Processi di IT Governance, qualitàdei servizi IT e...
Transcript of Processi di IT Governance, qualitàdei servizi IT e...
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
Processi di IT Governance, qualitProcessi di IT Governance, qualitàà dei dei servizi IT e struttura organizzativa servizi IT e struttura organizzativa
della funzione informatica: un modello della funzione informatica: un modello integrato di indagineintegrato di indagine
Dario RussoDario Russo
Roma 31 marzo 2011
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
Programma del seminario:Programma del seminario:-- Il modello di analisiIl modello di analisi-- Gli ambiti di utilizzoGli ambiti di utilizzo-- La maturitLa maturitàà della governancedella governance
-- esercitazioneesercitazione-- La qualitLa qualitàà dei servizidei servizi-- I principali processi IT: ruoli e responsabilitI principali processi IT: ruoli e responsabilitàà-- La mappa delle aree critiche e di eccellenzeLa mappa delle aree critiche e di eccellenze-- ConclusioniConclusioni
© Dario Russo 2011
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
MATURITAMATURITA’’ DELLADELLAGOVERNANCEGOVERNANCE
QUALITAQUALITA’’DEI SERVIZIDEI SERVIZI
EQUILIBRIOEQUILIBRIOORGANIZZATIVOORGANIZZATIVO
© Dario Russo 2011
Il modello di analisi
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
Ambiti di utilizzoAmbiti di utilizzo
Gli ambiti di utilizzo
Analisi dei processiRiorganizzazioniAutoassessment
Attività di consulenzaRicerca metodologica
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
La maturità della Governance
La maturità della Governance
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
La maturità della Governance
Riferimenti teorici (1)
“L’IT Governance, o governo dei sistemi informativi, e’ “quella parte della più ampia corporate governance che si occupa della gestione dei sistemi IT in azienda e delle decisioni a essa correlate; le principali finalità dell’IT Governance sono l’allineamento dei sistemi agli obiettivi di business e la gestione dei rischi informatici”.(Wikipedia)
"L'IT governance è responsabilità diretta del consiglio di amministrazione e del management esecutivo. È parte integrante della governance aziendale ed è costituita dalla direzione, dalla struttura organizzativa e dai processi in grado di assicurare che l'IT sostenga ed estenda gli obiettivi e le strategie dell'organizzazione.“(IT Governance Institute)
Value delivery and strategic alignment are often combined in professional and academic literature.
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
La maturità della Governance
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
La maturità della Governance
Riferimenti teorici (2)
Policies dell’ITStrategie evolutive dell’infrastruttura IT Architettura ITInvestimenti IT e priorità
Dominî IT (ambiti di decisione)
Weis
s –
We
nd
ham
+ Esigenze di sviluppo di soluzioni IT per il business
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
La maturità della Governance
Riferimenti teorici (3)
Fonte: Weiss – Wendham
Business MonarchyIT MonarchyFeudalFederalAnarchy
Business MonarchyIT MonarchyFeudalFederalAnarchy
Leadership del businessLeadership dell’ITDuopolioAnarchia
Leadership del businessLeadership dell’ITDuopolioAnarchia
Archetypes Stili di Governance
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
La maturità della Governance
Riferimenti teorici (4)
Fonte: Weiss – Wendham
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
La maturità della Governance
Riferimenti teorici (5)I processi di IT governance e la misura della loro maturità
1. Contesto, struttura organizzativa e processi (incluso il rapporto tra il business e l’IT)2. Allineamento strategico dell'IT al business
3. Valore aggiunto dell'automazione (inclusa la gestione del portafoglio e dei progetti IT)4. Gestione del Rischio5. Gestione della risorsa informatica (inclusa l’esternalizzazione)6. Gestione della performance
Policies dell’ITStrategie evolutive dell’infrastruttura IT Architettura ITInvestimenti IT e prioritàEsigenze di sviluppo di soluzioni IT per il business
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
Fonte: Board Briefing on IT governance, IT Governance Institute
Maturity scale
© Dario Russo 2011
La maturità della Governance
Riferimenti teorici (6)
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
La maturità della Governance
Uno strumento di indagine
IT Governance self assessment tool
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
La maturità della Governance
IT Governance self assessment tool
Name of the institution: <Name>
Size of the institution: <Number of staff>
Size of IT entity/department: <Number of internal IT staff>
Number of external staff: <Number of external IT staff>
Number of operational applications: <Number of applications>
Number of ongoing projects: <Number of projects>
Overall IT budget per year: <IT budget>
RefYes /
Always
To a large
extent
To some
extentRarely Very rarely No / Never
Don't
Know
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
RefYes /
Always
To a large
extent
To some
extentRarely Very rarely No / Never
Don't
Know
16
The committees that decide upon important IT related decisions consists equally of both
management responsible for the business and management responsible for IT
The business understands how IT operates or what IT can and cannot do within a certain timeframe
Questionnaire
IT Governance Healthcheck Tool
Business and IT relation
IT Governance framework, organisational structure and
processes
Date of assessment:
Performed by:
There is an effective communication between the different hierarchical levels (between Senior
Management, Middle Management, Operational Management and subordinates), e.g. strategies,
decisions, risks, opportunities, etc. are clearly communicated
There is a clear set of communication channels for IT to communicate to the organization
There is an entity in the institution (either at local or institutional level), that is dedicated to the
support of the IT Governance mechanisms and can be contacted for question, suggestions, etc.
