CobiT e Corporate Governance CobiT: strumento a supporto dell IT Governance Giulio Saitta AIEA - Sessione di studio Milano, 4 febbraio 2003 1
Facoltà di Economia di Torino Corso di Laurea in Economia Aziendale Abstract Tesi di Laurea: L Auditing dei sistemi informativi con la metodologia CobiT 3. Il caso Olivetti. Torino, 19 marzo 2002 2
Anni 90: Concetto Corporate Governance Moderno strumento di regole a cui le aziende si devono rifare per garantire: trasparenza correttezza affidabilità della gestione aziendale verso azionisti, e stakeholders in genere, in un ottica di massimizzazione del valore. 3
Corporate Governance È l insieme di istituzioni e regole, giuridiche e tecniche, finalizzate alla realizzazione di un governo dell impresa che sia corretto (anche ai fini della tutela delle minoranze) efficace efficiente comprendendo nella nozione di governo dell impresa la gestione e il controllo della stessa. 4
Quindi è l insieme delle azioni per indirizzare e gestire l attività aziendale coniugando: 1. Raggiungimento degli obiettivi d impresa, 2. Mantenimento di un comportamento coerente alle aspettative 3. Trasparenza (responsabilizzazione) nei confronti degli azionisti e degli stakeholders Obiettivo Salvaguardare e incrementare, nel tempo, il valore per gli azionisti e per gli stakeholders. 5
Fulcro nevralgico della Corporate Governance è IL CONSIGLIO DI AMMINISTRAZIONE 6
Ai fini della Corporate Governance assumono rilevanza Gestione dell impresa Controllo dell amministrazione Affidata all attività degli Amministratori Affidato ad organi che garantiscano la tutela di tutti gli stakeholders 7
COLLEGIO SINDACALE (società quotate) vigila sull adeguatezza: della struttura organizzativa delle società del sistema di controllo interno del sistema amministrativo contabile Per far fronte a tale dovere il Collegio Sindacale può utilizzare: Società di Revisione Funzione di Internal Auditing 8
Ulteriori contributi alla disciplina della Corporate Governance Codice di Autodisciplina (Ottobre 1999, rivisitato a Luglio 2002) Segmento STAR (primavera 2001): premiate le società che meglio applicano le regole base di Corporate Governance Riforma del diritto societario (gennaio 2003): in vigore dal 1 gennaio 2004. 9
il COLLEGIO SINDACALE vigila sull ADEGUATEZZA del SISTEMA CONTROLLO INTERNO L insieme delle direttive, procedure e tecniche adottate dall azienda, allo scopo di raggiungere: Conformità dell attività degli organi aziendali all oggetto che l impresa si propone di conseguire alle direttive ricevute Salvaguardia del patrimonio aziendale Attendibilità dei dati 10
INTERNAL AUDITING L Internal Auditing è un attività indipendente ed obiettiva di assurance e consulenza, finalizzata al miglioramento dell efficacia e dell efficienza dell organizzazione. Assiste l organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi di controllo, di gestione dei rischi e di Corporate Governance. Versione ufficiale in italiano della definizione in inglese approvata dal Board of Directors dell Institute of Internal Auditors (1999). 11
L Internal Auditing è parte del processo di Corporate Governance: valuta il SCI riferendo al Vertice è considerato lo strumento per assicurare che i rischi aziendali, a riguardo degli obiettivi assegnati, vengano accuratamente identificati, valutati e gestiti 12
I.A. deve essere in grado di: fi fornire un oggettiva assicurazione al Vertice ed al Management circa l adeguatezza e l efficacia del Risk management aziendale e della struttura di controllo interno; fi assistere il Management nel miglioramento dei processi grazie ai quali i rischi sono identificati e gestiti; fi assistere il Vertice nel rafforzare e migliorare il Risk Management e la struttura di controllo interno. 13
Obiettivi per l I.A. vigilanza/presidio sulla funzionalità del controllo interno anche attraverso il monitoraggio dei fattori di rischio per il tramite dell adozione di specifiche metodologie di Risk Assessment valutazione sulla affidabilità e integrità delle informazioni, sull utilizzo economico ed efficiente delle risorse, sul raggiungimento degli obiettivi di programma. 14
CORPORATE GOVERNANCE Collegio Sindacale Internal Auditing Sistema di Controllo Interno INFORMAZIONE 15
L EFFICACE GESTIONE DELLE INFORMAZIONI E DELL IT è di fondamentale importanza per la sopravvivenza ed il successo di un organizzazione. Per realizzare direttive efficaci e garantire adeguati controlli le organizzazioni di successo richiedono una VALUTAZIONE e una COMPRENSIONE dei RISCHI e dei VINCOLI IT a tutti i livelli dell azienda. 16
