5
À implementare un adeguato sistema di controllo interno
dell'information technology;
À riuscire ad individuare indicatori per la misurazione delle
performance delle nuove tecnologie.
Recentemente, sono venute alla luce grosse bancarotte di aziende
americane, Enron e WorldCom per tutte, le quali hanno aperto il
dibattito sulla corportate governance, intesa come l'insieme delle
responsabilità ed obiettivi che il Vertice ed i manager si pongono
insieme agli obiettivi strategici, cercando di assicurare il loro
raggiungimento, accertando che i rischi vengano gestiti in maniera
appropriata, e le risorse aziendali vengano utilizzate
responsabilmente.
Inizialmente gli sviluppi della governance furono direzionati verso
la necessità di trasparenza sui rischi di impresa e sulla protezione
del valore per gli azionisti (shareholder value); successivamente,
l'uso massiccio della tecnologia, nelle organizzazioni, ha creato una
dipendenza critica verso l'IT e quindi uno spostamento del focus
verso l'IT governance. Infatti, il Vertice ed i manager necessitano di
estendere il "governo aziendale" all'information technology per
essere sicuri che le strutture organizzative ed i processi IT
sostengano e supportino adeguatamente le strategie e gli obiettivi
aziendali.
L'IT governance diventa così parte integrante del governo di
impresa, come l'information technology parte integrante
dell'organizzazione.
6
Possiamo brevemente definire l'IT governance come il governo
delle strutture organizzative e dei processi che assicurano lo
sviluppo dell'information technology, finalizzato al supporto e
raggiungimento delle strategie ed obiettivi dell'organizzazione.
Dobbiamo precisare che i manager, nel contesto attuale, sanno
consigliare il Vertice su come operare tradizionalmente, ma sanno
poco di risk management ed IT governance. Necessitano quindi di
una conoscenza di base dei rischi collegati all'information
technology, al fine di prevedere linee di azione e controlli adeguati.
Ciò che mi ha spinto ad interessarmi all'IT governance è stata la
mia esperienza di oltre sei anni nell'ambito dell'information systems
auditing; in questo periodo, ho notato il crescente interesse del
Vertice verso il governo dei sistemi informativi, ai rischi connessi
ed alle metodologie di supporto per la valutazione dei controlli IT e
l'accertamento sul raggiungimento degli obiettivi strategici. In
questo contesto si inquadra la mia ricerca, ossia l'approfondimento
dell'IT governance e l'analisi della metodologia COBIT, per
accertare il supporto offerto ai manager ed al Vertice per ottenere
un'adeguato controllo e governo dei processi tecnologici.
La metodologia COBIT, acronimo di "Control Objectives for
Information and related Technology", rappresenta un paradigma
internazionalmente e generalmente accettato sui controlli IT, che
mette in grado le organizzazioni di implementare una corretta
struttura di IT governance nell'impresa.
La metodologia in analisi è stata sviluppata dall'IT Governance
Institute, una organizzazione non-profit, che ha come obiettivo lo
sviluppo, la comprensione, e l'utilizzo di tale metodologia, da parte
del Vertice attraverso il management operativo e gli specialisti IT.
7
Il lavoro risulta così strutturato:
Nel capitolo 1 verrà messo in evidenza l'importanza
dell'information technology per il business, insieme ai concetti di
rischio, risk-management e controllo, e naturalmente quali sono le
responsabilità del Vertice in merito a questi argomenti.
Il capitolo 2 focalizzerà l'attenzione sull'argomento governance,
analizzando dapprima il contesto di riferimento, quindi si
approfondirà il concetto di governo d'impresa ed IT governance.
Infine, verranno analizzati gli impatti organizzativi del governo dei
sistemi informativi.
Nel capitolo 3 si analizzerà la struttura della metodologia COBIT,
con le sue componenti fondamentali ed i prodotti offerti per
migliorare il sistema di controllo dell'information technology.
A seguire, nel capitolo 4 verranno approfondite le linee guida per
il management, orientate a definire delle azioni ed indicazioni per:
tenere sotto controllo l'informatica ed i relativi processi aziendali,
monitorare il raggiungimento degli obiettivi, e la prestazione di
ogni processo IT. Il lavoro si focalizzerà anche sugli Indicatori
Chiave relativi agli obiettivi (Key Goal Indicators), che
definiscono la misura del raggiungimento dei requisiti di business
da parte di un processo IT; e gli Indicatori di Performance (Key
performance Indicators), i quali definiscono una misura della bontà
di un processo di rendere possibili gli obiettivi da raggiungere.
8
Chiuderà l'esposizione, il capitolo 5 che fornirà un'ipotesi di
applicazione della metodologia. Seguirà una panoramica
dell'approccio consulenziale della Deloitte, Touche and Tomatsu in
merito all'utilizzo di COBIT quale strumento di governance
dell'information technology. A chiudere il capitolo sarà l'analisi dei
benefici offerti sia dall'IT Governance, che dalla metodologia
presentata.
9
1
PERCHE'
1.1. Importanza dell'IT per il business
Capire l'importanza dell'information technology per
l'organizzazione è un passo fondamentale per comprendere
l'interesse dei manager e del Vertice verso l'IT governance. La
motivazione principale del nostro interesse è dovuta al fatto che le
nuove tecnologie, incrementano la complessità, il costo degli
investimenti e soprattutto inseriscono nel business dei rischi, oltre,
naturalmente, a creare vantaggi competitivi ed opportunità di
sviluppo.
Alcune delle domande da porsi potrebbero essere le seguenti:
perché l'IT è importante per l'impresa? perché c'è bisogno dell'IT
Governance?
