Per gentile concessione dell'autore:
Ing. LUIGI VEDANI
Obiettivo: Controllo e Qualità nell'ICT
Mantenere una rotta certa e vincente nell'ICT (Information and Communication Technology) non è frutto casuale di scelte arcane; è un'opera continua e professionale sui fattori umani, aziendali, tecnologici impiegati. E' visione e know-how nella tecnologia con l'esperienza e competenza necessaria per affrontare problemi a tutto campo.
Non sempre le persone che si occupano in azienda dei vari aspetti dell'informatica
hanno il tempo, le risorse, l'esperienza e la visione per poter valutare in modo
obiettivo opportunità, rischi e qualità dei propri sistemi ICT.
Un primo fattore è causato dalla natura stessa dell'informatica, come lavoro intellettuale: durante lo sviluppo di un progetto di solito si è totalmente concentrati ed assorbiti da innumerevoli dettagli applicativi, quindi si tende a trascurare tutto quello che non è funzionale al progetto stesso. Per esempio: budget limitati e tempi di implementazione rapidi non permettono l'introduzione sistematica di tecniche di controllo qualità (CMM, CONFCONT, REGRESSION TESTING) di conseguenza spesso il lavoro dei tecnici è invisibile e non documentato fino al primo test di integrazione, che talvolta coincide con la disastrosa messa in produzione ("go live") della soluzione.
Un secondo fattore è dovuto alla confusione di ruoli che si osserva quando si parla di "informatica" nelle aziende. Raramente, vuoi per scarsità di personale, vuoi per altri fattori dimensionali, sonno ditinte fisicamente le funzioni di acquisizione e sviluppo ICT dalle funzioni di erogazione dei servizi stessi. E' facile allora trovare responsabili EDP che installano o riparano personalmente i PC degli utenti, programmatori che fanno i backup, sistemisti che sviluppano software. Nessuno ha tempo per fare il proprio lavoro (quale?) e tutti hanno bisogno di una mano perché sono sovraccarichi.
Infine una terza area critica è data dalle tecnologie stesse e dai fornitori stessi. Intanto la crescente diffusione dei PC e la connettività ad internet procurano problemi non ovvi di privacy e sicurezza. Quanti non hanno subito danni da virus; quanti siti internet non sono mai stati visitati da hackers, quante e-mail dannose per l'azienda sono sfuggite al controllo, quante ore perse per fare "surf" fuori dalle esigenze aziendali?.
Inoltre la dominanza di certi fornitori di hardware e di software costringe a rinnovare il parco HW/SW installato con eccessiva frequenza, o non permettono di giudicare obiettivamente il ROI degli investimenti, o creano problemi di trasparenza delle forniture difficili da sciogliere. Quante volte un programmatore ha indicato in un nuovo miracoloso software (linguaggio di programmzione, sistema operativo, pacchetto sw), pubblicizzato sul nuovo numero della rivista sponsorizzata dal fornitore X, la panacea per il proprio progetto invece di produrre una soluzione efficace e incisiva?
Information Systems Audit
Per affrontare in modo efficace questi, e numerosi altri problemi dell'informatica, è nata una figura professionale specifica, l'Information Systems Auditor (ISA), una specializzazione tecnica della figura dell'Internal Auditor o del revisore.
La figura dell'ISA non è nuova in assoluto; il ruolo di controllo interno e di controllo sistemi è diffuso da tempo nelle telecom, nelle aziende di tipo bancario e finanziario, nei fornitori di soluzioni avioniche o militari. In Italia, l'AIEA (Associazione Italiana EDP Auditors) ha dieci anni di vita. L'associazione internazionale ISACA ha oltre vent'anni di vita.
I compiti di un ISA sono codificati da pratiche e standard internazionali; i soggetti di riferimento principali sono l'IT Governance Institute, l'ISACA, l'IEEE, e le principali organizzazioni di regolazione dei servizi finanziari (CONSOB, Borsa, ecc.).
Gli ISA operano in staff alle funzioni di top management dell'azienda (CDA, Collegio Sindacale, Direzione Generale) o su loro mandato diretto e prevedono una notevole indipendenza di giudizio e di movimento in modo tale da poter valutare in modo indipendente dalla catena organizzativa rischi e situazioni specifiche attraverso interviste, analisi dei dati e dei sistemi, ecc.
Risultato del lavoro dell'ISA sono relazioni tecniche, piani organizzativi, perizie, raccomandazioni e suggerimenti operativi. In molti casi vengono previste attività di follow-up per valutare se i rischi sono stati eliminati, se le raccomandazioni sono state implementate, ecc.
Gli standard e le pratiche internazionali prevedono e definiscono l'intervento degli ISA in 5 aree:
1. Organizzazione umana e operativa: staffing, job description, manuali operativi delle procedure, separazione dei compiti, responsabilità delle operations, risk assessment e self-risk assessment (capacità dei manager di giudicare da soli i principali rischi del proprio task), ...
2. Valutazione delle infrastrutture tecnologiche, logiche e fisiche, piani di continuità aziendale; prevenzione di rischi causati da guasti tecnici come: backup, disaster recovery, sistemi ridondanti, ...
3. Valutazioni di qualità, sicurezza e confidenzialità dei dati e delle transazioni; privacy dei dati, correttezza dei dati dei sistemi informativi gestionali in relazione alla correttezza dei bilanci e delle relazioni economiche semestrali, sicurezza da hackers, controllo di correttezza dei report interni, controllo degli outsourcing ...
4. Acquisto/sviluppo/avviamento di soluzioni e di sistemi ICT critici. Questa attività si svolge in supporto alle funzioni di acquisto e sviluppo, e serve ad evidenziare in tempo fattori e percorsi critici (ricordiamo che circa il 50% dei grandi progetti software non raggiunge gli obiettivi prefissati o deve essere abbandonato)
5. Introduzione e verifica di tecniche standard di audit e di controllo / COBIT, CMM, VISION 2000, ...
Un classico IS audit, in funzione dell'ampiezza e dell'organizzazione dell'azienda, dal numero di persone da intervistare o da valutare, dalla presenza di problemi specifici, dalla disponibilità di informazioni già strutturate, dalla necessità di documentare preventivamente procedimenti informali, dalla mole dei dati da esaminare può durare dai 5 ai 25 giorni di lavoro.
Generalmente l'ISA ha "carta bianca" e può accedere a tutto il personale e a tutta documentazione aziendale riservata, con l'obbligo di mantenere la confidenzialità e la riservatezza di quanto conosciuto.
Un follow-up tipico ha cadenza trimestrale e può avere un impegno pari al 10-15% delle attività iniziali (1-5 giorni di lavoro).