Service Management Praxis: ISO/IEC 20000: Eine Qualitätsnorm für Service Management

Die Verbreitung von ITIL® nimmt stetig zu. Was aber können Firmen tun, um die erreichte Qualität zu halten und kontinuierlich zu verbessern? Markus Schweizer gibt in seinem Artikel Antwort auf diese Frage.
Autor Markus Schweizer
Datum 24.11.2014
Lesezeit 6 Minuten

Eine aktuelle Studie der Universität St. Gallen zeigt, dass ITIL® in der Schweiz und auch weltweit sehr weit verbreitet ist und die dazugehörigen Prozesse schon einen Reifegrad von 3 (auf einer Skala von 0 bis 5) erreicht haben. Firmen haben also beträchtlich in Service-Management-Konzepte, -Prozesse, -Ausbildung und -Werkzeuge investiert. Es stellt sich die Frage, wie die Firmen diese Investitionen und die daraus erzielten Erfolge absichern können.

Aus Sicht ITIL® sollte die Erfolgssicherung durch die KVP-Konzepte im Lifecycle-Module ‹Continual Service Improvement› geschehen. Vielerorts geschieht dies auch bereits in Ansätzen. Fraglich ist jedoch, ob das genügt, angesichts der Tatsache, dass Routine, Trägheit und Mitarbeiterfluktuation das Erreichte zu erodieren drohen.

Ein Mittel zur Absicherung der erreichten Qualität und der formellen Festschreibung des kontinuierlichen Verbesserungsprozesses ist eine Qualitätsnorm.

Da ITIL® selbst kein zertifizierbarer Standard ist, eignet sich für das Service Management ISO/IEC 20000. Qualitätsnormen stellen nicht nur einen Qualitätsausweis für eine Organisation dar, sondern verpflichten die Organisation durch jährliche Überprüfungen zur Institutionalisierung des KVP-Konzepts.

Was ist ISO/IEC 20000?

ISO/IEC 20000 ist eine Norm, die gemeinsam von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) publiziert wird. Sie beschreibt ein Service Management System für einen IT Service Provider (intern oder extern). Die Norm wurde 2005 etabliert und erfuhr 2011 einen Refresh. Sie ist an ITIL® angelegt, aber nicht deckungsgleich. Wie Abbildung 1 zeigt, sind nicht alle ITIL®-V3-Prozesse enthalten; dafür legt die Norm mehr Wert auf den Managementüberbau mit Prozessen für den Aufbau des Systems, die Management-Verantwortung und das Ressourcen-Management:

iso-20000-qualitätsnorm-digicomp-1

Um das Zertifikat zu erhalten, muss eine Organisation von einer akkreditierten Firma überprüft werden – in der Schweiz sind dies KPMG, Bureau Veritas, SGS und SQS.

Die Norm ist grundsätzlich in zwei Dokumenten beschrieben, die in der Schweiz beim Schweizerischen Normenverband bezogen werden können: ISO/IEC 20000-1 (2011) und ISO/IEC 20000-2 (2011). Das Dokument -1 beschreibt die Soll-Anforderungen zur Erfüllung der Norm und dient als Grundlage für die Zertifizierung, während das Dokument -2 zur Unterstützung der Vorbereitung dient.

Für jeden Prozess aus Abbildung 1 beschreibt das Dokument -1 zwischen fünf bis zehn sogenannte ‹Controls›, deren Vorhandensein man während des Audits belegen muss. Hier zwei Beispiele aus dem Problem-Management-Prozess:

  • Es muss einen dokumentierten Prozess geben, der für die Probleme mindestens die folgenden Kriterien definiert: Identifikation, Registrierung, Priorisierung, Klassifizierung etc.
  • Ein Problem, das zur Lösung eine Änderung an einem CI (Configuration Item) benötigt, muss über den Change-Management-Prozess abgewickelt werden.

Wie populär ist ISO 20000?

Es ist schwierig, zuverlässige Informationen zu der Zahl der zertifizierten Unternehmen zu finden. Die APMGroup führt auf ihrer Webseite weltweit 849 Organisationen auf. Dass diese Zahl kaum repräsentativ ist, zeigt ein Blick auf die Schweiz: Hier sind bei APMG nur drei Firmen aufgeführt, während die SQS  alleine für die Schweiz 25 zertifizierte Organisationen auflistet. Weltweit als auch in der Schweiz fällt jedoch auf, dass die Mehrzahl der Organisationen externe Service Provider sind: Bei SQS sind dies für die Schweiz 18 externe IT-Dienstleister gegenüber sieben internen.

