29.5.2014 - Padova - ISACA VENICE Chapter

1 Levoluzione di COBIT - D. Monteleone

Sistema di Controllo

Interno e Governo dei

Sistemi Informativi

Diego Monteleone

Padova, 29 maggio 2014

Verso il GOVERNO dei SISTEMI INFORMATIVI

29.5.2014 - Padova - ISACA VENICE Chapter

2 Levoluzione di COBIT - D. Monteleone

Sistema di Controllo

Interno e Governo dei

Sistemi Informativi

COBIT 5 e CobiT 4.1

Evoluzione di framework

e di esigenze aziendali

29.5.2014 - Padova - ISACA VENICE Chapter

3 Levoluzione di COBIT - D. Monteleone

Verso il GOVERNO dei SISTEMI INFORMATIVI

Sponsor e

sostenitori di

ISACA VENICE

Chapter

Con il

patrocinio di

29.5.2014 - Padova - ISACA VENICE Chapter

4 Levoluzione di COBIT - D. Monteleone

ABSTRACT

La nuova versione del framework COBIT ha evidenziato una evoluzione in termini di struttura e di intenti. Il presente intervento si pone come obiettivo quello di comprendere le esigenze che hanno imposto il cambiamento e le possibili implicazioni per i soggetti interessati allambito dellIS Governance. Alcune domande che vorremmo indirizzare sono pertanto:

quali sono le esigenze legate allemissione di una nuova versione del framework?

qual la necessit sottostante il nuovo approccio basato sulle Management Practice?

che esigenze hanno le aziende in termini di governo e gestione dellIT?

29.5.2014 - Padova - ISACA VENICE Chapter

5 Levoluzione di COBIT - D. Monteleone

Agenda

Sistema di Controllo Interno

Alcuni riferimenti normativi

CobiT 4.1

COBIT 5

Governo e Gestione dellEnterprise IT

L'approccio KPMG

Conclusioni

Referenze

29.5.2014 - Padova - ISACA VENICE Chapter

6 Levoluzione di COBIT - D. Monteleone

Sistema di Controllo Interno

Definizione ed obiettivi ll Sistema di Controllo Interno e Gestione dei Rischi (di seguito "SCIGR") [] linsieme di strumenti, strutture organizzative, norme e

regole aziendali volte a consentire una conduzione dellimpresa sana, corretta e coerente con gli obiettivi aziendali definiti dal Consiglio di Amministrazione, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, cos come attraverso la strutturazione di adeguati flussi informativi volti a garantire la circolazione delle informazioni (1).

Il sistema di controllo interno e di gestione dei rischi linsieme delle regole, delle procedure e delle strutture organizzative volte a consentire lidentificazione, la misurazione, la gestione e il monitoraggio dei principali rischi (2).

Intern control is a process, effected by an entitys board of directors, management, and other personnel, designed to provide reasonable assurance regarding the achievement of objectives relating to operations, reporting, and compliance (3).

Un sistema di controllo interno (SCI) ha come obiettivo e priorit il governo dellazienda attraverso lindividuazione, valutazione, monitoraggio, misurazione e mitigazione/gestione di tutti i rischi d'impresa, coerentemente con il livello di rischio scelto/accettato dal vertice aziendale (4).

Genesi ed evoluzione I sistemi di controllo interno delle societ spesso nascono da esigenze di adeguamento normativo

Al fine di dimostrarsi efficaci, i sistemi di controllo interno delle societ necessitano di aggiornamenti costanti

Considerati i costi di gestione di un sistema di controllo interno (efficace), lapproccio non pu essere relegato alla semplice componenete di compliance ma deve necessariamente essere finalizzato (almeno per le Societ che vogliono avere vantaggi competitivi anche in ambito IT) al raggiungimento di valore.

http://www.eni.com/it_IT/governance/controlli-governance/governance-sistema-controllo-interno/sistema-controllo-interno.shtml

29.5.2014 - Padova - ISACA VENICE Chapter

7 Levoluzione di COBIT - D. Monteleone

Alcuni riferimenti normativi Sarbanes-Oxley Act (SOX) (5) Nellaprile 2004, lIT Governance Institute ha pubblicato Obiettivi di Controllo IT per il Sarbanes-Oxley Act per

aiutare le aziende a valutare ed a migliorare il loro sistema di controllo interno.

