1 RUOLO DELLINTERNAL AUDITING NEI NUOVI CONTESTI ITC SMAU ROMA 6 giugno 2002 Marco Recchia, CISA...
-
Upload
antonio-di-lorenzo -
Category
Documents
-
view
215 -
download
0
Transcript of 1 RUOLO DELLINTERNAL AUDITING NEI NUOVI CONTESTI ITC SMAU ROMA 6 giugno 2002 Marco Recchia, CISA...
1
RUOLO DELL’INTERNAL AUDITING NEI NUOVI
CONTESTI ITC
SMAU ROMA
6 giugno 2002
Marco Recchia, CISABanca Antonveneta
2
Parleremo di:
• Sistema di Controllo Interno & Internal Auditing
• Nuovi ruoli per l’ITC
• Contesti di riferimento e rischi
• IT GOVERNANCE
3
Sistema di Controllo Interno
• Il raggiungimento degli obiettivi aziendali avviene attraverso l’attuazione di processi
• Ogni processo ha in se componenti di rischio
• Ogni rischio deve essere presidiato da un controllo
• L’insieme dei controlli, in quanto correlati tra loro, costituisce il S.C.I.
4
Sistema di Controllo interno
• Ha trovato piena definizione nell’ultimo decennio:– Internal Control - Integrated Framework -
1992 - COSO - Committee of Sponsoring Organizations of the Treadway Commission;
– Framework for Internal Control Systems in Banking Organisations - 1998 - Comitato di Basilea.
– …...
5
Sistema di Controllo interno• I concetti sono stati recepiti a livello
regolamentare:– Istruzioni di Vigilanza per le Banche - Banca
d’Italia (Tit. IV - Cap. 11);– Codice di autodisciplina per le società quotate
- Borsa Italiana (“Codice Preda”);– D.Leg. 231/2001, in materia di responsabilità
amministrativa– ….
6
Sistema di Controllo interno• la vitalità di una banca, il suo posizionamento sul mercato
ed una sana e prudente gestione “ … non possono prescindere dal buon funzionamento del sistema dei controlli” (Istr. Vig. Tit. IV, cap. 11, pag. 1).
• la responsabilità relativa alla implementazione e gestione di tale sistema ricade sui vertici aziendali
• il funzionamento del sistema deve essere soggetto a valutazione e monitoraggio periodico da parte di una struttura sovraordinata che si faccia garante dell’efficacia ed efficienza del sistema stesso (Istr. Vig. Tit. IV, cap. 11, pag. 5).
7
INTERNAL AUDITING• L’attività di Internal Auditing:
– verifica e valutazione dell’adeguatezza e dell’efficacia del sistema di controllo interno dell’organizzazione;
– verifica della qualità delle prestazioni svolte per l’assolvimento delle responsabilità assegnate;
– assistenza ai membri dell’organizzazione nel corretto svolgimento delle proprie responsabilità;
– fornire valore aggiunto in termini di costruzione dei sistemi di controllo all’interno dei processi, di individuazione delle opportunità per il miglioramento organizzativo
8
INFORMATION SYSTEM AUDITING
• Necessità di specifiche competenze ed esperienze nella valutazione dei rischi e delle misure a loro presidio laddove:– i processi, e quindi i controlli, sono supportati
dall’ITC;– è necessario valutare l’adeguatezza del S.C.I. con
riferimento ai processi propri dell’ITC.
9
INTERNAL AUDITING• Agisce nell’interesse dell’organizzazione
• Deve essere indipendente dall’organizzazione
• I suoi comportamenti sono disciplinati da:
– standard professionali
– codici deontologici
– regolamenti
– normeesterni all’organizzazione
10
C’era una volta l’EDP...
Electronic Data Processing
ELABORAZIONE ELETTRONICA
perché svolta con una macchina anziché a mano
dei DATI
cioè di rappresentazioni alfanumeriche della realtà
11
Evoluzione dell’EDP….
• Data base
• Teleprocessing
• Tempo reale
dall’automazione della fase…..
….all’automazione del processo
12
Limiti dell’EDP….
Necessità di una mediazione…...
13
Limiti dell’EDP….
Tempi di realizzazione …”biblici”...
14
Dall’EDP…. all’IT…..
