• Non ci sono risultati.

Revisore di Sistemi Informativi

N/A
N/A
Info
Scarica
Protected

Academic year: 2022

Condividi "Revisore di Sistemi Informativi"

Copied!
1
0
0

Caricamento.... (Visualizza il testo completo ora)

Scarica adesso ( 1 pagine )

Testo completo

(1)

RES

Linee guida sulla qualità dei beni e dei servizi ICT per la definizione ed il governo dei contratti della Pubblica Amministrazione

Manuale operativo

Dizionario dei profili di competenza per le

professioni ICT

Revisore di

Sistemi Informativi

RES

(2)

RES

INDICE

1. GENERALITÀ SUL DOCUMENTO... 3

2. DESCRIZIONE BREVE DEL PROFILO...4

3. ATTIVITÀ TIPICHE DEL PROFILO... 4

4. COMPETENZE COMPORTAMENTALI FONDAMENTALI...5

5. COMPETENZE PROFESSIONALI... 6

5.1. DETTAGLIO DELLE COMPETENZE...7

6. riferimenti esterni... 16

(3)

RES

1. GENERALITÀ SUL DOCUMENTO

Questo documento rappresenta uno dei lemmi del Manuale operativo “Dizionario dei profili di competenza delle professioni ICT”, parte integrante delle Linee guida sulla qualità dei beni e dei servizi ICT per la definizione ed il governo dei contratti della Pubblica Amministrazione. Ogni lemma del Dizionario descrive una diversa professione utilizzata dai fornitori ICT nell’erogazione dei servizi e nella realizzazione di progetti, ognuna dele quali è esplicitamente citata nei documenti relativi alle Classi di fornitura ed ai Processi trasversali di cui al manuale 4 – “Dizionario delle forniture ICT”.

Il Dizionario dei profili di competenza si compone in totale di 21 lemmi realizzati e messi a disposizione, per gentile concessione, da parte di AICA, a partire dalla traduzione in italiano dei profili elettivi EUCIP™ curata dalla stessa AICA che è il licenziatario unico per l'Italia dei concetti EUCIP.

La riproduzione parziale o integrale, come anche la modifica di questo profilo di competenze ICT, è liberamente consentita ai soli fini della redazione di atti di gara, contratti e capitolati tecnici per l’acquisto di beni e servizi ICT.

Ogni lemma del Dizionario, che è auto consistente, indipendente e può quindi essere fruito singolarmente, prevede:

o Descrizione breve : sono sinteticamente riassunte le competenze professionali e comportamentali, tipiche della professione e meglio specificate nei capitolo successivi;

o Attività tipiche del profilo : sono elencate e descritte i compiti e le responsabilità tipiche della professione;

o Competenze comportamentali: Sono indicate le capacità di combinare, in modo autonomo, i diversi elementi delle conoscenze e delle abilità non tecniche per svolgere efficacemente la professione.

o Competenze professionali: In questo paragrafo viene definito il profilo di competenza della professione ICT trattata dal lemma, attraverso l’elencazione delle categorie elettive che la caratterizzano. Ad ogni categoria viene inoltre attribuito un livello di profondità della conoscenza/competenza richiesta, che potrebbe essere utilizzabile al nel raffronto con lo esperienze lavorative contenute in un CV:

o Il livello approfondito è riservato alle competenze specifiche del ruolo che necessitano di una solida conoscenza e di un’esperienza sufficientemente prolungata.

o Il livello incisivo viene attribuito alle competenze per le quali la conoscenza dei concetti può essere supportata da un’esperienza lavorativa anche relativamente limitata.

o Dettaglio delle competenze . In questo paragrafo ogni categoria elettiva, utilizzata per la definizione del profilo di competenza della professione, viene

(4)

RES

descritta analiticamente attraverso l’elenco specifico delle unità elementari di conoscenza/competenza contenute nel Syllabus elettivo. Ognuna di tali unità elementari è espressa attraverso un verbo. Quindi a questo livello è descritto che cosa dovrebbe essere in grado di eseguire il professionista dopo aver ottenuto la padronanza dell'argomento.

o Riferimenti esterni Sono riportate le denominazioni di profili professionali corrispondenti definiti negli schemi classificatori di altre organizzazioni.

Nell’ambito della complessa attività di scrittura di contratti e capitolati tecnici, i lemmi possono essere utilizzati per definire le competenze delle risorse necessarie per l’erogazione dei servizi richiesti.

La versione digitale di ogni lemma è singolarmente scaricabile dal sito CNIPA in formato editabile (.doc) che ne permette il riutilizzo anche parziale.

