Год назад, в апреле 2012-го, вышли в свет первые три публикации обновленного свода знаний в области руководства, управления и контроля ИТ. Новая версия называется COBIT 5, и это не просто обновление популярного подхода, это качественно другой продукт: с иным охватом, иной целевой аудиторией, иной структурой и претензией на новую, более важную роль в системе знаний об управлении корпоративными ИТ.

За год накопилось немало впечатлений, сформировалось определенное мнение, сформулировались вопросы к авторам и редакторам проекта. Вот некоторые из этих впечатлений, мнений и вопросов.

Как написано в COBIT, «COBIT 5 объединяет пять принципов, позволяющих предприятию организовать на основе семи факторов влияния эффективное руководство и управление, оптимизирующие инвестиции в информацию и технологии и их использование на благо заинтересованных лиц». В этой фразе упомянуты почти все ключевые компоненты обновленной методологии, и почти все они требуют пояснений уже на этапе перевода на русский. Структуру изложения материала COBIT 5, а также идеологическую основу для применения подхода на практике создают пять принципов COBIT.

 

Принципы

Принципы (principles) – это действительно постулаты, на которых строится почти весь материал COBIT5. Принципов пять, и по меньшей мере за четырьмя из них стоят конкретные и обладающие большим практическим потенциалом инструменты (рис.1). Фактически принципы обеспечивают мотив и возможность для различных практических действий по руководству и управлению ИТ.

 

принципы cobit5

Рис. 1. Принципы COBIT5

 

Принцип 1. Соответствие требованиям заинтересованных сторон

  • Мотив: система руководства и управления ИТ должна поддерживать реализацию целей предприятия и отвечать потребностям внешних и внутренних заинтересованных сторон (stakeholders).
  • Возможность: COBIT 5 предлагает расширенный и дополненный каскад целей, демонстрирующий декомпозицию интересов заинтересованных сторон в цели предприятия, далее в цели руководства и управления ИТ на предприятии и, наконец, в цели отдельных компонентов системы руководства и управления ИТ (рис.2). Расширенный и дополненный – потому что в COBIT 4.1 подобный каскад тоже был описан, но состоял из трех уровней: бизнес-цели – ИТ-цели – цели ИТ-процессов. В COBIT 5 над целями бизнеса добавились требования заинтересованных сторон, а цели процессов дополнены целями других компонентов системы управления ИТ. Что не менее важно, в COBIT 5 появилось явное предостережение: нельзя слепо копировать эти цели в практику конкретной компании, следует использовать принцип каскадирования целей и сверяться со списками целей, предложенными COBIT, для проверки собственных решений.
  • Впечатления: хорошо, что каскад целей перенесен из приложений в основной текст базовой публикации. Хорошо, что бизнес-цели и ИТ-цели сгруппированы по областям сбалансированной системы показателей (Balanced Scorecard), но немного странно, что для бизнеса и ИТ эти области идентичны. Очень многообещающе выглядит заявленная декомпозиция ИТ-целей на цели не только ИТ-процессов, но и других компонентов системы управления. Сами цели, однако, на этом уровне определены пока только для процессов, поэтому – лишь «многообещающе». Ждем продолжения.

 

каскад целей cobit5

Рис. 2. Каскад целей

 

Принцип 2. Комплексный взгляд на предприятие

  • Мотивы: руководство ИТ следует рассматривать как неотъемлемую часть руководства предприятием в целом; COBIT описывает все функции и процессы, необходимые, чтобы руководить и управлять информационными технологиями на предприятии.
  • Возможности: специальных инструментов, поддерживающих второй принцип, COBIT не предлагает. Тем не менее следование этому принципу, по-видимому, определило состав ролей в матрицах ролей и ответственности для процессов, состав заинтересованных лиц, а также структуру и состав процессной модели. Как написано на обложке базовой книжки подхода, COBIT 5 – «методология для бизнеса», не для ИТ-отдела.
  • Впечатления: это единственный принцип COBIT 5, не поддержанный соответствующим инструментом управления, поэтому, особенно в сравнении с остальными четырьмя, он оставляет ощущение декларации, «принципа в чистом виде» – важного с идеологической точки зрения, но второстепенного с прикладной. Впрочем, такое впечатление остается, только если подходить к COBIT как к набору инструментов для управления ИТ, выбор и способ применения которых мастер волен определять сам. Если же рассматривать COBIT с позиции руководства ИТ, то есть с позиции бизнеса, он оказывается чуть ли не основным: отсутствие у руководителей предприятия указанных в нем мотивов может сделать бессмысленными все попытки применения инструментов управления, описанных в COBIT.

Принцип 3. Применение единой интегрированной методологии

  • Мотив: для руководства и управления ИТ удобно использовать единую методологию, объединившую все лучшее из современных стандартов и сводов знаний.
  • Возможность: в COBIT использованы элементы стандартов (ISO 38500, ISO 27002, ISO 20000, ISO 15504, NIST и др.) и сводов знаний (ITIL, PMBOK, PRINCE2, ValIT, RiskIT, SFIA и др.), авторские подходы (Д. Коттер). В большинстве случаев явно указана ссылка на источник, во многих случаях – на конкретные главы/разделы/положения источника.
  • Впечатления: очень интересная и амбициозная идея. Такой подход позволяет не просто лучше понимать связи рекомендаций COBIT с уже используемыми на предприятии подходами и стандартами, но и дает направление для развития компетенций при решении прикладных задач организации управления ИТ. Интересно, как авторы COBIT планируют поддерживать актуальность своих рекомендаций и ссылок при обновлении связанных источников: шансы, что какая-то из полутора десятков связанных публикаций будет обновлена, довольно высоки. Кроме того, к сожалению, уже сейчас многие ссылки на источники в COBIT 5 неполны, а некоторые некорректны. Кстати, обновление, вышедшее через полгода после апрельского релиза COBIT 5, содержало много исправлений именно в этой части материала.

