Govern the governance? Или все-таки manage?

Сегодня закончился очередной курс "Основы COBIT 5". Как и в прошлый раз, и, надеюсь, как и в следующие, курс принёс новые вопросы к авторам подхода. На этот раз — про процессы домена "Руководство", или Evaluate, Direct, Monitor.

Процессов в этом домене пять: 

  • EDM01 Обеспечение создания и обновления подхода к руководству
  • EDM02 Обеспечение получение выгод
  • EDM03 Обеспечение оптимизации рисков
  • EDM04 Обеспечение оптимизации ресурсов
  • EDM05 Обеспечение прозрачности для заинтересованных сторон

Процессы в COBIT 5 состоят из практик. Практики всех пяти процессов домена EDM названы и организованы единообразно: их в каждом процессе по три, и они соответствуют названию домена — оценка, направление, мониторинг (EDM — Evaluate, Direct, Monitor); меняется только объект. 

Процессы со второго по четвертый совместно обеспечивают оценку, направление и мониторинг  системы управления ИТ (состоящей в COBIT 5 из 32 процессов) по трем основным направлениям, волнующим заинтересованных лиц: формированию ценности, оптимизации рисков и оптимизации использования ресурсов. И к этой троице вопросов нет. А к первому и пятому процессам — есть. 

Дело в том, что объектом для первого и пятого процессов выступает система руководства ИТ, то есть процессы EDM02-04. И первый процесс обеспечивает создание и поддержание практики руководства ИТ, а пятый — формирование отчетности, обеспечивающей прозрачность этой практики для заинтересованных лиц, в интересах которых осуществляется руководство. Позволю себе сформулировать это так: процессы EDM01 и EDM05 обеспечивают управление системой руководства ИТ. 

Но управление — это не EDM. Это, например, PDCA. Структура деятельности по руководству предполагает взаимодействие с управляемым объектом как с "черным ящиком": туда — требования-правила-политики, оттуда — отчеты. Управление же — это воздействие на ресурсы и деятельность, координация формирования результатов в соответствии с заданным направлением и отчетов об этих результатах. 

Руководство осуществляется извне, управление вмешивается во внутренние дела. Об этом  я недавно писал довольно подробно

А COBIT 5 описывает практики в процессах EDM01 и EDM05 в той же структуре, что и практики в процессах 02-04: Оценка-направление-мониторинг. 

То есть в рамках процесса EDM01 осуществляются такие практики:

  • EDM01.01 Оценка системы руководства.
  • EDM01.02 Определение направления развития для системы руководства.
  • EDM01.03 Мониторинг системы руководства.

Аналогично, в процессе EDM05 практики такие:

  • EDM05.01 Оценка требований заинтересованных сторон к отчетности.
  • EDM05.02 Определение направления действий в сфере информирования заинтересованных сторон и предоставления им отчетности.
  • EDM05.03 Мониторинг информирования заинтересованных сторон.

Так вот, мне кажется, что это противоречит сформулированному в COBIT принципу разделения управления и руководства. Если процессы EDM01 и EDM05 — это процессы управления системой руководства, состав практик в них должен быть другим — например, планирование-реализация-оценка-корректировка. А если это процессы руководства системой руководства, то они верно состоят из оценки-направления-мониторинга, но тогда должны находиться вне системы руководства, над ней. Что, вежливо говоря, выглядит избыточным.

Или я чего-то не понимаю?

COBIT Основы COBIT 5

Подробный трёхдневный учебный курс.
 

Узнайте больше!

Комментарии и мнения

    1. Роман Журавлёв Автор

      «А если это процессы руководства системой руководства, то тогда должны находиться вне системы руководства, над ней». Потому что «руководство осуществляется извне, управление вмешивается во внутренние дела.» Простите мне самоцитаты.

      Альберт, а вы имеете в виду какое-то конкретное место в ISO 38500? То, что схема Evaluate-Direct-Monitor взята из этого стандарта, понятно и явно указано в COBIT. Просто COBIT применяет эту схему к трём аспектам, а стандарт — к шести (называя их принципами).

      Но я не вижу в стандарте аналога процессу EDM01 — «руководство руководством». Плохо ищу?

  1. Альберт

    Думаю, что не следует напрямую сопоставлять принципы, отраженные в ISO# 38500 с процессами EDM. Поскольку в ISO# 38500 больше говорится, ЧТО нужно делать, а в COBIT KAK это нужно делать. В целом не вижу противоречий, если учесть что в ISO# 38500 есть corporate governance и есть corporate governance of IT. В COBIT enterprise governance и enterprise governance of IT.

  2. Станислав Уштей

    Мне кажется, Роман, что вы поднимаете вопрос связанный с разнесением функций по оргструктурам — кому руководить, а кому управлять. С моей точки зрения framework такие задачи решать не должен. Он всего навсего замысел, который можно реализовать по разному.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Ближайшие мероприятия

Зарегистрируйтесь, чтобы получить больше полезных знаний:

ИЮН
26