La percezione del valore della Certificazione ISO/IEC 20000 nello scenario italiano

(di Rosario Fondacaro, Paola Laguzzi, Gioacchino Torino)

Attualmente le imprese si stanno muovendo in un mercato in rapida e critica trasformazione dove si richiede con sempre maggiore insistenza qualit, velocit, minor prezzo e maggiore complessit. A questo si somma una velocissima evoluzione tecnologica, anche informatica, con la quale le aziende non possono evitare di confrontarsi. In questo scenario le organizzazioni IT e le tecnologie legate ad esse influenzano sempre di pi le scelte metodologiche e lavorative. I servizi IT, disegnati per supportare i processi di business delle aziende, non sempre risultano adeguati, in termini di disponibilit ed affidabilit, alla criticit dei business process, causando un disallineamento tra gli obiettivi di business dellazienda e lorganizzazione IT. In questo contesto il re-disegno e la re-ingegnerizzazione dei processi organizzativi pu risultare determinante per il miglioramento della qualit dei servizi IT erogati a supporto del business, con conseguente miglioramento dellintera organizzazione aziendale. Negli ultimi anni, molte aziende si stanno avvicinando al problema dellottimizzazione dei processi interni, attraverso ladozione di modelli di riferimento nellambito dellIT Service Management (gestione dei servizi informatici). I modelli di riferimento rappresentano gli standard da adottare ed adattare al proprio contesto e i metodi di implementazione sono fruibili attraverso lutilizzo di framework, studiati appositamente in ottica IT Service Management. Al fine di valorizzare al meglio gli investimenti che un'impresa intraprende per fornire servizi IT di eccellenza, indispensabile disporre di certificazioni riconosciute a livello internazionale che permettano alle organizzazioni di distinguersi sul mercato, aumentando cos il valore per lazienda e garantendo un ciclo di miglioramento continuo sui servizi erogati. La certificazione ISO/IEC 20000 rappresenta il primo standard formalizzato a livello mondiale rivolto espressamente alla gestione dei servizi informatici. Esso descrive un insieme integrato di processi gestionali per unerogazione efficace ed efficiente dei servizi IT che vedono come fruitori gli utenti interni dellazienda ed i suoi clienti esterni. L ISO/IEC 20000 deriva dallIT Infrastructure Library (ITIL) di cui complementare. ITIL nasce alla fine degli anni '80, quando lufficio britannico Central Computer and Telecommunications Agency (CCTA), rinominato in seguito in Office of Government Commerce (OGC), pubblic una raccolta di documenti relativa alla gestione dei servizi IT. ITIL, attraverso la pubblicazioni di best practice per la gestione dei servizi IT ed attraverso il contributo di diverse aziende operanti in settori di mercato differenti (dal pubblico al privato) che ne hanno adottato il modello, si ormai affermato a livello internazionale come framework di riferimento per IT Service Management. Nel 2000 la BSI (British Standard Institutions) stata promotrice della necessit di identificare uno standard di riferimento, contenente le regole per la gestione dei servizi IT. Basandosi, quindi, su ITIL e sull'esperienza diretta di diverse organizzazione nato, in quegli anni, lo standard BS15000 composto da due documenti: la parte di "Specification for Service Management e la parte di Code of practice for service management. Il 16 Dicembre 2005, lISO e lIEC, hanno promosso la BS15000 a standard internazionale ISO/IEC 20000, dopo aver istituito alcuni cambiamenti per renderla applicabile ad un audience internazionale ed eterogeneo. Tra i principali cambiamenti apportati ricordiamo una maggiore consistenza, un allineamento degli obiettivi, la standardizzare dei termini e la semplificazione del testo di riferimento. Oggi la certificazione ISO/IEC 20000 si rivolge a tutte le organizzazioni (IT Service Provider, Pubblica Amministrazione, Istituti finanziari, Telco, Call center e help desk, ecc.) che sono impegnate

-1-

internamente o esternamente nella fornitura di servizi IT, la cui attivit imprenditoriale dipende da sistemi IT, e che hanno lobiettivo di strutturare un sistema di gestione dei servizi IT a supporto del business. Essa rappresenta un elemento di distinzione concreto per dimostrare che l'organizzazione IT ha implementato le best practise di mercato con le quali gestisce e controlla i servizi che eroga.

