Звоните: +7 (495) 517-57-25

cobit5-pam-title

Мы продолжаем цикл публикаций, знакомящих читателей с методологией COBIT® 5. Мы уже описывали принципы и процессную модель COBIT 5. Пришло время сказать еще об одной ключевой составляющей COBIT 5 – модели оценки процессов (COBIT Process Assessment Model, PAM).

В этой статье мы расскажем о том, что это за модель, как она устроена и зачем она нужна аудиторам, руководителям и сотрудникам ИТ.

 

Что такое оценка процессов

Сначала скажем несколько слов об оценке процессов вообще.

В международном стандарте ISO/IEC 15504 оценка процессов определена как деятельность, которая выполняется либо в составе программы совершенствования процессов, либо как часть подхода к определению возможностей процессов.

Назначение совершенствования процессов — постоянное повышение результативности и рациональности организации.

Назначение определения возможностей процесса согласно тому же стандарту — понимание возможностей процессов, реализованных организацией.

Итак, процессы оцениваются для того, чтобы сделать вывод о том, насколько они способны приводить к ожидаемым результатам. Оценка, «выставленная» процессу, как и оценка в дневнике школьника, свидетельствует об успешности приложенных усилий и может стать поводом для совершенствования.

Какими же бывают оценки процессов? Сразу оговоримся, что примитивные модели «Хорошо или плохо» нас как практиков процессного управления устроить не могут:

  • Во-первых, повторяемый процесс может изменяться многократно, а значит, повторяющиеся измерения процесса должны быть отражены в результатах оценки для демонстрации совершенствования.
  • Во-вторых, для сложных управленческих систем нужны «оттенки серого», то есть промежуточные значения на шкале, которые позволят сравнивать несколько взаимосвязанных процессов (ITIL®, к примеру, говорит о высокой зависимости между управлением изменениями и конфигурациями, а значит, полученные такими процессами оценки должны быть схожими).
  • В-третьих, шкала оценок должна обеспечивать возможность сравнения систем процессов между собой. И в этом смысле тоже нас не устроит субъективное «хорошо или плохо», нужна объективная «линейка», которую можно было бы «прикладывать» к разным предприятиям схожего профиля и затем сравнивать результаты измерений. Это, кстати, является важным практическим применением оценки: с ее помощью заказчик может выбрать оптимального поставщика из нескольких.

Модель зрелости COBIT 4.1

Методология COBIT 4.1 предлагала подобную систему оценки процессов, называя ее «Моделью зрелости» (COBIT 4.1 Maturity Model). В основе системы лежала шкала оценки и модель зрелости способностей (Capability Maturity Model, CMM) Института разработки программного обеспечения (the Software Engineering Institute, SEI), широко известная как «Интегрированная модель зрелости» (Capability Maturity Model Integration, CMMI). Оценка процессу выставлялась по принципу: «насколько вероятно, что процесс в заданных условиях приведет к ожидаемому результату?».

Названия уровней зрелости отвечали на этот вопрос, практически не нуждаясь в дополнительных объяснениях:

  • «0»: Не существующий процесс
  • «1»: Начальный процесс
  • «2»: Интуитивно повторяющийся
  • «3»: Определенный (документированный) процесс
  • «4»: Измеряемый и управляемый
  • «5»: Оптимизируемый

Авторы COBIT 4.1 создали два простых инструмента, с помощью которых можно было определить, какую из этих оценок нужно поставить рассматриваемому процессу:

  • Шесть атрибутов зрелости:
    1. Осведомленность и коммуникации
    2. Политики, планы и процедуры
    3. Инструменты и автоматизация
    4. Навыки и квалификация
    5. Ответственность и подотчетность
    6. Цели и измерение

В COBIT 4.1 существовала таблица, 6 на 6 ячеек, в которой описывались характеристики каждого атрибута на каждом уровне зрелости, включая нулевой.

