Fattori critici di successo

Transcript

1 CSF e KPI

2 Fattori critici di successo Critical Success Factor (CSF) Definiscono le azioni o gli elementi più importanti per controllare i processi IT Linee guida orientate alla gestione del processo Devono essere definite in questa fase le cose più importanti per raggiungere gli obbiettivi del processo, dal punto di vista: Strategico Tecnico Organizzativo Procedurale 2

3 Fattori critici di successo Saranno quindi definiti: Processi definiti e documentati Politiche definite e documentate Chiare competenze Forte supporto impegno dei responsabili Idonea comunicazione Coerenti pratiche di comunicazione 3

4 Indicatori chiave di obbiettivo Key Goal Indicator (KGI) Definiscono le misure per indicare ai responsabili se un processo IT ha soddisfatto i requisiti aziendali Orientati all IT ma guidati dalle esigenze di business Espressi in termini di: Disponibilità Integrità e Riservatezza Efficienza economica dei processi e delle operazioni Conferma dei criteri di affidabilità, efficacia e conformità KGI dice se abbiamo raggiunto l obbiettivo 4

5 Indicatori chiave di Prestazione Key Performance Indicators (KPI) Indicano ai responsabili che il processo IT sta raggiungendo i suoi obbiettivi aziendali È un controllo a priori, misura le prestazioni dei fattori abilitanti dei processi IT Spesso questi indicatori sono una misura per i fattori critici di successo (anche se non c è un rapporto diretto tra CSF e KPI) KPI dice quanto bene il processo si sta evolvendo 5

6 ESEMPIO: frequentare l università Obbiettivo di alto livello laurearsi in un tempo ragionevole e con un voto dignitoso CSF motivazione personale genitori assillanti frequenza costante delle lezioni studio giorno per giorno 6

7 ESEMPIO: frequentare l università KPI votazione media rapporto numero esami superati / anni KGI voto di laurea obiettivo tempo di permanenza all università obiettivo 7

8 Auditing Importante funzione aziendale di assistenza al management Salvaguardia delle risorse aziendali Verifica di accuratezza delle registrazioni contabili Sviluppo di migliorie operative Verifica di aderenza a policy aziendali e regolamenti esterni CobiT - Cappellazzo Pietro 8

9 Rischi e Controlli Rischio Possibilità che un evento indesiderato possa causare perdita o danno Controllo Prassi, procedura, strumento tecnico, policy attuata per mitigare il rischio Rischio residuo Componente del rischio che non risulta mitigata dai controlli in atto CobiT - Cappellazzo Pietro 9

10 ESEMPIO: Attraversamento di una strada Valutazione dei rischi Attraversare una statale in ora di punta ALTO Attraversare una strada di campagna poco frequentata MEDIO Attraversare il parcheggio di un supermercato BASSO Valutazione dei controlli Guardare a destra e sinistra prima di attraversare FORTE Attraversare sulle strisce zebrate (occhi chiusi) DEBOLE Attraversare al semaforo (occhi chiusi) FORTE CobiT - Cappellazzo Pietro 10

11 ESEMPIO: Attraversamento di una strada Applichiamo il modello ad un caso specifico: Viale a 3 corsie per senso di marcia. E possibile effettuare l attraversamento pedonale sulle strisce oppure al semaforo. 11

12 ESEMPIO: Attraversamento di una strada Completiamo quindi la fase di audit: L auditor ha analizzato il processo e ha verificato che il controllo attuato dal management (attraversamento sulle strisce) è debole L auditor comunica al management che il rischio residuo è alto Il management può decidere che investendo delle risorse (spostarsi un po più avanti dove c è un semaforo) può abbassare il livello di rischio residuo Ora la decisione di investimento, opportunamente motivata, spetta al management CobiT - Cappellazzo Pietro 12

13 Audit Guidelines Le linee guida per l AUDIT sono la semplice applicazione del framework di CobiT Sono generiche, di alto livello, richiedono di fornire al management l assicurazione che determinati obbiettivi di controllo vengano raggiunti Forniscono una guida per preparare il Piano di Audit 13

14 Audit Guidelines Obbiettivi delle Audit Guidelines: Fornire al managment una ragionevole assicurazione che gli obbiettivi di controllo sono raggiunti Indicare al Management azioni correttive Avere comprensione dei requisiti di Business in relazione ai Rischi e relative misure di controllo Valutare l appropriato stato dei controlli Avere certezza che gli obbiettivi di controllo lavorano come prescritto 14

15 Cos è CobiT COBIT: Control Objectives for Information and related Tecnology È una raccolta di manuali sviluppati per dare un aiuto alle organizzazioni nel gestire i rischi dell IT Inoltre controlla che i processi IT siano coerenti con gli obbiettivi business dell azienda 15

