Auf dem Weg zu einer reifen IT-Organisation Best Practices um Risiken zu reduzieren

Transkript

1 Process flow Remarks Role Documents, data, tools Start Define purpose and scope Define process overview Define process details Define roles no Define metrics Pre-review Review yes Release End Important: Involve as many PZU as possible Use appropriate templates for the process documentation Intention, applicability, exclusions, major interfaces, assumptions, dependencies, basic requirements, limitations, risks, timing and reporting of the process Include the definition and documentation of related activities, guidelines, standards, checklists, forms etc. This activity may be completed during the implementation PZO PZO PZO PZO PZO PZO PRM review of the process and the related PRM documentation for compliance to the appropriate templates and standards incl. harmonization of terms and roles. Evaluation of the impact of the new (changed) process on the organization SOB review of (standardized) process SOB description incl. related doc, related tools, defined interfaces, defined process metrics and related procedures, harmony of the processes and activities or alternative sequences Decision if the designed process may be released for the implementation Release of the designed process for the APP implementation phase by the PZO & PRM (and other, if required; to be defined by the PZO) process description template process roles process metrics process description approval from the PZO & PRM pre-released process doc. Auf dem Weg zu einer reifen IT-Organisation Best Practices um Risiken zu reduzieren Dr. Ernest Wallmüller QUALITÄT & INFORMATIK Zürich, München, Wien input, output approved design concept revised process architecture process purpose and scope. interfaces to other processes process overview process details supporting documentation People Qualität (standardized) process description impact on organization reviewed process description decision from SOB Process Produktivität Technology and Methods 1

2 Ernest Wallmüller Ausbildung Doktorat der Informatik an der J. Kepler Universität Linz, Lehrbeauftragter, Habilitation in Wirtschaftsinformatik Thema: Prozess- und Qualitätsmanagement ; SQS-Auditor; CMM-/CMMI-/SPICE-/Bootstrap-/Baldrige-/EFQM-Assessor Beruflicher Werdegang Bewusst den Wandel gestalten! Forschungs- und Entwicklungsprojekte in Software Engineering an der ETH Zürich, Manager Software Engineering und Qualitätssicherung in UBS, Berater für ATAG Ernst & Young in der Schweiz, Österreich, Deutschland und England, Principal, Prozess-Coach Bid-Prozess, Lieferanten- und Businesspartner-Prozesse und Manager des Project Quality Office und Qualitätssysteme der Unisys (Schweiz) AG, Geschäftsführer und Managementberater von, Zürich Arbeitsschwerpunkte Qualitäts-, Prozess-, Projekt- und Risikomanagement 2

3 Agenda Herausforderungen von heutigen IT-Organisationen Was heisst reife IT-Organisation? Best Practices und Standards zur Risikoreduktion - Risikomanagement - Reifes Service Management - Reife Projekte und Prozesse - Nutzen was bringt uns die Reife? Umsetzung aber wie? Ausblick 3

4 IT ist allgegenwärtig... Satelliten-, Flugzeugsteuerungen ca Prozessoren im Auto 4

5 IT-Situation heute Wettbewerbs-, Innovationsdruck, Globalisierungseffekte 5

6 Herausforderung der IT Spagat zwischen gleich bleibenden oder sinkenden Personalressourcen, dem Druck nach Kostensenkungen und der Forderung nach steigender Qualität sowie Wertgenerierung durch IT-Leistungen, bei steigender Komplexität u. Grösse der Anwendungen. ==> Bedarf nach Sicherheit und aktiver Risikobehandlung! 6

7 Reife vs. unreife IT-Organisationen (1/2) Eigenschaften für Unreife: - In einer unreifen Organisation werden Prozesse & Projekte grundsätzlich improvisiert - Spezifikationen und Vorgaben für Prozesse und Produkte werden nicht eingehalten - eine unreife Organisation reagiert und agiert nicht - Zeitpläne und Budgets werden regelmässig überschritten 7

8 Reife vs. unreife IT-Organisationen (2/2) Reife - eine reife Organisation steuert unternehmensweit die Entwicklung und Wartung - Prozesse und Produkte entsprechen den Spezifikationen und Vorgaben - Prozesse sind konsistent mit den Zielen - durch klar geregelte Aufgaben und Verantwortungsbereiche - durch ein auf Prozessen basiertes Managementsystem 8

