Auditing dei Servizi di Outsourcing

Transcript

1 EXO Service srl Auditing dei Servizi di Outsourcing (e sua integrazione nel Sistema di Risk Management) Giacomo Aimasso 1

2 Agenda Introduzione all Outsourcing Driver Servizi Rischi Il processo di Outsourcing Scelta provider Definizione contratto Esercizio servizi La gestione dell Outsourcing Auditing Risk management Governance Conclusioni Trend Suggerimenti 2

3 Fonti Letteratura ISACA (COBIT) ITGI (IT Governance Institute) ISO (BS-7799) OI (Outsourcing Institute), etc. Ricerche di mercato Meta Gartner Protiviti, etc. filtrate attraverso esperienza diretta Come cliente Come provider 3

4 Drivers e Servizi 4

5 Drivers Riduzione dei costi ( operation & financial management) Valutazione costi interni vs. costi esterni Miglioramento servizio ( senior management) Quantità (nuovi servizi, volumi maggiori, etc.) Tempestività Qualità Necessità tecnico-specialistiche ( technical & IT management) Mancanza di risorse e skill interni Riduzione dei rischi Necessità organizzative ( personnel & organization management) Ristrutturazioni, acquisizioni, fusioni, etc. Flessibilità operativa Adeguamento normativo (leggi, decreti, direttive, etc., policy aziendali, policy di gruppo, etc.) Strategie aziendali ( senior management) Focus su core business Nuove aree di business 5

6 Drivers (cont cont.) Riduzione dei costi Il valore del rapporto Costi Interni vs. Costi esterni è, statisticamente, uno dei fattori principali per la scelta dell outsourcing MA: il costo vero (TCO) delle funzioni date in outsourcing non è sempre completamente chiaro (o correttamente compreso): molte aziende hanno difficoltà a calcolare esattamente il costo reale delle funzioni da dare in outsourcing quasi mai si considerano le interdipendenze tra i vari costi: e queste possono influenzare altri costi direttamente o indirettamente collegati alle funzioni date in outsourcing questo può influenzare il costo del servizio (o, meglio, la sua percezione): e quindi il livello di soddisfazione dello stesso La riduzione dei costi è percepita in modo diverso nell azienda: è giudicata molto importante da quasi tutti i settori, soprattutto tecnico finanziari ma non dal senior management, che invece, spesso, vede l outsourcing come mezzo per: raggiungere obiettivi strategici (quale l espansione di mercato) gestire i rischi legati ai limiti di capacità produttiva, etc. 6

7 Servizi (alcuni ) Servizi Sviluppo e gestione applicazioni (SW) Gestione rete e comunicazioni Gestione infrastruttura HW e SW e provisioning HW e SW Gestione sicurezza Gestione storage (primary backup) Help Desk (Support Trouble ticketing) Altri Servizi data Entry controlli applicativi conversione applicazioni legacy backup (offsite storage, backup site, etc.) Modalità Onsite (direttamente presso il cliente) Offshore (in un sito remoto, presso il provider o un subcontractor, spesso a migliaia di Km di distanza, in nazioni diverse) Combinazione di onsite e offshore (soprattutto per grandi clienti) 7

8 Rischi 8

9 Scenario L outsourcing è efficace: Se correttamente inteso ( valutazione e conoscenza dei servizi) preparato ( scelta provider, stipula del contratto) gestito ( esercizio del servizio) controllato ( auditing) migliorato ( governance) MA l outsourcing introduce NUOVI rischi: Motivo principale: il cliente si basa su un ente esterno per sue funzioni vitali di business Quindi i rischi devono essere: conosciuti capiti (all interno della propria organizzazione) valutati misurati (metriche definite e consolidate) gestiti ridotti (livello accettabile). perchè se non gestiti correttamente: possono influenzare negativamente l operatività dell azienda e i suoi rapporti con i clienti Si può dare in outsourcing un servizio,, non il suo rischio!! 9

