Dopo aver presentato nel numero scorso una introduzione al complesso tema della IT Governance, cominciamo ad affrontare i temi specifici dell‘argomento. In questo articolo partiamo con COBIT, un framework molto diffuso e adottato: ne vedremo le caratteristiche e gli ambiti di uso.
Introduzione
Nella pianificazione e controllo dell’IT (IT Governance), uno degli strumenti di maggiore diffusione e utilizzo è il framework COBIT. Cominciamo pertanto proprio da COBIT le nostre analisi dei diversi strumenti di governo e del loro ambito di utilizzo.
Che cosa è COBIT
COBIT è l’acronimo di Control Objectives for Information and related Technology ed è un framework per la gestione della Information and Communication Technology (ICT).
COBIT è stato creato dall’associazione americana degli auditor dei sistemi informativi (Information Systems Audit and Control Association, ISACA) e dallo IT Governance Institute (ITGI) ed è stato è stato pubblicato per la prima volta nel 1996 e successivamente aggiornato nel 1998, 2000 e nel dicembre del 2005 (COBIT 4.0). La revisione corrente (COBIT 4.1) è stata rilasciata nel maggio 2007.
L’entrata in vigore della legge Sarbanes-Oxley e dell’accordo internazionale di vigilanza prudenziale denominato Basilea II ha determinato un sostanziale incremento della diffusione del COBIT, come mezzo per ottenere un efficace governo della funzione IT e quindi ottemperare alle disposizioni di legge.
La commissione Securities and Exchange Commission (SEC) ha indicato nel modello COSO (Committee of Sponsoring Organizations of the Treadway Commission) lo standard di riferimento per la conformità alla Sarbanes-Oxley. ITGI ha pubblicato un documento di corrispondenza (“mapping”) tra processi COBIT e componenti COSO da una parte, e tra obiettivi di controllo COBIT e controlli COSO dall’altra: questo ha reso pienamente applicabile il modello COBIT per le verifiche di conformità alla Sarbanes-Oxley. COBIT quindi si può vedere come l’applicazione del COSO nell’ambito IT.
COBIT è basato sull’analisi e sull’armonizzazione degli standard IT e delle good practice esistenti ed è conforme ai principi di governo generalmente accettati agendo quindi da “integratore” delle prassi di gestione e governo IT.
Figura 1 – L’ombrello della IT Governance.
Il framework COBIT ha l’obiettivo di fornire a manager, utenti IT e auditor un modello di riferimento per il governo, costituito da un insieme di metriche, indicatori, processi e good practice, con l’obiettivo di valutare se è in atto un efficace governo della funzione IT o capace comunque di fornire una guida per implementarlo.
FIgura 2 – L’IT Governance all’interno della più ampia Corporate Governance.
Il COBIT consiste di sei pubblicazioni:
- Executive Summary
- Control Objectives
- Audit Guidelines
- Implementation Tool Set
- Management Guidelines
- Framework
Vediamo più da vicino in cosa consistono.
Executive Summary
L’Executive Summary è una panoramica dell’intero framework: è orientato ai senior executives e ai manager e descrive i principi e concetti chiave del framework.
Implementation Tool Set
L’Implementation Tool Set fornisce informazioni e presentazioni che possono aiutare a introdurre COBIT nelle organizzazioni. Riporta inoltre utili informazioni come FAQ, check list, case studies.
Management Guidelines
Le Management Guidelines sono composte da diverse componenti: il Maturity Model aiuta a determinare i livelli di maturità e le aspettative, i Critical Success Factors consentono di identificare le azioni più importanti per avere controllo sui processi IT, i Key Goal Indicators (KGI) servono a definire target di performance mentre i Key Performance Indicators (KPI) permettono di misurare se un processo di controllo IT sta raggiungendo i propri obiettivi.
