Post on 06-Jul-2020
CobiT 4.1
Nuovi supporti per l’Audit
e l’Assessment
Andrea Pederiva, CISA, MBA
Soxa O
ffic
e –
Banca A
nto
nveneta
Roma, 29 Febbraio 2007
Slide 2
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
Indice
Parte 1 –Overview della Suite CobiT 4.1
Parte 2 –IT Governance
-CobiT governance content (IT Gov. Guidelines / Val IT)
Parte 3 –Organizzazione e Controllo dell’IT
-CobiT core content (COs, I/Os, RACI, m
etrics, maturity, ctrl oractices, assurance guide)
Parte 4 –
Strumenti di supporto per l’applicazione e la
form
azione
-IT Governance Implementation Guide -2nd ed, Mapping Series
Parte 5 –
Conclusioni
-Cos’è veramente nuovo?
-No m
ore excuses
Parte 1
Overview della Suite CobiT 4.1
Slide 4
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
La struttura della Suite CobiT
��
Inform
ation Security Governance
Strumenti a
supporto
dell’applica-
zione e della
form
azione
Organizzazione
e Controllo
dell’IT
IT Governance
���������
Assoc
��
Courses, Conventions, Academic material
Education
�IT Control Objectives for Sarbanes-Oxley
CobiT Security Baseline
�CobiT Quickstart
Special purpose
�CobiT Mapping Series
�CobiT Online
��
Aligning CobiT, ITIL & ISO1779 for bsns benefit
��
IT Governance Implementation Guide -2nded.
Implementation guidelines and tool set
�IT Assurance Guide
�CobiT Control Practices
�CobiT 4.1 (COs, I/Os, RACI, Metrics, Maturity)
Set up and control of an IT services organization
��
Val IT
��
Board Briefing on IT Governance -2nded.
Executives’role and duties
Mgrs
Exec
La
logica della
proposta
CobiT
Materiali
“core
content”
già presenti
in CobiT 3
ma rivisti in
CobiT 4
Slide 5
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
Legenda
Liberamente scaricabile da
www.isaca.org o www.itgi.org
Riservato ai soci ISACA
A pagamento
Conoscere la Suite CobiT
Nato nel 1996, CobiT è
diventato un set completo
di metodi e strumenti per
l’IT Governance.
Conoscere i contenuti
delle diverse componenti
consente di applicare in
ogni contesto lo strumento
più appropriato.
$ $ $ $$
��
Val IT
��
�Courses, Conventions, Academic material
Education
��
IT Control Objectives for Sarbanes-Oxley
�CobiT Security Baseline
��
CobiT Quickstart
Special purpose
��
CobiT Mapping Series
��
CobiT Online
��
Aligning CobiT, ITIL & ISO1779 for bsns benefit
��
IT Governance Implementation Guide -2nded.
Implementation guidelines and tool set
��
IT Assurance Guide
��
CobiT Control Practices
��
CobiT 4.1 (COs, I/Os, RACI, Metrics, Maturity)
Set up and control of an IT services organization
��
Inform
ation Security Governance
��
Board Briefing on IT Governance -2nded.
Executives’role and duties
Assoc
Mgrs
Exec
Slide 6
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
Parte 2
IT Governance
��
Val IT
��
CobiT Mapping Series
��
CobiT Online
��
Aligning CobiT, ITIL & ISO1779 for bsns benefit
��
IT Governance Implementation Guide -2nded.
Implementation guidelines and tool set
��
IT Assurance Guide
��
CobiT Control Practices
��
CobiT 4.1 (COs, I/Os, RACI, Metrics, Maturity)
Set up and control of an IT services organization
��
Inform
ation Security Governance
��
Board Briefing on IT Governance -2nded.
Executives’role and duties
Assoc
Mgrs
Exec
Assoc
Mgrs
Exec
��
�Courses, Conventions, Academia
Education
��
IT Control Objectives for SOXA
�CobiT Security Baseline
��
CobiT Quickstart
Special purpose
Slide 7
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
IT Governance
Conosciamo bene le attività di un
IT M
anager, di un sistemista o di
uno sviluppatore…
…ma quali devono essere
le attività di governo dell’IT
da parte del management?
