CobiT come strumento di analisi e comunicazione efficace ... · CobiT come strumento di analisi e...

CobiT come strumento di analisi e comunicazione efficace sullo stato del sistema di controllo interno

Milano, 29 ottobre 2003

Andrea PederivaDeloitte Consulting SpA

of 40

Agenda

• Corporate Governance e IT Governance

• Equilibrio costi/benefici del Sistema di Controllo Interno

• Ruolo e utilizzo del Maturity Model

• Struttura del Maturity Model

• Utilizzare il Maturity Model mediante la Matrice dei Requisiti

• Costruire e utilizzare le Matrici dei Requisiti per singolo processo

• Esercitazione e confronto dei risultati: costruzione della Matrice dei Requisiti

• Esercitazione e confronto dei risultati: utilizzo della Matrice dei Requisiti per misurare il Livello di Maturità

of 40

Corporate Governance e IT Governance

Corporate GovernanceCorporate governance is the system by which business corporations are directed and controlled.

The corporate governance structure specifies the distribution of rights and responsibilities among different participants in the corporation, such as, the board, managers, shareholders and other stakeholders, and spells out the rules and procedures for making decisions on corporate affairs. By doing this, it also provides the structure through which the company objectives are set, and the means of attaining those objectives and monitoring performance. OECD, April 1999, consistent with the Cadbury report [1992, Introduction 2.5] (see: http://www.encycogov.com/WhatIsGorpGov.asp)

IT GovernanceAt its core, IT governance is concerned about two responsibilities: IT must deliver value and enable the business, and IT-related risks must be mitigated.

IT presents the extremes of both—very large investments and critical, potentially crippling risks. At the same time, it offers exceptional opportunities for growth and renewal. IT Governance Institute (www.itgi.org, section About IT Governance, and IT Governance Executive Summary, no date)

http://www.encycogov.com/WhatIsGorpGov.asp

http://www.itgi.org

of 40

Creare valore eabilitare il business

Mitigare i rischi IT-related

Ruolo dell’lT Governance

DEFINESTRATEGY

CREATEVALUE

PRESERVEVALUE

BAD THINGSNOT TO HAPPEN

GOOD THINGSTO HAPPEN

MEASURERESULTS

CONTINUOUSIMPROVEMENT

Creare valore e abilitare il business


Fonte: IT Governance Institute - IT Governance Executive Summary

of 40

Creare valore e abilitare il business

Strategie IT coerenti con le strategie di business

Lo strumento principe di verifica sono le Balance Scorecard

Oggetto di misurazione sono i Key Performance Indicators

ITDevelopment

BSC

ITOperational

BSC

BusinessBSC

ITStrategic

BSC

Acquisition & Implementation

Delivery & Support

Planning &Organization

Monitoring

Fonte: Wim Van Grembergen - “Alignment of Enterprise Governance and IT Governance”

of 40


• Strategic view on risk• Monitor risk impact on performance• Capital adequacy and allocation• Determine high priority action plans

Risk Committee• Monitor risk framework

and action plans• Reviews BU risk profiles• Monitors how key risks

are being managed

Audit Committee• Evaluates reports from

internal audit and external auditors

• Reviews financial reporting integrity

Internal Audit• Assessment of

processes, including ORM, which manage key risks

• Liaise with ORM on risk profiles and mitigation actions

• IT audit advises and reports on IT related risk mitigation strategies

ORM• Promotes best

practice• Supports risk

owners• Analyses new and

evolving risks• Develops and

compiles metrics on performance

• Liaises with IA

Risk Owners• Manage specific risk• Apply risk management cycle• Develop capabilities, processes

and controls• Integrate into job descriptions• Manage issues• Escalate material issues

Executive Board

ORM

Risk Committee Audit Committee

Risk Owners

Internal Audit

Attivare un Sistema di Controllo Interno efficace sui rischi operativi, incluso l’IT

Fonte: Paul Williams – Orvieto 2003

of 40

Equilibrio costi/benefici delSistema di Controllo Interno

Livello diControllo

CostiRischio

<< >>

In ambito IT, per il management si pone problema di giustificare gli investimenti in controllo sull’IT:

qual è il livello di controllo da ottenere,ed i costi sono giustificati dai benefici?

Punto di equilibrio

Costi = Rischio

of 40

Perché il Maturity Model

Determinare il punto di equilibrio in modo quantitativo è difficile

Le CobiT Management Guidelines propongono di adottare il metodo del benchmark, utilizzando il Maturity Model

Il Maturity Model è lo strumento che le Management Guidelines propongono per trovare il punto di equilibrio costi/benefici per i controlli sull’IT (attenzione al rischio trasferito)

of 40

Struttura del Maturity Model

Nonesistente

0

1

2

3

4

5

Iniziale

Ripetibile

Definito

Gestito

OttimizzatoSviluppato inizialmente dal SEI (Software Engineering Institute) come modello per i processi di sviluppo software

Attualmente paradigma di riferimento per misurare il livello di “strutturatezza” dei processi aziendali

Si basa su cinque livelli di maturità, da 0 (Non esistente) a 5 (Ottimizzato)

Because they are management processes, increased maturity and capability is also synonymous with increased risk management and increased efficiency.

of 40

Il significato dei cinque livelli di maturità

Nessun processo riconoscibile - Questione non notaInesistente0.

