• Bookmark

Adattamento dei modelli COBIT 5 e ITIL presso un comune saudita

Di Govind Kulkarni, esperto COBIT5, CSQA e ITIL, PMP

COBIT Focus | 25 maggio 2015 Arabo | Inglese | Francese | Portoghese | Spagnolo

Il comune dell'Arabia Saudita preso in esame per questo caso di studio è un ente del governo che esiste da 50 anni. Il suo scopo principale è quello di servire i cittadini nell'ambito del suo territorio.


Alcuni dei servizi più importanti resi ai cittadini, fra l’altro, sono: la sanità, l’igiene, le forniture idriche ed elettriche, strade e scuole. Questi servizi sono erogati a 7 milioni di residenti. Tutte le informazioni relative a questi 7 milioni di cittadini sono gestite dal dipartimento IT del comune.


Alcuni dei servizi IT del comune sono usati all'interno dell’ente, per esempio i servizi di pianificazione delle risorse d'impresa (ERP), mentre altri sono dedicati al pubblico, come i servizi sanitari, le scuole e la polizia. L'obiettivo principale del comune è quello di offrire ai cittadini un servizio di qualità, in questo senso le informazioni hanno un ruolo fondamentale. Le informazioni possono riguardare nome, età, sesso, titolo di studio, salute, residenza, servizi sanitari, reclami, gusti personali, ecc. del cittadino.


Il comune genera un'enorme quantità di informazioni, e la loro gestione in modo corretto, coerente ed efficace è una sfida. Inoltre, la lingua aggiunge un'ulteriore variabile alla gestione, infatti alcuni cittadini desiderano ricevere le informazioni solo in arabo, mentre altri preferiscono che vengano presentate anche inglese.
 

Il comune genera un'enorme quantità di informazioni, e la loro gestione in modo corretto, coerente ed efficace è una sfida.


Il comune deve fare molta attenzione e dedicare molte risorse alla gestione delle informazioni. La mancata disponibilità di informazioni quando queste sono assolutamente necessarie, oppure errori nelle informazioni disponibili, causano frustrazione nel cittadino e l'amministrazione non può permettersi di correre questo rischio. L'informazione è gestita tramite una lista di servizi che il comune fornisce a utenti e clienti che sono sia interni sia esterni.


Pertanto, il comune ha scelto di adottare e implementare un modello per la governance dell’impresa e la gestione dei servizi per disciplinare, strutturare e organizzare l'approccio alla gestione delle informazioni. In questo caso, il comune ha considerato entrambi i modelli COBIT 5 e Information Technology Infrastructure Library (ITIL).


Anche se l'implementazione di COBIT 5 e ITIL presso il comune dell'Arabia Saudita è ancora in corso ed è previsto un altro anno per il suo completamento, questo caso di studio approfondirà in che modo è stata avviata l'adozione dei modelli COBIT 5 e ITIL, quali sono state le motivazioni, qual è stato l'approccio usato e i fattori abilitanti sui quali ci si è concentrati per offrire lezioni e dettagli; qual è stato l'approccio seguito per definire i processi, in che modo l'adattamento dei modelli COBIT 5 e ITIL ha permesso di raggiungere gli obiettivi del comune e dell'area IT.


La gestione IT del comune è guidata dal Chief information Officer (CIO). Diversi dipartimenti, come quelli dedicati alla gestione delle reti informatiche, delle infrastrutture informatiche e del project management (PMO), sono gestiti da responsabili che fanno capo al CIO. Le applicazioni IT sono in gran parte acquistate da fornitori specializzati.


Molti settori della pubblica amministrazione, come quello che si occupa delle questioni legali, delle offerte e della gestione strategica, fanno uso di servizi IT. Ogni dipartimento necessita del corretto tipo di informazioni da creare, editare, modificare, conservare e archiviare. Ecco perché è importante che sia adottato un approccio strutturato basato su modelli comprovati come COBIT e ITIL.


Motivazioni per l'implementazione della Governance e dei principi Service Management

Le principali motivazioni per l'implementazione di un modello per la governance ed il service management sono stati i punti deboli dell'amministrazione, in modo specifico:

  • mancanza di continuità operativa;
  • mancanza di strutturazione nella gestione delle risorse IT;
  • incidenti significativi che causano la non disponibilità dei servizi;
  • gestione del rischio e gestione della sicurezza IT non sufficienti;
  • creazione di valore aggiunto per i soggetti interessati.

