ISO 38500 este standardul dedicat “coporate governance of information technology”.

După cum spuneam şi în postarea anterioară, COBIT 5 clarifică din titlu că este un cadru de referinţă pentru economic (în primul rând), pentru management şi guvernare şi este aliniat cu ISO 38500. Aceasta clarificare este una din principalele schimbări ale noului cadru:

–           1 domeniu ce tratează guvernarea şi care cuprinde 5 procese generice

–          4 domenii pentru management ce includ 32 de procese.

Toate procesele au integrat practici şi standarde atât proprietare ISACA (Val IT, Risk IT)  cât şi de pe la alţii (ITIL v3, TOGAF, PRINCE2, ISO 15504, ISO 20000, ISO 27001, ISO 31000). Un cuvânt cheie este “practică”, înlocuitor al “obiectivelor controlului” din COBIT 4.1. Lucrul acesta arată “noua viziune”: nu doar controlul asupra tehnologiilor este important!

APPENDIX D – STAKEHOLDER NEEDS AND ENTERPRISE GOALS este ilustrativ prin chiar titlul său. Vom regăsi prezentate aici (cum în COBIT 4.1 erau prezentate în cascadă) scopurile/ţintele unei firme pornind de la nevoile beneficiarilor: Figura 24 – —Mapping COBIT 5 Enterprise Goals to Governance and Management Questions, listează 22 de astfel de nevoie (în COBIT 4.1 era tabelul cu alinierea obiectivelor) şi 17 ţinte ale organizaţie! Ca şi în cazul verisunii anterioare fac menţiunea că tabele/anexele din COBIT nu se folosesc mecanic/procustian. Nimic din COBIT nu este mandatar!

Facem apoi un salt la APPENDIX G DETAILED DESCRIPTION OF COBIT 5 ENABLERS deoarece există “factori”/enablers care afectează în mod colectiv sau individual modul de desfăşurare a lucrurilor. Fiecare dintre aceşti factori are un beneficiar (este o “dimensiune” – COBIT 5. Pg. 28 ) – “parties who play an active role and/or have an interest in the enabler”.

Din cele două anexe eu am înţeles că spre deosebire de COBIT 4.1, procesul sau simpla “procesizare” nu mai este suficientă. Este nevoie ca procesul să fie privit în conjuncţie cu beneficiarii săi interni şi/sau externi!

Am amintit de mai multe ori că o schimbare majoră este legată de evaluarea maturităţii. În COBIT 4.1 se făcea vorbire de 6 atribute ale maturităţii procesului iar acum avem de a face cu atribute ale capabilităţii procesului. Mai mult evaluarea diferenţiază nivelul 1 de celelalte niveluri şi poate fi realizată prin urmărirea atingerii rezultatelor de către procesul evaluat.

Prin peregrinările făcute pe Internet pe subiectul “governance” am descoperit că în majoritatea ţărilor subiectul este atins fie ca reglementare fie ca recomandare sau măcar “whitepaper”. Din anul 2002 există The European Corporate Governance Institute (ECGI). De pe situl lor se pot afla reglementările/recomandările specifice fiecărei ţări pe subiectul “guvernare”. Cum era şi firesc stăm destul de rău şi la acest capitol  deoarece, conform acestui site ne putem lăuda doar cu:

–          Codul de guvernanţă corporativă al Bursei de Valori Bucureşti

–          Corporate Governance Code, o iniţiativă…academică din 2000