2. DESCRIZIONE BREVE DEL PROFILO

Corrisponde al profilo EUCIP Information systems auditor. Fornisce (riferendo ai più alti responsabili aziendali o agli organi direttivi) un livello indipendente di garanzia su sicurezza, qualità, conformità e valore aggiunto dei sistemi informativi in una particolare organizzazione. Deve dimostrare forti competenze tecniche, indipendenza di giudizio, aderenza all'etica professionale.

Tipicamente questo profilo di competenza trova applicazione nei processi di quality assurance e nella gestione della configurazione.

3. ATTIVITÀ TIPICHE DEL PROFILO

o Il revisore di sistemi informativi fornisce alle aziende un punto di vista indipendente sul livello di rischio derivante dalle pratiche aziendali correnti, con particolare attenzione all’utilizzo delle tecnologie informatiche.

o Valuta la sicurezza, la qualità, la conformità a norme e leggi ed il contributo al valore aziendale, riferendo ai responsabili di grado più elevato o al consiglio di amministrazione.

o Valuta i rischi tecnologici, cioè rileva come la tecnologia affronti rischi specifici delle attività aziendali durante le operazioni effettuate da un particolare sistema informativo.

o Valuta il governo ed il controllo dei sistemi informativi, ossia oltre alla stima del rischio effettua anche la conseguente valutazione di efficienza, efficacia e conformità di tutte le attività di controllo poste in atto per minimizzare i rischi legati alla tecnologia.

(5)

RES

o Attraverso la valutazione del rischio e del sistema di controllo, fornisce consulenza alla direzione per raggiungere e mantenere livelli operativi sicuri per i sistemi e per mostrare agli azionisti ed alle parti interessate come tutti i rischi legati alla tecnologia siano stati affrontati e minimizzati.

o Analizza la conformità alle leggi ed alle norme relative all’utilizzo dei sistemi informativi (riservatezza dei dati, bilanci e resoconti finanziari, ecc).

o Valuta la conformità del governo dei sistemi informativi e di specifiche applicazioni a leggi e regolamenti, al fine di minimizzare le conseguenze di non conformità: multe, processi civili e penali, rischi assicurativi, allontanamento da ambienti regolamentati (finanza, e-business, telecomunicazioni, ecc).

o Conduce delle valutazioni indipendenti durante la fase di implementazione di un sistema informativo per assicurare che i vincoli di tempi e/o la complessità delle problematiche non minino la sicurezza, la conformità e l’economicità del sistema finale.

o Dopo l’implementazione di un sistema e la fase di avvio, gestisce delle revisioni formali per valutare i rischi residui e l’economicità complessiva o il contributo al valore aziendale del sistema.

o Conduce valutazioni indipendenti sugli incidenti legati alla tecnologia; ad esempio, nel caso si verifichi un rischio quale un incidente di sicurezza, una frode, un errore di elaborazione o una non conformità legale, guida la revisione post-incidente per definire le cause e gli effetti dell’accaduto, analizzare l’efficacia dell’ambiente di controllo, evidenziare potenziali ottimizzazioni quali quelle richieste per migliorare la resilienza e la conformità.

4. COMPETENZE COMPORTAMENTALI FONDAMENTALI

Il Revisore di Sistemi Informativi deve dimostrare una solida competenza tecnica per poter valutare rischi e controlli, indipendenza di opinione, capacità di attenersi in modo coerente ad un Codice Etico Professionale.

Il ruolo richiede una notevole attitudine all’apprendimento per affrontare

problematiche legate sia all’ambito aziendale che alla tecnologia; una brillante

capacità di espressione sia orale che scritta al fine di comunicare con la Direzione od i responsabili aziendali ai livelli più elevati, e ottime capacità di contatti interpersonali.

Sono necessari un approccio collaborativo e un comportamento positivo al fine di operare insieme ai diversi gruppi coinvolti nell’elaborazione dell’informazione: utenti, sviluppatori, capoprogetto, responsabili aziendali. Di conseguenza, è fondamentale la comprensione delle effettive necessità ed opinioni.

Attitudini necessarie sono attenzione, abilità nel raccogliere informazioni, sensibilità organizzativa ed economica per comprendere rapidamente le necessità

dell’organizzazione, delle parti interessate pertinenti e degli azionisti.

(6)

RES

Sono richieste una visione aperta, un'intelligenza analitica e sintetica, immaginazione e proattività per analizzare e convalidare i livelli di qualità e sicurezza dei sistemi e dei dati.

Per ottenere dei risultati efficaci sono richiesti un approccio logico e orientato al risultato, flessibilità, determinazione, attitudine alla pianificazione ed al controllo, attenzione al dettaglio, capacità di costruire un gruppo e di guidarlo.

