L’OUTSOURCING IT: BEST PRACTICE E AUDITING · Sviluppo dell’offerta commerciale a.1.3. Analisi...

8 marzo 2007

L’OUTSOURCING IT:

BEST PRACTICE E AUDITING

L’ESECUZIONE DELL’AUDIT

Claudio Bacchieri, CISMAEM Spa

8 marzo 2007L’esecuzione dell’Audit

L’esecuzione dell’Audit

L’Audit e il ciclo di vita del contratto di outsourcingLo strumento di indagine


Tabella 1: Ciclo di vita del contratto di outsourcing

a.1.6. Definizione del contratto

b.1.4. Definizione del contrattoa.1.5. Definizione del progetto di attuazione e macro-plan

b.1.3. Definizione dl progetto di attuazione e macro-plan

a.1.4. Identificazione del fornitore Ricerca di mercatoIdentificazione forma di outsourcingIdentificazione outsourcer

b.1.2. Identificazione del clienteIndividuazione delle opportunità di mercatoIdentificazione team di analisiAnalisi dei rischi e delle potenzialitàSviluppo dell’offerta commerciale

a.1.3. Analisi dei rischi e delle potenzialitàValutazione dei processi interniIdentificazione dei criteri di sceltaScelta dei processi da esternalizzare e degli obiettivi

a.1.2. Identificazione team di analisi

b.1.1. Definizione del ruolo e delle strategieIdentificazione delle esigenzeIdentificazione degli obiettiviAssegnazione responsabilità commerciali

a.1.1. Individuazione esigenze e definizione strategie

b.1. ANALISI (Plan)a.1. ANALISI (Plan)

b. PUNTO DI VISTA DEL FORNITOREa. PUNTO DI VISTA DEL CLIENTE

L’Audit e il ciclo di vita


a.1.6. Definizione del contratto

b.1.4. Definizione del contrattoa.1.5. Definizione del progetto di attuazione e macro-plan

b.1.3. Definizione dl progetto di attuazione e macro-plana.1.4. Identificazione del fornitoreRicerca di mercatoIdentificazione forma di outsourcingIdentificazione outsourcer

b.1.2. Identificazione del clienteIndividuazione delle opportunità di mercatoIdentificazione team di analisiAnalisi dei rischi e delle potenzialitàSviluppo dell’offerta commerciale

a.1.3. Analisi dei rischi e delle potenzialitàValutazione dei processi interniIdentificazione dei criteri di sceltaScelta dei processi da esternalizzare e degli obiettivi

a.1.2. Identificazione team di analisi

b.1.1. Definizione del ruolo e delle strategieIdentificazione delle esigenzeIdentificazione degli obiettiviAssegnazione responsabilità commerciali

a.1.1. Individuazione esigenze e definizione strategie

b.1. ANALISI (Plan)a.1. ANALISI (Plan)


Tabella 4. Posizionamento dell’IT Auditing nel ciclo di vita




b.2.8. Supporto al cliente

b.2.7. Erogazione del servizio

b.2.6. Migrazione al nuovo assettoa.2.6. Migrazione al nuovo assetto

b.2.5. Formazione del personalea.2.5. Formazione del personale

b.2.4. Realizzazione del servizio Progetto esecutivoOrganizzazione del presidio al servizioAdeguamento organizzativoCollaudo del servizio

a.2.4. Realizzazione del servizioAnalisi organizzativaAdeguamento organizzativoCollaudo del servizioAccettazione del servizio

b.2.3. Definizione strumenti di controllo ed indicia.2.3. Definizione strumenti di controllo ed indici

b.2.2. Re-engineering del processo in outsourcinga.2.2. Re-engineering del processo in outsourcing

b.2.1. Definizione del team misto cliente – outsourcera.2.1. Definizione del team misto cliente – outsourcer

b.2. IMPLEMENTAZIONE DEL CONTRATTO (Do)a.2. IMPLEMENTAZIONE DEL CONTRATTO (Do)






b.3.3. Le attività di Auditinga.3.3. Le attività di Auditing

b.3.2. Monitoraggio dei livelli di servizioa.3.2. Monitoraggio dei livelli di servizio

b.3.1. Gestione del contratto e del clientea.3.1. Gestione del contratto e del fornitore

b.3. GESTIONE E VERIFICA DEL CONTRATTO (Check)

a.3. GESTIONE E VERIFICA DEL CONTRATTO (Check)





b.4.3. Rinnovo o termine del contrattoa.4.3. Rinnovo del contratto/scelta diverso outsourcer

b.4.2. Valutazione del servizio di outsourcinga.4.2. Valutazione economica e strategica del servizio di outsourcing

b.4.1. Miglioramento continuoa.4.1. Miglioramento continuo

b.4. EVOLUZIONE E REVISIONE DELCONTRATTO (Act)

a.4. EVOLUZIONE E REVISIONE DELCONTRATTO (Act)



