Compliance, IT Strategy & Governance: tutto quello che devi sapere
Il controllo efficace della tecnologia e delle informazioni è critico per il successo del business. Proprio per questo ISACA - Information Systems Audit and Control Association promuove l’adozione di politiche di IT Strategy & Governance (il controllo dei piani aziendali per l’evoluzione digitale) e di Compliance (la protezione dei dati e la conformità alle normative). Si tratta di un approccio manageriale grazie al quale è possibile rendere effettivo il contributo che le innovazioni tecnologiche portano al business dell’azienda. Le attività di auditing, ovvero le verifiche di corrispondenza (secondo modi e tempi stabiliti) delle iniziative in essere rispetto alle linee guida, sono parte integrante di questo framework.
Tali verifiche – è fondamentale sottolinearlo – non sono una mera formalità, ma assicurano piuttosto la mitigazione del rischio connesso alle vulnerabilità degli ambienti IT e la reale connessione tra innovazione tecnologica e obiettivi di business.
Compliance, IT Strategy & Governance: una spiegazione pratica
Le aziende che operano all’interno di settori strettamente regolamentati (ad esempio: il Pharma, il Finance, ecc.) sono caratterizzate da elevata complessità organizzativa. In tale contesto, è necessario che le decisioni relative alle iniziative IT siano prese a livello Corporate. Di conseguenza, IT Strategy & Governance sono, insieme alla Compliance, aspetti altamente interconnessi, che rispondono all’obiettivo di documentare al board il corretto allineamento tra iniziative IT e obiettivi aziendali e, quindi, il ritorno degli investimenti. Ciò significa che la Direzione dei Sistemi Informativi è chiamata a svolgere un triplice compito:
- IT Demand Governance: ricezione delle richieste di progetto;
- Project Portfolio Management (PPM): gestione e ottimizzazione dell'insieme dei progetti all'interno dell’azienda;
- Risk Management: analisi delle non conformità e valutazione dei rischi potenziali.
IT Demand Governance
L’IT Demand Governance riguarda la gestione e il controllo delle richieste di servizi IT da parte delle diverse Direzioni aziendali. Questo tipo di Governance recepisce e indirizza le richieste, strutturando gli interventi in fasi definite:
- Raccolta delle esigenze di business. L’IT Demand Governance implica la raccolta e l’analisi delle esigenze degli stakeholder. Traduce le strategie Corporate in obiettivi tecnologici e, di conseguenza, in funzionalità e servizi digitali da rendere disponibili, per sostenere le attività quotidiane e gli obiettivi strategici del business.
- Valutazione del valore di business. Vengono valutati l’impatto sul business e il valore strategico di ciascuna richiesta di servizi IT, per assicurare che le risorse siano impiegate in modo efficace per massimizzare il ritorno sull’investimento (ROI) e il valore aziendale complessivo.
- Prioritizzazione delle richieste. Una volta raccolte le richieste di servizi IT, l’IT Demand Governance aiuta a stabilire criteri e processi per definire le priorità delle richieste in base agli impatti sul business e al budget disponibile.
- Allineamento con gli obiettivi aziendali. Garantire che le richieste di servizi IT siano corrispondenti agli obiettivi aziendali, non solo in termini economici, ma anche organizzativi, di sperimentazione odi sostenibilità.
Project Portfolio Management (PPM)
Sebbene ci siano sovrapposizioni tra il PPM e l'IT Demand Governance, le caratteristiche principali che differenziano il Project Portfolio Management includono la sua focalizzazione esclusiva sui progetti, sulla distribuzione ottimale delle risorse tra i vari progetti e la valutazione della performance degli stessi.
Nello specifico:
- Focalizzazione sui progetti. Il PPM si concentra principalmente sulla gestione e ottimizzazione del portfolio dei progetti all'interno dell'organizzazione. Ciò significa che l'organizzazione ha un insieme di iniziative in corso o pianificate e che è necessario gestire queste attività in modo coordinato e strategico, per massimizzare il valore complessivo per l'azienda.
- Distribuzione ottimale delle risorse. Il PPM permette di allocare e utilizzare efficientemente le risorse disponibili sui singoli progetti censiti.
- Valutazione della performance dei progetti. Il PPM consente di effettuare una valutazione continua della performance dei progetti, garantendone l’allineamento agli obiettivi aziendali e il valore.
Risk Management
Il Risk Management è il processo di controllo della conformità delle iniziative e di identificazione, valutazione e gestione dei rischi associati alla Direzione IT, tra cui si annoverano, ad esempio, le infrastrutture informatiche, le tecnologie, i processi, le competenze professionali, ecc. Si concentra sulla comprensione e sulla mitigazione dei potenziali impatti negativi che tali rischi possono avere sugli obiettivi aziendali e sulle risorse IT. Esso prevede una serie di azioni:
- Identificazione dei rischi. Le aree di vulnerabilità sono presenti a diverso livello nell’organizzazione. I rischi possono essere legati alla sicurezza informatica, ai comportamenti operativi, agli obblighi di legge o regolamentari, ecc.
- Valutazione dei rischi. Una volta identificati, i rischi vengono valutati per determinare la loro probabilità di accadere e l'impatto che possono avere sull'azienda se si verificassero. Questa valutazione aiuta a stabilire la priorità dei rischi, in modo da concentrare le risorse sulla gestione di quelli più urgenti.
- Mitigazione dei rischi. Sono previste fasi di sviluppo e implementazione di strategie di mitigazione, allo scopo di ridurre o eliminare i rischi identificati. Queste strategie possono includere l'implementazione di controlli di sicurezza informatica, la revisione dei processi operativi e il training del personale. Il processo di Risk Management è continuo e richiede un monitoraggio costante, al fine di assicurare che le strategie di mitigazione siano efficaci e che nuovi rischi emergenti siano affrontati tempestivamente.
La costante innovazione tecnologica crea un’elevata quantità di stimoli alle aziende, che sono chiamate a valutare di continuo il beneficio potenziale delle nuove attività. Ciò significa strutturare un modello di gestione delle iniziative IT che sia in grado di controllare e “scaricare a terra” il valore ipotizzato. Tale modello racchiude IT Strategy & Governance e Compliance all’interno di un unico framework, secondo le indicazioni di ISACA. La sua adozione garantisce alle aziende il pieno controllo sulle attività progettuali e il ritorno degli investimenti tecnologici e degli altri costi sostenuti, misurati in relazione agli obiettivi di business che è stato possibile raggiungere.