Nei consigli di amministrazione italiani c'è una domanda che rimane troppo spesso senza risposta: chi è responsabile della tecnologia? Non chi la gestisce operativamente — quello è compito del CIO — ma chi si assume la responsabilità di governarla, di assicurarsi che serva davvero gli obiettivi aziendali e non stia creando rischi incontrollati. La risposta è il board. La ISO/IEC 38500 è lo standard internazionale che dice al consiglio di amministrazione come esercitare questa responsabilità in modo strutturato.
Cos'è ISO/IEC 38500 e a chi è rivolta
Prima di tutto, un equivoco da chiarire: governance IT e gestione IT sono cose radicalmente diverse, e confonderle è tra le cause principali dei fallimenti tecnologici nelle organizzazioni.
La gestione IT riguarda le attività operative: sistemi funzionanti, progetti tecnologici, sicurezza delle infrastrutture. È la responsabilità dei team IT e del CIO.
La governance IT riguarda le decisioni strategiche: quali investimenti tecnologici approvare, come assicurarsi che la tecnologia crei valore, quali rischi sono accettabili. Queste decisioni spettano al board, non ai tecnici.
Le conseguenze di una governance assente sono concrete: investimenti IT non allineati al business, rischi cyber non percepiti dal board, dipendenza da fornitori senza strategia di exit, progetti che costano il triplo del previsto.
La ISO/IEC 38500, la cui prima versione risale al 2008 con revisioni nel 2015, è stata sviluppata per colmare questo gap. Si rivolge esplicitamente ai governing bodies: consigli di amministrazione, comitati esecutivi, proprietari di piccole imprese. Non è una norma per tecnici IT, ma per chi prende decisioni al vertice.
I sei principi: responsabilità, strategia, acquisizione, performance, conformità, comportamento umano
Il cuore della ISO/IEC 38500 sono sei principi di governance IT che il board deve applicare nel valutare l'uso della tecnologia.
1. Responsabilità. Ogni persona e ogni gruppo deve capire e accettare la propria responsabilità rispetto all'IT. Chi ha la responsabilità deve avere anche l'autorità per esercitarla. Nella pratica, molte organizzazioni hanno aree grigie in cui tutti si sentono responsabili dell'IT ma nessuno lo è davvero.
2. Strategia. La strategia IT deve essere allineata con quella di business, attuale e futura. Il board deve assicurarsi che i piani IT siano integrati nella pianificazione strategica, non sviluppati autonomamente dall'IT. Significa che il CIO deve partecipare alla pianificazione strategica e che il board deve capire abbastanza la tecnologia per valutare se la strategia proposta è credibile.
3. Acquisizione. Gli investimenti IT devono essere approvati per ragioni valide e basate su analisi appropriate. Le decisioni di acquistare tecnologia devono basarsi su una chiara comprensione del valore atteso, del costo totale di proprietà e dei rischi. Non si approva un investimento solo perché "il mercato va in quella direzione".
4. Performance. L'IT deve essere adeguato allo scopo e fornire i servizi e i livelli di qualità richiesti. Il board deve assicurarsi che esistano meccanismi per monitorare le prestazioni IT rispetto agli obiettivi e che i problemi vengano affrontati tempestivamente.
5. Conformità. L'IT deve essere conforme a tutte le leggi e i regolamenti applicabili. Con la proliferazione di normative che impattano sulla tecnologia — GDPR, NIS2, DORA — la conformità è diventata un tema critico di agenda del board, non un dettaglio delegabile.
6. Comportamento umano. Le policy e le pratiche IT devono rispettare il comportamento umano e le esigenze di tutte le persone coinvolte. Sistemi di monitoraggio dei dipendenti, algoritmi nelle decisioni HR, accessibilità dei servizi digitali: sono tutti ambiti in cui l'impatto sulle persone deve essere valutato dal board.
Evaluate, Direct, Monitor: il modello EDM
La ISO/IEC 38500 descrive un modello operativo per la governance IT basato su tre attività che il board deve esercitare in modo continuo: Valutare (Evaluate), Dirigere (Direct) e Monitorare (Monitor), noto come modello EDM.
Valutare (Evaluate). Il board deve valutare continuamente l'uso attuale e futuro dell'IT, considerando le pressioni degli stakeholder e le esigenze dell'organizzazione. Questo richiede che il board riceva informazioni regolari e significative sull'IT: non dettagli tecnici incomprensibili, ma indicatori gestionali che permettano di rispondere a domande come: l'IT sta creando valore? I rischi sono sotto controllo? Le aspettative degli stakeholder sono soddisfatte?
