CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs...

53
CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment Andrea Pederiva, CISA, MBA Soxa Office – Banca Antonveneta Roma, 29 Febbraio 2007

Transcript of CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs...

Page 1: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

CobiT 4.1

Nuovi supporti per l’Audit

e l’Assessment

Andrea Pederiva, CISA, MBA

Soxa O

ffic

e –

Banca A

nto

nveneta

Roma, 29 Febbraio 2007

Page 2: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 2

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

Indice

Parte 1 –Overview della Suite CobiT 4.1

Parte 2 –IT Governance

-CobiT governance content (IT Gov. Guidelines / Val IT)

Parte 3 –Organizzazione e Controllo dell’IT

-CobiT core content (COs, I/Os, RACI, m

etrics, maturity, ctrl oractices, assurance guide)

Parte 4 –

Strumenti di supporto per l’applicazione e la

form

azione

-IT Governance Implementation Guide -2nd ed, Mapping Series

Parte 5 –

Conclusioni

-Cos’è veramente nuovo?

-No m

ore excuses

Page 3: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Parte 1

Overview della Suite CobiT 4.1

Page 4: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 4

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

La struttura della Suite CobiT

��

Inform

ation Security Governance

Strumenti a

supporto

dell’applica-

zione e della

form

azione

Organizzazione

e Controllo

dell’IT

IT Governance

���������

Assoc

��

Courses, Conventions, Academic material

Education

�IT Control Objectives for Sarbanes-Oxley

CobiT Security Baseline

�CobiT Quickstart

Special purpose

�CobiT Mapping Series

�CobiT Online

��

Aligning CobiT, ITIL & ISO1779 for bsns benefit

��

IT Governance Implementation Guide -2nded.

Implementation guidelines and tool set

�IT Assurance Guide

�CobiT Control Practices

�CobiT 4.1 (COs, I/Os, RACI, Metrics, Maturity)

Set up and control of an IT services organization

��

Val IT

��

Board Briefing on IT Governance -2nded.

Executives’role and duties

Mgrs

Exec

La

logica della

proposta

CobiT

Materiali

“core

content”

già presenti

in CobiT 3

ma rivisti in

CobiT 4

Page 5: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 5

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

Legenda

Liberamente scaricabile da

www.isaca.org o www.itgi.org

Riservato ai soci ISACA

A pagamento

Conoscere la Suite CobiT

Nato nel 1996, CobiT è

diventato un set completo

di metodi e strumenti per

l’IT Governance.

Conoscere i contenuti

delle diverse componenti

consente di applicare in

ogni contesto lo strumento

più appropriato.

$ $ $ $$

��

Val IT

��

�Courses, Conventions, Academic material

Education

��

IT Control Objectives for Sarbanes-Oxley

�CobiT Security Baseline

��

CobiT Quickstart

Special purpose

��

CobiT Mapping Series

��

CobiT Online

��

Aligning CobiT, ITIL & ISO1779 for bsns benefit

��

IT Governance Implementation Guide -2nded.

Implementation guidelines and tool set

��

IT Assurance Guide

��

CobiT Control Practices

��

CobiT 4.1 (COs, I/Os, RACI, Metrics, Maturity)

Set up and control of an IT services organization

��

Inform

ation Security Governance

��

Board Briefing on IT Governance -2nded.

Executives’role and duties

Assoc

Mgrs

Exec

Page 6: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 6

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

Parte 2

IT Governance

��

Val IT

��

CobiT Mapping Series

��

CobiT Online

��

Aligning CobiT, ITIL & ISO1779 for bsns benefit

��

IT Governance Implementation Guide -2nded.

Implementation guidelines and tool set

��

IT Assurance Guide

��

CobiT Control Practices

��

CobiT 4.1 (COs, I/Os, RACI, Metrics, Maturity)

Set up and control of an IT services organization

��

Inform

ation Security Governance

��

Board Briefing on IT Governance -2nded.

Executives’role and duties

Assoc

Mgrs

Exec

Assoc

Mgrs

Exec

��

�Courses, Conventions, Academia

Education

��

IT Control Objectives for SOXA

�CobiT Security Baseline

��

CobiT Quickstart

Special purpose

Page 7: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 7

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

IT Governance

Conosciamo bene le attività di un

IT M

anager, di un sistemista o di

uno sviluppatore…

…ma quali devono essere

le attività di governo dell’IT

da parte del management?