Принцип 4. Обеспечение целостности подхода

  • Мотив: для эффективного руководства и управления ИТ одних процессов недостаточно, нужны и другие компоненты.
  • Возможность: эти компоненты в COBIT 5 называются enablers, что можно перевести как «факторы влияния». Их семь (рис.3):
  1. Политики, принципы и подходы.
  2. Процессы.
  3. Оргструктура.
  4. Культура, этика, поведение.
  5. Информация.
  6. Услуги, инфраструктура и приложения.
  7. Люди, навыки и компетенции.

Три последних объединены понятием «ресурсы». Для каждого фактора влияния приведено краткое описание – в единой структуре, включающей в себя заинтересованные стороны, цели, жизненный цикл, практики и продукты, а также метрики.

Структура публикаций COBIT предполагает выпуск так называемых Enabler guides, детально описывающих каждый фактор влияния. Опубликованная одновременно с базовой публикацией в апреле прошлого года книжка Enabling processes – это 230 страниц, на которых детально описаны 37 процессов. Видимо, аналогичного уровня детализации можно ожидать и в других публикациях этой группы, если они выйдут в свет.

 

факторы влияния cobit5

Рис. 3. Факторы влияния

  • Впечатления: попытки систематизировать компоненты системы управления ИТ предпринимались и ранее. Так, ITIL предлагает читателям список из 9 «сервисных активов», объединяющих ресурсы и способности, необходимые для управления ИТ-услугами. Однако обычно эти попытки заканчиваются простым перечислением компонентов, COBIT же содержит детальную характеристику каждого и обещает еще больше. Группировка компонентов вызывает вопросы, но скорее академического характера, не умаляющие достоинств самого комплексного подхода. Если в состав COBIT войдут enabler guides по таким направлениям, как «культура, этика, поведение» и «люди, навыки и компетенции», ценность этого свода знаний возрастет многократно. В настоящее время структурированных рекомендаций по этим вопросам, учитывающих специфику руководства и управления ИТ, практически не существует.

Принцип 5. Разделение руководства и управления

  • Мотив: должна быть определена четкая граница между руководством и управлением. Эти две дисциплины включают в себя разные виды деятельности, требуют разных организационных структур и служат разным целям:
    • руководство (governance) обеспечивает уверенность в достижении бизнес-целей путем оценки потребностей заинтересованных сторон, условий и вариантов, задания направления движения через приоритизацию и принятие решений, сравнения фактической производительности, степени завершения и соответствия правилам с плановыми значениями;
    • управление (management) заключается в планировании, построении, выполнении и отслеживании деятельности в соответствии с направлением, заданным органом руководства, для достижения бизнес-целей.
  • Возможность: COBIT предлагает референтную модель системы руководства и управления ИТ, описывающую 5 процессов руководства и 32 процесса управления. Процессы управления ИТ в модели сгруппированы в четыре домена. В целом модель является развитием модели COBIT предыдущих версий, хотя изменения нельзя назвать косметическими: некоторые процессы были объединены, некоторые перенесены в другой домен, появилось несколько новых процессов. Существенно переработана ролевая модель, используемая при распределении ответственности за реализацию процессных практик. Изменен уровень детализации описания процессов: теперь в каждом процессе выделены ключевые практики, для каждой из которых определены виды деятельности. Входы и выходы (документы и записи) определены для каждой практики, а не для процесса в целом, как было ранее. Терминология и структура описания процессов приведены в соответствие с требованиями стандарта ISO 15504. Для большинства процессов приведены ссылки на связанные источники, что поддерживает реализацию принципа 3.
  • Впечатления: очень детальная, очень масштабная модель, хорошо совместимая с другими сводами знаний, в первую очередь с ITIL. Устранены многие ошибки и нестыковки модели COBIT 4.1. Тем не менее к каждому домену есть вопросы по составу процессов, распределению ответственности, структуре практик некоторых процессов, ссылкам на источники. Вопросов много, хватит на отдельную статью, и среди них есть важные. Поэтому общее впечатление от процессной модели схоже с общим впечатлением от COBIT 5 в целом:
    • амбиции авторов вызывают уважение;
    • продукт требует доработки и устранения неточностей;
    • возможности практического применения уже сейчас широки и разнообразны;
    • использовать эти возможности надо с умом и осторожностью.

 

Что кроме принципов?

Несмотря на то что большая часть компонентов COBIT 5 описана в рамках пяти принципов, есть публикации и инструменты, поддерживающие следование этим принципам, но явно в них не входящие.

В первую очередь, это рекомендации по внедрению, изложенные в книге COBIT 5 Implementation – первой из группы публикаций под общим название Professional guides. Книга содержит детальные рекомендации по реализации принципов COBIT на трех уровнях – управления организационными изменениями, управления программами и постоянного совершенствования.

Кроме того, в начале 2013 года была опубликована модель оценки процессов (Process assessment model), основанная на процессной модели COBIT 5 и модели оценки процессов ISO 15504, а позднее к ней были добавлены рекомендации по проведению самооценки и удобные для этой цели таблицы, опросники и другие инструменты сбора и анализа свидетельств.

Ожидается продолжение публикации книг серий enabler guides и professional guides, что, очевидно, делает COBIT наиболее динамично развивающимся, одним из самых полных и подробных сводов знаний по руководству и управлению ИТ. И уже сегодня одним из самых практически полезных.

Роман Журавлев (r.jouravlev@cleverics.ru) – директор по развитию персонала компании Cleverics