I quattro principali ambiti di controllo IT da considerare per rispondere alle esigenze di adeguamento normativo previste dal Sarbanes-Oxley Act sono: sviluppo dei programmi, gestione delle modifiche, attivit operative, accesso a dati e programmi. In conseguenza di quest'ultimo sono stati definiti complessivamente 12 obiettivi di controllo IT aderenti ai controlli generali IT identificati dal PCAOB Auditing Standard n. 2 ed ai processi del COBIT.

Legge 262/2005 (6) Con lintroduzione della Legge 28 dicembre 2005 n. 262 in materia di Disposizioni per la tutela del risparmio e la

disciplina dei mercati finanziari, entrata in vigore il 12 gennaio 2006, stato disposto un rafforzamento della responsabilit delle aziende e della tutela del risparmio investito in strumenti finanziari.

Relativamente alla componente IT, la Legge 262/2005 non fornisce indicazioni puntuali sulle modalit con le quali effettuare la valutazione del sistema dei controlli in ambito IT. Di conseguenza linsieme dei controlli definiti dalla metodologia COBIT (Control Objectives for Information and related Technology pubblicato dallIT Governance Institute) si pone come punto di riferimento certo per colmare questo gap.

Codice autodisciplina (7) Nel dicembre del 2011 stato pubblicato il nuovo testo revisionato del Codice per la corporate governance delle

societ quotate italiane elaborato, in linea di continuit con quanto avvenne nel 1999, da un Comitato per la Corporate Governance, ossia da un soggetto dalla natura composita costituito da rappresentanti di Borsa Italiana e delle Associazioni di categoria delle imprese bancarie, assicurative e industriali e degli investitori istituzionali.

Tale codice di autodisciplina fornisce indicazioni su tematiche di Sistema di Controllo Interno e di Gestione dei Rischi senza tuttavia approfondire tale aspetto in merito allInformation Technology. Per tale motivo un gruppo di lavoro formato da esperti di IT Risk & Governance ha definito un position paper per fornire uninterpretazione del Codice come guida e supporto alle societ quotate impegnate ad affrontare le tematiche di IT Governance. Il framework di riferimento identificato COBIT 5.

29.5.2014 - Padova - ISACA VENICE Chapter

8 Levoluzione di COBIT - D. Monteleone

CobiT 4.1 CobiT 4.1

The comprehensive IT governance framework that addresses every aspect of IT and integrates all of the main global IT standards

Nelle versioni che precedono COBIT 5, esistono elementi di legame tra business goal ed IT-related goals. Questi tuttavia non sono sviluppati come nellultima versione. Inoltre, lelemento fondante del framework dato dagli obiettivi di controllo. Questo ad esempio emerge dallanalisi della struttura del piano editoriale (i.e.: CobIT Audit Guidelines, Control Practice).

2009, ISACA, CobiT Transforming Enterprise IT (8)

Control Practices

IT Processes

Business Requirements

Control Statements

The control of

Which satisfy

Is enabled by

Considering

29.5.2014 - Padova - ISACA VENICE Chapter

9 Levoluzione di COBIT - D. Monteleone

COBIT 5 Goal Cascade

A partire dai driver che guidano i bisogni dei portatori di interesse della Societ (Stakeholder Needs), la Goal Cascade lega gli obiettivi dellimpresa agli obiettivi IT e questi ultimi ai processi di governo e gestione dellEnterprise IT.

5 Principi

Meeting Stakeholder Needs

Covering the Enterprise End-to-end

Applying a Single, Integrated Framework

Enabling a Holistic Approach

Separating Governance From Management

7 fattori abilitanti

Principles, policies and frameworks

Processes

Organisational structures

Culture, ethics and behaviour

Information

Services, infrastructure and applications

People, skills and competencies

Piano editoriale consistente

Configuration Management Using COBIT 5

Vendor Management: Using COBIT 5

COBIT 5

A Business Framework for the Governance and Management of Enterprise IT

COBIT 5 permette di ottenere maggior valore aggiunto dalle informazioni aziendali e dalla tecnologia.

Business Outcomes of Governance of Enterprise IT (GEIT) (9):

- Improveved Management of IT-Related Risk

- Improved Communication and relationships between Business and IT

- Lower IT Costs

- Improved IT delivery of Business Objectives

- Improved Business Competitiveness.

