Hur gör jag ITIL-processgranskningen?

Definiera ingångar för granskningen. Ingångar för granskningen kan vara utlösardokumentet, till exempel en högre hanteringsorder, referensgranskningsövning (till exempel efter identifierade inkonsekvenser föreslår ledningen en tillgångshanteringsöversikt) och aktuell processdokumentation. I genomsnitt är granskningstiden en till två månader och utförs av två granskare. Granska resursförbrukningen kan variera beroende på företagets storlek och processkomplexitet. Granskare kan vara interna resurser (chefer, analytiker etc); Det kan dock vara fördelaktigt att använda externa resurser för granskningen, eftersom det ger fördomsfull syn på processen. För att identifiera resultat, mål och omfattning av granskningen, "Work package IT Process Review" dokument kan skapas. Detta dokument kan innehålla följande stycken:

• Avsnitt "Tilldelning" som beskriver syftet, motiveringen, temat, de viktigaste resurserna, de viktigaste intressenterna för granskningen.
• "Tidslinje" för granskningen (startdatum och utkast till slutförande, slutdatum för granskningsrapport, slutliga tidsgränser för presentation).
• "Scope" kan avbildas ur flera perspektiv: organisatorisk, geografisk, granskningsdjup och utvidgning (som endast täcker en del av processaktiviteter eller leveranser), andra speciella perspektiv relaterade till den specifika processen; till exempel för kapitalförvaltning kan det vara typerna av IT-tillgångar.
• "Rapportering" beskriver vad, när och vem som ska rapportera granskningsstatus. Vanligtvis måste granskaren rapportera till ledningen eller intresserad personal, t.ex. processägare, projektledare för kapacitetsutvecklingsprojekt) om status för granskningen varje vecka eller dagligen. Rapporten kan ha följande struktur:
  • Aktiviteter utförda denna vecka;
  • Aktiviteter planerade till nästa vecka;
  • Frågor hindrar granskningen (t.ex. motstånd mot att tillhandahålla eller inget tillstånd att få tillgång till nödvändig information).
• "Bevis". Det är också användbart att peka på platsen där alla filer relaterade till granskningen måste lagras.
• "Huvudaktiviteter" i granskningen måste beskrivas och senare inkluderas i granskningsplanen.
• Avsnittet "Problemhantering och eskalering" måste vägleda hur man underhåller problemloggen och hur man kan eskalera de problem som uppstod under granskningen (t.ex. brist på eller otillräckligt samarbete, brist på tid osv.)
• "Produkter" visar listan över mellanliggande / stödjande resultat (resultat, produktlivscykel, referensprocesser för ledning), slutresultat (granskningsrapport, översiktsöversikt eller processförbättringsstrategi) och nödvändiga godkännanden av de resulterande dokumenten.

Upprätta och genomföra granskningsplanen. Varje gång är det bra att ha en granskningsplan för att kontrollera granskningstakten. Grundplanen kan ha följande aktiviteter:

Identifiera processens intressenter. De vanligaste intressenterna i alla processer är (från det viktigaste för granskningen):

• Processägare;
• Företagsanvändare / externa användare (t.ex. för kapitalförvaltning: företrädare för finans- och revisionsavdelningar);
• Andra affärsstödjande team (t.ex. för kapitalförvaltning: logistik, depåer etc.);
• Team Leader (Process Manager);
• IT-funktioner (till exempel för kapitalförvaltning: projektledare, kontraktsinnehavare, support på plats, Service Desk, teknikhantering, slutanvändare och förändringshantering, konfigurationshanteringsgrupp, förändringshantering, förfrågan, säkerhetsgrupper);
• Process Teammedlemmar (Processadministratörer / analytiker);
• Representanter från IT-styrnings- och kontrollteam;
• Representanter från andra team involverade i processen;
• Ämnesexperter (särskilt tidigare chefer).

Identifiera processkrav. Granskaren måste identifiera viktiga affärsbehov i processen, som kan tillhandahållas av affärsprocessteam som använder IT-processen (t.ex. finansavdelning för kapitalförvaltningsprocessen), driven av lagstiftning, affärspolicy etc.

