Implementation av utvärderingsmetod inom IT-styrning baserad på COBIT

Relevanta dokument
Metod för att mäta mognad av IT-governance enligt CobiT

Alla rättigheter till materialet reserverade Easec

Visionen om en Tjänstekatalog

Processinriktning i ISO 9001:2015

ISACA och Euro CACSkonferensen. Kerstin Fredén, ordförande ISACA. Internrevisorerna tackar sina sponsorer

Företagsmodellering i UML

Förstudie: Övergripande granskning av ITdriften

Utvärdering av Ledningsprocesser. Fredrik Kjellberg Mannheimer

Titel Mall för Examensarbeten (Arial 28/30 point size, bold)

effekt nu Kunskapsinitiativet

Nuläges- och Mognadsanalys

PROJEKTPLAN. Enterprise architecture (EA) En verksamhetsövergripande arkitektur

Inför projektuppgiften. Markus Buschle,

Business research methods, Bryman & Bell 2007

Decentraliserad administration av gästkonton vid Karlstads universitet

JHS 179 Planering och utveckling av en övergripande arkitektur Bilaga 2. Verksamhetsmodeller och förmågor i ÖA-planering

Analys och design. Objekt. Klass. med hjälp av CRC. Klassdiagram

Inkapsling (encapsulation)

Aristi Fernandes Examensarbete T6, Biomedicinska analytiker programmet

campus.borlänge Förstudie - Beslutsstöd för operativ tågtrafikstyrning

Smartare städer i Skåne

SÄKERHETSSTYRNING INOM DEN FINANSIELLA SEKTORN

Rutiner för opposition

Statligt stöd för miljö- och sociala frågor till små och medelstora företag - en jämförande studie mellan Sverige och Storbritannien

PMM (Process Maturity Metrics) Allmänt. Mätetal för framgångsfaktorer. 1. CM konfigurationsstyrning

Införandet av Enterprise Risk Management (ERM) i Vattenfall

Trendkväll:arkitekur. Skapar TOGAF och andra EA- ramverk något värde?

Nationell Informationsstruktur 2015:1. Bilaga 7: Arkitektur och metodbeskrivning

FÖRELÄSNING 8 DSV2PVT

Configuration Management Vägen till ordning och reda med rätt stöd!

Vad är. Domändriven design?

Granskningsredogörelse Styrning och intern kontroll översiktlig granskning

Inför projektuppgiften. Markus Buschle,

Opponenter: Erik Hansen Mats Almgren Respondent: Martin Landälv ioftpd-verktyg

Modellering och mätning avseende informationssäkerhet. En populärvetenskaplig sammanfattning av projektet COINS

Agenda. Inledning, teoretiska metoder Hierarkisk uppgiftsanalys, HTA Cognitive walkthrough CW Heuristisk evaluering

Statusrapport. Digital Mognad i Offentlig Sektor

Titel på examensarbetet. Dittnamn Efternamn. Examensarbete 2013 Programmet

Informationssystem och databasteknik, 2I-1100

ISO/IEC 20000, marknaden och framtiden

Li#eratur och empiriska studier kap 12, Rienecker & Jørgensson kap 8-9, 11-12, Robson STEFAN HRASTINSKI STEFANHR@KTH.SE

Ledningssystem för IT-tjänster

Ramverk för projekt och uppdrag

Föreläsning 12 Inspektionsmetoder. Rogers et al. Kapitel 15

Hantering av IT-risker

Biproduktsinnovation - Hur företag kan finna affärsmöjligheter för biprodukter

Utvecklingen av ett tidregistrerings- och faktureringssystem

Rekommenderade Arkitektroller inom IT i Sverige

Oppositionsprotokoll-DD143x

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Bakgrund och motivation. Definition av algoritmer Beskrivningssätt Algoritmanalys. Algoritmer. Lars Larsson VT Lars Larsson Algoritmer 1

Information Technology and Security Governance

Utveckling av ett grafiskt användargränssnitt

Geografisk information Representation av förändringar i datamängder

Objektorientering. Grunderna i OO

Distribuerade affärssystem

SOA One Year Later and With a Business Perspective. BEA Education VNUG 2006

Kritisk reflektion av använd teori för införande av digitala teknologier, Tidsläckage Teorin.

Coridendro ett verktyg för att grafiskt åskådliggöra incidensen av malignt melanom inom olika släkter

"Distributed Watchdog System"

Styra IT vad är problemet?

BiTA Service Management AB

Hjälpmedel: Hjälpmedel som finns på plats: Valda artiklar del 1 och del 2 (gäller för del 2 av tentan) Inga övriga hjälpmedel

Oppositionsrapport. Opponent: Therese Sundström. Respondent: Malin Abrahamsson & Aleksandra Gadji

Unit testing methodology

openbim Stockholm 22 april 2013 Kraven på BIM är här

Programmering = modellering

Förslag till reviderad mål- och styrmodell för Danderyds kommun

Mälardalens högskola

Analys av BI-system och utveckling av BIapplikationer

Business Model Transformation. Banbrytande affärsmodeller genom transformation av affärsarkitektur

31 Systematisering av energiarbete

icore Solutions. All Rights Reserved.

Björn Åstrand

RIKTLINJE Sida 1 (5) KOMMUN. Datum

Arkitektur och metodbeskrivning. Nationell informationsstruktur

Revidering av ISO Peter Allvén SIS TK-304/PostNord

FMV användning av ISO/IEC för ledningssystem implementering. Harold Bud Lawson Styrelsemedlem och Consulting Partner

Preliminära resultat samt uppföljning och utvärdering av modell

Titel: Undertitel: Författarens namn och e-postadress. Framsidans utseende kan variera mellan olika institutioner

Asset Management ISO 55000

Angeppssätt för integration - standarder, internationell utblick och SIS

Bygg bro mellan ITIL v2 och v3 - Bridgekurser - DF Seminarium

Verkliga data för IT-beslut.

Project management in environmental protection. actors and participatory procedures

Interaktionsdesign som profession. Föreläsning Del 2

Introduktion till migrering till molnet

EIT Beskrivningsmodeller över transportprocesser

Viktigt! Glöm inte att skriva Tentamenskod på alla blad du lämnar in.

IKT plan för utbildningsnämnden 2015

Logging Module into the PRIME Core

Lathund fo r rapportskrivning: LATEX-mall. F orfattare Institutionen f or teknikvetenskap och matematik

Föreläsning 6: Analys och tolkning från insamling till insikt

HR i en internationell organisation, några tankar av P-O Nyquist. Göteborg

Produktstöd - Vägledning till dokumentationskraven i SS-EN ISO 9001:2000

Affärsmässig tjänstedesign och teknikutveckling, 7.5 hp Service Design and Business Models in an Engineering Context, 7.5 Credits

Förutsättningarna för en lyckad transformation. CIO Governance 13 september 2017

Semantic and Physical Modeling and Simulation of Multi-Domain Energy Systems: Gas Turbines and Electrical Power Networks

Transkript:

Implementation av utvärderingsmetod inom IT-styrning baserad på COBIT HANNA WIJKSTRÖM Master Thesis Stockholm, Sweden 2006 XR-EE-ICS 2006:023