29.5.2014 - Padova - ISACA VENICE Chapter

10 Levoluzione di COBIT - D. Monteleone

COBIT 5

Al fine di migliorare laccesso alle informazioni di COBIT, stato recentemente pubblicato COBIT On Line, uno strumento che permette una navigazione efficace dei principali volumi che costituiscono il framework.

29.5.2014 - Padova - ISACA VENICE Chapter

11 Levoluzione di COBIT - D. Monteleone

Governo e Gestione dellEnterprise IT

Lelemento fondante del concetto di IS Governance contenuto nella definizione:

un insieme di logiche e strumenti finalizzati alla creazione di un assetto strutturale e di un contesto di governo del sistema informativo aziendale che lo rendano costantemente coerente con le esigenze aziendali in un contesto di economicit.

IS Governance si occupa quindi di migliorare strutturalmente il livello di allineamento dei sistemi informativi con le esigenze aziendali e, a tal fine, ricerca e raccomanda ladozione di nuove e pi adeguate modalit per la loro gestione (10).

A nostro avviso, la declinazione degli elementi costitutivi di CobiT 4.1 secondo logiche Control Objectives e Control Practice ha lasciato il passo ad un nuovo approccio basato sulle Management Practice che, supportato da una struttura e da principi innovativi, meglio si adottano a rappresentare la necessit di definire processi di IT Governance ed IT Management che permettano allIT di abilitare i processi di business.

29.5.2014 - Padova - ISACA VENICE Chapter

12 Levoluzione di COBIT - D. Monteleone

Governo e Gestione dellEnterprise IT

Esempio di processo (Manage Requirements Definition) declinato secondo le "Management Practice", finalizzato a mettere in luce lapproccio end-to-end.

29.5.2014 - Padova - ISACA VENICE Chapter

13 Levoluzione di COBIT - D. Monteleone

Lapproccio KPMG

29.5.2014 - Padova - ISACA VENICE Chapter

14 Levoluzione di COBIT - D. Monteleone

Lapproccio KPMG: Enterprise & IT-related Goals

Enterprise Goal e IT-related Goal sono mappati secondo le 4 dimensioni della Balanced Scorecard

29.5.2014 - Padova - ISACA VENICE Chapter

15 Levoluzione di COBIT - D. Monteleone

Lapproccio KPMG: Enterprise & IT-related Goals

29.5.2014 - Padova - ISACA VENICE Chapter

16 Levoluzione di COBIT - D. Monteleone

Lapproccio KPMG: Process Reference Model

29.5.2014 - Padova - ISACA VENICE Chapter

17 Levoluzione di COBIT - D. Monteleone

Lapproccio KPMG: Process Information

29.5.2014 - Padova - ISACA VENICE Chapter

18 Levoluzione di COBIT - D. Monteleone

Lapproccio KPMG: Management Practice

29.5.2014 - Padova - ISACA VENICE Chapter

19 Levoluzione di COBIT - D. Monteleone

Lapproccio KPMG: Control Objectives

29.5.2014 - Padova - ISACA VENICE Chapter

20 Levoluzione di COBIT - D. Monteleone

CONCLUSIONI

COBIT 5 un framework che presenta un approccio innovativo:

definito come business framework, pone obiettivi rivolti allEnterprise IT

valutazione dei processi end-to-end ed approccio olistico

framework di governo e gestione dellIT che indirizzano lutilizzo di altri framework/standard di dettaglio

complementare a CobiT 4.1 nellottica della valutazione degli obiettivi di controllo

non uno strumento scritto dallIT ad esclusivo beneficio dellIT.

Per le ragioni sopra riportate in sintesi, a nostro avviso COBIT 5 finalizzato a rafforzare lallineamento del governo dellIT con le esigenze di business (Governance of Enterprise IT), al fine di permettere limplementazione di processi efficaci (che raggiungono gli obiettivi), dato un determinato livello di rischio.

Data la struttura articolata del framework, KPMG ha sviluppato un tool facilmente navigabile per permetterne la consultazione mettendo in evidenza:

legame business goals & IT-related goals

legame IT-related goals & processi IT

Management Practices (anche in termini di input ed output)

legame Management Practice & obiettivi di controllo.