Relationships between business and IT are co-operative, e.g. work together in the pursuit of
achieving broader business goals
The business strategy at institutional level is clearly defined, e.g. operational excellence, innovation,
stakeholder intimacy, etc. and this strategy and its implications are well communicated to the IT
entity/department.
Strategic Alignment
There is common understanding between business and IT about:
- the business needs for IT,
- the IT capabilities for the business.
Senior management (i.e. the highest level of management) can explain IT Governance; they can
describe the concept, or they can give an accurate description of how IT Governance is organised in
the institution; they know who decides on important IT related decisions, and how these decisions
are made.
Middle management (e.g. Heads of unit level) can explain IT Governance; they can describe the
concept, or they can give an accurate description of how IT Governance is organised in the
institution; they know who decides on important IT related decisions, and how these decisions are
made.
Senior management is engaged in IT related decisions and supports IT Governance through their
involvement in the governance structures; they are active members of committees, support and
enforce governance structures and standards, deal with non-followers, etc.…
Middle management is engaged in IT related decisions and supports IT Governance through their
involvement in the governance structures; they are active members of committees, support and
enforce governance structures and standards, deal with non-followers, etc. …
Indicate with 'X' or 'x' the best fitting answer to the statements listed below
There are well established and fairly stable IT governance mechanisms in the institution.
The committees that decide upon important IT related decisions have a stable composition and their
work is well known and accepted.
Mechanisms to make IT decisions at institutional level (i.e. at the level of the whole Institution)
work adequately for the institution, e.g. structured processes to make decisions, set up priorities,
possibility to anticipate duration, not long delays before decisions on exceptions are made, etc.
Mechanisms to make IT decisions at local level (e.g. at level of a substructure of the institution,
Division, Directorate) work adequately for the institution, e.g. structured processes to make
decisions, set up priorities, possibility to anticipate duration, not long delays before decisions on
exceptions are made, etc.
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
La maturità della Governance
IT Governance self assessment tool
Processes, standards, structures, etc. are systematically applied, have been refined to a level of good practice and are continuouslyimproved on the basis of the results obtained.
Yes/ Always
Compliance with established processes and standards are monitored and measured. Actions are taken where inefficiencies occur. Processes, standards, structures, etc. are under constant improvement and good practices are identified and communicated.
To largeextent
Processes, practices, standards, structures, etc. are formally established, documented, communicated and mandated to be followed. However they are still lacking sophistication and deviations are likely to occur.
To some extent
Similar practices occur in some areas across the organisation, however there are no standardised processes, established standards or structures, etc.
Rarely
There are only attempts to apply ad hoc approaches or individual or case-by-case implementations. However, there is a recognitionthat there are issues to address.
Very rarely
Complete lack of any recognisable processes, practices, standards, structures, etc. No recognition that there is an issue to beaddressed.
No/ Never
Not aware of such process or practice/ Not able to answer.Don't know
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
La maturità della Governance
Casi concretiCome leggere i risultati
IT Business
Aree di indagine 1
2
3
4
5
6
7
8
me
dia
IT
me
dia
Busi
ne
ss
med
ia g
ene
rale
MA
X
MIN
gestione della performance 2,38 2,38 2,63 3,88 3,00 0,50 2,75 3,13 2,82 2,35 2,58 3,88 0,50
gestione della risorsa informatica 2,71 2,71 1,57 2,57 3,14 2,21 2,79 2,79 2,39 2,73 2,56 3,14 1,57
contesto, struttura organizzativa e processi 2,73 2,60 1,86 3,07 2,73 2,00 1,67 2,67 2,57 2,27 2,42 3,07 1,67
allineam. strategico dell'IT al business 2,64 2,64 1,20 3,09 3,18 1,91 1,73 2,64 2,39 2,37 2,38 3,18 1,20 valore aggiunto dell'automazione 0,15 2,81 2,60 3,71 3,00 1,76 1,19 3,10 2,32 2,26 2,29 3,71 0,15 gestione del rischio 1,82 1,82 2,36 3,27 2,82 1,18 0,27 2,36 2,32 1,66 1,99 3,27 0,27
COMPLESSIVO 2,53 2,49 2,04 3,27 2,98 1,59 1,73 2,78 2,58 2,27 2,43 3,27 1,59
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
La maturità della Governance
Casi concreti
Come leggere i risultati
Sì,
Sem
pre
In g
ran
mis
ura
In p
art
e
Di
rad
o
Mo
lto
di
rad
o
No
, m
ai
No
n s
o IT governance: Contesto, Struttura Organizzativa e Processi
0 0 7 1 0 0 0 L'azienda si avvale di processi di IT governance ben definiti e stabili
0 0 5 3 0 0 0 Gli organismi che guidano importanti decisioni informatiche hanno una composizione stabile e il loro lavoro è ben conosciuto ed accettato
0 3 3 0 1 0 1 Tali organismi consistono in misura eguale di responsabili delle linee di business e di responsabili della funzione IT
0 0 5 1 2 0 0 I processi decisionali IT a livello istituzionale funzionano bene, sono ben strutturati, le priorità sono chiare, i cambiamenti ai calendari di lavoro e le eccezioni si decidono rapidamente, ecc.