Page 8: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 8

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

Output

(measure

perform

ance

& outcomes)

Input

(provide

direction)

Input

(provide

resources)

L’IT Governance secondo CobiT

Pianificazione

dell’IT

Allineare le

strategie IT e di

business

Actions

Goals

IT Strategic Alignment

Attivazione di

metriche e reporting

orientate agli utenti

(ad es.: balanced

scorecard)

Misurare il

contributo dell’IT

agli obiettivi di

business

Actions

GoalsValue Delivery

Attivazione di

metriche e

reporting orientate

all’IT (ad es.:

balanced

scorecard)

Monitorare le

perform

ance

dell’IT

Actions

Goals

Performance Mgmt

Identificare e

gestire i rischi

Protezione del

valore

Actions

Goals

Risk Management

Identificazione e

soddisfacimento

dei bisogni di

risorse e gestione

dei costi

Acquisizione delle

risorse secondo

criteri di

economicità

Actions

Goals

Resource Management

Coherence

Page 9: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 9

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

I ruoli che partecipano all’IT Governance

Board Level:

•Board

•IT Strategy Committee

C-Suite Level:

•CEO

•CIO

•CFO, COO, and others

IT Level

•IT Steering Committee

•Technology Council

•IT Architecture Review Board

Information Security

Governance…

…applicare all’IT Security

appropriate pratiche di

Governance!

Page 10: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 10

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

Val IT

Key Terms

•Value

•Portfolio

•Programme

•Project

•Im

plement

Principles

•Manage IT-enabled investments as

portfolios of investments

-Include the full scope of activities that are

required to achieve business value.

-Manage IT-enabled investm

ents through

their full economic life cycle.

•Continually monitor, evaluate and

improve

-Define and m

onitor key metrics and

respond quickly to any changes or

deviations.

•Engage all stakeholders and assign

appropriate accountability

Gestire gli investimenti IT come progetti di cambiamento

abilitato dall’IT

Processes

•Value governance

•Portfolio management

•Investment management

Page 11: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 11

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

Il Framework Val IT

Value

Governance

Portfolio

Management

Investment

Management

Page 12: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 12

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

Val IT Processes & Mgmt Practices

Value Governance (VG)

•VG1 Ensure inform

ed and committed leadership

•VG2 Define and implement processes

•VG3 Define roles and responsibilities

•VG4 Ensure appropriate and accepted accountability

•VG5 Define inform

ation requirements

•VG6 Establish reporting requirements

•VG7 Establish organisational structures

•VG8 Establish strategic direction

•VG9 Define investment categories

•VG10 Determ

ine a target portfolio mix

•VG11 Define evaluation criteria by category

Portfolio Management (PM)

•PM1 Maintain a human resource inventory

•PM2 Identify resource requirements

•PM3 Perform

a gap analysis

•PM4 Develop a resourcing plan

•PM5 Monitor resource requirements and utilisation

•PM6 Establish an investm

ent threshold

•PM7 Evaluate the initial programme concept business case

•PM8 Evaluate and assign a relative score to the programme

business case

•PM9 Create an overall portfolio view

•PM10 Make and communicate the investment decision

•PM11 Stage-gate (and fund) selected programmes

•PM12 Optimise portfolio perform

ance

•PM13 Re-prioritise the portfolio

•PM14 Monitor and report on portfolio perform

ance

Investment Management (IM)

•IM1 Develop a high-level definition of investment

opportunity

•IM2 Develop an initial programme concept

business case

•IM3 Develop a clear understanding of candidate

programmes

•IM4 Perform

alternatives analysis

•IM5 Develop a programme plan

•IM6 Develop a benefits realisation plan

•IM7 Identify full life cycle costs and benefits

•IM8 Develop a detailed programme business case

•IM9 Assign clear accountability and ownership

•IM10 Initiate, plan and launch the programme

•IM11 Manage the programme

•IM12 Manage/track benefits

•IM13 Update the business case

•IM14 Monitor and report on programme

perform

ance

•IM15 Retire the programme

Page 13: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 13

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

Val IT -Considerazioni

•Identifica la questione principale: gestire l’evoluzione dell’IT

come programma/i costituito/i da portafoglio/i di progetti

•Identifica alcuni aspetti critici: ad esempio, la necessità di

verificare il conseguimento dei benefici attesi (IM

12-

Manage/tra

ck b

enefits

-effettiva responsabilizzazione

rispetto ai risultati)