Sammanfattning. IT-investeringarna är den största kostnad för många företag i dag och hanteras av alla delar av ett företag inte bara IT-avdelningen. Därför är en klar och tydlig struktur i hur man hanterar IT-frågor av stor vikt för att kunna säkerställa beslutsfattandet och kontrollen av IT inom hela företaget. Idag finns det ingen objektiv metod för att utvärdera hur IT-styrning sköts på företag, utan alla befintliga metoder bygger på att perswonen som genomför analysen har god inblick och erfarenhet i ämnet. Detta examensarbete presenterar implementationen och praktiskt testande av en formaliserad metod för utvärdering av IT-styrning, IT Organisation Model Assessment Tool (ITOMAT). Metoden har sin grund i best-practice ramverket Control Objectives for Information and related Technology (Cobit) och bygger på att man skapar och utvärderar modeller av organisationen. Cobit används både för att skapa och utvärdera modellerna. Examensarbetet har haft som mål att praktiskt implementera denna metod och automatisera utvärderingen för ökad tillgänglighet genom utökande av funktionaliteten i modelleringsverktyget METIS. En modell innehållande de entiteter Cobit presenterar skapades som en modell över en perfekt IT-organisation. Denna modell jämfördes sedan med en modell skapad över IT-organisationen på Umeå Energi. Jämförelsen utfördes med vissa bedömningskriterier i beaktande. Resultatet presenteras som en mognad för Umeå Energis ITstyrning. Abstract. The IT investments are increasingly taking a larger part of the budget for many companies today and are distributed all over the organisation. A clear and well-defined structure of the organisation to ensure responsibility and control over IT is utterly important. Today no straightforward method to assess the IT governance of organisations exists. This master thesis presents the implementation and testing of IT Organisation Model Assessment Tool (ITOMAT), a formalized method for assessment of IT governance. ITOMAT is based on the framework Control Objectives for Information and related Technology (Cobit). The method implies the creation and comparison of models of the organisation. The goal of this master thesis was to practically implement and automate the assessments of the method for increased availability by extending the functionality of the modelling tool METIS. The implementation of the method was then tested by a case study conducted at a Swedish electric utility Umeå Energi. A model containing all the entities presented in Cobit was created to represent a perfect IT- governed organisation. This model was then compared with a model of the IT-organisation of Umeå Energi. The comparison was implemented and assessed based on criterias from maturity model in Cobit. The result of the assessment at Umeå Energi is presented as a maturity of the IT governance. 5

Översikt Kapitel 1 beskriver bakgrunden till detta examensarbete och hur det passar in i tidigare forskning, samt syftet med detta examensarbete med mål och begränsningar. Kapitel 2 söker presentera teorin och forskningen som är grunden till denna rapport. I kapitel 3 beskrivs examensarbetets projektmodell med vad de olika faserna omfattar. Kapitel 4 förklarar utvärderingsmetoden och kapitel 5 hur man använder det. Kapitel 6 beskriver fallstudiens utförande. I kapitel 7 presenteras resultaten av utvärderingen på Umeå Energi. I kapitel 8 följer diskussion kring projektet med validitets- och tillförlitlighetsanalys av resultaten. I det sista kapitlet, kapitel 9, så framställs rekommendationer för utveckling av metoden. 6

Ordlista API Application Programming Interface, ett gränssnitt som beskriver hur man får tillgång till funktioner i en applikation utan att ha tillgång till funktionernas källkod. ATD Architecture Theory Diagrams, en struktur för mätning av verksamhetsmodeller. Best practice empirisk kunskap om bästa förfarandet. CIO Chief Information Officer, den roll som vanligtvis bär ansvaret för frågor gällande ett företags informationsstrukturer CMM Capability Maturity Model, en mognadsmodell för mjukvaruprocesser utvecklad av SEI. COBIT Control OBjectives for Information and related Technology, ett ramverk för IT-styrning utvecklat av IT Governance Institute, ITIG. DoDAF - Department of Defence Architecture Framework, ett ramvek för företagsarkitektur utvecklat av U.S. Department of Defence. EA Enterprise Architecture, verksamhets- och IT-modelleing, en metod för att visualisera ett företags olika entiteter med hjälp av schematiska modeller av företaget. ICS - Avdelningen för industriella informations och styrsystem, KTH Instansmodell En modell i ITOMAT över ett företag baserat på empirisk datainsamling. IT governance IT-styrning, handhavandet av de organisatoriska aspekterna av IT. ITIL IT Infrastructure Library, ett ramverk baserat på best practice för hanteringen av IT- tjänster utvecklat av Office of Government Commerce. ITGI IT Governance Institute, ett fristående amerikanskt institut som bedriver forskning kring ITstyrning. ITOMAT IT- Organization Modeling and Assesment Tool, namnet på den metod utarbetad av doktorand Mårten Simonsson vid ICS och implementerad inom ramen för detta examensarbete. Se vidare kapitel 4. KGI Key Goal Indicator, benämning i Cobit för de mätvärden som presenterar hur väl en process (Process Key Goal Indicator) eller IT (IT Key Goal Indicator) utfört.s KPI Key Performance Indicator, benämning i Cobit för de indikatorer som presenterar hur väl en aktivitet utförts. 7

Metamodell - Ramverk som modeller baseras på i Metis. Metis Ett program för verksamhetsmodellerings ägt av Troux Technology. RACI Förkortning av namnen på relationerna mellan roller och aktiviteter i Cobit. Responsible, Accountable, Consulted och Informed Referensmodell En modell i ITOMAT som utifrån Cobit beskriver den ideala IT organisationen. SEI- Carnegie Mellon Software Engineering Institute, ett statligt finansierat amerikanskt institut för forskning och utveckling inom mjukvara, IT-säkerhet och processförbättringar. TOGAF - The Open Group Architecture Framework, ett ramverk för företagsarkitektur utvecklat av Open Group, ett konsortium inom IT med medlemmar över hela världen. 8

Innehållsförteckning Ordlista 7 Innehållsförteckning 9 1 Introduktion 10 1.1 Bakgrund 10 1.2 Syfte 11 1.3 Mål 11 1.4 Avgränsningar 12 2 Teori 12 2.1 IT-styrning 12 2.2 Cobit 12 2.3 Modelleringsanalys 16 2.4 Trovärdighet 17 3 Metod 17 3.1 Initieringsfasen 18 3.2 Teori och utredning 18 3.3 Utveckling av analysstöd 18 3.4 Fallstudie 18 3.5 Analys 18 3.6 Projektavslut 19 4 ITOMAT 19 4.1 Metamodeller i Metis 19 4.2 Metamodell baserad på Cobit 20 4.3 Referensmodell 22 4.4 Instansmodell 23 4.5 Utvärdering 24 5 Implementation 31 5.1 Aktivitetsutförande 32 5.2 Ansvarsfördelning 32 5.3 Dokumentation och Utförda mätningar 33 5.4 Aggregering 34 6 Fallstudie 34 6.1 Umeå Energi 34 6.2 Respondenter 34 6.3 Intervjumetodik 35 6.4 Trovärdighet 36 7 Resultat av fallstudien 36 7.1 IT-styrningsmognad hos Umeå Energi 36 8 Diskussion 40 8.1 Specificering av system under utvärdering 41 8.2 Behandling av trovärdigheten 41 8.3 Resultat på Umeå Energi 41 8.4 Validitet 42 8.5 Tillförlitlighet 42 9 Förslag till förbättringar 43 9.1 Rekommendationer för utvärderingen 43 9.2 Rekommendationer för datainsamlingen 43 9.3 Rekommendationer till Umeå Energi 43 10 APPENDIX 44 11 REFERENSER 55 9

