Sistema di Controllo Interno e Governo dei Sistemi Informativi

Verso il
GOVERNO
dei SISTEMI INFORMATIVI
Sistema di Controllo
Interno e Governo dei
Sistemi Informativi
Diego Monteleone
Padova, 29 maggio 2014
L’evoluzione di COBIT - D. Monteleone
29.5.2014 - Padova - ISACA VENICE Chapter
1
Sistema di Controllo
Interno e Governo dei
Sistemi Informativi
COBIT 5 e CobiT 4.1
Evoluzione di framework
e di esigenze aziendali
L’evoluzione di COBIT - D. Monteleone
29.5.2014 - Padova - ISACA VENICE Chapter
2
Verso il GOVERNO dei SISTEMI INFORMATIVI
Sponsor e
sostenitori di
ISACA VENICE
Chapter
Con il
patrocinio di
L’evoluzione di COBIT - D. Monteleone
29.5.2014 - Padova - ISACA VENICE Chapter
3
ABSTRACT
La nuova versione del framework COBIT ha evidenziato una evoluzione
in termini di struttura e di intenti. Il presente intervento si pone come
obiettivo quello di comprendere le esigenze che hanno imposto il
cambiamento e le possibili implicazioni per i soggetti interessati
all’ambito dell’IS Governance. Alcune domande che vorremmo
indirizzare sono pertanto:
 quali sono le esigenze legate all’emissione di una nuova versione del
framework?
 qual è la necessità sottostante il nuovo approccio basato sulle
Management Practice?
 che esigenze hanno le aziende in termini di governo e gestione
dell’IT?
L’evoluzione di COBIT - D. Monteleone
29.5.2014 - Padova - ISACA VENICE Chapter
4
Agenda
 Sistema di Controllo Interno
 Alcuni riferimenti normativi
 CobiT 4.1
 COBIT 5
 Governo e Gestione dell’Enterprise IT
 L'approccio KPMG
 Conclusioni
 Referenze
L’evoluzione di COBIT - D. Monteleone
29.5.2014 - Padova - ISACA VENICE Chapter
5
Sistema di Controllo Interno
Definizione ed obiettivi
 ll Sistema di Controllo Interno e Gestione dei Rischi (di seguito "SCIGR") […] è l’insieme di strumenti, strutture organizzative, norme e
regole aziendali volte a consentire una conduzione dell’impresa sana, corretta e coerente con gli obiettivi aziendali definiti dal Consiglio
di Amministrazione, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, così
come attraverso la strutturazione di adeguati flussi informativi volti a garantire la circolazione delle informazioni (1).
 Il sistema di controllo interno e di gestione dei rischi è l’insieme delle regole, delle procedure e delle strutture organizzative volte a
consentire l’identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi (2).
 Intern control is a process, effected by an entity’s board of directors, management, and other personnel, designed to provide reasonable
assurance regarding the achievement of objectives relating to operations, reporting, and compliance (3).
 Un sistema di controllo interno (SCI) ha come obiettivo e priorità il governo dell’azienda attraverso l’individuazione, valutazione,
monitoraggio, misurazione e mitigazione/gestione di tutti i rischi d'impresa, coerentemente con il livello di rischio scelto/accettato dal
vertice aziendale (4).
Genesi ed evoluzione
 I sistemi di controllo interno delle società spesso nascono da esigenze di adeguamento normativo
 Al fine di dimostrarsi efficaci, i sistemi di controllo interno delle società necessitano di aggiornamenti costanti
 Considerati i costi di gestione di un sistema di controllo interno (efficace), l’approccio non può essere relegato alla semplice
componenete di compliance ma deve necessariamente essere finalizzato (almeno per le Società che vogliono avere vantaggi competitivi
anche in ambito IT) al raggiungimento di valore.
L’evoluzione di COBIT - D. Monteleone
29.5.2014 - Padova - ISACA VENICE Chapter
6
Alcuni riferimenti normativi
Sarbanes-Oxley Act (SOX) (5)
 Nell’aprile 2004, l’IT Governance Institute ha pubblicato “Obiettivi di Controllo IT per il Sarbanes-Oxley Act” per
aiutare le aziende a valutare ed a migliorare il loro sistema di controllo interno.
 I quattro principali ‘ambiti’ di controllo IT da considerare per rispondere alle esigenze di adeguamento normativo
previste dal Sarbanes-Oxley Act sono: sviluppo dei programmi, gestione delle modifiche, attività operative, accesso
a dati e programmi. In conseguenza di quest'ultimo sono stati definiti complessivamente 12 obiettivi di controllo IT
aderenti ai controlli generali IT identificati dal PCAOB Auditing Standard n. 2 ed ai processi del COBIT.
Legge 262/2005 (6)
 Con l’introduzione della Legge 28 dicembre 2005 n. 262 in materia di “Disposizioni per la tutela del risparmio e la
disciplina dei mercati finanziari”, entrata in vigore il 12 gennaio 2006, è stato disposto un rafforzamento della
responsabilità delle aziende e della tutela del risparmio investito in strumenti finanziari.
