Приложение Е (справочное). Отраслевые подходы к оценке зрелости процессов. Национальный стандарт РФ ГОСТ Р ИСО/МЭК 19770-1-2014 "Информационные технологии. Менеджмент программных активов. Часть 1. Процессы и оценка соответствия по уровням" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 29.05.2014 N 483-ст) (документ утратил силу)

Приложение Е
(справочное)

Отраслевые подходы к оценке зрелости процессов

Е.1 Введение

Подходы к оценке зрелости процессов не включены в нормативный текст настоящего стандарта. Однако на такие подходы имеется значительный рыночный спрос, поэтому этот подход предполагается включить в состав разрабатываемого третьего поколения настоящего стандарта (см. D.2 "План развития стандартов требований к процессам").

Желательно и полезно иметь возможность оценивать эффективность внедрения процессов, описанных в ИСО/МЭК 19770-1:2006, используя определенную модель зрелости возможностей. Однако среди множества созданных моделей на сегодняшний день отсутствует определенная и глобально принятая модель зрелости возможностей для оценки SAM. Разработка определенной и глобально принятой модели зрелости возможностей для оценки SAM потребует дополнительного времени и объединения подходов, основанных на всех частях ИСО/МЭК 19770 и других доступных рыночных методологиях.

Управление как государственными, так и частными организациями требует четкого понимания того, насколько хорошо осуществляется управление программными активами в организации. Четко определенная модель зрелости возможностей позволит организациям использовать объективные измерения при оценке эффективности процессов SAM. Сосредотачиваясь на результатах процессов SAM, а не на используемых методах, организации смогут принимать более качественные решения, направленные на совершенствование процессов SAM. Кроме того, организации, сравнивая свои показатели с показателями аналогичных организаций, смогут получить дополнительную ценную информацию.

Эффективные процессы SAM связывают людей, инструменты/технологии и методы в один общий механизм, ориентированный на достижение поставленных целей. По мере повышения зрелости программы SAM, процессы SAM становятся более качественными и согласованными в рамках всей организации. Однако каким образом организация может объективно оценить, насколько эффективно результаты процессов SAM отвечают поставленным целям. Именно здесь может пригодиться модель зрелости возможностей по установке программного обеспечения SAM.

Используя четко определенную модель зрелости возможностей как основу согласованной оценки, организации могут получить более объективные измерения и более осмысленные результаты.

Модель зрелости возможностей определяет инфраструктуру для оценки эффективности реализованных процессов достижения поставленных целей. Такая модель зрелости возможностей будет иметь различные уровни эффективности, необходимые для достижения цели. Уровни будут варьироваться от базового (не обеспечивающего эффективность) до уровня передовой практики. На основе оцененного уровня возможностей или зрелости организации смогут определить необходимые улучшения процессов для достижения требуемой эффективности. Кроме того, при оценке модели возможностей или зрелости могут использоваться системы измерений, позволяющие организациям сравнивать уровни зрелости своих процессов с процессами других организаций.

Целью модели зрелости возможностей SAM является:

1) создание определенной модели оценки эффективности процессов SAM для достижения целей;

2) согласование этой модели с существующими стандартами зрелости возможностей (например, с широко распространенным подходом ИСО/МЭК 15504), для того чтобы организации могли использовать согласованные подходы к измерению процессов; и

3) создание методологии, с помощью которой организация может отслеживать непрерывное совершенствование в рамках программы SAM.

Кроме того, предполагается создать дополнительное руководство, с помощью которого организации смогут улучшить процессы, относящиеся к программе SAM.