• Personal computer
• Office automation
• Strumenti di produttività individuale
• Elaborazione delle INFORMAZIONI
INFORMATION TECHNOLOGY
15
Dall’IT …..all’ICT..
INFORMAZIONE = COMUNICAZIONE
INTERNET
TCP/IP
Semplificazione degli strumenti di comunicazione
16
I C TTECNOLOGIA AL SERVIZIO
DELL’INFORMAZIONE?
OPPURE
INFORMAZIONE AL SERVIZIO DELLA TECNOLOGIA?
17
UN MODELLO CLASSICO
MERCATI REGOLAMENTI
TECNOLOGIA
OPPORTUNITA’ VINCOLI
SISTEMA TECNICO
18
I N N O V A Z I O N E
MERCATIREGOLAMENTI
TECNOLOGIA
VINCOLI/OPPORTUNITA’
ISTANZE DI REGOLAMENTAZIONE
OPPORTUNITA’
SUPPORTO
Autoregolamentazione
Out Sourcing
SUPPORTO
OPPORTUNITA’
19
INNOVAZIONE NEI MERCATI
AUTOREGOLAMENTAZIONE
A PARITÀ DI TECNOLOGIA, CI SONO NOVITÀNELLE TIPOLOGIE DEGLI STRUMENTI E DELLEFUNZIONI UTILIZZATE PER SODDISFARE I BISO-GNI DELLE FAMIGLIE E DELLE IMPRESE (DERI-VATI, CARTOLARIZZAZIONE DEI CREDITI, ECC.).
I SERVIZI VENGONO OFFERTI CON DIVERSEMODALITA' (MULTICANALITA')
20
INNOVAZIONE REGOLAMENTARE
NUOVE TECNOLOGIE E NUOVI STRUMENTI FI-NANZIARI SIGNIFICANO ANCHE NUOVE REGOLE;SERVONO NUOVE NORME CONTRATTUALI O RE-GOLAMENTARI.
D’ALTRONDE, LE NOVITÀ REGOLAMENTARI SO-NO MOTORI DI CAMBIAMENTO NELLE TATTICHEE NELLE STRATEGIE CONSUETE DEGLI OPERA-TORI, QUINDI INNOVAZIONE IN SENSO PIENO.
21
INNOVAZIONE NELL’ICT...• Perdita centralità funzione IT
– Prevalenza degli aspetti di business rispetto alle soluzioni tecnologiche
• Eliminazione delle costrizioni relative al:– tempo: quando possono essere svolte alcune attività
(disponibilità delle soluzioni);– spazio: dove possono essere svolte;– attori: chi può svolgerle;– contesto: con chi possono essere svolte;– contenuti: cosa può essere prodotto, trasmesso o
ricevuto;
22
INNOVAZIONE NELL’ICT...
• Rende possibile ciò che prima non lo era o non era conveniente;
• Tecnologia trasversale:• consente di mobilizzare risorse ovunque esse si
trovino:• globalizzazione;
• indipendenza dalla localizzazione e dalla struttura territoriale;
23
INTRODUZIONE DI TECNICHE E APPLICAZIO-NI NUOVE CHE:
MODIFICANO IL MODO DI GENERARE E DI-STRIBUIRE I PRODOTTI FINANZIARI
CONTRIBUISCONO A CAMBIARE E AD AM-PLIARE GLI STESSI SERVIZI OFFERTI.
INTERNET
INNOVAZIONE NELL’ICT...
24
L’ICT...
• Consente di fornire soluzioni eleganti in tempi rapidi;
• Fa assumere un ruolo primario all’utente/proprietario del business;
• Supporta il business;
• Offre nuove opportunità al business
• Ecc.
Ma….
25
L’ICT….
al prezzo di:
• maggiore complessità
–aumento dei componenti
•> oneri di gestione
•> rischi operativi (sicurezza)
26
L’ICT….
