SIAM – Governance und Management Multiprovider Ökosystem mit COBIT

Der grosse Druck vieler IT-Organisationen mit dem Trend neuer Technologien und Adaptions-Methoden Schritt halten zu können, führt letztlich in aller Regel zu einem grossen und verwobenen Netz an Partnern und Service Providern. Die eigenen Skills und Kräfte genügen in der Regel nicht, um eine rasche Integration neuer Technologien oder Cloud Service Angebote mit bestehenden Infrastrukturen zu bewerkstelligen. Und ehe man sich versieht, ist man mit einem immer schwierigeren Multiprovider-Umfeld konfrontiert, welches sich immer weniger steuern lässt. Wenn dann die Digitalisierung über verschiedene Standorte hinweg die Integration der Geschäftsprozesse und deren Arbeitsumgebungen erfordern, steht manche IT-Organisation vor der Herausforderung, unzählige Service Provider mit 40, 50 oder mehr Verträgen auf ein gemeinsames Betriebsmodell einzuschwören. Dabei hat der CIO längst das Steuer verloren und seine verbleibende IT-Organisation wird von den Service Providern vor sich hergetrieben.

Dabei kommen die Probleme nicht von ungefähr. Man hat in solchen Situationen aus dem klassischen IT-Betrieb heraus keine klare Vorstellung erarbeitet, wie das künftige Betriebsmodell (Target Operating Model) zu definieren ist und wie die Rolle der internen IT-Organisation positioniert wird. Man hat sich die Verträge der Service Provider mehr oder weniger aufs Auge drücken lassen. Klar, man hat wohl noch kräftig auf den Preis gedrückt, sodass sich der Service Provider keinen Millimeter vom Vertrag abweichen lässt. Das führt dann zu folgenden Effekten:

• Fehlende gemeinsame Governance über Prozesse und Zusammenarbeit
• Fehlende Kompatibilität zwischen den Systemen
• Verträge der verschiedenen Lieferanten sind nicht aufeinander abgestimmt (Service Levels und Standards)
• Qualitätsansprüche an Commodity Services wie SaaS oder IaaS lassen sich nicht einfach durchsetzen
• Spannungen zwischen Service Providern, welche Abhängigkeiten zueinander aufweisen (Lifecycle Mgmt)
• Unfähigkeit der Zuordnung der Rechenschaftspflicht bei Problemen (Accountability)
• Missmatch der Erwartungen an den Gesamtservice mit den erreichten Zielen der Komponenten-Services
• Tempo aufstrebender Technologien und deren Integrationsanspruch (Schwierigkeit, längerfristig zu planen)
• Unterschiedliche Portale, Prozesse und Definitionen (Silos der Informationen)
• Nicht einheitliches Monitoring & Reporting
• Höhere Komplexität im Vendor Management
• Fehlende Tool-Integration (Change Mgmt, Incident Mgmt, Problem Mgmt, Monitoring, …)
• Fehlende Sicht auf den Service (wie setzt sich ein E2E-Service zusammen?)

Dies zeigt sich insbesondere in Situationen, wenn grössere Störungen oder Probleme zu lösen sind, bei welchen mehrere Providern involviert sind und welche nicht klar an einen verursachenden Service Provider zugeordnet werden kann. Diese lassen sich nur schwer dazu bewegen, aktiv nach der Ursache zu suchen oder an der Lösung mitzuwirken, wenn ihnen nicht nachgewiesen kann, dass sie dafür verantwortlich sind. Schnell geht es dann in erster Linie darum zu klären, wer die dabei entstehenden Kosten übernimmt. Für den Kunden oft eine schwierige Situation. Anstelle das schnell eine Lösung gefunden wird, wird gegenseitig die Schuld zugewiesen.

COBIT als Governance-System

Wie so ein Multiprovider-Umfeld organisiert und geführt werden müsste, wird im SIAM Body of Knowledge aufgezeigt (SCOPISM – SIAM).  Ich habe hier in diesem Blog bereits mehrfach über SIAM geschrieben (link). SIAM bedingt ein dediziertes Service Management System mit Schwerpunkt der Integration von Services und Service Providern. Dieses baut sehr stark auf den Prinzipien und Prozessen von ITIL auf und fokussiert sich auf das Steuern und Managen der von den verschiedenen Providern vereinbarten Serviceleistungen zu einem übergeordneten End-to-End-Service. Wie das Governance-Modell mit den Verantwortlichkeiten genau auszugestalten ist, bleibt in den vorhandenen Frameworks aber im Unklaren. Es wird dabei auf die Empfehlungen von COBIT verwiesen. COBIT ist ein sehr mächtiges, komplexes und für die meisten IT-Organisationen ein völlig unbekanntes Rahmenwerk, so dass mit dem blossen Hinweis auf COBIT den wenigsten wirklich geholfen wird.