Е.2 Основные модели зрелости возможностей

Е.2.1 Обзор

В настоящее время имеется множество четко определенных моделей зрелости возможностей, используемых для оценки управления процессами. Из них наиболее распространенными моделями измерений, используемыми для оценки связанных с SAM процессов, являются следующие: ИСО/МЭК 15504:2003 (часто именуемый SPICE); Control Objective for Information and related Technology (CobiT) ("Цели контроля для информационных и смежных технологий"); Capability Maturity Model Integration (CMMI) ("Интегрированная модель зрелости процессов программного обеспечения"); Business Process Maturity Model (BPMM) ("Модель зрелости бизнес-процессов"); Microsoft's Software Asset Management Optimization Model (SOM) ("Модель оптимизации управления программными активами Microsoft"); lAITAM's 360 Assessment Model ("Модель оценки IAITAM 360") и стандарт управления активами (SAMAC) Software Asset Management Standards ("Стандарт управления программными активами, ассоциация оценки и сертификации SAM"). В настоящее время особое внимание SAM уделяют в своих моделях Microsoft, IAITAM и SAMC. Стандарт CobiT более универсален, но также применим и широко используется. Более подробная информация о стандартах CobiT и SAM приведена в подразделе С.3 "Дополнительная информация по избранным сопоставлениям с CobiT".

Примечание - В настоящем стандарте не оговариваются никакие конкретные источники внешних моделей SAM и не подразумеваются никакие утверждения связанных продуктов или сорсинговых организаций. Особенности будущей работы никак не привязываются к выбранной модели (из перечисленных в настоящем стандарте).

Различные модели зрелости возможностей используют в процессе оценки две различные методологии. Наиболее распространенная методология основана на оценке каждого отдельного процесса, исходя из возможностей достижения целей или результатов. Другая методология, используемая в моделях оценки как Microsoft SOM, так и IAITAM 360, базируется на группировании сходных процессов и последующей оценке этих групп, исходя из возможностей достижения целей или результатов. Кроме того, модели CobiT и ВРММ могут свободно применять методологию группирования процессов по определенным целям организации и ИТ.

Ниже приводится краткий обзор наиболее распространенных моделей зрелости возможностей в существующей среде.

Е.2.2 ИСО/МЭК 15504/33000

ИСО/МЭК 15504 в настоящий момент находится в процессе пересмотра и станет серией 33000. ИСО/МЭК 15504 не только представляет введение в концепцию оценки процессов, но также описывает методы оценки и некоторые образцы моделей оценки процессов. При оценке эффективности процесса ИСО/МЭК 15504 использует следующие 6 уровней:

0 - Незавершенный процесс: процесс не реализован или не может достигнуть цели. На этом уровне доказательств любого систематического достижения цели процесса мало или они отсутствуют.

1 - Выполненный процесс: реализованный процесс достигает цели.

2 - Управляемый процесс: выше описанный уровень 1 реализуется управляемым способом (запланирован, отслеживается и корректируется), а результаты его работы надлежащим образом задаются, контролируются и фиксируются.

3 - Установленный процесс: вышеописанный уровень 2 реализуется с помощью определенного процесса, обеспечивающего достижение результатов управляемого процесса.

4 - Предсказуемый процесс: выше описанный уровень 3 выполняется в определенных рамках, что позволяет обеспечить достижение результатов процесса.

5 - Оптимизирующий процесс: выше описанный уровень 4 непрерывно усовершенствуется, что позволяет обеспечить достижение текущих и прогнозируемых целей.

Е.2.3 CobiT

(См. также подраздел С.3 "Дополнительная информация по избранным сопоставлениям с CobiT"). Модель процессов CobiT подразделяет ИТ на четыре области и 34 процесса, в соответствии с зонами ответственности: планирование, создание, выполнение и мониторинг, обеспечивающими полное покрытие ИТ. При оценке эффективности процесса стандарт CobiT использует следующие 6 уровней:

0 - Несуществующий: полное отсутствие применяемых процессов. Организация даже не понимает, что у нее имеются проблемы.

1 - Исходный/несистематический: установлен тот факт, что организация поняла, что у нее имеются проблемы, и эти проблемы нужно решать. Однако стандартизированные процессы для этого отсутствуют; вместо них в каждом отдельном случае применяются специализированные подходы (чаще всего индивидуальные и нерегулярные). Общий подход к управлению дезорганизован.