Altri rischi connessi:
• Anticipare eccessivamente la domanda di un mercato che:– ancora non esiste– non è conoscibile a priori
• Effettuare investimenti:– in mercati insignificanti– con clienti poco profittevoli– senza decisioni finanziarie e organizzative razionali
27
L’ICT E IL BUSINESS BANCARIO
Divengono fondamentali:
• Conoscenza e gestione dei mercati
• Conoscenza e gestione della clientela
• Design, gestione e distribuzione di prodotti e servizi
• Gestione dei canali di distribuzione
• Impatti sulle risorse umane
• Nuove soluzioni organizzative per la gestione dei processi ICT (chi dirige l’orchestra?)
28
SICUREZZA….
• I rischi che si era abituati a considerare sostanzialmente permangono
• se ne aggiungono di nuovi
• in un contesto più complesso
• con componenti tecnologiche potenzialmente insicure
29
SICUREZZA….
• L’architettura di rete introduce rischi ulteriori:– su un campione di 585 aziende, nel 2000:
• il 70% ha subito violazioni (+8%)• su 273 che hanno dato una valutazione:
– il danno subito è pari a $265.586.240 (+214%)
Fonte: Computer Security Institute /FBI Computer Crime and Security Survey 2000
30
SICUREZZA….
31
SICUREZZA….
32
SICUREZZA….
• Fattori di rischio:– IERI
• assenza di valori etici
– OGGI• diffusione di valori antietici
33
SICUREZZA...
COME AFFRONTIAMO IL PROBLEMA??
34
L’ICT E LE STRATEGIE
l’ICT condiziona la strategia dell’impresa
• per dominare le strategie è necessario governare la tecnologia
I.C.T.
BUSINESS
STRATEGIE
35
Stiamo facendo le cose giuste?Le stiamo facendo nel modo giusto?Le stiamo facendo bene?Stiamo ottenendo benefici?
Qual è il problema?
L’IT governance è una responsabilità del CdA e consiste nella guida, nelle strutture organizzative e nei processi che garantiscono che l’IT supporti e contribuisca all’estensione delle strategie e degli obiettivi.
Cosa fa il CdA?
Traduzione operativa di strategie e obiettivi Sviluppo organizzativoUn metodo di controlloBalanced business scorecard
Come reagisce il
management ?
IT GovernanceIT Governance
36
Azionisti – Soggetti interessati Modello per l’IT Governance Coerenza dell’IT & Creaz. Valore Misura delle performance Gestione del rischio Sicurezza Conclusioni
Azionisti – Soggetti interessati Modello per l’IT Governance Coerenza dell’IT & Creaz. Valore Misura delle performance Gestione del rischio Sicurezza Conclusioni
IT GovernanceIT Governance
IT GovernanceIT Governance
37
Pressione da soggetti interessatiPressione da soggetti interessati
Azionisti e CdA Minori costi, maggiore profittabilitàMinori costi, maggiore profittabilitàe aumento del valore delle azionie aumento del valore delle azioni
Clienti e utenti Più funzioni a costi inferiori e Più funzioni a costi inferiori e maggiore facilità d’usomaggiore facilità d’uso
Società Maggiore trasparenza Maggiore trasparenza della gestione sia nel della gestione sia nel settore privato che in settore privato che in quello pubblicoquello pubblico
IT GovernanceIT Governance
38
Le maggiori situazioni di rischio sono state causate da debolezze nei Controlli interni, nella Supervisione, nell’IT
Attenzione ai rischi operativi, fra questi la sicurezza e l’IT sono significativi
Investire in: autenticazione, separazione, accountability
Quali segnali arrivano dalle autorità?Quali segnali arrivano dalle autorità?
Basel Committee on Banking Supervision (’88-2002) Banca d’Italia (1998) Commission on the Critical Information Infrastructure (1999) Riforma Draghi (1998) …..
IT GovernanceIT Governance
39
Cadbury: “…strengthen internal control…boards need to set strategic aims, provide leadership, supervise management and report to shareholders on their stewardship.”
Turnbull: “…board to assure appropriate and effective processes to monitor risk and effectiveness of the system of internal control… broader corporate governance role for audit committees...monitor and report on risks...”
BIS: “...governance arrangements for critical systems should be effective, accountable and transparent…”
Principi di comportamento del Collegio Sindacale CNDC-CNR: Principi di Revisione
SStandardstandards
IT GovernanceIT Governance
40
“Due diligence” IT è critico per il business IT è strategico per il business Le aspettative e l’erogato non collimano IT non ottiene attenzione/risorse necessarie Investimenti e rischi sempre maggiori
Perchè adottare un modello Perchè adottare un modello di IT Governance?di IT Governance?
