Autorità per lInformatica nella Pubblica Amministrazione Conferenza Nazionale sullAdeguamento...

Conferenza Nazionale sull’Adeguamento Informatico all’Anno 2000, 17-18 Giugno 1999

Autorità per l’Informatica nella Pubblica Amministrazione

Valutazione del Rischio nellaPubblica Amministrazione

Centrale

Marco Gentili

Area Monitoraggio e Verifiche

Anno 2000

Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione 2

Argomenti

Definizione del settore di interventoDefinizione del settore di intervento

Progetti di adeguamento Anno 2000Progetti di adeguamento Anno 2000

Monitoraggio dell’adeguamento Anno 2000Monitoraggio dell’adeguamento Anno 2000

Metodologia di valutazione del rischio Anno 2000Metodologia di valutazione del rischio Anno 2000

Posizionamento rispetto al rischio Anno 2000Posizionamento rispetto al rischio Anno 2000

Interpretazione dei risultati ottenutiInterpretazione dei risultati ottenuti


Definizione del settore di Intervento

60 Amministrazioni destinatarie del D.Lgs. 39/9360 Amministrazioni destinatarie del D.Lgs. 39/93

Dimensione Tecnologica complessiva pari a:4.1004.100 Mips di potenza di calcoloMips di potenza di calcolo17.10017.100 Gbyte di dati per 1.013 differenti basi Gbyte di dati per 1.013 differenti basi

datidati160.000160.000 posti di lavoro in reteposti di lavoro in rete269.000269.000 Kloc di patrimonio applicativoKloc di patrimonio applicativo

Spesa per l’informatica (IVA inclusa) (IVA inclusa) TotaleTotale 2.800 Mld £2.800 Mld £SviluppoSviluppo 1.100 Mld £ 1.100 Mld £ EsercizioEsercizio 1.700 Mld £1.700 Mld £

Fonte Relazione Annuale 1997Fonte Relazione Annuale 1997


Progetti di Adeguamento Anno 2000

Progetti specifici

AmministrazioniAmministrazioni 2121

Progetti per (IVA inclusa)Progetti per (IVA inclusa) 107107

Mld £ pari al 6% della spesa di esercizioMld £ pari al 6% della spesa di esercizioFonte Piano Triennale 1998-2000Fonte Piano Triennale 1998-2000

Progetti di reingegnerizzazione

AmministrazioniAmministrazioni 99

Progetti per (IVA inclusa)Progetti per (IVA inclusa) 252252

Mld £ pari al 23% della spesa di sviluppoMld £ pari al 23% della spesa di sviluppoFonte Pareri Emessi nel triennio 1997-1999Fonte Pareri Emessi nel triennio 1997-1999


Monitoraggio dell’Adeguamento Anno 2000

Lug-Ott 1998Lug-Ott 1998Prima rilevazione AIPAPrima rilevazione AIPA

Nov-Dic 1998Nov-Dic 1998Aggiudicazione gara comunitaria a Gartner GroupAggiudicazione gara comunitaria a Gartner GroupAvvio progetto di valutazione del rischioAvvio progetto di valutazione del rischio

Gen-Mar 1999Gen-Mar 1999Raccolta delle informazioni necessarieRaccolta delle informazioni necessarieAssistenza alle AmministrazioniAssistenza alle Amministrazioni

Apr-Mag 1999Apr-Mag 1999Validazione dei dati e predisposizione dei rapportiValidazione dei dati e predisposizione dei rapportiPresentazione dei risultatiPresentazione dei risultati

Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione

Obiettivi dell’indagine

Di carattere generale:Di carattere generale:Censire i sistemi informativi interessati dal problemaCensire i sistemi informativi interessati dal problemaValutare l’impatto Anno 2000 sui sistemi informativiValutare l’impatto Anno 2000 sui sistemi informativiValutare il rischio derivante, analizzarne il trendValutare il rischio derivante, analizzarne il trendSupportare il Comitato Anno 2000 ai sensi dell’art. Supportare il Comitato Anno 2000 ai sensi dell’art.

