Что ISO 19770-1 грядущий нам готовит

Скорее всего, если вы следите за событиями по теме SAM, вы уже прочли в блогах моих коллег (например, у Алексея Бутакова) новость о драфте следующей версии стандарта ISO/IEC 19770-1.

Предлагаемая версия, которой ещё очень далеко до статуса стандарта, значительно шире и глубже, чем действующая, утверждённая в 2006 году. Основное, конечно, нововведение — это разделение требований соответствия на четыре уровня (tier). При этом первый уровень является базовым, для «начинающих», а уровень четыре, соответственно, определяет требования к наиболее совершенному, «взрослому» SAM.

Польза очевидна любому, кто давно делает проекты SAM. С улыбкой смотрю на коммерческие предложения и прочие обещания внедрить полноценный SAM «от и до» с первого раза. В реальной жизни клиент всегда движется к идеальной модели управления программным обеспечением постепенно, итерационно.

Первой свою проприетарную итерационную модель SAM предложила компания Microsoft под маркой «SAM Optimization Model» или SOM. Вам она, скорее всего, уже очень хорошо знакома.

На всемирной партнёрской конференции 2008 года в Техасе её представляли консультанты известной аудиторской компании KPMG. Существовавший к тому времени стандарт 19770-1 взяли за основу, отобрали из 6 его разделов и 27 процессов десять наиболее важных по мнению разработчиков ключевых областей («компетенций» в терминологии SOM), перегруппировали их по-своему, назвали немного иначе, и определили по ним ключевые показатели в количестве тех же десяти штук. В зависимости от значения ключевого показателя, оценивается «зрелость» SAM в соответствующей компетенции. Оценка соответствует четырём уровням, причём первый, «базовый» уровень с деловой точки зрения является «нулевым», т.е. если SAM фактически отсутствует, то это «базовый» уровень.

В ряде случаев KPI компетенции количественный, а в ряде случаев — качественный, деловой, процедурный. Для того, чтобы было понятнее, приведу два примера.

Пример первый. Компетенция «План самостоятельного совершенствования SAM». Для «стандартизированного» (следующего после «базового») уровня необходимо следующее:

  • Разработан и утвержден план самостоятельного совершенствования SAM.
  • Выделен бюджет, в котором четко определены сфера действия, график выполнения и ресурсы в области SAM.

Для аттестации на «рационализированном» уровне предъявляются уже повышенные требования (выдержка частичная): «Наличие подтверждений прогресса в исторической перспективе; пересмотренный план совершенствования в области SAM одобрен руководством участников SAM; утвержден бюджет для текущего плана.»

Таким образом, в данной компетенции KPI измеряется согласно деловой активности, наличию соответствующих процессов, бюджетов и т.п. Чем выше уровень, тем больше операций должно выполняться в организованном, контролируемом порядке.

Второй пример из SOM. Компетенция «Инвентаризация оборудования и программного обеспечения». Если учитывается менее 68% активов, это «базовый» уровень. Если от 68% до 95%, то «стандартизированный», и так далее. Как видите, здесь KPI имеет вполне конкретные числовые значения.

Оценка организации по SOM осуществляется отдельно по каждой компетенции, таким образом организация может быть на «базовом» уровне по одним параметрам, на «стандартизированном», «рационализированном» и «динамическом» — по другим. Общая оценка не выставляется. Общее соответствие одному определённому уровню не принято.

Многоуровневая структура предлагаемого проекта стандарта ISO/IEC 19770-1:20xx во многом принципиально иная. Кратко это выглядит так:

  • Все показатели качественные, не количественные.
  • Сертификация организации будет производиться только на один уровень в целом.
  • «Нулевого» или «базового» уровня нет.

Для аттестации на определённый уровень необходимо выполнить соответствующий набор требований, т.е. обеспечить наличие процессов и процедур, и доказательств их выполнения.

Предлагается такой порядок, при котором организация будет сертифицироваться на определённый уровень (tier). Сертификация будет проводиться сразу по всем разделам стандарта. Например, если производится сертификация на уровень Tier 4, но требования по части разделов выполнены только на Tier 3 или ниже, организация не может быть «частично соответствующей Tier 4, а частично Tier 3», для сертификации на Tier 4 придётся выполнить все требования Tier 4.

Здесь следует сделать оговорку, что чем ниже уровень (tier), тем по меньшему количеству разделов стандарта производится оценка, так как наличие определённых процедур требуется только с повышением уровня.

Важным дополнением проекта стандарта являются приложения, которых нет в действующей версии. Это, во-первых, рекомендации по использованию стандартов ISO по описанию процессов или ведению документации. Во-вторых, бесценная аналитика: сравнение многоуровневой модели стандарта с существующими мультиуровневыми рекомендациями и практиками ITAM: ITIL, IAITAM, ISACA, CobiT и японского SAM Consortium. Сравнение с проприетарными моделями, среди которых упомянутый в этой статье SOM, запланировано на следующую редакцию стандарта.

Несмотря на то, что проект должен пройти ещё немало инстанций и уточнений, чтобы стать утверждённым стандартом, если вы — практикующий специалист SAM, я бы рекомендовал уже сейчас начать применять его в работе.

© Alexander Golev & Partners Software Asset Management Experts Ltd. Сайт использует Nesta Ruby CMS.
Яндекс.Метрика