COBIT 5 过程能力模型
COBIT 4.1、 风险 IT 和 Val IT 的用户对包含在那些框架中的流程成熟模型很熟悉,这些模型用来衡量目前的或者“现在”的企业的 IT 相关流程的成熟程度,以定义一个需要的“将来”的成熟状态,并且确定他们之间的差距以及如何改进这些流程达到希望的成熟水平。
COBIT 5 产品系列包括一个基于国际公认的 ISO/IEC15504 的软件工程——流程评估标准的流程性能系统, 这个模型将实现相同的过程评估和过程改进支持的总体目标,即它将提供一种手段来衡量任何治理流程(基于 EDM 的)或管理(基于 PBRM 的)的流程性能, 并将允许确定改进的区域。
然而,这个新模型与 COBIT 4.1 成熟模型在设计和使用方面是不同的,因此,以下问题需要讨论:
- COBIT 5 模型与 COBIT 4.1 模型的不同点
- COBIT 5 模型的好处
- COBIT 5 用户在实际应用中将遇到的不同点的总结
- 执行 COBIT 5 性能评估
COBIT 5 性能评估方法的详细信息包含在 ISACA 出版物《COBIT 流程评估模型(PAM):使用 COBIT 4.1》中。
尽管这种方法将会提供关于流程状态的有价值信息,但是流程仅仅是治理和管理的七大促成因素之一,因此,流程评估不能提供企业治理状态的全景,因此,其它的促成因素也需要评估。
COBIT 4.1 成熟度模型与 COBIT 5 过程能力模型的不同点
COBIT 4.1 成熟度模型方法的元素如图表 18 所示:
使用 COBIT 4.1 成熟度模型实现流程改进目的(过程成熟度评估,确定目标成熟度水平并确定差距)需要使用以下 COBIT 4.1 元素。
- 首先,需要做一个流程控制目标是否满足的评估。
- 其次,包含在每个流程的管理指导方针中的成熟模型可以用来获取流程的成熟度轮廓。
- 另外, 通用的 COBIT 4.1 成熟度模型提供 6 个截然不同的属性,它们可以在每个流程应用, 并且帮助获取关于流程成熟水平的更详细的认识。
- 流程控制是一般控制目标,做流程评估时,它们也需要审查,流程控制与通用的成熟度模型属性部分重叠。
COBIT 5 流程性能方法可以总结如图表 19 所示:
有流程可以实现的 6 种性能等级, 包括一个“不完整流程”的称号,如果其中的实践没有达到流程的预期目标。
- 0 不完整流程—流程没有实施或没能实现流程目标。在这个级别,几乎 没有或者没有任何流程目标的系统实现的证据。
- 1 执行过程(1 个属性) —实施过程实现流程目标。
- 2 管理过程(2 个属性) —上面所描述的执行过程现在以管理的方式实施(规划、监控和调整), 其工作产品得到适当的建立、控制和维护。
- 3 建立的流程(2 个属性) —上面所描述的管理过程现在使用已定义的、能够实现流程输出的流程进行实施。
- 4 可预测的流程(2 个属性) —上面所描述的建立的过程现在在定义的限制内运行以实现它的流程输出。
- 5 优化的流程(2 个属性) —上面所描述的可预测的过程不断改善以满足有关的当前和预期的业务目标。
只有已经完全达到下面的级别,每一个性能等级才可以实现。例如,流程性能等级 3(建立的流程)需要在很大程度上实现流程定义和流程部署属性,在充分实现流程性能 2(管理过程)的属性之上。
流程性能等级 1 与更高性能等级之间有重要的区别,流程性能等级 1 的实现需要在很大程度上实现流程性能属性,这实际上意味着流程正在顺利进行和企业获得所需的结果, 然后较高的能力水平为其添加不同的属性。 在此评估计划中,实现性能等级 1,甚至等级是 5, 对于一个企业已经是重要成果。 请注意,每个独立的企业应当选择(基于成本——效益和可行性的原因) 它的目标或希望的水平,这很少是最高等级之一。
基于 ISO/IEC 15504 的流程性能评估和目前 COBIT 4.1 成熟度模型(和类似的 Val IT 和风险 IT 基于域的成熟度模型)的最重要区别可以总结如下:
- 在流程方面, ISO/IEC 15504 定义的性能水平的命名与意义与目前 COBIT 4.1 成熟水平相当不同。
- 在 ISO/IEC 15504 中,性能水平被一组 9 种流程属性定义,这些属性覆盖一些目前 COBIT 4.1 成熟度属性和/或流程控制覆盖的领域,但只到特定程度并以不同的方式。
一种与 ISO/IEC 15504:2 兼容的过程参考模型的要求描述了任何将评估的过程,即任何 COBIT 5 的治理和/或管理流程:
- 根据其目的与结果描述流程
