Handbuch IT-Outsourcing
Текст- Объем: 2450 стр. 125 иллюстраций
- Жанр: ÕiguserialaРедактировать
b) Governance
270
Zu der Zusammenarbeit von Personen, Gruppen und Organisationen gehört eine gewisse Struktur, ansonsten wird der Output eher gering sein. Die Zusammenarbeit der Vertragsparteien wird i.d.R. innerhalb des Outsourcing-Vertragswerkes über eigens hierfür eingesetzte Personen und Gremien gesteuert. Dazu ist es notwendig, dass die Prozesse und Schnittstellen zwischen dem Kunden und dem Provider in Form von Rollen, Verfahren, Gremien, Zuständigkeiten und Funktionen beschrieben werden. Governance besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die Informationstechnik (IT) die Unternehmensstrategie und -ziele unterstützt. Unter IT wird in diesem Zusammenhang die gesamte Infrastruktur verstanden, aber auch die Fähigkeiten und die Organisation, die die IT unterstützen und begründen. IT-Governance liegt in der Verantwortung des Vorstands und des Managements und ist ein wesentlicher Bestandteil der Unternehmensführung.[297]
aa) Allgemeines
271
Der Kunde benennt eine Rolle, die für die laufende Vertrags und Leistungsbeziehung seitens des Kunden gegenüber dem Provider zuständig ist und die Steuerung des Providers leitet („Leiter Steuerung des Providers“). Soweit einzelne Zuständigkeiten nicht ausschließlich einem anderen Gremium vorbehalten sind und vorbehaltlich der Zuweisung spezieller Themen zu speziellen Personen/Rollen, ist der Leiter Steuerung des Providers der zentrale Ansprechpartner für alle Themen, die die Serviceerbringung betreffen.
272
Einerseits sind in der ITIL bestimmte Rollen definiert, die man mit in den Outsourcing-Vertrag übernehmen kann. Anderseits machen folgende Rollen zur Steuerung des Providers Sinn:
| – | Vertreter des Kunden gegenüber dem Provider und |
| – | Steuerung des Service Managements und Ansprechpartner für die Fachbereiche auf Seiten des Kunden. |
273
Alle mit dem Vertrags- und Beziehungsmanagement zur Serviceerbringung in Zusammenhang stehenden Mitteilungen und Erklärungen sind an den Leiter Steuerung des Providers zu richten.
274
Der Leiter Steuerung des Providers sollte berechtigt sein, einzelne Aufgaben im Zusammenhang mit der Serviceerbringung an andere Personen innerhalb des Kunden zu delegieren.
275
Des Weiteren ist der Leiter Steuerung des Providers Schnittstelle und Ansprechpartner für die folgenden ITIL-Rollen auf Seiten des Kunden:
| – | Director of Service Management, |
| – | Chief Sourcing Officer, |
| – | Security and Compliance Manager und |
| – | Release Manager. |
bb) Service Delivery und Project Manager
276
Der Service Delivery und Project Manager des Kunden ist auf der operativen Ebene der Ansprechpartner für alle Aspekte im Zusammenhang mit der Serviceerbringung. Er steuert an der Schnittstelle zum Provider alle Aspekte im Zusammenhang mit der Serviceerbringung. Dazu gehören im Einzelnen folgende Rollen:
| – | Aussteuern der Serviceerbringung gegenüber dem Provider im Tagesgeschäft, Ergreifen/Einfordern von ad hoc Maßnahmen bei Untererfüllung; |
| – | Planung, Durchführung und Koordination von Projekten, eine Definition der relevanten Arten von Projekten wird in der Transition zwischen den Vertragsparteien gemeinsam abgestimmt; |
| – | Steuerung des Bereiches Service Management auf Seiten des Kunden und diesbezüglich Ansprechpartner für den Provider, |
| – | Überwachung der prozesskonformen Bearbeitung des Service Management Prozesses im Zusammenhang mit der Serviceerbringung, |
| – | Erstansprechpartner für den Provider zu fachlichen Fragestellungen der Serviceerbringung des Vertrages, |
| – | Absicherung der zielgerichteten Kommunikation, |
| – | Zuständigkeit für das technische Änderungsverfahren für neue oder bestehende Services, |
| – | Einholen und Prüfen von Angeboten für Projekte, |
| – | Steuerung der Leistungsbeziehung gegenüber dem Provider, |
| – | Aufbau und Weiterentwicklung des Berichtswesens mit Definition von Messgrößen und Verfahren, |
| – | Durchführen von regelmäßigen Service Reviews mit dem Provider im Rahmen des Service Management Boards, |
| – | Unterstützung des Commercial und Contract Managers bei der IT-Budgetplanung und Kalkulation der IT-Servicepreise für die interne Leistungsverrechnung, |
| – | Unterstützung des Commercial und Contract Managers in Zusammenhang mit dem Benchmarking, |