 Relativamente alla componente IT, la Legge 262/2005 non fornisce indicazioni puntuali sulle modalità con le quali
effettuare la valutazione del sistema dei controlli in ambito IT. Di conseguenza l’insieme dei controlli definiti dalla
metodologia COBIT (Control Objectives for Information and related Technology pubblicato dall’IT Governance
Institute) si pone come punto di riferimento certo per colmare questo gap.
Codice autodisciplina (7)
 Nel dicembre del 2011 è stato pubblicato il nuovo testo revisionato del Codice per la corporate governance delle
società quotate italiane elaborato, in linea di continuità con quanto avvenne nel 1999, da un “Comitato per la
Corporate Governance”, ossia da un soggetto dalla natura composita costituito da rappresentanti di Borsa Italiana e
delle Associazioni di categoria delle imprese bancarie, assicurative e industriali e degli investitori istituzionali.
 Tale codice di autodisciplina fornisce indicazioni su tematiche di “Sistema di Controllo Interno e di Gestione dei
Rischi” senza tuttavia approfondire tale aspetto in merito all’Information Technology. Per tale motivo un gruppo di
lavoro formato da esperti di IT Risk & Governance ha definito un position paper per fornire un’interpretazione del
Codice come guida e supporto alle società quotate impegnate ad affrontare le tematiche di IT Governance. Il
framework di riferimento identificato è COBIT 5.
L’evoluzione di COBIT - D. Monteleone
29.5.2014 - Padova - ISACA VENICE Chapter
7
CobiT 4.1
CobiT 4.1
The comprehensive IT governance framework that addresses every aspect of IT and integrates all of the main global IT standards
The control of
IT Processes
Which satisfy
Business Requirements
Is enabled by
Control Statements
Considering
Control Practices
2009, ISACA, CobiT Transforming Enterprise IT (8)
Nelle versioni che precedono COBIT 5, esistono elementi di legame tra business goal ed IT-related goals. Questi tuttavia non sono
sviluppati come nell’ultima versione. Inoltre, l’elemento fondante del framework è dato dagli obiettivi di controllo. Questo ad esempio
emerge dall’analisi della struttura del piano editoriale (i.e.: CobIT Audit Guidelines, Control Practice).
L’evoluzione di COBIT - D. Monteleone
29.5.2014 - Padova - ISACA VENICE Chapter
8
COBIT 5
Goal Cascade
 A partire dai driver che guidano i bisogni dei portatori di interesse della Società
(Stakeholder Needs), la Goal Cascade lega gli obiettivi dell’impresa agli obiettivi IT e
questi ultimi ai processi di governo e gestione dell’Enterprise IT.
5 Principi
 Meeting Stakeholder Needs
COBIT 5
A Business Framework for the Governance
and Management of Enterprise IT
 COBIT 5 permette di ottenere maggior
valore aggiunto dalle informazioni aziendali
e dalla tecnologia.
 Business Outcomes of Governance of
Enterprise IT (GEIT) (9):
 Covering the Enterprise End-to-end
 Applying a Single, Integrated Framework
- Improveved Management of IT-Related
Risk
 Enabling a Holistic Approach
 Separating Governance From Management
- Improved Communication and
relationships between Business and IT
7 fattori abilitanti
- Lower IT Costs
 Principles, policies and frameworks
 Processes
- Improved IT delivery of Business
Objectives
 Organisational structures
- Improved Business Competitiveness.
 Culture, ethics and behaviour
 Information
 Services, infrastructure and applications
 People, skills and competencies
Piano editoriale consistente
 Configuration Management Using COBIT 5
 Vendor Management: Using COBIT 5
L’evoluzione di COBIT - D. Monteleone
29.5.2014 - Padova - ISACA VENICE Chapter
9
COBIT 5
Al fine di migliorare l’accesso alle informazioni di COBIT, è stato recentemente pubblicato COBIT On Line, uno strumento che permette
una navigazione efficace dei principali volumi che costituiscono il framework.
L’evoluzione di COBIT - D. Monteleone
29.5.2014 - Padova - ISACA VENICE Chapter
10
Governo e Gestione dell’Enterprise IT
L’elemento fondante del concetto di IS Governance è contenuto nella definizione:
“un insieme di logiche e strumenti finalizzati alla creazione di un assetto strutturale e di un contesto di governo del sistema informativo
aziendale che lo rendano costantemente coerente con le esigenze aziendali in un contesto di economicità”.
IS Governance si occupa quindi di migliorare strutturalmente
il livello di allineamento dei sistemi informativi con le
esigenze aziendali e, a tal fine, ricerca e raccomanda
l’adozione di nuove e più adeguate modalità per la loro
gestione (10).
A nostro avviso, la declinazione degli elementi costitutivi di
CobiT 4.1 secondo logiche “Control Objectives” e “Control
Practice” ha lasciato il passo ad un nuovo approccio basato
sulle “Management Practice” che, supportato da una
struttura e da principi innovativi, meglio si adottano a
rappresentare la necessità di definire processi di IT
Governance ed IT Management che permettano all’IT di
abilitare i processi di business.
