COBITIl Control Objectives for Information and related Technology (COBIT) è un modello (framework) per la gestione della Information and Communication Technology (ICT) creato nel 1992 dall'associazione americana degli auditor dei sistemi informativi (Information Systems Audit and Control Association - ISACA), e dal IT Governance Institute (ITGI). COBIT fornisce ai manager, agli auditor e agli utenti dei sistemi IT una griglia di riferimento costituita da:
con l'obiettivo di valutare se è in atto un efficace governo della funzione IT (IT governance) o di fornire una guida per instaurarlo. Il modello COBIT (nella versione inglese) è pubblico e scaricabile gratuitamente. Esiste anche una versione italiana; maggiori dettagli riguardo alla disponibilità dei documenti e a come ottenerli sono nella sezione Come ottenere COBIT. CaratteristicheCOBIT è stato pubblicato per la prima volta nel 1996. La sua missione è quella di "ricercare, sviluppare, pubblicizzare e promuovere un insieme internazionale di obiettivi di controllo di accettazione generale per l'utilizzo giornaliero da parte di manager e auditor". Le aziende devono soddisfare i requisiti di qualità, affidabilità e di sicurezza della loro organizzazione IT perseguendo obiettivi di efficacia, devono cioè:
Devono inoltre perseguire obiettivi di efficienza, valutando la maturità dei processi e misurando le prestazioni della funzione IT. Il modello COBIT si propone di rispondere a questi bisogni:
COBIT 4.1 divide il controllo della funzione IT in quattro domini: Pianificazione e Organizzazione (Plan and Organise), Acquisizione e Implementazione (Acquire and Implement), Erogazione ed Assistenza (Deliver and Support), Monitoraggio e Valutazione (Monitor and Evaluate). Nei quattro domini sono collocati un totale di 34 processi, ai quali fanno capo, nella versione 4.1, un totale di 210 obiettivi di controllo; questi ultimi rivestono un'importanza centrale nel COBIT, al punto di dare il nome al modello stesso. VersioniCOBIT ha visto succedersi cinque versioni principali:
Struttura del COBIT 4.1COBIT comprende quattro domini:
Nei domini sono collocati i 34 processi, ognuno dei quali prevede una serie di attività con degli obiettivi precisi (activity goal). Obiettivi di controlloPer ogni processo sono definiti degli obiettivi di controllo specifici. Inoltre vi sono due insiemi di obiettivi di controllo "generali" applicabili a ciascun processo:
Secondo il modello, il raggiungimento degli obiettivi di controllo garantisce un ragionevole livello di confidenza riguardo al raggiungimento degli obiettivi aziendali connessi al processo e alla prevenzione dei rischi associati al processo stesso. Il modello non impone necessariamente il raggiungimento di ogni obiettivo di controllo. Il management aziendale può decidere quali sono i controlli applicabili ad ogni singolo processo all'interno dell'azienda, quali andranno implementati e con quali modalità, o viceversa può accollarsi il rischio di non implementarli. I processi del COBIT 4.1 suddivisi per dominiPlan and OrganizeIl dominio copre gli aspetti strategici e tattici e si propone di individuare il modo migliore in cui la funzione IT può contribuire al raggiungimento degli obiettivi aziendali. Lo scopo è di comprendere se gli obiettivi della funzione IT sono noti a tutti all'interno dell'organizzazione, se la funzione IT è in linea con la strategia aziendale, se l'azienda sta utilizzando le proprie risorse in modo ottimale gestendo correttamente i rischi e fornendo la qualità richiesta. PROCESSI
Plan and Organize
Acquire and ImplementLe soluzioni al servizio della strategia IT devono essere prima di tutto identificate, poi costruite o acquisite; successivamente devono essere poste in opera e integrate al servizio dei processi aziendali. In aggiunta a ciò, in questo dominio si provvede a controllare la gestione dei cambiamenti e la manutenzione di sistemi, servizi e applicazioni, sempre compatibilmente con gli obiettivi aziendali. Lo scopo è di comprendere se i progetti forniranno soluzioni in linea con le attese e con i tempi e costi stimati, se opereranno correttamente una volta distribuiti, e se la modalità di gestione dei cambiamenti è in grado di assicurare che questi vengano posti in essere senza effetti negativi sull'operatività dell'azienda. PROCESSI