10 Rischi (alcuni alcuni.) Rischi Standard Rischi base IT tutti quelli standard, nessuno escluso! Rischi di Servizio: qualità tempestività performance Rischi di Affidabilità: tecnica operativa finanziaria Rischi di Gestione: transizione trasformazione controllo Generali ( ( principali) Insoddisfazione cliente utente: costi nascosti benefici non percepibili Perdita skill e conoscenza interna 10

11 Affidabilità del provider Drivers (alcuni.) Diversità di obiettivi ( il più importante!) Dimensione del cliente La dimensione del cliente può determinare: prezzi sconti particolari servizi specializzati, personale dedicato, etc. Quando un provider ha molti clienti: spesso vale la regola (o simile) i piccoli clienti hanno la sensazione di essere clienti di serie B in alcuni casi i piccoli clienti possono beneficiare di quanto i grandi clienti hanno ottenuto Trasferimento conoscenza Perdita skill 11

12 Affidabilità del Provider Possibilità di fallimento del provider Fattori interni: cattiva gestione (o non ottimale) mancanza di fondi personale non adeguato (mancanza di skill, di etica comportamentale, etc.) Fattori esterni: tendenza del mercato e/o crisi economica fusioni, acquisizioni, etc. calo di reputazione, reale o percepita: Contromisure perdita clienti, perdita di personale, etc. stampa contraria, passaparola, etc. Seguire un approccio strutturato Attività: per diminuire la probabilità di sperimentare il fallimento di un provider per ridurre l impatto di un eventuale fallimento Analisi delle situazione societaria del provider Definizione di un contingency plan (da testare su base regolare) Definizione di un response plan 12

13 Affidabilità del provider Costo del servizio Qualità del servizio Controllo del servizio Attivazione del servizio Disattivazione del servizio Operatività del servizio Scalabilità del servizio Complessità del servizio Facilità d uso del servizio Diversità di obiettivi 13

14 Diversità di obiettivi (cont Affidabilità del provider (e del cliente!) Cliente: cont.)!) Sinergia vuole che il provider sia in grado di assicurare il servizio per tutto il periodo previsto dal contratto (più eventuali estensioni) non vuole cambi di proprietà ( diminuzione del servizio, interruzione, rischi vari, etc.) non vuole (NON DEVE) accettare passivamente le offerte più basse esistenti sul mercato: difficoltà economiche del provider Provider: vuole proporsi come affidabile sul lungo periodo: attira nuovi clienti mantiene i vecchi clienti vuole clienti di successo, con i business plan realistici, che possano essere referenze valide ( facilitazione dell outsourcing): il fallimento del cliente si ripercuote sul provider non ultimo: meglio clienti in grado di pagare!! 14

15 Diversità di obiettivi (cont Conflitto Costo del servizio Conflitto Cliente: vuole il maggior servizio al minor costo possibile questo comporta: definizione accurata dei servizi controllo sistematico dei servizi e dei relativi costi confronto fra provider diversi ricerca costante del prezzo migliore cont.)» NON del PREZZO più BASSO!!! Provider: vuole massimizzare il profitto a lungo termine questo comporta: alto rapporto prezzo / costo politiche di pricing flessibili» generazione di nuovo revenue focus su servizi standard mantenimento del cliente economia di scala 15

16 Diversità di obiettivi (cont cont.) Qualità del servizio Conflitto - Sinergia parziali Cliente: vuole la garanzia di un alto livello di servizio (SLA & OLA): Provider: aderenza a metriche di controllo predefinite penali per non adeguamento SLA & OLA penali per perdita di business vuole accontentare il cliente: genera nuovo business. MA:» diretto (dal cliente stesso)» indiretto (da altri clienti) SLA & OLA: preferirebbe:» che non esistessero» che fossero comunque difficilmente controllabili penali: preferirebbe:» che fossero minime o del tutto inesistenti» e comunque inferiori al costo del servizio 16

