Методология, основанная на показателях
Руководство любой организации сталкивается со следующими вопросами:
- в каком состоянии находится организация на текущий момент времени?
- где требуются улучшения?
- как определить эффективность реализованных улучшений?
Для ответа на эти вопросы COBIT предлагает систему показателей, основанную на:
- моделях зрелости, которые позволят провести сравнительный анализ и выявить, где требуются улучшения;
- целях и показателях эффективности для процессов, которые позволят измерить, насколько они соответствуют целям бизнеса и ИТ, а также оценить процессы на основе системы сбалансированных показателей;
- целях действий в рамках процессов для повышения эффективности последних.
3.1. Модели зрелости
Модели зрелости предназначены для управления и контроля ИТ-процессов. Зрелость (Maturity) – понятие, характеризующее степень, в которой бизнес может положиться на определенный процесс, ведущий к достижению желаемых целей [1]. Модель зрелости, предлагаемая COBIT, содержит шесть уровней зрелости: от "несуществующего" (0) до "оптимизированного"(5). Уровень зрелости представляет собой профиль ИТ-процесса, который необходимо воспринимать как описание возможного положения дел в настоящем и будущем. Каждому уровню зрелости соответствует определенный набор требований. При этом COBIT не регламентирует, что для перехода на следующий уровень процесс должен выполнить абсолютно все требования предыдущих уровней. Любой процесс в той или иной мере выполняет определенное количество требований каждого уровня – рис.3.1.
На рис.3.1 показан процесс, который по уровню зрелости больше соответствует 4 уровню, так как выполняет большинство требований данного уровня. Конечно, если требования более низких уровней зрелости частично не выполняются, может возникнуть ряд проблем, но в то же время показанный на рис.3.1 процесс выполняет ряд требований 5-го уровня. Такая ситуация объясняется тем, что при оценке зрелости по модели COBIT часто бывает, что отдельные требования к процессу реализованы более четко, чем другие. При этом они могут находиться на разных уровнях зрелости. Например, некоторые элементы процесса могут быть четко определены, и, даже несмотря на то, что часть из них не определена, нельзя сказать, что процесс в целом не определен.
С помощью моделей зрелости руководство может определить/оценить:
- текущую эффективность организации;
- текущее положение дел в отрасли;
- корпоративные цели по совершенствованию;
- требуемые меры по совершенствованию.
На рис.3.2 изображен пример решения вышеперечисленных вопросов с помощью модели зрелости.
Уровни зрелости и их описание:
0 – Несуществующий. Процессы управления не применимы вообще.
1 – Начальный/Повторяющийся эпизодически и бессистемно. Процессы используются разово или в отдельных случаях и не организованы должным образом.
2 – Повторяющийся, но интуитивный. Процессы повторяются по образцу.
3 – Определенный. Процессы документально оформлены и доведены до сведения заинтересованных лиц.
4 – Управляемый и измеряемый. Ведется мониторинг процессов в измеряемых показателях.
5 – Оптимизированный. Лучшие практики внедрены и оптимизированы.
В таблице 3.1 приведено более детальное описание уровней модели зрелости COBIT.
