IT Governance fra IT Strategy e IT Service Delivery C. Guastone, SIAM 30 giugno 2009
INDICE Mission e aree di intervento ICT It Strategy, Metodologie e Certificazioni per la Governance ICT Gruppo di lavoro ClubTI Good Practices e Metriche per l ICT Governance Allegati 2
La Mission dei Sistemi ICT aziendali Ottimizzare e innovare i processi aziendali tramite la identificazione e l utilizzo mirato e innovativo delle tecnologie ICT. COME? Tramite un insieme di aree di intervento, relative alle principali leve organizzative e tecnologiche che da sempre caratterizzano i servizi ICT aziendali Adottando un approccio sistemico di IT Governance
Dall IT Manager al Direttore Sistemi. Dal CIO all Innovation Manager Capitolo 7 1. Il Direttore Sistemi 2. Le dinamiche del settore ICT 3. Come gestire gli stimoli del cambiamento proposti dal mercato ICT bilanciando tecnologie, organizzazione e innovazione? 4. Outsourcing, opportunità o scelta obbligata? 5. Posizionamento organizzativo per il Direttore Sistemi 6. Le competenze del Direttore Sistemi e della sua squadra 7. Potenziali concorrenti: gli esperti ICT esterni all area sistemi 8. Tendenze Capitolo 7. Carlo Guastone - ClubTI pag. 131-143
AREE Alcune aree di intervento (I) Anni settanta - ottanta Anni novanta Anni Duemila Strategie Realizzare e gestire le applicazioni informatiche gestionali per automatizzare i processi aziendali, tramite le novità tecnologiche in termini di terminali, reti e potenti risorse di calcolo -Ottimizzare i processi aziendali tramite soluzioni ICT in logica BPR -Nuovi servizi ICT di base: PC, cellulari, email, etc -Individuare le tecnologie abilitanti il sistema competitivo -Individuare e reperire le risorse professionali chiave interne o esterne -Contribuire miglioramento dell organizzazione aziendale al Architetture - Mainframes - Sistemi on line, data base - Arch. client-server - Sistemi erp -Nuove architetture emergenti (Soa, Enterprise. 2.0, virtualizazzione, etc) -Nuovi campi applicativi (Business Intelligence, CRM, Knowl. Manag., dematerializzazione, etc) -SAAS (Software as a service)
Alcune aree di intervento (II) AREE Anni settanta - ottanta Anni novanta Anni Duemila Sourcing Prevalente ricorso a specialisti ICT interni - Terziarizzazione sviluppo applicativo -Strategic sourcing - Centri di calcolo interni e in outsourcing -Rinegoziazione dei Contratti di outsourcing in logica di flessibilità) Fornitori ICT -Posizioni oligopolistiche globali -Standard proprietari -Posizioni Oligopolistiche Settoriali -Concentrazioni e concorrenza -Specializzazione -Sistemi open settoriale -Systems integrator Direzioni utenti -Limitati contributi alle specifiche dei sistemi -Controllo dei livelli di servizio -Partecipazione alla scelta delle soluzioni (es. erp) -Controllo dei costi ICT -Spinta alla ricerca di nuove soluzioni -Responsabilità della compliance dei sistemi -Limitata competenza ICT -Crescente competenza ICT - La digitalizzazione, in alcuni settori, unifica i processi produttivi con i servizi ICT
AREE Alcune aree di intervento (III) Anni settanta ottanta Anni novanta Anni Duemila Sicurezza ICT Limitata focalizzazione, esperienze in società con Bilanci certificati Crescita delle sensibilità aziende per il fenomeno Virus -Alta e crescente focalizzazione per l incremento dei rischi ICT e per lo sviluppo del quadro Normativo relativo all ICT (es. Privacy, Legge sul risparmio) -Computer crime e vulnerabilità applicazioni IT -Business continuity richiesta nei settori regolamentati (es. banche) Consulenza direzionale Advisory del Vertice dei Grandi gruppi industriali sull organizzazione ICT aziendale -Orientamento e supporto nei progetti di BPR -Studi e ricerche di mercato -Advisory del management aziendale sulla Governance, Sicurezza e Pianificazione strategica dei sistemi -Orientamento e supporto nei nuovi campi applicativi (es. CRM, Business Intelligence, etc)