2 - Повторяющийся, но интуитивный: процессы разработаны до той стадии, когда аналогичные процедуры выполняются различными людьми, выполняющими ту же задачу. Формальное обучение или знания стандартных процедур отсутствуют, ответственность возлагается на конкретного человека. Успех процессов в большой степени базируется на знаниях отдельных людей, поэтому вероятны ошибки.

3 - Определенный процесс: процедуры стандартизированы и документированы, и знания о них передаются посредством обучения. Такие процессы обязательны к соблюдению, однако выявление отклонений от таких процессов маловероятно. Сами по себе процедуры не сложны и создаются на базе формального анализа существующей практики.

4 - Управляемый и измеряемый процесс: руководство следит за выполнением процедур и принимает меры в тех случаях, когда процессы, по его мнению, выполняются неэффективно. Процессы постоянно улучшаются и обеспечивают полезный опыт. Использование средств автоматизации и инструментария ограничено или фрагментировано.

5 - Оптимизированный процесс: процессы доведены до уровня передовых практик на основе непрерывного совершенствования и моделирования зрелости совместно с другими организациями. С целью автоматизации рабочего окружения, в общие процессы интегрируются ИТ-процессы, реализующие инструментарий повышения качества и эффективности, что помогает организации быстро адаптироваться к новым требованиям.

Последняя актуальная информация, связанная с моделью CobiT, приводится в исходных источниках (см. ISACA/ITGI [www.isaca.org]).

Е.2.4 Модель зрелости ВРММ

Модель зрелости ВРММ базируется на принципах модели CMMI. Изначально модель ВРММ охватывает широкий диапазон сфер применения, используя 30 областей процессов, однако этот диапазон может быть расширен до определенной сферы применения. При оценке эффективности процессов модель ВРММ использует следующие 5 уровней:

1 - Начальный, или "руководство тушением пожара": конкретные цели у организации отсутствуют. Успех в таких организациях зависит от компетентности и личного отношения к работе людей, а не от использования проверенных процессов.

2 - Управляемый, или "управление составными элементами работы": цель состоит в создании основы управления в пределах каждого составного элемента работы или проекта.

3 - Стандартизованный, или "управление процессами": цель состоит в установлении и использовании общей организационной инфраструктуры процессов и связанных активов процессов для согласованного выполнения работ по выпуску продукции и предоставлению услуг организацией.

4 - Прогнозируемый, или "управление возможностями": цель состоит в управлении и использовании ресурсов организационной инфраструктуры процессов и связанных активов процессов для достижения прогнозируемых результатов с контролируемыми отклонениями.

5 - Инновационный, или "управление изменениями": цель состоит в непрерывном совершенствовании процессов организации и создаваемых в результате продуктов и услуг посредством предотвращения дефектов и проблем, непрерывного повышения возможностей и плановых инновационных улучшений.

Последняя актуальная информация, связанная со стандартом, приводится в исходных источниках (см. Object Management Group [www.oma.org]).

Е.2.5 Модель оптимизации SAM от Microsoft

Модель оптимизации SAM компании Microsoft (Microsoft's SAM Optimization Model, SOM) группирует 27 процессов, перечисленных в настоящем стандарте, по шести категориям, а затем определяет 10 ключевых компетенций для измерения. По мнению Microsoft, эти 10 компетенций точно определяют то, что необходимо предпринять организации для реализации эффективной программы SAM. При оценке эффективности компетенций модель SOM использует следующие 4 уровня:

1 - Базовый SAM, или "несистематический": слабый контроль за тем, какие ИТ-активы используются и где. Политики, процедуры, ресурсы и инструменты отсутствуют.

