Dopo aver presentato nel numero scorso una introduzione al complesso tema della IT Governance, cominciamo ad affrontare i temi specifici dell‘argomento. In questo articolo partiamo con COBIT, un framework molto diffuso e adottato: ne vedremo le caratteristiche e gli ambiti di uso.

Introduzione

Nella pianificazione e controllo dell’IT (IT Governance), uno degli strumenti di maggiore diffusione e utilizzo è il framework COBIT. Cominciamo pertanto proprio da COBIT le nostre analisi dei diversi strumenti di governo e del loro ambito di utilizzo.

Che cosa è COBIT

COBIT è l’acronimo di Control Objectives for Information and related Technology ed è un framework per la gestione della Information and Communication Technology (ICT).

COBIT è stato creato dall’associazione americana degli auditor dei sistemi informativi (Information Systems Audit and Control Association, ISACA) e dallo IT Governance Institute (ITGI) ed è stato è stato pubblicato per la prima volta nel 1996 e successivamente aggiornato nel 1998, 2000 e nel dicembre del 2005 (COBIT 4.0). La revisione corrente (COBIT 4.1) è stata rilasciata nel maggio 2007.

L’entrata in vigore della legge Sarbanes-Oxley e dell’accordo internazionale di vigilanza prudenziale denominato Basilea II ha determinato un sostanziale incremento della diffusione del COBIT, come mezzo per ottenere un efficace governo della funzione IT e quindi ottemperare alle disposizioni di legge.

La commissione Securities and Exchange Commission (SEC) ha indicato nel modello COSO (Committee of Sponsoring Organizations of the Treadway Commission) lo standard di riferimento per la conformità alla Sarbanes-Oxley. ITGI ha pubblicato un documento di corrispondenza (“mapping”) tra processi COBIT e componenti COSO da una parte, e tra obiettivi di controllo COBIT e controlli COSO dall’altra: questo ha reso pienamente applicabile il modello COBIT per le verifiche di conformità alla Sarbanes-Oxley. COBIT quindi si può vedere come l’applicazione del COSO nell’ambito IT.

COBIT è basato sull’analisi e sull’armonizzazione degli standard IT e delle good practice esistenti ed è conforme ai principi di governo generalmente accettati agendo quindi da “integratore” delle prassi di gestione e governo IT.

Figura 1 – L’ombrello della IT Governance.

Il framework COBIT ha l’obiettivo di fornire a manager, utenti IT e auditor un modello di riferimento per il governo, costituito da un insieme di metriche, indicatori, processi e good practice, con l’obiettivo di valutare se è in atto un efficace governo della funzione IT o capace comunque di fornire una guida per implementarlo.

FIgura 2 – L’IT Governance all’interno della più ampia Corporate Governance.

Il COBIT consiste di sei pubblicazioni:

1. Executive Summary
2. Control Objectives
3. Audit Guidelines
4. Implementation Tool Set
5. Management Guidelines
6. Framework

Vediamo più da vicino in cosa consistono.

Executive Summary

L’Executive Summary è una panoramica dell’intero framework: è orientato ai senior executives e ai manager e descrive i principi e concetti chiave del framework.

Implementation Tool Set

L’Implementation Tool Set fornisce informazioni e presentazioni che possono aiutare a introdurre COBIT nelle organizzazioni. Riporta inoltre utili informazioni come FAQ, check list, case studies.

Management Guidelines

Le Management Guidelines sono composte da diverse componenti: il Maturity Model aiuta a determinare i livelli di maturità e le aspettative, i Critical Success Factors consentono di identificare le azioni più importanti per avere controllo sui processi IT, i Key Goal Indicators (KGI) servono a definire target di performance mentre i Key Performance Indicators (KPI) permettono di misurare se un processo di controllo IT sta raggiungendo i propri obiettivi.

Framework

Il Framework è la parte core di COBIT. Questa parte dettaglia il modo in cui i processi IT forniscono le informazioni necessarie al business per raggiungere i proprio obiettivi. I 34 processi informativi COBIT sono definiti all’interno di quattro domini:

• PO – Planning and Organization
• AI – Acquire and Implement
• DS – Delivery and Support
• ME – Monitoring and Evaluation

Il framework identifica sia quale dei sette criteri informativi (efficacia, efficienza, confidenzialità, integrità, disponibilità, compliance e affidabilità) sia quale risorsa IT (persone, applicazioni, tecnologie, facilities e dati) risulti essere importante per i processi IT per poter supportare gli obiettivi di business.

