ITGI annuncia COBIT 4.1 e le nuove pubblicazioni

Transcript

La newsletter dedicate alla
comunità degli utilizzatori di
COBIT®
Dicembre 2006, Volume 2
COBIT Focus è realizzato da ISACA; la versione originale, in lingua
inglese, è disponibile in: http://www.isaca.org/cobitnewsletter; traduzione
italiana a cura di IsacaRoma http://www.isacaroma.it.
ITGI annuncia COBIT 4.1 e le nuove
pubblicazioni
di Gary Hardy
pubblicato in: http://www.isacaroma.it/html/newsletter/node/454
In questo numero:
ITGI annuncia COBIT 4.1 e le
nuove pubblicazioni, di Gary
Hardy …………………….1
COBIT 4.0: uno strumento
essenziale per consolidare la
leadership di Prudential in Asia,
di Urs Fischer ……………4
Nuovi corsi COBIT, di Arjan
Woertman…………………6
Harley-Davidson: Usare
COBIT per semplificare la
Compliance……………….8
Survey sull’utilizzo di
COBIT nel
mondo……………………10
Nell’ultimo trimestre del 2007, sarà rilasciato COBIT® 4.1
insieme alle nuove versioni delle pubblicazioni COBIT così da
allineare tutti i prodotti della serie Control Objectives for
Information and related Technology (COBIT®) alla stessa
versione.
I rilasci previsti comprendono:
o COBIT 4.1;
o COBIT® Control Practices: Guidance to Achieve
Control Objectives for Successful IT Governance, 2nd
Edition;
o IT Governance Implementation Guide: Using COBIT®
and Val IT™, 2nd Edition;
o IT Assurance Guide: Using COBIT®.
o Dopo questi rilasci sarà aggiornato anche COBIT
Online® e l’IT Governance Institute® (ITGI™)
pubblicherà anche la seconda edizione di COBIT®
Security Baseline e COBIT® Quickstart.
COBIT 4.1
COBIT 4.1 comprende una serie di aggiornamenti incrementali
rispetti a COBIT® 4.0. Si tratta di una sorta di "fine-tuning"
del framework COBIT senza cambiamenti veramente
significativi rispetto a COBIT 4.0. COBIT 4.1 fornisce una
executive overview migliore e ulteriori spiegazioni sulla
misurazione delle performance, attraverso lo schema a cascata
delle metriche, dei processi IT e degli obiettivi delle attività e
soffermandosi sulla differenza fra performance driver ed
outcome measure. Il punto da comprendere è che una outcome
measure è anche un performance driver per un obiettivo di alto
18-19 gennaio
30 gennaior
Calendario degli eventi 2007
COBIT® User Convention
Pasadena, California, USA
e-Symposium on COBIT
www.isaca.e-symposium.com
Realizzato da IsacaRoma, http://www.isacaroma.it, il 18-12- 2006; originale: http://www.isaca.org/cobitnewsletter
1
COBIT Focus 2, Dicembre 2006
livello. Sono forniti anche obiettivi di
controllo migliori come risultato
dell’aggiornamento delle control practices e
dello sviluppo di Val IT™.
A livello di obiettivi di controllo, la
definizione di control objective è stata
modificata per farla aderire meglio agli
statement correnti delle management practice
statement. Infine sono stati raggruppati alcuni
control objective e/o ridenominati per evitare
sovrapposizioni e rendere più coerente la lista
degli obiettivi di controllo all’interno di
ciascun processo. In questo senso AI5.4,
AI5.5 e AI5.6 sono stati raggruppati così
come AI7.9, AI7.10 eAI7.11.
Sono stati fatti cambiamenti anche a ME3 per
includere la compliance con le policy
internazionali ed i requirement contrattuali
oltre ai requisiti legali e relativi ai regulators.
Questi cambiamenti hanno prodotto la
rinumerazione degli obiettivi di controllo
rimanenti. Anche ulteriori obiettivi di
controllo sono stati ridenominati per renderli
più action-oriented e coerenti nella
denominazione stessa.La sezione degli
application control è stata allargata con pochi
ulteriori application control senza nessuna
perdita in termini di requisiti sui controlli
generalmente applicati. Nello specifico:
o È stato effettuato un consolidamento e
miglioramento riducendo da18 a sei
gli obiettivi d controllo i cui dettagli
sono ora forniti nel nuovo COBIT®
Control Practices, 2nd Edition
o Sono stati eliminati i controlli manuali
o I controlli di sicurezza sono stati
spostati nel processo di sicurezza o
eliminati se già presenti in
quest’ultimo
o Le responsabilità dei controlli di
business, di quelli generali e di quelli
applicativi sono stati meglio illustrati
2
o È stata migliorata la descrizione dei
business ed IT goal presenti
nell’appendice I grazie alle ricerche
svolte presso la Management School
dell’Università di Antwerp (UAMS),
in Belgio.
o Il pull-out è stato allargato per fornire
una quick reference list dei processi
COBIT e dei diagrammi overview e lo
schema dei domini è stato rivisto per
includere le reference ai controlli di
processo ed ai controlli applicativi del
framework COBIT.
o Sono stati corretti le incoerenze, gli
errori e le sviste identificate dagli
utilizzatori di COBIT (COBIT 4.0 e
COBIT Online®).