Framework
Il Framework è la parte core di COBIT. Questa parte dettaglia il modo in cui i processi IT forniscono le informazioni necessarie al business per raggiungere i proprio obiettivi. I 34 processi informativi COBIT sono definiti all’interno di quattro domini:
- PO – Planning and Organization
- AI – Acquire and Implement
- DS – Delivery and Support
- ME – Monitoring and Evaluation
Il framework identifica sia quale dei sette criteri informativi (efficacia, efficienza, confidenzialità, integrità, disponibilità, compliance e affidabilità) sia quale risorsa IT (persone, applicazioni, tecnologie, facilities e dati) risulti essere importante per i processi IT per poter supportare gli obiettivi di business.
I control objectives in COBIT forniscono i criteri per delineare chiare policy e buone pratiche per il controllo dell’IT. Il framework include la descrizione dei 34 processi IT e di tutti i relativi 215 control objectives (obiettivi di controllo). Il quadro di riferimento di COBIT può essere rappresentato graficamente da un cubo in quattro domini (quelli menzionati poco sopra: PO, AI, DS e ME), che raggruppano i 34 processi generalizzati i quali gestiscono le risorse IT (applicazioni, informazioni, infrastruttura e persone) per fornire all’azienda informazioni in linea con i requisiti aziendali e di governance.
Audit Guidelines
Le Audit Guidelines descrivono le attività da eseguire per ognuno dei control obectives di COBIT.
Figura 3 – Il cubo che rappresenta graficamente l’organizzazione strutturale di COBIT.
In sintesi: le risorse IT sono gestite da processi IT per conseguire obiettivi IT che soddisfano i requisiti aziendali di business.
Vediamo ora come COBIT, attraverso i suoi 4 domini, 34 processi e ben 215 controlli si pone l’obiettivo di soddisfare i principali obiettivi di governance visti nel precedente articolo (fornire una direzione strategica, allineamento con il business, assicurare che gli obiettivi siano raggiunti, erogazione del valore, gestione responsabile delle risorse e del rischio e misurazione delle performance) e a gestire le seguenti principali sfide (e criticità) che l’IT è chiamata a sostenere:
- Keeping IT Running: mantenere i sistemi sempre attivi per dare continuità operativa ai processi critici di business senza interruzioni di erogazione dei servizi per non perdere profitto e danneggiare la reputazione dell’organizzazione.
- Value: l’organizzazione deve identificare i giusti progetti da eseguire gestendoli nel rispetto dei tempi (on-time) e costi (on-budget) per rilasciare il valore atteso.
- Costs: l’organizzazione per gestire in modo ottimale i costi IT necessita di processi efficaci ed efficienti, una chiara allocazione del personale e delle necessità delle risorse tecnologiche.
- Mastering Complexity: le funzioni IT devono essere ben organizzate, gestite e monitorate per permettere di gestire la complessità IT in modo cost-effective.
- Regulatory Compliance: l’organizzazione deve assicurarsi di essere compliance alle policy aziendali, alle normativa, e alle disposizione di legge e ai contratti con i propri partners
- Security: l’organizzazione necessita di assicurare l’adeguata sicurezza delle applicazioni IT.
Figura 4 – IT challenges.
I domini e i processi COBIT
Come appena detto, COBIT 4.1 divide il controllo della funzione IT in quattro domini:
- PO: Pianificazione e Organizzazione (Plan and Organise)
- AI: Acquisizione e Realizzazione (Acquire and Implement)
- DS: Erogazione e Assistenza (Deliver and Support)
- ME: Monitoraggio e Valutazione (Monitor and Evaluate)
Figura 5 – I domini COBIT.
Plan and Organise (PO)
Il dominio Plan and Organise copre gli aspetti strategici di governo e si propone di individuare il modo migliore in cui l’IT può contribuire al raggiungimento degli obiettivi aziendali.
Lo scopo principale del dominio è di assicurarsi che:
- gli obiettivi IT sono noti a tutti all’interno dell’organizzazione
- l’IT è in linea con la strategia aziendale
- l’azienda sta utilizzando le proprie risorse in modo ottimale gestendo correttamente i rischi e fornendo la qualità richiesta.