L’evoluzione di COBIT - D. Monteleone
29.5.2014 - Padova - ISACA VENICE Chapter
11
Governo e Gestione dell’Enterprise IT
Esempio di processo (Manage Requirements Definition) declinato secondo le "Management Practice", finalizzato a mettere in luce
l’approccio end-to-end.
L’evoluzione di COBIT - D. Monteleone
29.5.2014 - Padova - ISACA VENICE Chapter
12
L’approccio KPMG
L’evoluzione di COBIT - D. Monteleone
29.5.2014 - Padova - ISACA VENICE Chapter
13
L’approccio KPMG: Enterprise & IT-related Goals
Enterprise Goal e IT-related Goal sono mappati secondo le 4 dimensioni della Balanced Scorecard
L’evoluzione di COBIT - D. Monteleone
29.5.2014 - Padova - ISACA VENICE Chapter
14
L’approccio KPMG: Enterprise & IT-related Goals
L’evoluzione di COBIT - D. Monteleone
29.5.2014 - Padova - ISACA VENICE Chapter
15
L’approccio KPMG: Process Reference Model
L’evoluzione di COBIT - D. Monteleone
29.5.2014 - Padova - ISACA VENICE Chapter
16
L’approccio KPMG: Process Information
L’evoluzione di COBIT - D. Monteleone
29.5.2014 - Padova - ISACA VENICE Chapter
17
L’approccio KPMG: Management Practice
L’evoluzione di COBIT - D. Monteleone
29.5.2014 - Padova - ISACA VENICE Chapter
18
L’approccio KPMG: Control Objectives
L’evoluzione di COBIT - D. Monteleone
29.5.2014 - Padova - ISACA VENICE Chapter
19
CONCLUSIONI
COBIT 5 è un framework che presenta un approccio innovativo:
 definito come ‘business framework’, pone obiettivi rivolti all’Enterprise IT
 valutazione dei processi end-to-end ed approccio olistico
 framework di governo e gestione dell’IT che indirizzano l’utilizzo di altri framework/standard di dettaglio
 complementare a CobiT 4.1 nell’ottica della valutazione degli obiettivi di controllo
 non è uno strumento scritto dall’IT ad esclusivo beneficio dell’IT.
Per le ragioni sopra riportate in sintesi, a nostro avviso COBIT 5 è finalizzato a rafforzare l’allineamento del governo dell’IT con le esigenze
di business (Governance of Enterprise IT), al fine di permettere l’implementazione di processi efficaci (che raggiungono gli obiettivi), dato
un determinato livello di rischio.
Data la struttura articolata del framework, KPMG ha sviluppato un tool facilmente navigabile per permetterne la consultazione mettendo
in evidenza:
 legame business goals & IT-related goals
 legame IT-related goals & processi IT
 Management Practices (anche in termini di input ed output)
 legame Management Practice & obiettivi di controllo.
L’evoluzione di COBIT - D. Monteleone
29.5.2014 - Padova - ISACA VENICE Chapter
20
Referenze
1)
http://www.eni.com/it_IT/governance/controlli-governance/governance-sistema-controllo-interno/sistema-controllointerno.shtml
2)
http://www.mondadori.it/Governance/Il-sistema-di-controllo-interno-e-di-gestione-dei-rischi
3)
COSO Committee of Sponsoring Organizations of the Treadway Commission, Internal Control – Integrated Framework, May
2013
4)
http://it.wikipedia.org/wiki/Sistema_di_controllo_interno
5)
http://www.aiea.it/pdf/download/SOX.pdf
6)
http://www.aiea.it/pdf/download/AIEA-GUIDA8%20262.PDF
7)
http://www.aiea.it/pdf/gruppi%20di%20ricerca/Codice%20di%20autodisciplina%20e%20IT%20Governance.pdf
8)
2009, ISACA, CobiT Transforming Enterprise IT, http://www.isaca.org/Knowledge-Center/cobit/Documents/COBITOverview.ppt
9)
5 Essential Facts about COBIT 5, http://www.isaca.org/COBIT/Documents/5-Essential-Facts-about-COBIT.pdf
10) AIEA - Associazione Italiana Information Systems Auditors, I legami fra gli obiettivi aziendali e i processi IT secondo il
framework COBIT, a cura di Paola Bielli, Severino Meregalli, Elisa Pozzoli, Gianluca Salviotti, Stefano Vallini.
L’evoluzione di COBIT - D. Monteleone
29.5.2014 - Padova - ISACA VENICE Chapter
21
Grazie per l’attenzione!
Rudi Triban
TELEFONO: +39 3488217464
MAIL: [email protected]
Diego Monteleone
TELEFONO: +39 3477502608
MAIL: [email protected]
L’evoluzione di COBIT - D. Monteleone
29.5.2014 - Padova - ISACA VENICE Chapter
22