IS Governance in action: l'esperienza di eni - Giancarlo Cimmino Resp. ICT Compliance & Risk Management - AIEA
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
IS Governance in action: l’esperienza di eni Giancarlo Cimmino Resp. ICT Compliance & Risk Management eni.com
Contenuti L’ICT eni: mission e principali grandezze IS Governance: il modello organizzativo focus su Process & Risk Management il contributo agli obiettivi ICT di medio–lungo periodo l’area del sito ICT eni dedicata al COBIT 2
L’ICT eni … eni ha intrapreso un processo di accentramento delle attività di supporto al business con l’obiettivo di migliorare l’efficienza ed i livelli di servizio forniti. Le direzioni di eni corporate (AFC, HR, ICT, Approvvigionamenti, etc.) garantiscono le competenze e i servizi centralmente per tutta la Company. HR … Appr. AFC ICT Anche il modello di ICT è cambiato: dopo il decentramento delle strutture e delle soluzioni tecnologiche degli anni ’90, si è ormai concluso il consolidamento delle competenze specialistiche all’interno dell’Eni in un’unica struttura specializzata, l’ICT eni. 4
… la mission L’ICT di eni corporate governa l’attività di Information & Communication Technology fornendo soluzioni e servizi di informatica e telecomunicazione all’interno del gruppo eni, sia sul territorio nazionale che internazionale. In particolare: definisce il Piano Tecnologico ICT e le Linee Guida per lo sviluppo dell'ICT di Gruppo coerentemente con l’evoluzione del business aziendale; garantisce l’adozione di architetture e tecnologie innovative anche tramite il continuo monitoraggio del mercato di competenza; progetta e sviluppa nuovi sistemi informatici in allineamento con le esigenze del business; gestisce i servizi continuativi di Application Management (AM) del parco applicativo, di telecomunicazione (fonia e dati) e di esercizio dell’infrastruttura dell’eni; assicura la disponibilità di Accordi di Gruppo con Terzi fruibili sia a livello nazionale che internazionale. 5
… le principali grandezze 19700 N. Postazioni di Lavoro 520 in eni ICT lavorano N. Applicazioni gestite Fisici 1300 Virtuali N. Server 1300 769 persone 21600 N. Apparecchi telefonici fissi 10300 N. Apparecchi telefonici mobili N.B. i valori sono riferiti al 31/12/2009 6
IS Governance: il modello organizzativo 7
Focus su Process & Risk Management: l’esigenza iniziale … Dotare eni ICT di un corpus di processi ben documentati e costantemente verificati nel funzionamento. Fornire una risposta adeguata e sostenibile all’esigenza della continua messa a punto dei nostri processi, per supportarne l’integrazione e garantirne l’allineamento al modello operativo. Sviluppare e diffondere in eni ICT la cultura del risk management per migliorare la nostra capacità di valutare e gestire i rischi correlati a tutte le nostre attività, anziché limitarla a specifiche categorie di rischi di tipo tecnologico. Trasformare l’impatto derivante dall’aumentata complessità del quadro normativo esterno ed interno (compliance) in un’opportunità, per strutturare sempre meglio i nostri processi. 8
… la scelta dei framework IS Governance: “insieme di logiche e strumenti finalizzati alla creazione di un assetto strutturale e di un contesto di governo del SI aziendale che lo rendano costantemente coerente con le esigenze aziendali in ambienti caratterizzati da un alto livello di complessità” Abbiamo scelto il Framework COBIT per disporre di uno schema logico affidabile, all’interno del quale riuscire a ricondurre le attività che caratterizzano i nostri processi di funzionamento per documentarli, controllarli e misurarli. Al COBIT abbiamo associato un Framework di valutazione e gestione del rischio ICT nelle diverse aree/domini, per identificare, analizzare, valutare e mitigare i rischi correlati a tutte le attività ICT attraverso un percorso omogeneo e strutturato. In entrambi i casi li abbiamo adottati come strumenti operativi a supporto del governo e del sistema di presa delle decisioni. 9