IT GovernanceIT Governance
41
Le criticità derivano da: La crescente dipendenza dalle informazioni e dai sistemi e dai
canali di comunicazione che le erogano L’azienda dipende da entità che vanno oltre il suo diretto controllo I malfunzionamenti dell’IT impattano sempre di più sull’immagine
e sulla catena del valore dell’azienda Le tecnologie propongono nuove soluzioni che cambiano
drammaticamente le organizzazioni e le procedure, creando nuove opportunità e riducendo i costi
I rischi derivanti da un mercato che opera in un mondo interconnesso
La necessità di costruire e mantenere la conoscenza essenziale per il quotidiano e per far crescere l’azienda
IT è critico per molte AziendeIT è critico per molte Aziende
IT GovernanceIT Governance
42
Azionisti – Soggetti interessati Modello per l’IT Governance Coerenza dell’IT & Creaz. Valore Misura delle performance Gestione del rischio Sicurezza Conclusioni
Azionisti – Soggetti interessati Modello per l’IT Governance Coerenza dell’IT & Creaz. Valore Misura delle performance Gestione del rischio Sicurezza Conclusioni
IT GovernanceIT Governance
IT GovernanceIT Governance
43
Cosa dovrebbe fare il CdA ?
Cogliere le indicazioni del mercato Adottare un modello per l’T governance Fare le giuste domande Focalizzarsi sui seguenti aspetti dell’IT
Coerenza con il business Creazione di valore Gestione dei rischi
Misurare i risultati
Creazione di valore
Stakeholder Value Drivers
Misura delle
perform.
Gestione dei rischi
Coerenza della
strategia
IT GovernanceIT Governance
44
Che cosa dovrebbe fare il Management?
Mantenere coerente la strategia IT con gli obiettivi aziendali Tradurre strategia e obiettivi in piani di azione Definire strutture organizzative per attuare le strategie Adottare un modello di governo Fornire una infrastruttura tecn. che consenta la creazione e
condivisione di informazioni aziendali Assegnare la responsabilità di gestione dei rischi nell’ambito
dell’organizzazione Attenzione ai processi ed alle competenze inform. Misurare le performance (balanced business scorecard)
IT GovernanceIT Governance
45
Parte dalla premessa che l’IT deve fornire le informazioni che necessitano all’impresa per perseguire i propri obiettivi.
Si basa sulla organizzazione per processi e promuove l’ownership dei processi
Divide l’IT in 34 processi appartenenti a quattro domini e fornisce un controllo di alto livello per ciascuno di essi
Classifica le esigenze aziendali di affidabilità, qualità e sicurezza in sette criteri che possono essere usati per definire cosa il business chiede all’IT
E’ formato da un insieme di oltre 300 obiettivi di controllo di dettaglio
EfficaciaEfficienzaDisponibilitàIntegritàRiservatezzaConformitàAffidabilità
PianificazioneAcquisizione e SviluppoEsercizio e AssistenzaMonitoraggio
CCOBIOBIT: un metodo per i controlli ITT: un metodo per i controlli IT
IT GovernanceIT Governance
46
CCOBIOBIT: un metodo per i controlli ITT: un metodo per i controlli IT
IT GovernanceIT Governance
CCOBIOBIT è stato di recente ampliato con uno strato relativo T è stato di recente ampliato con uno strato relativo alla gestione ed al governo fornendo al manager un alla gestione ed al governo fornendo al manager un supporto contenente:supporto contenente:
Elementi per misurare le performance (misure di produttività e driver di performance per tutti i processi dell’IT)
Una lista di fattori critici di successo che propone, in modo schematico e non tecnico, le best practice per ciascun processo dell’IT
Un maturity model per assistere nell’attività di benchmark e decisione relativamente ai controlli dell’IT
47
P…….TI livelli di servizio sono espressi in termini appropriati/comprensibili per l’azienda e per l’utente finaleTI livelli di servizio debbono trovare riscontro puntuale nella struttura manageriale e nelle responsabilità ……….