29.5.2014 - Padova - ISACA VENICE Chapter

21 Levoluzione di COBIT - D. Monteleone

Referenze

1) http://www.eni.com/it_IT/governance/controlli-governance/governance-sistema-controllo-interno/sistema-controllo-interno.shtml

2) http://www.mondadori.it/Governance/Il-sistema-di-controllo-interno-e-di-gestione-dei-rischi

3) COSO Committee of Sponsoring Organizations of the Treadway Commission, Internal Control Integrated Framework, May 2013

4) http://it.wikipedia.org/wiki/Sistema_di_controllo_interno

5) http://www.aiea.it/pdf/download/SOX.pdf

6) http://www.aiea.it/pdf/download/AIEA-GUIDA8%20262.PDF

7) http://www.aiea.it/pdf/gruppi%20di%20ricerca/Codice%20di%20autodisciplina%20e%20IT%20Governance.pdf

8) 2009, ISACA, CobiT Transforming Enterprise IT, http://www.isaca.org/Knowledge-Center/cobit/Documents/COBIT-Overview.ppt

9) 5 Essential Facts about COBIT 5, http://www.isaca.org/COBIT/Documents/5-Essential-Facts-about-COBIT.pdf

10) AIEA - Associazione Italiana Information Systems Auditors, I legami fra gli obiettivi aziendali e i processi IT secondo il framework COBIT, a cura di Paola Bielli, Severino Meregalli, Elisa Pozzoli, Gianluca Salviotti, Stefano Vallini.