1 Introduktion Denna rapport presenterar ett examensarbete utfört vid avdelningen för industriella informations- och styrsystem (ICS) på Kungliga Tekniska Högskolan i Stockholm. Handledare för examensarbetet var doktor Mathias Ekstedt och doktorand Mårten Simonsson. Examensarbetet initierades av ICS som ett led i arbetet med att förenkla analysen av verksamhetsmodeller Examensarbetet är specifikt del av doktorand Mårten Simonssons forskning kring framtagandet av metoder för utvärdering av företags IT-styrning genom modellanalys. 1.1 Bakgrund Behovet av en integrerad syn på organisationsstruktur, affärsprocesser, IT-applikationer och teknisk infrastruktur är stort hos företag idag. När organisationer växer sig större, slås ihop och globaliseras så ökar komplexiteten hos företagens system och helhetsbilden blir allt mer diffus. Kvaliteten hos system och processer kan inte längre bara bedömas relativt sig själva, hela kontexten där de verkar måste tas i beaktande. För att kraftfullt kunna agera i en värld i ständig omvandling är en klar struktur inom företaget med tydliga ansvarstaganden och mål nödvändigt. Trycket på att IT-processerna verkligen ska stödja verksamheten ökar, och insikten om att en dåligt anpassad IT-organisation driver kostnader har skapat intresse för en övergripande företagsarkitektur. Enterprise architecture (EA), verksamhetsmodellering, är ett sätt för beslutsfattare att nå en strukturerad och övergripande bild över företaget. EA-modeller beskriver abstraktioner av företagets olika entiteter och hur de relaterar till varandra. Modellerna skapas med olika perspektiv beroende på syftet, till exempel ur ett tekniskt perspektiv med funktioner och applikationer eller ur en organisatorisk synvinkel med aktiviteter och roller. Modellerna representerar så samma verklighet men med olika referensramar. För vidare beskrivning av EA se kapitel 2.3. Inom ramen för detta examensarbete har de organisatoriska aspekterna av IT varit i fokus. Struktur för beslutsfattande och mätning av IT, samt kontroll av hur IT påverkar och maximerar företagets affärsmål benämns ofta som IT-styrning. Det av utövare mest använda ramverket för IT-styrning idag är Control Objectives for Information and related Technology (Cobit) utvecklat av institutet för ITstyrning, IT governance institute (ITGI)[4][16]. Ramverket är utvecklat ur best-practice genom att formalisera de olika aktiviteterna, processerna och ansvarstaganden som empiriskt sätt bedöms som viktiga för att nå effektiv IT-styrning. Cobit innehåller även en beskrivande mognadsmodell för att nå och mäta framsteg i processerna. Kapitel 2 ger en bredare presentation av IT-styrning och Cobit. En av de största nackdelarna med Cobit, och kanske den största anledningen till varför det inte används mer av utövarna, är att mycket kunskap om ramverket krävs för att kunna använda det som ett stödeller utvärderingsverktyg för IT-styrning. För att kunna förbättra företagets IT-styrning, hitta tradeoffs och jämföra sig mot andra företag så krävs ett sätt att utvärdera företagets nuvarande prestation. Även om ett stort antal aktiviteter, processer och ansvarstaganden beskrivs i Cobit så finns det ingen tydlig korrelation mellan aktiviteternas utförande och mognadsmodellen. Mognadsmodellen i Cobit ger inte en djuplodande analys över situationen och inte heller ett tillräckligt stöd eller formaliserad metod i utvärderingsprocessen. Stor erfarenhet och expertkunskaper krävs hos utredaren för att kunna utföra en rättvis utvärdering av en IT-organisation med Cobit. Vidare så ges inget stöd för att garantera att den erfarna analytikern A kommer till samma slutsats om ett företags IT mognad som analytiker B[15]. Doktorand Mårten Simonsson vid ICS arbetar med att adressera och avhjälpa detta problem genom skapandet av en formaliserad metod för utvärdering av IT-styrning[15]. Metoden går under beteckningen IT Organization Model Assessment Tool (ITOMAT) och använder sig av EA-modeller med ramverket Cobit som referensram. Metoden kan övergripande beskrivas i tre moment: 1) Skapa en referensmodell, en ideal modell, baserad på kunskap från Cobit om vad som ger effektiv IT- 10

styrning; 2) Skapa en modell över hur det verkligen ser ut på företaget; 3) Utvärdera företagsmodellen med jämförelsekriterier mot referensmodellen. Företagsmodellen kommer fortsättningsvis att refereras som instansmodellen. ITOMAT beskrivs mer detaljerat i kapitel 4. En schematisk bild av metodens tre moment presenteras i figur 1. Idag finns det flera olika mjukvaror på marknaden som stödjer verksamhetsmodellering[18][18], men de saknar alla stöd för att på ett enkelt sätt göra jämförelseanalys av modellerna. Att implementera ITOMAT för användning i modelleringsverktyget Metis[18] är startpunkten för detta examensarbete. Figur 1 Schematisk skiss över ITOMAT 1.2 Syfte Det övergripande syftet med detta examensarbete är att förenkla utvärderingsprocessen av organisationsmodeller med de organisatoriska aspekterna av IT som referensram. 1.3 Mål Målet för detta examensarbete kan presenteras som två särskiljda om än sammankopplade delmål: 1. Utveckling av funktionalitet i Metis Funktionalitetsutveckling av modelleringsprogrammet Metis till att stödja utvärdering av Cobit-modeller. Detta inkluderar att med hjälp av script sammankoppla två olika modeller, en referensmodell och en instansmodell, i modelleringsverktyget Metis, samt att implementera kriterier och beräkningar för jämförelseutvärdering av dessa inom ramen för ITOMAT. Vidare ska stöd för aggregering av resultatet skapas så att ett företagsövergripande resultat för IT-styrning enkelt kan nås. För detaljer se kapitel 4. 2. Fallstudie Praktiskt testa det utvecklade utvärderingsstödet och bedömningsmetoden genom att samla in mätdata medels intervjuer och skapa en instansmodell över Umeå Energis IT-styrning. Instansmodellen ska sedan utvärderas mot en referensmodell, baserad på Cobit, med hjälp av det utvecklade analysstödet och ett mått på Umeå Energis IT-styrning nås. För detaljer se kapitel 6. 11