5. COMPETENZE PROFESSIONALI

In questo paragrafo vengono elencate le categorie elettive che definiscono il profilo di competenza della professione. Ad ogni categoria viene attribuito anche un livello di profondità secondo il seguente criterio:

 Il livello approfondito, riservato alle competenze specifiche del ruolo che necessitano di una solida conoscenza e un’esperienza sufficientemente prolungata.

 Il livello incisivo, riservato alle competenze per le quali la conoscenza dei concetti base può essere rafforzata da una minore esperienza lavorativa.

Livello di competenza Approfondito

o A7.09 Processo di ispezione dei sistemi informativi o A7.10 Raccolta di prove a campione

o A2.06 Controllo dei principali processi IT

o A6.06 Comunicazione e relazioni su attività ispettive o A7.11 Valutazione di conformità

o A3.07 Gestione del rischio

o A7.12 Assicurazione della sicurezza IT o A2.08 Governo dei sistemi IT

o A5.01 Fondamenti di gestione dei progetti Livello di competenza incisivo

o A7.04 Gestione dei rischi aziendali e della sicurezza IT o A7.05 Gestione della protezione dei dati

o A4.01 Opportunità delle nuove tecnologie e loro corrispondenza con le esigenze aziendali

(7)

RES

o A4.02 Selezione e ciclo di vita dell'implementazione di un pacchetto applicativo o A1.01 Attività aziendale e modellazione dei processi aziendali

o B1.08 Principi di ingegneria del software o A5.02 Stime dello sviluppo di un sistema

o B1.05 Progettazione ed implementazione di sistemi o B3.05 Principi di collaudo

o C7.03 Gestione di modifiche e configurazioni o A6.01 Gestione del cambiamento in azienda

1.1. DETTAGLIO DELLE COMPETENZE

Per ogni singola categoria di competenza richiesta, si riporta l’elenco degli argomenti che la compongono.

A7.09 Processo di ispezione dei sistemi informativi

o Descrive il processo di ispezione dei sistemi informativi:

 Distingue tra standard di ispezione accettati

 Programmazione e definizione delle ispezioni

 Completa la revisione preliminare

 Prepara un piano di ispezione

 Identifica strumenti e tecniche di ispezione.

 Produce un rapporto dell’ispezione e da seguito alle azioni Azioni post-ispezione

o Valuta e seleziona tra diverse tecniche di ispezione

o Utilizza strumenti e tecniche di ispezione assistite da computer

o Definisce un piano e i corrispondenti aspetti organizzativi per l’ispezione di vari processi:

 Pianificazione e analisi di nuovi sistemi,

 Strategie e standard IT,

 Pianificazione e controllo,

 Gestione dei processi,

 Gestione qualità.

A7.10 Raccolta di prove a campione

o Definisce una strategia di campionamento

 Applica un campionamento ragionato

 Applica un campionamento statistico

 Applica un campionamento basato su attributi

o Utilizza tecniche di campionamento per supportare quanto viene rilevato durante l’ispezione.

(8)

RES

 Favorisce la ripetibilità della definizione della popolazione del campione

 Favorisce la ripetibilità delle metriche e delle misurazioni

 Favorisce la chiarezza delle misure

o Utilizza verifiche step by step ed il supporto di esperti per l’analisi delle prove.

A2.06 Controllo dei principali processi IT

o Conduce le ispezioni relative all’acquisizione e all’implementazione di sistemi IT:

 Ispezione delle procedure di acquisizione di software

 Ispezione dell’implementazione di sistemi

o Conduce le ispezioni relative alla gestione delle modifiche e della configurazione:

 Verifica le vulnerabilità nello sviluppo software

 Illustra la gestione della configurazione del software

 Comprende la valutazione dell’impatto

 Illustra le revisioni alla documentazione e alle procedure.

 Definisce le politiche di rilascio e distribuzione del software

 Illustra la gestione dei cambiamenti organizzativi.

A6.06 Comunicazione e relazioni su attività ispettive

o Prepara rapporti di ispezione per una comunicazione efficace:

 Rapporti indirizzati all’alta direzione

 Rapporti indirizzati ai responsabili dei settori ispezionati.

o Prepara i materiali di comunicazione:

 Definisce gli elementi di un rapporto di ispezione.

 Applica tecniche di presentazione bilanciate dei rapporti di ispezione.

 Sviluppa una strategia per la conservazione dei documenti di lavoro.

 Sceglie tra formati alternativi dei rapporti di ispezione.

o Adotta gli standard di reportistica

o Contribuisce affinché i risultati dell’ispezione siano accettati in modo proficuo:

 Prepara e negozia la bozza di sintesi per la direzione

 Prepara e negozia il rapporto dettagliato di quanto è stato accertato.