  • Модель зрелости каждого процесса. В описании каждого процесса приводилась модель зрелости, то есть описание процесса, функционирующего на заданном уровне зрелости.

К примеру, процесс управления изменениями (AI6) описывался в COBIT 4.1 такой моделью зрелости:

Уровень «0»: не существует определенного процесса управления изменениями, и изменения производятся практически бесконтрольно. Нет осведомленности о негативном влиянии изменений на ИТ и на бизнес, и нет осведомленности о выгодах правильного управления изменениями.

Уровень «5»: Процесс управления изменениями регулярно пересматривается и обновляется для того, чтобы соответствовать общепринятым практическим рекомендациям. Оценка изменений отражает результаты мониторинга. Конфигурационная информация автоматизирована и позволяет контролировать версии. Изменения отслеживаются комплексно, в том числе с помощью инструментов обнаружения неавторизованного и нелицензированного ПО. Управление изменениями в ИТ интегрировано с управлением бизнес-изменениями, для того обеспечить повышение производительности и создание новых возможностей для предприятия.

Несмотря на то, что модель зрелости предполагает последовательное достижение уровней зрелости, легко представить, что процесс управления изменениями на предприятии мог одновременно демонстрировать признаки нескольких, в том числе и непоследовательных, уровней. Так же дело обстояло и с шестью атрибутами зрелости.

Таким образом, оценка и аудит процессов на основе COBIT 4.1 могут производиться с практически произвольными результатами, так как

  • COBIT 4.1 не предлагает объективных характеристик уровней зрелости;
  • COBIT 4.1 не предлагает категоричного разделения между уровнями зрелости.

В итоге оценка процесса с применением модели зрелости COBIT 4.1 зависела от субъективного мнения оценщика о том, насколько значимыми для процесса являются те или иные атрибуты зрелости, а также о том, насколько оцениваемый процесс соответствует приведенному выше описанию модели зрелости (попробуйте, например, объективно оценить «комплексность отслеживания изменений»).

ISO/IEC 15504 и ISACA

Годы применения модели зрелости COBIT 4.1 на практике показали, что требования к методологии оценки процессов, которые мы привели в начале, в этой модели не выполняются. Естественно, аудиторы и консультанты обзавелись собственными инструментами оценки, в которых все двусмысленности подхода устранялись, и поэтому можно было надеяться, что оценки двух одинаковых процессов на двух схожих предприятиях, выставленные одним и тем же аудитором, правдиво говорили об успехах этих двух процессов. Во всех остальных случаях «зрелость процессов» оказывалась слишком абстрактной для того, чтобы «судить» процессы и их владельцев или для того, чтобы ставить достижение того или иного уровня зрелости в качестве задачи проекта по совершенствованию.

Рынку требовалась более строгая, гибкая и повторяемая методология оценки процессов.

Ассоциация ISACA в 2011 году решила в качестве такой методологии использовать международный стандарт ISO/IEC 15504 «Информационные технологии — оценка процесса». Идея стандартизации того, как оцениваются процессы, зародилась в 1990-х годах у разработчиков программного обеспечения1. История развития этого стандарта находится за рамками нашей публикации; существенно лишь то, что сегодня правила и подход к проведению оценки процессов, изложенные в новейшей редакции стандарта, не привязаны к конкретным процессным областям, и могут применяться для оценки любых производственных или вспомогательных процессов2.

В том числе и процессов управления и руководства ИТ на предприятии. ISACA утвердила наметившийся вектор соответствия собственных разработок в области контроля и аудита и продукции международной организации по стандартизации ISO, выпустив книгу «COBIT Process Assessment Model: Using COBIT 4.1». В этой книге процессы COBIT 4.1 были «переписаны» так, чтобы быть совместимыми с моделью оценки возможностей ISO/IEC 15504, а также были добавлены некоторые компоненты контроля и управления, которых методология не содержала раньше.

В COBIT 5 процессная модель изложена в книге «COBIT 5: Enabling Processes» изначально совместимым со стандартом образом, так, чтобы максимально упростить оценку.

