COBIT 5 Process Assessment Model (PAM)

Transkript

1 Webinar 9. Januar 2014 COBIT 5 Process Assessment Model (PAM) Vom Kennen. Zum Können. Zum Tun.

2 Your Coach today Martin Andenmatten Geschäftsführer und Gründer der Glenfis AG ITIL Master, DPSM ISACA CISA, CGEIT, CRISC Zertrifizierter COBIT Assessor, TIPA (ITIL) Lead Assessor Practitioner und Lead Auditor für ISO Zertifizierungen Dozent an der Berner Fachhochschule im Bereich Service Management & Governance Principle Consultant für IT Governance und Service Management Systeme Trainer und Coach für ITIL, COBIT, ISO 20000, ISO 27000, Cloud Foundation und Sourcing Governance Trainer und Coach für Business-Simulationen Apollo13, Challenge of Egypt & und PoleStar (G2G3) Herausgeber & Autor 2008 Praxishandbuch "ISO 20000, Service Management und IT Governance" Herausgeber & Autor 2010 "Services managen mit ITIL " Gründer und Organisator ITIL -Forum Schweiz

3 IT-Manager Competence Center Glenfis AG

4 Your Consulting Provider Glenfis AG Wir stehen Ihnen als Coach zur Seite, damit die neue Kultur nicht zu Konflikten führt Glenfis AG ISACA All rights reserved

5 Agenda Einleitung COBIT 5 Geschichte & Produktefamilie Prozessbewertung nach COBIT 5 Unterscheidung Capability Assessment & Maturity Assessment COBIT Assessment Ansatz Referenz-Modell ISO Bewertung Ablauf Assessment-Prozess Ausbildung zum COBIT 5 Assessor Zusammenfassung & Abschluss

6 Geschichte und COBIT Produktefamilie

7 Evolution scope COBIT History The evolution of COBIT 5 Governance of Enterprise IT IT Governance Management Control Audit BMIS (2010) Val IT 2.0 (2008) Risk IT (2009) COBIT 1 COBIT 2 COBIT 3 COBIT 4.0/4.1 COBIT / A business framework from ISACA, at Glenfis AG ISACA All rights reserved

8 The COBIT 5 Products The COBIT 5 product family

9 The People and the Process Owners and Stakeholders Stakeholder Drivers (Environment, Technology Evolution,...) AR VR Accountable Governing Body Delegate Benefits Realisation Stakeholder Needs Risk Optimisation Resource Optimisation Monitor Set Direction CIO Management Enterprise Goals Report Operations and Execution Instruct and Align IT-related Goals Enabler Goals 2014 Glenfis AG ISACA All rights reserved

10 COBIT Prozess Referenz Modell Process capability AR VR CIO

11 Prozessbewertung mit dem COBIT Process Assessment Model

12 COBIT 5 Assessor

13 Process assessment explained Process capability Prozessbewertungen Der Ansatz des COBIT Assessment Programms wird von ISACA als robustere, verlässlichere und wiederholbare Methode der Prozessbewertung betrachtet. Das COBIT Assessment Programm unterstützt Förmliche Prüfungen durch akkreditierte Prüfer Weniger strenge Selbstbewertungen für die interne Gap-Analyse und für die Planung von Prozessverbesserungen. Das COBIT Assessment Programm ermöglicht es Unternehmen, unabhängige und zertifizierte Bewertungen im Einklang mit dem ISO/IEC Standard zu erlangen.

