|  | | | | | | | | | | | | | | | | 1. Qual è la storia del modello COBIT? 2. Come si è evoluto COBIT 4.0? 3. Quali cambiamenti sono avvenuti nel business per stimolare un aggiornamento di COBIT? 4. Quali sono le aree più interessate dagli aggiornamento di COBIT? 5. Quali componenti di COBIT sono stati modificati nella nuova versione 4.0? 6. Cosa comprende il nuovo volume COBIT 4.0? 7. Quali sono le differenze tra COBIT 4.0 e COBIT 3a edizione?
8. COBIT 4.0 sostituisce la terza edizione di COBIT? 9. Dove posso trovare COBIT 4.0? | | | | Qual è la storia del modello COBIT? La prima componente del modello COBIT, il quadro di riferimento o framework, è stato definito e pubblicato nella prima edizione nel 1994. Successivamente gli standard
internazionali, l'attività di ricerca e le linee guida utilizzate come prassi di riferimento contribuirono alla formulazione degli obiettivi di controllo (Control ojectives). Al fine di fornire indicazioni sulle modalità di verifica dell'appropriata implementazione dei controlli, furono definite le linee guida per la revisione (Audit Guidelines). Gli studi e le ricerche effettuati per la prima e la seconda edizione (1998) comprendevano l'analisi delle fonti internazionali classificate; il
lavoro è stato svolto da istituti internazionali e da gruppi di lavoro in Europa (Free University of Amsterdam), negli Stati Uniti (California Polytechnic University) ed in Australia (University of New South Wales). I ricercatori effettuarono la raccolta, la revisione, la valutazione e l'acquisizione di standard tecnici internazionali, codici di condotta, standard di qualità, standard internazionali professionali, prassi e requisiti di settore, con riferimento al framework di COBIT o a
specifici obiettivi di controllo. Dopo la raccolta e l'analisi, i ricercatori approfondirono ciascun dominio e processo e ne suggerirono modifiche, inserendo o modificando i relativi obiettivi di controllo. Il consolidamento dei risultati venne approvato dal Comitato Direttivo di COBIT. Nel 2000 venne rilasciata la 3a Edizione di COBIT, con la quale furono introdotte le linee guida per la gestione (Management Guidelines) ed aggiornati i contenuti della seconda edizione, sulla base di nuovi o
aggiornati standard internazionali di riferimento. Inoltre, il modello fu rivisto e migliorato al fine di supportare i controlli sulla gestione, consentire il monitoraggio delle prestazioni (performance management) e sviluppare ulteriormente il Governo dell'IT. (torna all'indice) | | | | Come si è evoluto COBIT 4.0? L'IT Governance Institute, tramite il suo Comitato Direttivo di COBIT, si pone come
obiettivo il costante sviluppo della conoscenza contenuta in COBIT (COBIT body of knowledge).
A tal fine, negli ultimi due anni, il Comitato ha condotto una ricerca su diversi aspetti riguardanti gli obiettivi di controllo e le linee guida per il Management. Tale ricerca è stata condotta sulla base dell'esperienza e con il contributo volontario di associati ad ISACA, utenti di COBIT, consulenti esperti e docenti universitari. Gruppi a livello locale, costituiti da 6 a 10 esperti, a
Bruxelles (Belgio), Londra (Regno Unito), Chicago (USA), Canberra (Australia), Città del Capo (Sud Africa), Washington DC (USA) e Copenhagen (Danimarca), si sono riuniti, in media due o tre volte l'anno, al fine di svolgere le attività di ricerca o revisione loro assegnate dal Comitato Direttivo di COBIT. Inoltre alcuni progetti di ricerca sono stati assegnati a facoltà universitarie ad indirizzo aziendale, come la University of Antwerp Management School (UAMS, Belgio) e la University of
Hawaii (USA).
I risultati di queste attività sono stati proposti in alcuni workshop, coinvolgendo in ciascuno circa 50 esperti di livello internazionale, che si sono concentrati sulle seguenti componenti del modello: gli obiettivi di controllo, le linee guida per il Management, il modello di maturità. Il Comitato Direttivo di COBIT ha consolidato tutti i risultati ottenuti; la revisione della bozza da parte di 90 specialisti ha completato il processo. (torna all'indice) | | | | Quali cambiamenti sono avvenuti nel business per stimolare un aggiornamento di COBIT?
