Я после публикации своей статьи часто вступаю в дискуссии по поводу применимости модели оценки процессов COBIT 5 PAM. Хочу тут свести воедино критические аргументы (не против статьи, а против модели) и то, как на них можно отвечать:
Эта модель оценки процессов только для «крупных» компаний сработает. В моей маленькой ИТ-команде этого ничего не надо.
Конечно же, только для крупных. Настолько крупных, что «по памяти» работать уже не получается: слишком большой становится вариативность. Для снижения вариативности деятельность загоняется в рамки-заборы напоминаний, распределения обязанностей, автоматизации, измерения, совершенствования, вы поняли. А если уж вы поставили забор вокруг газона, то придётся вам его регулярно проверять, не покосился ли.
Модель оценки возможностей COBIT 5 PAM, основанная на стандарте ISO 15504, слишком абстрактна по сравнению с простой, популярной и яркой моделью зрелости COBIT 4.1 (про обе очень хорошо рассказывал Дмитрий Исайченко).
Тут я согласен. ISO 15504 максимально отвязан от конкретных процессов, и применим к любым: от производства автомобилей до предоставления и поддержки ИТ-услуг. Эта отвязка достигается за счет принципиального пренебрежения содержанием процессов. Со второго по пятый уровень оценивается сложность и стабильность «управленческой надстройки» процесса. А управленческая надстройка эта универсальна для любого процесса. Например, список обязанностей менеджера и владельца процесса в ITIL: определение целей процесса и правил выполнения, обеспечение ресурсами, планирование улучшений, измерение и так далее. Так сложнее понимать написанное, это правда. А повторяемость и объективность оценки выше.
Почему это ИТ-аудит основан на процессных бумажках? Нарисуем все «рабочие продукты» за ночь, и аудитор даст нам пятый уровень?
Это заблуждение. Аудитор (а корректнее сказать "оценщик", всё-таки) оценивает не бумажки (свидетельства), а ищет подтверждения выполнения управленческих дел, то есть работы менеджера или владельца процесса. Чем больше не «устных» а доказуемых свидетельств он встретит, тем легче ему будет сказать: «Да, это процесс, способный достигать результата с всё более высокой (в зависимости от количества свидетельств) вероятностью». Вот что написано в пятой части стандарта 15504, раздел 4.4 (перевод мой): «Индикаторы оценки используются для доказательства факта выполнения практик и представляют собой наблюдаемые свидетельства, собранные в ходе оценки. Все свидетельства добываются либо путем проверки рабочих продуктов, либо со слов исполнителей и менеджеров процессов». Ну, и дальше там много раз повторяется про «профессиональное суждение оценщика», являющееся неотъемлемой частью оценки. Поэтому правильный оценщик, конечно же, очень быстро раскусит «фальшивые» документы, и точно не станет упираться в формальные названия документов, не совпадающие с названиями COBIT PAM.
И самое главное: оценка процессов – это оценка лишь одной из составляющих эффективного руководства. Кроме процессов оценивать нужно и организационную структуру, и качество информации и много чего еще…
Список аргументов буду пополнять, если еще что-нибудь вспомнится, или вы подкинете в комментариях =)