Tag Archives: Configuration Management

Configuration Management – die ungelöste Baustelle des CIOs

Posted on by
Reply

Es ist eines der Grundübel heutiger IT Organisationen: sobald etwas vorgefallen ist weiss keiner „was Sache ist“,  „wer zuständig ist“, „ob jemand etwas gemacht hat“. Sehr viel Zeit und Energie muss aufgebracht werden, um überhaupt einmal Klarheit zur Situation zu erhalten. Wenn sich der Nebel dann irgendeinmal anfängt zu lichten, ist der Weg zur Lösung überraschend schnell geklärt. Zwischenzeitlich nagt der Kunde wohl an den Nägeln und bangt, ob er von seiner IT nicht im Stich gelassen wird.

Unglaublich – aber leider täglich gelebte Realität in den meisten IT Organisationen die ich kenne. Dabei spielt die Grösse oder Branche einer IT Organisation überhaupt keine Rolle. Auch professionelle Service Provider kämpfen mit dem gleichen Phänomen:  die über eigenständige Plattformen, Datenanken, Servern und Applikationen zusammengezimmerten Anwendungen – oder neudeutsch „Services“  – führen aus Komponenten-Sicht ein völliges Eigenleben mit einem mehr oder weniger abgestimmten Produktelebenszyklus. Was einmal als Ganzes aus dem Projekt in den Betrieb „entlassen“ wurde, versinkt in ein grosses schwarzes Loch, welches niemand mehr in seiner Komplexität zu durchschauen vermag.  Die Einzelkomponenten gehen in die Verantwortung von einzelnen Produktespezialisten über – und schon nach kurzer Zeit beginnen sich die Zellen des Services zu verselbstständigen und zu verändern: neue Releases, neue HW Architekturen, neue Netze, neue Patchlevel – was auch immer der Grund dazu ist.

Das ist gelebte Praxis – damit muss eine professionelle IT Organisation umgehen können. Verwerflich aber ist, dass über das ganze Geschehen keine Aufzeichnungen oder auch nur rudimentäre Dokumentationen vorliegen und die gesamte Nachvollziehbarkeit auf Basis von Erinnerungen beteiligter Spezialisten beruht.. Änderungen werden nicht koordiniert durchgeführt – oftmals nicht einmal  ordentlich beantragt und bewilligt.  Das Resultat überrascht nicht: eine empirische Studie hat gezeigt, dass über 70% von auftretenden Störungen ihre Ursache in solchen Systemanpassungen haben.

Die Situation geht in der Regel noch glimpflich aus, da die einzelnen Spezialisten als wahre Helden der Organisation sich unermüdlich und zu allen Unzeiten an die Reparatur wagen. Und wenn es dann geschafft wurde, klopft man sich gegenseitig auf die Schulter – anstelle sich zu fragen, wie so etwas künftig in den Griff zu bekommen ist.

A fool with a tool is still a fool

A fool with a tool is still a fool

Wenn man bedenkt, wie gross die strategische und auch operative Abhängigkeit der Geschäftsabläufe vom Funktionieren der IT Systeme ist, dann kann man als Aussenstehender nur den Kopf schütteln.  Ein „Saustall“ wäre wohl einer der oft bezeichneten Vorwürfe solcher Zustände, wenn man sich als CEO der Situation bewusst wäre. Das ist er sich aber leider nicht – und daher wird auch wenig dagegen unternommen. Man stelle sich aber einmal vor, ein Flugzeug oder eine Seilbahn würde so betrieben und gewartet – Kein Mensch würde einen Fuss in das Gefährt stellen und kaum einer hätte mehr das Vertrauen in den Betreiber. Der Betrieb würde wohl über kurz oder lang eingestellt werden müssen.

Die Situation ist auch für einen CIO schon lange nicht mehr haltbar. Nicht nur dass keine Klarheit der IT Assets und deren Zustand vorliegt – die fehlende Transparenz verunmöglicht es dem IT Leiter die Kosten eines gesamten Services tatsachengetreu auf die Benutzer auszuweisen. Die Qualität der Services kann nicht gemessen werden, weil niemand genau weiss, welche Komponenten wie zum Gelingen des Services beiträgt.  Auch rechtlich befindet sich der IT Leiter immer mehr im Graubereich, weil die notwendigen Lizenzen im  Betrieb, für den Test oder die Backup-Lösung nicht klar nachgewiesen werden können. Und immer mehr kommen Compliance-Anforderungen von gesetzlicher Seite hinzu, welche die Nachweispflicht von korrekten Geschäftsabläufen auch in IT Systemen verlangen. Sorgfaltspflichten, welche ein IT Leiter im Tagesrhythmus verletzt – verletzen muss, weil er die Situation nicht beherrschen vermag.

CMS - © Crown copyright 2011 reproduced under license from Cabinet Office

CMS - © Crown copyright 2011 reproduced under license from Cabinet Office

ITIL® empfiehlt  hierzu die Einrichtung eines Configuration Management Systems (CMS) und einen dazugehörigen Service Asset & Configuration Management Prozess. Es ist das eigentliche Rückgrat des Service Management Systems. Um effizient und effektiv meine Services betreiben zu können, ist der Service Provider auf verlässliche Daten angewiesen, welche die Basis für Entscheidungen bilden. Ohne diese Daten und deren Verlässlichkeit werden oft falsche oder zumindest nicht optimale Entscheidungen gefällt, was in aller Regel zu Verzögerungen und Mehrkosten führen wird. Schlimmer noch als keine Daten sind falsche Daten! Wenn die Daten fehlen braucht es die eingangs beschriebene Zeit und Energie, um sich ein einigermassen klares Bild machen zu können. Bei falschen Daten ist es verheerender: bis der Fehler entdeckt wird, kann bereits sehr viel Zeit und Geld verschwendet worden sein. Effizienz und Effektivität fällt wie ein Kartenhaus in sich zusammen, wenn diese Datengrundlage dazu fehlt.

Die Notwendigkeit einer CMDB ist mittlerweile auch auf CIO-Stufe erkannt worden. Nur – was das kosten- und aufwandmässig genau bedeutet vermag ihm niemand so richtig zu erklären. Die Spannweite reicht von einer einfachen Inventar-Datenbank bis hin zu einem komplexen Datawarehouse-Projekt. Sponsoren für solche Vorhaben lassen sich praktisch keine finden. Wer will schon für etwas zahlen, dass er als klare Voraussetzung eines professionellen Betriebs hält.

Um es vorweg zu nehmen: die perfekte Lösung gibt es nicht. Viele Configuration Management Projekte sind aufgrund der Erkenntnis der unbedingten Notwendigkeit einer CMDB gestartet worden. Wenn man heute die Verantwortlichen in den Organisationen nach dem erzielten Erfolg frägt, erhält man oft ernüchternde Antworten. Projekte sind entweder versandet oder irgendwie als abgeschlossen deklariert worden. Die gewünschte Transparenz ist in den seltensten Fällen erreicht worden. Und dabei liegt es nicht an den mehr oder weniger aufwendig evaluierten Tools oder den gut gemeinten Metadatenmodellen.  Nein – in aller Regel fehlt es am Willen des IT Managements, die teure Investition richtig einzusetzen. Wer „A“ sagt, muss auch zu „B“ bereit sein. Wenn viel Geld für eine CMDB bereitgestellt wird, dann ist es eine Sorgfaltspflicht des IT Leiters dafür zu sorgen, dass die Investition sich auch rechnet – und nicht zu einer Datenmüllhalde verkommt, bei der sich keiner seiner Mitarbeiter im Tagesgeschäft darauf verlassen kann. Die Pflege der Daten ist absolute Pflicht, welche nicht weg diskutiert werden kann. Wer das tut, handelt fahrlässig.

Folgende 5 Tipps sollen helfen, eine pragmatische Vorgehensweise für die erfolgreiche Implementierung eines Configuration Management Systems zu ermöglichen. Dem Management muss jedoch von Anbeginn des Unterfangens klar sein, dass Configuration Management viel Geld und Durchsetzungskraft benötigt. Die Freiheiten des isolierten „Werkelns“ müssen bei allen Beteiligten rigoros eingeschränkt werden. Wem der Wille fehlt, sich bei seiner IT Belegschaft hierzu durchzusetzen, dem rate ich zur Aufgabe des Projektes. Er wird sonst nur hohe Kosten verursachen und das Vorhaben nie erfolgreich beenden.

  1. Orientierung am erwarteten Nutzen Eine CMDB ist nie Selbstzweck. Nur weil es notwendig ist, muss man den Aufwand noch lange nicht  tätigen. Es muss vielmehr klar verstanden werden, welchen nachweislichen Nutzen erwartet wird. Wo ist die Transparenz wichtig und wie sind diese verschiedenen Anforderungen zu priorisieren.

    Eine CMDB selbst bringt noch keinen Nutzen. Niemand ist grundsätzlich bereit, Geld für die blosse Verwaltung von Daten bereitzustellen. Wenn man CMDB-Betreiber nach dem Zweck des Configuration Managments fragt, ist das aber oft genau die Argumentation. Erst wenn ich erkenne, dass ich in anderen Prozessen schneller bin (z.B. Incident Mgmt) oder dass ich aufgrund der verlässlichen Information sicherer entscheiden kann (z.bsp. bei Beurteilungen von Change-Anträgen) dann verstehe ich den wahren Wert einer CMDB.

    Es ist aber ein Irrglaube, mit der Beschaffung eines neuen CMDB-Systems viele andere bereits etablierte und im Betrieb verankerte Systeme ablösen zu können. Was theoretisch als Begründung für solch ein Projekt oftmals herhalten muss, zeigt sich in der Praxis vielfach als unmögliches Unterfangen. Der Aufwand, ein etabliertes Tool mit der Brechstange herauslösen zu wollen, zeigt sich oftmals als Utopie. Zu stark sind die Werkzeuge im Betrieb verankert. Und zu gross ist der Widerstand sich von einem Tool zu trennen, welches durch die Spezialisten mit viel Engagement über die Jahre auf- und ausgebaut wurde. Ein neues Tool wird in aller Regel nie den detaillierten Funktionalitätsgrad bestehender Lösungen erfüllen können.

    Der Nutzen liegt also nicht in der Einsparung von anderen Tools, sondern muss in der Effizienz und Wirksamkeit der von den Configuration Management Daten abhängigen Service Management Prozesse begründet werden. Dort, und nur dort wo der grösste Nutzen erwartet wird, soll begonnen werden.