CCOBIOBIT: Management GuidelinesT: Management GuidelinesCritical Success FactorsCritical Success Factors
DS01. Definire e gestire i livelli di servizioDS01. Definire e gestire i livelli di servizio
IT GovernanceIT Governance
…. I livelli di servizio sono espressi in termini
appropriati/comprensibili per l’azienda e per l’utente finale
I livelli di servizio devono trovare riscontro puntuale nella struttura manageriale e nelle responsabilità
…….
48
P…….Tbusiness unit strategiche sottoscrivono livelli di servizio allineati con gli obiettivi aziendali chiave percentuale di servizi IT che soddisfano gli SLA……….
CCOBIOBIT: Management GuidelinesT: Management GuidelinesKey Goal IndicatorsKey Goal Indicators
DS01. Definire e gestire i livelli di servizioDS01. Definire e gestire i livelli di servizio
IT GovernanceIT Governance
…..
Business unit strategiche sottoscrivono livelli di servizio allineati con gli obiettivi aziendali chiave
percentuale di servizi IT che soddisfano gli SLA
….
49
P…….Tinvestimenti necessari per raggiungere il livello di servizio definitoAtempo richiesto per adeguare il sistema ad un nuovo livello di serviziop……….
CCOBIOBIT: Management GuidelinesT: Management GuidelinesKey Performance IndicatorsKey Performance Indicators
DS01. Definire e gestire i livelli di servizioDS01. Definire e gestire i livelli di servizio
IT GovernanceIT Governance
..…
investimenti necessari per raggiungere il livello di servizio definito
tempo richiesto per adeguare il sistema ad un nuovo livello di servizio
…...
50
PAD HOC: processo informale, misure qualitative, reporting non sistematico
AD HOC: processo informale, misure qualitative, reporting non sistemico
INTUITIVO: SLA informale e non rivisto, reporting incompleto DEFINITO: responsabilità e processo definiti, inizio di analisi
economica e di benchmark, valutazione della soddisfazione del cliente
MISURABILE: SL fanno parte dei requisiti del sistema e delle applicazioni, reporting sistematico/automatico/completo, customer satisfaction valutata sistematicamente, valutazione dei rischi, processo standardizzato
OTTIMIZZATO: SL coerenti con obiettivi aziendali e IT, analisi economica spinta, miglioramento continuo, perseguimento della customer satisfaction, benchmark sistematico, incentivi collegati a SL e obiettivi
CCOBIOBIT: Management GuidelinesT: Management GuidelinesMaturity ModelMaturity Model
DS01. Definire e gestire i livelli di servizioDS01. Definire e gestire i livelli di servizio
IT GovernanceIT Governance
51
Diverse definizioni con alcuni punti in comune: E’ responsabilità del CdA e dell’Alta Direzione Proteggere l’investimento degli azionisti Garantire una gestione trasparente dei rischi Indirizzare e controllare: investimenti nell’IT, opportunità, benefici,
rischi Allineare l’IT con il business, assodato che l’IT è una componente
fondamentale e critica del piano strategico e influenza le scelte strategiche
Supportare l’attività corrente e prepararsi per il futuro E’ parte integrante di una struttura di governo globale
Definizione di IT Governance (1)Definizione di IT Governance (1)
IT GovernanceIT Governance
52
IT governance, come altri settori della governance, è una responsabilità dell’esecutivo e degli azionisti rappresentati dal CdA. E’ formata dalle strutture
organizzative e di guida e dai processi che assicurano the l’IT aziendale supporta e amplia le
strategie e gli obiettivi dell’azienda.