 Prepara e negozia il piano di azioni correttive.

A7.11 Valutazione di conformità

o Definisce uno schema delle leggi e delle norme che si applicano all’azienda e alle sue attività, includendo:

 Norme internazionali

 Direttive europee

 Legislazione nazionale

 Legislazione regionale/locale

 Regole e normative specifiche riferite al settore economico/

area d’attività.

(9)

RES

 Leggi generali e contratti specifici che regolano

l’acquisizione e l’utilizzo di prodotti IT (garanzie, licenze, contratti di manutenzione, …)

 Eventuali regole e standard definiti a livello aziendale.

o Sintetizza i requisiti di controllo derivanti da leggi e normative.

o Comunica i requisiti legali al personale IT e agli utenti delle applicazioni chiave.

o Comunica con le autorità esterne competenti in materia di conformità.

A3.07 Gestione del rischio

o Padroneggia il processo e gli standard di gestione del rischio.

o Svolge le attività di valutazione del rischio:

 Effettua una valutazione delle risorse informative.

 Effettua una classificazione delle risorse informative.

 Esamina le minacce

 Identifica le vulnerabilità

 Definisce i rischi

 Valuta gli impatti

o Svolge le attività di gestione del rischio:

 Evidenzia i controlli e le contromisure

 Progetta e valuta metodi per il trasferimento dei rischi.

 Definisce gli obiettivi dei tempi di ripristino.

 Definisce le versioni di riferimento (baselines) per il controllo.

o Effettua il monitoraggio dei rischi:

 Definisce la metrica di monitoraggio

 Raccoglie le evidenze di monitoraggio

 Prepara e presenta i rapporti di monitoraggio della gestione.

o Prepara la documentazione dei rischi

 Prepara e presenta i rapporti per la direzione.

 Prepara i piani di riduzione del rischio

 Definisce le modalità di conservazione della documentazione dei rischi.

A7.12 Assicurazione della sicurezza IT

o Padroneggia la progettazione e rivede i controlli relativi alle problematiche di sicurezza delle informazioni e dei sistemi:

 Confidenzialità

 Integrità

 Disponibilità

 Necessità di sapere, separazione e segregazione

 Ispezionabilità

 Non ripudio

 Responsabilità

o Padroneggia la progettazione e rivede i controlli in conformità ai più importanti standard di sicurezza informatica e alle usuali pratiche di controllo:

 Sicurezza fisica

 Sicurezza della rete

 Sicurezza della piattaforma

(10)

RES

 Sistema operativo

 Middleware

 DBMS

o Padroneggia la progettazione e rivede i controlli di sicurezza delle applicazioni.

 Utenti/ruoli/segregazione di incarichi

 Necessità di sapere

 Salvataggio dei dati

 Controlli dei flussi e delle interfacce delle applicazioni

 Flusso nell’applicazione e controlli di interfaccia

 Elaborazioni batch

 Flussi di dati A2.08 Governo dei sistemi IT

o Applica gli standard e le regole per il governo dei sistemi informativi nel contesto ispettivo (ad esempio COBIT)

o Evidenzia e rivede le pratiche e le procedure per il processo di governo dei sistemi informativi.

o Padroneggia l’allineamento strategico dell’IT e le pratiche di rilascio di valore per l’azienda.

o Padroneggia le pratiche di gestione delle risorse IT.

o Effettua un’analisi della gestione delle prestazioni.

o Padroneggia la valutazione della conformità alle leggi e dei sistemi di controllo.

o Padroneggia le tecniche di gestione dei servizi per l’esercizio (ad esempio ITIL)

A5.01 Fondamenti di gestione dei progetti

o Definisce il ruolo dei diversi specialisti in una tipica struttura

organizzativa di progetto (ad es. Rational Unified Process, PRINCE2, ecc.).

o Contribuisce alla pianificazione del progetto di sistemi informativi per un determinato scenario aziendale.

o Contribuisce all'analisi dei rischi di una proposta di progetto, concentrandosi sui rischi per le attività aziendali.

o Utilizza approcci standard per valutare un piano di progetto dal punto di vista aziendale.

o Assiste nella definizione delle fasi di un progetto e del ruolo dell'analista di business in tali fasi.

o Assiste nella definizione di vincoli e di tappe intermedie (milestones), punti di controllo e revisioni per un progetto.

o Definisce standard aziendali per la documentazione dei risultati specifici (deliverables) dell’analisi delle attività aziendali in un progetto.

o Contribuisce, da una prospettiva aziendale, ai processi di assicurazione qualità all'interno di un progetto.

A7.04 Gestione dei rischi aziendali e della sicurezza IT

o Specifica le necessità aziendali relative al recupero e al salvataggio (back-up) di dati e alla protezione contro i virus.