Slide 8
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
Output
(measure
perform
ance
& outcomes)
Input
(provide
direction)
Input
(provide
resources)
L’IT Governance secondo CobiT
Pianificazione
dell’IT
Allineare le
strategie IT e di
business
Actions
Goals
IT Strategic Alignment
Attivazione di
metriche e reporting
orientate agli utenti
(ad es.: balanced
scorecard)
Misurare il
contributo dell’IT
agli obiettivi di
business
Actions
GoalsValue Delivery
Attivazione di
metriche e
reporting orientate
all’IT (ad es.:
balanced
scorecard)
Monitorare le
perform
ance
dell’IT
Actions
Goals
Performance Mgmt
Identificare e
gestire i rischi
Protezione del
valore
Actions
Goals
Risk Management
Identificazione e
soddisfacimento
dei bisogni di
risorse e gestione
dei costi
Acquisizione delle
risorse secondo
criteri di
economicità
Actions
Goals
Resource Management
Coherence
Slide 9
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
I ruoli che partecipano all’IT Governance
Board Level:
•Board
•IT Strategy Committee
C-Suite Level:
•CEO
•CIO
•CFO, COO, and others
IT Level
•IT Steering Committee
•Technology Council
•IT Architecture Review Board
Information Security
Governance…
…applicare all’IT Security
appropriate pratiche di
Governance!
Slide 10
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
Val IT
Key Terms
•Value
•Portfolio
•Programme
•Project
•Im
plement
Principles
•Manage IT-enabled investments as
portfolios of investments
-Include the full scope of activities that are
required to achieve business value.
-Manage IT-enabled investm
ents through
their full economic life cycle.
•Continually monitor, evaluate and
improve
-Define and m
onitor key metrics and
respond quickly to any changes or
deviations.
•Engage all stakeholders and assign
appropriate accountability
Gestire gli investimenti IT come progetti di cambiamento
abilitato dall’IT
Processes
•Value governance
•Portfolio management
•Investment management
Slide 11
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
Il Framework Val IT
Value
Governance
Portfolio
Management
Investment
Management
Slide 12
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
Val IT Processes & Mgmt Practices
Value Governance (VG)
•VG1 Ensure inform
ed and committed leadership
•VG2 Define and implement processes
•VG3 Define roles and responsibilities
•VG4 Ensure appropriate and accepted accountability
•VG5 Define inform
ation requirements
•VG6 Establish reporting requirements
•VG7 Establish organisational structures
•VG8 Establish strategic direction
•VG9 Define investment categories
•VG10 Determ
ine a target portfolio mix
•VG11 Define evaluation criteria by category
Portfolio Management (PM)
•PM1 Maintain a human resource inventory
•PM2 Identify resource requirements
•PM3 Perform
a gap analysis
•PM4 Develop a resourcing plan
•PM5 Monitor resource requirements and utilisation
•PM6 Establish an investm
ent threshold
•PM7 Evaluate the initial programme concept business case
•PM8 Evaluate and assign a relative score to the programme
business case
•PM9 Create an overall portfolio view
•PM10 Make and communicate the investment decision
•PM11 Stage-gate (and fund) selected programmes
•PM12 Optimise portfolio perform
ance
•PM13 Re-prioritise the portfolio
•PM14 Monitor and report on portfolio perform
ance
Investment Management (IM)
•IM1 Develop a high-level definition of investment
opportunity
•IM2 Develop an initial programme concept
business case
•IM3 Develop a clear understanding of candidate
programmes
•IM4 Perform
alternatives analysis
•IM5 Develop a programme plan
•IM6 Develop a benefits realisation plan
•IM7 Identify full life cycle costs and benefits
•IM8 Develop a detailed programme business case
•IM9 Assign clear accountability and ownership
•IM10 Initiate, plan and launch the programme
•IM11 Manage the programme
•IM12 Manage/track benefits
•IM13 Update the business case
•IM14 Monitor and report on programme
perform
ance
•IM15 Retire the programme
Slide 13
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
Val IT -Considerazioni
•Identifica la questione principale: gestire l’evoluzione dell’IT
come programma/i costituito/i da portafoglio/i di progetti
•Identifica alcuni aspetti critici: ad esempio, la necessità di
verificare il conseguimento dei benefici attesi (IM
12-
Manage/tra
ck b
enefits
-effettiva responsabilizzazione
rispetto ai risultati)
•Non identifica altri aspetti critici: ad esempio, la necessità
che la pianificazione dell’IT sia condivisa con e visibile a
tutte le funzioni di business (trasparenza della
prioritizzazione dei progetti)
•Il framework comprende una m
appatura fra processi in Val
IT e processi CobiT
Slide 14
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
IT Governance Global Status Report 2008
Key Messages:
1.
