Regole Semplici per la Governance IT: Una Bussola per i Consigli di Sorveglianza

• Autore: Lodewijk Bonebakker
• Titolo Originale: SIMPLE RULES FOR IT GOVERNANCE

L’Information Technology (IT) non è più un semplice strumento di supporto, ma è intrinsecamente intrecciata nel tessuto operativo e strategico di ogni azienda. Eppure, la portata di questa dipendenza e i rischi operativi ad essa associati sono spesso sottovalutati dai vertici aziendali, in particolare dai consigli di gestione e sorveglianza. Questa disconnessione può portare a fallimenti IT costosi e dannosi.

Partendo da oltre 25 anni di esperienza nel settore e dalla partecipazione a programmi di formazione per consigli di sorveglianza, Lodewijk Bonebakker evidenzia una sorprendente mancanza di linee guida pratiche sulla governance IT a livello di board. L’obiettivo di questo documento è chiaro: aiutare a dissipare la “tecno-ansia” e fornire un set di “regole semplici” per migliorare le discussioni e la supervisione dell’IT da parte dei consigli di sorveglianza.

Il punto centrale è che molti fallimenti IT non derivano dalla complessità tecnologica intrinseca, ma da lacune nella governance e da fattori umani – una sottovalutazione del rischio, una pianificazione inadeguata o una mancanza di chiarezza sulla responsabilità. Il valore non è nella tecnologia in sé, ma in come viene applicata e gestita per servire gli obiettivi di business.

Per illustrare i rischi, l’autore presenta diversi casi di studio pubblici di fallimenti IT con conseguenze significative:

• Southwest Airlines (2022): Un sistema di gestione dell’equipaggio obsoleto non regge il carico durante una tempesta invernale, causando migliaia di cancellazioni, perdite finanziarie enormi e danni reputazionali. La lezione: la mancanza di investimento nella modernizzazione IT e l’assenza di un’adeguata executive ownership a livello di board.
• Migrazioni Bancarie (es. TSB, Mizuho): Tentativi costosi e spesso fallimentari di migrare sistemi core basati su tecnologie datate come COBOL, a causa della perdita di competenze, mancanza di business case solidi e sottovalutazione della complessità delle dipendenze.
• Problemi con gli ERP (es. Revlon, Lidl): Implementazioni ERP fallite che hanno portato a perdite di vendite, cali del prezzo delle azioni e cause legali. Fattori comuni: aspettative irrealistiche, analisi inadeguata, mancanza di business ownership chiara e “sunk cost fallacy” (continuare a investire in progetti fallimentari).
• Problemi degli E-tailer (es. ASOS, J. Crew): Aziende che scalano rapidamente accumulando “debito tecnico” (codice e infrastrutture fragili) non gestito attivamente. Risultato: interruzioni del servizio durante picchi di domanda, problemi di checkout, perdita di fiducia dei clienti. La lezione: l’importanza della manutenzione del software e di una business ownership equilibrata tra nuove funzionalità e stabilità.

Questi casi dimostrano che i problemi IT sono spesso problemi di business mascherati, che richiedono la supervisione attiva e informata del consiglio.

Le Sette Regole Semplici per la Governance IT

Partendo da queste lezioni, dalla letteratura e dalla propria esperienza, l’autore propone un set di sette regole semplici. Queste regole non sono un rigido elenco di “cosa fare”, ma piuttosto una guida flessibile nello spirito del “comply or explain” (rispetta le regole o spiega perché hai scelto diversamente) per facilitare discussioni significative tra i consigli di gestione e sorveglianza:

1. Un Esecutivo con Responsabilità IT: Il consiglio di gestione deve avere un esecutivo che possiede le operazioni e il rischio IT, con la necessaria autorità, tempo e capacità per supervisionarli.
2. Un Padrone del Business per i Progetti Consequenziali: Per ogni progetto IT di impatto significativo (“consequential”), deve esserci un esecutivo del business (diverso dal responsabile IT) con l’autorità per guidare e decidere.
3. Un Business Case Solido per ogni Progetto Consequenziale: Ogni progetto IT importante richiede un business case dettagliato che descriva l’allineamento strategico, l’ambito, gli obiettivi, una valutazione di criticità, un’analisi del ROI (a 1x, 2x, 5x del costo stimato) e la valutazione dei rischi previsti con le relative mitigazioni.
4. Valutazione di Criticità per Ogni Applicazione: Per ogni applicazione IT in uso, deve esistere una valutazione di criticità che includa una mappa delle dipendenze, piani di sviluppo/manutenzione a 2 e 5 anni, un piano di sicurezza, un’analisi della scalabilità, una definizione chiara di “sistema non funzionante” con stima del costo orario del downtime, e un piano di business continuity e disaster recovery. È come avere un medico che monitora costantemente la salute dei sistemi vitali dell’azienda.
5. Business Ownership per le Applicazioni Interne: Per le applicazioni sviluppate o adattate internamente, deve esserci un “padrone” nel business (diverso dal responsabile IT) che decida la roadmap delle funzionalità, le priorità, il profilo di rischio/sicurezza, sia responsabile del ROI e abbia un chiaro processo di feedback con gli stakeholder.
6. Comunicazione Costante sull’Intento: L’esecutivo business owner e il responsabile IT devono comunicare regolarmente e ribadire l’intento di ciascun progetto o applicazione, promuovendo consapevolezza, senso di responsabilità e comunicazione in tutta l’organizzazione. Pensiamo a un direttore d’orchestra che chiarisce la visione musicale all’intera orchestra.
7. Revisione Annuale: Ogni progetto e applicazione IT deve essere rivisto almeno annualmente rispetto a queste regole per valutarne la pertinenza e la necessità di revisioni critiche.

L’autore testa l’applicabilità di queste regole semplici contro un caso recente: il cyber-attacco che ha bloccato il fornitore di software per concessionari auto CDK Global nel giugno 2024. Riflettendo su questo incidente attraverso la lente delle regole, diventa evidente come discussioni basate sulle regole 3 (business case), 4 (valutazione di criticità, dipendenze, continuità operativa) e 7 (revisione) avrebbero potuto sollevare domande critiche sulla sicurezza, la business continuity e la dipendenza da un fornitore unico prima che il disastro accadesse.

Conclusione: Governare l’IT come un’Impresa Umana

In sintesi, le “Regole Semplici per la Governance IT” offrono ai consigli di sorveglianza uno strumento pratico per affrontare un’area sempre più critica ma spesso trascurata della supervisione aziendale. Non sono una soluzione magica, ma una struttura per avviare conversazioni informate e proattive.

La governance IT è, fondamentalmente, un’impresa umana. Riguarda la definizione chiara delle responsabilità, la comprensione dei rischi e delle opportunità, una pianificazione solida e una comunicazione efficace. Adottando queste regole semplici, i consigli possono spostare il focus da una reazione ai problemi a una gestione strategica e preventiva dell’IT, trasformandolo da potenziale fonte di crisi in un motore affidabile per il successo e la crescita a lungo termine.