Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Copyright SDA Bocconi © Elisa Pozzoli - Gianluca Salviotti
L’adozione di COBIT come strumento di IS Governance. Stato dell’arte, risultati e fattori critici di successo nelle
esperienze analizzate.
Elisa Pozzoli, Gianluca Salviotti
Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 2
Agenda
• Premessa
• Il percorso di adozione di COBIT
• I benefici di adozione di COBIT
• Punti di forza, punti di debolezza e aree di criticità
• Conclusioni
Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 3
Premessa
• I risultati di seguito presentati emergono dai Focus Group e
dall’analisi dei casi aziendali
• Le evidenze riportate hanno natura qualitativa e riguardano le esperienze di introduzione di COBIT
STUDIO STUDIO DIDI FATTIBILITAFATTIBILITA’’ANALISI DESKANALISI DESK
DELLA LETTERATURADELLA LETTERATURA
MODELLO MODELLO DIDI RICERCARICERCAObiettivo ITIS Alignment with Business
IT Security
IT Cost Control
Compliance
Risk Management
Develop Human Capital
Maintain IS Value
Communication and Trasparency
Manage Sourcing Strategies
User Satisfaction
Obiettivo Aziendale TipoAcquire, Develop and Retain Human Capital Crescita
Enabling Flexibility and Future Options Crescita
Improve Customer Loyalty Crescita
Increase Revenues Crescita
Increasing Company Value - Intangible Crescita
Increasing Company Value - Tangible Crescita
Ensure Compliance with Internal Policies Efficacia
Ensure Compliance with Regulation Efficacia
Ensure Risk Management Efficacia
Improve Company Reputation Efficacia
Improve Customer Satisfaction Efficacia
Improve Supply Side Relationship Efficacia
Increase Company Profitability Efficacia
Ensure Cost Control - Goods sold Efficienza
Ensure Cost Control - Other Efficienza
Toolkit ToolCOBIT Core Domains & Processes
COBIT Core Control Objectives
COBIT Core Maturity Models
COBIT Core Outcome Measures
COBIT Core Performance Indicators
Val IT Value Governance
Val IT Portfolio Management
Val IT Investment Management
FOCUS GROUP 1FOCUS GROUP 1FOCUS GROUP 1FOCUS GROUP 1
FOCUS GROUP 2FOCUS GROUP 2FOCUS GROUP 2FOCUS GROUP 2
VALIDAZIONE/AFFINAMENTO
VALIDAZIONE/AFFINAMENTO
SELEZIONE E ANALISI CASISELEZIONE E ANALISI CASI
VALIDAZIONE/AFFINAMENTO
Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 5
Il percorso di adozione di COBIT (COBIT Waves © SDA Bocconi School of Management)
Compliance
Process/Performance Improvement
Risk Management
Approccio integrato Governance, Risk e
Compliance
- SCOPE ORGANIZZATIVO +
-M
AT
UR
ITÁ
PR
OC
ES
SI
IT
+
Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 6
Wave 1 – Compliance
• In questa fase l’adozione di COBIT supporta l’adeguamento normativo – In particolare a SOX e 262
• Le prime attività sono finalizzate a introdurre il sistema dei controlli (approccio progettuale)– implementazione dei control objectives
– gestione della relazione con gli auditor
– set-up di strutture interne deputate al controllo
• Seguono attività di ottimizzazione e affinamento del sistema dei controlli (approccio manageriale)– risorse dedicate alle attività di controllo
– numero di controlli implementati
– tempo dedicato alle attività di controllo
Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 7
Wave 2 – Process/Performance improvement
• In questa fase si amplia il numero di attività sottoposte a controllo
• Aumenta la consapevolezza della validità del sistema di controlli proposto da COBIT come strumento di assessment a supporto delle iniziative di miglioramento dell’IT – riduzione dei costi operativi, – incremento della produttività delle risorse,
