IS Governance in action: l esperienza di eni

Transcript

1 IS Governance in action: l esperienza di eni eni.com Giancarlo Cimmino Resp. ICT Compliance & Risk Management

2 Contenuti L ICT eni: mission e principali grandezze IS Governance: il modello organizzativo focus su Process & Risk Management il contributo agli obiettivi ICT di medio lungo periodo l area del sito ICT eni dedicata al COBIT 2

3 eni è un impresa integrata nell energia

4 L ICT eni eni ha intrapreso un processo di accentramento delle attività di supporto al business con l obiettivo di migliorare l efficienza ed i livelli di servizio forniti. Le direzioni di eni corporate (AFC, HR, ICT, Approvvigionamenti, etc.) garantiscono le competenze e i servizi centralmente per tutta la Company. HR Appr. ICT AFC Anche il modello di ICT è cambiato: dopo il decentramento delle strutture e delle soluzioni tecnologiche degli anni 90, si è ormai concluso il consolidamento delle competenze specialistiche all interno dell Eni in un unica struttura specializzata, l ICT eni. 4

5 la mission L ICT di eni corporate governa l attività di Information & Communication Technology fornendo soluzioni e servizi di informatica e telecomunicazione all interno del gruppo eni, sia sul territorio nazionale che internazionale. In particolare: definisce il Piano Tecnologico ICT e le Linee Guida per lo sviluppo dell'ict di Gruppo coerentemente con l evoluzione del business aziendale; garantisce l adozione di architetture e tecnologie innovative anche tramite il continuo monitoraggio del mercato di competenza; progetta e sviluppa nuovi sistemi informatici in allineamento con le esigenze del business; gestisce i servizi continuativi di Application Management (AM) del parco applicativo, di telecomunicazione (fonia e dati) e di esercizio dell infrastruttura dell eni; assicura la disponibilità di Accordi di Gruppo con Terzi fruibili sia a livello nazionale che internazionale. 5

6 le principali grandezze N. Postazioni di Lavoro 520 in eni ICT lavorano N. Applicazioni gestite N. Server N. Apparecchi telefonici fissi Fisici 1300 Virtuali persone N. Apparecchi telefonici mobili N.B. i valori sono riferiti al 31/12/2009 6

7 IS Governance: il modello organizzativo 7

8 Focus su Process & Risk Management: l esigenza iniziale Dotare eni ICT di un corpus di processi ben documentati e costantemente verificati nel funzionamento. Fornire una risposta adeguata e sostenibile all esigenza della continua messa a punto dei nostri processi, per supportarne l integrazione e garantirne l allineamento al modello operativo. Sviluppare e diffondere in eni ICT la cultura del risk management per migliorare la nostra capacità di valutare e gestire i rischi correlati a tutte le nostre attività, anziché limitarla a specifiche categorie di rischi di tipo tecnologico. Trasformare l impatto derivante dall aumentata complessità del quadro normativo esterno ed interno (compliance) in un opportunità, per strutturare sempre meglio i nostri processi. 8

9 la scelta dei framework IS Governance: insieme di logiche e strumenti finalizzati alla creazione di un assetto strutturale e di un contesto di governo del SI aziendale che lo rendano costantemente coerente con le esigenze aziendali in ambienti caratterizzati da un alto livello di complessità Abbiamo scelto il Framework COBIT per disporre di uno schema logico affidabile, all interno del quale riuscire a ricondurre le attività che caratterizzano i nostri processi di funzionamento per documentarli, controllarli e misurarli. Al COBIT abbiamo associato un Framework di valutazione e gestione del rischio ICT nelle diverse aree/domini, per identificare, analizzare, valutare e mitigare i rischi correlati a tutte le attività ICT attraverso un percorso omogeneo e strutturato. In entrambi i casi li abbiamo adottati come strumenti operativi a supporto del governo e del sistema di presa delle decisioni. 9