- 流程描述不应包括任何高于 1 级的衡量框架的任何方面, 这意味着任何超出 1 级的流程属性的特征不能出现在一个流程的描述中。一个流程是否被衡量与监控或者它是否得到正式描述等,不能成为一个流程的描述或任何管理做法/活动的一部分。这意味着流程描述如《COBIT 5:促成流程》所包括的一样,只包含实现实际流程的目的和目标的必要的步骤。
- 如之前描述的一样,适用于所有企业流程的通用属性现在定义为评估模型的 2 到 5 级。 这些流程在出版物《COBIT 第三版》中产生重复控制目标并在 COBIT 4.1 中归为流程控制(PC)目标。
实际应用的不同
从之前的描述可知, 很显然,有一些与流程模型变化联系的实际应用方面的不同,用户需要了解这些变化并能够将它们考虑到实际的行动计划中。
需要考虑的主要变化包括:
- 尽管由于数量规模和用于形容它们的词的明显的相似之处而尝试对比COBIT 4.1 和 COBIT 5 评估结果,但因为在范围、 关注点和意图方面的差异, 比较是困难的, 如图 20 所示。
- 一般来说, COBIT 5 过程能力模型的的得分要小一些,如图 20 所示。 在COBIT 4.1 成熟度模型中,一个流程可以达到等级 1 或等级 2 而不需要完全实现整个流程目标。在 COBIT 5 流程性能等级中,这将导致一个较低的得分为 0 或 1。
COBIT 4.1 和 COBIT 5 能力规模大约可被视为'地图',如图表 20 所示。
- COBIT 5 中详细的流程内容在每个流程中不再有特定的成熟度模型,因为在 ISO /IEC 15504 的过程能力评估方法并不需要这甚至不允许此方法。相反,该方法定义“过程参考模型”所要求的信息(该过程模型可用于评估):
—流程的描述, 有目的的陈述
—基本的做法,在 COBIT 5 术语中,这是相当于过程治理或管理的做法的等同物
—工作产品,在 COBIT 5 术语中,输入和输出的等同物
- COBIT 4.1 成熟度模型产生一个企业的成熟度轮廓,这个轮廓的主要目的是确定在哪个维度或为哪个属性有需要改进的具体弱点。当有改善焦点而不是为报道目的而获得一个成熟度的数字的需求时,企业使用这种方法。在 COBIT 5 中, 流程评估模型为各性能属性和如何应用的指导提供了一个测量尺度,所以每个流程的评估可以针对这九个功能属性。
- COBIT 4.1 成熟度属性和 COBIT 5 流程性能属性并不是完全相同的,它们在一定程度上重叠或相互映射, 如图表 21 所示。 一直应用 COBIT 4.1 成熟度模型属性方法的企业可以重用它们现有的评估数据,并对它们在基于图表21 的 COBIT 5 属性评估进行重新分类。
COBIT4.1 成熟度模型级别 | 基于 ISO/IEC 15504 的流程能力 | 背景 |
5 已优化——基于与其他企业的不断完善和成熟度建模,过程已细化到一个良好的实践水平。 IT 以集成的方式用以使工作流程自动化,并提供工具以提高质量和效益,使企业快速适应变化。 | 5 级:优化流程——4 级可预测的过程不断完善,以满足相关的当前和预计的业务目标。 | 企业角度——企业知识 |
4 管理和可衡量——管理监控和衡量与步骤的遵守情况,并在流程不能有效地工作时采取行动。流程在不断改善,并提供良好的实践。自动化和工具以有限或零散的方式使用。 | 4 级:可预测的流程——3级建立的过程现在在以实现其过程的结果的范围内运行。 | |
3 已定义的流程——流程已经标准化和记录,并通过培训沟通。按照要求,这些应遵循流程,然而,这是不可能的,将检测出偏差。流程本身并不复杂,但却是现行做法的正规化。 | 3 级:建立过程——2 级管理过程使用所定义的,能够实现其过程的结果的过程现在实现了。 | |
2 级:管理过程——2 级执行过程现在以管理方式实施(计划,监控和调整),其工作产品得到适当的建立,控制和维护。 | 示例角度——个人知识 | |
2 可重复但直观——流程已经发展到是由承担着相同任务的不同的人遵守相似的程序的阶段。没有正规的培训或标准程序的交流,其责任留给个人。高度依赖个人的知识,因此,可能出现错误。 | 1 级:执行过程——已实施的过程实现其过程目标。 备注:如果流程结果没有达到的话。有些归为成熟度模型 1 的过程将列为 155040 是可能的。 | |
1 最初/Ad hoc——有证据表明企业已认识到问题存在并需要加以解决,然而,并没有标准化的流程,而是有 ad hoc 方法,往往被应用于个人或逐案的基础上。整体的管理方式杂乱无章。 | ||
0 不存在——完全缺乏可识别的过程。企业甚至还没有认识到有要解决的问题。 | 0 级:不完整的过程——过程没有实施或者未能达到其目的。 |