Molti cambiamenti nel modo di operare delle aziende hanno reso necessario l'aggiornamento
di COBIT:
• La crescente attenzione sull'IT Management — La necessità di fornire un'appropriata
guida sulla gestione e il controllo degli attuali ambienti operativi IT
Enti sempre più interessati all' assurance — La necessità di rispondere ai bisogni degli auditor, degli
organi regolatori (regulators), degli esperti di sicurezza e di altre figure coinvolte nel fornire garanzie (assurance) circa le prestazioni dell'IT in condizioni diverse.
• Una maggior attenzione per la governance ai massimi livelli aziendali — Garantire un'attenzione adeguata dell'azienda per la governance e l'esistenza di meccanismi per allineare la gestione ed i controlli degli obiettivi IT con le necessità delle imprese.
• La crescente maturità delle migliori pratiche e standard
IT— Assicurare che le imprese adottino in misura sempre maggiore linee guida specializzate come ITIL e ISO 17799; in questo contesto COBIT può essere utilizzato come integratore e quadro di riferimento generale, continuando ad essere considerato altamente credibile ed una guida pratica per la totalità dei controlli IT.
• Un utilizzo integrato da parte dei tre principali utenti: il management, gli informatici e gli auditor — Assicurare che la struttura, la presentazione ed il linguaggio
utilizzato sia di facile comprensione e applicazione da parte degli stakeholder ai livelli direttivi, come pure dei professionisti e degli addetti.
• Una crescita nella regolamentazione e nella conformità – Assicurare che COBIT copra in modo totale l'ambito del Governo dell'IT e mostri come correlare i domini dell'IT Governance ed il COSO framework, così che COBIT possa continuare ad essere considerato come il
modello di riferimento de facto per i controlli dell'IT e per l'IT Governance. (torna all'indice) | | | | Quali sono le aree più interessate dagli aggiornamento di COBIT? IT Governance - Aggiornamento centrato sulle cinque aree che costituiscono l'IT Governance secondo la definizione di ITGI: allineamento strategico, creazione di valore, risk management, gestione delle risorse, misura delle
performance. COBIT copriva già molte di queste aree, ma l'analisi ha evidenziato alcune difformità che sono ora state superate rivedendo il titolo di alcuni processi IT ed aggiungendo alcuni nuovi obiettivi di controllo. COBIT 4.0 contiene una matrice di raccordo fra tutti i processi IT ed i cinque domini dell'IT Governance.
• Requisiti di business – L'orientamento di COBIT ai requisiti di business è sempre stato un principio fondamentale concretizzato negli "information criteria".
L'approfondita ricerca condotta dall'Università di Antwerp in merito alle modalità con cui l'IT contribuisce al raggiungimento degli obiettivi aziendali, nell'ambito di diversi settori economici, ha mostrato in modo diffuso l'esistenza di una relazione fra gli obiettivi aziendali e gli obiettivi dell'IT. La nuova versione di COBIT contiene una tabella che mostra le relazioni tra gli obiettivi di business, gli obiettivi IT ed i processi IT di COBIT per aiutare gli utilizzatori ad identificare
il collegamento tra l'IT ed il business nella propria organizzazione. Questo lavoro ha migliorato gli indicatori chiave di obiettivo e di prestazione.
• Armonizzazione – Al fine di agevolare gli utenti nell'integrazione di COBIT 4.0 con altre linee guida maggiormente dettagliate - ITIL, ISO 17799, PMBOK e PRINCE2 - si è provveduto ad armonizzare i termini ed i concetti utilizzati in COBIT 4.0
• Creazione di valore – L'enfasi sui controlli per gestire i rischi deriva dal fatto che COBIT
è nato come strumento di audit. COBIT 4.0 bilancia meglio i concetti di rischio e valore e utilizza i risultati di recenti ricerche in tema di value management nel campo dell'IT.
• Struttura dell'impresa (Enterprise architecture) — COBIT 4.0 fornisce schemi RACI (chi è Responsabile, chi è incaricato di svolgere l'attività—Addetto-, chi deve essere Consultato, chi deve essere Informato) per aiutare a definire correttamente i ruoli e le responsabilità in ciascuno dei processi IT. I concetti
di organizzazione aziendale (enterprise architecture) utilizzati sono ora illustrati all'interno del quadro di riferimento (framework), collegando tra loro obiettivi, risorse, informazioni e processi.
