eni.com

IS Governance in action: l’esperienza di eni

Giancarlo CimminoResp. ICT Compliance & Risk Management

2

L’ICT eni:

mission e principali grandezze

IS Governance: il modello organizzativo

focus su Process & Risk Management

il contributo agli obiettivi ICT di medio–lungo periodo

l’area del sito ICT eni dedicata al COBIT

Contenuti

eni è un’impresa integrata nell’energia

4

L’ICT eni …

eni ha intrapreso un processo di accentramento delle attività di supporto al business con l’obiettivo di migliorare l’efficienza ed i livelli di servizio forniti. Le direzioni di eni corporate (AFC, HR, ICT, Approvvigionamenti, etc.) garantiscono le competenze e i servizi centralmente per tutta la Company.

Anche il modello di ICT è cambiato: dopo il decentramento delle strutture e delle soluzioni tecnologiche degli anni ’90, si è ormai concluso il consolidamento delle competenze specialistiche all’interno dell’Eni in un’unica struttura specializzata, l’ICT eni.

HRAppr. ICT AFC

…

5

… la mission

L’ICT di eni corporate governa l’attività di Information & Communication Technology fornendo soluzioni e servizi di informatica e telecomunicazione all’interno del gruppo eni, sia sul territorio nazionale che internazionale.

In particolare:definisce il Piano Tecnologico ICT e le Linee Guida per lo sviluppo dell'ICT di Gruppo

coerentemente con l’evoluzione del business aziendale;garantisce l’adozione di architetture e tecnologie innovative anche tramite il continuo

monitoraggio del mercato di competenza;progetta e sviluppa nuovi sistemi informatici in allineamento con le esigenze del

business;gestisce i servizi continuativi di Application Management (AM) del parco applicativo, di

telecomunicazione (fonia e dati) e di esercizio dell’infrastruttura dell’eni;assicura la disponibilità di Accordi di Gruppo con Terzi fruibili sia a livello nazionale

che internazionale.

19700

520

Fisici1300

Virtuali1300

21600

10300

6

… le principali grandezze

769 persone

N. Postazioni di Lavoro

N. Server

N. Apparecchi telefonici fissi

N. Apparecchi telefonici mobiliN.B. i valori sono riferiti al 31/12/2009

in eni ICT lavorano

N. Applicazioni gestite

7

IS Governance: il modello organizzativo

8

Focus su Process & Risk Management: l’esigenza iniziale …

Dotare eni ICT di un corpus di processi ben documentati e costantemente verificati nel funzionamento.

Fornire una risposta adeguata e sostenibile all’esigenza della continua messa a punto dei nostri processi, per supportarne l’integrazione e garantirne l’allineamento al modello operativo.

Sviluppare e diffondere in eni ICT la cultura del risk management per migliorare la nostra capacità di valutare e gestire i rischi correlati a tutte le nostre attività, anziché limitarla a specifiche categorie di rischi di tipo tecnologico.

Trasformare l’impatto derivante dall’aumentata complessità del quadro normativo esterno ed interno (compliance) in un’opportunità, per strutturare sempre meglio i nostri processi.

9

Abbiamo scelto il Framework COBIT per disporre di uno schema logico affidabile, all’interno del quale riuscire a ricondurre le attivitàche caratterizzano i nostri processi di funzionamento per documentarli, controllarli e misurarli.

Al COBIT abbiamo associato un Framework di valutazione e gestione del rischio ICT nelle diverse aree/domini, per identificare, analizzare, valutare e mitigare i rischi correlati a tutte le attività ICT attraverso un percorso omogeneo e strutturato.

… la scelta dei framework

IS Governance: “insieme di logiche e strumenti finalizzati alla creazione di un assetto strutturale e di un contesto di governo del

SI aziendale che lo rendano costantemente coerente con le esigenze aziendali in ambienti caratterizzati da un alto livello di complessità”

In entrambi i casi li abbiamo adottati come strumenti operativi a supporto del governo e del sistema di presa delle decisioni.

10

Aumentare la consapevolezza all’interno di eni ICT:dell’importanza delle attività di controllo sull’operatività dei processi, per migliorarne l’efficienza, più che per rispondere a richieste di “adempimento”;dell’importanza della correlazione fra gli obiettivi di processo e la valutazione dei rischi associati al mancato raggiungimento degli stessi.Contribuire a definire sempre meglio ruoli e responsabilità.

