Open-ITIL - ein Ansatz zur Akzeptanz-Verstärkung für den Einsatz von IT-Service Management nach ITIL in Klein- und Mittelunternehmen

IT-Service Management (ITSM) ist nicht nur aufgrund gesetzlicher Vorgaben (z.B. SOX 404 Chapter, Basel II) eine elementar notwendige Basis für die in diesen Vorgaben verlangte „Corporate Governance“ und „IT Governance“. Dieser darin aufgestellte Anspruch in Richtung transparenter IT-Service-Prozesse gilt sowohl in Konzernbetrieben wie auch in Kleinund Mittelunternehmen (KMU). In den erstgenannten Unternehmen gehört aufgrund der gesetzlichen Rahmenbedingungen IT-Service-Management in Amerika und Kanada seit ca. fünf Jahren und in Europa seit ca. drei Jahren zu den zentralen Themen der Strategieüberlegungen. In den Kleinund Mittelunternehmen ist aufgrund verschiedener Akzeptanzschwierigkeiten dieses auch für sie wichtige Thema unterrepräsentiert. Ziel dieses Beitrages ist daher, einen Lösungsansatz im Bereich ITSM für KMU aufzuzeigen, der die bestehenden Barrieren behebt und ITSM auch für KMU anwendbar macht. Hierzu wird zunächst aufgezeigt, welche Aspekte im Bereich ITService Management vorherrschen, bevor auf die Akzeptanzschwierigkeiten bei der Einführung von IT-Service Management in KMU eingegangen wird. Anschliessend wird mittels eines Lösungsszenarios aufgezeigt, wie durch die Offenlegung von IT-Service-Prozessen, deren Implementierungsempfehlungen, die Schaffung einer offenen ITSM-Referenz-Software und die Etablierung eines offenen Zertifizierungsverfahrens die Akzeptanz für die Einführung von ITSM in KMU angehoben werden kann. Gleichzeitig wird durch den beschriebenen Lösungsansatz ein neues Potential für die Entwicklung von Software-Produkten im Bereich ITSM aufgezeigt. 264 M. Brandstätter, T. Peruzzi 1 Ausgangssituation und Problemstellung 1.1 IT-Service Management als Basis für die notwendige Corporate Governance in Konzernbetrieben IT-Service Management (ITSM) ist derzeit zu einem wichtigen Thema in den Führungsetagen nationaler und internationaler Konzerne erhoben worden sei es nur um dem allgemeinen Corporate Governance − Gedanken [Sc06], oder im Speziellen dem ITGovernance − Gedanken gerecht zu werden. Einem Tochterunternehmen eines amerikanischen börsennotierten Konzerns liegt genau so daran dem Transparenzansatz des SOX 404-Chapter zu entsprechen wie seinem europäischen Zulieferbetrieb [SOX06 Act 2005]. In jüngster Zeit beschäftigen sich immer mehr Unternehmen − oft initiiert durch Beratungsprojekte − mit den Prozessen der IT-Governance und es werden international jährlich neue oder modifizierte Modelle zur Umsetzung von IT-Governance in diversen Unternehmen entwickelt. Eine Organisation, die sich bisher besonders intensiv mit dem Thema beschäftigt hat, ist das IT Governance Institut, eine Schwester-Organisation der ISACA (Information Systems Audit Control Association). Diese Organisation wurde 1996 als Verein der IT-Auditors gegründet und hat heute weltweit 50.000 Mitglieder. In Österreich ist die ISACA [ISACA06a] seit 1998 vertreten. Allgemein kann IT-Governance wie folgt definiert werden: „Unter dem Begriff der ITGovernance sind Maßnahmen zusammengefasst, die gewährleisten sollen, dass die strategischen Geschäftsziele mit den eingesetzten IT-Ressourcen erreicht werden. Regelwerke, Verfahren und Modelle sollten Bezug nehmen auf die unternehmerische Einordnung der IT-Leistungserstellung und die Etablierung von Organisationsstrukturen und Prozessen, um die IT-Ressourcen und die technischen Risiken besser steuern und kontrollieren zu können.