(11)

RES

o Valuta la necessità di cifratura dei dati (locali o in transito) alla luce delle "minacce" provenienti dalla rete all'integrità dei dati.

o Valuta i rischi per le attività aziendali provocate dalle minacce alla sicurezza in ambito informatico.

o Contribuisce ad una politica di sicurezza di (una parte di) un'azienda.

o Comprende i fattori chiave della sicurezza informatica e conosce i principali standard internazionali relativi al governo dei sistemi informativi (IT Governance) (ad esempio CobiT) e alla sicurezza informatica (ad esempio BS 7799).

o Sviluppa uno studio di fattibilità per l'adozione di un ISMS (Information Security Management System).

o Programma ed esegue l'installazione di un ISMS.

o Effettua la valutazione della gestione del rischio informatico nell'azienda.

o Propone l'organizzazione informatica nell'azienda (comitato direttivo per la sicurezza informatica, identificazione del responsabile della sicurezza informatica, ecc.), definendo i ruoli e le competenze dei professionisti informatici coinvolti nella sicurezza.

o Definisce e assicura le linee guida della politica di sicurezza informatica dell'azienda, garantendo la separazione delle

responsabilità tra esercizio e sviluppo, e la classificazione dei livelli di sicurezza per i diversi tipi di informazione.

o Definisce e assicura le linee guida delle soluzioni di continuità dell'attività aziendale (Business Impact Analysis).

o Definisce e assicura l'architettura del disaster recovery dei sistemi informativi, tenendo in conto le diverse alternative (aggiornamento in linea, aggiornamento differito, san e architettura virtuale, ecc.).

o Definisce e assicura le linee guida per la gestione del rischio informatico.

o Definisce una politica aziendale per gli utenti del sistema informativo (autenticazione e autorizzazione), definendo le tecniche per l'utilizzo delle password (password scritta, smart card, token, biometria, ecc), coerentemente con la valutazione del rischio.

o Definisce e assicura le linee guida per la sicurezza fisica (sicurezza perimetrale, controllo degli accessi, alimentazione elettrica per la sala macchine, gruppi di continuità, ecc).

o Definisce e assicura le linee guida per la gestione delle modifiche alle applicazioni e all'infrastruttura (fase di progettazione, fase di test, fase di produzione).

o Definisce e assicura le linee guida per la gestione degli incidenti.

o Definisce e produce i rapporti per la sicurezza informatica.

o Organizza i controlli relativi alla sicurezza informatica.

o Programma e realizza la selezione degli strumenti di sicurezza informatica (antivirus, firewall, sistemi ips, ecc).

o Favorisce e organizzala valutazione delle vulnerabilità .

o Favorisce la formazione degli utenti sulla sicurezza informatica.

o Opera per realizzare progetti (documentazione, soluzioni organizzative e tecniche) richiesti dalla legge (ad esempio, Privacy, SOX, ecc).

o Favorisce e sviluppa progetti sulla sicurezza informatica (ad esempio, crittografia, ecc).

A7.05 Gestione della protezione dei dati

(12)

RES

o Classifica il livello di sicurezza dei dati.

o Definisce i requisiti di sicurezza dei dati nei progetti informatici.

o Organizza e sceglie gli strumenti automatici per il salvataggio (back- up) del software di sistema, del software applicativo e delle banche dati.

o Organizza l'immagazzinamento dei salvataggi (back-up) al di fuori dei locali aziendali, selezionando la soluzione più efficace (ad esempio, spedizioni tradizionali, salvataggio (back-up) via rete, ecc.).

o Protegge i dati inviati via rete utilizzando soluzioni di crittografia o di tunnelling.

o Organizza i test dei sistemi e delle applicazioni, creando file di test senza utilizzare i dati reali dell'azienda (e proteggendo i test sui dati critici).

o Comprende i fattori chiave della sicurezza informatica e conosce i principali standard di governo dei sistemi informativi (ad esempio CobiT) e di sicurezza informatica (ad esempio BS 7799).

o Definisce le regole per i dipendenti e i fornitori esterni in modo da assicurare la confidenzialità delle informazioni contenute nei database utilizzati nelle operazioni correnti (linee guida, controlli, responsabilità, ecc).

