IT Governance: progettare un sistema che mantenga l’IT allineato al business e guidi la trasformazione digitale con COBIT® 2019

Per ogni CIO, una delle sfide più rilevanti non è la tecnologia in sé, ma garantire che le scelte IT riflettano – e anticipino – le esigenze del business.

È una responsabilità che richiede visione, metodo e coerenza, soprattutto in un contesto in cui la trasformazione digitale non è più un'opzione, ma una condizione permanente del cambiamento aziendale.

L’IT, in quanto funzione pervasiva e trasversale nel tessuto delle organizzazioni moderne, è diventato un attore abilitante e co-protagonista della strategia. La sua capacità di supportare il core business, integrandosi nei processi, nei servizi e nella cultura aziendale, è oggi indispensabile per il conseguimento degli obiettivi di crescita, efficienza, innovazione e resilienza.

Progettare una IT Governance solida, adattiva e coerente significa, quindi, dotarsi di una leva operativa per guidare e governare la trasformazione digitale, creando valore in modo controllato e sostenibile.

Un sistema per allineare, guidare e trasformare

Framework come COBIT® 2019 di ISACA offrono un approccio concreto e strutturato per la progettazione e gestione della governance IT, utile non solo per garantire l’allineamento strategico con il business, ma anche per governare il cambiamento, valorizzare gli investimenti digitali, ridurre i rischi e mantenere la rotta nei momenti di discontinuità.

La costruzione di un sistema di governance IT si articola in quattro fasi fondamentali, che trasformano le esigenze strategiche in un modello operativo e misurabile.

1. Comprendere il contesto aziendale e la strategia

Si tratta di un passaggio fondamentale in quanto un sistema di IT Governance efficace non nasce nel vuoto, deve essere costruito partendo dalla realtà concreta dell’organizzazione, allineandosi in modo coerente con la sua strategia, le priorità operative, i rischi aziendali e le aspettative degli stakeholder. L’IT non è una funzione isolata, ma un elemento integrato nel sistema impresa: per questo, la governance dell’IT deve riflettere – e possibilmente anticipare – le direzioni strategiche dell’organizzazione.

Comprendere il contesto significa in pratica svolgere un’analisi strutturata del posizionamento aziendale, articolata in tre ambiti principali:

1. Comprensione della strategia aziendale: attraverso l’analisi degli indirizzi strategici, delle politiche aziendali e degli obiettivi per identificare le priorità a breve, medio e lungo termine. L’attenzione si concentra sulle leve di crescita, innovazione, efficienza e posizionamento competitivo, cercando di capire dove l’azienda vuole andare e quali trasformazioni intende realizzare.

2. Identificazione e rilevamento dei bisogni degli stakeholder: Si identificano le principali aspettative e preoccupazioni di stakeholder interni (management, linee operative, funzione compliance) ed esterni (clienti, enti regolatori, partner). Questa analisi aiuta a comprendere quali funzioni e processi dipendono in modo critico dall’IT e quali sono i vincoli operativi o normativi da rispettare.

3. Valutazione del profilo di rischio e della maturità digitale: Si esamina il livello di esposizione ai rischi IT (cybersecurity, continuità operativa, obsolescenza tecnologica, ecc.) e si valuta il grado di maturità digitale dell’organizzazione. Questo include la dipendenza dai sistemi informativi, l’integrazione tra processi digitali e fisici, e la capacità di risposta a incidenti o cambiamenti imprevisti.

L’obiettivo finale di questa analisi è duplice:

• Da un lato, chiarire il “perché” si costruisce un sistema di governance (quali problemi deve risolvere, quali obiettivi deve perseguire);
• Dall’altro, definire “per chi”, ovvero identificare i soggetti chiave da coinvolgere e servire attraverso la governance IT. Si deve considerare che ogni sistema di IT Governance deve essere progettato tenendo conto delle persone, ruoli e strutture organizzative che ne saranno coinvolte o impattate, sia come beneficiari (chi riceve valore), sia come attori (chi contribuisce al suo funzionamento).

Solo con una comprensione profonda del contesto, infatti, è possibile evitare la generalizzazione o astrazione e dare vita a una governance realmente allineata, efficace e sostenibile.

2. Definire l’ambito iniziale del sistema di governance

Nella progettazione un sistema di IT Governance, uno degli errori più comuni è voler governare tutto, subito e in modo uniforme. Questo approccio genera un eccesso di complessità spesso insostenibile. Una governance efficace, invece, si fonda sulla capacità di indentificare e selezionare le aree più critiche, definendo un perimetro chiaro, coerente con le priorità aziendali e misurabile nei suoi effetti.

La definizione dell’ambito iniziale si articola in tre azioni chiave che permettono di individuare quali aspetti dell’IT vanno governati prioritariamente, con quali strumenti, e con quale grado di approfondimento. Non è un atto tecnico, ma una scelta di posizionamento strategico.

