Processi di IT Governance, qualità dei servizi IT e struttura

Master “Audit e Governance nell’ICT”
Processi di IT Governance, qualità dei
servizi IT e struttura organizzativa
della funzione informatica: un modello
integrato di indagine
Roma 31 marzo 2011
Dario Russo
Master “Audit e Governance nell’ICT”
Programma del seminario:
- Il modello di analisi
- Gli ambiti di utilizzo
- La maturità della governance
- esercitazione
- La qualità dei servizi
- I principali processi IT: ruoli e responsabilità
- La mappa delle aree critiche e di eccellenze
- Conclusioni
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
MATURITA’ DELLA
GOVERNANCE
QUALITA’
DEI SERVIZI
EQUILIBRIO
ORGANIZZATIVO
Il modello di analisi
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
Ambiti di utilizzo
Analisi dei processi
Riorganizzazioni
Autoassessment
Attività di consulenza
Ricerca metodologica
Gli ambiti di utilizzo
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
La maturità della Governance
La maturità della Governance
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
Riferimenti teorici (1)
“L’IT Governance, o governo dei sistemi informativi, e’ “quella parte della più ampia
corporate governance che si occupa della gestione dei sistemi IT in azienda e delle
decisioni a essa correlate; le principali finalità dell’IT Governance sono l’allineamento
dei sistemi agli obiettivi di business e la gestione dei rischi informatici”.
(Wikipedia)
"L'IT governance è responsabilità diretta del consiglio di amministrazione e del
management esecutivo. È parte integrante della governance aziendale ed è costituita
dalla direzione, dalla struttura organizzativa e dai processi in grado di assicurare che
l'IT sostenga ed estenda gli obiettivi e le strategie dell'organizzazione.“
(IT Governance Institute)
La maturità della Governance
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
Value delivery and strategic alignment are often combined in professional and academic literature.
La maturità della Governance
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
Riferimenti teorici (2)
Weiss – Wendham
Dominî IT (ambiti di decisione)
Policies dell’IT
Strategie evolutive dell’infrastruttura IT
Architettura IT
Investimenti IT e priorità
+ Esigenze di sviluppo di soluzioni IT per il business
La maturità della Governance
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
Riferimenti teorici (3)
Archetypes
Stili di Governance
Business
Business Monarchy
Monarchy
IT
ITMonarchy
Monarchy
Feudal
Feudal
Federal
Federal
Anarchy
Anarchy
Leadership
Leadership del
delbusiness
business
Leadership
Leadership dell’IT
dell’IT
Duopolio
Duopolio
Anarchia
Anarchia
Fonte: Weiss – Wendham
La maturità della Governance
© Dario Russo 2011
Riferimenti teorici (4)
Master “Audit e Governance nell’ICT”
Fonte: Weiss – Wendham
La maturità della Governance
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
Riferimenti teorici (5)
I processi di IT governance e la misura della loro maturità
1.
2.
3.
4.
5.
6.
Contesto, struttura organizzativa e processi (incluso il rapporto tra il business e l’IT)
Allineamento strategico dell'IT al business
Valore aggiunto dell'automazione (inclusa la gestione del portafoglio e dei progetti IT)
Gestione del Rischio
Gestione della risorsa informatica (inclusa l’esternalizzazione)
Gestione della performance
Policies dell’IT
Strategie evolutive dell’infrastruttura IT
Architettura IT
Investimenti IT e priorità
Esigenze di sviluppo di soluzioni IT per il business
La maturità della Governance
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
Riferimenti teorici (6)
Maturity scale
Fonte: Board Briefing on IT governance, IT Governance Institute
La maturità della Governance
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
Uno strumento di indagine
IT Governance self assessment tool
La maturità della Governance
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
IT Governance self assessment tool
IT Governance Healthcheck Tool
Questionnaire
Name of the institution: <Name>
Size of the institution: <Number of staff>
Size of IT entity/department: <Number of internal IT staff>
Number of external staff: <Number of external IT staff>
Number of operational applications: <Number of applications>
Number of ongoing projects: <Number of projects>
Date of assessment:
Performed by:
Overall IT budget per year: <IT budget>
Indicate with 'X' or 'x' the best fitting answer to the statements listed below
Ref
IT Governance framework, organisational structure and
processes
Yes /
Always
To a large
extent
To some
extent
Rarely
Very rarely No / Never
Don't
Know
Yes /
Always
To a large
extent
To some
extent
Rarely
Very rarely No / Never
Don't
Know
1 There are well established and fairly stable IT governance mechanisms in the institution.
2
The committees that decide upon important IT related decisions have a stable composition and their
work is well known and accepted.
3
The committees that decide upon important IT related decisions consists equally of both
management responsible for the business and management responsible for IT
Mechanisms to make IT decisions at institutional level (i.e. at the level of the whole Institution)
4 work adequately for the institution, e.g. structured processes to make decisions, set up priorities,
possibility to anticipate duration, not long delays before decisions on exceptions are made, etc.
