L utilizzo di CobiT per governare l IT

Transcript

1 ated ICT Ticino L utilizzo di CobiT per governare l IT L esperienza pratica di una banca locale Manno, 16 gennaio 2008 Ing. Roberto Fridel, RFr Consult info@rfrconsult.com

2 Il relatore Roberto Fridel, ingegnere in matematica applicata, ETH/OTIA, diplomato CISA con AFC (Attestato Federale di Capacità) in elettromeccanica conseguito nel 1980 Dal 1986 al 1987 è assistente presso il Politecnico Federale di Losanna, Dipartimento Genio Civile Istituto di Pianificazione dei Trasporti Dal 1988 svolge la sua attività presso il gruppo Andersen; inizialmente presso la Andersen Consulting (oggi Accenture) poi, dal 1994, presso la Arthur Andersen ove dal 1998 assume la carica di direttore responsabile per la consulenza aziendale nella Svizzera italiana. Dal giugno 2002, presso la Deloitte, società internazionale di revisione e consulenza, ricopre il ruolo di responsabile per la Svizzera italiana dei servizi di Consulenza in Organizzazione e Information Technology. Dall aprile 2006 é attivo come consulente indipendente, titolare della RFr Consult, Ing. Roberto Fridel ( In questi 20 anni d'attività di consulenza per le PMI ha partecipato e condotto diversi progetti in Svizzera e all estero. Fra i suoi settori di specializzazione vi sono: il supporto all elaborazione di strategie e alla preparazione di Business Plan, la gestione per obiettivi e il BPM/BSC, la riorganizzazione dei processi aziendali, la gestione di progetti informatici ed organizzativi complessi, la revisione informatica, la messa in opera di sistemi ERP. Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 2

3 Il Contesto Un contesto normativo in evoluzione (Basilea 2 OR) Un contesto di business condizionato da: La continua pressione sui tempi (time-to-market) L apparire di nuovi modelli di funzionamento / erogazione dell IT Una direzione della Divisione IT abituata a mettersi regolarmente in discussione ed a migliorarsi Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 3

4 Il Percorso 2005 Punto situazione (problematiche maggiori, cause principali, azioni di massima) Autovalutazione, definizione miglioramenti e inizio implementazione su alcuni processi : PO4 (Define the IT processes, organisation and relationships) PO5 (Manage IT investments) PO10 (Manage projects) Comprensione e Verifica dell utilizzo di CobiT Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 4

5 Il Percorso 2006 Conferma dell adozione di CobiT come strumento di IT Governance, di miglioramento continuo e come ambiente di controllo Primo allineamento dell azione di miglioramento all attuale strategia della Divisione (2004) Approfondimento e affinamento dei miglioramenti chiave definiti nel 2005 su PO5 e PO10 e dei loro impatti sul processo AI1 e DS6. Autovalutazione, definizione ed implementazione dei primi miglioramenti sui processi scelti : PO9 (Assess and Manage IT Risks), AI1 (Identify Automated Solutions), DS2 (Manage third party services), DS4 (Ensure continous service), DS6 (Identify and Allocate Costs), DS13 (Manage operations) ME2 (Monitor and evaluate internal controls) Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 5

6 Il Percorso 2007 Revisione della strategia della Divisione Ri-allineamento dell azione di miglioramento con la strategia aggiornata Affinamento dei miglioramenti chiave definiti nel Autovalutazione, definizione ed implementazione dei primi miglioramenti sui processi scelti : PO1 (Define a strategic IT plan), PO7 (Manage IT human resources), PO8 (Manage Quality), AI7 (Install and Accredit Solutions and Changes), DS1 (Define and manage service levels), DS3 (Manage performance and capacity), DS8 (Manage service desk and incidents), DS10 (Manage problems), ME1 (Monitor and evaluate IT performance) Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 6

7 Management COBIT and Other IT Consulting Management Frameworks Organisations will consider and use a variety of IT models, standards and best practices. These must be understood in order to consider how they can be used together, with COBIT acting as the consolidator ( umbrella ). COSO COBIT ISO ISO 9000 WHAT ITIL HOW SCOPE OF COVERAGE Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano IT Governance Institute. All rights reserved. 11

8 Dai Business Goals agli IT Goals Obiettivi: Allineare l IT Governance all azienda Focalizzare l azione di controllo e miglioramento dell IT sulle priorità Condividere insieme l impostazione del focus Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 8

