L`adozione di COBIT come strumento di IS Governance. Stato dell

Transcript

L’adozione di COBIT come strumento di IS Governance.
Stato dell’arte, risultati e fattori critici di successo nelle
esperienze analizzate.
Elisa Pozzoli, Gianluca Salviotti
Copyright SDA Bocconi © Elisa Pozzoli - Gianluca Salviotti
Agenda
•
•
•
•
•
Premessa
Il percorso di adozione di COBIT
I benefici di adozione di COBIT
Punti di forza, punti di debolezza e aree di criticità
Conclusioni
Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti
2
Premessa
• I risultati di seguito presentati emergono dai Focus Group e
dall’analisi dei casi aziendali
• Le evidenze riportate hanno natura qualitativa e riguardano
le esperienze di introduzione di COBIT
ANALISI DESK
DELLA LETTERATURA
STUDIO DI FATTIBILITA’
FATTIBILITA’
MODELLO DI RICERCA
Toolkit
COBIT Core
COBIT Core
COBIT Core
COBIT Core
COBIT Core
Val IT
Val IT
Val IT
Obiettivo IT
IS Alignment with Business
IT Security
IT Cost Control
Compliance
Risk Management
Develop Human Capital
Maintain IS Value
Communication and Trasparency
Manage Sourcing Strategies
User Satisfaction
Tool
Domains & Processes
Control Objectives
Maturity Models
Outcome Measures
Performance Indicators
Value Governance
Portfolio Management
Investment Management
Obiettivo Aziendale
Acquire, Develop and Retain Human Capital
Enabling Flexibility and Future Options
Improve Customer Loyalty
Increase Revenues
Increasing Company Value - Intangible
Increasing Company Value - Tangible
Ensure Compliance with Internal Policies
Ensure Compliance with Regulation
Ensure Risk Management
Improve Company Reputation
Improve Customer Satisfaction
Improve Supply Side Relationship
Increase Company Profitability
Ensure Cost Control - Goods sold
Ensure Cost Control - Other
FOCUS GROUP 1
VALIDAZIONE/
AFFINAMENTO
Tipo
Crescita
Crescita
Crescita
Crescita
Crescita
Crescita
Efficacia
Efficacia
Efficacia
Efficacia
Efficacia
Efficacia
Efficacia
Efficienza
Efficienza
VALIDAZIONE/
AFFINAMENTO
FOCUS GROUP 2
VALIDAZIONE/
AFFINAMENTO
SELEZIONE E ANALISI CASI
3
MATURITÁ PROCESSI IT
+
(COBIT Waves © SDA Bocconi School of Management)
Approccio integrato
Governance, Risk e
Compliance
Risk Management
Process/Performance
Improvement
-
Compliance
-
SCOPE ORGANIZZATIVO
+
5
Wave 1 – Compliance
• In questa fase l’adozione di COBIT supporta
l’adeguamento normativo
– In particolare a SOX e 262
• Le prime attività sono finalizzate a introdurre il sistema dei
controlli (approccio progettuale)
– implementazione dei control objectives
– gestione della relazione con gli auditor
– set-up di strutture interne deputate al controllo
• Seguono attività di ottimizzazione e affinamento del
sistema dei controlli (approccio manageriale)
– risorse dedicate alle attività di controllo
– numero di controlli implementati
– tempo dedicato alle attività di controllo
6
Wave 2 – Process/Performance improvement
• In questa fase si amplia il numero di attività sottoposte a
controllo
• Aumenta la consapevolezza della validità del sistema di
controlli proposto da COBIT come strumento di
assessment a supporto delle iniziative di miglioramento
dell’IT
–
–
–
–
–
riduzione dei costi operativi,
incremento della produttività delle risorse,
aumento della soddisfazione degli utenti,
miglioramento della sicurezza IT,
…
• In questa fase COBIT viene utilizzato in affiancamento ad
altri framework che forniscono delle best practices di
processo a copertura di aree specifiche
7
Wave 3 – Risk Management
• In questa fase si sperimenta un ulteriore step
nell’utilizzo di COBIT
• I controlli COBIT sono utilizzati nella fase di risk
assessment per
– individuare i rischi relativi ai processi IT