Championship for IT Governance Is at the C-level
2.
Importance of IT Continues to Increase.
3.
Self-assessment Regarding IT Governance Has Increased and Is Quite
Positive
4.
Communication Between IT and Users Is Improving, But Slowly
5.
There Is Room for Im
provement in Alignment Between IT and Business
6.
IT-related Problems Persist
7.
Good IT Governance Practices Are Known and Applied, But Not Universally
8.
Organisations Know W
ho Can Help
9.
Action Is Being Taken or Plans Are Underway to Implement IT Governance
Activities
10.Organisations Use the W
ell-known Frameworks and Solutions
11.COBIT Awareness Has Exceeded 50 Percent
12.More Than Half of the Respondents Apply or Plan to Apply Val IT Principles
13.Major Obstacles Include ROI and Knowledge/Expertise Issues
Slide 15
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
29%
29%
32%
0%
10%
20%
30%
40%
50%
60%
70%
80%
2003
2005
2007
IT Governance Global Status Report 2008
Il 16% delle organizzazioni IT
nel mondo utilizza CobiT.
A tendere? Almeno il 30%!
Ma…abbiamo raggiunto il
“tipping point”?
5%
8%
16%
0%
5%
10%
15%
20%
25%
30%
2003
2005
2007
18%
27%
51%
0%
10%
20%
30%
40%
50%
60%
70%
80%
2003
2005
2007
CobiT
Adoption
X=
CobiT
Awareness
CobiT
Usage
(within aware organisations)
Slide 16
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
Parte 3
Organizzazione e Controllo dell’IT
Assoc
Mgrs
Exec
��
�Courses, Conventions, Academia
Education
��
IT Control Objectives for SOXA
�CobiT Security Baseline
��
CobiT Quickstart
Special purpose
��
Val IT
��
CobiT Mapping Series
��
CobiT Online
��
Aligning CobiT, ITIL & ISO1779 for bsns benefit
��
IT Governance Implementation Guide -2nded.
Implementation guidelines and tool set
��
IT Assurance Guide
��
CobiT Control Practices
��
CobiT 4.1 (COs, I/Os, RACI, Metrics, Maturity)
Set up and control of an IT services organization
��
Inform
ation Security Governance
��
Board Briefing on IT Governance -2nded.
Executives’role and duties
Assoc
Mgrs
Exec
Slide 17
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
Le novità di CobiT 4.1
CobiT 3.1 � ���CobiT 4.0
Modifiche ai Control Objectives
•Rivisitazione del modello dei processi e
dei controlli in ottica di maggiore
aderenza alle attività IT ed al contenuto
di ITIL®
•Riform
ulazione dei Control Objectives al
modo imperativo (non più al condizionale)
Modifiche alle Management Guidelines
•Soppressione dei CSF e rivisitazione di
KPI e KGI su più livelli (BSC m
ultilivello)
•Introduzione di un m
odello organizzativo
mediante diagrammi RACI (Responsible,
Accountable, Consulted, Inform
ed)
•Definizione delle relazioni di input/output
fra i processi del framework
(MG in unico volume insieme ai CO)
CobiT 4.0 � ���CobiT 4.1
Perfezionamenti al testo
•Revisioni della form
ulazione dei Control
Objectives
Modifiche migliorative ai contenuti
•Riform
ulazione dei Process Controls e
degli Application Controls
•Riform
ulazione della sezione introduttiva
relativa al Perform
ance M
easurement
Successivo progressivo
allineamento delle altre
componenti la Suite CobiT
Slide 18
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
Obiettivi di Controllo
(raggruppati
in Domini/
Processi)
Relazioni
Input/Output
(fra Processi)
Metriche
(di Prestazione
e di Risultato)
CobiT 4.1 CO/MG
Maturity Model
(dei Processi)
Cosa devo fare?