Acquire and Implement
Deliver and SupportI processi nel dominio Deliver and Support si occupano dell'erogazione effettiva dei servizi, il che comprende anche il controllo della disponibilità, del rispetto dei livelli di servizio e della sicurezza del servizio stesso, così come il supporto agli utenti e la gestione dei dati e dell'ambiente fisico. I processi del dominio si assicurano che i servizi IT vengano erogati in linea con le priorità aziendali, che venga effettuata una gestione ottimale dei costi, che il personale sia in grado di utilizzare i sistemi con cognizione di causa e in sicurezza e che le informazioni siano protette negli aspetti di riservatezza, integrità, confidenzialità che sono loro propri. PROCESSI
Deliver and Support
Monitor and EvaluateÈ necessaria una valutazione regolare e periodica della qualità dei processi IT. I processi in questo dominio si occupano di verificare se le prestazioni della funzione IT sono in linea con le aspettative del vertice aziendale, se il sistema di controlli interni è ben congegnato, se sono saldi i legami tra le prestazioni della funzione IT e gli obiettivi aziendali e se è garantita la conformità a leggi e regolamenti. PROCESSI
Monitor and Evaluate
COBIT e altri standard internazionaliPer moltissimi standard internazionali sono disponibili documenti con le corrispondenze (mapping), documenti cioè che mettono in relazione le aree coperte da COBIT rispetto a quelle coperte dagli altri standard (cfr. (EN) ISACA CobiT Mappings). La maggior parte di tali documenti sono riservati però agli associati ISACA. Uno schema di confronto tra COBIT e altri framework (riprodotto in figura) è stato elaborato da Eric Guldentops, uno dei padri del modello COBIT. COBIT e ITILCOBIT e ITIL presentano aree di sovrapposizione, in cui gli stessi processi vengono analizzati da punti di vista differenti; né potrebbe essere altrimenti, visto che entrambi i framework riguardano quelle che, in senso lato, sono le prestazioni di una struttura IT. La recente introduzione della versione 3 di ITIL, affrontando tematiche proprie della strategia di costruzione ed erogazione dei servizi, ha aumentato le aree di sovrapposizione dei modelli o, per meglio dire, ha aumentato le aree in cui è possibile fare ricorso alle pratiche ITIL per soddisfare gli obiettivi di controllo previsti da COBIT. Un confronto tra COBIT e ITIL è contenuto in un documento del maggio 2007, a cura di esperti di itSMF Italia, AIEA e SDA Bocconi. Il documento è liberamente scaricabile dal sito AIEA. Si noti che le versioni confrontate sono COBIT 4.0 e ITIL v2; malgrado i cambiamenti sostanziali intervenuti per entrambi i framework nelle versioni successive, molte considerazioni sono ancora applicabili. COBIT, il modello COSO e la legge Sarbanes-OxleyL'entrata in vigore della legge Sarbanes Oxley negli Stati Uniti, nel luglio 2002, ha determinato un sostanziale incremento della diffusione del COBIT, come mezzo per ottenere un governo efficace della funzione IT e quindi ottemperare alle disposizioni di legge. La SEC - Securities and Exchange Commission aveva indicato nel modello COSO lo standard di riferimento per la conformità alla Sarbanes-Oxley. La pubblicazione da parte di ITGI di un documento di corrispondenza (mapping) tra processi COBIT e componenti COSO da una parte e gli obiettivi di controllo COBIT e controlli COSO dall'altra ha reso pienamente applicabile il modello COBIT per le verifiche di conformità alla Sarbanes-Oxley. Come ottenere COBITCOBIT è scaricabile dalla (EN) pagina di download del sito ISACA, così come sono scaricabili molti altri documenti correlati al modello. Per scaricare il modello COBIT è richiesta la registrazione (gratuita) al sito. Altri documenti, specificatamente quelli riguardanti le modalità di impiego e applicazione del modello, sono accessibili ai soli iscritti all'ISACA. La traduzione italiana della norma è curata dall'AIEA [1] Voci correlateAltri progetti
Collegamenti esterni
|