9 Best Practices und Standards zur Risikoreduktion Überblick Risikomanagement AS/NZS 4360:1999, ON 49000, ISO /IEC Guide 51 IT-/Informationssicherheit und IT-Risiken BS7799-2, ISO 17799, GMITS/ISO TR13335,Cobit, Service Management ITIL (BS15000:2000, ISO Std. in 2006) IT-/Software-Prozesse und deren Bewertung/Verbesserung ISO 12207,ISO/IEC 15288, ISO 15504(SPICE), CMM/CMMI, RUP,MS ESF, System und Software Engineering Std. u. Modelle diverse ISO, IEC und IEEE Standards, SPMN-Modell, Projektmanagement ISO 69904, IPMA-Modell für Project Excellence, PMI-OPM3, 9

10 ON-Regel Qualifikation des Risikomanagers ON-Regel Leitfaden für das Risikomanagement ON-Regel Leitfaden für die Einbettung des Risikomanagements in ein integriertes Managementsystem ON-Regel Elemente des Risikomanagementsystems ON-Regel Risikomanagement für Organisationen, Produkte, Dienstleistungen und Projekte Begriffe und Grundlagen 10

11 Korrekturmassnahmen Act Politik der Organisation Verantwortung der Leitung Plan Risikopolitik Check Risikomanagementsystem Do Managementbewertung Risiko-Überwachung Vorbereitung Risikomanagement Risiko-Bewältigung ON-Regel Risiko-Beurteilung 11

12 12 Oberer Risiko- Toleranzbereich Unterer Risiko- Toleranzbereich Mittlerer Risiko-Toleranzbereich Unterer Risiko- Toleranzbereich Risiko- Toleranzgrenzen Oberer Risiko- Toleranzbereich Risiko-Beurteilung ( )

13 Risikomanagement in der Prozesslandschaft ( ) Leitung K Strategie, Planung und Budgetierung Ressourcen Ausbildung Weiterbildung Controlling MIS Kontinuierliche Verbesserung Risikomanagement K U Supply Chain Infrastruktur Mitarbeiter Kapital U N D E Produkt- und Dienstleistungsrealisierung Marktforschung Entwicklung Fabrikation Vertrieb Service Projektmanagement Projektdefinition Unterstützung Kommunikation Reklamationen (inkl. Beschwerden) Analyse, Design Informatik Dokumenten-, Datenlenkung Umsetzung Test Einführung Finanz- und Rechnungswesen Interne Audits N D E A P C D 13

14 IT-Risikomanagement-Modell 14

15 x.x.x WWW, DNS DMZ /24 Internet Cisco 2610 Hub 63.x.x..x /21 Cisco 2621 Etherne t /24 Internal WWW, DNS MAIL Workstations x x.x.x MCI Taiwan ISO 17799, British Standard BS 7799 Information Security Management Systems (ISMS) Sichere, vertrauliche IT Umgebung Sicherheitspolitik (WAS und WIE) Information Security Management System (ISMS) Applikationssicherheit Betriebssystemsicherheit Netzwerksicherheit SERIAL4(A/S)SERIAL5(A/S)SERIAL6(A/S)SERIAL7(A/S) SD PWRCisco2523 CONSOLEAUX Input:10-240VAC Freq:50.60HzCurent: AWats: SERIAL0SERIAL1SERIAL2(A/S)SERIAL3(A/S) TOKENRING0 IN-RINGACTSTP SERIAL8(A/S)SERIAL9(A/S)CISCOSystems UTPBRI 0 40W Hardware Software Firewall SERIAL4(A/S)SERIAL5(A/S)SERIAL6(A/S)SERIAL7(A/S) Input: VAC SD SERIAL0SERIAL1SERIAL2(A/S)SERIAL3(A/S) TOKENRING0IN-RINGACTSTP SERIAL8(A/S)SERIAL9(A/S)CISCOSystems UTPBRI 0PWRCisco2523 CONSOLEAUX Freq:50.60HzCurent: AWats:40W LAN 15