19 della Legge 144/9919 della Legge 144/99

Relativi ad ogni Amministrazione:Relativi ad ogni Amministrazione:stimare le dimensioni del problema ed identificare le stimare le dimensioni del problema ed identificare le

prioritàprioritàstimolare l’avvio di progetti di adeguamento e stimolare l’avvio di progetti di adeguamento e

monitorarne l’esecuzionemonitorarne l’esecuzione identificare le aree informative più a rischio e identificare le aree informative più a rischio e

stimolare la predisposizione di piani di emergenzastimolare la predisposizione di piani di emergenza


Monitoraggio Anno 2000 - Fasi

FASE I - FASE I - Identificazione del rischioIdentificazione del rischio Impostazione raccolta dati Impostazione raccolta dati Raccolta datiRaccolta dati maggiore impegno per le P.A.maggiore impegno per le P.A.Evidenza aree criticheEvidenza aree critiche

FASE II - FASE II - Revisione del rischioRevisione del rischioAggiornamento dati raccolti Aggiornamento dati raccolti minore impegno per le P.A.minore impegno per le P.A.Approfondimenti su aree critiche Approfondimenti su aree critiche

FASE III - FASE III - Conferma del rischioConferma del rischio Aggiornamento dati raccolti Aggiornamento dati raccolti minore impegno per le P.A.minore impegno per le P.A.Approfondimenti sui piani di emergenza


Monitoraggio Anno 2000 - Attività

Primaria Responsabilità

Secondaria Responsabilità

PA

Avvio Lavori

Consegna Dati

Revisione Dati ufficiali di fase

Risultati preliminari

Raccolta dati AssistenzaInserim

ento Dati

ValidazioneRevisione

preliminareEmissioneRapporti

Rispostaa domande

PresentazioneRaccolta dati

Correzione

Dati

Rispostaa domande

Avvio operativo

Presentazionepreliminare

Presentazionepreliminare

Acquisizione QuestionarioGenerale sul

rischio

AIPA Gartner

Risultati definitivi


Valutare il Rischio Anno 2000

Livello di ConformitàLivello di Conformità In che misura il fenomeno Anno 2000 può In che misura il fenomeno Anno 2000 può

determinare delle disfunzioni all’interno delle determinare delle disfunzioni all’interno delle Amministrazioni?Amministrazioni?

Rischio per la MissioneRischio per la Missione In che misura eventuali disfunzioni possono In che misura eventuali disfunzioni possono

compromettere la capacità delle Amministrazioni di compromettere la capacità delle Amministrazioni di erogare i propri servizi?erogare i propri servizi?

Rischio OrganizzativoRischio Organizzativo In che misura le Amministrazioni sono in grado di In che misura le Amministrazioni sono in grado di

rimuovere eventuali disfunzioni?rimuovere eventuali disfunzioni?


Livello di Conformità

Mostra l’avanzamento che l’Amministrazione ha Mostra l’avanzamento che l’Amministrazione ha rispetto alla risoluzione dei problemi anno 2000 rispetto alla risoluzione dei problemi anno 2000

Viene misurato sulla scala Viene misurato sulla scala COMPARECOMPARE che va da 0 a 5 che va da 0 a 500 problematica sconosciutaproblematica sconosciuta,, nessuna attività di nessuna attività di

adeguamento, nessuna conformitàadeguamento, nessuna conformità11 presa di conoscenza del problemapresa di conoscenza del problema, prima macro , prima macro

pianificazionepianificazione22 inventario dei sistemi coinvoltiinventario dei sistemi coinvolti, determinazione del , determinazione del

livello di rischio per l’Amministrazionelivello di rischio per l’Amministrazione33 comprensione del problemacomprensione del problema, allocazione delle risorse , allocazione delle risorse

necessarie (tecniche, umane, finanziarie)necessarie (tecniche, umane, finanziarie)44 sostenibilità operativasostenibilità operativa, , principali sistemi adeguati, principali sistemi adeguati,

rischio ridotto, è garantita la continuità dei servizirischio ridotto, è garantita la continuità dei servizi55 tutti i sistemi sono conformitutti i sistemi sono conformi, nessun rischio, nessun rischio


Rischio per la Missione

Mostra la situazione di rischio che l’Amministrazione Mostra la situazione di rischio che l’Amministrazione ha rispetto alla risoluzione dei problemi anno 2000ha rispetto alla risoluzione dei problemi anno 2000

