L`adozione di COBIT come strumento di IS Governance. Stato dell
Transcript
L`adozione di COBIT come strumento di IS Governance. Stato dell
L’adozione di COBIT come strumento di IS Governance. Stato dell’arte, risultati e fattori critici di successo nelle esperienze analizzate. Elisa Pozzoli, Gianluca Salviotti Copyright SDA Bocconi © Elisa Pozzoli - Gianluca Salviotti Agenda • • • • • Premessa Il percorso di adozione di COBIT I benefici di adozione di COBIT Punti di forza, punti di debolezza e aree di criticità Conclusioni Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 2 Premessa • I risultati di seguito presentati emergono dai Focus Group e dall’analisi dei casi aziendali • Le evidenze riportate hanno natura qualitativa e riguardano le esperienze di introduzione di COBIT ANALISI DESK DELLA LETTERATURA STUDIO DI FATTIBILITA’ FATTIBILITA’ MODELLO DI RICERCA Toolkit COBIT Core COBIT Core COBIT Core COBIT Core COBIT Core Val IT Val IT Val IT Obiettivo IT IS Alignment with Business IT Security IT Cost Control Compliance Risk Management Develop Human Capital Maintain IS Value Communication and Trasparency Manage Sourcing Strategies User Satisfaction Tool Domains & Processes Control Objectives Maturity Models Outcome Measures Performance Indicators Value Governance Portfolio Management Investment Management Obiettivo Aziendale Acquire, Develop and Retain Human Capital Enabling Flexibility and Future Options Improve Customer Loyalty Increase Revenues Increasing Company Value - Intangible Increasing Company Value - Tangible Ensure Compliance with Internal Policies Ensure Compliance with Regulation Ensure Risk Management Improve Company Reputation Improve Customer Satisfaction Improve Supply Side Relationship Increase Company Profitability Ensure Cost Control - Goods sold Ensure Cost Control - Other FOCUS GROUP 1 VALIDAZIONE/ AFFINAMENTO Tipo Crescita Crescita Crescita Crescita Crescita Crescita Efficacia Efficacia Efficacia Efficacia Efficacia Efficacia Efficacia Efficienza Efficienza VALIDAZIONE/ AFFINAMENTO FOCUS GROUP 2 VALIDAZIONE/ AFFINAMENTO SELEZIONE E ANALISI CASI Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 3 Il percorso di adozione di COBIT Copyright SDA Bocconi © Elisa Pozzoli - Gianluca Salviotti Il percorso di adozione di COBIT MATURITÁ PROCESSI IT + (COBIT Waves © SDA Bocconi School of Management) Approccio integrato Governance, Risk e Compliance Risk Management Process/Performance Improvement - Compliance - SCOPE ORGANIZZATIVO Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti + 5 Wave 1 – Compliance • In questa fase l’adozione di COBIT supporta l’adeguamento normativo – In particolare a SOX e 262 • Le prime attività sono finalizzate a introdurre il sistema dei controlli (approccio progettuale) – implementazione dei control objectives – gestione della relazione con gli auditor – set-up di strutture interne deputate al controllo • Seguono attività di ottimizzazione e affinamento del sistema dei controlli (approccio manageriale) – risorse dedicate alle attività di controllo – numero di controlli implementati – tempo dedicato alle attività di controllo Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 6 Wave 2 – Process/Performance improvement • In questa fase si amplia il numero di attività sottoposte a controllo • Aumenta la consapevolezza della validità del sistema di controlli proposto da COBIT come strumento di assessment a supporto delle iniziative di miglioramento dell’IT – – – – – riduzione dei costi operativi, incremento della produttività delle risorse, aumento della soddisfazione degli utenti, miglioramento della sicurezza IT, … • In questa fase COBIT viene utilizzato in affiancamento ad altri framework che forniscono delle best practices di processo a copertura di aree specifiche Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 7 Wave 3 – Risk Management • In questa fase si sperimenta un ulteriore step nell’utilizzo di COBIT • I controlli COBIT sono utilizzati nella fase di risk assessment per – individuare i rischi relativi ai processi IT – impostare le azioni di mitigazione