Das mITSM Beratungsportfolio

Beim Audit wird hauptsächlich auf Konformität geprüft. Meist gibt eine Norm, wie z.B. ISO/IEC 20000 oder ISO/IEC 27000 vor, was zu prüfen ist. Diese Normen zielen auf eine Effektivität ab. Bei einer Reifegradbestimmung wird das Augenmerk auf die Prüfungspunkte Konformität, Effektivität und Effizienz gelegt. Grundsätzlich kann man sagen, dass man am Anfang auf Effektivität prüft und erst später auf Effizienz. Das heißt, die höheren Reifegrade deuten auch auf eine hohe Effizienz hin, wobei die niedrigeren Reifegrade eher auf Effektivität hinweisen.

Bestimmen [determine] oder auch analysieren, feststellen oder ermitteln hat das Ziel eine IST Situation zu ermitteln. Bewerten [evaluate] hat das Ziel, auf Basis der festgestellten IST Situation diese im Hinblick auf die SOLL Situation zu bewerten und einen Handlungsbedarf  zu identifizieren, um die Lücke [GAP] zwischen SOLL und IST Situation zu schließen.

Eine GAP-Analyse gibt es in beiden Bereichen. Einmal nach einem Audit und einmal nach einer Reifegradbestimmung. Nur zeigen sie unterschiedliche Dinge an. Bei einer Reifegradbestimmung wird der GAP zur nächsthöheren Reifegrad-Stufe dargelegt und festgestellt, was im Detail noch getan werden muss, um den höheren Reifegrad zu erreichen. Bei einem Audit wird auf Nicht-Konformität geachtet. Im Prinzip sind alle Punkte, die nicht Normen-konform sind, eine Lücke, die bis zu einer Zertifizierung durch einen Certification-Body zu beheben ist. Deshalb gibt es sowohl nach einer Reifegradbestimmung als auch nach einem Audit im Rahmen der Bewertung eine GAP-Analyse, in der wir detailliert die einzelnen Lücken darlegen und vorschlagen, wie diese zu beheben sind.

Hier unterscheiden wir von Fall zu Fall und können daher mit einem Jein antworten. Es ist es nicht sinnvoll und mit der Moral eines Auditors nicht vereinbar, wenn derjenige, der prüft danach das Unternehmen berät und die Lücken schließt, um dann erneut zu prüfen. Grundsätzlich ist eine Beratung von Seiten mITSM aber möglich. Planen Sie z.B. einen Audit durch einen Drittanbieter oder Ihre Muttergesellschaft etc., so können wir durchaus erst mit Hilfe eines Audits oder einer Reifegradbestimmung analysieren und Sie danach beraten, weil dann der Prüfer ja von extern kommt, der die zweite Prüfung übernimmt.

Ganz klar: Nein. Das mITSM beschäftigt zwar Auditoren, die grundsätzlich in der Lage sind, solche Zertifizierungsprüfungen durchzuführen, das mITSM ist selber aber kein Certification-Body, sondern arbeitet hier mit dem TÜV zusammen. Im Grunde genommen kann man die Arbeit so interpretieren: Wir analysieren mit Hilfe eines Internal Audits die möglichen Lücken und geben Ihnen Hinweise, wie Sie diese schließen können. Zudem bereiten wir Sie auf die Prüfung vor, erstellen einen Prüfungsplan etc. Dann kommt der Certification-Body und nimmt das External Audit ab. Hierbei sind wir nur begleitend tätig. Dieses Vorgehen hat sich bewährt und entspricht den Grundsätzen eines Auditors, nicht gleichzeitig zu prüfen und zu beraten.

In der Regel sind beide Dinge kombinierbar, da die Erhebungen im Interview bzw. der Dokumentenprüfung bzw. die Interviews selbst zu 80% überlappen. Das heißt, die Kombination eines Audits und einer Reifegradbestimmung bedeutet nicht den doppelten Aufwand sondern nur einen geringen Mehraufwand. Wir haben mehrere Kunden, die wissen wollen, a) ob sie ISO/IEC 20000 konform sind und b) welchen Reifegrad sie haben. Eine Kombination von mehreren Reifegradbestimmungen bzw. Internal Audits ist daher möglich.

Die ISO-Norm 19011 sieht vor, dass sowohl Internal- als auch External Audits sich abwechseln. Ein Internal Audit ist ein Audit, der von der Firma selbst durchgeführt wird. Hier werden vor allem die Lücken aufgedeckt, die im letzten Prüfbericht standen bzw. in einem Vorab-Audit festgestellt wurden. Ein Internal Audit sollte mindestens einmal im Jahr stattfinden. Meist macht man ihn zum Halbjahr, also genau um ein halbes Jahr versetzt zum External Audit. Die Ergebnisse des Internal Audits werden beim External Audit auch berücksichtigt. Vor allem die Punkte, die der Internal Auditor angemerkt hat, werden den External Auditor interessieren, also er wird des Öfteren nach der entsprechenden Lücke bzw. Abweichung fragen und nach den Maßnahmen, die eingeleitet wurden, um diese zu beheben bzw. ob die Einführung der Maßnahmen bereits abgeschlossen wurden oder noch offen sind. Übrigens ist es egal, ob ein Internal Audit von einem Externen durchgeführt werden kann. Internal und External Audit sagt also nichts darüber aus, ob man einen externen Mitarbeiter oder ein anderes Unternehmen mit dem Audit beauftragt, sondern setzt allein die Zielrichtung.