0 0 4 3 1 0 0 Anche i processi decisionali IT a livello divisionale funzionano bene, sono ben strutturati e si integrano bene, le priorità sono chiare, i cambiamenti ai calendari di lavoro e le eccezioni si decidono rapidamente, ecc.
0 0 3 2 3 0 0 I Top manager hanno familiarità con la IT governance; possono spiegarne il funzionamento e come essa è organizzata; sanno chi guida importanti decisioni IT come queste decisioni vengono prese.
0 0 1 2 5 0 0 I Top manager sono coinvolti nelle decisioni IT e sostengono l’IT governance tramite il loro diretto coinvolgimento nei meccanismi; sono membri attivi dei comitati informatici, sostengono e rafforzano le
politiche informatiche, ecc.
0 1 1 3 2 0 1 I Responsabili delle Direzioni sanno spiegare la IT governance; possono descriverne i concetti, o fornire un'accurata descrizione del suo funzionamento; sanno chi prende le decisioni informatiche importanti, e come queste decisioni vengono formulate.
0 0 1 2 4 0 1 I Responsabili delle Direzioni sono impegnati in decisioni che riguardano l'informatica e sostengono la IT governance con il loro coinvolgimento personale; sono membri attivi di comitati informatici, sostengono e rafforzano le strutture e gli standard della IT governance, ecc.
0 1 1 4 2 0 0 Esistono canali efficaci di comunicazione tra i diversi livelli gerarchici - tra Top manager, Responsabili delle Direzioni, Capi Unità e il loro personale. Strategie, decisioni, rischi, opportunità, ecc. sono esposti chiaramente.
0 0 3 3 1 1 0 Esiste un'entità in azienda dedicata al sostegno della IT governance e facilmente raggiungibile per fornire spiegazioni, raccogliere idee, ecc..
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
0,00
1,00
2,00
3,00
4,00
5,00
IT Governance
framework ,
organisational structure
and proce ss es
Strategic Alignme nt
Value Delive ry
Risk Managem ent
Resource Managem ent
Performance
Managem ent
© Dario Russo 2011
La maturità della Governance
Casi concreti
Come leggere i risultati
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
Range of values: 0/5
Subject areas avg max min
IT Governance framework, organisational structure and processes 3,90 5,00 3,47
Risk management 3,90 5,00 2,55
Value delivery 3,82 4,86 3,19
Resource management 3,66 4,79 3,14
Strategic alignment 3,63 5,00 2,91
Performance management 3,63 5,00 2,50
Range of values: 0/5
© Dario Russo 2011
La maturità della Governance
Casi concretiCome leggere i risultati
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
Organisational details Overall maturity assessment 4,94
0 1 2 3 4 5
Size of the institution
Size of IT entity/department
Number of external staff:
Number of operational applications Optimised
Number of ongoing projects
Overall IT budget per year
Maturity assessment per subject area
IT Governance framework,
organisational structure and processes5,00
Strategic Alignment 5,00
Value Delivery 4,86
Risk Management 5,00
Resource Management 4,79
Performance Management 5,00
Date of assessment:
67
This is a customized copy of the IT Governance Healthcheck tool v 0.6 developed by the European Commission - Directorate General for Informatics (DIGIT)
Processes have been refined to a level of good practice, based on the results of continuous improvement and maturity modelling with other organisations. IT is used in an integrated way to automate the workflow, providing tools to improve quality and effectiveness, making the organisation quick to adapt.
IT Governance Healthcheck Tool
Results
Name of the institution
Optimized415 (as of the end of July 2010)
Bank of Japan
Managed and measurable
Defined processes
Performed by:
(Mr.) Naoya OKADA 8th September 2010
Approximately JPY 31billion for Fiscal
2010
Initial/ Ad hoc
1063(as of the end of June 2010)
174 (as of the end of June 2010)
Repeatable but intuitive
4804, which is the number of
permanent internal staffs as of the end
of March 2010.
