1

2

Von ISACA fr ISACA

Fachvortrge fr alle Mitglieder

Bietet CMMI einen Mehrwert zu CobiT ?

Oliver Wildenstein

Fachgruppe CobiT-CMMI

11. Mrz 2011

3

Agenda

FG CobiT-CMMI: Mitglieder, Aufgabe, Zielgruppe

berblick CMMI

Mehrwert CMMI zu CobiT?

Vergleich CobiT CMMI

Ausblick

4

FG CobiT-CMMI: Mitglieder

Stefanie Looso (in Elternzeit)Wissenschaftliche Mitarbeiterin

Frankfurt School of Finance & Management gGmbH

Dr. Ute StreubelPrincipal

KUGLER MAAG CIE GmbH

Leiter der Fachgruppe (seit Anfang 2011):

Gert-Jan Timmer RE CIA CISA

Manager Internal Audit North Europe

AXA Technology Services

Oliver WildensteinFachreferent IT-Governance, -Compliance und

Prozessmanagement MLP Finanzdienstleistungen AG

5

FG CobiT-CMMI: Aufgabe

Evaluierung und Darstellung:

Mehrwert der CMMI-Controls bei vorhandenem Einsatz von CobiT

Mehrwert der CobiT-Controls bei vorhandenem Einsatz von CMMI

Focus: Anwendungsentwicklungsprozesse

(CobiT Domain Acquisition and Implement)

Auf Basis von CMMI-DEV 1.2 [SEI 2006a] Category

Engineering und CobiT 4.1 [ITGI 2007]

6

FG CobiT-CMMI: Zielgruppe

IT Auditoren, Prozess-Architekten und generell

7

berblick: Was ist CMMI?

Ein Referenzmodell

In der Industrie bewhrte Best Practice fr nachhaltige

Prozessverbesserung

Weltweit verbreitetes Modell - de-facto Industriestandard vom SEI

(Software Engineering Institute)

Integriertes Modell (Entwicklung, Bereitstellung & Betrieb sowie

Beschaffung)

Beschreibungsmodell (WAS, d.h. welche Ziele mssen durch den

Prozess erreicht werden?)

Branchenunabhngig und toolunabhngig

Ein Bewertungsmodell

Mit einem normierten Appraisalverfahren zum Rating (5 Reifegrade)

Vielseitig verwendbare Appraisals: als Benchmark, zur Lieferanten-

bewertung und zur Gap-Analyse fr effektive Prozessverbesserung

F r a n k f u r t S c h o o l . d e

8

berblick: Was ist CMMI?

Ein Prozessmanagement-Modell

Fr die Definition und Planung, das Ausrollen, die Umsetzung,

berwachung, Steuerung, Begutachtung, Messung und Verbesserung

von Prozessen

Ermglicht das Zusammenspiel von Prozessen

Untersttzt, dass Rolleninhaber ausreichend fr den Prozess

ausgebildet sind

Ein Integrationsmodell

CMMI ist zur Integration anderer Modelle konzipiert

Non-CMMI-Prozesse knnen mit CMMI integriert, implementiert und

institutionalisiert werden

F r a n k f u r t S c h o o l . d e

9

berblick: Was bietet CMMI?

Bewhrtes Verbesserungs-Vorgehen

Verbesserungs-Ziele (Reifegrade und Prozessgebiete)

Verbesserungs-Infrastruktur (Organisationsvorschlge)

Verbesserungs-Vorgehensmodell (in Kombination mit IDEAL)

Klare Zielrichtung und praktischer Nutzen

Transparenz in Entwicklungs-, Betriebs- und Beschaffungsprojekten

erhhen

Qualittssteigerung

Produktivittssteigerung

Erhhte Kundenzufriedenheit

Kultur der stndigen Verbesserung

Prozesstransparenz und Prozesskontrolle untersttzen effiziente IT-

Governance und wappnen fr Compliance

F r a n k f u r t S c h o o l . d e

10

CMMI-DEV

(CMMI for

Development)

Managen von

Entwicklungs-

prozessen

CMMI-SVC

(CMMI for

Services)

Managen interner

Und externer

Dienstleistungen

CMMI-ACQ

(CMM for

Acquisition)

Managen der

Lieferanten

16 gemeinsame

Prozessgebiete

Bestandteile von CMMI [SEI 2006a-d]

11

Mehrwert CMMI zu CobiTEinordnung/Vergleich von Referenzmodelle/Standards

IT-Fhrung

Prozess-

definition

Prozess-

anforderung

Prozess-

verbesserung

IT-Betrieb

IT-

Entwicklung

CobiT

Val-IT

ITIL

Daten-

sicherheit

CMMI

Quelle: [Johannsen, Goeken 2007]

12

CobiT

COSO

A Changing Business World

CMMI

ITIL

SPICE

Prozessanforderungen

Compliance

Control

Improvement

Performance

F r a n k f u r t S c h o o l . d e

Mehrwert CMMI zu CobiTControl und Improvement Frameworks

13

Mehrwert CMMI zu CobiTCMMI-Controls vertiefen teilweise CobiT-Controls

Compliance-

Anforderung

CobiT Control

Objectives

CMMI ITIL

F r a n k f u r t S c h o o l . d e

14

Vergleich CobiT CMMIWas bisher in der FG CobiT-CMMI geschah

Erfahrungsaustausch

Verwirrung: Sprechen wir ber die gleiche Begriffe (CobiT/CMMI)?

