Impianto della Funzione di Governo - aiea.it · decisione di impianto della funzione...
-
Upload
duongtuyen -
Category
Documents
-
view
216 -
download
0
Transcript of Impianto della Funzione di Governo - aiea.it · decisione di impianto della funzione...
Impianto della Funzione di Governo dell’ ICT
AIEA – Sessione di studioRenato Alessandroni, CISA, CGEIT, CISM, PMP
Roma, 1 ottobre 2012
22Questo materiale non può essere considerato esaustivo senza i commenti che lo hanno accompagnato.
Obiettivo dell’incontro
Presentare l’esperienza di Iccrea BancaImpresanell’impianto della Funzione di Governo dell’ICT aziendale, evidenziando:
– le motivazioni e le esigenze alla base della decisione di impianto della funzione
– l’approccio, gli strumenti utilizzati – i risultati della fase di progettazione organizzativa
della Funzione– l piano di implementazione– i fattori critici di successo
Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
3
IT Governance – una definizione
«Insieme di attività e procedure tese ad assicurare:• l’allineamento tra gli obiettivi dell’azienda e quelli
relativi ai Sistemi Informativi• l’apporto di valore al business da parte dell’IT• la mitigazione dei rischi in ambito IT»
Fonte: ISACA - CISA Review Manual
Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
4
IT Governance – una definizione (segue)
In dettaglio
• «Struttura organizzativa IT e la gestione delle risorse umane• Strategia IT e il processo di sviluppo, approvazione,
implementazione e manutenzione di tale strategia• Policy, gli standard, le procedure aziendali ed i processi di
sviluppo, approvazione, implementazione e manutenzione• Attività di investimento, utilizzo e allocazione delle risorse IT• Strategie e policy per la definizione dei contratti IT e le attività
di gestione di tali contratti• Attività di gestione dei rischi• Attività di monitoraggio e assurance»
Fonte: estratto da ISACA – CISA Review Manual)
Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
5
L’esigenza di fondo
La gestione dei Sistemi Informativi aziendali necessita sempre più di un approccio strutturato di governo degli stessi, capace• sia di supportare le Direzioni e gli Utenti nella
corretta gestione della domanda di servizi IT e/o di progetti
• che di attivare, nel caso, gli opportuni meccanismi e/o soluzioni per soddisfarla
Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
7
Il Progetto
Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
8
Fase 1
Progettazione interventie quick- w in
Fase 1
Progettazione interventie quick- w in
Fase 2 A
Impianto della Funzione
Fase 2 A
Impianto della Funzione
• Scenario di riferimento a medio termine (business e IT)• Livello di maturità IT attuale e target (Processi / Servizi / Struttura) • Gap analysis• Proposta di intervento (inclusi quick- w in)
• Recruiting• Struttura organizzativa• Regolamento aziendale• Kick-off struttura• I meccanismi operativi
Attivita’
Gestione del Progettomaggio 2011 nov 2011 - gen 2012 giugno 2013
Fase 2 B
ImplementazioneSoluzioni digoverno
Fase 2 B
ImplementazioneSoluzioni digoverno
• Progettazione micro • Implementazione singole soluzioni
• di Processo IT• di Servizio IT•Controllo dell’evoluzione (consolidamento)
analisi realizzazione
Il Progetto
• Obiettivo e valore atteso• Profilo sistema di controllo ICT IBI• Organizzazione del Progetto
– La fase di studio• L’approccio• I risultati
– I quick win
9Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
Obiettivo e valore atteso
• Obiettivo: progettare e implementare evoluzioni di Processo e di Servizio, nonché le eventuali evoluzioni di Struttura, dei Sistemi Informativi di IBI
• Valore atteso: innalzare il livello di definizione e strutturazione delle attività operative e di controllo inerenti le fasi del ciclo di vita del software, al fine di far evolvere il sistema di relazione con i Clienti e con i Fornitori di Servizi dei Sistemi Informativi (innalzamento del livello di qualità del Servizio erogato dai Sistemi Informativi di IBI)
10Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
Profilo SCI-IT – Interventi di Audit
11Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
Mode llo di rife rim ento inte rno (m ode llo de i Processi IBI a i fini BIA-Contintuità Opera tiva )
Process i di Pianificazione e Organizzazione IT Definizione del Piano Strategico per l’IT
Process i di sv iluppo del software Indiv iduazione delle soluzioni (make or buy )
Acquis izione, sv iluppo e manutenzione del
software applicativo
Sv iluppo e manutenzione delle procedure
(dei s istemi applicativ i)
Installazione e certificazione dei s istemi
applicativ i
Gestione delle modifiche Change management
Process i di erogazione e supporto (dei serv izi
IT) Definizione dei livelli di serv izio
Gestione della s icurezza logica dei s istemi
Gestione delle anomalie e degli incidenti
Gestione delle attiv ità operative
Gestione della Continuità di Serv izio
(Continuità Operativa)
Serv ice M anagement
Area di Intervento sui Processi IT
Modelli di riferimento standard (Cobit; ITIL)
Profilo SCI-IT -Piano Strategico IT + Interventi
• Piano Strategico IT 2011 – 2013: evoluzione dei Sistemi Applicativi verso/per mezzo di “(omissis) documentazione, tracciatura delle modifiche, progressiva adozione di processi strutturati di sviluppo del software e di change management, gestione delle richieste, etc.”
