu verknüpfen und den Beitrag der IT dazu zu verstehen. Es geht darum Möglichkeiten festzustellen, wie die IT einen messbaren Beitrag zum Erreichen der geschäftlichen  Ziele leisten kann. Diese Ziele werden dann priorisiert und es werden ihnen entsprechende Ressourcen zugeordnet. So kann die IT proaktiv zum Erreichen geschäftlicher Ziele beitragen und muss nicht passiv nur auf Fragestellungen reagieren.

Schritt Nr. 3: Wechseln Sie von reaktiv zu proaktiv
Für IT Organisationen kommt es jetzt sehr stark darauf an, den Vorsprung nicht zu verlieren. Die angebliche Komfortzone, in der das Business immer brav die eigene IT bevorzugt, wird sich so nicht einfach halten lassen.

Die Technologiekurve wird steiler, insbesondere im Bereich Sicherheit. Proaktive Führungspersonen müssen in der Lage sein, Sicherheitsfragen und Kundenansprüche zu antizipieren, zu verstehen, zu koordinieren und zu beeinflussen.

Zudem gilt es proaktiv bei der Einhaltung von Vorschriften zu sein – unabhängig davon ob diese vom Gesetz, Vertrag oder der internen Business-Governance gefordert werden. Das Dokumentieren aller Aktivitäten und aller Änderungen ist die Voraussetzung von Transparenz und Verantwortlichkeit. Dabei gilt es proaktiv bei der Arbeit mit dem Unternehmen zu sein. Alle Daten, Prozesse und Dienste sind dann besser auf das Business auszurichten. Dies wiederum trägt bedeutender zu der Erreichung der Ziele der Organisation bei.

Schritt Nr. 4: Bauen Sie das firmeninterne Knowhow aus
Die IT Organisationen brauchen Mitarbeiter, die in der Lage sind, Mehrwert zu liefern und flexibel auf sich ändernde Vorschriften, Wandel und globalen Wettbewerb reagieren können.

Solche Organisationen können mit diesen Problemen besser umgehen, wenn weitere firmeninterne Ressourcen entwickeln werden wie:

• Enterprise-Architektur
• Service- und Prozessmanagement
• Aufbau von Governance-Strukturen
• Operational Excellence
• Lean IT

Der Empire-Research Bericht zitiert eine ICF-Studie aus dem Jahre 2010, welche zu dem Ergebnis kam , dass Unternehmen für ihre Investitionen in Schulungen eine Rendite von durchschnittlich 700 Prozent erwirtschafteten – das entspricht dem siebenfachen Kapitaleinsatz!

Individuell zugeschnittenes Management-Training ist dabei einer der Schlüsselfaktoren für diesen ROI bei Schulungen. Es wird insbesondere auf die Nutzung global anerkannter Zertifizierungen hingewiesen. Insbesondere auf ITIL®, COBIT® ISO 20000 und ISO 27000.

Schritt Nr. 5: Passen Sie sich an flexible Lernplattformen an
Schulungen haben sich weiter entwickelt. Das traditionelle Klassenzimmer mit Folien-Schlachten hat ausgedient. Moderne Lernplattformen unterstützen die Bedürfnisse der Unternehmen durch mehr Flexibilität und besseren, respektive direkteren Bezug zur Geschäfts-Praxis.

Die Empire-Research-Studie unterstreicht die Lernplattform eLearning, weil dadurch das Lernen revolutioniert wird. Die Vorteile liegen auf der Hand: Sie ist kosteneffektiv, ermöglicht ein effizientes Zeitmanagement, ist individuell anpassbar und leicht mit den neuesten Informationen zu aktualisieren. Zudem ermöglicht eLearning die globale gemeinsame Nutzung von Wissen, den kontinuierlichen Zugang zu Trainings-Materialien und ist ganz grundsätzlich eine umwelt-freundliche Methode mit weniger Emissionen und Verschwendung.

