Processi di IT Governance, qualità dei servizi IT e struttura
Transcript
Processi di IT Governance, qualità dei servizi IT e struttura
Master “Audit e Governance nell’ICT” Processi di IT Governance, qualità dei servizi IT e struttura organizzativa della funzione informatica: un modello integrato di indagine Roma 31 marzo 2011 Dario Russo Master “Audit e Governance nell’ICT” Programma del seminario: - Il modello di analisi - Gli ambiti di utilizzo - La maturità della governance - esercitazione - La qualità dei servizi - I principali processi IT: ruoli e responsabilità - La mappa delle aree critiche e di eccellenze - Conclusioni © Dario Russo 2011 Master “Audit e Governance nell’ICT” MATURITA’ DELLA GOVERNANCE QUALITA’ DEI SERVIZI EQUILIBRIO ORGANIZZATIVO Il modello di analisi © Dario Russo 2011 Master “Audit e Governance nell’ICT” Ambiti di utilizzo Analisi dei processi Riorganizzazioni Autoassessment Attività di consulenza Ricerca metodologica Gli ambiti di utilizzo © Dario Russo 2011 Master “Audit e Governance nell’ICT” La maturità della Governance La maturità della Governance © Dario Russo 2011 Master “Audit e Governance nell’ICT” Riferimenti teorici (1) “L’IT Governance, o governo dei sistemi informativi, e’ “quella parte della più ampia corporate governance che si occupa della gestione dei sistemi IT in azienda e delle decisioni a essa correlate; le principali finalità dell’IT Governance sono l’allineamento dei sistemi agli obiettivi di business e la gestione dei rischi informatici”. (Wikipedia) "L'IT governance è responsabilità diretta del consiglio di amministrazione e del management esecutivo. È parte integrante della governance aziendale ed è costituita dalla direzione, dalla struttura organizzativa e dai processi in grado di assicurare che l'IT sostenga ed estenda gli obiettivi e le strategie dell'organizzazione.“ (IT Governance Institute) La maturità della Governance © Dario Russo 2011 Master “Audit e Governance nell’ICT” Value delivery and strategic alignment are often combined in professional and academic literature. La maturità della Governance © Dario Russo 2011 Master “Audit e Governance nell’ICT” Riferimenti teorici (2) Weiss – Wendham Dominî IT (ambiti di decisione) Policies dell’IT Strategie evolutive dell’infrastruttura IT Architettura IT Investimenti IT e priorità + Esigenze di sviluppo di soluzioni IT per il business La maturità della Governance © Dario Russo 2011 Master “Audit e Governance nell’ICT” Riferimenti teorici (3) Archetypes Stili di Governance Business Business Monarchy Monarchy IT ITMonarchy Monarchy Feudal Feudal Federal Federal Anarchy Anarchy Leadership Leadership del delbusiness business Leadership Leadership dell’IT dell’IT Duopolio Duopolio Anarchia Anarchia Fonte: Weiss – Wendham La maturità della Governance © Dario Russo 2011 Riferimenti teorici (4) Master “Audit e Governance nell’ICT” Fonte: Weiss – Wendham La maturità della Governance © Dario Russo 2011 Master “Audit e Governance nell’ICT” Riferimenti teorici (5) I processi di IT governance e la misura della loro maturità 1. 2. 3. 4. 5. 6. Contesto, struttura organizzativa e processi (incluso il rapporto tra il business e l’IT) Allineamento strategico dell'IT al business Valore aggiunto dell'automazione (inclusa la gestione del portafoglio e dei progetti IT) Gestione del Rischio Gestione della risorsa informatica (inclusa l’esternalizzazione) Gestione della performance Policies dell’IT Strategie evolutive dell’infrastruttura IT Architettura IT Investimenti IT e priorità Esigenze di sviluppo di soluzioni IT per il business La maturità della Governance © Dario Russo 2011 Master “Audit e Governance nell’ICT” Riferimenti teorici (6) Maturity scale Fonte: Board Briefing on IT governance, IT Governance Institute La maturità della Governance © Dario Russo 2011 Master “Audit e Governance nell’ICT” Uno strumento di indagine IT Governance self assessment tool La maturità della Governance © Dario Russo 2011 Master “Audit e Governance nell’ICT” IT Governance self assessment tool IT Governance Healthcheck Tool Questionnaire Name of the institution: <Name> Size of the institution: <Number of staff> Size of IT entity/department: <Number of internal IT staff> Number of external staff: <Number of external IT staff> Number of operational applications: <Number of applications> Number of ongoing projects: <Number of projects> Date of assessment: Performed by: Overall IT budget per year: <IT budget> Indicate with 'X' or 'x' the best fitting answer to the statements listed below Ref IT Governance framework, organisational structure and processes Yes / Always To a large extent To some extent Rarely Very rarely No / Never Don't Know Yes / Always To a large extent To some extent Rarely Very rarely No / Never Don't Know 1 There are well established and fairly stable IT governance mechanisms in the institution. 2 The committees that decide upon important IT related decisions have a stable composition and their work is well known and accepted. 