cobit come strumento di analisi e comunicazione efficace ... · cobit come strumento di analisi e...
Post on 08-Feb-2019
219 Views
Preview:
TRANSCRIPT
CobiT come strumento di analisi e comunicazione efficace sullo stato del sistema di controllo interno
Milano, 29 ottobre 2003
Andrea PederivaDeloitte Consulting SpA
Page 2 of 40
Agenda
• Corporate Governance e IT Governance
• Equilibrio costi/benefici del Sistema di Controllo Interno
• Ruolo e utilizzo del Maturity Model
• Struttura del Maturity Model
• Utilizzare il Maturity Model mediante la Matrice dei Requisiti
• Costruire e utilizzare le Matrici dei Requisiti per singolo processo
• Esercitazione e confronto dei risultati: costruzione della Matrice dei Requisiti
• Esercitazione e confronto dei risultati: utilizzo della Matrice dei Requisiti per misurare il Livello di Maturità
Page 3 of 40
Corporate Governance e IT Governance
Corporate GovernanceCorporate governance is the system by which business corporations are directed and controlled.
The corporate governance structure specifies the distribution of rights and responsibilities among different participants in the corporation, such as, the board, managers, shareholders and other stakeholders, and spells out the rules and procedures for making decisions on corporate affairs. By doing this, it also provides the structure through which the company objectives are set, and the means of attaining those objectives and monitoring performance. OECD, April 1999, consistent with the Cadbury report [1992, Introduction 2.5] (see: http://www.encycogov.com/WhatIsGorpGov.asp)
IT GovernanceAt its core, IT governance is concerned about two responsibilities: IT must deliver value and enable the business, and IT-related risks must be mitigated.
IT presents the extremes of both—very large investments and critical, potentially crippling risks. At the same time, it offers exceptional opportunities for growth and renewal. IT Governance Institute (www.itgi.org, section About IT Governance, and IT Governance Executive Summary, no date)
Page 4 of 40
Creare valore eabilitare il business
Mitigare i rischi IT-related
Ruolo dell’lT Governance
DEFINESTRATEGY
CREATEVALUE
PRESERVEVALUE
BAD THINGSNOT TO HAPPEN
GOOD THINGSTO HAPPEN
MEASURERESULTS
CONTINUOUSIMPROVEMENT
Creare valore e abilitare il business
Mitigare i rischi IT-related
Fonte: IT Governance Institute - IT Governance Executive Summary
Page 5 of 40
Creare valore e abilitare il business
Strategie IT coerenti con le strategie di business
Lo strumento principe di verifica sono le Balance Scorecard
Oggetto di misurazione sono i Key Performance Indicators
ITDevelopment
BSC
ITOperational
BSC
BusinessBSC
ITStrategic
BSC
Acquisition & Implementation
Delivery & Support
Planning &Organization
Monitoring
Fonte: Wim Van Grembergen - “Alignment of Enterprise Governance and IT Governance”
Page 6 of 40
Mitigare i rischi IT-related
• Strategic view on risk• Monitor risk impact on performance• Capital adequacy and allocation• Determine high priority action plans
Risk Committee• Monitor risk framework
and action plans• Reviews BU risk profiles• Monitors how key risks
are being managed
Audit Committee• Evaluates reports from
internal audit and external auditors
• Reviews financial reporting integrity
Internal Audit• Assessment of
processes, including ORM, which manage key risks
• Liaise with ORM on risk profiles and mitigation actions
• IT audit advises and reports on IT related risk mitigation strategies
ORM• Promotes best
practice• Supports risk
owners• Analyses new and
evolving risks• Develops and
compiles metrics on performance
• Liaises with IA
Risk Owners• Manage specific risk• Apply risk management cycle• Develop capabilities, processes
and controls• Integrate into job descriptions• Manage issues• Escalate material issues
Executive Board
ORM
Risk Committee Audit Committee
Risk Owners
Internal Audit
Attivare un Sistema di Controllo Interno efficace sui rischi operativi, incluso l’IT
Fonte: Paul Williams – Orvieto 2003
Page 7 of 40
Equilibrio costi/benefici delSistema di Controllo Interno
Livello diControllo
CostiRischio
<< >>
In ambito IT, per il management si pone problema di giustificare gli investimenti in controllo sull’IT:
qual è il livello di controllo da ottenere,ed i costi sono giustificati dai benefici?
Punto di equilibrio
Costi = Rischio
Page 8 of 40
Perché il Maturity Model
Determinare il punto di equilibrio in modo quantitativo è difficile
Le CobiT Management Guidelines propongono di adottare il metodo del benchmark, utilizzando il Maturity Model
Il Maturity Model è lo strumento che le Management Guidelines propongono per trovare il punto di equilibrio costi/benefici per i controlli sull’IT (attenzione al rischio trasferito)
Page 9 of 40
Struttura del Maturity Model
Nonesistente
0
1
2
3
4
5
Iniziale
Ripetibile
Definito
Gestito
OttimizzatoSviluppato inizialmente dal SEI (Software Engineering Institute) come modello per i processi di sviluppo software
Attualmente paradigma di riferimento per misurare il livello di “strutturatezza” dei processi aziendali
Si basa su cinque livelli di maturità, da 0 (Non esistente) a 5 (Ottimizzato)
Because they are management processes, increased maturity and capability is also synonymous with increased risk management and increased efficiency.