“, [WR04] „IT governance is the term used to describe how those persons entrusted with governance of an entity will consider IT in their supervision, monitoring, control and direction of the entity. How IT is applied within the entity will have an immense impact on whether the entity will attain its vision, mission or strategic goals” [RO00, S. 2] IT-Governance − abgeleitet aus der Begrifflichkeit des Corporate Governance − stellt demnach eine Führungsaufgabe dar und ist dadurch ein Teil der Verantwortung des Managements und des Vorstandes. Die Operationalisierung des IT-Governance-Ansatzes wird einerseits direkt durch das strategische und operative IT-Controlling durchgeführt 1 Sarbanes Oxley Act − Chapter 404 − von den beiden amerikanischen Abgeordneten Sarbanes und Oxley anlässlich der Börsenskandale im Jahre 2002 rund um die Ereignisse um die Unternehmen Enron und Worldcom ins Leben gerufen. Dieser Gesetzestext betrifft amerikanische börsennotierte Unternehmen im Inland und amerikanischen Ausland sowie einen Grossteil ihrer Zulieferbetriebe. Die Kernaussage ist die Transparenzlegung der Berichtswege inklusive der Quellen und IT-Systeme. Mit der Berichtslegung haften somit die Vorstände auch zivilrechtlich. Open-ITIL – ein Ansatz zur Akzeptanzverstärkung 265 und andererseits durch das jeweilige ITSM-Framework, dass dabei großteils die Basis für die Betriebsführung einer IT-Organisation darstellt [Sc04a]. Im Bereich des ITSM haben sich ITIL und „ITIL-ähnliche“ Frameworks für die Planung, die Implementierung, die Steuerung und den laufenden Betrieb von ITOrganisationen durchgesetzt [VG05]. 1.2 IT-Service-Management als vernachlässigtes Thema in KMU Die oben beschriebenen Projekte werden heute überwiegend in Konzernbetrieben und großen KMU angewendet. In den kleinen und mittleren KMU ist die Akzeptanz diesbezüglich nur marginal ausgeprägt [Sc04b]. Und das obwohl wie in den Artikeln des SOX 404 Chapters und in den Basel II-Vorschriften gefordert, der Transparenzansatz in der Geschäftsgebahrung inklusive der operationalen Umsetzungen in der IT-Organisation vorausgesetzt wird [ÖNB04]. Die Konsequenz für eine mangelnde Umsetzung der oben beschriebenen Vorschriften bedeutet in den betroffenen Unternehmen eine Erhöhung der fremdfinanzierten Investmet. Dieser Umstand betrifft beispielhaft die Wirtschaft in Österreich umsomehr, da mehr als 99% der Betriebe [WKO06] des Landes in die Kategorie „KMU“ [WKO06] einzuordnen sind und deren Finanzierungsrate überwiegend ein negatives Verhältnis im Vergleich von Eigenkapital zu Femdkapital besitzt [TUW02]. Aber es sind nicht nur Nachteile, die der Einsatz von ITSM kompensieren kann. Die Vorteile, die sich in den KMU durch Einsatz von ITSM ergeben können, sind einerseits die Erhöhung des Strukturierungsgrades innerhalb der KMU, die daraus resultierenden Vorteile in der IT-Organsiation [OGC04] und der imaginäre Nutzen, der sich in der Aussenwirkung gegenüber deren Kunden ergibt. Die wichtigsten Nutzenaspekte einer ITSM-Einführung können dabei wie folgt zusammengefasst werden [WG05]: Vorteile für IT-Anwender: − Stärkere Ausrichtung der IT-Services auf die Kundenwünsche; Nutzen: Zufriedenere Kunden der IT-Organsiation. − Kommunikation über definierte Ansprechpartner in der IT-Organsiation; Nutzen: Verbesserung der Arbeitsabläufe und Aufbau eines höheren Vertrauensverhältnisses zu den IT-Anwendern. − Exakte Beschreibung der IT-Services; Nutzen: Geringerer Interpretationsspielraum über die zu erbringenden IT-Services und die Sicherstellung der Messbarkeit. 