16 Themen der ISO / BS

17 Zertifizierung eines ISMS nach BS7799-2:2000 In CH: - KPMG - SQS 17

18 IT-Governance durch COBIT Definition IT-Governance bedeutet: Die Die IT IT ist ist ausgerichtet auf auf die die Geschäftstätigkeit, ermöglicht diese und und maximiert dabei den den Nutzen IT-Ressourcen werden vernünftig (wirtschaftlich) verwendet IT-bezogene Risiken werden angemessen gemanaged IT-Governance umfasst: Technologien und und Kommunikation für für Informationssysteme geschäftliche, rechtliche und und andere Themen alle alle betroffenen Stakeholder, 18

19 COBIT-Framework Geschäftsprozesse <> IT-Ressourcen Geschäftsprozesse Kriterien (Ziele) Vertraulichkeit Verfügbarkeit Integrität Verlässlichkeit Effektivität Effizienz Einhaltung r.e. Themen *Regelmässige Beurteilung aller IT-Prozesse * Einhaltung und Qualität der Kontrollen Überwachung IT-Ressourcen Daten Anwendungen Technologien Anlagen Personal Themen * Strategie und Taktik für die IT- Unterstützung * Erfüllung der Geschäftsanforderungen * Ausreichend geplant, kommuniziert und gemanaged * Korrekte organisatorische und technische Infrastruktur Planung & Organisation Themen * Effektive Ablieferung benötigter Dienstleistungen * Wirklich sicherer Betrieb inkl. Training * Aufstellung von Unterstützungsprozessen * Effektive Datenverarbeitung durch Anwendungen Betrieb & Unterstützung 19 Beschaffung & Implementation Themen * Realisierung der IT-Strategie * Lösungen identifiziert, entwickelt oder beschafft und implementiert * Lösungen in den Geschäftsprozess integriert * Änderung und Unterhalt von Systemen

20 Unterschiedliche Prozessebenen Überwachung Geschäftsprozesse IT-Ressourcen Daten Anwendungen Technologien Anlagen Personal Kriterien (Ziele) Vertraulichkeit Verfügbarkeit Integrität Verlässlichkeit Effektivität Effizienz Einhaltung r.e. The control of IT Processe which satisfy Business Requirement is enabled by Control Statement Rein applikationsabhängige Betrachtung and considers Control Practices Planung & Organisation Eingabe Geschäftsprozesse Verarbeitung Ausgabe Betrieb & Unterstützung Beschaffung & Implementation IT-Prozesse IT-Ressourcen Einbezug applikationsunabhängiger Themen 20

21 IT-Domain Planung & Organisation PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9 PO10 PO11 Definition eines strategischen Plans für IT Definition der Informationsarchitektur Bestimmung der technologischen Richtung Definition der IT-Organisation und ihrer Beziehungen Verwaltung der IT-Investitionen Kommunikation von Unternehmenszielen und -richtung Personalwesen Sicherstellung der Einhaltung von externen Anforderungen Risikobeurteilung Projektmanagement Qualitätsmanagement Themen * Strategie und Taktik für die IT-Unterstützung * Erfüllung der Geschäftsanforderungen * Ausreichend geplant, kommuniziert und gemanaged * Korrekte organisatorische und technische Infrastruktur 21

22 COBIT-Kontrollziele Beispiel: Übergeordnetes Kontrollziel des IT-Prozesses AU5 Kontrolle über den IT-Prozess Sicherstellen der Systemsicherheit (AU5) zur Erfüllung der Geschäftsanforderungen Schutz von Informationen vor unberechtigter Verwendung, Aufdeckung oder Änderung, Beschädigung oder Verlust wird ermöglicht durch logische Zugriffskontrollen, die sicherstellen, dass ein Zugriff auf Systeme, Daten und Programme auf berechtigte Personen beschränkt ist unter Berücksichtigung von: - Vertraulichkeits- und Datenschutzanforderungen - Berechtigung, Authentisierung und Zugriffsschutz - Benutzeridentifikation und Berechtigungsprofile - Verwaltung kryptographischer Schlüssel - Problemmeldewesen, Berichterstattung, Folgeaktivitäten - Entdeckung von Viren - Firewalls - zentralisierte Sicherheitsadministration - Werkzeuge für die Überwachung der Einhaltung rechtlicher Erfordernisse und Einbruchsversuche 22