Viene misurato su una scala che va da 0 a 5Viene misurato su una scala che va da 0 a 500 nessun inconvenientenessun inconveniente, , rischio minimorischio minimo11 inconvenienti di tipo minoreinconvenienti di tipo minore, completa disponibilità , completa disponibilità

delle funzionalità aziendalidelle funzionalità aziendali22 inconvenienti di tipo limitatoinconvenienti di tipo limitato, alcune funzioni possono , alcune funzioni possono

non essere più disponibili non essere più disponibili 33 blocco di alcune unità organizzativeblocco di alcune unità organizzative

dell’Amministrazionedell’Amministrazione44 blocco dell’operativitàblocco dell’operatività dell’Amministrazione dell’Amministrazione55 effetti catastroficieffetti catastrofici sulla operatività sulla operatività

dell’Amministrazione, interruzione di servizio e gravi dell’Amministrazione, interruzione di servizio e gravi interferenze sull’operatività di altre Amministrazioniinterferenze sull’operatività di altre Amministrazioni


Rischio Organizzativo

Valuta la capacità diValuta la capacità di rispondere ad adeguamenti di carattere normativorispondere ad adeguamenti di carattere normativo programmare l’adeguamento organizzativo e finanziario programmare l’adeguamento organizzativo e finanziario individuare i sistemi critici, predisporre piani di progettoindividuare i sistemi critici, predisporre piani di progetto estendere l’analisi alle entità esterne coinvolte nella estendere l’analisi alle entità esterne coinvolte nella

erogazione dei servizierogazione dei servizi predisporre piani di emergenzapredisporre piani di emergenza

Viene misurato su una scala che va da 1 a 7Viene misurato su una scala che va da 1 a 711 elevata possibilità di successoelevata possibilità di successo, rischio minimo, rischio minimo223344556677 alta possibilità di fallimentoalta possibilità di fallimento, rischio massimo, rischio massimo

Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione

Componenti Analizzate

livello di conformità e rischio per la missione sono stimati livello di conformità e rischio per la missione sono stimati separatamente perseparatamente per

le le infrastrutture informaticheinfrastrutture informatiche le le applicazioni e procedureapplicazioni e procedure


Amministrazioni Analizzate

5050 Amministrazioni Centrali ed Enti su 60 Amministrazioni Centrali ed Enti su 60 83%83% 10 Amministrazioni non hanno fornito dati10 Amministrazioni non hanno fornito dati

Amministrazione Autonoma Monopoli di StatoAmministrazione Autonoma Monopoli di Stato Consiglio di StatoConsiglio di Stato DIADIA ENAMENAM INCAINCA IPSEMAIPSEMA Ministero dell’IndustriaMinistero dell’Industria Ministero del Lavoro e della Previdenza SocialeMinistero del Lavoro e della Previdenza Sociale Ministero dei Trasporti - Aviazione CivileMinistero dei Trasporti - Aviazione Civile UNIREUNIRE

6262 Unità Organizzative su 74 Unità Organizzative su 74 84%84%4 Amministrazioni di grande complessità sono state 4 Amministrazioni di grande complessità sono state

analizzate relativamente a diverse unità organizzativeanalizzate relativamente a diverse unità organizzative


Infrastrutture Informatiche - Marzo 1999Livello di conformità


Infrastrutture Informatiche - Marzo 1999 Stato di avanzamento lavori

37%

26%

35%

2% Fase PreoperativaDeterminazioneAdeguamenti

Fase OperativaRilascioAdeguamenti

SostenibilitàOperativaRaggiunta

Conformità Anno 2000Raggiunta


Infrastrutture Informatiche - Marzo 1999 Rischio per la Missione


Infrastrutture Informatiche - Marzo 1999 Conformità / Rischio per la Missione

37%

48%

15%


Livello diConformità

NessunRischio

Inconvenienti

Minori

Blocco dialcune

funzioni

Blocco diunità

organizz.

