• Bookmark

Implementierung einer Serviceintegration in einem Multi-Provider-Umfeld mit COBIT 5

Von Martin Andenmatten, CISA, CGEIT, CRISC, ITIL-Master

COBIT Focus | 28. September 2015 Englisch | Französisch | Portugiesisch | Spanisch

Wir leben in einer sich ständig ändernden Welt. Während die Technologie ausgereifter und benutzerfreundlicher wird, nimmt die Komplexität der Governance-und Managementmechanismen einer Unternehmens-IT (GEIT) in hohem Maße zu. Cloud-Services ersetzen zunehmend herkömmliche interne Konzepte und die Gefahren im Zusammenhang mit diesem neuen IT-Unternehmensmodell sind schwer zu meistern. Die Funktion der internen IT-Abteilung wird hinterfragt, da deren Wert auf Vorstandsebene oftmals nicht bekannt ist. Da Unternehmen sehr einfach über ein Cloud-Broker-Portal auf IT-Dienstleistungen zugreifen können, besteht für ein langfristige Programm-und Projektmanagement in ebenbürtiger Qualität mit einem nicht näher definierten Kosten,-Zeit-und Risikoaufwand kein Bedarf. Wir sind zwar noch nicht dort angekommen, aber die Marschroute ist eindeutig.
 

Für den Aufbau eines Governance-und Managementsystems in einem Multi-Anbieter und umfassenden Cloud-Service-Umfeld stellt COBIT 5 nach wie vor den grundlegenden Rahmen dar.


COBIT 5 vertritt ein Konzept, bei dem zwischen Governance und Management unterschieden wird. Ein angemessener Ansatz, wobei die zusätzliche Herausforderung besteht, wie diese Teilung zwischen Kontrolle und Management, die gemeinsam genutzten und verteilten Service-Towers (beispielsweise Desktop, Infrastruktur, Plattform-und Anwendungs-Towers) von verschiedenen Anbietern zu bewältigen sind, damit mit Blick auf die Nutzenrealisierung, Risiko-und Ressourcenoptimierung die Erwartungen erfüllt werden können. Noch interessanter ist die Herangehensweise, wenn es nicht mehr nur einen Serviceprovider, sondern deren viele gibt, von denen jeder nur bestimmte Mosaiksteine in das Gesamtbild einbringt. Indem der Eigentümer des Unternehmensprozesses Mosaiksteine hinzufügt oder entfernt ändert sich ständig die Zusammensetzung der Provider. Der COBIT 5 Services, Infrastruktur-und Anwendungs-Enabler ist nicht mehr länger eine ganzheitliche Lieferstruktur mit einer klaren Lieferkette. Es handelt sich eher um eine Zusammenstellung an Service-Towers von unabhängigen Dienstanbietern innerhalb eines Versorgungsnetzes. Beispiel: wie kann die Verfügbarkeit oder der End-to-End Kapazitätsbedarf sichergestellt und bewältigt werden? Wie werden bei verschiedenen Versorgern Störfälle und Probleme koordiniert? Wie können bei dynamisch wechselnden Servicepartnern die Sicherheitsabläufe und die Netzbelastbarkeit gewährleistet werden? Reicht ein dafür vorgesehener Versorgermanagementprozess mit Auftrags-und Überwachungstätigkeiten aus, um das Gesamtbild im Auge zu behalten und die Compliance sicherzustellen? Sind Service-Orchestrierung und Automatisierung der einzig gangbare Weg, und sollten wir uns in erster Linie darauf verlassen, dass ohnehin alles funktionieren wird? Benötigen wir in einer solchen beweglichen und sich ständig ändernden Versorger-Landschaft ein wesentlich dichteres Governance-und Managementsystem? Und: wie sollte das aussehen?


Für den Aufbau eines Governance-und Managementsystems in einem Multi-Anbieter und umfassenden Cloud-Service-Umfeld stellt COBIT 5 nach wie vor den grundlegenden Rahmen dar. ISACA veröffentlichte zu COBIT 5 mehrere, verschiedene praktische Leitlinien; Anbieterverwaltung mit COBIT 5 und Cloud-Sicherheit und Kontrollen: COBIT 5 ist in diesem Zusammenhang ganz besonders geeignet. Aber in keiner Veröffentlichung wird die Dynamik berücksichtigt, die sich aus der Kontrolle und Verwaltung eines solchen Umfeldes ergibt. Es bedarf eines Servicekonzepts, das eine Verlagerung zu kurzläufigeren Verträgen sowie dem verstärkten Druck in Richtung Beschaffung und Cloud-Services von mehreren externen Beschaffungspartnern Rechnung trägt.


