Home

COBIT Focus n. 3: Alcune utili linee guida presentate all’e-Symposium COBIT

Inserito da Agatino Grillo il Dom, 2007-04-22 16:43 Aprile 2007 | CobiT
070422-cobit-focus3-3-hardy di Gary Hardy
(tratto da COBIT Focus 3, volume 1, aprile 2007. Traduzione dall'inglese a cura di Agatino Grillo)
Il 30 gennaio 2007 ISACA ha ospitato l’e-Symposium su COBIT. L’invito a partecipare era stato rivolto ai membri ISACA, a chi pur non essendo membro fosse certificato CISA o CISM e, infine, a chi aveva effettuato il download del materiale COBIT dal sito ISACA. In totale più di 4.800 persone si sono registrate per l’evento, e online, la partecipazione "live" ha toccato quota 2.200 durante le tre ore dell’evento. L’e-Symposium è stato archiviato ed è disponibile per il download in www.isaca.e-symposium.com per coloro che non hannopotuto partecipare alla trasmissione in diretta.
Durante l’e-Symposium sono stati presentati gli interventi di Jimmy Heschl, Gary Hardy, Roger Debreceny e Debbie Lew.
La presentazione di Jimmy Heschl ha approfondito i principali cambiamenti in COBIT 4.1 che possono essere sintetizzati come segue:
  • non è un aggiornamento ma solo un fine-tuning del framework
  • miglioramento della executive overview
  • miglioramento della parte relativa alle misurazioni delle performance
  • sviluppo delle control practice con aggiustamenti negli obiettivi di controllo
  • raggruppamento / ridenominazione di alcuni obiettivi di controllo
  • semplificazione di alcuni controlli applicativi
  • aggiornamento della lista degli obiettivi di business ed IT (appendice I)
Heschl ha inoltre discusso del progetto "COBIT mapping" disponibile in http://www.isaca.org/downloads per gli associati ISACA ed ha confrontato COBIT con gli altri standard e best practices (vedi figura 1).

