FAQ COBIT

La prima componente del modello COBIT, il quadro di riferimento o framework, è stato definito e pubblicato nella prima edizione nel 1996. Successivamente gli standard internazionali, l’attività di ricerca e le linee guida utilizzate come prassi di riferimento contribuirono alla formulazione degli obiettivi di controllo (Control Objectives). Al fine di fornire indicazioni sulle modalità di verifica dell’appropriata implementazione dei controlli, furono definite le linee guida per la revisione (Audit Guidelines). Gli studi e le ricerche effettuati per la prima e la seconda edizione (1998) comprendevano l’analisi delle fonti internazionali classificate; il lavoro è stato svolto da istituti internazionali e da gruppi di lavoro in Europa (Free University of Amsterdam), negli Stati Uniti (California Polytechnic University) ed in Australia (University of New South Wales). I ricercatori effettuarono la raccolta, la revisione, la valutazione e l’acquisizione di standard tecnici internazionali, codici di condotta, standard di qualità, standard internazionali professionali, prassi e requisiti di settore, con riferimento al framework di COBIT o a specifici obiettivi di controllo. Dopo la raccolta e l’analisi, i ricercatori approfondirono ciascun dominio e processo e ne suggerirono modifiche, inserendo o modificando i relativi obiettivi di controllo. Il consolidamento dei risultati venne approvato dal Comitato Direttivo di COBIT.
Nel 2000 venne rilasciata la 3a Edizione di COBIT, con la quale furono introdotte le linee guida per la gestione (Management Guidelines) ed aggiornati i contenuti della seconda edizione, sulla base di nuovi o aggiornati standard internazionali di riferimento. Inoltre, il modello fu rivisto e migliorato al fine di supportare i controlli sulla gestione, consentire il monitoraggio delle prestazioni (performance management) e sviluppare ulteriormente il Governo dell’IT.

L’IT Governance Institute, tramite il suo Comitato Direttivo di COBIT, si pone come obiettivo il costante sviluppo della conoscenza contenuta in COBIT (COBIT body of knowledge). A tal fine, il Comitato conduce ricerche su diversi aspetti riguardanti gli obiettivi di controllo e le linee guida per il Management. Tale ricerche sono condotte sulla base dell’esperienza e con il contributo volontario di associati ad ISACA, utenti di COBIT, consulenti esperti e docenti universitari. Gruppi a livello locale, costituiti da 6 a 10 esperti, a Bruxelles (Belgio), Londra (Regno Unito), Chicago (USA), Canberra (Australia), Città del Capo (Sud Africa), Washington DC (USA) e Copenhagen (Danimarca), si riuniscono, in media due o tre volte l’anno, al fine di svolgere le attività di ricerca o revisione loro assegnate dal Comitato Direttivo di COBIT. Inoltre alcuni progetti di ricerca sono assegnati a facoltà universitarie ad indirizzo aziendale, come la University of Antwerp Management School (UAMS, Belgio) e la University of Hawaii (USA). 

COBIT nasce come framework di audit e controllo dell’IT, con un focus sugli obiettivi di controllo (COBIT nel 1996 e COBIT Seconda edizione nel 1998)
Evolve a framework per la gestione IT, con l’aggiunta delle Management Guidelines (COBIT 3 nel 2000)
Diventa un framework per la governance dell’IT con l’aggiunta dei processi di Governo e di Compliance e la rimozione dei processi di Assurance (COBIT 4.0 nel 2005 e COBIT 4.1 nel 2007)
Integra la gestione dei rischi e la gestione del valore e si focalizza sugli aspetti di Governance e Management dell’IT (COBIT 5.0 nel 2012).

Molti cambiamenti nel modo di operare delle aziende hanno reso necessario l’aggiornamento di COBIT:

