L‘IT Governance rappresenta quella parte della più ampia Corporate Governance che si occupa di gestire i sistemi informatici (IT) e di controllare e gestire costi e tecnologie affinché rispondano al meglio agli obiettivi di business della azienda.
Introduzione
Cominciamo una serie di articoli che hanno il compito di illustrare un’ampia panoramica sui temi legati al governo dei sistemi informativi. Con IT Governance si intende in breve quella parte della più ampia Corporate Governance che si occupa della gestione dei sistemi IT (Information Technology, “sistemi informativi”).
Con la nascita dell’informatica e con il suo sempre maggiore impiego nei diversi settori aziendali, nasce anche l’esigenza di controllarla e quindi di gestirla nei suoi aspetti chiave: tenere sotto controllo i costi, garantire la sua qualità, verificare la rispondenza del software ai requisiti ed alle aspettative dell’utenza, favorire l’effettiva interoperabilità del proprio software con gli altri sistemi.
Le cinque aree che caratterizzano un sistema di IT Governance sono
- allineamento strategico: assicurare che l’IT sia allineata con le strategie e le finalità di business dell’azienda/ente;
- erogazione del valore: assicurare che l’IT produca i benefici promessi (valore) rispetto agli obiettivi strategici, tenendo i relativi costi sotto controllo;
- gestione delle risorse: assicurare che le risorse IT (applicazioni, informazioni, infrastruttura, risorse umane) siano usate in modo responsabile ed efficace;
- gestione del rischio: assicurare che i rischi informatici siano opportunamente gestiti;
- misurazione delle performance: tracciare, gestire e controllare l’implementazione e le prestazioni della strategia IT
Figura 1 – Le 5 aree di un sistema di IT Governance.
Corporate Governance
In linea generale, con il temine governance si allude ai meccanismi che devono garantire da un lato trasparenza e correttezza e dall’altro il rispetto della conformità alle normative vigenti, agli standard e alle procedure stabilite dalle aziende. La Corporate Governance stabilisce le policy aziendali e definisce la direzione strategica, gli obiettivi di successo e i risultati da raggiungere (goal). A fianco della Corporate Governance c’è la Corporate Compliance il cui obiettivo è assicurare la conformità rispetto ai requisiti e ai regolamenti legali e industriali.
La Corporate Governance (che in italiano traduciamo come “governo societario”) si è molto sviluppata in seguito ai recenti sviluppi normativi in USA (Sarbanes-Oxley) ed Europa (Basilea II) che hanno avuto notevoli ripercussioni anche sulla gestione dei sistemi informativi.
La Sarbanes-Oxley Act è una legge emanata nel luglio 2002 dal governo degli Stati Uniti d’America a seguito di diversi scandali contabili che hanno coinvolto importanti aziende americane; mira a migliorare la governance aziendale per garantire maggiore trasparenza delle scritture contabili, agendo dal lato penale e aumentando la responsabilità degli auditor all’atto della revisione contabile.
Autore dell’accordo Basilea II è il Comitato di Basilea, istituito dai governatori delle Banche Centrali dei dieci Paesi più industrializzati del mondo, il cosiddetto G10. Basilea II è un documento che definisce a livello internazionale i requisiti patrimoniali delle banche in relazione ai rischi assunti dalle stesse. Secondo Basilea II, le banche delle nazioni che aderiscono all’accordo dovranno, tra le altre cose, classificare i propri clienti in base alla loro rischiosità, attraverso procedure di rating e relativi accantonamenti di quote di capitale in borsa commisurati al livello di rischio dei rapporti di credito accordati, per tutelarsi dai rischi assunti.
IT Governance
Per analogia con la Corporate Governance che, come detto, include processi, pratiche, metodi e strumenti per il governo dell’intera azienda, con il termine IT Governance si indica il processo per il controllo e la direzione dell’ICT a garanzia del raggiungimento degli obiettivi aziendali.