A4.01 Opportunità delle nuove tecnologie e loro corrispondenza con le esigenze aziendali

o Analizza processi aziendali e li confronta con le soluzioni alternative proposte da pacchetti software standard (approccio "migliori

pratiche").

o Valuta diverse possibilità per l’"organizzazione virtuale" all'interno di uno scenario aziendale.

o Evidenzia le opportunità per passare in una data organizzazione da una strategia di vendite e di marketing “a compartimenti stagni” ad una visione unitaria del singolo cliente.

o Produce un rapporto sugli effetti della globalizzazione per un'organizzazione.

o Valuta Internet come strumento per creare nuove opportunità per un'organizzazione.

o Valuta le extranet come strumenti per ottenere l'efficienza dell'interazione cliente/fornitore.

o Produce un'analisi sulle conseguenze organizzative derivanti dal maggiore uso dei meccanismi di commercio elettronico.

o Valuta un progetto che utilizza l’IT come attivatore per cambiamenti aziendali significativi.

o Produce un rapporto in cui documenta le caratteristiche principali di strumenti di gestione della relazione con il cliente (CRM).

o Confronta le caratteristiche offerte da due fra i maggiori pacchetti di gestione della catena di fornitura (SCM).

o Valuta l’opportunità, in un particolare scenario aziendale, di utilizzare strumenti di pianificazione delle risorse aziendali (ERP).

o Confronta i punti di forza e di debolezza (dal punto di vista aziendale) degli sviluppi nelle architetture tecniche IT (ad esempio architetture basate sul web rispetto a ”client server" a due livelli).

o Valuta l’opportunità di utilizzare sistemi di gestione documentale.

(13)

RES

A4.02 Selezione e ciclo di vita dell'implementazione di un pacchetto applicativo

o Definisce uno schema per un’efficace selezione dei pacchetti.

o Identifica, indaga e verifica i potenziali fornitori di pacchetti.

o Valuta un pacchetto software rispetto a requisiti definiti.

o Presenta suggerimenti riguardanti l'adeguatezza del pacchetto software rispetto ai requisiti funzionali e non-funzionali concordati.

o Valuta i vantaggi e gli svantaggi dell'approccio basato su un pacchetto.

o Valuta le implicazioni organizzative, tecniche e finanziarie di una decisione di esternalizzazione dello sviluppo o di acquisto di una soluzione a pacchetto.

o Utilizza liste di controllo per i fattori che influenzano la decisione tra sviluppo interno o acquisto di un pacchetto.

o Opera con uno schema strutturato per la selezione dei pacchetti.

o Comprende l'impatto degli approcci a prototipo sulla selezione di un pacchetto.

o Acquisisce una comprensione del mercato dei pacchetti software in un particolare contesto di settore.

o Produce un modello funzionale ad alto livello per un sistema.

o Contribuisce a identificare potenziali fornitori di un pacchetto.

o Contribuisce alla produzione di richieste di offerta e di questionari.

o Indaga sui fornitori.

o Assiste nella definizione di contratti di fornitura e di supporto.

o Effettua confronti fra i costi relativi alle forniture con quelli relativi al supporto.

o Documenta la corrispondenza funzionale di una soluzione a pacchetto.

o Contribuisce all'analisi del divario (gap analisys) per la selezione di un pacchetto.

o Utilizza per la valutazione un approccio a punteggi ponderati .

o Presenta raccomandazioni per una specifica soluzione a pacchetto.

o Assiste nell’implementazione di pacchetti.

o Collabora con il personale dell’approvvigionamento per l’acquisto di pacchetti.

o Definisce le modifiche dei processi aziendali richiesti in una soluzione a pacchetto.

o Si rende conto dei problemi legati alla personalizzazione del software a pacchetto.

o Contribuisce alla gestione a lungo termine del fornitore.

o Si rende conto dei vantaggi/svantaggi dei pacchetti.

A1.01 Attività aziendale e modellazione dei processi aziendali

o Comprende le motivazioni per la modellazione dell'attività aziendale.

o Effettua un’analisi dell’ambiente interno (ad es. MOST).

o Effettua l'analisi dell’ambiente esterno (ad es. PESTLE).

o Usa l’analisi SWOT.

o Effettua l'analisi per punti di vista aziendali (business viewpoint analysys).

o Definisce le attività aziendali per un'organizzazione.

o Definisce i CSF e KPI per un cambiamento aziendale.

o Formalizza le regole aziendali all'interno di un'unità organizzativa.

o Definisce il supporto informativo necessario per le attività definite.

(14)

RES

o Effettua la risoluzione dei conflitti tra punti di vista.

o Crea delle “rich pictures” per descrivere uno scenario aziendale.

o Utilizza l'approccio “soft systems” per sviluppare un sistema informativo.

o Valuta modi alternativi per modellare dei processi aziendali; ad es.

diagrammi di flusso, gerarchia dei processi, dipendenza dei processi, modelli di eventi.

o Si attiene alla sintassi dei modelli dei processi aziendali.

o Documenta i flussi dell'informazione (fonti, destinazioni).