Dirigere (Direct). Il board deve dirigere la preparazione e l'implementazione di piani e policy IT. Non significa micro-gestire l'IT, ma stabilire una direzione chiara: priorità strategiche, principi guida, investimenti autorizzati, rischi accettabili. La direzione si materializza in delibere, policy approvate, obiettivi assegnati al management.
Monitorare (Monitor). Il board deve monitorare la conformità ai requisiti di performance dell'IT, inclusa la conformità normativa. Il monitoraggio richiede KPI e KRI per l'IT, riportati al board con cadenza regolare. Se la performance non è in linea, il board deve poter richiedere spiegazioni e azioni correttive.
ISO/IEC 38500 e COBIT: complementarità
La ISO/IEC 38500 non è l'unico framework per la governance IT. COBIT e ITIL si collocano in modo complementare rispetto alla norma.
COBIT, sviluppato da ISACA, è molto più dettagliato e operativo della ISO/IEC 38500. Fornisce pratiche di governance e gestione IT organizzate in processi, obiettivi e metriche. COBIT 2019 può essere visto come l'implementazione pratica dei principi ISO 38500: la norma dice cosa governare, COBIT dice come farlo operativamente.
ITIL si focalizza invece sulla gestione dei servizi IT (ITSM): gestione degli incidenti, delle modifiche, della disponibilità. Opera a un livello ancora più operativo di COBIT e si occupa di gestione IT, non di governance.
L'approccio più frequente per le organizzazioni italiane: ISO 38500 come riferimento per il board, COBIT come framework per il middle e top management IT, ITIL per le pratiche operative dei team tecnici. I tre framework si completano senza contraddirsi.
IT governance per CDA e top management: applicazione pratica
Come si applica concretamente la ISO 38500 nel lavoro quotidiano di un consiglio di amministrazione? Il CIO o Chief Digital Officer deve presentare al board informazioni calibrate per un pubblico non tecnico: indicatori di business, rischi espressi come impatto sul business, proposte di investimento con analisi costi-benefici chiare. L'IT deve essere un punto stabile dell'agenda del board, non un argomento occasionale.
Con la crescente attenzione alla cybersecurity — alimentata da NIS2 e DORA — la governance IT è sempre più un tema di prima fascia. In Italia, molti board ancora trattano la tecnologia come un argomento tecnico delegabile: la ISO 38500 fornisce il vocabolario e la struttura per cambiare questa impostazione.
Un modello di maturità della governance IT — come quello proposto da COBIT — aiuta a valutare il punto di partenza e definire un percorso di miglioramento. Organizzazioni che "non sanno cosa non sanno" sulla propria tecnologia si collocano ai livelli più bassi; quelle con processi strutturati, metriche chiare e un board IT-competent si collocano ai livelli più alti.
FAQ
La ISO/IEC 38500 è certificabile? No. Come molte norme ISO di governance, non prevede certificazione di terza parte. Non esiste quindi un "certificato ISO 38500". La conformità può essere verificata tramite audit interni o assessment di maturità.
Si applica anche alle piccole imprese? Sì, a organizzazioni di qualsiasi dimensione. In una piccola impresa, la governance IT può essere esercitata direttamente dal titolare senza strutture formali elaborate. L'importante è che le decisioni strategiche sulla tecnologia siano prese consapevolmente.
Quante volte il board dovrebbe discutere di IT? Le best practice suggeriscono un reporting trimestrale sulle principali metriche IT come punto di partenza. Nelle organizzazioni dove la tecnologia è critica per il business, l'IT dovrebbe essere all'ordine del giorno ad ogni riunione del board.
Chi dovrebbe presentare i temi IT al board? Tipicamente il CIO o il Chief Digital Officer, con il CISO per i temi di cybersecurity. La presentazione deve usare un linguaggio comprensibile per non tecnici: indicatori di business, rischi in termini di impatto, analisi costi-benefici chiare.
Governare la tecnologia non è un lusso per le grandi organizzazioni: in un'epoca in cui quasi ogni processo aziendale dipende dall'IT, è una responsabilità fondamentale di chi guida qualsiasi impresa. La ISO/IEC 38500 ti offre il metodo per esercitarla con consapevolezza.