Chi lo fa?
Che risultati
sto ottenendo?
Dove posso
migliorare?
Come si interfacciano
i processi?
Chi fa che cosa
(diagrammi
RACI)
ORGANIZZARE
MISURARE
MIGLIORARE
Slide 19
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
AI1 Identify automated solutions
AI2 Acquire and m
aintain application sw
AI3 Acquire and m
aintain technology
infrastructure
AI4 Enable operation and use
AI5 Procure IT resources
AI6 M
anage changes
AI7 Install & accredit solutions & changes
CobiT 4.1 CO/MG
AI Acquire & Implement
AI2.1 High-level Design
AI2.2 Detailed Design
AI2.3 Application Control and Auditability
AI2.4 Application Security and Availability
AI2.5 Configuration and Implementation of
Acquired Application Software
AI2.6 Major Upgrades to Existing Systems
AI2.7 Development of Application Software
AI2.8 Software Quality Assurance
AI2.9 Applications Requirements Mgmt
AI2.10 Application Software Maintenance
In caso di cambiamenti rilevanti ai sistemi
esistenti che comportino una modifica
significativa nella progettazione e/o nella
funzionalità dei sistemi esistenti, seguire un
processo di sviluppo analogo a quello per lo
sviluppo di nuovi sistemi.
AI2 Acquire & maintain
application sw
AI2.6 Major Upgrades
to Existing Systems
AI2 Acquire and m
aintain application sw
AI2.6 Major Upgrades to Existing Systems
ORGANIZZARE
Domini
Processi
Obiettivi di Controllo
Nota: sono disponibili le
traduzioni in italiano di AIEA
Obiettivi di controllo
4 Domini �
34 Processi �
210 CO (esempio)
Slide 20
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
PROCESS
FINISH
PROCESS
START
Attività
Attività
Attività
Attività
Attività
CobiT 4.1 CO/MG
ORGANIZZARE
Diagrammi RACI (chi fa che cosa)
I processi sono costituiti da attività; le attività sono svolte da
unità organizzative; organizzazione è anche definire la
struttura organizzativa, e assegnare le attività alle unità
organizzative.
Un modello di
organizzazione
potrà quindi essere
rappresentato da
una matrice attività /
unità organizzative.
Attività
Attività
Attività
Attività
Attività
Slide 21
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
CobiT 4.1 CO/MG
ORGANIZZARE
I diagrammi RACI evolvono il
concetto di “ownership” di
un’attività distinguendo fra
“responsibility” e “accountability”
e introducendo il ruolo di
“consulted” e “informed”
Diagrammi RACI (chi fa che cosa)
Slide 22
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
CobiT 4.1 CO/MG
ORGANIZZARE
Relazioni input / output fra processi
Le attività svolte nell’ambito dei processi producono
documenti (che peraltro rendono auditabile l’attività). I
contenuti di tali documenti possono diventare l’input per
altri processi.
Dominio Y
Dominio X
Processo X1
Processo Xn
Processo Y1
. . .
Processo Yn
. . .
Dominio Y
Dominio X
Processo X1
Processo Xn
Processo Y1
. . .
Processo Yn
. . .
Inputs / Outputs
------------
------------
------------
------------
------------
------------
. . .------------
------------
------------
------------
------------
------------
. . .
Slide 23
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
CobiT 4.1 CO/MG
ORGANIZZARE
Relazioni input / output fra processi
Input e Output del processo
“AI2 Acquire and Maintain
Application Software”
Slide 24
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
CobiT 4.1 CO/MG
MISURARE
Business
BSC
Financial
Goals
Metric
s
Internal
Goals
Metric
s
Innovation
Goals
Metric
s
Customer
Goals
Metric
s
IT BSC
Corporate
Goals
Metric
s
Innovation
Goals
Metric
s
Internal
Goals
Metric
s
User
Goals
Metric
s
Process
BSC
IT
Goals
Metric
s
Innovation
Goals
Metric
s
Internal
Goals
Metric
s
User
Goals
Metric
s
Le metriche consentono di misurare il
raggiungimento degli obiettivi.