23 Schlussfolgerungen aus COBIT keine Konzentration auf Einzelthemen keine handgestrickten Massnahmen sondern eine umfassend geregelte Planung, Beschaffung, Betrieb und Überwachung aller IT-Ressourcen Überwachung Betrieb & Unterstützung Geschäftsprozesse IT-Ressourcen Daten Anwendungen Technologien Anlagen Personal Kriterien (Ziele) Vertraulichkeit Verfügbarkeit Integrität Verlässlichkeit Effektivität Effizienz Einhaltung r.e. Beschaffung & Implementation Planung & Organisation

24 Beispiel DB - Umsetzung über IT Framework 24

25 Beispiel DB - Operationale Umsetzung 25

26 IT Service Management (.ch) ITIL: IT Infrastructure Library for IT Service Management 26

27 IT Infrastructure Library was alles dazugehört! IT Infrastructure Library was alles dazugehört! ITIL itsmf Usergroup Codes of best practice Qualification BS15000 Consultancy Tools Training 27

28 Ein Service-Prozessmodell Ein Service-Prozessmodell Integrierter Prozess-Workflow IPW HVBInfo 200X Kunden Kultur Prozesse Anwender Incident Management Service Build & Test RfC Strategische Prozesse cunternehmenspolitik Human Resource Mgmt ArchitekturenFinanzen Unternehmensleitung Vertragspartner Account Mgmt Relationship Management Service Level Management Entwicklung Service Design Problem Management RfC Serviceplanung Availability & Contingency Management Cost Mgmt Change Management Capacity Mgmt TM registered Trademark IPW Operationelle Prozesse Service Information Management Leistungserstellung Services Software Control & Distribution Messwerte HVBInfo / QWR / HVBInfo200X 28 1

29 ITS-CMM Reifegradmodell für IT Service Management 29

30 Die CMM Reifegrade Ziel 30

31 Historische Entwicklung bei E-Plus 3 Reifegrad (CMM) Software Lifecycle Product Lifecycle 2 ISO 9000, Prozessmodell E-Plus Projektmanagement etc. + 1 Prozessbeschreibungen Org.-Handbücher. + Initiierung Stabilisierung Institutionalisierung Standardisierung

32 Reife Prozesse & KVP... Process Definition leads to Process identifies changes to is subjected to Process Assessment identifies suitability of alle 2 Jahre! Process Improvement laufend! leads to leads to may lead to Capability Determination bei Bedarf z.b. Ausschreibung! 32

33 ISO Software Life Cycle Process Primary Life Cycle Processes Acquisition Supply Supporting Life Cycle Processes Documentation Configuration Management Development Operation Maintenance Quality Assurance Verification Validation Joint Review Audit Problem Resolution Organizational Life Cycle Processes Management Infrastructure Improvement 33 Training

34 34

35 35

36 Examples of CMM Level Organisations Source: The SEI's Compiled List of Published Maturity Levels: Level 2 Oerlikon Aerospace United Airlines Level 3 Andersen Consulting Utilities Solutions Center Texas Instruments Defense Systems and Electronics Group Level 4 Citibank CSC Integrated Systems Division Level 5 Boeing Defense & Space Group IBM Federal Systems Company (Aerospace SW) Motorola India 36

37 ISO TR (SPICE) informative normative Part 7 Guide for use in process improvement Part 1 Concepts and introductory guide Part 8 Guide for use in determining supplier process capability Part 9 Vocabulary Part 6 Guide to qualification of assessors Part 3 Performing an assessment Part 2 A reference model for processes and process capability Part 4 Guide to performing assessments Part 5 An assessment model and indicator guidance 37