5
6
Mechanisms to make IT decisions at local level (e.g. at level of a substructure of the institution,
Division, Directorate) work adequately for the institution, e.g. structured processes to make
decisions, set up priorities, possibility to anticipate duration, not long delays before decisions on
exceptions are made, etc.
Senior management (i.e. the highest level of management) can explain IT Governance; they can
describe the concept, or they can give an accurate description of how IT Governance is organised in
the institution; they know who decides on important IT related decisions, and how these decisions
are made.
Senior management is engaged in IT related decisions and supports IT Governance through their
7 involvement in the governance structures; they are active members of committees, support and
enforce governance structures and standards, deal with non-followers, etc.…
8
Middle management (e.g. Heads of unit level) can explain IT Governance; they can describe the
concept, or they can give an accurate description of how IT Governance is organised in the
institution; they know who decides on important IT related decisions, and how these decisions are
made.
Middle management is engaged in IT related decisions and supports IT Governance through their
9 involvement in the governance structures; they are active members of committees, support and
enforce governance structures and standards, deal with non-followers, etc. …
There is an effective communication between the different hierarchical levels (between Senior
10 Management, Middle Management, Operational Management and subordinates), e.g. strategies,
decisions, risks, opportunities, etc. are clearly communicated
11
There is an entity in the institution (either at local or institutional level), that is dedicated to the
support of the IT Governance mechanisms and can be contacted for question, suggestions, etc.
Business and IT relation
12 The business understands how IT operates or what IT can and cannot do within a certain timeframe
There is common understanding between business and IT about:
13 - the business needs for IT,
- the IT capabilities for the business.
14
Relationships between business and IT are co-operative, e.g. work together in the pursuit of
achieving broader business goals
15 There is a clear set of communication channels for IT to communicate to the organization
Ref
Strategic Alignment
The business strategy at institutional level is clearly defined, e.g. operational excellence, innovation,
16 stakeholder intimacy, etc. and this strategy and its implications are well communicated to the IT
entity/department.
La maturità della Governance
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
IT Governance self assessment tool
Don't know
Not aware of such process or practice/ Not able to answer.
No/ Never
Complete lack of any recognisable processes, practices, standards, structures, etc. No recognition that there is an issue to be
addressed.
Very rarely
There are only attempts to apply ad hoc approaches or individual or case-by-case implementations. However, there is a recognition
that there are issues to address.
Rarely
Similar practices occur in some areas across the organisation, however there are no standardised processes, established standards or
structures, etc.
To some
extent
Processes, practices, standards, structures, etc. are formally established, documented, communicated and mandated to be followed.
However they are still lacking sophistication and deviations are likely to occur.
To large
extent
Compliance with established processes and standards are monitored and measured. Actions are taken where inefficiencies occur.
Processes, standards, structures, etc. are under constant improvement and good practices are identified and communicated.
Yes/
Always
Processes, standards, structures, etc. are systematically applied, have been refined to a level of good practice and are continuously
improved on the basis of the results obtained.
La maturità della Governance
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
gestione della performance
gestione della risorsa informatica
contesto, struttura organizzativa e processi
allineam. strategico dell'IT al business
valore aggiunto dell'automazione
gestione del rischio
COMPLESSIVO
MIN
MAX
media generale
media IT
8
7
6
5
4
Business
3
2
Aree di indagine
1
IT
media Business
Casi concreti
Come leggere i risultati
2,38 2,38 2,63 3,88 3,00 0,50 2,75 3,13 2,82 2,35 2,58 3,88 0,50
2,71 2,71 1,57 2,57 3,14 2,21 2,79 2,79 2,39 2,73 2,56 3,14 1,57
2,73 2,60 1,86 3,07 2,73 2,00 1,67 2,67 2,57 2,27 2,42 3,07 1,67
2,64 2,64 1,20 3,09 3,18 1,91 1,73 2,64 2,39 2,37 2,38 3,18 1,20
0,15 2,81 2,60 3,71 3,00 1,76 1,19 3,10 2,32 2,26 2,29 3,71 0,15
1,82 1,82 2,36 3,27 2,82 1,18 0,27 2,36 2,32 1,66 1,99 3,27 0,27
2,53 2,49 2,04 3,27 2,98 1,59 1,73 2,78 2,58 2,27 2,43 3,27 1,59
La maturità della Governance
© Dario Russo 2011
Sì , Sem pre
In gran
mis ura
In part e
Di rado
Molto di rad o
No, m ai
Non s o
Casi concreti
Come leggere i risultati
Master “Audit e Governance nell’ICT”
0
0
7
1
0
0
0
L'azienda si avvale di processi di IT governance ben definiti e stabili
0
0
5
3
0
0
0
Gli organismi che guidano importanti decisioni informatiche hanno una composizione stabile e il loro lavoro è
ben conosciuto ed accettato
0
3
3
0
1
0
1
Tali organismi consistono in misura eguale di responsabili delle linee di business e di responsabili della
funzione IT
0
0
5
1
2
0
0
I processi decisionali IT a livello istituzionale funzionano bene, sono ben strutturati, le priorità sono chiare, i
cambiamenti ai calendari di lavoro e le eccezioni si decidono rapidamente, ecc.