17 Controllo Conflitto Cliente: Diversità di obiettivi (cont Conflitto totale!! vuole (DEVE!) mantenere il controllo: cont.). ma questo presuppone mantenere internamente risorse e skill adeguati ( Outsourcing Governance). e poi spesso si basa sul controllo del provider!: Provider: non mantiene risorse e skill interni si affida al contratto ( le clausole del contratto dovrebbero in automatico garantire TUTTO!) vuole mantenere il controllo, in quanto questo non solo gli evita contestazione sugli SLA & OLA, ma: lega maggiormente a sè il cliente rende difficile sciogliere il contratto 17

18 Diversità di obiettivi (cont cont.) Attivazione Sinergia Cliente e Provider: vogliono che l attivazione dei servizi sia molto semplice: sia dal punto di vista dei sistemi. che dal punto di vista dei processi e delle relazioni vogliono che tale attivazione sia molto veloce ed efficiente: sia dal punto di vista dei sistemi. che dal punto di vista dei processi e delle relazioni anticipo di entrate economiche per il cliente (proprio business) e per il provider (business di outsourcing)! Disattivazione Conflitto Cliente: vuole che sia molto semplice disattivare i servizi Provider : vuole che sia molto difficile e costoso per il cliente interrompere il servizio: al contrario deve essere poco costoso per sè! vuole che il cliente sappia che sarà molto difficile: deterrente psicologico! vuole che il cliente sia coinvolto nel maggior numero possibile di servizi: anche piccoli! 18

19 Diversità di obiettivi (cont Operatività: Sinergia parziale Cliente: cont.) vuole che i servizi del provider si integrino facilmente con il resto dell operation: eventualmente con personalizzazioni ad hoc Provider: vuole che i servizi offerti si integrino facilmente con il resto dell operation: specie con in servizi che il cliente non è in grado di sostituire! o che non sostituirà MAI! vuolepero cheilclienteutilizziservizi standard, senza personalizzazioni: personalizzazioni e servizi ad hoc: difficoltà di supporto e maggior impiego di risorse 19

20 Scalabilità Sinergia Cliente: Diversità di obiettivi (cont cont.) vuole che i sistemi, la rete, i servizi e tutta l infrastruttura del provider garantiscano la scalabilità necessaria a gestire aumenti nel volume di business, o cambi nella tipologia dei servizi richiesti Costing Model: eliminazione costi fissi (costi d ingresso) Provider: pricing basato sulla variabilità del volume di attività vuole che i sistemi, la rete, i servizi e tutta l infrastruttura garantiscano la scalabilità necessaria a gestire: aumenti nel volume di servizi dei clienti esistenti nuovi clienti Costing Model: bassi incrementi di costo per servizi addizionali prezzi iniziali maggiori, con sconti successivi:» spinge il cliente a richiedere nuovi servizi! 20

21 Diversità di obiettivi (cont Complessità Conflitto Cliente: cont.) vuole che sistemi e servizi, anche se internamente complessi, siano semplici da gestire Provider: vuole che sistemi e servizi siano facili da mantenere da parte sua. MA difficili per il cliente da riprendere in house. e per provider competitor sostituirsi nel servizio! Facilità d uso: Sinergia Cliente: vuole che sistemi e servizi siano semplici ed intuitivi, e richiedano un training minimo e pochi interventi dell Help Desk Provider: vuole che sistemi e servizi siano semplici ed intuitivi, e richiedano poco supporto tecnico al cliente 21

22 RANKING Controllo del servizio Diversità di obiettivi (cont Disattivazione del servizio Costo del servizio Complessità del servizio Operatività del servizio Attivazione del servizio Scalabilità del servizio Facilità d uso del servizio Qualità del servizio Affidabilità del provider cont.) 22