  2. Think big – start small: Oft geht man zu euphorisch bei der Planung des Projektes vor. Verständlich, wenn die Notwendigkeit einer CMDB endlich erkannt worden ist. Man ist schnell versucht, alles bis ins letzte Detail abbilden zu wollen. Sämtliche ungelösten Probleme der IT aus den letzten Jahren sollen nun in diesem CMDB-Projekt adresiert werden. Architekten neigen dazu, riesige Metamodelle zu designen, welche oftmals sehr beeindruckend wirken – aber in der Praxis kaum umgesetzt werden können.

    Solch ein Ansatz ist oftmals zum Scheitern verurteilt. Die Ansprüche sind nicht zu bändigen und führen oft in eine rein akademische Übung. Die Tool-Industrie vermag leider die wirren Vorstellungen der Kunden nicht adäquat abzudecken. Lösungen entpuppen sich oft als reine Kompromisse, welche niemand so richtig zu befriedigen vermag. Und dann gibt es noch die, welche meinen, die ideale Lösung selber entwickeln zukönnen…

    Besser ist der Aufbau einer CMDB in kleinen, verdaubaren und zumutbaren Schritten. Das Bild einer vollständigen Sicht auf die Daten und die Integration anderer Prozesse soll dabei nicht verloren gehen und bei der Wahl der Datenablage berücksichtigt werden. Redundanz und Schnittstellen führen vielfach zu Ineffizienz und zu komplizierten Abläufen. Daher ist die Integration der Daten im Betrieb, im Support Bereich, im Change Umfeld oder bei der Planung und Umsetzung von neuen oder geänderten Services als viel wichtiger zu bewerten, als eine bestimmte Funktionalität aus der Sicht eines einzelnen Prozesses.

  3. Befüllen versus Kontrolle – Richtig priorisieren:Wie vorgängig bereits erwähnt, muss durch das IT Management die Kontrolle der nun in der CMDB erfassten Daten sichergestellt werden. Dieser Anspruch kann sich beim Aufbau einer CMDB zu einer Deadlock-Situation entwickeln – zumindest zu Beginn. Das Identifizieren der Daten und das Laden in die CMDB ist eine erste Herausforderung, welche nicht von Anbeginn reibungslos gelingen will. Scanning-Werkzeuge, Migration von Datenbeständen und Design des CMDB-Metamodells sind ein iterativer Prozess, welcher sehr pragmatisch angegangen werden soll.

    Eine funktionierende CMDB hat den Anspruch aktuelle und korrekte Daten bereitzustellen. Das sind zwei wesentlich zu unterscheidende Merkmale. Aktuell ist nicht immer auch korrekt. Wenn beispielsweise eine illegal installierte Software durch das Scanning in die CMDB geladen wird, dann sind die Daten zwar aktuell – aber noch lange nicht korrekt. Denn diese illegale Software kann durch die Aufnahme in die CMDB nicht so einfach legalisiert werden und  support-berechtigt werden.Es ist zu empfehlen, am Anfang die erste Priorität auf die Aktualität zu legen. Für die IT Organisation ist bereits sehr viel gewonnen, wenn durch periodisches Scanning aktuelle Daten zur Verfügung gestellt werden können. Zudem kann die CMDB verhältnismässig schnell befüllt werden.

    Damit die Daten aber auch korrekt sind, bedingt eine enge Verzahnung mit dem Change Management Prozess. Letztlich muss jede in der IT eingesetzte Komponente nachvollziehbar beschafft, installiert, gewartet und produktiv gesetzt worden sein. Es muss zu jedem Zeitpunkt erklärbar sein, wer etwas beantragt, bewilligt und umgesetzt hat,  und wie der jeweils aktuelle Zustand ist. Der sogenannte Lebenslauf der Komponente muss dokumentarisch nachgewiesen werden können. Nur so kann der verlangte Nachweis zur Korrektheit sichergestellt werden.

    Dieser Nachweis muss mit einem strikt geführten Change Management Prozess sichergestellt werden. Eine jede Änderung wird ordentlich beantragt, beurteilt, autorisiert, implementiert und produktiv gesetzt. Diese Information muss unmittelbar mit den betroffenen IT Komponenten verknüpft werden. Ein gut integriertes Configuration & Change Management stellt damit ein zeitnahes Dokumentieren der Veränderungen automatisch sicher.

  4. Rigoroses Durchsetzen der Change Kontrolle: Kaum sind die Daten in der CMDB geladen, sind diese bereits veraltet.  Veränderungen an der Infrastruktur und den Applikationen gehören zum Tagesgeschäft. Gerade hier ist die enge Verzahnung mit dem Change Management Prozess eine wesentliche Voraussetzung, um Transparenz und Nachvollziehbarkeit sicherzustellen.

    Wenn eine IT Organisation nicht mit einem formellen Change Prozess vertraut ist, darf der Widerstand nicht unterschätzt werden. IT Spezialisten verspüren wenig Lust, ihre Change Vorhaben zu erklären. Ein regelrechtes Unverständnis kommt auf, da sich manch einer in seiner Kompetenz beeinträchtigt fühlt. Dabei geht es gar nicht um das Hinterfragen der fachlichen Kompetenz. Es geht rein um die Koordination der Aktivitäten, der Risikominderung und der Legitimierung der Änderung. Ein guter Change Management Prozess verhindert durch Vereinfachung von operativen und routine-mässigen Änderungen die Bürokratie, in dem vorautorisierte, im Ablauf klar spezifizierte Standard-Changes bereitgestellt werden, welche vereinfacht angewendet werden können.Das IT Management ist hier direkt gefordert. Die Investitionen in eine CMDB steht hier unmittelbar auf dem Spiel – und damit die erhoffte Transparenz. „Wildes“ Ändern darf unter keinen Umständen mehr toleriert werden.  Ein jeder IT Mitarbeiter muss klar verstehen, dass er mit unkontrollierten Änderungen aktiv dem Unternehmen einen Schaden zufügt. Nicht nur dass er die Investition in die CMDB zunichtemacht, viel mehr entsteht der Schaden bei allen anderen IT Mitarbeitern, welche in ihrer Arbeit durch solche Aktionen behindert und in die Irre geleitet werden. Wer sich dieser Anforderung aktiv widersetzt, sollte Zugriffs- und Zutrittsverbot zu IT Komponenten erhalten. Konsequentes Durchsetzen dieser Forderung ist eine absolute Notwendigkeit.

  5. Vertrauen ist gut, Kontrolle ist besser: Fehler passieren. Trotz gut kontrolliertem Change Management Prozess kann es nie vermieden werden, dass die Einträge in der CMDB von der Realität abweichen. Es gehört zu einem gut geführten Configuration Management Prozess, dass die Datenbestände regelmässig mit der Realität abgeglichen werden, um solche Fehler zu erkennen und korrigieren zu können. Dies kann auf verschiedene Weise geschehen: durch aktives Scanning, durch Erkennen in der täglichen Arbeit (z.B. Service Desk) oder durch periodische Begehung und Begutachtung der Infrastrukturen.

    Wichtig ist, dass Abweichungen zur CMDB genau untersucht werden müssen, um die Abweichung nachvollziehen zu können. Eine jede Änderung muss entweder nachträglich legitimiert oder dann rückgängig gemacht werden. Und die Fehler in den beteiligten Prozessen müssen analysiert und im Rahmen der kontinuierlichen Verbesserungen behoben werden.

Fazit

CMS - Pragmatisch, relevant und effektiv

CMS - Pragmatisch, relevant und effektiv

Ein gut geführtes Configuration Management ist eine echte Herausforderung für den CIO. Es ist aber seine Pflicht, dafür zu sorgen, dass dieser Prozess gelebt und eingehalten wird. Ohne ein verlässliches Configuration Management wird er nie die notwendige Transparenz der Kosten, der eingesetzten IT Assets sowie die Einhaltung der Compliance Anforderungen nachweisen können.

Weniger ist hier oftmals viel mehr. Anstelle „alle“ Daten in einer CMDB verwalten zu wollen, sollen mit klar identifizierten Datenbereichen aktuelle und gesicherte Informationen an alle Service Management Prozesse bereitgestellt werden.

Share via email

Die 4 Phasen zur ITIL® Master Qualifikation

Posted on by
Reply

Die ITIL® V3 Master Qualifikation ist der krönende Schlussstein der Service Management Ausbildungsreihe von APM Group, dem offiziellen Accreditor für ITIL Ausbildungen.

Anders als die darunter liegenden Qualifizierungen, fokussiert sich die Master-Qualifikation auf die praktische Erfahrung in der Anwendung und Umsetzung der ITIL V3 Best Practice Empfehlungen. Mit dieser Qualifikation werden die 4 höchsten Lernziele gemäss der Taxonomie von Bloom überprüft:

  • Anwendung
  • Analyse
  • Synthese
  • Bewertung

Um diesen Qualifikations-Level zu erreichen, muss der Kandidat die individuellen Erfahrungen in der eigenen realen Situation demonstrieren. Er muss erklären, wie und warum er das breite Wissen von ITIL angewendet hat um spezifische Business Ziele erreichen zu können. Dies muss in einem oder mehreren praktischen Arbeitspaketen dargelegt werden. Es muss auch insbesondere dargelegt werden können, wie die Kandidaten die Veränderungen hinsichtlich Verhalten, Einstellung und Organisationskultur adressiert haben.

Da die eigenen Erfahrungen in der Umsetzung der ITIL Best Practice Empfehlungen bei allen Kandidaten unterschiedlich sind, gibt es keinen definierten Lehrplan (Curriculum). Es gibt also keinen vorgeschriebenen Trainings-Ablauf und Inhalt, wie dies bis zur Stufe ITIL V3 Expert der Fall war.

Es gibt jedoch einen  Leitfaden, welcher von APM Group zur Verfügung gestellt wird. In diesem Blog stelle ich den Ablauf gemäss aktueller Planung vor:

Voraussetzungen für die ITIL® V3 Master Qualifikation:
Kandidaten müssen folgende Voraussetzungen erfüllen, um die Master Qualifikation zu erlangen:

  1. Mindestens 5 Jahre Praxis-Erfahrung in der Führung von IT Service Management Systemen, entweder in der Rolle als Senior Consultant oder als betriebswirtschaftlich verantwortlicher Manager.
  2. ITIL V3 Expert Qualifikation

Die 4 Phasen zur ITIL® V3 Master Qualifikation
Die obligatorischen Phasen der ITIL® V3 Master Qualifikation sind:

  1. Application, Anmeldung zur Master-Qualifikation
  2. Proposal, Antrag mit Überblick der
    1. Situation der praktischen Erfahrungen, und
    2. Elemente von ITIL, welche angewendet werden sollen
  3. Vorbereitung, Durchführung und Einreichung eines Arbeitspakets (Work Package) für das Assessment
  4. Teilnahme an einen Interview zur Erläuterung und Prüfung des eingereichten Arbeitspakets

Zurzeit ist die Master Qualifikation nur in Englisch möglich. Gute Englisch-Kenntnisse in Wort und Schrift sind unerlässlich.

