Post on 06-Mar-2018
1
2
Von ISACA für ISACA
Fachvorträge für alle Mitglieder
Bietet CMMI einen Mehrwert zu CobiT ?
Oliver Wildenstein
Fachgruppe CobiT-CMMI
11. März 2011
3
Agenda
• FG CobiT-CMMI: Mitglieder, Aufgabe, Zielgruppe
• Überblick CMMI
• Mehrwert CMMI zu CobiT?
• Vergleich CobiT – CMMI
• Ausblick
4
FG CobiT-CMMI: Mitglieder
• Stefanie Looso (in Elternzeit)Wissenschaftliche Mitarbeiterin
Frankfurt School of Finance & Management gGmbH
• Dr. Ute StreubelPrincipal
KUGLER MAAG CIE GmbH
• Leiter der Fachgruppe (seit Anfang 2011):
Gert-Jan Timmer RE CIA CISA
Manager Internal Audit North Europe
AXA Technology Services
• Oliver WildensteinFachreferent IT-Governance, -Compliance und
–Prozessmanagement MLP Finanzdienstleistungen AG
5
FG CobiT-CMMI: Aufgabe
• Evaluierung und Darstellung:
– Mehrwert der CMMI-Controls bei vorhandenem Einsatz von CobiT
– Mehrwert der CobiT-Controls bei vorhandenem Einsatz von CMMI
• Focus: Anwendungsentwicklungsprozesse
(CobiT Domain Acquisition and Implement)
• Auf Basis von CMMI-DEV 1.2 [SEI 2006a] Category
Engineering und CobiT 4.1 [ITGI 2007]
6
FG CobiT-CMMI: Zielgruppe
• IT Auditoren, Prozess-Architekten und generell
7
Überblick: Was ist CMMI?
• Ein Referenzmodell
– In der Industrie bewährte Best Practice für nachhaltige
Prozessverbesserung
– Weltweit verbreitetes Modell - de-facto Industriestandard vom SEI
(Software Engineering Institute)
– Integriertes Modell (Entwicklung, Bereitstellung & Betrieb sowie
Beschaffung)
– Beschreibungsmodell (WAS, d.h. welche Ziele müssen durch den
Prozess erreicht werden?)
– Branchenunabhängig und toolunabhängig
• Ein Bewertungsmodell
– Mit einem normierten Appraisalverfahren zum Rating (5 Reifegrade)
– Vielseitig verwendbare Appraisals: als Benchmark, zur Lieferanten-
bewertung und zur Gap-Analyse für effektive Prozessverbesserung
© F r a n k f u r t – S c h o o l . d e
8
Überblick: Was ist CMMI?
• Ein Prozessmanagement-Modell
– Für die Definition und Planung, das Ausrollen, die Umsetzung,
Überwachung, Steuerung, Begutachtung, Messung und Verbesserung
von Prozessen
– Ermöglicht das Zusammenspiel von Prozessen
– Unterstützt, dass Rolleninhaber ausreichend für den Prozess
ausgebildet sind
• Ein Integrationsmodell
– CMMI ist zur Integration anderer Modelle konzipiert
– Non-CMMI-Prozesse können mit CMMI integriert, implementiert und
institutionalisiert werden
© F r a n k f u r t – S c h o o l . d e
9
Überblick: Was bietet CMMI?
• Bewährtes Verbesserungs-Vorgehen
– Verbesserungs-Ziele (Reifegrade und Prozessgebiete)
– Verbesserungs-Infrastruktur (Organisationsvorschläge)
– Verbesserungs-Vorgehensmodell (in Kombination mit IDEAL)
• Klare Zielrichtung und praktischer Nutzen
– Transparenz in Entwicklungs-, Betriebs- und Beschaffungsprojekten
erhöhen
– Qualitätssteigerung
– Produktivitätssteigerung
– Erhöhte Kundenzufriedenheit
– Kultur der ständigen Verbesserung
– Prozesstransparenz und Prozesskontrolle unterstützen effiziente IT-
Governance und wappnen für Compliance
© F r a n k f u r t – S c h o o l . d e
10
CMMI-DEV
(CMMI for
Development)
Managen von
Entwicklungs-
prozessen
CMMI-SVC
(CMMI for
Services)
Managen interner
Und externer
Dienstleistungen
CMMI-ACQ
(CMM for
Acquisition)
Managen der
Lieferanten
16 gemeinsame
Prozessgebiete
Bestandteile von CMMI [SEI 2006a-d]
11
Mehrwert CMMI zu CobiTEinordnung/Vergleich von Referenzmodelle/Standards
IT-Führung
Prozess-
definition
Prozess-
anforderung
Prozess-
verbesserung
IT-Betrieb
IT-
Entwicklung
CobiT
Val-IT
ITIL
Daten-
sicherheit
CMMI
Quelle: [Johannsen, Goeken 2007]
12
CobiT
COSO
“A Changing Business World”
CMMI
ITIL
SPICE
Prozessanforderungen
Compliance
Control…
Improvement
Performance…
© F r a n k f u r t – S c h o o l . d e
Mehrwert CMMI zu CobiTControl und Improvement Frameworks
13
Mehrwert CMMI zu CobiTCMMI-Controls vertiefen teilweise CobiT-Controls
…
…
Compliance-
Anforderung
CobiT Control
Objectives
CMMI ITIL
© F r a n k f u r t – S c h o o l . d e
14
Vergleich CobiT – CMMIWas bisher in der FG CobiT-CMMI geschah
• Erfahrungsaustausch
• Verwirrung: Sprechen wir über die gleiche Begriffe (CobiT/CMMI)?