Questione nota, nessun approccio riconoscibile - Approccio caso per caso

Iniziale1.

Attività svolte di norma allo stesso modo anche da persone diverse

Ripetibile2.

Processo documentato e comunicatoDefinito3.

Elementi di misurazione e contromisure in caso di scostamenti o inefficacia

Gestito4.

Applicazione delle migliori pratiche e interventi di ottimizzazione

Ottimizzato5.

of 40

Il significato dei cinque livelli di maturità(dettaglio come da traduzione delle Management Guidelinies)

Completa assenza di qualsiasi processo consapevole. L’azienda non riconosce il tema come argomento da trattare.

Inesistente0.

Vi sono indicazioni che l’azienda si sia resa conto che l’oggetto del processo deve essere gestito. Tuttavia, invece di processi standardizzati vi sono approcci ad hoc che tendono ad essere applicati singolarmente o caso per caso. L’approccio generale alla gestione è disorganizzato.

Iniziale1.

I processi sono sviluppati al punto che persone diverse impegnate nello stesso lavoro adottano procedure simili. Non vi è addestramento formalizzato nécomunicazione di procedure standard e la responsabilità è lasciata al singolo. Vi èelevato affidamento sulle competenze dei singoli e pertanto errori sono probabili.

Ripetibile2.

Le procedure sono state standardizzate, documentate, e comunicate mediante addestramento. E’ comunque lasciata al singolo la responsabilità di aderire a tali procedure, ed è improbabile che le non conformità siano rilevate. Le procedure stesse non sono sofisticate ma consistono nella formalizzazione di prassi esistenti.

Definito3.

E’ possibile monitorare e misurare la conformità alle procedure ed effettuare azioni correttive dove i processi non appaiono funzionare efficacemente. I processi sono soggetti a costante miglioramento e forniscono pratiche di buona gestione. Automazione e strumenti sono usati in modo limitato o frammentario.

Gestito4.

I processi sono stati portati ad un livello di pratiche ottimali, basate sul risultato di continui miglioramenti e sul modello di maturità (confrontato) con altre aziende. L’IT è utilizzata in modo integrato per automatizzare il flusso di lavoro, fornendo strumenti per migliorare la qualità e l’efficacia, e rendendo l’impresa rapida negli adattamenti .

Ottimizzato5.

of 40

Utilizzo del Maturity Model

Nonesistente

0

1

2

3

4

5

Iniziale

Ripetibile

Definito

Gestito

Ottimizzato

Standard/Guidelines

Benchmarking

Strategy

Assessment Dovesono

Dovedovreiessere

Dovesono i

migliori

Dovevoglioandare• Posizionare l’azienda

• Confrontare il proprio posizionamento rispetto a standard, guidelines, mercato (posiziona-mento dei competitor)

• Scegliendo il posizionamento futuro determinare gli interventi correttivi

Con il Maturity Model posso:

of 40

Quale Maturity Model?

PO1 Piano strat. per l’IT

PO2 Architettura del S.I.

PO3 Orientamento tecnol.

PO4 Org. e relaz. dell’IT

PO5 Gestire gli investimenti IT

PO6 Obiett. e indir. mgmt

PO7 Gestire le risorse umane

PO8 Conformità alle norme

PO9 Valutare i rischi

PO10 Gestire i progetti

PO11 Gestire la qualità

Pianificazionee

Organizzazione

AI1 Identificare le soluzioni IT

AI2 Acquis. e manut. del sw

AI3 Acquis. e manut. infrastr.

AI4 Svil. e manut. procedure IT

AI5 Installazione e test

AI6 Gestire le modifiche

Acquisizionee

Sviluppo

DS1 Definire i livelli di servizio

DS2 Gestire servizi da terzi

DS3 Gestire prestaz. e volumi

DS4 Garant. la continuità

DS5 Garant. la sicurezza

DS6 Contabilizzare i costi

DS7 Istruz. ed addestr. utenti

DS8 Assist. e consul. ai clienti

DS9 Gestire la configurazione

DS10 Gestire le anomalie

DS11 Gestire i dati

DS12 Gestire le apparecc.

DS13 Gestire il sett. operativo

Rilascioe

Supporto

M1 Monitorare i processi

M2 Valut. adeg. del C. I.

M3 Ottenere cert. indip.

M4 Effettuare rev. indip.

