• Bookmark

Улучшение процессов запроса коммерческих предложений (RFP) и заключения контрактов с помощью COBIT 5

Автор: Прземек Томцзак (Przemek Tomczak), CISA, CA, CPA

COBIT Focus | 22 сентября 2014 Английский | Испанский

Przemek TomczakПоиск новых поставщиков услуг в области ИТ – задача не из простых. Тем более, когда организация отвечает за обработку показаний счетчиков и поддержку процесса выставления счетов по тарифам, дифференцированным в зависимости от времени суток или сезона, для более четырёх миллионов клиентов. В данном конкретном случае именно сложности, связанные с поиском новых поставщиков и заключением с ними контрактов, заставили организацию обратить внимание на модель COBIT 5.


Компания Independent Electricity System Operator (IESO) анализирует спрос и предложение на электроэнергию в провинции Онтарио (Канада), а затем направляет ее по местным линиям электропередачи. Являясь центральным элементом системы электроснабжения в Онтарио, IESO объединяет всех участников – генерирующие компании, вырабатывающие электроэнергию, передающие компании, распространяющие её по всей провинции, сбытовые розничные предприятия, которые её покупают и продают, отрасли промышленности и компании, использующие её в больших количествах, и местные распределительные компании, доставляющие электроэнергию личным домохозяйствам.


IESO также является организацией интеллектуального учета, несущей ответственность за интеллектуальное управление данными измерений и их хранение (MDM/R). MDM/R – это первая и крупнейшая в мире совмещенная услуга интеллектуального управления данными измерений и их обработки, разработанная в поддержку биллинговых операций для более 70 коммунальных предприятий. Эта критически важная круглосуточная услуга позволяет обрабатывать более 100 миллионов транзакций в сутки и выставлять счета по дифференцированным тарифам более четырём миллионам клиентов.


Компания IESO использовала модель COBIT 5 для ускорения процесса поиска новых поставщиков ИТ-услуг и улучшения процесса заключения контрактов и управления ими.


Трудности, связанные с поиском новых поставщиков услуг

По мере истечения срока действия контракта с существующим оператором системы и инфраструктуры MDM/R, IESO приступила к открытому конкурсному процессу поиска нового оператора для оказания этой важнейшей комплексной услуги в условиях высоких требований к уровням обслуживания. Оказание данной услуги включает следующее:

  • Обработка более 100 млн показаний многотарифных счетчиков электроэнергии в течение нескольких часов в день
  • Обработка от 200 до 350 тыс. биллинговых запросов в день
  • Обработка более 40 тыс. запросов о предоставлении данных о потреблении электроэнергии в час
  • Подготовка более 2300 отчетов в день
  • Поддержка пяти различных технологий инфраструктуры усовершенствованного учета и более шести различных биллинговых систем информирования потребителей
  • Поддержка 72 коммунальных предприятий с обширной базой заинтересованных сторон и требований к процессу руководства
  • Внешний аудит функций и процессов MDM/R

Для обеспечения успешного перехода существующей системы MDM/R в руки нового оператора до истечения действующего контракта компании IESO требовалось завершить процесс поиска поставщика услуг и заключения контракта в очень сжатые сроки.


Для этого было необходимо донести требования IESO, связанные с действиями, ролями, обязанностями и результатами в отношении управления MDM/R, до потенциальных поставщиков услуг.


Улучшение процесса RFP

Компания IESO рассматривала возможные модели, которые могли бы помочь ей определить требования к управлению MDM/R и включить их в запрос коммерческих предложений (RFP). Такая модель должна была включать в себя полное описание всех процессов управления интегрированной ИТ-услугой. Чтобы удовлетворить это требование, IESO решила включить в RFP модель COBIT 5.


Модель COBIT использовалась для определения ролей, обязанностей, результатов и ожидаемых уровней возможностей для каждого ИТ-процесса. Самое главное, с помощью матрицы распределения ответственности RACI (ответственность, утверждение, консультирование, информирование) в ней оговаривались условия для IESO и поставщиков с целью уточнить их роли и избежать неправильного толкования (см. пример на рис. 1).
 