Heutzutage gibt es ein solches Modell: Serviceintegration-und Management (SIAM). Ein Konzept mit einer klaren Gesamtausrichtung, Management- und Koordination für die Bereitstellung von End-to-End IT-Services. Bei SIAM handelt es sich nicht um ein neuartiges System, da aber die Servicepartnerbewertung nach dem Prinzip des Besten zu mangelnder Interoperabilität und Beweglichkeit sowie Schwierigkeiten bei der Koordination von Servicefragen führt, wird dieses Framework in steigendem Maß in Servicemanagement-Umgebungen eingesetzt. Es unterstützt beim Aufbau der für die Kontrolle über das gesamte Servicenetzwerk erforderlichen Möglichkeiten. Ferner ist es für interne IT-Organisationen eine großartige Gelegenheit ihre Funktion neu auszurichten, zwischen dem Unternehmen und den verschiedenen Versorgern unternehmensintern als Verwalter für das Führungsgremium IT-bezogener Anfragen zu fungieren. Das ist von wesentlicher Bedeutung, damit die Prozess-und Serviceverantwortlichkeit innerhalb der Organisation bewahrt wird.


SIAM ist weder ein Tool noch ein Prozess. Es handelt sich eher um das fundamentale Potenzial für ein Zielbetriebssystem, in dem sich die besonderen Anforderungen der Geschäftsbereiche und die spezielle Natur der Versorger-Landschaft wiederspiegeln. Um innerhalb einer Organisation die Serviceintegration wirkungsvoll zu bewältigen, ist es nützlich, die COBIT 5-Struktur mit den 7 Enabler einzusetzen und diese an die speziellen Anforderungen anzupassen.


COBIT 5 Enabler: Richtlinien, Grundlagen und Frameworks

Zur Festlegung, wie externe Cloud-Services und Beschaffungsdienstleister in eine Organisation eingebunden werden können, bedarf es eindeutiger Richtlinien und einer klaren Ausrichtung. Ferner müssen Servicedesign-Standards festgelegt werden, in denen im Service-Ökösystem unmissverständlich die Schnittstellen, Rollen und Verantwortlichkeiten beschrieben werden. Muss eine End-to-End Servicegarantie eingebracht werden, ist es wesentlich, dass alle Partner an einem Strang ziehen. Es muss abgeklärt werden, wie Prioritäten gehandhabt und Eskalationen hervorgerufen werden.


Mit SIAM müssen klare Richtlinien und Grundlagen aufgebaut werden, die wiederum Serviceintegrationsstandards festlegen. Auch wenn akzeptiert werden muss, dass verschiedene Partner unterschiedliche Tools und Prozessdefinitionen einsetzen, muss ein Mindestmaß an Anforderungen, in denen die Grundlagen der Zusammenarbeit zusammengefasst sind, festgelegt werden.


Es liegt in der Natur der Sache von Outsourcing-und Cloud-Sourcing-Services, dass Teilprozesse versorgerseitig abgewickelt werden (Abbildung 1). Allerdings ist die End-User-Organisation nach wie vor für das Serviceergebnis, die Kosten und das Risiko verantwortlich. Es muss eine klare Richtlinie und Orientierung, mit der Auflage jeden Managementprozess einzuhalten, geben, wie beispielsweise Einrichtung einer Informationssicherheitspolitik, Nutzung von Kontrollen, Erkennung von Verstössen und Einleitung von Abhilfemaßnahmen.


Abbildung 1—Prozessbereiche

Quelle: Glenfis AG Nachdruck mit freundlicher Genehmigung.


