La traduzione delle Frequently Asked Questions su COBIT 4.0  pubblicate da ISACA
 

1. Qual è la storia del framework COBIT?
2. In che modo COBIT 4.0 è una evoluzione delle precedenti versioni?
3. A causa di quali cambiamenti, nei processi di business e nei mercati, è stato necessario un aggiornamento di COBIT?
4. Quali sono i principali aggiornamenti in COBIT 4.0?
5. Quali componenti di COBIT sono stati modificati nella versione 4.0?
6. Cosa comprende il nuovo volume COBIT 4.0?
7. In cosa COBIT 4.0 è differente rispetto a COBIT 3° edizione?
8. COBIT 4.0 sostituisce COBIT 3° edizione?
9. Come si può ordinare COBIT 4.0 ?

1. Qual è la storia del framework COBIT?

La prima definizione del framework COBIT si è avuta nel 1994; in seguito l’applicazione degli standard internazionali, delle linee guida e delle ricerche nell’ambito delle “best practices” ha portato allo sviluppo degli “obiettivi di controllo”. Infine sono state sviluppate le “Audit Guideline” per valutare se l’implementazione degli obiettivi di controllo è effettuata in maniera appropriata.
Grazie alle ricerche ed agli studi effettuati per la prima e la seconda edizione (1998), sono state possibili la collezione e l’analisi delle fonti internazionali; tali ricerche sono state condotte in Europa (la libera università di Amsterdam in Olanda), in USA (il politecnico della California) e in Australia (università del New South Wales). Tali gruppi hanno effettuato, per ciascun obiettivo di controllo così come previsto dal framework, una ricerca , una analisi, ed una valutazione dei principali standard internazionali tecnici, dei codici di condotta, degli standard di qualità, degli standard professionali relativi all’auditing ed alle practices ed ai requisiti delle varie “industry”. Ciascun dominio e processo è stato analizzato in profondità e sono stati suggeriti nuovi obiettivi di controllo (o modificati quelli esistenti) per ciascun particolare processo IT.
Infine il COBIT Steering Committee ha effetuato il consolidamento finale dei risultati.
La 3° edizione di COBIT (rilasciato nel 2000) ha introdotto le “management guideline” ed aggiornato, sulla base di nuove referenze internazionali, i contenuti della precedente edizione; il framework è stato rivisto e migliorato per supportare l’aumento del “management control”, per introdurre il “performance management” e per sviluppare ulteriormente la “IT governance”.

2. In che modo COBIT 4.0 è una evoluzione delle precedenti versioni?

L’IT Governance Institute, per mezzo del “COBIT Steering Committee”, intende far evolvere nel tempo il “COBIT body of knowledge”. Per raggiungere e gestire tale obiettivo, nel passato ogni due anni il comitato ha condotto ricerche specifiche su molti aspetti di dettaglio degli obiettivi di controllo e delle “management guidelines”. Tali ricerche si sono basate sulla “expertise” dei team (volontari) di associati ISACA, degli utilizzatori in tutto il mondo di COBIT, di advisor esperti e di gruppi universitari; inoltre gruppi di sviluppo locali formati da 6 - 10 esperti a Brussel (Belgio), Londra (UK), Chicago (USA), Canberra (Australia), Cape Town (Sud Africa), Washington DC (USA) e Copenhagen (Danimarca) si sono riuniti, in media, due o tre volte l’anno per collaborare su specifiche ricerche o per confrontarsi sui compiti loro assegnati dal COBIT Steering Committee. Infine alcuni specifici progetti di ricerca sono stati assegnati a business school quali l’università di Antwerp Management School (UAMS, Belgio) e l’università delle Hawaii (USA).
I risultati di queste attività sono stati condivisi in un gran numero di workshop con la collaborazione di 40 - 50 esperti internazionali: essi si sono focalizzati sugli obiettivi di controllo, sulle management guideline e sulle componenti del “maturity model” del framework. Il COBIT Steering Committee ha infine consolidato tutti i risultati e un “exposure draft” inviato a più di 90 specialisti.