| – | Abstimmung und Verabschiedung der Service Level Abweichungen, |
| – | Zuarbeit und Unterstützung von Audits und Prüfungen beim Provider, wie z.B.: – Qualitätsmanagement gemäß ISO 9001 – Prüfung des internen Kontrollsystems gemäß COBIT-Framework, |
| – | Ansprechpartner für Aktivitäten in Zusammenhang mit der Kundenzufriedenheitsprüfung, |
| – | Standardisierung, Weiterentwicklung und Qualitätssicherung der Services (kontinuierlicher Verbesserungsprozesses), |
| – | Weiterentwicklung der Prozesslandschaft im Rahmen der Governance der Serviceerbringung, |
| – | Unterstützung des SLA Management Prozesses und Identifizierung von Optimierungspotentialen zu bestehenden SLA, |
| – | Vorsorgemaßnahmen für Not- und Krisenfälle (Wiederanlauf) im Hinblick auf die bestehenden Prozessdefinitionen der Deutschen Leasing abstimmen, |
| – | Steuerung des Beschwerde- und Eskalationsmanagements zwischen dem Kunden und dem Provider, |
| – | Stellen von fachlichen Anforderungen an den Servicekatalog sowie |
| – | Vereinheitlichung/Standardisierung der Services, Vermeidung unnötiger Erweiterungen/Ausprägungen. |
277
Des Weiteren ist der Service Delivery und Project Manager des Kunden die Schnittstelle und der Ansprechpartner für die folgenden ITIL-Rollen:
| – | Service Level Manager, |
| – | Incident Manager, |
| – | Problem Manager, |
| – | Change Manager, |
| – | Configuration Manager, |
| – | Demand & Capacity Manager, |
| – | Asset & Configuration Manager, |
| – | Availability Manager und |
| – | Service Design Manager. |
cc) Commercial und Contract Manager
278
Der Commercial und Contract Manager des Kunden ist zentraler Ansprechpartner zu Vertragsfragen sowie zu den kaufmännischen Prozessen. Er ist zuständig für die Beauftragung von Standard- und Non-Standard-Aufträgen wie Projekten und sonstigen Anforderungen, damit verbundenen Freigaben und Abnahmen gegenüber dem Provider sowie für die Bearbeitung von Standardaufträgen gemäß Warenkorb.
279
Er überwacht gegenüber dem Provider die Übereinstimmung der erbrachten mit der vereinbarten Leistung und somit die Qualität der Services. Im Einzelnen gehören dazu folgende Aufgaben:
| – | Überwachung der vertraglichen Leistungserbringung durch den Provider, |
| – | Zuständig für das vertragliche Änderungsverfahren, |
| – | Erstansprechpartner für den Provider zu kommerziellen Fragestellung des Vertrages, |
| – | IT-Budgetplanung, Kalkulation IT-Servicepreise, |
| – | Prozesseigner für das Angebotsmanagement an der Schnittstelle zum Provider, |
| – | Beauftragen von Angeboten für Projekte, |
| – | Auslösen und Nachhalten von Bestellungen und die Beauftragung von neuen IT-Services, |
| – | Unterstützung bei der Portfolioplanung, und der Jahresbudgetplanung, |
| – | Rechnungs- und Leistungsprüfung sowie fachliche Abnahme und Freigabe, |
| – | Verantwortlich bei Vertragsverhandlungen, |
| – | Weiterentwicklung des Vergütungsmodells, |
| – | Abstimmung Rechnungsstellung und Leistungsabrechnung, |
| – | Alle Aspekte im Zusammenhang mit Service Level Pönalen, |
| – | Unterstützung bei der Weiterentwicklung des kaufmännischen Berichtswesens, |
| – | Stellen von kaufmännischen Anforderungen an den Servicekatalog, |
| – | Beauftragung und Koordination von Benchmarks, |
| – | Koordination der Mitwirkungsleistung auf Seiten des Kunden, |
| – | Umsetzungsplanung mit dem Provider und Terminverfolgung, |
| – | Überprüfung und Mitwirkung an neuen Preismodellen und Preiskalkulationen, |
| – | Erhebung der Nichterfüllungsgutschrift basierend auf den abgestimmten Service Levels und |
| – | Unterstützung des Service Delivery und Project Managers bei Standardisierung, Weiterentwicklung und Qualitätssicherung der Services (kontinuierlicher Verbesserungsprozesses) sowie Weiterentwicklung der Prozesslandschaft im Rahmen der Governance der Serviceerbringung. |
280
Des Weiteren ist der Commercial und Contract Manager Schnittstelle und Ansprechpartner für die folgenden ITIL-Rollen auf Seiten des Kunden:
| – | Financial Manager und |
| – | Order Manager. |
dd) Security Manager
281
Der Security Manager ist auf Seiten des Kunden die zuständige Rolle für das IT Sicherheitsmanagement gegenüber dem Provider. Er vertritt und steuert im Auftrag die Sicherheitsanforderungen des Kunden. Der Security Manager des Kunden ist bei allen sicherheitsrelevanten Ereignissen des IT Betriebes einzuschalten.