– impostare le azioni di mitigazione del rischio IT
– ridurre il livello di esposizione al rischio delle attività IT
8
Il ruolo di COBIT come meta-framework (1)
• Non sembra esistere un framework di processo che consenta di
indirizzare adeguatamente le esigenze delle aziende in termini di
IS Governance
• La ricerca conferma la propensione delle aziende all’utilizzo
congiunto dei diversi framework di processo disponibili, in
funzione dei punti di forza e delle specificità di ciascuno di essi
• COBIT si è rivelato nelle esperienze analizzate un metaframework che ha consentito il dialogo e l’integrazione degli altri
IT framework già presenti o successivamente introdotti in azienda
– COBIT + ITIL nella strutturazione dei processi operativi (dominio DS)
– Complementarietà di COBIT e ITIL rispetto ad altri framework
maggiormente focalizzati sulla qualità aziendale (ISO9001) e sulla
sicurezza del sistema informativo (ISO27000)
9
Il ruolo di COBIT come meta-framework (2)
COSO
Enel
COBIT
COME?
Tiscali (In progress)
Tiscali
Alcon
Intesa San Paolo
CMMI
Tiscali
Generali
ISO 9001
COSA?
ISO 27001
Enel
ITIL
SCOPE
Adattato da ITGI, 2007
10
Wave 4 – Governance Risk & Compliance
• In questa fase la dimensione di processo rappresenta il
punto di riferimento fondamentale per valutare
– la governabilità dell’IT
– la compliance alle normative
– il grado di esposizione al rischio dell’IT
• Approccio riscontrato solo in realtà aziendali in cui l’IT ha
un impatto significativo sull’azienda e in cui COBIT è stato
utilizzato come uno strumento non solo di audit, ma di IS
Governance gestito internamente
11
Il benefici di adozione di COBIT
I benefici di adozione di COBIT
• Nella fase di compliance l’adozione di COBIT (imposta o
spontanea) ha l’obiettivo esplicito di supportare la risposta
dell’IT a specifiche normative (benefici attesi)
• Nelle fasi successive emergono opportunità di
miglioramento stimolate dalla prima esperienza di
introduzione (benefici emergenti)
Benefici
Attesi
Benefici
Emergenti
13
Benefici attesi (1)
COMPLIANCE
L’adozione di COBIT si conferma un passaggio
cruciale nel percorso di implementazione di un
modello aziendale di IS Governance in grado di
allineare il sistema informativo ai vincoli posti dal
contesto esterno
14
Benefici attesi (2)
“…e se venissero meno i vincoli di compliance?”
L’orientamento è stato quello di mantenere l’utilizzo di COBIT, in
quanto il suo contributo è stato ritenuto fondamentale per il
governo dei sistemi informativi e, soprattutto, per anticipare
alcune nuove necessità di compliance.
Anche dopo il perfezionamento delle operazioni di deregistration,
abbiamo optato per mantenere il sistema dei controlli interni, in
quanto coerente con le richieste espresse dalla legge n. 262/05
15
Benefici emergenti (1)
Benefici derivanti dall’adozione di COBIT
Esempi aziendali
Miglioramento dei processi IT
-
-
-
-
Esplicitazione di carenze operative e
formali nell’IT e individuazione delle
aree di miglioramento (Intesa San
Paolo)
Preparazione della funzione IT ad
erogare servizi IT di qualità al
mercato esterno (Tiscali)
Evidenza delle opportunità di
ridisegno dei processi IT (Alcon
Group)
Miglioramento dei processi IT preesistenti (Enel)
16
Esempi aziendali
Miglioramento delle performance
operative dell’IT
-
-
Riduzione degli incident e riduzione
delle risorse dedicate alle attività di
supporto (Intesa San Paolo)
Incremento di efficienza operativa
(Tiscali)
Maggior certezza delle attività da
svolgere e maggior possibilità di
controllare quanto realizzato (Enel)
17
Esempi aziendali
Miglioramento della relazione tra
funzione IT e funzioni di Business
-
-
Miglior utilizzo del SW da parte degli
utenti (intesa San Paolo)