1. Traduzione della strategia in obiettivi IT governabili: Partendo da quanto identificato nelle due fai precedenti, si utilizza il meccanismo della “goals cascade” di COBIT® 2019 per convertire gli obiettivi aziendali in obiettivi specifici per la governance e la gestione dell’IT. Questo passaggio consente di allineare gli obiettivi degli stakeholder (es. migliorare la customer experience, aumentare la resilienza operativa) e i domini dell’IT su cui intervenire (es. performance dei servizi, sicurezza delle informazioni, conformità normativa).

2. Individuazione dei componenti e processi prioritari: Si identificano le componenti del sistema di governance su cui intervenire in prima battuta. Tra queste:

• Processi IT critici per la continuità o la trasformazione (es. gestione degli accessi, ciclo di vita dei dati, change management);
• Ruoli e responsabilità, per chiarire chi governa cosa e con quali poteri decisionali;
• Policy, standard, dati, strumenti e cultura organizzativa, tutti elementi che devono essere coerenti con gli obiettivi di governance.

3. Costruzione della “mappa iniziale” del sistema: Si disegna una rappresentazione sintetica del perimetro di governance, specificando:

• quali ambiti funzionali e tecnologici sono inclusi,
• quali sono gli obiettivi misurabili,
• e come saranno gestite le interfacce con il business, con i fornitori e con le altre funzioni aziendali.

Il risultato di questa fase è una governance focalizzata, non dispersiva. Un sistema che, fin da subito, concentra le energie dove servono davvero, permettendo un’attuazione più agile, visibile e a valore. Questa impostazione graduale è anche il miglior modo per ottenere il supporto delle altre funzioni aziendali e costruire fiducia nei confronti del nuovo modello di governo dell’IT.

3. Raffinare il disegno del sistema di governance

Una governance IT efficace non può essere replicata da un manuale o da un modello predefinito: va calibrata e calata sul contesto specifico dell’organizzazione. Questo è un passaggio determinante perché ogni impresa ha una propria combinazione di struttura operativa, regolamenti, cultura interna e maturità digitale. Raffinare il disegno del sistema significa personalizzarlo, adattandolo in modo puntuale alla realtà, alle sfide e ai vincoli dell’azienda.

Questo è il momento in cui si passa dalla teoria alla pratica, superando l’approccio “taglia unica” per costruire un modello di governo su misura funzionale e applicabile.

Per strutturare correttamente questa fase è necessario affinare il disegno del sistema di governance IT, trasformando le scelte preliminari in un modello operativo coerente e contestualizzato. Questo richiede un’analisi approfondita dei fattori che influenzano l’efficacia della governance e un conseguente adeguamento operativo degli elementi chiave del sistema. Le principali attività includono:

1. Analisi dei fattori di design (design factors): Si identificano i fattori contestuali (interni ed esterni) che condizionano l’efficacia del sistema di governance. I principali includono:

• Il panorama delle minacce (es. cyber risk, frodi, interruzioni operative),
• La strategia di adozione tecnologica (innovazione spinta vs. approccio conservativo),
• Il modello operativo dell’IT (centralizzato, federato, outsourcing, multisourcing),
• Le priorità di business a cui la funzione IT deve adattarsi.

2. Valutazione degli elementi normativi, culturali e organizzativi: Un sistema di governance non vive nel vuoto. Per per garantire che il sistema sia accettato, compreso e sostenibile nel tempo va inserito all’interno del contesto di:

• Compliance normativa e regolatoria (es. leggi nazionali e internazionali, Standard di riferimento),
• Cultura aziendale (livello di apertura al cambiamento, stile decisionale, livello di collaborazione interfunzionale),
• Maturità digitale dell’organizzazione, intesa come capacità di utilizzare, integrare e proteggere le tecnologie abilitanti.

3. Personalizzazione del sistema di governance: Alla luce di quanto emerso, si procede a affinare il disegno del sistema. Questo significa:

• Adattare la struttura dei processi, in termini di flussi, responsabilità e punti di controllo;
• Definire misure di controllo e indicatori di performance compatibili con la realtà aziendale;
• Selezionare gli strumenti di governo (reporting, dashboard, workflow) più coerenti con le risorse e le competenze disponibili.

Il fine di questo passaggio è garantire che il sistema di governance sia concreto, usabile e scalabile, evitando il rischio di progettare un modello troppo astratto o eccessivamente complesso. Raffinare il disegno significa rendere il sistema realmente implementabile, favorendo il suo inserimento fluido nei processi aziendali esistenti e la sua accettazione da parte degli attori coinvolti. In sintesi, è il momento in cui la governance diventa realistica, rilevante e sostenibile.

4. Concludere la progettazione del sistema

Dopo aver analizzato il contesto, definito l’ambito e raffinato il disegno, è necessario dare una forma definitiva al sistema di governance, trasformandolo da un insieme di elementi concettuali a un meccanismo di governo attivo e funzionante. Questa fase rappresenta il momento in cui la progettazione diventa attuabile: si chiudono i cerchi aperti, si risolvono incoerenze, e si costruisce la struttura definitiva con cui il sistema inizierà a operare.

