Blog

Risk governance: chi deve fare cosa (il ruolo di IT e operation)

23 aprile 2020

Quando si parla di Risk governance spesso – anche in presenza di un piano strutturato per l'individuazione e la mitigazione dei rischi operativi – non è semplice definire con precisione il ruolo di IT e operation, e soprattutto gli ambiti a cui devono fare riferimento le competenze e le responsabilità di ciascuna delle due macrocategorie aziendali. Chi deve fare cosa? Quali sono i task che i responsabili dei sistemi informativi e le risorse che hanno il compito di disegnare e supervisionare i processi devono rispettivamente affrontare? In che modo la progressiva digitalizzazione delle attività influisce sui rapporti di forza tra le due tipologie di funzioni sul piano della gestione del rischio? 

 

Risk governance: i confini labili tra IT e operation 

Rispondere a queste domande è tutt'altro che semplice: come chiunque può sperimentare quotidianamente in azienda, i confini tra IT e operation sono sempre più labili e le azioni intraprese su un fronte e sull'altro sono sempre più interdipendenti tra loro. Un'implementazione dei sistemi informativi genera inevitabili ricadute sul modo in cui funzionano i processi e, viceversa, nuove modalità operative hanno impatti spesso anche molto significativi sui network. Basta pensare a quello che sta accadendo in questi giorni in Italia e nel mondo: il lockdown imposto per limitare il contagio da Coronavirus consente di operare solo alle aziende che hanno predisposto piani e strumenti in grado di garantire il distanziamento sociale tramite il lavoro da remoto. E molte organizzazioni, per sopravvivere, si sono adattate, a volte letteralmente improvvisando programmi di smart working basati sull'utilizzo dei dispositivi personali dei collaboratori. Inutile qui specificare cosa questo può comportare per i sistemi IT sotto il profilo del cyber risk. Ecco perché parlare di distinzione netta dei ruoli nella governance del rischio ha sempre meno senso. Decisamente più utile è, invece, maturare una visione olistica, come tra l'altro prescrive, per l'ambito finanziario, la circolare 285 della Banca d'Italia. 

 

Creare una piattaforma di valori e criteri comuni per la risk governance 

Naturalmente anche provare a far convergere istanze tanto diverse come quelle che contraddistinguono l'IT e le operation è un esercizio piuttosto complesso: ci sono oggettivamente degli scogli culturali determinati da background fondamentalmente diversi: da una parte si trovano tecnici, informatici e ingegneri, dall'altra manager, economisti giuristi. Molto spesso, nonostante sussistano le migliori intenzioni per favorire la collaborazione, si cade nella tentazione di ragionare ognuno nella maniera confacente alla propria natura, finendo per adottare metriche di giudizio e sensibilità differenti e per produrre risultati non lineari. Per avere una governance realmente efficiente, occorre dare vita a una piattaforma di valori, giudizi e criteri comuni, capace di riconciliare le verticalizzazioni tipiche del versante tecnologico con le esigenze squisitamente operative.  

 

Condividere la conoscenza per individuare un punto di convergenza univoco 

Quella della piattaforma di valori è una metafora che trova pieno riscontro nella soluzione che può fungere da punto di convergenza tra i due mondi: una dashboard che metta a disposizione di IT e operation anagrafiche e metodologie comuni, fondamentali per non duplicare le informazioni sulle quali impostare una corretta risk governance e per azzerare, eliminando le ridondanze, i disallineamenti rispetto agli standard e alle metriche adottate nella linea grigia sottesa tra i due versanti. Adottando le stesse metriche e le medesime griglie di ragionamento in termini di impatto dei rischi informatici nel mondo operativo e rispetto alla compliance, si troverà per esempio un punto di convergenza univoco, oltre che tangibile e misurabile, nelle sanzioni economiche a cui l'organizzazione può andare incontro in caso di incidenti cyber. Si vengono così a creare collegamenti impliciti tra le azioni intraprese dalle varie funzioni che attivano a loro volta sinergie che migliorano i processi di valutazione del rischio attraverso la condivisione della conoscenza. 

White Paper - Una guida pratica per l’IT Manager

Topic: Sicurezza Informatica