L17Modeli zrelosti CobIT gotovo

ФГБОУ ВО Волгоградский государственный аграрный университет
Кафедра «Информационные системы и технологии»
Направление подготовки 09.03.03 Прикладная информатика
1
Лекция 17
Лектор: д.т.н., профессор Кочеткова О.В.
Проблемы современной организации
Руководство любой организации сталкивается со следующими
вопросами:
 в каком состоянии находится организация на текущий момент
времени?
 где требуются улучшения?
 как определить эффективность реализованных улучшений?
Для ответа на эти вопросы COBIT предлагает систему показателей,
основанную на:
• моделях зрелости, которые позволят провести сравнительный анализ
и выявить, где требуются улучшения;
• целях и показателях эффективности для процессов, которые
позволят измерить, насколько они соответствуют целям бизнеса и
ИТ, а также оценить процессы на основе системы сбалансированных
показателей;
• целях действий в рамках процессов для повышения эффективности
последних.
Модели зрелости



предназначены для управления и контроля ИТ-процессов.
Зрелость (Maturity) – понятие, характеризующее степень, в которой бизнес
может положиться на определенный процесс, ведущий к достижению
желаемых целей [1].
Модель зрелости, предлагаемая COBIT, содержит шесть уровней зрелости:
от "несуществующего" (0) до "оптимизированного"(5).
Уровень зрелости представляет собой профиль ИТпроцесса, который необходимо воспринимать как
описание возможного положения дел в настоящем и
будущем.
Каждому уровню зрелости соответствует
определенный набор требований. При этом COBIT не
регламентирует, что для перехода на следующий
уровень процесс должен выполнить абсолютно все
требования предыдущих уровней.
Любой процесс в той или иной мере выполняет
определенное количество требований каждого
уровня – рис.1
Рис.1. Возможная модель зрелости для ИTпроцесса
Модели зрелости
С помощью моделей зрелости руководство может определить/оценить:




текущую эффективность организации;
текущее положение дел в отрасли;
корпоративные цели по совершенствованию;
требуемые меры по совершенствованию.
Рис.2- Шкала моделей зрелости
Описание уровней зрелости
0несуществующий
•
Полное отсутствие каких-либо процессов управления ИТ. Организация не
признает и даже не осознает существования проблем в ИТ, которые нужно
решать, и, таким образом, нет никаких сведений о проблемах.
•
Есть свидетельства того, что организация осознает существование проблем и
необходимость их решения. При этом не существует никаких
стандартизованных процессов. Существуют случайные одномоментные
решения, принимаемые кем-то персонально или от случая к случаю.
Организованный подход к управлению отсутствует.
1 – Начальный/
Повторяющийся эпизодически
и бессистемно
•
2 - Повторяющийся,
но интуитивный
•
Существует всеобщее осознание проблем управления ИТ. Процессы достигли
уровня, при котором разные сотрудники, выполняющие одну и ту же задачу,
используют сходные процедуры. Показатели деятельности и ИТ-процессов
находятся в развитии, охватывая процессы планирования, функционирования
и мониторинга ИТ. Деятельность по управлению ИТ описана и интегрирована в
процесс управления организацией. Выбраны для улучшения и/или контроля те
ИТ-процессы, которые влияют на основные бизнес-процессы предприятия.
Эффективно выполняется планирование и управление инвестициями.
Руководство организации регламентировало меры по управлению ИТ, а также
методы управления и оценки, но процесс не был принят в организации.
Не существует формализованного обучения, набора взаимосвязанных
стандартных процедур управления, ответственность возложена на
сотрудников. Организация сильно зависит от знаний отдельных лиц,
вследствие чего велика вероятность ошибок. Ограниченные инструменты
управления выбираются и внедряются для сбора метрик управления, но не
используются в полном объеме из-за недостатков в оценке их
функциональности.
Описание уровней зрелости