Dabei hat COBIT eine Vielzahl von sehr guten Prinzipien und Praktiken, welche gerade im SIAM-Umfeld von grossem Nutzen sind. Eines dieser Prinzipien ist der «Ganzheitliche Ansatz», welches ein Governance und Management System insbesondere in einem Multiprovider-Ökosystem anzuwenden ist. Dieser ganzheitliche Ansatz beinhaltet eine definierte Anzahl (7) von Komponenten, welche einzeln wie aber auch gemeinsam zusammenwirken und dazu beitragen, die übergeordneten Ziele des Führungssystems zu erfüllen. COBIT hat in seinem Buch «Governance and Management Objectives» für sämtliche 40 Disziplinen zu den einzelnen Komponenten die Definitionen, Anweisungen und Hinweise auf weiterführende Frameworks oder Standards festgehalten, um das Governance-System auszugestalten.

Prozesse

Prozesse sind eine der Komponenten des Governance Systems. Aus Sicht SIAM ist es nun wichtig zu verstehen, dass das Service Management System für den Service Integrator nicht die Ressourcen, Mitarbeiter oder Technologien der beteiligten Service Provider managt, sondern nur die Qualität der mit den Providern vereinbarten Services. Die Service Provider müssen selbst für die Erfüllung der Service-Leistungen verantwortlich bleiben. Dies ist analog zu Cloud Service Providern. Auch hier erhält man einen Cloud Service und hat dabei keine direkte Kontrolle der zugrundeliegenden Ressourcen.

Aus Sicht der Service-Integrator Prozesse bedeutet dies, dass das SIAM Service Management System nur auf die definierten Service-Schnittstellen (Touchpoints) zugreifen und nicht in die Prozesse der verschiedenen Service Provider eingreifen darf. Dasselbe gilt auch für die verbleibende interne IT-Organisation (retained Organisation), welche aus dieser Sicht wie ein weiterer Service Provider zu betrachten ist. Jeder Service Provider hat seine eigenen Prozesse, Werkzeuge und Service Personal.

Wichtig ist aus Sicht SIAM, dass der Service Integrator die einzelnen Service Leistungen der verschiedenen Service Provider überwacht und ein integrierter End-to-End Service sicherstellt, so wie dies der Kunde letztlich erwartet. Wenn nun beispielsweise eine Störung auftritt, so muss der Service Integrator deren Behebung mit den beteiligten Providern koordinieren und sicherstellen. Die SIAM-Prozesse müssen für eine optimale Zusammenarbeit mit allen beteiligten Parteien abgestimmt werden.

Organisationsstrukturen

Eine weitere wichtige Komponente von COBIT stellen die Organisationsstrukturen dar. Aus Sicht Governance sind dies gemäss SIAM Body of Knowledge die Strukturelemente zur Steuerung des Service-Ökosystems. Es muss dabei immer vor Augen gehalten werden, dass in diesem Service-Ökosystem verschiedenste Unternehmen mit eigenen rechtlichen und organisatorischen Strukturen zusammenarbeiten. Richtlinien und Prozess-Vorgaben lassen sich nicht einfach zentral beschliessen und dann durchsetzen. Vielmehr muss jede beteiligte Einheit innerhalb der eigenen Governance-Strukturen deren Konsequenzen und Einwilligung genehmigen lassen. Dies lässt sich gut mit dem Funktionieren der Europäischen Union vergleichen. Anpassungen an Verträgen oder Verfahren müssen bei jedem Mitgliedstaat ratifiziert werden, bis es gültig ist.

Wichtigste Partner im SIAM-Ökosystem sind der Kunde, der Service Integrator und alle beteiligten Service Provider. Auf den verschiedenen Ebenen (strategisch, taktisch, operativ) sind Boards und Arbeitsgruppen zu definieren, um Änderung der Regelungen oder einzusetzenden Systeme in der Zusammenarbeit abzustimmen.