Phase 1: Application (Anmeldung)
Alle Kandidaten müssen ein Anmeldeformular ausfüllen und einreichen. Das Formular wird sobald freigegeben als Word-Dokument zur Verfügung gestellt.

Folgende Informationen werden benötigt:

  • Einen aktuellen Lebenslauf (CV) des Kandidaten
  • Details der ITIL V3 Expert Zertifizierung (z.bps. Kopie des Zertifikats)
  • Empfehlungsschreiben von Einzelpersonen, welche die vorgängige Praxis-Erfahrung bestätigen können (Optional)
  • Eine eingescannte Kopie eines Passes, ID, Führerschein mit Photo (wird zur Identifizierung während des Interviews benötigt)

Nach Eingang des Antrages wird dieser geprüft. In dieser Phase wird auch die Zahlung der Master-Prüfung fällig. Die Kosten werden zwischen. € 1’400.– bis € 1’600.– betragen.

Wenn die Angaben des Kandidaten geprüft und die Voraussetzungen für die Master-Qualifikation bestätigt wurden, wird eine Bestätigung der Annahme der Anmeldung per Email verschickt. Ab diesem Zeitpunkt erhält der Kandidat eine eindeutige Kandidatennummer, welche für die nächsten Phasen verwendet werden muss.

Phase 2: Proposal (Antrag)
Nachdem der Kandidat die erfolgreiche Anmeldung erhalten hat, muss er ein Proposal, einen Antrag erstellen. Dieser Antrag muss Details zum Umfang der vorgesehenen Arbeit der in der nachher folgenden Phase darlegen.

Der Antrag kann vor dem Abschluss der eigentlichen Arbeit (Resultat Phase 3) erfolgen und kann geplante Aktivitäten beinhalten. Das Resultat der Arbeit muss jedoch spätestens 14 Monate in der Phase 3 vorliegen.

Der Antrag kann auch nach dem bereits erfolgten Abschluss der eigentlichen Arbeit eingereicht werden. Der Antrag muss in diesem Falle aber die ursprüngliche Situation und Absicht darlegen, bevor das Projekt durchgeführt wurde.

Der Umfang des Antrags muss zwischen 1’000 und 1’500 Wörter enthalten und durch den Kandidaten selbst verfasst sein.  Zudem muss der Kandidat den beabsichtigten Abgabetermin für die Phase 3, dem Arbeitspaket angeben.

Folgende allgemeine Anforderungen sind einzuhalten:

  • Klare Strukturierung des Antrags (Kapitel und Titel-Strukturen)
  • Deutliche Beschreibung der Organisation, welche von der beschriebenen Arbeit Nutzen zieht (inklusive Grösse, geographische Lokationen, Struktur und Kultur der involvierten Organisationsteile)
  • Beschreibung der Situation, bevor die Arbeit durchgeführt wird (Bezug zu den Gründen, warum die Arbeit durchgeführt werden soll)
  • Klare Beschreibung der durchzuführenden Arbeiten (Was wird genau gemacht)
  • Beschreibung des angestrebten Ergebnisses (die Signifikanz der Ergebnisse muss für das Business, nicht nur für die IT aufgezeigt werden können)

Neben dem Antrag muss noch eine Auswahl der anzuwendenden ITIL Elemente deklariert werden und wie diese im geplanten Arbeitspaket zu gewichten sind.  Die ITIL Elemente sind definiert als Prinzipien, Methoden und Techniken von jedem der ITIL V3 Kernpublikationen oder Lifecycle-Phasen. Dazu wird ein Excel-Spreadsheet mit den ITIL Master Elementen zur Verfügung gestellt.

Element-Beispiele aus der Phase Service Strategie sind:

  • The 4 Ps of Strategy
  • Define the Market
  • Develop Strategic Assets
  • Develop the Offerings
  • Prepare for Execution
  • Demand Management
  • Financial Management
  • Return on Investment
  • Service Portfolio Management
  • Sourcing Strategy
  • Strategy and Organization
  • Strategy, Tactics and Operations
  • Technology and Strategy

Der Antrag wird dann analysiert,  basierend auf den Bloomschen Master-Qualifikations-Kriterien, ob die gewählten Elemente folgende Dimensionen erfüllen:

  • Rechtfertigung (justification) in der vorgestellten Arbeit
  • Anwendung (application) gemäss Antrag
  • Fähigkeiten (Capability) dass die Prinzipien, Methoden und Techniken richtig angewendet wurden
  • Erreichung des Nutzens (benefits achieved)

Alle ausgewählten Elemente müssen mit einer Gewichtung von 1,2 oder 3 versehen werden. Je höher die Gewichtung, desto wichtiger sind die Elemente in der einzureichenden Arbeit als integraler Bestandteil zu betrachten. Die tiefer gewichteten Elemente sind eher spezifischer Natur (z.bps. die Zusammenstellung des CABs).

Zwischen 10 und 20 ITIL Elemente müssen ausgewählt werden. Folgende Bedingungen bei der Auswahl und der Gewichtung der Elemente sind zu berücksichtigen:

  • Mindestens 1Element muss aus jeder der 5 Lifecycle-Phasen ausgewählt werden
  • Mindestens 2 Elemente müssen eine Gewichtung von 3 aufweisen
  • Mindestens 3 Elemente müssen mindestens mit 2gewichtet sein
  • Mindestens 3 Elemente müssen mindestens mit 1 gewichtet sein

Die verbleibenden bis zu maximal 20 Elemente können irgendeine Gewichtung gemäss Umfang der eingereichten Arbeit aufweisen.

Der Antrag (Proposal) kann jederzeit nach der Anmeldung auf Basis eines zur Verfügung gestellten Templates eingereicht werden.

Dieser Antrag wird durch einen ITIL Master Assessor überprüft, ob der Kandidat eine adäquate Situation definiert, genügend ITIL Elemente definiert und den notwendigen Scope der Proposal Anforderungen erfüllt hat. Die Entscheidung des Assessors für die nächste Phase wird per Email mitgeteilt.

Phase 3: Das Arbeitspaket (Work Package)
Das Arbeitspaket ist die Hauptarbeit innerhalb der ITIL V3 Master Qualifikation und ist der eigentliche Nachweis, dass der Kandidat die Kriterien für die Qualifikation erfüllt.

Das Arbeitspaket beschreibt die erlebte Praxis und wie der Kandidat sein ITIL Wissen und seine Service Management Fähigkeiten eingesetzt hat, um eine Lösung erfolgreich und nachhaltig umzusetzen. Das Arbeitspaket muss auch Details zum erzielten Nutzen aufzeigen und wie die ITIL Kernkonzepte angewendet wurden, um den Mehrwert für die Organisation sicherzustellen.

ITIL V3 Planning to Implement IT Service Management

ITIL V3 Planning to Implement IT Service Management

Als guter Leitfaden für die Beschreibung der Arbeitspakete sei an dieser Stelle auf das im Herbst letzten Jahres erschienene Buch “ ITIL V3 Planning to implement Service Management von Colin Rudd hingewiesen. Das Buch wird im folgenden Blog-Beitrag vorgestellt.

In der Regel werden Kandidaten mehrere Projekte in einem Arbeitspaket beschreiben, um den vollen Umfang der definierten ITIL Elemente demonstrieren zu können.

Wenn der Kandidat in einem Team gearbeitet hat, muss klar deklariert werden, was genau seine Rolle war und für welchen Bereich er sich verantwortlich zeichnete. Es wird auch nur dieser Bereich in die Bewertung einbezogen.

Der Umfang des Arbeitspakets sollte zwischen 15’000 und 20’000 Wörter umfassen (ohne Anhänge).   Die Arbeit hat wissenschaftlichen Kriterien zu genügen. Das heisst, dass korrekt referenziert und deklariert werden muss.

Es können auch Diagramme aus dem ITIL-Kernpublikationen verwendet werden. Ein “© Crown Copyright”-Vermerk ist dabei zwingend anzubringen.

Es ist wichtig, dass das Arbeitspaket erst eingereicht werden kann, wenn die beschriebene Arbeit abgeschlossen ist. Die Arbeit muss also auch eine Beschreibung der erreichten Arbeit und des erzielten Resultats, respektive Nutzens beinhalten.

Das Arbeitspaket wird auf Basis eines vordefinierten Templates erstellt und kann per Email oder CD eingereicht werden.

Dieses wird anschliessend von mindestens 2 ITIL Master Assessoren geprüft und bewertet. In einem ersten Schritt wird ein High-Level Review durch den Lead-Assessor durchgeführt, um die Vollständigkeit und formalen Aspekte zu überprüfen. Fehlende Angaben müssen innerhalb von 10 Tagen nachgereicht werden.

In einem nächsten Schritt findet ein vollständiges Assessment der Arbeit statt. In dieser Phase werden keine Nachbesserungen oder Lieferungen des Kandidaten mehr akzeptiert.

Das Resultat des Assessments wird nach 6 bis 8 Wochen dem Kandidaten mitgeteilt. Gegen eine zusätzliche Gebühr wird eine einmalige Frist von 6 Monaten eingeräumt, um eine verbesserte Version nachzureichen.

Phase 4: Das Interview
Dies ist die finale Phase des Assessments, welche zur ITIL V3 Master Qualifikation führt. Der Termin wird nach der erfolgreichen Prüfung des Arbeitspakets aus Phase 3 festgelegt.

Das Interview ist aus folgenden drei Gründen wichtig:

  • Der Kandidat hat eine weitere Möglichkeit, spezifische Aspekte des Arbeitspakets zu erläutern und zu erklären
  • Der ITIL Master Assessor erhält die Möglichkeit spezifische Aspekte des Arbeitspakets auf mögliche Schwachpunkte hin zu prüfen
  • Es soll sichergestellt werden, dass das Arbeitspaket wirklich die eigene Arbeit des Kandidaten ist

Das Interview sollte innerhalb von 2 Wochen nach positivem Bescheid aus Phase 3 erfolgen. Es besteht aber die Möglichkeit, diesen Termin bis maximal 12 Monate hinauszuschieben, wenn dringende Gründe vorliegen.

Es wird nur ein Interview pro Kandidaten gestattet. Wenn das Interview nicht erfolgreich verläuft, wird der Kandidat die Master-Qualifikation nicht erhalten.

Es liegt also in der Verantwortung des Kandidaten, sich optimal auf das Interview vorzubereiten und sicherzustellen, dass sie den Inhalt des eingereichten Arbeitspakets sehr gut kennen.  Es gibt keine Hinweise auf mögliche Fragen im Interview.