Una prima risposta può essere che l'IT contribuisce direttamente a
determinare il valore di mercato di un'organizzazione, ma
soprattutto gli investimenti richiesti in questo settore sono
notevolissimi. Prendiamo per esempio il mercato italiano
dell'information technology, evidenziato nel grafico della figura 1.1
alla pagina successiva
1
.
1
Ricerca Netconsulting, per il Rapporto Assinform 2003.
10
Solamente nel 2002 si sono spesi poco più, si fa per dire, di 20
miliardi di euro tra hardware, software, assistenza tecnica e servizi.
Fig. 1.1 - Mercato IT italiano, anno 2002.
L'information technology è essenziale per il raggiungimento degli
obiettivi di business, pensiamo ai servizi bancari: senza il supporto
informatico, sarebbe impossibile effettuare un bonifico da casa
attraverso internet, bisognerebbe recarsi in banca anche per il solo
prelevamento o per l'estratto conto, etc.
Occorre considerare anche l'altra faccia della medaglia, quella che
porta in evidenza la necessità di gestire adeguatamente i rischi
collegati all'IT, tramite controlli sempre più efficienti e sofisticati.
Infatti, l'information technology, proprio per i suoi importanti
investimenti, aumenta i rischi di business. Di conseguenza, il
management sta studiando con attenzione il mercato per evidenziare
le differenze con le aziende concorrenti, accertare che gli
investimenti raggiungano una percentuale significativa di utile
rispetto al fatturato dell'organizzazione, ed anche se questi ultimi
crescono con dei trend anomali.
Mercato IT italiano 2002
Fonte: Netconsulting
5.375
13.686
975
HW
SW e se r v i z i
Assist enza t ecnica
importi in milioni di euro
11
Dobbiamo inoltre mettere in conto il fatto che la maggior parte
degli investimenti tecnologici non daranno i ritorni sperati, ed
addirittura potranno fallire. Infatti, uno studio di Acadys/Standish
Group del 2001 ha portato alla luce proprio questo dato: solamente
il 23% dei progetti IT ha successo e raggiunge i propri obiettivi,
mentre il 49% fallisce in pieno.
Un'altra ricerca della PWC
2
del 2002 non fa che confermare questa
tendenza, evidenziando ancor di più l'interesse del Vertice verso il
controllo dell'information technology: infatti nel grafico della figura
1.2 è esposta una stima sul ritorno degli investimenti in information
security, il dato è significativo perché per il 42% degli intervistati
non si è mai avuto un ritorno economico in merito agli investimenti
tecnologici effettuati.
FIG. 1.2 - Speranza di ritorno sugli investimenti in Information Technology.
In aggiunta, il valore dell'informazione risulta essere sottostimato e
poco considerato, ciò è da considerarsi grave visto che più dell'85%
del valore di mercato di un'organizzazione risiede in attività
2
Price Waterhouse and Coopers - Information Security Survey 2002 (studio britannico).
Quanto spesso stimate di avere un ritorno sugli
investimenti in Information Security??
Fonte: PWC
5%
11%
14%
42%
28%
sempre
qualche volta
raramente
mai
non so
12
intangibili e larga parte di queste sono proprio informazioni,
ottenute tramite il supporto dell'information technology.
L'interesse per le tecnologie è dovuto anche al fatto che l'IT è uno
dei pochi facilitatori in grado di permettere il raggiungimento degli
obiettivi strategici, e per i manager IT alcuni degli obiettivi
strategici degli investimenti tecnologici riguardano:
À la capacità di realizzare il cambiamento;
À la velocità e qualità delle decisioni prese;
À e la velocità di apprendimento.
Sono gli stessi manager IT Ad evidenziare questa maggiore
attenzione del Vertice nei confronti dell'information technology;
altri dati a supporto sono forniti da Netconsulting, la quale
evidenzia che il 13,9% degli intervistati vede che il top
management comincia a considerare la tecnologia come area
strategica, e il 48,1% individua una sempre maggiore attenzione per
queste tematiche.
Da tutti questi dati emerge un interesse in crescita verso l'IT
governance da parte del Vertice aziendale.
Altro elemento di interesse è evidenziato dal fatto che, fino ad oggi,
il management operativo non prevedeva alcun tipo di strategia
inerente l'information technology ed i suoi investimenti, cosa non
più tollerabile visti gli importi impegnati. La ricerca PWC, già
citata in precedenza, mostra la mancata presenza di documenti
formali inerenti la pianificazione strategica dell'information
technology, infatti, il 70% degli intervistati ha dichiarato di non
aver nemmeno pianificato tale documento, come risulta dalla figura
1.3, alla pagina successiva.
13
Tutti questi elementi risultano essere abbastanza importanti per
motivare l'interesse al governo dell'IT. I rischi di perdite
economiche, collegate al mancato raggiungimento degli obiettivi,
sono alte, come gli investimenti; quindi, occorre che il Vertice
conosca in maniera adeguata i rischi a cui va incontro, i controlli
utili per diminuire questi rischi a livelli accettabili per il business
dell'organizzazione.
FIG. 1.3 - Presenza di un documento formale sulla strategia IT.
Nei paragrafi successivi metterò in evidenza il concetto di rischio e
di controllo, che il Vertice è chiamato a gestire, e la metodologia di
risk-management utile al governo dell'IT, per conoscere i rischi a
cui si va incontro e per finire verranno evidenziate le responsabilità
a cui sono chiamati i top manager.
E' pre sente un documento formale inerente la
Strategia IT??
Fonte: PWC
15%
10%
5%
70%
SI
NO, ma pianificato
NON SO
NO e non pianificato
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