Le m
etriche di obiettivo a
livello più basso
diventano m
etriche di
prestazione a livello più
alto (abilitanti per il
conseguimento degli
obiettivi di livello più alto).
BSC Multilivello
Slide 25
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
CobiT 4.1 CO/MG
MISURARE
Le metriche in CobiT
Goals
Activities Metrics
Activities
Level
misurano
Goals
Process Metrics
Process
Level
misurano
indirizzano
determinano
Perimetro delle
metriche in CobiT
Goals
IT Metrics
IT Level
misurano
indirizzano
determinano
Goals
Metrics
Business
Level
misurano
indirizzano
determinano
Slide 26
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
CobiT 4.1 CO/MG
MISURARE
Le metriche in CobiT (esempio)
Esempio: AI2 Acquire and Maintain Application Software
ITProcesso
Attività
Slide 27
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
CobiT 4.1 CO/MG
MIGLIORARE
Per il management è importante disporre di strumenti che consentano al
contempo di ottenere una valutazione complessiva del sistema di
governo e controllo dell’IT, e di identificare e prioritizzare eventuali
interventi. Il CobiT M
aturity M
odel risponde a tale esigenza.
Dove sono? E gli “altri”? Dove voglio andare?
Slide 28
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
CobiT 4.1 CO/MG
MIGLIORARE
Esempio di applicazione del Maturity Model
0
0,51
1,52
2,53
3,54
4,5
AI1
AI2
AI3
AI4
AI5
AI6
AI7
Target
Current
AI1 Identify automated
solutions
AI2 Acquire and maintain
application software
AI3 Acquire and maintain
technology infrastructure
AI4 Enable operation and use
AI5 Procure IT resources
AI6 Manage changes
AI7 Install and accredit
solutions and changes
Slide 29
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
CobiT 4.1 CO/MG
MIGLIORARE
Grazie ad opportuni strumenti è possibile confrontare la propriarealtà
aziendale con un m
odello di riferimento, e ottenere un profilo di
conform
ità rispetto al modello. Sulla base del profilo di conform
ità
possono essere individuati le azioni di miglioramento da porre in essere.
Si osservi come sia
possibile prioritizzare
gli interventi sulla base
di ulteriori inform
azioni
raccolta ad esempio
dal confronto della
realtà aziendale con le
altre componenti di
CobiT: Control
Objectives, relazioni di
I/O, diagrammi RACI.
Concretamente? Come si individuano
gli interventi per migliorare?
Slide 30
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
CobiT 4.1 CO/MG
MIGLIORARE
Esempio di modello di maturità (1/2)
0 Non-existent
There is no process for designing and specifying applications. Typically, applications are
obtained based on vendor-driven offerings, brand recognition or IT staff familiarity withspecific
products, with little or no consideration of actual requirements.
1 Initial/ Ad Hoc
There is an awareness that a process for acquiring and maintaining applications is required.
Approaches to acquiring and maintaining application software vary from project to project. Some
individual solutions to particular business requirements are likely to have been acquired
independently, resulting in inefficiencies with maintenance and support.
2 Repeatable but Intuitive
There are different, but similar, processes for acquiring and maintaining applications based on the
expertise within the IT function. The success rate with applications depends greatly on the in-house
skills and experience levels within IT. Maintenance is usually problematic and suffers when internal
knowledge is lost from the organisation. There is little consideration of application security and
availability in the design or acquisition of application software.
3 Defined
A clear, defined and generally understood process exists for theacquisition and maintenance of
application software. This process is aligned with IT and business strategy. An attempt is made to
apply the documented processes consistently across different applications and projects. The
methodologies are generally inflexible and difficult to apply inall cases, so steps are likely to be
bypassed. Maintenance activities are planned, scheduled and co-ordinated.