3 The committees that decide upon important IT related decisions consists equally of both management responsible for the business and management responsible for IT Mechanisms to make IT decisions at institutional level (i.e. at the level of the whole Institution) 4 work adequately for the institution, e.g. structured processes to make decisions, set up priorities, possibility to anticipate duration, not long delays before decisions on exceptions are made, etc. 5 6 Mechanisms to make IT decisions at local level (e.g. at level of a substructure of the institution, Division, Directorate) work adequately for the institution, e.g. structured processes to make decisions, set up priorities, possibility to anticipate duration, not long delays before decisions on exceptions are made, etc. Senior management (i.e. the highest level of management) can explain IT Governance; they can describe the concept, or they can give an accurate description of how IT Governance is organised in the institution; they know who decides on important IT related decisions, and how these decisions are made. Senior management is engaged in IT related decisions and supports IT Governance through their 7 involvement in the governance structures; they are active members of committees, support and enforce governance structures and standards, deal with non-followers, etc.… 8 Middle management (e.g. Heads of unit level) can explain IT Governance; they can describe the concept, or they can give an accurate description of how IT Governance is organised in the institution; they know who decides on important IT related decisions, and how these decisions are made. Middle management is engaged in IT related decisions and supports IT Governance through their 9 involvement in the governance structures; they are active members of committees, support and enforce governance structures and standards, deal with non-followers, etc. … There is an effective communication between the different hierarchical levels (between Senior 10 Management, Middle Management, Operational Management and subordinates), e.g. strategies, decisions, risks, opportunities, etc. are clearly communicated 11 There is an entity in the institution (either at local or institutional level), that is dedicated to the support of the IT Governance mechanisms and can be contacted for question, suggestions, etc. Business and IT relation 12 The business understands how IT operates or what IT can and cannot do within a certain timeframe There is common understanding between business and IT about: 13 - the business needs for IT, - the IT capabilities for the business. 14 Relationships between business and IT are co-operative, e.g. work together in the pursuit of achieving broader business goals 15 There is a clear set of communication channels for IT to communicate to the organization Ref Strategic Alignment The business strategy at institutional level is clearly defined, e.g. operational excellence, innovation, 16 stakeholder intimacy, etc. and this strategy and its implications are well communicated to the IT entity/department. La maturità della Governance © Dario Russo 2011 Master “Audit e Governance nell’ICT” IT Governance self assessment tool Don't know Not aware of such process or practice/ Not able to answer. No/ Never Complete lack of any recognisable processes, practices, standards, structures, etc. No recognition that there is an issue to be addressed. Very rarely There are only attempts to apply ad hoc approaches or individual or case-by-case implementations. However, there is a recognition that there are issues to address. Rarely Similar practices occur in some areas across the organisation, however there are no standardised processes, established standards or structures, etc. To some extent Processes, practices, standards, structures, etc. are formally established, documented, communicated and mandated to be followed. However they are still lacking sophistication and deviations are likely to occur. To large extent Compliance with established processes and standards are monitored and measured. Actions are taken where inefficiencies occur. Processes, standards, structures, etc. are under constant improvement and good practices are identified and communicated. Yes/ Always Processes, standards, structures, etc. are systematically applied, have been refined to a level of good practice and are continuously improved on the basis of the results obtained. La maturità della Governance © Dario Russo 2011 Master “Audit e Governance nell’ICT” gestione della performance gestione della risorsa informatica contesto, struttura organizzativa e processi allineam. strategico dell'IT al business valore aggiunto dell'automazione gestione del rischio COMPLESSIVO MIN MAX media generale media IT 8 7 6 5 4 Business 3 2 Aree di indagine 1 IT media Business Casi concreti Come leggere i risultati 2,38 2,38 2,63 3,88 3,00 0,50 2,75 3,13 2,82 