•Non identifica altri aspetti critici: ad esempio, la necessità

che la pianificazione dell’IT sia condivisa con e visibile a

tutte le funzioni di business (trasparenza della

prioritizzazione dei progetti)

•Il framework comprende una m

appatura fra processi in Val

IT e processi CobiT

Page 14: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 14

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

IT Governance Global Status Report 2008

Key Messages:

1.

Championship for IT Governance Is at the C-level

2.

Importance of IT Continues to Increase.

3.

Self-assessment Regarding IT Governance Has Increased and Is Quite

Positive

4.

Communication Between IT and Users Is Improving, But Slowly

5.

There Is Room for Im

provement in Alignment Between IT and Business

6.

IT-related Problems Persist

7.

Good IT Governance Practices Are Known and Applied, But Not Universally

8.

Organisations Know W

ho Can Help

9.

Action Is Being Taken or Plans Are Underway to Implement IT Governance

Activities

10.Organisations Use the W

ell-known Frameworks and Solutions

11.COBIT Awareness Has Exceeded 50 Percent

12.More Than Half of the Respondents Apply or Plan to Apply Val IT Principles

13.Major Obstacles Include ROI and Knowledge/Expertise Issues

Page 15: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 15

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

29%

29%

32%

0%

10%

20%

30%

40%

50%

60%

70%

80%

2003

2005

2007

IT Governance Global Status Report 2008

Il 16% delle organizzazioni IT

nel mondo utilizza CobiT.

A tendere? Almeno il 30%!

Ma…abbiamo raggiunto il

“tipping point”?

5%

8%

16%

0%

5%

10%

15%

20%

25%

30%

2003

2005

2007

18%

27%

51%

0%

10%

20%

30%

40%

50%

60%

70%

80%

2003

2005

2007

CobiT

Adoption

X=

CobiT

Awareness

CobiT

Usage

(within aware organisations)

Page 16: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 16

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

Parte 3

Organizzazione e Controllo dell’IT

Assoc

Mgrs

Exec

��

�Courses, Conventions, Academia

Education

��

IT Control Objectives for SOXA

�CobiT Security Baseline

��

CobiT Quickstart

Special purpose

��

Val IT

��

CobiT Mapping Series

��

CobiT Online

��

Aligning CobiT, ITIL & ISO1779 for bsns benefit

��

IT Governance Implementation Guide -2nded.

Implementation guidelines and tool set

��

IT Assurance Guide

��

CobiT Control Practices

��

CobiT 4.1 (COs, I/Os, RACI, Metrics, Maturity)

Set up and control of an IT services organization

��

Inform

ation Security Governance

��

Board Briefing on IT Governance -2nded.

Executives’role and duties

Assoc

Mgrs

Exec

Page 17: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 17

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

Le novità di CobiT 4.1

CobiT 3.1 � ���CobiT 4.0

Modifiche ai Control Objectives

•Rivisitazione del modello dei processi e

dei controlli in ottica di maggiore

aderenza alle attività IT ed al contenuto

di ITIL®

•Riform

ulazione dei Control Objectives al

modo imperativo (non più al condizionale)

Modifiche alle Management Guidelines

•Soppressione dei CSF e rivisitazione di

KPI e KGI su più livelli (BSC m

ultilivello)

•Introduzione di un m

odello organizzativo

mediante diagrammi RACI (Responsible,

Accountable, Consulted, Inform

ed)

•Definizione delle relazioni di input/output

fra i processi del framework

(MG in unico volume insieme ai CO)

CobiT 4.0 � ���CobiT 4.1

Perfezionamenti al testo

•Revisioni della form

ulazione dei Control

Objectives

Modifiche migliorative ai contenuti

•Riform

ulazione dei Process Controls e

degli Application Controls

•Riform

ulazione della sezione introduttiva

relativa al Perform

ance M

easurement

Successivo progressivo

allineamento delle altre

componenti la Suite CobiT

Page 18: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 18

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

Obiettivi di Controllo

(raggruppati

in Domini/

Processi)

Relazioni

Input/Output

(fra Processi)

Metriche

(di Prestazione

e di Risultato)

CobiT 4.1 CO/MG

Maturity Model

(dei Processi)

Cosa devo fare?

