Сегодня закончился очередной курс "Основы COBIT 5". Как и в прошлый раз, и, надеюсь, как и в следующие, курс принёс новые вопросы к авторам подхода. На этот раз – про процессы домена "Руководство", или Evaluate, Direct, Monitor.

Процессов в этом домене пять: 

• EDM01 Обеспечение создания и обновления подхода к руководству
• EDM02 Обеспечение получение выгод
• EDM03 Обеспечение оптимизации рисков
• EDM04 Обеспечение оптимизации ресурсов
• EDM05 Обеспечение прозрачности для заинтересованных сторон

Процессы в COBIT 5 состоят из практик. Практики всех пяти процессов домена EDM названы и организованы единообразно: их в каждом процессе по три, и они соответствуют названию домена – оценка, направление, мониторинг (EDM – Evaluate, Direct, Monitor); меняется только объект. 

Процессы со второго по четвертый совместно обеспечивают оценку, направление и мониторинг  системы управления ИТ (состоящей в COBIT 5 из 32 процессов) по трем основным направлениям, волнующим заинтересованных лиц: формированию ценности, оптимизации рисков и оптимизации использования ресурсов. И к этой троице вопросов нет. А к первому и пятому процессам – есть. 

Дело в том, что объектом для первого и пятого процессов выступает система руководства ИТ, то есть процессы EDM02-04. И первый процесс обеспечивает создание и поддержание практики руководства ИТ, а пятый – формирование отчетности, обеспечивающей прозрачность этой практики для заинтересованных лиц, в интересах которых осуществляется руководство. Позволю себе сформулировать это так: процессы EDM01 и EDM05 обеспечивают управление системой руководства ИТ. 

Но управление – это не EDM. Это, например, PDCA. Структура деятельности по руководству предполагает взаимодействие с управляемым объектом как с "черным ящиком": туда – требования-правила-политики, оттуда – отчеты. Управление же – это воздействие на ресурсы и деятельность, координация формирования результатов в соответствии с заданным направлением и отчетов об этих результатах. 

Руководство осуществляется извне, управление вмешивается во внутренние дела. Об этом  я недавно писал довольно подробно. 

А COBIT 5 описывает практики в процессах EDM01 и EDM05 в той же структуре, что и практики в процессах 02-04: Оценка-направление-мониторинг. 

То есть в рамках процесса EDM01 осуществляются такие практики:

• EDM01.01 Оценка системы руководства.
• EDM01.02 Определение направления развития для системы руководства.
• EDM01.03 Мониторинг системы руководства.

Аналогично, в процессе EDM05 практики такие:

• EDM05.01 Оценка требований заинтересованных сторон к отчетности.
• EDM05.02 Определение направления действий в сфере информирования заинтересованных сторон и предоставления им отчетности.
• EDM05.03 Мониторинг информирования заинтересованных сторон.

Так вот, мне кажется, что это противоречит сформулированному в COBIT принципу разделения управления и руководства. Если процессы EDM01 и EDM05 – это процессы управления системой руководства, состав практик в них должен быть другим – например, планирование-реализация-оценка-корректировка. А если это процессы руководства системой руководства, то они верно состоят из оценки-направления-мониторинга, но тогда должны находиться вне системы руководства, над ней. Что, вежливо говоря, выглядит избыточным.

Или я чего-то не понимаю?