• Interventi intrapresi: elaborazione ed emanazione di specifiche procedure organizzative relative a:– Processo di “Individuazione delle soluzione di
automazione” (make or buy)– Processi di
• Gestione degli Incidenti• Gestione dei Problemi
12Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
Profilo SCI-IT -Indicazioni Capogruppo per l’evoluzione
• Strategia di outsourcing IT:– Organizzazione in outsourcing delle attività inerenti i
processi di elaborazione consolidati e rilasciati / presi in carico (operation)
• Funzioni / struttura:– Change Management e Service Management distinti
rispetto alle Funzioni deputate allo sviluppo del Software– Metodologie e Standard in staff al Responsabile Sistemi
Informativi
• Risorse– Consolidamento / potenziamento della struttura in linea
13Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
Roadmap per l’evoluzione presentata al CdA
14Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
Sequenzialità delle Fasi utilizzata solo per
agevolare la rappresentazione
grafica
L’approccio al Progetto
15Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
Dimensioniconsiderate
Governo dei Sistemi Informativi di IBI
Qualità dei Servizi IT
Equilibrio organizzativo
• Dirigere e controllare con logica unitaria i progetti di evoluzione e gli investimenti
• Allineamento necessità business e investimenti/costi IT (asset e risorse umane)
• Gestione del livello di rischio IT
• Qualità attesa
• Qualità progettata
• Qualità offerta
• Qualità percepita
• Ruoli e responsabilità
• Processi operativi e di controllo
• Struttura
Rischi / opportunità / scenario di riferimento
16Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
• Rischi:– Proceduralizzazione delle attività dei Sistemi Informativi
incompatibile con le esigenze di Servizio manifestate dagli Utenti
• Opportunità:– Maggiore definizione e standardizzazione delle attività
dei sistemi informativi– Miglioramento del Sistema di Controllo interno IT
• Scenario di riferimento:– Esternalizzazione delle attività sistemistiche e di
gestione (operation)
Struttura di Progetto
17Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
Sponsor(Direzione Generale (DG e VDGV)
Comitato Guida
DG ; VDGV ; CapogruppoSistemi Informativi e Processi Organizzativi Utenti reppresentativi (DG Controllata; Resp. Area)
Invitato permanente: Audit
Comitato Tecnico
Sist. Inf.vi e Processi OrganizzativiSviluèpo ApplicativoAltri (invitati)
PM
Progetto – Fase 1
19Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
Fase 1
Progettazione interventie quick- win
• Catalogo dei Servizi Information Technology (IT) • Livello di maturità attuale dei Processi IT• Livello di maturità target dei Processi IT• Gap di Processo, di Servizio, di Struttura Organizzativa • Piano delle implementazioni (interventi “in scope” e interventi “out of scope”)
• Piano delle attività Fase 2 (realizzazione)
Deliverable
Piano delle Attività – Fase 1
20Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
ID Nome attività %completamento
1 Progetto Evoluzione organizzativa e di Governo (EOG) - Fase 1 26%2 Inizio Progetto 100%8 Esecuzione Fase 1 - Progettazione interventi e quick-win 32%9 Monitoraggio interventi sulle risorse (deliberati nel
CdA del 4/3/2011)20%
10 Identificazione dei quick-win 30%11 Definizione processo IT di Individuazione
delle soluzioni (make or buy)45%
12 Definizione processo di gestione degli Incidenti 28%13 Servizi IT esternalizzati all'IST 45%14 Servizi IT gestiti da BAL 5%15 Definizione processo di gestione del Problemi 0%16 Scenario di riferimento a medio termine (3 anni) 96%17 Alnalisi scenario di business 100%18 Analisi scenario IT 100%19 Elaborazione scenario di riferimento 80%20 Mappa attività IT (processi) a medio termine (3 anni) 93%21 Adozione e personalizzazione modello di
riferimento per l'analisi100%
22 Rilevazione del livello di maturità attuale deiprocessi IT
100%
23 Identificazione del livello di maturità target deiprocessi IT
100%