9 Richiamo al 2006 Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 9

10 La strategia DIV IT Visione Essere il il miglior partner di di riferimento per per l aziendal in in materia di di IT IT e Organizzazione Kaplan-Norton BSC Missione Saper garantire la la competitività a) a) Permettere l evoluzione l dei dei sistemi a fronte delle necessità di di business b) b) A dei dei costi IT IT e di di processo che che permettono alle alle operations di di essere in in linea con con i i benchmarks c) c) Con Con dei dei rischi IT IT e di di processo contenuti Valori Flessibilità ed ed accessibilità Comunicazione vs. vs. gerarchia Proattività vs. vs. reattività Eccellenza verso i i clienti Financial Customer Internal Business Processes Learning & Growth Spesa IT sui ricavi lordi < x % Abilità nel capire ed anticipare la domanda Orientamento ai servizi Buona gestione delle competenze chiave Costi in linea con i benchmarks Capacità nel fare bene e rispettare quanto convenuto Contenimento dei rischi Ambiente e relazioni di lavoro piacevoli e proficue Gestione oculata della complessità Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 10

11 Esempio Management Consulting Linking Business Goals to IT Goals Kaplan-Norton BSC Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 11

12 Dagli IT Goals ai processi CobiT Obiettivi: Non disperdere energie Capire insieme come si sta procedendo con il framework CobiT di IT Governance Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 12

13 Esempio Management Consulting : obiettivo/processo prioritario di prioritario (con focus dei controlli) : processo già in corso di miglioramento : nuovo obiettivo/processo ( ) Linking IT Goals to IT Processes Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 13

14 Esempio Management Consulting IT Processes to IT Goals Matrix Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 14

15 Utilizzo di CobiT sui processi Conoscere e capire quali sono gli Obiettivi di controllo del processo; Svolgere singolarmente una valutazione elementare del Livello di maturità (metodo CMM), evidenziando progressivamente le criticità attuali; Consolidare una valutazione di gruppo del livello di maturità; Con l ausilio delle Audit Guidelines, identificare le Control Practices che non sono ancora in atto per raggiungere gli Obiettivi di controllo necessari (usare la tecnica dell evidenziare le criticità); Sulla base delle criticità emerse identificare le azioni principali da attuare, nel breve (200x) e nel medio termine (200x+1 200x+2) e indicarne il responsabile; Documentare il lavoro fatto sulla scheda di presentazione (vedi scheda più avanti); Completare e condividere il Piano d azione in un Master Plan (vedi più avanti) Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 15

16 Valutazione dei processi Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 16

17 Valutazione dei processi Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 17

18 Valutazione dei processi CobiT Assurance Guide (v4.1) / Audit Guidelines (v3.0) Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 18

19 Valutazione dei processi CobiT Control Practices (v3.0) Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 19

20 Delle schede d azione (un esempio) Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 20

21 Il Master Plan Uno strumento per raccogliere le proposte Uno strumento per decidere nell insieme Uno strumento per monitorare con continuità l avanzamento Uno strumento per tenere traccia dei risultati e delle azioni intraprese e da intraprendere Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 21

22 Il Master Plan Valore e Qualità dell IT Workshop annuo sulla strategia e sull allineamento dell azione di miglioramento (focus) Stato d Avanzamento del management ogni 1,5 mesi Workshop specifici sui risultati ottenuti o sull approfondimento delle azioni/controlli Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 22

23 Valore e Qualità dell IT Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 23

24 Azioni svolte o in corso PO1 (Define a strategic IT Plan) Aggiornamento strategia di sviluppo software Ridefinizione dei momenti decisionali Aggiornamento strategia applicativa Miglioramento degli strumenti e delle procedure di gestione del Portafoglio progetti per ridurre i conflitti sulla disponibilità (pianificata ed operativa) delle risorse ed evitare lo slittamento dei progetti PO3 (Define technological direction): Attualizzazione della strategia tecnologica e sua relativa implementazione PO4 (Define the IT processes, organisation and relationships) Riorganizzazione della Divisione per abbattere alcune barriere operative ed i relativi rischi identificati, e far altresì fronte alle nuove modalità di funzionamento richieste dai nuovi ambienti tecnologici Condivisione, presentazione e attivazione Formalizzazione progressiva dei processi IT (schema CobiT) e dei relativi controlli (Pareto) PO5 (Manage IT investments): Maggiore chiarezza sulle modalità e delle pratiche di valutazione dell esistente (Lights-On) Ulteriori approfondimenti 1 semestre 2007 Inizio di valutazione degli investimenti su di un principio di rolling plan Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 24

