Oggi l'IT aziendale è chiamata a spostare la priorità dalla gestione dell'esistente alla capacità di proporre valore al business, tramite un'infrastruttura flessibile e scalabile, pronta a supportare rapidamente crescite e cambi di strategia aziendale, e pensata per erogare servizi più che per ottimizzare singole aree come server, storage o reti.
Tutto ciò ha favorito la corsa alle tecnologie di consolidamento e virtualizzazione, e sta creando enorme interesse per il Cloud Computing. Però rende ancora più complessa una Extended Governance, cioè il governo dell'IT da un punto di vista complessivo trasversale all’azienda, con particolare attenzione alla sicurezza in senso lato (dalla protezione dei dati sensibili alla sicurezza fisica), al risk management e alla compliance rispetto al crescente numero di norme, direttive e regolamentazioni da rispettare. Una estende governante che possa garantire un reale controllo su architetture, sistemi e applicazioni finalizzato a sostenere le performance di business.
Questi temi hanno caratterizzato l'Executive Dinner “Extended IT Governance – Gestire la complessità e il rischio per erogare valore”, organizzata da ZeroUno con la partnership di Emc e Rsa, e tenutasi il 25 novembre scorso, di cui diamo una breve sintesi in attesa di pubblicare il resoconto completo.
Stefano Uberti Foppa, direttore di ZeroUno, ha aperto l'evento sottolineando che a fronte della trasformazione dell'IT in corso, la governance deve conciliare la gestione dell'attuale complessità con automazione, virtualizzazione e analytics; il passaggio da un approccio 'per silos' a uno complessivo; e la necessità di riferirsi a key performance indicator (KPI) di business.
Questo però si inserisce in un contesto di investimenti delle aziende italiane, descritto da Annamaria Di Ruscio, direttore generale e partner di NetConsulting, piuttosto contraddittorio. Da una parte la priorità delle iniziative di risk management risulta bassa come pure l'uso di soluzioni di compliance (la più diffusa è Excel), l'approccio all'Extended Governance è nel 70% dei casi solo parzialmente integrato, e solo la metà delle imprese ha una struttura formale di IT Governance. Il tutto si spiega con il fatto che il top management non sente come prioritaria l'esigenza di investire in IT Governance. D'altra parte l'interesse per il Cloud Computing è molto alto, ma gli ostacoli principali percepiti sono proprio i rischi di sicurezza, business continuity e compliance. Il cloud in effetti richiede scelte forti di governance, in termini di sicurezza ma anche di rischi e compliance: per esempio molte norme impongono di conservare i dati per un certo periodo, alcune entro il territorio italiano, ma non tutte le offerte cloud sono chiare su questi aspetti.
Come superare questa contraddizione? La ricetta generale è proporre la Extended Governance come un 'business case', un programma graduale con obiettivi di business, tra cui la riduzione dei costi dei controlli e l'aumento di efficienza operativa. Ma gli interventi dei partecipanti all'Executive Dinner hanno messo in luce diverse sfumature di questi concetti, prima tra tutte la necessità di definire KPI di business in collaborazione con le business unit, citata da Arianna Ioppolo, Group IT Economics di Unicredit. In generale è emerso, inaspettatamente, un quadro abbastanza confortante di collaborazione tra IT e business, che d'altra parte, insieme alla continua comunicazione delle policy aziendali al personale, è decisivo per la riuscita di un vero programma di Extended Governance. Così come è decisiva – secondo Andrea De Grandis, IT Manager Sistemi Informativi dell'Istituto Europeo di Oncologia – la necessità di un momento di fissazione degli obiettivi per l'IT, un documento su cui far convergere tutti i progetti: “Per una realtà come la nostra per esempio è cruciale definire le linee guida per gestire la 'base di conoscenze'”.
Un caso di “Extended Governance di fatto” è stato raccontato da Ferruccio Maccarini, responsabile processi interni di UBI Sistemi e Servizi, dove dalla necessità di ridurre le difettosità di documenti e processi è nata una vera 'task force' di elementi di diverse funzioni e unità aziendali che di fatto sta mappando i processi critici e riflettendo sull'organizzazione, “cioè stiamo facendo Governance, Risk e Compliance”.
Infine Vittorio Billa, IT manager di Fiv E. Bianchi, è tornato sulla componente umana, e in particolare sul pericolo che i contrasti tra manager portino a un'attenzione agli obiettivi di business persino eccessiva, “con il rischio di rrimandare sempre gli investimenti in tecnologie e ritrovarsi con un'infrastruttura obsoleta”.
Nel frattempo scarica le slide della presentazione di Annamaria Di Ruscio, direttore generale e partner NetConsulting.