0
0
4
3
1
0
0
Anche i processi decisionali IT a livello divisionale funzionano bene, sono ben strutturati e si integrano bene, le
priorità sono chiare, i cambiamenti ai calendari di lavoro e le eccezioni si decidono rapidamente, ecc.
0
0
3
2
3
0
0
I Top manager hanno familiarità con la IT governance; possono spiegarne il funzionamento e come essa è
organizzata; sanno chi guida importanti decisioni IT come queste decisioni vengono prese.
0
0
1
2
5
0
0
0
1
1
3
2
0
1
0
0
1
2
4
0
1
I Responsabili delle Direzioni sono impegnati in decisioni che riguardano l'informatica e sostengono la IT
governance con il loro coinvolgimento personale; sono membri attivi di comitati informatici, sostengono e
rafforzano le strutture e gli standard della IT governance, ecc.
0
1
1
4
2
0
0
Esistono canali efficaci di comunicazione tra i diversi livelli gerarchici - tra Top manager, Responsabili delle
Direzioni, Capi Unità e il loro personale. Strategie, decisioni, rischi, opportunità, ecc. sono esposti chiaramente.
0
0
3
3
1
1
0
Esiste un'entità in azienda dedicata al sostegno della IT governance e facilmente raggiungibile per fornire
spiegazioni, raccogliere idee, ecc..
IT governance: Contesto, Struttura Organizzativa e Processi
I Top manager sono coinvolti nelle decisioni IT e sostengono l’IT governance tramite il loro diretto
coinvolgimento nei meccanismi; sono membri attivi dei comitati informatici, sostengono e rafforzano le
politiche informatiche, ecc.
I Responsabili delle Direzioni sanno spiegare la IT governance; possono descriverne i concetti, o fornire
un'accurata descrizione del suo funzionamento; sanno chi prende le decisioni informatiche importanti, e come
queste decisioni vengono formulate.
La maturità della Governance
© Dario Russo 2011
Casi concreti
Come leggere i risultati
Master “Audit e Governance nell’ICT”
IT Gove rnance
fr am e w ork ,
or ganis ational str uctur e
and proce ss es
5,00
4,00
Pe rfor m ance
Managem ent
3,00
Str ategic Alignm e nt
2,00
1,00
0,00
Re sour ce Managem ent
Value Delive ry
Risk Managem ent
La maturità della Governance
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
Casi concreti
Come leggere i risultati
Subject areas
IT Governance framework, organisational structure and processes
Risk management
Value delivery
Resource management
Strategic alignment
Performance management
Rangeofofvalues:
values: 0/5
Range
0/5
avg
3,90
3,90
3,82
3,66
3,63
3,63
max
min
5,00
5,00
4,86
4,79
5,00
5,00
3,47
2,55
3,19
3,14
2,91
2,50
La maturità della Governance
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
Casi concreti
Come leggere i risultati
IT Governance Healthcheck Tool
Results
Organisational details
Overall maturity assessment
Name of the institution Bank of Japan
Size of the institution
0
1
4,94
2
3
4
5
4804, which is the number of
permanent internal staffs as of the end
of March 2010.
Size of IT entity/department 415 (as of the end of July 2010)
Initial/ Ad hoc
Repeatable but
intuitive
Defined
processes
Managed and
measurable
Optimized
(as of the end of June 2010)
Number of external staff: 1063
Optimised
Number of operational applications 67
Number of ongoing projects 174 (as of the end of June 2010)
Approximately JPY 31billion for Fiscal
Overall IT budget per year 2010
Processes have been refined to a level of good practice, based on the results of
continuous improvement and maturity modelling with other organisations. IT is
used in an integrated way to automate the workflow, providing tools to improve
quality and effectiveness, making the organisation quick to adapt.