3. A causa di quali cambiamenti, nei processi di business e nei mercati, è stato necessario un aggiornamento di COBIT?

L’aggiornamento di COBIT si è reso necessario a causa di numerosi cambiamenti nel mondo del business:

• l'aumento di focus sull’IT management – è sempre maggiore la necessità di fornire management e linee guida di controllo per l’ambiente IT operativo;
• il variare dell’assurance audience – occorre venire incontro alle necessità degli auditor, degli organi regolatori e legislativi, degli esperti di sicurezza e di tutti coloro impegnati nel fornire assurance sulle performance dell’IT in circostanze ed ambienti a volte molto differenti;
• un maggior focus sulla governance da parte dei board aziendali - occorre assicurare che ci sia un sufficiente focus del business sulla governance e che siano adottati meccanismi per allineare la gestione ed il controllo degli obiettivi IT con le necessità delle imprese;
• la maggior maturità delle “best practice” IT e degli standard – è necessario che le imprese adottino sempre più linee guida specializzate quali ITIL e ISO 17799; COBIT può essere utilizzato quale “integratore” ed ombrello metodologico comune e contemporaneamente essere utilizzato come linea guida di alto livello per i controlli IT a livello generale;
• l’uso integrato da parte delle tre principali aree di audience: management, IT ed auditor – occorre che la struttura aziendale, la presentazione dei temi ed il linguaggio utilizzato forniscano una più facile comprensione e permettano una agevole applicazione da parte del management, degli stakeholder e dei professionisti aziendali;
• l’aumento delle norme e dei regolamenti per la compliance - COBIT copre adeso l’intero ambito della IT governance e aiuta a mappare i domini della IT governance ed il COSO framework e si conferma ancora l’IT control framework de facto per l’IT governance.

4. Quali sono i principali aggiornamenti in COBIT 4.0?

• IT governance - aggiornamento sulla base delle cinque aree (allineamento strategico, generazione del valore, risk management, gestione delle risorse, gestione delle performance) definite da ITGI. Sebbene COBIT già coprisse molti di questi aspetti, la precedente versione era insufficiente in alcuni aspetti; tali gap sono adesso stati colmati modificando la denominazione di alcuni processi IT ed aggiungendo alcuni nuovi obiettivi di controllo; COBIT 4.0 contiene una matrice che “mappa” tutti i processi IT rispetto i cinque domini della governance.
• Requisiti di business – l’orientamento di COBIT ai requisiti di business è sempre stato un principio di base del framework e degli “information criteria”. Le ampie ricerche condotte dall’università di Antwerp su come l’IT supporti gli obiettivi di business in una gran varietà di settori industriali forniscono una generica cross-reference dei più comuni obiettivi di business rispetto a quelli dell’IT. La nuova release fornisce una tabella che mostra le relazioni tra gli obiettivi di business, gli obiettivi IT ed i processi IT di COBIT per aiutare gli utilizzatori ad identificare i link tra l’IT ed il business nelle proprie organizzazioni; ciò è stato anche usato per migliorare le metriche sugli obiettivi e le performance.
• Armonizzazione – Per aiutare gli utilizzatori ad integrare più facilmente COBIT con altre linee guida quali ad esempio ITIL , ISO 17799, PMBOK e PRINCE 2 , la terminologia ed i principi utilizzati in COBIT 4.0 sono stati ulteriormente armonizzati per renderli più standard.
• Creazione del valore – a causa delle origini di audit di COBIT c’è stata una forte enfasi sui controlli per gestire i rischi. COBIT 4.0 fornisce un miglior bilanciamento tra i rischi ed il valore come impostato nei recenti studi sull’IT value management.
• Architettura d’impresa - COBIT 4.0 fornisce diagrammi RACI (identificazione per ogni processo di colui che ne Responsabile, Accountable, Consultato e/o Informato) per assistere nella definizione dei ruoli e responsabilità; i principi dell’architettura d’impresa sono adesso spiegati all’interno del framework, fornendo un link fra gli obiettivi, le risorse, le informazioni ed i processi.
• Definizione e flusso dei processi – per migliorare la comprensione del modello dei processi IT, COBIT 4.0 contiene le descrizioni di ciascun processo insieme con gli input, gli output ed una cross-reference tra tutti i processi.
• Linguaggio e presentazione – In COBIT 4.0. è stato usato un linguaggio più sintetico, aggiornato ed “action-oriented”. I contenuti degli obiettivi di controllo e delle “management guideline” sono stati unificati per mezzo degli IT process.
• Feedback – I commenti ed i suggerimenti ricevuti attraverso le tre COBIT User Convention sono stati utilizzati per migliorare i contenuti di COBIT 4.0.