Gary Hardy ha approfondito il tema dell’implementazione di COBIT e dell’IT governance. I punti chiave della sua presentazione sono stati:
  • primo, comprendere perché implementare l’IT governance – riscoprire i driver.
  • implementare l’IT governance con un approccio elastico e pratico come mezzo per gestire le sfide ed i rischi dell’IT
  • rendere l’IT governance una responsabilità condivisa tra il business e l’IT, con il pieno commitment e la supervisione del board.
  • dato che si sono molti stakeholder, essere sicuri di averli identificati e coinvolti tutti .
  • Usare COBIT come aiuto per:
    • facilitare il mapping degli IT goal rispetto ai business goal e vice versa
    • permettere un miglior allineamento basato sul focus al business
    • fornire una view, comprensibile per il management, di cosa fa l’IT
    • definire una chiara ownership e responsibilità orientate ai processi
    • fornire una comprensione condivisa tra tutti gli stakeholder basata su un linguaggio comune
    • garantire i requisiti COSO rispetto all’ambiente di controllo IT
  • Comprendere che per avere successo rispetto ai requisiti COBIT occorre il coinvolgimento, l’awareness ed il commitment del top management; una chiara ownership dei processi IT coinvolti; e operare perché il passaggio verso le migliori practice di management avvenga in modo sostenibile.
  • Usare COBIT come il framework IT di più alto livello ed insieme di best practice e risorse. Gli altri standards e best practice sono di complemento a COBIT e possono lavorare insieme a COBIT.
  • Usare un driver di business-management per una IT governance efficace e un migliore IT management.
  • Usare COBIT come tool kit che rende possibili le trasformazioni.
Roger Debreceny ha discusso di come gli IT auditor e gli altri professionisti dell’IT assurance possono utilizzare COBIT per un ampio spettro di incarichi di assurance. I punti chiave della sua presentazione sono stati i seguenti:
  • molti incarichi di assurance possono utilizzare COBIT, compresi:
    • Financial statement audit
    • Compliance audit
    • Privacy audit
    • SAS 80 internal control audit
    • Value-for-money
    • Process improvement
  • COBIT fornisce le fondamenta per orare secondo buone prassi al di là del fatto che l’azienda utilizzi o meno il framework stesso.
  • quali componenti COBIT usare nei vari incarichi.
  • le control practice forniscono una guida eccellente per i professionisti dell’assurance rispetto a:
    • progettazione dei controlli
    • elementi delle management practice che devono essere posti in essere per supportare un dato obiettivo di controllo
  • La nuova IT Assurance Guide fornisce una linea guida su come utilizzare COBIT per l’assurance e contiene i dettagli per l’assurance testing.
La presentazione di Debbie Lew si è focalizzata sui trend correnti dell’IT governance e ha anche descritto le possibili direzioni future di COBIT nei prossimi anni. I punti chiavi della sua presentazione sono stati i seguenti :
  • negli scorsi anni la compliance ha dominato lo scenario IT negli USA; adesso dobbiamo:
    • ottenere benefici reali dagli investimenti effettuati nella compliance
    • ridurre il costo della compliance
  • l’IT governance deve essere usata per:
    • guidare la creazione del valore a partire dagli investimenti IT
    • assistere il CIO nella gestione degli ambienti IT complessi
    • integrare in maniera migliore la enterprise governance ed il risk management
  • COBIT è l’unico IT governance framework che gestisce il ciclo di vita completo degli investimenti IT.
  • COBIT si posiziona come strumento per la governance strategica dell’IT, sopra gli altri standard e best practice IT che forniscono line guide di maggior dettaglio.
  • Nella curva di adozione della tecnologia di Gartner, COBIT è al momento posizionato nella fase di ‘early majority adoption’.
  • La direzione futura prevede:
    • management framework integrati e testati
    • copertura del ciclo di vita complete dell’IT
    • adozione diffusa
Debreceny ha descritto il lavoro in corso nel COBIT Steering Committee previsto per i prossimi due anni con il focus sull’adozione pratica di COBIT anche grazie agli ulteriori miglioramenti nel framework tra cui:
  • maggiore guidance
  • maggiori tool
  • più case study
  • più training
  • certificazione
Ciascun speaker ha anche risposto alle domande dei partecipanti all’e-Symposium.
Come parte del processo di registrazione all’e-Symposium, è stato condotto un breve survey. 2.876 persone registrate hanno risposto al survey. I risultati sono schematizzati come segue:
  • Sessanta per cento degli intervistati usa COBIT nella propria organizzazione
  • Tra coloro che hanno risposto di usare COBIT, il 31 per cento usa COBIT per l’IT audit, il 10 per cento usa COBIT per l’IT governance ed il 4 per cento usa COBIT per l’IT management.
  • Approssimativamente il 50 per cento di chi ha risposto valuta la difficoltà di implementare COBIT o migliorare l’IT governance usando COBIT come ‘da facile a medio’.
  • altri standard o framework usati insieme a COBIT (o al posto di) sono ISO 177999 (29 per cento), ITIL/CMM(I) (23 per cento) e PMBOK/PRINCE2 (6 per cento).
  • Le aziende ottengono aiuto e linee guida su COBIT dai trainer commerciali (4 per cento), dagli external auditor (18 per cento), dai consulenti IT (28 per cento) e dalle pubblicazioni ITGI (49 per cento).
  • Quarantaquattro per cento di chi ha risposto ha indicato di essere interessato a partecipare allo sviluppo di ulteriori ricerche e case study per l’adozione di COBIT.

Gary Hardy

è il direttore di IT Winners, una società di consulenza indipendente con base in Sud Africa, specializzata in IT governance e miglioramento delle performance. Hardy è membro dell’ISACA dal 1981 ed ha ricoperto diverse posizioni di rilievo tra cui la partecipazione a diversi board dell’associazione. È advisor per ITGI e tra i fondatori e membri del COBIT Steering Committee. Hardy partecipa a progetti IT, IT audit ed IT governance da più di 25 anni per varie industry, in ambito internal audit, external audit e consulting.

IsacaRoma Newsletter link

» email this story | printer friendly version | 1750 reads