Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti

Transcript

1 L adozione di COBIT come strumento di IS Governance. Stato dell arte, risultati e fattori critici di successo nelle esperienze analizzate. Elisa Pozzoli, Gianluca Salviotti Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti

2 Agenda Premessa Il percorso di adozione di COBIT I benefici di adozione di COBIT Punti di forza, punti di debolezza e aree di criticità Conclusioni Copyright SDA Bocconi Elisa.Pozzoli Gianluca Salviotti 2

3 Toolkit Tool COBIT Core Domains & Processes COBIT Core Control Objectives COBIT Core Maturity Models COBIT Core Outcome Measures COBIT Core Performance Indicators Val IT Value Governance Val IT Portfolio Management Val IT Investment Management Obiettivo Aziendale Acquire, Develop and Retain Human Capital Enabling Flexibility and Future Options Improve Customer Loyalty Increase Revenues Increasing Company Value - Intangible Increasing Company Value - Tangible Ensure Compliance with Internal Policies Ensure Compliance with Regulation Ensure Risk Management Improve Company Reputation Improve Customer Satisfaction Improve Supply Side Relationship Increase Company Profitability Ensure Cost Control - Goods sold Ensure Cost Control - Other Tipo Crescita Crescita Crescita Crescita Crescita Crescita Efficacia Efficacia Efficacia Efficacia Efficacia Efficacia Efficacia Efficienza Efficienza Obiettivo IT IS Alignment with Business IT Security IT Cost Control Compliance Risk Management Develop Human Capital Maintain IS Value Communication and Trasparency Manage Sourcing Strategies User Satisfaction Premessa I risultati di seguito presentati emergono dai Focus Group e dall analisi dei casi aziendali Le evidenze riportate hanno natura qualitativa e riguardano le esperienze di introduzione di COBIT ANALISI DESK DELLA LETTERATURA STUDIO DI FATTIBILITA MODELLO DI RICERCA VALIDAZIONE/ AFFINAMENTO FOCUS GROUP 1 VALIDAZIONE/ AFFINAMENTO VALIDAZIONE/ AFFINAMENTO FOCUS GROUP 2 SELEZIONE E ANALISI CASI Copyright SDA Bocconi Elisa.Pozzoli Gianluca Salviotti 3

4 Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti Il percorso di adozione di COBIT

5 Il percorso di adozione di COBIT (COBIT Waves SDA Bocconi School of Management) - MATURITÁ PROCESSI IT + Compliance Process/Performance Improvement Risk Management Approccio integrato Governance, Risk e Compliance - SCOPE ORGANIZZATIVO + Copyright SDA Bocconi Elisa.Pozzoli Gianluca Salviotti 5

6 Wave 1 Compliance In questa fase l adozione di COBIT supporta l adeguamento normativo In particolare a SOX e 262 Le prime attività sono finalizzate a introdurre il sistema dei controlli (approccio progettuale) implementazione dei control objectives gestione della relazione con gli auditor set-up di strutture interne deputate al controllo Seguono attività di ottimizzazione e affinamento del sistema dei controlli (approccio manageriale) risorse dedicate alle attività di controllo numero di controlli implementati tempo dedicato alle attività di controllo Copyright SDA Bocconi Elisa.Pozzoli Gianluca Salviotti 6

7 Wave 2 Process/Performance improvement In questa fase si amplia il numero di attività sottoposte a controllo Aumenta la consapevolezza della validità del sistema di controlli proposto da COBIT come strumento di assessment a supporto delle iniziative di miglioramento dell IT riduzione dei costi operativi, incremento della produttività delle risorse, aumento della soddisfazione degli utenti, miglioramento della sicurezza IT, In questa fase COBIT viene utilizzato in affiancamento ad altri framework che forniscono delle best practices di processo a copertura di aree specifiche Copyright SDA Bocconi Elisa.Pozzoli Gianluca Salviotti 7

8 Wave 3 Risk Management In questa fase si sperimenta un ulteriore step nell utilizzo di COBIT I controlli COBIT sono utilizzati nella fase di risk assessment per individuare i rischi relativi ai processi IT impostare le azioni di mitigazione del rischio IT ridurre il livello di esposizione al rischio delle attività IT Copyright SDA Bocconi Elisa.Pozzoli Gianluca Salviotti 8