14 PAM COBIT 5 Prozesse

15 PAM gibt es auch für ISO 20000:2011 ISO :2011 Prozes Landkarte SMS General Processes SMS.1 Audit SMS.2 Improvement SMS.3 Information item management SMS.4 Management Review SMS.5 Resource Management SMS.6 Risk Management SMS.7 Service Measurement SMS.8 Establishment and improvement SMS.9 Implementation and operation Control Processes CON.1 Change Management CON.2 Configuration Management CON.3 Release and Deployment Management Relationship Processes REL.1 Business Relationship Management REL.2 Supplier Management Design and Transition of New or Changed Service Processes DTR.1 Service Requirements DTR.2 Service Design DTR.3 Service Transition DTR.4 Service Planning Service Delivery Processes SDE.1 Budgeting and accounting for Services SDE.2 Capacity management SDE.3 Information Security management SDE.4 Service availability management SDE.5 Service Continuity management SDE.6 Service level management SDE.7 Service Reporting Resolution Processes RES.1 Incident Management RES.2 Service Request Management RES.3 Problem Management

16 PAM gibt es auch für ITIL

17 Process assessment explained Process capability Unterschiede zwischen Fähigkeits- und Reifegradbewertungen Historisch gesehen verwendeten die meisten Rahmenwerke von COBIT über ITIL bis PRINCE2 den CMMI-Ansatz des SEI (Software Engineering Institute). Dieser kombiniert Fähigkeits- und Reifegradbewertungen in einem Bewertungsdurchlauf. 1) Eine Reifegradbewertung (Maturity Assessment) wird auf Unternehmens- oder Organisationsebene durchgeführt und verwendet eine andere Messskala, andere Kriterien und andere Attribute als eine Fähigkeitsbewertung 2) Eine Fähigkeitsbewertung (Capability Assessment) wird auf Prozessebene durchgeführt und dient dem Zweck der Prozessverbesserung. COBIT 5 PAM ist ein Capability Assessment und kein Maturity Assessment

18 Attribute des COBIT 4.1 Reifegradmodells ggü. ISO Process capability COBIT 4.1 Maturity Prozess- Reifegrad Fähigkeitsniveau (Capability) ISO/IEC Prozess (COBIT PAM) Attribute 5 Optimiert 5 Optimierend PA 5.1 Prozessinnovation PA 5.2 Prozessoptimierung 4 Gesteuert und messbar 4 Vorhersagbar PA 4.1 Prozessmessung PA 4.2 Prozesskontrolle 3 Definiert 3 Etabliert PA 3.1 Prozessdefinition PA 3.2 Prozessbereitstellung 2 Wiederholbar, aber intuitiv 2 Gemanagt PA 2.1 Leistungssteuerung PA 2.2 Arbeitsproduktverwaltung 1 Initial / ad hoc 1 Durchgeführt PA 1.1 Prozessleistung 0 Nicht vorhanden 0 Unvollständig

19 Process assessment explained Process capability Vorteile des ISO Ansatzes Robuster Bewertungsprozess basierend auf ISO Anpassung der Skalen im COBIT -Reifegradmodell an internationale Normen Neues, fähigkeitsbasiertes Bewertungsmodell einschliesslich Spezifische Prozessanforderungen, abgeleitet von COBIT 4.1 & COBIT 5 Fähigkeit, Prozessattribute gemäss ISO zu erreichen Anforderungen an die Belegbarkeit (Evidence based) Qualifikations- und Erfahrungsanforderungen an den Prüfer Resultiert in einer robusteren, objektiveren und wiederholbaren Form der Bewertung

20 COBIT Assessment Ansatz

21 Process assessment explained Process capability Assessment approach overview COBIT 5 Process Assessment Model Assessment Process

22 Process assessment explained Process capability Wichtige Definitionen aus ISO ISO definiert die folgenden Schlüsselbegriffe Process Purpose die übergeordneten, messbaren Ziele der Durchführung (Prozesszweck) des Prozesses sowie die wahrscheinlichen Ergebnisse der wirksamen Implementierung des Prozesses. Outcome Objektiv beobachtbares Ergebnis eines Prozesses (Anm.: (Prozessergebnisse) ein Ergebnis ist ein Artefakt, eine signifikante Zustandsänderung oder die Erfüllung spezifischer Einschränkungen.) Base Practices (Grundlegende Praktiken) Workproduct (Arbeitsergebnis) Aktivitäten, die bei konsistenter Durchführung zur Erreichung des Prozesszwecks beitragen. Auf die Prozessdurchführung bezogenes Artefakt definiert als Prozess-"Inputs" und "Outputs".