2,35 2,58 3,88 0,50 2,71 2,71 1,57 2,57 3,14 2,21 2,79 2,79 2,39 2,73 2,56 3,14 1,57 2,73 2,60 1,86 3,07 2,73 2,00 1,67 2,67 2,57 2,27 2,42 3,07 1,67 2,64 2,64 1,20 3,09 3,18 1,91 1,73 2,64 2,39 2,37 2,38 3,18 1,20 0,15 2,81 2,60 3,71 3,00 1,76 1,19 3,10 2,32 2,26 2,29 3,71 0,15 1,82 1,82 2,36 3,27 2,82 1,18 0,27 2,36 2,32 1,66 1,99 3,27 0,27 2,53 2,49 2,04 3,27 2,98 1,59 1,73 2,78 2,58 2,27 2,43 3,27 1,59 La maturità della Governance © Dario Russo 2011 Sì , Sem pre In gran mis ura In part e Di rado Molto di rad o No, m ai Non s o Casi concreti Come leggere i risultati Master “Audit e Governance nell’ICT” 0 0 7 1 0 0 0 L'azienda si avvale di processi di IT governance ben definiti e stabili 0 0 5 3 0 0 0 Gli organismi che guidano importanti decisioni informatiche hanno una composizione stabile e il loro lavoro è ben conosciuto ed accettato 0 3 3 0 1 0 1 Tali organismi consistono in misura eguale di responsabili delle linee di business e di responsabili della funzione IT 0 0 5 1 2 0 0 I processi decisionali IT a livello istituzionale funzionano bene, sono ben strutturati, le priorità sono chiare, i cambiamenti ai calendari di lavoro e le eccezioni si decidono rapidamente, ecc. 0 0 4 3 1 0 0 Anche i processi decisionali IT a livello divisionale funzionano bene, sono ben strutturati e si integrano bene, le priorità sono chiare, i cambiamenti ai calendari di lavoro e le eccezioni si decidono rapidamente, ecc. 0 0 3 2 3 0 0 I Top manager hanno familiarità con la IT governance; possono spiegarne il funzionamento e come essa è organizzata; sanno chi guida importanti decisioni IT come queste decisioni vengono prese. 0 0 1 2 5 0 0 0 1 1 3 2 0 1 0 0 1 2 4 0 1 I Responsabili delle Direzioni sono impegnati in decisioni che riguardano l'informatica e sostengono la IT governance con il loro coinvolgimento personale; sono membri attivi di comitati informatici, sostengono e rafforzano le strutture e gli standard della IT governance, ecc. 0 1 1 4 2 0 0 Esistono canali efficaci di comunicazione tra i diversi livelli gerarchici - tra Top manager, Responsabili delle Direzioni, Capi Unità e il loro personale. Strategie, decisioni, rischi, opportunità, ecc. sono esposti chiaramente. 0 0 3 3 1 1 0 Esiste un'entità in azienda dedicata al sostegno della IT governance e facilmente raggiungibile per fornire spiegazioni, raccogliere idee, ecc.. IT governance: Contesto, Struttura Organizzativa e Processi I Top manager sono coinvolti nelle decisioni IT e sostengono l’IT governance tramite il loro diretto coinvolgimento nei meccanismi; sono membri attivi dei comitati informatici, sostengono e rafforzano le politiche informatiche, ecc. I Responsabili delle Direzioni sanno spiegare la IT governance; possono descriverne i concetti, o fornire un'accurata descrizione del suo funzionamento; sanno chi prende le decisioni informatiche importanti, e come queste decisioni vengono formulate. La maturità della Governance © Dario Russo 2011 Casi concreti Come leggere i risultati Master “Audit e Governance nell’ICT” IT Gove rnance fr am e w ork , or ganis ational str uctur e and proce ss es 5,00 4,00 Pe rfor m ance Managem ent 3,00 Str ategic Alignm e nt 2,00 1,00 0,00 Re sour ce Managem ent Value Delive ry Risk Managem ent La maturità della Governance © Dario Russo 2011 Master “Audit e Governance nell’ICT” Casi concreti Come leggere i risultati Subject areas IT Governance framework, organisational structure and processes Risk management Value delivery Resource management Strategic alignment Performance management Rangeofofvalues: values: 0/5 Range 0/5 avg 3,90 3,90 3,82 3,66 3,63 3,63 max min 5,00 5,00 4,86 4,79 5,00 5,00 3,47 2,55 3,19 3,14 2,91 2,50 La maturità della Governance © Dario Russo 2011 Master “Audit e Governance nell’ICT” Casi concreti Come leggere i risultati IT Governance Healthcheck Tool Results Organisational details Overall maturity assessment Name of the institution Bank of Japan Size of the institution 0 1 4,94 2 3 4 5 4804, which is the number of permanent internal staffs as of the end of March 2010. Size of IT entity/department 415 (as of the end of July 2010) Initial/ Ad hoc Repeatable but intuitive Defined processes Managed and measurable Optimized (as of the end of June 2010) Number of external staff: 1063 Optimised Number of operational applications 67 Number of ongoing projects 174 (as of the end of June 2010) Approximately JPY 31billion for Fiscal Overall IT budget per year 2010 Processes have been refined to a level of good practice, based on the results of continuous improvement and maturity modelling with other organisations. IT is used in an integrated way to automate the workflow, providing tools to improve quality and effectiveness, making the organisation quick to adapt. IT Governance framework, organisational structure and processes 5,00 4,00 Maturity assessment per subject area Performance Management IT Governance framework, organisational structure and processes 5,00 Strategic