9 Wave 2 Process/Performance improvement Il ruolo di COBIT come meta-framework (1) Non sembra esistere un framework di processo che consenta di indirizzare adeguatamente le esigenze delle aziende in termini di IS Governance La ricerca conferma la propensione delle aziende all utilizzo congiunto dei diversi framework di processo disponibili, in funzione dei punti di forza e delle specificità di ciascuno di essi COBIT si è rivelato nelle esperienze analizzate un metaframework che ha consentito il dialogo e l integrazione degli altri IT framework già presenti o successivamente introdotti in azienda COBIT + ITIL nella strutturazione dei processi operativi (dominio DS) Complementarietà di COBIT e ITIL rispetto ad altri framework maggiormente focalizzati sulla qualità aziendale (ISO9001) e sulla sicurezza del sistema informativo (ISO27000) Copyright SDA Bocconi Elisa.Pozzoli Gianluca Salviotti 9

10 Wave 2 Process/Performance improvement Il ruolo di COBIT come meta-framework (2) COSO Enel COBIT COME? ISO Enel Tiscali (In progress) Tiscali Alcon Intesa San Paolo CMMI Tiscali Generali ISO 9001 COSA? ITIL SCOPE Adattato da ITGI, 2007 Copyright SDA Bocconi Elisa.Pozzoli Gianluca Salviotti 10

11 Wave 4 Governance Risk & Compliance In questa fase la dimensione di processo rappresenta il punto di riferimento fondamentale per valutare la governabilità dell IT la compliance alle normative il grado di esposizione al rischio dell IT Approccio riscontrato solo in realtà aziendali in cui l IT ha un impatto significativo sull azienda e in cui COBIT è stato utilizzato come uno strumento non solo di audit, ma di IS Governance gestito internamente Copyright SDA Bocconi Elisa.Pozzoli Gianluca Salviotti 11

12 Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti Il benefici di adozione di COBIT

13 I benefici di adozione di COBIT Nella fase di compliance l adozione di COBIT (imposta o spontanea) ha l obiettivo esplicito di supportare la risposta dell IT a specifiche normative (benefici attesi) Nelle fasi successive emergono opportunità di miglioramento stimolate dalla prima esperienza di introduzione (benefici emergenti) Benefici Attesi Benefici Emergenti Copyright SDA Bocconi Elisa.Pozzoli Gianluca Salviotti 13

14 Benefici attesi (1) COMPLIANCE L adozione di COBIT si conferma un passaggio cruciale nel percorso di implementazione di un modello aziendale di IS Governance in grado di allineare il sistema informativo ai vincoli posti dal contesto esterno Copyright SDA Bocconi Elisa.Pozzoli Gianluca Salviotti 14

15 Benefici attesi (2) e se venissero meno i vincoli di compliance? L orientamento è stato quello di mantenere l utilizzo di COBIT, in quanto il suo contributo è stato ritenuto fondamentale per il governo dei sistemi informativi e, soprattutto, per anticipare alcune nuove necessità di compliance. Anche dopo il perfezionamento delle operazioni di deregistration, abbiamo optato per mantenere il sistema dei controlli interni, in quanto coerente con le richieste espresse dalla legge n. 262/05 Copyright SDA Bocconi Elisa.Pozzoli Gianluca Salviotti 15

16 Benefici emergenti (1) Benefici derivanti dall adozione di COBIT Esempi aziendali Miglioramento dei processi IT - Esplicitazione di carenze operative e formali nell IT e individuazione delle aree di miglioramento (Intesa San Paolo) - Preparazione della funzione IT ad erogare servizi IT di qualitàal mercato esterno (Tiscali) - Evidenza delle opportunitàdi ridisegno dei processi IT (Alcon Group) - Miglioramento dei processi IT preesistenti (Enel) Copyright SDA Bocconi Elisa.Pozzoli Gianluca Salviotti 16

17 Benefici emergenti (2) Benefici derivanti dall adozione di COBIT Esempi aziendali Miglioramento delle performance operative dell IT - Riduzione degli incidente riduzione delle risorse dedicate alle attivitàdi supporto (Intesa San Paolo) - Incremento di efficienza operativa (Tiscali) - Maggior certezza delle attivitàda svolgere e maggior possibilitàdi controllare quanto realizzato (Enel) Copyright SDA Bocconi Elisa.Pozzoli Gianluca Salviotti 17