Так как же оцениваются возможности процессов?

Оценка возможностей процессов по PAM

Формально модель оценки процессов выглядит так:

cobit5-process-assessment-model-pic1

Итогом оценки процессов, проведенной в соответствии с требованиями стандарта, будет кривая на этих двух осях: выбранные для оценки процессы и возможности каждого из них.

При сравнении этой методики с моделью зрелости сразу бросается в глаза слово «возможность» (Capability). Теперь речь идет не о зрелости системы управления, но о том, насколько «возможно», что процессы будут приводить к ожидаемым и запланированным результатам в любых обстоятельствах. В этом состоит идеологическое отличие модели ISO 15504 от модели CMMI, где, как мы уже говорили, ценность процесса оценивалась исходя из стабильности ограничений.

Говоря об оценках, которые будут свидетельствовать о «возможности» или «невозможности» получения заданных результатов при любых действующих на процесс ограничениях, нужно учитывать, что названия уровней возможностей процесса похожи на названия уровней зрелости, но при этом кардинально от них отличаются по содержанию.

COBIT 5 PAM:

Уровень 0: Неполный (Incomplete) процесс — Такой процесс еще не внедрен или не способен соответствовать своему назначению. На этом уровне отсутствуют свидетельства систематического достижения процессом своих целей, или таких свидетельств мало.

Неполный процесс не достигает всех поставленных целей (Outcomes) полностью.

Уровень 1: Выполняемый (Performed) процесс — Процесс внедрен и соответствует своему назначению. В случае если результаты процесса не достигаются, то такой процесс будет оценен на 0 (ноль) по шкале ISO/IEC 15504.

Иначе говоря, существуют свидетельства того, что процесс в прошлом достигал поставленных целей, однако нет никаких гарантий того, что он сможет их достичь полностью и рационально в будущем. Нет инструментов целеполагания, и нет возможности спрогнозировать успешность процесса и достижение целей в заданных ограничениях (время, человеческие ресурсы, стоимость).

Уровень 2: Управляемый (Managed) процесс — Выполняемый процесс предыдущего уровня теперь управляем (то есть планируется, отслеживается и корректируется). Создаются, контролируются и поддерживаются рабочие продукты (work products) процесса.

Целеполагание процесса теперь осуществляется на системной основе. Результаты процесса (то есть документы и прочие полезные артефакты) теперь контролируются (например, внедрена система версий документов). Процесс теперь умеет укладываться в заданные ограничения.

Уровень 3: Установленный (Established) процесс — Управляемый процесс теперь способен получать ожидаемые результаты (outcomes).

Процесс теперь одинаково выполняется по всей организации, в соответствии с общими правилами.

Уровень 4: Предсказуемый (Predictable) процесс — Установленный процесс теперь получает результаты в условиях заданных ограничений.

Существует возможность предсказать объем достижения целей процесса в заданных ограничениях.

Уровень 5: Оптимизируемый (Optimizing) процесс — предсказуемый процесс теперь постоянно совершенствуется, чтобы достигать текущих и будущих целей предприятия.

Выявлены и точно сформулированы задачи совершенствования процесса. Более того, эти задачи выполняются, и рассчитывается их результативность.

Из такого описания следует ряд выводов, которые могут стать неожиданными для адептов оценки процессов по «зрелости»:

  • Процесс, который не создает всех ожидаемых заинтересованными сторонами результатов, автоматически получает оценку «0». Это означает, что применять такую методику можно для достаточно «зрелых» процессов, во всяком случае, выше уровня 2.
  • Процесс, который здесь и сейчас (то есть в заданных условиях) создает все ожидаемые результаты в полном объеме, получает оценку «1».
  • Процесс может получить любую оценку выше «1», только если выполнены все требования нижележащих уровней возможностей.