2 ITSM-Framework − Ein Rahmenwerk, das schwerpunktmässig − in Abhängigkeit von der Type des Rahmenwerks − die Ablauforganisation einer IT-Service Organisation beschreibt und dabei in Planungs-, Steuerungsund Operationsprozesse unterteilt. 266 M. Brandstätter, T. Peruzzi − Detailliert definierte IT-Service-Prozesse; Nutzen: Steigerung der ServiceQualität und Verringerung von Prozesskosten. Vorteile für die IT-Organsiation: − Das ITIL-Framework beinhaltet ein klares Rollenkonzept; Nutzen: Eindeutige Kompetenzund Verantwortungsverteilung. − Die Anwendung von ITIL erhöht die Reaktionsgeschwindigkeit; Nutzen: Auf ITAnwenderwünsche, -anfragen kann somit schneller eingegangen werden; Es erhöht sich auch indirekt die Wettbewerbsfähigkeit des Unternehmens. − ITIL kann eine Basis von Outsourcing von IT-Teilbereichen liefern; Nutzen: Kostengünstigere Betriebskosten. − Durch messbare Leistungsindikatoren kann das Management die IT-Organisation einfacher steuern; Nutzen: Effizientere und effektivere IT-Organisation. − Durch die Einführung von ITIL wird eine neue Service-Kultur geschaffen; Nutzen: Kundenorientierte Service-Kultur schafft Mitarbeitermotivation. Im Folgenden wird in Form eines Einsatzszenarios aufgezeigt, wie durch die Offenlegung der ITIL-Prozesse eine Akzeptanzerhöhung des ITSM-Einsatzes in KMU ermöglicht würde. Hierzu ist zunächst die Ausgangssituation im Themenbereich ITSM im Allgemeinen und die Anwendungen von ITSM in den KMU im Speziellen zu erläutern. 2 Aktuelle Situation im Bereich ITSM 2.1 Ein Überblick über die aktuellen ITSM-Normen und -standards Die meisten Unternehmensprozesse hängen heute von einer funktionierenden Informationstechnologie ab. Wichtiger noch als aktualisierte Virenscanner oder gut konfigurierte Firewalls ist dabei die Gestaltung der Prozesse der IT-Organisation. Die meisten Unternehmen haben heute lediglich in Hardund Software zur IT-Sicherheit investiert − die Prozesse wurden jedoch mehr oder weniger vernachlässigt. Zur Bewertung der operationellen Risiken in den Unternehmen nach Basel II werden aber genau diese Prozesse eingehend untersucht (vgl. Österreichische Nationalbank 2004). Hilfe bieten hier die Normengruppen: − IT-Infrastructure-Library (ITIL) − ISO/IEC 20000:2005 − ISO/IEC 27001:2005 − Control Objectives for Information and Related Technology ( COBIT) Das folgende Kapitel beschreibt kurz den De-fakto-Standard ITIL, der als Best-PracticeAnsatz für ITSM als zentrales Framework ausgewählt wurde, da er im Gegensatz zu den Open-ITIL – ein Ansatz zur Akzeptanzverstärkung 267 offiziell existierenden Normen eine weite Verbreitung geniesst. Weiterhin zeichnet sich ITIL durch einen hohen Praxisbezug auch für KMU aus [Ti05a; S. 45]. 2.2 IT-Infrastructure-Library Der De-facto-Standard ITIL (IT-Infrastructure-Library) wurde durch die britische Normungsinstitution OGC [OGC04] etabliert und weiterentwickelt. Die OGC ist die zentrale Produktund Lieferanten-unabhängige Informatik-Beratungsstelle der britischen Regierung und hat den Begriff ITIL als Warenzeichen eingetragen [OGC06]. − Die IT-Infrastructure-Library, kurz ITIL, ist ein in Großbritannien entwickelter Leitfaden zur Unterteilung der Funktionen und Organisation der Prozesse, die im Rahmen