L’IT Governance non è solo uno strumento informatico (il tipico “cruscotto” con varie finestre che riportano lo stato delle risorse, delle attività, degli utenti attivi, dei problemi e delle prestazioni) che consente di avere un quadro di sintesi per la gestione complessiva dei sistemi IT. L’IT Governance è piuttosto un processo (o un insieme di processi) dinamico e continuo, ossia sistematico e ciclico, che fa parte integrante del governo dell’azienda/ente (Corporate Governance), la cui responsabilità è della direzione esecutiva, in particolare del responsabile dell’intera azienda cioè l’Amministratore Delegato (Chief Executive Officer, CEO) e del responsabile dei sistemi informatici cioè il Direttore IT (Chief Information Officer, CIO).
La IT Governance è quindi la componente del processo di governo aziendale che riguarda gli asset IT e consiste in strutture organizzative, processi, policy, standard e principi IT volti ad assicurare l’allineamento della strategia IT.
L’attività di analisi e revisione della governance attraverso cui si perseguono questi obiettivi è l’IT Audit.
Quindi, mentre la Governance determina chi ha l’autorità e la responsabilità di decidere, il Management è il processo attraverso cui viene presa la decisione ed implementata; l’IT Service Management definisce e modella l’operatività per consentire di raggiungere gli obiettivi definiti dalla strategia IT.
Gli elementi chiave
In generale ci sono quattro aspetti chiave legati alla governance
- stabilisce, comunica ed impone le regole (policy) da seguire;
- fornisce gli strumenti per verificare l’allineamento (compliance) con le regole
- misura il livello di compliance dell’organizzazione
- gestisce/mitiga le deviazioni dalle policies
La misurazione delle performance è essenziale per il governo dell’IT. Tale attività prevede la definizione e il monitoraggio di obiettivi misurabili relativi ai servizi (risultati attesi) dei processi IT e alle modalità di erogazione (capacità e prestazioni del processo).
Parafrasando Tom DeMarco, “non puoi controllare ciò che non sai misurare”; pertanto è fondamentale definire metriche software per la misura delle proprietà e delle performance del proprio sistema anche perch�, a maggior ragione, non è possibile migliorare ciò che non si può misurare.
Una metafora
Volendo fare una metafora calcistica, potremmo dire che il campo di gioco è delimitato nei quattro lati da strategia aziendale, obiettivi aziendali, policy aziendale e target aziendale.
La società (presidente e direttore sportivo) rappresentano la Corporate Governance.
La federazione (regolamento, arbitri e guadalinee) sono invece la Corporate Compliance.
L’IT Governance è l’allenatore che definisce la formazione e gli schemi tattici (principi, direttive e standard IT).
Figura 2 – Metafora calcistica della governance.
Framework, linee guida e standard a supporto della goveranance
A supporto delle attività di gestione/governance dei sistemi informativi sono nati e si sono diffusi molti sistemi di conoscenza strutturata e codificata, che di caso in caso hanno preso la forma di standard, raccolte di good practices o checklist/modelli di riferimento.
Affrontare un tale argomento in modo completo ed esaustivo esula dallo scopo di questo articolo che invece si concentrerà su una panoramica dei principali modelli di conoscenza.
Le good practices sono modelli di conoscenza, i cui contenuti sono ottenuti a partire da esperienze significative e ricorrenti, concretamente “provate sul campo” da organizzazioni nell’ambito delle proprie attività di realizzazione di progetti ed erogazione di servizi IT.
Queste esperienze sono state successivamente generalizzate e astratte, codificate in processi e arricchite di istruzioni operative, check list, schemi documentali (template) e altra documentazione complementare (esempi, use case, blueprint, …)
Mentre le best practice definiscono il cosa si debba fare all’interno del sistema produttivo e forniscono dettagli sul come e su chi per definire attori, processi, attività e prodotti del sistema stesso, gli standard si limitano al cosa esplicitando vincoli che il sistema produttivo deve soddisfare.