Так что же требуется от уже работающего (а иногда в ITSM — и очень дорогостоящего) процесса, чтобы не получить «незачет» или «кол»? Ответ стандарта ISO 15504: выполнять и создавать свидетельства выполнения универсальных управленческих практик.

Словарь PAM

Для дальнейшего понимания модели возможностей необходимо точно ориентироваться в процессном словаре COBIT PAM. Традиционно, термины несколько неудобны для русскоязычного читателя и могут привести в заблуждение относительно сложности предлагаемых инструментов. Ради упрощения изложения, мы будем использовать далее устоявшиеся латинские аббревиатуры.

Итак:

Процесс состоит из базовых практик (Base practices, BPs). Привычный эквивалент — «виды деятельности» или «шаги». BPs процессов COBIT 5 могут быть хронологически связаны, а могут и повторяться относительно друг друга, что отличает их от производственных процессов. На уровне руководства и управления это позволяет рассматривать процессы как логические группы работ, которые выполняет ИТ-организация.

BPs формируют артефакты или рабочие продукты процесса (Work products, WPs). Стандарт ISO 15504 выделяет три вида WP: это политики (правила игры), планы (документированные намерения) и записи (свидетельства о выполнении намерений). Именно эти документальные свидетельства и являются в практике аудита важнейшим источником информации для аудитора-оценщика. WP может быть выходом одного процесса и одновременно являться входом для других.

Пример. WP APO01.03 «Связанные с ИТ политики» формируется в процессе APO01, и является входом для всех остальных процессов домена APO.

Вместе BPs и WPs называются «индикаторами производительности процесса».

Выполняя BPs и формируя WPs, процесс приводит к ожидаемым результатам (Outcomes, O's). По смыслу O's идентичны «целям и задачам» процесса.

Важно упомянуть о том, что референтная модель процессов COBIT 5 содержит два логических «скачка», унаследованных из стандарта ISO 15504. Во-первых, получение всех WPs означает достижение всех O's процесса. Во-вторых, достижение O's автоматически означает, что процесс соответствует своему назначению3. И первое и второе более чем спорно не только для реальных ITSM-процессов, но для некоторых процессов COBIT 5. Тем не менее, это обязательные условия модели оценки возможностей, а также свидетельство по-настоящему качественной работы проектировщиков и методологов процесса. В референтной модели COBIT 5 связь «O-BP-WP» (результат — вид деятельности — выход) отражена в явном виде.

Чтобы процесс соответствовал своему назначению независимо от своего масштаба, организация должна управлять процессом, а значит, кто-то должен выполнять еще и управленческие практики, применительно к каждому процессу (generic management practices, GPs). Читатели ITIL® уже знают, что «кто-то» — это владелец и менеджер процесса.

При выполнении GP формируются универсальные рабочие продукты (Generic work products, GWPs). Универсальные GWP применимы к любому оцениваемому процессу.

Вместе GP и GWP называются «индикаторами возможностей процесса».

Следуя приведенной выше терминологии, перефразируем принцип начисления «баллов» для выставления «оценки»: аудитор-оценщик ищет свидетельства выполнения BPs и GPs процесса. Свидетельства могут быть выражены в форме WPs и GWPs, а могут быть и мнением заинтересованных сторон о достижении процессом своих O's.

Что же произойдет, если оценщик эти свидетельства обнаружит? Он распределит их по атрибутам возможностей процессов.

Строгая модель оценки на основе стандарта ISO 15504 разделяет все BPs и GPs на девять групп (атрибутов процесса). Каждому уровню возможностей процесса соответствует 1 или 2 таких атрибута. Разделение предельно простое:

  • Неполный процесс не содержит атрибутов, так как существуют не все BP, и не формируются O's.
  • Выполняемый процесс содержит один атрибут, «Осуществление процесса». Этот атрибут будет реализован, если выполняемые BPs приводят к достижению O's.
  • Управляемый процесс содержит два атрибута: «Управление осуществлением» (шесть GPs) и «Управление рабочими продуктами» (четыре GPs).
  • Установленный процесс содержит два атрибута: «Определение процесса» (пять GPs) и «Развертывание процесса» (шесть GPs)
  • Предсказуемый процесс содержит два атрибута: «Измерение процесса» (шесть GPs) и «Контроль процесса» (пять GPs).
  • Оптимизируемый процесс содержит два атрибута: «Инновации процесса» (пять GPs) и «Оптимизация процесса» (три GPs).