… il nuovo approccio Evoluzione dell’IT Process Mgmt rispetto alle precedenti esperienze Aumentare la consapevolezza all’interno di eni ICT: dell’importanza delle attività di controllo sull’operatività dei processi, per migliorarne l’efficienza, più che per rispondere a richieste di “adempimento”; dell’importanza della correlazione fra gli obiettivi di processo e la valutazione dei rischi associati al mancato raggiungimento degli stessi. Contribuire a definire sempre meglio ruoli e responsabilità. Governo e controllo vanno esercitati in un contesto di rispetto delle leggi che regolano l’attività dell’impresa Raggiungere in modo “fisiologico” la compliance normativa – e più in generale soddisfare le esigenze del SCI - attraverso un adeguamento strutturale e non un approccio reattivo alle singole normative: incorporando nei processi le operazioni indirizzate a garantire le conformità normative, come parte integrante delle attività quotidiane; predisponendo un impianto di controlli snello e integrato. 10
… standard, metodologie e ….. buon senso Le attività di ICT Process & Risk Mgmt per tradursi in supporti operativi alle attività di Governance devono saper combinare il rigore metodologico con una buona dose di pragmatismo Alcuni dei nostri ambiziosi propositi: garantire l’aderenza agli standard internazionali e al tempo stesso la semplicità di documentazione, di utilizzo e di aggiornamento; … non adottare gli standard come dogmi ma contestualizzarli alla nostra organizzazione, lavorando insieme ai Process Owner e verificando ad ogni passaggio la applicabilità di quanto prodotto; … cogliere tutte le opportunità di “snellimento strutturale” dell’esistente; … essere in sintonia con le diverse indicazioni che emergono dall’ambiente di controllo interno (Internal Audit; CS; OdV). 11
Il contributo agli obiettivi ICT di medio-lungo periodo Le attività di ICT Process & Risk Mgmt contribuiscono al raggiungimento degli obiettivi ICT di medio-lungo periodo e in particolare a “trasformare la funzione stessa ICT” Disporre di una vista integrata sulla effettiva operatività dei processi ICT attraverso il monitoring integrato degli action plan relativi alle azioni di miglioramento dei processi e delle IT Risk Response; rafforzare la disciplina esecutiva delle attività ICT; disporre di una vista aggregata dell’IT Inherent risk relativa a tutte le attività ICT e gestire gli IT Residual risks relativi ai processi IT e agli asset critici; supportare il governo del maturity level dei processi; aumentare la auditabilità e la trasparenza delle attività ICT, condividendo con le funzioni di controllo interne e esterne all’azienda un linguaggio comune e la logica risk based. 12
… spunti dalle cose fatte e primi benefici ICT Governance Monitoring Process & Risk Monitoring; Mappa dei Processi ICT eni Inherent riskCompliance Monitoring; Readiness Corporate Governance Risk Mgmt compliance integrata formazione su IS Governance programmi complessi residuo processi framework di gestione dei rischi singoli asset 13
Processi COBIT di eni ICT IRP: Annual Operating IT Contract Management Programme IRP: Application IT Resource Portfolio Management (IRP) Operating Programme IRP: Infrastructure Operating Programme IT Demand Management IPD: Project Management IT Project Development (IPD) IPD: Project Feasibility IPD: Project Implementation IT Sourcing IT Infrastructure Operation IT Budgeting & Cost Monitoring IT Application Operation IRS: Governance IT Risk & Security (IRS) IRS: Management IT Strategic Planning IRS: Monitoring 14
L’area del Sito ICT dedicata ai Processi COBIT IC VA T EG T LU E RA M EN DE ST N L IV IG ER AL Y PER IT GOVERNANCE MEA NT FOR ME K SUR RIS GE MAN EME NA CE MA NT RESOURCE MANAGEMENT 15
ST AL T RA M EN IG N IC EG T VA LU E DE L IV ER GRAZIE Y PER IT GOVERNANCE MEA NT FOR ME K SUR RIS GE MAN EME NA CE MA NT RESOURCE MANAGEMENT 16
Backup
… all’interno del modello di Corporate Governance Corporate Governance IS Governance IT Governance indietro 18
eni Reference Book Il Reference Book è lo strumento operativo per la diffusione e l’applicazione delle logiche di IS Governance ed esplicita tutte le componenti del sistema Ogni Paragrafo contiene: • Descrizione • Policy • Guidelines • Reporting indietro 19
eni Reference Model Il Reference Model esplicita l’ambito delle relazioni e la tipologia di applicazione Contiene i Per ciascuna Società indica il livello adesione Capitoli e i • Policy Paragrafi del • Guidelines y y y o se deve produrre pan pan pan Reference __________ • Reporting Eni Group C om C om C om Book Reference Model _________ B A n indietro 20
Puoi anche leggere