0,00
1,00
2,00
3,00
4,00
5,00
IT Governance framework,
organisational structure and
processes
Strategic Alignment
Value Delivery
Risk Management
Resource Management
Performance Management
© Dario Russo 2011
La maturità della Governance
Casi concreti
Come leggere i risultati
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
La qualità dei servizi
La qualità dei servizi
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
La qualità dei servizi
Riferimenti teorici
QualitQualitàà progettata progettata
dalldall’’aziendaazienda
QualitQualitàà offerta offerta
dalldall’’aziendaazienda
QualitQualitàà percepita percepita dal clientedal cliente
QualitQualitàà attesa dal attesa dal
clientecliente
QualitQualitàà e soddisfazione del Clientee soddisfazione del Cliente
Errore disoddisfazione
Errore dirilevazione
Errore di
non conformità
Errore di
comunicazione
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
La qualità dei servizi
Uno strumento di indagine
INTERVISTA SULLA QUALITA’ PERCEPITA
Dati intervistato
nome _______________ struttura: __________________________
data intervista: _______ intervistatore: _________ durata:_______
Valutazione/giudizio
Scala_ 0/2
0 - poco importante
1- importante 2- vincolante
Scala 0/5 0 – assente
1 - molto inferiore alle esigenze 2 - inferiore alle esigenze 3 - in linea con le esigenze 4 - superiore alle esigenze
5 - molto superiore alle esigenze
processo attività
importanza
fattore
qualità
percepita note
Requisiti utente
Fattibilità
1. Demand
management /
gestione della domanda
Processo
innovazione
Catalogo dei
servizi (infrastrutture)
Gestione priorità
2. Planning /
pianificazione Gestione del
portafoglio
(piano) dei
progetti
Progettazione
funzionale
Project
management
Pro
get
tua
lità
3 . Gestione
progetti Processo di
realizzazione test e
collaudi
formazione
Servizio esercizio
applicativi (server e rete - incluso SLA)
4. Esercizio Performance
management
Postazioni di
lavoro e dotazioni
individuali
5. Customer service Help desk e
assistenza utenti
negli interventi
ero
ga
zio
ne
de
i se
rv
izi
IT
6. Customer relationship
Area progettuale1. “Rilevazione e gestione della domanda”2. “Pianificazione e gestione del portafoglio
progetti”3. “Gestione dei progetti”
Area gestionale1. “Esercizio”2. “Gestione del servizio all’utente”3. “Gestione delle relazioni con l’utente”
Questi
onar
io pe
r int
ervis
te
Questi
onar
io pe
r int
ervis
te
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
La qualità dei servizi
Target delle interviste
Business Manager IT Manager
Casi concreti: come leggere i risultati
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
La qualità dei servizi
processi Importanza
(scala 0-2)
Qualità percepita
(scala 0-5)
Requisiti utente 1,33 2,00
Fattibilità 1,00 2,00
Processo innovazione 1,44 1,67
Catalogo dei servizi (catalogo delle applicazioni) 0,89 1,30
Gestione priorità 2,00 1,10
Gestione del portafoglio (piano) dei progetti 1,44 1,50
Progettazione funzionale 1,22 2,00
Project management 0,89 2,10
Processo di realizzazione test, collaudi formazione 1,25 1,78
Servizio esercizio applicativi 1,44 1,90
Performance management 0,75 1,17
Postazioni di lavoro e dotazioni individuali 0,89 2,78
Help desk e assistenza utenti 1,33 2,10
Customer relationship 1,22 2,30
MEDIA DELLE RISPOSTE 1,84
Fonte: dati esemplificativi ispirati a casi reali
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
La qualità dei servizi
Casi concreti: come leggere i risultati
Rapporto importanza/qualità(Manager IT)
-
0,50
1,00
1,50
2,00
2,50
3,00
3,50
4,00
4,50
5,00
- 0,20 0,40 0,60 0,80 1,00 1,20 1,40 1,60 1,80 2,00
Importanza
Qu
alità
perc
ep
ita
livello di qualità in linea con le esigenze
processi importanti o vincolanti
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
La qualità dei servizi
Casi concreti: come leggere i risultati
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
La qualità dei servizi
Casi concreti: come leggere i risultati
Gestione priorità 1,22
Catalogo dei servizi (catalogo delle applicazioni) 1,53
Gestione del portafoglio (piano) dei progetti 1,58
Processo innovazione 1,61
Performance management 1,67
Help desk e assistenza utenti 1,72
Fattibilità 1,77
Servizio esercizio applicativi (server e rete - incluso SLA) 2,01
Customer relationship 2,05
Requisiti utente 2,10
Processo di realizzazione test e collaudi formazione 2,12
Project management 2,33
Progettazione funzionale 2,41
Postazioni di lavoro e dotazioni individuali 2,58
Fonte: dati esemplificativi ispirati a casi reali
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
I principali processi IT: ruoli e responsabilità
I principali processi IT:ruoli e responsabilità
Riferimenti teorici (1)
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
I principali processi IT: ruoli e responsabilità
Which key functions to be investigated?Which key functions to be investigated?