Chi lo fa?

Che risultati

sto ottenendo?

Dove posso

migliorare?

Come si interfacciano

i processi?

Chi fa che cosa

(diagrammi

RACI)

ORGANIZZARE

MISURARE

MIGLIORARE

Page 19: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 19

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

AI1 Identify automated solutions

AI2 Acquire and m

aintain application sw

AI3 Acquire and m

aintain technology

infrastructure

AI4 Enable operation and use

AI5 Procure IT resources

AI6 M

anage changes

AI7 Install & accredit solutions & changes

CobiT 4.1 CO/MG

AI Acquire & Implement

AI2.1 High-level Design

AI2.2 Detailed Design

AI2.3 Application Control and Auditability

AI2.4 Application Security and Availability

AI2.5 Configuration and Implementation of

Acquired Application Software

AI2.6 Major Upgrades to Existing Systems

AI2.7 Development of Application Software

AI2.8 Software Quality Assurance

AI2.9 Applications Requirements Mgmt

AI2.10 Application Software Maintenance

In caso di cambiamenti rilevanti ai sistemi

esistenti che comportino una modifica

significativa nella progettazione e/o nella

funzionalità dei sistemi esistenti, seguire un

processo di sviluppo analogo a quello per lo

sviluppo di nuovi sistemi.

AI2 Acquire & maintain

application sw

AI2.6 Major Upgrades

to Existing Systems

AI2 Acquire and m

aintain application sw

AI2.6 Major Upgrades to Existing Systems

ORGANIZZARE

Domini

Processi

Obiettivi di Controllo

Nota: sono disponibili le

traduzioni in italiano di AIEA

Obiettivi di controllo

4 Domini �

34 Processi �

210 CO (esempio)

Page 20: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 20

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

PROCESS

FINISH

PROCESS

START

Attività

Attività

Attività

Attività

Attività

CobiT 4.1 CO/MG

ORGANIZZARE

Diagrammi RACI (chi fa che cosa)

I processi sono costituiti da attività; le attività sono svolte da

unità organizzative; organizzazione è anche definire la

struttura organizzativa, e assegnare le attività alle unità

organizzative.

Un modello di

organizzazione

potrà quindi essere

rappresentato da

una matrice attività /

unità organizzative.

Attività

Attività

Attività

Attività

Attività

Page 21: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 21

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

CobiT 4.1 CO/MG

ORGANIZZARE

I diagrammi RACI evolvono il

concetto di “ownership” di

un’attività distinguendo fra

“responsibility” e “accountability”

e introducendo il ruolo di

“consulted” e “informed”

Diagrammi RACI (chi fa che cosa)

Page 22: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 22

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

CobiT 4.1 CO/MG

ORGANIZZARE

Relazioni input / output fra processi

Le attività svolte nell’ambito dei processi producono

documenti (che peraltro rendono auditabile l’attività). I

contenuti di tali documenti possono diventare l’input per

altri processi.

Dominio Y

Dominio X

Processo X1

Processo Xn

Processo Y1

. . .

Processo Yn

. . .

Dominio Y

Dominio X

Processo X1

Processo Xn

Processo Y1

. . .

Processo Yn

. . .

Inputs / Outputs

------------

------------

------------

------------

------------

------------

. . .------------

------------

------------

------------

------------

------------

. . .

Page 23: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 23

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

CobiT 4.1 CO/MG

ORGANIZZARE

Relazioni input / output fra processi

Input e Output del processo

“AI2 Acquire and Maintain

Application Software”

Page 24: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 24

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

CobiT 4.1 CO/MG

MISURARE

Business

BSC

Financial

Goals

Metric

s

Internal

Goals

Metric

s

Innovation

Goals

Metric

s

Customer

Goals

Metric

s

IT BSC

Corporate

Goals

Metric

s

Innovation

Goals

Metric

s

Internal

Goals

Metric

s

User

Goals

Metric

s

Process

BSC

IT

Goals

Metric

s

Innovation

Goals

Metric

s

Internal

Goals

Metric

s

User

Goals

Metric

s

Le metriche consentono di misurare il

raggiungimento degli obiettivi.