  • La crescente attenzione sull’IT Management — La necessità di fornire un’appropriata guida sulla gestione e il controllo degli attuali ambienti operativi IT
  • Enti sempre più interessati all’assurance — La necessità di rispondere ai bisogni degli auditor, degli organi regolatori (regulators), degli esperti di sicurezza e di altre figure coinvolte nel fornire garanzie (assurance) circa le prestazioni dell’IT in condizioni diverse.
  • Una maggior attenzione per la governance ai massimi livelli aziendali — Garantire un’attenzione adeguata dell’azienda per la governance e l’esistenza di meccanismi per allineare la gestione ed i controlli degli obiettivi IT con le necessità delle imprese.
  • La crescente maturità delle migliori pratiche e standard IT— Assicurare che le imprese adottino in misura sempre maggiore linee guida specializzate come ITIL e ISO 2700x; in questo contesto COBIT può essere utilizzato come integratore e quadro di riferimento generale, continuando ad essere considerato altamente credibile ed una guida pratica per la totalità dei controlli IT.
  • Un utilizzo integrato da parte dei tre principali utenti: il management, gli informatici e gli auditor — Assicurare che la struttura, la presentazione ed il linguaggio utilizzato sia di facile comprensione e applicazione da parte degli stakeholder ai livelli direttivi, come pure dei professionisti e degli addetti.
  • Una crescita nella regolamentazione e nella conformità – Assicurare che COBIT copra in modo totale l’ambito del Governo dell’IT e mostri come correlare i domini dell’IT Governance ed il COSO framework, così che COBIT possa continuare ad essere considerato come il modello di riferimento de facto per i controlli dell’IT e per l’IT Governance.
  • IT Governance – Aggiornamento centrato sulle cinque aree che costituiscono l’IT Governance secondo la definizione di ITGI: allineamento strategico, creazione di valore, risk management, gestione delle risorse, misura delle performance. COBIT copriva già molte di queste aree, ma l’analisi ha evidenziato alcune difformità che sono state superate rivedendo il titolo di alcuni processi IT ed aggiungendo alcuni nuovi obiettivi di controllo. COBIT 4.1 contiene una matrice di raccordo fra tutti i processi IT ed i cinque domini dell’IT Governance.
  • Requisiti di business – L’orientamento di COBIT ai requisiti di business è sempre stato un principio fondamentale concretizzato negli “information criteria”. L’approfondita ricerca condotta dall’Università di Antwerp in merito alle modalità con cui l’IT contribuisce al raggiungimento degli obiettivi aziendali, nell’ambito di diversi settori economici, ha mostrato in modo diffuso l’esistenza di una relazione fra gli obiettivi aziendali e gli obiettivi dell’IT. La nuova versione di COBIT contiene una tabella che mostra le relazioni tra gli obiettivi di business, gli obiettivi IT ed i processi IT di COBIT per aiutare gli utilizzatori ad identificare il collegamento tra l’IT ed il business nella propria organizzazione. Questo lavoro ha migliorato gli indicatori chiave di obiettivo e di prestazione.
  • Armonizzazione – Al fine di agevolare gli utenti nell’integrazione di COBIT 4.1 con altre linee guida maggiormente dettagliate – ITIL, ISO 17799, PMBOK e PRINCE2 – si è provveduto ad armonizzare i termini ed i concetti utilizzati in COBIT 4.1.
  • Creazione di valore – L’enfasi sui controlli per gestire i rischi deriva dal fatto che COBIT è nato come strumento di audit. COBIT 4.1 bilancia meglio i concetti di rischio e valore e utilizza i risultati di recenti ricerche in tema di value management nel campo dell’IT.
  • Struttura dell’impresa (Enterprise architecture) — COBIT 4.1 fornisce schemi RACI (chi è Responsabile, chi è incaricato di svolgere l’attività—Addetto-, chi deve essere Consultato, chi deve essere Informato) per aiutare a definire correttamente i ruoli e le responsabilità in ciascuno dei processi IT. I concetti di organizzazione aziendale (enterprise architecture) utilizzati sono ora illustrati all’interno del quadro di riferimento (framework), collegando tra loro obiettivi, risorse, informazioni e processi.
  • Definizioni e flussi dei processi – Al fine di migliorare la comprensione del modello dei processi IT, COBIT 4.1 descrive ogni processo, i relativi flussi di input ed output, i riferimenti incrociati con gli altri processi.
  • Linguaggio e presentazione— In COBIT 4.1 è stato usato un linguaggio più conciso, attuale ed operativo (action-oriented). Gli obiettivi di controllo e le linee guida per il management sono stati raggruppati insieme in ogni processo IT.
  • Feedback – Gli utenti inviano regolarmente commenti e suggerimenti; questi, insieme ai feedback ricevuti dalle tre “COBIT User Conventions”, sono stati usati per migliorare il contenuto di COBIT 4.1

Obiettivi di Controllo

  • Allineamento “dal particolare al generale”, tra COBIT e IT Governance. Un’analisi su come gli obiettivi di controllo di dettaglio possono essere mappati sui cinque domini dell’IT Governance per identificare possibili non coperture.
  • Allineamento “dal generale al particolare”, tra COBIT e IT Governance. Una ricerca sulle più importanti prassi di IT Governance che non erano state considerate appieno nella versione precedente di COBIT al fine di ridurre potenziali carenze.
  • Armonizzazione di COBIT con altri standard di maggior dettaglio. Una dettagliata mappatura tra COBIT ed ITIL, CMM, COSO, PMBOK, ISF e ISO2700x per consentire l’allineamento con tali standard per quanto riguarda il linguaggio, le definizioni e i concetti.

