Każda większa organizacja w pewnym momencie odkrywa, że IT wymknęło się spod kontroli. Projekty trwają dłużej niż powinny, koszty rosną, a jak przychodzi audyt — okazuje się, że nikt nie wie kto za co odpowiada. I wtedy ktoś mówi: COBIT.
COBIT to framework zarządzania IT. Brzmi jak kolejny akronim z długiej listy rzeczy, które menedżerowie powinni znać, ale rzadko stosują. Control Objectives for Information and Related Technologies — nazwa sama w sobie jest jak instrukcja obsługi pralki: technicznie poprawna, merytorycznie kompletna, ale nikt jej nie czyta od deski do deski.
Framework który ma uporządkować chaos
COBIT powstał w latach 90. — kiedy IT zaczęło być krytyczne dla biznesu, ale nikt nie wiedział jak tym zarządzać. Nie chodzi tu o konkretne technologie czy metodyki projektowe. Chodzi o coś wyżej: jak upewnić się, że IT dostarcza wartość? Jak mierzyć ryzyko? Jak pogodzić oczekiwania zarządu z możliwościami działu, który ciągle goni własny ogon?
COBIT odpowiada na to przez zestaw procesów, celów kontrolnych i wskaźników. Pięć domen. Czterdzieści praktyk zarządczych. Wszystko ze sobą powiązane — teoria ładna, implementacja… no właśnie.
Dlaczego to się sypie w praktyce
Bo COBIT to nie gotowy przepis. To raczej mapa terenu, którą trzeba samemu przejść. Organizacje kupują certyfikacje, szkolą ludzi, wdrażają procesy — i po roku okazuje się, że dokumentacja jest, ale nikt jej nie używa. Albo używa mechanicznie, bo „tak trzeba”.
Przykład? Firma wdraża COBIT, tworzy dziesiątki dokumentów opisujących zarządzanie zmianą. Ale jak przychodzi rzeczywista zmiana — pilna, krytyczna — to i tak wszyscy idą na skróty. Bo framework nie zastąpi kultury organizacyjnej.
I tu jest pies pogrzebany. COBIT działa wtedy, gdy organizacja naprawdę chce porządku — nie tylko deklaruje. Gdy zarząd rozumie IT na tyle, by zadawać właściwe pytania. Gdy dział IT ma mandat do mówienia „nie” biznesowi, jeśli coś koliduje z polityką bezpieczeństwa czy zarządzania ryzykiem.
Więc po co to komu
Dla audytorów — jasność. Dla zarządu — poczucie kontroli. Dla IT — wspólny język z biznesem, jeśli tylko umieją go używać. COBIT ma sens w branżach regulowanych: finanse, energetyka, telekomunikacja. Tam gdzie compliance to nie fanaberia, tylko wymóg prawny.
Pytanie brzmi inaczej: czy twoja organizacja jest gotowa na COBIT? Czy macie ludzi, którzy potrafią przełożyć framework na praktykę? Czy zarząd da wam czas i budżet na wdrożenie czegoś, co zwróci się dopiero za rok lub dwa?
Bo jeśli nie — to COBIT będzie tylko kolejnym PDF-em na sharepoint’cie.
Zdjęcie: Tiger Lily / Pexels