La figura 1 presenta lo schema finale dei
prodotti COBIT e dell’audience a cui sono
rivolti.
COBIT Control Practices, 2nd Edition
Le novità consistono negli statement delle
control practice, derivati dalla prima edizione
rilasciata nel 2004 e migliorati ed allineati con
COBIT 4.1. Le control practice sono definite
come prassi di implementazione actionoriented dotati di value e risk statement che
forniscono risposte a domande tipo "perché si
fa questo?" evidenziando il valore che si deve
ottenere ed i rischi che si devono evitare
grazie all’implementazione delle prassi che
garantiscono gli obiettivi di controllo.
La pubblicazione aggiornata sostituirà
completamente l’attuale guida; essa estende le
capacità del framework COBIT e supporterà
sia l’IT Assurance Guide sia l’IT Governance
Implementation Guide fornendo ulteriori
dettagli.
I processi IT di COBIT, i business
requirement ed i control objective definiscono
cosa si deve implementare per rendere
efficace la struttura di controllo.
Le control practice forniscono una guida più
dettagliata agli obiettivi di controllo e
indicano come, perché e cosa implementare
rispetto alle necessità di:
1. Implementatori della IT governance,
compresi il management, i service
provider, gli end users, i professionisti
dei controlli così da aiutarli a
giustificare e disegnare i controlli
specifici indispensabili per gestire i
progetti IT ed i relativi rischi operativi
e migliorare le performance IT. La
guida su quali controlli sono necessari
e quali siano le best practice permette
di individuare gli specifici obiettivi di
controllo mentre le control practice
aiutano ad individuare la soluzione e a
realizzarla in maniera più efficiente.
2. I professionsiti dell’assurance che
hanno bisogno di una guida per la
valutazione ed il testing ed anche
coloro a cui può essere richiesta una
opinione sui miglioramenti proposti.
Le control practice, quindi, servono a due
scopi e sono state sviluppate per le necessità
di questi due tipologie di utilizzatori. Le
control practice guidance formano la base per
la valutazione ed il testing così che gli
implementatori e gli assurance professional
possano seguire un approccio comune.
IT Governance Implementation Guide, 2nd
Edition
IT Governance Implementation Guide: Using
COBIT® e Val IT™, 2nd Edition forniscono
una road map dettagliata ed una guida per
stabilire una IT governance efficace nelle
organizzazioni e per usare COBIT a tale
finalità. Questa seconda edizione della guida
comprende gli aggiornamenti rispetto a
COBIT 4.1 e Val IT, evidenziando i concetti
fondamentali e lo scope della governance.
La guida assiste i diversi stakeholder con una
road map dettagliata che aiuta le aziende a
rendere effettive le proprie necessità di IT
governance. Essa fornisce l’identificazione
delle componenti di COBIT e Val IT da
utilizzare sia per le fasi iniziali che per il
planning e la realizzazione pratica delle
soluzioni.
IT Assurance Guide: Using COBIT
La nuova IT Assurance Guide: Using
COBIT® fornisce una guidance dettagliata di
come COBIT può essere utilizzato per
supportare una gran varietà di attività di
assurance come il planning, lo scoping ed il
risk assessment, ed anche le modalità per
compiere una assurance review per ciascuno
3
dei processi IT. Essa sostituisce le attuali
COBIT® Audit Guidelines.
La IT Assurance Guide contiene numerose e
dettagliate testing guidance che adesso sono a
livello di IT process e control objective e si
basano sulle control practices comprese le
attuali audit guideline che forniscono
solamente guidance a livello di IT processo.
Gli step di assurance permettono di testare
l’efficienza operativa ed i risultati dei
controlli. I generic assurance step riguardano
l’esistenza ed il design dell’efficienza dei
controlli proposti nonché le responsabilità
connesse.
I testing step sono disegnati per fornire il
primo livello di sviluppo di un programma di
audit da parte idi un auditor interno od
esterno.L’obiettivo non è di fornire un
programma dettagliato di audit da utilizzare
immediatamente; viceversa l’obiettivo è
fornire una base all’auditor esperto per
realizzare un programma personalizzato da
dare agli auditor meno esperti.
L’auditor utilizza tali step e lo modifica
secondo la realtà da auditare: si tratta solo di
una guidance non di una raccolta di ricette per
cucina!
