Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Transcript

1 Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 3 Marco Fusaro KPMG S.p.A. 1

2 IT Governance IT Governance E il processo di gestione aziendale che ha come obiettivo garantire l ottenimento dei benefici che l uso delle tecnologie può comportare. Oltre agli oggetti più strettamente tecnologici, riguarda: Organizzazione Politiche Procedure Standard Le cose possono andare bene perché sono fortunato o perché sono stato bravo ( ricordiamoci però la legge di Murphy ) Significa: Si deve lavorare per raggiungere gli obiettivi controllando in modo fattivo i rischi. 2

3 IT Governance Chi è coinvolto nel processo di IT Governance? Nel processo di IT Governance possono essere coinvolte tutte le entità aziendali, a qualunque livello, ma la responsabilità è degli azionisti e del management. Il processo di IT Governance E un ciclo continuo Pianificare attività Definire obiettivi Confrontare Svolgere le attività Misurare i risultati 3

4 IT Governance Quali obiettivi sono posti all IT? Le risorse messe a disposizione dell IT devono essere usate in modo efficace (fornendo valore all azienda) e efficiente (contenendo i costi). Inoltre si deve agire così da controllare i rischi IT in modo adeguato. 4

5 Strumenti per l IT Governance In questo corso non saranno trattati in modo analitico e completo gli strumenti per l IT Governance: ci si limiterà a trattare modelli per l analisi dell IT (dal punto di vista organizzativo). In particolare sarà trattato il CobiT: è diffuso è autorevole è usato!!! Il CobiT costituisce: un modello per l analisi delle organizzazioni IT uno strumento a supporto della gestione dell IT (best practice) 5

6 CobiT Control Objectives for Information and related Technologies 1 edizione nel 1996 oggi siamo alla 3 edizione (Luglio 2000) realizzato dall ISACA ( membri in 100 paesi) scopo: fornire uno strumento per la comprensione e la gestione dei rischi IT 6

7 CobiT Cos è? Una raccolta di manuali: Executive Summary Framework Control Objectives Guidelines Implementation Tool Set Audit Guidelines Ad esclusione delle Audit Guidelines che devono essere acquistate, gli altri documenti possono essere scaricati liberamente dal sito ISACA (in PDF). 7

8 CobiT A chi è destinato il CobiT? Utenti Auditor per fornire un modello che aiuti nella comprensione dei rischi e fornisca una base metodologica per la mitigazione per analizzare il livello di sicurezza e la qualità dei controlli in atto dei servizi IT di cui si usufruisce per fornire una base metodologica all analisi delle organizzazioni e dei sistemi IT e per fornire dei suggerimenti per il miglioramento dei controlli 8

9 IT Audit La funzione auditing E una importante funzione aziendale di assistenza al management: nella salvaguardia delle risorse aziendali nella verifica di accuratezza delle registrazioni contabili nello sviluppo di migliorie operative nella verifica di aderenza a policy aziendali e regolamenti esterni E una funzione che si occupa di analizzare l azienda in relazione a temi di competenza e di fornire valutazioni, indicazioni e suggerimenti IT Auditing L IT auditor fornisce alla funzione auditing le competenze specifiche che sono necessarie per valutare aspetti relativi ai sistemi IT 9

10 IT Audit Compiti dell IT Auditing Analisi di sistemi in fase di implementazione per garantire la compatibilità a norme esterne e policy interne per garantire che lo sviluppo segua gli standard e le metodologie che l azienda si è data Analisi dei controlli generali dell ambiente IT per verificare che le procedure relative alla sicurezza fisica e logica, al change management, alle procedure operative del personale IT, abbiano un adeguato livello di efficacia ed efficienza Analisi dei sistemi applicativi per garantire che il software elabori correttamente per garantire che le procedure utente siano efficaci ed efficienti Supporto agli auditor non IT per supportare gli altri auditor quando le attività necessitano di competenze informatiche 10

11 Rischi e Controlli Ragionare in termini di rischi e controlli I processi sono orientati dagli obiettivi Le attività svolte per raggiungere gli obiettivi possono essere più o meno adeguate L adeguatezza dipende dal contesto Per fornire una opinione sulle pratiche in atto (i controlli) è necessario effettuare delle valutazioni che tengano conto del contesto in cui ci si trova (introducendo il concetto di rischio). In realtà si ragiona per rischi e controlli anche nell agire quotidiano in modo implicito 11