Alignment 5,00 3,00 2,00 Strategic Alignment 1,00 0,00 Value Delivery 4,86 Risk Management 5,00 Resource Management 4,79 Performance Management 5,00 Date of assessment: Performed by: 8th September 2010 (Mr.) Naoya OKADA Resource Management Value Delivery Risk M anagement This is a customized copy of the IT Governance Healthcheck tool v 0.6 developed by the European Commission - Directorate General for Informatics (DIGIT) La maturità della Governance © Dario Russo 2011 Master “Audit e Governance nell’ICT” La qualità dei servizi La qualità dei servizi © Dario Russo 2011 Master “Audit e Governance nell’ICT” Riferimenti teorici Qualità e soddisfazione del Cliente Qualità attesa dal cliente Errore di rilevazione Errore di soddisfazione Qualità progettata dall’ dall’azienda Errore di non conformità Qualità offerta dall’azienda Errore di comunicazione Qualità percepita Qualità dal cliente La qualità dei servizi © Dario Russo 2011 Master “Audit e Governance nell’ICT” Uno strumento di indagine INTERVISTA SULLA QUALITA’ PERCEPITA Dati intervistato nome _______________ struttura: __________________________ data intervista: _______ intervistatore: _________ durata:_______ Scala_ 0/2 attività importanza fattore 2. Planning / pianificazione 3. Gestione progetti erogazione dei servizi IT Requisiti utente Fattibilità Processo innovazione Catalogo dei servizi (infrastrutture) Gestione priorità Gestione del portafoglio (piano) dei progetti Progettazione funzionale Project management Processo di realizzazione test e collaudi formazione Servizio esercizio applicativi Q ue st io na rio Progettualità 1. Demand management / gestione della domanda 4. Esercizio (server e rete - incluso SLA) Performance management Postazioni di lavoro e dotazioni individuali 5. Customer service Help desk e assistenza utenti negli interventi 6. Customer relationship Valutazione/giudizio Scala 0/5 0 – assente 1 - molto inferiore alle esigenze 2 - inferiore alle esigenze 3 - in linea con le esigenze 4 - superiore alle esigenze 5 - molto superiore alle esigenze pe ri nt er vi st e processo 0 - poco importante 1- importante 2- vincolante qualità percepita note Area progettuale 1. “Rilevazione e gestione della domanda” 2. “Pianificazione e gestione del portafoglio progetti” 3. “Gestione dei progetti” Area gestionale 1. “Esercizio” 2. “Gestione del servizio all’utente” 3. “Gestione delle relazioni con l’utente” La qualità dei servizi © Dario Russo 2011 Master “Audit e Governance nell’ICT” Target delle interviste Business Manager IT Manager La qualità dei servizi © Dario Russo 2011 Master “Audit e Governance nell’ICT” Casi concreti: come leggere i risultati Importanza (scala 0-2) Qualità percepita (scala 0-5) Requisiti utente 1,33 2,00 Fattibilità 1,00 2,00 Processo innovazione 1,44 1,67 Catalogo dei servizi (catalogo delle applicazioni) 0,89 1,30 Gestione priorità 2,00 1,10 Gestione del portafoglio (piano) dei progetti 1,44 1,50 Progettazione funzionale 1,22 2,00 Project management 0,89 2,10 processi Processo di realizzazione test, collaudi formazione 1,25 1,78 Servizio esercizio applicativi Performance management 1,44 0,75 1,90 1,17 Postazioni di lavoro e dotazioni individuali 0,89 2,78 Help desk e assistenza utenti 1,33 2,10 Customer relationship 1,22 2,30 MEDIA DELLE RISPOSTE 1,84 Fonte: dati esemplificativi ispirati a casi reali La qualità dei servizi © Dario Russo 2011 Rapporto importanza/qualità (Manager IT) 5,00 4,50 4,00 3,50 livello di qualità in linea con le esigenze Qualità percepita Casi concreti: come leggere i risultati Master “Audit e Governance nell’ICT” 3,00 2,50 2,00 1,50 1,00 0,50 processi importanti o vincolanti - 0,20 0,40 0,60 0,80 1,00 1,20 1,40 1,60 1,80 2,00 Importanza La qualità dei servizi © Dario Russo 2011 Casi concreti: come leggere i risultati Master “Audit e Governance nell’ICT” La qualità dei servizi © Dario Russo 2011 Master “Audit e Governance nell’ICT” Casi concreti: come leggere i risultati Gestione priorità Catalogo dei servizi (catalogo delle applicazioni) Gestione del portafoglio (piano) dei progetti Processo innovazione Performance management Help desk e assistenza utenti Fattibilità Servizio esercizio applicativi (server e rete - incluso SLA) Customer relationship Requisiti utente Processo di realizzazione test e collaudi formazione Project management Progettazione funzionale Postazioni di lavoro e dotazioni individuali 1,22 1,53 1,58 1,61 1,67 1,72 1,77 2,01 2,05 2,10 2,12 2,33 2,41 2,58 Fonte: dati esemplificativi ispirati a casi reali La qualità dei servizi © Dario Russo 2011 Master “Audit e Governance nell’ICT” I principali processi IT: ruoli e responsabilità I principali processi IT: ruoli e responsabilità © Dario Russo 2011 Riferimenti teorici (1) Master “Audit e Governance nell’ICT” Which key functions to be investigated? Benefits Management IT Governance Corporate Control of IT Prioritisation Business and IT St rategy Linkage IT Architecture (Information, Applications and