• Bookmark

Affrontare sostenibilità e responsabilità sociale nei processi di governance IT COBIT 5

di Graciela Braga, CGEIT, COBIT Foundation, CPA

COBIT Focus | 26 ottobre 2015 Cinese | Inglese | Francese | Coreano | Portoghese | Spagnolo

Sostenibilità, sviluppo sostenibile e responsabilità sociale sono termini collegati tra loro.


La responsabilità sociale comprende la responsabilità di un'organizzazione per l'impatto delle sue decisioni e attività su società, ambiente ed economia e, di conseguenza, il suo contributo allo sviluppo sostenibile e alla sostenibilità.


Un recente articolo sull'ISACA Journal, “The Time for Sustainable Business Is Now: Leveraging COBIT 5 in Sustainable Businesses,” presenta ciò che il COBIT 5 può fare per la sostenibilità, tra cui:

  • Migliorare la governance. COBIT 5 assicura che tutti gli stakeholder siano identificati e le loro esigenze siano valutate al fine di determinare gli obiettivi di sostenibilità dell'impresa e i conseguenti obiettivi attinenti l'IT.
  • Migliorare la misurazione, il monitoraggio e i sistemi di valutazione. COBIT 5 utilizza indicatori e può adottare gli indicatori esistenti di sviluppo sostenibile quali gli strumenti di gestione a vari livelli e in vari settori, al fine di migliorare il monitoraggio ambientale e i sistemi informativi su scale diverse.
  • Valutare i ruoli degli attori pubblici e privati. COBIT 5 riconosce che i diversi stakeholder hanno esigenze e doveri diversi.
  • Aumentare la resilienza dei sistemi umani e naturali. COBIT 5 suggerisce agli stakeholder le esigenze legate alla sostenibilità e, quindi, permette l'utilizzo dei suoi obiettivi a cascata al fine di garantire l'identificazione degli obiettivi dell'impresa e la valutazione dei possibili rischi che possono ostacolare il loro conseguimento. Pertanto il processo IT implementato sarà in grado di fornire risultati anche se i fattori di rischio si materializzano e le condizioni non sono le migliori.

Questo articolo si concentra sui processi di governance di COBIT 5 dell'IT delle imprese (governance of enterprise IT, GEIT) e propone come le pratiche e le attività di governance possono essere adattate per trovare il bilanciamento fra l'IT e gli aspetti ambientali, sociali ed economici.


Ambito dei processi di governance IT di COBIT 5

Il Consiglio di Amministrazione (CdA) prende o approva tutte le principali decisioni in materia di sostenibilità e responsabilità sociale. Il dominio della GEIT in COBIT 5 consta di 5 processi di governance; all'interno di ciascun processo sono definite le pratiche per valutare, dirigere e monitorare (evaluate, direct and monitor. EDM). Al fine di includere gli aspetti ambientali, sociali ed economici, le organizzazioni devono ripensare alcune pratiche e attività:


EDM01 Garantire l'impostazione e la manutenzione del framework di governance:

  • Qual è il grado di importanza della sostenibilità e della responsabilità sociale nel contesto economico?
    • Identificare i fattori interni ed esterni ambientali (obblighi legali, normativi e contrattuali) e le tendenze relative a sostenibilità e responsabilità sociale negli ambienti di business.
    • Determinare l'importanza delle problematiche IT e quelle connesse a sostenibilità e responsabilità sociale
    • Considerare la partecipazione a gruppi di lavoro locali e riconosciuti a livello internazionale per identificare tendenze, rischi, nuovi framework normativi, pratiche e percezioni.
  • Chi sono gli stakeholder?
    • Esterni: governo, autorità di regolamentazione, società in termini generali (compresa la società futura), azionisti, partner commerciali, clienti, fornitori, consulenti e revisori esterni
    • Interni: CdA, riporti di primo livello, dirigenti, responsabili di processi aziendali, manager e utenti IT, responsabili della compliance, responsabili delle risorse umane (HR), revisori interni e personale
  • Quali sono i principi di sostenibilità e di responsabilità sociale che guideranno la definizione della governance e del processo decisionale dell'IT?
    • Prendere in considerazione la conformità con requisiti legali e altri requisiti, uso e consumo delle risorse (naturali e non naturali) e l'impatto su ambiente, risorse naturali, economia, sviluppo economico, occupazione, eliminazione della povertà e salute e sicurezza pubblica e dei lavoratori.
  • Quali sono i requisiti per quanto concerne la struttura, il processo decisionale, la comunicazione e l'impegno?
    • Includere e coordinare le problematiche di sostenibilità e responsabilità sociale correlate con l'IT in tutti i comitati: risk management, conformità o audit, nomine e la remunerazioni e, naturalmente, i comitati per la sostenibilità e responsabilità sociale. Arrivare ad un accordo con il responsabile della sostenibilità o il dirigente preposto per iniziare a creare una leadership informata e impegnata.