3
Определенный


Необходимость действовать в соответствии с принципами управления ИТ
понимается и принимается. Развивается базовый набор показателей
управления ИТ: определена связь между результатом и показателями
производительности, она зафиксирована и внедрена в стратегические
процессы планирования и мониторинга.
Процедуры стандартизованы и документированы, проводится обучение
сотрудников по выполнению этих процедур.
Показатели производительности всех видов деятельности зафиксированы и
отслеживаются, что приводит к повышению эффективности работы всей
организации. Процедуры не сложны, они являются формализацией
существующей практики.
Идеи сбалансированных карт оценки бизнеса принимаются организацией.
Ответственность за обучение, выполнение и применение стандартов
возложена на сотрудников организации.
Анализ первопричин применяется время от времени. Большинство процессов
управляются в соответствии с некоторыми основными метриками, и, как
правило, отдельными сотрудниками, поэтому ни о каких отклонениях
руководители не знают.
Однако всеобщая отчетность о выполнении ключевых процессов является
четкой, и руководство премирует сотрудников на основе измерения ключевых
результатов.
Описание уровней зрелости




4 - Управляемый

и измеряемый





Ведется мониторинг процессов в измеряемых показателях. Существует полное
понимание проблем управления ИТ на всех уровнях организации, постоянно
происходит обучение сотрудников.
Определены и поддерживаются в актуальном состоянии SLA. Четко распределена
ответственность, установлен уровень владения процессами. Процессы ИТ
соответствуют бизнесу и стратегии ИТ.
Улучшения в процессах ИТ основываются на измеряемых количественных
показателях. Существует возможность управлять процедурами и метриками
процессов, измерять их соответствие.
Все совладельцы процесса осознают риски, важность ИТ и возможности, которые
они предоставляют. Руководство организации определило допустимые отклонения,
при которых процессы должны работать.
Если процессы не работают эффективно и продуктивно, действия предпринимаются
во многих (но не всех случаях).
Процессы постоянно совершенствуются, их результаты соответствуют "лучшим
практикам".
Формализован порядок анализа первопричин. Присутствует понимание
необходимости постоянного совершенствования.
Ограниченно применяются передовые технологии, основанные на современной
инфраструктуре и модифицированных стандартных инструментах.
Все необходимые ИТ-специалисты вовлечены в бизнес-процессы.
Управление ИТ превращается в процесс уровня всей организации. Деятельность
управления ИТ интегрируется в процесс управления организацией.
Описание уровней зрелости




5–
Оптимизированный


В организации существует углубленное понимание управления ИТ,
проблем и решений ИТ, а также перспектив.
Обучение и коммуникация поддерживаются на должном уровне,
самыми современными средствами.
В результате непрерывного улучшения процессы соответствуют
моделям зрелости, построенным на основании "лучшей практики".
Внедрение этих процедур привело к появлению организаций, людей и
процессов, максимально адаптируемых к изменяющимся условиям,
а также полностью соответствующих требованиям управления ИТ.
Первопричины всех проблем и отклонений тщательно
анализируются, по результатам анализа выполняются
результативные действия.
Информационные технологии интегрированы в бизнес-процессы,
полностью их автоматизируют, предоставляя возможность повышать
качество и эффективность работы организации.
Три аспекта зрелости процессов
Модель зрелости позволяет оценить
управляемость процесса. COBIT
рассматривает зрелость процесса в трех
аспектах, показанных на рис.3.
Рис.3- Измерение зрелости процессов



Первый - потенциальные возможности системы управления процессом (capability),
которые обеспечивают соответствие поставленным целям ИТ.
Второй - до какой степени желательно развивать процесс (это называется coverage),
если ожидаемый возврат инвестиций может быть обеспечен еще до достижения
высокого уровня зрелости (а начиная с этого уровня возврат инвестиций падает).
Третий - это специальные средства управления, которые могут понадобиться для
минимизации рисков и обеспечения соответствия внешним требованиям.
Характеристики зрелости ИТ процессов
Модель зрелости позволяет измерить, насколько качественно
развиты процессы управления и какими возможностями они
обладают.
С каждым уровнем зрелости повышается степень внедрения
принципов и соответствующей практики в рамках следующих
аспектов:
1. осведомленность и информированность
2. политики, планы, процедуры
3. инструментарии и средства автоматизации процесса
4. навыки и компетенция
5. ответственность и отчетность
6. постановка целей и оценка их достижения.
Характеристики зрелости
ИТ процессов
Модели зрелости:
• дают представление об этапах, через которые проходит эволюция управления и
контроля ИТ-процессов;
• представляют собой:
– набор требований и аспектов, характеризующие разные уровни зрелости;
– шкалу оценок, на которой различия могут быть измерены, удобную для
практического сравнения
• помогают:
– определить текущее и желаемое состояния;
– провести анализ недостатков с целью определения того, что необходимо сделать
для достижения выбранного уровня.
• создают общее представление о том, как должно быть организовано корпоративное
управление
•
В табл. представлены характеристики зрелости, которые позволяют оценить управляемость ИТпроцессов от "несуществующего" до "оптимизированного" уровней.
Характеристики зрелости
Осведомленность и
информирование
1. Осознание
необходимости в
процессе.
Эпизодический
обмен информацией
о проблемах.
Политики, планы и
процедуры
Процессы и
политики реагируют
на сиюминутные
запросы.
Процессы и
политики не
определены.
Инструментарий и
автоматизация
Есть некоторые
инструментальные
средства (ИС) по
управлению процессом, кот. Применяются на настольных
компьютерах. Нет
плана применения
ИС.
Навыки и
компетентность
Навыки персонала,
необходимые для
выполнения
процессов не
определены. Нет
плана по обучению,
формализованное
обучение не
проводится.
Ответственность и
подотчетность
Ответственность и
подотчетность не
определены.
Ответственность
берется на себя
отдельными людьми
по личной
инициативе или в
силу обстоятельств.
Постановка целей и
оценка результатов
Цели не ясны,
оценка результатов
не проводится.
2. Осознание
необходимости
действовать.
Руководство
обменивается
информацией в
отношении общих
проблем.
Возникают
Общий подход к
Определены
Сотрудник
Определены
одинаковые и
применению
минимальные
принимает на себя некоторые цели,
похожие процессы, инструментальных требования к
ответственность,
происходит оценка
но управление
средств, основанных навыкам персонала ведет отчетность,
по некоторым
интуитивно и
на решениях
для наиболее
даже если это
финансовым
основано на опыте отдельных лиц.
критичных
формально не
показателям,
отдельных людей.
Инструментальные процессов. Обучение определено. В случае известным только
Некоторые аспекты средства могут
проводится по мере возникновения
высшему
процессов
закупаться у
необходимости, а не проблемы,
руководству. В
повторяемы, может внешних
на основе
появляется
отдельных сферах
существовать
поставщиков,
согласованного
замешательство,
иногда проводится
документация и
однако, они скорее плана, есть
есть тенденция
мониторинг.
неформальное
не используются или неформализованное перекладывать
понимание политик и используются
обучение.
ответственность на
процедур.
неправильно.
других.
Характеристики зрелости
Осведомленность и Политики, планы и
информирование
процедуры
3. Понимание
необходимости
действовать.
Более
формализованное
и структурированное
информирование.
Внедряются
лучшие практики.
Определены
процессы,
политики и
процедуры,
документированы
основные
действия.
Инструментарий и
автоматизация
Есть план
применения и
стандартизации
средств
автоматизации
процесса.
Средства
автоматизации
управления
процессами
применяются в
соответствии с их
основным
предназначением,
но, вероятно, не по
плану и не
интегрированы
друг с другом.
Навыки и
компетентность
Ответственность и Постановка целей и
подотчетность
оценка результатов
Требования по
Ответственность и
навыкам
подотчетность
определены и
определены,
документированы назначены
в отношении всех владельцы
областей.
процессов (ВП). У
Разработан
ВП не всегда
формализованный достаточно
план обучения, хотя полномочий для
сам процесс
выполнения своих
обучения все еще обязанностей.
основан на
Приняты
индивидуальной
некоторые цели и
инициативе.
показатели
эффективности, но
они не донесены до
заинтересованных
сторон и не имеют
четкой связи с
бизнес-целями.
Проводится (не
регулярно) оценка
эффективности
процессов.
Приняты принципы
системы
сбалансированных
показателей ИТ,
которые
интуитивно
применяются при
анализе
первопричин.
Характеристики зрелости
Осведомленность и
информирование
Политики, планы и
процедуры
Инструментарий и
автоматизация
4. Полное
Процесс доведен до Инструментальные
понимание всех
конца;
средства
требований.
применяются
применяются в
Задействованы
внутренние лучшие соответствии со
зрелые требования практики. Все
стандартизованны
и стандартные
аспекты процесса м планом,
инструменты
документированы некоторые
информирования. и повторяемы.
инструменты
Политики
интегрированы
согласованы и
друг с другом.
приняты
Инструментальные
руководством.
средства
Стандарты
применяются для
разработки и
автоматизации
поддержки
управления
процессов приняты процессом,
и внедрены.
мониторинга
критических
действий и мер
контроля.
Навыки и
компетентность
Требования по
навыкам
постоянно
обновляются для
всех областей.
Для критических
областей
обеспечена
высокая
квалификация,
приветствуется
сертификация. По
плану внедряются
зрелые методики
обучения,
приветствуется
обмен знаниями.
К обучению
привлечены
внутренние
специалисты,
оценивается
эффективность
плана обучения.
Ответственность и Постановка целей и
подотчетность
оценка результатов
Ответственность и
подотчетность в
рамках процессов
определены, ВП
полностью
справляются с
обязанностями.
Для позитивной
мотивации
применяются
вознаграждения.
Результативность и
эффективность
оцениваются,
доносятся до
исполнителей и
увязаны с
корпоративной и
ИТ стратегиями. В
некоторых сферах
внедрена система
сбалансированных
показателей,
стандартизован
анализ
первопричин.
Возникает
постоянное
совершенствование
Характеристики зрелости
Осведомленность и
информирование
5. Развитое и
ориентированное на
перспективу
понимание
требований.
Проактивное
информирование,
основанное на
анализе тенденций,
зрелых методах и
применении
стандартизованных
инструментальных
средств
информирования.
Политики, планы и Инструментарий и
процедуры
автоматизация
Внедрены
Стандартизованные
стандарты и
комплексы
внешние лучшие
инструментальных
практики.
средств
Документооборот
применяются во
развит до уровня
всей организации.
автоматизированног Для полного
о процесса.
контроля процессов
Процессы, политики есть полная
и процедуры
интеграция
стандартизованы, связанных друг с
интегрированы и
другом
обеспечивают
инструментов.
полную
Инструменты
управляемость.
применяются для
совершенствования
процессов и
автоматического
нахождения
отклонений от
нормы.
Навыки и
компетентность
Организация
поддерживает
постоянное
совершенствование
навыков персонала,
основанное на четко
определенных
личных и бизнесцелях. В обучении
применяются
внешние лучшие
практики,
концепции, методы.
Обмен опытом стал
частью
корпоративной
культуры, внедрены
системы,
основанные на
знании. Для
консультаций
привлекаются
лидеры отрасли и
внешние эксперты.
Ответственность и
подотчетность
Владельцы
процессов
полностью
уполномочены
принимать решения
и выполнять
действия.
Ответственность
последовательно
делегируется внутри
организации.
Постановка целей и
оценка результатов
В результате
всеохватного
применения
системы
сбалансированных
показателей
система оценки
эффективности ИТ
связана с целями
бизнеса.
Применяется анализ
первопричин,
возможные
исключения
повсеместно учтены
менеджментом.
Практикуется
постоянное
совершенствование
Последовательность расчета уровня
зрелости процессов
1. Описание модели зрелости каждого уровня разбивается на отдельные
непротиворечивые утверждения.
2. Против каждого утверждения устанавливается мнение :
Полностью не согласны (вес 0)
Отчасти согласны (вес 0.33)
В основном согласны (вес 0.66)
Полностью согласны (вес 1)
3. Суммирование весов по каждому уровню модели зрелости и
получение среднего значения
4. Нормализация вектора средних значений уровней зрелости
5. Расчет оценки зрелости
Пример оценки уровней зрелости ИТ
процессов
Процессы управления и аудита
Оценка эффективности процессов
COBIT предлагает следующую иерархию целей:
• бизнес-цель – цель ИТ – цель процессов – цель действий в рамках процессов.