• Definizioni e flussi dei processi – Al fine di migliorare la comprensione del modello dei processi IT, COBIT 4.0 descrive ogni processo, i relativi flussi di input ed output, i riferimenti incrociati con gli altri processi.
• Linguaggio e presentazione— In COBIT 4.0 è stato usato un
linguaggio più conciso, attuale ed operativo (action-oriented). Gli obiettivi di controllo e le linee guida per il management sono stati raggruppati insieme in ogni processo IT.
• Feedback – Gli utenti inviano regolarmente commenti e suggerimenti; questi, insieme ai feedback ricevuti dalle tre "COBIT User Conventions", sono stati usati per migliorare il contenuto di COBIT 4.0. (torna all'indice) | | | | Quali componenti di COBIT sono stati modificati nella nuova versione 4.0?
Obiettivi di Controllo
• Allineamento
"dal particolare al generale", tra COBIT e IT Governance. Un'analisi su come gli obiettivi di controllo di dettaglio possono essere mappati sui cinque domini dell'IT Governance per identificare possibili non coperture.
• Allineamento "dal generale al particolare", tra COBIT e IT Governance. Una ricerca sulle più importanti prassi di IT Governance che non erano state considerate appieno nella versione 3 di COBIT al fine di ridurre potenziali carenze.
• Armonizzazione di COBIT con altri
standard di maggior dettaglio. Una dettagliata mappatura tra COBIT ed ITIL, CMM, COSO, PMBOK, ISF e ISO/IEC17799 per consentire l'allineamento con tali standard per quanto riguarda il linguaggio, le definizioni e i concetti.
Sebbene ci siano 34 obiettivi di controllo di alto livello sia in COBIT 3a Edizione sia in COBIT 4.0, questi 34 obiettivi non sono però gli stessi. I cambiamenti possono essere così sintetizzati:
• Il dominio M è ora diventato ME, con il significato di Monitoraggio
e Valutazione (Monitor and Evaluate).
• M3 ed M4 erano processi di Audit e non processi IT; sono stati rimossi, perchè sono adeguatamente coperti da un certo numero di standard di IT Audit, ma, nella nuova versione aggiornata del framework, sono stati inseriti dei riferimenti per sottolineare che i manager hanno bisogno e debbono usare le funzioni di "assurance".
• ME4 comprende il processo di supervisione della IT Governance.
• ME3 è il processo connesso alla supervisione della
conformità a norme e regolamenti, tale finalità era precedentemente inclusa nel processo PO8.
• Il Processo PO8-Conformità è stato quindi rimosso; volendo mantenere la numerazione consistente con quella della 3a Edizione per PO9-Valutare i rischi e PO10-Gestire i progetti, il vecchio processo PO11 ne ha preso il posto ed è diventato PO8-Gestire la qualità. Il dominio PO ha ora 10 processi invece di 11.
• Il dominio AI ha richiesto due modifiche: l'aggiunta di un processo di procurement
(acquisizione) e la necessità di includere in AI5 le funzioni di "release management". Quest'ultima modifica e la necessità che questo processo fosse l'ultimo del dominio AI ha fatto sì che fosse classificato come AI7. Lo spazio così creato è stato pertanto usato per aggiungere il nuovo processo AI5- Acquisire le risorse IT. Il dominio AI ha ora sette processi invece di sei.
Linee Guida per il Management
Chiarimento della relazione causa effetto fra KGI e KPI , attraverso
l'identificazione con maggior dettaglio di come i KPI conducano al conseguimento dei KGI. Revisione della qualità dei KGI, KPI e CSF, attraverso il miglioramento della qualità delle metriche grazie alla precedente analisi della relazione causa effetto tra KPI e KGI. Suddivisione dei CSF tra quanto deve pervenire dall'esterno (input) e quanto deve essere fatto internamente al processo (management practice): Analisi di dettaglio dei concetti che sottendono le metriche. Assieme ad esperti di
metriche sono stati approfonditi e migliorati i concetti alla base di ciascuna metrica per costruire metriche in cascata fra i processi IT e quelli aziendali identificando criteri di qualità per le metriche stesse. Collegamento fra gli obiettivi aziendali, gli obiettivi IT e gli obiettivi di processo. Una ricerca approfondita in otto differenti settori economici ha permesso di conseguire una visione più dettagliata di come i processi di COBIT facciano da supporto per conseguire specifici
obiettivi IT e per estensione gli obiettivi aziendali; i risultati sono stati poi generalizzati. Revisione dei contenuti del modello di maturità per garantire consistenza e qualità dei livelli di maturità tra diversi processi e all'interno di ciascun processo, anche attraverso il miglioramento e l'ampliamento delle definizioni degli attributi del modello di maturità. (torna all'indice) | | | | Cosa comprende il nuovo volume COBIT 4.0?