5. Quali componenti di COBIT sono stati modificati nella versione 4.0?

Control Objectives

• COBIT—IT governance bottom-up alignment – un’analisi su come gli obiettivi di controllo di dettaglio possono essere mappati sui cinque domini dell’IT Governance per identificare potenziali gap;
• COBIT—IT governance top-down alignment – una ricerca sulle più importanti “IT Governance practice” che non sono ancora (completamente) previste in COBIT 3.0 per colmare i potenziali gap;
• Armonizzazione di COBIT con altri standard - un mapping dettagliato tra COBIT ed ITIL, CMM, COSO, PMBOK, ISF e ISO/IEC 17799 per rendere agevole l’armonizzazione con tali standard dal punto di vista del linguaggio, delle definizioni e dei concetti.

Sebbene ci siano 34 obiettivi di controllo di alto livello sia in COBIT 3° edizione che in COBIT 4.0, essi non sono gli stessi. I cambiamenti possono essere sintetizzati come segue:

• Il dominio M è diventato ME (Monitor ed Evaluate);
• M3 e M4 erano processi di audit e non processi IT. Essi sono stati rimossi, in quanto non previsti da numerosi standard di IT audit; rimangono i collegamenti all’interno del framework aggiornato per sottolineare le necessità del management di utilizzare le funzioni di assurance;
• ME3 comprende il processo di supervisione globale sull’IT.
• ME4 è il processo collegato alla supervisione degli adempimenti di tipo “regolatorio”, che precedentemente erano collegati a PO8.
• A causa della rimozione di PO8 e della necessità di mantenere la numerazione per PO9 “Assess risk” e per PO10 “Manage projects” coerenti con COBIT 3° edizione, PO8 adesso è diventato “Manage quality”, il vecchio processo PO11. Il dominio PO ha dunque ora 10 processi invece di 11.
• Il dominio AI ha richiesto due cambiamenti: l’aggiunta di un processo di “procurement” e la necessità di includere in AI5 gli aspetti del “release management”. L’ultimo cambiamento ha suggerito di far sì che questo fosse l’ultimo processo del dominio AI e quindi esso diventa AI7. Lo spazio che si è creato in AI5 è stato usato per aggiungere il nuovo processo di “procurement”. Il dominio AI adesso ha sette processi invece che sei.

Management Guideline

• Chiarimenti nelle relazioni di causa fra KGI e KPI – analisi più dettagliata di come i KPI guidano il raggiungimento dei KGI
• Review della qualità dei KGI, KPI e CSF – sulla base dell’analisi delle relazioni di causa fra KPI e KGI, miglioramento della qualità delle metriche
• Suddivisione delle CSF tra quanto è necessario da parte dei altri (input) e quanto è necessario di per sé in autonomia (management practice)
• Analisi dettagliata dei concetti sulle metriche – sviluppo dettagliato con esperti per migliorare i concetti sulle metriche, costruire una relazione “a cascata” process-IT-business metrics ed identificare i criteri di qualità per le metriche stesse.
• Link fra gli obiettivi di business, obiettivi IT e processi IT – ricerche approfondite in 8 diversi industry hanno prodotto un raffinamento dell’analisi su come i processi di COBIT aiutino nel raggiungere gli specifici obiettivi IT e, per estensione, gli obiettivi di business; i risultati sono stati infine generalizzati a tutte le industry;
• Review dei contenuti del “maturity model”- per assicurare la coerenza e la qualità dei livelli di maturità tra e all’interno dei processi, comprese nuove definizioni migliorate e più analitiche degli attributi del “maturity model”.