Monitoraggio

Ad ogni processo il suo Maturity Model…

of 40

Maturity Model e Requisiti

• Le Management Guidelines “descrivono” per ciascuno processo i sei livelli di maturità da 0 a 5

• Le descrizioni dei livelli di maturità possono essere lette come “Elenco dei requisiti” per essere valutati conformi ad un determinato livello di maturità

of 40

PO10 – Gestire i Progetti

0 (Non esistente)Non vengono utilizzate tecniche di Project Management e l’organizzazione non considera gli impatti sul business derivanti dalle gestioni carenti dei progetti e dagli insuccessi nelle attività di sviluppo.

of 40


0 (Non esistente) - Vista per requisiti

1. Non vengono utilizzate tecniche di Project Management

2. L’organizzazione non considera gli impatti sul business derivanti dalle gestioni carenti dei progetti e dagli insuccessi nelle attività di sviluppo

of 40


1 (Iniziale – ad hoc)L’organizzazione è generalmente consapevole della necessità che i progetti siano strutturati ed è consapevole dei rischi dei progetti gestiti in modo carente. La scelta di utilizzare o meno tecniche ed approcci di project management all’interno dell’IT èlasciata alla responsabilità dei singoli manager IT. I progetti sono in genere definiti in modo sommario e non includono gli obiettivi di business e tecnici dell'azienda o degli interessati aziendali al progetto. Sono generalmente carenti il coinvolgimento della Direzione e la definizione delle responsabilità per i singoli progetti (project ownership) e vengono prese decisioni critiche anche in assenza di indicazioni da parte delle Direzioni utente o dei clienti. Il coinvolgimento degli utenti nella definizione dei progetti è carente o assente. I progetti IT non sono organizzati in modo chiaro ed i ruoli e le responsabilità non sono definiti. La pianificazione delle attività e le scadenze critiche sono definite in modo sommario. Tempi e spese del personale di progetto non sono registrati e confrontati con i preventivi.

of 40


1 (Iniziale – ad hoc) - Vista per requisiti

1. L’organizzazione è generalmente consapevole della necessità che i progetti siano strutturati ed è consapevole dei rischi dei progetti gestiti in modo carente

2. La scelta di utilizzare o meno tecniche ed approcci di project management all’interno dell’IT è lasciata alla responsabilità dei singoli manager IT

3. I progetti sono in genere definiti in modo sommario e non includono gli obiettivi di business e tecnici dell'azienda o degli interessati aziendali al progetto

4. Sono generalmente carenti il coinvolgimento della Direzione e la definizione delle responsabilità per i singoli progetti (project ownership)

5. Vengono prese decisioni critiche anche in assenza di indicazioni da parte delle Direzioni utente o dei clienti

6. Il coinvolgimento degli utenti nella definizione dei progetti è carente o assente

7. I progetti IT non sono organizzati in modo chiaro ed i ruoli e le responsabilità non sono definiti

8. La pianificazione delle attività e le scadenze critiche sono definite in modo sommario

9. Tempi e spese del personale di progetto non sono registrati e confrontati con i preventivi

of 40


2 (Ripetibile)La Direzione ha maturato la consapevolezza e comunicato il bisogno di una gestione di progetto per l’IT. L’organizzazione è nella fase di apprendimento e di riutilizzo di alcune tecniche e metodi da progetto a progetto. Gli obiettivi di business e tecnologici dei progetti IT sono definiti in modo informale. I soggetti interessati sono coinvolti nella gestione dei progetti IT in modo limitato. Alcune linee guida sono state sviluppate per molti aspetti del Project Management, ma la loro applicazione è lasciata alla discrezione dei singoli responsabili di progetto.

of 40


2 (Ripetibile) - Vista per requisiti

1. La Direzione ha maturato la consapevolezza e comunicato il bisogno di una gestione di progetto per l’IT

2. L’organizzazione è nella fase di apprendimento e di riutilizzo di alcune tecniche e metodi da progetto a progetto

3. Gli obiettivi di business e tecnologici dei progetti IT sono definiti in modo informale

4. I soggetti interessati sono coinvolti nella gestione dei progetti IT in modo limitato

5. Alcune linee guida sono state sviluppate per molti aspetti del Project Management, ma la loro applicazione è lasciata alla discrezione dei singoli responsabili di progetto

of 40


3 (Definito)Il processo e la metodologia per la gestione di progetto sono stati formalizzati e comunicati. La definizione dei progetti comprende la dichiarazione degli obiettivi di business e tecnologici. Le funzioni utente partecipano alla definizione e alla conduzione dei progetti. L'organizzazione di progetto e le relative linee di riporto sono definite. Nell'ambito della organizzazione di progetto taluni ruoli e le relative responsabilità sono formalizzati. Il piano di progetto prevede un'adeguata pianificazione in termini di tempi e risorse e sono definite opportune milestone da monitorare. Il monitoraggio di progetto si basa anche su tecniche di misurazione delle prestazioni. I progetti IT prevedono procedure formalizzate per le fasi post-implementazione. Viene erogata formazione sulla conduzione di progetto in modo informale. Sono state definite e vengono talvolta applicate procedure per il monitoraggio della qualità e attività post-implementazione. Sono definiti i criteri per il bilanciamento fra risorse del cliente e risorse del fornitore.

of 40


3 (Definito) - Vista per requisiti

1. Il processo e la metodologia per la gestione di progetto sono stati formalizzati e comunicati.

2. La definizione dei progetti comprende la dichiarazione degli obiettivi di business e tecnologici.

3. Le funzioni utente partecipano alla definizione e alla conduzione dei progetti.

4. L'organizzazione di progetto e le relative linee di riporto sono definite.

5. Nell'ambito della organizzazione di progetto taluni ruoli e le relative responsabilità sono formalizzati.

6. Il piano di progetto prevede un'adeguata pianificazione in termini di tempi e risorse e sono definite opportune milestone da monitorare.