B1.08 Principi di ingegneria del software

o Comprende i ruoli del processo di ingegneria del software

(capoprogetto, analista-programmatore, personale di manutenzione, assicurazione qualità e utente).

o Comprende i modelli del ciclo di vita dello sviluppo software e le loro applicazioni.

o Comprende e applica le tecniche di stima dello sviluppo software.

o Comprende e applica i principi della gestione di progetti software.

o Comprende la gestione del rischio.

o Comprende l’assicurazione qualità.

o Comprende cosa si intende con identificazione della configurazione, controllo ed ispezione.

o Comprende il sistema di tracciamento della configurazione.

o Comprende e applica le metriche e le tecniche di stima del software.

A5.02 Stime dello sviluppo di un sistema

o Utilizza diversi approcci di stima e li applica a un progetto concreto.

o Comprende l'importanza della stima e della misurazione.

o Distingue tra stima top-down e bottom-up.

o Contribuisce alla "stima per analogia".

o Contribuisce alla stima Delphi.

o Contribuisce alla stima tramite il metodo di analisi della ripartizione percentuale del lavoro.

o Coglie il valore dei principi della analisi dei punti funzione.

o Contribuisce alle stime dei punti funzione utilizzando regole formali di conteggio.

o Assiste nella definizione delle stime di impegno (effort) e delle stime di durata.

o Coglie il valore dell'utilizzo dei modelli di costo a conteggio di linee.

o Contribuisce alla costruzione delle strutture di scomposizione del progetto (WBS) e alla conseguente stima di progetti di sviluppo software.

o Si rende conto dell'impatto del RAD e del contingentamento dei tempi (timeboxing) sulle stime.

o Valuta i fattori che influenzano la produttività nello sviluppo di sistemi informativi.

o Contribuisce alla raccolta e all'analisi delle statistiche/metriche di progetto.

o Contribuisce all'utilizzo delle metriche per migliorare le stime di progetto.

B1.05 Progettazione ed implementazione di sistemi

(15)

RES

o Identifica i compiti necessari nell'implementazione e nella progettazione di un sistema IT.

o Valuta i benefici per l’azienda delle tecnologie di basi di dati, degli strumenti di data warehousing e di data mining.

o Comprende il contenuto di una specifica di sistema.

o Comprende le specifiche di funzioni.

o Si rende conto della necessità (e dei vincoli) della progettazione fisica delle basi di dati (ad es. tabelle ed indici).

o Effettua la progettazione di moduli (forms) per un sistema aziendale.

o Contribuisce alla progettazione di schermate e finestre di dialogo.

o Contribuisce alla definizione di piani di ripristino e di emergenza.

o Si assicura che sia possibile effettuare un’ ispezione del sistema informativo.

o Definisce i controlli di sistema di un sistema informativo.

o Definisce le necessità di integrità dei dati per un sistema informatico.

o Comprende le alternative relative a sistemi tecnologici e assiste l'azienda nella valutazione.

o Applica metodi specifici di conversione ai nuovi sistemi.

o Contribuisce alla revisione di sistema (post implementazione).

o Dettaglia la necessità della progettazione della sicurezza, confidenzialità e privatezza in un sistema.

o Produce un piano di implementazione e assiste nell'implementazione aziendale e nella revisione del sistema.

B3.05 Principi di collaudo

o Illustra i principi del collaudo (testing).

o Afferma l'importanza del testing nel ciclo di vita.

o Comprende le tecniche di testing dinamico.

o Applica gli standard di gestione del testing.

o Utilizza le tecniche di testing statico.

o Comprende la terminologia fondamentale del testing(ad es. risultati attesi, informazione attesa).

o Si rende conto dell'economia del testing.

o Esegue pianificazione di testing ad alto livello.

o Organizza il collaudo per l'accettazione dell'utente (UAT).

o Si assicura che sia completato il collaudo d’accettazione funzionale e non funzionale.

o Contribuisce al collaudo dinamico (”black box”).

o Contribuisce alla gestione del collaudo (ad es. organizzazione, stima, risorse).

C7.03 Gestione di modifiche e configurazioni

o Descrive un approccio strutturato alla gestione della configurazione.

o Coordina e controlla le fasi dello sviluppo di un sistema.

o Gestisce le versioni dei prodotti.

o Controlla l’accesso ai prodotti.

o Gestisce le dipendenze tra (versioni diverse di) prodotti.

o Definisce e gestisce prodotti riproducibili (versioni di riferimento).

o Gestisce gli stati dello sviluppo dei prodotti.

o Garantisce che esista in qualsiasi momento una versione coerente del sistema.

o Descrive un approccio strutturato alla gestione delle modifiche.