Page 10 of 40
Il significato dei cinque livelli di maturità
Nessun processo riconoscibile - Questione non notaInesistente0.
Questione nota, nessun approccio riconoscibile - Approccio caso per caso
Iniziale1.
Attività svolte di norma allo stesso modo anche da persone diverse
Ripetibile2.
Processo documentato e comunicatoDefinito3.
Elementi di misurazione e contromisure in caso di scostamenti o inefficacia
Gestito4.
Applicazione delle migliori pratiche e interventi di ottimizzazione
Ottimizzato5.
Page 11 of 40
Il significato dei cinque livelli di maturità(dettaglio come da traduzione delle Management Guidelinies)
Completa assenza di qualsiasi processo consapevole. L’azienda non riconosce il tema come argomento da trattare.
Inesistente0.
Vi sono indicazioni che l’azienda si sia resa conto che l’oggetto del processo deve essere gestito. Tuttavia, invece di processi standardizzati vi sono approcci ad hoc che tendono ad essere applicati singolarmente o caso per caso. L’approccio generale alla gestione è disorganizzato.
Iniziale1.
I processi sono sviluppati al punto che persone diverse impegnate nello stesso lavoro adottano procedure simili. Non vi è addestramento formalizzato nécomunicazione di procedure standard e la responsabilità è lasciata al singolo. Vi èelevato affidamento sulle competenze dei singoli e pertanto errori sono probabili.
Ripetibile2.
Le procedure sono state standardizzate, documentate, e comunicate mediante addestramento. E’ comunque lasciata al singolo la responsabilità di aderire a tali procedure, ed è improbabile che le non conformità siano rilevate. Le procedure stesse non sono sofisticate ma consistono nella formalizzazione di prassi esistenti.
Definito3.
E’ possibile monitorare e misurare la conformità alle procedure ed effettuare azioni correttive dove i processi non appaiono funzionare efficacemente. I processi sono soggetti a costante miglioramento e forniscono pratiche di buona gestione. Automazione e strumenti sono usati in modo limitato o frammentario.
Gestito4.
I processi sono stati portati ad un livello di pratiche ottimali, basate sul risultato di continui miglioramenti e sul modello di maturità (confrontato) con altre aziende. L’IT è utilizzata in modo integrato per automatizzare il flusso di lavoro, fornendo strumenti per migliorare la qualità e l’efficacia, e rendendo l’impresa rapida negli adattamenti .
Ottimizzato5.
Page 12 of 40
Utilizzo del Maturity Model
Nonesistente
0
1
2
3
4
5
Iniziale
Ripetibile
Definito
Gestito
Ottimizzato
Standard/Guidelines
Benchmarking
Strategy
Assessment Dovesono
Dovedovreiessere
Dovesono i
migliori
Dovevoglioandare• Posizionare l’azienda
• Confrontare il proprio posizionamento rispetto a standard, guidelines, mercato (posiziona-mento dei competitor)
• Scegliendo il posizionamento futuro determinare gli interventi correttivi
Con il Maturity Model posso:
Page 13 of 40
Quale Maturity Model?
PO1 Piano strat. per l’IT
PO2 Architettura del S.I.
PO3 Orientamento tecnol.
PO4 Org. e relaz. dell’IT
PO5 Gestire gli investimenti IT
PO6 Obiett. e indir. mgmt
PO7 Gestire le risorse umane
PO8 Conformità alle norme
PO9 Valutare i rischi
PO10 Gestire i progetti
PO11 Gestire la qualità
Pianificazionee
Organizzazione
AI1 Identificare le soluzioni IT
AI2 Acquis. e manut. del sw
AI3 Acquis. e manut. infrastr.
AI4 Svil. e manut. procedure IT
AI5 Installazione e test
AI6 Gestire le modifiche
Acquisizionee
Sviluppo
DS1 Definire i livelli di servizio
DS2 Gestire servizi da terzi
DS3 Gestire prestaz. e volumi
DS4 Garant. la continuità
DS5 Garant. la sicurezza
DS6 Contabilizzare i costi
DS7 Istruz. ed addestr. utenti
DS8 Assist. e consul. ai clienti
DS9 Gestire la configurazione
DS10 Gestire le anomalie
DS11 Gestire i dati
DS12 Gestire le apparecc.
DS13 Gestire il sett. operativo
Rilascioe
Supporto
M1 Monitorare i processi
M2 Valut. adeg. del C. I.
M3 Ottenere cert. indip.
M4 Effettuare rev. indip.
Monitoraggio
Ad ogni processo il suo Maturity Model…
Page 14 of 40
Maturity Model e Requisiti
• Le Management Guidelines “descrivono” per ciascuno processo i sei livelli di maturità da 0 a 5
• Le descrizioni dei livelli di maturità possono essere lette come “Elenco dei requisiti” per essere valutati conformi ad un determinato livello di maturità
Page 15 of 40
PO10 – Gestire i Progetti
0 (Non esistente)Non vengono utilizzate tecniche di Project Management e l’organizzazione non considera gli impatti sul business derivanti dalle gestioni carenti dei progetti e dagli insuccessi nelle attività di sviluppo.