25 Azioni svolte o in corso PO7 (Manage IT human resources): Definizione degli strumenti di assessment e gestione degli skill professionali del personale IT Formazione sugli skill manageriali del personale IT Attivazione (uso regolare) degli strumenti sviluppati PO8 (Manage Quality) : Consolidamento di un approccio di gestione continua della Qualità IT (Progetto Valore e Qualità dell IT, MasterPlan e SdA Management) Valutazione del processo, definizione di un concetto di massima per il Quality Management e degli obiettivi di maturità con relative azioni: Management summary Organizzazione della gestione della Qualità IT (persone, ruoli, processi, azioni, monitoraggio) Sviluppo e test dello strumento di valutazione/pianificazione della qualità di progetto (Q&R Smart) Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 25

26 Azioni svolte o in corso PO9 (Assess and Manage IT Risks): Con l avvio del progetto Basilea 2, ricerca di una maggiore professionalizzazione nella gestione del rischio associato al servizio/prodotti della divisione IT Identificazione dei controlli chiave sui processi chiave Analisi dei rischi soggetti ai fornitori critici Implementazione del sistema di gestione dei fornitori critici PO10 (Manage projects): Maggiore coinvolgimento degli Utenti nelle fasi di approvazione degli investimenti e negli stati di avanzamento (metodologia che li coinvolga prima e in modo più formale, con elementi validi su valore e rischi del progetto, riunioni ricorrenti (rolling) con le Direzioni di divisione e l IT per gestire priorità ed accettazioni); Maggiore rigore nella preparazione delle fasi preliminari dei progetti/investimenti (Fase Preliminare e Fase Concettuale) e adozione di un metodo per la valutazione delle priorità (Rischi, Valore, Costo) con allineamento al business dell azienda; Formazione dei capi progetto sulle skill di gestione progetto e diffusione best know-how Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 26

27 Azioni svolte o in corso AI1 (Identify Automated Solutions): Introduzione Studio preliminare e Studio Concettuale (vedi PO10) Consolidamento delle pratiche e strumenti definiti (uso) AI7 (Install and Accredit Solutions and Changes): Analisi preliminare sulle pratiche di test e valutazione d opportunità sull acquisizione di strumenti specifici Definizione del Ciclo di Test applicativo Valutazione e introduzione di uno strumento quale supporto al Testing DS1 (Define and manage service levels) Revisione degli ISA di produzione DS2 (Manage third party services): Analisi e gestione fornitori critici (vedi PO9) Attivazione misure di gestione dei rischi fornitori Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 27

28 Azioni svolte o in corso DS3 (Manage performance and capacity): Introduzione di un sistema di monitoraggio dei sistemi Mainframe, Microsoft e Storage Formalizzazione di un processo di Capacity Planning Divulgazione e condivisione delle procedure di CP, anche presso le linee di business DS4 (Ensure continous service): Adattamento metodologia per la presa in considerazione delle esigenze di Disaster Recovery nei progetti Definizione procedura per la gestione dei problemi critici che impattano la continuità del servizio(lessons learned) Assegnare un responsabile operativo per il Disaster Recovery DS6 (Identify and Allocate Costs): Elaborazione della matrice Lights-On (e relativo adattamento del sistema Gestione Spesa) Valutazione della fattibilità di riprendere/rifare in casa alcuni applicativi Rilevare l effettiva utilità delle diverse componenti atte a garantire l alta affidabilità dei sistemi (non fermo) Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 28

29 Azioni svolte o in corso DS8 (Manage service desk and incidents): Formalizzazione del processo di escalation e di incident management Valutazione/attivazione di ulteriori miglioramenti del processo con ITIL Valutazione del processo di RFC e di CM DS10 (Manage problems): Riclassificazione delle chiamate e dei problemi Valutazione/attivazione di ulteriori miglioramenti del processo con ITIL DS13 (Manage operations): Definizione di un processo per evitare il ripetersi dei problemi già occorsi Revisione di tutta la documentazione a supporto degli operatori e dell HelpDesk ME1: (Monitor and evaluate IT performance) Riallineamento del Business Performance Management con la nuova SAM (strategia) ME2: (Monitor and evaluate internal controls) Rilevamento dei controlli chiave sui processi CobiT selezionati Identificazione dei controlli già in essere, di quelli per il 200x+1 e dei relativi responsabili Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 29

30 Punto sui Processi trattati con CobiT Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 30

31 La strategia DIV IT Visione Essere il il miglior partner di di riferimento per per l aziendal in in materia di di IT IT e Organizzazione Kaplan-Norton BSC Missione Saper garantire la la competitività a) a) Permettere l evoluzione l dei dei sistemi a fronte delle necessità di di business b) b) A dei dei costi IT IT e di di processo che che permettono alle alle operations di di essere in in linea con con i i benchmarks c) c) Con Con dei dei rischi IT IT e di di processo contenuti Valori Flessibilità ed ed accessibilità Comunicazione vs. vs. gerarchia Proattività vs. vs. reattività Eccellenza verso i i clienti Financial Customer Internal Business Processes Learning & Growth Spesa IT sui ricavi lordi < x % Abilità nel capire ed anticipare la domanda Orientamento ai servizi Buona gestione delle competenze chiave Costi in linea con i benchmarks Capacità nel fare bene e rispettare quanto convenuto Contenimento dei rischi Ambiente e relazioni di lavoro piacevoli e proficue Gestione oculata della complessità Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 31