IT Governance framework,
organisational structure and
processes
5,00
4,00
Maturity assessment per subject area
Performance Management
IT Governance framework,
organisational structure and processes
5,00
Strategic Alignment
5,00
3,00
2,00
Strategic Alignment
1,00
0,00
Value Delivery
4,86
Risk Management
5,00
Resource Management
4,79
Performance Management
5,00
Date of assessment:
Performed by:
8th September 2010
(Mr.) Naoya OKADA
Resource Management
Value Delivery
Risk M anagement
This is a customized copy of the IT Governance Healthcheck tool v 0.6 developed by the European Commission - Directorate General for Informatics (DIGIT)
La maturità della Governance
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
La qualità dei servizi
La qualità dei servizi
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
Riferimenti teorici
Qualità e soddisfazione del Cliente
Qualità attesa dal
cliente
Errore di
rilevazione
Errore di
soddisfazione
Qualità progettata
dall’
dall’azienda
Errore di
non conformità
Qualità offerta
dall’azienda
Errore di
comunicazione
Qualità percepita
Qualità
dal cliente
La qualità dei servizi
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
Uno strumento di indagine
INTERVISTA SULLA QUALITA’ PERCEPITA
Dati intervistato
nome _______________ struttura: __________________________
data intervista: _______ intervistatore: _________ durata:_______
Scala_ 0/2
attività
importanza
fattore
2. Planning /
pianificazione
3. Gestione
progetti
erogazione dei servizi IT
Requisiti utente
Fattibilità
Processo
innovazione
Catalogo dei
servizi (infrastrutture)
Gestione priorità
Gestione del
portafoglio
(piano) dei
progetti
Progettazione
funzionale
Project
management
Processo di
realizzazione test e
collaudi
formazione
Servizio esercizio
applicativi
Q
ue
st
io
na
rio
Progettualità
1. Demand
management /
gestione della
domanda
4. Esercizio
(server e rete - incluso SLA)
Performance
management
Postazioni di
lavoro e dotazioni
individuali
5. Customer service
Help desk e
assistenza utenti
negli interventi
6. Customer relationship
Valutazione/giudizio
Scala 0/5
0 – assente
1 - molto inferiore alle esigenze
2 - inferiore alle esigenze
3 - in linea con le esigenze
4 - superiore alle esigenze
5 - molto superiore alle esigenze
pe
ri
nt
er
vi
st
e
processo
0 - poco
importante
1- importante
2- vincolante
qualità
percepita
note
Area progettuale
1. “Rilevazione e gestione della domanda”
2. “Pianificazione e gestione del portafoglio
progetti”
3. “Gestione dei progetti”
Area gestionale
1. “Esercizio”
2. “Gestione del servizio all’utente”
3. “Gestione delle relazioni con l’utente”
La qualità dei servizi
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
Target delle interviste
Business Manager
IT Manager
La qualità dei servizi
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
Casi concreti: come leggere i risultati
Importanza
(scala 0-2)
Qualità percepita
(scala 0-5)
Requisiti utente
1,33
2,00
Fattibilità
1,00
2,00
Processo innovazione
1,44
1,67
Catalogo dei servizi (catalogo delle applicazioni)
0,89
1,30
Gestione priorità
2,00
1,10
Gestione del portafoglio (piano) dei progetti
1,44
1,50
Progettazione funzionale
1,22
2,00
Project management
0,89
2,10
processi
Processo di realizzazione test, collaudi formazione
1,25
1,78
Servizio esercizio applicativi
Performance management
1,44
0,75
1,90
1,17
Postazioni di lavoro e dotazioni individuali
0,89
2,78
Help desk e assistenza utenti
1,33
2,10
Customer relationship
1,22
2,30
MEDIA DELLE RISPOSTE
1,84
Fonte: dati esemplificativi ispirati a casi reali
La qualità dei servizi
© Dario Russo 2011
Rapporto importanza/qualità
(Manager IT)
5,00
4,50
4,00
3,50
livello di qualità in linea con le esigenze
Qualità percepita
Casi concreti: come leggere i risultati
Master “Audit e Governance nell’ICT”
3,00
2,50
2,00
1,50
1,00
0,50
processi importanti o vincolanti
-
0,20
0,40
0,60
0,80
1,00
1,20
1,40
1,60
1,80
2,00
Importanza
La qualità dei servizi
© Dario Russo 2011
Casi concreti: come leggere i risultati
Master “Audit e Governance nell’ICT”
La qualità dei servizi
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
Casi concreti: come leggere i risultati
Gestione priorità
Catalogo dei servizi (catalogo delle applicazioni)
Gestione del portafoglio (piano) dei progetti
Processo innovazione
Performance management
Help desk e assistenza utenti
Fattibilità
Servizio esercizio applicativi (server e rete - incluso SLA)
Customer relationship
Requisiti utente
Processo di realizzazione test e collaudi formazione
Project management
Progettazione funzionale
Postazioni di lavoro e dotazioni individuali
1,22
1,53
1,58
1,61
1,67
1,72
1,77
2,01
2,05
2,10
2,12
2,33
2,41
2,58
Fonte: dati esemplificativi ispirati a casi reali
La qualità dei servizi
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
I principali processi IT:
ruoli e responsabilità
I principali processi IT: ruoli e responsabilità
© Dario Russo 2011
Riferimenti teorici (1)
Master “Audit e Governance nell’ICT”
Which key functions to be investigated?
