Verso il GOVERNO dei SISTEMI INFORMATIVI Sistema di Controllo Interno e Governo dei Sistemi Informativi Diego Monteleone Padova, 29 maggio 2014 L’evoluzione di COBIT - D. Monteleone 29.5.2014 - Padova - ISACA VENICE Chapter 1 Sistema di Controllo Interno e Governo dei Sistemi Informativi COBIT 5 e CobiT 4.1 Evoluzione di framework e di esigenze aziendali L’evoluzione di COBIT - D. Monteleone 29.5.2014 - Padova - ISACA VENICE Chapter 2 Verso il GOVERNO dei SISTEMI INFORMATIVI Sponsor e sostenitori di ISACA VENICE Chapter Con il patrocinio di L’evoluzione di COBIT - D. Monteleone 29.5.2014 - Padova - ISACA VENICE Chapter 3 ABSTRACT La nuova versione del framework COBIT ha evidenziato una evoluzione in termini di struttura e di intenti. Il presente intervento si pone come obiettivo quello di comprendere le esigenze che hanno imposto il cambiamento e le possibili implicazioni per i soggetti interessati all’ambito dell’IS Governance. Alcune domande che vorremmo indirizzare sono pertanto: quali sono le esigenze legate all’emissione di una nuova versione del framework? qual è la necessità sottostante il nuovo approccio basato sulle Management Practice? che esigenze hanno le aziende in termini di governo e gestione dell’IT? L’evoluzione di COBIT - D. Monteleone 29.5.2014 - Padova - ISACA VENICE Chapter 4 Agenda Sistema di Controllo Interno Alcuni riferimenti normativi CobiT 4.1 COBIT 5 Governo e Gestione dell’Enterprise IT L'approccio KPMG Conclusioni Referenze L’evoluzione di COBIT - D. Monteleone 29.5.2014 - Padova - ISACA VENICE Chapter 5 Sistema di Controllo Interno Definizione ed obiettivi ll Sistema di Controllo Interno e Gestione dei Rischi (di seguito "SCIGR") […] è l’insieme di strumenti, strutture organizzative, norme e regole aziendali volte a consentire una conduzione dell’impresa sana, corretta e coerente con gli obiettivi aziendali definiti dal Consiglio di Amministrazione, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, così come attraverso la strutturazione di adeguati flussi informativi volti a garantire la circolazione delle informazioni (1). Il sistema di controllo interno e di gestione dei rischi è l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire l’identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi (2). Intern control is a process, effected by an entity’s board of directors, management, and other personnel, designed to provide reasonable assurance regarding the achievement of objectives relating to operations, reporting, and compliance (3). Un sistema di controllo interno (SCI) ha come obiettivo e priorità il governo dell’azienda attraverso l’individuazione, valutazione, monitoraggio, misurazione e mitigazione/gestione di tutti i rischi d'impresa, coerentemente con il livello di rischio scelto/accettato dal vertice aziendale (4). Genesi ed evoluzione I sistemi di controllo interno delle società spesso nascono da esigenze di adeguamento normativo Al fine di dimostrarsi efficaci, i sistemi di controllo interno delle società necessitano di aggiornamenti costanti Considerati i costi di gestione di un sistema di controllo interno (efficace), l’approccio non può essere relegato alla semplice componenete di compliance ma deve necessariamente essere finalizzato (almeno per le Società che vogliono avere vantaggi competitivi anche in ambito IT) al raggiungimento di valore. L’evoluzione di COBIT - D. Monteleone 29.5.2014 - Padova - ISACA VENICE Chapter 6 Alcuni riferimenti normativi Sarbanes-Oxley Act (SOX) (5) Nell’aprile 2004, l’IT Governance Institute ha pubblicato “Obiettivi di Controllo IT per il Sarbanes-Oxley Act” per aiutare le aziende a valutare ed a migliorare il loro sistema di controllo interno. I quattro principali ‘ambiti’ di controllo IT da considerare per rispondere alle esigenze di adeguamento normativo previste dal Sarbanes-Oxley Act sono: sviluppo dei programmi, gestione delle modifiche, attività operative, accesso a dati e programmi. In conseguenza di quest'ultimo sono stati definiti complessivamente 12 obiettivi di controllo IT aderenti ai controlli generali IT identificati dal PCAOB Auditing Standard n. 2 ed ai processi del COBIT. Legge 262/2005 (6) Con l’introduzione della Legge 28 dicembre 2005 n. 262 in materia di “Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari”, entrata in vigore il 12 gennaio 2006, è stato disposto un rafforzamento della responsabilità delle aziende e della tutela del risparmio