282
Zuständigkeiten des Security Managers sind insbesondere:
| – | Erstellung, Etablierung und Steuerung von Sicherheitsanforderungen des Kunden, |
| – | Weisungsbefugnis in allen Fragen der Informationssicherheit gegenüber dem Provider, |
| – | Klärung und Reporting von Sicherheitsvorfällen, |
| – | Überprüfung und Vorgabe Datenschutz und Datenklassifizierung ggf. unter Einbeziehung des Datenschutzbeauftragten des Kunden |
| – | Koordination von Security-Audits beim Provider, wie z.B.: – Überprüfung der Umsetzung und sicheren Anwendung der vereinbarten Maßnahmen bezüglich der IT-Sicherheit und des § 203 StGB und § 9 BDSG konformen Betriebs, – Abstimmung der Maßnahmen zur IT-Sicherheit und des § 203 StGB und § 9 BDSG konformen Betriebs mit dem Provider, – Security-Audits gemäß des ISO 27001, – Security Audits gemäß IT-Grundschutz-Katalog des BSI und – Prüfung gemäß Organisationsanweisungen des Kunden. |
283
Des Weiteren ist der Commercial und Contract Manager Schnittstelle und Ansprechpartner für den Information Security Manager auf Seiten des Kunden.
ee) Gremien und Zuständigkeiten
284
Die Gremien im Rahmen der Vertragsbeziehung sollten von der Anzahl, vom Turnus und der Teilnehmerzahl im vertretbaren Rahmen gehalten werden. Eine effektive, zielgerichtete und pragmatische Durchführung sollte dabei im Vordergrund stehen.
285
Die für die Zusammenarbeit der Vertragsparteien maßgeblichen Gremien können sein:
| – | IT Strategie Board, |
| – | IT Management Board, |
| – | Commercial und Contract Management Board, |
| – | das Application und Release Management Board und |
| – | Service Management Board. |
286
Das IT Strategie Board behandelt strategische Aspekte der Geschäftsbeziehung der beiden Vertragsparteien. Die Vertragsparteien benennen jeweils entscheidungsbefugte Vertreter zur Besetzung des Business und IT Strategie Boards. Die Vertreter gehören jeweils der entscheidungsbefugten Führungsebene der jeweiligen Vertragspartei an (Ebene Bereichsleitung und Geschäftsführung).
287
Das IT Management Board behandelt alle funktionalen und somit alle wirtschaftlichen und beziehungsrelevanten Fragen zur Serviceerbringung, Finanzen, Budgets, Innovationen, Technologie und Standards.
288
Das Commercial Management Board ist für die transparente Abrechnung der Services zwischen dem Kunden und dem Provider zuständig und liefert die finanziellen und vertraglichen Eckpunkte der Serviceplanung.
289
Das Application und Release Management Board ist das Leitungsorgan für alle Themen, Entscheidungen sowie erste Eskalationsinstanz bezüglich aller betriebenen Anwendungen und Applikationen des Providers und Eigenentwicklungen des Kunden. Es dient weiterhin der Abstimmung und des Verständnisses der Vertragsparteien hinsichtlich Release-Planung, Projektlandschaft, Systeme und Anwendungen sowie Architektur und Entwicklungsprozesse.