Definizione di IT Governance (2)Definizione di IT Governance (2)
IT GovernanceIT Governance
ITGI document: Board Briefing on IT Governance
53
’ ’
Modello dell’IT GovernanceModello dell’IT Governance
IT GovernanceIT Governance
54
Guidaredirigere
Controllare
Misurare le Performance
Attività IT Aumentare
l’automazione (business più efficace) Ridurre i costi (azienda
più efficiente) Gestire i rischi (sicurezza, affidabilità e
conformità)
IT è allineato con il business IT favorisce il business e massimizza i
benefici Le risorse IT sono usate
responsabilmente I rischi informatici sono
gestiti appropriatamente
Definire gli obiettivi
Modello dell’IT GovernanceModello dell’IT Governance
IT GovernanceIT Governance
55
Attività e attori dell’IT Governance Attività e attori dell’IT Governance
Attività dell'IT GovernanceCdA o Alta Direzione
Tipo di attività
Essere consapevoli del ruolo e dell'impatto dell'IT sull'impresa C/D PianificareDefinire le linee guida ed i risultati attesi C Dirigere
Determinare le capacità e gli investimenti richiesti D PianificareAssegnare le responsabilità C/D DirigereSostenere l'attività corrente D Organizzare
Favorire il cambiamento C/D DirigereDefinire i vincoli nell'ambito dei quali operare C Dirigere
Acquisire e attivare le risorse D OrganizzareMisurare le performance C Controllare
Gestire i rischi C/D ControllareOttenere attestazioni C Controllare
IT GovernanceIT Governance
56
Azionisti – Soggetti interessati Modello per l’IT Governance Coerenza dell’IT & Creaz. Valore Misura delle performance Gestione del rischio Sicurezza Conclusioni
Azionisti – Soggetti interessati Modello per l’IT Governance Coerenza dell’IT & Creaz. Valore Misura delle performance Gestione del rischio Sicurezza Conclusioni
IT GovernanceIT Governance
IT GovernanceIT Governance
57
Il CdA/A.D. dovrebbe garantire la coerenza dell’IT con il business attraverso:
La valutazione dell’allineamento della strategia IT a quella del Business La valutazione del servizio erogato rispetto alla strategia effettuando delle misure L’indirizzo della strategia IT verso il bilanciamento degli investimenti tra l’attività corrente e la
crescita dell’azienda La selezione ponderata dei settori nei quali concentrare l’impegno delle risorse
Strategia Aziendale
Coerenza delle attività
IT Operations
Strategia dell’IT
Business Operations
Coerenza dell’IT Coerenza dell’IT IT GovernanceIT Governance
58
Si guida l’allineamento IT/B garantendo che l’IT crei valore: con una strategia aziendale focalizzata su vantaggio competitivo, time-to-market, la
soddisfazione del cliente e la riduzione dei suoi tempi di attesa, la produttività e la capacità di generare profitto
supportata dalla strategia IT che mira a consegnare in tempo rispettando i budget con i benefici attesi
Business Unit Financial
Business Unit Operational
Business Unit IT Applications
Firm-wide IT Infrastructure
Time for Business Impact
Business Value DeliveredSample Measures
Revenue growthReturn on assetsRevenue per employee
Time to bring a new product to market
Sales from new productProduct or service quality
Implementation time: new applicationImplementation cost: new application
Infrastructure availabilityCost per transactionCost per workstation
BusinessBusinessManagementManagement
ITITManagementManagement
Degree of influence
Creazione di Valore Creazione di Valore IT GovernanceIT Governance
59
Il CdA/l’Alta Direzione relativamente ai rischi aziendali: garantisce visibilità sui rischi significativi
dell’organizzazione è consapevole che la responsabilità finale della gestione dei
rischi gli rimane in capo è consapevole che la riduzione dei rischi può generare costi indotti da inefficienza ritiene che una gestione proattiva dei rischi crei un
vantaggio competitivo Fa in modo che la gestione del rischio sia incorporata nei
processi operativi dell’azienda
Gestione dei rischi informaticiGestione dei rischi informaticiIT GovernanceIT Governance
60
Tecniche di gestione dei rischi
Risk Allocation - contratti, SLA, ecc.