investito in strumenti finanziari. Relativamente alla componente IT, la Legge 262/2005 non fornisce indicazioni puntuali sulle modalità con le quali effettuare la valutazione del sistema dei controlli in ambito IT. Di conseguenza l’insieme dei controlli definiti dalla metodologia COBIT (Control Objectives for Information and related Technology pubblicato dall’IT Governance Institute) si pone come punto di riferimento certo per colmare questo gap. Codice autodisciplina (7) Nel dicembre del 2011 è stato pubblicato il nuovo testo revisionato del Codice per la corporate governance delle società quotate italiane elaborato, in linea di continuità con quanto avvenne nel 1999, da un “Comitato per la Corporate Governance”, ossia da un soggetto dalla natura composita costituito da rappresentanti di Borsa Italiana e delle Associazioni di categoria delle imprese bancarie, assicurative e industriali e degli investitori istituzionali. Tale codice di autodisciplina fornisce indicazioni su tematiche di “Sistema di Controllo Interno e di Gestione dei Rischi” senza tuttavia approfondire tale aspetto in merito all’Information Technology. Per tale motivo un gruppo di lavoro formato da esperti di IT Risk & Governance ha definito un position paper per fornire un’interpretazione del Codice come guida e supporto alle società quotate impegnate ad affrontare le tematiche di IT Governance. Il framework di riferimento identificato è COBIT 5. L’evoluzione di COBIT - D. Monteleone 29.5.2014 - Padova - ISACA VENICE Chapter 7 CobiT 4.1 CobiT 4.1 The comprehensive IT governance framework that addresses every aspect of IT and integrates all of the main global IT standards The control of IT Processes Which satisfy Business Requirements Is enabled by Control Statements Considering Control Practices 2009, ISACA, CobiT Transforming Enterprise IT (8) Nelle versioni che precedono COBIT 5, esistono elementi di legame tra business goal ed IT-related goals. Questi tuttavia non sono sviluppati come nell’ultima versione. Inoltre, l’elemento fondante del framework è dato dagli obiettivi di controllo. Questo ad esempio emerge dall’analisi della struttura del piano editoriale (i.e.: CobIT Audit Guidelines, Control Practice). L’evoluzione di COBIT - D. Monteleone 29.5.2014 - Padova - ISACA VENICE Chapter 8 COBIT 5 Goal Cascade A partire dai driver che guidano i bisogni dei portatori di interesse della Società (Stakeholder Needs), la Goal Cascade lega gli obiettivi dell’impresa agli obiettivi IT e questi ultimi ai processi di governo e gestione dell’Enterprise IT. 5 Principi Meeting Stakeholder Needs COBIT 5 A Business Framework for the Governance and Management of Enterprise IT COBIT 5 permette di ottenere maggior valore aggiunto dalle informazioni aziendali e dalla tecnologia. Business Outcomes of Governance of Enterprise IT (GEIT) (9): Covering the Enterprise End-to-end Applying a Single, Integrated Framework - Improveved Management of IT-Related Risk Enabling a Holistic Approach Separating Governance From Management - Improved Communication and relationships between Business and IT 7 fattori abilitanti - Lower IT Costs Principles, policies and frameworks Processes - Improved IT delivery of Business Objectives Organisational structures - Improved Business Competitiveness. Culture, ethics and behaviour Information Services, infrastructure and applications People, skills and competencies Piano editoriale consistente Configuration Management Using COBIT 5 Vendor Management: Using COBIT 5 L’evoluzione di COBIT - D. Monteleone 29.5.2014 - Padova - ISACA VENICE Chapter 9 COBIT 5 Al fine di migliorare l’accesso alle informazioni di COBIT, è stato recentemente pubblicato COBIT On Line, uno strumento che permette una navigazione efficace dei principali volumi che costituiscono il framework. L’evoluzione di COBIT - D. Monteleone 29.5.2014 - Padova - ISACA VENICE Chapter 10 Governo e Gestione dell’Enterprise IT L’elemento fondante del concetto di IS Governance è contenuto nella definizione: “un insieme di logiche e strumenti finalizzati alla creazione di un assetto strutturale e di un contesto di governo del sistema informativo aziendale che lo rendano costantemente coerente con le esigenze aziendali in un contesto di economicità”. IS Governance si occupa quindi di migliorare strutturalmente il livello di allineamento dei sistemi informativi con le esigenze aziendali e, a tal fine, ricerca e raccomanda l’adozione