IT Strategy, IT Governance, IT Service delivery Quale la rilevanza dei servizi ICT per il business? Chi li definisce? Modelli di IT strategy Come sono gestiti i processi e le risorse IT in azienda? Chi li governa? Modelli di IT governance Come sono erogati i servizi ICT aziendali, di sviluppo e gestione operativa? Chi li controlla? Modelli di IT Servicedelivery e applicationmanagement
Le variabili in gioco Si registra una certa sovrapposizione di contenuti dei modelli di IT Strategy, IT Governance e IT Service delivery e una certa difficoltà nella loro armonizzazione pianificazione sistemi informativi risk management budget e controllo interno sull IT autorizzazioni di spesa make or by (sourcing e procurement) sicurezza e compliance ruoli e responsabilità (dentro e fuori l IT) persone (competenze) tecnologie (architetture) efficacia ed efficienza delle soluzioni (KPI, SLA) innovazione (IT) customer satisfaction comunicazione e immagine project management etc Modelli di IT strategy Modelli di IT governance Modelli di IT Service delivery e application management
Le relazioni IT-business Le possibili relazioni IT-Business possono essere valutate considerando alcuni contributi di studiosi di management, degli anni 80 e 90, quali Abell, Porter, Mc farlan, Rockart, Kaplan, etc. L IT aziendale presenta impatti sullo sviluppo del business sul mercato in termini di funzione d uso, tecnologie o gruppi di clienti? L IT aziendale contribuisce alla leadership di business e alla posizione competitiva? L IT ha alti/bassi impatti strategici od operativi sul business? Sono definiti obiettivi e sistemi di misurazione (KPI) dei contributi/servizi IT al Business? E adottata una metodologia di IT Application Portfolio per individuare/valutare applicazioni e progetti ICT coerenti con le strategie aziendali?
ICT service delivery ITIL ISO 20000 (*) 3 Governance aziendale e ICT Corporate Governance CobiT Val IT CoSO-ERM IT Governance ISO 38500 ICT security Business Continuity ISO 27001 (*) BS 25999 (*) Board briefing on IT Governance (*) Sistemi di gestione certificabili Tratto parzialmente da: Convegno AIEA 2007 e InformationControl Journal 4-2008 ICT RISK MANAGEMENT Application development CMMI & SDLC
IT Governance Toolkit Inside layer names the six IT Governance issues - the broad subjects that the Board and Executives need to get right to ensure value delivery, compliance, and risk control. The middle layer breaks each issue into a number of topics for governance and management. The outside layer lists a number of solutions that many organisations already use to govern, control, manage, and deliver. Fonte: IT Governance Institute 12
Le certificazioni professionali ISACA Nuova Certificazione 2008
ClubTI Workshop IT Governance 27 ottobre 2008 PARTE PRIMA: CONTESTO E APPROCCIO o Introduzione (Carlo Guastone, Sernet) o La visione integrata dell IT Governance(Roberto Rufolo, Adfor) o La Governance operativa (Paolo Tondi, Star) PARTE SECONDA: LA GOVERNANCE DELLE RISORSE E LA SICUREZZA o Il sourcing delle infrastrutture ICT (Paolo Zaza, ClubTI) o La Governance delle risorse professionali ICT (Luciana Musumeci, Finmeccanica) o La security governance(maurizio Mapelli, AIPSI) PARTE TERZA: L ICT GOVERNANCE NELLE MEDIE AZIENDE o L ICT Governance in Corepla (Silvio Sorrentino, Corepla) o IT Governance and Risk Management in a Web 2.0 Company (Roberto Luongo, Zero9) PARTE QUARTA: LA GOVERNANCE DELLO SVILUPPO APPLICATIVO o Architetture e Modelli: strumenti a supporto della Governance (Chiara Ballari, Manager Associati) o Tools per la governance dello sviluppo ICT (Andrea Perniciano, Opera 21) o L integrazione della sicurezza nel ciclo di sviluppo software (Paolo Da Ros, Cryptonet) TAVOLA ROTONDA Coordinamento: Annamaria Di Ruscio, Netconsulting, ( partecipazione AIEA, Studio Garlaschelli, Cetif) Presentazioni disponibili, previa registrazione, su www.clubtimilano.net