del rischio IT – ridurre il livello di esposizione al rischio delle attività IT Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 8 Wave 2 – Process/Performance improvement Il ruolo di COBIT come meta-framework (1) • Non sembra esistere un framework di processo che consenta di indirizzare adeguatamente le esigenze delle aziende in termini di IS Governance • La ricerca conferma la propensione delle aziende all’utilizzo congiunto dei diversi framework di processo disponibili, in funzione dei punti di forza e delle specificità di ciascuno di essi • COBIT si è rivelato nelle esperienze analizzate un metaframework che ha consentito il dialogo e l’integrazione degli altri IT framework già presenti o successivamente introdotti in azienda – COBIT + ITIL nella strutturazione dei processi operativi (dominio DS) – Complementarietà di COBIT e ITIL rispetto ad altri framework maggiormente focalizzati sulla qualità aziendale (ISO9001) e sulla sicurezza del sistema informativo (ISO27000) Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 9 Wave 2 – Process/Performance improvement Il ruolo di COBIT come meta-framework (2) COSO Enel COBIT COME? Tiscali (In progress) Tiscali Alcon Intesa San Paolo CMMI Tiscali Generali ISO 9001 COSA? ISO 27001 Enel ITIL SCOPE Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti Adattato da ITGI, 2007 10 Wave 4 – Governance Risk & Compliance • In questa fase la dimensione di processo rappresenta il punto di riferimento fondamentale per valutare – la governabilità dell’IT – la compliance alle normative – il grado di esposizione al rischio dell’IT • Approccio riscontrato solo in realtà aziendali in cui l’IT ha un impatto significativo sull’azienda e in cui COBIT è stato utilizzato come uno strumento non solo di audit, ma di IS Governance gestito internamente Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 11 Il benefici di adozione di COBIT Copyright SDA Bocconi © Elisa Pozzoli - Gianluca Salviotti I benefici di adozione di COBIT • Nella fase di compliance l’adozione di COBIT (imposta o spontanea) ha l’obiettivo esplicito di supportare la risposta dell’IT a specifiche normative (benefici attesi) • Nelle fasi successive emergono opportunità di miglioramento stimolate dalla prima esperienza di introduzione (benefici emergenti) Benefici Attesi Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti Benefici Emergenti 13 Benefici attesi (1) COMPLIANCE L’adozione di COBIT si conferma un passaggio cruciale nel percorso di implementazione di un modello aziendale di IS Governance in grado di allineare il sistema informativo ai vincoli posti dal contesto esterno Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 14 Benefici attesi (2) “…e se venissero meno i vincoli di compliance?” L’orientamento è stato quello di mantenere l’utilizzo di COBIT, in quanto il suo contributo è stato ritenuto fondamentale per il governo dei sistemi informativi e, soprattutto, per anticipare alcune nuove necessità di compliance. Anche dopo il perfezionamento delle operazioni di deregistration, abbiamo optato per mantenere il sistema dei controlli interni, in quanto coerente con le richieste espresse dalla legge n. 262/05 Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 15 Benefici emergenti (1) Benefici derivanti dall’adozione di COBIT Esempi aziendali Miglioramento dei processi IT - - - - Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti Esplicitazione di carenze operative e formali nell’IT e individuazione delle aree di miglioramento (Intesa San Paolo) Preparazione della funzione IT ad erogare servizi IT di qualità al mercato esterno (Tiscali) Evidenza delle opportunità di ridisegno dei processi IT (Alcon Group) Miglioramento dei processi IT preesistenti (Enel) 16 Benefici emergenti (2) Benefici derivanti dall’adozione di COBIT Esempi aziendali Miglioramento delle performance operative dell’IT - - Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti Riduzione degli incident e riduzione delle risorse dedicate alle attività di supporto (Intesa San Paolo) Incremento di efficienza operativa (Tiscali) Maggior