Page 16 of 40
PO10 – Gestire i Progetti
0 (Non esistente) - Vista per requisiti
1. Non vengono utilizzate tecniche di Project Management
2. L’organizzazione non considera gli impatti sul business derivanti dalle gestioni carenti dei progetti e dagli insuccessi nelle attività di sviluppo
Page 17 of 40
PO10 – Gestire i Progetti
1 (Iniziale – ad hoc)L’organizzazione è generalmente consapevole della necessità che i progetti siano strutturati ed è consapevole dei rischi dei progetti gestiti in modo carente. La scelta di utilizzare o meno tecniche ed approcci di project management all’interno dell’IT èlasciata alla responsabilità dei singoli manager IT. I progetti sono in genere definiti in modo sommario e non includono gli obiettivi di business e tecnici dell'azienda o degli interessati aziendali al progetto. Sono generalmente carenti il coinvolgimento della Direzione e la definizione delle responsabilità per i singoli progetti (project ownership) e vengono prese decisioni critiche anche in assenza di indicazioni da parte delle Direzioni utente o dei clienti. Il coinvolgimento degli utenti nella definizione dei progetti è carente o assente. I progetti IT non sono organizzati in modo chiaro ed i ruoli e le responsabilità non sono definiti. La pianificazione delle attività e le scadenze critiche sono definite in modo sommario. Tempi e spese del personale di progetto non sono registrati e confrontati con i preventivi.
Page 18 of 40
PO10 – Gestire i Progetti
1 (Iniziale – ad hoc) - Vista per requisiti
1. L’organizzazione è generalmente consapevole della necessità che i progetti siano strutturati ed è consapevole dei rischi dei progetti gestiti in modo carente
2. La scelta di utilizzare o meno tecniche ed approcci di project management all’interno dell’IT è lasciata alla responsabilità dei singoli manager IT
3. I progetti sono in genere definiti in modo sommario e non includono gli obiettivi di business e tecnici dell'azienda o degli interessati aziendali al progetto
4. Sono generalmente carenti il coinvolgimento della Direzione e la definizione delle responsabilità per i singoli progetti (project ownership)
5. Vengono prese decisioni critiche anche in assenza di indicazioni da parte delle Direzioni utente o dei clienti
6. Il coinvolgimento degli utenti nella definizione dei progetti è carente o assente
7. I progetti IT non sono organizzati in modo chiaro ed i ruoli e le responsabilità non sono definiti
8. La pianificazione delle attività e le scadenze critiche sono definite in modo sommario
9. Tempi e spese del personale di progetto non sono registrati e confrontati con i preventivi
Page 19 of 40
PO10 – Gestire i Progetti
2 (Ripetibile)La Direzione ha maturato la consapevolezza e comunicato il bisogno di una gestione di progetto per l’IT. L’organizzazione è nella fase di apprendimento e di riutilizzo di alcune tecniche e metodi da progetto a progetto. Gli obiettivi di business e tecnologici dei progetti IT sono definiti in modo informale. I soggetti interessati sono coinvolti nella gestione dei progetti IT in modo limitato. Alcune linee guida sono state sviluppate per molti aspetti del Project Management, ma la loro applicazione è lasciata alla discrezione dei singoli responsabili di progetto.
Page 20 of 40
PO10 – Gestire i Progetti
2 (Ripetibile) - Vista per requisiti
1. La Direzione ha maturato la consapevolezza e comunicato il bisogno di una gestione di progetto per l’IT
2. L’organizzazione è nella fase di apprendimento e di riutilizzo di alcune tecniche e metodi da progetto a progetto
3. Gli obiettivi di business e tecnologici dei progetti IT sono definiti in modo informale
4. I soggetti interessati sono coinvolti nella gestione dei progetti IT in modo limitato
5. Alcune linee guida sono state sviluppate per molti aspetti del Project Management, ma la loro applicazione è lasciata alla discrezione dei singoli responsabili di progetto
Page 21 of 40
PO10 – Gestire i Progetti
3 (Definito)Il processo e la metodologia per la gestione di progetto sono stati formalizzati e comunicati. La definizione dei progetti comprende la dichiarazione degli obiettivi di business e tecnologici. Le funzioni utente partecipano alla definizione e alla conduzione dei progetti. L'organizzazione di progetto e le relative linee di riporto sono definite. Nell'ambito della organizzazione di progetto taluni ruoli e le relative responsabilità sono formalizzati. Il piano di progetto prevede un'adeguata pianificazione in termini di tempi e risorse e sono definite opportune milestone da monitorare. Il monitoraggio di progetto si basa anche su tecniche di misurazione delle prestazioni. I progetti IT prevedono procedure formalizzate per le fasi post-implementazione. Viene erogata formazione sulla conduzione di progetto in modo informale. Sono state definite e vengono talvolta applicate procedure per il monitoraggio della qualità e attività post-implementazione. Sono definiti i criteri per il bilanciamento fra risorse del cliente e risorse del fornitore.