12 Rischi e Controlli Rischio possibilità che un evento indesiderato possa causare perdita o danno RISCHIO = f( PROBABILITA, IMPATTO ) Questo è un modello per il rischio: non è l unico! Probabilità Impatto misura del fatto che l evento possa accadere quantificazione del danno o della perdita Esempio: attraversare la strada!! è un processo rischioso? dipende dal contesto 12

13 Rischi e Controlli Misuriamo il rischio Occorre definire l oggetto rischio creiamo un modello per la misura Modello: - Processo attraversamento pedonale di una strada - Obiettivo raggiungere l altro lato - Rischio investimento da parte di un autoveicolo Nel modello non considero aerei che cadono sulla testa, pallottole vaganti, improvviso malore Ho semplificato la realtà per estrarre gli elementi di interesse! 13

14 Rischi e Controlli Misuriamo il rischio Occorre definire una metrica per il rischio definiamo una metrica per la probabilità - due valori: bassa e alta definiamo una metrica per l impatto - due valori: basso e alto Occorre definire la funzione del rischio Probabilità Rischio Alta Medio Alto Bassa Basso Medio Basso Alto Impatto 14

15 Rischi e Controlli Applichiamo il modello per misurare il rischio Attraversare una statale in ora di punta Impatto Alto Probabilità Alta Rischio Alto Attraversare una strada di campagna poco frequentata Impatto Alto Probabilità Bassa Rischio Medio Attraversare il parcheggio di un supermercato Impatto Basso Probabilità Bassa Rischio Basso 15

16 Rischi e Controlli Il rischio: è un concetto a priori, ovvero non tiene conto di ciò che si fa per minimizzare il rischio stesso Definizione di Controllo: Il controllo è una prassi, una procedura, uno strumento tecnico, una policy, attuata per mitigare il rischio. Anche per i controlli occorre definire una metrica! - Poco efficace / assente (debole) - Molto efficace (forte) 16

17 Rischi e Controlli Applichiamo la metrica per valutare i controlli per l attraversamento della strada Individuiamo i controlli? Guardare a destra e sinistra prima di attraversare Attraversare sulle strisce zebrate (con gli occhi chiusi) Attraversare al semaforo (con gli occhi chiusi) Valutiamo i controlli Guardare a destra e sinistra prima di attraversare Attraversare sulle strisce zebrate (occhi chiusi) Attraversare al semaforo (occhi chiusi) FORTE DEBOLE FORTE 17

18 Rischi e Controlli Punto della situazione: Abbiamo definito il modello per le misure Abbiamo definito e misurato il rischio Abbiamo individuato e misurato i controlli Cosa manca da fare? Combinare i rischi e i controlli affinché il nostro modello possa essere usato per esprimere delle opinioni, indicazioni, 18

19 Rischi e Controlli Il rischio residuo è la componente del rischio che non risulta mitigata dai controlli in atto Definiamo anche per il rischio residuo una funzione: Rischio Alto Alto Medio Rischio residuo Basso Medio Basso Debole Forte Controllo 19

20 Rischi e Controlli Applichiamo il modello ad un caso Viale a 3 corsie per senso di marcia. E possibile effettuare l attraversamento pedonale sulle strisce oppure al semaforo. Probabilità Impatto Rischio Alta Alto Alto Attraversamento Attraversamento Controllo sulle strisce al semaforo Valutazione del controllo Debole Forte Rischio residuo Alto Medio 20

21 Rischi e Controlli Completiamo l audit L auditor ha analizzato il processo e ha verificato che il controllo attuato dal management (attraversamento sulle strisce) è debole L auditor comunica al management che il rischio residuo è alto Il management può decidere che investendo delle risorse (spostarsi un po più avanti dove c è un semaforo) può abbassare il livello di rischio residuo Ora la decisione di investimento, opportunamente motivata, spetta al management Nel nostro caso si avrebbe comunque un rischio residuo medio spetta al management l accettazione del rischio residuo 21

22 Materiale per consultazione Board briefing on IT Governance (è necessario registrarsi) 22