Technology) Sourcing Strategy Strategic plan Standard setting Organisation management IT Asset Management Skills and resource planning Budgeting & forecasting Financial reporting and analysis Communication IT Performance Management Funding and recovery Be nefits Management Investment Appraisal Sp onsorship Bu siness Change Management IT Education IT Strategy Solutions d evelopment Macro systems d esign Detailed system design Systems develop ment Package implementation Implementation training and documentation Systems integration Information Management Information Management Data Protection Intellectual property Opportunity Development Service Management Customer relationship management Service level management Service reporting Contract negotiation Contract management Maintenance & Change management Release planning IT Change Management Applications maintenance Applications performance tuning Applications portfolio management Opportunity identification Business analysis Requirements definition Solutions Selection User testing and acceptance Business / IS process integration Infrastructure Operations Computer operations Telecoms operations Capacity planning Continuity Configuration management Availability management Facility management Operations testing and acceptance Risk Management Security strategy, policy formulation and compliance Access/intrusion control Virus control Physical and environmental control Suppo rt Incident management Problem management Software and hardware Program/ Project management Project planning and estimation Project initiation Project manage ment Project control and reporting Project assuranc e Supplier management Vendor managem ent Procurement and supply distribution License management IT training Fonte: KPMG Consulting Framework I principali processi IT: ruoli e responsabilità © Dario Russo 2011 Master “Audit e Governance nell’ICT” I principali processi IT: ruoli e responsabilità © Dario Russo 2011 Riferimenti teorici (1) Master “Audit e Governance nell’ICT” 11 processi 1. Gestione della domanda 2. Relazioni con gli utenti (CRM) 3. Gestione infrastrutture 4. Gestione SLA 5. Architettura tecnica (Enterprise Architecture) 6. Sviluppo soluzioni software 7. Gestione delle reti e dei sistemi di telecomunicazione 8. Supporto strumenti individuali 9. IT Procurement 10.Ricerca 11.Gestione sicurezza I principali processi IT: ruoli e responsabilità © Dario Russo 2011 Master “Audit e Governance nell’ICT” COBIT ITIL 11 processi Architettura tecnica Ricerca Architettura tecnica Ricerca Architettura tecnica Ricerca Gestione della domanda Relazioni con gli utenti assente Gestione della domanda Relazioni con gli utenti assente Gestione della domanda Relazioni con gli utenti Gestione sicurezza Sviluppo soluzioni SW Define a Strategic IT Plan and direction Determine Technological Direction Define the IT Processes, Organization and Relationships Manage the IT Investment Financial Management Communicate Management Aims and Direction Manage IT Human Resources Manage Quality Assess and Manage IT Risks Manage Projects Identify Auto mated Solutions Acquire and Maintain Application Software Acquire and Maintain Technology Infrastructure Enable Operation and Use Procure IT Resources Manage Changes IT Procurement Gestione infrastrutture Gestione delle reti e dei sistemi di telecomunicazione Sviluppo soluzioni SW Gestione infrastrutture Service level management Gestione SLA Gestione delle reti e dei sistemi di telecomunicazione Gestione infrastrutture Gestione SLA Gestione delle reti e dei sistemi di telecomunicazione Gestione infrastrutture Gestione infrastrutture Gestione delle reti e dei sistemi di telecomunicazione Gestione sicurezza Gestione delle reti e dei sistemi di telecomunicazione assente Gestione della domanda Relazioni con gli utenti Gestione infrastrutture Gestione delle reti e dei sistemi di telecomunicazione Gestione infrastrutture Gestione infrastrutture Gestione delle reti e dei sistemi di telecomunicazione Gestione infrastrutture Gestione delle reti e dei sistemi di telecomunicazione Gestione infrastrutture Gestione delle reti e dei sistemi di telecomunicazione Change Management Install and Accredit Solutions and Changes Release Management Define and Manage Service Levels Service Level Management Manage Third-party Services Service Level Management Manage Performance and Capacity Capacity Management Ensure Continuous Service Continuity Management Ensure Systems Security Identify and Allocate Costs Financial Management Educate and Train Users Manage Service Desk and Incidents Service Desk Management Manage the Configuration Configuration Management Manage Problems Manage Data Manage the Physical Environment Manage Operations Incident & Problem Management Configuration Management Service Desk Management Change Management Release Management Service Level Management Availability Management Capacity Management Continuity Management Monitor and Evaluate IT