Page 22 of 40
PO10 – Gestire i Progetti
3 (Definito) - Vista per requisiti
1. Il processo e la metodologia per la gestione di progetto sono stati formalizzati e comunicati.
2. La definizione dei progetti comprende la dichiarazione degli obiettivi di business e tecnologici.
3. Le funzioni utente partecipano alla definizione e alla conduzione dei progetti.
4. L'organizzazione di progetto e le relative linee di riporto sono definite.
5. Nell'ambito della organizzazione di progetto taluni ruoli e le relative responsabilità sono formalizzati.
6. Il piano di progetto prevede un'adeguata pianificazione in termini di tempi e risorse e sono definite opportune milestone da monitorare.
7. Il monitoraggio di progetto si basa anche su tecniche di misurazione delle prestazioni.
8. I progetti IT prevedono procedure formalizzate per le fasi post-implementazione.
9. Viene erogata formazione sulla conduzione di progetto in modo informale.
10. Sono state definite e vengono talvolta applicate procedure per il monitoraggio della qualità e attività post-implementazione.
11. Sono definiti i criteri per il bilanciamento fra risorse del cliente e risorse del fornitore.
Page 23 of 40
PO10 – Gestire i Progetti
4 (Gestito)La Direzione richiede l'utilizzo di metriche formalizzate per il monitoraggio dei progetti. Alla fine dei progetti vi è una revisione documentata delle "lessons learned". I soggetti aziendali interessati partecipano attivamente ai progetti o li guidano. Le variazioni alla metodologia per la gestione di progetto sono documentate e comunicate. Il personale di progetto riceve formazione su tutti i miglioramenti alla metodologia. La metodologia per la gestione di progetto comprende la gestione del rischio. Il progetto viene seguito in modo attivo o guidato dai principali responsabili della funzione IT e delle funzioni utente interessate. Per ciascuna milestone di progetto sono documentati i criteri sulla base dei quali dichiarare raggiunti in modo totale o parziale gli obiettivi della milestone stessa. Viene calcolato il valore creato dal progetto e tale valore viene comparato al rischio corso e generato dal progetto (comparazione rischio/valore). Il coordinamento fra diversi progetti è affidato ad una specifica funzione di gestione di programma (portafoglio progetti).
Page 24 of 40
PO10 – Gestire i Progetti
4 (Gestito) - Vista per requisiti
1. La Direzione richiede l'utilizzo di metriche formalizzate per il monitoraggio dei progetti.
2. Al termine dei progetti vi è una revisione documentata delle "lessons learned".
3. I soggetti aziendali interessati partecipano attivamente ai progetti o li guidano.
4. Le variazioni alla metodologia per la gestione di progetto sono documentate e comunicate.
5. Il personale di progetto riceve formazione su tutti i miglioramenti alla metodologia.
6. La metodologia per la gestione di progetto comprende la gestione del rischio.
7. Il progetto viene seguito in modo attivo o guidato dai principali responsabili della funzione IT e delle funzioni utente interessate.
8. Per ciascuna milestone di progetto sono documentati i criteri sulla base dei quali dichiarare raggiunti in modo totale o parziale gli obiettivi della milestone stessa.
9. Viene calcolato il valore creato dal progetto e tale valore viene comparato al rischio corso e generato dal progetto (comparazione rischio/valore).
10. Il coordinamento fra diversi progetti è affidato ad una specifica funzione di gestione di programma (portafoglio progetti).
Page 25 of 40
PO10 – Gestire i Progetti
5 (Ottimizzato)Una metodologia di Project Management di provata efficacia per l’intero ciclo di vita dei progetti è integrata nella cultura dell’intera organizzazione. Una metodologia di Project Management di provata efficacia per l’intero ciclo di vita dei progetti è utilizzata e fatta utilizzare. È stata avviata un’attività volta ad identificare nel continuo ed integrare nelle pratiche aziendale le migliori pratiche di mercato. C’è un forte ed attivo supporto ai progetti da parte delle direzioni sponsor. C’è un forte ed attivo supporto ai progetti da parte dei diversi soggetti aziendali interessati al progetto. La direzione IT ha implementato una struttura di organizzazione dei progetti con regole documentate, responsabilità e criteri di valutazione del personale coinvolto. E’ stata definita una strategia di lungo periodo per le risorse IT a supporto dello sviluppo e delle decisioni operative sulle iniziative di esternalizzazione (outsourcing). Un ufficio integrato per la gestione di programma è responsabile dei progetti dal loro principio fino alla post-implementazione. L’ufficio per la gestione di programma è alle dipendenze delle direzioni di business e richiede e indirizza le risorse IT al completamento dei progetti. La pianificazione dei progetti per l’intera organizzazione assicura che gli utenti e le risorse IT sono utilizzate al meglio per il sostegno delle iniziative strategiche.
Page 26 of 40
PO10 – Gestire i Progetti
5 (Ottimizzato) - Vista per requisiti
1. Una metodologia di Project Management di provata efficacia per l’intero ciclo di vita dei progetti è integrata nella cultura dell’intera organizzazione.