32 Example IT Balanced Scorecard Template Financial Perspective Goals Measures Goals Customer Perspective Measures Goals Internal Perspective Measures Stakeholder Drivers Goals Learn and Innovate Measures

33 Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 33

34 L organizzazione e la condivisione dell informazione di IT governance Un esempio in corso di completamento

35 Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 35

36 Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 36

37 Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 37

38 Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano 38

39

40

41 In sintesi e ricapitolando con CobiT

42 Management The Need for IT Governance Consulting Aligning IT with Business Security Keeping IT Running Managing Complexity Value/Cost Regulatory Compliance Organisations require a structured approach for managing these and other challenges. This will ensure that there are agreed objectives for IT, good management controls in place and effective monitoring of performance to keep on track and avoid unexpected outcomes. Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano IT Governance Institute. All rights reserved. 2

43 COBIT Cube: IT Domains Management Consulting Plan and Organise (PO) Objectives: Formulating strategy and tactics Identifying how IT can best contribute to achieving business objectives Planning, communicating and managing the realisation of the strategic vision Implementing organisational and technological infrastructure Scope: Are IT and the business strategically aligned? Is the enterprise achieving optimum use of its resources? Does everyone in the organisation understand the IT objectives? Are IT risks understood and being managed? Is the quality of IT systems appropriate for business needs? IT and Business Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano IT Governance Institute. All rights reserved. 29

44 COBIT Cube: IT Domains (Cont.) Management Consulting Acquire and Implement (AI) Objectives: Identifying, developing or acquiring, implementing, and integrating IT solutions Changes in and maintenance of existing systems Scope: Are new projects likely to deliver solutions that meet business needs? Are new projects likely to be delivered on time and within budget? Will the new systems work properly when implemented? Will changes be made without upsetting current business operations?? New Projects Organisation Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano IT Governance Institute. All rights reserved. 31

45 COBIT Cube: IT Domains (Cont.) Management Consulting Deliver and Support (DS) Objectives: The actual delivery of required services, including service delivery The management of security, continuity, data and operational facilities Service support for users Scope: Are IT services being delivered in line with business priorities? Are IT costs optimised? Is the workforce able to use IT systems productively and safely? Are adequate confidentiality, integrity and availability in place? IT Services Business Priorities Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano IT Governance Institute. All rights reserved. 33

46 COBIT Cube: IT Domains (Cont.) Management Consulting Monitor and Evaluate (ME) Objectives: Performance management Monitoring of internal control Regulatory compliance Governance Scope: Is IT s performance measured to detect problems before it is too late? Does management ensure that internal controls are effective and efficient? Can IT performance be linked to business goals? Are risk, control, compliance and performance measured and reported? IT Performance Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano IT Governance Institute. All rights reserved. 35

47 Management Interrelationship of the Consulting COBIT Components Interrelationship of the COBIT Components Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano IT Governance Institute. All rights reserved. 42

48 Management IT Governance Focus Consulting Areas Strategic alignment Focuses on ensuring the linkage of business and IT plans; on defining, maintaining and validating the IT value proposition; and on aligning IT operations with enterprise operations Value delivery Resource management Is about executing the value proposition throughout the delivery cycle, ensuring that IT delivers the promised benefits against the strategy, concentrating on optimising costs and proving the intrinsic value of IT Is about the optimal investment in, and the proper management of, critical IT resources: applications, information, infrastructure and people. Key issues relate to the optimisation of knowledge and infrastructure. Risk management Requires risk awareness by senior corporate officers, a clear understanding of the enterprise s appetite for risk, understanding of compliance requirements, transparency about the significant risks to the enterprise, and embedding of risk management responsibilities in the organisation Performance measurement Tracks and monitors strategy implementation, project completion, resource usage, process performance and service delivery, using, for example, balanced scorecards that translate strategy into action to achieve goals measurable beyond conventional accounting Seminario ATED-AIEA, Manno - 16 gennaio 2007 Ing. Roberto Fridel, RFr Consult - Lugano IT Governance Institute. All rights reserved. 6

49 GRAZIE PER L ATTENZIONE!

50 RFr Consult, Ing. Roberto Fridel Via Luigi Canonica 8, CH-6900 Lugano Tel&Fax +41 (91) Mobile +41 (79)