Das mITSM Prozess Reifegradmodell stützt sich auf einen allgemein anerkannten Best-Practice-Ansatz und wird von mITSM schon seit mehreren Jahren auf breiter Ebene genutzt. Es stützt sich u.a. auf das CMM, CMMI und SPICE (ISO 15504) Modell. Es kann sowohl genutzt werden um im Rahmen eines Audits den bestehenden Reifegrad einzelner Prozesse bzw. des gesamten IT Service Management Prozesses festzustellen als auch im Rahmen einer GAP-Analyse um den notwendigen Handlungsbedarf  zu ermitteln welcher notwendig ist, um den nächst höheren Reifegrad zu erreichen.

Der Reifegrad der Service Management Prozesse hängt sehr stark von der Wachstumsphase der gesamten IT-Organisation ab. Es ist sehr schwer, wenn nicht gar unmöglich, den Reifegrad der Service Management Prozesse über den Reifegrad und das Potential der IT-Gesamtorganisation hinaus zu entwickeln. Der Reifegrad einer IT-Organisation hängt nicht nur von Reifegrad der Service Management Prozesse ab. Jede Stufe erfordert eine Veränderung im Zusammenspiel der einzelnen Elemente damit die höchste Effektivität erzielt werden kann. Daher ist bei einer Analyse der Prozesse eine Beurteilung folgender fünf Bereiche unumgänglich:

Es gibt 5 Reifegradstufen bzw. Level:

1. Initial Level (Reifegrad  1)
2. Repeatable Level  (Reifegrad 2)
3. Defined Level (Reifegrad 3)
4. Managed Level (Reifegrad 4)
5. Optimizing Level (Reifegrad 5)

Der Prozess wurde anerkannt aber das Prozess Management ist kaum tätig. Innerhalb der Organisation wird der Prozess nicht als wichtig gesehen und somit werden auch kaum Mittel bereitgestellt. Diese Phase wird auch mit ‘Ad hoc’ oder in einigen Fällen sogar mit ‘Chaotisch’ bezeichnet.

Der Prozess wurde anerkannt. Das Prozess Management ist mäßig tätig. Innerhalb der Organisation wird der Prozess als bedingt wichtig gesehen und somit werden geringe Mittel bereit gestellt. Aktivitäten in Zusammenhang mit dem Prozess sind der Regel unkoordiniert, ungeplant und ohne starke Ausrichtung. Sie dienen hauptsächlich der Verbesserung der Prozesseffektivität.

Der Prozess wurde anerkannt und dokumentiert, allerdings fehlt eine schriftliche Vereinbarung und es mangelt and Akzeptanz und Anerkennung der Rolle innerhalb der IT Gesamtorganisation. Allerdings existiert ein Prozessverantwortlicher sowie definierte Ziele und zugeordnete Ressourcen welche an Effizient und Effektivität des Prozesses interessiert sind. Berichte und Ergebnisse werden zur späteren Bezugnahme gespeichert.

Der Prozess wurde nun gänzlich anerkannt und in der gesamten IT akzeptiert. Service- und Prozessziele sind auf die Geschäftsziele ausgerichtet. Der Prozess ist vollständig definiert, organisiert und wird proaktiv gelebt. Schnittstellen und Abhängigkeiten zu anderen IT Prozessen sind festgesetzt und dokumentiert.

Der Prozess wurde gänzlich anerkannt und enthält strategische Prozessziele die auf die Geschäftsziele und Ziele der IT ausgerichtet sind. Der Prozess ist vollständig definiert, organisiert und wird proaktiv gelebt. Schnittstellen und Abhängigkeiten zu anderen IT Prozessen sind vereinbart und dokumentiert. Ziele wurden institutionalisiert und in den Aktivitäten aller Prozessbeteiligten integriert.  Ein eigenständiger kontinuierlicher Verbesserungsprozess ist als Teil des Prozesses etabliert. Der Prozess ist in der Lage Präventivmaßnahmen zu ergreifen.

Das mITSM nutzt die offiziellen von COBIT gelieferten Modelle zur Ermittlung des Reifegrades:

•       Auf COBIT Prozessebene
•       Auf Attributebene

Bei der Ermittlung des Reifegrades auf COBIT Prozessebene werden die 34 spezifischen COBIT Prozesse analysiert und in das Reifegradmodell auf Prozessebene überführt. Die Bedeutung der Reifegrade:

• „0“:      kein Prozess vorhanden, der Reifegrad ist automatisch erreicht
• „1“:      Fachpraktiken werden umgesetzt, aber adhoc und situationsbezogen
• „2“:      gleichartige Verfahren werden eingesetzt, Prozesse laufen ähnlich
• „3“:      Verfahren sind standardisiert, dokumentiert und kommuniziert
• „4“:      Verfahren werden gemessen, Automatisierung eingeschränkt
• „5“:      Automatisiert, kontinuierlich optimiert auf Best Practice Niveau

Bei der Ermittlung des Reifegrades auf Attributebene werden die generischen bzw. für alle COBIT Prozesse geltenden und allgemeingültigen Prozessattribute hinsichtlich sechs Bewertungsperspektiven analysiert und in das Reifegradmodell auf Attributebene überführt.

Diese Fragen können wir mit einem klaren ja beantworten. Wir sind nicht bestrebt daran Ihnen ein besonderes Tool ans Herz zu legen. Vielmehr sind wir bestrebt Sie durch objektives und neutrales Coaching zu unterstützen um das für Sie richtige Tool auszuwählen. Ob ein Tool gut oder schlecht ist zeigt sich erst bei der Analyse und dem Mapping Ihrer Anforderungen an das Tool.