1.4 Avgränsningar Detta examensarbete fokuserar på organisatoriska aspekter inom ICS forskningsområde IT-styrning. Ramverket Control Objectives for Information and related Technology Cobit används som referensramverk i modelleringen av de modeller som användes i analysen. Datainsamlingen som utfördes på Umeå Energi är till för att praktiskt testa implementationen, examensarbetets fokus ligger i att realisera användandet av metoden. 2 Teori I detta kapitel presenteras den teori som ligger till grund för examensarbetet. Detta innefattar förklaring av begreppet IT-styrning och ramverket Cobit. Vidare presenteras teorin bakom den modellanalys som används. 2.1 IT-styrning IT-investeringarna är den största kostnad för många företag i dag och hanteras av alla delar av ett företag inte bara IT-avdelningen, vilket gör det svårt att motivera centralisering av IT[19] Studier visar att de företag som presterar bäst är sådana som har en distribuerad styrningsstruktur så att den är kopplad till prestationen och så kan harmonisera IT-organisation med företagets affärsmål[19]. Det är således av stor vikt att klargöra affärsprocesserna och anpassa IT-strukturen till dem. En tydlig bild över ansvarstagande inför de organisatoriska förändringar som krävs för att nyttja IT:s kapacitet till fullo är av vikt, samt att kontinuerligt lära sig av varje ny implementation för att hela tiden förbättra IT-resurserna. IT-styrning blev ett begrepp i mitten på nittiotalet då vikten av att infoga informationsteknologin i företagets övergripande affärsstrategi blev uppmärksammat[14]. Definitionen av IT-styrning går isär, men det kan ändå fastslås att IT-styrning behandlar de organisatoriska aspekterna av IT och utövas av ledningen för att kontrollera formuleringen och implementationen av IT strategin och tillförsäkra samspelet mellan business och IT[16]. IT-styrning inbegriper även specifikation av beslutsfattande med ett ramverk för ansvarstagande för att uppmuntra önskvärt beteende i användandet av IT. Effektiv IT-styrning handlar så om att försäkra sig om att IT-investeringar går i linje med företagets mål och att uppmärksamma och agera inför ITrisker och möjligheter [6][3]. Forskning inom IT-styrning baseras främst på fallstudier och empirisk data[16][15]. Liksom meningarna om definitionen går isär gör även åsikterna om hur man ska nå effektiv IT-styrning. Det finns således inget facit till vad som är rätt. IT Infrastructure Library (ITIL) utvecklat av Office of Government Commerce [10], samt Control Objectives for Information and related Technology (Cobit), utvecklat av organisationen IT Governance Institute (ITGI)[4] är de mest kända ramverken som stödjer implementationen av effektiva IT-processer[16]. Både ITIL och Cobit är baserade på best practice, ITIL har dock en mer detaljrik struktur och ger mer beskrivande stöd för hur processer bör utföras än vad. ITIL:s fokus är att höja kvaliteten i de levererade IT tjänsterna genom att göra de operativa aspekterna av IT mer effektiva[10]. Cobit är inte alls lika detaljerat som ITIL, men ger istället ett strukturerat angreppssätt på hög nivå till IT-styrning[14]. Cobit valdes som ramverk i utvecklandet av ITOMAT då det behandlar de strategiska IT -frågorna och det anses vara de facto standard inom IT-styrning[15]. 2.2 Cobit Ramverket Control Objectives for Information and related Technology (Cobit) är idag standard för området IT-styrning[15]. Ramverket är, som ovan nämnt, utvecklat av ITGI som ett samlat best practice -dokument inom området. Den första versionen lanserades 1998 och i dags dato finns version fyra presenterad. Som namnet antyder så beskriver Cobit vilka beslut som bör fattas för att 12

säkerställa kontroll över IT samt vilka som bör fatta och stå till svars för dessa beslut. Cobit är utformat som ett stöd för företagsledningen i arbete att säkerställa att IT levererar värde, är i linje med företagens affärsmål, att dess prestation mäts, att resurserna är riktigt allokerade och riskerna mildras. Ramverket är positionerat på en hög nivå, drivet av affärskrav och koncentrerat kring vad som ska uppnås hellre än hur. Cobit definierar IT aktiviteter i en generisk processmodell inom fyra olika domäner. Dessa domäner är; Plan and Organize (PO), Aquire and Implement (AI), Deliver and Support (DS) samt Monitor and Evaluate (PO). Det är ett processbaserat ramverk som innefattar de IT funktioner som normalt återfinns i en IT organisation, och söker så ge en gemensam referensmodell förståelig för både den operationella sidan av IT och business managers[4]. Cobit är organiserat i totalt 34 olika processer med beskrivning av de aktiviteter, dokument och mätvärden som varje process innehåller. Cobit innehåller även visst stöd för hur man ska kontrollera, hantera och mäta varje process i en mognadsmodell kopplad till varje process. Varje process är även kopplat till affärsbehov som tillfredsställs av effektivt handhavande av processen. I figur 2 presenteras Cobit:s processer och hur de interagerar med varandra. Nedan presenteras vidare några av de definierade komponenter Cobit innehåller. Figur 2 Cobit:s processmodell[4] Processer och aktiviteter Cobit är som ovan nämnt ett processbaserat ramverk. De 34 olika processer utgör stommen i ramverket och fungerar som underkapitel till de fyra domäner presenterade ovan. Varje process omfattar ett moment som utförs i en IT-organisation. Definiera och hantera servicenivåer är ett exempel på en process i Cobit. Inom processen beskrivs vidare de aktiviteter som bör innefattas i detta moment. Aktiviteten Definiera servicenivåavtal (SLA) för kritisk IT-service tillhör de åtta aktiviteter som nämnda process innehåller. En aktivitet i Cobit representerar det som bör utföras inom varje process. Cobit detaljerar inte hur IT-styrning ska skötas utan processer och aktiviteter ger 13

ledning i vad som bör utföras för att nå god IT-styrning. För att nå effektiv IT-styrning krävs, som nämnts tidigare, en klar struktur för beslutsfattande. Cobit ger så även stöd i vem, vilken roll, som bör vara delaktig i och ansvarig för aktiviteterna. Roller Cobit beskriver ett antal olika roller som bör vara tilldelade i en organisation för att klargöra ansvarstagandet inför alla aktiviteter som utförs. De identifierade rollerna listas nedan: Chief executive officer (CEO) Chief information officer (CIO) Business executives Chief financial officer (CFO) Head operations Chief Architect Head development Head IT administration The project manager office (PMO) Compliance, audit risk and security Utöver dessa listade roller förekommer ytterligare roller specifikt för vissa aktiviteter. Cobit specificerar hur dessa roller kopplas till varje aktivitet de är delaktiga igenom en matris. Denna matris beskrivs utförligare nedan. Ansvarsmatris Till varje process i Cobit finns en tillhörande matris som definierar de kopplingar, relationer, som bör finnas mellan rollerna och alla aktiviteter inom processen. Matrisen benämns RACI, vilket är förkortningen för responsible(r), accountable (A), consulted (C) och informed (I). Att vara accountable för en aktivitet innebär att ha auktoriteten att bestämma över aktiviteten. Med responsible avses att vara ansvarig för utförandet av aktiviteten. Informed är den som bör vara informerad om aktiviteten, och consulted är den som bör rådfrågas om en aktivitet. Dessa relationer beskriver så åtagandena för respektive roll rörande varje aktivitet. På detta sätts styrks besluts och ansvarsstrukturen inom varje process då det blir tydligt vem som bör vara, exempelvis, informerad om vad och vem som står ansvarig för varje aktivitet. Till varje aktivitet är kopplat minst en roll som ansvarig (R) och en som auktoritet (A), relationerna informerad och rådfrågad förekommer inte i alla aktiviteter. Nedan presenteras RACI-matrisen för den första processen i domänen Planera and Organisera; Definiera en strategisk IT-plan. För exempelvis aktiviteten Koppla företagsmål till IT-mål är det rollen Business Executive som har högst auktoritet och som även, tillsammans med Chief Information Officer (CIO), ansvarar för att den utförs. Chief Executive Officer (CEO) bör konsulteras liksom den som har rollen som Business Process Owner. Chief Financial Officer (CFO) ska informeras om aktiviteten. 14

