Le organizzazioni devono trovare un equilibrio tra la gestione delle attività correnti e la necessità di cambiamento. Questo richiede di comprendere i rischi sia dei servizi di business correnti sia delle opportunità di cambiamento.
Che cos’è il rischio a livello corporate?
Quando ci si riferisce al rischio a livello corporate, ci concentriamo sugli obiettivi di business o organizzativi, e identifichiamo e gestiamo i rischi che potrebbero influenzare negativamente i risultati di questi obiettivi. Quando si considerano i nostri obiettivi e le attività associate alla loro consegna, abbiamo bisogno di pensare a tutto quello che potrebbe accadere. Questo elemento di incertezza è definito come rischio.
Sfortunatamente, quando ci si riferisce al rischio, la maggior parte delle persone pensa a qualcosa di negativo – dimenticandosi che potrebbero verificarsi anche fatti positivi! BS31100 (lo Standard Britannico per il risk management) riconosce queste opportunità, e stabilisce che il risk management ha sia la funzione di sfruttare al meglio le opportunità potenziali sia quella di prevenire potenziali problemi. Le organizzazioni hanno bisogno di capire nel complesso quali sono le minacce e le opportunità (cioè il corporate risk) che affrontano e che devono tenere in considerazione quando devono prendere delle decisioni.
Si potrebbe arrivare alla conclusione che si tratti di semplici buone pratiche di business che hanno il compito di assicurare la protezione dell’azienda. Semplificando, questo è il significato di corporate governance: mettere in pratica azioni per proteggere l’azienda. Ogni organizzazione, grande o piccola, ha un proprio metodo di corporate governance – non ne sono provviste solo quelle con un grande numero di shareholders. Essenzialmente, la corporate governance è il modo in cui la governance (cioè i controlli interni) viene adottata e adattata per proteggere l’organizzazione nelle attività che deve svolgere. Negli anni recenti, la responsabilità della corporate governance ricade sui membri del board direttivo e degli executives.
L’implementazioni di alcune best practices può assistere il management nell’esercitare alcune forme di governance e di due diligence, nel monitorare le attività quotidiane e nello stabilire la strategia per il futuro. L’IT governance è una parte della corporate governance, che si focalizza sui sistemi IT e sulla loro performance e controlli interni.
Per approfondire leggi anche: Le 4 componenti del Project Risk Management
Governance, ITIL e M_o_R
Se la corporate governance è una buona pratica di business, una diretta conseguenza è che l’IT ha un suo ruolo da svolgere – in modo particolare per quanto riguarda il service management, dove l’IT governance può stabilire chiari ruoli e responsabilità.
ITIL può fornire assistenza nel supportare un framework di governance per l’infrastruttura IT di un’organizzazione.
M_o_R (Management of Risks) può assistere un’azienda nell’identificare i rischi della sottostante infrastruttura IT e nello stabilire la governance (controlli interni) richiesti per gestire i rischi dell’organizzazione.
Sia ITIL che M_o_R fanno riferimento al modello RACI (responsabile, affidabile, consultato e informato) come mezzo per identificare i ruoli e le responsabilità all’interno di un’organizzazione.
ITIL è considerato il framework chiave per il service management, e fornisce una buona base per capire ciò che potrebbe essere un rischio all’interno dei nostri servizi. ITIL fornisce numerosi riferimenti sul rischio e su come questo è gestito nel contesto del service management. Il ciclo di vita del servizio ITIL inizia con il Service Strategy. Il Service strategy è il fulcro del ciclo di vita del servizio, è il livello al quale si considerano la strategia (di gestione) organizzativa, i mercati e i prodotti offerti, le sfide e ai rischi associati.
Questo dimostra che, anche se inizialmente potremmo non capirlo, ITIL ha alcune pratiche di risk management integrate per tutto il ciclo di vita del servizio. In M_o_R c’è un concetto simile durante il processo di identificazione. Lo scopo di questo processo è di assicurare che un’organizzazione e i suoi obiettivi e l’ambiente nel quale opera, siano capiti compresi a fondo.
Sia ITIL che M_o_R fanno riferimento ai bisogni della strategia dell’organizzazione per considerare gli aspetti positivi e negativi del cambiamento.
Perchè un’organizzazione dovrebbe gestire il rischio a livello corporate?
Queste pratiche, procedure e politiche di controllo interno hanno lo scopo di salvaguardare gli asset di una organizzazione. Tuttavia è impossibile eliminare tutti i rischi a livello corporate di un’azienda. Per sopravvivere e creare più valore all’interno dell’organizzazione è necessario assumersi dei rischi, ma questi devono essere compresi a fondo e gestiti adeguatamente.
La relazione tra rischio a livello corporate e ITIL
ITIL è internazionalmente riconosciuto come la best practice per l’IT service management. L’IT è un componente fondamentale del mondo moderno ed oggi è parte dell’infrastruttura della maggior parte delle aziende.
La nuova versione riconosce l’idea che la consegna dei servizi IT può essere considerata come un valore strategico per un’azienda. ITIL supporta il rischio a livello corporate nelle seguenti aree:
- Problem management
- Change management
- Service delivery
- Availability management
- IT service continuity
La guidance della best practice ITIL fornisce assistenza e supporto anche dal punto di vista operativo chiarendo la prospettiva del cambiamento attraverso il change management.
Il cambiamento è necessario per sopravvivere ed è una delle sfide chiave per le aziende moderne per quanto riguarda la gestione del rischio (associato al cambiamento stesso), il che aggiunge ulteriore pressione per giungere a nuove ed innovative soluzioni IT.
La cultura di una organizzazione influisce sul modo in cui essa opera e su come gestisce l’IT e il rischio a livello corporate. Adottare ITIL e M_o_R, se completamente integrati all’interno della cultura aziendale e se standardizzati e documentati, consentirà di adottare buone pratiche che porteranno benefici significativi.
Assicurare che il risk management sia implementato all’interno del framework ITIL assicura che i rischi siano identificati il prima possibile. In alcuni casi, questo potrebbe evidenziare l’esistenza di rischi inaccettabili e il programma potrebbe essere chiusi durante lo studio di fattibilità, limitando i costi da sostenere per l’azienda.