Di seguito si descrivono le più importanti fonti di conoscenza strutturata (framework concettuali, linee guida, standard) focalizzate nell’ambito dei Sistemi informativi.
COBIT
COBIT è l’acronimo di Control Objectives for Information and related Technology ed è il framework più diffuso per la gestione (governance) della Information and Communication Technology (ICT) creato dall’associazione americana degli auditor dei sistemi informativi (Information Systems Audit and Control Association – ISACA) e dal IT Governance Institute (ITGI).
Il modello si basa su 4 domini, suddivisi in 34 processi declinati per più di 200 Obiettivi di controllo (Control Objectives).
COBIT sarà oggetto del prossimo articolo di questa serie dedicata all’IT Governance.
Figura 3 – Sguardo di insieme sul framework COBIT.
ITIL
ITIL è l’acronimo di Information Technology Infrastructure Library ed è un insieme di linee guida ispirate dalla pratica (good practices) nella gestione dei servizi IT (IT Service Management). Consiste in una serie di pubblicazioni che forniscono indicazioni sull’erogazione di servizi IT di qualità e sui processi e sui mezzi necessari a supportarli [ITIL_WP].
Nel giugno 2007, l’OGC (Office of Government) ha rilasciato la nuova versione 3 di ITIL. Quindi, mentre ITIL v.2 era una collezione di good practices strettamente focalizzata sui processi, ITIL v.3 si basa su un approccio globale al ciclo di vita dei servizi. Con questa impostazione, si aiuta il dipartimento IT a focalizzarsi sul valore che i servizi portano al business dell’azienda.
La pubblicazione di ITIL v.3 è incentrata sul concetto di servizio (asset strategico) e sul relativo ciclo di vita ed è composto da cinque testi principali, uno per ogni fase del ciclo di vita. Le fasi sono
- Service Strategy: definizione della strategia IT rispetto al Business;
- Service Design: progettazione del servizio;
- Service Transition: erogazione del servizio;
- Service Operation: gestione del servizio;
- Continual Service Improvement: miglioramento continuo del servizio in tutte le fasi del ciclo di vita.
Le 5 fasi del Service Lifecycle sono articolate in 22 processi e 24 attività.
Figura 4 – Sguardo di insieme sul ciclo di vita ITIL
CMMI
Il CMMI è l’acronimo di Capability Maturity Model Integration del SEI (Software Engineering Institute) ed è una raccolta di good practices per il miglioramento dei processi focalizzato in particolare sui processi di sviluppo.
È un framework per valutare le capacità (capability) e la maturità (maturity) del processo di sviluppo, manutenzione e supporto dei prodotti (sia nel caso in cui siano sviluppati”in casa”, sia quando si tratti di soluzioni acquistate da terze parti).
PMBoK
Il PMBoK, Guide to the Project Management Body of Knowledge è una raccolta di good practices che raccoglie la conoscenza disponibile nel campo del Project Management.
L’obiettivo del PMBoK è quello di identificare e diffondere good practices riconosciute nel campo della gestione dei progetti. Il PMBoK promuove inoltre un lessico comune per discutere e applicare la disciplina del Project Management analogamente a quanto ITIL fa per l’IT Service Management.
I concetti fondamentali su cui si basa PMBOK sono i 5 gruppi di processo, che cadenzano l’evoluzione del progetto e le 9 aree di conoscenza che raccolgono le informazioni utili per il capo progetto.
Figura 5 – Sguardo di insieme sul PMBok.
TOGAF
TOGAF, The Open Group Architecture Framework è un framework per la Enterprise Architecture che prevede un approccio globale alla progettazione, pianificazione, attuazione e alla governance di un’architettura aziendale.
TOGAF è strutturato in 6 moduli: Architecture Development Method (ADM), Architecture Content Framework, Reference Models, Enterprise Continuum, ADM Guidelines and Techniques e Architecture Capability Framework. L’architettura viene modellata a quattro livelli (detti anche domini): business, applicazioni, dati, tecnologia.