290
Das Service Management Board ist für die operative Steuerung und Abstimmung der Leistungserbringung, die Überwachung der ordnungsgemäßen Vertragsdurchführung sowie die mittel bis langfristige Abstimmung zwischen den Vertragsparteien zuständig.
291
Das Operational Meeting überwacht und steuert die operative Leistungserbringung. Im Rahmen des Operational Meetings sollte der aktuelle Status der Serviceerbringung dargestellt und bei Bedarf entsprechende Maßnahmen eingeleitet werden. Die Sicherstellung der definierten IT Service Prozesse (Standardprozesse) zur Erbringungen der einzelnen Services des Vertrags steht dabei im Vordergrund. Im Rahmen der Meetings sollten aufgetretene Incidents, nicht gelöste Probleme, Kapazitätsengpässe und anstehende Changes analysiert sowie entsprechende Lösungsmaßnahmen abgeleitet werden. Die terminliche Durchführung orientiert sich an den Bedürfnissen des Kunden. Generell sollte das Operational Meeting stattfinden, wenn eine Vertragspartei dies wünscht oder dies im Rahmen des Eskalationsverfahrens erforderlich werden sollte. Das Operational Meeting stellt die Eskalationsebene für Incident, Problem und Change Management dar.
c) IT Security
292
Die IT-Sicherheit (englisch IT-Security) gewinnt bei zunehmender Informatisierung von Geschäftsprozessen im Unternehmen immer größere Bedeutung. Ihre Vernachlässigung führt zu Haftungsrisiken für das Unternehmen, für die Unternehmensleitung und für alle, die mit der IT-Security befasst sind – daher spielt die IT-Security eine wichtige Rolle auch in Outsourcing-Projekten.
aa) Grundlagen
293
IT-Security beschreibt den Zustand des Sicherseins vor Gefahren oder Schäden im Bereich der Informations- und Kommunikationstechnik. Um IT-Security herbeizuführen, müssen Risiken identifiziert und gemanagt werden. Ein Risiko ist eine Schadenserwartung, die sich mit gewisser Wahrscheinlichkeit realisieren kann. Die Größe des Risikos ist abhängig von dem Ausmaß des möglichen Schadensumfanges und der Eintrittswahrscheinlichkeit des zum Schaden führenden Ereignisses. Zur Erreichung der IT-Security kommt eine Vielzahl technischer, organisatorischer und rechtlicher Einzelmaßnahmen in Betracht. Maßnahmen wie auch Vorgehensmodelle zum IT-Risikomanagement sind beispielsweise im Grundschutzhandbuch des BSI (www.bsi.de/gshb) oder in dem Britischen Standard BS 7799 festgelegt.[298]
294
Informationssicherheit zielt auf den Schutz der Informationen und Daten, IT-Prozesse und IT-Systeme mittels Sicherheitsmaßnahmen. Diese können technischer, organisatorischer, personeller und infrastruktureller Natur sein. Informationssicherheit ist als integraler Bestandteil der Unternehmenspolitik aufzufassen und in geeigneter Weise in die Geschäftsprozesse zu integrieren.
295
Informationssicherheit ist der Oberbegriff zu IT-Sicherheit und versteht sich als Teil der Unternehmenssicherheit. Sie steht in Wechselwirkung mit anderen sicherheitsrelevanten Themen – insbesondere mit dem Datenschutz und Objektschutz.
296
Verletzungen der Informationssicherheit stellen keine Bagatell-Verletzung dar, sondern sind erhebliche Vertragsverletzungen und können in letzter Konsequenz eine außerordentliche Kündigung rechtfertigen.
297
Die Geschäftsprozesse der Kunden sind u.a. abhängig von:
| – | Informationen/Daten (elektronisch und papiergebunden), |
| – | IT-Prozessen (Kommunikations- und Datenverarbeitungsprozesse) und |
| – | IT-Systemen (Kommunikations- und Datenverarbeitungssysteme). |
298
Diese beeinflussen maßgeblich den unternehmerischen Erfolg. Deren Sicherheit ist daher ein kritischer Erfolgsfaktor im Wettbewerb und somit ein wichtiges Unternehmensziel.
Эта и ещё 2 книги за € 399