Úgy tartom, ha sikerül megtalálnom hogyan kommunikáljam KKV szinten a COBIT-ot, annak mentén a The Precursorius Modell-t könnyebben át tudom adni.
Mi az a COBIT?
A COBIT (Control Objectives for Information and Related Technologies) az ISACA által fejlesztett IT governance keretrendszer. Nem IT management eszköz — nem azt mondja meg, hogyan kell szervert beállítani vagy szoftvert bevezetni.
Azt mondja meg, ki dönt, ki hajt végre, és ki ellenőriz az IT területén, és hogyan kapcsolódnak ezek a döntések az üzleti célokhoz.
Másfél évtized, ugyanaz a felkérés
„Lépjek rá az IT bokájára, mert nem az üzlet szerint cselekszenek” – kérte a KKV és magyar nagyvállalat több vezetője is. Az elmúlt 15 évben ilyen felkérésekre érkeztem projektre. A legtöbbször bebizonyosodott az ellenkezője — csak más dimenzióban vannak a Felek amikor kommunikálnak egymással.
Szakközgazdászként — kétszer szereztem közgazdász diplomát (e-business és IT menedzsment szakon) — mindkét oldalt értem: az üzletet és az IT-t egyaránt, és ahol kell, a köztük lévő harmadik felet is. A harmadik oldal a szervezeti aspektus.
Fekete doboz vagy irányított rendszer?
Ha a cégedben az IT (a „digitália”) egy fekete doboz — valaki csinálja, fizeted, és ha megkérdezik mi folyik benne, senki nem tud pontos választ adni —, akkor nem eszközproblémád van, hanem irányítási problémád. A kérdésedre válaszol, de nem érted az ő nyelvét, így nem tudod irányítani azt ami hozzád tartozik. Ezért van inkább irányítási nehézséged.
A "katyvasz" rendbe rakható
13 év digitális transzformációs (projekt)vezetői tapasztalat során modellezni akartam azt 2019-től, mitől lehet ezt a katyvaszt rendbe rakni. Vizsgáltam szervezeti életgörbét, termék és szolgáltatás életgörbét, belső csapatok működésének életgörbéit. A szervezetpszichológiai aspektusokat, a vezető és munkatárs közötti kapcsolatát, az üzleti menedzsment modellek kialakulását és jelenét.
Ahol a COBIT és a The Precursorius Modell kapcsolata
Digitális transzformációs vezetőként több fronton besegítek és megmozgatom, helyre rakom a hiányzó és billegő részeket — külsősként szerződve, de belső vezető módjára működve.
2020-2021-ben az IT menedzsment képzésen a COBIT, az ISO 27001 és az ITIL4 jött szembe. Ezeket az ismereteket a szervezeti-működéshez szintetizáltam, annak érdekében hogy a munkám folyamata érettebb szervezeti fejlődést eredményezzen.
Azok a válaszok érdekeltek, hogyan lehetne a jövő munkahelyét IT menedzsment eszköztárral értelmezni. A szinteknek meg kell mutatnia az összefüggéseket, így be lehet könnyedén avatkozni és adhatós lépéssorozattal fejleszteni azt. A tipikus kérdések: hol tartunk most, milyen döntések vezettek ide, és hogyan érdemes ebből az állapotból tovább haladni. Előbb 3, másfél évvel később 5 végül 8 szintet határoztam meg.
10-15 év ismeretet összegyúrtam egy a modellbe. 2022-ben ez lett a The Precursorius Modell. Röviden, TPM, amelyet 1,5 évente frissítek a piac változásaihoz, és megfelelő kiegészítéseket teszek. 2026-ban a IV-es struktúra fut, amely a Fábius nevet kapta.
A jelen blogbejegyzés 4 részes sorozat első darabja, ahol a COBIT-ot mutatom be és a Fábius (TPM IV) diagnózis modell közös metszeteit — amellyel a KKV vezető kap megértést és akaratot egy jobb, teljesebb élményű irányításra, amelyet idővel ő maga is el tud látni.
A 2019-es COBIT 6 alapelve, amelyből a KKV fejlődhet
A COBIT 2019-es verziójának 6 alapelve van, amelyek közül a legfontosabb KKV-kontextusban ez: az IT governance nem az IT osztály ügye, hanem a szervezet egészéé. A board (vagy KKV-nál a vezető) feladata értékelni, irányítani és monitorozni — nem csak „megoldani”.
A governance szó idegennek hangzik — de a mögötte lévő kérdés nagyon is ismerős: ki dönt az IT-ről nálad, és ki ellenőrzi azt a döntést? Ha erre nincs strukturált válasz, akkor a szervezeted IT-ja nem irányított, hanem csak működik — ami addig elegendő, amíg valami el nem romlik, vagy valaki el nem megy.