Il framework descrive e fornisce i fondamenti architetturali affinch� gli architetti software possano formalizzare l’architettura attuale (AS-IS) e definire e progettare quella futura (TO-BE). Il core di TOGAF è l’ADM (Architecture Development Method) che descrive il ciclo di vita del frame work.
Figura 6 – Sguardo di insieme su ADM.
Anche TOGAF sarà presentato in maniera estensiva in uno dei prossimi articoli di questa serie dedicata all’IT Governance.
AGIT
AGIT è l’acronimo di AGIle software developmenT ed è un modello che ha l’obiettivo di intodurre indicatori di governance per la misurazione dei progetti software basati sulla metodologia Scrum.
AGIT può essere considerato come una sorta di “Cobit agile” e sarà oggetto di uno dei prossimi articoli di questa serie dedicata all’IT Governance.
Figura 7 – Sguardo di insieme su AGIT.
Standard ISO
Mentre la serie di standard ISO 9000 non è specifica dei prodotti software e si occupa di definire le caratteristiche e i requisiti di un sistema di qualità aziendale (standard di processo), lo standard ISO/IEC 20000 è lo standard internazionale sviluppato specificatamente per la gestione dei servizi IT (IT Service Management). Lo standard nasce dall’evoluzione del British Standard BS 15000, mantenendo l’obiettivo di riflettere le linee guida delle best practices contenute nel framework ITIL (Information Technology Infrastructure Library).
La norma descrive un insieme integrato di processi di gestione per effettuare l’erogazione (delivery) dei servizi al business ed ai suoi clienti. Allo stato attuale, la norma ISO/IEC 20000 sotto il titolo “Informatin Technology – Service management” è formata da due parti : la prima parte dello standard (ISO 20000-1 Specification) definisce i requisiti di una organizzazione per fornire servizi di gestione di qualità accettabile ai suoi clienti. Contiene una lista di requisiti e controlli obbligatori, che i fornitori dei servizi devono soddisfare per poter essere certificati. La seconda parte (ISO 20000-2 Code of Practice) contiene le linee guida, le raccomandazioni e le good practices per la gestione del servizio (Service Management).
Figura 8 – Sguardo di insieme sullo standard ISO/IEC 20000.
Un quadro di insieme
Spesso (e a torto!) si vedono i famework come se fossero in antitesi tra loro, mentre invece possono risultare complementari e molto utili se utilizzati in modo coerente e congiunto: visto che ci sono parecchi punti in sovrapposizione (overlap), spesso la soluzione migliore è un un classico “best of breeds”.
L’ISACA fornisce una serie di pubblicazioni dedicate alle corrispondenze (mapping) fra COBIT 4.0 e gli altri principali standard IT come PMBoK, ITIL, CMMI, TOGAF etc . Si tratta, in pratica, di documenti che mettono in relazione le aree coperte da COBIT con quelle coperte dagli altri standard (cfr. (EN) ISACA COBIT Mappings). Nella tabella seguente, si mettono in relazione le sovrapposizioni di COBIT con gli altri strumenti.
Tabella 1 – Mapping tra COBIT e gli altri framework.
COBIT evita di addentrarsi verso le aree operative: si tratta di un modello destinato prevalentemente al management e al controllo e quindi non contiene indicazioni sul “come fare”, ma al contrario raccomanda di “non reinventare la ruota” e di ricorrere alle good practices e/o a standard riconosciuti per il tipo di azienda in questione, come ITIL o ISO20000 fanno per il Service Management e PMBoK o Prince 2 fanno per la gestione dei progetti.
A rafforzare l’idea che questi diversi framework e standard possano lavorare insieme, esistono diversi documenti che mostrano come utilizzarli congiuntamente in modo proficuo: in essi, vengono messi in risalto i relativi pro e contro per quanto riguarda il governo e la gestione dell’IT e si identificano chiaramente le aree di sinergia.