IT Strategy
� Business and IT St rategy Linkage
� IT Architecture (Information, Applications and Technology)
� Sourcing Strategy� Strategic plan� Standard setting
Organisationmanagement
� IT Asset Management� Skills and resource
planning� Budgeting & forecasting� Financial reporting and
analysis� Communication� IT Performance
Management� Funding and recovery
Risk ManagementService Management
� Customer relationship management
� Service level management� Service reporting� Contract negotiation� Contract management
Program/ Projectmanagement
� Project planning and estimation
� Project initiation� Project manage ment� Project control and
reporting� Project assuranc e
Suppliermanagement
� Vendor managem ent� Procurement and supply
Infrastructure Operations
� Computer operations� Telecoms operations� Capacity planning� Continuity� Configuration management� Availability management� Facility management� Operations testing and
acceptance
Solutionsdevelopment
� Macro systems d esign� Detailed system design� Systems develop ment� Package
implementation� Implementation training
and documentation� Systems integration
Support
� Incident management� Problem management� Software and hardware
distribution� License management� IT training
IT Governance
� Corporate Control of IT� Prioritisation
� Be nefits Management� Investment Appraisal� Sp onsorship� Bu siness Change Management� IT Education
Benefits Management
� Information Management� Data Protection� Intellectual property
Information Management
� Security strategy, policy formulation and compliance
� Access/intrusion control� Virus control� Physical and environmental
control
Maintenance & Changemanagement
� Release planning� IT Change
Management� Applications
maintenance� Applications
performance tuning� Applications portfolio
management
Opportunity Development
� Opportunity identification� Business analysis� Requirements definition� Solutions Selection� User testing and acceptance� Business / IS process
integration
IT Strategy
� Business and IT St rategy Linkage
� IT Architecture (Information, Applications and Technology)
� Sourcing Strategy� Strategic plan� Standard setting
Organisationmanagement
� IT Asset Management� Skills and resource
planning� Budgeting & forecasting� Financial reporting and
analysis� Communication� IT Performance
Management� Funding and recovery
Risk ManagementService Management
� Customer relationship management
� Service level management� Service reporting� Contract negotiation� Contract management
Program/ Projectmanagement
� Project planning and estimation
� Project initiation� Project manage ment� Project control and
reporting� Project assuranc e
Suppliermanagement
� Vendor managem ent� Procurement and supply
Infrastructure Operations
� Computer operations� Telecoms operations� Capacity planning� Continuity� Configuration management� Availability management� Facility management� Operations testing and
acceptance
Solutionsdevelopment
� Macro systems d esign� Detailed system design� Systems develop ment� Package
implementation� Implementation training
and documentation� Systems integration
Support
� Incident management� Problem management� Software and hardware
distribution� License management� IT training
IT Governance
� Corporate Control of IT� Prioritisation
� Be nefits Management� Investment Appraisal� Sp onsorship� Bu siness Change Management� IT Education
Benefits Management
� Information Management� Data Protection� Intellectual property
Information Management
� Security strategy, policy formulation and compliance
� Access/intrusion control� Virus control� Physical and environmental
control
Maintenance & Changemanagement
� Release planning� IT Change
Management� Applications
maintenance� Applications
performance tuning� Applications portfolio
management
Opportunity Development
� Opportunity identification� Business analysis� Requirements definition� Solutions Selection� User testing and acceptance� Business / IS process
integration
Fonte: KPMG Consulting Framework
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
I principali processi IT: ruoli e responsabilità
Riferimenti teorici (1)
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
I principali processi IT: ruoli e responsabilità
1. Gestione della domanda 2. Relazioni con gli utenti (CRM)3. Gestione infrastrutture4. Gestione SLA5. Architettura tecnica (Enterprise Architecture) 6. Sviluppo soluzioni software 7. Gestione delle reti e dei sistemi di telecomunicazione 8. Supporto strumenti individuali9. IT Procurement10.Ricerca11.Gestione sicurezza
11 processi
COBIT ITIL 11 processi
Define a Strategic IT Plan and direction Architettura tecnica Ricerca
Define the Information Architecture Architettura tecnica
Ricerca
Determine Technological Direction Architettura tecnica Ricerca
Define the IT Processes, Organization and Relationships Gestione della domanda Relazioni con gli utenti
Manage the IT Investment Financial Management assente
Communicate Management Aims and Direction Gestione della domanda
Relazioni con gli utenti
Manage IT Human Resources assente
Manage Quality Gestione della domanda Relazioni con gli utenti
Assess and Manage IT Risks Gestione sicurezza
Manage Projects Sviluppo soluzioni SW
Identify Automated Solutions
Acquire and Maintain Application Software
Acquire and Maintain Technology Infrastructure
Enable Operation and Use
Sviluppo soluzioni SW Supporto strumenti individuali
Procure IT Resources IT Procurement
Manage Changes Change Management
Gestione infrastrutture
Gestione delle reti e dei sistemi di telecomunicazione
Install and Accredit Solutions and Changes Release Management Sviluppo soluzioni SW Gestione infrastrutture
Define and Manage Service Levels Service Level Management Service level management
Manage Third-party Services Service Level Management
Gestione SLA
Gestione delle reti e dei sistemi di telecomunicazione Gestione infrastrutture
Manage Performance and Capacity Capacity Management
Gestione SLA
Gestione delle reti e dei sistemi di telecomunicazione Gestione infrastrutture
Ensure Continuous Service Continuity Management
Gestione infrastrutture
Gestione delle reti e dei sistemi di telecomunicazione
Ensure Systems Security Gestione sicurezza Gestione delle reti e dei sistemi di telecomunicazione
Identify and Allocate Costs Financial Management assente
Educate and Train Users Gestione della domanda Relazioni con gli utenti
Manage Service Desk and Incidents Service Desk Management Gestione infrastrutture Gestione delle reti e dei sistemi di
telecomunicazione
Manage the Configuration Configuration Management Gestione infrastrutture
Manage Problems Gestione infrastrutture Gestione delle reti e dei sistemi di telecomunicazione
Manage Data Gestione infrastrutture
Gestione delle reti e dei sistemi di telecomunicazione
Manage the Physical Environment Gestione infrastrutture Gestione delle reti e dei sistemi di telecomunicazione
Manage Operations
Incident & Problem Management Configuration Management Service Desk Management Change Management
Release Management Service Level Management Availability Management
Capacity Management Continuity Management
Gestione infrastrutture Gestione delle reti e dei sistemi di telecomunicazione
Gestione SLA
Monitor and Evaluate IT Processes Gestione della domanda Relazioni con gli utenti Gestione SLA
Monitor and Evaluate Internal Control
Gestione della domanda
Relazioni con gli utenti Gestione SLA
Ensure Regulatory Compliance Gestione della sicurezza
Provide IT Governance assente
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
I principali processi IT: ruoli e responsabilità
CO
BIT
ITIL
11 PROCESSI11 PROCESSI11 PROCESSI
Manage IT investments
Manage IT HR
Identify and allocate costs
Provide IT Governance
Riferimenti teorici (1)
Matrici RACI
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
I principali processi IT: ruoli e responsabilità
Riferimenti teorici (2)
RACI Definitions
RACI Definition What to Ask
Responsible = R The roles and/or groups that will perform the activity — Executer
Who does the work (one person or group, or several)?