16 A chi è destinato CobiT Management Per fornire un modello che aiuti nella comprensione dei rischi e una metodologia per la migrazione Utenti Per analizzare il livello di sicurezza e la qualità dei controlli in atto dei servizi IT di cui si usufruisce Auditor Per fornire una base metodologica all analisi delle organizzazioni e dei sistemi IT, e fornire dei suggerimenti per il miglioramento dei controlli CobiT - Cappellazzo Pietro 16

17 Organizzazione del CobiT Executive Summary Descrizione generale della metodologia Framework Descrizione del metodo, con la descrizione degli obbiettivi di controllo di alto livello Control Objectives Descrizione dei controlli minimi da adottare, Obbiettivi di controllo di dettaglio Audit Guidelines Descrizione degli obbiettivi di controllo di Audit Implementation Tool Set Come si utilizza la metodologia COBIT Managment Guide Descrizione degli obbiettivi di controllo per il managment 17

18 IT Governance Definizione di IT governance per il modello CobiT Struttura di relazioni e di processi per dirigere e controllare l azienda al fine di raggiungere gli scopi della stessa apportando valore e bilanciando Rischi e Benefici dell IT e dei suoi processi L IT è strategico per il business Aumentano le dipendenze con le informazioni e i sistemi L IT coinvolge grandi investimenti e grandi rischi La tecnologia si evolve in continuazione, Cambia le organizzazioni e le pratiche di Business La tecnologia può diventare inadeguata molto velocemente 18

19 IT Governance - framework - È un ciclo continuo, in cui: Si definiscono gli obbiettivi Si pianificano le attività Si svolgono le attività Si misurano i risultati Si fanno gli adeguati confronti 19

20 Definizione Controllo politiche, procedure, prassi e strutture organizzative che forniscono garanzia nel raggiungere gli obbiettivi aziendali Obiettivo di controllo nell IT: declaratoria del risultato atteso o dell obiettivo atteso, l implementazione di una procedura di controllo in una particolare attività IT 20

21 CobiT: il framework Il modello CobiT è strutturato in: 4 Domini 34 Processi 318 Obbiettivi di controllo CobiT - Cappellazzo Pietro 21

22 Principi della metodologia CobiT - definizioni - Efficacia Le informazioni devono essere rilevanti e pertinenti ai processi aziendali Efficienza Riguarda l uso ottimale delle risorse (Produttività/Economicità) Riservatezza Protezione delle informazioni da accessi non autorizzati Integrità Accuratezza e Completezza delle informazioni Disponibilità L informazione deve essere disponibile quando viene richiesta dai processi aziendali Conformità Rispetto a leggi, regolamenti, accordi contrattuali a cui è soggetta l azienda Affidabilità Fornitura di appropriate informazioni alla direzione, per far fronte alle proprie responsabilità 22

23 Principi della metodologia CobiT - risorse - Dati Oggetti di più ampia accezione strutturati e non, grafici, multimediali Applicazioni Sistemi comprensivi di procedure manuali e automatiche Tecnologia Hardware, SO, DB, management system, networking, multimedia Infrastrutture Risorse destinate ad ospitare e garantire il funzionamento dei sistemi informatici Risorse umane Conoscenze, professionalità e produttività necessarie a pianificare, organizzare, acquisire, erogare, gestire e governare il sistema informativo e i relativi servizi 23

24 Domini CobiT: PO Pianificazione & Organizzazione Strategia e tecnica Come l IT può contribuire al raggiungimento degli obbiettivi aziendali Visione strategica con la pianificazione da parte del Managment 24

25 Domini CobiT: PO - Processi - Criteri informazione Risorse IT DOMINI Cod. PROCESSI Pianificazione & Organizzazione P01 Definizione del piano strategico per l IT P S V V V V V P02 Definizione dell architettura informativa P S S S V V P03 Definizione dell indirizzo tecnologico P S V V P04 Definizione dell organizzazione IT e delle sue relazioni P S V P05 Gestione degli investimenti IT P P S V V V V P06 Comunicazione degli indirizzi e degli obiettivi del management P V P07 Gestione delle risorse umane P P V P08 Conformità a leggi e norme P P S V V P09 Valutazione dei rischi S S P P P S S V V V V V P10 Gestione dei progetti P P V V V V P11 Gestione della qualità P P P S V V V V Efficacia Efficienza Riservatezza Integrità Disponibilità Conformità Affidabilità Risorse Umane Applicazioni Tecnologia Infrastruttura Dati P aspetto primario S aspetto secondario V risorsa coinvolta 25

26 Domini CobiT: AI Acquisizione & Implementazione Identificare delle soluzioni IT da sviluppare o acquistare Gestione del cambiamento dei sistemi 26