Processes Monitor and Evaluate Internal Control Ensure Regulatory Compliance Provide IT Governance Manage IT investments Manage IT HR Sviluppo soluzioni SW Supporto strumenti individuali ITIL COBIT Riferimenti teorici (1) Define the Information Architecture 11 11PROCESSI PROCESSI Identify and allocate costs Gestione infrastrutture Gestione delle reti e dei sistemi di telecomunicazione Gestione SLA Gestione della domanda Relazioni con gli utenti Gestione SLA Gestione della domanda Relazioni con gli utenti Gestione SLA Gestione della sicurezza assente Provide IT Governance I principali processi IT: ruoli e responsabilità © Dario Russo 2011 Riferimenti teorici (2) Master “Audit e Governance nell’ICT” Matrici RACI RACI Definitions RACI Definition What to Ask Responsible = R The roles and/or groups that will perform the activity — Executer Who does the work (one person or group, or several)? Accountable = A The roles and/or groups that must ensure the activity is done — Overseer Who is accountable, has authority and can delegate? (This is usually one group.) Consulted = C The roles and/or groups from which input is required before the activity is executed or completed Who should be involved in the work before deciding? Informed = I The roles and/or groups to which information or Who should be told about this work or these results must be reported after the activity is done results? Source: Gartner (February 2008) [ROB01] I principali processi IT: ruoli e responsabilità © Dario Russo 2011 Matrici RACI 1.3 1.4 1.5 1.6 1.7 2.1 2.2 2.3 2.4 2.5 Interbank Automation Sw development 1 institutional Sw development 2 Internal End User Solution Division Architecture system and security IT procurement Accounting Systems Support End User Support & Quality Of Service Systems & Applications Management 4. Area Secretariat 1.2 Planning 2. IT Operations, Support and Infrastructure Department 1.1 1. IT Innovation and Development Department 3. IT Area Support Unit (esempio) Client managers Riferimenti teorici (2) Master “Audit e Governance nell’ICT” Demand management R C C C C C I C I C C I CRM R1 C I I C I I R2 I ICT Operations management C C C R Service level management C I C I I R C Enterprise Architecture C C I C C C C I C C C R I 3 4 5 Development of ICT solutions R I R R C R I C Network management I C C I R Individual device support C I R C I C C IT Procurement C C C C C C R C C C C I I Research and Development C C C C C C C C C R C 6 7 8 Security and Risk Management C I C C C R I C R R I Notes: 1 – for the portfolio 2- for the day-by-day service 3 – for the institutional application 4 – for the internal application 5 –for the infrastructures 6 – for the guidelines and operative manuals 7 – for the security administration 8 – for the policies and risk assessment methodology I principali processi IT: ruoli e responsabilità © Dario Russo 2011 Riferimenti teorici (2) Master “Audit e Governance nell’ICT” Matrici RACI vs. organigramma Report line / lines of CIO Committee, Committee, support staff UPPER LAYERS: TOP MANAGEMENT & BOARD FIRST LAYER: IT FUNCTION MANAGEMENT (CIO) Department SECOND LAYER: IT DEPARTMENTS Division THIRD LAYER: IT DIVISIONS SubSub-units LOWER LAYERS I principali processi IT: ruoli e responsabilità © Dario Russo 2011 Riferimenti teorici (2) Master “Audit e Governance nell’ICT” Matrici RACI vs. organigramma Responsible Consulted Informed Accountable/approver CIO dept division DEMAND MANAGEMENT I principali processi IT: ruoli e responsabilità © Dario Russo 2011 Riferimenti teorici (3) Master “Audit e Governance nell’ICT” The Meyer’s Structural Cybernetics theory Each individual has a single functional responsibility. This is based on the principle that one person cannot be expert in more than one thing at a time. Only one unit offers a given product or service; that is, there is no internal competition for services. Units responsible for daily operations are clearly separate from those working with new technologies. Introducing innovation and maintaining reliable operations should be in different units. Technologists Service Bureaus Architect Consultants “Rainbow” I principali processi IT: ruoli e responsabilità © Dario Russo 2011 Riferimenti teorici (3) Master “Audit e Governance nell’ICT” The Meyer’s Structural Cybernetics theory (un esempio) Technologists Service Bureaus Architects Consultants CI O dept other division Banca d’Italia IT Oper ations, Suppo rt an d I nfrast ructur e Dep artment IT In novatio n and Development Dep artmen t Client Managers IT Area Support Uni t Administrative Secretariat Client managers Planning Divis ion Interbank Automation Division Sw dev elopment Divisi on 1 (ins tituti onal) Sw developm ent Division 2 (internal) End User S olution Divisi on Archi tecture sy stems and security Div ision IT procurement Divis ion Ac counti ng Divis ion Sys tems S upport Divis ion End User S upport & Quality Of Service Di vision S yst ems & Applications Mgt