Benefits
Management
IT Governance
Corporate Control of IT
Prioritisation
Business and IT St rategy
Linkage
IT Architecture
(Information, Applications
and Technology)
Sourcing Strategy
Strategic plan
Standard setting
Organisation
management
IT Asset Management
Skills and resource
planning
Budgeting & forecasting
Financial reporting and
analysis
Communication
IT Performance
Management
Funding and recovery
Be nefits Management
Investment Appraisal
Sp onsorship
Bu siness Change Management
IT Education
IT Strategy
Solutions
d evelopment
Macro systems d esign
Detailed system design
Systems develop ment
Package
implementation
Implementation training
and documentation
Systems integration
Information
Management
Information Management
Data Protection
Intellectual property
Opportunity
Development
Service Management
Customer relationship
management
Service level management
Service reporting
Contract negotiation
Contract management
Maintenance & Change
management
Release planning
IT Change
Management
Applications
maintenance
Applications
performance tuning
Applications portfolio
management
Opportunity identification
Business analysis
Requirements definition
Solutions Selection
User testing and acceptance
Business / IS process
integration
Infrastructure
Operations
Computer operations
Telecoms operations
Capacity planning
Continuity
Configuration management
Availability management
Facility management
Operations testing and
acceptance
Risk Management
Security strategy, policy
formulation and compliance
Access/intrusion control
Virus control
Physical and environmental
control
Suppo rt
Incident management
Problem management
Software and hardware
Program/ Project
management
Project planning and
estimation
Project initiation
Project manage ment
Project control and
reporting
Project assuranc e
Supplier
management
Vendor managem ent
Procurement and supply
distribution
License management
IT training
Fonte: KPMG Consulting Framework
I principali processi IT: ruoli e responsabilità
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
I principali processi IT: ruoli e responsabilità
© Dario Russo 2011
Riferimenti teorici (1)
Master “Audit e Governance nell’ICT”
11 processi
1. Gestione della domanda
2. Relazioni con gli utenti (CRM)
3. Gestione infrastrutture
4. Gestione SLA
5. Architettura tecnica (Enterprise Architecture)
6. Sviluppo soluzioni software
7. Gestione delle reti e dei sistemi di telecomunicazione
8. Supporto strumenti individuali
9. IT Procurement
10.Ricerca
11.Gestione sicurezza
I principali processi IT: ruoli e responsabilità
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
COBIT
ITIL
11 processi
Architettura tecnica
Ricerca
Architettura tecnica
Ricerca
Architettura tecnica
Ricerca
Gestione della domanda
Relazioni con gli utenti
assente
Gestione della domanda
Relazioni con gli utenti
assente
Gestione della domanda
Relazioni con gli utenti
Gestione sicurezza
Sviluppo soluzioni SW
Define a Strategic IT Plan and direction
Determine Technological Direction
Define the IT Processes, Organization and Relationships
Manage the IT Investment
Financial Management
Communicate Management Aims and Direction
Manage IT Human Resources
Manage Quality
Assess and Manage IT Risks
Manage Projects
Identify Auto mated Solutions
Acquire and Maintain Application Software
Acquire and Maintain Technology Infrastructure
Enable Operation and Use
Procure IT Resources
Manage Changes
IT Procurement
Gestione infrastrutture
Gestione delle reti e dei sistemi di
telecomunicazione
Sviluppo soluzioni SW
Gestione infrastrutture
Service level management
Gestione SLA
Gestione delle reti e dei sistemi di
telecomunicazione
Gestione infrastrutture
Gestione SLA
Gestione delle reti e dei sistemi di
telecomunicazione
Gestione infrastrutture
Gestione infrastrutture
Gestione delle reti e dei sistemi di
telecomunicazione
Gestione sicurezza
Gestione delle reti e dei sistemi di
telecomunicazione
assente
Gestione della domanda
Relazioni con gli utenti
Gestione infrastrutture
Gestione delle reti e dei sistemi di
telecomunicazione
Gestione infrastrutture
Gestione infrastrutture
Gestione delle reti e dei sistemi di
telecomunicazione
Gestione infrastrutture
Gestione delle reti e dei sistemi di
telecomunicazione
Gestione infrastrutture
Gestione delle reti e dei sistemi di
telecomunicazione
Change Management
Install and Accredit Solutions and Changes
Release Management
Define and Manage Service Levels
Service Level Management
Manage Third-party Services
Service Level Management
Manage Performance and Capacity
Capacity Management
Ensure Continuous Service
Continuity Management
Ensure Systems Security
Identify and Allocate Costs
Financial Management
Educate and Train Users
Manage Service Desk and Incidents
Service Desk Management
Manage the Configuration
Configuration Management
Manage Problems
Manage Data
Manage the Physical Environment
Manage Operations
Incident & Problem Management
Configuration Management
Service Desk Management
Change Management
Release Management
Service Level Management
Availability Management
Capacity Management
Continuity Management
Monitor and Evaluate IT Processes
Monitor and Evaluate Internal Control
Ensure Regulatory Compliance
Provide IT Governance
Manage IT investments
Manage IT HR
Sviluppo soluzioni SW
Supporto strumenti individuali
ITIL
COBIT
Riferimenti teorici (1)
Define the Information Architecture
11
11PROCESSI
PROCESSI
Identify and allocate costs
Gestione infrastrutture
Gestione delle reti e dei sistemi di
telecomunicazione
Gestione SLA
Gestione della domanda
Relazioni con gli utenti
Gestione SLA
Gestione della domanda
Relazioni con gli utenti
Gestione SLA
Gestione della sicurezza
assente
Provide IT Governance
I principali processi IT: ruoli e responsabilità
© Dario Russo 2011
Riferimenti teorici (2)
Master “Audit e Governance nell’ICT”
Matrici RACI
RACI Definitions
RACI
Definition
What to Ask
Responsible = R
The roles and/or groups that will perform the
activity — Executer
Who does the work (one person or group, or
several)?
