Organizzazione aziendale

Il ruolo del CIO nella corporate governance

Può un CIO limitarsi a delegare tutte le attività della funzione IT? Le attività operative sono fuori dal suo ruolo ma non i controlli sulle performance della gestione dell’IT. L’eccesso di delega si recupera aggiornandosi sulle evoluzioni tecnologiche, sui trend di mercato, sui framework internazionali, ma anche affidandosi a una organizzazione snella

Pubblicato il 08 Giu 2021

CIO

Il profilo del Chief Information Officer (CIO) si è evoluto nel tempo, sia come competenze richieste che come percezione dell’azienda verso questo profilo professionale. L’origine era legata a un profilo certamente tecnico, ma con capacità di capire il pensiero dell’azienda e il senso delle decisioni di business. Era l’interlocutore dell’alta direzione per tradurre le loro necessità in comandi operativi. In sintesi, il traduttore tra linguaggio di business e linguaggio tecnico. L’attesa aziendale era di non spendere troppo, di non avere troppe interruzioni di servizio, di avere elaborazioni un po’ più veloci e con pochi errori ma soprattutto evitare di parlare di tecnologia perché questa non è il business. Nell’analisi costo-beneficio non c’era spazio per il dettaglio tecnologico.

Cos’è il CIO oggi

Il punto di arrivo attuale è sempre con il CIO come interlocutore dell’alta direzione ma circondato da nuove aspettative. C’è oramai consapevolezza che la tecnologia è parte del business, è trasversale a tutti i processi aziendali ed è il ponte della comunicazione con il mondo esterno. Non si ragiona più sui server necessari ma sui servizi da erogare. La tecnologia dell’informazione è invasiva e deve esserci, ma capire come funziona non è negli interessi dell’azienda. Questo è giusto, difatti conta il risultato e il percorso per ottenerlo, la conoscenza tecnica è fuori percorso (tranne quando è il core business). Lo smartphone si usa senza necessità di conoscerne la tecnologia hardware e software che lo compone. Tuttavia, nelle aziende, la tecnologia delle informazioni deve essere governata (anche se non compresa), a ogni livello, e la responsabilità finale rimane in carico al CIO, mentre le poche aspettative allora rivolte a questo ruolo sono divenute, di fatto, molte. Forse non ben definite.

Il CIO nella corporate governance

I framework della corporate governance vogliono che ogni decisione di business sia sempre giustificata da un’attenta analisi di rischio, beninteso con l’impatto sull’azienda e non solo su una sua componente. L’evoluzione tecnologica e la rilevanza di alcune di queste in azienda, ha introdotto la necessità di posizioni organizzative a elevata specializzazione (CISO, IT Risk Manager, IT Service Manager…) oltre a svariate figure puramente tecniche (webmaster, DBA, Network manager…). Il mercato offre con assiduità nuove soluzioni complete, in ogni ambito, in eccesso alla domanda, infarcite di neologismi e apparentemente allettanti commercialmente.

Le operazioni interne hanno cambiato focalizzazione, dallo sviluppo del codice sorgente, alla configurazione di reti e sistemi fino alla gestione di servizi. Il timore dell’esposizione non autorizzata di informazioni sensibili (su accordi commerciali, sul know-how, sui profili personali, sulle pratiche di sostenibilità, su temi etici aziendali…) ha superato quello del blocco temporaneo delle attività operative.

CIO, il cambio di paradigma rispetto al passato

In altre parole, il CIO, un po’ tecnico e un po’ ragioniere, ha difficoltà a dimostrare di avere il profilo idoneo a gestire correttamente la governance dell’I&T aziendale. L’acronimo I&T, presente su framework internazionali, ben sintetizza il cambio di paradigma rispetto al passato. L’IT era pura information technology, poi l’ICT ha portato la focalizzazione sulla comunicazione dell’informazione e ora la necessità di un approccio olistico nella governance dei processi informativi si riassume in I&T, informazione e tecnologia (di gestione dell’informazione), due entità distinte e interdipendenti. Governo delle informazioni con valore per l’azienda e dei mezzi disponibili per il loro trattamento. Non è perfetto ma qualifica bene il cambiamento di ruolo.

La presenza del modello organizzativo tradizionale, con la funzione IT posizionata in ambito Finance, non fornisce una bella immagine dell’azienda. Questo denota che l’IT è un costo e non una leva competitiva, che non è stato disegnato sui processi aziendali per la crescita del business ma eroga servizi solo al formarsi di specifiche esigenze. Qui il CIO non crea valore per l’azienda e si esprime in termini di saving raggiunti. Peccato, standard e framework, chiedono il miglioramento continuo, suffragato da un’analisi di rischio con visione olistica su tutte le attività dell’azienda e lavoro coordinato e sinergico tra tutti i processi aziendali.