Rita det faktiska processflödet. Börja skapa nivå 1 och 2 processflödesschema baserat på nuvarande situation (inklusive ingångar / utgångar och intressenter av processen) och skapa produktflöde (t.ex. tillgångens livscykel som visar ägare av tillgången för Asset Management-processen) för att behålla den verkliga bilden av processen och att använda dem som referenser.

Identifiera de nödvändiga processkontrollerna och analysera dem. Processkontroller kan hämtas från Controls Framework (t.ex. härledda från ISO / IEC 27002 eller COBIT) och inbäddade i arbetsflödet för process / produkt (t.ex. tillgångs livscykel med "ägarkontroller" för Asset Management-processen).

Identifiera, klassificera resultat, dokumentera dem och granska dem med intressenter. Resultaten kan identifieras genom:

• Jämföra faktiska processaktiviteter med processdokumentationen;
• Intervjuer och analys av de faktiska aktiviteter som utförts i processen.
• Analysera processdatakvalitet (t.ex. för tillgångs- och konfigurationshanteringsprocess: CMDB).
  • Vanliga resultat är:
    • Processmodell / procedur och arbetsinstruktioner är tillgängliga men ofullständiga, vilket inte återspeglar processkrav och faktiska aktiviteter i processen.
    • Roller och ansvar över hela livscykeln är inte klart definierade. Ansvar över lag är inte klart definierade och överenskomna.
    • Ägarskap garanteras inte under hela livscykeln när det gäller formellt ägare och / eller fysiskt ägande.
    • Saknade kontroller och arbetsintensiva lösningar och manuella kontroller (excel-ark) är inte garanterade uppdaterade, konsekventa och fullständiga.
• Analys av processdokumentation. Ett av de viktigaste stegen i granskningen är analys av dokumentation relaterad till processen som inkluderar:
  • Politisk ram;
  • Kontrollramverk;
  • Modell / procedurer;
  • Arbetsinstruktioner;
  • KPI, rapporter och loggar;
  • Jobbhjälpmedel, formulär och mallar;
  • Och så vidare.

Utför intervju med intressenter i processen. Granskaren intervjuar intressenter medan de identifierar resultaten och försöker täcka dem alla. För att utföra intervjun framgångsrikt, förbered frågor innan intervjun organiserar frågor, genom processaktiviteter, uppgifter eller resultat. Glöm inte att göra MoMs (Minute of Meetings), speciellt när det är överens om att tillhandahålla den information som behövs för granskning. Alla resultat kan bekräftas eller förfinas av intressenter under intervjun.

Fånga processvärden. Processmätvärden behövs för att visa det aktuella läget för processen och kan begäras från processteamet (t.ex. för Asset Management- processen: antal tillgångar, antal ändringar per period, inköp efter period, antal tillgångar per plats, typ eller rörelser).

Adressrekommendationer. Varje Finding kan ha möjliga lösningar som kan tillhandahållas av granskaren, de viktigaste av dem är:

• Granska, uppdatera och godkänna processmodell / procedur och arbetsinstruktioner, Definiera och godkänna roller och ansvar.
• Dokumentera och bädda in alla nödvändiga arbetsinstruktioner.
• Definiera och bädda in saknade kontroller. Säkerställ ägarskap under hela livscykeln genom att definiera och bädda in strängare kontroller.
• Granska och städa upp register, tidskrifter och databaser för att återspegla företagets nuvarande status.
• Automation av processerna.
• Delegera administrativa uppgifter mellan team baserat på uppdaterade instruktioner.
• Formalisera befintliga aktiviteter och integration med andra processer.