23 Trasferimento di conoscenza Più funzioni si trasferiscono. più è difficile conservare internamente le conoscenze necessarie Per mantenere le conoscenze necessarie Piano di formazione appropriato Trasferimento conoscenze dal provider al personale interno Rotazione di personale interno presso il provider (schedulata!) Il Provider Contrario ha interesse a mantenere il cliente in uno stato di dipendenza Il Cliente: Sperimenta conseguenze negative: perdita di potere di negoziazione (costi e servizi) difficoltà a cambiare provider difficoltà a chiudere l outsourcing dipendenza dal provider (le cui strategie possono differire dalle sue!) perdita di risorse interne, etc. che hanno un costo molto alto, anche se: difficili da quantificare spesso ignorate nella fase di scelta del provider e definizione del contratto 23

24 Il Il processo di di Outsourcing 24

25 Processo di scelta Individuazione dei migliori provider Individuazione fornitori in linea con il proprio profilo aziendale Richiesta ed analisi RFI/RFP/RFQ Definizione corretta e chiara dei servizi richiesti e delle aspettative: del senior management delle business unit della direzione IT Richiesta di risposte standardizzate (per poterle confrontare!): fornire un template Valutazione affidabilità finanziaria Valutazione affidabilità a lungo termine: affidabilità economica - finanziaria del provider: tipologia di finanziamento affidabilità della nazione del provider affidabilità del personale (staff operativo) del provider affidabilità dei clienti del provider: tipologia trend e rapporto acquisizioni dismissioni gestione dismissioni 25

26 Processo di scelta (cont Valutazione affidabilità tecnica Abilità del provider a fornire i servizi richiesti: analisi clienti con caratteristiche simili analisi dislocazione geografica analisi tecnologia utilizzata Valutazione affidabilità gestionale Analisi tipologia di fornitura del servizio: inhouse nearshore offshore Analisi utilizzo subcontractors: dislocazione geografica Analisi organizzativa gestionale del provider processi IT DUE DILIGENCE cont.) 26

27 Contratto (Contenuto) Dati relativi al Contratto stesso: Approvazione, legale e manageriale, da parte del cliente e del provider Informazioni societarie del cliente e del provider Durata del contratto e possibilità estensioni Processo di modifica e risoluzione del contratto Ruolo e responsabilità delle controparti per la durata del contratto: operative / gestionali, legali, etc. Dati relativi ai Servizi richiesti: Elenco dei servizi offerti: descrizione di ciascun servizio (cosa, come, quando) Garanzia di continuità di ciascun servizio Livello di servizio richiesto, qualitativo e quantitativo (SLA) Processo di risoluzione dei problemi Penali per mancato servizio Costo del servizio e modalità di pagamento Dati relativi alla Gestione del rapporto: Livello di gestione processo di outsourcing (OLA) Standard di comunicazione tra provider - cliente - utenti Standard di reporting: contenuto, frequenza, distribuzione, etc. Diritti di accesso garantiti al cliente, controllo ed auditing 27

28 Contratto (Contenuto) Dati relativi alla Sicurezza: Policy generali di sicurezza Livello di accesso garantito al provider Procedure di protezione degli asset: misure di integrità misure di riservatezza misure di disponibilità:» Continuity - Contingency Recovery Plan» Strategie di recovery dei dati (., RTO e RPO) controlli da attivare e relativo monitoraggio Procedure per gestione e protezione: sistemi informativi (applicazioni, dati. etc.) rete, server, PC, etc. Procedure per protezione da malware: AV, AS, IDS, IPS, etc. Controlli di integrità Rischi e relativi controlli (preventivi, etc.) Procedure per monitorare e scoprire qualsiasi evento dannoso Restrizioni su copia utilizzo e disclosure dei dati Controlli di sicurezza fisica 28