23 COBIT 5 Prozess-Handbuch und PAM Process Name Prozess Beschreibung Prozesszweck Der Prozess unterstützt die... IT-bezogene Ziele Process ID Prozess Beschreibung Prozesszweck Process Name Prozessziele und Metriken Prozessziele RACI Chart: Management Practices Outcomes (Os) NOT IN PAM Base Practices (BPs) Related Guidance Related Standard Inputs Aktivitäten NOT IN PAM NOT IN PAM Outputs Outcomes (Os) Prozessziele Base Practices (BPs) Management Practices Work Products (WPs) Inputs Number Description Outputs Number Description Input to Supports Supports 2014 Glenfis AG ISACA All rights reserved

24 Process assessment explained Process capability Prozess-Referenzmodell Schrittweise Durchführung Verständnis der ISO-Struktur

25 Process assessment explained Process capability COBIT 5 PRM

26 The Process Assessment Model (PAM) Process Reference Model (PRM) Measurement Framework Assessment Process 2014 Glenfis AG Appendix B. Generic and Level 1 Output Work Products Appendix A. Conformity of the COBIT 5 Process Assessment Model 4.0 Process Capability Indicators 3.0 Process Dimension and Process Performance Indicators 2.0 Overview of the COBIT 5 Process Assessment Model (PAM) 1.0 Introduction 1.1 Purpose 1.2 Scope 1.3 Assessment Domain 1.4 Normative Reference 1.5 The COBIT 5 Process Assessment Model 1.6 Comparison of the COBIT 4.1 PAM to the COBIT 5 PAM 1.7 Terms and Definitions 2013 ISACA All rights reserved

27 Assessors Guide: Using COBIT 5 Process Reference Model (PRM) Measurement Framework Appendix D. Tools Appendix C. Further Reading Appendix B. Acronyms Appendix A. Terms and Definitions (ISO/IEC ) 4.0 Performing a Process Assessment 3.0 Roles and Responsibilities 2.0 Process Assessment Model 1.0 Overview 1.1 Introduction 1.2 The COBIT Assessment Programme - Purpose 1.3 Key Elements 1.4 Critical Success Factors 1.5 Intended Audience 1.6 The COBIT Assessment Programme Report Assessment Process 2014 Glenfis AG ISACA All rights reserved

28 COBIT 5 Prozess-Referenzmodell Process assessment explained Process capability

29 Process assessment explained Process capability Erklärungen zum Prozess-Bewertungsmodell (PAM) Umfang Indikatoren Mapping

30 Process assessment explained Process capability Unterschiede zwischen den Fähigkeits- und Prozess-Dimensionen ISO definiert zwei Ebenen 1) Eine Prozess-Dimension (Process Dimension), die zusätzliche Indikatoren für Prozesse für Prozess-Leistungsbewertung enthält, die auf sehr spezifischen Leistungsindikatoren basieren (Ebene 1) 2) Eine Fähigkeits-Dimension (Capability Dimension), die auf die Prozessfähigkeits-Dimension fokussiert (Ebenen 2 bis 5) und auf Prozessattribut-Indikatoren (PAI) basiert, die sich ausschliesslich mit generischen Attributen befassen Beachten Sie, dass das PRM (Prozess Referenz Modell) oder Prozess- Bewertungsmodell für diese Dimension nur auf EBENE 1 verwendet wird. Ebene 2 bis 5 fokussiert sich nur auf die Fähigkeits-Dimension, die sich auf generische Attribute stützt.

