IS Governance in action: l'esperienza di eni - Giancarlo Cimmino Resp. ICT Compliance & Risk Management - AIEA
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
IS Governance in action:
l’esperienza di eni
Giancarlo Cimmino
Resp. ICT Compliance & Risk Management
eni.com
Contenuti
L’ICT eni:
mission e principali grandezze
IS Governance: il modello organizzativo
focus su Process & Risk Management
il contributo agli obiettivi ICT di medio–lungo periodo
l’area del sito ICT eni dedicata al COBIT
2
eni è un’impresa integrata nell’energia
L’ICT eni …
eni ha intrapreso un processo di accentramento delle attività di supporto al
business con l’obiettivo di migliorare l’efficienza ed i livelli di servizio forniti.
Le direzioni di eni corporate (AFC, HR, ICT, Approvvigionamenti, etc.)
garantiscono le competenze e i servizi centralmente per tutta la Company.
HR …
Appr. AFC
ICT
Anche il modello di ICT è cambiato: dopo il decentramento delle strutture e
delle soluzioni tecnologiche degli anni ’90, si è ormai concluso il
consolidamento delle competenze specialistiche all’interno dell’Eni in un’unica
struttura specializzata, l’ICT eni.
4
… la mission
L’ICT di eni corporate governa l’attività di Information & Communication
Technology fornendo soluzioni e servizi di informatica e
telecomunicazione all’interno del gruppo eni, sia sul territorio nazionale
che internazionale.
In particolare:
definisce il Piano Tecnologico ICT e le Linee Guida per lo sviluppo dell'ICT di Gruppo
coerentemente con l’evoluzione del business aziendale;
garantisce l’adozione di architetture e tecnologie innovative anche tramite il continuo
monitoraggio del mercato di competenza;
progetta e sviluppa nuovi sistemi informatici in allineamento con le esigenze del
business;
gestisce i servizi continuativi di Application Management (AM) del parco applicativo, di
telecomunicazione (fonia e dati) e di esercizio dell’infrastruttura dell’eni;
assicura la disponibilità di Accordi di Gruppo con Terzi fruibili sia a livello nazionale
che internazionale.
5
… le principali grandezze
19700
N. Postazioni di Lavoro
520 in eni ICT lavorano
N. Applicazioni gestite
Fisici
1300
Virtuali
N. Server 1300
769 persone
21600
N. Apparecchi telefonici fissi
10300
N. Apparecchi telefonici mobili
N.B. i valori sono riferiti al 31/12/2009
6IS Governance: il modello organizzativo
7Focus su Process & Risk Management: l’esigenza iniziale …
Dotare eni ICT di un corpus di processi ben documentati e
costantemente verificati nel funzionamento.
Fornire una risposta adeguata e sostenibile all’esigenza della
continua messa a punto dei nostri processi, per supportarne
l’integrazione e garantirne l’allineamento al modello operativo.
Sviluppare e diffondere in eni ICT la cultura del risk management
per migliorare la nostra capacità di valutare e gestire i rischi
correlati a tutte le nostre attività, anziché limitarla a specifiche
categorie di rischi di tipo tecnologico.
Trasformare l’impatto derivante dall’aumentata complessità del
quadro normativo esterno ed interno (compliance) in un’opportunità,
per strutturare sempre meglio i nostri processi.
8… la scelta dei framework
IS Governance: “insieme di logiche e strumenti finalizzati alla
creazione di un assetto strutturale e di un contesto di governo del
SI aziendale che lo rendano costantemente coerente con le esigenze
aziendali in ambienti caratterizzati da un alto livello di complessità”
Abbiamo scelto il Framework COBIT per disporre di uno schema
logico affidabile, all’interno del quale riuscire a ricondurre le attività
che caratterizzano i nostri processi di funzionamento per
documentarli, controllarli e misurarli.
Al COBIT abbiamo associato un Framework di valutazione e gestione
del rischio ICT nelle diverse aree/domini, per identificare, analizzare,
valutare e mitigare i rischi correlati a tutte le attività ICT attraverso
un percorso omogeneo e strutturato.
In entrambi i casi li abbiamo adottati come strumenti operativi a
supporto del governo e del sistema di presa delle decisioni.
9… il nuovo approccio
Evoluzione dell’IT Process Mgmt rispetto alle precedenti esperienze
Aumentare la consapevolezza all’interno di eni ICT:
dell’importanza delle attività di controllo sull’operatività dei processi, per migliorarne
l’efficienza, più che per rispondere a richieste di “adempimento”;
dell’importanza della correlazione fra gli obiettivi di processo e la valutazione
dei rischi associati al mancato raggiungimento degli stessi.
Contribuire a definire sempre meglio ruoli e responsabilità.