La governance non deve essere intesa come un semplice insieme di processi e documenti normativi. È, piuttosto, una funzione dinamica, che deve sapere guidare, misurare, adattare e correggere nel tempo il funzionamento dell’IT in relazione agli obiettivi dell’impresa.

La conclusione del disegno del sistema di governance prevede tre momenti operativi distinti ma complementari:

1. Risoluzione delle discontinuità e dei conflitti tra obiettivi: In molte organizzazioni emergono tensioni tra priorità diverse, ad esempio tra:

• esigenza di innovazione e necessità di conformità;
• velocità di esecuzione e controllo del rischio;
• autonomia operativa dei dipartimenti e centralizzazione delle policy IT. Questa fase serve a bilanciare tali istanze, stabilendo compromessi funzionali, attribuendo responsabilità chiare e rafforzando i meccanismi di coordinamento tra IT e business.

2. Identificazione delle "focus areas" della governance IT: Non tutte le aree meritano la stessa attenzione. È importante individuare le “focus areas”, ovvero i domini su cui concentrare il presidio e la capacità decisionale della governance. A titolo esemplificativo, le focus areas possono includere:

• Cybersecurity e gestione del rischio IT,
• Compliance normativa e auditabilità,
• Performance dei servizi digitali,
• Innovazione tecnologica e trasformazione digitale,
• Continuità operativa e disaster recovery. Questo consente di evitare la dispersione di risorse e focalizzare gli sforzi dove possono generare impatto reale

3. Definizione dei meccanismi operativi di governo: Un buon disegno di governance si riconosce dalla chiarezza dei suoi meccanismi operativi. In questa fase si stabiliscono:

• Responsabilità organizzative: chi governa, chi controlla, chi esegue;
• Cicli di monitoraggio e reporting: frequenza, indicatori, destinatari;
• Modalità di revisione e aggiornamento del sistema: con quali criteri, con quale regolarità, in risposta a quali eventi. Si tratta di disegnare una governance viva, capace di apprendere e migliorare nel tempo..

L’obiettivo di questa fase conclusiva è trasformare una visione strategica in un sistema operativo coerente, pronto per essere applicato, monitorato e perfezionato nel tempo.

Concludere la progettazione non significa “chiudere il progetto”, ma dare il via alla sua evoluzione controllata, assicurando che il sistema di governance non resti un esercizio teorico, ma diventi una leva concreta per guidare l’IT in modo trasparente, misurabile e allineato agli obiettivi dell’impresa.

Dal supporto operativo alla leadership trasformativa, l’IT come che guida il cambiamento

Nel contesto attuale, l’IT ha cessato di essere una funzione meramente di supporto. Oggi è parte integrante e pervasiva del tessuto organizzativo: presente in ogni processo, in ogni servizio, in ogni relazione con clienti, partner e istituzioni. Questa pervasività rende l’IT non solo un abilitatore tecnico, ma un co-protagonista effettivo della strategia aziendale.

Una governance IT ben progettata permette all’IT di superare il semplice allineamento formale con il business, per assumere un ruolo attivo nel guidare il cambiamento, offrendo:

• Direzione strategica, orientando le scelte digitali verso ciò che crea valore;
• Coerenza operativa, integrando la tecnologia nei flussi decisionali aziendali;
• Trasparenza e accountability, attraverso strutture di controllo, indicatori e reporting;
• Capacità trasformativa, facilitando l’evoluzione dei modelli operativi e di servizio.

L’IT, se adeguatamente governato, diventa così il vettore principale attraverso cui l’organizzazione realizza la propria trasformazione digitale, sostenendola lungo tutto il percorso: dall’ideazione alla delivery, fino alla misurazione dell’impatto.

Conclusioni: IT Governance come leva strategica e fondamento del valore digitale

Progettare un sistema di IT Governance non è un’esercitazione astratta né un obbligo formale. È un’azione strategica ad alto impatto che consente di tradurre la visione aziendale in pratiche concrete, di mettere ordine nella complessità tecnologica e di guidare in modo consapevole la trasformazione digitale.

In un’organizzazione moderna, l’IT è dappertutto: nei processi core, nei canali di comunicazione, nella gestione dei dati, nella sicurezza delle informazioni, nella relazione con gli stakeholder. Non è più possibile concepire la strategia d’impresa senza includere l’IT come leva strutturale.

Per questo motivo, la governance dell’IT non può essere lasciata al caso o limitata alla compliance: deve essere pensata, disegnata, implementata e rivista ciclicamente, affinché resti aderente all’evoluzione degli obiettivi aziendali.

In definitiva, la domanda che ogni CIO dovrebbe porsi è se l’IT nella propria organizzazione sta supportando passivamente il cambiamento… o lo sta attivamente guidando? La risposta passa dalla qualità della governance.