Gdl ClubTI Good Practices e Metriche per l ICT Governance Costituzione del GDL, approvata dal Comitato direttivo del Club TI Genesi del GDL: sviluppo del preesistente GDL ICT Governance & Risk management (2007-2008), che aveva affrontato tematiche di natura metodologica relative all ICT Risk management (incontro del 29 ott 2007) e all ICT Governance (workshop del 27 ottobre 2008) Principali obiettivi fornire un quadro di riferimento operativo per la realizzazione di progetti di ICT Governance, con focalizzazione sui KPI di ICT Governance descrivere le principali classi di KPI utilizzate nelle Good Practices e per la misurazioni di Performances organizzare un Workshop su Good Practices e Metriche per l ICT Governance (ipotesi 26 ottobre 2009) 16
Conclusioni e suggerimenti Approfondire i contenuti della tematica, in particolare da parte dei professional IT che perseguano un arricchimento di competenze gestionali Leggere in tutti in tutte le fasi dei progetti di innovazione IT e nella gestione dei sistemi, le implicazioni di IT Governance Destinare a ruoli di IT Governance persone con adeguato skill informatico e con potenzialità di crescita L IT Governance è una tematica che interessa tutti i managers e professional IT, di tutte le aziende, dalle grandi alle medie aziende Scegliere/adattare una metodologia di approccio e valutare l opportunità di disporre di Tools di supporto
Grazie dell attenzione carlo.guastone@sernetspa.it 335-5833862 18
Allegati Nelle slides seguenti sono riportati schemi sintetici e non esaustivi delle diverse metodologie di IT Governance, e di iniziative di Certificazione professionale, utilizzati per evidenziarne le caratteristiche principali Per approfondimenti si consiglia di consultare i motori di ricerca Web
CNIPA Dizionario delle best practices From: AIEA - Associazione Italiana Information Systems Auditors To: AIEA Sent: Wednesday, June 24, 2009 10:12 AM Subject:I: AIEA -24.06.09 -Documento finale -Gruppo di lavoro Gentili Associati, siamo lieti di comunicare che èdisponibile il documento finale, del Gruppo di lavoro per la redazione del Dizionario delle best practicese degli standard promosso dal CNIPA a cui ha partecipato attivamente il socio Leonardo Nobile. Il lavoro ha visto la pubblicazione sul sito del CNIPA del Manuale di riferimento n. 9 -Dizionario delle best practicese degli standard nell ambito delle Linee guida sulla qualitàdei beni e dei servizi ICT per la definizione ed il governo dei contratti della Pubblica Amministrazione. Il manuale n.9ricomprendesia una parte introduttiva con la descrizione ed il confronto dei principali Standard e Best Practices(COBIT, ITIL, CMMI-DEV, ecc.) con le linee guida di CNIPA che una serie di documenti (Lemmi) per ciascuno Standard e Best Practiceanalizzata (tra cui ovviamente COBIT). Il linkper accedere alla documentazione prodotta è: http://www.cnipa.gov.it/site/it- IT/Attivit%c3%a0/Qualit%c3%a0_delle_forniture_ICT/Manuali/Ricognizione_di_alcune_Best_Practice_a pplicabili_ai_contratti_ict/ Un cordiale saluto. Il Presidente AIEA Silvano Ongetta ------------------------------------------------------------------------------------------------------
Standard ISO di IT Governance ISO 38500 First edition giugno 2008 Objectives The purpose of this standard is to promote effective, efficient, and acceptable use of IT in all organizations by: assuring stakeholders (including consumers, shareholders, and employees) that, if the standard is followed, they can have confidence in the organization s corporate governance of IT; informing and guiding directors in governing the use of IT in their organization; and providing a basis for objective evaluation of the corporate governance of IT Responsibility Strategy Acquisition Performance Conformance Human behaviour
Linea guida IT Governance Institute Board briefing on IT Governance Second edition 2003