7. Il monitoraggio di progetto si basa anche su tecniche di misurazione delle prestazioni.

8. I progetti IT prevedono procedure formalizzate per le fasi post-implementazione.

9. Viene erogata formazione sulla conduzione di progetto in modo informale.

10. Sono state definite e vengono talvolta applicate procedure per il monitoraggio della qualità e attività post-implementazione.

11. Sono definiti i criteri per il bilanciamento fra risorse del cliente e risorse del fornitore.

of 40


4 (Gestito)La Direzione richiede l'utilizzo di metriche formalizzate per il monitoraggio dei progetti. Alla fine dei progetti vi è una revisione documentata delle "lessons learned". I soggetti aziendali interessati partecipano attivamente ai progetti o li guidano. Le variazioni alla metodologia per la gestione di progetto sono documentate e comunicate. Il personale di progetto riceve formazione su tutti i miglioramenti alla metodologia. La metodologia per la gestione di progetto comprende la gestione del rischio. Il progetto viene seguito in modo attivo o guidato dai principali responsabili della funzione IT e delle funzioni utente interessate. Per ciascuna milestone di progetto sono documentati i criteri sulla base dei quali dichiarare raggiunti in modo totale o parziale gli obiettivi della milestone stessa. Viene calcolato il valore creato dal progetto e tale valore viene comparato al rischio corso e generato dal progetto (comparazione rischio/valore). Il coordinamento fra diversi progetti è affidato ad una specifica funzione di gestione di programma (portafoglio progetti).

of 40


4 (Gestito) - Vista per requisiti

1. La Direzione richiede l'utilizzo di metriche formalizzate per il monitoraggio dei progetti.

2. Al termine dei progetti vi è una revisione documentata delle "lessons learned".

3. I soggetti aziendali interessati partecipano attivamente ai progetti o li guidano.

4. Le variazioni alla metodologia per la gestione di progetto sono documentate e comunicate.

5. Il personale di progetto riceve formazione su tutti i miglioramenti alla metodologia.

6. La metodologia per la gestione di progetto comprende la gestione del rischio.

7. Il progetto viene seguito in modo attivo o guidato dai principali responsabili della funzione IT e delle funzioni utente interessate.

8. Per ciascuna milestone di progetto sono documentati i criteri sulla base dei quali dichiarare raggiunti in modo totale o parziale gli obiettivi della milestone stessa.

9. Viene calcolato il valore creato dal progetto e tale valore viene comparato al rischio corso e generato dal progetto (comparazione rischio/valore).

10. Il coordinamento fra diversi progetti è affidato ad una specifica funzione di gestione di programma (portafoglio progetti).

of 40


5 (Ottimizzato)Una metodologia di Project Management di provata efficacia per l’intero ciclo di vita dei progetti è integrata nella cultura dell’intera organizzazione. Una metodologia di Project Management di provata efficacia per l’intero ciclo di vita dei progetti è utilizzata e fatta utilizzare. È stata avviata un’attività volta ad identificare nel continuo ed integrare nelle pratiche aziendale le migliori pratiche di mercato. C’è un forte ed attivo supporto ai progetti da parte delle direzioni sponsor. C’è un forte ed attivo supporto ai progetti da parte dei diversi soggetti aziendali interessati al progetto. La direzione IT ha implementato una struttura di organizzazione dei progetti con regole documentate, responsabilità e criteri di valutazione del personale coinvolto. E’ stata definita una strategia di lungo periodo per le risorse IT a supporto dello sviluppo e delle decisioni operative sulle iniziative di esternalizzazione (outsourcing). Un ufficio integrato per la gestione di programma è responsabile dei progetti dal loro principio fino alla post-implementazione. L’ufficio per la gestione di programma è alle dipendenze delle direzioni di business e richiede e indirizza le risorse IT al completamento dei progetti. La pianificazione dei progetti per l’intera organizzazione assicura che gli utenti e le risorse IT sono utilizzate al meglio per il sostegno delle iniziative strategiche.

of 40


5 (Ottimizzato) - Vista per requisiti

1. Una metodologia di Project Management di provata efficacia per l’intero ciclo di vita dei progetti è integrata nella cultura dell’intera organizzazione.

2. Una metodologia di Project Management di provata efficacia per l’intero ciclo di vita dei progetti è utilizzata e fatta utilizzare.

