ITIL® ist ein universelles Framework und mit seinen fünf Bänden mit mehr als 7 Kilo Gewicht ein schwer verdaulicher Klumpen an Best Practices, den es zu verdauen gilt. In dieser Form ist ITIL® völlig ungeeignet für kleinere und mittlere Organisationen! 28 Prozesse und 4 Funktionen – und dann noch all diese Rollen. Das kann und will man sich im Mittelstand nicht leisten.
Komplett ignorieren kann man die Disziplinen aber doch nicht. Zu gross sind die Herausforderungen der IT-Industrie, welche auch vor den kleineren IT-Organisationen nicht halt machen. Verlässliche IT-Leistungen, Sicherheit, Mobilität und Kostendruck sind nicht nur für grosse Organisationen eine Herkulesaufgabe – auch KMUs müssen hier eine gangbare Lösung finden.
Nur – wie packe ich es an. Wie weiss ich, was für mich als Mittelstand relevant ist und auf was ich verzichten kann? Dieser Frage ist letzte Woche auch das itSMF Deutschland mit dem Live-Event „ITSM im Mittelstand“ nach gegangen. Auch ich habe dort einen Beitrag geleistet und das Buch von Malcolm Fry, ITIL Lite vorgestellt und wie man damit ITSM auf den Mittelstand zuschneiden kann. Ein anderer Beitrag zeigte auf, welche drei Prozesse es nun sind, auf das sich die ganze Aufregung reduzieren lässt. Ich verzichte jetzt hier auf deren Aufzählung, weil es dann doch etwas zu banal war. Nur soviel: letztlich zeigte sich, dass man alle auch noch wichtigen Dinge dann einfach bei den drei Prozessen subsumiert hat (…).
Im Nachgang zu diesem Event habe ich versucht, die wesentlichen ITSM-Domänen einer jeden IT-Organisation – insbesondere der der KMUs auszuleuchten. Bevor ich jedoch auf diese 4 plus eine ITSM-Domäne eingehe, möchte ich die wesentlichen Unterschiede zwischen grossen und kleinen Organisationen hervorheben.
Was kennzeichnet KMUs gegenüber grossen Organisationen?
Kleinere Organisationen werden oft auf ihre beschränkten finanziellen und personellen Mittel reduziert. Das leuchtet ein und macht klar, dass nicht mit der gleichen Kelle angerührt werden kann. Trotzdem bleiben die Herausforderungen gleich gross.
Es gibt aber auch viele Vorteile, welche kleinere Organisationen gegenüber grösseren haben: Agilität und Flexibilität. Während grosse Organisationen geradezu darunter leiden, breitangelegte Abstimmungen bis zuhinterst in jeder Abteilung durchzuführen, werden in KMUs Entscheide recht pragmatisch und im Türrahmen mit dem CIO gefällt. Grosse Organisationen tendieren zu viel mehr Bürokratie und damit zu lähmenden Abläufen, während kleine Organisationen schlanke und direkte Wege kennen.
Grössere Organisationen sind schwierig zu führen. Man holt sich Berater und stützt sich mehrfach ab, um ja nicht belangt zu werden. Währenddessen kleinere Organisationen eher auf ihre Kunden und Kollegen in ähnlichem Umfeld hören und sich inspirieren lassen.
Kleine Organisationen sind wie ein Dorf – da kennt man sich und weiss, wer wofür zuständig ist. Grosse Organisationen sind wie Städte – sehr unpersönlich und immer wieder überraschend, wer auch noch seine Ideen einstreuen möchte.
Was ich bei vielen ITSM-Implementationsprojekten in grossen Organisationen auch immer wieder feststelle, ist eine regelrechte Fragmentierung der ITIL-Disziplinen. Während sich die eine Ecke der IT-Organisation um das Thema Infrastruktur-Management und Service Operation Prozesse kümmert, ist in einer ganz anderen Ecke ein Team an der Erarbeitung von Service Katalogen und Portfolio Management beschäftigt. Irgendwo anders werden vielleicht noch Financial Management und Reporting betrieben. Letztlich hat sich die Entwicklungsabteilung in Grossorganisationen immer noch nicht auf die Niederungen eines Service Management herunter gelassen. Vielleicht hilft hier eines Tages die DevOps-Strömung weiter.