24 Elaborazione catalogo dei Servizi IT 90%25 Pubblicazione catalogo dei Servizi IT 0%26 Gap analysis 0%27 Identificazione dei gap operativi (Processi, Servizi) 0%28 Identificazione dei gap di controllo (Processi, Servizi) 0%29 Identificazione dei gap di struttura organizzativa 0%30 Identificazione interventi 0%31 Elaborazione proposta di intervento 0%32 Approvazione proposta di intervento 0%33 Elaborazione Piano di Progetto - Fase 2 0%34 Approvazione Piano di Progetto - Fase 2 0%35 Monitoraggio 20%42 Chiusura Progetto - Fase 1 0%
CT, PM
CT
CTCT
CT
CTCT
22/06
CT
CT
CT
22/06
CTCT
CT
CT31/10
PM, CT30/11
30/11
maggio giugno luglio agosto settembreottobre novembredicembre gennaio febbraio marzo
Oggetti sviluppati
22Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
Scenario diriferimento
Scenario diriferimento
Mappaattività ITMappaattività IT
Livellodi Maturità
Livellodi Maturità
Proposta (Piano)di interventoProposta (Piano)di intervento
Obiettivi
23Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
• Verificare gli elementi di stabilità o di instabilitàche possono avere riflessi sull’elaborazione del nuovo modello operativo dell’ICT (processi, servizi, strutture)
• Indirizzare l’approccio al cambiamento(perimetro, modalità) (cfr. nel seguito: “Linee guida per il Progetto”)
Scenario di riferimento
Elaborazione Scenario
24Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
Scenario di riferimento
• Il mercato (business)• Come si presenta IBI sul mercato• Gli obiettivi strategici aziendali• Gli obiettivi strategici IT• Il profilo IT di IBI
• Sintesi Scenario
• Linee Guida
Il Piano TriennaleIl Piano Strategico ITIl Piano Progetti aziendale
Sintesi Scenario
25Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
Scenario di riferimento
• Alta Rilevanza dell’IT ai fini del raggiungimento degli obiettivi strategici aziendali
• Necessità di dover/poter reagire agli aggiustamenti aziendali conseguenti a un mercato non stabile
• Numerosità elementi ad Alta Rilevanza / Alto Impatto presenti nella Strategia IT
• Eterogeneità degli elementi a Alta Rilevanza / Alto Impatto presenti nella Strategia IT
Linee guida
26Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
Scenario di riferimento
Linea Guida per il Progetto:– Prevedere momenti di controllo (per conferma o
variazione) del Piano delle Attività, in funzione dell’avanzamento degli altri interventi medianti i quali si realizza la Strategia IT
Linea guida per “Identificazione del Livello di Maturità Target dei Processi IT”:
– Se il livello di Maturità Target > del Livello di Maturità attuale àààà posizionamento del primo a un solo livello al sopra dell’attuale.• Ciò in linea anche con le linee guida all’evoluzione del Livello di
Maturità indicate dal SEI e con quanto osservato presso realtà del mercato domestico (lavori ABILab)
Caratteristiche delmodello utilizzato
27Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
Mappa attività IT
• Modello a “doppia entrata”– COBIT e ITIL– Immediata riferibilità ad altre best practices (SEI)
• Immediato riferimento a– Interventi svolti nel passato (IBI, Audit) e/o in corso– Benchmark disponibili– Cosa fanno “gli altri” (es: ABILab)
• Organizzazione in “Cluster di Attività” dove:– COBIT: cosa fare– ITIL (+ SEI): come fare
Mappa Attività IT
28Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
Mappa delle Attività
Cobit Processes ITIL Processes
PO1 Define a strategic IT plan
PO3 Determine technological direction
PO5 Manage the IT investment
PO9 Assess and manage IT risks ST 4.6 Evaluation
PO10 Manage projects
AI1 Identify automated solutions
AI2 Acquire and maintain application software
AI5 Procure IT resources
AI6 Manage changes ST 4.1 Transition planning and support
ST 4.2 Change management
ST 4.6 Evaluation
SO 4.3 Request fulfilment
AI7 Install and accredit solutions and changes ST 4.5 Service validation and testing
ST 4.6 Evaluation
Mappa attività IT
“Cluster di Attività”
Mappa Attività IT (segue)
29Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