AI2 Acquire and Maintain Application Software
Slide 31
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
CobiT 4.1 CO/MG
MIGLIORARE
Esempio di modello di maturità (2/2)
AI2 Acquire and Maintain Application Software
4 Managed and Measurable
There is a form
al and well-understood methodology that includes a design and specification
process, criteria for acquisition, a process for testing and requirements for documentation.
Documented and agreed-upon approval mechanisms exist to ensure that all steps are followed
and exceptions are authorised. Practices and procedures evolve and are well suited to the
organisation, used by all staff and applicable to most application requirements.
5 Optimised
Application software acquisition and maintenance practices are aligned with the defined process.
The approach is componentbased, with predefined, standardised applications matched to
business needs. The approach is enterprisewide. The acquisition and
maintenance methodology is well advanced and enables rapid deployment, allowing for high
responsiveness and flexibility in responding to changing business requirements. The application
software acquisition and implementation methodology is subjectedto continuous improvement
and is supported by internal and external knowledge databases containing reference materials
and good practices. The methodology creates documentation in a predefined structure that
makes production and maintenance efficient.
Slide 32
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
IT Control Practices
Slide 33
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
Nota metodologica
Punti di attenzione sull’evoluzione della term
inologia in CobiT
Attività di controllo (in dettaglio)
Control Practices
Rischi (Rischio = Negazione
dell’Obiettivo di Controllo)
Risk Drivers
Obiettivi di controllo
Value Drivers
Attività di controllo (in sintesi)
Control Objectives
Significato
Term
inologia in Cobit 4.1
Slide 34
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
IT Assurance Guide
•Linee guida per le attività di Assurance concernenti:
-Controlli Generici applicabili a tutti i processi (PCn)
-Controlli Applicativi (ACn)
-Controlli Specifici di Processo (codificato con dominio, processo,
progressivo, ad esempio PO6.3, AI4.1, etc.)
•Non una checklist
-E’ richiesta esperienza
-Proposta come punto di partenza per sviluppare in modo efficiente
piano di lavoro per attività di assurance specifici
»per l’organizzazione oggetto di intervento
»rispetto agli obiettivi dell’intervento
»eseguibili da personale con m
inore esperienza
Slide 35
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
IT Assurance Guide
Aderenza agli standard professionali applicabili
•Processo di audit
-Planning
-Scoping
-Executing
»Refining the understanding
»Testing the effectiveness of control design
»Testing the operational effectiveness of controls
»Documenting the impact of control weaknesses)
-Developing/communicating conclusions and recommendations
•Tecniche di verifica
-Enquire (via a different source) and confirm
-Inspect (via walk-through, search, compare and review)
-Observe (i.e., confirm
ation through observation)
-Reperform
or recalculate and analyse (often based on a sample)
-Collect (e.g., sample, trace, extract) and analyse automated
evidence
Slide 36
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
IT Assurance Guide
Struttura dell’IT Assurance Guide
Per obiettivo
di controllo
Per processo
Slide 37
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
IT Assurance Guide (esempio)
AI2.6 Major Upgrades to Existing Systems
In the event of major changes to existing
systems that result in significant change in
current designs and/or functionality, follow a
similar development process as that used for
the development of new systems.
Control Objective
•Consistent system availability
•Maintained confidentiality,
integrity and availability of the
processed data
•Cost and quality control for
developments
•Maintained compatibility with
technical infrastructure
Value Drivers
•Reduced system availability
•Compromised confidentiality,
integrity and availability of
processed data
•Lack of cost control for major
developments
Risk Drivers
•Confirm
with key staff members and inspect relevant documentation to determ
ine that impact assessment of major
upgrades has been made to address the specified objective criteria (such as business requirement), the risk involved
(such as impact on existing systems and processes or security), cost-benefit justification and other requirements.
•Inspect relevant documentation to identify deviations from norm
al development and implementation processes.
•Enquire of business sponsors and other affected stakeholders andinspect relevant documentation to determ
ine
whether agreement and approval have been obtained for the development and implementation process.
Test the Control Design
Slide 38
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
IT Assurance Guide (esempio)
AI2 Acquire and Maintain Application Software
•Steps to test the outcome of the control objectives:
-[…
.]