Schritt 1 Um keine pfel mit Birnen zu vergleichen sowie die

Relationen zwischen den Begriffen besser zu verstehen, ist

ein Metamodell erstellt worden

Schritt 2 Auf Basis des Metamodells wurden bereits viele

Controls in CobiT inhaltlich mit den Practices in CMMI verglichen

15

Generic Goal 3

Specific Goal 3

Process Area

Service Continuity

Specific Goal 2

Specific

Practices

Specific

Practices

Specific

Practice

Generic

Practices

Generic

Practices

Generic

Practices

Specific Goal 1

Generic Goal 2

Generic Goal 1

Vergleich CobiT CMMIProzessvorgaben und Controls aus CMMI [SEI 2006a]

16

Vergleich CobiT CMMIProzessvorgaben und Controls aus COBIT [ITGI 2007]

process description

control objectives

process inputs and outputs, RACI chart, goals and metrics

maturity model

process controls

application controls

17

Vergleich CobiT CMMISchritt 1: Metamodell

Control

ObjectiveActivity

Control Practice

is

contained

in

is

contained

in

is

contained

in

Process Process Area

Specific Practice

Sub Practice

CMMICOBIT

is

contained

in

is

contained

in

18

Vergleich CobiT CMMISchritt 2: Vergleich auf Basis des Metamodells

Controls in CobiT mit Practices in CMMI

is created

by

is used by

Capability

belongs to Category

has

Specific goalsSub PracticesSpecific

Practices

supports

Work products Process area

Result Process

Goal

Maturity Level

In CMMI anders

gedacht

Domain

Generic Goals

sind auf einer

anderen Ebene

anzusiedeln.Activity Control Objective

.CMM provides a model for

developing processes and

identifying the key practices

required to increase the

maturity of the software

improvement process, but

CMM does not provide the

processes themselves or

process descriptions. The

model can be used to define

process improvement

objectives and priorities,

improve processes, and

provide guidance for ensuring

stable, capable and mature

processes.

19

Ausblick

Die Fachgruppe CobiT-CMMI hat bis Ende 2011 als Ziel

folgende Endergebnisse ihrer Arbeit vorzulegen

- Artikel in der IT-Governance-Zeitschrift

- Verffentlichung eines Ergebnisdokuments

- berblick und Vergleich von CobiT - CMMI

- Metamodel Vergleich CobiT - CMMI

- Professional Judgement

- welche detaillierten Controls aus CMMI bieten ber CobiT hinaus einen Mehrwert

- welche detaillierten Controls aus CobiT bieten ber CMMI hinaus einen Mehrwert

20

Anhang

[ITGI 2007] IT Governance Institute: CobiT 4.1, 2007. www.isaca.org, Abruf am 13.10.2008

[Johannsen, Goeken 2007] Johannsen W.; Goeken M. : Referenzmodelle fr IT-Governance, Strategische Effektivitt und Effizienz mit CobiT, ITIL & Co, dpunkt.verlag, Heidelberg, 2007.

[SEI 2006a] Software Engineering Institute: CMMI for Development, Version 1.2, 2006. http://www.sei.cmu.edu/reports/06tr008.pdf, Abruf am 09.03.2011

[SEI 2006b] Software Engineering Institute: CMMI for Development deutsch, Version 1.2, 2006. http://www.sei.cmu.edu/library/assets/ cmmi-dev-v12-g.pdf, Abruf am 09.03.2011

[SEI 2006c] Software Engineering Institute: CMMI for Acquisition, Version 1.2, 2006. http://www.sei.cmu.edu/reports/07tr017.pdf, Abruf am 09.03.2011

[SEI 2006d] Software Engineering Institute: CMMI for Services, Version 1.2, 2006. http://www.sei.cmu.edu/reports/09tr001.pdf, Abruf am 09.03.2011

21

Bcher zu CMMI

Mary Beth Chrissis, Mike Konrad, Sandy Shrum:

CMMI Guidelines for Process Integration and Product Improvement (2nd Edition), Addison Wesley 2006

Offizielle deutsche bersetzung: CMMI Richtlinien fr Prozess-Integration und Produkt-Verbesserung,

Addison Wesley 2009

Michael West:

Real Process Improvement Using the CMMI, Auerbach 2004

Suzanne Garcia, Richard Turner:

CMMI Survival Guide: Just Enough Process Improvement. Addison Wesley 2006

Ralf Kneuper:

CMMI Verbesserung von Software- und Systementwicklungsprojekten mit CMMI-DEV, dpunkt Verlag Heidelberg, 3. Auflage 2008