2. Una metodologia di Project Management di provata efficacia per l’intero ciclo di vita dei progetti è utilizzata e fatta utilizzare.
3. È stata avviata un’attività volta ad identificare nel continuo ed integrare nelle pratiche aziendale le migliori pratiche di mercato.
4. C’è un forte ed attivo supporto ai progetti sia da parte delle direzioni sponsor.
5. C’è un forte ed attivo supporto ai progetti sia da parte dei diversi soggetti aziendali interessati al progetto.
6. La direzione IT ha implementato una struttura di organizzazione dei progetti con regole documentate, responsabilità e criteri di valutazione del personale coinvolto.
7. E’ stata definita una strategia di lungo periodo per le risorse IT a supporto dello sviluppo e delle decisioni operative sulle iniziative di esternalizzazione (outsourcing).
8. Un ufficio integrato per la gestione di programma è responsabile dei progetti dal loro principio fino alla post-implementazione.
9. L’ufficio per la gestione di programma è alle dipendenze delle direzioni di business e richiede e indirizza le risorse IT al completamento dei progetti.
10. La pianificazione dei progetti per l’intera organizzazione assicura che gli utenti e le risorse IT sono utilizzate al meglio per il sostegno delle iniziative strategiche.
Page 27 of 40
Come determinare il livello di maturità
Sulla base dei requisiti…
Nonesistente
0
1
2
3
4
5
Iniziale
Ripetibile
Definito
Gestito
Ottimizzato
Req. 1 Req. 2 … Req. n0
Req. 1 Req. 2 … Req. n1
Req. 1 Req. 2 … Req. n2
Req. 1 Req. 2 … Req. n3
Req. 1 Req. 2 … Req. n4
Req. 1 Req. 2 … Req. n5
Page 28 of 40
Matrice dei requisiti – Versione “iniziale”
L’organizzazione non considera gli impatti sul business derivanti dalle gestioni carenti dei progetti e dagli insuccessi nelle attività di sviluppo
Non vengono utilizzate tecniche di Project Management
Inesistente0.
Tempi e spese del personale di progetto non sono registrati e confrontati con i preventivi
La pianificazione delle attività e le scadenze critiche sono definite in modo sommario
I progetti IT non sono organizzati in modo chiaro ed i ruoli e le responsabilità non sono definiti
Il coinvolgimento degli utenti nella definizione dei progetti è carente o assente
Vengono prese decisioni critiche anche in assenza di indicazioni da parte delle Direzioni utente o dei clienti
Sono generalmente carenti il coinvolgimento della Direzione e la definizione delle responsabilità per i singoli progetti (project ownership)
I progetti sono in genere definiti in modo sommario e non includono gli obiettivi di business e tecnici dell'azienda o degli interessati aziendali al progetto
La scelta di utilizzare o meno tecniche ed approcci di project management all’interno dell’IT èlasciata alla responsabilità dei singoli manager IT
L’organizzazione èconsapevole dei rischi dei progetti gestiti in modo carente
L’organizzazione ègeneralmente consapevole della necessità che i progetti siano strutturati
Iniziale1.
Alcune linee guida sono state sviluppate per molti aspetti del Project Management, ma la loro applicazione è lasciata alla discrezione dei singoli responsabili di progetto
I soggetti interessati sono coinvolti nella gestione dei progetti IT in modo limitato
Gli obiettivi di business e tecnologici dei progetti IT sono definiti in modo informale
L’organizzazione ènella fase di apprendimento e di riutilizzo di alcune tecniche e metodi da progetto a progetto
La Direzione ha maturato la consapevolezza e comunicato il bisogno di una gestione di progetto per l’IT
Ripetibile2.
Sono definiti i criteri per il bilanciamento fra risorse del cliente e risorse del fornitore.
Vengono talvolta applicate procedure per il monitoraggio della qualità.
Viene talvolta erogata formazione sulla conduzione di progetto.
I progetti IT prevedono procedure formalizzate per le fasi post-implementazione.
Il monitoraggio di progetto si basa anche su tecniche di misurazione quantitativa delle prestazioni.
Il piano di progetto prevede un'adeguata pianificazione in termini di tempi e risorse e sono definite opportune milestone da monitorare.
Nell'ambito della organizzazione di progetto taluni ruoli e le relative responsabilità sono formalizzati.
L'organizzazione di progetto e le relative linee di riporto sono definite.
Le funzioni utente partecipano alla definizione e alla conduzione dei progetti.
La definizione dei progetti comprende la dichiarazione degli obiettivi di business e tecnologici.
Il processo e la metodologia per la gestione di progetto sono stati formalizzati e comunicati.
Definito3.
R11R10R9R8R7R6R5R4R3R2R1
Il coordinamento fra diversi progetti è affidato ad una specifica funzione di gestione di programma (portafoglio progetti).
Viene calcolato il valore creato dal progetto e tale valore viene comparato al rischio corso e generato dal progetto (comparazione rischio/valore).
Per ciascuna milestone di progetto sono documentati i criteri sulla base dei quali dichiarare raggiunti in modo totale o parziale gli obiettivi della milestone stessa.
Il progetto viene seguito in modo attivo o guidato dai principali responsabili della funzione IT e delle funzioni utente interessate.