A COBIT a globális standard erre a kérdésre; a Fábius az a keret, amely ezt KKV valóságban is megvalósíthatóvá teszi — interim vezető jelenléttel, nem papíron. Ez a 4 részes sorozat azoknak szól, akik már nem csak érzik a problémát, hanem dönteni is akarnak róla.
1. Alapelv - érdekelt felek értékteremtése
Az IT nem önmagáért létezik — minden IT döntés mögött üzleti érték kell hogy álljon. KKV kontextusban ez azt jelenti: mielőtt bármilyen szoftvert vagy rendszert bevezetsz, a kérdés nem „mennyibe kerül”, hanem „milyen problémát old meg, és kinek”. Ha nem tudod megnevezni az érintettet és az értéket, a bevezetés várhatóan nem fog megtérülni.
2. Alapelv - holisztikus megközelítés
A COBIT szerint az IT governance nem egy-egy eszközről vagy folyamatról szól, hanem 7 összekapcsolódó tényezőről egyszerre — emberek, folyamatok, technológia, kultúra, információ, szolgáltatások és infrastruktúra. Ha csak az egyiket fejleszted (pl. bevezetsz egy szoftvert, de nem tanítod be a csapatot), a rendszer egésze nem fejlődik.
3. Alapelv - dinamikus irányítás
A governance nem egy egyszeri projekt, hanem folyamatosan alkalmazkodik a szervezet méretéhez, iparágához és érettségi szintjéhez. Ami egy 15 fős KKV-nál elegendő kontroll, az egy 80 fős szervezetnél már kevés — az irányítási rendszernek a szervezettel együtt kell nőnie.
4. Alapelv - irányítás és végrehajtás szétválasztása
Az irányítás (governance) feladata: célokat kitűzni, prioritásokat meghatározni, és ellenőrizni az eredményeket. A végrehajtás (management) feladata: tervezni, építeni, üzemeltetni. KKV-knál ezt a kettőt jellemzően ugyanaz a személy csinálja — ez a governance egyik leggyakoribb vakfoltja, és pontosan az, amit interim CDO megbízásban az első hetek egyikeként rendbe kell tenni.
5. Alapelv - szervezetre szabva
A COBIT nem egységes recept — a keretrendszert mindig a szervezet méretéhez, iparágához és kockázati profiljához kell igazítani. Egy 20 fős KKV-nak nem kell ugyanolyan governance struktúra mint egy tőzsdei vállalatnak; a cél az arányos, megvalósítható rendszer, nem a papíron tökéletes megfelelés.
6. Alapelv - végponttól végpontig tartó irányítás
Az IT governance nem csak az „IT osztály” ügye — az egész szervezetre vonatkozik, beleértve a külső partnereket, beszállítókat és felhőszolgáltatásokat is. KKV-knál ez különösen fontos: ha a könyvelő saját Dropbox-fiókot használ ügyféladatokkal, vagy a marketinges külső ügynökségnek ad hozzáférést a CRM-hez, az is governance kérdés — nem csak az, ami a „belső IT-n” történik.
A COBIT Governance 5 területe
- EDM — Evaluate, Direct, Monitor (governance szint, board)
- APO — Align, Plan, Organize
- BAI — Build, Acquire, Implement
- DSS — Deliver, Service, Support
- MEA — Monitor, Evaluate, Assess
A COBIT 5 terület KKV megfeleltetéssel
EDM — Értékelés, irányítás, ellenőrzés (Evaluate, Direct, Monitor)
Ez a vezetői szint feladata: meghatározni az IT stratégiai irányát, jóváhagyni a fontosabb döntéseket, és rendszeresen ellenőrizni, hogy az IT a kitűzött célok felé halad-e. KKV-knál ezt a CEO vagy tulajdonos végzi — legtöbbször ösztönösen, strukturált keret nélkül. Az interim CDO (CTO, IT Business Transition Leader) egyik első feladata éppen ez: láthatóvá tenni és rendszerbe hozni ezeket a döntési pontokat.
APO — Összehangolás, tervezés, szervezés (Align, Plan, Organize)
Ez a terület azt vizsgálja, hogyan kapcsolódik az IT stratégia az üzleti stratégiához — van-e IT roadmap, hogyan vannak elosztva az erőforrások, és ki felelős miért. A Fábius (TPM IV) diagnózis outputja — a gap analízis és a 90 napos akcióterv — pontosan ennek a területnek a KKV-ra adaptált változata.
BAI — Fejlesztés, beszerzés, bevezetés (Build, Acquire, Implement)
Ez a terület a változásokkal foglalkozik: hogyan vezetsz be új rendszert, hogyan szerzed be a megfelelő eszközt, és hogyan gondoskodsz arról, hogy az élesítés ne okozzon üzleti leállást. KKV-knál ez a leggyakrabban sérülő pont — szoftvert vesznek, bevezetik, de nincs tesztelési folyamat, nincs betanítás, nincs visszaállítási terv.