EDM02 Assicurare l'erogazione dei benefici:

  • Quali aspetti di sostenibilità e responsabilità sociale costituiscono un valore per gli stakeholder e per l'azienda? Sono state considerate le esigenze delle generazioni sia attuali sia future? Qual è la portata di tali aspetti sulle problematiche legate all'IT?
  • Tale valore atteso è stato preso in considerazione quando sono stati stabiliti i contributi di iniziative, servizi e beni resi disponibili dall'IT al valore aggiunto globale dell'impresa? Sono stati considerati gli utilizzi attuali e futuri dell'IT?
  • Tale valore atteso è stato comunicato, capito e applicato correttamente nel processo decisionale attinente l'IT?

EDM03 Assicurare l'ottimizzazione del rischio:

  • Quali aspetti di sostenibilità e responsabilità sociale costituiscono un rischio per gli stakeholder e per l'azienda? Quali sono le loro propensioni e tolleranze al rischio? Sono state considerate le esigenze delle attuali e future generazioni? Qual è la portata di tali aspetti sulle problematiche legate all'IT?
  • Le conseguenze dei rischi sono continuamente valutati per tutte le iniziative, servizi e beni resi disponibili dall'IT? Sono stati considerati gli utilizzi attuali e futuri dell'IT?
  • Tali rischi, limiti e conseguenze sono stati comunicati, capiti e applicati correttamente nel processo decisionale attinente l'IT?

EDM04 Assicurare l'ottimizzazione delle risorse:

  • Le esigenze di risorse sono soddisfatte in modo sostenibile?
  • I principi della gestione sostenibile correlati all'uso delle risorse sono stati presi in considerazione per consentire l'uso ottimale delle risorse IT all'interno di tutto il loro ciclo di vita economico?
  • Gli obiettivi e le metriche della sostenibilità sono state incluse nel processo di monitoraggio della gestione delle risorse?

EDM05 Assicurare la trasparenza agli stakeholder:

  • Le problematiche di sostenibilità e di responsabilità sociale connesse all'IT sono state integrate nelle comunicazioni formali dell'azienda? Le esigenze di informazione degli stakeholder sono state soddisfatte?

Conclusioni

La governance implica la valutazione, la conduzione e il monitoraggio dell'utilizzo attuale e futuro dell'IT nell'impresa. Ciò comporta di prendere in considerazione l'impatto delle decisioni e attività aziendali sulla società, l'ambiente e l'economia, e, di conseguenza, il suo contributo allo sviluppo sostenibile e alla sostenibilità. COBIT 5 consente e facilita un approccio strutturato ai necessari processi di valutazione e decisionali.


Graciela Braga, CGEIT, COBIT Foundation, CPA

È un'esperta di audit interno ed esterno che effettua revisioni per conto di enti pubblici e privati che utilizzano framework internazionali quali COBIT, COSO e la serie ISO 27000. Ha partecipato alla preparazione e revisione di prodotti ISACA® e la ricerca relativa a COBIT, privacy e big data e ai benefici per le aziende. È l'autrice dell'articolo sull'ISACA Journal, "The Time for Sustainable Business Is Now: Leveraging COBIT 5 in Sustainable Businesses”. Ha anche scritto l'articolo su COBIT Focus article “COBIT 5 Applied to the Argentine Digital Accounting System.”