Mappa attività IT
Mappa delle Attività
Cobit Processes ITIL Processes
DS1 Define and manage service levels SD 4.1 Service catalogue management
SD 4.2 Service level management
DS2 Manage third-party services SD 4.7 Supplier management
DS3 Manage performance and capacity SD 4.3 Capacity management
SD 4.4 Availability management
SO 4.1 Event management
DS4 Ensure continuous service SD 4.5 IT service continuity management
DS5 Ensure systems security SD 4.6 Information security management
SO 4.5 Access management
DS8 Manage service desk and incidents SO 4.1 Event management
SO 4.2 Incident management
DS10 Manage problems SO 4.4 Problem management
ME1 Monitor and evaluate IT performance
Il Maturity Model
30Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
Livello di Maturità
Rappresentazione Grafica
Non esistente Iniziale Ripetibile Definito Gestito Ottimizzato
0 1 2 3 4 5
• Strumento largamente utilizzato e maturo ai fini della valutazione dei Processi IT
• Sviluppato da Carnegie Mellon University – Software Engineering Institute (SEI)– Definizione “Degree of process improvement across a
predefined set of process areas in which all goals in the set are attained”
• Utilizzato anche da ITIL, COBIT– Allineato al MM di SEI
Approccio
31Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
Livello di Maturità
• Sviluppo di un package per i valutatori– nota operativa– materiale di supporto (es: Best Practices)
• Valutazione individuale del LdM actual e target• Confronto in plenaria e valutazione finale
Linea guida per la valutazione, derivata dall’Analisi dello Scenario:– Se il livello di Maturità Target > del Livello di Maturità
attuale àààà posizionamento del primo a un solo livello al sopra dell’attuale.• Ciò in linea anche con le linee guida all’evoluzione del
Livello di Maturità indicate dal SEI e con quanto osservato presso realtà del mercato domestico (lavori ABILab)
Il Livello di Maturità - actuale target
32Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
Livello di MaturitàValutazione del Livello di Maturità dei Processi IT
Cobit Processes
Self assessment –OLD
target indicato -OLD
Benchmark -disponibile
MATURITY LEVEL ACTUAL
MATURITY LEVEL TARGET (3 ANNI -2014) ITIL Processes
PO1 Define a strategic IT plan 3 3 2 - 3 3 3
PO3 Determine technological direction 3 3 2 - 3 2 3
PO5 Manage the IT investment 3 3 3 3 3
PO9 Assess and manage IT risks 2 3 2 1 2 ST 4.6 Evaluation
PO10 Manage projects 4 5 3,5 2 3
AI1 Identify automated solutions 2 3 3 3 3
AI2 Acquire and maintain application software 2 3 3 2 3
AI5 Procure IT resources NA NA 3 3
AI6 Manage changes 2 3 3,5 2 3 ST 4.1 Transition planning and support
2 3 ST 4.2 Change management
2 3 ST 4.6 Evaluation
2 3 SO 4.3 Request fulfilment
AI7 Install and accredit solutions and changes 2 3 3 1 2 ST 4.5 Service validation and testing
1 2 ST 4.6 Evaluation
Il Livello di Maturità - actuale target
33Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
Livello di Maturità
Valutazione del Livello di Maturità dei Processi IT
Cobit Processes
Self assessment –OLD
target indicato -OLD
Benchmark -disponibile
MATURITY LEVEL ACTUAL
MATURITY LEVEL TARGET (3 ANNI -2014) ITIL Processes
DS1 Define and manage service levels 2 4 2,5 1 2 SD 4.1 Service catalogue management
1 2 SD 4.2 Service level management
DS2 Manage third-party services 3 3 NA 1 2 SD 4.7 Supplier management
DS3 Manage performance and capacity 3 3 NA 2 3 SD 4.3 Capacity management
2 3 SD 4.4 Availability management
2 3 SO 4.1 Event management
DS4 Ensure continuous service 2 4 < 3 3 3SD 4.5 IT service continuity management
DS5 Ensure systems security 3 3 2-3 2 3SD 4.6 Information security management
2 3 SO 4.5 Access management
DS8 Manage service desk and incidents 3 4 3,5 2 3 SO 4.1 Event management
2 3 SO 4.2 Incident management
DS10 Manage problems 3 4 3,5 2 3 SO 4.4 Problem management
ME1 Monitor and evaluate IT performance 2 3 NA 1 2
Gap Analysis – approccio
Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