Accountable = A The roles and/or groups that must ensure the
activity is done — Overseer
Who is accountable, has authority and can
delegate? (This is usually one group.)
Consulted = C The roles and/or groups from which input is
required before the activity is executed or
completed
Who should be involved in the work before
deciding?
Informed = I The roles and/or groups to which information or
results must be reported after the activity is done
Who should be told about this work or these
results?
Source: Gartner (February 2008) [ROB01]
1. IT Innovation and Development
Department
2. IT Operations, Support
and Infrastructure Department
1.1
1.2
1.3
1.4
1.5
1.6
1.7
2.1
2.2
2.3
2.4
2.5
Clien
t m
anag
ers
Pla
nnin
g
Inte
rba
nk
Aut
om
ati
on
Sw
dev
elop
men
t 1 i
nst
itut
ion
al
Sw
dev
elo
pm
ent
2 I
nte
rna
l
End
Use
r S
olu
tio
n D
ivis
ion
Arc
hitec
ture
syst
em a
nd s
ecu
rity
IT p
rocu
rem
ent
Acc
oun
ting
Sys
tem
s S
upp
ort
En
d U
ser
Sup
po
rt &
Qu
ality
Of
Serv
ice
Sy
stem
s &
Ap
pli
cat
ions
Man
ag
emen
t
3. I
T A
rea
Su
pport
Un
it
4. A
rea
Secre
tari
at
Demand management R C C C C C I C I C C I
CRM R1 C I I C I I R2 I
ICT Operations management C C C R
Service level management C I C I I R C
Enterprise Architecture C C I C C C C I C C C R I
Development of ICT solutions R I R3 R
4 C R
5 I C
Network management I C C I R
Individual device support C I R C I C C
IT Procurement C C C C C C R C C C C I I
Research and Development C C C C C C C C C R C
Security and Risk Management C I C C C R6
I C R7
R8 I
Notes: 1 – for the portfolio 2- for the day-by-day service
3 – for the institutional application 4 – for the internal application 5 –for the infrastructures 6 – for the guidelines and operative manuals 7 – for the security administration 8 – for the policies and risk assessment methodology
Matrici RACI(esempio)
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
I principali processi IT: ruoli e responsabilità
Riferimenti teorici (2)
FIRST LAYER: IT FUNCTION MANAGEMENT (CIO)
UPPER LAYERS: TOP MANAGEMENT & BOARD
Report Report lineline
/ / lineslines ofof CIOCIO
CommitteeCommittee,,
supportsupport staffstaff
DepartmentDepartment
SECOND LAYER: IT DEPARTMENTS
DivisionDivision
THIRD LAYER: IT DIVISIONS
LOWER LAYERSSubSub--unitsunits
Matrici RACI vs. organigramma
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
I principali processi IT: ruoli e responsabilità
Riferimenti teorici (2)
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
I principali processi IT: ruoli e responsabilità
Riferimenti teorici (2)
DEMAND MANAGEMENTCIO
dept
division
ResponsibleConsultedInformedAccountable/approver
CIO
dept
division
CIO
dept
division
ResponsibleConsultedInformedAccountable/approver
ResponsibleConsultedInformedAccountable/approver
Matrici RACI vs. organigramma
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
I principali processi IT: ruoli e responsabilità
Riferimenti teorici (3)
The Meyer’s Structural Cybernetics theory
Units responsible for daily operations are clearly separate from those working with new technologies. Introducing innovation and maintaining reliable operations should be in different units.
Only one unit offers a given product or service; that is, there is no internal competition for services.
Each individual has a single functional responsibility. This is based on the principle that one person cannot be expert in more than one thing at a time.