3. È stata avviata un’attività volta ad identificare nel continuo ed integrare nelle pratiche aziendale le migliori pratiche di mercato.

4. C’è un forte ed attivo supporto ai progetti sia da parte delle direzioni sponsor.

5. C’è un forte ed attivo supporto ai progetti sia da parte dei diversi soggetti aziendali interessati al progetto.

6. La direzione IT ha implementato una struttura di organizzazione dei progetti con regole documentate, responsabilità e criteri di valutazione del personale coinvolto.

7. E’ stata definita una strategia di lungo periodo per le risorse IT a supporto dello sviluppo e delle decisioni operative sulle iniziative di esternalizzazione (outsourcing).

8. Un ufficio integrato per la gestione di programma è responsabile dei progetti dal loro principio fino alla post-implementazione.

9. L’ufficio per la gestione di programma è alle dipendenze delle direzioni di business e richiede e indirizza le risorse IT al completamento dei progetti.

10. La pianificazione dei progetti per l’intera organizzazione assicura che gli utenti e le risorse IT sono utilizzate al meglio per il sostegno delle iniziative strategiche.

of 40

Come determinare il livello di maturità

Sulla base dei requisiti…

Nonesistente

0

1

2

3

4

5

Iniziale

Ripetibile

Definito

Gestito

Ottimizzato

Req. 1 Req. 2 … Req. n0






of 40

Matrice dei requisiti – Versione “iniziale”

L’organizzazione non considera gli impatti sul business derivanti dalle gestioni carenti dei progetti e dagli insuccessi nelle attività di sviluppo

Non vengono utilizzate tecniche di Project Management

Inesistente0.

Tempi e spese del personale di progetto non sono registrati e confrontati con i preventivi

La pianificazione delle attività e le scadenze critiche sono definite in modo sommario

I progetti IT non sono organizzati in modo chiaro ed i ruoli e le responsabilità non sono definiti

Il coinvolgimento degli utenti nella definizione dei progetti è carente o assente

Vengono prese decisioni critiche anche in assenza di indicazioni da parte delle Direzioni utente o dei clienti

Sono generalmente carenti il coinvolgimento della Direzione e la definizione delle responsabilità per i singoli progetti (project ownership)

I progetti sono in genere definiti in modo sommario e non includono gli obiettivi di business e tecnici dell'azienda o degli interessati aziendali al progetto

La scelta di utilizzare o meno tecniche ed approcci di project management all’interno dell’IT èlasciata alla responsabilità dei singoli manager IT

L’organizzazione èconsapevole dei rischi dei progetti gestiti in modo carente

L’organizzazione ègeneralmente consapevole della necessità che i progetti siano strutturati

Iniziale1.

Alcune linee guida sono state sviluppate per molti aspetti del Project Management, ma la loro applicazione è lasciata alla discrezione dei singoli responsabili di progetto

I soggetti interessati sono coinvolti nella gestione dei progetti IT in modo limitato

Gli obiettivi di business e tecnologici dei progetti IT sono definiti in modo informale

L’organizzazione ènella fase di apprendimento e di riutilizzo di alcune tecniche e metodi da progetto a progetto

La Direzione ha maturato la consapevolezza e comunicato il bisogno di una gestione di progetto per l’IT

Ripetibile2.

Sono definiti i criteri per il bilanciamento fra risorse del cliente e risorse del fornitore.

Vengono talvolta applicate procedure per il monitoraggio della qualità.

Viene talvolta erogata formazione sulla conduzione di progetto.

I progetti IT prevedono procedure formalizzate per le fasi post-implementazione.

Il monitoraggio di progetto si basa anche su tecniche di misurazione quantitativa delle prestazioni.

Il piano di progetto prevede un'adeguata pianificazione in termini di tempi e risorse e sono definite opportune milestone da monitorare.

Nell'ambito della organizzazione di progetto taluni ruoli e le relative responsabilità sono formalizzati.

L'organizzazione di progetto e le relative linee di riporto sono definite.

Le funzioni utente partecipano alla definizione e alla conduzione dei progetti.

La definizione dei progetti comprende la dichiarazione degli obiettivi di business e tecnologici.

Il processo e la metodologia per la gestione di progetto sono stati formalizzati e comunicati.

Definito3.

R11R10R9R8R7R6R5R4R3R2R1

Il coordinamento fra diversi progetti è affidato ad una specifica funzione di gestione di programma (portafoglio progetti).

Viene calcolato il valore creato dal progetto e tale valore viene comparato al rischio corso e generato dal progetto (comparazione rischio/valore).

Per ciascuna milestone di progetto sono documentati i criteri sulla base dei quali dichiarare raggiunti in modo totale o parziale gli obiettivi della milestone stessa.

Il progetto viene seguito in modo attivo o guidato dai principali responsabili della funzione IT e delle funzioni utente interessate.

La metodologia per la gestione di progetto comprende la gestione del rischio.

