Milano, 18 Luglio 2007 · 2015-03-07 · Adozione di una metodologia SDLC inappropriata per...
Transcript of Milano, 18 Luglio 2007 · 2015-03-07 · Adozione di una metodologia SDLC inappropriata per...
21/06/073
SKANDIA VITAAutorizzata all'esercizio delle assicurazioni con Provvedimento ISVAP del 29/10/97 (Gazzetta Ufficiale n. 265 del 13/11/97) Società soggetta al controllo dell'ISVAP
Skandia Vita S.p.A. è una società di assicurazione italiana operativa dal novembre 1997. Tutta la struttura aziendale è focalizzata sulla consulenza strategica e operativa per la creazione di prodotti unit linked, polizze vita che investono i premi versati dai sottoscrittori in quote di fondi (universo composto a tutt’oggi da circa 850 fondi esterni di 60 fund-house internazionali e 250 fondi assicurativi interni).
Nel settore unit linked in Italia, Skandia Vita è oggi tra le prime compagnie ed è la principale società indipendente nel settore.Offre i propri prodotti attraverso una rete distributiva di circa 200 banche, 24 reti di promotori e 36 agenti indipendenti e brokers, proponendo fondi assicurativi, fondi di fondi, fondi comuni di investimento e comparti di Sicav delle migliori società di gestione internazionali.
Nel 2005 Skandia Vita ha raccolto premi per 525,37 milioni di Euro ed ha un patrimonio gestito di oltre 2.199 milioni di Euro (30/04/2006) e circa 85.000 clienti.
21/06/074
L’IT di SKANDIA VITALe SFIDE
• Appartenenza ad un gruppo multinazionale presente in tutta Europa Outsourcing SIA (facility & application) Regole di gruppo Complessità delle relazioni Complessità infrastrutturale (AS/400, Web, Unix)
• Pressione interna del business (time-to-market) Mono-prodotto (ricerca di eccellenza) Estrema personalizzazione per Rete di Vendita Offering prodotti base (fondi) in espansione ( opportunità)
• Controlli crescenti (stakeholder) • Mission per il CIO
Efficienza Business continuity
La struttura
• Snella, reattiva, orientata al business.....
INFORMATICA UTENTEanarchia degli pseudo-informatici
21/06/075
•… è una società fondata nel 1994 da “imprenditori, quadri superiori ed esperti professionisti”, mettendo a frutto la loro lunga esperienza nell’amministrazione e gestione di primarie società Finanziarie, Industriali e di Servizi in Italia e all’estero
•… é Partner e rappresentante per l’Italia del Gruppo Florian Mantione Institute (da 30 anni leader nel “recrutement” in Francia ed in Europa)
•… si occupa di Advisoring sul Knowledge: governo di processi e progetti, coaching mirato [CBO], gestione della qualità
•… ha due sedi che operano principalmente in Italia (Milano) e nel mercato francofono (Montpellier)
•… propone ai clienti ed utilizza il CoBIT® quale framework di supporto alle attività professionali
EUROSIRIF in breve
21/06/076
Processi analizzati, documentati, ripetibili, controllabili, misurabili….MIGLIORABILI
OBIETTIVO QUALITA’ Struttura addestrata e consapevole
Motivazioni
• Presupposto al mantenimento della redditività [gestione rischi operativi]• Efficienza attraverso il miglioramento dei processi [cost reduction]• Organizzazione della conoscenza (document management) e fruizione organica della
stessa da parte della struttura [rapidità di risposta alle esigenze, minori errori] • Trasparenza verso gli “stakeholders” interni (organi direzionali, auditors, ecc.) ed esterni
(azionisti, enti istituzionali, collocatori, clienti, ecc.)
