Outsourcing von IT hat sich in den letzten Jahren als beliebtes Mittel zur Einsparung von zeitlichen und finanziellen Ressourcen entwickelt. Dabei verlagern sich auch die Rahmenbedingungen fürs Reporting: Denn IT-Themen sind nicht ausschließlich mehr nur Sache des IT-Leiters. IT wird zunehmend zur Management-Angelegenheit. Daher werden im Rahmen von Business Services neben dem technischen Projektreport vermehrt zusätzliche Reports für das Management nachgefragt. Entsprechend werden diese IT-Management- Reports zur Entscheidungsgrundlage für die Geschäftsführung.
Wie dabei mittels einer simplen Ampel-Skala Entscheidungskompetenz vermittelt wird, zeigt dieser Beitrag. Es werden Kennziffern – sogenannte Key Performance Indicators (KPI) – vorgestellt, mit denen die ADACOR Hosting technische Bewertungsparameter so übersetzt, dass sie auch technische Laien verstehen.
Bei der ADACOR Hosting gehören neben der Erbringung der Hosting-Dienstleistungen seit jeher mehr oder weniger detaillierte Reports zum Standard. Sie informieren die IT- und Projektleiter der Kunden mit fachspezifischen Kennzahlen über den aktuellen Status eines Services. Die fachlichen Ansprechpartner verstehen mit ihrem technischen Wissen meist die aufgeführten Kennzahlen sowie deren Bedeutung und sind in der Lage, daraus ihre Entscheidungen abzuleiten.
In der Vergangenheit waren solche Technik-lastigen Reports meist völlig ausreichend, denn das Management des Kunden, das heißt in der Regel Vorstand oder Geschäftsführung, hat sich für die Details des IT-Betriebes bislang kaum interessiert.
Vielmehr trug der IT-Leiter die Verantwortung, sich um alle relevanten Themen zu kümmern und einen reibungslosen Betrieb zu gewährleisten. Im besten Fall präsentierte er seine Ideen und Vorschläge und die Geschäftsführung gab sie frei. Kurz gesagt: IT-Themen waren Sache des IT-Leiters.
IT wird zunehmend zur Management-Angelegenheit
Mit der vermehrten Präsenz von Internettechnologien in allen Unternehmensprozessen und der Zunahme webbasierten Arbeitens haben sich in den letzten zehn Jahren eine Reihe von neuen Herausforderungen ergeben:
- Unternehmen sind in allen Prozessen stärker abhängig von funktionierender IT als jemals zuvor.
- Der Gesetzgeber und die Aufsichtsbehörden haben die Themen Compliance, IT- Sicherheit, Risikomanagement und Datenschutz stärker in den Focus der Geschäftsführung gerückt.
Die Vorgaben betreffen hauptsächlich Kapitalgesellschaften sowie Unternehmen ab einer bestimmten Größe. Ein Beispiel ist das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich – kurz KontraG, das Geschäftsführern von Kapitalgesellschaften die Einführung und Überwachung eines Risikomanagements und eines Informationssicherheitsmanagements vorschreibt. Damit hat die Geschäftsführung eine Verantwortung für diese Themen. Allerdings beschränkt sich die Gesetzesvorgabe auf eine sehr abstrakte Ebene: Das Management ist verantwortlich für einen ordentlichen Geschäftsbetrieb. Die Details leiten sich daraus ab. Zusätzlich gibt es branchenspezifische Vorgaben, zum Beispiel für Finanzdienstleister hinsichtlich des Risikomanagements. Hier spezifiziert der Gesetzgeber in Form von Aufsichtsbehörden, wie die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und die Europäische Zentralbank (EZB), die Bedeutung eines ordentlichen Geschäftsbetriebes.
Beide Entwicklungen führen dazu, dass sich die Unternehmensführung mehr mit diesen Themen beschäftigen muss. Allerdings liegt es in der Natur der Sache, dass ihr eine eingehende Auseinandersetzung mit diesen Themen kaum möglich ist: es fehlen Fachwissen und Zeit. Das heißt, das Management muss Entscheidungen aufgrund der von Team- und Abteilungsleitern bereit gestellten Informationen treffen. Das stellt die tief in den Fachthemen stehenden Verantwortlichen oft vor nicht zu unterschätzende Herausforderungen.
Der IT Management Report vermittelt Entscheidungskompetenz über Kennziffern
Ein gängiger technischer Projektreport ist für das Management völlig ungeeignet: Er ist zu detailliert und nicht in jedem Fall allgemeinverständlich. Stattdessen gilt es, die richtigen Detailinformationen zu komprimieren, zu verdichten und zu aggregieren.
Gefragt ist eine Präsentation, die dem Management ein kompetentes Einordnen und in Beziehung setzen der Werte und Kennziffern ermöglicht.
Wie gut oder schlecht sind sie? Besteht konkreter Handlungsbedarf? Ziel eines solchen Reports ist es, die Geschäftsführung in die Lage zu versetzen, die entsprechende Situation kompetent bewerten und fundierte Entscheidungen treffen zu können – ohne IT-spezifisches Fachwissen aufbauen zu müssen.