0 - Несуществующий | Полное отсутствие каких-либо процессов управления ИТ. Организация не признает и даже не осознает существования проблем в ИТ, которые нужно решать, и, таким образом, нет никаких сведений о проблемах. |
1 – Начальный/ Повторяющийся эпизодически и бессистемно | Есть свидетельства того, что организация осознает существование проблем и необходимость их решения. При этом не существует никаких стандартизованных процессов. Существуют случайные одномоментные решения, принимаемые кем-то персонально или от случая к случаю. Организованный подход к управлению отсутствует. |
2 - Повторяющийся, но интуитивный | Существует всеобщее осознание проблем управления ИТ. Процессы достигли уровня, при котором разные сотрудники, выполняющие одну и ту же задачу, используют сходные процедуры. Показатели деятельности и ИТ-процессов находятся в развитии, охватывая процессы планирования, функционирования и мониторинга ИТ. Деятельность по управлению информационными технологиями описана и интегрирована в процесс управления организацией. Выбраны для улучшения и/или контроля те ИТ-процессы, которые влияют на основные бизнес-процессы предприятия. Эффективно выполняется планирование и управление инвестициями. Руководство организации регламентировало меры по управлению ИТ, а также методы управления и оценки, но процесс не был принят в организации. Не существует формализованного обучения, набора взаимосвязанных стандартных процедур управления, ответственность возложена на сотрудников. Организация сильно зависит от знаний отдельных лиц, вследствие чего велика вероятность ошибок. Ограниченные инструменты управления выбираются и внедряются для сбора метрик управления, но не используются в полном объеме из-за недостатков в оценке их функциональности. |
3 - Определенный | Необходимость действовать в соответствии с принципами управления ИТ понимается и принимается. Развивается базовый набор показателей управления ИТ: определена связь между результатом и показателями производительности, она зафиксирована и внедрена в стратегические процессы планирования и мониторинга. Процедуры стандартизованы и документированы, проводится обучение сотрудников по выполнению этих процедур. Показатели производительности всех видов деятельности зафиксированы и отслеживаются, что приводит к повышению эффективности работы всей организации. Процедуры не сложны, они являются формализацией существующей практики. Идеи сбалансированных карт оценки бизнеса принимаются организацией. Ответственность за обучение, выполнение и применение стандартов возложена на сотрудников организации. Анализ первопричин применяется время от времени. Большинство процессов управляются в соответствии с некоторыми основными метриками, и, как правило, отдельными сотрудниками, поэтому ни о каких отклонениях руководители не знают. Однако всеобщая отчетность о выполнении ключевых процессов является четкой, и руководство премирует сотрудников на основе измерения ключевых результатов. |
4 - Управляемый и измеряемый | Ведется мониторинг процессов в измеряемых показателях.Существует полное понимание проблем управления ИТ на всех уровнях организации, постоянно происходит обучение сотрудников. Определены и поддерживаются в актуальном состоянии соглашения об уровне обслуживания. Четко распределена ответственность, установлен уровень владения процессами. Процессы ИТ соответствуют бизнесу и стратегии ИТ. В первую очередь улучшения в процессах ИТ основываются на измеряемых количественных показателях. Существует возможность управлять процедурами и метриками процессов, измерять их соответствие. Все совладельцы процесса осознают риски, важность ИТ и возможности, которые они предоставляют. Руководство организации определило допустимые отклонения, при которых процессы должны работать. Если процессы не работают эффективно и продуктивно, действия предпринимаются во многих (но не всех случаях). Процессы постоянно совершенствуются, их результаты соответствуют "лучшим практикам". Формализован порядок анализа первопричин. Присутствует понимание необходимости постоянного совершенствования. Ограниченно применяются передовые технологии, основанные на современной инфраструктуре и модифицированных стандартных инструментах. Все необходимые ИТ-специалисты вовлечены в бизнес-процессы. Управление ИТ превращается в процесс уровня всей организации. Деятельность управления ИТ интегрируется в процесс управления организацией. |
5 - Оптимизированный | В организации существует углубленное понимание управления ИТ, проблем и решений ИТ, а также перспектив. Обучение и коммуникация поддерживаются на должном уровне, самыми современными средствами. В результате непрерывного улучшения процессы соответствуют моделям зрелости, построенным на основании "лучшей практики". Внедрение этих процедур привело к появлению организаций, людей и процессов, максимально адаптируемых к изменяющимся условиям, а также полностью соответствующих требованиям управления ИТ. Первопричины всех проблем и отклонений тщательно анализируются, по результатам анализа выполняются результативные действия. Информационные технологии интегрированы в бизнес-процессы, полностью их автоматизируют, предоставляя возможность повышать качество и эффективность работы организации. |
Вот как описывает эти шесть уровней руководитель отдела защиты информации ОАО "Вимм-Билль-Данн продукты питания", CISA, участник рабочей группы ISACA.RU Александр Астахов:
- На нулевом, самом нижнем уровне о зрелости речь вообще не идет, системы управления ИТ как таковой не существует, а необходимость ее создания не осознается. Наблюдается полное отсутствие управляемых ИТ-процессов. Все ключевые ИТ-роли выполняются "незаменимыми" сотрудниками, часто являющимися "универсалами", мастерами на все руки. Общая стратегия развития ИТ отсутствует. Часто действия "универсалов" между собой не согласованы. При необоснованно завышенных расходах, например, на обеспечение информационной безопасности в такой организации совокупный результат, как правило, близок к нулю. Если зависимость предприятия от ИТ большая, то в такую организацию инвесторам не выгодно вкладывать деньги.