COBIT 5 Enabler: Prozesse

Bei der Verwirklichung von Richtlinien und Handlungsanweisungen zählen Prozesspraktiken und Tätigkeiten zu den wichtigsten Instrumenten. Es ist bekannt, dass Organisationen über einen Gesamtprozesseigner verfügen müssen, der für alle End-to-End-Prozesse verantwortlich zeichnet. In einem Multi-Anbieter-Umfeld muss berücksichtigt werden, dass jeder Versorger über einen entsprechenden Prozesseigner verfügt, der auch im Sinne seiner/ihrer Verantwortlichkeit handelt. Beispiel: ein Problem-Manager der End-User-Organisation muss mit jedem relevanten Prozesseigner des kritischen Serviceproviders Definitionen und Prozesstätigkeiten festlegen.


In einer Multi-Anbieter-Umgebung müssen Serviceintegrations-und Managementsysteme aufgebaut werden. Dazu bedarf es, wie in Abbildung 2 gezeigt, spezifischer Kernkomponenten, die darauf abzielen, die Arbeit zwischen den davon betroffenen verschiedenen Interessensgruppen zu koordinieren. Somit avanciert beispielsweise "Servicedesign" zu einer Kernkomponente bei der Definition von Prozess-und Tool-Standards und bei den Schnittstellen Versorger/Kunde.


Abbildung 2—SIAM: Komponenten-und Prozesslandschaft

Quelle: Glenfis AG Nachdruck mit freundlicher Genehmigung.


Es muss daher innerhalb des Serviceportfolios und des Servicekatalogs (APO09) ein klares Bild aller beteiligten Servicepartner gezeichnet werden. Innerhalb des Servicedesignframeworks (APO01) müssen verschiedene Definitionen von Prioritäten, Klassifizierungssystematiken, Serviceebenen oder Informationsübergabe festgelegt werden.


COBIT 5 Enabler: Organisationsstrukturen

Da Serviceintegration eine spezielle Fähigkeit im Verbund mit besonderen koordinierten Kompetenzen, Versorger-und Auftragsverwaltung sowie den Beziehungsaufbau zu allen beteiligten Parteien meint, ist es ratsam, ein spezielles SIAM-Team aufzustellen. Dieses Team kann einige Verantwortlichkeiten für die Prozesskoordination und ein konsistentes Service-Berichtswesen begleiten oder auch übernehmen. Es kann im Hinblick auf die Governance-und Managementprozesse als Wissenspool fungieren und Serviceintegrations-Standards (Abbildung 3) festlegen.


Abbildung 3—Organisation und Prozesse im SIAM-Konzept

Quelle: Glenfis AG Nachdruck mit freundlicher Genehmigung.


Eine SIAM-Funktion kann beispielsweise Inhouse sein oder von einem speziellen SIAM-Provider zur Verfügung gestellt werden. Diese Artikel empfiehlt, dass dieses Team in der End-User-Organisation bleibt, da das Herzstück der Koordinations-und Managementarbeit genau hier erfolgt. Können allerdings die erforderlichen Kompetenzen und Erfahrungswerte nicht betriebsintern gefunden werden, ist Outsourcing immer eine Option.


COBIT 5 Enabler: Kultur, Ethik und Verhalten

Wie immer führen Menschen die Prozesse aus und sorgen dafür, dass alles erledigt wird. Zum Aufbau effektiver Personalbeziehungen auf allen Ebenen unter den Prozess-und Serviceeignern, dem SIAM-Team und den Versorgern, wo immer diese auch ihren Standort haben, wird eine fördernde und aufgeschlossene Kultur benötigt. Zwischen den jeweiligen Prozess-und Serviceeignern sollte es regelmäßige Vier-Augen-Gespräche geben.


Das trägt schlussendlich unter den Versorgern zu einem fördernden und arbeitsteiligen Arbeitsumfeld bei und gestattet den Aufbau eines werthaltigen Netzwerkes in der Servicelandschaft.


COBIT 5 Enabler: Informationen

Information ist unerlässlich. Es muss ein Informationsfluss zwischen der End-User-Organisation und Versorgern gegeben sein. Störfälle, Ereignisse, bekannte Fehler und Serviceerfüllungen müssen transparent und leicht zugänglich sein. Die unter Enabler-Prozesse besprochenen Servicedesigns sorgen für die Standards und Schnittstellen zwischen den beteiligten Parteien.