I control objectives in COBIT forniscono i criteri per delineare chiare policy e buone pratiche per il controllo dell’IT. Il framework include la descrizione dei 34 processi IT e di tutti i relativi 215 control objectives (obiettivi di controllo). Il quadro di riferimento di COBIT può essere rappresentato graficamente da un cubo in quattro domini (quelli menzionati poco sopra: PO, AI, DS e ME), che raggruppano i 34 processi generalizzati i quali gestiscono le risorse IT (applicazioni, informazioni, infrastruttura e persone) per fornire all’azienda informazioni in linea con i requisiti aziendali e di governance.

Audit Guidelines

Le Audit Guidelines descrivono le attività da eseguire per ognuno dei control obectives di COBIT.

Figura 3 – Il cubo che rappresenta graficamente l’organizzazione strutturale di COBIT.

In sintesi: le risorse IT sono gestite da processi IT per conseguire obiettivi IT che soddisfano i requisiti aziendali di business.

Vediamo ora come COBIT, attraverso i suoi 4 domini, 34 processi e ben 215 controlli si pone l’obiettivo di soddisfare i principali obiettivi di governance visti nel precedente articolo (fornire una direzione strategica, allineamento con il business, assicurare che gli obiettivi siano raggiunti,  erogazione del valore, gestione responsabile delle risorse e del rischio e misurazione delle performance) e  a gestire le seguenti principali sfide (e criticità) che l’IT è chiamata a sostenere:

• Keeping IT Running: mantenere i sistemi sempre attivi per dare continuità operativa ai processi critici di business senza interruzioni di erogazione dei servizi per non perdere profitto e danneggiare la reputazione dell’organizzazione.
• Value: l’organizzazione deve identificare i giusti progetti da eseguire gestendoli nel rispetto dei tempi (on-time) e costi (on-budget) per rilasciare il valore atteso.
• Costs: l’organizzazione per gestire in modo ottimale i costi IT necessita di processi efficaci ed efficienti, una chiara allocazione del personale e delle necessità delle risorse  tecnologiche.
• Mastering Complexity: le funzioni IT devono essere ben organizzate, gestite e monitorate per permettere di gestire la complessità IT in modo cost-effective.
• Regulatory Compliance: l’organizzazione deve assicurarsi di essere compliance alle policy aziendali, alle normativa, e alle disposizione di legge e ai contratti con i propri partners
• Security: l’organizzazione necessita di assicurare l’adeguata sicurezza delle applicazioni IT.

Figura 4 – IT challenges.

I domini e i processi COBIT

Come appena detto, COBIT 4.1 divide il controllo della funzione IT in quattro domini:

1. PO: Pianificazione e Organizzazione (Plan and Organise)
2. AI: Acquisizione e Realizzazione (Acquire and Implement)
3. DS: Erogazione e Assistenza (Deliver and Support)
4. ME: Monitoraggio e Valutazione (Monitor and Evaluate)

Figura 5 – I domini COBIT.

Plan and Organise (PO)

Il dominio Plan and Organise copre gli aspetti strategici di governo e si propone di individuare il modo migliore in cui l’IT può contribuire al raggiungimento degli obiettivi aziendali.

Lo scopo principale del dominio è di assicurarsi che:

• gli obiettivi IT sono noti a tutti all’interno dell’organizzazione
• l’IT è in linea con la strategia aziendale
• l’azienda sta utilizzando le proprie risorse in modo ottimale gestendo correttamente i rischi e fornendo la qualità richiesta.

I dieci processi del dominio Plan and Organise sono:

PO1        Definire un piano strategico per l’IT

PO2        Definire l’architettura del Sistema Informativo

PO3        Definire gli indirizzi tecnologici

PO4        Definire i processi, l’organizzazione e le relazioni dell’IT

PO5        Gestire gli investimenti IT

PO6        Comunicare gli obiettivi e gli orientamenti della direzione

PO7        Gestire le risorse umane dell’IT

PO8        Gestire la qualità

PO9        Valutare e gestire i rischi informatici

PO10      Gestire i progetti

Acquire and Implement (AI)

Le soluzioni al servizio della strategia IT devono essere innanzitutto identificate e poi costruite (make) o acquisite (acquire); successivamente devono essere messe in esercizio e integrate al servizio dei processi aziendali (implement). Oltre a questo il dominio ha l’obiettivo di controllare la gestione dei cambiamenti e la manutenzione di sistemi, servizi e applicazioni, sempre compatibilmente con gli obiettivi aziendali.

