На прошлой неделе у нас прошел очередной открытый курс «COBIT 5 Основы», в преддверии которого была серьезно обновлена программа: обзор пяти принципов и введение в процессную модель были расширены обзорами публикаций Enabling Information, COBIT5 for Risk, COBIT 5 for Information Security, COBIT 5 Implementation и введением в оценку процессов по COBIT 5 PAM. Для трех дней – невероятно насыщенно. Несмотря на то, что ISACA не выставляет никаких начальных требований к слушателям курса, очевидно, что для благополучного усваивания такого объема информации требуется бекграунд. Радостно, что люди собираются действительно подготовленные. Мы же продолжаем с интересом изучать аудиторию этого курса, с каждым разом уточняя для себя, с чем связан запрос на COBIT 5 в российских компаниях и как именно его собираются применять.
В самом деле, способы применения растущей на дрожжах библиотеки COBIT 5, которая с каждым годом все больше становится похожей на энциклопедию «Все обо всем» в мире управления ИТ,– предмет отдельной дискуссии.
У меня есть собственные впечатления и вопрос. Сначала впечатления:
- COBIT 5 не очень удобен для организации системы управления ИТ. Процессная модель громоздка и очень сложно представить ее применение на практике. Местами далекий от жизни ITIL и особенно ISO20000, на мой взгляд, проще как для понимания, так и для внедрения. С той лишь оговоркой, что последние два все же про систему управления ИТ-услугами, а не управление ИТ в целом.
- Безусловный козырь процессной модели COBIT 5 – предельно структурированное описание каждого процесса, синхронизированные входы/выходы, последовательная декомпозиция процессов на практики, а практик на виды деятельности, ссылки на источники дополнительной информации по теме. Все это позволяет использовать COBIT 5: Enabling Processes в качестве интегрированной методологии по управлению ИТ-процессами и подсматривать туда, как в справочник.
- Достаточно одного взгляда на матрицы RACI, которые авторы заполнили по каждому процессу, чтобы заключить: целевая аудитория тома – очень-очень крупный, скорее всего международный бизнес. Упражнение по закреплению accountability и responsibility на примере скромной ИТ-службы из нескольких десятков человек, которое мы проводим на курсе, быстро показывает, что вся ответственность распределяется фактически между двумя ролями – человеком со стороны бизнеса и ИТ-директором (в редких случаях, его замами). Таким образом, усиленно разносимые авторами понятия «руководства» и «управления» снова «схлопываются» в одно, превращая COBIT 5 в пушку, стреляющую по воробьям. Что возвращает нас к мысли о справочнике, изложенной в предыдущем пункте.
- Еще одна особенность – явный фокус COBIT 5 на ИТ-организации, являющейся частью предприятия. Ряд процессов (например, APO07, APO11-13) авторы однозначно позиционируют как составную часть «больших» процессов компании. При этом остаются за кадром разъяснения на счет, а что делать, если ИТ-организация и есть предприятие (внешний поставщик ИТ-услуг).
- Складывается ощущение, что ряд процессов авторы намеренно описывают куце, оставляя себе задел. По «случайному» совпадению среди них APO12 Risk Management и APO13 Security Management, по темам которых уже вышли специальные публикации: COBIT 5 for Risk и COBIT 5 for Information Security. И это не очень здорово.
- Что не умаляет достоинств упомянутых публикаций! Наиболее ценные, на мой взгляд, релизы линейки COBIT 5 на сегодняшний день – именно Professional Guides. В частности COBIT 5 for Risk, помимо того, что описывает природу ИТ-рисков, связывает управление ИТ-рисками с пятью принципами, семью факторами влияния, включая все 37 процессов референтной модели, так еще предлагает структуру описания риска и на закуску десятки типовых сценариев. Для всех, кто вовлечен в риск-менеджмент, такая информация – грандиозное подспорье. И если первые главы публикации в большей или меньшей степени – это игра авторов в созданный своими же силами конструктор (5 принципов, 7 факторов влияния, 37 процессов модели), то структура описания рисков, примеры сценариев рисков и мер по снижению дают много и прямой пользы (при формировании реестра рисков, разработке планов снижения рисков), и пищи для размышления.
С пятой версией COBIT больше не Control Objectives for Information and Related Technology, а просто COBIT, чем ISACA (которая также с некоторых пор больше не Information Systems Audit and Control Association, а просто ISACA) хотела подчеркнуть значительно расширившийся охват и аудиторию. Мне же кажется, что COBIT, в основном, по-прежнему про контроли, и главная его ценность – в возможностях использования для внутреннего аудита, оценки процессов, управления рисками. Не исключаю, и даже надеюсь, что со временем с выходом новых и измененных публикаций моя позиция изменится.
Чем COBIT 5 оказался полезен вам или предполагаете, что окажется полезным? Для кого, по вашему мнению, создана и развивается эта методология? Кому, по вашему мнению, стоит сходить на курс про COBIT и зачем?
Немножко в сдвину дискуссию в начало терминологий, или наоборот к её формальному подтверждению. Зато к вопросу кому нужно сходить курсы COBIT. И кто вообще эти люди – кобитняне 🙂 ?
Увлекся некоторое время назад вашими вебинарами и стал обдумывать идею пройти для пользы предприятия какую-нибудь сертификацию. Некоторое время поразбиравшись в разных подходах к оценке ИТ и степенях – уровнях навыков, т.е. ISAСA и AXELOS и вдруг наткнулся на уровень требований для сдачи CISA – это “подтвержденный практический опыт проведения аудита ИТ или ИБ” – 5 лет. Я проработал пару десятков лет как в очень крупных компаниях с громкими именами , так и совсем небольших – и совершенно не припоминаю прецедентов с приглашением внешних аудиторов ИТ. Так кто эти люди, которые могут быть претендентами на сдачу экзамен CISA и каким образов осуществляется подтверждение опыта – запись в трудовой книжке, что работал аудитором ИТ в небольшой, но успешно существующей фирме, занимающейся в неизвестных местах проведением аудита ИТ ?:-)