I dieci processi del dominio Plan and Organise sono:
PO1 Definire un piano strategico per l’IT
PO2 Definire l’architettura del Sistema Informativo
PO3 Definire gli indirizzi tecnologici
PO4 Definire i processi, l’organizzazione e le relazioni dell’IT
PO5 Gestire gli investimenti IT
PO6 Comunicare gli obiettivi e gli orientamenti della direzione
PO7 Gestire le risorse umane dell’IT
PO8 Gestire la qualità
PO9 Valutare e gestire i rischi informatici
PO10 Gestire i progetti
Acquire and Implement (AI)
Le soluzioni al servizio della strategia IT devono essere innanzitutto identificate e poi costruite (make) o acquisite (acquire); successivamente devono essere messe in esercizio e integrate al servizio dei processi aziendali (implement). Oltre a questo il dominio ha l’obiettivo di controllare la gestione dei cambiamenti e la manutenzione di sistemi, servizi e applicazioni, sempre compatibilmente con gli obiettivi aziendali.
Lo scopo principale del dominio è di assicurarsi che:
- i progetti forniranno soluzioni in linea con le attese e con i tempi e costi stimati
- le soluzioni realizzate opereranno correttamente una volta rilasciate
- la modalità di gestione dei cambiamenti è in grado di assicurare che le soluzioni vengano messe in esercizio senza effetti negativi sull’operatività dell’azienda
I sette processi del dominio Acquisition and Implementation sono i seguenti:
AI1 Identificare le soluzioni informatiche
AI2 Acquisire e manutenere il software applicativo
AI3 Acquisire e manutenere l’infrastruttura tecnologica
AI4 Consentire il funzionamento e l’uso dei sistemi IT
AI5 Approvvigionare le risorse IT
AI6 Gestire le modifiche
AI7 Installare e certificare le soluzioni e le modifiche
Deliver and Support (DS)
I processi nel dominio Deliver and Support si occupano dell’erogazione dei servizi IT occupandosi dei controllo della capacità (capacity) disponibilità (availability) nel rispetto dei livelli di servizio (SLA-Service Level Agreemnet) e della sicurezza del servizio stesso e del supporto agli utenti (Service Desk) e la gestione dei dati e dell’ambiente fisico.
I processi si occupano anche che venga effettuata una gestione ottimale dei costi, che il personale sia in grado di utilizzare i sistemi con cognizione di causa e in sicurezza e che le informazioni siano protette negli aspetti di riservatezza, integrità, confidenzialità.
I tredici processi del dominio DS sono:
DS1 Definire e gestire i livelli di servizio
DS2 Gestire i servizi di terze parti
DS3 Gestire le prestazioni e la capacità produttiva
DS4 Assicurare la continuità di servizio
DS5 Garantire la sicurezza dei sistemi
DS6 Identificare e attribuire i costi
DS7 Formare e addestrare gli utenti
DS8 Gestire il service desk e gli incidenti
DS9 Gestire la configurazione
DS10 Gestire i problemi
DS11 Gestire i dati
DS12 Gestire l’ambiente fisico
DS13 Gestire le operazioni
Monitor and Evaluate (ME)
La governance richiede un’attività di controllo e valutazione regolare e periodica della qualità dei processi IT. I processi in questo dominio Monitor and Evaluate si occupano principalmente di verificare se le prestazioni dell’IT sono in linea con le aspettative aziendali, se il sistema di controlli interni è efficace e se è garantita la conformità a leggi e regolamenti.
I quattro processi di questo dominio sono:
ME1 Monitorare e valutare le prestazioni dell’IT
ME2 Monitorare e valutare i controlli interni
ME3 Garantire la conformità ai regolamenti
ME4 Istituire la IT Governance
Figura 6 – I processi COBIT raggruppati nei quattro domini.