des serviceorientierten (im Gegensatz zum technologieorientierten) Betriebes einer IT-Infrastruktur eines Unternehmens entstehen (IT-ServiceManagement). − ITIL versucht keine endgültige und umfassende Standardisierung, sondern verfolgt einen so genannte Best Practice Ansatz. Dabei werden in der Praxis erfolgreiche Modelle und Organisationsformen so beschrieben, dass sie von jeder Organisation beliebig adaptierbar sind und somit auf die eigenen Bedürfnisse zugeschnitten werden können. In den letzten Jahren gewann die von der OGC herausgegebenen IT-InfrastructureLibrary (ITIL) innerhalb der IT zunehmend an Bedeutung. ITIL ist ein Best Practice Ansatz für ein effizientes, leistungsorientiertes, prozessorientiertes Service Management und unterteilt sich in mehrere Bereiche/Bücher. ITIL organisiert den dauerhaften Betrieb einer IT-Infrastruktur ITIL [Be03]. Sie definiert klare Aufgabenstellungen, die beim Betrieb dieser Infrastruktur anfallen. Über ITIL können sehr einfach Kunden-Lieferantenbeziehungen definiert werden, in denen ein Kunde die Bereitstellung definierter IT-Services in bestimmter Qualität von einem Lieferanten einkaufen kann. Das IT Service Management nach ITIL unterteilt die zu unterstützenden zehn Prozesse in zwei Hauptbereiche: 1. Taktische Ebene: Planung und Steuerung von IT-Dienstleistungen = Service Delivery. Der Bereich Service Delivery beinhaltet die Bereich Service-Level-, Availability-, IT Service Continuity-, Capacityund Financial Management. 2. Operationelle Ebene: Unterstützung von IT-Dienstleistungen = Service Support. Der Bereich Service Support beschäftigt sich mit den Prozessen für Incident-, Problem-, Change-, Configurationund Release-Management. 3 Die Abkürzung OGC bedeutet Office of Government Commerce; die OGC entstand aus der britischen Central Computer and Telecommunications Agency (CCTA). 268 M. Brandstätter, T. Peruzzi Weiterhin exisitiert in der ITIL-Definition die Funktion Security Management, die dabei ebenenübergreifend arbeitet und die zentrale Funktion des Service Desks, der als Drehund Angelpunkt des Kontakts der IT-Anwender mit der IT-Organisation dient. Nach Victor & Günther [VG05] wird aufgrund der Vorgehensweise bei der ITSMImplementierung nach ITIL zusätzlich in eine strategische und operative Ebene unterschieden. 3 Barrieren in der Einführung von IT-Service-Management in KMU 3.1 ITSM-Projekte sind in KMU unterrepräsentiert Voraussetzung von vitalem IT-Service-Management (ITSM) ist, dass die Planung, Implementierung, der Betrieb und die laufende Steuerung von ITSM einer bewährten Methode folgt (vgl. dazu Kapitel 2). Die Umsetzung von ITSM-Projekten steht, wie in in Pkt. 1.1 beschrieben, in nationalen und internationalen Konzernen auf der obersten Prioritätenliste. Bei den Unternehmen der KMU-Definition [EU06] jedoch sind dies unterrepräsentierte Themen. Die Bedeutung der IT-Prozesse und deren Dokumentation ist bei KMU im Vergleich zu deren Kernprozessen deutlich geringer ausgeprägt [Sc04b]. Im Vergleich zu Umfragen im Bereich Einsatz und Verwendung von ITSM, die stärker auf Konzerne und größere KMU ausgerichtet waren, lässt sich die dort festgestellte hohe Bedeutung von ITSM in den kleineren KMU nicht bestätigen [SSK06]. Der Einsatz von ITSM geht oft Hand in Hand mit dem Einsatz von IT-Controlling in einem Unternehmen und ist diesem zumeist zeitlich nachgelagert [GJK05]. Betrachtet man beispielhaft dazu den Einsatz des IT-Controllings in KMU, ist dieser speziell in den kleineren KMU im Moment noch marginal ausgeprägt [SSK06] , jedoch ist eine Zunahme des Einsatzes des IT-Controllings in KMU in den letzten vier Jahren in Deutschland zu beobachten gewesen [Hö04]. Eine daraus abgeleitete Schlussfolgerung zu treffen, dass mit Zunahme des Einsatzes von IT-Controlling in den KMU der Einsatz von ITSM in Zukunft zunehmen wird, ist daher legitim. 