La situazione italiana
Un recente studio di Market Clarity ha rivelato che in Europa, la Gran Bretagna e la Germania sono i paesi ad aver maggiormente adottato le pratiche ITIL all'interno delle loro aziende ottenendo notevoli benefici. Seguono a distanza la Spagna con il 38%, la Francia con il 33% e l'Italia con il 18%. Ma come si confronta oggi il nostro paese con concetti quali IT Service Management, ITIL e certificazione ISO/IEC 20000? In Italia, l'associazione itSMF, organizzazione no-profit riconosciuta a livello internazionale ed attiva sin dal 1991, ha il compito di promuovere lo scambio di esperienze ed informazioni sulla Gestione dei Servizi ICT seguendo le indicazioni della Information Tecnology Infrastructure Library ITIL. Nell'ambito di questassociazione si costituito un gruppo di lavoro con l'intento di analizzare la percezione della certificazione ISO/IEC 20000 come driver per la valorizzazione dell'azienda e del suo IT da parte delle imprese italiane. L'obiettivo dello studio stato quello, infatti, di analizzare l'applicabilit della certificazione ISO/IEC 20000 nell'ambito del mercato italiano evidenziando il valore aggiunto che pu portare ad un'azienda, i benefici per l'IT Governance e per il Business, gli standard e i framework di riferimento, la situazione italiana e le previsioni di certificazioni. Con questo spirito, in occasione Terza Conferenza Annuale di itSMF Italia tenutasi a Milano il 30 novembre scorso, stato distribuito un questionario a diverse aziende italiane appartenenti a settori merceologici eterogenei. Il numero di societ che ha risposto al questionario stato pari a 35. Il numero limitato di risposte ottenute non ha permesso, ovviamente, un'analisi approfondita del fenomeno, ma ha dato delle indicazioni utili su come il mercato italiano si stia muovendo verso l'IT Service Management e quali sono i suoi obiettivi nel breve/medio periodo. Su 35 societ intervistate il 62% appartenevano al settore IT Service Provider e solo una piccolissima percentuale (meno del 10%) ad altri settori di mercato (quali quello finanziario, manifatturiero, media e pubblica amministrazione). Questo dato porta ad ipotizzare che mentre il problema della gestione dei servizi IT sentito tra gli IT Service Provider dove il cui business proprio l'erogazione di servizi IT di eccellenza, in altri settori, il cui business principale costituito dalla produzione di altri beni, si ha la consapevolezza che l'IT rappresenta un impulso fondamentale per l'impresa (il 46%, infatti, sostiene che i business process dell'azienda dipendono dall'erogazione dei servizi IT) ma ancora molto limitato l'interesse su come business e IT possano coesistere per produrre maggiore sinergia, migliorando l'efficienza e contenendo i costi. C' una tendenza attestata al 49%, di erogare i servizi IT attraverso una gestione parziale in outsourcing. Molto probabilmente, l'esperienza ha portato ad una maggiore consapevolezza che alcuni servizi possano essere gestiti in outsoursing migliorando i livelli di servizio e i costi di maintenance. Altri servizi, invece, devono e/o auspicabile continuare a gestirli in house forse anche per problemi di privacy, di riservatezza, ecc... E' un dato confortante il fatto che il 49% delle aziende intervistate abbia organizzato il proprio IT in un'ottica di IT Service Management. A questo dato, per, utile fare una precisazione: di questo 49% (cio di 35 societ intervistate) 14 societ sono IT Service Provider, cio aziende il cui business principale proprio l'erogazione di servizi IT. Per, in settori quali il finanziario o la Pubblica amministrazione l'IT Service Management in fase di valutazione segno che c' la consapevolezza dell'importanza e del valore aggiunto che pu fornire una buona gestione dell'IT. Il framework pi conosciuto per l'IT Service Management ITIL (il 49% degli intervistati lo conosce) seguito da COBIT (21%). Questi due framework sono anche quelli maggiormente utilizzati dagli enti certificatori come punto di riferimento per le certificazioni ISO. Ne esistono, per, anche altri,

-2-

sicuramente meno conosciuti di ITIL e COBIT, ma che forniscono delle linee guida utili nell'organizzazione del proprio IT. Questi sono ad esempio Six-Sigma (6-), Microsoft Operation Framework (Mof) oppure Enhanced Telecom Operation Map (Etom). Il 54% delle aziende che hanno dichiarato di organizzare il proprio IT in un'ottica di IT Service Management o comunque di essere in fase di implementazione per la sua adozione, utilizzano un framework di riferimento. E' evidente, quindi, che avere un framework e delle linee guida da seguire e da adattare alle proprie esigenze facilita il lavoro di riorganizzazione in un'ottica di IT Service Management. Dal quadro generale, quindi, emerge che in Italia c' la consapevolezza che per migliorare il business necessario operare a stretto contatto con l'IT. Questo deve garantire servizi di qualit, efficienza ed efficacia ad alto livello e, l'adozione di framework di riferimento per l'IT Service Management, potrebbe aiutare a raggiungere questi obiettivi. Ma come le aziende intervistate si confrontano con temi quali la certificazione proprio in un'ottica di IT Service Management? Il 69% delle aziende intervistate ha una certificazione ISO indipendentemente dal settore merceologico al quale appartengono. Per solo il 54% di esse conosce la certificazione ISO/IEC 20000 almeno parzialmente e addirittura appena il 46% ritiene sia necessario conoscerla. Questa percentuale di riduce al 11% se si considerano le sole organizzazioni che ritengono sia indispensabile per la propria azienda la certificazione ISO/IEC 20000. C', infatti, ancora poca consapevolezza in Italia dell'importanza e della valorizzazione che la certificazione pu portare all'azienda; non a caso il 50% degli intervistati indeciso se investire in una certificazione ISO/IEC 20000 e solo il 20% si impegna a farlo nei prossimi 24 mesi. Attualmente, quindi, in Italia, si registra un tiepido interesse per quanto riguarda la formazione aziendale nell'ottica di una certificazione ISO/IEC 20000. Non a caso, alla fine del 2006, nessuna azienda italiana risultava aver intrapreso percorsi formali di certificazione.