Accountable = A
The roles and/or groups that must ensure the
activity is done — Overseer
Who is accountable, has authority and can
delegate? (This is usually one group.)
Consulted = C
The roles and/or groups from which input is
required before the activity is executed or
completed
Who should be involved in the work before
deciding?
Informed = I
The roles and/or groups to which information or Who should be told about this work or these
results must be reported after the activity is done results?
Source: Gartner (February 2008) [ROB01]
I principali processi IT: ruoli e responsabilità
© Dario Russo 2011
Matrici RACI
1.3
1.4
1.5
1.6
1.7
2.1
2.2
2.3
2.4
2.5
Interbank Automation
Sw development 1 institutional
Sw development 2 Internal
End User Solution Division
Architecture system and security
IT procurement
Accounting
Systems Support
End User Support & Quality Of Service
Systems & Applications Management
4. Area Secretariat
1.2
Planning
2. IT Operations, Support
and Infrastructure
Department
1.1
1. IT Innovation and Development
Department
3. IT Area Support Unit
(esempio)
Client managers
Riferimenti teorici (2)
Master “Audit e Governance nell’ICT”
Demand management
R
C
C
C
C
C
I
C
I
C
C
I
CRM
R1
C
I
I
C
I
I
R2
I
ICT Operations management
C
C
C
R
Service level management
C
I
C
I
I
R
C
Enterprise Architecture
C
C
I
C
C
C
C
I
C
C
C
R
I
3
4
5
Development of ICT solutions
R
I
R
R
C
R
I
C
Network management
I
C
C
I
R
Individual device support
C
I
R
C
I
C
C
IT Procurement
C
C
C
C
C
C
R
C
C
C
C
I
I
Research and Development
C
C
C
C
C
C
C
C
C
R
C
6
7
8
Security and Risk Management
C
I
C
C
C
R
I
C
R
R
I
Notes:
1 – for the portfolio 2- for the day-by-day service
3 – for the institutional application 4 – for the internal application 5 –for the infrastructures
6 – for the guidelines and operative manuals 7 – for the security administration 8 – for the policies and risk assessment methodology
I principali processi IT: ruoli e responsabilità
© Dario Russo 2011
Riferimenti teorici (2)
Master “Audit e Governance nell’ICT”
Matrici RACI vs. organigramma
Report line
/ lines of CIO
Committee,
Committee,
support staff
UPPER LAYERS: TOP MANAGEMENT & BOARD
FIRST LAYER: IT FUNCTION MANAGEMENT (CIO)
Department
SECOND LAYER: IT DEPARTMENTS
Division
THIRD LAYER: IT DIVISIONS
SubSub-units
LOWER LAYERS
I principali processi IT: ruoli e responsabilità
© Dario Russo 2011
Riferimenti teorici (2)
Master “Audit e Governance nell’ICT”
Matrici RACI vs. organigramma
Responsible
Consulted
Informed
Accountable/approver
CIO
dept
division
DEMAND MANAGEMENT
I principali processi IT: ruoli e responsabilità
© Dario Russo 2011
Riferimenti teorici (3)
Master “Audit e Governance nell’ICT”
The Meyer’s Structural Cybernetics theory
Each individual has a single functional
responsibility. This is based on the
principle that one person cannot be
expert in more than one thing at a
time.
Only one unit offers a given product or
service; that is, there is no internal
competition for services.
Units responsible for daily operations
are clearly separate from those
working with new technologies.
Introducing innovation and
maintaining reliable operations should
be in different units.
Technologists
Service Bureaus
Architect
Consultants
“Rainbow”
I principali processi IT: ruoli e responsabilità
© Dario Russo 2011
Riferimenti teorici (3)
Master “Audit e Governance nell’ICT”
The Meyer’s Structural Cybernetics theory
(un esempio)
Technologists
Service Bureaus
Architects
Consultants
CI O
dept
other
division
Banca d’Italia
IT Oper ations,
Suppo rt an d
I nfrast ructur e
Dep artment
IT In novatio n and
Development
Dep artmen t
Client
Managers
IT Area
Support Uni t
Administrative
Secretariat
Client managers
Planning Divis ion
Interbank
Automation Division
Sw dev elopment
Divisi on 1
(ins tituti onal)
Sw developm ent
Division 2
(internal)
End User
S olution Divisi on
Archi tecture
sy stems and
security Div ision
IT procurement
Divis ion
Ac counti ng
Divis ion
Sys tems S upport
Divis ion
End User S upport
& Quality Of
Service Di vision
S yst ems &
Applications
Mgt Div ision
I principali processi IT: ruoli e responsabilità
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
Casi concreti
Come “leggere” i risultati
I principali processi IT: ruoli e responsabilità
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
Casi concreti: come leggere i risultati (1)
La concentrazione in una unità delle responsabilità di molti processi
11
11PROCESSI
PROCESSI
Banca d’Italia
Client
Managers
IT Oper ations,
Suppo rt an d
I nfrast ructur e
Dep artment
IT In novatio n and
Development
Dep artmen t
IT Area
Support Uni t
Planning Division
Interbank
Automation Division
Sw development
Divisi on 1
(instituti onal)
Sw developm ent
Division 2
(internal)
End User
S olution Divisi on
Archi tecture
systems and
security Division
IT procurement
Division
Accounti ng
Division
Systems S upport
Division
End User S upport
& Quality Of
Service Di vision
Admi nistrative
Secretariat
S yst ems &
Applications
Mgt Division
La distribuzione in molte unità delle responsabilità su un medesimo processo
I principali processi IT: ruoli e responsabilità
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
Casi concreti: come leggere i risultati (2)
11
11PROCESSI
PROCESSI
Processi
Gestione sicurezza
Ricerca
IT Procurement
Supporto strumenti indiv.