Lo scopo principale del dominio è di assicurarsi che:

• i progetti forniranno soluzioni in linea con le attese e con i tempi e costi stimati
• le soluzioni realizzate opereranno correttamente una volta rilasciate
• la modalità di gestione dei cambiamenti è in grado di assicurare che le soluzioni vengano messe in esercizio senza effetti negativi sull’operatività dell’azienda

I sette processi del dominio Acquisition and Implementation sono i seguenti:

AI1          Identificare le soluzioni informatiche

AI2          Acquisire e manutenere il software applicativo

AI3          Acquisire e manutenere l’infrastruttura tecnologica

AI4          Consentire il funzionamento e l’uso dei sistemi IT

AI5          Approvvigionare le risorse IT

AI6          Gestire le modifiche

AI7          Installare e certificare le soluzioni e le modifiche

Deliver and Support (DS)

I processi nel dominio Deliver and Support si occupano dell’erogazione dei servizi IT occupandosi dei controllo della capacità (capacity) disponibilità (availability) nel rispetto dei livelli di servizio (SLA-Service Level Agreemnet)  e della sicurezza del servizio stesso e del supporto agli utenti (Service Desk) e la gestione dei dati e dell’ambiente fisico.
I processi si occupano anche che venga effettuata una gestione ottimale dei costi, che il personale sia in grado di utilizzare i sistemi con cognizione di causa e in sicurezza e che le informazioni siano protette negli aspetti di riservatezza, integrità, confidenzialità.

I tredici processi del dominio DS sono:

DS1         Definire e gestire i livelli di servizio

DS2         Gestire i servizi di terze parti

DS3         Gestire le prestazioni e la capacità produttiva

DS4         Assicurare la continuità di servizio

DS5         Garantire la sicurezza dei sistemi

DS6         Identificare e attribuire i costi

DS7         Formare e addestrare gli utenti

DS8         Gestire il service desk e gli incidenti

DS9         Gestire la configurazione

DS10       Gestire i problemi

DS11       Gestire i dati

DS12       Gestire l’ambiente fisico

DS13       Gestire le operazioni

Monitor and Evaluate (ME)

La governance richiede un’attività di controllo e valutazione regolare e periodica della qualità dei processi IT. I processi in questo dominio Monitor and Evaluate si occupano principalmente di verificare se le prestazioni dell’IT sono in linea con le aspettative aziendali, se il sistema di controlli interni è efficace e se è garantita la conformità a leggi e regolamenti.

I quattro processi di questo dominio sono:

ME1        Monitorare e valutare le prestazioni dell’IT

ME2        Monitorare e valutare i controlli interni

ME3        Garantire la conformità ai regolamenti

ME4        Istituire la IT Governance

Figura 6 – I processi COBIT raggruppati nei quattro domini.

Ogni processo di COBIT viene descritto riportando l’area di governance appartenente, le risorse IT coinvolte, gli information criteria, gli obiettivi IT e gli indicatori di performance.

Figura 7 – Template descrizione processo COBIT.

Allineamento dei business goal agli IT goal

Per assistere le aziende nel definire e supportare i propri obiettivi di business, COBIT fornisce una lista di 17 business goal e 28 IT goal generici basati sugli studi effettuati in differenti realtà industriali.

I business goal sono classificati su quattro direttrici usando la business balanced scorecard (BSC) secondo le quattro prospettive di finanziaria, clienti, interna e prospettiva di crescita ed apprendimento e sono collegati ai 28 IT goal numerati.

Una volta definiti i business goal d’interesse per il proprio specifico contesto aziendale, l’azienda deve occuparsi di identificare i processi COBIT opportuni per soddisfare gli obiettivi IT identificati.

Un esempio

Facciamo un esempio per comprendere in modo pratico come l’IT può supportare realmente l’allineamento e il raggiungimento degli obiettivi di business.

Supponiamo che si voglia perseguire l’obiettivo di business 7 “Create agility in responding to changing business requirements” della prospettiva “Customer Prospective” della BSC.