DSS — Üzemeltetés és támogatás (Deliver, Service, Support)
A napi IT működés területe: hogyan biztosítod a rendszerek folyamatos rendelkezésre állását, hogyan kezeled az incidenseket, és hogyan támogatod a felhasználókat. A Fábius (TPM IV) IT adat és információbiztonság (IT Security) dimenziója és az ISO 27001 kontrollpontok nagy része ide kapcsolódik — és a „kiskirály IT-s” problémája is itt csúcsosodik ki, amikor egyetlen embertől függ az egész üzemeltetés.
MEA — Mérés, értékelés, megfelelés (Monitor, Evaluate, Assess)
Ez a terület azt kérdezi: honnan tudod, hogy az IT jól működik? Vannak-e mérőszámok, rendszeres felülvizsgálatok, és teljesíted-e a vonatkozó jogszabályi és szerződéses kötelezettségeidet? KKV-knál ez a leginkább elhanyagolt terület — az IT addig „működik”, amíg valami el nem romlik. A Fábius (TPM IV) 2.5-es szint fölött válik elvárássá, hogyan legyen rendszeres és tudatos a visszamérés.
Miért nem alkalmazzák KKV-k a COBIT-ot?
Egyszerűen fogalmazva: nem erre tervezték. A COBIT feltételez egy elkülönülő IT szervezetet, formalizált governance struktúrát, és board szintű IT stratégiai döntéshozatalt. Egy 20-50 fős KKV-nál a CEO egyben CIO is, az „IT osztály” egy ember, a „board” pedig a tulajdonos. A COBIT teljes bevezetése ebben a kontextusban aránytalanul sok erőforrást igényelne.
Ugyanakkor a mögöttes logika — ki dönt, ki ellenőriz, hogyan kapcsolódik az IT az üzleti értékteremtéshez — nagyon is releváns.
Ahol a Fábius és a COBIT metszi egymást
A Fábius öt szinten 7 dimenziós érettségi keretrendszer, a COBIT-tal a következő pontokon van érdemi átfedés:
IT Security dimenzió: Fábius ↔ COBIT DSS
Mindkettő azt kérdezi: működnek-e a rendszerek, van-e incidenskezelés, ki a felelős? A TPM IV szintenkénti ISO 27001 kontrollstruktúrát alkalmaz — 5 kontrolltól a teljes ISMS-ig.
Diagnózis és tervezés ↔ COBIT APO
A COBIT APO (Align, Plan, Organize) azt vizsgálja, hogyan kapcsolódik az IT stratégia az üzleti stratégiához. Ez a The Precursorius diagnózis egyik legfontosabb outputja: GAP analízis és 3-6 sprintes akcióterv.
Governance szétválasztás ↔ Fabius 3-as szint
A COBIT egyik alapelve a governance és management szétválasztása. A TPM szervezeti (termék és szolgáltatás) érettségi modelljben ez a 3-as szint körül jelenik meg — ahol a szervezet már nemcsak „megoldja” az IT problémákat, hanem tudatosan irányítja az IT-t üzleti célok mentén. Itt, a szervezet-működés megújult egészen 21. századi munkahely ismertetőit alkalmzza: no-code-low-code workflow működés napi rutin része. Az AI Agent pilot projekt, pedig a Prekurzor.
Mit jelent ez a gyakorlatban?
Ha a céged most van a 1.5 és 2-es szint körül — van valami rendszer, van valaki aki „csinálja az IT-t”, de nincsenek dokumentált folyamatok, nincsen governance struktúra — akkor a COBIT nem a te eszközöd még. De, a mögöttes kérdések igen:
- Ki dönt az IT-ről nálad?
- Ki ellenőrzi azt a döntést?
- Hogyan kapcsolódnak IT-s kiadásaid az üzleti eredményhez?
Ha ezekre a kérdésekre nincs strukturált válasz, ott kezdődik a munka, pl. Fábius-szal.
📩 Döntéshozói szemmel olvasod ezt?
Részletesebb — ha a 6 alapelvre és 5 doménre akarsz hivatkozni:
A cikkben bemutatott COBIT 2019 keretrendszer az ISACA globális szakmai szervezet kiadványa. A teljes módszertan és a governance célkitűzések részletei az ISACA hivatalos oldalán érhetők el: isaca.org/resources/cobit
Folytatás a sorozatban
Ez a cikk az elméleti alapot rakja le. A következő részben megmutatom, hogyan valósul meg mindez egy valódi interim CDO megbízásban — mit nézek végig az első héten, kit kérdezek, mit dokumentálok.
→ 2. rész: Hogyan valósul meg a COBIT KKV-nál — interim CDO szemmel
→ 3. rész: 20 év → governance természetes fejlődése
→ 4. rész: KKV CEO-knak — az első 3 lépés
Ha most van egy IT-s megbízásod, egy szoftverbevezetésed, vagy csak érzed hogy „valami nincs rendben” az IT körül — foglalj 20 perces egyeztetést előzetes konzultációt. Nem értékesítés, hanem strukturált helyzetfelmérés.
