Service-Management-Praxis: Governance und ITIL®

In meinen ITIL® Kursen zum Foundation und dem Intermediate Level ist Governance immer mal wieder ein Thema. Oftmals wirkt diese Diskussion wie ein Fremdkörper im sonst stimmigen Kontext von Services und Prozessen. Die Abstraktheit des Themas macht es dann auch ziemlich schwierig vermittelbar. Trotzdem ist eine gute Governance unerlässlich für den Erfolg von Service-Management-Initiativen! Ich versuche in diesem Beitrag etwas Licht in den Zusammenhang  von Governance und Service Management zu bringen.

Zunächst müssen wir den Begriff Governance genauer klären. Governance «ensures that policies and strategy are actually implemented, and that required processes are correctly followed. Governance includes defining roles and responsibilities, measuring and reporting, and taking actions to resolve any issues identified», dies sagt ITIL® über Governance (ITIL® Glossar).  Wie so oft in ITIL® stehen da zwar viele Worte, aber die Erklärung ist nicht grundsätzlich, sondern eher illustrativ.

Etwas erleuchtender ist die Herkunft des Wortes: Es entstammt dem lateinischen «gubernare» (lenken, steuern, leiten, regieren), das dem griechischen «kybernáo» entspricht, von dem «Kybernetik» abstammt. Systemt- trifft also auf Organisationstheorie: Beide Systeme, ob Maschinen oder Organisation, brauchen Steuerungs- und Lenkungsmechanismen, um Ihren Zweck zu erfüllen. Genauso braucht auch unser Service-Management-System, das wir mit Hilfe von ITIL® und ISO 20000 aufbauen, eine entsprechende Governance, um aufzuzeigen, dass:

• wir die strategischen Vorgaben umsetzen
• wir uns auch an übergeordnete Ziele und Regeln des Unternehmens halten
• wir uns an externe Vorgaben (Gesetze, Branchenrichtlinien etc.) halten
• wir Sorgfaltspflicht, Nachvollziehbarkeit, Wertmaximierung und Risikominimierung stets ausbalanciert anstreben.

Cobit zeigt die Mehrdimensionalität der Governance auf

Am einfachsten zeigt diese Mehrdimensionalität der Governance folgende Grafik aus Cobit 5.0 auf:

Cobit fordert denn auch nachdrücklich, dass IT Governance oder auch Service Management Governance nicht isoliert betrachtet werden, sondern Teil einer «Corporate Governance of Enterprise IT» sein müssen.

Ein wichtiges Element jeder Governance sind die Kontrollmechanismen, die belegen können, dass die Governance-Ziele eingehalten werden. Die sogenannten «Controls» der Governance haben drei Ziele:

• Belegen, dass die Governance-Anforderungen eingehalten werden (preventive controls)
• Aufdecken, dass Abweichungen entdeckt werden (detective controls)
• Belegen, dass Gegenmassnahmen eingeleitet werden (corrective controls)

Controls sind eigentlich nur eine spezielle Art von Metriken, wie wir sie schon aus ITIL® kennen.

Wir messen aus verschiedenen Gründen:

Damit bringen wir Governance und ITIL® zusammen. Und nur so können wir unser Service Management System sinnvoll auf die Unternehmensziele ausrichten.

Unsere Zielkaskade aus ITIL® hilft uns, unser Messsystem sowohl auf die Critical Success Factors (CSF) und Key Performance Indicators (KPI) als auch auf die Controls auszurichten:

Wozu brauchen wir nun Governance in ITIL®?

Es sind fünf Bereiche, in denen Governance für den Erfolg eines Service-Management-Systems unabdingbar ist:

1. Prozess-Governance:  Die klare Zuweisung von Prozessrollen und -verantwortlichkeiten ist entscheidend für den Erfolg eines Prozesses. Mittels Richtlinien und Zielvorgaben müssen Befugnisse von Prozessrollen denen von Linienverantwortlichen gleichgestellt werden.
   Beispiel: In einer Major-Incident-Situation muss ein Problem-Manager Spezialisten aus allen Teams zusammenfassen können, um die Ursachenforschung gezielt vorantreiben zu können – ungeachtet der Aufgaben, an denen die Spezialisten in ihren Teams gerade arbeiten.
2. Compliance: Für die Konformität mit internen und externen Regeln müssen Sorgfaltspflicht und Nachvollziehbarkeit von Prozessaktivitäten mittels Vier-Augen-Prinzip und Toolunterstützung garantiert werden.
   Beispiel:  Ein Change darf nie von derselben Person autorisiert werden, die den Change auch beantragt und/oder entwickelt hat. Ein Standard Change braucht keine Autorisierung, muss aber so dokumentiert sein, dass die Ausführung nachvollziehbar ist (wer hat es wann getan?).
3. Über die Zielkaskade muss stetig belegt werden, dass strategische Vorhaben umgesetzt werden und dabei Mehrwert schaffen.
   Beispiel: Nach einer Investition in eine Configuration-Management-Lösung müssen Verbesserungen im Incident und Change Management nachgewiesen werden können (schnellere Lösungszeiten und weniger Rollbacks).
4. Mit dem 7-Step-Improvement-Prozss aus CSI muss sichergestellt werden, dass die strategischen Verbesserungen aus Schritt 3 nachhaltig sind.
   Beispiel:  Im ersten Jahr nach Einführung des Configuration Managements können Verbesserungen im Availability Management und im zweiten Jahr auch für Service Level Management aufgezeigt werden.
5. Eine starke Governance in Form von Managemententscheidungen ist letztlich auch gefordert bei der Ausgestaltung von Service-Katalogen und Service-Level-Vereinbarungen: Im Spiel von Angebot und Nachfrage sind oft harte Entscheidungen zwischen Kundenerwartung und Service-Provider-Angebot zu fällen.
   Beispiel: Eine Business Unit möchte gerne 7-x-24-Support, die anderen 5 Business Units nicht. Die Erhöhung des Support Levels rechnet sich nicht nur für eine Business Unit und ebensowenig ist eine Business Unit alleine in der Lage, dies zu finanzieren. Es muss also von oben eine Lösung für alle angeordnet oder eine Subventionierung des erhöhten Service Levels vereinbart werden.