Figur 3 RACI- matris för processen Definiera en strategisk IT-plan. Key Performance Indicators (KPI) / Key Goal Indicators (KGI) Utöver att definiera vilka aktiviteter som bör utföras att nå god IT-styrning så innehåller Cobit även stöd för att utvärdera prestationerna inom varje process. Cobit listar ett stort antal mätvärden som bör användas för att övervaka fortskridningen av varje process och dess mognad. Ungefär ett dussin mätvärden är kopplat till varje process. KPI definierar de mätvärden som bestämmer hur väl IT processen presterar i att nå de uppställda målen genom att mäta huruvida aktiviteterna uppnått sina mål. KGI ger ledningen ett mått på om en process har uppnått de uppställda kraven, exempelvis om processen drivits kostnadseffektivt och om den är tillförlitlig. Dokument För att effektivisera och möjliggöra repetition av en process är det viktigt att relevant dokumentation finns tillgänglig och utförs. Cobit definierar för varje process de dokument som bör finnas vid processens början och vilka som bör produceras under processens gång. En lista motsvarande den presenterad i figur 4 tillhör varje process i Cobit. Figur 4 Lista med ingångs- och utgångsdata för processen Definiera en strategisk IT-plan. Mognadsmodell För att kunna utföra effektiv IT-styrning så krävs att företaget kan utvärdera sin nuvarande organisation och identifiera var förändringar behövs. Mognadsmodeller används för att befrämja processer och tillhandahålla en metod så att en organisation kan betygsätta sig själv och jämföra sig med andra inom industrin och mot internationella standarder. Cobits mognadsmodell har samma utformning som Capability Maturity Model (CMM) utvecklat av Software Engineering Institute (SEI)[14]. CMM är ett ramverk som beskriver nyckelelementen hos en effektiv mjukvaruprocess och 15

evolutionära förbättringar från en ad hoc, omogen process till en disciplinerat mogen process[12]. Den beskriver fem olika mognadsnivåer med definitioner och egenskaper för varje nivå. CMM utvecklades för processer för mjukvaror men modellen har använts av många organisationer för att identifiera best practices som användbar hjälp i att nå högre mognad av processer inom olika områden[10]. Mognadsmodellen i Cobit innehåller sex mognadsnivåer från 0 till 5, där 0 representerar den lägsta mognaden och 5 den högsta. För varje process finns en beskrivning av de observerbara kännetecknen per mognadsnivå. Detta innebär att en process tilldelas mognadsnivå 3 om beskrivningen av den nivån passar bäst in på processens aktuella situation. Då varje process får en mognad ger modellen utöver en måttstock som kan sättas i relation till andra företag även en metod att prioritera projekt genom att identifiera vilken processförbättring som kommer att ha störst verkan och passar bäst in på företagets riktning. 2.3 Modelleringsanalys Enterprise architechture (EA) är en metod att bistå företagens beslutsfattare (ofta Chief Information Officer, CIO) i sitt arbete i att förstå, analysera och agera utifrån de olika tekniska och affärsmässiga förändringarna som potentiellt kan komma att påverka deras företag genom att skapa en bild av hur organisationen ser ut idag. Precis som namnet antyder så är EA en slags ritning, med förbestämda komponenter, över ett företag eller en organisation. Grunden till EA ligger i att schematiskt beskriva företags olika system och de inbördes förhållandena genom att modellera abstraktioner av de olika entiteterna i ett företag och visualisera deras inbördes påverkan med tydliga relationer[11]. Bland de mest namnkunniga allmänna EA-ramverken finns The Open Group Architecture Framework (TOGAF), the Zachman Framework och Department of Defence Architecture Framework (DoDAF). Vilka förutbestämda komponenter, eller ramverk, arkitekturmodellen bygger på är beroende av vad syftet med modellen är.error! Reference source not found.[2][7][8] Givet EA-modeller över ett företag så krävs en formaliserad metod för att kunna utföra mätbara arkitekturanalyser på dem. En metod är att bryta ned modellen i mindre mätbara delar och sedan aggregera ihop resultatet för att få ett mätetal för hela organisationen. Denna struktur kallas Architechture Theory Diagrams (ATDs)Error! Reference source not found.. ATD består av noder kopplade till varandra i en hierarkisk trädstruktur där de mätbara entiteterna representeras av löven och benämns operationell egenskap. Två eller flera operationella egenskaper definierar den intermediära egenskapen, som i sin tur aggregerar till den undersökta abstrakta egenskapen, i trädstrukturen definierad som roten. I metoden ITOMAT som implementeras i detta examensarbete sökes ett mått på ett företags ITstyrning, vilket motsvarar den abstrakta egenskapen i ett ATD. I Cobit bedöms ett företags ITstyrning med dess processmognad, vilket i sin tur mäts med aktivitetsmognad. Aktiviteterna kan så representera de operationella, mätbara egenskaperna som, aggregerade, definierar processen, den intermediära egenskapen. De aggregerade processerna i sin tur definierar företagets IT-styrning. Denna struktur presenteras i figur 5 nedan. Vissa egenskaper kan vara mer eller mindre viktiga för den egenskap de definierar och varje nod kan i ett ATD ha ett viktat värde i förhållande till aggregaten på samma nivå. Summan av vikten av alla egenskaper som definierar samma egenskap uppgår alltid till 1. 16

Figur 5 Aktiviteten längs ned i figuren är del av processen, i mitten, som i sin tur är en del av företaget. 2.4 Trovärdighet Vid utvärdering av mätbara egenskaper såsom de operativa egenskaperna beskrivna ovan bör dessa kopplas till ett mått på hur tillförlitligt resultatet är. Till varje operationell egenskap, det vill säga uppmätt egenskap, kopplas förutom egenskapens mätvärde även ett mått på detta värdes trovärdighet. Inom ramen för denna studie har ett mått på trovärdighet valts som varierar mellan 0 % och 100 %, där 100 är full trovärdighet och 0 representerar ingen trovärdighet.[5] Aggregering För att få ett mått för hela företagets mognad så krävs att de operationella egenskaperna med tillhörande trovärdighetsmått kan aggregeras i ATD:s trädstruktur. Aggregeringen görs med Dempster-Shafer matematik då denna till skillnad från Baysiansk matematik tillåter viktning av egenskaperna. Viktningen är, som beskrivits ovan, ett sätt att prioritera de processer som anses viktigare i utvärderingsprocessen för det enskilda företaget. För vidare genomgång av matematiken vid ATD-aggregering se Johnson et. al Formalizing Analysis of Enterprise Architecture.Error! Reference source not found.[20][21][23] 3 Metod Detta kapitel presenterar examensarbetets upplägg och vad som utförts i vilka faser. Arbetet delades upp i två övergripande delar där den första delen innefattade implementation av utvärderingsmetoden ITOMAT och den efterföljande praktiskt testande av metoden i en fallstudie på Umeå Energi. De två delarna är sedan indelade i mindre faser i enlighet med figur 6 nedan och beskrivs i följande respektive underkapitel. Fas 1 Fas 2 Fas 3 Fas 4 Fas 5 Fas 6 Initiering Utredning Utveckling Fallstudie Analys Avslut Figur 6 Projektmodellen 17

