Hogyan valósul meg a COBIT KKV-nál — KKV interim Chief Digital Officer (CDO) szemmel
Az előző részben bemutattam, mi a COBIT és hol találkozik a Fábius-szal „elméletben”. Most jön a valóság.
Amikor KKV-kkal dolgozom interim CDO, Transzformációs vezetőként, IT Business Transition Leader külsős vezetői megbízásban a szervezeti diagnózisban az első kérdések között felteszem: ki dönt az IT-ről, és ki ellenőrzi azt a döntést? A legtöbb esetben ugyanaz a személy teszi mindkettőt — sokszor a tulajdonos-vezető, máskor a IT-s kiskirály státuszba jutott – gyakran beszállítóval jó kapcsolatban álló adminisztrátor munkatárs, esetleg, de ritka esetben a középvezető. Ez nem hiba, hanem az adott cégérettségi szint természetes következménye. De pontosan ez az a pont, ahol a COBIT gondolkodásmódja segíthet — ha nem is a teljes keretrendszer, de a mögöttes logika igen.
Úgy tartom, ha sikerül megtalálnom hogyan kommunikáljam KKV szinten a COBIT-ot, annak mentén a The Precursorius Modell-t könnyebben át tudom adni.
A diagnózis készítéskor 1. héten — amit valóban nézek
Az első héten nem vezetek be semmit. Feltérképezem a terepet.
1. Ki dönt az IT-ről, és van-e mandate hozzá?
Ez a COBIT EDM (Evaluate, Direct, Monitor) terület KKV-adaptált változata. Legtöbbször a válasz: a CEO dönt ösztönösen, az IT-s implementál önállóan, senki nem monitorozza. Ez a szétválasztás hiánya — innen indulunk.
2. Milyen szerződések vannak, és ki tudja azokat?
Jellemzően: 3-8 aktív IT szolgáltatói szerződés, amelyekből a cég aktívan 2-3-at használ. A többi fut, fizet, senki nem kérdez rá. Ez azonnali OPEX optimalizálási lehetőség, és az első gyors win.
3. Hol van a Shadow IT?
Minden cégnél van. Google Sheets workflow amit csak egy ember ért, WhatsApp csoport ahol ügyféladatok mennek, Dropbox account amit valaki évekkel ezelőtt nyitott. Ezek nem hibák — ezek a munkatársak megoldásai arra, hogy a rendszerek nem elégítik ki az igényeiket. Láthatóvá kell tenni, nem betiltani.
4. Mi a kritikus rendszer, és mi van ha összeomlik?
Van-e backup, van-e BCP (Business Continuity Plan), van-e valaki aki éjjel is felveszi a telefont ha a számlázó rendszer leáll? Ez ISO 27001 kontrollpont és COBIT DSS domén egyszerre.
A „kiskirály IT-s” pattern — és hogyan kezelem
Ez az egyik legérzékenyebb téma. A KKV-k 2-es érettségi szint körül szinte kivétel nélkül rendelkeznek egy IT-s munkatárssal vagy külső partnerrel, aki évek alatt a teljes IT-t magában tart. Ő az egyetlen aki tudja a jelszavakat, az ő fejében van a rendszerlogika, és ha elmegy, komoly problémát hagy maga után.
Ez nem az ő hibája. Ez az eredménye annak, hogy sosem volt strukturált IT governance. A COBIT ezt separation of duties elvvel kezeli — de KKV-nál ez nem azt jelenti, hogy felveszünk egy IT auditort. Azt jelenti, hogy dokumentálunk, átadunk, és beépítünk redundanciát.
Az interim CDO megbízásban én vagyok az a személy, aki ezt az átadást levezeti — az IT-s számára is érthetővé téve, hogy ez nem a pozíciója elleni támadás, hanem a szervezet érettségének természetes következménye.
Mit adok át a CDO megbízás végén?
Fábius governance output tipikusan tartalmaz:
- Dokumentált IT szerződéstérképet
(ki mit nyújt, mikor jár le, mennyibe kerül) - Shadow IT registry-t (mi van, ki használja, mi legyen belőle)
- Kritikus rendszer BCP vázlatot
- IT döntési mátrixot (ki dönt miről, ki hajtja végre, ki ellenőrzi)
- Betanított belső felelőst vagy megbízható külső partnert
Ez nem COBIT-certifikáció. Ez az a szint, ahol a szervezet már nemcsak „megcsinálja” az IT-t, hanem tudatosan irányítja.
Részletesebb — ha a 6 alapelvre és 5 doménre akarsz hivatkozni:
A cikkben bemutatott COBIT 2019 keretrendszer az ISACA globális szakmai szervezet kiadványa. A teljes módszertan és a governance célkitűzések részletei az ISACA hivatalos oldalán érhetők el: isaca.org/resources/cobit
Ha a céged most van a 1.5 és 2-es szint körül — van valami rendszer, van valaki aki „csinálja az IT-t”, de nincsenek dokumentált folyamatok, nincsen governance struktúra — akkor a COBIT nem a te eszközöd még. De, a mögöttes kérdések igen:
- Ki dönt az IT-ről nálad?
- Ki ellenőrzi azt a döntést?
- Hogyan kapcsolódnak IT-s kiadásaid az üzleti eredményhez?
Ha ezekre a kérdésekre nincs strukturált válasz, ott kezdődik a munka, pl. Fábius-szal.
📩 Döntéshozói szemmel olvasod ezt?
Ha most van egy IT-s megbízásod, egy szoftverbevezetésed, vagy csak érzed hogy „valami nincs rendben” az IT körül — foglalj 20 perces egyeztetést előzetes konzultációt. Nem értékesítés, hanem strukturált helyzetfelmérés.