Das Interview dauert ungefähr 60 Minuten und wird virtuell mit Hilfe von Videokonferenz-Technologien (Webcam, Telefon-Konferenz) durchgeführt. Das Interview wird ebenfalls mit mindestens 2 ITIL Master Assessoren durchgeführt und hat in etwa folgende Struktur:

  • Einführung
  • Diskussion bezüglich der Erfahrungen basierend auf dem Arbeitspaket und dem Lebenslauf
  • Fragen der Assessoren
  • Interview Abschluss

Die Fragen beziehen sich auf die Inhalte des Arbeitspakets. Es dürfen während des Interviews keine zusätzlichen Dokumente nachgereicht werden.

Neben den Fragen zu den ITIL Elementen und der Praxis-Erfahrung des Kandidaten, werden die Assessoren auch die Soft-Skills, die Kommunikativen Fähigkeiten und die grundsätzliche Professionalität berücksichtigen.

Nutzen einer ITIL® Master Qualifikation
Die hohe Hürde zur ITIL® Master Qualifikation hat zweifelsohne viele Vorteile – sowohl für den Kandidaten wie auch für die Organisationen:

  • Senior ITSM Praktiker und Manager können sich einfacher differenzieren, wo zunehmend höhere Kompetenzen gefordert werden
  • Erfahrene Praktiker können Schlüsselbereiche für eine Analyse und Verbesserung identifizieren, wenn sie eine Antrag (Proposal) zur ITIL Master-Qualifikation einreichen
  • Organisationen erzielen den Nutzen durch das Coaching während der Umsetzung des Antrags (Arbeitspaket)
  • Organisationen, welche ITIL Master qualifizierte Mitarbeiter haben, können einen hohen Level an Qualität aufweisen, da diese Arbeitspakete von unabhängiger Stelle bewertet wurden
  • Bei der Besetzung von wichtigen Schlüsselstellen kann das Master Diplom ein wichtiges Entscheidungskriterium sein

Und – sind Sie bereit für diesen nächsten Step? Hilft die Master Qualifikation Praxiserfahrungen zu demonstrieren und verlangt der Markt diesen Level?

Ihre Meinung interessiert mich.

Share via email

IT Governance Berufsbilder CISA, CISM, CGEIT & CRISC

Posted on by
Reply

ISACA ist der internationale Verband aller IT Governance Fachspezialisten.

Die ISACA International führt zahlreiche Projekte von globalem Charakter und großer Bedeutung für den IT-Audit und Advisory Bereich durch und ist Vorreiter bei der Entwicklung von IT-Audit Standards. Die derzeit aktuellen Forschungsprojekte umfassen Themen wie Value for IT, CobiT Mapping, IT-Revision, Sarbanes-Oxley und Ähnliches.

Die Hauptprodukte der ISACA sind neben CobiT die Zertifizierungen CISA, CISM, CGEIT und CRISC. Im folgenden möchte ich Ihnen diese neuen Berufsbilder der IT Governance etwas vorstellen:

1. CISA – Certified Information Systems Auditor
Bereits 1977 wurde von ISACA der Certified Information System Auditor (CISA) ins Leben gerufen. Seither haben unzählige Personen diese anspruchsvolle und immer wieder an die aktuellen Bedürfnisse angepasste Prüfung bestanden, die in rund 80 Ländern gleichzeitig in derzeit zwölf Sprachen durchgeführt wird. Durch Nachweis einer ausreichenden Berufspraxis konnten die erfolgreichen Absolventen anschliessend das begehrte CISA-Zertifikat erwerben. CISA ist das einzige weltweit anerkannte Zertifikat im Bereich Revision, Kontrolle und Sicherheit von Informationssystemen und geniesst seit Jahren international ein grosses Ansehen, da die Anforderungen hoch und weltweit identisch sind. Dies wird nicht nur von international tätigen Konzernen, sondern auch von lokal operierenden Unternehmen geschätzt.

Mit dem CISA-Zertifikat erwirbt man einen Leistungsausweis in den Bereichen Revision, Kontrolle und Sicherheit von Informationssystemen. Das CISA-Berufsbild wurde 2010 letztmals aktualisiert und umfasst 5 Domains, 38 Tasks (Aufgaben) und 79 Knowledge Statements (Aussagen zum benötigten Fachwissen). Da die Task Statements auch auf die jeweiligen COBIT-Prozesse referenziert sind, wird COBIT de facto zu einem integrierenden Bestandteil der CISA-Ausbildung und -Zertifizierung.

Die folgende Aufstellung der Aufgaben (Tasks) des CISA Berufsbildes vermitteln einen Eindruck vom breiten Wissensspektrum eines CISA. Die Prozent-Angaben in Klammern geben die Gewichtung einer Domain an der Prüfung an.

Domain 1, Prüfung von Informationssystemen (14%):

  • Risikobasierte IT-Prüfstrategie (1.1)
  • Prüfungsplanung (1.2)
  • Prüfungsdurchführung (1.3)
  • Berichterstattung (1.4)
  • Follow-up & Statusüberwachung (1.5)

    •  

Domain 2, Governance und Führung der IT (14%):

  • IT-Governance-Struktur (2.1)
  • Organisation & Personal (2.2)
  • IT-Strategie (2.3)
  • Richtlinien, Standards und Verfahren (2.4)
  • Qualitätsmanagementsystem (2.5)
  • Führung und Überwachung (2.6)
  • Investitionsmanagement (2.7)
  • Vertragsmanagement (2.8)
  • Risikomanagement (2.9)
  • Überwachung durch VR & GL (2.10)
  • Geschäftskontinuitätsplan (2.11)

    •  

Domain 3: Lebenszyklus von Anwendungen und Infrastruktur (19%):

  • Business Case (3.1)
  • Projektmanagement (3.2)
  • Projekt-Reviews (3.3)
  • Kontrollen in Projektphasen (3.4)
  • Migration und Implementation (3.5)
  • Post-Implementation Reviews (3.6) 

Domain 4: Lieferung und Unterstützung von IT-Dienstleistungen (24%):

  • Reviews von Informationssystemen (4.1)
  • Dienstleistungsmanagement (4.2)  
  • Management von Drittparteien (4.3)
  • Betriebsverfahren (4.4)
  • Unterhaltsprozess (4.5)
  • Datenbank-Verwaltung (4.6)
  • Kapazitäts- und Performanceüberwachung (4.7)
  • Problem- und Ereignismanagement (4.8)
  • Änderungs-, Konfigurations- und Release-Management (4.9)
  • Backup & Wiederherstellung (4.10)
  • Katastrophenwiederanlaufplan (4.11)

    •  

Domain 5: Schutz von Informationswerten (30%):

  • Informationssicherheits-Richtlinien (5.1)
  • System- und Zugriffskontrollen (5.2)
  • Datenklassifizierung (5.3)
  • Physische Sicherheit (5.4)
  • Speicherung, Abruf, Transport, Entsorgung (5.5)

2. CISM – Certified Information Security Manager (ISACA)
Seit Herbst 2002 bietet die ISACA den Certified Information Security Manager (CISM) an. Nach dem riesigen Erfolg mit dem Certified Information Systems Auditor (CISA) ist zu erwarten, dass das neue CISM-Zertifikat relativ schnell einen ähnliche Bedeutung erlangen wird. CISA geniesst seit Jahren international ein grosses Ansehen, weil die Anforderungen hoch und weltweit identisch sind. Dies wird nicht nur von international tätigen Konzernen, sondern auch von lokal operierenden Unternehmen geschätzt.

Das neue CISM-Zertifikat ist eine Reaktion auf die Bedürfnisse des Marktes und richtet sich vorwiegend an Personen, die für das Management der Informationssicherheit verantwortlich sind. Ein CISM beschäftigt sich mit Sicherheitsstrategien, Risikoanalysen, Riskikomanagement und ähnlichen übergeordneten Themen. ISACA möchte mit ihrem neuen Certified Information Security Manager dem Wildwuchs im Bereich von “Certified … Security …” ein breit abgestütztes Zertifikat mit gleich bleibend hohem Qualitätsstandard entgegensetzen, das nicht auf spezifische Technologien oder (Hardware-) Plattformen beschränkt ist. Zum heutigen Zeitpunkt sind bereits über 7’000 Personen im Besitz des CISM-Zertifikates.

CISM-Domains
Die folgende Aufstellung der Aufgaben (Tasks) des CISM-Berufsbildes vermitteln einen Eindruck vom breiten Wissensspektrum eines CISM. Die Prozent-Angaben in Klammern geben die Gewichtung eines Domains an der Prüfung an.

Domain 1, Governance der Informationssicherheit (23%):

  • Informationssicherheitsstrategie (1.1)
  • Unterstützung der Geschäftsleitung (1.2)
  • Governance-Tätigkeiten (1.3)
  • Berichterstattung und Kommunikation (1.4)
  • rechtliche und regulatorische Sachverhalte (1.5)
  • Sicherheitsrichtlinien (1.6)
  • Sicherheitsverfahren (1.7)
  • Nutzenanalyse (1.8)

Domain 2, Risikomanagement (22%):

  • Risikomanagementprozesse (2.1)
  • Integration in Prozesslebenszyklus (2.2)
  • Risikoidentifikation/-analyse (2.3)
  • Risikominderung (2.4)
  • Risikoberichterstattung (2.5)

    •  

Domain 3, Informationssicherheits-Programm (17%):

  • Implementation des Governance-Rahmens (3.1)
  • Grundschutz (3.2)
  • Sicherheit von Geschäftsprozessen (3.3)
  • Sicherheit der IT-Infrastruktur (3.4)
  • Integration in Unternehmens-Lebenszyklus (3.5)
  • Umsetzung der Sicherheitskonzepte (3.6)
  • Ownership (3.7)
  • Metriken für Informationssicherheit (3.8)
  • Ressourcen (3.9)

Domain 4, Management der Informationssicherheit (24%):

  • Sichere Verwendung der Informationssysteme (4.1)
  • Sichere Administration der Informationssysteme (4.2)
  • Sicherheit bei Outsourcing (4.3)
  • Sicherheitsmetriken (4.4)
  • Änderungsprozesse (4.5)
  • Verletzbarkeitsanalysen (4.6)
  • Handhabung von Verstössen (4.7)
  • Training und Awareness (4.8)

    •  

Domain 5, Management der Reaktion (14%):

  • Sicherheitsrelevante Ereignisse (5.1)
  • Reaktions- und Wiederanlaufpläne (5.2)
  • Testen der Reaktions- und Wiederanlaufpläne (5.3)
  • Ausführung der Reaktions- und Wiederanlaufpläne (5.4)
  • Dokumentation von Ereignissen (5.5)
  • Follow-up von Ereignissen (5.6)

3. CGEIT – Certified in the Governance of Enterprise IT (ISACA)
Das 2008 veröffentlichte Berufsbild des CGEIT (Certified in the Governance of Enterprise IT) ist die konsequente Weiterentwicklung der bereits 1998 gestarteten Initiative im Bereich IT-Governance: Damals wurde das IT Governance Institute gegründet sowie die erste COBIT-Version als Synthese von über 30 nationalen und internationalen Standards herausgegeben. Die seitdem veröffentlichten unzähligen ITGI-Dokumente zu allen Anspekten von IT-Governance sowie die stolze Anzahl von über 4‘000 CGEIT-zertifizierten Personen bereits im zweiten Jahr zeigen die Bedeutung der konsequenten Erweiterung von Governance auf die Informationstechnologie (IT).

