IT Governance: obiettivi, framework e best practice
L’importanza e il ruolo strategico dell’IT all’interno delle organizzazioni è sempre più evidente e riconosciuto. Tanto da necessitare, oggi ancora di più, di specifici processi, modelli, regole che consentano di raggiungere nei tempi e con le risorse previsti e secondo modalità definite gli obiettivi prefissati, in sinergia con quelli aziendali. È questo che si intende quando si parla di IT Governance, che, nella definizione di Gartner consiste nell’uso efficace ed efficiente delle risorse IT, volto a soddisfare specifici business need.
L’IT Governance ha come scopo ultimo quello di ottimizzare le operazioni, controllare i costi e minimizzare i rischi, garantendo la conformità a norme, regolamenti (come ad esempio DORA e NIS2) e requisiti aziendali.
IT Governance vs IT Management: due facce della stessa medaglia
L’IT oggi siede ai vertici aziendali, fa parte del gruppo dirigente e da qui definisce criteri e modelli operativi, stabilendo obiettivi e strategie di IT Governance, in coesione con gli obiettivi e le strategie di business. A livello operativo, la sua azione si concretizza nell’IT Management.
Ma quali sono le differenze tra IT Governance e IT Management?
È possibile far confusione tra le due, dal momento che in alcuni casi i ruoli sembra si sovrappongano, ciononostante, è importante distinguere con precisione i rispettivi ambiti di pertinenza e di intervento:
- Livello: l’IT Governance opera a livello strategico e di controllo; l’IT Management interviene soprattutto a livello operativo.
- Responsabilità: l’IT Governance può essere direttamente in contatto con il Consiglio Direttivo; l’IT Management è affidato al middle management.
- Focus: l’IT Governance si concentra sull'allineamento strategico e sul risk management; l’IT Management è focalizzato sull'efficienza operativa e sulla fornitura di servizi.
- Output: l’IT Governance definisce direttive, politiche, modelli di controllo e framework; l’IT Management deve fornire servizi e soluzioni in linea con i precedenti.
IT Governance: i framework più diffusi
Il diffondersi della Digital Transformation non solo ha portato la Direzione IT nel Board, ha anche introdotto maggior complessità a livello sia aziendale che di infrastruttura. E questa complessità crescente va governata. Per farlo, sono stati definiti una serie di framework per IT Governance che forniscono linee guida, standard, metodi e soluzioni per implementare e gestire la Governance dell’IT.
Ogni framework è differente e risponde a diversi bisogni, ma tutti sono accomunati da tre elementi ricorrenti:
- Elementi strutturali: identificazione dei decision maker e degli attori dell'organizzazione IT, le competenze e le responsabilità necessarie nella definizione dei modelli operativi;
- Elementi di processo: modalità di definizione degli investimenti e descrizione dettagliata dei processi utili per la gestione del budget IT, distinguendo chiaramente tra funzioni non prioritarie e quelle ad alto valore aggiunto;
- Elementi di comunicazione: modalità di monitoraggio, misurazione e comunicazione dei processi in modo comprensibile a tutti gli attori coinvolti.
Va sottolineato, però, che i framework non sono statici, ma si evolvono in base alle necessità e all’esperienza reale dell’organizzazione.
Tra i principali e più utilizzati troviamo:
ISO 38500 – The international IT governance standard
ISO/IEC 38500:2015 è lo standard internazionale per la governance aziendale dell'IT.
Stabilisce principi, definizioni e un quadro di alto livello che le organizzazioni di ogni tipo e dimensione possono utilizzare per allineare meglio l'uso dell'IT con le decisioni organizzative e soddisfare i propri obblighi legali, normativi ed etici.
ISO/IEC 27000 – The Information Security Management standard
ISO/IEC 27000 è lo standard per l’Information Security Management.
Questo standard garantisce che le organizzazioni dispongano delle giuste policy per garantire privacy, riservatezza e sicurezza dei servizi IT e la cybersecurity.
