Il settore bancario, già fortemente minato in termini di reputazione e fiducia, si trova ad affrontare nuove ed impegnative sfide che comporteranno un profondo cambiamento sia tecnologico che di business. Affrontare queste sfide resistendo al cambiamento e senza una relazione proficua ed efficace fra business e IT può comportare gravi conseguenze per gli istituti bancari. Ecco perché è fondamentale comprendere quanto sia importante remare tutti insieme in maniera coordinata verso il conseguimento degli obiettivi di conformità e di business, privilegiando la relazione e la comunicazione fra business e information technology, affidandosi ad un CIO moderno che sia ammesso ai tavoli decisionali.

Oggi l’informatica è costantemente presente nella vita, soprattutto lavorativa, di chiunque, anche laddove non è immediatamente percepita. Molto semplicemente, è ovunque. Viviamo nell’era della totale digitalizzazione, del mobile, della Internet of Things (cosiddetta “IoT”), in cui pressoché chiunque è contornato di dispositivi ed oggetti che si connettono alla grande rete mondiale. Sempre più persone ed aziende utilizzano questi dispositivi per fare business e ciò sta cambiando profondamente il paradigma del rapporto fra business e information technology (IT).

Eppure tuttora molte realtà bancarie resistono a questo inarrestabile cambiamento. Ancora oggi è possibile avvertire chiaramente quell’arcaica tendenza del business a considerare l’IT come un dipartimento verticale e a tenuta stagna: in molte banche viene accuratamente relegato in consorzi e centri servizi distinti dalla capogruppo, oppure ai piani bassi del quartier generale o addirittura in edifici fisicamente e logisticamente separati dalla direzione centrale.

Lontano dagli occhi, lontano dal cuore, perciò lontano dal business.

I due mondi vivono spesso in contrasto nel cambiamento in atto, coltivando obiettivi e strategie differenti, perpetrando culture obsolete e continuando ad ignorare l’altrui Body of Knowledge (BoK). Questo si può tradurre in incomprensioni, conflitti interni e contese deleterie che contribuiscono a minare ulteriormente la capacità di comunicazione e la reciproca reputazione.

In uno scenario economico complesso, caratterizzato da una forte innovazione tecnologica, dal perdurare della crisi e dal decadimento generalizzato della reputazione del settore bancario e, di conseguenza, della fiducia della clientela, le banche sono chiamate a misurarsi con la necessità di innovare e con tempi sempre più ristretti di time to market e di risposta ad una domanda di mercato piuttosto svogliata. L’IT, a sua volta, è chiamato a reggere la variabilità continua delle iniziative commerciali e strategiche, interpretando ed anticipando le esigenze aziendali. Ecco perché questo conflitto interno irrisolto non giova di certo alle performance degli istituti di credito (e delle aziende in genere).

Leggi, direttive e normative, che gravano sugli operatori del settore più regolamentato del mondo, da qualche anno prevedono una maggiore vicinanza dei centri decisionali IT a quelli del business, addirittura richiedendo l’istituzione di funzioni di governo del sistema informativo a livello centrale e con specifici requisiti di indipendenza e di relazione con il business. Da qui la scelta, pressoché obbligata, di un numero crescente di istituti bancari di creare una funzione di IT Governance separata dalla funzione operativa, con l’obiettivo di introdurre un allineamento efficace con il business pur senza deteriorare la gestione ordinaria dei servizi informatici e di assistenza all’utenza interna ed esterna.

Tuttavia il business deve ancora comprendere che un migliore sfruttamento degli strumenti e delle competenze IT può consentire il raggiungimento efficace degli obiettivi e la creazione di valore per la Banca, mentre l’IT (o meglio il governo dell’IT) è chiamato a cambiare cultura e imparare a rapportarsi efficacemente con i decision maker della direzione, pur mantenendo il proprio ruolo di fornitore di soluzioni informatiche a fronte della domanda interna.

Le disposizioni di vigilanza in materia

La circolare di Banca d’Italia n. 285 del 17 dicembre 2013 che contiene le disposizioni di vigilanza per le banche, fin dal suo 11° aggiornamento del 21 luglio 2015 – e prima di essa dalla Circolare n. 263 del 27 dicembre 2006 fin dal 15° aggiornamento del 2 luglio 2013 – richiede l’emanazione del Documento di Indirizzo Strategico nel quale devono essere illustrate le iniziative strategiche dell’IT in allineamento con i piani strategici aziendali e con l’indicazione del modello di riferimento architetturale, delle strategie di sourcing e della propensione al rischio informatico.

L’approvazione di questo documento, il più importante fra i documenti richiesti per il governo e il controllo del sistema informativo, è a carico dell’Organo con Funzione di Supervisione Strategica (OFSS), tipicamente il Consiglio di Amministrazione. Inoltre è richiesto che il documento venga puntualmente aggiornato a fronte di un nuovo piano industriale, al variare delle strategie di business e in occasione di eccezionali cambiamenti societari.

Riporta infatti la circolare 285 (Circolare di Banca d’Italia n. 285 del 17 dicembre 2013 – 19° aggiornamento, Parte Prima – Recepimento in Italia della CRD IV, Titolo IV – Governo societario, controlli interni e gestione dei rischi, Capitolo 4 – Il sistema informativo, Sezione I – Disposizioni di carattere generale):

“Il sistema informativo (inclusivo delle risorse tecnologiche – hardware, software, dati, documenti elettronici, reti telematiche – e delle risorse umane dedicate alla loro amministrazione) rappresenta uno strumento di primaria importanza per il conseguimento degli obiettivi strategici e operativi degli intermediari, in considerazione della criticità dei processi aziendali che dipendono da esso.”