Informationen

Aktuelle und stimmige Daten und Informationen sind essenziell für die Führung eines komplexen Multiprovider-Systems. Wenn nun in einem Multiprovider Ökosystem jeder Provider seine eigenen Services mit Hilfe seiner zugehörigen Werkzeuge überwacht und managt, dann wird es eine Herausforderung für den zentral verantwortlichen Service Integrator, diese Informationen für die übergeordnete Steuerung für sich nutzen zu können. Wer ist für welche Daten verantwortlich und welche Daten werden im SIAM-Verbund gemeinsam genutzt?

Diese Daten müssen aufeinander abgestimmt sein. Prioritäten, Kategorien, Messkriterien und Performance-Indikatoren müssen harmonisiert und mit den beteiligten Service Providern abgestimmt sein. Dies ist nicht immer möglich, insbesondere senn grosse Service Provider wie Microsoft Azure oder Amazon AWS beteiligt sind. Trotzdem müssen Wege gefunden werden, wie Service Reports vereinheitlicht werden können, um eine konsolidierte Sicht über die End-to-End Service Performance darstellen zu können.

Mitarbeiter, Skills und Kompetenzen

Um guten Entscheide fällen zu können und notwendige Korrekturmassnahmen im Service-Ökosystem durchzuführen, sind entsprechend geschulte Mitarbeiter notwendig. Dabei sind nicht primär die IT-technischen Skills gemeint, sondern Fähigkeiten und Kompetenzen, sich in einem Multiprovider-Umfeld durchsetzen zu können. Dies sind:

• Business Relationship Management
• Kommunikationsfähigkeiten
• Kommerzieller Scharfsinn
• Verhandlungs- und Konfliktlösungsfähigkeiten
• Beeinflussung von Fähigkeiten
• Fähigkeit zum Coachen zwischenmenschlicher Beziehungen
• Managen von Verträgen und Service Provider

Prinzipien, Richtlinien und Verfahren

Sämtliche beteiligten Service Provider sind in einem SIAM-Ökosystem auf eine gemeinsame Zusammenarbeit zu verpflichten. Man kann nun auf die vertraglichen Vereinbarungen zwischen Kunden und Service Provider hinweisen, welche diese Zusammenarbeit regelt (Statement of Work, SoW). Dies ist jedoch nicht immer einfach, insbesondere wenn der Service Integrator nicht Teil der Kundenorganisation ist und daher keine direkten Verträge mit den beteiligten Service Providern innehat.

Um ein konsistentes und aufeinander abgestimmtes Multi-Service-Provider-Ökosystem zu etablieren, müssen die Vertragsverhandlungen in einer ausgereiften Weise orchestriert werden. Abweichungen von vorgängig zu definierenden Standard-Service-Parametern mit einzelnen Service Providern erschweren die gesamte Service-Integration.

Daher sollte der Kunde zunächst eine Vereinbarung mit dem Service Integrator treffen und diese den anderen Parteien nur als Gesamtrahmen präsentieren, den jeder Service Provider einhalten muss. Man muss dabei sicherstellen, dass jeder zu integrierende Service Provider sich verpflichtet, vor dem Start der Service-Erbringung eine Vereinbarung auf operativer Ebene mit den anderen relevanten Service Providern und insbesondere mit dem Service Integrator treffen werden. Vertragsverhandlungen sind ein wichtiger Schritt beim Aufbau von Beziehungen und der Gewinnung von gegenseitigem Vertrauen

Kultur, Ethik und Verhalten

Alle beteiligten Partner im SIAM-Ökosystem müssen wie ein eingeschworenes Team zusammenarbeiten. Dies ist nicht so einfach mit Verträgen zu verpflichten. Dies habe ich bereits im Blog «SIAM – Vertrauen lässt sich nicht vertraglich regeln» zum Ausdruck gebracht. Zur Förderung eines kooperativen Geistes zwischen den Service Providern und dem Service Integrator haben sich die folgenden Elemente als nützlich erwiesen:

• Charta der Beziehungen. Die Beziehungs-Charta soll einige der Verhaltensweisen veranschaulichen, die der beauftragte Service Integrator von ihren Service Providern erwartet, um die Ziele zu erfüllen – kollaborative Zusammenarbeit ist eine davon.
• Vertrauen und Co-Lokation. Regelmässige gemeinsame Workshops vor Ort oder per Video, Kommunikationsprogramm zur Entwicklung von gegenseitigem Verständnis und gemeinsamem Wissen (Knowledge Sharing).
• Gemeinsame Governance. Formelle Multi-Provider-Governance, bei der sich Vertreter der wichtigsten Service Provider unter dem Vorsitz des Service-Integrators (unabhängig davon, ob die Rolle innerhalb der beauftragten IT-Organisation oder mit einer externen Partei festgelegt wurde) treffen, um gemeinsame Interessen und Anliegen zu erörtern.
• Gemeinsame KPIs. Eine bessere Zusammenarbeit zwischen den Service Providern kann durch die Implementierung anbieterübergreifender KPIs erreicht werden, die auf die Ziele der beauftragten Kunden-Organisationen abgestimmt sind.

Services, Infrastrukturen und Applikationen

Diese letzte Komponente des Governance-Systems gemäss COBIT bedeutet die Bereitstellung geeigneter Infrastrukturen und Werkzeuge zur optimalen Zusammenarbeit. Wie eingangs bereits beschrieben, muss davon ausgegangen werden, dass jeder beteiligten Service Provider im SIAM-Ökosystem seine eigenen Werkzeuge zum Bereitstellen, Überwachen und unterstützen seiner Services hat und nutzt. Es kann nicht erwartet werden, dass jeder Service Provider das seitens Service Integrator bereitgestellte Werkzeug nutzt. Die Toolintegration wird eine der zentralen Herausforderungen.

Es gibt zwei Faktoren, die bei der Bewertung der zu beschaffenden und der intern zu verwendenden Werkzeugen überprüft werden müssen:

1. Wer benötigt die Tool-Funktionalität, um die Services zu erbringen, für die sie unter Vertrag genommen wurden? (dies wären entweder ein oder mehrere Service Provider im SIAM-Ökosystem)
2. Wer benötigt Zugang zu den Daten, die in dem Werkzeug enthalten sind oder von diesem produziert werden, um die Services zu erbringen, für die sie unter Vertrag genommen wurden (dies wären entweder ein oder mehrere Service Provider im SIAM-Ökosystem)

Wenn die Werkzeuge von mehr als einem Service Provider zur Ausführung der vertraglich vereinbarten Dienstleistungen verwendet werden, werden diese Werkzeuge als gemeinsame Plattformen seitens Service Integrator in Frage kommen.

Die Ownership an einem Werkzeug kann in sechs Komponenten aufgeteilt werden:

• Die Governance leitet die Strategie der Plattform und trägt die organisatorische Verantwortung dafür, dass das Werkzeug die funktionalen und nicht-funktionalen Anforderungen erfüllen kann.
• Dieselbe Organisation, die die Verantwortung/Ownership des Werkzeuges innehat, kontrolliert normalerweise die Finanzierung und die Investitionen für den Plattformwechsel und den Betrieb.
• Daten, die in das Werkzeug geschoben werden. Wem gehören diese?
• Entwicklung und Implementierung und Betrieb der Plattform
• Assets (Hardware, Software und Personal)

Fazit

SIAM ist eine der heute zentralen Herausforderungen von Unternehmen und IT-Organisationen, welche mit einer Multiprovider-Situation konfrontiert sind. Wenn die Service Provider einmal unter Vertrag genommen wurden, ohne die Rolle des Service Integrators zu klären, wird es nachträglich sehr schwierig, die Zusammenarbeit auf ein SIAM-Ökosystem umzugestalten. Eine gute Governance ist dabei eine zentrale Anforderung und COBIT kann dabei helfen, die notwendigen Definitionen und Komponenten einzurichten.  Viele interne IT-Organisationen möchten diese Rolle gerne selbst wahrnehmen, überschätzen sich oft dabei aber oft, weil die dazu notwendigen Skills und Erfahrungen fehlen. SIAM muss selbst als ein Service betrachtet werden, welcher eindeutig einen Mehrwert für Unternehmen hat. Die Frage, wer diesen Service wahrnehmen soll, muss ganz zu Beginn des SIAM-Projektes festgelegt werden. Es gibt im Markt immer mehr professionelle Service Provider, welche genau dies als Service anbieten. Die Verantwortung gibt man dabei nie aus der Hand – aber ein Partner, als Single-Point-of-Visibility hilft Unternehmen, sich auf ihr Kernprozess zu konzentrieren, anstelle sich mit der Koordination von externen Providern herumschlagen zu müssen.