CobiT CobiT: Control objectives for Information an related Technology Fourth edition 2006 Fornire uno strumento metodologico indipendente dalla tecnologia Promuovere la coscienza delle best practice nel governo dei sistemi informativi e nella gestione dei rischi IT Instaurare un circolo virtuoso di miglioramento continuo Fornire un sistema di autovalutazione per sviluppare la coscienza del proprio posizionamento 4 Aree Pianificazione e Organizzazione (PO) Acquisizione e Realizzazione (AI) Erogazione ed Assistenza (DS) Monitoraggio (M)..articolate in 34 Macroprocessi IT, a loro volta suddivise in 215 processi operativi P01 Definire il piano strategico per l IT P02 Definire l architettura dei dati P03 Definire gli Indirizzi Tecnologici P04 Definire l organizzazione e le relazioni IT P05 Gestire gli Investimenti IT P06 Comunicare obiettivi e indirizzi della Direzione P07 Gestire le risorse umane P08 Gestire la qualità P09 Valutare i rischi P10 Gestire i progetti
CobiT: I KEY point dei Processi IT Per ognuno dei 34 Processi IT considerati da CobiT, sono previsti: Criteri informativi Applicabilità alle risorse IT Indicatori Obiettivo Fattori critici di successo Indicatori di performances Posizionamento nel modello di maturità
CobiT III: Indicatori Obiettivo di IT Governance (abstract) Migliorata gestione delle prestazioni e dei costi Accresciuto ritorno dei principali investimenti Miglioramento time to market Migliore qualità, innovazione e gestione del rischio Integrazione e standardizzazione dei processi aziendali Sviluppo clienti e customer satisfaction Disponibilità risorse IT (reti, potenza di calcolo, servizi) Soddisfacimento cliente interno (requisiti, budget, tempi) Adesione a leggi, regolamenti, etc Trasparenza nella assunzione del rischio Benchmarking Governo IT Creazione di nuovi canali di erogazione del servizio
Cobit III: Fattori Critici di Successo IT Governance (abstract) Governo IT integrato nel processo di governo dell impresa Governo IT focalizzato su strategie dell impresa sull uso della tecnologia per il business, sulle risorse Definizione e formalizzazione del Governo IT Pratiche di gestione IT implementate con obiettivi di efficienza ed efficacia Pratiche organizzative per valutazioni dei rischi e controlli Pratiche di verifica per evitare interruzioni del controllo Integrazione e interoperabilità dei più complessi processi IT Istituzione Comitato di Audit
CobiT III: Indicatori Chiave di prestazione (abstract) Miglioramento rapporto costo/prestazione processi IT Aumentato numero di piani di azione per il miglioramento It Aumentato utilizzo infrastruttura IT Aumentata soddisfazione utenti (sondaggi, reclami) Accresciuta produttività del personale (n rilasci) e morale (sondaggi) Accresciuta disponibilità di conoscenze e informazioni aziendali Più stretto legame Governo IT-Governo aziendale Migliorata prestazione secondo quanto misurato dalle IT scorecards
CobiT: Il modello di maturità Inesistente 0 Iniziale 1 Ripetibile 2 Definito 3 Gestito 4 Ottimizzato 5 Standard Internazionale Stato attuale del sistema Aziendale Migliore pratica del settore Strategia dell azienda
CMMI & SDLC CMM level 1 (initial): Software development follows little to no rules. CMM level 2 (repeatable): Software development successes are repeatable. CMM level 3 (defined): Software development across the organisation uses the same rules and events for project management. CMM level 4 (managed): Using precise measurements, management can effectively control the software development effort. CMM level 5 (optimizing): Quantitative feedback from previous projects is used to improve the project management, usually using pilot projects, using the skills shown in level 4. Nei cicli di sviluppo security oriented si identificano le minacce e le vulnerabilità che possono compromettere la sicurezza dell applicazione La gestione della sicurezza è focalizzata su tutte le fasi del ciclo di sviluppo software, non solo nelle verifiche di funzionalità finali.
ITIL e la Certificazioni professionali Service Strategy Service Design Service Transition Service Operation Continual Service Improvement
Risorse professionali it e business
Vantaggi allineamento Personale IT - Business