图表 20 - 成熟水平(COBIT4.1)和过程能力水平(COBIT 5)对照表
COBIT 4.1成熟度属性 | COBIT 5过程能力属性 | ||||||||
过程性能 | 性能管理 | 工作产品管理 | 过程定义 | 过程部署 | 过程管理 | 过程控制 | 过程创新 | 过程优化 | |
认识和沟通 | |||||||||
政策、规划和程序 | |||||||||
工具和自动化 | |||||||||
技能和专业知识 | |||||||||
责任和义务 | |||||||||
目标设定和衡量标准 |
图表 21 - 成熟度属性(COBIT4.1)和流程属性(COBIT 5)对照表
这些变化的好处
与 COBIT 4.1 成熟度模型相比, COBIT 5 的过程能力模型的优点包括:对正在处理的过程的关注的改善,以保证它正在实现其目的并产生预期的需要的结果。
- 通过减少重复的东西以减少内容,因为 COBIT 4.1 成熟度模型评估需要使用许多特定的元件,包括通用的成熟度模型,过程成熟度模型,控制目标和流程的控制以支持流程的评估。
- 改善了过程能力评估活动及评价的可靠性及可重复性,同时减少利益相关者在评估结果上的争论与分歧。
- 提高了过程能力评估结果的可用性,因为这个新模型为实现内部和潜在的外部目的,为将要执行的更正规的更严格的评估建立了一个基础。
- 与普遍接受的过程评估标准一致,也因此强烈支持市场上的过程评估方法。
在 COBIT 5 中执行过程能力评估
ISO / IEC 15504 标准规定,过程能力评估可以用于各种用途,也适用于不同严谨的程度。可以是内部的目的,着重于与企业领域和/或内部收益的流程改进之间的比较, 或者也可以是外部目的,着重于正式的评估,报告和认证。
COBIT 5 的基于 ISO / IEC 15504 的评估方法,一直促进下列目标的实现,自 2000 年以来这已成为一种重点 COBIT 的方法:
- 使得治理机构和管理层能够为过程能力设定基准;
- 使得高水平的“现在”和“将来”健康性检查能支持与过程改善有关的,治理主体与管理层投资决策的制定。
- 提供差距分析和和改善计划信息以支持合理的改善项目的确定。
- 向治理主体和管理层提供评估等级以衡量和监控当前的能力。
这一节介绍了为什么可以用 COBIT 5 过程能力模型执行一个高水平的评估以实现这些目标。
评估能力 1 级和更高级之间有区别。事实上,如前所述,过程能力级别 1 描述了过程是否达到预期目的,因此是一个要达到的非常重要的级别,也是使能力要达到更高的水平的基础。
评估过程是否实现其目标, 或者换句话说,达到 1 级能力,可以通过:
1、审查过程的结果,因为他们为每个流程中所描述的详细过程描述,并使用 ISO / IEC 15504 评定量表,为实现不同程度的目标分配一个等级。这个量表包括以下的评定等级:
- N(未实现) ——在评估过程中,有很少或没有证据显示定义的属性的实现程度。(0%至 15%的实现率)
- P(部分实现) ——在评估过程中,有一些证据显示定义的属性的一种方法或部分完成。在考察属性的完成情况的某些方面可能是不可预知的。(15% 至 50% 的实现率)
- L(基本上实现) ——对定义在评估过程中的属性,有系统化方法的证据和显著的成就。在评估过程中可能存在的一些有关此属性的弱点。 (50% 至 85% 的实现率)
- F(完全实现) ——对定义在评估过程中的属性有一个完整和系统的方法和证据,并充分实现。在评估过程中不存在有关该属性明显的弱点。 (85% 至 100% 的实现率)
2、 此外, 流程(治理或管理)实践可以使用相同的评定量表评估,表示在何种程度上的基本实践得到应用。
3、 要进一步完善评估,也可以考虑工作产品以确定一个具体的评估属性已经实现到何种程度。
虽然确定目标的能力级别取决于每个企业,许多企业将有希望将他们所有的流程达到一级水平。(否则,拥有这些流程还有什么意义? )如果没有达到这个水平,没有达到这个水平的原因会立即从以上解释的方法中得出,可以确定改进计划:
1. 如果一直没有实现所需的流程的结果, 那么该流程不符合目标,需要加以改进。
2. 流程实践的评估将揭示哪些做法是缺乏的或是失败的,并使这些实践实施和/或改善发生,并允许实现所有流程的成果。
对于较高的过程能力等级,从 ISO/IEC 15504:2 标准看,使用通用的做法。它们为每一个能力等级提供通用描述。
最近更新于 2022-05-14, 由 孜孜不倦 于 2022-05-01 发布, 已阅 2004 次。