29 Dati di carattere generale: Contratto (Contenuto) Modalità di trasferimento del personale Diritti di proprietà: diritti d autore (IPR: intellectual property rights) copyright, brevetti, etc. Adeguamento normativa nazionale ed internazionale (offshore) Misure di sensibilizzazione e formazione sulla sicurezza per utenti finali Misure di sensibilizzazione e formazione sulla sicurezza per provider e subcontractor Modalità di integrazione delle misure di sicurezza con Piano di Sicurezza del cliente etc. Allegato: SOW (Statement of work) Descrizione analitica delle attività del Provider 29

30 Problemi Attivazione Transizione: sovrapposizione dei servizi trasferimento di personale formazione e sensibilizzazione d-day (disattivazione servizi interni) Trasformazione: processi collaterali strategie IT Accettazione: Attività da parte dell utente finale da parte della direzione Pianificare transizione e trasformazione, coinvolgendo i vari stakeholders Ottenere l appoggio della Direzione Controllare tutto il processo Correggere quanto non adeguato: checkpoint di controllo ed aggiustamento 30

31 Esercizio (Day to day) Problemi Raggiungimento obiettivi: vedere Auditing Erogazione del servizio: Attività livello del servizio: Controllo: completezza tempestività qualità, etc. quantitativo: performance disponibilità del servizio qualitativo: affidabilità tempestività correttezza, etc.. 31

32 Auditing (in (in pratica ) 32

33 Aspetti generali Obiettivi Valutazione dei controlli attuati per ridurre i rischi associati all outsourcing, quali: disponibilità dei servizi, livello di servizio accettabile, sicurezza delle informazioni, etc-. analizzando: il loro stato di implementazione la loro efficacia Valutazione del raggiungimento degli obiettivi dell outsourcing, quali: riduzione costi, aumento produttività, nuovi servizi, qualità, tempestività, etc. focus su core business competenze, flessibilità del servizio, etc. Valutazione delle eventuali ricadute negative dell outsourcing, quali: livello di accettazione interna corretto adeguamento della Strategia IT per utilizzare al meglio l outsourcing Ambito Tutto quanto concerne un Audit IT (visto sotto l ottica outsourcing): sicurezza applicativa e dei sistemi sicurezza di rete e delle comunicazioni sicurezza fisica ed ambientale gestione dei sistemi, piano di continuità - contingency - recovery, etc. più gli aspetti specifici dell outsourcing 33

34 Aspetti specifici Valutazione Contratto Analisi dettagliata, come per qualsiasi contratto commerciale: utilizzare le check list ISO, COBIT, ISACA, etc. valutare i vari rischi dovuti ad un contratto inadeguato Valutazione SOW (Statement of work) Analisi SOW, che deve listare tutte le attività svolte dal provider: determinare le attività date in outsourcing e quelle mantenute in house accertarsi che le attività svolte dal provider siano quelle descritte nello SOW (o contratto) Valutazione affidabilità Analisi programmata dello stato finanziario del provider e della sua quota di mercato: contrallare che questa funzione sia svolta tramite una persona a ciò appositamente designata, con la dovuta cura e responsabilità controllare che i risultati siano documentati e comunicati, e comprendano: sviluppi - cambiamenti nella nazione del provider sviluppi - cambiamenti nelle aree di operatività del provider risultati (possibilmente) trimestrali del provider reporting della stampa reporting degli analisti 34

35 Aspetti specifici Valutazione sicurezza rete e comunicazioni Valutazione delle connessioni e relativa regolamentazione: analizzare, dal punto di vista della sicurezza IT, l infrastruttura di comunicazione, la sua topologia, le misure di sicurezza attivate: FW, IDS, IPS, etc. VPN, DMZ, crittografia, etc. Analisi delle estensioni virtuali della rete : la rete del provider come estensione della rete interna del cliente sua integrazione con il resto della rete di cliente e provider eventuali connessioni ad internet ed altre reti di cliente e provider Valutazione della sicurezza: analizzare le misure di sicurezza: sicurezza fisica e logica piano di continuità e di recovery, etc. analizzare i processi di verifica (schedulata periodicamente): monitoraggio preventivo (analisi log, etc.) vulnerability test penetration test incident management e reporting reporting di auditor esterni, etc. 35

