Einfachheit - nicht Übersimplifizierung - ist ein Schlüssel zum Erfolg im Management. Wer sich auf die beiden Themen Risiko und Services im IT-Management konzentriert, konzentriert sich auf die beiden wichtigsten Themen.
Während der Service-Gedanke dabei, in unterschiedlichen Ausprägungen, schon seit langer Zeit eine Rolle in der IT spielt, ist der Blick auf Risiken bisher meist eher schwach ausgeprägt. Gerade Risiken sind aber ein wichtiges Instrument, um in der IT bessere Entscheidungen zu treffen und gezielter zu handeln.
Risiken sind dabei allgegenwärtig. Sicherheitsrisiken, Erfüllungsrisiken in Projekten – und damit beim Change Management – oder Kostenrisiken in eben diesen Projekten sind nur einige Beispiele. Das Konzept des Risk Managements ist in manchen Branchen bereits mit Blick auf strategische und operationale Risiken gut verankert. Genauso lässt sich das Konzept aber in der IT nutzen, wo es auch an zunehmend mehr Stellen auftaucht, beispielsweise in Werkzeugen, die Zugriffsrisiken explizit bewerten oder – zwischen Business und IT – in Risk Management-Ansätzen für ERP-Lösungen. Während letztere auf Business-Controls ausgerichtet sind, richtet sich der Blick bei den erstgenannten Werkzeugen auf IT-Controls, wie sie beispielsweise in COBIT beschrieben sind.
Die Orientierung an Risiken ist aus mehreren Gründen sinnvoll. Ein Bewusstsein über Risiken ermöglicht es erst, sich gezielt um die Reduktion von Risiken oder Maßnahmen für das Eintreten des Problemfalls zu kümmern. Risiken sind aber auch für das Project Portfolio Management von zentraler Bedeutung. Das wird besonders gut am Beispiel der IT-Sicherheit deutlich: Die größten Risiken müssen zuerst adressiert werden – soweit das in Anbetracht der Kosten für die „Risk Mitigation“ sinnvoll ist. Risikoorientierte Ansätze sind in diesem Bereich aber auch sinnvoll, um Authentifizierungsstrategien zu entwickeln. Die Frage danach, wie viel Sicherheit es braucht, lässt sich so besser beantworten – es hängt von den Risiken ab.
Auf der anderen Seite stehen die Services. Die bisherige oft punktuelle Betrachtung bei ITIL (IT-Infrastrukturdienste), bei Web Services, bei SOA, bei Software as a Service (SaaS) und in anderen Bereichen weicht im Kontext des Cloud Computings langsam einer Betrachtungsweise, die sich darauf konzentriert, dass man alle IT-Leistungen als Service betrachtet. Cloud Computing steht für eine Entwicklung hin zu einer konsequenten Service-Orientierung der IT, die es erlaubt, die Service Supply Chain in optimaler Weise zu gestalten, in dem der jeweils beste Dienstanbieter verwendet wird. Eine konsequente Service-Orientierung wird die Ressourcenplanung, das Procurement und die Abrechnung der IT immer einfacher machen – der Weg hin zu einem »ERP for IT« (und es ist ohnehin ein Treppenwitz der IT-Geschichte, dass es für jeden Unternehmensbereich ERP-Lösungen gibt – nur nicht für die IT).
Die beiden Themen Services und Risiko stehen übrigens auch in engem Zusammenhang: Die Erfüllung oder Nichterfüllung von SLAs (Service Level Agreements) ist mit definierbaren Risiken verknüpft.
Wer sich im IT-Management darauf konzentriert, das Service Management voranzubringen und Konzepte des Risikomanagements einzuführen, konzentriert sich auf die beiden wichtigsten Steuerungselemente. Dass es nicht einfach ist, diesen Weg einer Einfachheit im Sinne der Fokussierung zu gehen, steht außer Frage. Ebenso klar ist aber auch, dass zu viel dafür spricht, als dass man ihn nicht gehen sollte. Und je weiter man ihn vorankommt, desto einfacher wird die IT, weil man sich auf die Risiken der Leistungserbringung von Services konzentrieren kann und dort den Blick darauf richtet, wo es die größten Risiken gibt.