certezza delle attività da svolgere e maggior possibilità di controllare quanto realizzato (Enel) 17 Benefici emergenti (3) Benefici derivanti dall’adozione di COBIT Esempi aziendali Miglioramento della relazione tra funzione IT e funzioni di Business - - Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti Miglior utilizzo del SW da parte degli utenti (intesa San Paolo) Migliore allocazione delle risorse aziendali, con focus sulle priorità del cliente (Tiscali) Responsabilizzazione delle divisioni di business (Tiscali) Chiara definizione di ruoli e responsabilità reciproche del business e della struttura di Demand e Delivery (Enel) 18 Benefici emergenti (4) Benefici derivanti dall’adozione di COBIT Esempi aziendali Estensione del perimetro di controllo IT - Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti Armonizzazione dei diversi processi IT seguiti in azienda (Generali) Creazione di un glossario condiviso (Enel) Strutturazione di processi omogenei su tutte le affiliate (Alcon Group) 19 Benefici emergenti (5) Benefici derivanti dall’adozione di COBIT Esempi aziendali Miglioramento della capacità di reazione dell’IT - Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti Semplificazione delle attività di Risk Assessment (Enel) Semplificazione delle operazioni di integrazione di nuove società (Enel) 20 Punti di forza, punti di debolezza e aree di criticità Copyright SDA Bocconi © Elisa Pozzoli - Gianluca Salviotti Punti di forza e di debolezza di COBIT Punti di forza Punti di debolezza • Ampiezza • Profondità • Versatilità di utilizzo • Ridondanza di alcuni controlli • Glossario standard • Comprensibilità di alcuni controlli • Omogeneità della struttura • Integrabilità con altri framework Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 22 Criticità di introduzione vs Fattori Critici di Successo Criticità di introduzione Fattori critici di Successo Resistenza al cambiamento - Readiness dei Sistemi Informativi a processi di auditing e controllo - Creazione di ruoli ad hoc con responsabilità di applicazione dei controlli (control owner) Committment aziendale - Sponsorship dalle funzioni aziendali - Chiara suddivisione delle responsabilità tra business e IT - Legittimazione della funzione SI ad intraprendere azioni correttive su tutto lo scope dei processi IT Eterogeneità dei processi IT - Coesione dei team di IS Audit e di IS Governance - Pre-esistenza di un orientamento alla strutturazione dei processi IT Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 23 Conclusioni Copyright SDA Bocconi © Elisa Pozzoli - Gianluca Salviotti In generale • Il framework è progettato per agevolare l’applicazione di controlli ai principali processi IT e resta fedele alla sua missione, contribuendo, in ognuna delle esperienze di adozione esaminate nella ricerca, a raggiungere l’obiettivo di compliance dell’IT • I benefici che si affiancano a quello di compliance, non sempre ricercati in modo esplicito dalle aziende, dimostrano come un’adozione matura di COBIT possa condurre a risultati di assoluto interesse per la funzione sistemi informativi e per l’intera azienda • In questo senso occorre una spinta alla diffusione di COBIT come framework di processi IT – Scarsamente adottato in questa logica nelle esperienze analizzate, più orientate alla logica dell’audit Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 25 Quali azioni intraprendere ? • Costruire una relazione di collaborazione Audit-Sistemi Informativi finalizzata all’individuazione delle aree di miglioramento dei processi IT • Far leva sui benefici di compliance e sui control objectives per promuovere un utilizzo più ampio del framework COBIT (approcci, processi e strumenti) • Promuovere il ruolo di meta-framework di COBIT per la progettazione e l’implementazione di un modello aziendale di governo dei processi IT, diffondendo i punti di forza del framework e lavorando sui punti di debolezza • Contribuire alla diffusione delle best-practices di adozione di COBIT, anche come strumento di allineamento Copyright SDA Bocconi © Elisa.Pozzoli – Gianluca Salviotti 26