Получается, что выполнением всей нужную работу (все BPs) в процессе достигается уровень «1», и только если мы будем еще выполнять и все сорок управленческих практик, получим оценку «5»5.

Оценщик, согласно стандарту, должен последовательно рассмотреть каждый из 9 атрибутов, начиная с первого, который касается практик самого процесса (BP) и далее, со второго, рассматривая свидетельства всех атрибутов возможностей процесса. Для того чтобы снизить беспокоившую всех субъективность, стандарт предлагает 4 рейтинга достижения каждого атрибута:

  • N (not achieved, не достигается). В оцениваемом процессе не существует, или существует мало свидетельств того, что определенный атрибут достигается (от 0 до 15% реализованных практик).
  • P (partially, частично достигается). В оцениваемом процессе существуют свидетельства того, что существует подход к достижению, и происходит частичное достижение заданных целей. Некоторые аспекты того, как достигается цель (атрибут) непредсказуемы (от 15% до 50% реализованных практик).
  • L (largely, в основном достигается). В оцениваемом процессе существуют свидетельства системного подхода и системного достижения заданных целей. Существуют некоторые недостатки достигаемых результатов (от 50% до 85% реализованных практик).
  • F (fully, полностью достигается). В оцениваемом процессе существуют свидетельства полного системного подхода и фактического достижения заданных целей. Значительных недостатков связанных с полученным результатом не выявлено (от 85% до 100% реализованных практик).

Переходить к оценке последующего атрибута можно, если для всех предыдущих атрибутов получены рейтинги «F». Итоговая оценка процесса означает, что в основном или полностью («L» или «F») достигнуты все (оба) атрибуты этого уровня, а все предыдущие атрибуты получили рейтинг «F».

Содержание COBIT PAM

COBIT PAM содержит довольно много полезной и существенной информации, для того, чтобы предложенную методику можно было реализовывать в практике независимых внешних аудитов и неформальных внутренних проверок.

Книга содержит в себе ту же референтную модель, что описана в книге COBIT 5: Enabling processes, но с поправкой на требования стандарта к описанию процесса.

Процессы описаны, как того требует стандарт, исключительно в терминах

  • Назначения (Purpose statement)
  • Результатов (Outcomes)
  • Базовых практик (Base practices)
  • Входов и выходов (Work products)

Изюминка рассматриваемого подхода к оценке состоит в том, что эта референтная модель процессов в COBIT 5 нужна лишь для описания самого первого атрибута возможностей процессов, то есть, как мы уже говорили выше, для получения оценки «единица». Любые подробности о специфике процесса не будут интересовать оценщика, ведь они затруднят сравнение процесса с другими!

То, какими терминами, и в какой детализации описан процесс — не имеет значения. Важно чтобы он действительно был описан, развернут на предприятии в соответствии с описанием, измерялся с точки зрения результата и рациональности затрат и совершенствовался. Именно такую последовательность предлагает нам COBIT PAM сразу же после описания эталонной модели процессов.

