Год назад, в апреле 2012 года, вышли в свет первые три публикации обновленного свода знаний в области руководства, управления и контроля ИТ. Новая версия называется COBIT 5, и это не просто обновление популярного подхода — это качественно другой продукт: с иным охватом, иной целевой аудиторией, иной структурой, с претензией на новую, более важную роль в системе знаний об управлении корпоративными ИТ.

За год накопилось немало впечатлений, сформировалось определенное мнение, появились вопросы к авторам и редакторам проекта. Вот некоторые из этих впечатлений, мнений и вопросов.

Как написано в COBIT, «COBIT 5 объединяет пять принципов, позволяющих предприятию организовать на основе семи факторов влияния эффективное руководство и управление, оптимизирующие инвестиции в информацию и технологии и их использование на благо заинтересованных лиц». В этой фразе упомянуты почти все ключевые компоненты обновленной методологии, и почти все они требуют пояснений уже на этапе перевода на русский. Структуру изложения материала COBIT 5, а также идеологическую основу для практического применения подхода создают пять принципов COBIT.

 

Рисунок 1
Рисунок 1

Принципы

Принципы (principles) — это действительно постулаты, на которых строится почти весь материал COBIT 5. Принципов пять, и по меньшей мере за четырьмя из них стоят конкретные и обладающие большим практическим потенциалом инструменты (рис. 1). Фактически принципы обеспечивают мотив и возможность для различных практических действий по руководству и управлению ИТ.

 

Принцип 1. Соответствие потребностям заинтересованных сторон

• Мотив: система руководства и управления ИТ должна поддерживать реализацию целей предприятия и отвечать потребностям внешних и внутренних заинтересованных сторон (stakeholders).

• Возможность: COBIT 5 предлагает расширенный и дополненный каскад целей, демонстрирующий декомпозицию интересов заинтересованных сторон в цели предприятия, далее в цели руководства и управления ИТ на предприятии и, наконец, в цели отдельных компонентов системы руководства и управления ИТ (рис. 2). Расширенный и дополненный — потому что в COBIT 4.1 подобный каскад тоже был описан, но состоял из трех уровней: бизнес-цели — ИТ-цели — цели ИТ-процессов. В COBIT 5 к целям бизнеса добавились требования заинтересованных сторон, а цели процессов дополнены целями других компонентов системы управления ИТ. Что не менее важно, в COBIT 5 появилось явное предостережение: нельзя слепо копировать эти цели в практику конкретной компании, следует использовать принцип каскадирования целей и сверяться со списками целей, предложенными COBIT, для проверки собственных решений.

• Впечатления: хорошо, что каскад целей перенесен из приложений в основной текст базовой публикации. Хорошо, что бизнес-цели и ИТ-цели сгруппированы по областям сбалансированной системы показателей (Balanced Scorecard), но немного странно, что для бизнеса и ИТ эти области идентичны. Очень многообещающе выглядит заявленная декомпозиция ИТ-целей на цели не только ИТ-процессов, но и других компонентов системы управления. Сами цели, однако, на этом уровне определены пока только для процессов, поэтому — лишь «многообещающе». Ждем продолжения.

 

Принцип 2. Комплексный взгляд на предприятие

• Мотивы: руководство ИТ следует рассматривать как неотъемлемую часть руководства предприятием в целом; COBIT описывает все функции и процессы, необходимые, чтобы руководить и управлять информационными технологиями на предприятии.

Рисунок 2
Рисунок 2

• Возможности: специальных инструментов, поддерживающих второй принцип, COBIT не предлагает. Тем не менее следование этому принципу, по-видимому, определило состав ролей в матрицах ролей и ответственности для процессов, состав заинтересованных лиц, а также структуру и состав процессной модели. Как написано на обложке базовой книжки подхода, COBIT 5 — «методология для бизнеса», не для ИТ-отдела.

• Впечатления: это единственный принцип COBIT 5, не поддержанный соответствующим инструментом управления, поэтому, особенно в сравнении с остальными четырьмя, он оставляет ощущение декларации, «принципа в чистом виде» — важного с идеологической точки зрения, но второстепенного с прикладной. Впрочем, такое впечатление остается, только если подходить к COBIT как к набору инструментов для управления ИТ, выбор и способ применения которых мастер волен определять сам. Если же рассматривать COBIT с позиции руководства ИТ, то есть с позиции бизнеса, он оказывается чуть ли не основным: отсутствие у руководителей предприятия указанных в нем мотивов может сделать бессмысленными все попытки применить инструменты управления, описанные в COBIT.

Принцип 3. Применение единой интегрированной методологии

• Мотив: для руководства и управления ИТ удобно использовать единую методологию, объединившую все лучшее из современных стандартов и сводов знаний.

• Возможность: в COBIT использованы элементы стандартов (ISO 38500, ISO 27002, ISO 20000, ISO 15504, NIST и др.) и сводов знаний (ITIL, PMBOK, PRINCE2, ValIT, RiskIT, SFIA и др.), авторские подходы (Д. Коттер). В большинстве случаев явно указана ссылка на источник, во многих случаях — на конкретные главы/разделы/положения источника.

• Впечатления: очень интересная и амбициозная идея. Такой подход позволяет не просто лучше понимать связи рекомендаций COBIT с уже используемыми на предприятии подходами и стандартами, но и дает направление для развития компетенций при решении прикладных задач организации управления ИТ. Интересно, как авторы COBIT планируют поддерживать актуальность своих рекомендаций и ссылок при обновлении связанных источников: шансы, что какая-то из полутора десятков связанных публикаций будет обновлена, довольно высоки. Кроме того, к сожалению, уже сейчас многие ссылки на источники в COBIT 5 неполны, а некоторые некорректны. Кстати, обновление, вышедшее через полгода после апрельского релиза COBIT 5, содержало много исправлений именно в этой части.