AMBITO DEL PROGETTO
21/06/077
Strategia generale ed approccio
• Definizione e formalizzazione di un modello operativo per la progettualità informatica
• Sistema di Reportistica Direzionale finalizzato al governo e controllo di responsabilità degli Organi Direttivi
• Auditabilità del Sistema dei Controlli
Progetti: impostazione e realizzazione
• Definizione e formalizzazione Linee Guida di approccio alla qualità dei progetti informatici
• Copertura dell’intero ciclo di vita (SDLC): demand management, development, test (unit,system,user acceptance) & recycle, go live, post-implementation review, application maintenance
• Controllo rischi, utilizzo risorse, obiettivi temporali e strategici• Gestione della comunicazione verso gli Organi Direttivi• Auditabilità dei processi
I QUATTRO CAPITOLI
21/06/078
Macchina operativa
• Affinamento processi gestione risorse tecnologiche• Miglioramento rapporto con fornitori (Contrattualistica e SLA)• Metriche ed indicatori di misura della erogazione dei servizi• Gestione della comunicazione verso gli Organi Direttivi• Auditabilità dei processi
Sicurezza
• Assessment sulla sicurezza fisica (accesso alle risorse tecniche)• Assessment sulla sicurezza logica (accesso a dati e funzioni; profilatura e
relativo sistema di gestione)• Auditabilità del Sistema dei Controlli
21/06/079
ASSESSMENT
PROPOSTAINIZIALEMetodologi
e[CoBIT]Esperienze
CONDIVISIONE SPERIMENTAZIONE
PUBBLICAZIONE
METODO DI LAVORO CONDIVISO
CISA
USERS
21/06/0710
QUALITÀ 1^ Step: Macchina operativa
Project leader SKANDIA Alessio ValsecchiProject leader EUROSIRIF Dario Carnelli (CISA,CISM)Process owner SKANDIA Valter Fusco (CIO)
21/06/0711
APROCCIO METODOLOGICO
ASSESSMENT POLICY PROCEDURE FUNZIONI
Policy : documento di alto livello di impostazione delle linee guida di comportamento cui i vari organismi aziendali sono vincolati e tenuti ad attenersiProcedura : prassi operativa analizzata, condivisa con gli utenti, definita in ogni suo aspettoFunzioni : applicazioni IT a supporto dell’applicazione delle procedure
21/06/0712
PERIMETRO
Gli “oggetti” (risorse) identificati componenti la c.d. “macchina operativa” sono:
Risorse hardware Software di base (sistemi operativi e tools) Software applicativo “Basi dati omogenee” (insieme di strutture dati congrue finalizzate a
determinato processo funzionale)
Gli “oggetti” citati saranno a regime descritti e catalogati in apposita base dati caricata “from scratch” attraverso apposite rilevazioni (inventory management) e aggiornata in base a procedure/processi aziendali.
21/06/0713
POLICY
Con documento approvato EUR/SKV/DC/AP001 del 31/08/2006 è stata emessa la policy di Gestione della Macchina Operativa contemplante i seguenti macro-processi:
Resource management costituzione e gestione di una “enciclopedia” delle
risorse e degli oggetti costituenti la macchina operativa nel suo complesso Upgrade management : software di base corretto livello di
aggiornamento del software di base Upgrade management : software applicativo Event management registrazione di tutti gli eventi relativi a “oggetti e risorse
informatiche” (incidenti, upgrade ,ecc.) e la loro completa tracciatura a livello di stato
21/06/0714
PROCEDURE
Con documento approvato EUR/SKV/DC/AP002 del 16/10/2006 è stata emessa la procedura unificata di Gestione delle Risorse IT della Macchina Operativa contemplante i seguenti macro-processi:
[Risorse hardware e software di base]Pianificazione strategica periodica Richieste extra-pianificazione (revisione pianificazione)Richieste “spot”Error handlingProcess handling
[Software applicativo e basi dati correlate] Piano progetti periodico Richieste extra-piano (revisione piano progetti) Applicazioni “user owned”
21/06/0715
FUNZIONI
Con documento approvato EUR/SKV/DC/AP002 del 16/10/2006 sono stati pubblicati:
Modello concettuale dei dati completo delle risorse e degli eventi Linee guida (ai fini di audit) per lo sviluppo delle funzioni IT previste Macroanalisi della funzione per il processo di Inventory
Management Macroanalisi della funzione per il processo di Event ManagementCon documento condiviso EUR/SKV/WP/WP004 del 20/10/2006 è stata