Risk Mitigation – sicurezza & controllo
Risk Transfer - assicurazione
Risk Assurance - audit & certificazione
Risk Acceptance - formale, trasparente
Gestione dei rischi informaticiGestione dei rischi informatici
IT GovernanceIT Governance
61
• # di clienti IT • Costo per cliente IT • Costo/efficienza dei
processi IT• Valore creato dall’IT
per dipendente
Informazioni
• Disponibilità del sistema e dei servizi
• Sviluppo in tempo e nel budget
• Produttività e tempo di risposta
• Numero di errori e rifacimenti
• Livello di servizio erogato
• Soddisfazione dei clieenti
• # di nuovi clienti raggiunti
• # di nuovi canali di servizio
InvestimentiInvestimenti
ClientiClienti
• Produttività e clima del personale
• # dipendenti aggiornati su nuovi servizi
• Valore aggiunto erogato per dipendente
• Aumento disp. e mgt della conoscenza
ApprendimentoApprendimento
PProcessi
Esempi di misure ITEsempi di misure IT
IT Balanced ScorecardIT Balanced Scorecard
IT GovernanceIT Governance
62
Azionisti – Soggetti interessati Modello per l’IT Governance Coerenza dell’IT & Creaz. Valore Misura delle performance Gestione del rischio Sicurezza Conclusioni
Azionisti – Soggetti interessati Modello per l’IT Governance Coerenza dell’IT & Creaz. Valore Misura delle performance Gestione del rischio Sicurezza Conclusioni
IT GovernanceIT Governance
IT GovernanceIT Governance
63
Costo della sicurezza IT
Costo della sicurezza e del controllo vs. Costo della sicurezza e del controllo vs. IT BudgetIT Budget
5 - 10% 20 - 25% 45 - 50% 55%
Costo della non conformità
Benchmarking
Leadership
Attività elementari
Attività di base
GoodPractice
Riferimento per il
mercato
= driver per il cambiamento
IT GovernanceIT Governance
64
Strumenti & Tecnologia
ProcessiPolicy &
Procedures
Security Management
HumanBehaviour& Culture
SystemAccess Control
NetworkSegregati
on
Application
Security
11 22 33
6655 44
PoliticaPerformance della sicurezza IT
0199619971998199920002001
20
40
60
80
100
9288
76
64
48
42
96Politiche e proced. Mgt SicurezzFormazione,comp.i Sicurez. Applicaz. Controllo accessi Separazione Reti
1.2.3.4.5.6.
10 10 20 20 20 20
100
0Molto basso
1
Basso
2
Medio
3
Buono
4Molto
buono
5
Eccel.
Legenda5 - Eccellente: Ottimizzato, fortemente integrato4 – Molto buono: Gestito, misure e monitoraggio3 - Buono: Procedure definite e comunicate2 - Medio: Affronto i problemi, ripetibile 1 - Basso: Iniziale, ad hoc, non organizz.0 – Molto basso: Nessuna gestione
Legenda
Media del sistema
Posizionamento ‘97
Obiettivi per il 2001
IT GovernanceIT Governance
65
Azionisti – Soggetti interessati Modello per l’IT Governance Coerenza dell’IT & Creaz. Valore Misura delle performance Gestione del rischio Sicurezza Conclusioni
Azionisti – Soggetti interessati Modello per l’IT Governance Coerenza dell’IT & Creaz. Valore Misura delle performance Gestione del rischio Sicurezza Conclusioni
IT GovernanceIT Governance
IT GovernanceIT Governance
66
Obiettivi Capire i requisiti e l’importanza strategica dell’IT Assicurare il supporto aziendale all’operations Garantire la crescita e l’ampliamento delle attività aziendali nel futuro
Scopo Garantire che le attese informatiche siano soddisfatte ed i rischi
informatici siano tenuti sotto controllo
Posizionamento Nel più ampio ambito delle strutture di governo dell’azienda che coprono
la relazione tra la gestione, il controllo, la proprietà, gli azionisti (stakeholders) garantendo adeguate strutture a supporto
IT Governance: sintesiIT Governance: sintesi
IT GovernanceIT Governance
67
IT Governance: sintesiIT Governance: sintesi
ITDevelopment
BSC
ITOperational
BSC
BusinessBSC
ITStrategic
BSC
Acquisition & Implementation
Delivery & Support
Planning &Organization
Monitoring
IT GovernanceIT Governance
68
IT Governance InstituteIT Governance InstituteRolling Meadows, IL 60008 USARolling Meadows, IL 60008 USAwww.isaca.orgwww.isaca.orgwww.ITgovernance.orgwww.ITgovernance.org
IT GovernanceIT Governance
AIEA – Associazione Italiana AIEA – Associazione Italiana Information Systems AuditorsInformation Systems AuditorsVia Accademia, 19 - MilanoVia Accademia, 19 - Milanowww.aiea.itwww.aiea.it
[email protected]@antonveneta.it