http://www.eni.com/it_IT/governance/controlli-governance/governance-sistema-controllo-interno/sistema-controllo-interno.shtmlhttp://www.eni.com/it_IT/governance/controlli-governance/governance-sistema-controllo-interno/sistema-controllo-interno.shtmlhttp://www.eni.com/it_IT/governance/controlli-governance/governance-sistema-controllo-interno/sistema-controllo-interno.shtmlhttp://www.eni.com/it_IT/governance/controlli-governance/governance-sistema-controllo-interno/sistema-controllo-interno.shtmlhttp://www.eni.com/it_IT/governance/controlli-governance/governance-sistema-controllo-interno/sistema-controllo-interno.shtmlhttp://www.eni.com/it_IT/governance/controlli-governance/governance-sistema-controllo-interno/sistema-controllo-interno.shtmlhttp://www.eni.com/it_IT/governance/controlli-governance/governance-sistema-controllo-interno/sistema-controllo-interno.shtmlhttp://www.eni.com/it_IT/governance/controlli-governance/governance-sistema-controllo-interno/sistema-controllo-interno.shtmlhttp://www.eni.com/it_IT/governance/controlli-governance/governance-sistema-controllo-interno/sistema-controllo-interno.shtmlhttp://www.eni.com/it_IT/governance/controlli-governance/governance-sistema-controllo-interno/sistema-controllo-interno.shtmlhttp://www.eni.com/it_IT/governance/controlli-governance/governance-sistema-controllo-interno/sistema-controllo-interno.shtmlhttp://www.eni.com/it_IT/governance/controlli-governance/governance-sistema-controllo-interno/sistema-controllo-interno.shtmlhttp://www.eni.com/it_IT/governance/controlli-governance/governance-sistema-controllo-interno/sistema-controllo-interno.shtmlhttp://www.eni.com/it_IT/governance/controlli-governance/governance-sistema-controllo-interno/sistema-controllo-interno.shtmlhttp://www.mondadori.it/Governance/Il-sistema-di-controllo-interno-e-di-gestione-dei-rischihttp://www.mondadori.it/Governance/Il-sistema-di-controllo-interno-e-di-gestione-dei-rischihttp://www.mondadori.it/Governance/Il-sistema-di-controllo-interno-e-di-gestione-dei-rischihttp://www.mondadori.it/Governance/Il-sistema-di-controllo-interno-e-di-gestione-dei-rischihttp://www.mondadori.it/Governance/Il-sistema-di-controllo-interno-e-di-gestione-dei-rischihttp://www.mondadori.it/Governance/Il-sistema-di-controllo-interno-e-di-gestione-dei-rischihttp://www.mondadori.it/Governance/Il-sistema-di-controllo-interno-e-di-gestione-dei-rischihttp://www.mondadori.it/Governance/Il-sistema-di-controllo-interno-e-di-gestione-dei-rischihttp://www.mondadori.it/Governance/Il-sistema-di-controllo-interno-e-di-gestione-dei-rischihttp://www.mondadori.it/Governance/Il-sistema-di-controllo-interno-e-di-gestione-dei-rischihttp://www.mondadori.it/Governance/Il-sistema-di-controllo-interno-e-di-gestione-dei-rischihttp://www.mondadori.it/Governance/Il-sistema-di-controllo-interno-e-di-gestione-dei-rischihttp://www.mondadori.it/Governance/Il-sistema-di-controllo-interno-e-di-gestione-dei-rischihttp://www.mondadori.it/Governance/Il-sistema-di-controllo-interno-e-di-gestione-dei-rischihttp://www.mondadori.it/Governance/Il-sistema-di-controllo-interno-e-di-gestione-dei-rischihttp://www.mondadori.it/Governance/Il-sistema-di-controllo-interno-e-di-gestione-dei-rischihttp://www.mondadori.it/Governance/Il-sistema-di-controllo-interno-e-di-gestione-dei-rischihttp://www.mondadori.it/Governance/Il-sistema-di-controllo-interno-e-di-gestione-dei-rischihttp://www.mondadori.it/Governance/Il-sistema-di-controllo-interno-e-di-gestione-dei-rischihttp://www.mondadori.it/Governance/Il-sistema-di-controllo-interno-e-di-gestione-dei-rischihttp://www.mondadori.it/Governance/Il-sistema-di-controllo-interno-e-di-gestione-dei-rischihttp://it.wikipedia.org/wiki/Sistema_di_controllo_internohttp://it.wikipedia.org/wiki/Sistema_di_controllo_internohttp://it.wikipedia.org/wiki/Sistema_di_controllo_internohttp://www.aiea.it/pdf/download/SOX.pdfhttp://www.aiea.it/pdf/download/SOX.pdfhttp://www.aiea.it/pdf/download/SOX.pdfhttp://www.aiea.it/pdf/download/AIEA-GUIDA8 262.PDFhttp://www.aiea.it/pdf/download/AIEA-GUIDA8 262.PDFhttp://www.aiea.it/pdf/download/AIEA-GUIDA8 262.PDFhttp://www.aiea.it/pdf/gruppi di ricerca/Codice di autodisciplina e IT Governance.pdfhttp://www.aiea.it/pdf/gruppi di ricerca/Codice di autodisciplina e IT Governance.pdfhttp://www.aiea.it/pdf/gruppi di ricerca/Codice di autodisciplina e IT Governance.pdfhttp://www.isaca.org/Knowledge-Center/cobit/Documents/COBIT-Overview.ppthttp://www.isaca.org/Knowledge-Center/cobit/Documents/COBIT-Overview.ppthttp://www.isaca.org/Knowledge-Center/cobit/Documents/COBIT-Overview.ppthttp://www.isaca.org/Knowledge-Center/cobit/Documents/COBIT-Overview.ppthttp://www.isaca.org/Knowledge-Center/cobit/Documents/COBIT-Overview.ppthttp://www.isaca.org/COBIT/Documents/5-Essential-Facts-about-COBIT.pdfhttp://www.isaca.org/COBIT/Documents/5-Essential-Facts-about-COBIT.pdfhttp://www.isaca.org/COBIT/Documents/5-Essential-Facts-about-COBIT.pdfhttp://www.isaca.org/COBIT/Documents/5-Essential-Facts-about-COBIT.pdfhttp://www.isaca.org/COBIT/Documents/5-Essential-Facts-about-COBIT.pdfhttp://www.isaca.org/COBIT/Documents/5-Essential-Facts-about-COBIT.pdfhttp://www.isaca.org/COBIT/Documents/5-Essential-Facts-about-COBIT.pdfhttp://www.isaca.org/COBIT/Documents/5-Essential-Facts-about-COBIT.pdfhttp://www.isaca.org/COBIT/Documents/5-Essential-Facts-about-COBIT.pdfhttp://www.isaca.org/COBIT/Documents/5-Essential-Facts-about-COBIT.pdf

29.5.2014 - Padova - ISACA VENICE Chapter

22 Levoluzione di COBIT - D. Monteleone

Grazie per lattenzione!

Rudi Triban

TELEFONO: +39 3488217464

MAIL: rtriban@kpmg.it

Diego Monteleone

TELEFONO: +39 3477502608

MAIL: dmonteleone@kpmg.it

mailto:rtriban@kpmg.itmailto:dmonteleone@kpmg.it