COBIT 5 Enabler: Services, Infrastruktur und Anwendungen

Da IT-Services aus verschiedenen, von internen und externen Versorgern bereitgestellten unterschiedlichen Service-Towern bestehen, sollte eine gute am Architektur-Entwicklungsverfahren (ADM) beruhende Service-Architektur implementiert werden (Z.B., The Open Group Architecture Framework [TOGAF]). Die Servicedesign-Standards sollten Teil eines solchen Modells sein.


Eine große Herausforderung ist die Zusammenarbeit unterschiedlicher Tools der verschiedenen Versorger. Es ist ein Wunschtraum, die Versorger dazu zu bringen, mit demselben Tool wie die End-User-Organisation zu arbeiten und würde sich auch als ein Kostentreiber entpuppen. Es ist schon eine schwierige Aufgabe, basierend auf Standardschnittstellen, eine gewisse technische Integration der unterschiedlichen Tool-Sets zu realisieren. Noch herausfordernder ist mit Blick auf den Austausch die Definition gemeinsamer Informationsstandards (Schweregrad, Prioritäten, Prozessstatus, usw.) (Abbildung 4).


Abbildung 4—Das SIAM Tool-Set als unternehmensbezogenes Ressourcenplanungstool für die interne IT

Quelle: Glenfis AG Nachdruck mit freundlicher Genehmigung.


COBIT 5 Enabler: Menschen, Fertigkeiten und Kompetenzen

Das SIAM-Führungspersonal muss im Zusammenhang mit GEIT-Services, ebenso wie die Belegschaft des Versorgers, dafür geeignet und fachkundig sein. Dies ist für das effektive Design und die Kontrolle der Prozesse und Tätigkeiten von eminenter Bedeutung. Ergänzend zu technischen und Prozessfertigkeiten ist soziale Kompetenz gefragt:

  • Beziehungsmanagement
  • Konfliktmanagement
  • Einfluss
  • Verhandlung
  • Management der Interessensgruppen

Das SIAM-Führungspersonal verbringt die meiste Zeit, ausserhalb der unmittelbaren internen Managementkontrolle, mit der Belegschaft des Versorgers. Das Vorhandensein und die Vertrautheit mit diesen sozialen und emotionalen Kompetenzen sind für eine erfolgreiche SIAM-Implementierung von entscheidender Bedeutung.


Implementierung und Überführung in ein neues SIAM-Betriebsmodell

Ähnlich der Implementierung eines Governance-und Managementsystems, stellt das SIAM-Zielbetriebssystem einen organisatorischen Wandel, der als Unternehmenswandel zu behandeln ist, dar. Das 7-stufige Implementierungsmodell von COBIT 5 kann dabei als Richtschnur herangezogen werden, jedoch muss ein detailliertes SIAM-Modell vollinhaltlich nachvollzogen werden können, damit die Vision und der Zielstatus definiert werden können.


Anmerkung des Verfassers

Weiterführende Informationen über SIAM finden Sie in den beiden Denkschriften von Axelos:

Martin Andenmatten, CISA, CGEIT, CRISC, ITIL-Master

Gründer und Geschäftsführer der Glenfils AG, eine Beratungs-und Trainingsorganisation mit Sitz in der Schweiz. Er und sein Team beraten Organisationen beim Aufbau ihrer Beschaffungs-und Servicemanagementstrategien und stehen in der Auswahl-und Überführungsphase zur Seite. Er leitet für ein ganzes Kundenspektrum die Nachfragebeschaffungs-und Servicemanagementprogramme. Seit 2002 ist er ferner als Kursleiter in ITIL, ISO 2000 und COBIT sowie Beschaffungs-Governance tätig. Als Herausgeber und Autor beschrieb er in den Büchern ISO 20000 sein Praxiswissen: Praxishandbuch für Servicemanagement und IT-Governance – Managing Services mit ITIL (Praxishandbuch für Service Management und IT-Governance – Managing Services mit ITIL) und COBIT 5 Grundlagen (COBIT 5 Basics).

THIS WEBSITE USES INFORMATION GATHERING TOOLS INCLUDING COOKIES, AND OTHER SIMILAR TECHNOLOGY.
BY USING THIS WEBSITE, YOU CONSENT TO USE OF THESE TOOLS. IF YOU DO NOT CONSENT, DO NOT USE THIS WEBSITE. USE OF THIS WEBSITE IS NOT REQUIRED BY ISACA. OUR PRIVACY POLICY IS LOCATED HERE.