- В организациях, находящихся на первом уровне зрелости, руководство начинает осознавать необходимость реализации комплексного подхода к управлению ИТ, что вызвано большой зависимостью этих организаций от ИТ и значительными расходами, которые не дают видимых результатов. На этом уровне еще не существует стандартизированных ИТ-процессов и преобладает фрагментарный подход к их реализации. Руководство только начинает задумываться о получении возврата инвестиций, сделанных в ИТ, не располагая, однако, методикой оценки их эффективности. Для решения каждой задачи ИТ-специалистами вырабатываются собственные подходы. Связь между бизнес-целями и деятельностью ИТ-департамента отсутствует. На этом уровне в настоящее время находятся многие российские предприятия, вкладывающие значительные средства в развитие и поддержание работоспособности своих информационных систем.
- На втором уровне зрелости уже существуют стандартизированные ИТ-процессы, однако они не документированы и пока не являются частью системы управления. Фактически они реализуются в виде стандартной практики отдельных ИТ-специалистов. На этом уровне необходимость планомерного внедрения системы управления ИТ уже ни у кого не вызывает сомнений, активно разрабатываются показатели эффективности ИТ-процессов, внедряются процессы планирования, мониторинга и предоставления ИТ-услуг, устанавливаются взаимосвязи между ИТ и бизнес-процессами, разрабатывается стратегия развития ИТ. Руководство организации принимает активное участие в формировании управляемых ИТ-процессов, для которых уже существуют базовые методы оценки эффективности. Однако сказывается недостаток опыта управления ИТ, используется ограниченное количество механизмов управления и показателей эффективности.
- Если на предыдущих уровнях зрелости преобладает администратор-"универсал", то, начиная с третьего уровня, доминирующей становится роль системы управления. Здесь все процедуры стандартизированы и документированы, а сотрудники обучены их использованию. Деятельность ИТ-отдела регламентирована этими процедурами. Однако механизмы контроля качества выполнения процедур пока не работают, а сами процедуры далеки от совершенства, и об их оптимизации говорить не приходится.
- Четвертый уровень зрелости характеризуется наличием системы контроля качества ИТ-процессов. Эта система осуществляет непрерывный мониторинг ИТ-процессов, устанавливает стандарты качества и контролирует соответствие ИТ-процессов данным стандартам. Наличие системы контроля качества позволяет выявлять неэффективно действующие механизмы управления ИТ-системой и постоянно работать над повышением их эффективности. Четвертый уровень - это уровень, на котором существуют управляемые ИТ-системы.
- На высшем уровне система управления ИТ отличается от предыдущего по существу лишь более высоким уровнем оптимизации ИТ-процессов, которые являются управляемыми и измеряемыми. Информация о выполнении каждого ИТ-процесса фиксируется. ИТ являются эффективным инструментом бизнеса, а система управления ими - одной из составных частей системы управления организацией[3].
В общем случае модели зрелости позволяют руководству организации дать оценку текущему состоянию ИТ-процессов в сравнении с лучшими примерами в данной отрасли, сравнить свою организацию с конкурентами и найти возможности совершенствования процессов.
Представим себе "незрелую организацию". Все процессы не структурированы и не формализованы. Как правило, ими управляют специалисты-универсалы. Если хотя бы один из них уволится, все вообще может встать, так как новый человек, даже будучи профессионалом области, не может знать всех особенностей работы конкретной организации. С повышением уровня зрелости процессов увеличивается роль системы управления и уменьшается роль отдельных людей.
Модель зрелости позволяет оценить управляемость процесса. COBIT рассматривает зрелость процесса в трех аспектах, показанных на рис.3.3. Первое - потенциальные возможности системы управления процессом (capability), которые обеспечивают соответствие поставленным целям ИТ. Второе - до какой степени желательно развивать процесс (это называется coverage), если ожидаемый возврат инвестиций может быть обеспечен еще до достижения высокого уровня зрелости (а начиная с этого уровня возврат инвестиций падает). Третье - это специальные средства управления, которые могут понадобиться для минимизации рисков и обеспечения соответствия внешним требованиям.