18 Benefici emergenti (3) Benefici derivanti dall adozione di COBIT Esempi aziendali Miglioramento della relazione tra funzione IT e funzioni di Business - Miglior utilizzo del SW da parte degli utenti (intesa San Paolo) - Migliore allocazione delle risorse aziendali, con focus sulle prioritàdel cliente (Tiscali) - Responsabilizzazione delle divisioni di business (Tiscali) - Chiara definizione di ruoli e responsabilitàreciproche del business e della struttura di Demand e Delivery (Enel) Copyright SDA Bocconi Elisa.Pozzoli Gianluca Salviotti 18

19 Benefici emergenti (4) Benefici derivanti dall adozione di COBIT Esempi aziendali Estensione del perimetro di controllo IT - Armonizzazione dei diversi processi IT seguiti in azienda (Generali) - Creazione di un glossario condiviso (Enel) - Strutturazione di processi omogenei su tutte le affiliate (Alcon Group) Copyright SDA Bocconi Elisa.Pozzoli Gianluca Salviotti 19

20 Benefici emergenti (5) Benefici derivanti dall adozione di COBIT Esempi aziendali Miglioramento della capacitàdi reazione dell IT - Semplificazione delle attività di Risk Assessment (Enel) - Semplificazione delle operazioni di integrazione di nuove società (Enel) Copyright SDA Bocconi Elisa.Pozzoli Gianluca Salviotti 20

21 Punti di forza, punti di debolezza e aree di criticità Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti

22 Punti di forza e di debolezza di COBIT Punti di forza Ampiezza Versatilitàdi utilizzo Glossario standard Punti di debolezza Profondità Ridondanza di alcuni controlli Comprensibilità di alcuni controlli Omogeneitàdella struttura Integrabilità con altri framework Copyright SDA Bocconi Elisa.Pozzoli Gianluca Salviotti 22

23 Criticità di introduzione vs Fattori Critici di Successo Criticità di introduzione Fattori critici di Successo Resistenza al cambiamento Committment aziendale Eterogeneità dei processi IT - Readiness dei Sistemi Informativi a processi di auditing e controllo - Creazione di ruoli ad hoc con responsabilitàdi applicazione dei controlli (control owner) - Sponsorship dalle funzioni aziendali - Chiara suddivisione delle responsabilità tra business e IT - Legittimazione della funzione SI ad intraprendere azioni correttive su tutto lo scope dei processi IT - Coesione dei team di IS Audit e di IS Governance - Pre-esistenza di un orientamento alla strutturazione dei processi IT Copyright SDA Bocconi Elisa.Pozzoli Gianluca Salviotti 23

24 Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti Conclusioni

25 In generale Il framework è progettato per agevolare l applicazione di controlli ai principali processi IT e resta fedele alla sua missione, contribuendo, in ognuna delle esperienze di adozione esaminate nella ricerca, a raggiungere l obiettivo di compliance dell IT I benefici che si affiancano a quello di compliance, non sempre ricercati in modo esplicito dalle aziende, dimostrano come un adozione matura di COBIT possa condurre a risultati di assoluto interesse per la funzione sistemi informativi e per l intera azienda In questo senso occorre una spinta alla diffusione di COBIT come framework di processi IT Scarsamente adottato in questa logica nelle esperienze analizzate, più orientate alla logica dell audit Copyright SDA Bocconi Elisa.Pozzoli Gianluca Salviotti 25

26 Quali azioni intraprendere? Costruire una relazione di collaborazione Audit-Sistemi Informativi finalizzata all individuazione delle aree di miglioramento dei processi IT Far leva sui benefici di compliance e sui control objectives per promuovere un utilizzo più ampio del framework COBIT (approcci, processi e strumenti) Promuovere il ruolo di meta-framework di COBIT per la progettazione e l implementazione di un modello aziendale di governo dei processi IT, diffondendo i punti di forza del framework e lavorando sui punti di debolezza Contribuire alla diffusione delle best-practices di adozione di COBIT, anche come strumento di allineamento Copyright SDA Bocconi Elisa.Pozzoli Gianluca Salviotti 26