3.1 Initieringsfasen Initialt söktes en överblick över forskningsområdet genom litteraturstudier i verksamhetsmodellering och ett första försök till avgränsning gjordes. Påbörjande undersökning av modelleringsverktyget Metis utfördes. 3.2 Teori och utredning I denna fas utfördes en grundläggande analys av modelleringsverktyget Metis. Då målet var att koppla script till modelleringsverktyget Metis undersöktes utvecklingsmiljön och grundläggande förståelse för hur programmet är uppbyggt genom studier av det Application Programming Interface (API) som Metis tillhandahåller. Genom studier i Metis vanns förståelse i hur man skapar metamodeller, något som skulle användas i nästa fas då en metamodell baserad på Cobit skapades. För att tydligare förstå institutionens behov och användning av analysstödet som skulle implementeras så gjordes en mindre litteraturstudie av ämnesområdet verksamhetsmodellering och möten med handledarna sökte ytterligare fastställa kravspecifikationen för vad stödet implementerat i Metis ska returnera. 3.3 Utveckling av analysstöd I denna fas skapades i samarbete med doktorand Mårten Simonsson den metamodell baserad på Cobit som användes som grund för de två modellerna i ITOMAT. Den skapades i Metis utifrån de entiteter som Cobit omfattar samt de funktioner för utvärderingen som fastställts i kravspecifikationen från handledarna. För vidare beskrivning av metamodellen se kapitel 4.2. I denna fas skapades även referensmodellen baserad på metamodellen, det första momentet av ITOMAT. Huvuddelen av examensarbetet innefattade implementation av funktionaliteten för ITOMAT i Metis. Denna fas omfattade utvecklingen av de script som används i Metis för kopplingen mellan referensoch instansmodellerna, samt implementation av utvärderingskriterierna av instansmodellen omfattade även implementationen av och av aggregationsmatematiken. 3.4 Fallstudie För att samla in data till skapandet av instansmodellen, moment 2 av ITOMAT, så utfördes intervjuer med de anställda på Umeå Energis IT-avdelningen. För beskrivning av fallstudien se kapitel 6. Utifrån intervjuerna så skapades instansmodellen över företagets aktiviteter och processer i METIS baserad på den metamodell över Cobit som skapades i fas 3. Se Appendix 2 för hela modellen över Umeå Energis IT-avdelning. 3.5 Analys Det sista momentet i ITOMAT behandlar utvärderingen av de två modellerna. Detta görs genom att koppla det utvärderingsstöd som utvecklats i fas 3 till de två modellerna som skapats. Ett mått på Umeå Energis Cobit mognad nåddes. 18

3.6 Projektavslut Projektavslutet bestod av validering av resultatet och diskussion kring framtidsutsikter för metoden. Valideringen gjordes med hjälp av tester på vissa utvalda processer och rimligheten i resultaten diskuterades. För en utförligare beskrivning av resultatet av denna fas se kapitel 7. Rapporten skrevs även under denna fas. 4 ITOMAT Som nämnts i kapitel 1 så är en av de största nackdelarna med Cobit att mycket kunskap om ramverket krävs för att kunna använda det som ett stöd- eller utvärderingsverktyg för IT-styrning. Då mognadsmodellen i Cobit lämnar utrymme för tolkningar är det heller inget som garanterar validiteten i utvärderingen, att utredare A kommer fram till samma sak som utredare B. Med detta som bakgrund har doktorand Mårten Simonsson vid ICS framtagit ramverket för metoden IT-Organization Model Assessment Tool (ITOMAT). Målet med ITOMAT är att formalisera en utvärderingsmetod och göra den så rättfram som möjligt för att öka validiteten och förenkla användningen av den kunskap som finns i Cobit. Som nämnts tidigare så är ITOMAT är en utvärderingsmetod i tre steg; skapandet av en referensmodell, skapandet av en instansmodell, och utvärdering av instansmodellen genom jämförelse mot referensmodellen. Referensmodellen baseras på ramverket Cobit och representerar en ideal IT-styrningsstruktur. Instansmodellen baseras på datainsamling om den nuvarande IT-styrningen på företaget under utvärdering. De två modellerna skapas och sammankopplas i modelleringsverktyget Metis. Instansmodellen utvärderas sedan i jämförelse med referensmodellen med kriterier baserade på en tolkning av Cobits mognadsmodell. Då kravet på utvärderingen är att den bygger på en formaliserad metod har försök gjorts att basera utvärderingen på kvantitativt mätbara egenskaper. Utifrån studier av Cobits mognadsmodell har fyra utvärderingsområden med mätbara egenskaper, identifierats. Dessa fyra områden är Aktivitetsutförande, Ansvarsfördelning, Dokumentation, Utförda mätningar. I kommande underkapitel presenteras utförligare vad modellerna innehåller, hur de är skapade och hur utvärderingen är utförd. 4.1 Metamodeller i Metis Idag finns det flera modelleringsverktyg ute på marknaden, varav de mest omtalade är System Architecture som idag ägs av Telelogic[17] och verktyget Metis som ägs av Troux Technologies[18]. Metis är det verktyg som används för verksamhetsmodellering på ICS och har därför varit utvecklingsmiljön i detta examensarbete. Utveckling av användarspecifik funktionalitet i Metis sker genom ett Application Programming Interface (API) som stödjer Visual Basic- och JavaScript. För detaljer kring hur implementationen av ITOMAT är utförd i Metis se kapitel 5. I Metis kan utvecklare skapa egna metamodeller, det vill säga de definitioner, regler och restriktioner av de objekt- och relationstyper som ska modelleras. Metamodeller är definitioner av modellens referensram, de styr vad man kan modellera och så vilket fokus modellen får. Modellen förhåller sig till metamodellen som ett program förhåller sig till grammatiken av det programmeringsspråk det är skrivet i. Vilken referensram som används i metamodellen är naturligtvis beroende av vad analysen har för motiv och mål. Varje instans som modelleras av en specifik objekttyp tilldelas samma uppsättning attribut och utseende. Objekttypen Person, exempelvis, kan definieras till att innehålla attributen namn, anställningsnummer, kontaktuppgifter eller andra egenskaper som anses viktiga i sammanhanget. Varje enskild instans av objekttypen Person kommer så definieras som objekt med de presenterade attributen, alla instanser har olika namn men alla har ett namn. Namnet sätts vid instansieringen av objekten. 19

4.2 Metamodell baserad på Cobit Genom att skapa en metamodell baserad på ramverket Cobit ges ett sätt att modellera de aspekter av ett företag som omfattas av IT-styrning. I identifieringen och skapandet av metamodellens komponenter har Cobits struktur, presenterad i kapitel 2.2, följts. Cobit möjliggör enkel identifiering av fem objekt och tillhörande relationer till metamodellen. De fem identifierade objekten motsvarar underkapitlen i kapitel 2.2 och är process, aktivitet, KPI/KGI, roller samt dokument. I figur 7 presenteras komponenterna i den metamodell som används i ITOMAT. I kommande underkapitel beskrivs objekten och relationerna i metamodellen och deras tillhörande attribut. Inom parentes efter attributens namn står de värden attributet kan anta. Figur 7 Komponenterna i metamodellen för IT-styrning. Företag (objekt) Objektet företag är inte hämtat ur Cobit utan är ett objekt som är tillagt metamodellen för att tydliggöra och förenkla modelleringen och utvärderingen. Då ett heltäckande mått för företagets ITstyrning önskas nås aggregerat från de 34 processer som Cobit beskriver som basen för IT-styrning så kopplas alla processer till företaget. Objektet företag representerar så den abstrakta entiteten för ITstyrning i ATD strukturen beskriven i kapitel 2.3. Till objektet Företag kopplas de 34 objekt som representerar processerna. Attribut: Namn Process (objekt) Som beskrivet i kapitel 2.2 är begreppet process vedertaget i beskrivandet av en IT - organisation och är grundentiteten i Cobit. Processen är det objekt som håller samman alla de aktiviteter, all den dokumentation och alla de mätningar som utförs inom processen. Dessa objekt kommer så ha en relation till processen de är beskrivna under i Cobit. Objektet process översattes direkt från Cobit och namnen på processerna i metamodellen är desamma som beskrivna i ramverket. Attribut: Namn 20