Le m

etriche di obiettivo a

livello più basso

diventano m

etriche di

prestazione a livello più

alto (abilitanti per il

conseguimento degli

obiettivi di livello più alto).

BSC Multilivello

Page 25: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 25

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

CobiT 4.1 CO/MG

MISURARE

Le metriche in CobiT

Goals

Activities Metrics

Activities

Level

misurano

Goals

Process Metrics

Process

Level

misurano

indirizzano

determinano

Perimetro delle

metriche in CobiT

Goals

IT Metrics

IT Level

misurano

indirizzano

determinano

Goals

Metrics

Business

Level

misurano

indirizzano

determinano

Page 26: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 26

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

CobiT 4.1 CO/MG

MISURARE

Le metriche in CobiT (esempio)

Esempio: AI2 Acquire and Maintain Application Software

ITProcesso

Attività

Page 27: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 27

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

CobiT 4.1 CO/MG

MIGLIORARE

Per il management è importante disporre di strumenti che consentano al

contempo di ottenere una valutazione complessiva del sistema di

governo e controllo dell’IT, e di identificare e prioritizzare eventuali

interventi. Il CobiT M

aturity M

odel risponde a tale esigenza.

Dove sono? E gli “altri”? Dove voglio andare?

Page 28: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 28

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

CobiT 4.1 CO/MG

MIGLIORARE

Esempio di applicazione del Maturity Model

0

0,51

1,52

2,53

3,54

4,5

AI1

AI2

AI3

AI4

AI5

AI6

AI7

Target

Current

AI1 Identify automated

solutions

AI2 Acquire and maintain

application software

AI3 Acquire and maintain

technology infrastructure

AI4 Enable operation and use

AI5 Procure IT resources

AI6 Manage changes

AI7 Install and accredit

solutions and changes

Page 29: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 29

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

CobiT 4.1 CO/MG

MIGLIORARE

Grazie ad opportuni strumenti è possibile confrontare la propriarealtà

aziendale con un m

odello di riferimento, e ottenere un profilo di

conform

ità rispetto al modello. Sulla base del profilo di conform

ità

possono essere individuati le azioni di miglioramento da porre in essere.

Si osservi come sia

possibile prioritizzare

gli interventi sulla base

di ulteriori inform

azioni

raccolta ad esempio

dal confronto della

realtà aziendale con le

altre componenti di

CobiT: Control

Objectives, relazioni di

I/O, diagrammi RACI.

Concretamente? Come si individuano

gli interventi per migliorare?

Page 30: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 30

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

CobiT 4.1 CO/MG

MIGLIORARE

Esempio di modello di maturità (1/2)

0 Non-existent

There is no process for designing and specifying applications. Typically, applications are

obtained based on vendor-driven offerings, brand recognition or IT staff familiarity withspecific

products, with little or no consideration of actual requirements.

1 Initial/ Ad Hoc

There is an awareness that a process for acquiring and maintaining applications is required.

Approaches to acquiring and maintaining application software vary from project to project. Some

individual solutions to particular business requirements are likely to have been acquired

independently, resulting in inefficiencies with maintenance and support.

2 Repeatable but Intuitive

There are different, but similar, processes for acquiring and maintaining applications based on the

expertise within the IT function. The success rate with applications depends greatly on the in-house

skills and experience levels within IT. Maintenance is usually problematic and suffers when internal

knowledge is lost from the organisation. There is little consideration of application security and

availability in the design or acquisition of application software.

3 Defined

A clear, defined and generally understood process exists for theacquisition and maintenance of

application software. This process is aligned with IT and business strategy. An attempt is made to

apply the documented processes consistently across different applications and projects. The

methodologies are generally inflexible and difficult to apply inall cases, so steps are likely to be

bypassed. Maintenance activities are planned, scheduled and co-ordinated.

AI2 Acquire and Maintain Application Software

Page 31: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 31

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

CobiT 4.1 CO/MG

MIGLIORARE

Esempio di modello di maturità (2/2)

AI2 Acquire and Maintain Application Software

4 Managed and Measurable

There is a form

al and well-understood methodology that includes a design and specification

process, criteria for acquisition, a process for testing and requirements for documentation.

Documented and agreed-upon approval mechanisms exist to ensure that all steps are followed

and exceptions are authorised. Practices and procedures evolve and are well suited to the

organisation, used by all staff and applicable to most application requirements.

5 Optimised

Application software acquisition and maintenance practices are aligned with the defined process.

The approach is componentbased, with predefined, standardised applications matched to

business needs. The approach is enterprisewide. The acquisition and

maintenance methodology is well advanced and enables rapid deployment, allowing for high

responsiveness and flexibility in responding to changing business requirements. The application

software acquisition and implementation methodology is subjectedto continuous improvement

and is supported by internal and external knowledge databases containing reference materials

and good practices. The methodology creates documentation in a predefined structure that

makes production and maintenance efficient.

Page 32: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 32

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

IT Control Practices

Page 33: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 33

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

Nota metodologica

Punti di attenzione sull’evoluzione della term

inologia in CobiT

Attività di controllo (in dettaglio)

Control Practices

Rischi (Rischio = Negazione

dell’Obiettivo di Controllo)

Risk Drivers

Obiettivi di controllo

Value Drivers

Attività di controllo (in sintesi)

Control Objectives

Significato

Term

inologia in Cobit 4.1

Page 34: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 34

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

IT Assurance Guide

•Linee guida per le attività di Assurance concernenti:

-Controlli Generici applicabili a tutti i processi (PCn)

-Controlli Applicativi (ACn)

-Controlli Specifici di Processo (codificato con dominio, processo,

progressivo, ad esempio PO6.3, AI4.1, etc.)

•Non una checklist

-E’ richiesta esperienza

-Proposta come punto di partenza per sviluppare in modo efficiente

piano di lavoro per attività di assurance specifici

»per l’organizzazione oggetto di intervento

»rispetto agli obiettivi dell’intervento

»eseguibili da personale con m

inore esperienza

Page 35: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 35

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

IT Assurance Guide

Aderenza agli standard professionali applicabili

•Processo di audit

-Planning

-Scoping

-Executing

»Refining the understanding

»Testing the effectiveness of control design

»Testing the operational effectiveness of controls

»Documenting the impact of control weaknesses)

-Developing/communicating conclusions and recommendations

•Tecniche di verifica

-Enquire (via a different source) and confirm

-Inspect (via walk-through, search, compare and review)

-Observe (i.e., confirm

ation through observation)

-Reperform

or recalculate and analyse (often based on a sample)

-Collect (e.g., sample, trace, extract) and analyse automated

evidence

Page 36: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 36

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

IT Assurance Guide

Struttura dell’IT Assurance Guide

Per obiettivo

di controllo

Per processo

Page 37: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 37

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

IT Assurance Guide (esempio)

AI2.6 Major Upgrades to Existing Systems

In the event of major changes to existing

systems that result in significant change in

current designs and/or functionality, follow a

similar development process as that used for

the development of new systems.

Control Objective

•Consistent system availability

•Maintained confidentiality,

integrity and availability of the

processed data

•Cost and quality control for

developments

•Maintained compatibility with

technical infrastructure

Value Drivers

•Reduced system availability

•Compromised confidentiality,

integrity and availability of

processed data

•Lack of cost control for major

developments

Risk Drivers

•Confirm

with key staff members and inspect relevant documentation to determ

ine that impact assessment of major

upgrades has been made to address the specified objective criteria (such as business requirement), the risk involved

(such as impact on existing systems and processes or security), cost-benefit justification and other requirements.

•Inspect relevant documentation to identify deviations from norm

al development and implementation processes.

•Enquire of business sponsors and other affected stakeholders andinspect relevant documentation to determ

ine

whether agreement and approval have been obtained for the development and implementation process.

Test the Control Design

Page 38: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 38

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

IT Assurance Guide (esempio)

AI2 Acquire and Maintain Application Software

•Steps to test the outcome of the control objectives:

-[…

.]