Le variazioni alla metodologia per la gestione di progetto sono documentate e comunicate.

La gestione di progetto coinvolge tutta l'organizzazione interessata e non solo il personale IT.

Al termine dei progetti vi è una revisione documentata delle "lessons learned".

La gestione di progetto è basata su metodologie consolidate e metriche formalizzate per il monitoraggio dell'andamento del progetto.

Gestito4.

La pianificazione dei progetti per l’intera organizzazione assicura che gli utenti e le risorse IT sono utilizzate al meglio per il sostegno delle iniziative strategiche.

L’ufficio per la gestione di programma è alle dipendenze delle direzioni di business e richiede e indirizza le risorse IT al completamento dei progetti.

Un ufficio integrato per la gestione di programma èresponsabile dei progetti dal loro principio fino alla post-implementazione.

E’ stata definita una strategia di lungo periodo per le risorse IT a supporto dello sviluppo e delle decisioni operative sulle iniziative di esternalizzazione (outsourcing).

La direzione IT ha implementato una struttura di organizzazione dei progetti con regole documentate, responsabilità e criteri di valutazione del personale coinvolto.

C’è un forte ed attivo supporto ai progetti sia da parte delle direzioni sponsor sia da parte dei diversi soggetti aziendali interessati.

È stata avviata un’attività volta ad identificare nel continuo ed integrare nelle pratiche aziendale le migliori pratiche di mercato.

Una metodologia di Project Management di provata efficacia per l’intero ciclo di vita dei progetti èutilizzata e fatta utilizzare, ed èintegrata nella cultura dell’intera organizzazione.

Ottimizzato5.

Conformità pienaal livello 2

Conformitàparziale al liv. 3

of 40

Si può migliorare

Raggruppando i requisiti in categorie si arriva ad una rappresentazione efficace:

• come strumento di misurazione

• come strumento di comunicazione

• come strumento di decisione

• come strumento di individuazione degli interventi

of 40

Partendo dalle Management Guidelines

• Comprensione e Consapevolezza(Conoscenza e consapevolezza dei rischi e dei problemi di controllo)

• Formazione e Comunicazione

• Pratiche e Processi(Metodi e pratiche posti in essere)

• Automazione e Strumenti(Tecniche e strumenti adottati per rendere i processi più efficaci ed efficienti)

• Conformità(Nell’accezione dei sistemi di qualità)

• Competenze(Disponibilità ed utilizzo di competenze specialistiche)

Le Management Guidelines suggeriscono che i Modelli di Maturitàsono costruiti definendo requisiti incrementali di livello in livello (via via più stringenti), prassi e principi delle seguenti categorie, in modo coerente con il modello generico. Le categorie sono:

of 40

Modello incrementale generico

Comprensione e consapevolezza

Formazione e Comunicazione

Pratiche e Processi

Automazionee Strumenti

Conformità Competenze

1 Identificazione Comunicazione sporadica sui problemi

Approccio ad hoc a processo e prassi

2 Consapevolezza Comunicazione sul problema generale e le necessità

Emerge un processo similare/comune, ma intuitivo

Appaiono strumenti comuni

Monitoraggio incoerente su problemi isolati

3 Comprensione della necessità di agire

Addestramento informale che supporta iniziative individuali

Le prassi sono definite, standardizzate e documentate; inizia la condivisione delle migliori prassi

La strumentazione èstandardizzata; le pratiche attualmente disponibili sono usate e fatte applicare

Monitoraggio incoerente; emerge la misurazione; occasionalmente adottata la balanced scorecard; l’analisi delle cause prime èintuitiva

Coinvolgimento degli specialisti IT nei processi aziendali

4 Comprensione piena dei requisiti

Addestramento formale che supporta un programma gestito

La proprietà dei processi e le responsabilità sono assegnate; il processo è solido e completo; le migliori prassi interne sono applicate

Sono usate tecniche mature; sono rafforzati strumenti standard; limitato uso tattico della tecnologia

Le balanced scorecard sono usate in alcune aree; le anomalie sono annotate; l’analisi delle cause primarie èstandardizzata

Coinvolgimento di tutti gli esperti interni del settore

5 Comprensione avanzata, che guarda al futuro

Addestramento e comunicazione che supportano le migliori prassi esterne e usano concetti avanzati

Sono applicate le migliori prassi esterne

Sono impiegate tecniche sofisticate; uso estensivo ed ottimizzato della tecnologia

Balanced scorecard applicate globalmente; le anomalie sono coerentemente registrate e contrastate; l’analisi delle cause primarie è sempre applicata

Utilizzo di esperti esterni e di leader di settore come guida

of 40

Utilizzo del modello incrementale generico(Guldentops – IS Control Journal 4/03)