Die Fragmente sind dann bei weitem nicht immer auf einander abgestimmt. Es kommt vielmehr sogar vor, dass Prozesse wie beispielsweise Change Management mehrfach implementiert und zudem mit unterschiedlichen Zuständigkeiten und Werkezeugen realisiert sind. Das Management nutzt zudem das Prozess Management nicht zur Steuerung der IT, weil ihr Führungssystem nicht auf Services und Prozesse ausgerichtet ist. Siehe hierzu unser Beitrag zum Controlled Service Environment.
Grosse Organisationen haben also nicht nur Vorteile. Es ist gerade für den Mittelstand wichtig, dass sie ihre Vorteile nutzen und durch mehr Agilität und Flexibilität besser auf die Anforderungen ihres Business reagieren. Das ist im Bereich ITSM besonders wichtig.
Die 4 plus eine ITSM-Domäne
Was von ITIL ist nun wichtig für meine Organisation – was kann ich weglassen? Diese Frage stellen sich nicht nur die kleinen Organisationen. Auch grosse Organisationen sind nicht in der Lage, alle Themen gleichzeitig zu starten. Es wäre auch vermessen, einzelne Service Management Disziplinen generell als mehr oder weniger Wichtig zu deklarieren. Grundsätzlich sind alle Themen wichtig – sonst wären sie nicht als Best Practice erfasst worden.
Eine IT-Organisation muss sich jedoch den Herausforderungen stellen und eine kundenfokussierte IT-Dienstleistung ordnungsgemäss erbringen. Ich habe die wesentlichen Themen in folgende 4 Domänen aufgeteilt:
- Kunden-Domäne: hier spielen sich alle direkten Kontakte auf Business- und Benutzerebene statt
- Sicherheits-Domäne: hier geht es um die Einhaltung Sicherheitsvorschriften und den Schutz der Daten und Services
- Sourcing-Domäne: Bei dieser Domäne dreht sich alles um die Bereitstellung der Ressourcen, sei es intern oder extern oder gar aus der Cloud
- Technologie-Domäne: Letztlich ist die IT immer auch noch Technik, welche immer mehr in der Kontrolle des Endanwenders liegt und gleichzeitig mit den internen Technologie-Architekturen vernetzt werden müssen
Die „plus eine“ Domäne kümmert sich um Change & Control und soll sich damit um die ordnungsmässige Abwicklung der Änderungen kümmern und die Nachvollziehbarkeit gewährleisten.
Alle 4 plus eine Domäne sind für KMUs wie auch für grosse Organisationen wichtig. Das Service Management System ist das Führungssystem, welche diese Domänen zusammenhält und damit die Basis für mehrwertgenerierende IT-Services bildet.
Ich stelle im Folgenden die vier Domänen etwas detaillierter vor.
1. Kunden-Domäne
Es gibt drei Ebenen, bei welchem der Kunde mit der IT-Organisation in Kontakt tritt. Der Benutzer auf der operationellen Ebene im Wesentlichen über den Service Desk. Der Business-Manager auf der taktischen Ebene über den Service Katalog und das SLA durch den Business Releationship Manager und den Service Level Manager. Und letztlich der Geschäftsführer über die strategische Ebene und dem Service Portfolio Management und der Service Strategie.
Insbesondere das Service Desk, das Incident Management und der Service Katalog sind zentrale Elemente, um der IT ein Gesicht und eine Sprache zu geben. Wenn diese Schnittstellen zum Kunden gut realisiert und damit als Visitenkarte der IT-Organisation etabliert ist, dann kann sich hinter dieser Facette noch sehr viel Chaos verbergen, ohne dass damit das Image der IT leidet. Umgekehrt kann noch so eine gut strukturierte IT-Organisation mit einem lausigen Kunden-Interface nie den Kunden zufriedenstellen.
Eine wichtige Disziplin und damit auch ein ITIL-Prozess ist das Reporting. Die finanzielle und kundenseitige Berichterstattung über eine Leistungsperiode inklusive der sich abzuzeichnenden Trends.
Weitere Optimierungen nach der Umsetzung des Service Desk und des Service Katalogs sind im Bereich Service Request Modelle und Automatisierung von Bestellabwicklungen anzustreben.