(16)

RES

o Raccoglie le richieste di modifica.

o Valuta le richieste di modifica e assume impegni in merito alla tempistica.

o Guida l’esecuzione delle modifiche.

o Verifica i risultati delle modifiche effettuate sui diversi prodotti.

A6.01 Gestione del cambiamento in azienda

o Sviluppa un piano di comunicazione per agevolare i cambiamenti aziendali.

o Incoraggia l'innovazione attraverso un sistema di valutazione del personale IT.

o Promuove la formazione per agevolare i cambiamenti.

o Identifica gli elementi di resistenza ai cambiamenti a livello organizzativo e tecnologico.

o Comprende il comportamento umano e il suo impatto sui cambiamenti aziendali.

o Prepara un piano per vincere la resistenza ai cambiamenti da parte dell'azienda, incluso "vendere" i benefici della nuova tecnologia.

o Fa un uso efficace degli strumenti audiovisivi per sostenere le proprie ragioni per i cambiamenti nell'azienda.

o Illustra al personale non informatico il ruolo dei sistemi informativi per il raggiungimento degli scopi aziendali e la loro collocazione all'interno dell'azienda.

o Si assicura che le motivazioni per il cambiamento vengano presentate in modo efficace, utilizzando tecniche di presentazione attuali.

o Valuta l'impatto di una soluzione IT sull'azienda, sui clienti e fornitori, sul personale, sui processi interni, ecc.

o Seleziona i programmi e i progetti di cambiamento aziendale.

o Organizza la formazione degli utenti sia sui nuovi processi aziendali che sull'uso dei servizi informatici sottostanti.

o Controlla le interfacce tra i progetti di cambiamento aziendale e i progetti IT che li permettono.

o Identifica i vincoli culturali, organizzativi e aziendali che influenzano le scelte di cambiamento.

o Comprende i fini aziendali e sviluppa dei processi alternativi per ottenerli.

6. VERIFICA I RISCHI, I COSTI E I BENEFICI POTENZIALI DI PROCESSI AZIENDALI ALTERNATIVI.RIFERIMENTI ESTERNI

Di seguito sono riportate le denominazioni di profili professionali corrispondenti definiti dalla “Borsa Lavoro” e dall’ISFOL (Istituto per lo sviluppo della formazione professionale dei lavoratori). Sono inoltre indicati le denominazioni di uso corrente nella contrattualistica e nella domanda/offerta ICT in Italia.

Riferimenti”

Borsa lavoro

Denominazione

(17)

RES

Auditor di sistemi informativi Descrizione

Su incarico dei più alti livelli direttivi dell’organizzazione cliente, fornisce un servizio di verifica e garanzia di sicurezza, qualità, conformità e valore aggiunto del sistema informativo interno.

Valuta i rischi connessi all’uso di strumenti informatici e la qualità dei processi di supervisione e controllo dell’infrastruttura tecnologica.

ISFOL

Denominazione Security auditor Descrizione

Valuta l’efficacia delle soluzioni tecniche adottate per garantire la sicurezza di un sistema informativo

Riferimenti

Scarica adesso ( DOC - 1 pagine - 146.50 KB )

Documenti correlati

Sistemi Informativi

„ Illustrare gli elementi essenziali relativi alle basi di dati relazionali e ai sistemi software (DBMS) che le gestiscono. „ Evidenziare aspetti rilevanti che caratterizzano DBMS

Laboratorio di Sistemi Informativi

– “WITH GRANT OPTION”, se presente, permette agli utenti designati di delegare a loro volta i privilegi ottenuti ad altri utenti. ● GRANT è eseguibile solo da utenti che

Laboratorio di Sistemi Informativi

– astrazione sul DBMS: essendo il linguaggio di definizione degli oggetti scorrelato dal DBMS, il mapping verso il mondo relazionale può essere istanziato più volte per diversi

Sistemi informativi

Ciclo di vita di un sistema informativo Progettazione di basi di dati.. Entità e

Sistemi Informativi Aziendali

In questo caso la terminazione è detta implicita in quanto non esiste un punto unico di controllo in cui si evidenzia la fine delle attività, ma questa avviene implicitamente

Sistemi Informativi Una introduzione

In questo secondo caso, vi può essere il rischio di un rigetto da parte della organizzazione, che vede modificato il flusso di lavoro e le competenze (e i poteri) delle

Sistemi Informativi Aziendali

Infatti, escluso il settore militare, i primi settori che hanno adottato tec- nologie informatiche per il supporto dei propri processi aziendali sono state assicurazioni e

Sistemi informativi

La progettazione di una base di dati è una delle attività del processo di sviluppo di un sistema informativo.. va inquadrata nel contesto più ampio di ciclo di vita di un