“Rainbow”
Consultants
Architect
Service Bureaus
Technologists
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
I principali processi IT: ruoli e responsabilità
Riferimenti teorici (3)
The Meyer’s Structural Cybernetics theory(un esempio)
Planning Divis ionInterbank
Automation Division
Sw development Divisi on 1
(instituti onal)
Sw developm ent Division 2(internal)
End User S olution Divisi on
Archi tecture systems and
security Div ision
IT procurement Divis ion
Accounti ng Divis ion
Systems Support Divis ion
End User S upport & Quality Of
Service Di vision
Systems & Applications Mgt Div ision
IT In novation and
Development Dep artmen t
IT Operations,
Suppo rt an d I nfrast ructure
Dep artment
Administrative Secretariat
IT Area Support Uni t
Banca d’Italia
Client managers
TechnologistsService BureausArchitectsConsultants
ClientManagers
CIO
dept
division
other
CIO
dept
division
other
Casi concretiCome “leggere” i risultati
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
I principali processi IT: ruoli e responsabilità
IT Innovation and
Development Department
Banca d’Italia
Planning Divis ionInterbank
Automation Division
Sw development Divisi on 1
(instituti onal)
Sw developm ent Divis ion 2(internal)
End User Solution Divisi on
Archi tecture systems and
security Div ision
IT procurement Divis ion
Accounti ng Divis ion
Systems Support Divis ion
End User Support & Quality Of
Service Di vision
Systems & Applications Mgt Div ision
IT Operations,
Support and I nfrast ructure
Department
Administrative Secretariat
IT Area Support Uni t
ClientManagers
Casi concreti: come leggere i risultati (1)
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
I principali processi IT: ruoli e responsabilità
La concentrazione in una unità delle responsabilità di molti processi
11 PROCESSI11 PROCESSI11 PROCESSI
La distribuzione in molte unità delle responsabilità su un medesimo processo
Processi
Funzione IT
Ges
tion
e d
ella d
oman
da
Relaz
ioni co
n g
li uten
ti
Gestio
ne infrastru
tture
Ges
tion
e S
LA
Arc
hitettura
tecnic
a
Sv
iluppo
soluz
ioni sw
Ges
t. reti e sistem
i TL
C
Su
pp
orto
strum
enti in
div
.
IT P
rocu
remen
t
Ric
erca
Gestio
ne sic
ure
zza
Struttura di gestione Sotto-struttura 1 R R R R I R Sotto-struttura 2 R R R R I Sotto-struttura 3 R R R R R R I Sotto-struttura 4 R R R R R I
Struttura di sviluppo software Sotto-struttura 1 I I R Sotto-struttura 2 R I I R I
Struttura di pianificazione e Procurement R I R R
Fonte: dati esemplificativi ispirati a casi reali
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
I principali processi IT: ruoli e responsabilità
Casi concreti: come leggere i risultati (2)
11 PROCESSI11 PROCESSI11 PROCESSI
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
La mappa delle aree critiche e di eccellenza
La mappa delle aree critiche e di eccellenza
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
La mappa delle aree critiche e di eccellenza
La mappa delle aree critiche e di eccellenza
Rilevazione qualità dei servizi IT
processo attività
Struttura
organizzativa
processi critici (analisi RACI)
IT governance
aree di indagine
Allineamento strategico
dell'IT al business Requisiti utente Gestione della domanda Gestione del rischio
Allineamento strategico
dell'IT al business Fattibilità Gestione della domanda
Valore aggiunto dell'automazione
Ricerca
1. Demand
management /
gestione della
domanda
Processo innovazione Architettura tecnica
Contesto, struttura organizzativa e processi
Gestione della domanda
Architettura tecnica Catalogo dei servizi (infrastrutture)
Sviluppo soluzioni sw
Valore aggiunto dell'automazione
Contesto, struttura
organizzativa e processi
Allineamento strategico dell'IT al business
Gestione priorità
Valore aggiunto
dell'automazione
Contesto, struttura
organizzativa e processi
Allineamento strategico
dell'IT al business
2. Planning /
pianificazione
Gestione del portafoglio
(piano) dei progetti Gestione della domanda
Valore aggiunto
dell'automazione
Allineamento strategico dell'IT al business Progettazione
funzionale Sviluppo soluzioni sw
Valore aggiunto dell'automazione
Project management Sviluppo soluzioni sw Valore aggiunto
dell'automazione Allineamento strategico
dell'IT al business
Pro
gett
uali
tà
3. Gestione
progetti Processo di
realizzazione test e
collaudi formazione
Sviluppo soluzioni sw Gestione del rischio
Gestione infrastrutture
Gestione SLA Gestione del rischio
Gestione reti
Servizio esercizio
applicativi (server e rete - incluso SLA) Gestione sicurezza
Gestione della risorsa informatica
Gestione della risorsa informatica
Gestione della performance
4. Esercizio
Performance
management Gestione SLA
Valore aggiunto
dell'automazione
Postazioni di lavoro e
dotazioni individuali
Supporto strumenti individuali
Gestione della risorsa informatica 5. Customer
service Help desk e assistenza
utenti negli interventi Gestione infrastrutture
Gestione della risorsa
informatica
ero
gaz
ion
e d
ei se
rviz
i IT
6. Customer relationship Relazioni con gli utenti Allineamento strategico
dell'IT al business
AREE CRITICHE
AREE DI ECCELLENZA
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
La mappa delle aree critiche e di eccellenza
La mappa delle aree critiche e di eccellenza
Rilevazione qualità dei servizi IT
processo attività
Struttura
organizzativa
processi critici (analisi RACI)
IT governance
aree di indagine
Allineamento strategico