Aktivitet (objekt) Aktiviteterna representerar det som faktiskt utförs inom varje process i IT-organisationen och är beskrivna under varje process de tillhör i Cobit. Objektet Aktivitet representerar de aktiviteter som Cobit presenterar för varje process. Objektet Aktivitet kopplas till respektive processobjekt som aktiviteten definieras under i Cobit. För att kunna representera i modellen hur väl en aktivitet utförs så skapades ett attribut tillhörande objektet aktivitet kallad Aktivitetsutförande. I tidigare studier av Cobits mognadsmodell av doktorand Mårten Simonsson [15] konkluderades det att varje aktivitet kan representeras av a) huruvida ledningen är medveten om vikten av de frågor som är relaterade till aktiviteten, b) om övervakning av aktiviteten sker, c) om aktiviteten och dess ingångs och utgångsdata är dokumenterade, och d) om förbättringar av aktiviteten sker på en kontinuerlig basis.[15] Dessa fyra kännetecken kombinerades till attributet Aktivitetsutförande. Se kapitel 4.5 som närmare beskriver utvärderingen av instansmodellen för mer utförlig beskrivning av begreppet aktivitetsutförande. Attribut: Namn, Aktivitetsutförande (Never; Reactively, as needed; Project by project; Defined by policy; Standard practice; Optimized & Benchmarked) Roll (objekt) De roller som listas i Cobit och som presenterades i kapitel 2.2 representeras av objektet Roll i metamodellen. De befintliga rollbeteckningarna representerade i Cobit bestäms för varje instans ur en lista kopplad till rollobjektets attribut Rolltyp. Varje objekt Roll i Cobit kopplas till den eller de aktivitetsobjekt som den har ansvar eller auktoritet för och/eller rådgör eller informeras om. Attribut: Namn, Rolltyp (Som listade i Cobit, se kapitel 2.2) Key Performance Indicators (KPI) / Key Goal Indicators (KGI) (objekt) Cobit listar, som tidigare nämnts, ett stort antal mätningar som bör utföras för att övervaka framskridandet av varje process. Dessa mätningar representeras som objektet KPI/KGI i metamodellen och är kopplade till den process mätningen tillhör. De är direkt översatta från Cobit och har samma namn som i ramverket. Attribut: Namn Dokument (objekt) Det framläggs frekvent i Cobit att dokumentation är av vikt för att fastställa att processen utförs korrekt varje gång. Objektet Dokument i metamodellen har skapats på grundval av de ingångs och utgångsdata som finns specificerat till varje process som beskrivet i kapitel 2.2. Varje dokument modelleras endast en gång, då det antas att dokumentnamnen är unika, men det kan vara kopplat till flera olika processer. Attribut: Namn (Som listade i Cobit som input/output för alla processer) Relationer De fem olika komponenterna, eller objekten, presenterade ovan är kopplade till varandra med relationer i Metis. Tillåtna kopplingar och namn på relationerna definieras i skapandet av metamodellen. RACI-matrisen (se kapitel 2.2) beskriver vilken roll som bör vara associerad med vilken aktivitet, antingen som Accountable, Responsible, Counsulted eller Informed. Dessa relationer finns direkt implementerade i metamodellen som relationsobjekt och kan kopplas mellan objektet Aktivitet och objektet Roll. För att kunna representera skillnaden i ingångs- och utgångsdokument till processen så krävs relationer som betecknar dem. Inputs och Outputs är relationsobjekt i metamodellen som kan kopplas mellan objektet Dokument och objektet Process. Ett dokument i modellen kan så vara utgångsdata från en process och ingångsdata till en annan. Kopplingen mellan aktiviteter och den process de tillhör beskrivs i metamodellen med relationen Is part of, är en del av. Varje aktivitet är så en del av någon process. De mätningar i Cobit av utförandet av en aktivitet eller process, benämns KPI/KPG i metamodellen och har relationen measures, mäter, till processobjektet som 21

representerar den process de presenteras inom i Cobit. I figur 8 presenteras de objekt och relationerna de kan anta. Ursprungsobjekt Relation Målobjekt Företag Is part of Process Process Is part of Aktivitet Process Measures KPI/KGI Process Input Dokument Process Output Dokument Aktivitet Accountable Roll Aktivitet Responsible Roll Aktivitet Consulted Roll Aktivitet Informed Roll Figur 8 Relationer som finns representerade i metamodellen 4.3 Referensmodell Med byggstenarna definierade kan referensmodellen, moment 1 i ITOMAT, skapas. Referensmodellen är, som tidigare nämnt, en ideal modell och alla de entiteter Cobit definierar ska modelleras. Referensmodellen fungerar så som ett facit över hur det ser ut i en perfekt anpassad ITorganisation. Referensmodellen innehåller alla de 34 processer Cobit presenterar och för att på ett strukturerat sätt hitta mätdata har referensmodellen en struktur av ett ATD, där de mätbara delarna representeras av löven. I denna studies implementation av ITOMAT representeras även resultatet av utvärderingen i referensmodellen på så sätt att objekten i referensmetamodellen innehåller även egenskaper för att representera mognadsnivåer. I figur 9 visas två av de 34 processerna, PO4 och PO5, modellerade i sitt ideala utförande enligt Cobit, med de aktiviteterna, mätvärden och de dokument som finns representerade som ingångs- och utgångsdata. De två processerna kopplas via relationen aggregate till objektet Företag, för att få ett mått på de aggregerade processernas mognad. 22