CGEIT- Domains
Mit dem CGEIT-Zertifikat erwirbt man einen Leistungsausweis in IT-Governance, also Themenbereichen wie strategische Ausrichtung, Wertschöpfung, Risikomanagement, Ressourcenmanagement und Leistungsmessung in der Informationstechnologie (IT). Das CGEIT-Berufsbild wurde 2008 erstmals veröffentlicht und umfasst sechs Domains, 59 Tasks (Aufgaben) und 78 Knowledge Statements (Aussagen zum benötigten Fachwissen).

Die folgende Aufstellung der Aufgaben (Tasks) des CGEIT Berufsbildes vermitteln einen Eindruck vom breiten Wissensspektrum eines CGEIT. Die Prozent-Angaben in Klammern geben die Gewichtung eines Domains an der Prüfung an.

Domain 1, IT-Governance Framework (25%):

  • Entwicklung IT-Governance Framework (1.1)
  • Anforderungen und Ziele an IT-Governance (1.2)
  • Basis und Ausrichtung des IT-Governance Framework (1.3)
  • Management Governance-Strukturen (1.4)
  • Optimale Werterreichung (1.5)
  • Einhaltung externer Anforderungen und ethischer Deklarationen (1.6)
  • Unabhabhängige Bestätigung der Compliance (1.7)
  • Bewährte IT-Praktiken für Werteauslieferung (1.8)
  • Überwachung von IT-Governance (1.9)
  • Rollen, Aufgaben und Verantwortlichkeiten (1.10)
  • Berichterstattung Status IT-Governance (1.11)
  • Kommunikation für IT-Govenrance (1.12)

    •  

Domain 2, Strategische Ausrichtung (15%):

  • Entwicklung IT-Strategie (2.1)
  • Strategische Planung (2.2)
  • ITT-Management-Planung (2.3)
  • Richtlinien und Verfahren für strategische Ausrichtung (2.4)
  • Hemmnisse gegen strategische Ausrichtung (2.5)
  • Kommunikation zwischen Fachbereichen und Informatik (2.6)
  • Kaskadierung von Geschäfts- und IT-Zielsetzungen (2.7)
  • Ausrichtung von IT-Initiativen auf Geschäftsziele (2.8)
  • Wechselbeziehungen strategischer Initiativen (2.9)
  • Strategischer Planungsprozess (2.10)
  • Unterhalt von IT-Managementplänen (2.11)
  • Wirksamkeit der Ausrichtung strategischer Initiativen (2.12)
  • Analyse zukünftiger Technologien (2.13)

    •  

Domain 3, Werte-Auslieferung (15%):

  • Governance-Prozess für Werte-Auslieferung (3.1)
  • Ownership und Verantwortlichkeit (3.2)
  • Management von IT-gestützten Investionen als Portfolio (3.3)
  • Management von IT-gestützten Investionen zur Geschäftswertoptimierung (3.4)
  • Management von IT-gestützten Investionen im gesamten Lebenszyklus (3.5)
  • Kategorien von Investitionen (3.6)
  • Entwicklung und Unterhalt von IT-Lösungen im gesamten Lebenszyklus (3.7)
  • Auslieferung von IT-Dienstleistungen im richtigen Dienstleistungsgrad (3.8)
  • Generierung von Geschäftswerten (3.9)
  • Metriken für die Messung von Lösungen und Diensteauslieferung (3.10)
  • Engagement der Stakeholder (3.11)
  • Ausrichtung auf Unternehmens-Strategien und Architektur (3.12)

    •  

Domain 4, Risikomanagement (20%):

  • Integration in Geschäftsstrategieund taktische Planungsprozesse (4.1)
  • Ausrichtung auf das Unternehmens-Risikomanagement-Framework (4.2)
  • Konsistente Anwendung in der gesamten Unternehmensinformatik (4.3)
  • Integration in Informations-Lebenszyklus (4.4)
  • Risikomanagementstrategien und Priorisierung von Risikoantworten (4.5)
  • Risikomanagementstrategien zur Mitigation auf akzeptable Niveaus (4.6)
  • Berichterstattung über Risikoereignisse und -antworten (4.7)
  • Überwachungsprozesse und -praktiken (4.8)

    •  

Domain 5, Ressourcen-Management (13%):

  • Sytematisches und kontinuierliche Ressourcen-Planungs-, Management- und Evaluationsprozesse (5.1)
  • Anforderungen an ausgebildete Ressourcen (5.2)
  • Geeignete Richtlinien für Ausbildung und Entwicklung der Mitarbeiter (5.3)
  • Systeme zur Aufzeichnung von verfügbaren Ressourcen (5.4)
  • Gap-Analysen zur Aufdeckung von Defiziten (5.5)
  • Wirksame und wirtschaftliche Allokation von Ressourcen zu Investitionsprogrammen und Services (5.6)
  • Basierung von Sourcing-Strategien auf verfügbaren Ressourcen (5.7)
  • Einkaufsrichtlinien für Personen, Hardware, Software und Infrastruktur (5.8)
  • Periodische Beurteilung der Ausbildungsanforderungen (5.9)
  • Integration von Ressourcing-Prozessen in strategische und taktische Planung und den Betrieb (5.10)
  • Standardisierung der IT-Infrastruktur (5.11)
  • Management von IT-Werten im gesamten Lebenszyklus (5.12)

    •  

Domain 6, Leistungsmessung (12%):

  • Systematisches und kontinuierliches Leistungsmanagement (6.1)
  • Errichtung von strategischen IT-Zielen (6.2)
  • Ergebnis- und Lesitungsmetriken (6.3)
  • Leistungsmessung bei IT-Prozessen, IT-Investitionsportfolio, IT-Service-Delivery (6.4)
  • Maturitätsmodelle und andere Beurteilungstechniken (6.5)
  • Kontinuierliche Messung (6.6)
  • Berichterstattung an relevante Stakeholder (6.7)

4. CRISC – Certified in Risk and Information Systems Control (ISACA)
Anfangs 2010 wurde von ISACA das neue Zertifikat Certifed in Risk and Information Systems Control (CRISC) ins Leben gerufen. Die Mischung von (viel) Enterprise- und IT-Risikomanagement mit zwei Blöcken zur Implementation und Überwachung von internen Informatik-Kontrollen ist weltweit auf sehr grosses Interesse gestossen.

CRISC-Domains
Mit dem CRISC-Zertifikat erwirbt man einen Leistungsausweis in den Bereichen Revision, Kontrolle und Sicherheit von Informationssystemen. Das brandneue CRISC-Berufsbild umfasst 5 Domains, 39 Tasks (Aufgaben) und 72 Knowledge Statements (Aussagen zum benötigten Fachwissen).

Die folgende Aufstellung der Aufgaben (Tasks) des CRISC Berufsbildes vermitteln einen Eindruck vom breiten Wissensspektrum eines CRISC. Die Prozent-Angaben in Klammern geben die Gewichtung eines Domains an der Prüfung an.

Domain 1, Risikoidentifikation, -bewertung und Beurteilung (31%):

  • Sammlung von Informationen und Durchsicht von Dokumenten (1.1)
  • Rechtliche, regulatorische, vertragliche -Anforderungen, Richtlinien und Standards (1.2)
  • Identifikation von Bedrohungen und -Verwundbarkeiten (1.3)
  • Erstellung und Unterhalt eines Risiko-Registers (1.4)
  • Sammlung von Risikoszenarien (1.6)
  • Risiken, Ereignisse und -Abhängigkeiten (1.6)
  • Risiko-Awarenessprogramm (1.7)
  • Korrelation von Risiken zu relevanten -Geschäftsprozessen (1.8)
  • Validierung von Risikoappetit und -toleranz (1.9)

    •  

Domain 2, Risikoantwort (17%):

  • Risikoantworts-Optionen und -Entscheidungen (2.1)
  • Validierung von Risikoantworten mit -Stakeholdern (2.2)
  • Entwicklung von Risikoprofilen basierend auf Risikokriterien (2.3)
  • Risikoantwort-Aktionspläne (2.4)
  • Business Case-Entwicklung für Risikoantworten (2.5)

    •  

Domain 3: Risikoüberwachung (17%):

  • Sammlung und Validierung von Risiko-Schlüssel-indikatoren (3.1)
  • Überwachung und Kommunikation von Risiko-Schlüsselindikatoren (3.2)
  • Ermöglichung unabhängiger Reviews für Risikobewertungen und Prozesse (3.3)
  • Identifikation und Berichterstattung von Compliance-Risiken (3.4)

    •  

Domain 4: Entwurf und Implementation von Informatik-Kontrollen (17%):

  • Verständnis über Geschäftsprozess-Ziele (4.1)
  • Notwendige Informatik-Kontrollen (4.2)
  • Entwurf von Informatik-Kontrollen (4.3)
  • Für Kontroll-Betrieb notwendige Ressourcen (4.4)
  • Überwachung von Entwurf und Implementation (4.4)
  • Fortschrittsberichte über Implementierung (4.6)
  • Testen von Informatik-Kontrollen (4.7)
  • Implementierung zur Risikominderung (4.9)
  • Identifikation von Metriken und KPIs für die Leistung von Informatik-Kontrollen (4.0)
  • Werkzeuge für Automatisierung von Informatik-Kontrollprozessen (4.10)
  • Wirksamer Betrieb von Informatik-Kontrollen (4.11)
  • Owner für Informatik-Kontrollen (4.12)
  • Kriterien für Lebenszyklus-Management für Informatik-Kontrollen (4.13)

    •  

Domain 5: Überwachung und Unterhalt von Informatik-Kontrollen (18%):

  • Kontinuierliche Wirtschaftlichkeit & Wirksamkeit (5.1)
  • Identifikation von Mängeln (5.2)
  • Überprüfung von Richtlinien, Standards und Verfahren der Informatik (5.3)
  • Automatische Verifikationsprozesse (5.4)
  • Verwendung von Maturitätsmodellen für -Prozessbewertungen (5.5)
  • Bestimmung des Vorgehens für Behebung von Mängeln und Lücken (5.6)
  • Beweismittel für Existenz und Wirksamkeit von Informatik-Kontrollen (5.7)
  • Berichterstattung an Stakeholder (5.8)

Interesse an diesen Ausbildungen? Unser Partner ITACS führt diese Trainings teilweise in Zusammenarbeit mit der Glenfis AG durch. Kontaktieren Sie mich, wenn Sie weitere Informationen benötigen.