Unternehmen können durch die Kombination aus Schulung vor Ort und eLearning die folgenden Nachteile vermeiden:

• Schulungskosten für neue Mitarbeiter
• Nachschulungskosten
• Produktivitätsrückstände aufgrund von Schulungs- und Wissenslücken

Eine weitere Form der nachhaltigen Schulung sieht Empire-Research im Lernen durch Erfahrung durch Simulationen. Diese Lernplattform geht über die klassische Schulung und die Ausstellung eines Prüfungs-Zeugnisses hinaus. Gute Simulationen bieten echtes Verstehen, Anwendbarkeit in der Praxis und somit greifbare Vorteile für das Unternehmen. Sie konzentriert sich auf die Soft-Skills, die benötigt werden und um mit Widerstand zu Recht zu kommen. Und sie fördern das Teamwork.

Neudeutsch heisst diese Lernform Gaming,  und entwickelt sich sowohl im IT- als auch im Business-Bereich zu einem wichtigen Schulungswerkzeug. Darin eingeschlossen sind soziale Medien und Apps als Instrumente für das Erlernen neuer Kompetenzen und deren Anwendung am Arbeitsplatz. Es lässt sich für Wissenstransfer, Teamentwicklung, den Erwerb neuer Kompetenzen und die Kultivierung von Kulturwandel einsetzen. Und besonders wichtig: Beim Gaming spielt man nicht gegen, sondern miteinander.

Schritt Nr. 6: Suchen Sie sich die richtigen Partner aus
Es kann nicht erwartet werden, dass ein solcher Wandel ohne jegliche Hilfe von aussen geschafft werden soll. Sie brauchen keine Consultants, welche die Arbeit abnehmen und eine fix-fertige Lösung unterbreiten. Es braucht auch keine Mentoren, welche die IT Organisationen auf eine bestimmte Linie zu biegen versucht. Es braucht einen Coach, der IT Organisationen befähigt den Weg selber zu definieren und zu beschreiten. Dabei ist der Coach ein echter Partner und Lotse, der das Schiff durch alle Untiefen mitsteuert und so hilft, den Hafen (die Programmziele) mit den Passagieren (Sponsoren, Auftraggeber, Mitarbeiter) wohlbehalten zu erreichen.

Auf was muss geachtet werden? Der richtige Partner sollte über Beständigkeit verfügen, mit der er Kompetenz und Erfahrung nachweisen kann. Er sollte mit gutem Beispiel vorangehen und seine theoretischen Ausführungen in der Praxis umsetzen können. Idealerweise sollte er die gelehrten Techniken selbst anwenden und den Erfolg demonstrieren.

Zusammenfassung der Studie

Gemäss der Empire-Research Studie zeichnet sich das aktuelle Leben in IT Organisationen durch grösstenteils Verfehlen der eigenen Zielvorgaben aus.  Diese Unternehmen bleiben in weniger als 20 Prozent aller Fälle im Rahmen ihres Budgets und überschreiten in 50 Prozent aller Fälle sowohl die Zeit- als auch die Budgetvorgaben massiv. In dieser Studie zahlte das Durchschnittsunternehmen, das mangelhafte Requirements- und Training Practices einsetzte, 2,24 Millionen US-Dollar mehr als ein Unternehmen, das Best Practices verwendete.

Wie lässt sich die derzeitige Realität also zusammenfassen?

• Die Geschäftswelt ist hart und vielen Organisationen gelingt es nicht, den Wert ihrer IT auszunutzen
• Es ist schwierig, die Einhaltung von Vorschriften, Sicherheitsfragen, Komplexität und Wandel zu bewältigen
• Zu den Schritten zum Erfolg gehören Service-Orientierung, Flexibilität und abteilungsübergreifende Proaktivität sowie der Ausbau des unternehmenseigenen Know-how
• Es ist zu bedenken, die richtigen Partner auszuwählen: Experte ist nicht gleich Experte