Ogni processo di COBIT viene descritto riportando l’area di governance appartenente, le risorse IT coinvolte, gli information criteria, gli obiettivi IT e gli indicatori di performance.
Figura 7 – Template descrizione processo COBIT.
Allineamento dei business goal agli IT goal
Per assistere le aziende nel definire e supportare i propri obiettivi di business, COBIT fornisce una lista di 17 business goal e 28 IT goal generici basati sugli studi effettuati in differenti realtà industriali.
I business goal sono classificati su quattro direttrici usando la business balanced scorecard (BSC) secondo le quattro prospettive di finanziaria, clienti, interna e prospettiva di crescita ed apprendimento e sono collegati ai 28 IT goal numerati.
Una volta definiti i business goal d’interesse per il proprio specifico contesto aziendale, l’azienda deve occuparsi di identificare i processi COBIT opportuni per soddisfare gli obiettivi IT identificati.
Un esempio
Facciamo un esempio per comprendere in modo pratico come l’IT può supportare realmente l’allineamento e il raggiungimento degli obiettivi di business.
Supponiamo che si voglia perseguire l’obiettivo di business 7 “Create agility in responding to changing business requirements” della prospettiva “Customer Prospective” della BSC.
COBIT mappa al business goal gli IT GOAL 1, 5 e 25 che sono rispettivamente:
- 1: Respond to business requirements in alignment with the business strategy
- 5: Create IT agility
- 25: Deliver projects on time and on budget, meeting quality standards
Ad ognuno di questi punti corrispondono dei ben specifici processi COBIT indicati nella tabella di mapping business goal / IT goal / processi Cobit.
Tabella 1 – Un esempio di allineamento tra obiettivo di business, IT goal e processi COBIT.
A questo punto, per ogni processo identificato, l’azienda deve definire l’obiettivo del processo (process goal) che ritiene possa supportare il raggiungimento degli obiettivi IT (IT goal). Per raggiungere i goal dei processi definiti devono essere identificate un certo numero di attività all’interno del processo: queste sono dette activity goal.
Figura 8 – Il collegamento tra obiettivi business, obiettivi IT e processi IT.
Metriche per il raggiungimento degli obiettivi
COBIT prevede due tipologie di metriche per misurare il raggiungimento degli obiettivi:
- key goal indicator (KGIs)
- key performance indicator (KPIs)
I KGIs servono a misurare i business goal, gli IT goal, i processi IT e gli activity goal . I KGI sono indicatori di risultato e permettono di capire se gli obiettivi prefissati sono stati conseguiti.
I KGIs, che vengono chiamati anche “lag indicators”, cioè indicatori “a posteriori” o “ex post”, sono organizzabili in quattro livelli:
- business KGIs per misurare gli obiettivi di business (business goal)
- IT KGIs per misurare gli obiettivi IT (IT goal)
- IT process KGIs per misurare gli obiettivi dei processi IT (IT process)
- activity goal KGIs per misurare gli obiettivi delle attività (activity goals)
I KPIs sono invece indicatori che forniscono informazioni sulla modalità con cui il processo si svolge e permettono di capire l’andamento e se gli obiettivi saranno raggiunti. Gli indicatori di performance sono utilizzati prima che il risultato sia ottenuto, e perciò sono chiamati “lead indicators” (indicatori di tendenza o “ex ante”) e permettono di capire se gli obiettivi (goal) saranno raggiunti.
Esiste una importante relazione causa ed effetto tra un KPI e un KGI; il KGI è l’obiettivo da perseguire mentre il KPI dice l’andamento del processo/attività per perseguire tale obiettivo.
Per esempio, a livello di processo IT, si assume che se la frequenza della review del tipo di evento di sicurezza che deve essere monitorato (il suo KPI) è migliorato, ciò si trasformerà in un minor numero di violazioni di accesso (il suo KGI). Si rileva un abbassamento del numero di violazioni di accesso (KPI) e allora ciò si tramuta in un numero più basso di incidenti IT con impatto sul business (KGI).