Принцип 4. Обеспечение целостности подхода

• Мотив: для эффективного руководства и управления ИТ одних процессов недостаточно, нужны и другие компоненты.

• Возможность: эти компоненты в COBIT 5 называются enablers, что можно перевести как «факторы влияния». Их семь (рис. 3):

политики, принципы и подходы;

процессы;

оргструктура;

культура, этика, поведение;

информация;

услуги, инфраструктура и приложения;

люди, навыки и компетенции.

Три последних объединены понятием «ресурсы». Для каждого фактора влияния приведено краткое описание — в единой структуре, включающей в себя заинтересованные стороны, цели, жизненный цикл, практики и продукты, а также метрики.

Структура публикаций COBIT предполагает выпуск так называемых Enabler guides, детально описывающих каждый фактор влияния. Опубликованная одновременно с базовой публикацией в апреле прошлого года книжка Enabling processes — это 230 страниц, на которых детально описаны 37 процессов. Видимо, аналогичного уровня детализации можно ожидать и в других публикациях этой группы, если они выйдут в свет.

• Впечатления: попытки систематизировать компоненты системы управления ИТ предпринимались и ранее. Так, ITIL предлагает читателям список из девяти «сервисных активов», объединяющих ресурсы и способности, необходимые для управления ИТ-услугами. Однако обычно эти попытки заканчиваются простым перечислением компонентов, COBIT же содержит детальную характеристику каждого и обещает еще больше. Группировка компонентов вызывает вопросы, но скорее академического характера, не умаляющие достоинств самого комплексного подхода. Если в состав COBIT войдут enabler guides по таким направлениям, как «культура, этика, поведение» и «люди, навыки и компетенции», ценность этого свода знаний возрастет многократно. В настоящее время структурированных рекомендаций по этим вопросам, учитывающих специфику руководства и управления ИТ, практически не существует.

Принцип 5. Разделение руководства и управления

• Мотив: должна быть определена четкая граница между руководством и управлением. Эти две дисциплины включают в себя разные виды деятельности, требуют разных организационных структур и служат разным целям:

руководство (governance) обеспечивает уверенность в достижении бизнес-целей путем оценки потребностей заинтересованных сторон, условий и вариантов, задания направления движения через приоритизацию и принятие решений, сравнения фактической производительности, степени завершения и соответствия правилам с плановыми значениями;

управление (management) заключается в планировании, построении, выполнении и отслеживании деятельности в соответствии с направлением, заданным органом руководства, для достижения бизнес-целей.

• Возможность: COBIT предлагает референтную модель системы руководства и управления ИТ, описывающую пять процессов руководства и 32 процесса управления. Процессы управления ИТ в модели сгруппированы в четыре домена. В целом модель является развитием модели COBIT предыдущих версий, хотя изменения нельзя назвать косметическими: некоторые процессы были объединены, некоторые перенесены в другой домен, появилось несколько новых процессов. Существенно переработана ролевая модель, используемая при распределении ответственности за реализацию процессных практик. Изменен уровень детализации описания процессов: теперь в каждом процессе выделены ключевые практики, для каждой из них определены виды деятельности. Входы и выходы (документы и записи) определены для каждой практики, а не для процесса в целом, как было ранее. Терминология и структура описания процессов приведены в соответствие с требованиями стандарта ISO 15504. Для большинства процессов даются ссылки на связанные источники, что поддерживает реализацию принципа 3.

• Впечатления: очень детальная, очень масштабная модель, хорошо совместимая с другими сводами знаний, в первую очередь с ITIL. Устранены многие ошибки и нестыковки модели COBIT 4.1. Тем не менее к каждому домену есть вопросы по составу процессов, распределению ответственности, структуре практик некоторых процессов, ссылкам на источники. Вопросов много, хватит на отдельную статью, и среди них есть важные. Поэтому общее впечатление от процессной модели схоже с общим впечатлением от COBIT 5 в целом:

амбиции авторов вызывают уважение;

продукт требует доработки и устранения неточностей;

возможности практического применения уже сейчас широки и разнообразны;

использовать эти возможности надо с умом и осторожностью.

Рисунок 3
Рисунок 3

 

Что, кроме принципов?

Несмотря на то что большая часть компонентов COBIT 5 описана в рамках пяти принципов, есть публикации и инструменты, поддерживающие следование этим принципам, но явно в них не входящие.

В первую очередь это рекомендации по внедрению, изложенные в книге COBIT 5 Implementation — первой из группы публикаций под общим название Professional guides. Книга содержит детальные рекомендации по реализации принципов COBIT на трех уровнях — управления организационными изменениями, управления программами и постоянного совершенствования.

Кроме того, в начале 2013 года была опубликована модель оценки процессов (Process assessment model), основанная на процессной модели COBIT 5 и модели оценки процессов ISO 15504, а позднее к ней были добавлены рекомендации по проведению самооценки и удобные для этой цели таблицы, опросники и другие инструменты сбора и анализа свидетельств.

Ожидается продолжение публикации книг серий enabler guides и professional guides, что, очевидно, делает COBIT наиболее динамично развивающимся, одним из самых полных и подробных сводов знаний по руководству и управлению ИТ. И уже сегодня — одним из самых практически полезных.

 

Роман Журавлев, директор по развитию персонала компании Cleverics; r.jouravlev@cleverics.ru