Un rapporto dettagliato di PriceWaterhouseCoopers porta alla luce i fattori chiave che sposano la tecnologia al mercato dei financial service in Italia.
L’indagine svolta da PricewaterhouseCoopers Advisory nell’area dei financial service vuole rappresentare uno spunto di riflessione sui fattori chiave di successo e di maturità di questo mercato.
Con l’obiettivo di fornire una visione dello stato attuale e tendenziale del governo tecnologico, l’It Governance Survey è stata eseguita con il patrocinio dell’Aiea (Associazione Italiana Information Systems Auditors) e si è rivolta a quelle che secondo Assogestioni sono le prime 20 società di gestione del risparmio (Sgr), alle banche dei gruppi maggiori, grandi, medi e piccoli A (in base ai dati Abi) o alle rispettive società di servizi It o consortili. Come riferimento metodologico dello studio sono state usate le management guideline del maturity model per l’It government, sviluppate dall’Information Technology Governance Institute, anche con il contributo di PricewaterhouseCoopers.
L’iniziativa, che ha avuto il lancio nella seconda metà del 2003, è proseguita per tutto il 2004 per quanto riguarda la raccolta dati che, in parte, sono ancora in via di elaborazione. Le imprese coinvolte sono state 70 e l’ammontare delle risposte si è assestato sul 60%.
In questo mercato, che nel corso degli ultimi tre anni ha subìto diverse modificazioni, derivanti dalla concentrazione degli attori verso gruppi di dimensioni sempre maggiori, «si evince una certa attenzione per le soluzioni ma non altrettando entusiasmo sulle modalità di governo», spiega Giuseppe Pisani, partner Financial Services practice di Pwc.
Gli investimenti applicativi non sono seguìti da una pianificazione strategica di lungo periodo, anche in relazione al cambiamento nei processi, conseguenti alle operazioni di merger, di acquisizione e di scorporo che hanno coinvolto le varie direzioni It.
Lo studio ha fatto emergere che solo per il 9% delle banche l’It è considerato un’area strategica, mentre il 18% non lo percepisce come leva strategica su cui investire bensì come semplice centro di costo.
Definizione degli investimenti
Complessivamente, la maggioranza del campione ritiene che l’It (dal punto di vista delle risorse professionali e da quello tecnologico) sia adatto a supportare le esigenze di business, anche se l’8% delle Sgr lo definisce inadeguato, «soprattutto per quanto riguarda la gestione non perfetta del demand management», illustra Marinella Marzo, senior manager Financial Services practice di Pwc.
Le strategie di investimento in questo settore sono influenzate principalmente dalla pressione normativa e dalla creazione di vantaggio competitivo anche se le soluzioni disponibili sono spesso considerate non sufficienti quando non addirittura obsolete. Una scomposizione ulteriore, fa emergere che mentre le banche concentrano i propri sforzi sull’analisi della clientela e sulle modalità di erogazione dei servizi, le Sgr, relegano i driver corrispondenti in posizioni di coda.
«Nel complesso – mette in luce Pisani – le soluzioni tecnologiche sono considerate adeguate, ma emerge l’esigenza di un loro adeguamento».
Per oltre l’80% dei partecipanti alla survey, infatti, i risultati dei progetti di sviluppo sono soddisfacenti e la quasi totalità dei prodotti informatici ha realmente fornito i risultati previsti, anche se nelle verifiche ex post sui ritorni reali e sull’efficienza di realizzazione sembrano mancare metriche, indicatori oggettivi e sistematicità di esecuzione.
Il controllo in divenire dei progetti è, generalmente, poco strutturato e «la misurazione dei benefici – dice Marzo – è esclusivamente di tipo qualitativo. Il vantaggio competitivo risulta poco verificato a posteriori, pur essendo considerato un driver primario per le decisioni di investimento».
Sono poche le imprese attente a misurare con audit interni i progetti. Tra gli elementi considerati importanti per valutare i progetti si colloca anche la coerenza con il piano strategico It che, però, solo per il 26% dei partecipanti è effettivamente formalizzato.
Discorso a parte riguarda il sourcing, aspetto diffuso soprattutto nelle aree dell’application management e della gestione operativa. Le attività di gestione cliente sono, invece, le meno esternalizzate. Tende a prevalere, senza grosse differenze tra banche e Sgr, il ricorso a società terze, indipendenti dall’azienda o dal gruppo di appartenenza, con una percentuale crescente di utilizzo dei centri consortili per attività di sviluppo e manutenzione software, sicurezza e controllo dei servizi.
Confronti tra profili
Un cenno positivo, senza grosse differenze per le tre tipologie di attori prese in condiderazione, potrebbe essere colto nel fatto che il profilo medio di governance, in tutti i settori (dalla definizione degli indirizzi tecnologici, alla gestione degli investimenti It, dall’identificazione di soluzioni automatizzate, all’installazione e certificazione dei sistemi, dal controllo dei processi fino all’assicurazione della continuità del servizio It), risulta abbastanza omogeneo. Mancano, tuttavia, punte di eccellenza.
Il dato può essere letto in modo positivo in quanto fa pensare che vi sia un’effettiva presa di coscienza su temi dell’It governance e sull’impostazione di base dei processi, con una distribuzione equilibrata degli sforzi economici, organizzativi e tecnici. D’altro canto, le aziende sono ancora distanti dal compiere il salto di qualità verso un sistema completamente controllato e una reale capacità di misurare e migliorare l’efficienza tramite strumenti affidabili.
«La maturità dei processi è stata valutata con indicatori compresi tra lo zero e il cinque – prosegue Marzo -. La maggior parte del campione ha utilizzato il tre, indicando un buon livello di soddisfazione. Le previsioni per il prossimo biennio, poi, sono ottimistiche, indicando livelli superiori a quelli attuali».
Overview sui processi
Nella gestione dei rischi It, in particolare, si possono evidenziare tratti comportamentali comuni. Benché su alcuni indicatori si evidenzino differenze apprezzabili tra i diversi settori, i partecipanti hanno dichiarato che solo raramente sono in grado di assicurare sistematicità e omogeneità di valutazione, in un ambito in cui una sovra (o sotto) stima soggettiva può essere dannosa per l’azienda. Meno della metà del campione fa uso di una metodologia o di una funzione centralizzata di risk management e solo il 19% esegue attività di monitoraggio.
Dal lato del piano di continuità dei servizi, nonostante le pressioni degli organi istituzionali, che spingono verso una protezione di base, almeno per i sistemi più critici per il business, una percentuale significativa (che raggiunge il 64% nel settore banche) non vi ha ancora provveduto completamente.
Se si guarda al complesso del servizio (senza limitarsi ai sistemi mission critical), solo il 15% dei partecipanti dispone di un piano di continuità organico. Confortante è che il 44% dichiara di averlo quasi completato e complessivamente il 41% dovrà avviarlo o rivederlo prossimamente.
La definizione degli Sla è generalmente limitata a una parte dei servizi, quasi sempre quelli outsourced. Anche per questi, comunque, restano bassi la formalizzazione sistematica e il controllo continuativo dei Service level agreement. Tra i vari processi analizzati, la gestione dei dati denuncia criticità come ad esempio l’inorganicità o l’insufficienza delle procedure di database administration. Anche sulla gestione della sicurezza sembra necessaria una maggioe organicità di intervento. Addirittura, il 4% dei partecipanti alla survey non ha mai eseguito rilevanti verifiche sui sistemi informatici.