36 Aspetti specifici Valutazione sicurezza dei dati Analisi privilegi di accesso per il personale del provider: utilizzo criterio del privilegio minimo (need to know and need to do) esistenza procedure specifiche di gestione di tali privilegi ( User life cycle management) esistenza procedure di gestione eventi, del cliente e del provider, che possono impattare su: riservatezza, integrità e disponibilità Valutazione dettagliata di aspetti specifici: adeguamento e complementarità policy di sicurezza e processi del provider con l infrastrutturae l organizzazione del cliente: processo di verifica preventiva (prima del contratto) e consuntiva (schedulata regolarmente) meccanismo di monitoraggio della sicurezza e dei relativi processi: da parte del cliente da parte del provider adeguamento del piano di continuità: analisi del contenuto analisi dei risultati dei test utilizzo di credenziali speciali (superuser, etc.); valutazione esistenza ed efficacia di: sistema di monitoraggio sistema di logging 36

37 Aspetti specifici Valutazione gestione del progetto Valutazione dettagliata dei vari processi (a livello di definizione ed implementazione): processi di monitoraggio e governance descritti nel contratto reporting delle misure di performance su un certo numero di mesi metodologia e calcolo dell adeguamento dei servizi con gli SLA del contratto esistenza e l applicazione di incentivi e penalità Controllo di fatture e relativi pagamenti: confronto con la normativa esistente (interna e di legge) Analisi della normativa in materia di Privacy (nelle varie nazioni interessate al contratto di outsourcing) e valutazione: applicabilità della normativa con le clausole del contratto: clausole di riservatezza, non disclosure, etc. applicazione della normativa misure implementate e relativo adeguamento (efficacia ed efficienza) valutazione clausole relative a: nondisclosure agreement, brevetti, proprietà intelletuale, etc. 37

38 Valutazione Benefici Aspetti specifici Revisione dei benefici attesi (motivazioni outsourcing) e verifica: esistenza misure appropriate e responsabilità per misurare i benefici efficacia della metodologia usata: aspetti qualitativi e quantitativi (metriche), monetari e di qualità approvazione da parte del management Valutazione soddisfazione del cliente Valutazione del grado di soddisfazione dell utente finale attraverso: processi di feedback analisi specifiche (survey) Controllo esistenza di tali processi e valutazione metodologia usata Valutazione impatto tecnologico Valutazione integrazione outsourcing nella strategia di business aziendale e nella strategia IT del cliente: scenario IT generale prima (audit precedenti) e dopo l attivazione dell outsourcing attività di management dell outsourcing, e nello specifico: chiarezza sul da fare responsabilità definite 38

39 Risk Risk Management 39

40 Dal Risk Assessment al Risk Management Risk assessment Attività puntuale: svolta di norma prima della stipula del contratto che dovrebbe essere rischedulata a tempo Confronto provider con un set di rischi predefinito: provider: servizi e prodotti contratto (SLA & OLA) criteri di rischio: Ranking: servizi critici servizi ad alto valore (monetario) affidabilità del provider, etc. rischio alto: necessità di risk management rischio medio: risk management come strategia di miglioramento rischio basso: risk analysis schedulata 40

41 Dalla Risk Analysis al Risk Management Risk management Processo continuativo: metodo (sotto-processi ed attività ben definite) controllo (metriche) Aspetti principali: gestione provider: due diligence auditing & reporting analisi statistiche (trend, etc.) gestione SLA: definizione KPI (key performance indicator) individuazione Cost Drivers controllo SLA:» quantitativo» qualitativo gestione contratto: negoziazione - rinegoziazione adeguamento obiettivi gestione contabile finanziaria:» pricing, sconti, etc.» fatturazione, pagamenti, etc. 41