• Schritt 1 Um keine Äpfel mit Birnen zu vergleichen sowie die
Relationen zwischen den Begriffen besser zu verstehen, ist
ein Metamodell erstellt worden
• Schritt 2 Auf Basis des Metamodells wurden bereits viele
Controls in CobiT inhaltlich mit den Practices in CMMI verglichen
15
Generic Goal 3
Specific Goal 3
Process Area
Service Continuity
Specific Goal 2
Specific
Practices
Specific
Practices
Specific
Practice
Generic
Practices
Generic
Practices
Generic
Practices
Specific Goal 1
Generic Goal 2
Generic Goal 1
Vergleich CobiT – CMMIProzessvorgaben und Controls aus CMMI [SEI 2006a]
16
Vergleich CobiT – CMMIProzessvorgaben und Controls aus COBIT [ITGI 2007]
• process description
• control objectives
• process inputs and outputs, RACI chart, goals and metrics
• maturity model
• process controls
• application controls
17
Vergleich CobiT – CMMISchritt 1: Metamodell
Control
ObjectiveActivity
Control Practice
is
contained
in
is
contained
in
is
contained
in
Process Process Area
Specific Practice
Sub Practice
CMMICOBIT
is
contained
in
is
contained
in
18
Vergleich CobiT – CMMISchritt 2: Vergleich auf Basis des Metamodells
Controls in CobiT mit Practices in CMMI
is created
by
is used by
Capability
belongs to Category
has
Specific goalsSub PracticesSpecific
Practices
supports
Work products Process area
Result Process
Goal
Maturity Level
In CMMI anders
gedacht
Domain
Generic Goals
sind auf einer
anderen Ebene
anzusiedeln.Activity Control Objective
´….CMM provides a model for
developing processes and
identifying the key practices
required to increase the
maturity of the software
improvement process, but
CMM does not provide the
processes themselves or
process descriptions. The
model can be used to define
process improvement
objectives and priorities,
improve processes, and
provide guidance for ensuring
stable, capable and mature
processes.
19
Ausblick
Die Fachgruppe CobiT-CMMI hat bis Ende 2011 als Ziel
folgende Endergebnisse ihrer Arbeit vorzulegen
- Artikel in der IT-Governance-Zeitschrift
- Veröffentlichung eines Ergebnisdokuments
- Überblick und Vergleich von CobiT - CMMI
- Metamodel Vergleich CobiT - CMMI
- Professional Judgement
- welche detaillierten Controls aus CMMI bieten über CobiT hinaus einen Mehrwert
- welche detaillierten Controls aus CobiT bieten über CMMI hinaus einen Mehrwert
20
Anhang
• [ITGI 2007] IT Governance Institute: CobiT 4.1, 2007. www.isaca.org, Abruf am 13.10.2008
• [Johannsen, Goeken 2007] Johannsen W.; Goeken M. : Referenzmodelle für IT-Governance, Strategische Effektivität und Effizienz mit CobiT, ITIL & Co, dpunkt.verlag, Heidelberg, 2007.
• [SEI 2006a] Software Engineering Institute: CMMI® for Development, Version 1.2, 2006. http://www.sei.cmu.edu/reports/06tr008.pdf, Abruf am 09.03.2011
• [SEI 2006b] Software Engineering Institute: CMMI® for Development –deutsch, Version 1.2, 2006. http://www.sei.cmu.edu/library/assets/ cmmi-dev-v12-g.pdf, Abruf am 09.03.2011
• [SEI 2006c] Software Engineering Institute: CMMI® for Acquisition, Version 1.2, 2006. http://www.sei.cmu.edu/reports/07tr017.pdf, Abruf am 09.03.2011
• [SEI 2006d] Software Engineering Institute: CMMI® for Services, Version 1.2, 2006. http://www.sei.cmu.edu/reports/09tr001.pdf, Abruf am 09.03.2011
21
Bücher zu CMMI
Mary Beth Chrissis, Mike Konrad, Sandy Shrum:
CMMI Guidelines for Process Integration and Product Improvement (2nd Edition), Addison Wesley 2006
Offizielle deutsche Übersetzung: CMMI – Richtlinien für Prozess-Integration und Produkt-Verbesserung,
Addison Wesley 2009
Michael West:
Real Process Improvement Using the CMMI, Auerbach 2004
Suzanne Garcia, Richard Turner:
CMMI Survival Guide: Just Enough Process Improvement. Addison Wesley 2006
Ralf Kneuper:
CMMI – Verbesserung von Software- und Systementwicklungsprojekten mit CMMI-DEV, dpunkt Verlag Heidelberg, 3. Auflage 2008