-Obtain and review a sample of project sign-off documentation to
determ
ine whether the projects have gone through QA sign-off and
have proceeded with proper approval of the high-level design by IT
and business stakeholders (project sponsors).
-[…
.]
•Steps to document the impact of the control weaknesses:
-[…
.]
-Identify designs where security and availability were not adequately
addressed
-[…
.]
Slide 39
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
IT Control Practices & IT Assurance Guide
AI2.6 Major Upgrades to Existing Systems
In the event of major changes to existing
systems that result in significant change in
current designs and/or functionality, follow a
similar development process as that used for
the development of new systems.
Control Objective
•Consistent system availability
•Maintained confidentiality,
integrity and availability of the
processed data
•Cost and quality control for
developments
•Maintained compatibility with
technical infrastructure
Value Drivers
•Reduced system availability
•Compromised confidentiality,
integrity and availability of
processed data
•Lack of cost control for major
developments
Risk Drivers
1) Assess the impact of any major upgrade and classify
it according to specified objectlve criteria(such as
business requirerements), based on the outcome of
analysis of the risk involved (such as impact on existing
systems and processes or security), cost-benefit
justification and other requirements. Follow norm
al
system development and implementation processes as
appropriate for the nature of the change.
2) Obtain agreement on and approval of the
implementationof the development and implementation
process with the business process sponsor and other
affected stakeholders. Ensure that the business process
owners understand the effect of designating changes as
maintenance of major upgrades.
Control Practices
•Confirm
with key staff members and inspect relevant
documentation to determine that impact assessment
of major upgrades has been madeto address the
specified objective criteria (such as business
requirement), the risk involved (such as impact on
existing systems and processes or security), cost-benefit
justification and other requirements.
•Inspect relevant documentation to identify deviations
from norm
al development and implementation
processes.
•Enquire of business sponsors and other affected
stakeholders and inspect relevant documentation to
determine whether agreement and approval have
been obtained for the development and
implementation process.
Test the Control Design
Slide 40
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
Parte 4
Strumenti di supporto per
l’applicazione e la form
azione
Assoc
Mgrs
Exec
��
�Courses, Conventions, Academia
Education
��
IT Control Objectives for SOXA
�CobiT Security Baseline
��
CobiT Quickstart
Special purpose
��
Val IT
��
CobiT Mapping Series
��
CobiT Online
��
Aligning CobiT, ITIL & ISO1779 for bsns benefit
��
IT Governance Implementation Guide -2nded.
Implementation guidelines and tool set
��
IT Assurance Guide
��
CobiT Control Practices
��
CobiT 4.1 (COs, I/Os, RACI, Metrics, Maturity)
Set up and control of an IT services organization
��
Inform
ation Security Governance
��
Board Briefing on IT Governance -2nded.
Executives’role and duties
Assoc
Mgrs
Exec
Slide 41
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
IT Governance Implementation Guide
Road M
ap to IT Governance
Slide 42
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
IT Governance Implementation Guide
Per ogni step…
Templates, maturity m
easurement folder, reporting techniques, maturity
assessment tool
Tool kit
support
Current maturity rating for selected processes
Output
•COBIT m
anagement guidelines’, control objectives, control practices
•COBIT M
E1 M
onitor and e
valu
ate
IT p
erform
ance
Using COBIT
& Val IT comp.
Process descriptions, policies, standards, procedures, technical
specifications
Input
[. . .] 2. For each IT process, create a worksheet for analysingcapability
maturity, using the attributes described in the COBIT and Val IT
frameworks. [. . .]
Tasks
[. . .] establish how well [IT processes critical for business goals] are
managed and executed [ . . ]. This is achieved by using the capability
maturity assessment technique for each IT process [. . .].
Process
Description
Determ
ine the current capability m
aturity of the selected processes.
