Service-Level-Agreements
Die Service-Level-Vereinbarung definiert die Leistung über qualitative und quantitative Leistungskriterien, auch KPIs genannt (Key Performance Indicators). Sie sieht Verfahren vor, mit denen sich prüfen lässt, ob die Service-Levels erfüllt sind. Zudem regelt sie die Folgen der Nichterfüllung. Jedem Auftraggeber dürfte daran gelegen sein, die ausgelagerte Leistung wie vereinbart zu erhalten. Nicht- oder Schlechterfüllung sollte die Ausnahme sein. Kommt es aber doch zu einer mangelhaften Leistung, so ist es aus Sicht des Auftraggebers wichtig, dass er sich vom Vertrag ganz oder teilweise lösen kann, um die Leistung selbst zu erbringen oder einen anderen Service-Provider zu beauftragen.
Klassische Outsourcing-Verträge erlegen die Pflicht zur Prüfung der Service-Levels meist dem Anbieter auf. Er berichtet die Prüfergebnisse im Rahmen eines Reporting-Verfahrens an den Auftraggeber. Ein Anbieter von Cloud-Services kann das nur schwer leisten, weil die IT-Ressourcen gerade nicht einem bestimmten Auftraggeber zugeordnet sind. Deshalb weisen Cloud-Verträge hier eine Besonderheit auf: Der Auftraggeber bleibt für das SLA-Monitoring verantwortlich. Zu checken ist:
-
Enthalten die SLAs klare Definitionen der KPIs sowie Messmethoden und Indikatoren?
-
Steht das unternehmerische Interesse an einer ordnungsgemäßen Leistung im Vordergrund (also nicht die Rechtsfolgen der Schlecht- beziehungsweise Nichtleistung)?
-
Sehen die SLAs Überwachungs- und Berichtsverfahren in Bezug auf die KPIs vor?
-
Regeln die SLAs dezidiert Folgen der Nichterfüllung (zum Beispiel Minderung, Schadensersatz, Sonderkündigungs- und Step-in-Rechte)? Ist also sichergestellt, dass Schadensersatzansprüche nicht das ausschließliche Rechtsmittel im Fall mangelhafter Leistung sind?
-
Enthalten die SLAs Ausnahmeregelungen (beispielsweise für Force Majeure und Wartung)?
Wie Leclerque zu bedenken gibt, macht das Modell der "Hosted Private Cloud" nach wie vor das Gros des heutigen Cloud-Markts aus. Hier kommen zwar typische Cloud-Charakteristiken, zum Beispiel Ressourcen-Sharing, zum Tragen, doch das SLA-Management ähnelt eher dem des traditionellen Outsourcing. Deshalb sollte hier logischerweise auch der Provider für das Monitoring und Reporting der KPIs verantwortlich sein. In den "cloudifizierten" Angeboten der etablierten Outsourcing-Provider sind die KPIs häufig Grundlage für die nutzungsbasierte Abrechnung.
- Checkliste für das Outsourcing
Anforderungskatalog, Eskalationswege, Provider-Steuerung - im Outsourcing gibt es viele Fallstricke. Die Experton Group nennt zwanzig Eckpunkte zur Gestaltung eines wasserdichten Service-Level-Agreements (SLAs). - 9. Leistungserwartung:
Angaben zur Performance einzelner Komponenten bringen wenig. Leistungsangaben sollten sich auf das komplette System erstrecken. Das gilt etwa für Antwortzeiten und Durchsatzrate. - 1. Systembeschreibung:
Die Anforderungen an einen Service sollten detailliert beschrieben werden. Das ist in der Regel Aufgabe der Anwender. Je exakter die Beschreibung ist, desto weniger Probleme gibt es im Betrieb. - 2. Gültigkeitszeitraum für die SLAs:
Jeder Leistungsschein muss einen Anfang und ein Ende enthalten. Leistungsscheine, die während der Vertragslaufzeit zusätzlich abgeschlossen werden, sollten mit dem Rahmenvertrag enden. - 3. Hauptrollen in dem SLA:
Die Rollen- und Rechtematrix ist ein Regelwerk, das festlegt, wer für welche Aufgaben zuständig ist. Dabei geht es um Zuständigkeiten, Verantwortung, Mitwirkungs- und Informationspflicht. Zusätzlich sollten die Rollen im Rahmen der Zusammenarbeit definiert werden. - 4. Nutzerzufriedenheit:
Die Anwender und nicht die Technik stehen bei der Definition der Service-Parameter im Vordergrund. Deshalb sollten KPIs so gewählt werden, dass sie die Erwartungen des Nutzers widerspiegeln. Zu diesem Zweck kommen Messmethoden auf Anwendungs-Level zum Einsatz. - 5. Verfügbarkeit:
Die Verfügbarkeit nennt Zeiten, in denen der Endanwender den Service nutzen kann. Der Mail-Services muss oft rund um die Uhr laufen, der Hotline-Support orientiert sich zumeist an Bürozeiten. - 6. Geplante Ausfallzeiten:
Für die Wartung und für Notfallübungen müssen geplante Ausfallzeiten außerhalb der Servicezeiträume vereinbart werden. - 7. Serviceschnittstellen:
Für den Servicebetrieb sind Schnittstellen zu anderen IT-Diensten sowohl eingangs- als auch ausgangsseitig erforderlich. Die Wechselwirkungen müssen untersucht und beschrieben werden. - 8. Zuverlässigkeit:
Mit diesem Parameter wird gemessen, wie häufig ein System ausfällt und wie lange es dauert, bis der Service in der vereinbarten Güte wiederhergestellt ist. Im Gegensatz zur Verfügbarkeit, die über eine definierte Zeitstrecke gemessen wird, lässt sich die Zuverlässigkeit fallweise ermitteln. - 10. Problem-Reporting und -lösung:
Ein wesentlicher Grundsatz ist, dass der Service nur dann als erbracht gilt, wenn der erfolgreiche Betrieb auch berichtet wird. Deshalb sollte zu jedem KPI das Messverfahren definiert und der Umfang des Reporting festgelegt werden. - 11. Benachrichtigungs- und Eskalationswege:
Gibt es Probleme, müssen die Eskalationswege bekannt sein. Darüber hinaus sollten Dienstleister frühzeitig auf mögliche Gefahren hinweisen, selbst wenn KPIs noch eingehalten werden. - 12. Wartung:
Die Wartungszyklen der IT-Systems sind einzuhalten. Insbesondere für automatische Updates gilt es, ein Verfahren zu definieren, das die betrieblichen Anforderungen des Kunden unterstützt. - 13. Wachstum und Veränderungen:
Für seine Planungssicherheit benötigt der Dienstleister Angaben zum erwarteten Wachstum. Sind Veränderungen absehbar (etwa SAP-Release), sollten SLAs dazu vereinbart werden. Sind künftige Anforderungen hingegen unbekannt, kommt es auf Change-Prozesse an. - 14. Backup und Wiederherstellung:
Jedes System benötigt Backup- und Recovery-Prozesse. Dazu gehört auch geeignetes Personal, so dass die Service-Levels auch dann eingehalten werden, wenn Mitarbeiter ausfallen. Das gilt auch für die Migrationsphase. - 15. Archivierung und Datenspeicherung:
Dienstleister müssen die gesetzlichen und betrieblichen Archivierungsregeln erfüllen. Der Datenzugriff ist regelmäßig zu überprüfen. Ein Archivierungskonzept muss auch die Speichersysteme umfassen. - 16. Business-Recovery und -Continuity:
Die Notfallplanung beinhaltet einen Maßnahmenkatalog für den Schadensfall und beschreibt die Auswirkungen auf Geschäftsprozesse. Zusätzlich sollte eine Risikobewertung den möglichen Schaden klassifizieren. - 17. Security:
Alle Maßnahmen rund um die Sicherheit, die in diesem Service beachtet werden müssen, sollten aufgeführt werden. Oft existieren IT-Sicherheitskonzepte, die Regelungen für solche Fälle enthalten. - 18. Regelmäßige Lagebesprechung:
In der Migrationsphase ist eine intensive Kommunikation zwischen Kunde und Dienstleister wichtig. Zudem sollten im Rahmen regelmäßiger Reviews - in der Regel monatlich - KPIs überprüft werden. - 18. Regelmäßige Lagebesprechung:
In der Migrationsphase ist eine intensive Kommunikation zwischen Kunde und Dienstleister wichtig. Zudem sollten im Rahmen regelmäßiger Reviews - in der Regel monatlich - KPIs überprüft werden. - 19. Unterschrift:
Mit dem Unterzeichnen des SLA-Dokuments übernimmt der Dienstleister die Verantwortung für die ausgelagerten Services. - 20. Kontinuierliche Administration:
Unmittelbar nach Vertragsbeginn startet auch die permanente Kontrolle durch den Kunden. Dazu zählen die Berichte und Abrechnungen. Ein vertraglich vereinbarter Zugang zum Reporting-System des Providers kann Prüfungen vereinfachen.