Tweet

Gemäss dieser Studie müssen die Gründe vor allem zuerst beim Business gesucht werden. Die Weltwirtschaft ist nicht mehr so, wie wir diese noch vor ein paar Jahren gekannt haben. Die Konjunktur-Wellen schrauben die Unternehmen nicht mehr so konstant und verlässlich in die Höhe. Heute muss man erkennen, dass die Weltwirtschaft in einer enormen Krise steckt. Gerade auch die EU hat es ziemlich hart getroffen – das zeigt nicht nur die Krise des Euros, sondern auch die grassierende Arbeitslosigkeit und die hohe Staatsverschuldung, in welchen Banken und private Unternehmen genauso verstrickt sind. Das Vertrauen in die Wirtschaft ist massiv gesunken.

Dabei übertreffen USA und Japan die EU bei Weitem: Die Performance der USA ist dauerhaft um fast 50% besser. Mehr noch: Forrester berichtet, dass das IT-Wachstum in den USA um fast 65% höher ist als in der EU. Diejenigen Organisationen, welche die Krise überstehen, werden dennoch zu Kosteneinsparungen gezwungen sein. Und das betrifft IT Organisationen besonders stark. Gemäss der Studie wird vorausgesagt, dass die meisten Budgets für europäische IT Projekte stark abnehmen werden.

Andererseits hat die Europäische Kommission berichtetet, dass in letzter Zeit ICT- (Information and Communication Technology) Investitionen für die Hälfte des Produktivitätswachstums in der EU verantwortlich waren. Es zeigt sich also doch, dass die IT den Schlüssel für künftigen geschäftlichen Erfolg darstellt. Trotzdem können noch zu wenige Unternehmen diesen Vorteil für sich nutzen. Gemäss der Studie, bezeichnen 60% der europäischen Unternehmen die IT primär als Unterstützungsfunktion, statt als strategischen Faktor zur Steigerung der Wettbewerbsfähigkeit. Der Wert der IT wird nicht verstanden und nicht erkannt.

In der heutigen Globalisierung befindet sich die Geschäftswelt in einem andauernden Verdrängungswettbewerb. Die Unternehmen müssen sich durch Innovationen abheben um bestehen zu können. Was also sind die Herausforderungen, die  IT-Organisationen derzeit davon abhalten, den von ihnen erwarteten Mehrwert zu liefern? Die Empire-Research Studie hat 5 Herausforderungen identifiziert:

1. Der Wert der IT kann nicht genutzt werden
Durchschnittlich wurden 2011 nur 1,6% des Umsatzes in den IT-Betrieb investiert. Dabei wird für den Betrieb von Hard- und Software mehr Geld ausgegeben, als für die Entwicklung. Demgegenüber geben Unternehmen ca. 20% allein für das Marketing aus.

Zudem konzentrieren zu viele Projekte ihren Aufwand ausschliesslich auf Funktionalität, ohne die Überführung in einen hochwertigen Service-Betrieb zu berücksichtigen. Viele Unternehmen versuchen es mit dem Outsourcing. Bei fast 30% aller Unternehmen gehen mittlerweile die Hälfte ihres IT Budgets in Outsourcing, wobei 85% der Sourcing-Verträge mit KMU Unternehmen abgeschlossen werden. Grössere Unternehmen wissen, dass das Auslagern eines Chaos keinen wirklichen Vorteil bringt: Outsourcing a mess is an outsourced mess.

2. Schwierigkeiten mit der Einhaltung gesetzlicher Vorschriften
Die Umsetzung der Globalisierung führt dazu, dass ein Viertel der europäischen Unternehmen in der EU planen, sich einen neuen Markt zu erschliessen. Dabei setzen dass die führenden europäischen Firmen wieder auf Wachstum und konzentrieren sich auf die Erweiterung ihrer globalen Präsenz.

Die Einhaltung der internationalen und nationalen Vorschriften bereiten dabei den Unternehmen auch punkto IT derzeit die grössten Sorgen. Die Vorschriften unterscheiden sich von Land zu Land und sie sind zunehmend umfangreich und kompliziert. Zu den erst kürzlich geänderten oder neuen Vorschriften für die IT gehören: Basel II/III, Sarbanes Oxley SOX, PCI-DSS, SAS 70, MA-Risk oder Solvency II.