В качестве иллюстрации приведем несколько примеров универсальных управленческих практик (GPs), которые заявлены в стандарте ISO 15504 и продублированы в COBIT PAM:

  • Выявление целей осуществления процесса
  • Выявление требований к документации и контролю рабочих продуктов, WP
  • Выявление требуемой инфраструктуры и рабочей среды для выполнения стандартного процесса
  • Предоставление ресурсов и информации для выполнения установленного процесса
  • Создание целей измерения результатов процесса, в соответствии с бизнес-целями
  • Анализ измерения процесса и его результатов для выявления отклонений производительности.
  • Выявление возможностей усовершенствования процесса с помощью новых технологий и идей.
  • Оценка всех предлагаемых изменений в процессе на соответствие целям установленного и стандартного процесса

О каждой GP, как уже было сказано выше, свидетельствуют универсальные рабочие продукты (GWPs). Их происхождение — это, пожалуй, единственное дополнение к стандарту ISO 15504, которое было изобретено авторами COBIT PAM. Список этих документов близок и менеджерам по качеству, и практикам процессов ITSM, их всего девять:

  1. Процессная документация (диаграмма, охват, RACI-матрица и т. д.)
  2. План процесса
  3. План качества (содержание WP, критерии качества WP и т. д.)
  4. Записи по качеству
  5. Политики и стандарты
  6. План совершенствования процесса
  7. План измерения процесса
  8. План контроля процесса
  9. Записи о производительности процесса

Таким образом, книга COBIT PAM содержит:

  • Общее описание подхода к оценке возможностей
  • Референтную модель процессов COBIT 5 в формате ISO 15504
  • Перечень и описание универсальных управленческих практик и распределение их по атрибутам возможностей
  • Перечень и описание универсальных рабочих продуктов и распределение их по универсальным управленческим практикам

Кроме этого в состав программы COBIT по оценке процессов входят и дополнения:

  • Руководство оценщика
  • Руководство по самооценке и инструменты самооценки. Здесь читатели найдут фактически Excel-файлы, в которых можно вносить рейтинги всех базовых и универсальных практик для каждого процесса COBIT.

Такой перечень дополнительных публикаций отражает двойное назначение COBIT PAM: проведение внешних и внутренних оценок.

Процесс оценки и требования к оценщику

COBIT PAM в более удобном, чем стандарт ISO 15504, виде описывает проведение оценки процессов.

ШАГ ПЕРВЫЙ Определение охвата

COBIT PAM приводит важный перечень шагов по выбору оцениваемых процессов. При проведении внутренней оценки ИТ-предприятие или служба вольны использовать любую процессную модель. В таком случае, из всего материала PAM потребуются только списки и трактовки GP и GWP, а вот описание процессов придется составить самостоятельно, соблюдая принципы, диктуемые стандартом.

При внешней оценке COBIT PAM становится инструментом аудита, так как результаты на основе общей процессной модели становятся повторяемыми и сравниваемыми. Дискуссионным остается совершенство предлагаемой процессной модели, однако, исходя из задач аудита, оцениваться может только часть важных и нужных предприятию ИТ-процессов. Более того в «Руководстве оценщика» COBIT требует создания «маппинга» — карты соответствия между действующими на предприятии терминами, формулировками и определениями и референтной моделью процессов COBIT 5.

Шаги определения охвата оценки довольно понятны, но весьма важны для того, чтобы оценка достигла желаемых результатов.

  1. Выявить стимулы для проведения оценки процессов. Иначе говоря, зачем нужна оценка?
  2. Ранжировать процессы по степени поддержки движущих сил бизнеса (см. статью про каскад целей или про принципы COBIT 5 Романа Журавлева).
  3. В соответствии с приоритетами, выбрать процессы, которые будут в оценке.
  4. Согласовать предварительный охват оценки со спонсором проекта и ключевыми заинтересованными сторонами.
  5. Утвердить список оцениваемых процессов.
  6. Задокументировать методологию в записях проекта оценки.

ШАГ ВТОРОЙ Планирование оценки

На этом шаге создается и документируется календарный и ресурсный план оценки, буквально как план проекта.

ШАГ ТРЕТИЙ Брифинг

Лидер команды оценщиков рассказывает своей команде о том, что предстоит сделать, на основе каких данных и каким именно образом.

ШАГ ЧЕТВЕРТЫЙ Сбор данных

Команда оценщиков собирает все имеющиеся свидетельства по оцениваемым процессам, включая документы, описывающие назначение процесса, входы и выходы и рабочие продукты. Объективные свидетельства должны быть подтверждаемыми и зарегистрированы в протоколе процесса оценки.