Ad esempio, COBIT e ITIL presentano aree di sovrapposizione in cui gli stessi processi vengono analizzati da punti di vista differenti: da una parte il modello COBIT copre i processi di controllo e misurazione dei servizi IT, dall’altra, le pratiche consolidate ITIL forniscono strumenti e indicazioni su come gestire e soddisfare gli obiettivi di controllo indicati da COBIT. Non è quindi un caso che spesso COBIT e ITIL siano utilizzati in modo congiunto per gestire rispettivamente IT Governance e IT Service Management.
COBIT e PMBok trovano una piena sovrapposizione nel processso Cobit PO10 – Gestione dei progetti. Le pratiche PMBoK sono quindi un valido aiuto per gestire e soddisfare gli obiettivi di controllo di COBIT relativi alla gestione dei progetti.
La figura 9 sintetizza in modo schematizzato e qualitativo il confronto tra alcuni dei modelli sino ad ora introdotti.
Figura 9 – Relazione tra i diversi modelli di governance.
Joint Framework
A supporto della tesi dell’utilizzo congiunto dei vari modelli di conoscenza, è utile menzionare il Joint Framework, un framework promosso dell’ITGI (owners di CobiT) e dall’OGC (owner di ITIL) che propone l’utilizzo congiunto di ITIL o ISO/IEC20000, COBIT e ISO/IEC 17799.
Figura 10 – Joint Framework.
Conclusioni
In questo articolo abbiamo presentato i concetti base del governo dei sistemi informativi (IT Governance) ed abbiamo presentato una panoramica dei principali modelli applicabili al contesto, descrivendo, a grandi linee, le caratteristiche dei vari framework e standard esistenti. Dal prossimo numero, cominceremo ad approfondire proprio questi framework, cominciando da COBIT.
Riferimenti
[CPWP] La definizione di Corporate Governance su Wikipedia
http://it.wikipedia.org/wiki/Corporate_governance
[SOX] COSO & COBIT center
http://www.sox-online.com/coso_cobit.html
[WP_ITGOV] La definizione di IT Governance su Wikipedia
http://it.wikipedia.org/wiki/IT_governance
[ISACARM] ISACA, Capitolo di Roma
[COBIT_WP] Pagina Wikipedia sul framework COBIT
http://it.wikipedia.org/wiki/COBIT
[ITIL_WP] Pagina Wikipedia sul framework ITIL
http://it.wikipedia.org/wiki/ITIL
[ISO20000_WP] Pagina Wikipedia sullo standard ISO 20000
http://it.wikipedia.org/wiki/ISO_20000
[COB+ITIL] AIEA, ISACA, itSMF, SDA Bocconi, “COBIT e ITIL: due framework complementari”
http://www.itsmf.it/download/SYSTEM_PAGINE_BIANCHE/COBIT-ITIL.pdf
[JOINTFWK] Joint Framework
http://www.itgovernance.co.uk/it_governance.aspx
[SRJIP] Stefano Rossini,”ITIL v.3: le novità rispetto a ITIL v.2″, Java Italian Portal, 27 maggio 2009
http://www.javaportal.it/rw/19651/13381/25713/46950/editorial.html
[itSMF] Il Forum della Gestione dei Servizi Informatici
[ITIL-ITA] ITIL Italia
[CNIPAIT] Ricognizione di alcune Best Practices applicabili ai contratti ICT
[TOGAF_WP] La pagina Wikipedia su TOGAF
http://it.wikipedia.org/wiki/The_Open_Group_Architecture_Framework
[TOG] La pagina ufficiale del The Open Group
[WSRR] SOA Governance sul sito IBM
[SOAQMSLC] Gary McBride, “The Role of SOA Quality Management in SOA Service Lifecycle Management”
http://www.ibm.com/developerworks/rational/library/mar07/mcbride/
[AGIT] V. Mahnic, N. Zabkar, “Using COBIT Indicators for Measuring Scrum-based Software Development”
http://www.wseas.us/e-library/transactions/computers/2008/27-1239.pdf