COBIT mappa al business goal gli IT GOAL 1, 5 e 25 che sono rispettivamente:

• 1: Respond to business requirements in alignment with the business strategy
• 5: Create IT agility
• 25: Deliver projects on time and on budget, meeting quality standards

Ad ognuno di questi punti corrispondono dei ben specifici processi COBIT indicati nella tabella di mapping business goal / IT goal / processi Cobit.

Tabella 1 – Un esempio di allineamento tra obiettivo di business, IT goal e processi COBIT.

A questo punto, per ogni processo identificato, l’azienda deve definire l’obiettivo del processo (process goal) che ritiene possa supportare il raggiungimento degli obiettivi IT (IT goal). Per raggiungere i goal dei processi definiti devono essere identificate un certo numero di attività all’interno del processo: queste sono dette activity goal.

Figura 8 – Il collegamento tra obiettivi business, obiettivi IT e processi IT.

Metriche per il raggiungimento degli obiettivi

COBIT prevede due tipologie di metriche per misurare il raggiungimento degli obiettivi:

• key goal indicator (KGIs)
• key performance indicator (KPIs)

I KGIs servono a misurare i business goal, gli IT goal, i processi IT e gli activity goal . I KGI sono  indicatori di risultato e permettono di capire se gli obiettivi prefissati sono stati conseguiti.

I KGIs, che vengono chiamati anche “lag indicators”, cioè indicatori “a posteriori” o “ex post”, sono organizzabili in quattro livelli:

• business KGIs per misurare gli obiettivi di business (business goal)
• IT KGIs per misurare gli obiettivi IT (IT goal)
• IT process KGIs per misurare gli obiettivi dei processi IT (IT process)
• activity goal KGIs per misurare gli obiettivi delle attività (activity goals)

I KPIs sono invece indicatori che forniscono informazioni sulla modalità con cui il processo si svolge e permettono di capire l’andamento e se gli obiettivi saranno raggiunti. Gli  indicatori di performance sono utilizzati prima che il risultato sia ottenuto, e perciò sono chiamati “lead indicators” (indicatori di tendenza o “ex ante”) e permettono di capire se gli obiettivi (goal) saranno raggiunti.

Esiste una importante relazione causa ed effetto tra un KPI e un KGI; il KGI è l’obiettivo da perseguire mentre il KPI dice l’andamento del processo/attività per perseguire tale obiettivo.

Per esempio, a livello di processo IT, si assume che se la frequenza della review del tipo di evento di sicurezza che deve essere monitorato (il suo KPI) è migliorato, ciò si trasformerà in un minor numero di violazioni di accesso (il suo KGI). Si rileva un abbassamento del numero di violazioni di accesso (KPI) e allora ciò si tramuta in un numero più basso di incidenti IT con impatto sul business (KGI).

La figura 9 che segue mostra un altro esempio relativo al processo PO10, gestione dei progetti.

Figura 9 – KPI e KGI in relazione al processo PO10.

Obiettivi di controllo (Control Objectives)

Nelle tabelle scaricabili dal menu in alto a destra (allegato “ObiettiviDiControllo.zip”) sono riportati per ogni processo i relativi obiettivi di controllo. Nei quattro domini sono collocati un totale di 34 processi, ai quali fanno capo, nella versione 4.1, un totale di 215 obiettivi di controllo; questi ultimi rivestono un’importanza centrale nel COBIT, al punto di dare il nome al modello stesso.

Il raggiungimento degli obiettivi di controllo COBIT garantisce un ragionevole livello di confidenza riguardo al raggiungimento degli obiettivi aziendali connessi al processo e alla prevenzione dei rischi associati al processo stesso.

Il management aziendale deve decidere quali sono i controlli applicabili ad ogni singolo processo scelto all’interno dell’azienda, quali andranno implementati e con quali modalità, o viceversa può accollarsi il rischio di non implementarli.

Conclusioni

In questo articolo abbiamo approfondito il framework COBIT. Si tratta di uno strumento complesso e ben strutturato, basato sul principio di definire chiaramente dei domini e collocare al loro interno dei ben individuabili processi IT. Abbiamo inoltre visto come l’impiego di opportune metriche (KGI e KPI) consenta di misurare gli obiettivi che vogliamo ottenere e di capire se vanno bene i metodi con cui cerchiamo di raggiungere tali obiettivi.

Continueremo la nostra approfondita panoramica sul mondo della IT Governance nel prossimo articolo, affrontando il tema dell’IT Governance nell’ambito delle pratiche di tipo agile.

