Eine gute Frage, die sich aber nicht einfach mit Ja oder Nein beantworten lässt. Zunächst muss das Wesen von ITIL und ISO 20.000 klar sein und die Motivation, die hinter einer ITIL-Einführung steht.

ITIL ist ein Prozessrahmenwerk für IT Organisationen, basierend auf Best Practices. Jede IT Organisation kann das für sich Beste herausnehmen und anpassen. Aus diesem Grund sind die Prozesse in jedem Unternehmen unterschiedlich (vgl. Kittel, Koerting, Schott, S. 3f). ITIL zertifiziert aber nur Einzelpersonen und keine Unternehmen. Mit ITIL alleine können IT-Organisationen nicht nachweisen, dass sie „ITIL-konform“ arbeiten.

ISO 20.000 dagegen definiert Anforderungen an Service Management Prozesse in einem Unternehmen und zertifiziert sie. Dies ist somit der einzig   mögliche  objektive Nachweis, dass   ein Unternehmen IT Service Management wirklich lebt (vgl. Wallner, Dettmer).

Aus der Grundfrage, welche Motiviation hinter einer ITIL-Einführung steckt, ergibt sich automatisch die Antwort, ob eine ISO 20.000 Zertifizierung ein sinnvolles Ziel ist oder nicht.

Von Hause aus sind „IT-Organisationen oftmals träge und zäh wie Teig“ (Andermatten). Sie agieren nach dem Motto: „Never change a running system“, denn es hat in der Regel lange gedauert, bis etwas reibungslos läuft. Der Druck, dass IT-Organisationen sich ändern, kommt meist von außen: alte Betriebssysteme werden abgekündigt, Applikationen laufen aus der Wartung, neue Geschäftsanforderungen kommen hinzu, das Kundenverhalten ändert sich usw..  Genau jetzt tauchen die Probleme auf: Welche Prozesse müssen wie angepasst werden? Welche Kosten ergeben sich daraus? Welche Governance und Compliance Richtlinien müssen eingehalten werden? Doch das ist Management nach dem Ausnahmeprinzip!

Spätestens hier müsste klar werden, dass Service Management eine Management Aufgabe ist und die Verantwortung nicht bei den Betriebsmitarbeitern und Lieferanten liegt. Wie kann man denn etwas kontrollieren, wenn man nicht weiß, wie die Leistung erbracht und überwacht wird? Welche Ressourcen wie gebraucht werden?

ITIL Prozesse einzuführen mit einer Ablauf- und Aufbauorganisation, mit KPI’s, hilft nur zum Teil. Fehlt die regelmäßige externe Kontrolle und das Bewusstsein für ständige Qualitätsverbesserung, ist die Gefahr groß, in alte Strukturen zurückzufallen. Eine ISO 20.000 Zertifizierung hingegen bringt die nötige Kontrolle und fordert von einer IT-Organisation ständig steigende Qualität.

ISO 20.000 ein ambitioniertes Ziel? Kommt darauf an, denn die Norm stellt lediglich Mindestanforderungen an eine professionelle IT-Organisation, die ohnehin gebraucht werden. Sie verlangt keine Perfektion (vgl. ISO/IEC 20.000-1:2005 Part 1: Specification).

Schaut man sich einige der Mindestanforderungen an, so sagt einem schon der gesunde Menschenverstand, dass diese benötigt werden, z.B.:

• Durch die Veränderung erforderliche neue oder veränderte Verträge und Vereinbarungen zur Berücksichtigung der Geschäftsanforderungen sind in den Umsetzungsplänen aufgenommen.
• Die existierenden Service Management Prozesse, Verfahren und Dokumentationen werden auf notwendige Anpassungen für die geänderten Services überprüft und ggfs. in die Planung aufgenommen.
• Das erwartete Endergebnis durch die Änderung / Neuerung ist messbar in den Umsetzungsplänen definiert.
• Klare Richtlinien und Vorgaben für die Budgetierung, Buchführung und Rechnungsstellung sind vorhanden und enthalten alle IT Assets, Ressourcen, externe Dienstleistungen, Mitarbeiter, Versicherungen und Lizenzen.
• Direkte und indirekte Kosten können getrennt voneinander betrachtet werden.
• Änderungen an Services werden bepreist und durch den Change Management Prozess genehmigt.

(vgl. ISO/IEC 20.000-1:2005 Part 2: Code of Practise)

Ohne den Druck der Zertifizierung werden solche Aufgaben nur halbherzig wahrgenommen oder auf einen späteren Zeitpunkt verschoben, „denn es eilt nicht“. Schon ist man wieder beim Management nach dem Ausnahmeprinzip.

Deutlich wird, dass die größte Hürde nicht das Einhalten der Mindestanforderungen ist, sondern die Integration der Norm in das Führungssystem der IT-Organisation (vgl. Andermatten). Der Ball liegt beim Management.

Zurück zu unserer Ausgangsfrage: ISO 20.000 Zertifizierung als Ziel einer ITIL-Einführung? Ein ganz klares JA. Wie sonst kann man langfristig in einer IT-Organisation Transparenz schaffen, Kosten optimieren und die Qualität ständig steigern.

Autor: Dr. Guido Hoffmann

Literatur:

Georg Wallner, Klaus Dettmer, „ISO-20.000 ist schon die halbe ITIL-V3 Miete“, Computerwoche 2.6.2008

Martin Andermatten, „Der Weg zum Erfolg durch die ISO 20.000 Zertifizierung“, ITIL-Blog.ch, 25.12.2011

Martin Kittel, Torsten J. Koerting, Dirk Schött, Kompendium für ITIL Projekte, Books on Demand, Norderstett, 2010

ISO/IEC 20.000-1:2005 Part 1: Specification

ISO/IEC 20.000-1:2005 Part 2: Code of Practise