Das Business ist sich heute sehr wohl bewusst,    dass die IT die Fragen der Corporate Governance beeinflussen. Denn die IT ist einerseits eine organisatorische Notwendigkeit, die aber andererseits sehr viel Risiken und Kosten mit sich bringt. So kann beispielsweise bei fehlender Transparenz oder Kontinuität im Katastrophenfall bei der IT zum Scheitern von Unternehmen führen.

3. Sicherheitsbedenken
Sind die Unternehmensdaten in der heutigen Welt sicher? 98% der  IT-Spezialisten in Unternehmen halten Datensicherheit für extrem wichtig, doch bis zu 70% glauben, dass ihre Unternehmen hierfür nicht ausreichende Ressourcen zur Verfügung stellen. Unberechtigter Zugang zu den Daten, SaaS mit Anwendungen und Daten in der virtuellen Cloud. Fehlende Richtlinien im Umgang mit den sozialen Medien erschwert zudem die Gewährleistung der Vertraulichkeit der Geschäfts- und Kunden-Daten.

Verschiedenste Vorkommnisse in der letzten Zeit haben jedoch dazu geführt, dass IT-Sicherheit die höchste Priorität in vielen Unternehmen erlangt hat.

4. Beherrschung der Komplexität
Immer weniger hat es IT Spezialisten, welche einen IT Service gesamthaft verstehen. Die inhärente Komplexität von IT-Abteilungen verschleiert, wie gut der geleistete Service tatsächlich ist. Gartner stellte fest, dass 40% der Probleme von den Endbenutzern gefunden werden. Damit steht die Organisation von einem gewaltigen Performance-Risiko, denn in der IT sind Ineffizienz und Verschwendung keine Seltenheit. Gemäss der Studie sind etwa 33% der für IT-Zwecke ausgegebenen Mittel vergebens und damit verlorenes Geld. Noch zu viele Organisationen scheuen sich, Best Practice Ansätze zu übernehmen und bleiben in ihren intern gewachsenen Strukturen und Verfahrenspraktiken hängen.

Noch zu viel Special-Engineering ist an der Tagesordnung. Dabei beeinträchtigt ein geringer Standardisierungsgrad die Kontrolle über die IT Systeme. Aber ohne Standardisierung ist ein wirkungsvolles System-Management fast unmöglich.

5. Anpassungsschwierigkeiten an sich wandelnde Erwartungen
Die IT hat sich über das “Tech Guy”-Modell der Vergangenheit hinaus entwickelt. Die IT Abteilungen sind bereits kundendienstorientiert geworden. Und trotzdem begreift nur die Hälfte aller Unternehmen, dass die IT Auswirkungen auf den Dienst am End-Kunden hat. Der Wandel betrifft nicht nur die IT. Laut Bain & Company liegt die grösste Herausforderung bei der Implementierung von etwas Neuem wie Cloud Computing im Wandel der Unternehmens-kultur: Der Änderung von Einstellungen und Verhalten, angefangen von der Einsteigerebene bis hin zur Unternehmensleitung.

Es fragt sich, ob ein zweckmässiges Management System eingerichtet ist. Ein nicht zweckmässiges System ist

• Verwirrend
• Nicht steuerbar
• Ungeplant
• Auf falschen Entscheidungen aufgebaut

Zudem wird es falsch zugeordnete Ressourcen verwenden, die finanzielle Performance beeinträchtigen und Umsatzchancen verpassen

Ob all dieser schier nicht zu bewältigenden Herausforderungen muss man sich fragen, ob es überhaupt noch eine Hoffnung gibt. Auch hierzu hat die Empire-Research Studie eine interessantes analysiert:

• IT ist nicht mehr nur Technologie, sondern eine sich weiter entwickelnde Branche
• Es gibt Schritte, die unternommen werden können, um sowohl den internen IT-Wandel als auch den Wandel des Business zu unterstützen

Welche Schritte dies sind, werde ich in meinem nächsten Blog aufzeigen. Schauen Sie sich aber hier den Trailer zur Studie: Glenfis Teaser zur Empire-Research Studie

Tweet

Start - Sind die Vorbereitungen erfoglt?