La metodologia per la gestione di progetto comprende la gestione del rischio.
Le variazioni alla metodologia per la gestione di progetto sono documentate e comunicate.
La gestione di progetto coinvolge tutta l'organizzazione interessata e non solo il personale IT.
Al termine dei progetti vi è una revisione documentata delle "lessons learned".
La gestione di progetto è basata su metodologie consolidate e metriche formalizzate per il monitoraggio dell'andamento del progetto.
Gestito4.
La pianificazione dei progetti per l’intera organizzazione assicura che gli utenti e le risorse IT sono utilizzate al meglio per il sostegno delle iniziative strategiche.
L’ufficio per la gestione di programma è alle dipendenze delle direzioni di business e richiede e indirizza le risorse IT al completamento dei progetti.
Un ufficio integrato per la gestione di programma èresponsabile dei progetti dal loro principio fino alla post-implementazione.
E’ stata definita una strategia di lungo periodo per le risorse IT a supporto dello sviluppo e delle decisioni operative sulle iniziative di esternalizzazione (outsourcing).
La direzione IT ha implementato una struttura di organizzazione dei progetti con regole documentate, responsabilità e criteri di valutazione del personale coinvolto.
C’è un forte ed attivo supporto ai progetti sia da parte delle direzioni sponsor sia da parte dei diversi soggetti aziendali interessati.
È stata avviata un’attività volta ad identificare nel continuo ed integrare nelle pratiche aziendale le migliori pratiche di mercato.
Una metodologia di Project Management di provata efficacia per l’intero ciclo di vita dei progetti èutilizzata e fatta utilizzare, ed èintegrata nella cultura dell’intera organizzazione.
Ottimizzato5.
Conformità pienaal livello 2
Conformitàparziale al liv. 3
Page 29 of 40
Si può migliorare
Raggruppando i requisiti in categorie si arriva ad una rappresentazione efficace:
• come strumento di misurazione
• come strumento di comunicazione
• come strumento di decisione
• come strumento di individuazione degli interventi
Page 30 of 40
Partendo dalle Management Guidelines
• Comprensione e Consapevolezza(Conoscenza e consapevolezza dei rischi e dei problemi di controllo)
• Formazione e Comunicazione
• Pratiche e Processi(Metodi e pratiche posti in essere)
• Automazione e Strumenti(Tecniche e strumenti adottati per rendere i processi più efficaci ed efficienti)
• Conformità(Nell’accezione dei sistemi di qualità)
• Competenze(Disponibilità ed utilizzo di competenze specialistiche)
Le Management Guidelines suggeriscono che i Modelli di Maturitàsono costruiti definendo requisiti incrementali di livello in livello (via via più stringenti), prassi e principi delle seguenti categorie, in modo coerente con il modello generico. Le categorie sono:
Page 31 of 40
Modello incrementale generico
Comprensione e consapevolezza
Formazione e Comunicazione
Pratiche e Processi
Automazionee Strumenti
Conformità Competenze
1 Identificazione Comunicazione sporadica sui problemi
Approccio ad hoc a processo e prassi
2 Consapevolezza Comunicazione sul problema generale e le necessità
Emerge un processo similare/comune, ma intuitivo
Appaiono strumenti comuni
Monitoraggio incoerente su problemi isolati
3 Comprensione della necessità di agire
Addestramento informale che supporta iniziative individuali
Le prassi sono definite, standardizzate e documentate; inizia la condivisione delle migliori prassi
La strumentazione èstandardizzata; le pratiche attualmente disponibili sono usate e fatte applicare
Monitoraggio incoerente; emerge la misurazione; occasionalmente adottata la balanced scorecard; l’analisi delle cause prime èintuitiva
Coinvolgimento degli specialisti IT nei processi aziendali
4 Comprensione piena dei requisiti
Addestramento formale che supporta un programma gestito
La proprietà dei processi e le responsabilità sono assegnate; il processo è solido e completo; le migliori prassi interne sono applicate
Sono usate tecniche mature; sono rafforzati strumenti standard; limitato uso tattico della tecnologia
Le balanced scorecard sono usate in alcune aree; le anomalie sono annotate; l’analisi delle cause primarie èstandardizzata
Coinvolgimento di tutti gli esperti interni del settore
5 Comprensione avanzata, che guarda al futuro
Addestramento e comunicazione che supportano le migliori prassi esterne e usano concetti avanzati
Sono applicate le migliori prassi esterne
Sono impiegate tecniche sofisticate; uso estensivo ed ottimizzato della tecnologia
Balanced scorecard applicate globalmente; le anomalie sono coerentemente registrate e contrastate; l’analisi delle cause primarie è sempre applicata
Utilizzo di esperti esterni e di leader di settore come guida
Page 32 of 40
Utilizzo del modello incrementale generico(Guldentops – IS Control Journal 4/03)
Comprensione e consapevolezza
Formazione e Comunicazione
Pratiche e Processi
Automazionee Strumenti
Conformità Competenze
1 Identificazione Comunicazione sporadica sui problemi
Approccio ad hoc a processo e prassi
2 Consapevolezza Comunicazione sul problema generale e le necessità
Emerge un processo similare/comune, ma intuitivo
Appaiono strumenti comuni
Monitoraggio incoerente su problemi isolati
3 Comprensione della necessità di agire
Addestramento informale che supporta iniziative individuali
Le prassi sono definite, standardizzate e documentate; inizia la condivisione delle migliori prassi
La strumentazione èstandardizzata; le pratiche attualmente disponibili sono usate e fatte applicare