27 Domini CobiT: AI - Processi - DOMINI Cod. PROCESSI Efficacia Criteri informazione Efficienza Riservatezza Integrità Disponibilità Conformità Affidabilità Risorse Umane Risorse IT Acquisizione & Implementazione AI1 Identificazione delle soluzioni P S V V V AI2 Acquisizione e manutenzione del software applicativo P P S S S V AI3 Acquisizione e manutenzione dell'architettura tecnologica P P S V AI4 Sviluppo e manutenzione delle procedure IT P P S S S V V V V AI5 Installazione e validazione dei sistemi P P S S V V V V V AI6 Gestione del cambiamento P P P P S V V V V V Applicazioni Tecnologia Infrastruttura Dati P aspetto primario S aspetto secondario V risorsa coinvolta CobiT - Cappellazzo Pietro 27

28 Domini CobiT: DS Erogazione e Assistenza (Delivery & Support) Gestione degli aspetti operativi dell erogazione del servizio Gestione della sicurezza dei sistemi CobiT - Cappellazzo Pietro 28

29 Domini CobiT: DS - Processi - DOMINI Cod. PROCESSI Efficacia Criteri informazione Efficienza Riservatezza Integrità Disponibilità Conformità Affidabilità Risorse Umane Risorse IT Erogazione & Assistenza (DS) DS1 Definizione dei livelli di servizio P P S S S S S V V V V V DS2 Gestione dei servizi di terze parti P P S S S S S V V V V V DS3 Gestione delle prestazioni e del dimensionamento P P S V V V DS4 Gestione della continuità del servizio P S P V V V V V DS5 Gestione della sicurezza dei sistemi P P S S S V V V V V DS6 Identificazione e attribuzione dei costi P P V V V V V DS7 Formazione ed addestramento degli utenti P S V DS8 Assistenza e consulenza agli utenti P P V V DS9 Gestione della configurazione P S S V V V DS10 Gestione di anomalie ed incidenti P P S V V V V V DS11 Gestione dei dati P V DS12 Gestione delle infrastrutture P P V DS13 Attività operative e di sala macchine P P S S V V V V Applicazioni Tecnologia Infrastruttura Dati P aspetto primario S aspetto secondario V risorsa coinvolta CobiT - Cappellazzo Pietro 29

30 Domini CobiT: MO Monitoraggio Valutazione periodica dei processi IT Verifica di conformità con gli obbiettivi di controllo CobiT - Cappellazzo Pietro 30

31 Domini CobiT: MO - Processi - DOMINI Cod. PROCESSI Monitoraggio Efficacia Criteri informazione Efficienza Riservatezza Integrità Disponibilità Conformità Affidabilità Risorse Umane Risorse IT M1 Monitoraggio dei processi P P S S S S S V V V V V M2 Valutazione dell adeguatezza dei controlli interni P P S S S P S V V V V V M3 Certificazione da terze parti P P S S S P S V V V V V M4 Revisione indipendente dei controlli interni P P S S S P S V V V V V Applicazioni Tecnologia Infrastruttura Dati P aspetto primario S aspetto secondario V risorsa coinvolta CobiT - Cappellazzo Pietro 31

32 Obbiettivi di controllo Per ogni processo, il modello CobiT introduce degli obbiettivi di controllo minimi per il processo stesso Per ogni processo sono definiti da 3 a 30 obbiettivi di controllo Ogni obiettivo di controllo rappresenta requisiti che dovrebbero essere soddisfatti dai controlli in atto Non sono mai fatti riferimenti a piattaforme tecnologiche CobiT non dice quali siano i controlli da prevedere in un processo dice gli obiettivi cui i controlli devono soddisfare CobiT - Cappellazzo Pietro 32

33 Obbiettivi di controllo - esempio - Delivery & Support DS2 Gestione dei servizi di terze parti Obiettivo di controllo 4 Requisiti delle terze parti La Direzione dovrebbe assicurare che, prima della selezione, le potenziali terze parti siano qualificate in modo appropriato attraverso una valutazione delle loro capacità di erogare i servizi richiesti. Non sono specificati rischi, ma sono deducibili: La selezione di un fornitore non affidabile comporta il rischio che il servizio sia erogato con qualità scadente o non sia erogato, con possibili perdite economiche dirette o indirette per l azienda CobiT - Cappellazzo Pietro 33

34 Management Guidelines Le linee guida per il managment sono costituite da: Modelli di maturità Fattori critici di successo (CSF) Indicatori chiave di obbiettivo (KGI) Indicatori chiave di Prestazione (KPI) Tutto questo fornisce un quadro di riferimento per i responsabili per poter controllare e misurare l IT CobiT - Cappellazzo Pietro 34

35 Modelli di maturità Maturity Model Il controllo dei processi IT è basato sullo sviluppo di un metodo a punteggi L azienda può valutare il livello di ogni processo e/o dell azienda stessa 35