La figura 9 che segue mostra un altro esempio relativo al processo PO10, gestione dei progetti.
Figura 9 – KPI e KGI in relazione al processo PO10.
Obiettivi di controllo (Control Objectives)
Nelle tabelle scaricabili dal menu in alto a destra (allegato “ObiettiviDiControllo.zip”) sono riportati per ogni processo i relativi obiettivi di controllo. Nei quattro domini sono collocati un totale di 34 processi, ai quali fanno capo, nella versione 4.1, un totale di 215 obiettivi di controllo; questi ultimi rivestono un’importanza centrale nel COBIT, al punto di dare il nome al modello stesso.
Il raggiungimento degli obiettivi di controllo COBIT garantisce un ragionevole livello di confidenza riguardo al raggiungimento degli obiettivi aziendali connessi al processo e alla prevenzione dei rischi associati al processo stesso.
Il management aziendale deve decidere quali sono i controlli applicabili ad ogni singolo processo scelto all’interno dell’azienda, quali andranno implementati e con quali modalità, o viceversa può accollarsi il rischio di non implementarli.
Conclusioni
In questo articolo abbiamo approfondito il framework COBIT. Si tratta di uno strumento complesso e ben strutturato, basato sul principio di definire chiaramente dei domini e collocare al loro interno dei ben individuabili processi IT. Abbiamo inoltre visto come l’impiego di opportune metriche (KGI e KPI) consenta di misurare gli obiettivi che vogliamo ottenere e di capire se vanno bene i metodi con cui cerchiamo di raggiungere tali obiettivi.
Continueremo la nostra approfondita panoramica sul mondo della IT Governance nel prossimo articolo, affrontando il tema dell’IT Governance nell’ambito delle pratiche di tipo agile.
Riferimenti
[SR-MOKAITGOV1] S. Rossini, “Panoramica sulla IT Governance – I parte: Che cosa è il governo dei sistemi informative”, Mokabyte 162, maggio 2011
https://www.mokabyte.it/cms/section.run?name=mb162
[CPWP] La definizione di Corporate Governance su Wikipedia
http://it.wikipedia.org/wiki/Corporate_governance
[SOX] COSO & COBIT center
http://www.sox-online.com/coso_cobit.html
[WP_ITGOV] La definizione di IT Governance su Wikipedia
http://it.wikipedia.org/wiki/IT_governance
[ITGI]IT Governance Institute
[ISACA] ISACA
[ISACARM] ISACA, Capitolo di Roma
COBIT as ITGovernance [ISACA]
http://www.scribd.com/doc/49130735/Cobit-as-IT-Governance-Mechanism
[COBIT_WP] Pagina Wikipedia sul framework COBIT
http://it.wikipedia.org/wiki/COBIT
[ITIL_WP] Pagina Wikipedia sul framework ITIL
http://it.wikipedia.org/wiki/ITIL
[ISO20000_WP] Pagina Wikipedia sullo standard ISO 20000
http://it.wikipedia.org/wiki/ISO_20000
[COBIT+ITIL] AIEA, ISACA, itSMF, SDA Bocconi, “COBIT e ITIL: due framework complementari”
http://www.itsmf.it/download/SYSTEM_PAGINE_BIANCHE/COBIT-ITIL.pdf
[JOINTFWK] Joint Framework
http://www.itgovernance.co.uk/it_governance.aspx
[SRJIP] Stefano Rossini,”ITIL v.3: le novità rispetto a ITIL v.2″, Java Italian Portal, 27 maggio 2009
http://www.javaportal.it/rw/19651/13381/25713/46950/editorial.html
[itSMF] Il Forum della Gestione dei Servizi Informatici
[ITIL-ITA] ITIL Italia
[CNIPAIT] Ricognizione di alcune Best Practices applicabili ai contratti ICT