31 Process assessment explained Process capability Indikatoren mit COBIT 5 PRM

32 Process assessment explained Process capability Prozessfähigkeitsebenen

33 Process assessment explained Process capability Prozessattribute (Beispiel) PA 1.1 Prozessleistung Das Attribut Prozessleistung misst das Ausmass, in welchem der Prozesszweck erreicht wird Bei vollständiger Erreichung dieses Attributs erreicht der Prozess seine definierten Ergebnisse. Dies entspricht gemäss PAM: - Das Erreichen des Prozesszwecks - Die Durchführung aller Base Practices (Management Praktiken) - Das Vorhandensein der Arbeitsergebnisse (Inputs/Outputs, Workproducts)

34 Process assessment explained Process capability Prozessattribute (Beispiel) PA 2.1 Prozessleistung Eine Messgrösse für den Umfang, in welchem die Leistung des Prozesses gemanagt ist. Ergebnisse der vollständigen Erreichung dieses Attributs a) Ziele für die Prozessleistung sind identifiziert b) Leistung des Prozesses ist geplant und überwacht c) Leistung des Prozesses ist angepasst, um Plänen zu entsprechen d) Verantwortlichkeit und Befugnis für die Durchführung des Prozesses sind definiert, zugewiesen und kommuniziert e) Notwendige Ressourcen und Informationen für die Durchführung des Prozesses sind identifiziert, verfügbar, zugewiesen und genutzt f) Schnittstellen zwischen den involvierten Parteien sind gemanagt, um effektive Kommunikation und klare Zuweisung von Verantwortung sicherzustellen PA 2.2 Arbeitsproduktverwaltung Eine Messgrösse für den Umfang, in welchem die durch den Prozess produzierten Arbeitsprodukte angemessen gemanagt werden. Ergebnisse der vollständigen Erreichung dieses Attributs a) Anforderungen an die Arbeitsprodukte des Prozesses sind definiert b) Anforderungen an die Dokumentation und Kontrolle der Arbeitsprodukte sind definiert c) Arbeitsprodukte sind angemessen identifiziert, dokumentiert und kontrolliert d) Arbeitsprodukte werden im Einklang mit der Planung überprüft und wo notwendig angepasst, um die Anforderungen zu erfüllen

35 Process assessment explained Process capability Bewertung der Prozessfähigkeit Ergebnis der vollständigen Erreichung des Attributs a. Ziele für die Durchführung des Prozesses sind identifiziert Generische Praktiken (GPs) PA 2.1 Leistungssteuerung GP Identifizieren der Ziele für die Durchführung des Prozesses. Die Leistungsziele, im Umfang zusammen mit Annahmen und Einschränkungen bestimmt, sind definiert und kommuniziert. Generische Arbeitsprodukte (GWPs) GWP 1.0 Prozessdokumentation sollte den Prozessumfang umreissen. b. Durchführung des Prozesses ist geplant und überwacht. c. Durchführung des Prozesses ist angepasst, um Plänen zu entsprechen. GP Planen und Überwachen der Durchführung des Prozesses, um die identifizierten Ziele zu erfüllen. Grundlegende Messgrössen der Prozessdurchführung, verbunden mit Geschäftszielen, sind etabliert und überwacht. Sie enthalten wichtige Meilensteine, erforderliche Aktivitäten, Schätzungen und Zeitpläne. GP Anpassen der Durchführung des Prozesses. Aktionen erfolgen, wenn die geplante Durchführung nicht erreicht wird. Aktionen umfassen die Ermittlung von Problemen der Prozessdurchführung und die angemessene Anpassung der Zeitpläne. GWP 2.0 Prozessplan sollte Einzelheiten zu den Zielen der Prozessdurchführung bereitstellen. GWP 9.0 Aufzeichnungen zur Prozessdurchführung sollten Einzelheiten zu den Ergebnissen bereitstellen. Anmerkung: Auf dieser Ebene können die Aufzeichnungen zur Prozessdurchführung in Form von Berichten, Problemlisten und informellen Aufzeichnungen vorliegen. GWP 4.0 Aufzeichnungen zur Qualität sollten Einzelheiten der bei nicht erreichter Durchführung ergriffenen Aktionen bereitstellen.

