CobIT è un framework nato nel 1996 con la missione di “ricercare, sviluppare pubblicizzare e promuovere un insieme di obiettivi di controllo per l’utilizzo giornaliero da parte di manager e auditor”. CobIT è entrato nel mondo dell’IT attraverso la porta, un po’ stretta, degli auditor It (associati in Italia, in Aiea) anche se l’ampiezza dell’impianto di questo framework ha portato molte aziende utenti ad andare oltre il suo immediato utilizzo a fini di auditing e compliance (per la Sarbanes-Oxley così come, in Italia, per la legge 262 sulla trasparenza dell’informazione finanziaria) per cominciare ad assumerlo come riferimento anche nell’esplorazione di aree sempre più ampie.
C’è un percorso caratteristico che più o meno tutte le aziende utenti sembrano seguire nell’impiego del framework di CobIT: si parte con la necessità di compliance a determinate normative, per allargarsi al miglioramento dei processi It interni (qui spesso in associazione con framework specializzati come Itil o con Cmmi nelle aree rispettive dell’It service management o delle attività di sviluppo); si può andare ancora oltre, verso l’obbiettivo di identificare e mitigare le aree di rischio a cui l’It è esposta, fino ad approcciare in modo integrato i temi della governance, del rischio e della compliance.
Consapevole di questa evoluzione nell’utilizzo del framework, l’Aiea ha deciso di indagare sulla realtà effettiva di questo fenomeno nelle aziende del nostro Paese, incaricando un team di lavoro della Sda Bocconi, coordinato da Severino Meregalli, di svolgere una ricerca (sponsorizzata dalla società di consulenza It Protiviti) finalizzata a rispondere a questa domanda: c’è una ‘catena’ che lega obiettivi aziendali, obiettivi di business e CobIT?
Per ‘alimentare’ il modello di ricerca alla base del lavoro, alle aziende coinvolte nella ricerca sono state proposte tabelle e matrici con un elenco di 17 obiettivi di business (articolati su quattro macro-obiettivi: di efficienza, sviluppo commerciale, valore aziendale e corporate governance), di una trentina di obiettivi It a loro volta distinti in macro-obiettivi (tra cui allineamento con il business, ottimizzazione delle architetture, performance management, sicurezza, controllo costi, risk management ecc.) e dei processi It mappati da CobIT.
Le risposte delle aziende
Analizzando le risposte delle aziende coinvolte nelle indagini, gli analisti di Sda Bocconi rilevano che i benefici di CobIT applicati al governo dei processi It sono difficilmente collegabili in via diretta agli obiettivi aziendali, salvo nei casi in cui gli obiettivi It e obiettivi di business quasi coincidono come nel caso di aziende che operano in settori quali le telecomunicazioni.
Comunque le risposte delle aziende coinvolte nella ricerca hanno consentito di individuare – in alcune aziende particolarmente virtuose come Tiscali, Enel, Gruppo Alcon, Intesa-San Paolo e Generali – l’esistenza di benefici e miglioramenti in diverse aree di attività direttamente o indirettamente connessi all’impiego del framework CobIT. I miglioramenti hanno riguardato per esempio le aree delle prestazioni operative, delle relazioni tra It e business, dell’estensione del perimetro di controllo It e del miglioramento delle capacità di reazione dell’It.
Il fatto che Intesa San Paolo e Enel abbiano deciso di mantenere un presidio diretto su CobIT anche dopo che è venuta a mancare l’obbligatorietà dei controlli sui processi It per esigenze di compliance, “testimonia – secondo i ricercatori di Sda Bocconi – come i benefici derivanti dall’adozione del framework vadano oltre l’adeguamento alle normative esterne”.
Criticità e resistenze
Le aziende che intendessero prendere esempio da quelle appena citate, farebbero comunque bene a tener presenti le criticità emerse nel corso del processo di ‘implementazione’ delle practice suggerite da CobIT. Queste riguardano soprattutto le resistenze al cambiamento, il non sempre scontato commitment delle direzioni aziendali (soprattutto se mancano esigenze e urgenze in tema di compliance) e l’esistenza di una scarsa cultura del controllo nelle strutture It (il che provoca, come documenta per esempio il caso di Tiscali riportato nell’articolo della pagina precedente, atteggiamenti di resistenza ai cambiamenti proposti).
Altri aspetti problematici riguardano l’esistenza di pochi ‘early adopter’ e alcuni interrogativi che hanno spinto i curatori della ricerca a una ulteriore fase di approfondimento di un paio di questioni; la necessità di verificare se e quanto l’adozione di CobIT ha migliorato le performance di allineamento rispetto a realtà che non l’hanno adottato e di analizzare in dettaglio benefici e costi (non solo economici) della compliance per stabilire se questa sia da considerare un costo oppure una opportunità.