Process Dokument Utförda mätningar Aktivitet Figur 9 Referensmodell som representerar två av de 34 processerna i Cobit 4.4 Instansmodell När referensmodellen är modellerad är nästa moment i ITOMAT att modellera instansmodellen som visualiserar ett företags existerande, eller hypotetiska, IT-styrning. Instansmodellens utformning och objektattributens innehåll är resultatet av datainsamling på företaget under utvärdering. För att skapa en instansmodell krävs så först att data om företagets IT-styrning finns tillgängligt. Detta innefattar data om alla de entiteter som Cobit beskriver, det vill säga de 34 processerna identifierade i Cobit med respektive aktiviteter, dokument och utförda mätningar samt aktiviteternas ansvarsfördelning och utförande. Med all data om företagets IT-styrning tillgänglig kan en instansmodell över företagets ITorganisation skapas. Om en aktivitet, exempelvis, bedömdes utföras på företaget med den beskrivande termen Reactively, as needed så representeras detta i instansmodellen genom att modellera den aktuella aktiviteten med attributet Aktivitetsutförande bestämt till Reactively, as needed. Datainsamlingen gjordes i denna studie i form av intervjuer, för vidare information om denna se kapitel 6, Fallstudie. Observera att med referensmodellen skapad kan den användas till att utvärdera obegränsat antal instansmodeller då det är instansmodellen som representerar företaget som ska utvärderas. Referensmodellen är en ritning över Cobit, ett facit för effektiv IT-styrning. En instansmodell är en ritning över ett företags nuvarande IT-styrning. Till varje modellerad aktivitet, dokument och utförd mätning kopplas även ett mått på insamlade datas trovärdighet i form av ett objektattribut benämnt Existens. Detta attribut togs inte upp i diskussion om metamodellen (kapitel 4.2) då detta attribut endast berör instansmodellen. Alla objekt i instansmodellen innehar detta attribut. Se kapitel 5.3 för kriterier som påverkar trovärdighet hos den insamlade informationen. Det som faktiskt mäts och modelleras har tilldelats en trovärdighet i modellen för att kritiskt kunna granska datainsamlingens validitet. Då huvudsaklig fokus i detta examensarbete var att praktiskt implementera metoden ITOMAT har mindre vikt lagts på insamlingen av data. Inom ramen för denna studie har, av prioriteringsskäl, ansvarsfördelningen givits ett generellt trovärdighetsvärde för alla aktiviteter. Se vidare beskrivning i nästa kapitel. Trovärdigheten tas i beaktning vid representationen av mognadsresultatet i form av en sannolikhetsmassa som fördelas över de olika nivåerna. Den största delen av sannolikhetsmassan placeras på den mognadsgrad som är troligast och resten delas ut på de övriga nivåerna. Se vidare under sektion 4.5 som behandlar implementationen av de olika utvärderingsområdena för en närmare beskrivning av sannolikhetsfördelningen i dagsläget. Påpekas bör även att, inom ramen för detta examensarbete, så modelleras komponenterna i instansmodellen endast om de kan bedömas existera med sannolikhet större än 0 på företaget. Instansmodellen är en representation av vad som faktiskt finns och utförs på företaget. Denna representation har valts för att öka tydligheten i visualiseringen av företagets nuvarande IT-organisation. I figur 10 visas ett exempel på en process i instansmodell. 23

Figur 10 Exempel på modell baserad på Cobit-metamodellen. Det mörkblå objektet i mitten representerar processen och under den de två ljusblåa objekt som representerar de aktiviteter som utförs inom processen. Objekten längst ner i figuren representerar de roller som är ansvariga för respektive rådfrågade om aktiviteterna. Objektet ovanför processen är den mätning som utförs för att mäta prestationer i processen. Till vänster om processen visas det dokument som inkommer till processen och till höger de dokument som produceras i processen. 4.5 Utvärdering Med referensmodellen klar och företaget modellerat i instansmodellen är det moment 3 av ITOMAT kvar att utreda; utvärderingen. Som tidigare nämnts så är det instansmodellen som utvärderas, referensmodellen fungerar som ett jämförande facit. Kriterierna för utvärderingen är baserade på tidigare forskning av Cobits mognadsmodell utförd av doktorand Mårten Simonsson[15]. Ramverket Cobit presenterar, som tidigare nämnts, en mognadsmodell för varje process med beskrivande kriterier per nivå. För att undvika subjektivitet i mognadsbedömningen så skapades inom ramen för ITOMAT en formaliserad procedur där separata mätvärden aggregerats till en total mognad för varje aktivitet eller process, eller för hela företaget. Mognadsmodellen i ITOMAT utgår ifrån fyra områdena: Aktivitetsutförande, Ansvarsfördelning, Dokumentation och Utförda mätningar. Mognaden för utförandefrekvens och ansvarstagande mäts på aktivitetsnivå medan dokumentation och mätvärden har mognad på processnivå. Se figur 11 för en bild över var de olika utvärderingarna görs i modellen. I kommande underkapitel presenteras de fyra utvärderingsområdena närmare. Mognadsgraderna i ITOMAT är de samma som i Cobit, det vill säga från 0 till 5 i stigande ordning. Som nämnts ovan så tas trovärdigheten i beaktning vid representationen av mognadsresultatet i form av en sannolikhetsmassa som fördelas över de olika nivåerna. Den största sannolikhetsmassan kommer så att placeras på den mognadsgrad som är troligast och resten delas ut på de övriga nivåerna. För att representera den resterande sannolikhetsmassan, om trovärdigheten för den insamlade informationen inte var 100 %, har en sannolikhetsnivå, utöver mognadsnivåerna, kallad Okänd även definierats. Exakt hur sannolikhetsmassan fördelas är i nuläget olika för de fyra ovan nämnda bedömningsområdena och presenteras i detalj i underkapitlen nedan. Fokus i detta examensarbete har varit på att utveckla metoden för mognadsbedömning och implementera stödet för detta i Metis, det vill säga framtagandet av ett formaliserat och automatiserat metodförfarande. De mätningar som görs i denna utvärdering är ett initialt försök att nå en utvärdering, den optimala utformningen av utvärderingskriterierna är föremål för vidare forskning. Se vidare diskussion kring detta i kapitel 9.1. 24

Figur 11 - Schematisk bild över de fyra utvärderingsområdena i ITOMAT. Aktivitetsutförande (Execution i bilden) och Ansvarsfördelning (Responsibility) utförs på aktivitetsnivå. Dokumentation och Utförda mätningar (KPI/KGI) utförs på processnivå. Resultatet för varje nivå är aggregerat uppåt i strukturen men kan även avläsas för varje nivå i modellen. Aktivitetsutförande Inom varje process i Cobit beskrivs ett antal aktiviteter som ska utföras, men väldigt lite stöd ges för hur en process eller aktivitet ska mognadsbedömas. Genom doktorand Mårten Simonssons tidigare studier av mognadsmodellen i Cobit[15] och generalisering därav till separata aktiviteter så extraherades slutsatser för utförandekriterier för varje mognadsnivå. Generellt bedöms utförandet av aktiviteten ha högre mognad ju oftare och mer strukturerat aktiviteten utförs. I tabell X nedan presenteras de kriterier som hör till varje mognadsnivå. Observera att mognadsgraden för aktivitetsutförande motsvarar det värde som sätts på aktivitetsobjektets attribut Aktivitetsutförande vid modellering av den insamlade datan om aktiviteten på företaget. Sannolikhetsmassan för aktivitetens mognadsnivåer kommer så att centreras kring den mognadsnivå som representerar det värde aktivitetens attribut Aktivitetsutförande motsvarar och resten delas ut till de övriga nivåerna. För utförligare beskrivning av hur implementationen är utförd se kapitel 5. Exempelvis så om trovärdigheten av informationen rörande en viss aktivitet är bedömd till 78 % och utförandet av aktiviteten på företaget bedömt till Reactively, as needed, så kommer så 78 % av sannolikhetsmassan för den aktuella aktiviteten att hamna på mognadsnivå 1 enligt figur 12. Mognadsnivå Mognadskriterier för Aktivitetsutförande Kriterier 0 1 Never No awareness of the importance of issues related to the process No monitoring is performed No documentation exists No process improvement activities take place Reactively, as needed Some awareness of the importance of issues related to the process 25

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss