Звоните: +7 (495) 517-57-25

Стоп! Уже началась путаница.
Ты привыкай, дружок,— путаницы
здесь будет предостаточно.

Алиса в Стране чудес», аудиоспектакль1

Год назад, в апреле 2012, вышли в свет первые три публикации обновленного свода знаний в области руководства, управления и контроля ИТ. Новая версия называется COBIT 5, и это не просто обновление популярного подхода, это качественно другой продукт: с иным охватом, иной целевой аудиторией, иной структурой и претензией на новую, более важную роль в системе знаний об управлении корпоративными ИТ. За год накопилось немало впечатлений, сформировалось определенное мнение, сформулировались вопросы к авторам и редакторам проекта. Вот некоторые из этих впечатлений, мнений и вопросов.

cobit 5Как написано в COBIT, «COBIT 5 объединяет 5 принципов, позволяющих предприятию организовать на основе семи факторов влияния эффективное руководство и управление, оптимизирующие инвестиции в информацию и технологии и их использование на благо заинтересованных лиц». В этой фразе упомянуты почти все ключевые компоненты обновленной методологии, и почти все они требуют пояснений уже на этапе перевода на русский. Структуру изложению материала COBIT 5, а также идеологическую основу для применения подхода на практике создают пять принципов COBIT.

Принципы

Принципы (principles) — это действительно постулаты, на которых строится почти весь материал COBIT5. Принципов — пять, и по меньшей мере за четырьмя из их стоят конкретные и обладающие большим практическим потенциалом инструменты. Фактически принципы обеспечивают мотив и возможность для различных практических действий по руководству и управлению ИТ.

COBIT 5 principles

Принцип 1: Соответствие требованиям заинтересованных сторон.

  • COBIT 5 principle 1Мотив: система руководства и управления ИТ должна поддерживать реализацию целей предприятия и отвечать потребностям внешних и внутренних заинтересованных сторон (stakeholders).
  • Возможность: COBIT 5 предлагает расширенный и дополненный каскад целей, демонстрирующий декомпозицию интересов заинтересованных сторон в цели предприятия, далее в цели руководства и управления ИТ на предприятии и наконец — в цели отдельных компонентов системы руководства и управления ИТ.2 Расширенный и дополненный — потому что в COBIT 4.1 подобный каскад тоже был описан, но состоял из трех уровней: бизнес-целиИТ-цели — цели ИТ-процессов. В COBIT 5 над целями бизнеса добавились требования заинтересованных сторон, а цели процессов дополнены целями других компонентов системы управления ИТ. Что не менее важно, в COBIT 5 появилось явное предостережение: нельзя слепо копировать эти цели в практику конкретной компании, следует использовать принцип каскадирования целей и сверяться со списками целей, предложенными COBIT, для проверки собственных решений.
  • Впечатления: хорошо, что каскад целей перенесен из приложений в основной текст базовой публикации. Хорошо, что бизнес-цели и ИТ-цели сгруппированы по областям BSC, немного странно, что для бизнеса и ИТ эти области идентичны. Очень многообещающе выглядит заявленная декомпозиция ИТ-целей на цели не только ИТ-процессов, но и других компонентов системы управления. Сами цели, однако, на этом уровне определены пока только для процессов, поэтому — лишь «многообещающе». Ждём продолжения.

Принцип 2: Комплексный взгляд на предприятие.

  • Мотивы: 1. Руководство ИТ следует рассматривать как неотъемлемую часть руководства предприятием в целом. 2. COBIT описывает все функции и процессы, необходимые, чтобы руководить и управлять информационными технологиями на предприятии.
  • Возможности: специальных инструментов, поддерживающих второй принцип, COBIT не предлагает. Тем не менее, следование этому принципу, по-видимому, определило состав ролей в RACI-матрицах для процессов, состав заинтересованных лиц, а также структуру и состав процессной модели. Как написано на обложке базовой книжки подхода, COBIT 5 – «методология для бизнеса», не для ИТ-отдела.
  • Впечатления: это единственный принцип COBIT 5, не поддержанный соответствующим инструментом управления, поэтому, особенно в сравнении с остальными четырьмя, он оставляет ощущение декларации, принципа-в-чистом-виде — важного с идеологической точки зрения, но второстепенного с прикладной. Впрочем, такое впечатление остаётся только если подходить к COBIT как к набору инструментов для управления ИТ, выбор и способ применения которых мастер волен определять сам. Если же рассматривать COBIT с позиции руководства ИТ3, то есть с позиции бизнеса, он оказывается чуть ли не основным: отсутствие у руководителей предприятия указанных в нём мотивов может сделать бессмысленными все попытки применения инструментов управления, описанных в COBIT.

Принцип 3: Применение единой интегрированной методологии.

  • Мотив: Для руководства и управления ИТ удобно использовать единую методологию, объединившую всё лучшее из современных стандартов и сводов знаний.
  • Возможность: В COBIT использованы элементы стандартов (ISO 38500, ISO 27002, ISO 20000, ISO 15504, NIST и других) и сводов знаний (ITIL®, PMBOK, PRINCE2®, ValIT, RiskIT, SFIA…), авторские подходы (Д. Коттер). В большинстве случаев явно указана ссылка на источник, во многих случаях — на конкретные главы/разделы/положения источника.
  • Впечатления: Очень интересная и очень амбициозная идея. Такой подход позволяет не просто лучше понимать связи рекомендаций COBIT с уже используемыми на предприятии подходами и стандартами, но и даёт направление для развития компетенций при решении прикладных задач организации управления ИТ. Интересно, как авторы COBIT планируют поддерживать актуальность своих рекомендаций и ссылок при обновлении связанных источников — шансы, что какая-то из полутора десятков связанных публикаций будет обновлена, довольно высоки. Кроме того, к сожалению, уже сейчас многие ссылки на источники в COBIT 5 неполны, а некоторые — некорректны. Кстати, обновление, вышедшее через полгода после апрельского релиза COBIT 5, содержало много исправлений именно в этой части материала.

Принцип 4: Обеспечение целостности подхода.

  • Мотив: Для эффективного руководства и управления ИТ одних процессов недостаточно. Нужны и другие компоненты.COBIT 5 principle 4
  • Возможность: Эти компоненты называются в COBIT 5 enablers, что можно перевести как «факторы влияния». Их семь:

1. Политики, принципы и подходы
2. Процессы
3. Оргструктура
4. Культура, этика, поведение
5. Информация
6. Услуги, инфраструктура и приложения
7. Люди, навыки и компетенции

Три последних объединены понятием «ресурсы». Для каждого фактора влияния приведено краткое описание — в единой структуре, включающей в себя заинтересованные стороны, цели, жизненный цикл, практики и продукты, а также метрики.

Структура публикаций COBIT предполагает выпуск так называемых Enabler guides, детально описывающих каждый фактор влияния. Опубликованная одновременно с базовой публикацией в апреле прошлого года книжка Enabling processes — это 230 страниц, на которых детально описаны 37 процессов. Видимо, аналогичного уровня детализации можно ожидать и в других публикациях этой группы, если и когда они выйдут в свет.

  • Впечатления: попытки систематизировать компоненты системы управления ИТ предпринимались и ранее. Так, ITIL предлагает читателям список из 9 «сервисных активов», объединяющих ресурсы и способности, необходимые для управления ИТ-услугами. Однако обычно эти попытки заканчиваются простым перечислением компонентов, COBIT же содержит детальную характеристику каждого и обещает еще больше. Группировка компонентов вызывает вопросы, но скорее академического характера, не умаляющие достоинств самого комплексного подхода4. Если в состав COBIT войдут enabler guides по таким направлениям, как «культура, этика, поведение» и «люди, навыки и компетенции», ценность этого свода знаний возрастет многократно: в настоящее время структурированных рекомендаций по этим вопросам, учитывающих специфику руководства и управления ИТ, практически не существует.

 Принцип 5: Разделение руководства и управления

  • Мотив: должна быть определена четкая граница между руководством и управлением. Эти две дисциплины включают в себя разные виды деятельности, требуют разных организационных структур и служат разным целям.
    • Руководство (governance) обеспечивает уверенность в достижении бизнес-целей, путём оценки потребностей заинтересованных сторон, условий и вариантов, задания направления движения через приоритизацию и принятие решений и сравнения фактической производительности, степени завершения и соответствия правилам с плановыми значениями.
    • Управление (management) заключается в планировании, построении, выполнении и отслеживании деятельности, в соответствии с направлением, заданным органом руководства, для достижения бизнес-целей.
  • Возможность: COBIT предлагает референтную модель системы руководства и управления ИТ, описывающую 5 процессов руководства и 32 процесса управления. Процессы управления ИТ в модели сгруппированы в четыре домена. В целом модель является развитием модели COBIT предыдущих версий, хотя изменения нельзя назвать косметическими: некоторые процессы были объединены, некоторые перенесены в другой домен, появилось несколько новых процессов. Существенно переработана ролевая модель, используемая при распределении ответственности за реализацию процессных практик. Изменен уровень детализации описания процессов: теперь в каждом процессе выделены ключевые практики, для каждой из которых определены виды деятельности. Входы и выходы (документы и записи) определены для каждой практики, а не для процесса в целом, как было ранее. Терминология и структура описания процессов приведены в соответствие с требованиями стандарта ISO 15504. Для большинства процессов приведены ссылки на связанные источники, что поддерживает реализацию принципа № 3.
  • Впечатления: очень детальная, очень масштабная модель, хорошо совместимая с другими сводами знаний, в первую очередь ITIL. Устранены многие ошибки и нестыковки модели COBIT 4.1. Тем не менее, к каждому домену есть вопросы по составу процессов, распределению ответственности, структуре практик некоторых процессов, ссылкам на источники. Вопросов много, хватит на отдельную статью, и среди них есть важные. Поэтому общее впечатление от процессной модели схоже с общим впечатлением от COBIT 5 в целом:
    • Амбиции авторов вызывают уважение.
    • Продукт требует доработки и устранения неточностей.
    • Возможности практического применения уже сейчас широки и разнообразны
    • Использовать эти возможности надо с умом и осторожностью.

Что, кроме принципов?

Несмотря на то, что большая часть компонентов COBIT 5 описана в рамках пяти принципов, есть публикации и инструменты, поддерживающие следование этим принципам, но явно в них не входящие.

В первую очередь, это рекомендации по внедрению, изложенные в книге COBIT 5 Implementation — первой из группы публикаций под общим название Professional guides. Книга содержит детальные рекомендации по реализации принципов COBIT на трех уровнях — управления организационными изменениями, управления программами и постоянного совершенствования.

Кроме того, в начале 2013 года была опубликована модель оценки процессов (Process assessment model), основанная на процессной модели COBIT 5 и модели оценки процессов ISO 15504, а позднее к ней были добавлены рекомендации по проведению самооценки и удобные для этой цели таблицы, опросники и другие инструменты сбора и анализа свидетельств.

Ожидается продолжение публикации книг серий enabler guides и professional guides, что, очевидно, делает COBIT наиболее динамично развивающимся, одним из самых полных и подробных сводов знаний по руководству и управлению ИТ. И уже сегодня одним из самых практически полезных.


Сноски

  1. Мелодия, 1976.
  2. Эти компоненты называются в COBIT 5 факторами влияния, enablers. Подробнее о них — в принципе № 4.
  3. О разнице между руководством и управлением ИТ написано в принципе № 5.
  4. Подробнее об этих вопросах можно узнать на портале RealITSM: http://www.realitsm.ru/2012/07/gentleman-set/