– aumento della soddisfazione degli utenti,
– miglioramento della sicurezza IT,
– …
• In questa fase COBIT viene utilizzato in affiancamento ad altri framework che forniscono delle best practices di processo a copertura di aree specifiche
Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 8
Wave 3 – Risk Management
• In questa fase si sperimenta un ulteriore stepnell’utilizzo di COBIT
• I controlli COBIT sono utilizzati nella fase di riskassessment per – individuare i rischi relativi ai processi IT
– impostare le azioni di mitigazione del rischio IT
– ridurre il livello di esposizione al rischio delle attività IT
Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 9
Wave 2 – Process/Performance improvementIl ruolo di COBIT come meta-framework (1)
• Non sembra esistere un framework di processo che consenta di indirizzare adeguatamente le esigenze delle aziende in termini di IS Governance
• La ricerca conferma la propensione delle aziende all’utilizzo congiunto dei diversi framework di processo disponibili, in funzione dei punti di forza e delle specificità di ciascuno di essi
• COBIT si è rivelato nelle esperienze analizzate un meta-framework che ha consentito il dialogo e l’integrazione degli altri IT framework già presenti o successivamente introdotti in azienda
– COBIT + ITIL nella strutturazione dei processi operativi (dominio DS)
– Complementarietà di COBIT e ITIL rispetto ad altri framework maggiormente focalizzati sulla qualità aziendale (ISO9001) e sulla sicurezza del sistema informativo (ISO27000)
Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 10
COBITCOBIT
COSOCOSO
ITILITIL
ISO 9001ISO 9001
ISO 27001ISO 27001
Enel
Alcon Tiscali
Tiscali (In progress)
SCOPE
CO
ME
? CO
SA
?
CMMICMMI
EnelIntesa San Paolo Generali
Tiscali
Wave 2 – Process/Performance improvementIl ruolo di COBIT come meta-framework (2)
Adattato da ITGI, 2007
Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 11
Wave 4 – Governance Risk & Compliance
• In questa fase la dimensione di processo rappresenta il punto di riferimento fondamentale per valutare– la governabilità dell’IT
– la compliance alle normative
– il grado di esposizione al rischio dell’IT
• Approccio riscontrato solo in realtà aziendali in cui l’IT ha un impatto significativo sull’azienda e in cui COBIT è stato utilizzato come uno strumento non solo di audit, ma di IS Governance gestito internamente
Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 13
I benefici di adozione di COBIT
Benefici Emergenti
Benefici Benefici AttesiAttesi
• Nella fase di compliance l’adozione di COBIT (imposta o spontanea) ha l’obiettivo esplicito di supportare la risposta dell’IT a specifiche normative (benefici attesi)
• Nelle fasi successive emergono opportunità di miglioramento stimolate dalla prima esperienza di introduzione (benefici emergenti)
Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 14
Benefici attesi (1)
COMPLIANCE
L’adozione di COBIT si conferma un passaggio cruciale nel percorso di implementazione di un
modello aziendale di IS Governance in grado di allineare il sistema informativo ai vincoli posti dal
contesto esterno
Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 15
Benefici attesi (2)
“…e se venissero meno i vincoli di compliance?”
L’orientamento è stato quello di mantenere l’utilizzo di COBIT, in quanto il suo contributo è stato ritenuto fondamentale per il governo dei sistemi informativi e, soprattutto, per anticipare
alcune nuove necessità di compliance.