Un altro fattore chiave è stato quello di voler ricavare valore dal settore IT. Il denaro non era un fattore importante. Poiché si tratta di un'ente amministrativo, l'unico criterio da rispettare per la spesa è il fatto che ogni investimento deve essere giustificato.


Anno dopo anno, il settore IT ha ricevuto importanti finanziamenti. Comunque, la determinazione della capacità di generare valore nel settore IT è stata la ragione principale per implementare questi modelli. L'obiettivo era quello di ottenere un ritorno dall'investimento (ROI) dal settore IT. Il settore IT doveva anche produrre risultati in diversi ambiti, tra questi:

  • riduzione degli incidenti;
  • numero degli utenti soddisfatti dei servizi comunali;
  • implementazione di una strategia per affrontare le sfide generate dalla maggiore richiesta di servizi;
  • integrazione con altri comuni ed enti simili;
  • rispetto della conformità;
  • gestione del rischio.

Il comune è stato lieto di implementare le migliori pratiche, quindi avere l'impegno degli alti dirigenti non è mai stato un problema. Il CIO ha personalmente dato il via al progetto e ha guidato ogni membro per dimostrare l'importanza della gestione dei diversi framework e della gestione delle informazioni.


Formazione del team addetto all'implementazione

Per fare in modo che l'area IT generasse valore, è stato deciso che era necessario implementare una struttura che promuovesse le migliori pratiche. La domanda era: Quali potrebbero essere i membri ideali di questo team e i loro riporti gerarchici e funzionali?


Il comune ha un organico di 60 persone nel settore IT che lavorano in diversi ambiti. La Figura 1 mostra la struttura gerarchica creata per l'implementazione.


Figura 1: Struttura gerarchica per l'implementazione del framework

Fonte: Govind Kulkarni. Ristampa Autorizzata.


Preparazione del team, ruoli e responsabilità prevedevano che:

  • ogni membro ricevesse una formazione sulle migliori pratiche; sugli standard; sui principali processi di adeguamento, pianificazione e organizzazione (APO), sulla realizzazione, acquisizione e implementazione (BAI), sulla consegna, servizio e supporto (DSS) e della governance di COBIT 5;
  • le risorse critiche hanno ricevuto una formazione e la certificazione COBIT 5 a livello Foundation e Implementation;
  • le risorse critiche hanno anche una formazione ITIL a livello di expert; il PMO è stato responsabile per la registrazione settimanale dei problemi, della reportistica, dei costi e dell’erogazione di valore;
  • il gruppo addetto alle traduzioni è stato responsabile per la traduzione dei processi e di altri documenti in arabo e per offrire agli utenti una guida alla lingua;
  • il gruppo per l'implementazione è stato responsabile per l'implementazione complessiva del framework per le migliori pratiche e della relativa organizzazione delle priorità; nel team di implementazione sono stati compresi degli operatori dedicati alla scrittura dei processi;
  • il gruppo dedicato agli strumenti era responsabile per la conversione dei processi in strumenti e per l'abilitazione della mappatura degli strumenti e dei processi in base alle necessità.

Valutazione della situazione attuale

La valutazione della situazione attuale è stata completata per mezzo di una lista di controllo standardizzata. Riunioni e laboratori sono stati usati come mezzi per identificare i punti deboli del funzionamento del settore IT nei contesti più importanti nei 6 mesi precedenti, tra questi:

  • investimenti IT;
  • vision/obiettivi IT;
  • strategia IT per i prossimi 5 anni;
  • punti deboli IT;
  • principali processi IT;
  • requisiti di conformità;

Questi ambiti sono stati discussi con il settore IT e, occasionalmente, con gli utenti finali e successivamente sono stati documentati e condivisi con tutte le parti interessate. Questi documenti relativi alla valutazione della situazione attuale hanno aiutato a spostare l'attenzione nelle aree di interesse per l'utente.


Focus e strategia per l'implementazione

Come indicato dal modello COBIT 5, le aree che possono essere implementate rapidamente e che possono fornire risultati rapidi nel trovare una soluzione ai punti deboli, sono quelle che devono essere implementate nelle fasi iniziali. Questo concetto ha guidato il piano per l'implementazione basandosi sugli attuali punti deboli.