Zusammengefasst lassen sich die ultimativen Herausforderungen wie folgt  beschreiben:

• Das Business schaut genauer hin: IT Organisationen müssen nicht nur die Kostentransparenz sicherstellen. Vielmehr gilt es nun den Mehrwert für das Business demonstrieren zu können. IT Performance muss mit der Business Performance gekoppelt werden.
• Erwartungen des Business nehmen stärker zu: Agilität, Verfügbarkeit, Technologie-Unterstützend und Support sowie Kundenorientierung
• Zunehmende Komplexität: Cloud Technologien, Mobilität und Compliance (Einhaltung Sorgfaltspflichten)

Die 10 Top ITSM Herausforderungen für 2012 sind:

1. IT Kostentransparenz: Die IT Kosten  – des IT Betriebes und der Infrastruktur wird immer ein erheblicher Kostenblock im Unternehmen sein. Das Business wird sich aber immer mehr fragen, ob das Geld weise und richtig eingesetzt und wer allenfalls zur Verantwortung gezogen werden kann. wird immer seitens Business immer stärker gefragt werden. IT Organisationen sind nun wirklich gut beraten, selber die Analyse zu machen, was für Services angeboten werden zu welchen kosten. Die Frage danach wird nicht lange seitens CEO auf sich warten lassen – und dann ist man besser darauf vorbereitet. Und Cloud-Anbieter haben ihre Antwort parat
2. 

   Sind meine Leistungen Transparent?

   Beweisführung des Mehrwerts: Die Kostenbetrachtung alleine greift zu kurz. Ein jeder Kostenbetrag ist zu hoch, wenn der Gegenwert, was man dafür erhält nicht erkennt. Wie wirkt sich die IT positiv auf das Business aus? Erkennt das Business – nicht die IT – diesen Mehrwert? Welche Services erbringen den grössten Mehrwert – welche liefern nur einen kleinen oder gar keinen Mehrwert? Wenn IT Organisationen in der Lage sind, dem Business den Nachweis des Mehrwerts zu demonstrieren, dann würde direkter investiert und nicht bloss am Ende jeden Jahres über Budgetkürzungen gestritten.

3. 

   Kann ich neuen Anforderungen zeitgereicht begegnen?

   Agilität: Dies ist bereits etwas abgegriffen und hat etwas Marktschreierisches an sich – aber Reaktionsfähigkeit für rasche Business-Veränderungen werden zwingend für IT Organisationen sein. Prioritäten müssen laufend überprüft werden und laufende Projekte hinterfragt. Die Perspektiven des Business verändern sich über die Zeitschiene. Das Tempo bei Business-Veränderungen und rasche Beantwortung seitens der IT wird entscheidend für die Akzeptanz von IT Organisationen sein.

4. Verfügbarkeit: Das ist der höchste Qualitätsanspruch des Business an die IT – da gibt es nichts zu rütteln. Das Business steht selber vermehrt unter Druck und letztlich geht es dann auch darum, wer für ein Ausbleiben des Businesserfolgs die Verantwortung tragen muss. Es gibt eine Reihe von Gründen, wieso das Business IT-Ausfälle immer weniger vergibt. Es ist im Privaten gleich wie im Geschäftlichen: man will die Qualität einfordern, für welche man bezahlt hat – und die Konkurrenz ist gross.
5. 

   Kann ich mit den technischen Gegebenheiten umgehen?