Hämta resultat från granskningen. Resultaten av processgranskningen är:

Gör resultatloggen. Alla processfel och inkonsekvenser som identifierats under granskningen måste förvaras i en speciell fil som heter Findings Log (för enkelhets skull är det bättre att använda Excel-ark). Möjlig struktur för filen med kolumner enligt följande:

• • Id - Unik identifiering av upptäckten;
  • Kort - Kort titel på upptäckten som måste tydligt ange problemet. Till exempel för kapitalförvaltning: Processen för avyttring av en tillgång definieras inte;
  • Beskrivning - Fullständig beskrivning av fyndet inklusive bevis och relaterade fakta;
  • Processsteg - t.ex. för tillgångshantering: Beställa en tillgång, ta emot en tillgång etc.;
  • Intressenter - Intressenter som är inblandade i fyndet;
  • Dokument - Relaterad processdokumentation;
  • Effekt - Effekt som kan påverka företaget negativt: Kritisk, Major, Genomsnitt, Mindre
  • Effektförklaring - Denna kolumn måste bevisa påverkansstatusen;
  • Uppföljning - Steg som behövs för att eliminera resultaten. Exempelvis upprätta processen, uppdatera processmodell eller uppdatera arbetsinstruktion.
  • Länk till bevis - Alla resultat måste stödjas av lämpliga relevanta dokumenterade bevis. Till exempel processdokumentation, olika databaser (för Asset Management är det Asset Register), ifyllda formulär, e-postkorrespondens eller utbildningsregister.

Förbered processgranskningsrapporten. Den huvudsakliga utgången av granskningen är Process Review Report-dokument med syftet att rapportera om IT Process Review som genomförs i någon IT-organisationsstruktur. Det slutliga dokumentet måste granskas och godkännas av teamledare (chef), processägare och processägares linjechef. Eftersom dokumentet läses av ledningen måste det vara kort (20-25 sidor) och meningsfullt så mycket som möjligt. Granskningsdokumentet har vanligtvis följande struktur:

• • Sammanfattning. Kort beskrivning av dokumentets syfte, viktiga resultat och viktiga rekommendationer. Som huvuddelen av dokumentet måste det vara kortfattat (1-2 sidor) och omfattande.
• Inledning måste innehålla:
  • Syftet och omfattningen (med "utanför ramen") för granskningen.
  • Avsedd publik (t.ex. ledarskapsteam, affärsteam)
  • Tidslinjer
  • Nyckelaktiviteter för granskningen.
• Behandla intressenter och kontakter
• En del statistisk information om en process inklusive informationskällan.
• Listning över viktiga krav för processen
• En sidorapport om fysisk verifiering om den utförs, t.ex. för tillgångs- och konfigurationshantering, kan den vara granskning, fysisk granskning eller inventering.
• Kontrollerna som tillämpas på processen:
  • Kontrollbeskrivning
  • Kontrollapparatens tillstånd (t.ex. för Asset Management kan IT-tillgångsflöde med ägarkontroller tillhandahållas
• Högnivåvy (Resultat kan grupperas i 7-10 resultat på hög nivå) på resultat inklusive:
  • • Titel och kort beskrivning
    • Påverkan
    • Effektbeskrivning
    • Möjliga lösningar
  • Förhållandet mellan fynd och granskningsomfång i en tabellform med omfångslista som rader och resultat som kolumner med färgade skärningspunkter - mörk färg för nära relation, ljus färg för svag. Detta kan hjälpa till att se de "svaga" platserna i processen.
  • Föreslagna steg för att mildra riskerna och lösa resultaten
  • Bilagor
    • Processdokumentation
    • Lista över resultat (vanligtvis hyperlänk till excelresultaten).

Förbered en översiktsöversikt. Även om det inte är en obligatorisk utskrift av granskningen, kan detta vara översiktsöversikten med följande innehåll:

• Syfte och omfattning
• Några siffror
• Viktiga krav
• Översikt över fysisk verifiering
• Kontroller
• Högnivåvy av resultaten
• Förhållandet mellan resultat och granskningsomfattning
• Ytterligare steg att göra.

Presentera recensionen. En annan utgång för granskningen kan vara Process Improvement Strategy Presentation som görs för lednings- och affärsprocessanvändare. Detta dokument kan innehålla:

• Huvudsakliga identifierade problem och möjliga lösningar;
• Aktuell process kontra förbättrad process (beskrivning av förändringar i processflöde behövde förbättras);
• Plan på hög nivå för att genomföra förbättringarna.