ШАГ ПЯТЫЙ Проверка данных

Информацию надо получать из первых рук, из независимых источников. Полученные документальные свидетельства можно дополнять собеседованиями с заинтересованными сторонами, чтобы проверить то, что написано в документах.

ШАГ ШЕСТОЙ Подсчет атрибутов

Для каждого атрибута модели по свидетельствам выполнения BPs и GPs назначается рейтинг, а по совокупности атрибутов выбирается тот или иной уровень возможностей.

ШАГ СЕДЬМОЙ Отчет о результатах

Результаты оценки должны быть проанализированы и представлены в отчете.

  • Сильные и слабые стороны
  • Рейтинг атрибута, присвоенный процессу должен быть подтвержден объективными доказуемыми свидетельствами
  • Высокие риски, то есть существенные отклонения выявленных возможностей от тех, которые были заявлены или проверялись.

Итог

Самой яркой прикладной пользой COBIT 5 PAM, на взгляд автора, являются описания универсальных рабочих продуктов (GWPs). Это практически полный перечень и детальное оглавление всей процессной документации. Набор этих документов довольно точно воспроизводит иерархию документов в ITIL (политики, описание, процедуры и инструкции процесса) и поможет любому методологу или проектировщику процесса: начинающему или опытному, работающему на предприятии или в консалтинге.

Ну, а в теории модель оценки возможностей процессов COBIT 5 PAM позволяет ответить на вопрос: насколько вероятно, что процесс сможет соответствовать своему назначению при разумных затратах в любых условиях? Иначе говоря, модель оценки позволяет проверить, насколько процесс управляем, а значит, гибок. При этом авторы честно признаются, что более высокая вероятность означает и более высокие затраты на управление процессом.

Кроме этого, каждый недостигнутый атрибут процесса означает вполне конкретные риски для организации. Это значит, что проведение оценки в соответствии с COBIT PAM может помочь ИТ-руководителю выбрать области для более жесткого контроля. А для владельцев и менеджеров предприятия, на котором используются информационные технологии, оценка даст понимание сильных и слабых сторон ИТ-процессов, а значит и уверенность в том, что ИТ-служба успешно (или наоборот) управляет важным активом — информацией.

Если говорить о перспективах применения COBIT 5 PAM в российских реалиях, то языковой барьер может стать существенным ограничителем. Язык стандарта середины 2000-х годов бюрократичен и поэтому трудно осмысливаем. Чего только стоят обороты при определении уровней возможностей:

Level 3 Established process (two attributes) — The previously described managed process is now implemented using a defined process that is capable of achieving its process outcomes.Увы, но ради универсальности всегда приходится жертвовать пониманием. Мы очень ждём от ISACA дополнительных публикаций, например, историй успеха, с помощью которых можно будет осознать уровни возможностей и причины именно такой их последовательности.

При этом COBIT PAM обладает рядом явных преимуществ, по сравнению с привычными моделями зрелости:

  • Гибкий и удобный инструмент оценки, совместимый с международным стандартом ISO 15504
  • Требования к конкретным процессам из процессной модели COBIT 5
  • Возможность снабжать процессы атрибутами стандарта ISO 15504
  • Требования к свидетельствам (в том числе для аудита)
  • Требования к оценщику и его опыту

Всё это приведет к более точной, объективной и воспроизводимой оценке процессов, как внутри предприятия, так и в рамках всей отрасли управления информационными технологиями.

Руководители организации и практики ITSM могут использовать предложенную в COBIT PAM методику для того чтобы сравнить действующие у них процессы с эталонными процессами COBIT 5. А если на это упражнение нет ресурсов или у вас нет потребности демонстрировать соответствие своих процессов эталонной модели, то с помощью описания управленческих практики и продуктов, вы сможете честно ответить на вопрос: управляете вы процессами в вашей ИТ-организации или нет.