   „Hardware“: Die Technologie bestimmt immer mehr die IT. Es ist ein Mythos, dass IT Funktionalitäten mit standardisierter Technik unterstützt, welche durch die IT selbst bestimmt wird. Vielmehr gibt das Business die Technik heute vor, welche die IT einzusetzen hat. Den Aufwand, neue Technologien wie iPads oder Tablets mit fadenscheinigen Sicherheitsbedenken zu verhindern, wird sinnvollerweise in leichtgängige Integration und Sicherheitskonzepte investiert.

6. Support und Kundendienst: Support und Kundendienst sind nicht das gleiche. Beim Support geht es darum, die Leute bei der Nutzung der Services zu unterstützen – nicht die Technologie, auf welchen die Services erbracht werden. Beim Kundendienst geht es um die Kundenfokussierung – und nicht nur bei den Firstlevel-Support Mitarbeitern. Die gesamte IT Organisation muss kundenfokussiert arbeiten. Es muss damit aufgehört werden, interne Kunden als „End-Anwender“ zu deklassieren.
7. 

   Kenne ich die Konsquenzen?

   Cloud: Die Wolke ist real. Wissen wir eigentlich schon, was Cloud genau ist. Betrachten wir es noch als Technologie oder als Business-Lösung? Wissen wir genug über den Status quo, um Entscheidungen treffen zu können, IT Services in die Cloud zu verschieben? Wohl eher nicht. Für viele mag die Cloud die Antwort auf anstehende Herausforderungen sein – aber ich glaube nicht, dass wir bereits genügend Zeit damit verbracht haben, um die Konsequenzen der Frage zu verstehen.

8. Mobilität: Ein neues Schlagwort macht die Runde: BYOD (Bring your own device). Gerade hier zeigt es sich, dass wir noch zu stark Technologie fokussiert sind. IT Organisationen setzen sehr viel Wert und Effort in den sicheren Zugriff auf das einzelne Mobile-Device. Viel eher sollte der Effort auf den sicheren Zugang auf den IT Service gelegt werden.
9. Compliance: Ob interne oder externe regulatorische Anforderungen – alles was wir bereits diskutiert haben wird einen mehr oder weniger negativen Einfluss auf die Compliance haben – sei es SOX oder Einhaltung von Software-Lizenzbestimmungen. Die notwendige Transparenz verlangt nach mehr und nicht weniger interner Kontrollen – und nicht blosses Reagieren auf neue Risiken.
10. 

    Gehöre ich zu den Siegern 2012?

    und … Überleben: alle oben beschriebenen Herausforderungen müssen adressiert werden. Ein Scheitern in einem dieser Fragestellungen wird die IT Organisation und den Betrieb vor die Frage der Ausgliederung mit sich ziehen. Nur die Fittesten werden überleben – und es ist jetzt Zeit, sich umzustellen oder zu sterben (Darwin).

Es tönt jetzt etwas dramatisch – muss es aber nicht sein. Der Erfolg letztlich wird demjenigen Recht geben, welche sich der Situation stellen konnten. Und der soll auch in Zukunft gefeiert werden können.

Die Belohnung bleibt nicht aus ...

Dieser Blog habe ich in Anlehnung an Stephan Manns Blog „Top 10 ITSM Challenges in 2012“ verfasst.

Tweet

Aber ein eisiger Wind bläst nicht nur durch die aktuell wetterbedingte Kaltfrontphase. Es wird bitter kalt für viele IT Organisationen, welche die Zeichen der Zeit nicht erkennen wollen. IT Support wird zu einem Standard Facilities-Funktion wie der Haus-Elektriker oder die Büroreinigungsequipe. Das ist jetzt überhaupt nicht despektierlich gemeint. Aber IT Support und Betrieb ist ein selbstverständlicher Service der genauso funktionieren muss wie das Auffüllen von Klopapier auf den Toiletten. Man kann sich vorstellen, wielange der Betrieb noch funktioniert, wenn der Nachschub nicht klappt (…).

Zuverlässlichkeit ist das wichtigste Qualitätsmerkmal schlechthin. Für „Schöner und Besser“ ist keine müde Mark – oder Euro – zu gewinnen. Und kein Business Manager wird sich dafür hergeben wollen, Geld für etwas bereitzustellen, was er eh für selbstverständlich hält: dass die IT ihre Infrastruktur im Griff hat.