36 Process assessment explained Process capability Prozessattribute: Rating-Skala Der COBIT -Bewertungsprozess misst das Ausmass, in dem ein gegebener Prozess die "Prozessattribute" erreicht. N Nicht erreicht 0 bis 15 % Erreichung Es gibt wenig oder keine Belege für die Erreichung des definierten Attributs im bewerteten Prozess P Teilweise erreicht > 15 % bis 50 % Erreichung Es gibt Belege für einen Ansatz und eine teilweise Erreichung der definierten Attribute im bewerteten Prozess. Einige Gesichtspunkte der Erreichung des Attributs sind möglicherweise nicht vorhersagbar L Überwiegend erreicht > 50 % bis 85% Erreichung Es gibt Belege für einen systematischen Ansatz und wesentliche Erreichung des definierten Attributs im bewerteten Prozess. Schwächen in Bezug auf das Attribut können im bewerteten Prozess vorliegen F Vollständig erreicht > 85 % bis 100 % Erreichung Es gibt Belege für einen vollständigen, systematischen Ansatz und vollständige Erreichung des definierten Attributs im bewerteten Prozess, in dem keine wesentlichen Schwächen vorliegen

37 Process assessment explained Process capability Fähigkeitslücken und Risiken Konsequenz, nach Fähigkeitsebene, auf der die Lücke besteht 5 Optimierender Prozess 4 Vorhersagbarer Prozess 3 Etablierter Prozess 2 Gemanagter Prozess 1 Durchgeführter Prozess Wahrscheinlichkeit, nach Ausmaß der Fähigkeitslücke Gering Bedeutend Wesentlich Geringes Risiko Geringes Risiko Geringes Risiko Geringes Risiko Geringes Risiko Mittleres Risiko Geringes Risiko Mittleres Risiko Mittleres Risiko Mittleres Risiko Mittleres Risiko Hohes Risiko Mittleres Risiko Hohes Risiko Hohes Risiko

38 Process assessment explained Process capability COBIT Assessment Prozess

39 Process assessment explained Process capability Overview

40 Process assessment explained Process capability Projekt Phasen Management Beteiligung Definition Auswahl der Prozesse Mitarbeiter Beteiligung Definition des Assessment Scope Planung Bestimmung des organisatorischen Kontext Planung und Organisation des Assessments Kick-Off Meeting Assessment Interviews Dokumenten Review Konsolidierung der Resultate Bewertung des Prozesses Bestimmung des Maturitäts Level Analyse SWOT Analyse: Strengths, Weaknesses, Opportunities und Threats Vorschläge für Verbesserung Präsentation der Resultate Detaillierter Report der Resultate Management Präsentation Stakeholder Präsentation Präsentation für Mitarbeiter Abschluss Abschluss Meeting Zeitplan ist abhängig von: - Assessment Ziel - Anzahl der Prozesse - Anzahl der Interviews / Prozess - Anzahl der Assessoren Teams

41 Arbeitsbelastung Beispiel Phases and Tasks Number of Interviews Target Level Multiplicative Factors Load for TIPA Team (man-day) Help Load for Client (man-day) Help Date Project Management and Closure 3 2 On-going Depends on the overall project Project Management 3 2 workload Preparation Phase Week 1 Depends on the number of Depends on the number of people Assessment Scope Agreement 1.5 Assessors who participate in 0.5 involved in the context discovery + Context Discovery the context discovery meeting Kick-off Meeting 0.5 Depends on the number of Assessors who attend the meeting 1 Depends on the number of Interviewees who attend the meeting Assessment Phase Interview rating Weeks 1-3 Demand Management Service Level Management Capacity Management Change Management Incident Management Problem Management Analysis Phase Process time Weeks 4-5 Process Rating Based on 2 Assessors. Increase factor if there are multiple pairs of Assessors SWOT Analysis and Recommendations Depends on the number of processes Preparation of Draft Improvement Plan 2.0 Depends on the client's requirements Results Presentation Phase Process time Weeks 5 Preparation of Assessment Report Depends on the number of processes 0.5 Validation by Sponsor Results Presentations 0.50 Depends on the number of Assessors who attend the meeting and on the duration of the meeting. Include time to prepare the presentation Depends on the number of Interviewees who attend the meeting and on the duration of the meeting TOTAL Without Improvement Plan Week 6

