На сайте ассоциации ISACA опубликована интересная заметка автора Peter T. Davis, посвящённая построению системы руководства ИТ (Enterprise Governance of IT) на базе рекомендаций COBIT5. По мнению автора, при внедрении методологии COBIT5 недостаточно применять подход "adopt & adapt" (применение и адаптация), а следует предпринимать определённые действия ещё и по следующим трём направлениям: alert (оповещение), align (обеспечение соответствия), assure (самопроверка). Итогом сформулированной идеи является концепция пяти "А" (Five A's), охватывающая ключевые виды деятельности, направленные на построение эффективной модели руководства ИТ. Автор выстраивает перечисленные виды деятельности в определённую цепочку, которую мы рассмотрим далее.
- Alert (оповещение). На данном этапе необходимо оповестить всех о необходимости предпринять определённые действия. При этом важно чётко обозначить планируемый масштаб изменений, чтобы избежать формирования у заинтересованных лиц некорректных ожиданий.
- Adopt (применение). Автор указывает на важность не только формального внедрения методологии COBIT5 "на бумаге", но действительно выстраивания системы руководства и управления ИТ на базе данного комплекса практик. К сожалению, по опыту автора, до сих пор многие организации лишь формально стремятся задекларировать применение ведущих практик, при этом фактические процессы, зачастую, работают совершенно иначе.
- Adapt (адаптация). Приспосабливать, адаптировать COBIT5 к текущему контексту организации автор рекомендует с применением метода PESTLE, в рамках которого анализируются такие аспекты внешней и внутренней среды организации, как политическая ситуация, состояние экономики и социальной среды, технологические возможности, законодательство, требования к защите окружающей среды.
- Align (обеспечение соответствия). На данном этапе необходимо обеспечить соответствие среды организации и компонентов методологии COBIT5, которые необходимо внедрить. Методология "каскад целей" на данном этапе помогает обеспечить соответствие системы руководства ИТ целям и задачам организации.
- Assure (самопроверка). На заключительно этапе необходимо убедиться, что достигнутый результат соответствует заявленным целям. Крайне важную роль здесь играет постоянная работа с информативными ключевыми показателями (KPI). Автор даже даёт следующую практическую рекомендацию: ежедневно проводить короткое совещание, где каждый анонсирует план своих действий, которые должны повлиять на значения этих KPI. В противном случае, согласно автору, вы будете поглощены ежедневной "текучкой" и не будете уделять необходимого внимания достижению целей.
По утверждению автора, только расширенный подход к построению системы руководства ИТ – alert&adopt&adapt&align&assure вместо adopt&adapt, – действительно помогает достичь запланированных результатов.