COBIT 5 – Что нового?
Выделена модель возможностей для enabler – рис.16.3.
Первый уровень возможностей говорит о том, что enabler может достичь своих целей в общем случае. Помимо этого к нему применяются лучшие практики. Это два основных критерия для достижения первого уровня. Обязательным атрибутом этого уровня является производительность. Именно на основе этой модели построена модель возможностей для процессов, которая пришла на смену модели зрелости в COBIT 4.1.
На целях подробно останавливаться не будем, отметим только, что иерархия целей изменилась – стало больше уровней. Если в COBIT 4.1 три основных уровня иерархии (Цели бизнеса – Цели ИТ – Цели процессов), то в COBIT 5 их четыре. Вместо целей бизнеса – 19 потребностей заинтересованных лиц (потребности сформулированы в виде вопросов, на которые ищут ответы ЗЛ). Потребности ЗЛ отображены в таблице 16.1. Набор целей и метрик разработан до уровня управленческой практики (management practice) ( в COBIT 4 было только для процессов!).
Внутренние ЗЛ | Потребности внутренних ЗЛ |
Совет директоров, финансовый директор, CIO, владельцы бизнес-процессов, бизнес-менеджеры, риск-менеджеры, сотрудники службы безопасности, сотрудники отдела кадров, внутренние аудиторы, пользователи ИТ, менеджеры ИТ и т.п. |
|
Внешние ЗЛ | Потребности внешних ЗЛ |
Бизнес-партнеры, поставщики, владельцы акций, регуляторы, внешние пользователи, клиенты, внешние аудиторы и т.п. |
|
Приведенные потребности превращаются в требования, запросы и ожидания. Как бы то ни было, все требования в конечном итоге можно свести к трем основным целям – увеличение выгоды, уменьшение затрат и уменьшение рисков.
Как уже было отмечено выше, появились новые процессы и домены, связанные в первую очередь с разделением Governance и Management. Новые домены процессов схематически изображены на рис.16.4.
В COBIT 5 выделено 37 процессов и 5 доменов (таблица 16.2).
EDM (Evaluate, Direct and Monitor) | 5 |
APO ((Align, Plan and Organize) | 13 |
BAI (Build, Acquire and Implement) | 10 |
DSS (Deliver, Service and Support) | 6 |
MEA ( Monitor, Evaluate and Assess) | 3 |
ИТОГО 37 |
Новые процессы:
APO 03 – Управление архитектурой предприятия
APO 04 – Управление инновациями
APO 05 – Портфельное управление инвестициями
APO 06 – Управление бюджетом и стоимостью
APO 08 – Управление взаимоотношениями бизнеса и ИТ
APO 13 – Организация управления безопасностью
BAI 05 – Управление организационным обеспечением изменений
BAI 08 – Управление знаниями
BAI 09 – Управление ИТ-активами
DSS 05 – Обеспечение информационной безопасности
DSS 06 – Управление контролями бизнес-процессов
Изменилось и само описание процесса. На рис.16.5 показана структура описания процесса.
Модель процесса показывает:
- заинтересованные лица процесса – процесс имеет внутренних и внешних ЗЛ, у каждого из которых есть свои роли; ЗЛ и уровни их ответственности отображены в таблице ОУКИ (RACI).
- цели и метрики. Цель процесса определена как "формулировка, описывающая желаемые результаты процесса. Результат может быть материальным, значимым изменением состояния или значимым улучшением возможностей других процессов". Цели процесса являются частью каскадной модели целей. Они поддерживают цели ИТ, которые в свою очередь поддерживают цели компании. Для каждого уровня определены метрики для измерения того, достигнуты ли поставленные цели. Метрика определена как " измеряемая сущность, которая позволяет измерить достижение целей процессом". Метрики должны удовлетворять принципу SMART (specific, measurable, actionable, relevant and timely) – быть конкретными, измеряемыми, применимыми, значимыми, своевременными. Цели можно классифицировать различными способами. Наиболее популярной является классификация, которая делит цели на экономические (получение материальной выгоды) и качественные (улучшение качества). Метрики также делятся на два типа – метрики производительности, которые оценивают успехи процесса в терминах деятельностей, и метрики результатов, которые оценивают, действительно ли процесс достиг своих целей и задач. Каждый тип метрик может быть применен к любому типу целей.