Comprensione e consapevolezza

Formazione e Comunicazione

Pratiche e Processi

Automazionee Strumenti

Conformità Competenze

1 Identificazione Comunicazione sporadica sui problemi

Approccio ad hoc a processo e prassi

2 Consapevolezza Comunicazione sul problema generale e le necessità

Emerge un processo similare/comune, ma intuitivo

Appaiono strumenti comuni

Monitoraggio incoerente su problemi isolati

3 Comprensione della necessità di agire

Addestramento informale che supporta iniziative individuali

Le prassi sono definite, standardizzate e documentate; inizia la condivisione delle migliori prassi

La strumentazione èstandardizzata; le pratiche attualmente disponibili sono usate e fatte applicare

Monitoraggio incoerente; emerge la misurazione; occasionalmente adottata la balanced scorecard; l’analisi delle cause prime èintuitiva

Coinvolgimento degli specialisti IT nei processi aziendali

4 Comprensione piena dei requisiti

Addestramento formale che supporta un programma gestito

La proprietà dei processi e le responsabilità sono assegnate; il processo è solido e completo; le migliori prassi interne sono applicate

Sono usate tecniche mature; sono rafforzati strumenti standard; limitato uso tattico della tecnologia

Le balanced scorecard sono usate in alcune aree; le anomalie sono annotate; l’analisi delle cause primarie èstandardizzata

Coinvolgimento di tutti gli esperti interni del settore

5 Comprensione avanzata, che guarda al futuro

Addestramento e comunicazione che supportano le migliori prassi esterne e usano concetti avanzati

Sono applicate le migliori prassi esterne

Sono impiegate tecniche sofisticate; uso estensivo ed ottimizzato della tecnologia

Balanced scorecard applicate globalmente; le anomalie sono coerentemente registrate e contrastate; l’analisi delle cause primarie è sempre applicata

Utilizzo di esperti esterni e di leader di settore come guida

of 40

Obiettivo: matrice livelli/categorieper modello specifico di processo

Inesistente0.

Iniziale1.

Ripetibile2.

Definito3.

Gestito4.

Ottimizzato5.

Categoria n…Categoria 3Categoria 2Categoria 1

In matrice andiamo a inserire, all’incrocio fra livello e

categoria, i requisiti previsti dal Maturity Model specifico

di processo

of 40

Risultato: lo strumentodi misurazione ed analisi

xxxxxxxxxxxxxxxxxxxxxxxxxxxx

Inesistente0.




Iniziale1.




Ripetibile2.



Definito3.





Gestito4.



Ottimizzato5.

Categoria n…Categoria 2Categoria 1

Livello diMaturità

of 40

Esempio di risultatoLev.Lev.Lev.

Training & Communication (includdingUnderstanding and Awareness)



Methodology(Process and Practices)



Project Organization(Process and Practices)Project Organization

(Process and Practices)Project Organization

(Process and Practices)Monitoring and

Control(Compliance)

Monitoring and Control

(Compliance)

Monitoring and Control

(Compliance)

Mgmt Support and Stakeholders Involv.

(Process and Practices)





Planning(Process and Practices)



Program Office(Process and Practices)



Resources(Expertise)Resources(Expertise)Resources(Expertise)

55 A proven, full life-cycle project methodology is integrated into the culture of the entire organisation.

A proven, full life-cycle project methodology is integrated into the culture of the entire organisation.

A proven, full life-cycle project methodology is implemented and enforced.

An on-going programme to identify and institutionalisebest practices has been implemented.

A proven, full life-cycle project methodology is implemented and enforced.

An on-going programme to identify and institutionalisebest practices has been implemented.

IT management has implemented a projectorganisation structure with documented roles, responsibilities and staff performance criteria.

IT management has implemented a projectorganisation structure with documented roles, responsibilities and staff performance criteria.

There is strong and active project support from senior management sponsors.

There is strong and active project support from stakeholders.

There is strong and active project support from senior management sponsors.

There is strong and active project support from stakeholders.

Organisation-wide planning of projects ensures that user and IT resources are bestutilised to support strategic initiatives.

Organisation-wide planning of projects ensures that user and IT resources are bestutilised to support strategic initiatives.

An integrated programmemanagement office is responsible for projects from inception to post implementation.

The programme management office is under the management of the business units and requisitions and directs IT resources to complete projects.

An integrated programmemanagement office is responsible for projects from inception to post implementation.

The programme management office is under the management of the business units and requisitions and directs IT resources to complete projects.

A long-term IT resources strategy is defined to support development and operational outsourcing decisions.

A long-term IT resources strategy is defined to support development and operational outsourcing decisions.

44 Enhancements to the project management process areformalised and communicated.

Project team members are trained on all enhancements.

Enhancements to the project management process areformalised and communicated.

Project team members are trained on all enhancements.

Management requires “lessons learned” to be reviewed following project completion.

Risk management is performed as part of the project management process.

Management requires “lessons learned” to be reviewed following project completion.

Risk management is performed as part of the project management process.

Management requires formal and standardised project metrics.

Value and risk are measured and managed prior to, during and after the completion of projects.

Project management is measured and evaluated throughout the organisationand not just within IT.

Project milestones, as well as the criteria for evaluating success at each milestone, have been established.