Eine gute Grundlage für diese Ausbildungen bietet eine vertiefte Kenntnis des COBIT-Frameworks. Die Glenfis AG bietet hierzu ideale Vorbereitungs-Seminare:

- COBIT Foundation
- Implementing Governance of Enterprise IT using COBIT
- RISK IT
- Val IT
- COBIT für ITIL Service Manager

Share via email

COBIT für Service Manager

Posted on by
Reply

Die Glenfis AG bietet einen neuen Kurs an: COBIT für Service Manager.

COBIT ist der IT Governance Leitfaden für verantwortungsvolle Service Manager, welcher die zusätzliche Sicht vermittelt, die Sicherstellung der Services nicht nur Performance-Orientiert, sondern nachhalting und vertrauensvoll auf Basis der Ethik- und Compliance-Verpflichtungen zu erfüllen.

Gerade für führungsverantwortliche Service Manager bildet COBIT eine ideale Ergänzung zu den bereits vorhandenen ITIL® Kenntnissen und Erfahrungen. Die Glenfis AG bietet einen speziell für erfahrene Service Manager ausgerichteten Spezialistenkurs, um die Grundlagen und Hilfestellungen des COBIT-Rahmenwerkes kennen zu lernen.

Um was geht es?
Das Zeitalter der IT Industrialisierung ist heute Realität. Die IT gehört zu den Grund-Infrastrukturen eines jeden Unternehmens wie Wasser und Strom. Nur hat man es in der Branche selbst nicht überall wahrgenommen – oder will es nicht recht wahrhaben. Der ehemalige Technologie-Provider muss sich zu einem echten Dienstleister entwickeln. Hardware und Software sind heute Massenware. Unternehmen können und wollen es sich künftig nicht mehr leisten, Herrscharen von Netzwerk-, Datenbank-, Java- oder sonst welchen –Spezialisten anzuheuern, nur um Business Prozesse zu automatisieren.

Herausforderungen an die IT
Anstelle Gräben zwischen Business und IT oder gar innerhalb der IT zu ziehen und diese noch zu pflegen, wird heute in einer globalen und wirtschaftlich vernetzten Welt von einem CIO und seinem Team erwartet, dass die folgenden, zentralen Herausforderungen professionell gemeistert werden: 

  1. Stabilität und Verfügbarkeit der IT: Nicht-Verfügbarkeit ist gleichbedeutend mit Unterbruch des Business-Prozesses – und Verlust beim Business
  2. Sicherstellen eines Mehrwerts durch IT Investitionen: Durch die strategische Bedeutung der IT muss bei jeder Investition ein Mehrwert entstehen. Und das ist mehr als blosses Erfüllen von allgemein gehaltenen Service Level Vereinbarungen
  3. Kosten im Griff haben: Die Kosten der IT Services während der gesamten Lebensdauer müssen verstanden werden. Total Cost of Ownership und Utilization sind hier nur zwei der Stichworte.
  4. Beherrschen der Komplexität: Es lässt sich praktisch niemanden mehr finden, der das Funktionieren eines IT Systems vollständig versteht und beherrscht. Die IT muss so gesteuert werden, dass die Komplexität beherrschbar wird.
  5. Konsequente Ausrichtung auf das Business: Die Anforderungen des Business müssen genau verstanden werden. Wer am Business vorbei produziert, muss sich einen anderen Sponsor suchen.
  6. Erfüllung regulatorischer Anforderungen: Wegen der Automatisierung der Geschäftsprozesse muss die IT den Nachweis der Compliance erbringen können.
  7. Gewährleistung der Sicherheit: Durch die globale Vernetzung sind sichere und verlässliche Systeme zu gewährleisten. Schutz vor Datenverlust, vor Verlust der Integrität und/oder von Vertraulichkeit sind existentiell für ein Unternehmen.

Bei der IT genügt es daher nicht, einfach nur Technik bereitzustellen. Vielmehr muss sich ein IT Dienstleister „rund-um-die-Uhr“ darum kümmern, dass neben der erwarteten Funktionalität deren Verfügbarkeit, Performance, Sicherheit und Kontinuität gewährleistet bleibt. Sobald etwas nicht mehr korrekt funktioniert, muss ein Supportteam mit höchster Priorität den vereinbarten Zustand wieder herstellen. Die Beherrschung der Nutzungsphase muss zur Königsdisziplin einer IT werden – und nicht etwa Forschung und Entwicklung.

IT – so verlässlich wie Strom aus der Steckdose
Das Business ist auf ein solch verlässliches Funktionieren angewiesen – so wie auf den Strom, der aus der Steckdose fliesst. Für den IT Provider bedeutet dies, dass er die dafür notwendigen Fähigkeiten in seiner Organisation gezielt fördern und für seine langfristige Existenzberechtigung als seine eigentlichen strategischen Vermögenswerte aufbauen muss. Diese Ressourcen und Fertigkeiten lassen sich nicht beliebig einkaufen. Vielmehr muss diese Ausrichtung bereits bei der strategischen Positionierung, dem Design der IT Services und bei deren reibungsloser Überführung in die Produktion stets im Fokus sein. Erst damit kann er im täglichen Betrieb den Beweis antreten, die Vereinbarungen und Kundenerwartungen zu erfüllen: 

  • Hohe Qualität zu vertretbaren Kosten
  • termingenaue und friktionsfreie Einführung von neuen Services
  • laufende Optimierung der Ressourcen und gleichzeitig die Risiken im Griff halten

Der IT Service Manager – das neue Berufsbild
Es braucht einen verlässlichen Service Manager, welcher die Herausforderungen an die IT in die Hand nimmt und dem Business den Rücken freihält. Der Service Manager ist diese wichtige Rolle, welche die Entwicklung, Umsetzung, Bewertung und laufende Steuerung von neuen und bestehenden Services verantwortet.

Was sind die konkreten Verantwortlichkeiten des Service Managers?

  1. Koordination und Management der gesamthaft an Kunden ausgelieferten Services – End to End.
  2. Steuerung und Kontrolle der Planung, Entwicklung, Umsetzung, Bewertung und laufender Betrieb der bestehenden und neuen Services
  3. Management der externen Beziehungen mit Kunden, verstehen der wichtigen Strategie-, Business-, Management- und Kultur-Belange
  4. Identifizieren, dokumentieren und steuern der wichtigen Service Stakeholder
  5. Agieren als primärer Stakeholder der grundlegenden IT Betriebsprozesse und Funktionen, welche den Service unterstützen. Sicherstellen der Kunden-Zufriedenheit
  6. Zusammenarbeit mit Compliance, Audit, Risk-Management und Security Teams um die Einhaltung der internen und externen Vorschriften zu gewährleisten
  7. Überprüfen der Service Performance Reports und Erkennen von signifikanten Vorkommnissen oder Varianzen bei der Service Erbringung.
  8. Sammeln der Kundenfeedbacks sowie der Ergebnisse der internen Leistungsmessung zur Förderung einer kontinuierlichen Verbesserungskultur.
  9. Zusammenarbeit mit dem Change Manager und Teilnahme am Change Advisory Board zur Unterstützung des Entscheidungsprozesses.
  10. Verstehen der internen Service Fähigkeiten und Fertigkeiten und Bereitstellen von Leitlinien für den Service Design und die Service Auslieferung.
  11. Sicherstellen, dass angemessene SLAs und Unterstützungsverträge in für den Kunden verständlicher Form definiert und entsprechende Messkriterien zur Überwachung festgelegt sind.
  12. Managen der internen Beziehungen mit IT Prozess Ownern, welche die Services unterstützen. Assistierung bei der Definition von Operational Level Agreements.
  13. Verstehen und Steuern der kommerziellen Aspekte der Services, inklusive der Budget-Erstellung, Verträge mit externen Lieferanten, Verrechnungs-Mechanismen, Service Kosten, Zusammenarbeit mit dem Financial Department und dem Vertragswesen.
  14. Verstehen jeglicher Third-Party-Services welche zur Unterstützung der End-Services notwendig sind und Sicherstellen der Anforderungen beim Anbieter.
  15. Rechtzeitiges Bereitstellen von korrekten Informationen für den Service Portfolio Management Prozess
  16. Zusammenarbeit mit Service- und Produkt-Owner zur Ausbalancierung der Prioritäten, um Kunden Anforderungen, Grenzen (Constraints) und Ziele zu erfüllen.
  17. Zusammenarbeit mit Prozess-Owner um sicherzustellen, dass dieser die Service Management Prozesse kontinuierlich verbessert. Damit soll gewährleistet werden, dass Services stabil, verlässlich, anpassungsfähig und reaktionsfähig für Kunden-Bedürfnisse bleiben. Steuern und Koordination der spezifischen Service Verbesserungs-Aktivitäten.

ITIL® V3 – der Good Practice Leitfaden für Service Management
Was es benötigt, um eine serviceorientierte Organisation aufzubauen, ist heute mit der Good Practice Publikation von ITIL® V3 bestens bekannt. Dieses Rahmenwerk ist zum defacto Standardwerk für Service Management geworden. Mit den fünf Service LifeCycle Phasen Service Strategy, Service Design, Service Transition, Service Operation und Continual Service Improvement werden die notwendigen Prozesse, Funktionen, Rollen und Architekturen generisch skizziert, so dass effiziente und effektive Service Erbringung grundsätzlich möglich ist.

Es gibt hierzu spezialisierte Ausbildungen, um Service Manager gezielt auf die Anwendung und Umsetzung der Lifecycle und Service Management Konzepte vorzubereiten.

COBIT – der IT Governance Leitfaden für verantwortungsvolle Service Manager
COBIT ist die zusätzliche Sicht, die Sicherstellung der Services nicht nur Performance-Orientiert, sondern nachhalting und vertrauensvoll auf Basis der Ethik- und Compliance-Verpflichtungen zu erfüllen.

COBIT basiert auf der Analyse und Harmonisierung existierender IT-Standards und bewährter Praktiken und ist mit allgemein anerkannten Grundsätzen von Governance in Einklang gebracht. COBIT ist auf auf Top-Management-Ebene angesiedelt, durch Unternehmenserfordernisse getrieben, deckt sämtliche Aktivitäten der IT ab und konzentriert sich auch eher darauf, was erreicht werden soll, als darauf, wie Governance, Management und Steuerung wirksam erreicht werden können. COBIT wurde entwickelt, um komplementär und gemeinsam mit anderen Standards und Best Practices verwendet zu werden. Der Fokus der COBIT-Prozesse liegt im Gegensatz zu ITIL® vor allem auf den sicheren Kontrollen in den Prozessen – ITIL® demgegenüber ist ein Leitfaden für die Realisierung von Services, der neben der Effektivität vor allem auch deren Effizienz betont.