2 - Стандартизованный SAM, или "отслеживание активов": имеются процессы SAM, а также хранилище инструментов/данных. Информация может быть неполной и неточной и обычно не используется для принятия решений.

3 - Рационализированный SAM, или "активное управление": для управления жизненным циклом программных ИТ-активов используются представления, политики, процедуры и инструменты. Для управления активами используется надежная информация.

4 - Динамический SAM, или "оптимизированный": отслеживание изменений бизнес-потребностей практически в реальном времени. Формирование конкурентных преимуществ благодаря применению процессов SAM.

Последняя актуальная информация приводится в исходных источниках (см. Microsoft [www.microsoft.com]).

Е.2.6 Модель оценки IAITAM 360

(См. также приложение С). Модель оценки IAITAM 360 базируется на 12 ключевых группах процессов (КРА), определенных в Библиотеке передовой практики IAITAM (IBPL). Для оценки IAITAM группирует различные процессы в 12 КРА и при оценке эффективности процесса использует следующие 5 уровней:

1 - Несистематический: процессы не определены; функции и политики существуют только в самодостаточных подразделениях; внутренняя коммуникация минимальна; реактивные действия вместо превентивных; имеется риск несоблюдения требований; производительность минимальна; ценность уровня минимальна.

2 - Повторяющийся: основные процессы периодически используются в масштабе всей организации; процессы начинают становиться более прибыльными; процессы принимают более определенную форму и чаще повторяются, однако все еще выполняются независимо друг от друга; политики определены и исполняются; процедуры созданы; взаимозависимости минимальны; согласованность с бизнес-требованиями минимальна; создаются роли; достигается личная заинтересованность руководства.

3 - Согласование: основные процессы четко определены, ясно прослеживается взаимодействие с другими процессами и КРА; программа в целом выполняется более эффективно, однако имеются резервы для ее повышения; взаимозависимости имеются, однако еще не оптимальные; внедряется базовая программа ITAM; достигнута максимальная коммуникационная эффективность в масштабе всей организации; риски несоблюдения требований заметно снижены; роли определены и исполняются.

4 - Стратегический: эффективность процессов оптимизирована, налажено взаимодействие между процессами и КРА; упреждающее принятие решений становится стандартным действием; определенные роли способствуют достижению общей цели; проекты планируются в соответствии с потребностями; поставленные цели достигаются; программа согласована с целями и бизнес-требованиями; в процессы вовлечена вся организация.

5 - Адаптивная оценка: результаты процессов предсказуемы; результаты процессов корректируются по мере необходимости; программа функционирует как базовая компетенция в рамках организации; риски несоблюдения требований отслеживаются или исключаются.

Последняя актуальная информация приводится в исходных источниках (см. IAITAM [www.iaitam.org]).

Е.2.7 Модель зрелости Ассоциации оценки и сертификации SAM (SAMAC)

(См. также приложение С). Модель зрелости SAMAC базируется на документе "Стандарты управления программными активами", определяющем 13 управленческих областей применения процессов SAM в организации. При оценке эффективности процесса эта модель зрелости использует следующие 6 уровней:

0 - Неполный: управление никак не реализовано. Это самая низкая оценка (уровень зрелости).

1 - Начальный/несистематический: управление не организовано и реализуется по указаниям ответственных работников или других лиц.

2 - Повторяющийся: организационная система частично имеется, реализовано непрерывное управление.

3 - Определенный: к деятельности всей организации и системам управления адекватно применяются политики и регуляторные акты, серьезные упущения отсутствуют.

4 - Управляемый: реализация процессов управления отслеживается в соответствии с установленными политиками, регуляторными актами и системами управления.

5 - Оптимизированный: с целью обеспечения оптимального управления и отслеживания изменений производственной среды SAM, процессы SAM пересматриваются по мере необходимости и на регулярной основе. Это самая высокая оценка (уровень зрелости).

Последняя актуальная информация приводится в исходных источниках (см. SAMAC [www.samac.or.jp]).