Governo e controllo vanno esercitati in un contesto di rispetto delle
leggi che regolano l’attività dell’impresa
Raggiungere in modo “fisiologico” la compliance normativa – e più in
generale soddisfare le esigenze del SCI - attraverso un adeguamento
strutturale e non un approccio reattivo alle singole normative:
incorporando nei processi le operazioni indirizzate a garantire le conformità normative,
come parte integrante delle attività quotidiane;
predisponendo un impianto di controlli snello e integrato.
10… standard, metodologie e ….. buon senso
Le attività di ICT Process & Risk Mgmt per tradursi in supporti
operativi alle attività di Governance devono saper combinare il
rigore metodologico con una buona dose di pragmatismo
Alcuni dei nostri ambiziosi propositi:
garantire l’aderenza agli standard internazionali e al tempo stesso
la semplicità di documentazione, di utilizzo e di aggiornamento;
… non adottare gli standard come dogmi ma contestualizzarli alla
nostra organizzazione, lavorando insieme ai Process Owner e
verificando ad ogni passaggio la applicabilità di quanto prodotto;
… cogliere tutte le opportunità di “snellimento strutturale”
dell’esistente;
… essere in sintonia con le diverse indicazioni che emergono
dall’ambiente di controllo interno (Internal Audit; CS; OdV).
11Il contributo agli obiettivi ICT di medio-lungo periodo
Le attività di ICT Process & Risk Mgmt contribuiscono al
raggiungimento degli obiettivi ICT di medio-lungo periodo e in
particolare a “trasformare la funzione stessa ICT”
Disporre di una vista integrata sulla effettiva operatività dei processi
ICT attraverso il monitoring integrato degli action plan relativi alle
azioni di miglioramento dei processi e delle IT Risk Response;
rafforzare la disciplina esecutiva delle attività ICT;
disporre di una vista aggregata dell’IT Inherent risk relativa a tutte le
attività ICT e gestire gli IT Residual risks relativi ai processi IT e agli
asset critici;
supportare il governo del maturity level dei processi;
aumentare la auditabilità e la trasparenza delle attività ICT,
condividendo con le funzioni di controllo interne e esterne all’azienda
un linguaggio comune e la logica risk based.
12… spunti dalle cose fatte e primi benefici
ICT Governance Monitoring
Process & Risk Monitoring; Mappa dei Processi ICT eni
Inherent riskCompliance Monitoring; Readiness
Corporate Governance Risk Mgmt
compliance integrata
formazione su IS Governance
programmi complessi
residuo processi framework di gestione dei rischi
singoli asset
13Processi COBIT di eni ICT
IRP: Annual Operating
IT Contract Management
Programme
IRP: Application
IT Resource Portfolio Management (IRP)
Operating Programme
IRP: Infrastructure
Operating Programme
IT Demand Management
IPD: Project Management
IT Project Development (IPD)
IPD: Project Feasibility
IPD: Project Implementation
IT Sourcing IT Infrastructure Operation
IT Budgeting & Cost Monitoring
IT Application Operation
IRS: Governance
IT Risk & Security (IRS)
IRS: Management
IT Strategic Planning
IRS: Monitoring
14L’area del Sito ICT dedicata ai Processi COBIT
IC VA
T EG T LU
E
RA M EN DE
ST N L IV
IG ER
AL Y
PER
IT GOVERNANCE
MEA
NT
FOR
ME
K
SUR
RIS
GE
MAN
EME
NA
CE
MA
NT
RESOURCE
MANAGEMENT
15ST
AL
T
RA M EN
IG
N
IC
EG T
VA
LU
E
DE
L IV
ER
GRAZIE
Y
PER
IT GOVERNANCE
MEA
NT
FOR
ME
K
SUR
RIS
GE
MAN
EME
NA
CE
MA
NT
RESOURCE
MANAGEMENT
16Backup
… all’interno del modello di Corporate Governance
Corporate Governance
IS Governance
IT Governance
indietro
18eni Reference Book
Il Reference Book è lo strumento operativo per la diffusione e l’applicazione
delle logiche di IS Governance ed esplicita tutte le componenti del sistema
Ogni Paragrafo contiene:
• Descrizione
• Policy
• Guidelines
• Reporting
indietro
19eni Reference Model
Il Reference Model esplicita l’ambito delle relazioni e la tipologia di applicazione
Contiene i Per ciascuna Società indica il
livello adesione
Capitoli e i • Policy
Paragrafi del • Guidelines
y
y
y
o se deve produrre
pan
pan
pan
Reference __________ • Reporting
Eni Group
C om
C om
C om
Book Reference Model
_________
B
A
n
indietro
20Puoi anche leggere