2. Sicherheits-Domäne
Sicherheit kann nicht genügend betont werden. Dies ist nicht mit einem Tool oder mit den restriktiven Verboten von bestimmten Technologien alleine zu lösen. Sicherheit kostet – aber keine Sicherheit kostet viel mehr. Ein CIO handelt schlichtweg fahrlässig, wenn er nicht die notwendigen Schutzmassnahmen einrichtet.
Ein klares Rollenkonzept und ein Identity und ein durchgesetzter Access Management Prozess, welcher den Zugriff auf vertrauliche Systeme und Daten regelt ist ein absolutes Minimum.
Privacy – der Schutz der Privatsphäre – aber auch Cybersecurity sind heute die zentralen Themen in der Geschäftswelt. Damit ist die heute grösste Gefahr von Angriffen auf Unternehmen, Personen und Assets gemeint, welche oft mit krimineller Absicht begangen wird. Auch KMUs brauchen heute hier ein minimal Verständnis dieser Gefahren und müssen sich hinsichtlich wirkungsvoller Abwehr rüsten.
Letztlich gehört in diese Domäne auch ein Business Continuity Management sowie ein darauf abgestütztes IT Service Continuity Konzept. Eine einfache, aber mit dem Business durchgeführte Impact Analyse zeigt recht eindrücklich, was ein zeitlicher Ausfall von IT-Services und der Verlust von Daten tatsächlich bedeuten. Der hochgerechnete Schaden lässt geeignete Recovery-Massnahmen gut begründen.
IT-Organisationen, welche an der Planung des Business Continuity Managements scheitern, planen das Scheitern des Unternehmens im Ernstfall.
3. Sourcing-Domäne
Alles aus einer Hand ist heute eher die Ausnahme als die Regel. Grosse wie auch kleine Organisationen tendieren heute mehr den je, IT-Leistungen extern zu beziehen.
Die Frage nach dem Sourcing stellt sich sowohl auf der Entwicklungs- wie auch auf der Servicebereitstellungs-Seite. Gerade heute, wo Infrastrukturen, Plattformen und ganze Software-Applikationen als Service aus der Wolke bezogen werden kann, stellt sich berechtigterweise die Frage: warum selber machen.
Dieser Trend wird anhalten. Die IT kann sich diesem Trend nicht entziehen. Der Kostendruck ist schlichtweg zu riesig und der Fachkräftemangel zu gross, als dass mit dem Angebot Schritt gehalten werden kann. Das Business bezieht sich heute solche Leistungen mit der Kreditkarte via Internet und kann innert kurzer Zeit die Services nutzen.
Die Kontrolle über die IT ist deswegen aber nicht weniger wichtig geworden für die Organisationen. Auch KMUs müssen hier die Schnittstelle zwischen Business und Service Provider wahrnehmen und als Service Broker sicherstellen, dass Vorgaben, Kontrollen eingehalten und die operative Abhängigkeit minimiert wird.
Vendor- oder Supplier Management sowie die Definition einer mit dem Business abgestimmten Sourcing- und Cloud Governance sind zentrale Themen, welche auch ein Mittelständer umsetzen muss, um nicht ein Heer von unkontrollierten Schatten-ITs wie einen Sack voller Flöhe hüten zu müssen.
4. Technologie-Domäne
Die Technologie ist die Paradedisziplin der IT-Organisationen. Aber immer mehr geht die Kontrolle auf die Endbenutzer über und läuft Gefahr, der IT-Organisation zu entgleiten. Vorbei sind die Zeiten, in welchen die interne IT die Herrschaft und das Wissen der Technologie gehortet hatte. Die neuen Generationen von Anwendern wachsen mit dem Internet und all seinen Möglichkeiten auf. BYOD, Social Media und Mobilität sind eine Voraussetzung, um überhaupt gute Leute in die Unternehmen zu locken. Eine IT-Organisation, welche sich hier unter noch so gut gemeinten Argumenten versucht zu verweigern, wird früher oder später von der Realität überrannt.
Man kann den Regen nicht am Fallen hindern.
Plus 1: Change Control Domäne
Als letzte und doch auch wichtige Domäne ist die Steuerung aller Veränderungen an IT-Services, Verträgen und Technologien. Die IT ist heute dermassen in die Abwicklung der Business-Prozesse integriert, sodass die regulatorischen Anforderungen eins zu eins in der IT umgesetzt werden muss. Änderungen an den Abläufen und Systemen müssen nachvollziehbar sein und der CIO ist rechenschaftspflichtig über sämtliche Bewegungen der IT-Assets, Daten und Systeme.