Un MODELLO, uno STANDARD generalmente accettato per l identificazione dei confini e della struttura dei processi di gestione e dei sistemi informativi CobiT 3 (Control Objectives for Information and Related Technology) Benchmark internazionale per un efficace progresso nel campo dei controlli IT, fornisce le best practices per supportare il management nella determinazione del livello più adatto di sicurezza e controllo dell IT. 17
OBIETTIVI DI CobiT: -fornire un riferimento completo ed utilizzabile di controllo sull IT, a sostegno dei processi di business; -lo sviluppo di policy chiare (riferite a standard) e di good practices per la sicurezza e il controllo, con riferimento al business e alle necessità dell IT; -fornire il management e i business process owner di un modello di Governance IT che aiuti nel capire e gestire i rischi collegati all IT. 18
L IT GOVERNANCE Enterprise governance e l IT governance non possono più essere considerate discipline separate e distinte. Il governo dell IT: struttura di relazioni e di processi per indirizzare e controllare l impresa al fine di raggiungerne gli scopi, apportando valore e contemporaneamente bilanciando i rischi e benefici dell IT e dei suoi processi. Il governo dell IT è essenziale per il successo del governo d impresa in quanto assicura efficaci ed efficienti miglioramenti nei processi aziendali. 19
Governo e controllo IT I principali soggetti coinvolti: Management Utenti Sistemi Informativi Internal Audit 20
Governo e controllo IT Management -allineare le strategie di information technology (IT) e le strategie di business -bilanciare i rischi e il controllo degli investimenti -usufruire di benchmark sull efficienza dell ambiente IT presente e futuro 21
Governo e controllo IT Utenti -ottenere garanzie sulla sicurezza e affidabilità dei prodotti e servizi che acquistano all interno o all esterno Sistemi Informativi -definire confini e rilevanza dei propri obiettivi e responsabilità -usufruire di metodologie di lavoro e di un linguaggio comune che facilitino la comunicazione con gli utenti ed il management 22
Governo e controllo IT Internal Audit -possedere un modello per l identificazione dei confini e della struttura dei processi di gestione dei Sistemi Informativi -possedere uno standard per valutare in maniera continuativa il livello di maturità e performance del Sistema di Controllo IT -possedere un linguaggio adeguato e comunicare, con i Responsabili IT e con l Alta Direzione, in maniera efficace e coerente nel tempo contribuendo a definire soluzioni per migliorare il governo dei sistemi e dell azienda. 23
IT GOVERNANCE 24
Governo d Impresa GUIDA ED IMPOSTA Governo della Information Technology Attività d Impresa RICHIEDONO INFORMAZIONI A Attività del Information Technology 25
GOVERNO DELL IMPRESA: Indirizza OBIETTIVO Controllo ATTIVITA D IMPRESA RISORSE Documenta Usa 26
GOVERNO dell IT: - IT è allineata al business -risorse IT sono usate responsabilmente -rischi IT gestiti correttamente Controllo Indirizza Documenta Pianificare PO Fare AI Controllare DS Correggere MO Gestire rischi (sicurezza/affidabilità/conformità) Realizzare benefici (efficacia/efficienza) 27
Tesi di Laurea: L Auditing dei sistemi informativi con la metodologia CobiT 3. Il caso Olivetti. OBIETTIVO: individuare uno standard aperto, quindi indipendente dalla piattaforma IT, che permettesse una valutazione dell area di business riguardante il sistema informativo aziendale. Uno standard tecnico, per il controllo e la sicurezza IT, che fosse anche orientato al business e ai processi aziendali. Con l applicazione della metodologia individuata in CobiT 3 al caso Olivetti Tecnost, ci si è inoltre focalizzati sulla verifica della validità/efficacia implementativa dello strumento, soffermandosi sugli aspetti maggiormente critici in relazione alla realtà oggetto 28 d analisi e, in particolare, sulla sicurezza informatica.
FOCUS: Dominio DELIVERY and SUPPORT OGGETTO DI INDAGINE: SAP R/3 RISULTATI: ho verificato l'efficacia della metodologia, l'attualità, la specificità e la completezza degli obiettivi di controllo. E' uno standard per la valutazione, controllo, e sicurezza dell'information technology unico nel suo genere, concentrando in sé i modelli di controllo per l'it e i modelli di controllo per il business. CobiT 3 costituisce un approccio senza dubbio vincente per la gestione del business IT aziendale! 29
Ringrazio per la collaborazione prestata nella realizzazione della mia Tesi di Laurea Per eventuali richieste di ulteriori approfondimenti giuliosaitta@libero.it 30