pubblicata Analisi semantica dei dati consolidati dell’attuale servizio Ticketing e
proposta nuova struttura di identificazione
21/06/0716
APPROCCIO ALL’IMPLEMENTAZIONE
L’approccio identificato ed approvato dalla struttura SKANDIA prevede: Gestione iniziale di un “sottoinsieme” dei macro-processi identificati [Risorse hardware e software di base]
Richieste “spot” Error handling Process handling
[Software applicativo e basi dati correlate] Applicazioni “user owned
Realizzazione delle funzioni IT in forma prototipale (architetturale, profilatura funzionale)
Applicazione dei processi e procedure identificate a step (prima funzione impattata a livello di pilota l’Amministrazione)
Passaggio per le funzioni IT dal prototipo alla struttura definitiva Progressiva e pianificata diffusione dei processi / procedure
all’intera azienda
21/06/0717
IMPLEMENTAZIONE PILOTA [AMMINISTRAZIONE]L’approccio identificato ed approvato dalla struttura SKANDIA prevede: JAN 07 Inventario delle “risorse” e popolamento base dati JAN 07 Sperimentazione servizio EVENT MANAGEMENT in
parallelo all’attuale servizio Ticketing (versione prototipale accentrata presso IT)
FEB 07 Implementazione funzioni IT di EVENT MANAGEMENT (versione ß di produzione)
MAR 07 Sperimentazione servizio EVENT MANAGEMENT in parallelo all’attuale servizio Ticketing (versione ß decentrata presso utente)
FEB 07 Implementazione funzioni IT di INVENTORY MANAGEMENT (versione ß di produzione)
MAR 07 Sperimentazione servizio INVENTORY MANAGEMENT (versione ß decentrata presso utente)
MAR 07 Piano operativo diffusione processi / procedure intera azienda
1st APRIL 07 Eliminazione parallelo con servizio Ticketing
21/06/0718
OBIETTIVI / METRICHE DI MISURA
La metodologia proposta utilizza i concetti di KGI (Key Goal Indicator) e KPI (Key Performance Indicator) da applicare a fenomeni sotto il potenziale controllo dell’Area Informatica.
KGI = Automazione processo di richiesta aziendaleKPI1 = n^ ticket aperti “in nome e per conto” / n^ ticket totali: deve tendere a zero
KGI = Qualità documentazione infrastruttura e processi informaticiKPI2 = n^ rilievi IS Audit specifici / n^ rilievi IS Audit totali
KGI = Standardizzazione (prevedibilità) interventi di “error handling”KPI3 = T.minimo/T.medio/T.massimo durata interventi per tipologia sull’intero universo T.minimo/T.medio/T.massimo durata interventi per tipologia sul 90%
dell’universo (esclusione code destra e sinistra della distribuzione)KGI = Efficienza della infrastruttura
KPI4 = n^ ticket aperti / n^ oggetti per tipologia di oggetto stessoKPI5 = n^ processi con esito OK / n^ processi totali
21/06/0719
QUALITÀ 2^ Step: Progetti – fase realizzativa
Project leader SKANDIA Angelo CianciaProject leader EUROSIRIF Dario Carnelli (CISA,CISM)Process owner SKANDIA Valter Fusco
ELAPSED: Gennaio / Giugno 2007
21/06/0720
APROCCIO METODOLOGICO
ASSESSMENT POLICY STANDARD PROCEDURE
Policy : documento di alto livello di impostazione delle linee guida di comportamento cui i vari organismi aziendali sono vincolati e tenuti ad attenersiStandard : norme e supporti al processo operativo di costruzione delle applicazioni software (parte della “enciclopedia” aziendale della conoscenza), vincolanti a livello di utilizzo e sottoposti a metodica evoluzione Procedura : prassi operativa analizzata, condivisa con gli utenti, definita in ogni suo aspetto
21/06/0721
PERIMETROFasi di gestione di un progetto con riferimento a:
Pianificazione (risorse/tempi) Gestione e coinvolgimento delle funzioni aziendali Qualità della realizzazione Metodologia e qualità relativa del processo di test Documentazione tecnica/funzionale Passaggio in produzione Assistenza post-produzione
…nello specifico… Gestione della qualità (Quality Management) rappresenta il processo a garanzia della sostenibilità e costanza delle caratteristiche funzionali, tecniche (manutenibilità, assenza di difetti) e operative (disponibilità e prestazioni) del sistema informativo
21/06/0722
RISCHI (CoBIT)
Adozione di una metodologia SDLC inappropriata per l’applicazione Non rispetto della metodologia SDLC scelta per l’applicazione Controlli inadeguati nel processo SDLC Qualità di realizzazione non coerente con gli standard aziendali e/o
