ISO/IEC 20'000: Vorgehen für eine erfolgreiche Implementierung
Artikel erschienen in Swiss IT Magazine 2008/18
In diesem Artikel werden diese 6 Phasen kurz vorgestellt und einzelne Aktivitäten daraus speziell beleuchtet.
Abbildung 1: Roadmap für ein ISO/IEC 20'000 Programm
Ein ISO/IEC 20000 Vorhaben ist kein kleines Unterfangen und sollte von Anfang an als Programm geplant werden, in dem mehrere Projekte koordiniert und gesteuert werden. Bevor diese Planung und damit die Aufwand- und Kostenschätzung erfolgen kann, muss im Rahmen einer Ist-Analyse die Ausgangslage ermittelt werden.
Die folgenden Elemente müssen in einer solchen Ist-Analyse unbedingt untersucht werden:
- das Projekt Management System
Das Dokumenten Management System
Das Dokumenten Management System zeigt anschaulich auf, welche Dokumente im Rahmen der IT Service Management Umgebung von Bedeutung sind und welchen Stellenwert diese Dokumente für eine ISO/IEC 20000 Zertifizierung haben werden.
Dokumenten Management System
Das Dokumenten Management System dient der internen Organisation als Leitfaden:
- welche Dokumentationen wie erstellt und geändert werden müssen
- von wem diese Dokumente gelesen werden müssen
- wer diese Dokumente autorisieren und freigeben muss
Dem Auditor wiederum dient das Dokumenten Management Framework als Navigator durch die zu begutachtenden IT Service Management Dokumentationen. Gute Erfahrungen konnte mit einer grafischen Darstellung der Dokumentenhierarchie gemacht werden, ähnlich wie im nachfolgend gezeigten Beispiel.
Abbildung 2: Beispiel für ein Dokumenten Management Framework
Die Phase der Vorbereitung legt den ersten Grundstein, auf dem die eigentliche Zertifizierung aufbaut. Die übergeordneten Rahmenbedingungen können aufgrund der vorangegangenen Analyse der Ist-Situation geschaffen werden. Hierzu gehören in erster Linie:
- Die Zusammenstellung des Projekt-Teams
- Bereitstellung der geforderten Dokumentation auf dem Management Level (Level 1)
- Die Ausbildung der Prozess Manager
- Die Definition des Service Improvement Plans, des Program Improvement Plans, sowie des IT Service Management Reportings
- Die Startmessung der Prozessreife der IT Service Organisation
- Die Evaluation der zu beachtenden Standards und Methoden
- Die Evaluation der ISO/IEC 20000 Zertifizierungsstelle und die Definition des Scopes der Zertifizierung
- Die eigentliche Planung des IT Service Management und ISO/IEC 20000 Programms
Aus der Phase 2 soll nun die Definition des Scopes der Zertifizierung im Detail betrachtet werden.
Die Definition des Scopes
Eine wichtige Aktivität zusammen mit dem Auditor ist die Festlegung des Scopes des Audits. Auch wenn der Umriss dieses Scopes noch im späteren Verlauf des ISO/IEC 20000 Programms an Schärfe gewinnen kann, muss er bereits jetzt mit dem Zertifizierungsunternehmen vorbesprochen werden. Dieser Scope wird folgende Dimensionen umfassen:
Abbildung 3: Konkretes Beispiel einer Scope Definition aus einer ISO/IEC 20'000 Zertifizierung
Die 3. Phase des ISO/IEC 20000 Programms beschäftigt sich mit der Implementation der Grundlagen, die für die Funktionsweise und Kontrolle der IT Service Management Prozesse notwendig sind. Hierzu gehören
- die Erstellung der Dokumentation auf dem Level 2 (s. Abb. Dokumenten Management Framework)
- die Definition der Service Architektur
- die Evaluation der Service Management Tools
- die Planung der Ausbildung der Mitarbeiter
- die Planung der Phase IV
Die Definition der Service Architektur
Die Service Architektur setzt, wie der Name vorgibt, am Service an, den die IT Service Organisation ihren Kunden liefert und die im Service Katalog aufgeführt sind. Sie versucht in einem ersten Schritt alle Elemente zu identifizieren, die an der Erbringung der Services beteiligt sind. Anschliessend ist es Ziel der Architektur, diese Elemente miteinander in Beziehung zu setzen und Abhängigkeiten zu ermitteln.
Andere Begriffe, die in einem engem Zusammenhang mit der Service Architektur gesehen werden müssen, sind die Service Dekomposition bzw. Service Komposition oder die Service Konfiguration.
Service Architektur
Der vom Autor genutzte Begriff der Service Architektur kann synonym mit dem Begriff der Enterprise Service Architektur (ESA) aus der Version 3 von ITIL® verwendet werden.