Il fulcro dell'implementazione è stato sui fattori abilitanti dei Processi. Per l'implementazione ci si è basati anche sul modello PRM (process reference model). I processi selezionati dal PRM sono stati selezionati in 2 categorie con priorità 1 e priorità 2. Al fine, il piano di implementazione è stato creato. I processi di implementazione con priorità 1 e priorità 2 sono raggruppati nella fase 1.


Fase 1


I processi di implementazione con priorità 1 comprendono:

  • APO02—Gestione strategia
  • APO05—Gestione del portafoglio
  • DSS02—Gestione delle richieste di servizio e degli incidenti
  • DSS03—Gestione dei problemi
  • DSS04—Gestione della continuità
  • BAI10—Gestione della configurazione
  • BAI06—Gestione delle modifiche
  • BAI04—Gestione della disponibilità e della capacità
  • BAI07—Gestione dell’accettazione delle modifiche e della realizzazione del cambiamento

I processi di implementazione con priorità 2 comprendono:

  • BAI08—Gestione della conoscenza
  • APO09—Gestione degli accordi di servizio
  • APO10—Gestione dei fornitori
  • APO08—Gestione delle relazioni
  • APO13—Gestione della sicurezza

Fase 2


Nella seconda fase, per esempio in seguito all'implementazione di tutti i processi gestionali, il piano prevede l'inclusione di processi di governance. Pertanto, questo caso studio mette in evidenza solo i processi gestionali.


In seguito alle discussioni con la dirigenza e il dipartimento dedicato alle strategie, si è arrivati alla definizione di una strategia IT. La strategia comprendeva obiettivi a breve e obiettivi a lungo termine allineati alla vision, alla mission e agli obiettivi dell’impresa.


Sono state organizzate molte sessioni di formazione (workshop) con gli utenti, con il dipartimento IT e con membri delle unità aziendali, con l'obiettivo di far conoscere ai soggetti interessati la strategia IT e la loro possibile partecipazione, i rispettivi ruoli e le responsabilità.


Preparazione del piano di implementazione e avvio del progetto

L'implementazione di questo modello è stata condotta come gli altri progetti, con una specifica data di inizio e di fine, traguardi e responsabilità. Le attività standard elencatei nella figura 2 dovevano essere assegnate per ogni processo.


Figura 2—Implementazione delle attività del piano

Nome mansione

Raccolta dei requisiti dei processi dalle parti interessate; svolgimento di riunioni e laboratori.
Creazione della documentazione dei processi; creazione di un elenco dei flussi di lavoro e delle condizioni.
Effettuare un laboratorio sulla documentazione dei processi per le parti interessate.
Correzione della documentazione sui processi in base agli input generati dal laboratorio.
Ottenere l'autorizzazione—Versione Inglese.
Ottener l'autorizzazione—Versione Arabo.
Stampare, archiviare e passare i processi al team dedicato agli strumenti.
Esaminarel'implementazione dei processi e degli strumenti.
Fornire supporto e assistenza per l'implementazione degli strumenti.
Effettuare un programma pilota di implementazione dei processi usando strumenti e analizzando passo passo le diverse fasi con gli utenti finali.
Offrire dei laboratori per gli utenti finali per promuovere la fiducia nei nuovi processi e strumenti.
Avvio ufficiale dell'utilizzo dei processi.
Valutazione delle problematiche post implementazione e supporto per i processi e per la soluzione dei problemi.
Definire un nuovo punto di riferimento per i processi.

Fonte: Govind Kulkarni. Ristampa Autorizzata.


È stata definita una programmazione annuale ed è stata sottoposta all’approvazione delldirezione. E’ stata programmata una revisione trimestrale dell'implementazione e sono state previste valutazioni settimanali dello status, delle problematiche e delle ripianificazioni.


È stato istituito anche un registro dei soggetti interessati contenente dettagli come:

  • nome
  • incarico
  • dipartimento
  • rapporto
  • contatti
  • modalità di coinvolgimento in ognuna delle operazioni di implementazione

Contenuti dei processi

Ogni processo selezionato nelle categorie di priorità 1 e 2, contiene gli stessi elementi base, compreso:

  • introduzione al processo
  • scopo e obiettivi del processo
  • ambito del processo
  • acronimi, definizioni e terminologie usate nel processo
  • riferimenti usati per creare la documentazione sul processo
  • politiche attinenti il processo alle quali è necessario aderire da parte degli utenti e del dipartimento IT
  • valore aggiungto per l'impresa
  • metodi, tecniche e attività
  • procedure di escalation
  • accordi di servizio da perseguire
  • stati del processo
  • input/output (I/O) chiave e interfacce con altri processi
  • indicatori chiave di prestazione (KPI) e fattori critici di successo (CFS) del processo e delle modalità per la raccolta delle misurazioni
  • incontri per verificare lo stato dell'implementazione del processo e i problemi
  • reportistica sul processo
  • fattori di rischio, assunzione di responsabilità e sfide

I requisiti dei processi sono stati acquisiti durante laboratori che prevedevano analisi, individuazione di suggerimenti, approfondimento dei pro e dei contro e delle situazioni di disaccordo per pervenire alla fine ad un documento condiviso sul processo.


Gli obiettivi aziendali sono stati allineanti agli obiettivi dei processi per ogni processo, per esempio:

  • Obiettivo aziendale: la soddisfazione degli utenti finale deve essere mantenuta o aumentata.
  • DSS02 Gestire gli obiettivi dei processi per le richieste di servizio e gli incidenti: Qual è il tempo impiegato per rispondere e per risolvere un incidente? Prima un incidente viene risolto, più l'utente sarà soddisfatto.

Sono stati definiti modelli standard per la documentazione dei processi. È stato stabilito un programma per i laboratori secondo i seguenti dettagli (figura 3).


Figura 3—Programmazione dei laboratori

Sr.
No.

Argomenti

Gruppo partecipanti I Sessione 1 (Membri del comitato di direzione IT e altri manager e ingegneri)

Note

   

Data

Ora

 
1 APO05—Comprendere il catalogo e il portafoglio dei servizi Mercoledì, 2 aprile 2014 dalle 09.00 alle 09.30

I dettagli dei singoli programmi saranno divulgati almeno 3 giorni prima del laboratorio dal PMO

2 APO02—Gestione della strategia per i servizi IT Mercoledì, 9 aprile 2014 dalle 09.00 alle 09.30
3 DSS02—Gestione delle richieste e degli incidenti Mercoledì, 23 aprile 2014 dalle 09.00 alle 09.30
4 DSS03—Gestione dei problemi Mercoledì, 30 aprile 2014 dalle 09.00 alle 09.30
5 DSS04—Gestione della continuità operativa Mercoledì, 7 maggio 2014 dalle 09.00 alle 09.30
6 BAI06—Gestione del cambiamento Mercoledì, 21 maggio 2014 dalle 09.00 alle 09.30
7 BAI10—Gestione configurazione Mercoledì, 28 maggio 2014 dalle 09.00 alle 09.30

Fonte: Govind Kulkarni. Ristampa autorizzata.


Programmazione dei laboratori

I partecipanti scelgono di partecipare ad un laboratorio sullabase delle loro esigenze.


I laboratori:

  • sono stati eseguiti in sessioni in modo da poterli erogare a tutti gli utenti; fino ad ora, sono stati svolti 18 laboratori;
  • sono continuati anche dopo il lancio ufficiale dei processi;
  • si sono conclusi con l'assegnazione di compiti per gli utenti registrati nel verbale di ogni incontro;
  • prevedevano l'integrazione dei processi e degli strumenti;
  • prevedevano l’effettuazione di un ciclo di lavorazione “pilota” da parte degli utenti;
  • sono stati erogati per spiegare agli utenti come usare i processi e gli strumenti.

I fattori chiave concretizzati durante il processo di implementazione sono stati:

  • la formazione di tutte le parti interessate è fondamentale; tutti devono ricevere una formazione adeguata mirata all'utilizzo degli strumenti e dei processi; solo dopo la formazione gli utenti finali saranno in grado usarli.
  • un'efficace implementazione degli strumenti è possibile solo quando i soggetti interessati conoscono al meglio sia i processi sia gli strumenti;
  • i laboratori sono gli unici mezzi per poter coinvolgere i soggetti interessati nel processo di implementazione;
  • i laboratori si basano sulle spiegazioni appropriate fornite dal facilitatore e, secondo, sulla possibilità da parte dell'utente di fare pratica; più sarà l'esperienza pratica fatta dagli utenti, maggiore sarà il tasso di adozione e minore la necessità di rieseguire la formazione;
  • i laboratori devono spiegare l'importanza di attenersi ai processi e alle relative politiche;
  • i laboratori devono spiegare i vantaggi di attenersi ai processi;
  • gli utenti finali che non sono abituati a seguire i processi avranno maggiori difficoltà; cambiare le loro modalità operative è reso più facile grazie ai laboratori permettendogli di usare i processi da soli; un facilitatore deve farsi parte attiva nel vendere tale concetto;
  • i facilitatori devono osservare con molta attenzione chi sta seguendo i laboratori e chi no;
  • i laboratori non dovrebbero durare più di mezz'ora; i primi 10 minuti dovrebbero essere spesi per pianificare il programma e i processi;
  • i risultati e le sfide devono essere sottoposte alla dirigenza senior per ottenere assistenza e indicazioni quando necessarie;
  • l'idea di fornire un buon servizio ai cittadini dovrebbe sempre essere una priorità per le parte interessate;
  • tutte le misurazioni richieste devono essere raccolte solo dagli strumenti; la raccolta manuale dei dati deve essere evitata.

Difficoltà incontrate

Lo sviluppo e l'implementazione dei processi non sono state prive di sfide, tra queste troviamo:

  • Barriere interdipartimentali (superate grazie al laboratori)
  • Lingua
  • Competenza sull'implementazione degli strumenti
  • Questioni logistiche, come i visti per i consulenti
  • Riunire i soggetti interessati per i laboratori nei limiti della disponibilità di tutti

Vantaggi dell'implementazione

Sebbene l'implementazione sia ancora in corso, sono stati ottenuti ottimi risultati e i soggetti interessati hanno riscontrato grandi miglioramenti nel modo in cui lavorano. Alcuni dei soggetti interessati sentono che attenendosi ai processi e usando gli strumenti in modo attivo possono ottenere vantaggi nel lavoro, offrire un servizio migliore, tenere traccia degli stati, generare rapporti migliori ed essere in grado di superare i problemi.


Indipendentemente dalla performance dei processi, gli incidenti non possono essere azzerati; il vero obiettivo è quello di riuscire a rispondere agli incidenti e a risolverli nei tempi giusti per garantire il servizio agli utenti.


Per la prima volta, l'informatica diventa lo strumento di gestione dei problemi e ne evita la ricorsività, anche grazie all'esecuzione di valutazioni del rischio per le risorse IT critiche, alla pianificazione e all'implementazione della continuità operativa. Tutto questo ha reso il settore IT una risorsa importante capace di offrire i servizi necessari, questo cambiamento si riflette inoltre nella soddisfazione dei clienti. I risultati in termini di valore economico non sono ancora stati quantificati.


In futuro saranno implementati altri abilitatori, uno dopo l'altro. Mentre il successo continua, il processo di governance sarà implementato nei mesi successivi per assicurare che i vantaggi siano conseguiti al fine di soddisfare i requisiti dei soggetti interessati.


Govind Kulkarni, esperto COBIT5, CSQA e ITIL, PMP

È un esperto sviluppatore di software con 2 decenni di esperienza nella fornitura di soluzioni IT. Ha lavorato all'intero ciclo dello sviluppo del software e al momento offre formazione COBIT 5, ITIL e lavora come collaudatore di software. Kulkarni ha svolto lavori di consulenza per l'analisi dei punti di debolezza, implementazione dei modelli COBIT 5/ITIL, valutazioni in base allo standard ISO 15504 e personalizzazione degli strumenti per clienti in tutto il mondo. I suoi interessi attuali comprendono la continuità della operazioni, l’IT assessment e la gestione dei costi, la scalabilità e l’ottimizzazione delle prestazioni delle applicazioni Web, l’analisi predittiva e le aree tecnologiche come OpenStack e DevOps. È uno degli editori del libro How to Reduce the Cost of Software Testing, pubblicato da CRC Press nel 2012. Può essere contattato ai seguenti indirizzi e-mail Govind.kulkarni@vyomlabs.com o goodgovind1505@gmail.com.

THIS WEBSITE USES INFORMATION GATHERING TOOLS INCLUDING COOKIES, AND OTHER SIMILAR TECHNOLOGY.
BY USING THIS WEBSITE, YOU CONSENT TO USE OF THESE TOOLS. IF YOU DO NOT CONSENT, DO NOT USE THIS WEBSITE. USE OF THIS WEBSITE IS NOT REQUIRED BY ISACA. OUR PRIVACY POLICY IS LOCATED HERE.