COBIT 5 PAM — замечательный, системный и весьма подробный инструмент для аудитора, руководителя, и практика процессного управления ИТ. Как и любой другой, его нужно применять одновременно разумно и творчески, не воспринимая эту модель в качестве строгой научной теории. Мы всё еще продолжаем говорить о «практических рекомендациях», и только здравый смысл и постоянная самопроверка («а зачем мне это нужно?») поможет извлечь реальную пользу из них.


Примечания

  1. Занятно, что и модель зрелости CMM тоже с самого начала была заказана Министерством обороны США для того, чтобы объективно сравнивать между собой подрядчиков, которые выполняли разработку ПО.
  2. Примеры применения стандарта в различных отраслях можно найти в Википедии: http://en.wikipedia.org/wiki/ISO/IEC_15504.
  3. Источники расходятся в том, что стоит за словами «назначение», «цель» и «задача». Мы не можем в рамках этой публикации вдаваться в этот семантический спор. Договоримся, что в COBIT 5 «Outcome — это утвердительное предложение, описывающее целевое состояние организации в абсолютных терминах». А Purpose — это утвердительное предложение, которое объясняет, зачем нужен этот процесс. К примеру, для процесса «BAI06 Управление изменениями» назначением (Purpose statement) является:
    Обеспечение быстрого и надежного выполнения бизнес-изменений и снижение рисков негативного воздействия на стабильность и целостность изменяемой среды.
    А целями этого процесса являются:
    • Авторизованные изменения выполняются в срок и с минимальным количеством ошибок.
    • Проводимые оценки влияния описывают воздействие изменения на все затронутые компоненты
    • Все экстренные изменения оцениваются и авторизуются после изменения
    • Ключевые заинтересованные стороны информированы обо всех аспектах изменения
  4. Отметим, что во избежание путаницы, авторы COBIT PAM убрали из этого термина стандарта ISO 15504 слово «management», так как эти практики применимы и к процессам домена руководства (Governance).
  5. Такая модель наиболее ярко иллюстрируется любимой многими менеджерами по качеству цитатой из Л. Кэрролла: «Нужно бежать со всех ног, чтобы только оставаться на месте, а чтобы куда-то попасть, надо бежать как минимум вдвое быстрее!». Можно представить себе повышение уровня возможностей процессов как всё ускоряющийся «бег», позволяющий процессу не отставать от изменяющейся окружающей среды, и «попасть» в целевое состояние и результаты.

Ссылки и публикации

  • COBIT® Process Assessment Model (PAM): Using COBIT® 4.1 ISBN 978-1-60420-188-8
  • COBIT® Process Assessment Model (PAM): Using COBIT® 5 ISBN 978-1-60420-264-9
  • COBIT® 5 A Business Framework for the Governance and Management of Enterprise IT ISBN 978-1-60420-256-4
  • ГОСТ Р ИСО/МЭК 15504-1–2009 Информационные технологии. Оценка процессов. Часть 1. Концепция и словарь
  • ГОСТ Р ИСО/МЭК 15504-2-2009Информационная технология. Оценка процесса. Часть 2. Проведение оценки
  • ГОСТ Р ИСО/МЭК 15504-3–2009 Информационная технология. Оценка процесса. Часть 3. Руководство по проведению оценки.
  • http://www.isaca.org/Knowledge-Center/cobit/Pages/COBIT-Assessment-Programme.aspx домашняя страница COBIT 5 PAM.
  • http://www.isaca.org/Knowledge-Center/Research/Documents/Assessment-Programme-Introduction.pptx презентация программы оценки возможностей процессов, применительно для процессной модели COBIT 4.1 (английский, формат Microsoft PowerPoint presentation)

Автор: Константин Нарыжный.

Константин Нарыжный


ITIL® зарегистрированная торговая марка компании AXELOS Limited.
COBIT®, ISACA® — торговые марки ISACA.