Praxisbeispiele für KPI zur Bewertung von IT-Services
ADACOR Hosting hat initial in einem Projekt einen solchen IT Management Report entwickelt. „Für die Darstellung der entsprechenden Anforderungen und Annahmen haben wir uns für eine Skala der tolerierbaren Werte für jede Kennziffer in Form einer Ampelschaltung in vier Farben entschieden. Die Farbe Orange haben wir als zusätzliche Stufe eingefügt. Aus unserer Sicht ermöglicht eine solche vierstufige Skala eine genauere Bewertung der jeweiligen Kennziffer“, erklärt Andreas Bachmann, CIO und Geschäftsführer der ADACOR Hosting GmbH.
Die Basis für den IT Management Report ist das Identifizieren und Auswählen der für den ausgelagerten Service relevanten Kennziffern. Diese sind individuell sowie pro Auftraggeber und Projekt unterschiedlich. Aus Sicht des Unternehmens empfiehlt sich die Einbeziehung von Kennziffern, die
… der Kunde direkt nennt.
… sich aus Verträgen beziehungsweise Service Level Agreements (SLAs) ergeben.
… sich aus gängigen Standards (ITIL, ISO 27001, Compliance-Vorgaben) ableiten lassen.
… sich aus individuellen Richtlinien des Auftraggebers ableiten lassen.
Im nächsten Schritt werden die ausgewählten Kennziffern gegebenenfalls aggregiert und entsprechend aufbereitet. Daran schließt sich die Abstimmung mit dem Kunden und idealerweise auch bereits mit dem Management an.
In einem konkreten Projekt wurde der Management Report beispielsweise aus den folgenden Kennziffern aufgebaut. Diese werden generell in IT Service Management Reports verwendet und gelten als relevant.
Kennziffer „Leistungsquantität
Diese Standard-Kennziffer gibt die Verfügbarkeit des Services in Prozent an. Die Skalenwerte ergeben sich aus den Vertragsvereinbarungen und deren SLAs mit dem Kunden.
Kennziffer „Leistungsqualität“
Die Kennziffer gibt die Antwortzeit in Millisekunden an und ist ein ganz typischer Wert, um die Qualität eines webbasierten Services zu messen und zu beurteilen. Basis sind Erhebungen von Akamai und Gomez mit dem Ergebnis, dass fast die Hälfte aller Nutzer Ladezeiten von 2 Sekunden oder weniger erwarten. Nach 3 Sekunden brechen sie den Besuch ab.
Ganz konkret heißt das: Der Betreiber eines Onlineshops riskiert Kunden bei zu langsamem Aufbau seiner Seiten zu verlieren. Unternehmen verlieren Produktivität, wenn sich ihre Intranetseiten zu langsam aufbauen.
Kennziffer „Service-Desk-Erreichbarkeit“
Die Erreichbarkeit des Service Desk in Problemfällen ist ein typisches Service Level Agreement zwischen Service Provider und Kunde. Ein Beispiel wäre: In 90 Prozent der Problemfälle wird der Service Desk beim ersten Kontaktversuch erreicht.
Kennziffer „SLA-Verstöße“
Vertragsverstöße werden gegebenenfalls als Liste aufbereitet, sodass sie auf einen Blick ersichtlich sind.
Kennziffer „Risikopotenzial“
In dieser Größe sind die Kennzahlen Security Report, Violation by Logon (Einloggen mit falschem Passwort), Zugriffsschutz und Incidents zusammengefasst. Hintergrund ist, dass die einzelnen Kennzahlen für den Vorstand viel zu detailliert und ihre absoluten Größen total unerheblich sind: Die absolute Anzahl von Fehl-Logins auf einer Applikation ist wenig aussagekräftig und kann nur relativ betrachtet werden. Sie sind dennoch Teil des Risikopotenzials. Gleiches gilt für Sicherheitsvorfälle. Hacking-Versuche gibt es immer und bis zu einer bestimmten Anzahl gehören sie zum Grundrauschen. Steigen sie jedoch signifikant an, stellen sie ein Risiko dar. Die aggregierte Kennzahl muss den Vorstand in die Lage versetzen, beurteilen zu können, ob es sich um ein Grundrauschen handelt oder er reagieren muss – und vor allem wie dringend das ist.
Um eine aussagekräftige Kennzahl zu erstellen, wurden die einzelnen Kennziffern je nach Bedeutung in Bezug auf die aggregierte Kennzahl gewichtet. Im konkreten Fall haben Security Incidents beispielsweise einen Anteil von 30 Prozent. Anschließend erhielt jede einzelne Kennziffer eine eigene Skala, bevor die Zahlen zusammengefasst wurden.
Damit liegt eine aggregierte Kennziffer „Risikopotenzial“ vor, die das Management in die Lage versetzt, das Risikopotenzial zu beurteilen und im Zweifelsfall den Prozess zur Lösung des Problems anzustoßen.
Kennziffer „IT- und Prozessstabilität“
Der Wert zielt darauf ab, eine durchgängige Stabilität und Qualität der Services zu belegen. Dafür fasst er die vorhergehend beschriebenen im Report aufgeführten Kennziffern Leistungsquantität, Leistungsqualität, SLA-Verstöße, Termintreue und Risikopotential über einen bestimmten Zeitraum zusammen. Es bietet sich dafür wahlweise eine Darstellung über drei, sechs oder zwölf Monate an. In dem konkreten Projekt sind es zwölf Monate.
Besonders interessant sind die einzelnen Werte der Kennziffern über einen bestimmten Zeitraum für die Projektleiterebene. Aus diesem Grund ist es gegebenenfalls sinnvoll, die Werte für jede Kennziffer im Projektreport zusätzlich zur aggregierten Skala einzeln aufzuführen.