Diese Verteilung zeigt den klaren Trend in der IT-Dienstleitungsindustrie hin zum Qualitätsmanagement als Voraussetzung für Kundenaufträge – analog zu der Entwicklung von ISO 9000 in den 90er-Jahren als unabdingbare Voraussetzung für die Marktteilnahme in der Industriezulieferbranche.

Wieso soll man seine Organisation zertifizieren lassen?

Die SQS listet neben den 18 externen Service Providern sieben interne IT Organisationen (z.B. Helsana oder Thurgauer KB) oder interne Shared Service Centers (z.B. die ETH-Informatik) auf. Es gibt also auch für IT-Abteilungen gute Gründe, sich zertifizieren zu lassen:

  • Bessere Transparenz der IT-Service-Leistung und dadurch höhere Akzeptanz beim Kunden
  • Das gesamte Unternehmen hat sich mehr Nachhaltigkeit oder eine höhere Qualität zum Ziel gesetzt und erwartet auch einen Beitrag der IT
  • Absicherung der Investitionen in Service-Management-Programme (siehe. auch Abb. 2)
  • Formaler Rahmen und Disziplinierung der IT-Mitarbeiter für den kontinuierlichen Verbesserungsprozess
  • Abwehr von Outsourcing-Plänen durch Erreichen von Benchmarktfähigkeit und Schaffen von Wettbewerbsvorteilen
  • Verbesserung der Reputation

Viele Firmen können in den Jahren nach Erreichen des Zertifikats eine nachhaltige Verbesserung der Produktivität der IT-Mitarbeiter und der Qualität der Service-Erbringung feststellen, weil sie durch die jährlichen Rezertifizierungen zu stetigen Verbesserungen gezwungen sind. Abbildung 2 zeigt diese Entwicklung: Service-Verbesserungen sind nicht mehr eine lose Sammlung von einzelnen Massnahmen, sondern Teil eines integrierten Qualitätsverbesserungsplans:

iso-20000-qualitätsnorm-digicomp-2

Wie gelangt meine Organisation zum Zertifikat?

Der Aufwand zur Erreichung des Zertifikats variiert stark ja nach Grösse und Reife der Service-Management-Prozesse. Grundsätzlich ist es nicht empfehlenswert, die Zertifizierung als Selbstzweck anzustreben, sondern das Zertifikat sollte im Kontext einer grösseren Qualitäts- oder Serviceverbesserungsinitiative erreicht werden.

Eine unabdingbare Voraussetzung für den Erfolg ist die Unterstützung des Managements und das langjährige Commitment zur einmal erreichten Norm.

Es ist sinnvoll, das Projekt mit einem Assessment zu starten. Danach lässt sich eine Aufwandschätzung erstellen. Ein Assessment kann dann grafisch dargestellt werden und erlaubt auch gleich, Zielsetzungen für die Zertifizierung und darüber hinaus darzustellen, wie Abbildung 3 zeigt:

iso-20000-qualitätsnorm-digicomp-3

Fazit

ISO 20000 kann eine sinnvolle Ergänzung zu ITIL®-Programmen sein. Es unterstützt die Formalisierung von CSI. Durch die jährlichen Zertifizierungen zwingt es eine Organisation zum langfristigen Commitment zu Service Management. Wie bei jeder anderen Norm besteht allerdings auch bei ISO 20000 die Gefahr der Bürokratisierung und von reinen Papierübungen.

Über den Autor

Markus Schweizer

Markus Schweizer ist Digicomp Trainer, ITIL®- und Cobit®-Experte und Strategie-Berater bei Plat4mation für alle Belange des IT-Managements. Zuvor arbeitete er für IBM und PwC und verbrachte er neun Jahre in den USA, wo er Grossfirmen beim Einsatz von Service-Management-Konzepten beriet. Seine Beratungsschwerpunkte sind IT Business Management, interne Digitalisierung, Governance und SIAM.