38 Beispiel: Die Lücken Prozess Current Level CL 1 CL 2 CL 3 CL 4 CL 5 CUS.1 Beschaffung CUS.2 Lieferung CUS.3 Anforderungserhebung ENG.1.1 Systemanforderungsanalyse und -Entwurf ENG.1.2 Software-Anforderungsanalyse ENG.1.3 Software-Entwurf ENG.1.4 Software-Erstellung ENG.1.5 Software-Integration ENG.1.6 Software-Test ENG.1.7 Systemintegration und -Test ENG.2 System- und Software-Instandhaltung SUP.1 Dokumentation SUP.2 Konfigurationsverwaltung SUP.3 Qualitätssicherung SUP.4 Verifikation SUP.5 Validierung MAN.2 Projektmanagement MAN.3 Qualitätsmanagement MAN.4 Risikomanagement ORG.1 Organisatorische Ausrichtung ORG.2.1 Prozessgestaltung ORG.2.2 Prozessbewertung ORG.3 Personalverwaltung? ? ??? 3 38

39 Kosten Nutzen? CHF $ Euro 39

40 Current ROI Value to Improvement Programs 40

41 Evolution of Cost of SW Quality at Raytheon 41

42 Aufwand und Nutzen der Prozessverbesserung Raytheon (July 1993) Prozessverbesserung von Level 1 (Anfang 1988) auf Level 3 (Ende 1991) Return of Investment-Faktor: 7,7 Doppelte Produktivität Boeing (Mai 2001) 42

43 Ist Prozessverbesserung eine gute Investition? ( 43

44 Nutzen/Einsparungen für ZKB Bussines Case ZKB führt pro Jahr Projekte um ca. 200 Mio CHF. durch. Bei Rework-Anteil von 20 % (40 Mio. Fr. Annahme): 16 % Verbesserungen des Reworks durch CMM Level Mio. Fr. 28 % Verbesserungen des Reworks durch CMM Level Mio. Fr. Bei Rework-Anteil von 35 % (70 Mio. Fr. Annahme): 16 % Verbesserungen des Reworks durch CMM Level Mio. Fr. 28 % Verbesserungen des Reworks durch CMM Level Mio. Fr. X % Verbesserungen beruhen auf Messungen von Boeing (Jones, 2001) 44

45 Project Excellence Winners of the International Project Management Award International Project Management Award 2003 PM Award Winner UBS AG, Schweiz Preisträger Dade Behring Marburg GmbH, Germany International Project Management Award 2002 PM AwardWinner Fluor Daniel, Niederlande Preisträger Transsystem SA, Polen Preisträger Acterna/T-Mobil, Deutschland 45

46 The Assessment Model for Project Management (500) Project Results (500) Project Objectives (140) Leadership (80) People (70) Resources (70) Processes (140) Customer Results (180) People Results (80) Results of other Parties involved (60) Key Performance and Project Results (180) 46

47 PM Excellence - Nutzen Professionelles und exzellentes Projektmanagement einhalten der vereinbarten Kosten, Termine und Leistungsumfangs zufriedene Stakeholders (Kunde, Mitarbeiter, Linie, "Value Chain BA IT", Lieferanten und andere) Personalentwicklung und -Kontinuität im Bereich Projektmanagement Perspektive für angehende und bewährte Projektleiter Rekrutierung und Retention Effizienzsteigerung und Produktivitätsverbesserungen Umsetzen in der täglichen Projektarbeit Nachhaltige Verbesserung der Projektleistungen 47

48 Empfehlung zur Umsetzung - Standortbestimmung mit SWOT-Analyse bzw. spezifischem Assessment - IT-Governance über IT-Framwork (Policies, Prinzipien u. Regeln) entwickeln - Detaillierte Ziele und Vorgaben für Bereiche festlegen z.b. CMM-/SPICE-Level 3 bis zum Jahr 2006, Zertifizierung des ISMS bzw. Managementsystems bis zum Jahr 2005 erreichen - Über Prozesse und diverse Best Practices Standards realisieren - Zentrales Prozess- bzw. Managementsystem 48