Riferimenti

[SR-MOKAITGOV1] S. Rossini, “Panoramica sulla IT Governance – I parte: Che cosa è il governo dei sistemi informative”, Mokabyte 162, maggio 2011

https://www.mokabyte.it/cms/section.run?name=mb162

[CPWP] La definizione di Corporate Governance su Wikipedia

http://it.wikipedia.org/wiki/Corporate_governance

[SOX] COSO & COBIT center

http://www.sox-online.com/coso_cobit.html

[WP_ITGOV] La definizione di IT Governance su Wikipedia

http://it.wikipedia.org/wiki/IT_governance

[ITGI]IT Governance Institute

http://www.itgi.org/

[ISACA] ISACA

http://www.isaca.org/

[ISACARM] ISACA, Capitolo di Roma

http://www.isacaroma.it

COBIT as ITGovernance [ISACA]

http://www.scribd.com/doc/49130735/Cobit-as-IT-Governance-Mechanism

[COBIT_WP] Pagina Wikipedia sul framework COBIT

http://it.wikipedia.org/wiki/COBIT

[ITIL_WP] Pagina Wikipedia sul framework ITIL

http://it.wikipedia.org/wiki/ITIL

[ISO20000_WP] Pagina Wikipedia sullo standard ISO 20000

http://it.wikipedia.org/wiki/ISO_20000

[COBIT+ITIL] AIEA, ISACA, itSMF, SDA Bocconi, “COBIT e ITIL: due framework complementari”

http://www.itsmf.it/download/SYSTEM_PAGINE_BIANCHE/COBIT-ITIL.pdf

[JOINTFWK] Joint Framework

http://www.itgovernance.co.uk/it_governance.aspx

[SRJIP] Stefano Rossini,”ITIL v.3: le novità rispetto a ITIL v.2″, Java Italian Portal, 27 maggio 2009

http://www.javaportal.it/rw/19651/13381/25713/46950/editorial.html

[itSMF] Il Forum della Gestione dei Servizi Informatici

http://www.itsmf.it

[ITIL-ITA] ITIL Italia

http://www.itil-italia.com

[CNIPAIT] Ricognizione di alcune Best Practices applicabili ai contratti ICT

http://www.digitpa.gov.it/qualita_ict_manuali/9-ricognizione-di-alcune-best-practice-applicabili-ai-contratti-ict

Stefano Rossini

Stefano Rossini è nato a Giussano (MI) il 29/10/1970 e ha conseguito il diploma universitario in Ingegneria Informatica presso il Politecnico di Torino. Ha maturato più di venti anni di esperienza in diversi progetti Enterprise mission-critical ricoprendo i ruoli di IT Program Manager, Project Manager & Software Architect presso importanti gruppi bancari, pubblica sanità, pubblica amministrazione e software house.

Attualmente ricopre il ruolo di Sofware Factory Manager, Lean Change Agent ed Enterprise Architect presso Capgemini.

Esperto in ambito di sanità pubblica come Project/Program Manager per la governance dei progetti IT strategici di Cartella Clinica Elettronica (CCE) e Fascicolo Sanitario Elettronico (FSE).

Esperto in ambito bancario dove ha ricoperto per una decina d'anni il ruolo di Project Manager e Leader Software Architect (BPM, IWBank e BPS) occupandosi della pianificazione e gestione del progetto, del coordinamento del gruppo di sviluppo software sia InHouse che Nearshore/Offshore. Esperto nella conduzione di progetti secondo metodologia di Project Management PMBok e metodologia agile Scrum.

Si occupa di Java dal 1999 arrivando da precedenti esperienze in C e C++ in ambito Telco (Alcatel & Siemens). Ha pubblicato più di un centinaio di articoli su argomenti di IT Governance, Project Management, architetture enterprise e problematiche di Integrazione e SOA. È coautore dei libri "Manuale pratico di Java" (2001) e "La programmazione della piattaforma J2EE" (2005) editi da Hops/Tecniche Nuove. Certificazioni IT Governance: COBIT V.4.1 Foundation Certificate; certificazioni IT Service Management: ITIL V.3 Foundation Examination; certificazioni Project Management: CSM - Scrum Master, CSPO - Scrum Product Owner, PMI: 35 contact hours.

Profilo linkedin: http://www.linkedin.com/pub/stefano-rossini/30/977/242