Linee Guida per il Management

  • Chiarimento della relazione causa effetto fra KGI e KPI, attraverso l’identificazione con maggior dettaglio di come i KPI conducano al conseguimento dei KGI.
  • Revisione della qualità dei KGI, KPI e CSF, attraverso il miglioramento della qualità delle metriche grazie alla precedente analisi della relazione causa effetto tra KPI e KGI.
  • Suddivisione dei CSF tra quanto deve pervenire dall’esterno (input) e quanto deve essere fatto internamente al processo (management practice): sono stati approfonditi e migliorati i concetti alla base di ciascuna metrica per costruire metriche in cascata fra i processi IT e quelli aziendali identificando criteri di qualità per le metriche stesse.
  • Collegamento fra gli obiettivi aziendali, gli obiettivi IT e gli obiettivi di processo: una ricerca approfondita in otto differenti settori economici ha permesso di conseguire una visione più dettagliata di come i processi di COBIT facciano da supporto per conseguire specifici obiettivi IT e per estensione gli obiettivi aziendali; i risultati sono stati poi generalizzati.
  • Revisione dei contenuti del modello di maturità per garantire consistenza e qualità dei livelli di maturità tra diversi processi e all’interno di ciascun processo, anche attraverso il miglioramento e l’ampliamento delle definizioni degli attributi del modello di maturità.

Il volume di COBIT 4.1 è suddiviso in 4 sezioni:

  • l’Executive Overview
  • il Framework (Quadro di riferimento)
  • la parte principale del modello (Core Content) costituita da obiettivi di controllo, di alto livello e di dettaglio, dalle linee guida per il management e dal modello di maturità
  • le Appendici, che contengono diverse mappature e riferimenti (cross-references), un ampia informativa sul modello di maturità, una bibliografia ed elenco delle fonti, la descrizione dei prossimi passi nello sviluppo di COBIT e un dizionario. La parte principale del modello (Core Content) è suddivisa in base a 34 processi IT. Ciascun processo è articolato in quattro sezioni di circa una pagina ciascuna, organizzate in modo da fornire un quadro completo su come controllare, gestire e misurare il processo

Le quattro sezioni per ogni processo, nell’ordine, sono:

  • l’obiettivo di controllo di alto livello del processo, la descrizione del processo che riassume gli scopi del processo, l’obiettivo di controllo di alto livello descritto utilizzando uno schema “a cascata” che riassume le finalità, le metriche e le practice del processo, la collocazione del processo rispetto ai domini, ai criteri di valutazione delle informazioni (information criteria) e le risorse IT.
  • gli obiettivi di controllo di dettaglio del processo
  • le linee guida di gestione (Management Guidelines): input e output del processo, la tabella dei ruoli RACI (Responsabile, Addetto, Consultato e Informato), obiettivi e metriche
  • il modello di maturità del processo.

Un diverso modo di descrivere il contenuto del processo è il seguente:

  • Gli input di processo sono ciò che il responsabile del processo aziendale chiede agli altri
  • L’illustrazione del processo descrive quello che il responsabile del processo aziendale deve fare
  • Gli output di processo sono costituiti da ciò che il responsabile del processo aziendale deve produrre
  • Gli scopi e le metriche illustrano come il processo deve essere misurato
  • La tabella RACI definisce cosa deve essere delegato ed a chi
  • Il modello di maturità mostra come il processo possa essere corretto per essere migliorato

COBIT 5 è al momento in fase di sviluppo. Il rilascio della nuova versione è prevista per il secondo trimestre del 2012. COBIT 5 consolida ed integra il COBIT 4.1, Val IT 2.0 e il framework Risk IT e inoltre incorpora i principi delineati nel Business Model for Information Security (BMIS) e nel framework ITAF (IT Assurance Framework).

Come detto, COBIT 5 si basa sui precedenti framework COBIT 4.1, Val IT e Risk IT. Di conseguenza gli utenti che hanno già utilizzato questi framework nell’ambito delle proprie iniziative di IT Governance possono migrare a COBIT 5 beneficiando degli ultimi aggiornamenti forniti e mantenendo il collegamento con quanto hanno sviluppato con le precedenti versioni.
Il modello di riferimento dei processi di COBIT 5 suddivide l’IT dell’azienda in due aree principali: Governance e Management.
Il Dominio Governance è suddiviso in 5 processi che si occupano delle attività di “evaluate, direct and monitor” (EDM)
Il dominio Management è suddiviso in processi relativi alle attività di “plan, build, run and monitor”, (PBRM), raggruppati in quattro macro aree:

  • Area Align, Plan and Organise (APO), a sua volta suddivisa in 13 processi
  • Area Buld, Acquire and Implement (BAI), a sua volta suddivisa in 10 processi
  • Area Deliver, Service and Support (DSS) a sua volta suddivisa in 6 processi
  • Area Monitor, Evaluate and Assess (MEA) a sua volta suddivisa in 3 processi

I principali cambiamenti introdotti da COBIT 5 riguardano:

  • Nuovi Principi di Governo dell’IT aziendale
  • Focalizzazione ed esplicitazione dei fattori abilitanti
  • Nuovo modello di riferimento dei processi
  • Processi nuovi e modificati
  • Pratiche e attività
  • Obiettivi e metriche
  • Inputs e Outputs
  • RACI Charts
  • Modello di valutazione dei processi (Process Capability Maturity Models and Assessments)

La versione finale di COBIT 5 sarà disponibile a partire dal secondo trimestre del 2012. La versione in consultazione è liberamente scaricabile dal sito www.isaca.org.