-Obtain and review a sample of project sign-off documentation to

determ

ine whether the projects have gone through QA sign-off and

have proceeded with proper approval of the high-level design by IT

and business stakeholders (project sponsors).

-[…

.]

•Steps to document the impact of the control weaknesses:

-[…

.]

-Identify designs where security and availability were not adequately

addressed

-[…

.]

Page 39: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 39

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

IT Control Practices & IT Assurance Guide

AI2.6 Major Upgrades to Existing Systems

In the event of major changes to existing

systems that result in significant change in

current designs and/or functionality, follow a

similar development process as that used for

the development of new systems.

Control Objective

•Consistent system availability

•Maintained confidentiality,

integrity and availability of the

processed data

•Cost and quality control for

developments

•Maintained compatibility with

technical infrastructure

Value Drivers

•Reduced system availability

•Compromised confidentiality,

integrity and availability of

processed data

•Lack of cost control for major

developments

Risk Drivers

1) Assess the impact of any major upgrade and classify

it according to specified objectlve criteria(such as

business requirerements), based on the outcome of

analysis of the risk involved (such as impact on existing

systems and processes or security), cost-benefit

justification and other requirements. Follow norm

al

system development and implementation processes as

appropriate for the nature of the change.

2) Obtain agreement on and approval of the

implementationof the development and implementation

process with the business process sponsor and other

affected stakeholders. Ensure that the business process

owners understand the effect of designating changes as

maintenance of major upgrades.

Control Practices

•Confirm

with key staff members and inspect relevant

documentation to determine that impact assessment

of major upgrades has been madeto address the

specified objective criteria (such as business

requirement), the risk involved (such as impact on

existing systems and processes or security), cost-benefit

justification and other requirements.

•Inspect relevant documentation to identify deviations

from norm

al development and implementation

processes.

•Enquire of business sponsors and other affected

stakeholders and inspect relevant documentation to

determine whether agreement and approval have

been obtained for the development and

implementation process.

Test the Control Design

Page 40: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 40

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

Parte 4

Strumenti di supporto per

l’applicazione e la form

azione

Assoc

Mgrs

Exec

��

�Courses, Conventions, Academia

Education

��

IT Control Objectives for SOXA

�CobiT Security Baseline

��

CobiT Quickstart

Special purpose

��

Val IT

��

CobiT Mapping Series

��

CobiT Online

��

Aligning CobiT, ITIL & ISO1779 for bsns benefit

��

IT Governance Implementation Guide -2nded.

Implementation guidelines and tool set

��

IT Assurance Guide

��

CobiT Control Practices

��

CobiT 4.1 (COs, I/Os, RACI, Metrics, Maturity)

Set up and control of an IT services organization

��

Inform

ation Security Governance

��

Board Briefing on IT Governance -2nded.

Executives’role and duties

Assoc

Mgrs

Exec

Page 41: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 41

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

IT Governance Implementation Guide

Road M

ap to IT Governance

Page 42: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 42

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

IT Governance Implementation Guide

Per ogni step…

Templates, maturity m

easurement folder, reporting techniques, maturity

assessment tool

Tool kit

support

Current maturity rating for selected processes

Output

•COBIT m

anagement guidelines’, control objectives, control practices

•COBIT M

E1 M

onitor and e

valu

ate

IT p

erform

ance

Using COBIT

& Val IT comp.

Process descriptions, policies, standards, procedures, technical

specifications

Input

[. . .] 2. For each IT process, create a worksheet for analysingcapability

maturity, using the attributes described in the COBIT and Val IT

frameworks. [. . .]

Tasks

[. . .] establish how well [IT processes critical for business goals] are

managed and executed [ . . ]. This is achieved by using the capability

maturity assessment technique for each IT process [. . .].

Process

Description

Determ

ine the current capability m

aturity of the selected processes.