La combinazione di tutti gli step di assurance
fornisce un metodo di testing che aiuta nella
redazione delle proprie opinioni rispetto agli
obiettivi di assurance combinando uno o più
tipi di step:
o Inquire e confirm (per mezzo di
differenti fonti)
o ispezioni (walk-through, search,
compare, review)
o osservazioni (con inclusa conferma)
o ricalcoli e analisi dei dati (spesso
utilizzando dei campioni)
o raccolta in automatico di evidenze
(campioni, log, estrazioni) e
successiva analisi
In aggiunta, per supportare l’assurance
review, sono forniti testing step per ciascuno
degli obiettivi di controllo generici applicabili
a livello di processo IT e per ciascuno degli
obiettivi di controllo applicabili ai controlli
automatici embedded nei processi di business.
COBIT Security Baseline e COBIT
Quickstart
Sia COBIT Security Baseline sia COBIT
Quickstart saranno aggiornati ed allineati
COBIT 4.1 anche se in pratica non avranno
significativi cambiamenti.
COBIT Online
I contenuti di COBIT Online sono già
aggiornati a COBIT 4.0 e lo saranno presto a
COBIT 4.1
Gary Hardy
È direttore di IT Winners, una società di
consulenza indipendente del Sud Africa
specializzata in servizi di IT governance e
performance improvement. Hardy è membro
di ISACA dal 1981 ove ha ricoperto diverse
posizioni di rilievo anche nel board member.
È advisor di ITGI e fondatore e membro del
COBIT Steering Committee; si occupa di IT,
IT audit e IT governance da oltre 25 anni in
varie industry.
COBIT 4.0: uno strumento essenziale per consolidare la
leadership di Prudential in Asia
Fondata in UK nel 1848, Prudential è una
società leader per i servizi finanziari; in ASIA
è tra le principali compagnie assicurative nel
ramo vita. Grazie alle sue attività in forte
crescita relative all’asset management,
Prudential Corporation Asia ha oltre 9.000
impiegati in 12 differenti nazioni.
L’importanza del mercato asiatico per
Prudential è testimoniata dalla presenza di
due regional IT hub in Malesia e Cina e di un
regional subhub a Singapore.
Il responsabile regionale dell’Information
Technology di Prudential Corporation Asia,
4
Emmanuel Rodriguez ha iniziato a utilizzare
COBIT nel 2005. Rodriguez ha ritenuto che
Prudential avesse bisogno di adottare un IT
governance framework standardizzato per
ridurre gli sprechi ed ottimizzare le sinergie.
L’utilizzo di COBIT è stato fortemente
sponsorizzato dal CEO di Prudential e dal
Consiglio di Amministrazione alla ricerca di
una maggiore competitività per l’intera
azienda. L’obiettivo globale di Rodriguez era
di utilizzare COBIT come framework unico e
coerente per tutte le best practice aziendali.
La chiave del successo è stata la capacità di
mantenere un equilibrio tra la necessità di
uniformità a livello regionale e la flessibilità
richiesta dai singoli mercati.
Il processo
Dato che i destinatari del progetto di
Rodriguez comprendevano non solo i
responsabili IT di ciascun mercato ma anche i
business manager, i project leader, i membri
dei comitati di controllo, i membri dei
comitati rischi ed i membri dei comitati di
audit, è stato necessario usare un framework
come COBIT il cui metalinguaggio può
essere facilmente condiviso da tutte queste
tipologie di utenti.
"COBIT è uno strumento di management
semplice e potente allo stesso tempo che ci ha
permesso di raggiungere i nostri obiettivi.
L’IT Governance Institute ha fatto un ottimo
lavoro riuscendo a realizzare strumenti per
l’IT governance coerenti, facili da utilizzare e
comprensibili da chiunque" ha spiegato
Rodriguez "L’ultima cosa che desideravamo
era dare l’impressione ai nostri business e
project manager che l’IT governance fosse
qualcosa difficile da gestire. Abbiamo
adottato COBIT proprio per questo motivo,
perché si tratta di un framework semplice ed
adatto anche ai non specialisti e che permette
ai colleghi delle aree di business le
opportunità che la IT Governance può aprire
anche a loro"
I due obiettivi chiave che Rodriguez ed il suo
team volevano raggiungere con COBIT sono
stati la gestione della sicurezza delle
informazioni e degli accessi ai dati. Ci sono
infatti moltissimi dati relativi ai clienti di
Prudential sparsi per i vari paesi asiatici e
dunque la necessità di limitare l’accesso di
tali informazioni solo alle persone autorizzate
è molto sentita. Rodriguez ed il suo team
hanno utilizzato COBIT come guida per
identificare i rischi, il loro impatto
complessivo e le varie possibilità di gestire
tali rischi. Per rendere più semplice
l’implementazione di COBIT, Rodriguez ed il
suo team hanno predisposto un "IT
governance cookbook" così denominato per la
sua natura di quick reference. Questa sorta di
ricettario è stato distribuito a tutti i target
individuati nel novembre 2005. Per
assicurarsi che esso venisse effettivamente
letto e compreso, Rodriguez ed il suo team
hanno anche realizzato un survey per ottenere
un feedback. In questo modo Rodriguez ha