3.2 Ursachen der Akzeptanzprobleme im ITSM-Einsatz bei KMU 3.2.1 Mangelnder Nutzeneffekt Die Betriebe in der KMU-Kategorisierung bringen erfahrungsgemäß weniger Verständnis für strategische Überlegungen auf, die sich nicht direkt ihrem Kerngeschäft zuordnen lassen [SSK06]. Daher muss der Nutzeneffekt, der durch den Einsatz von ITSM entstehen kann, erst indirekt − z.B. durch die entstandene Kostensteigerung bei Krediten nach der Basel II-Richtline − ermittelt werden. Open-ITIL – ein Ansatz zur Akzeptanzverstärkung 269 Der direkte Nutzen, der in Form von Kostenvorteilen durch ITSM-Einführungen entsteht, wird in KMU, durch großteils mangelhaft ausgeprägtes Bewusstsein, oft nicht gesehen. Beispielhaft kann dabei der Umstand aufgezeigt werden, dass in Deutschland in Betriebsgrößen von weniger als 100 Mitarbeitern der ITSM-Einsatz unterrepräsentiert ist. Die Definition und Dokumentation der IT-Service-Prozesse ist in diesen Betrieben nur mit ca. 20% angeführt. Und dabei sind die meisten Vertreter (54%) dieser Unternehmenskategorie in den Branchen IT und IuK-Technologie tätig [Sc04b]. Die meisten IT-Organisationen in KMU ermitteln ihre Kosten (Investment und laufende Kosten) größtenteils unvollständig. Weiterhin werden die Fachabteilungen durch simple Umverteilungen der gesamten bzw. partiellen IT-Kosten in Form von Umlagen mit diesen Kosten direkt belastet. In beiden Fällen ist ein ITSM-Nutzen nur schwer und nur anlassbezogen argumentierbar [Ti05a]. Die weiteren fachlichen Nutzenaspekte und Vorteile, die durch den ITSM-Einsatz entstehen, werden in den meisten Fällen ebenfalls nur situativ und anlassbezogen betrachtet und dienen daher nur ansatzweise als Triebkraft für eine allfällige ITSM-Einführung in KMU [VG05]. 3.2.2 Aufwändige Implementierungen Das Framework ITIL eignet sich grundsätzlich gut für den ITSM-Einsatz in KMU. Es ist jedoch von der OGC nur rudimentär beschrieben, so dass der Prozess von der Planung über die Einführung zum laufenden Betrieb individuell − zumeist mit externer Begleitung − gehandhabt werden muss und dadurch aufwändig und teuer ist. Eine Implementierung der in den meisten Unternehmen wichtigsten ITIL-Prozesse (Incident-, Problemund Change-Management) ist von der Planung bis zum Abschluss des Rollouts mit durchschnittlich zwölf Monaten kalkuliert [vgl. So04]. Dieser Zeitraum ist für KMU in der Regel zu lange definiert und bindet dafür wertvolle Ressourcen. Diese Aussage wird durch die Studie der FH Bonn-Rhein-Sieg und der Universität Siegen [SSK06] gestützt, in der der Umstand aufgezeigt wird, dass speziell in KMU die Akzeptanz in der Ressourcenallokierung in jenen Bereichen gering ist, die nicht direkt zum Kerngeschäft gehören. ITIL bietet sich grundsätzlich als ITSM-Framework in KMU an, ist wegen ihrer mangelnden Implementierungsunterstützung im Moment in KMU jedoch (noch) nicht stark verbreitet. Auch die seit Dezember 2005 aus dem ITIL-Framework überwiegend abgeleitete ITSM-Norm ISO 20000 bietet dabei keine exakte Defintion für eine ITSMImplementierung an.