Was einfach ist, ist nicht immer leicht bei der Umsetzung
So verblüffend logisch die Service Management Prinzipien von ITIL® auch scheinen, so schwierig sind sie in den IT Organisationen umzusetzen. Service-, Kunden- und Prozessorientierung bedeutet in aller Regel einen Kulturwandel, welcher im Rahmen eines Change-Projektes vollzogen werden muss.

Ein Wandel, welcher vom obersten Management klar als Vision gefordert und angestrebt werden muss, wenn das Vorhaben auch tatsächlich gelingen soll. Eine Voraussetzung, welche aber bei weitem nicht selbstverständlich ist. Viele CIOs sehen die Wichtigkeit heute zwar ein – nicht aber deren Dringlichkeit. Oft sind die positiven Effekte auch erst mittel- bis langfristig zu erzielen, was viele Führungskräfte dazu verleitet, kurzfristigen Erfolgen den Vorzug zu geben.

Wer sich nicht ändert – der wird geändert
CIOs welche das Heft nicht selber in die Hand nehmen, laufen Gefahr, dass dem Business die Geduld abhanden kommt. Statt vor dem Teller sieht sich manche IT plötzlich auf dem Teller liegen. Die Einrichtung und optimalen Besetzung der Service Manager Rolle kann dazu beitragen, die IT in einem besseren Licht zu präsentieren. Und Organisationen, welche es geschafft haben, können dies mit einem externen unabhängigen Siegel bescheinigen: dem ISO/IEC 20000 Standard für IT Service Management. Der Service Manager ist der Lotse zu diesem Ziel.

Weitere Info’s zum Seminar “COBIT für Service Manager”:
Das Seminar dauert zwei Tage und kann auch als Firmenseminar gebucht werden. Neben umfangreicher Seminar-Unterlagen erhalten die Teilnehmer das gemeinsam von ISACA und itSMF International erarbeitete Buch „COBIT User Guide for Service Managers“, ISBN 978-1-60420-071-3

Weiterführende Seminare sind:

Share via email

Neues Buch: ITIL V3 Planning to implement IT Service Management

Posted on by
Reply

Im letzten Oktober ist ein einzigartiges Buch aus der OGC-ITIL Reihe veröffentlicht worden: ITIL V3 Planning to implement Service Management

Das Buch von Colin Rudd löst damit den bereits unter V2 sehr hilfreichen Leitfaden zur

Planning to Implement Service Management

Planning to Implement Service Management

nachhaltigen Umsetzung von Service Management ab. Eine wahre Ergänzung zu den Lifecycle Kernbücher.

Die Hauptkapitel des Buches orientieren sich am CSI-Modell, dem kontinuierlichen Verbesserungsprogramm:

Alle Prozesse, welche durch ITIL beschrieben sind, stehen untereinander in Beziehung. Mit welchem Prozess soll nun gestartet werden? Eigentlich mit allen, da der wahre Wert des gesamten Service Managements viel grösser ist als die Summe der einzelnen implementierten Prozesse. Einige Prozesse setzen sogar die Existenz anderer Prozesse voraus.

Es gilt jedoch, folgende Grundsätze bei der Implementationsplanung zu beachten:

  • es macht keinen Sinn, eine Configuration Management Datenbank (CMDB) zu implementieren, ohne ein kontrolliertes Change Management. Die aufwendig gesammelten Konfigurationsdaten werden sehr schnell veralten und nicht mehr richtig sein, wenn unkontrollierte Veränderungen implementiert werden
  • es ist nicht angebracht für IT Services Rechnungen an die Kunden zu stellen, ohne entsprechende Service Level Vereinbarungen, welche genau festhalten, was für welchen Preis geliefert wird
  • es ist nicht möglich Problem Management Aktivitäten durchzuführen, solange die vollständigen Störungsinformationen als Teil des Incident Management Prozesses nicht erhoben werden.

Man stellt also einerseits fest, dass der grösste Nutzen bei der Implementierung von Service Management durch die Adressierung sämtlicher Prozesse erreicht wird. Es ist aber andererseits unwahrscheinlich, dass IT Organisationen alle Prozesse gleichzeitig umsetzen können. Es ist daher notwendig, die Bereiche mit dem grössten Bedarf (Dringlichkeit) zu identifizieren und entsprechend zu fokussieren.

  • Ein detailliertes Assessment ist gefordert, um die Stärken und Schwächen der IT Service Organisation zu analysieren. Dies geschieht in der Regel durch
  • Kundenzufriedenheitsbefragungen
  • Interviews mit IT Mitarbeitern
  • Prozess Analyse.

Aufgrund dieser Analysen können kurz-, mittel- und langfristige Strategien entwickelt werden. Es ist oft auch hilfreich, mit Hilfe von «Quick Wins» kurzfristige Verbesserungen der bestehenden Situation zu erzielen. Diese Quick Wins dürfen jedoch nicht auf Kosten der langfristigen Ziele erstrebt werden. Die Prioritäten bei der Implementierung müssen in einem übergeordneten Prozess abgestimmt werden.

Aufgrund dieser Analysen können kurz-, mittel- und langfristige Strategien entwickelt werden. Es ist oft auch hilfreich, mit Hilfe von «Quick Wins» kurzfristige Verbesserungen der bestehenden Situation zu erzielen. Diese Quick Wins dürfen jedoch nicht auf Kosten der langfristigen Ziele erstrebt werden. Die Prioritäten bei der Implementierung müssen in einem übergeordneten Prozess abgestimmt werden.

Die Implementierung des Service Management Projektes erfolgt gemäss folgendem pragmatischem Ansatz, dem CSI-Modell:

Der Rahmen zur Veränderung

Colin Rudd erläutert, dass  das Erreichen einer Entwicklungsstufe zur nächsten mehr als nur das Implementieren von ITIL Prozessen und Verfahren, respektive der Installation von Unterstützungswerkzeugen ist.

Jede Stufe setzt die entsprechende Anpassung einer Reihe von Komponenten voraus, damit der Wandel auch realisiert werden kann.

Diese Komponenten sind:

  • Vision und Strategie: die übergeordnete Ausrichtung und wie sich diese auf die Rolle im Bezug auf das Business äussert
  • Steuerung der IT: die Vorgaben und das Ziel der IT im Bezug auf die Realisierung der Strategie
  • Prozesse: die notwendigen Verfahren zur Erreichung der Ziele und Vorgaben
  • Involvierte Mitarbeiter: die notwendigen Fähigkeiten und Ausbildungen, um die Prozesse mit Leben zu erfüllen
  • Technologien und unterstützende Infrastrukturen: um die Prozesse auszuweiten
  • Kultur: das Verhalten sowie die entsprechende Einstellung im Bezug auf die IT und das Business.

Colin stellt neben COBIT und CMMI auch das sogenannte Extended Process Maturity Model Framework, EPMF vor. Das ist ein ergnänzendes Assessment-Framework, um neben der reinen Prozess-Maturität eben auch alle notwendigen Aspekte der erfolgreichen Service Erbringung hinsichtlich der vorhandenen Reife in der Organsation zu durchleuchten.

Im ersten Kapitel des Buches wird die Rolle des Managements und der notwendigen Steuergremien (Steering Committee, Strategy Board) verdeutlicht und klar gemacht, dass das “Senior Management from the business and IT organization” die hautpsächliche Verantwortung  für die IT Governance Festlegung, der Richtlinien und der Strategie für IT Services innehat.

Ein weiteres Kapitel legt den Wert auf die kulturelle Veränderung in der Organisation hin zu einem konstruktiven Verhalten und damit zum Erfolg.

Es  wird bereits gemunkelt, dass das Buch auch eine gute Grundlage für die ITIL V3 Master Qualifikation bildet. Ich bin wirklich sehr beeintruckt von diesem Werk. Colin Rudd hat hier eine Lücke der neuen ITIL Bücher geschlossen. Das alte ITIL V2 Buch “Planning to Implement Service Management” kann nun getrost als letztes V2-Buch entsorgt – oder zumindest ins Archiv gestellt werden.

Share via email

ABC-for-ICT erzielt den globalen Durchbruch

Posted on by
Reply

Das ABC der IT ist ein speziell entwickelter Leitfaden, mit dem IT-Organisationen betrachtet werden. Speziell dabei ist, das nicht die Prozesse und Werkzeuge, sondern die Veränderungen der Menschen im Vordergrund stehen.

Im Fokus stehen dabei

  • Attitude – die persönliche Einstellung und
  • Behavior – das Verhalten der Mitarbeiter und Führungskräfte sowie
  • Culture – die Unternehmens- bzw. Abteilungskultur.

Erforderliche Veränderungen (z.B. TQM, ITIL, Managementwechsel), die die Unternehmenskultur im Sinne der ABC der IT einbeziehen, versprechen Erfolg! Werden sie jedoch ohne Rücksicht auf die bestehende Unternehmenskultur geplant, drohen unvorhersehbare und unerwünschte Folgen.

Exin hat die ABC-Analyse in ihr Akkreditierungsprogramm aufgenommen. Glenfis ist ein ABC-Partner der ersten Stunde und ist als akkreditierter Lösungspartner registriert. Sehen Sie dazu ein Beispiel einer Analyse anlässlich einer SwissICT-Veranstaltung: PDF, 5MB. Lesen Sie dazu die EXIN-Medienmitteilung.

Weitere Info:

Wir haben ja nun schon die dritte Version von ITIL – und diese selbst wird im Verlaufe des Jahres wieder aktualisiert. Trotz diesen nun mehr als 15 Jahre Erfahrungen mit den Best Practices ist erstaunlich, dass das die Probleme heute immer noch die gleichen sind:

  • Fehlender Respekt und Verständnis für Kunden und Anwender
  • Prozess Manager ohne Autorität und Durchsetzungsvermögen
  • Blindes Vertrauen in Lieferanten, welche Tools verkaufen, die angeblich alle Probleme lösen

Ich frage mich, was braucht es noch, um die IT Industralisierung Richtung Service- und Kundenorientierung zu verändern?

Share via email

Event des Jahres: 3. ITIL Forum vom 16.-18. Mai 2011, Agil & Fit in die Zukunft

Posted on by
Reply
Das 3. ITIL Forum ist ein Anlass zum Erfahrungsaustausch. Von Praktikern zu Praktikern. Das Forum bietet sowohl Einblicke in Problemstellungen als auch praktische Lösungsansätze sowie Best Practices und aktives Networking. 