Рис. 1—Пример матрицы RACI из контракта IESOt

Условные обозначения
Зелёный: содержание COBIT 5
Синий: содержание IESO

Ключевая практика Практика для реализации Виды деятельности Выходы/
Результаты
Доставка в IESO? RACI поставщика RACI компании IESO Уточнение RACI (где применимо)
BAI06.01 Оценка, определение приоритетов, авторизация запросов на изменения Оценить все запросы на изменение для определения воздействия на бизнес-процессы и ИТ-услуги, а также для оценки потенциального негативного влияния изменения на операционную среду и недопустимого риска. Убедиться, что изменения зарегистрированы, приоритеты расставлены, категории определены, оценка проведена, изменения уполномочены и запланированы. 1. Использовать формализованные запросы на изменения, чтобы позволить владельцам бизнес-процессов и ИТ запросить изменения бизнес-процессов, инфраструктуры, систем или сфер применения. Убедиться, что все такие изменения возникают только в рамках процесса управления запросами на изменение.
2. Классифицировать все требуемые изменения (напр., бизнес-процесс, инфраструктура, операционные системы, сети, прикладные системы, приобретённое программное обеспечение) и соотнести затронутые этим элементы конфигурации.
3. Определить приоритет всех запрошенных изменений на основе коммерческих и технических требований, необходимых ресурсов и правовых, нормативных и договорных причин запрошенного изменения.
4. Запланировать и оценить все запросы в структурированном порядке. Включить анализ воздействия на бизнес-процессы, инфраструктуру, системы и приложения, планы обеспечения непрерывности бизнеса (BCP) и поставщиков услуг, чтобы гарантировать, что все затронутые компоненты были идентифицированы. Оценить вероятность неблагоприятного влияния на операционную среду и риск внесения изменения. Рассмотреть последствия запрашиваемого изменения с точки зрения безопасности, законодательства, контрактных обязательств и соответствия требованиям. Рассмотреть взаимозависимость между изменениями. Вовлечь владельцев бизнес-процессов в процесс оценки, в зависимости от обстоятельств.
5. Получить формализованное одобрение каждого изменения от владельцев бизнес-процессов, сервис-менеджеров и заинтересованных сторон (сфера ИТ), в зависимости от обстоятельств. Относительно частые изменения с низким уровнем риска должны быть предварительно одобрены как стандартные изменения.
6. Запланировать и составить график всех одобренных изменений.
7. Учитывать воздействие привлеченных по контракту поставщиков услуг (напр., отдаваемые на сторону бизнес-процессы, инфраструктура, разработка приложений и совмещённые услуги) на процесс управления изменениями, включая интеграцию организационных процессов управления изменениями с процессами управления изменениями, используемыми поставщиками услуг, а также воздействие на условия контракта и соглашения об уровне обслуживания.
1. Оценки влияния
2. Утверждённые запросы на изменения
3. План и график изменений
Да

Да

Да
О П Поставщик и IESO согласуют процедуру управления изменениями, соответствующую правилам использования MDM/R и руководству по управлению изменениями MDM/R.

Поставщик предоставляет сводку обоснованных изменений (в обычный порядок ведения бизнеса [BAU]) службе поддержке IESO. Обычный порядок ведения бизнеса – это внутренние действия поставщика с использованием базовой инфраструктуры, о которых он еженедельно докладывает IESO в качестве отдельной позиции вместе со всеми подробностями.
BAI06.02 Управление экстренными изменениями Тщательно управлять экстренными изменениями, чтобы свести дальнейшие инциденты к минимуму. Убедиться, что изменение контролируется и выполняется безопасным образом. Убедиться, что экстренные изменения соответствующим образом оценены и уполномочены после изменения. 1. Убедиться в наличии задокументированной процедуры для объявления, оценки, предварительного одобрения и авторизации после изменения, а также регистрации экстренного изменения.
2. Убедиться, что все меры по предоставлению экстренного доступа для изменений надлежащим образом уполномочены, задокументированы и отменены после реализации изменения.
3. Контролировать все экстренные изменения и выполнять анализы после реализации изменения с участием всех заинтересованных сторон. В анализе следует рассматривать необходимость и инициировать корректирующие действия, основанные на первопричинах, таких как проблемы с бизнес-процессами, разработкой и обслуживанием прикладных систем, средами разработки и тестирования, документацией и руководствами, а также целостностью данных.
4. Определить, что представляет собой экстренное изменение.
1. Анализ экстренных изменений после их реализации Да О П Поставщик и IESO согласуют процедуру управления изменениями, соответствующую правилам использования MDM/R, руководству по управлению изменениями MDM/R и требованиям, изложенным в настоящем документе.
BAI06.03 Отслеживание статуса изменения и предоставление соответствующей отчётности Вести систему отслеживания и отчетности для документирования отклоненных изменений, передачи информации о статусе утвержденных и реализуемых изменений, а также для завершения изменений. Убедиться, что утвержденные изменения выполняются в соответствии с планом. 1. Классифицировать запросы на изменения в процессе отслеживания (напр., отклонено; утверждено, но еще не начато; утверждено и в процессе; закрыто).
2. Предоставлять отчеты о статусе изменения с показателями производительности для обеспечения анализа и мониторинга подробной информации о статусе изменений и общем статусе со стороны руководства (напр., просроченный анализ запросов на изменения). Убедиться, что отчеты о статусе изменений зарегистрированы в контрольном журнале, так чтобы впоследствии изменения можно было отследить от начала и до конца.
3. Контролировать открытые изменения, чтобы убедиться, что все утвержденные изменения закрыты своевременно, в зависимости от их приоритета.
4. Вести систему отслеживания и отчетности для всех запросов на изменение.
1. Отчеты о статусе запросов на изменения (можно предоставлять через инструмент Service Now) Да О ОП IESO предоставит инструмент службы поддержки для отслеживания изменений в MDM/R для использования поставщиком и IESO.
BAI06.04 Закрытие и документирование изменений После реализации изменений соответствующим образом обновить решение и документацию пользователя, а также процедуры, затронутые изменением. 1. Include changes to documentation (e.g., business and IT operational procedures, business continuity and disaster recovery documentation, configuration information, application documentation, help screens, and training materials) within the change management procedure as an integral part of the change.
2. Define an appropriate retention period for change documentation and pre- and postchange system and user documentation.
3. Subject documentation to the same level of review as the actual change.
1. Документация по изменениям Да О ОП  


IESO оценивала ответы поставщиков на RFP, в том числе продемонстрированную ими способность удовлетворять заявленным требованиям к процессу управления работой MDM/R.