42 Capire l outsourcing Le sfide dell outsourcing L outsourcing presenta delle sfide, qualunque sia il servizio che viene esternalizzato: il superamento di queste sfide rende l outsourcing una strategia vincente Le strategie vincenti Capire i rischi nascosti: l outsourcing può influenzare altri processi di business, i propri clienti, la reputazione stessa dell azienda Raggiungere gli obiettivi di performance operativa: non solo confrontando i servizi ricevuti con gli SLA.. ma confrontandoli con gli obiettivi di servizio verso i clienti Raggiungere la soddisfazione degli utenti: livelli di servizio che soddisfano i requirement contrattuali non necessariamente soddisfano le necessità degli utenti: o di altri settori importanti di business Controllare e ridurre i costi: almeno nella percentuale prevista (uno dei motivi dell outsourcing) Capire, quantificare e comunicare correttamente i benefici raggiunti 42

43 I motivi di fallimento (alcuni) Capire l outsourcing Outsourcing di una funzione strategica: il core business deve rimanere in-house! Outsourcing di una funzione o di un servizio che da problemi o che non si conosce perfettamente; in questo caso è necessario: sistemare la situazione in house, e comprenderne esattamente tutti i processi, prima di esternalizzare (la tendenza ad esternalizzare ciò che non funziona è pericolosa per l impossibilità di comunicare esattamente i requisiti) Conoscenza TCO insufficiente (e conseguentemente errata definizione percezione dei benefici attesi - ricevuti); è necessario: definire con precisione i costi attuali e i benefici attesi adottare metodo di controllo standardizzato (metriche, etc.) Incomprensione sui livelli di servizio; è necessario: stabilire un periodo di parallelo stabilire dei checkpoint periodici iniziali: per analisi valutazione ed aggiustamento Processo di esternalizzazione inadeguato: mancanza o debolezza di qualche fase: pianificazione, analisi di mercato, analisi del rischio, scelta di strategie, scelta del provider, gestione transizione, controllo, etc. Gestione del contratto inadeguata: in qualche sua fase: definizione, negoziazione, gestione, controllo Risk assessment iniziale mancante o incompleto; in questo caso: si può sbagliare provider si può sbagliare outsourcing (servizi, SLA, etc.) 43

44 Rischi e relativa gestione (contromisure) Outsourcing Data Storage Rischio molto alto: distruzione, perdita, accessi non autorizzati, disclosure, etc. Controlli - Contromisure: contratto: diritti di accesso, proprietà, auditing, etc. BCP/DRP, sicurezza fisico logica Outsourcing Sviluppo e gestione SW Rischio alto molto alto diritti di proprietà, disclosure, funzionalità, etc. Controlli Contromisure: contratto: proprietà (ownership), non disclosure, auditing, etc. Outsourcing Infrastruttura (CED,.) Rischio medio alto disponibilità, performance, etc. Controlli Contromisure: contratto: auditing, etc. BCP/DRP, sicurezza fisico logica 44

45 Rischi e relativa gestione (contromisure) Outsourcing Rete e comunicazioni Rischio medio alto hacking, DoS, etc. disponibilità, performance Controlli Contromisure: BCP/DRP, sicurezza fisico logica (FW, IDS, IPS, AV, AS, etc.). VPN, Crittografia, etc. Outsourcing HW / SW provisioning Rischio basso prezzo non competitivi, scarsa qualità, etc. Controlli Contromisure: SLA, pagamenti, penali, etc. Outsourcing altri servizi Rischio medio alto in funzione del tipo di servizio Controlli Contromisure: in funzione del tipo di servizio 45