Service Management muss mit dem Ziel angegangen werden, Geld zu sparen. Service Management ist kein Luxus, welchen man sich leisten kann oder muss. Wer argumentiert, mit Service Management wird alles teurer, der hat das Prinzip nicht verstanden. Service Management heisst: keine Doppelspurrigkeiten, klare Zuständigkeiten, schnellere Lösungs- und Entscheidungsfindung, optimierte Nutzung und keine Verschwendung. Letztlich: günstiger, transparenter und erst noch zuverlässiger.

Service Management Praktiken auf Basis der Best Practice Empfehlungen von ITIL® ist ja bereits seit bald 20 Jahren ein Thema – mehr oder weniger. Und die IT Welt wäre ja so einfach, wenn man nur diese guten Praktiken anwenden würde. Was den IT Verantwortlichen aber primär in Erinnerung aus dem Foundationkurs geblieben ist, ist das Prinzip der kontinuierlichen Verbesserung: der Deming Cycle, oder PDCA.

Plan-Do-Stop - Kein Wille zur echten Verbesserung vorhanden?

Das Gute an diesem Prinzip ist, dass man nie wirklich gut zu sein braucht. Stetige Verbesserung durch kontinuierliche Überprüfung – und diese Verbesserung aber auch nur nach echtem Bedarf. Unverbindlicher kann man sich kaum mehr eine Verbesserungsinitiative vorstellen. Und so kommt es dann auch: man Plant, man setzt um. Einige nehmen sich auch tatsächlich von Zeit zu Zeit die Mühe, das Getane kritisch zu hinterfragen. Aber damit hat sich’s dann schon. Plan-Do-Stop.

Da war doch noch etwas? Für was steht das „A“ im PDCA-Zyklus?

A steht nicht für „Alles beim Alten lassen“. Nein, „A“ steht für Agieren. Verbesserungen anstossen und sich dafür einsetzen. Nicht unverbindlich – mit klaren Verantwortlichkeiten und Verpflichtungen zur Ergebnisüberprüfung. Wie sagt doch der Manager gerne zu seiner Mannschaft: „Alle bei uns dürfen einen Fehler machen. Wichtig ist nur, dass man daraus lernt und den Fehler nicht zweimal macht.“ Dieser Vorsatz muss er sich selber zu Herzen nehmen. Das Feststellen alleine, dass die Prozesse und Funktionen fehlerbehaftet oder nicht optimal sind, reicht bei weitem nicht.

Manager, welche nicht in der Lage sind, zu agieren, wenn Verbesserungen anstehen, haben letztlich in ihrer ureigenen Verantwortung versagt. Es ist schlichtweg nicht professionell, fehlerhafte Zustände nicht beheben zu wollen. Man kann sich auch fragen, weshalb sich viele Manager überhaupt schon bei der Überprüfung der eigenen Abläufe querstellen. Wer nicht genau hinschaut, sieht auch die Fehler nicht. Verantwortungsvolles Handeln heisst Agieren. Die Schritte müssen nicht immer gross sein, welche zu Verbesserungen führen.

PCDA A for Act

Aber Nicht-Handeln kann in Zukunft nicht mehr ver-argumentiert werden. CIOs stehen in der Pflicht, Ressourcen treuhänderisch einzusetzen und das Business vor Schaden zu bewahren. Best Practice Empfehlungen wie COBIT® oder ITIL® stellen dabei nicht bloss eine Hilfestellung für Prozesse dar. Letztlich sind diese heute Allgemeingut für professionelles Arbeiten. Wer sich nicht daran hält, muss schon ziemlich gute Gründe vorweisen, warum er das tut. Nicht wissen schützt nicht.

Wenn also Vorsätze für 2012 fassen, dann die der Entschlossenheit, nicht nur Fehler feststellen zu wollen, sondern auch etwas dafür zu tun.

Tweet