Non è un caso, quindi, che il più elevato organo sociale delle banche sia chiamato ad approvare un documento che contiene le strategie dell’IT. Prova ne sia che si parla sempre più di allineamento strategico fra business e IT anche negli standard di riferimento, nei framework di governance e nell’ambito delle certificazioni professionali di settore.

Ancora più specificamente, la circolare 285 traccia le caratteristiche peculiari che la funzione ICT deve dimostrare di avere, con particolare riferimento al rapporto con il business. Ecco un estratto:

Organizzazione della funzione ICT
L’articolazione organizzativa della funzione ICT dipende da fattori quali la complessità della struttura societaria, la dimensione, i settori di attività, le strategie di business e gestionali. Essa si ispira a criteri di funzionalità, efficienza e sicurezza, definendo chiaramente compiti e responsabilità e contemplando in particolare:

• linee di riporto dirette a livello dell’organo con funzione di gestione (NDA: tipicamente l’amministratore delegato) a garanzia dell’unitarietà della visione gestionale e del rischio informatico nonché dell’uniformità di applicazione delle norme riguardanti il sistema informativo; eventuali unità di sviluppo decentrato sotto il controllo delle linee di business sono comunque inquadrate nel più generale disegno architetturale e agiscono nell’ambito di regole definite a livello aziendale;
• le responsabilità e gli assetti connessi con la pianificazione e il controllo del portafoglio dei progetti informatici, con il governo dell’evoluzione dell’architettura e dell’innovazione tecnologica nonché con le attività di gestione del sistema informativo;
• la realizzazione degli opportuni meccanismi di raccordo con le linee di business, con particolare riguardo alle attività di individuazione e pianificazione delle iniziative informatiche (regolare rilevazione delle esigenze di servizi informatici e promozione delle opportunità tecnologiche offerte dall’evoluzione del sistema informativo).

Il CIO moderno

Gli IT Manager che dispongono di sole competenze informatiche sono di fatto obsoleti, superati, anacronistici. I moderni Chief Information Officer (CIO) devono necessariamente maturare e coltivare competenze in materia di supporto al business, comunicazione efficace, pianificazione strategica, innovazione, salvaguardia della reputazione societaria e controllo del valore generato. Devono imparare a parlare la stessa lingua dei loro colleghi del business. Devono studiare e conoscere approfonditamente i processi di business, valutarne la criticità e assicurarsi che le componenti informatiche ed applicative a supporto siano adeguate, disponibili, integre e opportunamente protette.

Il CIO di oggi deve avere chiaro che il compito dell’IT moderno non è più solo gestire efficacemente sistemi, applicazioni, basi dati e reti, ma consiste soprattutto nel rispondere alle esigenze del business nel più breve tempo possibile, al meglio e al minor costo, se vuole essere realmente elemento abilitante delle iniziative di business, della competitività, della performance finanziaria e commerciale della propria banca.

Le tecniche di allineamento sono molteplici ma, prima ancora di implementarle, è indispensabile innescare un cambiamento culturale che parta dall’alto e pervada tutti i centri decisionali: commerciale, finanza, credito, bilancio, organizzazione, legale, funzioni di controllo interno e, ovviamente, l’IT stesso.

Alcuni testi di riferimento nel settore insistono sul fatto che il CIO debba partecipare ai tavoli decisionali dell’alta direzione e, meglio ancora, sedere nel consiglio di amministrazione. Potrebbe essere un buon punto di partenza per favorire l’allineamento strategico fra business e IT, a patto che il CIO comprenda le necessità e sia in grado di rivestire il ruolo moderno ed avanzato che è chiamato a svolgere oggi. Tuttavia, nella maggior parte dei casi, molto probabilmente sarà il CIO a doversi fare strada nei giusti consessi, con grande fatica, non prima di aver abbracciato la cultura moderna e averne favorito la diffusione a tutti i livelli.

L’imminente attuazione delle direttive europee come la GDPR e la PSD2 avrà un impatto enorme sui sistemi informativi, sui processi di gestione e protezione dei dati e, di conseguenza, sul business delle banche, fortemente minacciato dal fenomeno FinTech, pertanto sarà un importante banco di prova per i CIO del settore bancario. Affrontare eventi di tale portata senza dapprima instaurare una proficua ed efficace relazione fra business e IT, può comportare gravi conseguenze in termini di revenue da intermediazione, fidelizzazione della clientela e quota di mercato.

Un compito non facile quello di cambiare gli arcaici preconcetti di molti manager C-level che ancora oggi considerano l’IT un mero centro di costo, un ammasso di sistemi informativi costosi che non producono adeguato ritorno sugli investimenti. Eppure basterebbe obbligare uno di questi manager a stare anche solo un’ora senza smartphone, tablet, posta elettronica, accesso ad Internet, applicazioni e dati critici, per vederli impossibilitati a fare alcunché. Per non parlare di sicurezza dei dispositivi e di protezione dei dati.

Semplici esperimenti per comprendere quanto l’informatica sia oggi inscindibile dal business e, di conseguenza, quanto sia importante che il CIO partecipi attivamente ai processi strategici e decisionali di una banca e, più in generale, di qualsiasi azienda.

Ettore Guarnaccia