IT governance

Con governo dell'IT^[1][2], o equivalentemente nella forma inglese IT governance, si intende quella parte del più ampio governo d'impresa^[3] che si occupa della gestione dei sistemi TI (ossia di Tecnologia dell'Informazione^[4]) in azienda; il punto di vista della IT governance è rivolto alla gestione dei rischi informatici e all'allineamento dei sistemi alle finalità dell'attività. Il governo d'impresa si è molto sviluppato in seguito ai recenti sviluppi normativi in USA (Sarbanes-Oxley) ed Europa (Basilea II) che hanno avuto notevoli ripercussioni anche sulla gestione dei sistemi informativi. L'attività di analisi attraverso cui si perseguono questi obiettivi è l'IT auditing (revisione IT).

Definizioni

In letteratura sono disponibili diverse definizioni, secondo l'IT Governance Institute: «L'IT Governance è responsabilità diretta del consiglio di amministrazione e del management esecutivo. È parte integrante della governance aziendale ed è costituita dalla direzione, dalla struttura organizzativa e dai processi in grado di assicurare che l'IT sostenga ed estenda gli obiettivi e le strategie dell'organizzazione.»^[5]

Un'altra definizione è:«L'IT Governance può essere definita come la capacità organizzativa esercitata dal consiglio, dai manager esecutivi e dai manager IT di controllare la formulazione e l'implementazione di una strategia IT e di assicurare un'integrazione tra business e IT.»^[6]

Finalità

Gli obiettivi principali dell'IT governance sono:

• assicurare che gli investimenti IT generino valore per l'azienda
• gestire e mitigare i rischi associati con l'IT.

Questi obiettivi possono essere raggiunti definendo e realizzando una struttura organizzativa in azienda con ruoli e responsabilità ben chiari per quanto riguarda i temi correlati ai sistemi informativi: sicurezza, processi aziendali, infrastruttura, analisi dei rischi, applicazioni, ecc.

Framework

Sono stati realizzati diversi framework(schemi) concettuali per un corretto approccio ai temi dell'IT governance.

I principali sono:

• “Board Briefing on IT Governance” a cura dell'IT Governance Institute (ITGI) che ha poi sviluppato il tema attraverso le pubblicazioni della serie “Val IT”
• “Control Objectives for IT” (COBIT) a cura di ISACA che approfondisce il tema del controllo e della sicurezza dei processi aziendali interessati all'IT.
• "L'IT Infrastructure Library" (ITIL) sviluppato dall'United Kingdom's Office of Government Commerce in partenariato con l'IT Service Management Forum.
• ISO 20000, uno standard internazionale sviluppato per fornire una base comune ed accettata a livello internazionale nel campo della gestione dei servizi IT. È emesso dall'ISO (International Organization for Standardization)
• ISO 27000, una serie di standard dedicati al vasto tema della sicurezza dei sistemi informativi. È emesso dall'ISO (International Organization for Standardization) e dallo IEC (International Electrotechnical Commission).
• Il CMMI (Capability Maturity Model Integration), una migliore pratica per il perfezionamento dei processi focalizzato sui processi di sviluppo e manutenzione, supporto prodotti e servizi. Pubblicato dal SEI (Software Engineering Institute).
• Il PMBOK (Project Management Body of Knowledge), una guida che raccoglie la conoscenza disponibile nel campo del Project Management, emessa dal PMI (Project Management Institute)