На последней стадии заключения контракта с выбранным респондентом, объем услуг и обязательств поставщика, а также результаты для каждого процесса в рамках COBIT были уточнены и включены в контракт. Несмотря на то, что такой процесс требовал значительных усилий как от поставщика услуг, так и от IESO, он помог убедиться, что обе стороны использовали принятый в отрасли язык для определения ИТ-процессов и практик.


Определение условий нового контракта

Данный пример показывает способ определения целей, действий, результатов и обязанностей в рамках процесса Управления изменениями BAI06 в отношении RFP и контракта IESO.


Матрица RACI использовалась для разработки предложенного распределения уровней ответственности за выполнение процесса между различными ролями и структурами:

  • Ответственный—Кто занимается выполнением задания?
  • Утверждающий—Кто отвечает за успешное выполнение задания?
  • Консультирующий—Кто предоставляет информацию на входе в деятельность?
  • Информируемый—Кто получает информацию?

Описание процесса BAI06
Все изменения, связанные с бизнес-процессами, приложениями и инфраструктурой, стандартные и экстренные, выполняются подконтрольно. Сюда входят стандарты и процедуры реализации изменений, оценка воздействия, приоритизация и авторизация, экстренные изменения, отслеживание, отчетность, закрытие и документация. Определение изменений может происходить в любое время в ходе проекта или этапа эксплуатации.


Цель процесса BAI06
Быстрая и надежная реализация изменений и смягчение риска негативного влияния на стабильность или целостность изменившейся обстановки.


Краткосрочный желаемый уровень возможностей BAI06
К концу переходного этапа компания достигает 3-го уровня возможностей установленного процесса (два атрибута)1. Управляемый процесс реализуется с помощью определенного процесса, способного достичь намеченных результатов.


Долгосрочный желаемый уровень возможностей BAI06
Через три года после завершения переходного этапа компания достигает 4-го уровня возможностей прогнозируемого процесса (два атрибута). Вышеописанный установленный процесс теперь действует в определенных пределах для достижения намеченных результатов.


Заключение

Будучи признанной моделью, COBIT помогла компании IESO значительно улучшить четкость определения технологических требований и обязательств поставщиков, снизив риск неправильного понимания или толкования. Весь процесс, от выдачи RFP, оценки ответов и до подписания контракта с успешным респондентом, был завершен за пять месяцев.


Эта модель также позволила IESO разработать стратегию перехода для стабилизации процессов в течение срока действия контракта. COBIT 5 продолжает использоваться компанией IESO и поставщиком в области управления и контроля MDM/R.


Модель COBIT стала очень полезным инструментом в достижении соглашения между IESO и поставщиком в отношении модели управления и ответственности, выявления рисков и управления ими, а также постановки задач по непрерывному совершенствованию.


Прземек Томцзак (Przemek Tomczak), CISA, CA, CPA

Директор по интеллектуальному учёту в компании Independent Electricity System Operator (IESO), осуществляющий надзор за деятельностью первой крупнейшей в мире совмещенной услугой интеллектуального управления данными измерений и их обработки, разработанной в поддержку биллинговых операций местных энергораспределительных компании в провинции Онтарио (Канада). До этого он руководил отделом внутреннего аудита и управления рисками в IESO. Томцзак обладает значительным опытом в области ИТ и ведения бизнеса, реализуя инициативы в области программ преобразования, консалтинга, аутсорсинга и управления рисками. Кроме того, он занимал руководящие должности в компаниях Protiviti Consulting, Capgemini, Accenture, EMC и PricewaterhouseCoopers.


Примечания

1 Определения уровня возможностей основаны на определениях, используемых в модели оценки процессов (PAM) программы оценки COBIT, на основе ISO/IEC 15504 (часть 2), которая определяет атрибуты измерительных структур на этих уровнях.

 

THIS WEBSITE USES INFORMATION GATHERING TOOLS INCLUDING COOKIES, AND OTHER SIMILAR TECHNOLOGY.
BY USING THIS WEBSITE, YOU CONSENT TO USE OF THESE TOOLS. IF YOU DO NOT CONSENT, DO NOT USE THIS WEBSITE. USE OF THIS WEBSITE IS NOT REQUIRED BY ISACA. OUR PRIVACY POLICY IS LOCATED HERE.