Folgende Keynote Speaker konnten verpflichtet wreden:

- Prof. Dr. Walter Brenner, University of St. Gallen Institute of Information Managemen
- Malcolm Fry, ITIL-Book author, member of ITIL advisory group
- Ivor Macfarlane, member of the itSMF International Editorial Advisory Taskforce and IBM Service Management Secialist und
- Ernst Wyrsch, Direktor und Gastgeber vom Steigenberger Grandhotel Belvédère dem sozialen Zentrum des World Economic Forum Davos.

Auch am 3. itil-forum erhalten Sie Einblicke in Praxiserfahrungen der folgenden Firmen und Organisationen; direkt aus erster Hand:

- Bank zweiplus AG
- Holcim Group Support Ltd
- SACA
- itSMF
- Merck KGaA
- Raiffeisen
- Sunrise
- Swiss Re
- Swisscom (Schweiz) AG
- ZHdK Zürcher Hochschule der Künste

Das Forum findet auch dieses Jahr wieder im idyllischen Städtchen Sarnen statt. Weg vom Alltagsstress in eine herrliche Umgebung mit gemütlicher Atmosphäre. Eine einmalige Gelegenheit, sich auszutauschen und Kontakte zu knüpfen. Der Komödiant Schüso sorgt für einen Angriff auf die Lachmuskulatur.

Weitere Informationen und Anmeldung: http://www.itil-forum.ch
Wir freuen uns auf Ihren Besuch.. 

Herzliche Grüsse
–Martin Andenmatten

Share via email

Von Vorsätzen, Träumen und Realitäten

Posted on by
Reply

Weihnachten steht vor der Türe – Zeit um über das Erreichte zu resümieren und sich zu geloben, im Neuen Jahr endlich alles richtig oder zumindest besser zu machen. Vorsätze, die mit einem guten Plan konkretisiert auch wirklich in die Tat umgesetzt werden sollen.

Aber wie sagt schon der Bettlerkönig Peachum in der Dreigroschenoper von Berthold Brecht: “Ja, mach nur einen Plan, sei nur ein grosses Licht – und mach dann noch ‘nen zweiten Plan, gehn tun beide nicht.” Die Erfahrungen machen wir immer wieder – nicht nur bei den gut gemeinten Vorsätzen am Ende des Jahres. Ein Plan wird selten eingehalten und ist nicht wirklich in der Lage, die Zukunft vorwegzunehmen. Es gibt immer Abweichungen zwischen der Vision und dem Ist.

Sollen wir also keine Pläne mehr erstellen? Um es klarzustellen: doch. Pläne sind wichtig um mögliche Szenarien zu durchdenken und Handlungsoptionen zu diskutieren. Erst dadurch sind wir in der Lage, sinnvolle Ziele zu setzen und Erfolgspotentiale zu schaffen.

Wenn Sie nun den Traum – oder besser den Plan haben, endlich die Service Orientierung in Ihrer IT Organisation nachhaltig umzusetzen, dann soll dies nicht wieder zur Ernüchterung führen.

Damit Ihr Vorhaben auch ein tatsächlicher Erfolg wird, gilt es folgende Grundregeln zu beachten:

  • Starten Sie nicht im Blindflug und stürzen sich unreflektiert ins Abenteuer. Analysieren Sie mit Ihren Geschäftsleitungskollegen zuerst die wahren Absichten und Glaubenssätze.
  • Analysieren Sie Ihre Stärken und Schwächen ihrer IT Organistion- und warum die bisherigen Bestrebungen zu einer Service Orientierung gescheitert sind. Würdigen Sie das bereits erreichte und machen Sie nicht die gleichen Fehler nochmals
  • Priorisieren Sie und versuchen nicht mit der Rasenmäher-Methode alles gleichzeitig realisieren zu wollen. Muten Sie Ihrer Organisation nicht zu viel zu – das Tagesgeschäft hat Vorfahrt.
  • Seien Sie kreativ und innovativ: Lassen Sie auch unkonventionellen Ideen Raum und wagen die Veränderung.
  • Machen Sie keine unrealistische Versprechungen und schüren keine falschen Erwartungshaltungen. Service Management ist ein langfristiger Prozess, der die Verhaltenskultur über mehrere Lernkurven langsam in die richtige Richtung verändert. Weisen Sie auf Rückschläge hin – Frustrationen können damit umgangen werden.
  • Und vor allem: Leben Sie die Philosophie vor. Nur so werden Sie glaubwürdig.

Ich wünsche Ihnen ganz aufrichtig viel Erfolg. Aber zuerst geniessen Sie die  wohlverdienten Feiertage und rutschen Sie gut ins Neue Jahr 2011.

Share via email

Cloud Computing – der Schlüssel für alle ungelösten Service Management Fragestellungen?

Posted on by
Reply

Cloud Virtualisierungstechnik ist in aller Munde und bestechend sinnvoll. Gerade aus der Optik des Service Managements bieten sich mit der “Capacity on Demand”-Option eine lang ersehnte Technologie, Ressourcen jederzeit in der notwendigen Ausprägungung dann zur Verfügung zu stellen, wann sie benötigt wird. Keine ungenutzten und troztdem Betriebskosten-verursachenden Infrastruktur-Komponenten mehr. Die Technologie geht sogar soweit, dass nicht nur Infrastukturen-as-a-Service (IAAS) offeriert werden. Sogar komplette Plattformen (PAAM) und der Betrieb von Software (SAAS) kann heute als gemanagter Service bezogen werden.

Die verführerische Optik, dass man sich nicht mehr um die Ressourcen kümmern muss, birgt aber auch  Risiken, welchen sich so mancher CIO nicht immer bewusst ist. Je nach dem, ob ein solcher Cloud - eine sogennante Wolke - die Ressourcen nicht nur innerhalb des Unternehmens sondern irgendwo extern “ausleiht”, können Daten plötzlich ganz ungewollt dort Spuren hinterlassen, wo man sie definitiv nicht haben möchte. Sei dies im normalen Betrieb wie bespielsweise bei Datensicherungen- oder nach einem plötzlichen Systemabsturz – verarbeitende Daten sind immer in einer Form beteiligt und können mit entsprechenden Werkzeugen rekonstruiert werden. Wenn die Technologie “nur” intern genutzt wird, braucht es trotzdem Transparenz, wo überall Daten sichtbar werden können.

itSMF, der deutsche Verein für IT Service Management hat zum Thema Clood Computing ein Positionspapier verfasst. Neben Flexibilität und Kostenvorteilen („Pay per Use“) sind es vor allem die weitreichenden Standardisierungseffekte, die konkrete – überwiegend positive – Auswirkungen für den IT-Betrieb generieren. IT Organisationen, welche sich mit dieser Technologie liebäugeln, müssen sich über die verschiedenen Betriebsformen intensiv auseinandersetzen, um die für ihr Unternehmen optimale Struktur festlegen zu können. Denn ob ein Private-Clood, ein Public-Cloud oder die Mischform als Hybrid-Clood eingesetzt werden soll, setzt unterschiedliche Rahmenbedingungen voraus.

Wer die  Hoffnung hegt,  mit Cloud-Computing die  Planung und Steuerung des Ressourcen-Einsatzes einfacher handhaben zu können - wird schnell enttäuscht und eines besseren gelehrt. Der Nutzen setzt Beherrschung der Komplexität voraus – und Transparenz der Datenflüsse. Compliance und regulatorische Fragestellungen hinsichtlich Speicherung von Daten gewinnen plötzlich für den CIO dermassen an Bedeutung, dass der wirtschaftliche Nutzen oftmals vernachmlässigbar werden kann.

Share via email

Von der Compliance-Administration zur Value Governance

Posted on by
Reply

Reine Gewinnmaximierung ist heute ethisch nicht mehr vertretbar. Anforderungen der Eigner, der öffentlichen Hand oder der Vertragspartner sind zu berücksichtigen und ebenfalls einzuhalten. Gerade in Zeiten der Krise ist der Ruf nach noch mehr Regeln gross. Die letzte Finanzkrise ist noch nicht verheilt und bereits ist Basel III publiziert worden.

Die Conformance, das heisst die Einhaltung dieser vertraglichen und regulatorischen Vorschriften haben heute fast eine grössere Bedeutung wie die eigentliche Performance-Steigerung. Doch Gewährleistung der Conformance oder Compliance ungeachtet der wirtschaftlichen Möglichkeiten einer Organisation kann auch nicht im Interesse eines Unternehmens sein. Conformance und Performance sind in Balance zu halten. Keines darf sich auf Kosten des anderen durchsetzen.

Die IT ist aber heute für den CEO leider noch zu oft eine mit strategischen, operativen und finanziellen Risiken behaftete Black Box, welche nicht allzu selten mit kostspieligen Überraschungen in Erscheinung tritt. Wie soll er sich darauf verlassen können, dass die immer neuen Gesetzesanforderungen auch tatsächlich in der IT eingehalten werden?

Verkommt die IT Organisation nun zu einer administrativen Kontroll-Instanz? Werden Innovationen im Keime erstickt zu Lasten von tiefgreifenden Kontrollmechanismen. Und was das in Zukunft kosten wird, vermag kein CIO zu beziffern.

Dass IT-Investitionen einen Mehrwert für die Unternehmen generieren müssen, leuchtet auf Anhieb ein. Das Business kann es sich schlichtweg nicht mehr leisten in IT Bereiche zu investieren, die sich auf Dauer nicht rechnen oder nicht gewinnbringend sind. Das blosse Erreichen von irgendwie zustande gekommenen Service Level Vereinbarungen ist oft nur eine Rechtfertigung seitens der IT.

Mit ISO 20000 und ISO 27001 verfügen wir heute über Qualitätsstandards, welche als Eckpfeiler der IT Governance die Einhaltung von Normen und die Sicherheit gleichermassen gewährleistet. Gleichzeitig werden die Leistungen der IT Organisation als IT Services definiert und laufend den sich im globalen Wettbewerb ändernden Business-Anforderungen kosteneffizient ausgerichtet. ISO 20000 und ISO 27001 enthalten ein Kontroll-System, welches die Durchsetzung und Einhaltung der Norm auditierbar und damit für alle nachweisbar macht.

Das übergeordnete Ziel ist aber noch etwas ganz anderes: Es will dem Management helfen sicherzustellen, dass die Organisation einen optimalen Mehrwert – sprich Value – aus den durch IT unterstützten Business-Investitionen zu erschwinglichen Kosten und zu bekannten und tragbaren Risiken erzielen kann.

Und das ist die Vision: Weg vom Technologieprovider hin zum verlässlichen IT Service Partner, welcher sich um eine funktionierende und sichere IT kümmert. Und die Sorgfaltspflicht über die eingesetzten IT Assets gewährleistet.

Share via email