dell'IT al business Requisiti utente Gestione della domanda Gestione del rischio
Allineamento strategico
dell'IT al business Fattibilità Gestione della domanda
Valore aggiunto dell'automazione
Ricerca
1. Demand
management /
gestione della
domanda
Processo innovazione Architettura tecnica
Contesto, struttura organizzativa e processi
Gestione della domanda
Architettura tecnica Catalogo dei servizi (infrastrutture)
Sviluppo soluzioni sw
Valore aggiunto dell'automazione
Contesto, struttura
organizzativa e processi
Allineamento strategico dell'IT al business
Gestione priorità
Valore aggiunto
dell'automazione
Contesto, struttura
organizzativa e processi
Allineamento strategico
dell'IT al business
2. Planning /
pianificazione
Gestione del portafoglio
(piano) dei progetti Gestione della domanda
Valore aggiunto
dell'automazione
Allineamento strategico dell'IT al business Progettazione
funzionale Sviluppo soluzioni sw
Valore aggiunto dell'automazione
Project management Sviluppo soluzioni sw Valore aggiunto
dell'automazione Allineamento strategico
dell'IT al business
Pro
gett
ua
lità
3. Gestione
progetti Processo di
realizzazione test e
collaudi formazione
Sviluppo soluzioni sw Gestione del rischio
Gestione infrastrutture
Gestione SLA Gestione del rischio
Gestione reti
Servizio esercizio
applicativi (server e rete - incluso SLA) Gestione sicurezza
Gestione della risorsa informatica
Gestione della risorsa informatica
Gestione della performance
4. Esercizio
Performance
management Gestione SLA
Valore aggiunto
dell'automazione
Postazioni di lavoro e
dotazioni individuali
Supporto strumenti individuali
Gestione della risorsa informatica 5. Customer
service Help desk e assistenza
utenti negli interventi Gestione infrastrutture
Gestione della risorsa
informatica
erog
azio
ne d
ei
serv
izi
IT
6. Customer relationship Relazioni con gli utenti Allineamento strategico
dell'IT al business
Allineamento strategico dell'IT
al business Requisiti utente Gestione della domanda Gestione del rischio
Allineamento strategico dell'IT al business
Fattibilità Gestione della domanda Valore aggiunto dell'automazione
Ricerca
1. Demand
management /
gestione della
domanda
Processo innovazione Architettura tecnica
Contesto, struttura
organizzativa e processi
Qualità dei servizi Struttura organizz. Governance
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
La mappa delle aree critiche e di eccellenza
La mappa delle aree critiche e di eccellenza
Rilevazione qualità dei servizi IT
processo attività
Struttura
organizzativa
processi critici (analisi RACI)
IT governance
aree di indagine
Allineamento strategico
dell'IT al business Requisiti utente Gestione della domanda Gestione del rischio
Allineamento strategico
dell'IT al business Fattibilità Gestione della domanda
Valore aggiunto dell'automazione
Ricerca
1. Demand
management /
gestione della
domanda
Processo innovazione Architettura tecnica
Contesto, struttura organizzativa e processi
Gestione della domanda
Architettura tecnica Catalogo dei servizi (infrastrutture)
Sviluppo soluzioni sw
Valore aggiunto dell'automazione
Contesto, struttura
organizzativa e processi
Allineamento strategico dell'IT al business
Gestione priorità
Valore aggiunto
dell'automazione
Contesto, struttura
organizzativa e processi
Allineamento strategico
dell'IT al business
2. Planning /
pianificazione
Gestione del portafoglio
(piano) dei progetti Gestione della domanda
Valore aggiunto
dell'automazione
Allineamento strategico dell'IT al business Progettazione
funzionale Sviluppo soluzioni sw
Valore aggiunto dell'automazione
Project management Sviluppo soluzioni sw Valore aggiunto
dell'automazione Allineamento strategico
dell'IT al business
Pro
gett
uali
tà
3. Gestione
progetti Processo di
realizzazione test e
collaudi formazione
Sviluppo soluzioni sw Gestione del rischio
Gestione infrastrutture
Gestione SLA Gestione del rischio
Gestione reti
Servizio esercizio
applicativi (server e rete - incluso SLA) Gestione sicurezza
Gestione della risorsa informatica
Gestione della risorsa informatica
Gestione della performance
4. Esercizio
Performance
management Gestione SLA
Valore aggiunto
dell'automazione
Postazioni di lavoro e
dotazioni individuali
Supporto strumenti individuali
Gestione della risorsa informatica 5. Customer
service Help desk e assistenza
utenti negli interventi Gestione infrastrutture
Gestione della risorsa
informatica
ero
gaz
ion
e d
ei se
rviz
i IT
6. Customer relationship Relazioni con gli utenti Allineamento strategico
dell'IT al business
Allineamento strategico dell'IT
al business Progettazione funzionale Sviluppo soluzioni sw
Valore aggiunto dell'automazione
Project management Sviluppo soluzioni sw Valore aggiunto
dell'automazione
Allineamento strategico dell'IT al business
3. Gestione progetti
Processo di realizzazione
test e collaudi formazione Sviluppo soluzioni sw
Gestione del rischio
Qualità dei servizi Struttura organizz. Governance
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
Conclusioni
Conclusioni
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
Conclusioni
Conclusioni
gli errori di valutazione commessi nella fase iniziale
si ribaltano nella progettazione
dei nuovi assetti organizzativi
- elementi sia oggettivi che soggettivi- integrazione dei risultati
- esperienza- mix di teoria e pragmatismo
!!
Master Master ““AuditAudit e Governance nelle Governance nell’’ICTICT””
© Dario Russo 2011
Grazie per l’attenzione