- жизненный цикл – каждый процесс имеет жизненный цикл. Его сначала определяют, затем проектируют, внедряют, эксплуатируют, контролируют и т.п.
- хорошие практики - практики для процесса отображены также в каскадной модели: практики, деятельности и детализированные деятельности.
- атрибуты. Для каждого процесса в COBIT 5 определены следующие атрибуты:
- входы и выходы
- уровень возможностей процесса
- таблица ОУКИ
- взаимоотношения с другими enabler.
- процессу необходима информация (один из вариантов входов ) и он может сам производить информацию;
- процессам необходимы организационные структуры, которые отображены в таблице ОУКИ;
- процессы производят, а также требуют возможности услуг (инфраструктура, приложения и т.п.);
- процессы зависят от других процессов;
- процессы производят или сами используют политики и процедуры для обеспечения последовательного и устойчивого исполнения;
- поведенческий и культурный аспекты определят, насколько хорошо будет выполняться процесс [18].
Доменов теперь 5, процессов 37. Домены называются трехбуквенными аббревиатурами с трехзначными номерами. Например, домен DS (Deliver and Support) теперь называется DSS (Deliver, Service and Support), а, например, управление инцидентами — DSS02 Manage Service requests and incidents. Примечательно, что примерно треть процессов описывает лучшие практики из других подходов, исполняя заявленную роль "интегрирующего подхода", призванного собрать под одной обложкой все самое свежее и полезное.
Если в COBIT 4.1 используются Модели зрелости (Maturity Model), то COBIT 5 предлагает Модель возможностей (Process Capability Model), основанную на международном стандарте ISO/IEC 15504 Software Engineering—Process Assessment.
Выделено 6 уровней:
- Незавершенный процесс – процесс не внедрен или не может достичь цели процесса. На этом уровне не идет речь о какой-то систематизации процессов.
- Выполняющийся процесс (один атрибут) - процесс достигает своей цели.
- Управляемый процесс (два атрибута) – описанный ранее процесс является управляемым. Осуществляется мониторинг, планирование и приведение в соответствие. Результаты процесса устанавливаются, контролируются и, что немаловажно, измеряются.
- Определенный процесс (два атрибута) – управляемый процесс теперь осуществляется по определенной модели процесса и способен достичь целей, выдвигаемых этой моделью;
- Предсказуемый процесс (два атрибута) – определенный процесс теперь действует в установленных лимитах (ограничениях) для достижения результатов;
- Оптимизированный процесс (два атрибута) – предсказуемый процесс, который постоянно совершенствуется для достижения текущих и будущих целей бизнеса.
ВАЖНО! Переход на новый уровень возможностей возможен только при исполнении всех атрибутов предыдущего уровня. Если вспомнить COBIT 4.1, то там это условие являлось не обязательным.
Подытожив вышесказанное, сделаем некоторые выводы. К позитивным сторонам можно отнести интеграцию различных методологий (CobiT, RiskIT, ValIT) и разделение G и M. Обновление процессов и метрик достижения целей также можно назвать плюсом. Из минусов можно отметить неочевидность преемственности COBIT 4.1 и COBIT 5 – слишком много изменений сразу. Излишнее количество целей и метрик для них может привести к "KPI-творчеству". Ну и самое, пожалуй, главное – смена Модели зрелости на Модель возможностей потребует серьезного изменения методологий аудита и ломки сложившегося восприятия.
Ключевые термины
Метрика (Metric) - измеряемая сущность, которая позволяет измерить достижение целей процессом.
Обеспечивающая сила (Enabler) – материальные и нематериальные сущности, которые совместно или по отдельности заставляют что-то работать.
Процесс (Process) – набор практик и деятельностей, организованный для достижения определенных целей и создания определенных выходов, которые помогут ИТ достичь. своих целей.