49 Ernest Wallmüller Mobile Zürich, München & Wien Besten Dank für Ihre Aufmerksamkeit!

50 WEB Referenzen I N.B. SPIN Software Engineering Institute-CMMI Software Productivity Consortium A Software Process Bibliography Kneuper Ralph - Qualitätsmanagement und Vorgehensmodelle Process Improvement Associates Process Inc. Process Professional SPICE Australien SPICE Usergroup Tantara Inc. - Links Wiegers Karl - Process Impact www-sqi.cit.gu.edu.au Brad Appleton's Software Process Links 50

51 WEB Referenzen II IPMA Project Management Institute(PMI) Deutsche Gesellschaft für Projektmanagement e.v. Swiss Projekt Management - PM Links 51

52 Literatur Brogli M.: Steigerung der Performance von Informatikprozessen, vieweg, 1996 Caputo Kim: CMM Implementation Guide, Addison-Wesley, 1998 EC: The SPIRE Handbook, Better Faster Cheaper - Software Development in Small Organisation, 1998 R. B. Grady: Successful Software Process Improvement, Prentice- Hall,1997 Humphrey: Managing the Software Process, Addison-Wesley, 1989 R. Kneuper: CMMI, dpunkt.verlag, 2003 Pankaj Jalote: CMM in Practice, Addison-Wesley, 2000 Potter N., Sakry M.: Making Process Improvement Work, Addison- Wesley, 2002 Wallmüller E.: Software-Qualitätsmanagement in der Praxis, Hanser, 2001 Zahran S.: Software Process Improvement, Addison-Wesley,

53 Unsere Bücher... Nur wer die Risiken seines Projektes identifiziert hat und Maßnahmen definiert, wie sie zu reduzieren oder zu vermeiden sind, kann in der Projektarbeit erfolgreich sein. Dieser praktische Leitfaden beschreibt die gängigsten Risiken, denen IT- und Organisationsprojekte in Unternehmen heute ausgesetzt sind und stellt die erprobte Strategien des Risikomanagements vor. Der Autor zeigt, wie Risikomanagement von Anfang an in die Prozesse der Projektentwicklung mit eingebunden werden muss. Gleichzeitig erläutert er, wie Risiko-, Projekt- und Qualitätsmanagement aufeinander abzustimmen sind. Das Buch enthält zahlreiche Tipps aus der Erfahrung des Autors im Projekt-, Qualitäts- und Risikomanagement von IT- und Software-Projekten. Ein Kapitel zu den Hilfsmitteln und Werkzeugen, sowie eine Fallstudie runden das Buch ab. Im Internet ( findet der Leser praxiserprobte Hilfsmittel für das Risikomanagement. Für alle am Erfolg von Projekten Interessierten gilt: If you don't actively attack the risks, the risks will actively attack you! E. Wallmüller, Risikomanagement für IT- und Software-Projekte 250 Seiten ca. 34,90 ISBN Hanser, April

54 Unsere Bücher... Software-Qualitätsmanagement in der Praxis Software-Qualität durch Führung und Verbesserung von Software-Prozessen Qualitätsverbesserung ist heute in Software-Projekten als zentrale Managementaufgabe unverzichtbar. Sie muss von Anfang an in die Projekte integriert werden, will man den Erfolg sichern. In dieser neu bearbeiteten Auflage beschreibt der Autor den aktuellen Stand im Software-Qualitätsmanagement. Er zeigt, wie qualitätssichernde Massnahmen in den Prozess der Software-Entwicklung integriert und in der Praxis umgesetzt werden. Zahlreiche Beispiele aus der Praxiserfahrung des Autors sowie ein Anhang mit einer Übersicht aktueller Normen, mit Formularen, wichtigen Adressen und Glossar runden das Buch ab. Als umfassendes Nachschlagewerk unterstützt das Buch alle, die Software- Qualitätsmanagement einführen oder praktizieren wollen. Es eignet sich auch als Lehrbuch in Aus- und Fortbildung. ISBN: , völlig überarbeitete Auflage, 2001 Hanser Verlag Aus dem Inhalt: - Grundlagen der Qualitätsentstehung - Prozessorientiertes Qualitätsmanagement - Konstruktive Qualitätsmassnahmen - Analytische Qualitätsmassnahmen - Qualität und Software-Wartung - Organisatorische Massnahmen: Managementsysteme - Fortgeschrittene Qualitätstechniken 54