42 Assessment Report Assessment Report Management Summary Übergreifende Analyse Zu jedem Prozess Prozess Profil SWOT Analyse: Strengths-Weaknesses-Opportunities-Threats Detaillierte Analyse der Assessment Resultate Für Verbesserungen Empfehlungen für Prozess Verbesserungen Entwurf für einen Verbesserungsplan Präsentation für das Management und Stakeholder Management Summary Weitere Meetings um das Ergebnis zu präsentieren

43 Assessment Resultat: Beispiel eines Prozess Profil Level 1 Level 2 Level 3 Level 4 Level 5 Performed Managed Established Predictable Optimizing Process Performance Work Product Process Process Process Process Process Process Performance Management Management Definition Deployment Measurement Control Innovation Optimisation Incident Mgmt F L F P N Service Level Mgmt F F F L L Problem Mgmt L P F L N Legend: F Fully Not Assessed L Largely N.A. Not Applicable P Partially N Not Level 1 Level 2 Level 3 Level 4 Level 5 Performed Managed Established Predictable Optimizing Incident Mgmt Service Level Mgmt Problem Mgmt Legend: Level Achieved Level Not Achieved Not Assessed

44 Beispiel eines Verbesserungplanes Prozess Maturität Levels Operative Verbesserungen Interne Kommunikation Tool Standardisierung Spezifische und gezielte Verbesserung Prozesse, Aktivitäten, Arbeitsergebnisse, Beteiligte, Anweisungen, Templates Kommunikation Qualitäts Ziele Risiko Management Einschätzung der Ressourcen Business Pläne Qualitäs Ueberwachung Organisatorische Akzeptanz Aktueller Stand Bildung einer Projekt Organisation 1 bis 3 Monate 3 bis 6 Monate 9 bis 15 Monate Zeit

45 COBIT Ausbildung

46 Training road map

47 Process assessment explained Process capability Prüfer-Zertifizierung Rollen in der COBIT -Prozessbewertung Lead assessor Assessor ein "kompetenter" Prüfer mit Verantwortung für die Aufsicht über die Bewertungsaktivitäten Certifified COBIT Assessor Kompetenzen des Prüfers Assessor Person, welche die Bewertung durchführt und Prüferkompetenzen entwickelt Wissen, Fähigkeiten und Erfahrung Mit dem Prozess-Referenzmodell; Prozess-Bewertungsmodell, Methoden und Werkzeugen; mit Rating-Prozessen Mit den Prozessen/Domänen, die bewertet werden Persönliche Eigenschaften, die zu einer effektiven Durchführung beitragen Ausbildung: COBIT Foundation (Voraussetzung) & COBIT Assessor

48 Certified COBIT Assessor Registration Upon the successful completion of the exam, APMG will be setting up a "registration process" for those candidates who feel they have the necessary competences and experience to apply for full certification from ISACA. Proof of taking the training course and the results of the exam will be sent to ISACA. After meeting the knowledge and experience requirements, candidates may apply to ISACA to become a COBIT 5 Certified Assessor.

49 Useful links ISACA COBIT 5 Homepage ISACA COBIT 5 Certified Assessor Program Program.aspx Glenfis Blog-Beitrag zu COBIT 5: blog.itil.org Enabler für eine nachhaltige IT-Governance Ist COBIT das bessere ITIL? COBIT 5 Assessor Ausbildung (Foundation ist Voraussetzung) COBIT Foundation elearning

50 Fragen?

51 Thank you for participating! This webinar has been recorded and can be re-viewed at the Glenfis Webpage (Webinar, archive): ( The slides will also be available for download The Mapping-Tables will be available for download as well COBIT books can be purchased at Glenfis (German/English) (shop.glenfis.ch) Follow me on Blog: blog.itil.org Next Webinar is ready for booking: "Big Data Governance und Management mit COBIT März 2014 Link

52 Vielen Dank für Ihre Aufmerksamkeit! Glenfis AG Badenerstrasse 623 CH 8048 Zürich +41 (0) (0) shop.glenfis.ch Blog.itil.org