Das Change Management ist eine der ersten Hausaufgaben einer noch so kleinen IT-Organisation, welche möglichst früh umgesetzt werden muss. Jedes noch so gut gemeinte „hey – Joe, mach mal schnell“ ist Gift in den Augen der Auditoren und letztlich nicht zu verantworten.
Und zu guter Letzt : Ein paar Umsetzungstipps
Mit drei Prozessen wird man die Sorge um ITSM nicht los. Zu gross ist die Verantwortung der CIOs, als dass man sich hier aus der Affäre ziehen kann.
Wenn die Themen aber auch vielfältig sind, können sich Mittelständer bei der Umsetzung aber doch einiges an Papierübungen sparen, welche grosse Organisationen zwecks Abstimmung und Aufklärung sich antun müssen.
Zudem empfehle ich, als erstes Buch der ITIL-Bibliothek das CSI zu verinnerlichen. Nicht den grossen Wurf mit allen Prozessen und Disziplinen des ITSM versuchen, sondern wenige, dafür machbare Schritte anzugehen. Die Philosophie von ITIL ist die Transformation der IT in eine lernende Organisation zu vollziehen. Die Welt verändert sich eh – und das Business wird seine Ansprüche entsprechend laufend anpassen. Die IT-Organisation muss damit Schritt halten können.
Hier noch zwei Hinweise zur pragmatischen Umsetzung:
- Definition von klaren Rollen und Verantwortlichkeiten anstelle seitenweise Ablaufdiagramme und Dokumentation: wenn die Zuständigkeiten klar sind, dann erübrigt sich das Hinschreiben und Zeichnen von Aktivitäten und Diagrammen
- Dokumentation von Standardabläufen: Sowohl im Incident als auch im Request-Fulfillment Bereich gibt es immer wiederkehrende Abläufe, welche einmal dokumentiert helfen, schneller und einfacher abgewickelt zu werden. Hier eignen sich die Prozesse besonders. Es gibt aber immer auch Fälle, welche erstmalig und einmalig bleiben, welchen sich die IT-Spezialisten annehmen müssen. Siehe hierzu den Buch-Review Beitrag „Standard+Case“.
ITSM ist auch für den Mittelstand wichtig. Es empfiehlt sich, sich mit dem Framework vertieft auseinander zu setzen. Ein externer, erfahrenerer Berater kann hier helfen, den Weg durch den Dschungel zu finden und als Lotse in der Organisation dem CIO den Weg aufzeigen. Und mein Traum der industriellen IT-Revolution wird vielleicht einmal wahr.
Hallo Martin,
was hältst Du davon, die Security Domäne noch mit den (non-ITIL, aber dennoch vorhandenen) Prozessen oder Bereichen Compliance und Risk Management zu ergänzen? Ist das implizit so angedacht?
Für die Technologie Domäne sähe ich noch den Bereich ‘Solution Design’ (also wie komme ich zu einem neuen oder wesentlich geänderten Lösung bzw. einem Service). Grade da ist ITIL m.E. schwach auf den Beinen.
Hallo Regula,
die aufgeführten Prozesse sollen nicht als abschliessende Aufzählung verstanden werden. Klar, Risiko Management und Compliance sind wesentliche Bestandteile. Es geht darum, diese Themen je nach Priorität und Machbarkeit hinzuzunehmen. Es kann auch sein, dass Prozesse an Bedeutung verlieren und dann eingestellt werden.
Solution Design ist richtig im Bereich Technologie anzusiedeln. Fragt sich, wie viel eine KMU selber entwickelt oder doch eher einkauft. ITIL positioniert dies in den Bereich Service Design, ohne sich aber auf die Details der Entwicklung einzulassen.
Gruss
–Martin
Ein umfassender Beitrag und eigentlich eine Pflichtlektüre für IT Verantwortliche in mittelständischen Unternehmen. Der Besuch auf einer Veranstaltung hat zuletzt wieder einmal gezeigt, dass das Problembewusstsein für aufgeführte Aspekte nicht in einer notwendigen Form ausgeprägt ist.