MappaAttività IT
ScenarioBusiness
e IT
GapAnalysis
• quali processi / servizi IT
• livello di maturità attuale e target
• caratteristiche di processo / servizio mancanti per raggiungere il livello di maturità target
Gap Analysis
34
Proposta di Intervento –approccio
Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
MappaAttività IT
ScenarioBusiness
e IT
GapAnalysis
• quali processi / servizi IT
• livello di maturità attuale e target
• caratteristiche di processo / servizio da implementare per raggiungere il livello di maturità target
Proposta Intervento
Propostadi Intervento
• progettazione degli interventi
• prioritizzazione degli interventi
• stima dell’impegno
35
Premessa alla proposta di Intervento Fase 2
36
La Proposta di Intervento per la Fase 2 del Progetto risponde ai seguenti indirizzi formulati dal Comitato Guida di Progetto:• chiusura delle attività di Progetto entro 18 mesi dall’avvio• rafforzamento tempestivo del processo di Change
Management• anticipazione degli interventi previsto per il processo di
Problem Management• Previsione di una sola UO con compiti di gestione dei sistemi
di Information Security e di Continuità operativa
Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
Proposta Intervento
Commento alla proposta di Intervento Fase 2 –(segue)
37
La Proposta di Intervento per la Fase 2 richiede:• una elevata attenzione alla gestione del
cambiamento (IT ma anche, e in alcuni casi soprattutto, lato Utente)
• un forte commitment della Direzione Aziendale e dei Responsabili di Struttura verso l’adozione di nuove o diverse modalità operative nell’organizzazione e nella erogazione dei Servizi IT
Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
Proposta Intervento
Proposta di Intervento Fase 2
Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione 38
SchedulingStream Oggetto 1° tr
20122° tr 2012
3° tr 2012
4° tr 2012
1° tr 2013
2° tr 2013
A - PM e Processi direzionali Project Management e gestione struttura elapsedDemand Management elapsedDefine a strategic IT plan elapsedMonitor and evaluate IT performance elapsed
B - Sicurezza e CO Information security management elapsedService continuity management elapsed
C - Service Management Service catalogue management elapsedRequest fulfilment elapsedService Desk elapsedIncident management elapsedProblem management elapsedService level management elapsedEvent management elapsedCapacity management elapsedAvailability management elapsedSupplier management elapsed
D - Change Management Change management elapsed Service validation and testing elapsed Acquire and maintain application software elapsed
E - PMO Aziendale Manage projects elapsed
attività di progetto
attività di progetto + avvio processoattività di processo
Proposta Intervento
39
Servizi Generali
Sistemi Informativi eProc. Organizzativi
Sistemi applicativi IT Governance
Processi e Procedure
Program Management
Sistemi Gestionali
Sistemi Credito
Sistemi sintesi
Information Security Manager
Change Manager
Service Manager
Gestione Sistemi
UO
Ruolo funzionale
Funzione Attribuzioni
Information Security Manager
• Gestisce il Sistema aziendale di Continuità operativa• Sviluppa e gestisce il Sistema aziendale di gestione della sicurezza delle informazioni• Implementa sui sistemi di Identity e Access Management le griglie funzionali di accesso ai dati e alle funzioni,
predisposte da Sviluppo Sistemi in collaborazione con l’owner dei dati e delle funzioni (utente)• Crea le utenze di accesso ai dati e alle funzioni, sulle base delle indicazioni ricevute e in aderenza alle normative
in tema di gestione della sicurezza logica• Presidia il funzionamento dei sistemi automatici di Identity e Access Management
Change Manager • Interviene nel processo di sviluppo del software, in collaborazione con Sviluppo Sistemi, nelle fasi di certificazione e collaudo utente delle nuove applicazioni al fine di presidiare che tali fasi si svolgano nel rispetto delle metodologie e degli standard sul ciclo di vita del software