ottenuto, in tutti i 12 mercati orientali di
Prundential, una maggiore consapevolezza in
termini di project procurement, sistemi di
approvazione, governance nonché una
migliore comprensione globale di come
sviluppare ed implementare le iniziative in
modo più strutturato.Per Rodriguez ed il suo
team, l’IT governance non è qualcosa che va
Aggiornamenti COBIT Research
Nuovi White Papers
o IT Control Objectives for Sarbanes-Oxley, 2nd Edition, settembre 2006
o COBIT® Mapping: Mapping SEI’s CMM for Software With COBIT® 4.0, settembre 2006
o COBIT® Mapping: Mapping PMBOK® With COBIT® 4.0, agosto 2006
Questi documenti sono disponibili per il download agli associati ISACA®, se non indicato
diversamente, attraverso il sito ISACA www.isaca.org/downloads
In arrivo:
o COBIT® Mapping: Mapping PRINCE2 With COBIT® 4.0, dicembre 2006
o COBIT® Mapping: Mapping ITIL With COBIT® 4.0, dicembre 2006
o COBIT® Mapping: Mapping ISO/IEC 17799:2005 With COBIT® 4.0, dicembre 2006
o COBIT® Mapping: Mapping TOGAF With COBIT® 4.0
5
scolpito nella roccia. COBIT ha permesso a
Rodriguez ed al suo team di raccogliere gli
aspetti tecnologici specifici di ogni elemento
necessario per le attività di IT Governance e
contemporaneamente di tener conto delle
necessità specifiche dei diversi mercati di
Prudential in Asia. E cosa ancora più
importante, COBIT ha dimostrato di essere in
grado di produrre valore in quanto ha
permesso a Rodriguez ed al suo team di
convincere i membri del board a continuare a
supportare questo tipo di iniziative: infatti un
ambiente IT più sicuro permette a Rodriguez
ed al suo team di concentrasi sulle modalità
per fornire servizi IT migliori che portino
maggior valore all’azienda nel suo complesso.
"Un buon dottore è qualcuno che è capace di
spiegare chiaramente ai propri pazienti ciò di
cui hanno bisogno ed il modo per rimanere in
salute. In modo simile, un bravo
professionista IT è colui capace di rendere
semplici i concetti IT ad un’audience di
business. Non ho nessun dubbio che COBIT è
lo strumento che ci permetterà di raggiungere
tale obiettivo, di migliorare la cultura IT
aziendale e la corporate responsibility di
Prudential" ha concluso Rodriguez.
scolpito nella roccia. COBIT ha permesso a
Conclusioni
Sebbene l’implementazione di COBIT in
Prudential sia ancora in corso, è chiaro che
l’adozione del framework continuerà a fornire
valore all’azienda in quanto permette di:
o Stabilire una strategia pan-regionale
comune
o Ridurre i costi ed eliminare gli sprechi
o Gestire in sicurezza i dati dei clienti di
ogni regione
o Fornire le opportune indicazioni per
gli outsourcing partner
o Fornire una teminologia facile da
condividere fra un gran numero di
interlocutori aziendali
o Creare un ambiente IT più sicuro e
coerente per i leader così che si più
facile focalizzarsi sulle soluzioni che
creano valore
o Fare l’assessment dei rischi e valutare
i vincoli che i decision maker devono
tenere in considerazione al momento
di intraprendere le azioni
In altre parole COBIT ha permesso al team
IT di Rodriguez ed ai suoi interlocutori nel
business di mantenere allineati in maniera più
proficua i goal IT di Prudential e gli obiettivi
di crescita del business consolidando le best
practice già esistenti e limitando i rischi.
Questa sarà la strategia chiave di Prudential
nell’IT per rafforzare la propria leadership in
Asia nei prossimi anni.
Il testo completo del case study Prudential è
disponibile sul sito di ISACA:
http://www.isaca.org/cobitcasestudies
Nuovi corsi COBIT
di Arjan Woertman
Dal primo numero di COBIT Focus di giugno
2006 ad oggi sono stati sviluppati numerosi
nuovi prodotti di training nel COBIT
education portfolio. In questo articolo
illustreremo due nuovi corsi recentemente
annunciati: il COBIT Foundation Course™
online in giapponese ed il COBIT Foundation
Course in aula che prevede l’utilizzo di
COBIT Games™.
COBIT Foundation Course in giapponese
Ad un anno dal lancio del corso, oltre 1.000
persone hanno partecipato al corso online
COBIT Foundation. Nell’ottobre 2006 è stata
annunciata la versione in giapponese del
corso in modalità e-learning. Il capitolo di
Tokio di ISACA e ITpreneurs Japan hanno
6
lavorato insieme per
tradurre il corso in
giapponese a causa
della rapida
diffusione del
framewok COBIT
nella comunità di IT
Governance
giapponese. La
membership del
capitolo di Tokio di
ISACA è aumentata
di oltre il 70 per
cento rispetto al
2004: una crescita
simile si era
verificata negli
USA un paio di anni
fa quando fu
emanato il
Sarbenes-Oxley Act. In effetti anche il
Giappone sta emanando la propria
legislazione in ambito compliance: la "JSOX"
nipponica sarà effettiva a far data dall’aprile
2008 e ciò comporterà requisiti più severi alle
aziende quotate. I corsi COBIT in lingua
giapponese renderanno più agevole la
comprensione delle problematiche di IT
Governance al mercato nipponico e
favoriranno l’adozione di COBIT.