Il nuovo volume di COBIT 4.0 è suddiviso in 4 sezioni:
• l'Executive Overview
• il Framework (Quadro di riferimento)
• la parte principale del modello (Core Content) costituita da obiettivi di controllo, di alto livello e di dettaglio, dalle linee guida per il management e dal modello di maturità
• le Appendici, che contengono diverse mappature e riferimenti (cross-references), un ampia informativa sul modello di maturità, una bibliografia ed elenco delle fonti, la descrizione
dei prossimi passi nello sviluppo di COBIT, un
dizionario). La parte principale del modello (Core Content) è suddivisa in base a 34 processi IT. Ciascun processo è articolato in quattro sezioni di circa una pagina ciascuna, organizzate in modo da fornire un quadro completo su come controllare, gestire e misurare il processo.
Le quattro sezioni per ogni processo, nell'ordine, sono:
• l'obiettivo di controllo di alto livello del processo:
∗ la descrizione del processo che riassume gli scopi del processo
∗ l'obiettivo di controllo di alto livello descritto utilizzando uno schema "a cascata"
che riassume le finalità, le metriche e le practice del processo
∗ la collocazione del processo rispetto ai domini, ai criteri di valutazione delle informazioni
(information criteria) e le risorse IT.
• gli obiettivi di controllo di dettaglio del processo
• le linee guida di gestione (Management Guidelines): input e output del processo, la
tabella dei ruoli RACI (Responsabile, Addetto, Consultato e Informato), scopo e metriche
il modello di maturità del processo.
Un diverso modo di descrivere il contenuto del processo è il seguente:
• Gli input di processo sono ciò che il responsabile del processo aziendale chiede agli altri.
• L'illustrazione del processo descrive quello che il responsabile del processo aziendale
deve fare.
• Gli output di processo sono costituiti da ciò che il responsabile del processo aziendale
deve produrre.
• Gli scopi e le metriche illustrano come il processo deve essere misurato.
• La tabella RACI definisce cosa deve essere delegato ed a chi.
• Il modello di maturità mostra come il processo possa essere corretto per essere migliorato. . (torna all'indice) | | | | Quali sono le differenze tra COBIT 4.0 e COBIT 3a edizione?
COBIT 4.0 sostituisce le seguenti parti della terza edizione:
Executive Summary, Framework, Control Objectives e Management Guidelines. È in corso l'aggiornamento delle Control Practices e delle Audit Guidelines per allinearle ai cambiamenti apportati al framework e ai contenuti di COBIT 4.0. L'Implementation Tool Set della terza versione è sostituito dall' IT Governance Implementation Guide, pubblicata nel 2003, comunque l'Implementation Tool Set è ancora disponibile e contiene diverse indicazioni utili. (torna all'indice) | | | | COBIT 4.0 sostituisce la terza edizione di COBIT?
COBIT 4.0 è un'evoluzione di COBIT 3a Edizione e non invalida in alcun modo le implementazioni o le attività basate su COBIT 3a Edizione, in quanto pienamente compatibili con COBIT 4.0. La sezione introduttiva di COBIT 4.0 offre l'opportunità, ove possibile, di migliorare ulteriormente la Governance dell'IT e il sistema di controllo fornendo esempi di transizione. Tale transizione è supportata da una serie di mappature incluse in allegato a COBIT 4.0; inoltre, per facilitare
tale attività di transizione, rimarrà disponibile anche la versione 3.2 di COBIT Online che non subirà alcun aggiornamento. COBIT Online continuerà con regolarità ad essere aggiornato con nuove versioni, le successive alla 3.2 saranno rilasciate in formato elettronico; se necessario, gli aggiornamenti verranno occasionalmente pubblicati in formato cartaceo. (torna all'indice) | | | | Dove posso trovare COBIT 4.0?
COBIT 4.0 è disponibile dalla fine di novembre 2005. Buona parte dei suoi contenuti può essere scaricata o
anche acquistata, assieme agli altri prodotti di COBIT, all'indirizzo www.isaca.org/bookstore. (torna all'indice) | |
|