Evoluzione dell’IT Process Mgmt rispetto alle precedenti esperienze

… il nuovo approccio

Governo e controllo vanno esercitati in un contesto di rispetto delle leggi che regolano l’attività dell’impresa

Raggiungere in modo “fisiologico” la compliance normativa – e più in generale soddisfare le esigenze del SCI - attraverso un adeguamento strutturale e non un approccio reattivo alle singole normative:

incorporando nei processi le operazioni indirizzate a garantire le conformità normative, come parte integrante delle attività quotidiane;predisponendo un impianto di controlli snello e integrato.

11

Alcuni dei nostri ambiziosi propositi:

garantire l’aderenza agli standard internazionali e al tempo stesso la semplicità di documentazione, di utilizzo e di aggiornamento;

… non adottare gli standard come dogmi ma contestualizzarli alla nostra organizzazione, lavorando insieme ai Process Owner e verificando ad ogni passaggio la applicabilità di quanto prodotto;

… cogliere tutte le opportunità di “snellimento strutturale”dell’esistente;

… essere in sintonia con le diverse indicazioni che emergonodall’ambiente di controllo interno (Internal Audit; CS; OdV).

… standard, metodologie e ….. buon senso

Le attività di ICT Process & Risk Mgmt per tradursi in supporti operativi alle attività di Governance devono saper combinare il

rigore metodologico con una buona dose di pragmatismo

12

Disporre di una vista integrata sulla effettiva operatività dei processi ICT attraverso il monitoring integrato degli action plan relativi alle azioni di miglioramento dei processi e delle IT Risk Response;

rafforzare la disciplina esecutiva delle attività ICT;

disporre di una vista aggregata dell’IT Inherent risk relativa a tutte le attività ICT e gestire gli IT Residual risks relativi ai processi IT e agli asset critici;

supportare il governo del maturity level dei processi;

aumentare la auditabilità e la trasparenza delle attività ICT, condividendo con le funzioni di controllo interne e esterne all’azienda un linguaggio comune e la logica risk based.

Il contributo agli obiettivi ICT di medio-lungo periodo

Le attività di ICT Process & Risk Mgmt contribuiscono al raggiungimento degli obiettivi ICT di medio-lungo periodo e in

particolare a “trasformare la funzione stessa ICT”

13

… spunti dalle cose fatte e primi benefici

formazione su IS Governance

Mappa dei Processi ICT eni

compliance integrata

framework di gestione dei rischi residuo processisingoli asset

programmi complessi

Corporate Governance Risk Mgmt

Inherent risk

ICT Governance Monitoring

Compliance Monitoring;

Process & Risk Monitoring;

Readiness

Processi COBIT di eni ICT

14

IT Project Development (IPD)

IPD: Project Management

IPD: Project Feasibility

IPD: Project Implementation

IT Application Operation

IT Risk & Security (IRS)

IRS: Governance

IRS: Management

IRS: Monitoring

IT Demand Management

IT Resource Portfolio Management (IRP)

IRP: Infrastructure Operating Programme

IRP: Application Operating Programme

IRP: Annual Operating Programme

IT Budgeting & Cost Monitoring

IT Sourcing

IT Strategic Planning

IT Contract Management

IT Infrastructure Operation

15

IT GOVERNANCE

STRATEGIC

ALIGNMENT

RIS

KM

ANAG

EMEN

T

RESOURCE

MANAGEMENT

PERFO

RM

ANC

E

MEASU

REM

ENT

VALUE DELIVERY

L’area del Sito ICT dedicata ai Processi COBIT

16

GRAZIEIT GOVERNANCE

STRATEGIC

ALIGNMENT

RIS

KM

ANAG

EMEN

T

RESOURCE

MANAGEMENT

PERFO

RM

ANC

E

MEASU

REM

ENT

VALUE DELIVERY

Backup

18

Corporate Governance

IS Governance

IT Governance

… all’interno del modello di Corporate Governance

indietro

eni Reference BookIl Reference Book è lo strumento operativo per la diffusione e l’applicazione delle logiche di IS Governance ed esplicita tutte le componenti del sistema

19

Ogni Paragrafo contiene:• Descrizione• Policy• Guidelines• Reporting

indietro

20

eni Reference Model

Com

pany

A C

ompa

ny

B Com

pany

n

__________Eni GroupReference Model_________

Il Reference Model esplicita l’ambito delle relazioni e la tipologia di applicazione

Contiene i Capitoli e i Paragrafi del Reference Book

Per ciascuna Società indica il livello adesione• Policy• Guidelineso se deve produrre• Reporting

indietro