"Siamo molto lieti di avere la possibilità del
corso COBIT in giapponese anche perché ne
abbiamo apprezzato l’alta qualità dei
contenuti. Siamo convinti che ciò costituirà
una risorsa fondamentale e valida per
chiunque si interessa ai temi della IT
governance" ha commentato Tsutomu
Nakamura, CISA, executive director del
capitolo ISACA di Tokyo.
Il COBIT Foundation Course in giapponese è
disponibile agli associati ISACA con uno
sconto del 30 per cento attraverso il COBIT
Campus.
COBIT Foundation Classroom Course e
COBIT Games
ISACA and ITpreneurs hanno
recentemente annunciato un
corso COBIT in aula con
l’utilizzo di COBIT Games. Il
COBIT Foundation Course è
quindi adesso disponibile in due formule: un
corso di due giorni che non comprende
COBIT Games e un corso di due giorni e
mezzo con il COBIT Games. Entrambe le
formule prevedono la presenza di docenti
accreditati da ISACA. L’introduzione di
formule in aula per COBIT al livello di
foundation rende questa formazione più
accessibile per i professionisti e le aziende
interessate a COBIT. È possibile scegliere tra
l’e-learning autogestito e l’insegnamento in
aula . Entrambe le opzioni forniscono una
esperienza didattica simile e preparano i
candidati all’esame COBIT Foundation.
Entrambi i corsi in aula affiancano alle
presentazioni esercizi interattivi e
simulazioni. La versione di due giorni
prevede case study in aula e compiti da
svolgere per rafforzare la comprensione dei
punti chiave. La versione in due giorni e
mezzo utilizza anche un nuovo tool di
simulazione denominato COBIT Games, uno
strumento di business simulation, conforme
alle tecnologie più avanzate ed allo stato
dell’arte. Si tratta di un board game che si
gioca in quattro tempi (vedi figura 1). Gli
studenti rappresentano una città che deve
ospitare i giochi olimpici. Quattro team
devono predisporre le infrastrutture cittadine a
questo evento. I team devono gestire gli hotel,
gli impianti sportive, i media ed i mezzi di
7
trasporto movendosi all’interno dei quattro
domini COBIT. La città è in continua
evoluzione ed i team devono gestire il
consenso popolare e bilanciare i rischi interni
ed esterni che si presentano. Giocando il
game, gli studenti hanno la possibilità di
imparare rapidamente ed applicare i principi
di COBIT in modo coinvolgente e divertente.
Il COBIT Foundation Course in aula è
disponibile attraverso il network di
ITpreneurs. Il COBIT Foundation Course può
essere erogato anche attraverso i capitoli
locali di ISACA concordando gli eventi con
Itpreneurs.
Arjan Woertman
Arjan Woertman è il product manager di
ITpreneurs responsabile per la linea di
prodotti COBIT ed ISO/IEC 20000.
Woertman lavora in ITpreneurs dal 2001
dopo aver conseguito la laurea in Economia
all’Università di Utrecht in Olanda.
Woertman ha condotto un gran numero di
progetti chiavi per ITpreneurs, tra i quali i
corsi in aula su ITIL ed i prodotti e-learning.
Egli lavora a stretto contatto con gli esperti
delle autorità di standardizzazione, tra queste
ISACA, per inglobare le best practice e gli
standard in prodotti innovativi di learning.
Woertman può essere contattato via email:
NOSPAMarjanDOTwoertmanATitpreneursD
OTcomNOSPAM.
ITpreneurs è un’azienda specializzata nelle
soluzioni di training per l’IT management e
l’IT governance.
Ulteriori opportunità per la formazione su COBIT
ISACA offre ulteriori opportunità per la formazione su COBIT: un corso di due giorni
sull’implementazione, una gran varietà di sessioni durante le conferenze in tutto il mondo.
“Implementing COBIT for IT Management and Governance” è disponibile durante i meeting
Computer Audit, Control and Security (CACS) e le International Conference. Esso è anche offerto
in modalità onsite training da parte di numerose società specializzate ed autorizzata dall’ISACA
training. Per maggiori informazioni e la lista dei relatori autorizzati si può consultare
www.isaca.org/cobit o scrivere a [email protected].
Harley-Davidson: Usare COBIT per semplificare la
Compliance
La Harley-Davidson Motor Company è stata
fondata nel 1903 a Milwaukee, Wisconsin,
USA. Si tratta dell’azienda produttrice di
motociclette più antica degli Stati Uniti; essa
ha avuto oltre 20 anni consecutivi di profitti
record. Nel 2005, Harley-Davidson ha
prodotto 329.000 motociclette con un
aumento del 3,7 per cento rispetto all’anno
precedente, un fatturato di 5,3 miliardi di
dollari USA ed una crescita del 6,2 per cento.