Management requires formal and standardised project metrics.

Value and risk are measured and managed prior to, during and after the completion of projects.

Project management is measured and evaluated throughout the organisationand not just within IT.

Project milestones, as well as the criteria for evaluating success at each milestone, have been established.

Stakeholders actively participate in the projects or lead them.

Stakeholders actively participate in the projects or lead them.

Projects are defined, staffed and managed to increasingly address organisation goals, rather than only IT specific ones.

Projects are defined, staffed and managed to increasingly address organisation goals, rather than only IT specific ones.

Management has established a programme management function within IT.

Management has established a programme management function within IT.

33 The IT project management process and methodology have been formally established and communicated.

Informal project management training is provided.

The IT project management process and methodology have been formally established and communicated.

Informal project management training is provided.

IT projects have formal post system implementation procedures.

Quality assurance procedures and post system implementation activities have been defined, but are not broadly applied by IT managers.

IT projects have formal post system implementation procedures.

Quality assurance procedures and post system implementation activities have been defined, but are not broadly applied by IT managers.

The IT project organisationand some roles and responsibilities are defined.

The IT project organisationand some roles and responsibilities are defined.

IT projects have defined and updated milestones, schedules, budget and performance measurements.

IT projects have defined and updated milestones, schedules, budget and performance measurements.

Stakeholders are involved in the management of IT projects.

Stakeholders are involved in the management of IT projects.

IT projects are defined with appropriate business and technical objectives.

IT projects are defined with appropriate business and technical objectives.

Policies for using a balance of internal and external resources are being defined.

Policies for using a balance of internal and external resources are being defined.

22 Senior management has gained and communicated an awareness of the need for IT project management.

Senior management has gained and communicated an awareness of the need for IT project management.

Some guidelines have been developed for most aspects of project management, but their application is left to the discretion of the individual project manager.

The organisation is in the process of learning and repeating certain techniques and methods from project to project.

Some guidelines have been developed for most aspects of project management, but their application is left to the discretion of the individual project manager.

The organisation is in the process of learning and repeating certain techniques and methods from project to project.

There is limited stakeholder involvement in IT project management.

There is limited stakeholder involvement in IT project management.

IT projects have informally defined business and technical objectives.

IT projects have informally defined business and technical objectives.

11 The organisation is generally aware of the need for projects to be structured and is aware of the risks of poorly managed projects.

The organisation is generally aware of the need for projects to be structured and is aware of the risks of poorly managed projects.

The use of project management techniques and approaches within IT is a decision left to individual IT managers.

The use of project management techniques and approaches within IT is a decision left to individual IT managers.

There is no clear organisationwithin IT projects and roles and responsibilities are not defined.

There is no clear organisationwithin IT projects and roles and responsibilities are not defined.

Project schedules and milestones are poorly defined.

Project staff time and expenses are not tracked and compared to budgets.

Project schedules and milestones are poorly defined.

Project staff time and expenses are not tracked and compared to budgets.

There is a general lack of management commitment and project ownership and critical decisions are made without user management or customer input.

There is little or no customer and user involvement in defining IT projects.

There is a general lack of management commitment and project ownership and critical decisions are made without user management or customer input.

There is little or no customer and user involvement in defining IT projects.

Projects are generally poorly defined and do not incorporate business and technical objectives of theorganisation or the business stakeholders.

Projects are generally poorly defined and do not incorporate business and technical objectives of theorganisation or the business stakeholders.

Legend:

Benchmark Isaca 2001

Measured Maturity Level

of 40

Esercitazione

• Esercitazione suDS01 - Gestire i Livelli di ServizioPO10 – Gestire i Progetti

• EsercitazioneEsame dei requisitiIndividuazione delle categorie di requisitiRealizzazione della matrice di misurazione

• Gruppi di lavoro di 4 persone

• MaterialeFogli A3PennaRequisiti pre-stampatiColla da ufficio

of 40

Confronto dei risultati

• I diversi gruppi presentano l’elenco delle categorie individuate e il risultato in termini di Matrice dei requisiti

of 40

Esercitazione

Misurazione del Maturity Model

MaterialeMatrice dei requisiti uguale per tutti i gruppiBreve racconto a illustrazione dello scenario

of 40

Confronto dei risultati

• I diversi Gruppi di Lavoro presentano il risultato della misurazione del Maturity Model

• Discussione delle differenze

of 40

Riferimenti

Andrea Pederivac/o DeloitteP.zza S. Vito, 3731100 – Treviso

Ufficio: +39 0422 5875Mobile: +39 335 7376925

Email: [email protected]

This document was created with Win2PDF available at http://www.daneprairie.com.The unregistered version of Win2PDF is for evaluation or non-commercial use only.

http://www.daneprairie.com

CobiT come strumento di analisi e comunicazione efficace ... · CobiT come strumento di analisi e...

Documents

Transcript of CobiT come strumento di analisi e comunicazione efficace ... · CobiT come strumento di analisi e...