Div ision I principali processi IT: ruoli e responsabilità © Dario Russo 2011 Master “Audit e Governance nell’ICT” Casi concreti Come “leggere” i risultati I principali processi IT: ruoli e responsabilità © Dario Russo 2011 Master “Audit e Governance nell’ICT” Casi concreti: come leggere i risultati (1) La concentrazione in una unità delle responsabilità di molti processi 11 11PROCESSI PROCESSI Banca d’Italia Client Managers IT Oper ations, Suppo rt an d I nfrast ructur e Dep artment IT In novatio n and Development Dep artmen t IT Area Support Uni t Planning Division Interbank Automation Division Sw development Divisi on 1 (instituti onal) Sw developm ent Division 2 (internal) End User S olution Divisi on Archi tecture systems and security Division IT procurement Division Accounti ng Division Systems S upport Division End User S upport & Quality Of Service Di vision Admi nistrative Secretariat S yst ems & Applications Mgt Division La distribuzione in molte unità delle responsabilità su un medesimo processo I principali processi IT: ruoli e responsabilità © Dario Russo 2011 Master “Audit e Governance nell’ICT” Casi concreti: come leggere i risultati (2) 11 11PROCESSI PROCESSI Processi Gestione sicurezza Ricerca IT Procurement Supporto strumenti indiv. Gest. reti e sistemi TLC Sviluppo soluzioni sw Architettura tecnica Gestione SLA Gestione infrastrutture Relazioni con gli utenti Gestione della domanda Funzione IT Struttura di gestione Sotto-struttura 1 Sotto-struttura 2 Sotto-struttura 3 Sotto-struttura 4 R R R R R R R R R R R R R I I R R R R R R I I I I R Struttura di sviluppo software Sotto-struttura 1 Sotto-struttura 2 R I I Struttura di pianificazione e Procurement R I R R I R R Fonte: dati esemplificativi ispirati a casi reali I principali processi IT: ruoli e responsabilità © Dario Russo 2011 Master “Audit e Governance nell’ICT” La mappa delle aree critiche e di eccellenza La mappa delle aree critiche e di eccellenza © Dario Russo 2011 Master “Audit e Governance nell’ICT” La mappa delle aree critiche e di eccellenza Rilevazione qualità dei servizi IT processo attività Struttura organizzativa processi critici IT governance aree di indagine (analisi RACI) Requisiti utente 1. Demand management / gestione della domanda Gestione del rischio Fattibilità Processo innovazione Catalogo dei servizi Progettualità (infrastrutture) 2. Planning / pianificazione 3. Gestione progetti Gestione della domanda Ricerca Architettura tecnica Gestione della domanda Architettura tecnica Sviluppo soluzioni sw Gestione priorità Gestione del portafoglio (piano) dei progetti Gestione della domanda Progettazione funzionale Sviluppo soluzioni sw Project management Sviluppo soluzioni sw Processo di realizzazione test e collaudi formazione Servizio esercizio applicativi erogazione dei servizi IT Gestione della domanda Allineamento strategico dell'IT al business (server e rete - incluso SLA) Sviluppo soluzioni sw Valore aggiunto dell'automazione Contesto, struttura organizzativa e processi Allineamento strategico dell'IT al business Valore aggiunto dell'automazione Contesto, struttura organizzativa e processi Allineamento strategico dell'IT al business Valore aggiunto dell'automazione Allineamento strategico dell'IT al business Valore aggiunto dell'automazione Valore aggiunto dell'automazione Allineamento strategico dell'IT al business Gestione SLA Gestione del rischio Gestione della risorsa informatica Gestione della risorsa informatica Gestione della performance Valore aggiunto dell'automazione 5. Customer service Postazioni di lavoro e dotazioni individuali Help desk e assistenza utenti negli interventi 6. Customer relationship AREE CRITICHE Gestione del rischio Gestione infrastrutture Gestione SLA Gestione reti Gestione sicurezza 4. Esercizio Performance management Allineamento strategico dell'IT al business Valore aggiunto dell'automazione Contesto, struttura organizzativa e processi Supporto strumenti individuali Gestione della risorsa informatica Gestione infrastrutture Gestione della risorsa informatica Relazioni con gli utenti Allineamento strategico dell'IT al business AREE DI ECCELLENZA La mappa delle aree critiche e di eccellenza © Dario Russo 2011 Master “Audit e Governance nell’ICT” La mappa delle aree critiche e di eccellenza Struttura organizzativa Rilevazione qualità dei servizi IT processo attività IT governance aree di indagine processi critici (analisi RACI) Requisiti utente 1. Demand management / gestione della domanda Gestione della domanda Gestione del rischio Fattibilità Gestione della domanda Ricerca Architettura tecnica Gestione della domanda Architettura tecnica Sviluppo soluzioni sw Processo innovazione Catalogo dei servizi Progettualità (infrastrutture) 2. Planning / pianificazione 3. Gestione progetti Gestione priorità Gestione del portafoglio (piano) dei progetti Gestione della domanda Progettazione funzionale Sviluppo soluzioni sw Project management Sviluppo soluzioni