CIO

Il CIO come gestore del servizio I&T

Consideriamo un modello coerente con la visione attuale del CIO come gestore del servizio I&T, in una logica di processi aziendali cooperativi. Il CIO è un senior manager che riporta direttamente al livello più elevato dell’azienda e garantisce l’allineamento delle operazioni della propria struttura agli obiettivi comuni dell’azienda. La complessità dell’organizzazione di gestione delle informazioni richiede il supporto di ulteriori figure manageriali, a riporto diretto sul CIO. Eccone alcune:

  • IT Risk Manager – riporta funzionalmente all’ERM e coordina le attività di risk management finalizzate al processo IT;
  • CISO – ha salita funzionale sul CEO e gestisce le attività di protezione del patrimonio informativo dell’azienda;
  • IT Demand Manager – sono i partner tecnologici dei principali processi aziendali;
  • ERP Governance – cura il disegno logico dei dati affinché sia allineato al disegno del business;
  • IT Customer Care – favorisce un uso consapevole dei servizi IT disponibili;
  • Enterprise Network Manager – assicura prestazioni rispondenti ai requisiti aziendali e così via.

Il CIO, per gestire queste posizioni deve avere competenze multiple, non a livello expert, ma sufficienti per comprendere lo scenario tecnico, le esigenze di business, i principali framework e metodologie applicabili e anche le leggi principali che impattano sul business. Lo scenario aziendale è sempre abbastanza variegato di attività particolari da definire, sviluppare, erogare e controllare, che esigono da parte dell’IT nuove o più profonde conoscenze. È vero che ci sono figure operative specializzate che vengono in soccorso, interne o esterne, ma è necessario avere le giuste competenze e il senso critico per capire se rispondono alle richieste aziendali e se il profilo di rischio della soluzione è compatibile con la propensione al rischio dell’azienda. Tra i rischi concreti esiste l’eccesso di delega da parte del CIO, spesso giustificato dalla mancanza di tempo ma anche da un probabile gap di conoscenza.

Separare il processo di controllo dalla gestione operativa

Per poter agire efficacemente, si deve avere la capacità di separare il processo di controllo da quello di gestione operativa. Quest’ultima si delega ma il controllo si governa in prima persona perché fa parte dei doveri della propria accountability. A tale scopo, è fondamentale definire una collaborazione sinergica con altre funzioni aziendali, in particolare l’ERM e l’Internal Audit. L’ERM aiuta nella verifica della maturità dei processi e l’Internal Audit garantisce l’allineamento delle performance monitorate con le attese stabilite dagli obiettivi aziendali. Per creare valore in un ruolo così ampio sono richieste competenze adeguate sia a livello manageriale che operativo. Detto così sembra lo stesso di prima, ma l’operatività si è evoluta nella continua innovazione tecnologica, nella complessità dei servizi e la corporate governance ha definito strutture e interconnessioni sempre più articolate.

Consideriamo l’ERP: è il sistema integrato nei processi aziendali e non più un semplice database dei dati gestionali aziendali. Non ha importanza che sia in outsourcing nel cloud computing o gestito internamente nel sottoscala dell’azienda. In entrambi i casi l’accountability della garanzia del rispetto del livello di servizio stabilito dall’azienda va esercitata completamente dal CIO. Non è sufficiente un comitato di ERP Governance per poter mediare tra le pressioni di cambiamento esercitate dai fornitori esterni e la spinta della competenza degli utenti di business. Il comitato manca dell’autorità e delle informazioni del livello di un senior manager (obiettivi aziendali) e il rischio si concretizza in un servizio IT, spinto dai fornitori o trainato dagli utenti, ma difficilmente allineato al valore atteso dall’azienda. In questo caso, il CIO non rispetta le responsabilità del suo mandato.

Conclusioni

Il CIO crea valore se riesce a mediare, nel rispetto degli obiettivi aziendali, tra gli interessi operativi degli utilizzatori di servizi o dei fornitori. Diversamente, ad esempio, un CIO che durante l’opening meeting di un audit legge solo la presentazione generale dell’azienda e poi delega interamente la narrazione delle attività IT ad altri, deve onestamente ripensare alle proprie capacità. L’eccesso di delega si recupera aggiornandosi sulle evoluzioni tecnologiche, sui trend di mercato, sui framework internazionali, ma anche affidandosi a una organizzazione snella (riduzione di complessità), monitorando le prestazioni (se in linea con la risposta al rischio), incentivando la collaborazione e la comunicazione tra i processi. Sempre tenendo la bussola orientata sugli obiettivi aziendali.

L’adeguatezza delle competenze acquisite, in linea all’evoluzione continua del business e del mercato, non cambiano il ruolo del CIO ma ne accrescono il valore nell’azienda.

Video: Il ruolo del CIO – Microsoft (in inglese con sottotitoli)

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

S
Luigi Sbriz

Articoli correlati