COBIT, как современный Лавкрафт⁠⁠

Начну издалека. Знаете ли вы что такое COBIT? Если знаете, пропустите абзац. Если не знаете, то вот вам знание: COBIT — методология управления информационными технологиями, принадлежащая и разрабатываемая некоммерческой организацией ISACA.

К тому моменту, когда это знание настигло меня, я уже лет 15 управлял IT проектами, и горя себе не знал. Судя потому, что на наше подразделение валилось всё, что архитекторы не могли пристроить в какие-либо крупные Enterprise платформы, управлялись мы с этими задачами весьма неплохо.

Но никакая идиллия не длится вечно. Вот и на нашу голову свалился как чёртик из табакерки новый начальник. Человек целеустремлённый, знающий много страшных слов и рвущийся всех научить жить и работать. Он вызывал каждого из начальников отделов в свой кабинет и задавал сакраментальный вопрос: хотим ли мы работать (видимо подразумевалось - в этой компании), развиваться и учиться?

-О, да! Конечно хотим, радостно отвечал каждый из нас.

- Ну что же, воодушевлённо выдал Начальник, - тогда вот вам первое задание: вы должны прочитать, освоить и научиться применять COBIT.

Что такое COBIT я не знал, но название уже не несло в себе ничего хорошего (к тому времени мне уже довилось ознакомиться с ITIL, ITSM, PMBOK, а предыдущий начальник любил разглагольствовать о "Шесть сигм", "Бирюзовых организациях" и бирюзовом же управлении).

- Мать твою, подумал я про себя (рейды в WoW заканчивались в районе часа ночи), - времени на сон останется ещё меньше.

Спорить было бесполезно. Я скачал сей труд, открыл его и даже погрузился в первые страницы. Как любят цитировать фанаты Лавкрафта, древни хтонический ужас из глубин чужого подсознания начал постепенно охватывать мой разум, сковывая каждую мысль древнейшим холодом из мира, чужого всему живому и дышащему под этим солнцем.

Я прочитал главу и задался вопросом - может ли считаться вменяемым человек, использующий на протяжении 195 страниц документа подобные фразы:

- "В сочетании с эффективными взаимосвязями внутри иерархии целей, это может служить подтверждением той поддержки, которую оказывает ИТ в достижении корпоративных целей."

Иногда мне кажется, что такие люди, родись они лет 150-300 назад, составили бы не плохую конкуренцию Блавацкой и Папюсу.

Я не смог пойти спать. Я прочёл ещё одну главу, а затем ещё одну и ещё этого чудного документа.

Попробуйте и вы изведать незабываемый вкус небольшого отрывка, а потом я объясню вам, что имел ввиду коллективный разум авторов и переводчиков, ибо я постиг ДАО этого отрезка текста с большим трудом:

"Бизнес и меры контроля в сфере ИТ

Корпоративная система внутреннего контроля воздействует на сферу ИТ на трех уровнях:

• На уровне высшего руководства устанавливаются политики и бизнес цели, а также принимаются решения о том. как задействовать и управлять ресурсами организации для исполнения корпоративной стратегии. Общий подход к управлению и контролю устанавливается Советом директоров и доносится до сведения в организации. Контроль в сфере ИТ направляется политиками и рядом целей высокого уровня.

• На уровне бизнес-процесса меры контроля принимаются в отношении специфических видов деятельности. Большинство бизнес-процессов автоматизированы и интегрированы с системой ИТ приложений, в результате чего многие меры контроля на этом уровне также автоматизированы. Эти меры контроля известны как контроль приложений. Однако часть мер контроля внутри бизнес процессов остаётся в виде ручных процедур, таких как авторизация операций, разделение обязанностей и выверка. Поэтому меры контроля на уровне бизнес-процессов представляют собой комбинацию мер контроля, осуществляемы вручную (выполняются персоналом) и автоматизированных. Определение и управление обеими видами мер контроля относится к прерогативе бизнеса, хотя при реализации контроля приложений также задействована служба ИТ для поддержки дизайна и разработки.

• Для поддержки бизнес-процессов сфера ИТ предоставляет услуги, зачастую общие для многих бизнес процессов, поскольку многие ИТ процессы задействованы в масштабах всей организации, a ИТ инфраструктура способна предоставлять общие для всех пользователей услуги (например, сети, базы данных, операционные системы и хранилища данных). Меры контроля, применяемые для ИТ услуг в целом называются общими мерами контроля ИТ. От надёжности выполнения этих мер контроля зависит надёжность контроля приложений. Например, плохо налаженное управление внесением изменении может поставить под угрозу (случайно или преднамеренно) надёжность автоматизированной проверки целостности."

А ведь автор говорит нам всего лишь о контроле на трёх уровнях пирамиды. Но что это за уровни? Казалось бы, в тексте вперемешку идёт все что угодно, только не стройная иерархия. Ан нет:

Уровень 1. - Управленческий (тут все понятно). На этом уровне определяются политики и цели.

Уровень 2. - Процессный. На этом уровне должны реализовываться цели вышестоящего уровня, путём выстраивания и описания правильных бизнес-процессов. Каждый бизнес-процесс, для реализации своей цели, должен иметь некий инструмент.

Уровень 3. - Инструментальный (сервисный). Выстраивается из набора систем (сервисов), необходимых для обеспечения "комфортного" прохождения бизнес-процессов с Уровня 2, которые в свою очередь реализуют цели, сформулированные на Уровне 1.

Первый (1) и второй (2) уровни определяют средства контроля за нижестоящим уровнем. И только третий Уровень (3) (и обитающее на нем негры из ИТ отдела) должен определить средства контроля своего соответствия требованиям Уровней 1 и 2 самостоятельно.

Почему так? Да потому, что жителям Уровня 1 на самом деле нет никакого дела до того, как организован контроль процесса "Управление внесением изменений". Не он обеспечивает реализацию их целей. Они могут даже не задумываться о существовании такого процесса. Это скорее задача самоконтроля жителей Уровня 3.

Но вот какого хрена было все описывать столь коряво?

P.S.: Начальника того уволили через 3 недели. Впервые в жизни я видел, как за две недели человек умудрился развалить два весьма неплохо работающих отдела, и почти попытался развалить третий (мой). За эти две недели отдел разработки сократился на 70% численности, инженеры поддержки заказчиков сократились на 50%, включая начальников обоих отделов.

А COBIT с тех пор я так и не люблю. ;)