sw Processo di 1. Demand realizzazione test e management / collaudi formazione Servizio esercizio applicativi gestione della domanda erogazione dei servizi IT Sviluppo soluzioni sw Gestione infrastrutture Gestione SLA Gestione reti Gestione sicurezza (server e rete - incluso SLA) 4. Esercizio Allineamento strategico dell'IT al business Performance management Gestione SLA Allineamento strategico dell'IT al business Valore aggiunto dell'automazione Contesto, struttura organizzativa e processi Valore aggiunto dell'automazione Contesto, struttura organizzativa e processi Allineamento strategico dell'IT al business Valore aggiunto dell'automazione Contesto, struttura organizzativa e processi Allineamento strategico dell'IT al business Valore aggiunto dell'automazione Allineamento strategico dell'IT al business Valore aggiunto dell'automazione Valore aggiunto dell'automazione Allineamento strategico dell'IT al business Requisiti utente Gestione del rischio Gestione del rischio Gestione del rischio Fattibilità Gestione della domanda Processo innovazione Ricerca Architettura tecnica Gestione della risorsa informatica Gestione della risorsa informatica Gestione della performance Valore aggiunto dell'automazione 5. Customer service Postazioni di lavoro e dotazioni individuali Help desk e assistenza utenti negli interventi 6. Customer relationship Gestione della domanda Supporto strumenti individuali Gestione della risorsa informatica Gestione infrastrutture Gestione della risorsa informatica Relazioni con gli utenti Allineamento strategico dell'IT al business Allineamento strategico dell'IT al business Qualità dei servizi Struttura organizz. Allineamento strategico dell'IT al business Valore aggiunto dell'automazione Contesto, struttura organizzativa e processi Governance La mappa delle aree critiche e di eccellenza © Dario Russo 2011 Master “Audit e Governance nell’ICT” La mappa delle aree critiche e di eccellenza Struttura organizzativa Rilevazione qualità dei servizi IT processo attività IT governance aree di indagine processi critici ( analisi RACI) Requisiti utente 1. Demand management / gestione della domanda Gestione della domanda Allineamento strategico dell'IT al business Gestione del rischio Fattibilità Gestione della domanda Ricerca Architettura tecnica Gestione della domanda Architettura tecnica Sviluppo soluzioni sw Processo innovazione Allineamento strategico dell'IT al business Valore aggiunto dell'automazione Contesto, struttura organizzativa e processi Progettazione funzionale 3. Gestione progetti Catalogo dei servizi Progettualità (infrastrutture) 2. Planning / pianificazione 3. Gestione progetti Project management Contesto, struttura organizzativa e processi Allineamento strategico dell'IT al business Valore aggiunto dell'automazione Contesto, struttura organizzativa e processi Allineamento strategico dell'IT al business Valore aggiunto dell'automazione Allineamento strategico dell'IT al business Valore aggiunto dell'automazione Valore aggiunto dell'automazione Allineamento strategico dell'IT al business Processo di realizzazione test e collaudi formazione Gestione priorità Gestione del portafoglio (piano) dei progetti Gestione della domanda Progettazione funzionale Sviluppo soluzioni sw Project management Sviluppo soluzioni sw Processo di realizzazione test e collaudi formazione Servizio esercizio applicativi erogazione dei servizi IT Valore aggiunto dell'automazione Sviluppo soluzioni sw Qualità dei servizi Sviluppo soluzioni sw Sviluppo soluzioni sw Sviluppo soluzioni sw Allineamento strategico dell'IT al business Valore aggiunto dell'automazione Valore aggiunto dell'automazione Allineamento strategico dell'IT al business Gestione del rischio Struttura organizz. Governance Gestione del rischio Gestione infrastrutture Gestione SLA Gestione reti Gestione sicurezza (server e rete - incluso SLA) 4. Esercizio Performance management Gestione SLA Gestione del rischio Gestione della risorsa informatica Gestione della risorsa informatica Gestione della performance Valore aggiunto dell'automazione 5. Customer service Postazioni di lavoro e dotazioni individuali Help desk e assistenza utenti negli interventi 6. Customer relationship Supporto strumenti individuali Gestione della risorsa informatica Gestione infrastrutture Gestione della risorsa informatica Relazioni con gli utenti Allineamento strategico dell'IT al business La mappa delle aree critiche e di eccellenza © Dario Russo 2011 Master “Audit e Governance nell’ICT” Conclusioni Conclusioni © Dario Russo 2011 Master “Audit e Governance nell’ICT” Conclusioni ! gli errori di valutazione commessi nella fase iniziale si ribaltano nella progettazione dei nuovi assetti organizzativi ! - elementi sia oggettivi che soggettivi - integrazione dei risultati - esperienza - mix di teoria e pragmatismo Conclusioni © Dario Russo 2011 Master “Audit e Governance nell’ICT” Grazie per l’attenzione [email protected] © Dario Russo 2011