L’esecuzione dell’Audit

L’Audit e il ciclo di vita del contratto di outsourcingLo strumento di indagine


Le checklist di controllo

• Predisposizione di uno strumento utilizzabile dall’auditor per effettuare verifiche a fronte delle principali categorie di rischi prese in considerazione

• Adozione della struttura di checklist già proposta dal Gruppo di Ricerca AIEA “L’Auditing ISO17799/BS7799”

• IL CONTRATTO E LA PARTE LEGALE• LA SICUREZZA• GLI SLA E IL LORO MONITORAGGIO• LA GOVERNANCE


Guida per la compilazione

Ci sono due domande base che potrebbero riguardare ciascun requisito di controllo.

Q1 – È stato implementato il requisito adeguato?

Sono possibili tre risposte:

• SI – significa che gli elementi sono applicati con buona soddisfazione dei requisiti;Possono essere fornite alcune spiegazioni per giustificare questa risposta – vedi “COMMENTI” sotto;

• PARZIALMENTE – alcune elementi sono applicati secondo i requisiti indicati ma non sono sufficienti per rispondere “SI”;

• NO – nessun elemento è stato considerato rispetto ai requisiti indicati.Questa è anche la risposta appropriata dove il controllo non è adeguato al sistema sotto revisione. Una risposta “NO” potrebbe anche essere data se un requisito di controllo è rilevante ma è implementato attraverso un altro tipo di controllo.



Q2 – Se un requisito non è pienamente implementato, perché non lo è stato?È importante capire i motivi della parziale o mancata implementazione. Questi sono classificati secondo le seguenti categorie, con la possibilità di più risposte contemporanee:RISCHIO - non giustificato dall’esposizione al rischio;BUDGET - ci sono spesso limitazioni finanziarie riguardanti gli elementi che devono essere implementati;AMBIENTE - fattori ambientali, come la dislocazione logistica dell’outsourcer, potrebbero influenzare la scelta degli elementi considerati;TECNOLOGIA - alcune misure sono tecnicamente irrealizzabili a causa dell'incompatibilità dell'hardware e del software;CULTURA - le limitazioni sociologiche sull'implementazione dei requisiti potrebbero riguardare una nazione, un settore o una organizzazione. Le misure potrebbero essere inefficaci se non sono accettate dal personale e/o dai clienti;TEMPO - non tutti i requisiti possono essere considerati immediatamente. Alcuni potrebbero aver bisogno di più tempo a causa delle caratteristiche tecnologiche, altri di un'opportunità adatta per essere inseriti in un più vasto piano di miglioramento;Non Applicabile - per esempio, quando le caratteristiche del rapporto societario tra cliente e fornitore superano gli elementi considerati;ALTRO - ci potrebbero essere ulteriori motivi per la mancata implementazione oltre quelli sopra elencati;



COMMENTI - in tutti i casi di mancata implementazione dovrebbero essere forniti ulteriori commenti per chiarirne i motivi.Questi potrebbero comprendere:• Dove i requisiti di controllo sono stati implementati può essere utile, ma non essenziale, descrivere il modo in cui sono stati attivati. Questo in sé potrebbe portare al riconoscimento che devono essere eseguiti ancora ulteriori interventi in quell'area.In alternativa, la precisazione delle misure implementate può indicare che è stato fatto più di quanto necessario e che può essere operato un risparmio riducendo talune misure;• Dove non è specificato il motivo per una mancata o parziale implementazione (per esempio quando ricade nella categoria ALTRO), dovrebbe essere fornita una spiegazione di dettaglio;• Dove il motivo per una mancata o parziale implementazione è tra quelli identificati nelle categorie sopra elencate, dovrebbero essere fornite le opportune spiegazioni;• In ogni caso dovrebbe essere fornita un'indicazione su quali azioni dovranno essere intraprese e con quali tempi si potrà andare a coprire l'assenza dei requisiti richiesti;• Dove i requisiti sono stati coperti solo parzialmente, deve essere indicato chiaramente cosa deve essere ancora fatto;• In alcuni casi potrebbe essere stata presa una decisione per non implementare ulteriori misure in una determinata area: effettivamente è stata assunta la decisione di accettare il livello di rischio. In questi casi dovrebbe essere ampiamente spiegato il motivo di tale decisione.


8 marzo 2007

L’esecuzione dell’audit

Grazie per l’attenzione…Grazie per l’attenzione…

L’OUTSOURCING IT: BEST PRACTICE E AUDITING · Sviluppo dell’offerta commerciale a.1.3. Analisi...

Documents

Transcript of L’OUTSOURCING IT: BEST PRACTICE E AUDITING · Sviluppo dell’offerta commerciale a.1.3. Analisi...