Основополагающей является бизнес-цель, которая в свою очередь определяет поддерживающие
ее цели ИТ. Цели ИТ достигаются с помощью процессов, которые также имеют свои цели. В
рамках каждого процесса выполняются действия, у которых также есть цели.
Для оценки процессов применяются два понятия
Результативность
Эффективность
отображает достижение
определенных целей и может быть
измерена только "де-факто»,
поэтому ее показатели называются
"индикаторами задержки".
отображает вероятность достижения
цели, поэтому
может быть измерена до получения
результата и поэтому показатели
называются "индикаторами
опережения".
Ключевой показатель достижения
цели (Key Goal Indicator, KGI) –
показатель, который сообщает
менеджменту постфактум, достиг ли
ИТ-процесс бизнес-целей, обычно
выражен в терминах
информационных критериев
Ключевой показатель эффективности KPI
(Key Performance Indicator) – показатель,
определяющий, насколько хорошо
процесс ведет к намеченной цели.
Показывает, что цель, вероятно, будет
достигнута, а также индикатор
возможностей, практик и навыков.
Цели и метрики ИТ процессов
Взаимодействие целей (DS5)
Цели и метрики ИТ процессов.
Показатели результативности DS5
Цели и метрики ИТ процессов.
Показатели эффективности DS5
Взаимосвязь между процессами, целями и
показателями DS5
Соотношение различных элементов методологии
COBIT и основных разделов управления ИТ
П - приоритетное, В – второстепенное
Практики
Модели зрелости
П
В
П
Управление рисками
В
П
В
Управление
ресурсами
Оценка
эффективности
В
П
П
Соответствие
стратегии
Результативность
Цели
Показатели
П
П
П
П
В
Для каждого из 34-х процессов COBIT дает описание, вместе с
основными целями и показателями.
Описание каждого процесса состоит из 4 секций.
Секции в описании процесса
•
Секция 1 содержит описание процесса, с
кратким изложением его целей в форме
"водопада". В этой части показаны связи
между процессом, информационными
критериями, ресурсами ИТ и доменами
управления. Наиболее приоритетные связи
помечены буквой П, второстепенные – В.
Рис.- Структура Секции 1 – "Описание процесса"
Секция 2 содержит цели контроля для процесса.
Секция 3 содержит входящую информацию и результаты процесса, таблицу
ОУКИ (RACI), цели и показатели.
Секция 4 содержит модель зрелости для данного процесса.
Основные роли для каждого процесса
COBIT предлагает 4 основные роли для каждого процесса ( так
называемая таблица ОУКИ (RACI):
• Ответственный (Responsible) – лицо, которое несет
ответственность за успешное выполнение работ в рамках
процесса.
• Утверждающий (Accountable) – лицо или группа лиц,
определяющее направление и утверждающее действия и
результаты.
• Консультирующий (Consulted) – лица, чьи мнения
учитываются в ходе определенной деятельности
(двухсторонний обмен информацией).
• Информированный (Informed) – лица, поставленные в
известность о развитии какого-либо действия.
Ответственность
• финансовый директор (Chief Financial Officer) – должностное лицо
организации, в первую очередь ответственное за управление финансовыми
рисками;
• высшее руководство, президент – высшие должностные лица организации;
• директор по ИТ (Chief Information Officer, CIO) –лицо организации,
ответственное за работу ИТ;
• владелец бизнес-процесса (Process Owner) – должностное лицо,
ответственное за конкретный процесс;
• руководитель службы эксплуатации систем ;
• главный архитектор ИТ-систем;
• руководитель разработок;
• руководитель службы административной поддержки (например, служба
кадров или служба внутреннего контроля);
• руководитель проектного офиса (Progect Management Officer, PMO) – лицо,
ответственное за управление проектами и поддерживающее дисциплину
управления проектами;
• ответственные за соответствие требованиям, аудит, управление рисками и
безопасность ( то есть те, кто имеет обязанности по контролю, но не
являются персоналом ИТ). Некоторые процессы могут включать
дополнительные лица при необходимости.
выводы
 Система показателей, предложенная COBIT, позволяет
руководителям организации и менеджерам высшего звена
определить стратегию и тактические планы развития.
 Потребности IT, а значит, и бизнеса, определяются с помощью
KPI посредством непрерывного контроля и сравнения
полученных значений с целевыми показателями.
 Достижения необходимого уровня успеха измеряются с
помощью KGI.
 Модель зрелости используется для оценки состояния
организации и процессов на текущий момент и планирование
улучшений на будущее.
Спасибо за внимание!!!
Прошу задавать вопросы