• Presidia, attraverso attività di pianificazione e coordinamento, il passaggio in produzione delle nuove applicazioni opportunamente collaudate. A tal fine, interfaccia le strutture operative per verificare la corretta presa in carico delle applicazioni rilasciate, secondo il protocollo definito con le stesse
• Presidia il funzionamento dei sistemi automatici di change management
Service Manager • Presidia il Livello di Servizio erogato sia da parte dei Sistemi Informativi di IBI che da parte dei terzi• Gestisce e manutiene il Catalogo dei Servizi IT di IBI• Presidia i processi di Gestione delle Richieste di Servizi IT, di Incident Management e di Problem Management• Presidia il funzionamento dei sistemi automatici di Desk Management
Proposta di Intervento Fase 2Proposta Intervento
Proposta di inetrvento -Action plan
• Piano di Attività– gestire rischi di Progetto– gestire condizionamenti tra gli stream
• Risorse– identificare e assegnare N risorse entro
il 1/1/2012– identificare e assegnare M risorse entro
30/06/2012
• Struttura– istituzione U.O. IT Governance e ruoli
funzionali
Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione 40
COSA
• PMO Progetto – durata del Progetto– primi 6 mesi di Progetto
• Risorse Umane e Organizzazione / Sistemi Informativi e Processi organizzativi– N risorse entro 1/1/2012– M risorse entro 30/06/2012
• Risorse Umane e Organizzazione / Sistemi Informativi e Processi organizzativi– 1/1/2012
CHI (entro quando)
Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
42
- Oggetti in rilascio con il presente CG -
ü Mappa delle attività IT di IBI
ü Livello di Maturità attuale e targetdelle attività IT di IBI
ü Analisi Scenario di riferimento (business e IT)
ü Gap Analysis
ü Catalogo dei Servizi IT di IBI e processo di Service Catalogue Management
Processo di Gestione degli Incidenti relativi
ai Servizi IT di IBI
Processo di gestione della Richiesta di Servizi IT di IBI
Attività in piano conclusa
Attività in piano in rilascio
Attività riscadenzata
- Risultati raggiunti / delivery -
Att. extra piano in rilascio
Soluzioni e Piano degli Interventi
Processo di gestione dei Problemi relativi ai
Servizi IT di IBI
Review Identif.ne delle soluzioni
Master Plan Fase 2
Stato avanzamento lavori
…ma non è finita qui…
44
Il 4 settembre 2012 la Banca d’Italia ha pubblicato un documento di consultazione di modifica delle attuali disposizioni in materia di sistema dei controlli interni, sistema informativo e continuità operativa delle banche e dei gruppi bancari
Titolo V; Capitolo 8 – Sistema informativo:I – Disposizioni di carattere generaleII - Governo e organizzazione dell’ICTIII – La gestione del rischio informaticoIV – Il sistema di gestione della sicurezza informaticaV – Il sistema di gestione dei datiVI – L’esternalizzazione di sistemi e servizi ICT
Titolo V; Capitolo 9 – Disposizioni in materia di continuità operativa
Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
…ma non è finita qui (segue)…
45
RELAZIONE PRELIMINARE SULL’ANALISI D’IMPATTO (pag. 5)
Il sistema informativo Anche il sistema informativo ricopre un ruolo fondamentale per il perseguimento degli obiettivi strategici e operativi degli intermediari. Nella proposta normativa vengono declinati in particolare i principi generali di governo e organizzazione dell’ICT nella banca e nel gruppo bancario. Sono indicati i processi di gestione essenziali e le misure minime di sicurezza da adottare, al fine di aumentare la capacità per le banche di contenere efficacemente il rischio operativo e di fronteggiare in modo tempestivo ed efficiente le esigenze di evoluzione e cambiamento. Le concrete misure da adottare potranno essere individuate dall’intermediario sulla base della complessità della sua operatività e in linea con standard e best practicesinternazionali.…(omissis).
Il presente documento non può essere considerato esaustivo senza i commenti che ne hanno supportato la presentazione
CObITITILISO 27000