Gest. reti e sistemi TLC
Sviluppo soluzioni sw
Architettura tecnica
Gestione SLA
Gestione infrastrutture
Relazioni con gli utenti
Gestione della domanda
Funzione IT
Struttura di gestione
Sotto-struttura 1
Sotto-struttura 2
Sotto-struttura 3
Sotto-struttura 4
R
R
R
R
R
R
R
R
R
R
R
R
R
I
I
R
R
R
R
R
R
I
I
I
I
R
Struttura di sviluppo software
Sotto-struttura 1
Sotto-struttura 2
R
I
I
Struttura di pianificazione e Procurement
R
I
R
R
I
R
R
Fonte: dati esemplificativi ispirati a casi reali
I principali processi IT: ruoli e responsabilità
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
La mappa delle
aree critiche e di eccellenza
La mappa delle aree critiche e di eccellenza
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
La mappa delle aree critiche e di eccellenza
Rilevazione qualità dei servizi IT
processo
attività
Struttura
organizzativa
processi critici
IT governance
aree di indagine
(analisi RACI)
Requisiti utente
1. Demand
management /
gestione della
domanda
Gestione del rischio
Fattibilità
Processo innovazione
Catalogo dei servizi
Progettualità
(infrastrutture)
2. Planning /
pianificazione
3. Gestione
progetti
Gestione della domanda
Ricerca
Architettura tecnica
Gestione della domanda
Architettura tecnica
Sviluppo soluzioni sw
Gestione priorità
Gestione del portafoglio
(piano) dei progetti
Gestione della domanda
Progettazione
funzionale
Sviluppo soluzioni sw
Project management
Sviluppo soluzioni sw
Processo di
realizzazione test e
collaudi formazione
Servizio esercizio
applicativi
erogazione dei servizi IT
Gestione della domanda
Allineamento strategico
dell'IT al business
(server e rete - incluso SLA)
Sviluppo soluzioni sw
Valore aggiunto
dell'automazione
Contesto, struttura
organizzativa e processi
Allineamento strategico
dell'IT al business
Valore aggiunto
dell'automazione
Contesto, struttura
organizzativa e processi
Allineamento strategico
dell'IT al business
Valore aggiunto
dell'automazione
Allineamento strategico
dell'IT al business
Valore aggiunto
dell'automazione
Valore aggiunto
dell'automazione
Allineamento strategico
dell'IT al business
Gestione SLA
Gestione del rischio
Gestione della risorsa
informatica
Gestione della risorsa
informatica
Gestione della performance
Valore aggiunto
dell'automazione
5. Customer
service
Postazioni di lavoro e
dotazioni individuali
Help desk e assistenza
utenti negli interventi
6. Customer relationship
AREE CRITICHE
Gestione del rischio
Gestione infrastrutture
Gestione SLA
Gestione reti
Gestione sicurezza
4. Esercizio
Performance
management
Allineamento strategico
dell'IT al business
Valore aggiunto
dell'automazione
Contesto, struttura
organizzativa e processi
Supporto strumenti
individuali
Gestione della risorsa
informatica
Gestione infrastrutture
Gestione della risorsa
informatica
Relazioni con gli utenti
Allineamento strategico
dell'IT al business
AREE DI ECCELLENZA
La mappa delle aree critiche e di eccellenza
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
La mappa delle aree critiche e di eccellenza
Struttura
organizzativa
Rilevazione qualità dei servizi IT
processo
attività
IT governance
aree di indagine
processi critici
(analisi RACI)
Requisiti utente
1. Demand
management /
gestione della
domanda
Gestione della domanda
Gestione del rischio
Fattibilità
Gestione della domanda
Ricerca
Architettura tecnica
Gestione della domanda
Architettura tecnica
Sviluppo soluzioni sw
Processo innovazione
Catalogo dei servizi
Progettualità
(infrastrutture)
2. Planning /
pianificazione
3. Gestione
progetti
Gestione priorità
Gestione del portafoglio
(piano) dei progetti
Gestione della domanda
Progettazione
funzionale
Sviluppo soluzioni sw
Project management
Sviluppo soluzioni sw
Processo di 1. Demand
realizzazione test e
management /
collaudi formazione
Servizio esercizio
applicativi gestione della
domanda
erogazione dei servizi IT
Sviluppo soluzioni sw
Gestione infrastrutture
Gestione SLA
Gestione reti
Gestione sicurezza
(server e rete - incluso SLA)
4. Esercizio
Allineamento strategico
dell'IT al business
Performance
management
Gestione SLA
Allineamento strategico
dell'IT al business
Valore aggiunto
dell'automazione
Contesto, struttura
organizzativa e processi
Valore aggiunto
dell'automazione
Contesto, struttura
organizzativa e processi
Allineamento strategico
dell'IT al business
Valore aggiunto