di nuove e più adeguate modalità per la loro gestione (10). A nostro avviso, la declinazione degli elementi costitutivi di CobiT 4.1 secondo logiche “Control Objectives” e “Control Practice” ha lasciato il passo ad un nuovo approccio basato sulle “Management Practice” che, supportato da una struttura e da principi innovativi, meglio si adottano a rappresentare la necessità di definire processi di IT Governance ed IT Management che permettano all’IT di abilitare i processi di business. L’evoluzione di COBIT - D. Monteleone 29.5.2014 - Padova - ISACA VENICE Chapter 11 Governo e Gestione dell’Enterprise IT Esempio di processo (Manage Requirements Definition) declinato secondo le "Management Practice", finalizzato a mettere in luce l’approccio end-to-end. L’evoluzione di COBIT - D. Monteleone 29.5.2014 - Padova - ISACA VENICE Chapter 12 L’approccio KPMG L’evoluzione di COBIT - D. Monteleone 29.5.2014 - Padova - ISACA VENICE Chapter 13 L’approccio KPMG: Enterprise & IT-related Goals Enterprise Goal e IT-related Goal sono mappati secondo le 4 dimensioni della Balanced Scorecard L’evoluzione di COBIT - D. Monteleone 29.5.2014 - Padova - ISACA VENICE Chapter 14 L’approccio KPMG: Enterprise & IT-related Goals L’evoluzione di COBIT - D. Monteleone 29.5.2014 - Padova - ISACA VENICE Chapter 15 L’approccio KPMG: Process Reference Model L’evoluzione di COBIT - D. Monteleone 29.5.2014 - Padova - ISACA VENICE Chapter 16 L’approccio KPMG: Process Information L’evoluzione di COBIT - D. Monteleone 29.5.2014 - Padova - ISACA VENICE Chapter 17 L’approccio KPMG: Management Practice L’evoluzione di COBIT - D. Monteleone 29.5.2014 - Padova - ISACA VENICE Chapter 18 L’approccio KPMG: Control Objectives L’evoluzione di COBIT - D. Monteleone 29.5.2014 - Padova - ISACA VENICE Chapter 19 CONCLUSIONI COBIT 5 è un framework che presenta un approccio innovativo: definito come ‘business framework’, pone obiettivi rivolti all’Enterprise IT valutazione dei processi end-to-end ed approccio olistico framework di governo e gestione dell’IT che indirizzano l’utilizzo di altri framework/standard di dettaglio complementare a CobiT 4.1 nell’ottica della valutazione degli obiettivi di controllo non è uno strumento scritto dall’IT ad esclusivo beneficio dell’IT. Per le ragioni sopra riportate in sintesi, a nostro avviso COBIT 5 è finalizzato a rafforzare l’allineamento del governo dell’IT con le esigenze di business (Governance of Enterprise IT), al fine di permettere l’implementazione di processi efficaci (che raggiungono gli obiettivi), dato un determinato livello di rischio. Data la struttura articolata del framework, KPMG ha sviluppato un tool facilmente navigabile per permetterne la consultazione mettendo in evidenza: legame business goals & IT-related goals legame IT-related goals & processi IT Management Practices (anche in termini di input ed output) legame Management Practice & obiettivi di controllo. L’evoluzione di COBIT - D. Monteleone 29.5.2014 - Padova - ISACA VENICE Chapter 20 Referenze 1) http://www.eni.com/it_IT/governance/controlli-governance/governance-sistema-controllo-interno/sistema-controllointerno.shtml 2) http://www.mondadori.it/Governance/Il-sistema-di-controllo-interno-e-di-gestione-dei-rischi 3) COSO Committee of Sponsoring Organizations of the Treadway Commission, Internal Control – Integrated Framework, May 2013 4) http://it.wikipedia.org/wiki/Sistema_di_controllo_interno 5) http://www.aiea.it/pdf/download/SOX.pdf 6) http://www.aiea.it/pdf/download/AIEA-GUIDA8%20262.PDF 7) http://www.aiea.it/pdf/gruppi%20di%20ricerca/Codice%20di%20autodisciplina%20e%20IT%20Governance.pdf 8) 2009, ISACA, CobiT Transforming Enterprise IT, http://www.isaca.org/Knowledge-Center/cobit/Documents/COBITOverview.ppt 9) 5 Essential Facts about COBIT 5, http://www.isaca.org/COBIT/Documents/5-Essential-Facts-about-COBIT.pdf 10) AIEA - Associazione Italiana Information Systems Auditors, I legami fra gli obiettivi aziendali e i processi IT secondo il framework COBIT, a cura di Paola Bielli, Severino Meregalli, Elisa Pozzoli, Gianluca Salviotti, Stefano Vallini. L’evoluzione di COBIT - D. Monteleone 29.5.2014 - Padova - ISACA VENICE Chapter 21 Grazie per l’attenzione! Rudi Triban TELEFONO: +39 3488217464 MAIL: [email protected] Diego Monteleone TELEFONO: +39 3477502608 MAIL: [email protected] L’evoluzione di COBIT - D. Monteleone 29.5.2014 - Padova - ISACA VENICE Chapter 22
© Copyright 2024 ExpyDoc