Monitoraggio incoerente; emerge la misurazione; occasionalmente adottata la balanced scorecard; l’analisi delle cause prime èintuitiva
Coinvolgimento degli specialisti IT nei processi aziendali
4 Comprensione piena dei requisiti
Addestramento formale che supporta un programma gestito
La proprietà dei processi e le responsabilità sono assegnate; il processo è solido e completo; le migliori prassi interne sono applicate
Sono usate tecniche mature; sono rafforzati strumenti standard; limitato uso tattico della tecnologia
Le balanced scorecard sono usate in alcune aree; le anomalie sono annotate; l’analisi delle cause primarie èstandardizzata
Coinvolgimento di tutti gli esperti interni del settore
5 Comprensione avanzata, che guarda al futuro
Addestramento e comunicazione che supportano le migliori prassi esterne e usano concetti avanzati
Sono applicate le migliori prassi esterne
Sono impiegate tecniche sofisticate; uso estensivo ed ottimizzato della tecnologia
Balanced scorecard applicate globalmente; le anomalie sono coerentemente registrate e contrastate; l’analisi delle cause primarie è sempre applicata
Utilizzo di esperti esterni e di leader di settore come guida
Page 33 of 40
Obiettivo: matrice livelli/categorieper modello specifico di processo
Inesistente0.
Iniziale1.
Ripetibile2.
Definito3.
Gestito4.
Ottimizzato5.
Categoria n…Categoria 3Categoria 2Categoria 1
In matrice andiamo a inserire, all’incrocio fra livello e
categoria, i requisiti previsti dal Maturity Model specifico
di processo
Page 34 of 40
Risultato: lo strumentodi misurazione ed analisi
xxxxxxxxxxxxxxxxxxxxxxxxxxxx
Inesistente0.
xxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxx
Iniziale1.
xxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxx
Ripetibile2.
xxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxx
Definito3.
xxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxx
Gestito4.
xxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxx
Ottimizzato5.
Categoria n…Categoria 2Categoria 1
Livello diMaturità
Page 35 of 40
Esempio di risultatoLev.Lev.Lev.
Training & Communication (includdingUnderstanding and Awareness)
Training & Communication (includdingUnderstanding and Awareness)
Training & Communication (includdingUnderstanding and Awareness)
Methodology(Process and Practices)
Methodology(Process and Practices)
Methodology(Process and Practices)
Project Organization(Process and Practices)Project Organization
(Process and Practices)Project Organization
(Process and Practices)Monitoring and
Control(Compliance)
Monitoring and Control
(Compliance)
Monitoring and Control
(Compliance)
Mgmt Support and Stakeholders Involv.
(Process and Practices)
Mgmt Support and Stakeholders Involv.
(Process and Practices)
Mgmt Support and Stakeholders Involv.
(Process and Practices)
Planning(Process and Practices)
Planning(Process and Practices)
Planning(Process and Practices)
Program Office(Process and Practices)
Program Office(Process and Practices)
Program Office(Process and Practices)
Resources(Expertise)Resources(Expertise)Resources(Expertise)
55 A proven, full life-cycle project methodology is integrated into the culture of the entire organisation.
A proven, full life-cycle project methodology is integrated into the culture of the entire organisation.
A proven, full life-cycle project methodology is implemented and enforced.
An on-going programme to identify and institutionalisebest practices has been implemented.
A proven, full life-cycle project methodology is implemented and enforced.
An on-going programme to identify and institutionalisebest practices has been implemented.
IT management has implemented a projectorganisation structure with documented roles, responsibilities and staff performance criteria.
IT management has implemented a projectorganisation structure with documented roles, responsibilities and staff performance criteria.
There is strong and active project support from senior management sponsors.
There is strong and active project support from stakeholders.
There is strong and active project support from senior management sponsors.
There is strong and active project support from stakeholders.
Organisation-wide planning of projects ensures that user and IT resources are bestutilised to support strategic initiatives.
Organisation-wide planning of projects ensures that user and IT resources are bestutilised to support strategic initiatives.
An integrated programmemanagement office is responsible for projects from inception to post implementation.
The programme management office is under the management of the business units and requisitions and directs IT resources to complete projects.
An integrated programmemanagement office is responsible for projects from inception to post implementation.
The programme management office is under the management of the business units and requisitions and directs IT resources to complete projects.
A long-term IT resources strategy is defined to support development and operational outsourcing decisions.
A long-term IT resources strategy is defined to support development and operational outsourcing decisions.
44 Enhancements to the project management process areformalised and communicated.
Project team members are trained on all enhancements.
Enhancements to the project management process areformalised and communicated.
Project team members are trained on all enhancements.
Management requires “lessons learned” to be reviewed following project completion.