dell'automazione
Contesto, struttura
organizzativa e processi
Allineamento strategico
dell'IT al business
Valore aggiunto
dell'automazione
Allineamento strategico
dell'IT al business
Valore aggiunto
dell'automazione
Valore aggiunto
dell'automazione
Allineamento strategico
dell'IT al business
Requisiti utente
Gestione del rischio
Gestione del rischio
Gestione del rischio
Fattibilità
Gestione della domanda
Processo innovazione
Ricerca
Architettura tecnica
Gestione della risorsa
informatica
Gestione della risorsa
informatica
Gestione della performance
Valore aggiunto
dell'automazione
5. Customer
service
Postazioni di lavoro e
dotazioni individuali
Help desk e assistenza
utenti negli interventi
6. Customer relationship
Gestione della domanda
Supporto strumenti
individuali
Gestione della risorsa
informatica
Gestione infrastrutture
Gestione della risorsa
informatica
Relazioni con gli utenti
Allineamento strategico
dell'IT al business
Allineamento strategico dell'IT
al business
Qualità dei servizi
Struttura organizz.
Allineamento strategico dell'IT
al business
Valore aggiunto
dell'automazione
Contesto, struttura
organizzativa e processi
Governance
La mappa delle aree critiche e di eccellenza
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
La mappa delle aree critiche e di eccellenza
Struttura
organizzativa
Rilevazione qualità dei servizi IT
processo
attività
IT governance
aree di indagine
processi critici
( analisi RACI)
Requisiti utente
1. Demand
management /
gestione della
domanda
Gestione della domanda
Allineamento strategico
dell'IT al business
Gestione del rischio
Fattibilità
Gestione della domanda
Ricerca
Architettura tecnica
Gestione della domanda
Architettura tecnica
Sviluppo soluzioni sw
Processo innovazione
Allineamento strategico
dell'IT al business
Valore aggiunto
dell'automazione
Contesto, struttura
organizzativa e processi
Progettazione funzionale
3. Gestione progetti
Catalogo dei servizi
Progettualità
(infrastrutture)
2. Planning /
pianificazione
3. Gestione
progetti
Project management
Contesto, struttura
organizzativa e processi
Allineamento strategico
dell'IT al business
Valore aggiunto
dell'automazione
Contesto, struttura
organizzativa e processi
Allineamento strategico
dell'IT al business
Valore aggiunto
dell'automazione
Allineamento strategico
dell'IT al business
Valore aggiunto
dell'automazione
Valore aggiunto
dell'automazione
Allineamento strategico
dell'IT al business
Processo di realizzazione
test e collaudi formazione
Gestione priorità
Gestione del portafoglio
(piano) dei progetti
Gestione della domanda
Progettazione
funzionale
Sviluppo soluzioni sw
Project management
Sviluppo soluzioni sw
Processo di
realizzazione test e
collaudi formazione
Servizio esercizio
applicativi
erogazione dei servizi IT
Valore aggiunto
dell'automazione
Sviluppo soluzioni sw
Qualità dei servizi
Sviluppo soluzioni sw
Sviluppo soluzioni sw
Sviluppo soluzioni sw
Allineamento strategico dell'IT
al business
Valore aggiunto
dell'automazione
Valore aggiunto
dell'automazione
Allineamento strategico dell'IT
al business
Gestione del rischio
Struttura organizz.
Governance
Gestione del rischio
Gestione infrastrutture
Gestione SLA
Gestione reti
Gestione sicurezza
(server e rete - incluso SLA)
4. Esercizio
Performance
management
Gestione SLA
Gestione del rischio
Gestione della risorsa
informatica
Gestione della risorsa
informatica
Gestione della performance
Valore aggiunto
dell'automazione
5. Customer
service
Postazioni di lavoro e
dotazioni individuali
Help desk e assistenza
utenti negli interventi
6. Customer relationship
Supporto strumenti
individuali
Gestione della risorsa
informatica
Gestione infrastrutture
Gestione della risorsa
informatica
Relazioni con gli utenti
Allineamento strategico
dell'IT al business
La mappa delle aree critiche e di eccellenza
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
Conclusioni
Conclusioni
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
Conclusioni
!
gli errori di valutazione commessi nella fase iniziale
si ribaltano nella progettazione
dei nuovi assetti organizzativi
!
- elementi sia oggettivi che soggettivi
- integrazione dei risultati
- esperienza
- mix di teoria e pragmatismo
Conclusioni
© Dario Russo 2011
Master “Audit e Governance nell’ICT”
Grazie per l’attenzione
[email protected]
© Dario Russo 2011