10 il nuovo approccio Evoluzione dell IT Process Mgmt rispetto alle precedenti esperienze Aumentare la consapevolezza all interno di eni ICT: dell importanza delle attività di controllo sull operatività dei processi, per migliorarne l efficienza, più che per rispondere a richieste di adempimento ; dell importanza della correlazione fra gli obiettivi di processo e la valutazione dei rischi associati al mancato raggiungimento degli stessi. Contribuire a definire sempre meglio ruoli e responsabilità. Governo e controllo vanno esercitati in un contesto di rispetto delle leggi che regolano l attività dell impresa Raggiungere in modo fisiologico la compliance normativa e più in generale soddisfare le esigenze del SCI - attraverso un adeguamento strutturale e non un approccio reattivo alle singole normative: incorporando nei processi le operazioni indirizzate a garantire le conformità normative, come parte integrante delle attività quotidiane; predisponendo un impianto di controlli snello e integrato. 10

11 standard, metodologie e.. buon senso Le attività di ICT Process & Risk Mgmt per tradursi in supporti operativi alle attività di Governance devono saper combinare il rigore metodologico con una buona dose di pragmatismo Alcuni dei nostri ambiziosi propositi: garantire l aderenza agli standard internazionali e al tempo stesso la semplicità di documentazione, di utilizzo e di aggiornamento; non adottare gli standard come dogmi ma contestualizzarli alla nostra organizzazione, lavorando insieme ai Process Owner e verificando ad ogni passaggio la applicabilità di quanto prodotto; cogliere tutte le opportunità di snellimento strutturale dell esistente; essere in sintonia con le diverse indicazioni che emergono dall ambiente di controllo interno (Internal Audit; CS; OdV). 11

12 Il contributo agli obiettivi ICT di medio-lungo periodo Le attività di ICT Process & Risk Mgmt contribuiscono al raggiungimento degli obiettivi ICT di medio-lungo periodo e in particolare a trasformare la funzione stessa ICT Disporre di una vista integrata sulla effettiva operatività dei processi ICT attraverso il monitoring integrato degli action plan relativi alle azioni di miglioramento dei processi e delle IT Risk Response; rafforzare la disciplina esecutiva delle attività ICT; disporre di una vista aggregata dell IT Inherent risk relativa a tutte le attività ICT e gestire gli IT Residual risks relativi ai processi IT e agli asset critici; supportare il governo del maturity level dei processi; aumentare la auditabilità e la trasparenza delle attività ICT, condividendo con le funzioni di controllo interne e esterne all azienda un linguaggio comune e la logica risk based. 12

13 spunti dalle cose fatte e primi benefici ICT Governance Monitoring Process & Risk Monitoring; Inherent risk Mappa dei Processi ICT eni Compliance Monitoring; Readiness Corporate Governance Risk Mgmt compliance integrata residuo processi singoli asset formazione su IS Governance programmi complessi framework di gestione dei rischi 13

14 Processi COBIT di eni ICT IT Resource Portfolio Management (IRP) IT Demand Management IRP: Annual Operating Programme IRP: Application Operating Programme IRP: Infrastructure Operating Programme IT Contract Management IT Project Development (IPD) IPD: Project Management IPD: Project Feasibility IT Sourcing IPD: Project Implementation IT Infrastructure Operation IT Budgeting & Cost Monitoring IT Application Operation IT Risk & Security (IRS) IRS: Governance IRS: Management IRS: Monitoring IT Strategic Planning 14

15 L area del Sito ICT dedicata ai Processi COBIT IT GOVERNANCE 15 VALUE DELIVERY STRATEGIC ALIGNMENT RISK MANAGEMENT PERFORMANCE MEASUREMENT RESOURCE MANAGEMENT

16 GRAZIE IT GOVERNANCE 16 VALUE DELIVERY STRATEGIC ALIGNMENT RISK MANAGEMENT PERFORMANCE MEASUREMENT RESOURCE MANAGEMENT

17 Backup

18 all interno del modello di Corporate Governance Corporate Governance IS Governance IT Governance indietro 18

19 eni Reference Book Il Reference Book è lo strumento operativo per la diffusione e l applicazione delle logiche di IS Governance ed esplicita tutte le componenti del sistema Ogni Paragrafo contiene: Descrizione Policy Guidelines Reporting indietro 19

20 eni Reference Model Il Reference Model esplicita l ambito delle relazioni e la tipologia di applicazione Contiene i Capitoli e i Paragrafi del Reference Book Eni Group Reference Model Company A Company B Company n Per ciascuna Società livello adesione Policy Guidelines o se deve produrre Reporting indica il indietro 20