Nel 2003, Harley-Davidson aveva pochi e
limitati controlli IT ed il suo personale non
aveva una grande conoscenza del tema dei
controlli. Non esisteva un processo di accesso
alle informazioni standard, nessun processo
definito e documento sul change
management, nessuna procedura per il backup
e recovery dei dati e pochissime regole sulla
struttura organizzativa IT.
A causa delle nuove regolamentazioni
nazionali, tra queste il Sarbanes-Oxley Act,
l’azienda decise che per garantire che il
proprio modello di business continuasse ad
avere successo era importante ripensare
l’intero sistema di controllo. La sfida
consisteva nell’individuare un framework per
8
l’IT Governance che permettesse al
management, all’IT ed all’audit di parlare lo
stesso linguaggio e di lavorare insieme per
aumentare il livello dei controlli nel rispetto
degli specifici valori aziendali. Fu così creato
un nuovo dipartimento, focalizzato sulla
mitigazione ed il controllo dei rischi e che
veva anche l’obiettivo di individuasse il
miglior framework per la IT Governance con
il massimo consenso dei responsabili degli
altri dipartimenti e senza ridurre la qualità né
la velocità della produzione.
Raggiungere la conformità ai requisiti della
Sarbanes-Oxley sembrava una sfida
impossibile eppure grazie a COBIT ciò è stato
possibile già dal primo anno.
Il processo
Per garantire la conformità ai requisiti della
IT governance e della Sarbanes-Oxley,
Harley-Davidson ha creato un dipartimento di
IS compliance la cui prima attività è consistita
nell’implementare un modello di controllo
generale per i vendor. Ma dopo aver
partecipato ad una COBIT User Convention,
uno specialista di rischi di Harley-Davidson
raccomandò alla direzione l’utilizzo di
COBIT come control framework.
Contemporaneamente l’internal audit
department stava collaborando con l’IT per
raggiungere i necessari standard di
compliance. C’era dunque la necessità era di
avere un framework di controllo che aiutasse
tutti i dipartimenti a superare la vecchia
mentalità per cui la conformità, la qualità ed il
controllo consistevano esclusivamente nel
raggiungimento dei livelli produttivi. Alla
fine la scelta è caduta su COBIT per i
seguenti motivi::
o Si tratta di uno standard internazionale
per l’IT governance e le control
practice.
o Può essere utilizzato dal management,
gli end user e l’IT perché fornisce un
linguaggio comune a tutte queste
categorie.
o Prevede strumenti per fare il
benchmarking dei controlli di
compliance.
o Il framework è disponibile
gratuitamente nel sito dell’IT
Governance Institute.
o È compatibile con altri standard, ad
esempio ISO 17799 ed ITIL, che sono
"mappat"” in COBIT.
o È possibile, in modo rapido ed
economico, avere un agreement
sull’utilizzo di COBIT da parte degli
auditor esterni.
La chiave per il successo nell’adozione di
COBIT è consistita nell’assicurarsi che sia
l’IT sia il management comprendessero
l’importanza di avere un sistema di controllo
efficiente, efficace e value-focused dando loro
la possibilità di capire che i controlli
favoriscono anche il business. Il processo di
migrazione di Harley-Davidson verso COBIT
è iniziato con la mappatura dei controlli di
COBIT e con la comparazione dei risultati
rispetto a quelli già rilevati dalla società di
revisione (appartenente alle Big Four).
Successivamente i gap sono stati identificati e
si sono pianificate le attività per risolvere le
criticità. Uno dei benefici maggiori ottenuti
con l’utilizzo di COBIT come modello di
controllo generale anche per la compliance è
stato che tutti – specialmente il personale non
tecnico della produzione di motociclette –
sono stati sensibilizzati sui temi del controllo
e della conformità alle regole e norme.
Harley-Davidson è infatti soggetta a
numerose regulation, tra le quali HIPAA e
Gramm-Leach-Bliley; COBIT si è rivelato un
ottimo framework ombrello per permettere
all’azienda di identificare i controlli e le
attività di complice necessarie.
In questi casi la sfida maggiore è far sì che gli
owner dei controlli comprendano l’effettiva
necessità dei controlli; a volte essi partono
dall’errato presupposto che "more is better".
Usando COBIT, il risk team può facilmente
mostrare che uno o due buoni controlli
possono fare più e meglio di decine di
controlli alcuni dei quali a volte inefficaci.
Una volta che i control owner comprendono il
valore ottenuto limitandosi a pochi ma
efficienti controlli essi non tornano più
indietro.