Blocco diServiziPrimari

Impattosu

Organizz.esterne

Totale

Conformità di tutti isistemi 1 1

Conformità dei sistemicritici 1 8 13 22

Risorse allocate iniziodegli interventi 3 13 2 18

Dimensionamento delproblema e pianificazione 2 8 3 13

Sensibilizzazione 2 2 4 8Nessuna sensibilità 0

Totale 2 15 36 9 0 0 62


Applicazioni e Procedure - Marzo 1999 Livello di conformità


Applicazioni e Procedure - Marzo 1999 Stato di avanzamento lavori

55%26%

16%3%

Fase PreoperativaDeterminazioneAdeguamenti

Fase OperativaRilascioAdeguamenti

SostenibilitàOperativaRaggiunta

Conformità Anno 2000Raggiunta


Applicazioni e Procedure - Marzo 1999 Rischio per la Missione


Applicazioni e Procedure - Marzo 1999 Conformità / Rischio per la Missione

21%

50%

29%


Livello diConformità

NessunRischio

Inconvenienti

Minori

Blocco dialcune

funzioni

Blocco diunità

organizz.

Blocco diServiziPrimari

Impattosu

Organizz.esterne

Totale

Conformità di tutti isistemi 1 1 1

Conformità dei sistemicritici 3 6 1 10

Risorse allocate iniziodegli interventi 1 2 12 6 21

Dimensionamento delproblema e pianificazione 1 1 10 9 21

Sensibilizzazione 3 2 2 7Nessuna sensibilità 1 0

Totale 2 9 31 19 0 1 62


Sintesi dei Risultati - Marzo 1999

Forte focalizzazione degli interventi in ambito Forte focalizzazione degli interventi in ambito informatico ed in particolare sulle infrastrutture ITinformatico ed in particolare sulle infrastrutture IT

Sufficiente coerenza con i tempi per l’adeguamento delle Infrastrutture Informatiche

Ritardi evidenti nell’adeguamento delle Applicazioni e Procedure

0 1 2 3 4 5

Infrastrutture Informatiche

Applicazioni e Procedure

Conformità

Rischio

= Valore più Frequente

Conformità

Rischio


Interpretazione dei Risultati - Marzo 1999

Le tecnologie informatiche non giocano un ruolo tale Le tecnologie informatiche non giocano un ruolo tale

da pregiudicare l’operatività in caso di disfunzione da pregiudicare l’operatività in caso di disfunzione

esiste la possibilità di problemi circoscrittiesiste la possibilità di problemi circoscritti

si esclude il blocco completo dei servizisi esclude il blocco completo dei servizi


conformità accettabile

rischio per la missione limitato


conformità bassaconformità bassa

rischio per la missione moderato


Rischio Organizzativo - Marzo 1999

0

5

10

15

20

25

30

35

40

1 2 3 4 5 6 7

Livello di Rischio Organizzativo

Nu

mer

o A

mm

inis

traz

ion

i

MinimoRischio

MassimoRischio


Interpretazione dei Risultati - Marzo 1999

Rischio Organizzativo AccentuatoRischio Organizzativo Accentuato50 Amministrazioni, il 75%, dovrebbero rivedere e 50 Amministrazioni, il 75%, dovrebbero rivedere e

migliorare le modalità di gestione degli adeguamenti migliorare le modalità di gestione degli adeguamenti

Le tematiche su cui migliorare sonoLe tematiche su cui migliorare sonosensibilizzazione al rischio e programmazione sensibilizzazione al rischio e programmazione

interventi di adeguamentointerventi di adeguamento identificazione dei sistemi criticiidentificazione dei sistemi criticipianificazione e governo dei progetti di adeguamentopianificazione e governo dei progetti di adeguamentogestione delle entità esterne coinvolte nei servizigestione delle entità esterne coinvolte nei servizipredisposizione dei piani di emergenzapredisposizione dei piani di emergenza


Posizionamento rispetto al Rischio Anno 2000


Posizionamento rispetto ad altre NazioniLivello di Conformità 0 1 2 3 4 5



Posizionamento rispetto ad altri Settori

Livello di Conformità 0 1 2 3 4 5



Interpretazione del Posizionamento

Si evidenziano comportamenti estremamente Si evidenziano comportamenti estremamente differenziati e disomogenei tra le Amministrazionidifferenziati e disomogenei tra le Amministrazioni

Il basso livello di informatizzazione della Il basso livello di informatizzazione della Amministrazione Italiana attenua la probabilità di gravi Amministrazione Italiana attenua la probabilità di gravi disfunzionidisfunzioni