Migliore allocazione delle risorse
aziendali, con focus sulle priorità del
cliente (Tiscali)
Responsabilizzazione delle divisioni
di business (Tiscali)
Chiara definizione di ruoli e
responsabilità reciproche del
business e della struttura di Demand
e Delivery (Enel)
18
Esempi aziendali
Estensione del perimetro di controllo IT -
Armonizzazione dei diversi processi
IT seguiti in azienda (Generali)
Creazione di un glossario condiviso
(Enel)
Strutturazione di processi
omogenei su tutte le affiliate (Alcon
Group)
19
Esempi aziendali
Miglioramento della capacità di
reazione dell’IT
-
Semplificazione delle attività di Risk
Assessment (Enel)
Semplificazione delle operazioni di
integrazione di nuove società (Enel)
20
Punti di forza, punti di debolezza e aree di criticità
Punti di forza e di debolezza di COBIT
Punti di forza
Punti di debolezza
• Ampiezza
•
Profondità
• Versatilità di utilizzo
•
Ridondanza di alcuni controlli
• Glossario standard
•
Comprensibilità di alcuni controlli
• Omogeneità della struttura
• Integrabilità con altri framework
22
Criticità di introduzione vs Fattori Critici di
Successo
Criticità di introduzione
Fattori critici di Successo
Resistenza al cambiamento
- Readiness dei Sistemi Informativi a
processi di auditing e controllo
- Creazione di ruoli ad hoc con
responsabilità di applicazione dei
controlli (control owner)
Committment aziendale
- Sponsorship dalle funzioni aziendali
- Chiara suddivisione delle
responsabilità tra business e IT
- Legittimazione della funzione SI ad
intraprendere azioni correttive su
tutto lo scope dei processi IT
Eterogeneità dei processi IT
- Coesione dei team di IS Audit e di IS
Governance
- Pre-esistenza di un orientamento alla
strutturazione dei processi IT
23
Conclusioni
In generale
• Il framework è progettato per agevolare l’applicazione di controlli
ai principali processi IT e resta fedele alla sua missione,
contribuendo, in ognuna delle esperienze di adozione esaminate
nella ricerca, a raggiungere l’obiettivo di compliance dell’IT
• I benefici che si affiancano a quello di compliance, non sempre
ricercati in modo esplicito dalle aziende, dimostrano come
un’adozione matura di COBIT possa condurre a risultati di
assoluto interesse per la funzione sistemi informativi e per l’intera
azienda
• In questo senso occorre una spinta alla diffusione di COBIT come
framework di processi IT
– Scarsamente adottato in questa logica nelle esperienze analizzate,
più orientate alla logica dell’audit
25
Quali azioni intraprendere ?
• Costruire una relazione di collaborazione Audit-Sistemi
Informativi finalizzata all’individuazione delle aree di
miglioramento dei processi IT
• Far leva sui benefici di compliance e sui control objectives
per promuovere un utilizzo più ampio del framework COBIT
(approcci, processi e strumenti)
• Promuovere il ruolo di meta-framework di COBIT per la
progettazione e l’implementazione di un modello aziendale
di governo dei processi IT, diffondendo i punti di forza del
framework e lavorando sui punti di debolezza
• Contribuire alla diffusione delle best-practices di adozione
di COBIT, anche come strumento di allineamento
26

L`adozione di COBIT come strumento di IS Governance. Stato dell

Transcript

Documenti analoghi

profili professionali - Fondazione Roberto Franceschi

Il ciclo di vita degli eventi aziendali - PMI-NIC

invito - Luigi Guatri

Marco Rigotti Presidente del Collegio Sindacale Nato a

CV Zattoni - Trentino Famiglia

l`accertamento reddituale e patrimoniale nella crisi della famiglia

Save PDF - SDA Bocconi School of Management

SDA BOCCONI International Competition in Finance 2015

l`innovazione nell`assicurazione salute

gdonews.it – Dicembre 2016