di progetto Insufficiente attenzione alla sicurezza ed ai controlli (incluso audit
trails) Non rispetto dei requisiti di performance (SLA) Documentazione carente, non aggiornata o comunque insufficiente
21/06/0723
SCHEMA DI GOVERNO
CIOChief Information Officer
Funzioni Aziendali
INFORMAZIONIREGOLE GENERALI
pubblica
applica
RdFResponsabile di Funzione
propone approva
REGOLE SPECIFICHE
pubblica
Risorse Tecniche
applica
►responsabile regole generali ►rappresentante del consenso aziendale
►responsabile regole specifiche ►rappresentante del consenso del CIO
SCI Sistema Controlli Interni
21/06/0724
POLICY
Con documento approvato EUR/SKV/DC/AP010 del 28/02/2007 è stata emessa la policy di Gestione dei Progetti – Fase Operativa contemplante i seguenti macro-processi:
Environment management gestione dell’elenco dei segmenti del SIA (Sistema Informativo Aziendale) in regime di qualità
HR (Human Resource) management gestione ed adeguamento del catalogo risorse
TR (Technical Resource) management gestione dell’elenco Ambienti e relative caratteristiche di composizione
Knowledge management gestione dell’enciclopedia degli Standard (Tecnici
& Funzionali) Project management gestione delle Attività (µ-progetti)
21/06/0725
E-DOCUMENT HANDLING
Il modello concettuale di riferimento (dati & processi) per le attività correlate al ciclo di vita del software applicativo (SDLC) è caratterizzato da una notevole entità di dati non strutturati presenti sotto forma di documenti
Con documento approvato EUR/SKV/DC/AP011 del 03/04/2007 è stata emessa la formale della struttura del repositorio dei documenti con indicazione relativa a:
Locazione logica (aree omogenee)Caratteristiche dei documenti indice (Struttura e Presenza)Caratteristiche semantiche standard dei nomi dei documentiGestione del versionamentoSicurezza logica (policy di accesso)
21/06/0726
PROCEDURE
Con documento approvato EUR/SKV/DC/AP011 del 03/04/2007 è stata emessa la procedura unificata di Gestione dei Progetti – Fase Operativa
La procedura unificata contempla le attività operative ed processi di controllo
È stato coerentemente approvato il modello concettuale Entità / Attributi – Relazioni a supporto; è stata dichiarata “out-of-scope” la scelta dello strumento tecnologico di gestione del modello
21/06/0727
Q&A
Pianificazione (risorse/tempi) HR management / Project managementGestione e coinvolgimento delle funzioni aziendali Standard di analisiQualità della realizzazione TR management / HR management / Standard tecnici e funzionaliMetodologia e qualità relativa del processo di test Project ManagementDocumentazione tecnica/funzionale Project Management / Standard tecniciPassaggio in produzioneAssistenza post-produzione Project Management
21/06/0728
APPROCCIO ALL’IMPLEMENTAZIONE
L’approccio identificato ed approvato dalla struttura SKANDIA prevede: Pubblicazione dei documenti Realizzazione del repositorio di E-Document Applicazione delle procedure nei progetti interni alla funzione IT Definizione di un master-plan di applicazione aziendale con
condivisione ai massimi livelli Applicazione dei processi e procedure identificate a step e
progressiva e pianificata diffusione dei processi / procedure all’intera azienda (come da master-plan)
21/06/0729
OBIETTIVI / METRICHE DI MISURA
La metodologia proposta utilizza i concetti di KGI (Key Goal Indicator) e KPI (Key Performance Indicator) da applicare a fenomeni sotto il potenziale controllo dell’Area Informatica.
KGI = Qualità immediata sostanziale del processoKPI1 = n^ µ-progetti con “bugs” post-produzione (1 mese) / n^ µ-progetti rilasciati: deve tendere a zero
KGI = Qualità sostanziale del processoKPI1 = n^ µ-progetti con “bugs” post-produzione (1 anno) / n^ µ-progetti rilasciati: deve tendere a zero
KGI = Qualità formale del processo KPI2 = n^ rilievi IS Audit specifici / n^ rilievi IS Audit totali
KGI = Efficacia del processoKPI4 = % ritardo medio (time frame di ritardo / time frame progetto) µ-progetti in ambito qualità vs µ-progetti non in ambito qualità