6. Cosa comprende il nuovo volume COBIT 4.0?

Il nuovo volume COBIT ha quattro sezioni:

1. l’executive overview;
2. il framework;
3. il core content dei nuovi contenuti (obiettivi di controllo di alto livello e di dettaglio, management guideline e maturity model);
4. appendici (diverse mappature e cross-references, maggiori informazioni sul maturity model, materiale per i riferimenti, descrizione del progetto ed un glossario).

Il “core content” è suddiviso secondo i 34 processi. Ogni processo è descritto in quattro sezioni di circa una pagina ciascuno, così da avere allla fine un’immagine completa su come controllare, gestirlo e misurare il processo.
Le quattro sezioni di ciascun processo sono, in ordine:

1. gli obiettivi di alto livello di ciascun processo;
• la descrizione del processo che sintetizza gli obiettivi del processo;
• l’obiettivo di alto livello rappresentato in uno schema “a cascata” che sintetizza gli obiettivi del processo, le metriche e le practice;
• la mappatura del processo rispetto ai domini, gli “information criteria” e le risorse IT;
2. gli obiettivi di controllo di dettaglio del processo;
3. Management guideline: input ed output del processo, schema RACI (responsible, accountable, consulted e/o informed), obiettivi e metriche;
4. il maturity model di ogni processo.

Un altro modo di vedere i contenuti relativi alla “process performance” è:

• gli input del processo rappresentano ciò di cui gli owner del processo devono ricevere da altri;
• la descrizione del processo descrive quello gli owner del processo devono fare;
• gli output del processo è ciò che gli owner di processo devono produrre;
• gli obiettivi e le metriche mostrano come il processo deve essere misurato;
• il diagramma RACI individua ciò che deve essere delegato e a chi;
• il maturity model mostra come il processo può o deve essere migliorato.

7. In cosa COBIT 4.0 è differente rispetto a COBIT 3° edizione?

COBIT 4.0 sostituisce le seguenti componenti della terza edizione: Executive Summary, Framework, Control Objectives e Management Guidelines. È in corso il lavoro per aggiornare le “control practice” e le “Audit Guidelin” in modo da riflettere i cambiamenti del COBIT framework 4.0. L’Implementation Tool Set della terza edizione è sostituito dalla IT Governance Implementation Guide, rilasciata nel 2003, anche se l’Implementation Tool Set è ancora disponibile ed utile in molte occasioni.

8. COBIT 4.0 sostituisce COBIT 3° edizione?

No. COBIT 4.0 è un’estensione di COBIT 3° edizione ed in nessun modo invalida una implementazione od una attività basata su COBIT 3° edizione. Gli interventi precedenti sono pienamente compatibili con COBIT 4.0. L’introduzione di COBIT 4.0 fornisce l’opportunità di migliorare la IT governance e l’implementazione dei controlli, ove appropriato, anche sotto forma di “esercizio di transizione”. Mappature per supportare questa transizione sono incluse in una appendice di COBIT 4.0, ed una release 3.2 di COBIT Online rimarrà disponibile, congelata, per supportare le attività di transizione.
Allo stesso tempo, comunque, i futuri aggiornamenti delle attività di COBIT saranno distribuiti in formato elettronico regolarmente per mezzo delle nuove release (successive alla 3.2) di COBIT Online. In certe occasioni, se necessario, saranno rilasciate anche copie in formato cartaceo.

9. Come si può ordinare COBIT 4.0 ?

COBIT 4.0 è disponibile da dicembre 2005. Da questa data la maggior parte del materiale potrà essere scaricato o anche essere acquistato attraverso ISACA (ed in particolare nella sezione dedicata a COBIT 4.0 ), insieme agli altri prodotti COBIT.

Articoli collegati

• È arrivato COBIT 4.0
• Articoli su COBIT