COBIT (Control Objectives of Information and related Technology)
COBIT è un framework che offre un quadro dettagliato di pratiche, modelli e strumenti di analisi accettati a livello globale e progettati per la governance e la gestione dell'IT all’interno delle aziende. Permette di definire gli strumenti per analizzare, gestire e monitorare il funzionamento dei sistemi IT. Inoltre, consente alle aziende di soddisfare i requisiti normativi e di gestione del rischio e di adattare la strategia IT agli obiettivi del business. È molto ampio, ma può essere applicato anche in modo parziale.
Non è possibile soddisfare tutte le esigenze operative a livello IT con un solo framework. Perciò è possibile che le aziende debbano utilizzarne più di uno simultaneamente. È, inoltre, fondamentale che l'implementazione combinata dei diversi framework di IT Governance sia flessibile e adattabile nel tempo, per rispondere ai cambiamenti richiesti dal business.
IT Governance: 5 best practice per avere successo
Vista la grande importanza che l’IT Governance ha assunto e sta assumendo nell’assicurare l’attuazione delle strategie aziendali, è chiaro che perché sia davvero efficace occorra un piano ben delineato, basato su best practice condivise. Queste possono essere tratte dalle 5 regole che Gartner ha presentato come suggerimenti ai CIO al fine di creare progetti di IT Governance efficaci e assicurare un incremento del 75% del successo del proprio contributo strategico al business.
Le 5 best practice dell’IT Governance sono:
- Avere obiettivi chiari: è fondamentale aver chiaro quali sono gli obiettivi e quale valore hanno per l’azienda. In tal modo sarà possibile sfruttare al meglio le risorse IT per raggiungere i risultati prefissati.
- Definire le priorità: l’IT può agire in modo efficace solo se in possesso di una visione chiara e precisa sulle priorità degli stakeholder e di coloro che interagiscono con l’infrastruttura IT aziendale. È, inoltre, importante prevedere dei momenti di allineamento periodici.
- Chiarire il valore dell’IT: è importante che gli stakeholder siano informati sulle attività svolte dall’IT e sul valore generato in termini di processi operativi e di evoluzione. A tal scopo Gartner suggerisce di fornire una doppia valutazione che tenga conto sia del rapporto tra prestazioni e prezzo, sia del ritorno sull’investimento.
- Parlare un linguaggio “business”: al fine di rendere evidente il valore generato dall’IT all’interno dell’azienda, bisogna innanzitutto focalizzarsi sugli obiettivi raggiunti, piuttosto che sugli interventi “tecnici” effettuati, definendo precisi KPI. Inoltre, l’uso di una terminologia comprensibile ai non addetti ai lavori, priva di acronimi e tecnicismi, potrebbe essere utile a rendere la comunicazione più semplice e diretta e assicurare che i vantaggi portati al business siano chiari a tutti i soggetti interessati.
- Il budget lo fa il valore percepito: definire il budget e i costi dell’IT basandosi solo sull’aspetto tecnologico potrebbe essere complicato. A sbloccare i fondi, infatti, è il valore o meglio, la percezione del valore dei progetti e dei servizi erogati. Il modo migliore per riuscire a quantificare adeguatamente le spese, infatti, è rendere chiari i benefici di business che ne derivano, attraverso una stretta collaborazione tra CIO e CFO.
L’IT Governance è, oggi, indispensabile alle aziende altamente regolamentate (come, ad esempio quelle del Finance), ma ogni tipologia di organizzazione può trarre beneficio da un governo strutturato dell’IT. La presenza di framework diversi e modulabili, ad esempio, permette l’adozione anche da parte delle realtà più piccole e risponde alle più ampie esigenze delle grandi imprese.
Tutte dipendono, ormai, da strumenti, sistemi e risorse IT, ma riuscire a massimizzarne il valore, garantendo che ogni risorsa IT sia coerente con una strategia aziendale comune può risultare complicato e richiedere molto tempo.
Per questo, molte realtà scelgono di affidarsi ad un partner esperto, con competenza di dominio, in grado di definire una vera e propria roadmap per l’IT Governance e la Compliance e facilitarne l’introduzione in azienda.