Process objs
Assess current capability m
aturity
Process step
Slide 43
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
IT Governance Implementation Guide
•Start from a business need / goal
•Scope
-Identify IT processes and infrastracture relevant to the
bsns goal
-Adjust scope for risk
•Plan
-Refine the goals (measurable)
-Obtain funding and resources
•Execute
-Identify gaps and improvements
-Plan & Implement solutions
•Build Sustainability
Overall Reasoning:
Slide 44
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
IT Governance Implementation Guide
The Toolkit
•Management Awareness Diagnostic (2 versioni)
•Maturity Measurement Tool
•MyCobiT Control Objective Assessment Form
•Mapping “IT Governance Themes to Risk Factors”
•Mapping “IT Governance Themes to (detailed) Control Objectives”
•Introductory CobiT Presentation
•IT Balanced Scorecard Example
•IT Governance Implementation Templates
•Reporting Techniques
•Risk Analysis Approach
•Frequently Asked Questions
•Maturity Measurement Article
Slide 45
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
CobiT Mapping Series
..più…
•COBIT
•COSO
•ITIL
•ISO/IEC 17799:2005
•ISO/IEC 15408:2005
•PRINCE2
•PMBOK
…o m
eno diffusi…
•TickIT
•CMMI
•TOGAF 8.1
•IT Baseline Protection Manual
•NIST 800-14
Sull’IT insistono numerosi standard, ciascuno dei quali ha
finalità e destinatari specifici …
(vedi CobiT M
apping: Overview of International Guidance, 2nd Edition)
Slide 46
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
CobiT Mapping Series
•Che fare se dopo CobiT “dobbiamo / vogliamo essere
conform
i allo standard per l’IT X”?
oppure…
•Che fare se abbiamo già investito per l’adozione /
conform
ità a uno o più standard per l’IT e vogliamo
affrontare il tema dell’IT Governance?
�Grazie alle m
appature fra CobiT e gli altri standard
possiamo di volta in volta valorizzare il lavoro giàfatto con
CobiT e/o con altri standard
�CobiT può anche diventare una sorta di
“cross/reference”fra uno o piùdegli altri standard
Slide 47
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
CobiT Mapping Series
Slide 48
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
CobiT Mapping Series
Esempio: Mappatura CobiT/ITIL
Slide 49
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
Parte 5
Conclusioni
Slide 50
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
Cos’è veramente nuovo in CobiT 4/4.1?
Set up and control of an IT services organization
Organizzazione
e Controllo
dell’IT
Inform
ation Security Governance
Strumenti a
supporto
dell’applica-
zione e della
form
azione
IT Governance
Courses, Conventions, Academic material
Education
IT Control Objectives for Sarbanes-Oxley
CobiT Security Baseline
CobiT Quickstart
Special purpose
CobiT Mapping Series
CobiT Online
Aligning CobiT, ITIL & ISO1779 for bsns benefit
IT Governance Implementation Guide -2nded.
Implementation guidelines and tool set
IT Assurance Guide
CobiT Control Practices
CobiT 4.1 (COs, I/Os, RACI, Metrics, Maturity)
Val IT
Board Briefing on IT Governance -2nded.
Executives’role and duties
Materiali
“core
content”
già presenti
in CobiT 3
ma rivisti in
CobiT 4
E’ stato sviluppato il
tema dell’IT
Governance…
…in coerenza, è stato
rivisto il materiale
“core”…
… e sono stati
estesamente
sviluppati gli
strumenti di supporto
Slide 51
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
No more excuses
•Governo e Controllo dell’IT: argomento “maturo”
•Standard diffusi, accettati, provati
�In presenza di perform
ance sub-ottimali delle
organizzazioni IT si deve assumere vi siano problemi di
governance
�Governance dell’IT destrutturate potrebbero essere
accettabili solo alla luce delle dimensioni e dell’industry
dell’organizzazione
�Una governance dell’IT efficace non può prescindere da
appropriate assunzioni di responsabilità
da parte del
business
Slide 52
Il p
resente
mate
riale
non p
uò e
ssere
ripro
dotto
o u
tiliz
zato
senza
auto
rizzazio
ne d
ell’auto
re
Questa è l’ultima diapositiva
Andrea Pederiva, CISA, MBA
Soxa O
ffic
e –
Banca A
nto
nveneta
andrea.pederiva@antonveneta.it