Ottimizzare i cambiamenti interni è anche uno
degli obiettivi primari delle aziende altamente
9
competitive e gli strumenti di benchmarking
di COBIT sono un tool formidabile per i
confronti indipendenti perché permettono di
porre le informazioni nella corretta
prospettiva per il management e di ottenere un
valore aggiunto. Il framework permette di
ottenere facilmente queste informazioni di
comparazione che sono necessarie per
qualsiasi IT audit e, best of all, esse facilitano
la discussione sulle modalità migliori per
ottenere i risultati aziendali voluti.
Conclusioni
Prima di implementare COBIT, le aree
aziendali verificate dagli external auditor
erano scelte in maniera casuale e senza reali
motivazioni. Adesso la scelta si base sul
valore per l’azienda e sui controlli ritenuti
necessari. COBIT si presta naturalmente ad
essere utilizzato come modello di controllo
generale; con la sua adozione HarleyDavidson ha ottenuto i seguenti benefici:
o Gli end user possono essere formati su
un unico standard.
o L’IT può facilmente dimostrare la sua
compliance con i più noti framework.
o L’agreement dell’external audit sul
sistema di controllo aziendale è
garantito.
o Esiste una vista generale sui rischi e
sull’ambiente di controllo.
o Esiste una base già pronta per gli audit
futuri sia interni sia connessi alla
Sarbanes-Oxley.
o L’azienda ha anche pianificato di
effettuare un IT governance audit
usando Val IT, un governance
framework che aiuta la direzione e
l’executive management a valutare
l’appropriato return on investment
(ROI) rispetto agli investimenti sull’IT
effettuati.
Il testo completo di questo case study è
disponibile sul sito ISACA:
http://www.isaca.org/cobitcasestudies
Survey sull’utilizzo di COBIT nel mondo
Circa il 22 per cento di coloro che hanno
risposto al COBIT user survey hanno indicato
che COBIT (per i contenuti e/o i prodotti) è la
base per le loro attività mentre un altro 67,5
per cento dice di utilizzarlo a volte o spesso.
Il COBIT user survey è parte di un più ampio
progetto di raccolta ed analisi di informazioni
sulle attività di IT governance condotto da
ISACA e ITGI. Lo scopo del progetto è di
giungere ad una rappresentazione fedele della
constituency di ISACA/ITGI così da
migliorare il lavoro che le stesse ISACA e
ITGI fanno nella progettazione e sviluppo
delle componenti di COBIT.
Il COBIT user survey sarà condotto
annualmente con l’obiettivo di comprendere
le modalità con cui gli utenti utilizzano
COBIT. I risultati di questi survey
permetteranno a ISACA/ITGI di avere un
quadro completo degli utenti di COBIT user
sia come imprese che come singoli
utilizzatori.
10
I dati su COBIT saranno utilizzati sia per il
marketing sia per migliorare la
comunicazione con le aziende e
le persone. Questo progetto è
allineato, inoltre, alla strategia
globale di ISACA/ITGI ed agli
obiettivi di balanced scorecard.
Quest’anno il survey è stato
proposto alle persone presenti
nel database di ISACA e che
sono stati considerati COBIT
users per la loro partecipazione
a una delle COBIT User
Convention o per avere
scaricato COBIT, o per essere
registrati in COBIT Online, o
per avere acquistato uni o più
prodotti COBIT o, in ultima
analisi, per aver partecipato ad
attività COBIT-related. Tra i
vari risultati interessanti emersi,
il survey ha rivelato che la
maggior parte dei COBIT user
usa COBIT insieme ad altri
standards/frameworks, quali
ITIL, ISO/IEC 17799, ISACA
IS Auditing Standard e COSO
Control (si veda la figura 1), il
che conferma l’importanza e la
necessità di continuare le
pubblicazione della serie
“COBIT Mapping”.
La serie di “COBIT Mapping”
al momento include:
11
o SEI’s CMM for Software
o PMBOK
o ISO/IEC 17799:2005
o ISO/IEC 17799:2000
o ITIL
o PRINCE2
Sono in via di pubblicazione:
o TOGAF
o CMMI for Development v1.2
o COSO ERM
o NIST FISMA
o IT Baseline Protection Manual
Un altro interessante risultato è l’utilizzo
pianificato dell’IT Governance
Implementation Guide quando si
implementano le componenti di COBIT (vedi
figura 2). Ciò riflette l’importanza e l’utilità
di questa pubblicazione che recentemente è
stata aggiornata per tener conto delle novità di
COBIT 4.0. Il survey ha anche rivelato che
più del 50,92 per cento dei COBIT user
utilizza COBIT Online in qualità di associato
ISACA ma in modalità basic e non di full
subscriber. Solo l’11,45 per cento sono full
subscriber. Alla domanda perché no si era
scelta la modalità completa le risposte più
comuni sono state relative al costo, alla
mancanza di conoscenza sulle funzionalità
extra ed al valore aggiunto. Dato che coloro
che usano le funzionalità di COBIT online in
quanto associati ISACA hanno utilizzato il
free download e le capacità di browsing di
COBIT Online, rispettivamente l’88,42 per
cento ed il 66,56 per cento, ISACA and ITGI
hanno concluso che la comunicazione sulle
ulteriori funzionalità è importante e va
aumentata. Una sottoscrizione full a COBIT
Online permette di usufruire delle capacità di
benchmarking, di fare il browsing di tutto
COBIT, comprese le Control Practices e
COBIT Quickstart, funzionalità, viceversa,
non previste nelle formule basic e baseline;
inoltre il full COBIT permette di creare
MyCOBIT, una versione completa di COBIT
personalizzata per contesti specifici.