Anche dopo il perfezionamento delle operazioni di deregistration, abbiamo optato per mantenere il sistema dei controlli interni, in quanto coerente con le richieste espresse dalla legge n. 262/05
Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 16
Benefici emergenti (1)
- Esplicitazione di carenze operative e
formali nell’IT e individuazione delle
aree di miglioramento (Intesa San
Paolo)
- Preparazione della funzione IT ad
erogare servizi IT di qualità al
mercato esterno (Tiscali)
- Evidenza delle opportunità di
ridisegno dei processi IT (Alcon
Group)
- Miglioramento dei processi IT pre-
esistenti (Enel)
Miglioramento dei processi IT
Esempi aziendaliBenefici derivanti dall’adozione di COBIT
Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 17
Benefici emergenti (2)
- Riduzione degli incident e riduzione
delle risorse dedicate alle attività di
supporto (Intesa San Paolo)
- Incremento di efficienza operativa
(Tiscali)
- Maggior certezza delle attività da
svolgere e maggior possibilità di
controllare quanto realizzato (Enel)
Miglioramento delle performance
operative dell’IT
Esempi aziendaliBenefici derivanti dall’adozione di COBIT
Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 18
Benefici emergenti (3)
- Miglior utilizzo del SW da parte degli
utenti (intesa San Paolo)
- Migliore allocazione delle risorse
aziendali, con focus sulle priorità del
cliente (Tiscali)
- Responsabilizzazione delle divisioni
di business (Tiscali)
- Chiara definizione di ruoli e
responsabilità reciproche del
business e della struttura di Demand
e Delivery (Enel)
Miglioramento della relazione tra
funzione IT e funzioni di Business
Esempi aziendaliBenefici derivanti dall’adozione di COBIT
Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 19
Benefici emergenti (4)
- Armonizzazione dei diversi processi
IT seguiti in azienda (Generali)
- Creazione di un glossario condiviso
(Enel)
- Strutturazione di processi
omogenei su tutte le affiliate (Alcon
Group)
Estensione del perimetro di controllo IT
Esempi aziendaliBenefici derivanti dall’adozione di COBIT
Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 20
Benefici emergenti (5)
- Semplificazione delle attività di Risk
Assessment (Enel)
- Semplificazione delle operazioni di
integrazione di nuove società (Enel)
Miglioramento della capacità di
reazione dell’IT
Esempi aziendaliBenefici derivanti dall’adozione di COBIT
Copyright SDA Bocconi © Elisa Pozzoli - Gianluca Salviotti
Punti di forza, punti di debolezza e aree di criticità
Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 22
Punti di forza e di debolezza di COBIT
• Integrabilità con altri framework
• Omogeneità della struttura
• Comprensibilità di alcuni controlli• Glossario standard
• Ridondanza di alcuni controlli• Versatilità di utilizzo
• Profondità• Ampiezza
Punti di debolezzaPunti di forza
Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 23
Criticità di introduzione vs Fattori Critici di Successo
Fattori critici di SuccessoCriticità di introduzione
- Coesione dei team di IS Audit e di IS
Governance
- Pre-esistenza di un orientamento alla
strutturazione dei processi IT
Eterogeneità dei processi IT
- Sponsorship dalle funzioni aziendali
- Chiara suddivisione delle
responsabilità tra business e IT
- Legittimazione della funzione SI ad
intraprendere azioni correttive su
tutto lo scope dei processi IT
Committment aziendale
- Readiness dei Sistemi Informativi a
processi di auditing e controllo
- Creazione di ruoli ad hoc con
responsabilità di applicazione dei
controlli (control owner)
Resistenza al cambiamento
Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 25
In generale
• Il framework è progettato per agevolare l’applicazione di controlli ai principali processi IT e resta fedele alla sua missione, contribuendo, in ognuna delle esperienze di adozione esaminate nella ricerca, a raggiungere l’obiettivo di compliance dell’IT
• I benefici che si affiancano a quello di compliance, non sempre ricercati in modo esplicito dalle aziende, dimostrano come un’adozione matura di COBIT possa condurre a risultati di assoluto interesse per la funzione sistemi informativi e per l’intera azienda
• In questo senso occorre una spinta alla diffusione di COBIT comeframework di processi IT
– Scarsamente adottato in questa logica nelle esperienze analizzate, più orientate alla logica dell’audit
Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 26
Quali azioni intraprendere ?
• Costruire una relazione di collaborazione Audit-SistemiInformativi finalizzata all’individuazione delle aree di miglioramento dei processi IT
• Far leva sui benefici di compliance e sui control objectivesper promuovere un utilizzo più ampio del framework COBIT (approcci, processi e strumenti)
• Promuovere il ruolo di meta-framework di COBIT per la progettazione e l’implementazione di un modello aziendale di governo dei processi IT, diffondendo i punti di forza del framework e lavorando sui punti di debolezza
• Contribuire alla diffusione delle best-practices di adozione di COBIT, anche come strumento di allineamento