Risk management is performed as part of the project management process.
Management requires “lessons learned” to be reviewed following project completion.
Risk management is performed as part of the project management process.
Management requires formal and standardised project metrics.
Value and risk are measured and managed prior to, during and after the completion of projects.
Project management is measured and evaluated throughout the organisationand not just within IT.
Project milestones, as well as the criteria for evaluating success at each milestone, have been established.
Management requires formal and standardised project metrics.
Value and risk are measured and managed prior to, during and after the completion of projects.
Project management is measured and evaluated throughout the organisationand not just within IT.
Project milestones, as well as the criteria for evaluating success at each milestone, have been established.
Stakeholders actively participate in the projects or lead them.
Stakeholders actively participate in the projects or lead them.
Projects are defined, staffed and managed to increasingly address organisation goals, rather than only IT specific ones.
Projects are defined, staffed and managed to increasingly address organisation goals, rather than only IT specific ones.
Management has established a programme management function within IT.
Management has established a programme management function within IT.
33 The IT project management process and methodology have been formally established and communicated.
Informal project management training is provided.
The IT project management process and methodology have been formally established and communicated.
Informal project management training is provided.
IT projects have formal post system implementation procedures.
Quality assurance procedures and post system implementation activities have been defined, but are not broadly applied by IT managers.
IT projects have formal post system implementation procedures.
Quality assurance procedures and post system implementation activities have been defined, but are not broadly applied by IT managers.
The IT project organisationand some roles and responsibilities are defined.
The IT project organisationand some roles and responsibilities are defined.
IT projects have defined and updated milestones, schedules, budget and performance measurements.
IT projects have defined and updated milestones, schedules, budget and performance measurements.
Stakeholders are involved in the management of IT projects.
Stakeholders are involved in the management of IT projects.
IT projects are defined with appropriate business and technical objectives.
IT projects are defined with appropriate business and technical objectives.
Policies for using a balance of internal and external resources are being defined.
Policies for using a balance of internal and external resources are being defined.
22 Senior management has gained and communicated an awareness of the need for IT project management.
Senior management has gained and communicated an awareness of the need for IT project management.
Some guidelines have been developed for most aspects of project management, but their application is left to the discretion of the individual project manager.
The organisation is in the process of learning and repeating certain techniques and methods from project to project.
Some guidelines have been developed for most aspects of project management, but their application is left to the discretion of the individual project manager.
The organisation is in the process of learning and repeating certain techniques and methods from project to project.
There is limited stakeholder involvement in IT project management.
There is limited stakeholder involvement in IT project management.
IT projects have informally defined business and technical objectives.
IT projects have informally defined business and technical objectives.
11 The organisation is generally aware of the need for projects to be structured and is aware of the risks of poorly managed projects.
The organisation is generally aware of the need for projects to be structured and is aware of the risks of poorly managed projects.
The use of project management techniques and approaches within IT is a decision left to individual IT managers.
The use of project management techniques and approaches within IT is a decision left to individual IT managers.
There is no clear organisationwithin IT projects and roles and responsibilities are not defined.
There is no clear organisationwithin IT projects and roles and responsibilities are not defined.
Project schedules and milestones are poorly defined.
Project staff time and expenses are not tracked and compared to budgets.
Project schedules and milestones are poorly defined.
Project staff time and expenses are not tracked and compared to budgets.
There is a general lack of management commitment and project ownership and critical decisions are made without user management or customer input.
There is little or no customer and user involvement in defining IT projects.
There is a general lack of management commitment and project ownership and critical decisions are made without user management or customer input.
There is little or no customer and user involvement in defining IT projects.
Projects are generally poorly defined and do not incorporate business and technical objectives of theorganisation or the business stakeholders.
Projects are generally poorly defined and do not incorporate business and technical objectives of theorganisation or the business stakeholders.
Legend:
Benchmark Isaca 2001
Measured Maturity Level
Page 36 of 40
Esercitazione
• Esercitazione suDS01 - Gestire i Livelli di ServizioPO10 – Gestire i Progetti
• EsercitazioneEsame dei requisitiIndividuazione delle categorie di requisitiRealizzazione della matrice di misurazione
• Gruppi di lavoro di 4 persone
• MaterialeFogli A3PennaRequisiti pre-stampatiColla da ufficio
Page 37 of 40
Confronto dei risultati
• I diversi gruppi presentano l’elenco delle categorie individuate e il risultato in termini di Matrice dei requisiti
Page 38 of 40
Esercitazione
Misurazione del Maturity Model
MaterialeMatrice dei requisiti uguale per tutti i gruppiBreve racconto a illustrazione dello scenario
Page 39 of 40
Confronto dei risultati
• I diversi Gruppi di Lavoro presentano il risultato della misurazione del Maturity Model
• Discussione delle differenze
Page 40 of 40
Riferimenti
Andrea Pederivac/o DeloitteP.zza S. Vito, 3731100 – Treviso
Ufficio: +39 0422 5875Mobile: +39 335 7376925
Email: apederiva@deloitte.it
This document was created with Win2PDF available at http://www.daneprairie.com.The unregistered version of Win2PDF is for evaluation or non-commercial use only.
top related