Rispetto alla componente informatica il posizionamento Rispetto alla componente informatica il posizionamento del 54% delle Amministrazioni èdel 54% delle Amministrazioni è

coerente con quello dei settori bancario e assicurativocoerente con quello dei settori bancario e assicurativo

migliore della media mondiale delle Amministrazionimigliore della media mondiale delle Amministrazioni


Prossimi Risultati

Maggio - GiugnoMaggio - Giugnoavvio II faseavvio II fase, aggiornamento informazioni, aggiornamento informazionivalidazione dati, assistenza Amministrazionivalidazione dati, assistenza Amministrazionipredisposizione rapporti II fasepredisposizione rapporti II fase

Luglio - AgostoLuglio - Agostopresentazione risultati II fasepresentazione risultati II faseavvio III faseavvio III fase, aggiornamento informazioni, aggiornamento informazioni

Settembre - OttobreSettembre - Ottobrevalidazione dati, assistenza Amministrazioni validazione dati, assistenza Amministrazioni predisposizione rapporti III fasepredisposizione rapporti III fasepresentazione risultati III fasepresentazione risultati III fase


Amministrazioni Centrali



Enti PubbliciNon Economici



Consiglio di Stato n.p. n.p. ENAM n.p. n.p.DIA n.p. n.p. INCA n.p. n.p.Industria n.p. n.p. IPSEMA n.p. n.p.Lavoro n.p. n.p. UNIRE n.p. n.p.Monopoli di Stato n.p. n.p. INPDAP n.p. 3,5Trasporti - AC n.p. n.p. ANPA 4,8 5,0Finanze - Personale n.p. 4,9 INPS 4,8 2,6CFS 5,0 2,7 CRI 4,6 4,5Lavori Pubblici 4,7 4,1 CNR 4,4 3,2Agenzia Roma Capitale 4,7 0,0 ISFOL 4,3 4,4Comunicazioni 4,6 5,0 ISAE 4,0 3,8Finanze - Dogane 4,5 4,1 CONI 3,8 3,3Finanze - Entrate 4,5 3,8 INAIL 3,8 2,8Finanze - Altro / Segretariato 4,4 4,0 ICE 3,6 3,4Beni Culturali 4,4 1,9 ENPALS 3,3 1,6Tesoro - Dip.PSC (Dip. III) 4,3 4,2 INEA 3,2 2,7Avvocatura 4,3 4,1 ENAC 3,2 2,0Difesa - Esercito 4,2 3,4 ISTAT 2,7 3,3Tesoro - Dip. Personale (Dip. IV) 4,2 2,7 ISS 2,7 3,0Difesa - Aeronautica 4,1 3,5 IIMS 2,5 4,0Arma dei Carabinieri 4,1 3,0 ENPAF 2,5 3,1Finanze - Territorio 4,0 3,9 CFPC 2,5 2,7Interno - DGAGP/CED 4,0 3,0 ACI 2,5 1,5Tesoro - Dip.RGS (Dip. II) 4,0 3,0 IPOST 2,3 2,9Commercio Estero 3,8 2,9 ENEA 2,2 3,3Guardia di Finanza 3,8 2,9 AIMA 2,0 2,6Pubblica Istruzione 3,7 2,9 ENIT 1,8 2,4Interno - PS 3,6 2,5 INPDAI 1,1 2,0Università 3,6 2,0 ISPELS 1,0 1,7Affari Esteri 3,5 3,4Trasporti - MCTC 3,5 3,0Sanità 3,5 2,0Interno - DGAC/DCSE 3,2 3,1Difesa - Marina 3,2 2,1Difesa - Stato Maggiore 3,0 n.aPolitiche Agricole 3,0 1,9Grazia e Giustizia 2,5 1,6Interno - DGPC/SA 2,2 2,5Tesoro - Dip. Tesoro (Dip. I) 2,1 2,0Presidenza 2,0 3,7Trasporti - SM 1,9 4,1Difesa - Segretariato Generale 1,9 2,7 LegendaTrasporti - DG POC 1,6 1,0Ambiente 1,5 n.a. n.a. = non applicabileCorte dei Conti 1,2 3,7 n.p. = non pervenuto

Livello di Conformità

Dati - Marzo 1999

Autorità per lInformatica nella Pubblica Amministrazione Conferenza Nazionale sullAdeguamento...

Documents

Transcript of Autorità per lInformatica nella Pubblica Amministrazione Conferenza Nazionale sullAdeguamento...