Process objs

Assess current capability m

aturity

Process step

Page 43: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 43

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

IT Governance Implementation Guide

•Start from a business need / goal

•Scope

-Identify IT processes and infrastracture relevant to the

bsns goal

-Adjust scope for risk

•Plan

-Refine the goals (measurable)

-Obtain funding and resources

•Execute

-Identify gaps and improvements

-Plan & Implement solutions

•Build Sustainability

Overall Reasoning:

Page 44: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 44

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

IT Governance Implementation Guide

The Toolkit

•Management Awareness Diagnostic (2 versioni)

•Maturity Measurement Tool

•MyCobiT Control Objective Assessment Form

•Mapping “IT Governance Themes to Risk Factors”

•Mapping “IT Governance Themes to (detailed) Control Objectives”

•Introductory CobiT Presentation

•IT Balanced Scorecard Example

•IT Governance Implementation Templates

•Reporting Techniques

•Risk Analysis Approach

•Frequently Asked Questions

•Maturity Measurement Article

Page 45: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 45

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

CobiT Mapping Series

..più…

•COBIT

•COSO

•ITIL

•ISO/IEC 17799:2005

•ISO/IEC 15408:2005

•PRINCE2

•PMBOK

…o m

eno diffusi…

•TickIT

•CMMI

•TOGAF 8.1

•IT Baseline Protection Manual

•NIST 800-14

Sull’IT insistono numerosi standard, ciascuno dei quali ha

finalità e destinatari specifici …

(vedi CobiT M

apping: Overview of International Guidance, 2nd Edition)

Page 46: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 46

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

CobiT Mapping Series

•Che fare se dopo CobiT “dobbiamo / vogliamo essere

conform

i allo standard per l’IT X”?

oppure…

•Che fare se abbiamo già investito per l’adozione /

conform

ità a uno o più standard per l’IT e vogliamo

affrontare il tema dell’IT Governance?

�Grazie alle m

appature fra CobiT e gli altri standard

possiamo di volta in volta valorizzare il lavoro giàfatto con

CobiT e/o con altri standard

�CobiT può anche diventare una sorta di

“cross/reference”fra uno o piùdegli altri standard

Page 47: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 47

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

CobiT Mapping Series

Page 48: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 48

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

CobiT Mapping Series

Esempio: Mappatura CobiT/ITIL

Page 49: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 49

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

Parte 5

Conclusioni

Page 50: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 50

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

Cos’è veramente nuovo in CobiT 4/4.1?

Set up and control of an IT services organization

Organizzazione

e Controllo

dell’IT

Inform

ation Security Governance

Strumenti a

supporto

dell’applica-

zione e della

form

azione

IT Governance

Courses, Conventions, Academic material

Education

IT Control Objectives for Sarbanes-Oxley

CobiT Security Baseline

CobiT Quickstart

Special purpose

CobiT Mapping Series

CobiT Online

Aligning CobiT, ITIL & ISO1779 for bsns benefit

IT Governance Implementation Guide -2nded.

Implementation guidelines and tool set

IT Assurance Guide

CobiT Control Practices

CobiT 4.1 (COs, I/Os, RACI, Metrics, Maturity)

Val IT

Board Briefing on IT Governance -2nded.

Executives’role and duties

Materiali

“core

content”

già presenti

in CobiT 3

ma rivisti in

CobiT 4

E’ stato sviluppato il

tema dell’IT

Governance…

…in coerenza, è stato

rivisto il materiale

“core”…

… e sono stati

estesamente

sviluppati gli

strumenti di supporto

Page 51: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 51

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

No more excuses

•Governo e Controllo dell’IT: argomento “maturo”

•Standard diffusi, accettati, provati

�In presenza di perform

ance sub-ottimali delle

organizzazioni IT si deve assumere vi siano problemi di

governance

�Governance dell’IT destrutturate potrebbero essere

accettabili solo alla luce delle dimensioni e dell’industry

dell’organizzazione

�Una governance dell’IT efficace non può prescindere da

appropriate assunzioni di responsabilità

da parte del

business

Page 52: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La

Slide 52

Il p

resente

mate

riale

non p

uò e

ssere

ripro

dotto

o u

tiliz

zato

senza

auto

rizzazio

ne d

ell’auto

re

Questa è l’ultima diapositiva

Andrea Pederiva, CISA, MBA

Soxa O

ffic

e –

Banca A

nto

nveneta

[email protected]

Page 53: CobiT 4.1 Nuovi supporti per l’Audit e l’Assessment · ed. Executives’role and duties Mgrs Exec Materiali “core content” già presenti in CobiT 3 ma rivisti in CobiT 4 La