MyCOBIT permette di fare il download del
materiale COBIT in formato Microsoft Word
ed Access per l’uso offline.
Il COBIT user survey ha anche rivelato che le
cinque principali ragioni per le quali si
implementa COBIT sono:
1. Adottare un IT control framework
2. Rispettare i requisiti della regulatory
compliance (in primis: SarbanesOxley)
3. Sviluppare programmi di IT audit
4. Avere una guida per l’assessment e
l’implementazione dei controlli IT
5. Adottare un IT assurance framework
La grande diffusione di COBIT sembra
dunque legata alla necessità, in azienda, di
dedicarsi alla IT governance. Secondo il
survey, più dell’80 per cento delle imprese
ritiene che l’IT governance è una
problematica molto importante.
COBIT Steering Committee
Roger Debreceny, Ph.D., FCPA, Chair, USA
Gary S. Baker, CA, Canada
Steven De Haes, Belgium
Rafael Eduardo Fabius, CISA, Uruguay
Urs Fischer, CISA, CIA, CPA (Swiss),
Switzerland
Erik Guldentops, CISA, CISM, Belgium
Gary Hardy, South Africa
Jimmy Heschl, CISA, CISM, Austria
Debbie A. Lew, CISA, USA
Maxwell J. Shanahan, CISA, FCPA,
Australia
Dirk Steuperaert, CISA, Belgium
Robert Ernest Stroud, USA
Editorial Staff
Jane Seago
Chief Communications Officer
Jennifer Hajigeorgiou
Publications Manager
Kristen Kessinger
Media Relations
Deborah Vohasek
Media Relations
Commenti ed osservazioni sui contenuti
possono essere inviati (in inglese) a Jennifer
Hajigeorgiou, publications manager,
[email protected]
12
COBIT Focus è pubblicato da ISACA e
dall’IT Governance Institute.
Le opinioni espresse in COBIT Focus
rappresentano esclusivamente il punto di
vista degli autori ed essi possono differire
dalle policy e dagli “official statements”
dell’ISACA e/o dell’IT Governance Institute
e dei loro comitati nonché dalle opinioni
degli altri autori, collaboratori o impiegati di
COBIT Focus.
COBIT Focus non attesta l’originalità dei
contenuti degli articoli.
© 2006 Information Systems Audit and
Control Association and IT Governance
Institute. All rights reserved.
Insegnanti, docenti ed istruttori hanno il
permesso di fotocopiare singoli articoli per
uso non commerciale purché non richiedano
un pagamento e non ne ottengano un
guadagno.
Per altri tipi di copie, ristampe o
repubblicazioni, deve esser ottenuto un
permesso scritto da ISACA; contattare, per
favore: Joann Skiba [email protected]
http://www.isacaroma.it
Chi siamo:
http://www.isacaroma.it/html/ChiSiamo.html
Certificazioni CISA e CISM:
http://www.isacaroma.it/html/Certificazioni.ht
ml
Giornate di studio e conferenze:
http://www.isacaroma.it/html/GiornateDiStudi
o.html
Newsletter:
http://www.isacaroma.it/html/newsletter/
Tutti gli articoli dedicate a COBIT:
http://www.isacaroma.it/html/newsletter/taxonomy/
term/31
COBIT Focus is published by ISACA and
the IT Governance Institute. Opinions
expressed in COBIT Focus represent the
views of the authors. They may differ from
policies and official statements of ISACA
and/or the IT Governance Institute and their
committees, and from opinions endorsed by
authors, employers or the editors of COBIT
Focus.
COBIT Focus does not attest to the
originality of authors’ content.
© 2006 Information Systems Audit and
Control Association and IT Governance
Institute. All rights reserved.
Instructors are permitted to photocopy
isolated articles for non commercial
classroom use without fee. For other
copying, reprint or republication, permission
must be obtained in writing from the
association. Please contact Joann Skiba at
[email protected] .
13

ITGI annuncia COBIT 4.1 e le nuove pubblicazioni

Transcript

Documenti analoghi

Maturity Assessment Tool

Introduzione ai sistemi di controllo interno

allegato 1 - scheda programma - Dipartimento di Impresa e

"Sessione di Studio" a Torino Torino, 28 giugno 2007 S

Il valore del Master Chi siamo

Student Membership Brochure (Italian)

COBIT 4.1

Slide - CMDBuild

isaca_venice-application_security_20141003