46 Governance 46

47 Outsourcing Governance Definizione Definizione ITGI (IT Governance Institute): IT Governance: the leadership and organisational structures and processes that ensure that the organisation s IT sustains and extends the organisation s strategies and objectives L outsourcing governance fa parte dell IT Governance Obiettivo Identificare, gestire, controllare e comunicare tutte le informazioni (e gli aspetti) relativi al processo di outsourcing Controllare e gestire le relazioni tra cliente e provider Garantire che tutti gli aspetti contrattuali (SOW, SLA, OLA, etc.) siano monitorati in modo continuativo attraverso processi di auditing definiti Caratterizzazione Processi di governance di alto livello: gestione delle relazioni gestione del delivery dei servizi gestione dei contratti Processi di governance specifici: ciclo di vita di Policy & Procedure compliance management performance & environment management business control change control 47 analisi contabili finanziarie, etc.

48 Outsourcing Governance Organizzazione E necessario definire un organizzazione che sia responsabile di tutte le attività: decisionali di controllo (adeguamento servizi obblighi contrattuali) di escalation (soluzione problemi), etc.. integrandole in un approccio basato sul Risk Management Tale organizzazione deve essere formalizzata e deve avere: la giusta responsabilità la giusta autorità (ed autorevolezza) la giusta visibilità il potere necessario a svolgere i suoi compiti in modo efficace. deve essere esplicita ed avere la sponsorizzazione del management. strutturata eventualmente su più livelli: locale (gestione operatività ed issue day-by-day) regionale (a livello di divisione, regione o nazione),.., globale Revisione Per mantenere invariata nel tempo l efficacia, è necessario prevedere processi di revisione dell organizzazione e delle attività di governance 48

49 Outsourcing Governance Ruoli e responsabilità Variano in funzione dei servizi e delle funzioni da esternalizzare, e in base a: complessità dei servizi volumi delle transazioni Alcuni ruoli e responsabilità sono comunque comuni, e si applicano sia al cliente che al provider sono fondamentali per l implementazione e la gestione dei processi di outsourcing: sono legati ad indicatori di rischio e relative soluzioni devono sempre esistere da ambo le parti (esperienza pratica) Ruoli comuni: Executive sponsor Program manager Delivery manager Contract manager Transformation manager Service manager Communication manager Finance manager 49

50 Attività Generali Individuazione e gestione di tutti gli attori coinvolti nel processo di outsourcing Definizione chiara di ruoli e responsabilità per tutte le fasi del processo Allocazione delle risorse necessarie Valutazione continuativa di performance, costi, soddisfazione dell utente, efficacia, etc. Comunicazione appropriata verso tutti le persone coinvolte nel sistema Revisione continua del contratto per garantire affidabilità, miglioramento e benefici reciproci Gestione delle relazioni per garantire che gli obblighi contrattuali sono soddisfatti (SLA, OLA, etc.) Specifiche Asset management Contract management Relationship management SLAs & OLAs management Due Diligence (DD) Baselining & Benchmarking 50

51 Conclusioni 51

52 Trends Riduzione dei costi e controllo sono ancora importanti MA ci sono molti cambiamenti: outsourcing visto come strumento di business focus sul core business multisourcing: coinvolgimento di più provider E necessario organizzare l outsourcing governance: non c è scarico di responsabilità nell outsourcing: occorre considerare tutti gli obblighi normativi nel governo dell outsourcing l utilizzo dell offshore deve essere attentamente valutato (nazioni emergenti: cosa succederà nel lungo termine?) L ambiente normativo sta cambiando, e sta cambiando il concetto di ciò che è desiderabile, accettabile e cost-effective: il costo non è più un parametro sufficiente ci sono nuovi parametri: protezione dati e persone, stabilità geografica e politica, etc. Evoluzione: Fase 1: servizi di grandi dimensioni (volumi) Fase 2: servizi più granulari, miglior controllo, maggior responsabilità Fase 3: insieme di servizi specializzati, controllo integrato, 52 condivisione rischi con il provider

53 Grazie 53