Folgende Elemente (oder auch Informationstypen) sollten zu einer Service Architektur gehören:
- Kunde
- Geschäftsprozess
- Service Provider / Supplier
- Service
- Service Level Agreement
- Underpinning Contract (UC, Lieferantenvertrag)
- Operational Level Agreement (OLA)
- Mitarbeiter und Rollen
- IT Prozesse und Key Performance Indicators (KPI)
- Software Releases / Lizenzen
- Applikations / System / Netzwerk Architektur
- Physikalische Infrastruktur (SW/HW)
Ab dieser Phase fächert sich das Gesamtprogramm in eine ganze Reihe von Einzelprojekten auf. Die Führung des Programms wird also eine zentrale Funktion einnehmen.
Weitere Aktivitäten, die in dieser Phase durchgeführt werden müssen, sind:
- Dokumentation der Prozesse
- Unterstützung der Prozesse mit adäquaten Tools
- Ausbildung der Mitarbeiter
- Interne Prüfung der Prozesse
- Planung der Phase V (Zertifizierung)
Die Dokumentation der Prozesse
Jeder ISO/IEC 20000 Prozess muss entsprechend der ITSM Prozess Management Policy beschrieben werden.
Dokumentation (=Lieferobjekte) der Prozessbeschreibung
- Die Prozess Policy (IT Process Policy)
- Die Prozess Beschreibung (IT Process)
- Das Prozess Verfahren (IT Procedure)
Inhalt einer Prozess Policy:
- Absichten des IT Management für diesen Prozess (Management Intention)
- Die Abnahme des Prozesses durch das IT Management (Management Approval)
- Die Regeln, die dem Prozess zu Grunde liegen (Baseline Policy)
Zumindest die Prozess Policy muss vom Prozess Owner und Prozess Manager abgenommen und unterschrieben werden. Es liegt in der Verantwortung des Prozess Managers, die Inhalte der gesamten Dokumentation den am Prozess beteiligten Personen bekannt zu machen.
Inhalt einer Prozess Beschreibung:
- Ziel des Prozesses
- Umfang des Prozesses
- Vision und Mission des Prozesses
- Unterprozesse und Verfahren
- Auslöser und Resultate des Prozesses (Input / Output)
- Qualitätsanforderungen und Messverfahren
- Rollen und Verantwortlichkeiten
Inhalt eines Prozess Verfahrens
- Beschreibung des Verfahrens
- Ablaufbeschreibung (Workflow)
- Input und Output des Verfahrens
- Beschreibung der einzelnen Verfahrensaktivitäten mit der Zuweisung zu den jeweiligen Rollen und Verantwortlichkeiten (z.B. nach dem RACI Model: Responsible, Accountable, Consulted, Informed)
Abbildung 4: Beispiel für eine Ablaufbeschreibung (Workflow)
Die folgenden Punkte beschreiben die wichtigsten Aktivitäten dieser Phase:
- Vorbereitung des Vor-Audits
- Durchführung des Vor-Audits
- Auswertung des Vor-Audits
- Umsetzung von Verbesserungsmassnahmen aus dem Vor-Audit
- Absicherung des Haupt-Audits
- Vorbereitung des Haupt-Audits
- Durchführung des Haupt-Audits
- Auswertung des Haupt-Audits
- Abschluss des Haupt-Audits
Umsetzung von Verbesserungsmassnahmen aus dem Vor-Audit
Zwischen dem Vor-Audit und dem Haupt-Audit verbleiben der IT Service Organisation ca. 12 Monate, um die geforderten Verbesserungsmassnahmen umzusetzen. Die Projektorganisation muss die zu erwartenden Aufwände einschätzen und nach Prioritäten innerhalb dieser Umsetzungsphase einplanen. Beträgt die Zeitspanne zwischen Vor- und Haupt-Audit mehr als 12 Monate, so ist es wahrscheinlich, dass das Zertifizierungsunternehmen den Scope mit der IT Service Organisation neu definieren möchte.
Nach dem Audit ist vor dem Audit. Hat man sich erst einmal auf die ISO/IEC 20000 Zertifizierung eingelassen, wiederholt sich das Audit Prozedere jährlich. Alle drei Jahre wird ein voller Audit im Umfang wie beim ersten Haupt-Audit durchgeführt. Dazwischen werden sogenannte Überwachungs- oder auch Wiederholungsaudits durchgeführt.
Das wichtigste Ziel dieser Überwachungsaudits ist es, die Umsetzung der Mängel aus dem vorherigen Audit zu überprüfen. Ansonsten wird sich der Aufwand eher in den Grenzen des Vor-Audits als in denen des Haupt-Audits halten.
Laufen auch die Überwachungsaudits glatt über die Bühne, kann die IT Service Organisation mit Stolz von sich behaupten, dass sie die Prozesse des IT Service Managements im Griff hat, eine effiziente Service Erbringung gegenüber den Kunden gewährleistet und nicht zuletzt die kontinuierliche Verbesserung ihrer Services und Prozesse beständig und erfolgreich vorantreibt.
Thomas Schmitt (Managing Partner, get IT Services GmbH) ist Gastdozent an der Hochschule für Wirtschaft in Luzern (Schweiz) und langjährig zerifizierter ITIL Service Manager.