Chi pu certificarsi ISO/IEC 20000?

Quali sono i requisiti necessari che un'organizzazione IT deve possedere per certificarsi ISO/IEC 20000? Per lottenimento della certificazione ISO/IEC 20000, le organizzazioni devono essere in grado di dimostrare di avere il controllo di tutti i processi definiti nello schema di certificazione. In tal senso, il controllo dei processi riguarda gli aspetti di management control che consistono in conoscenza, controllo ed interpretazione degli input e degli output dei processi, definizione e misurazione delle metriche, dimostrazione della responsabilit per la funzionalit dei processi (accountability) e definizione, misurazione e revisione delle attivit di miglioramento dei processi. Per risultare eleggibili per la certificazione, unorganizzazione IT deve essere in grado di dimostrare il management control di tutti i processi contenuti allinterno dello standard ISO/IEC 20000. importante, quindi, che lorganizzazione IT ottenga il supporto e lassistenza da parte dei fornitori esterni coinvolti nella fornitura dei servizi oggetto dellaudit, al fine di dimostrare il controllo dei processi. Lambito di certificazione pu riguardare lintera organizzazione IT aziendale o soltanto una parte di essa; non fondamentale che i processi siano eseguiti interamente allinterno dellorganizzazione IT che intende certificarsi, limportante che si evidenzi il controllo ed il rapporto con le altre organizzazioni (es. outsourcer o fornitori esterni). Pertanto i principali due aspetti da considerare prima di intraprendere il cammino di certificazione sono: Accertarsi che lorganizzazione IT sia eleggibile per la certificazione secondo lo schema; Se l'organizzazione risulta eleggibile, decidere qual lambito dei processi da sottoporre allauditing

-3-

Lorganizzazione IT deve, inoltre, essere in grado di fornire: La chiara definizione dellambito dei servizi e delle infrastrutture allinterno dello scope di certificazione; Le interfacce tra i processi, con particolare evidenza e chiarezza su come questi vengono controllati dallOrganizzazione IT; Le informazioni circa il ruolo e le interfacce con le altre organizzazioni coinvolte nella fornitura dei servizi IT, compresi i service provider dei clienti e dei fornitori. Una volta confermata l'eleggibilit dell'organizzazione IT e l'ambito dell'Audit, si potr passare a sviluppare un piano globale di certificazione che porter alla certificazione formale da parte dell'Ente Certificatore Autorizzato (RCB) prescelto.

Conclusioni
Dai risultati dell'indagine e dagli studi effettuati dal gruppo di lavoro di itSMF che le ha condotte emerso che in generale manca ancora in Italia una cultura sulla concezione del termine "Servizio IT"; infatti, molte delle aziende intervistate (per la maggior parte operanti nel settore IT), hanno risposto, interpretando i servizi IT come quei servizi erogati verso clienti (es. Servizi di manutenzione, assistenza, ecc). Inoltre, la cosa importante che si evince dalle analisi effettuate come la maggioranza delle aziende che partecipano ad eventi come quello organizzato da itSMF lo scorso novembre, sia di natura "offerta IT". Questo conferma che lo stato di maturit del mercato italiano, in merito alla percezione della qualit per i servizi IT, non sia ancora nella fase in cui l'offerta supera la domanda, ma in quella precedente, in cui "l'offerta" si sta formando per proporre sul mercato le tematiche legate all'IT governance ed al Service Management. L'esperienza e gli studi condotti sullIT governance, portano a constatare che il tema della governance dei servizi IT sentito soprattutto dalla parte Business delle aziende. Pochissimi Manager IT sono presenti infatti a conferenze che trattano l'argomento, contro una massiccia presenza del "business". Questo significa che oggi, l'introduzione di criteri di qualit nell'ambito delle organizzazioni IT e di conseguenza la certificazione (vedi ISO/IEC 20000) spinta a fronte di necessit di compliance con norme internazionali (es. SOX), oppure dalla ferma volont del business di rendere visibile il proprio IT, questo soprattutto da parte di aziende con forte caratterizzazione tecnologica (come TELCO e IT provider). E' interessante notare come il ricorso ai servizi di Outsourcing denoti una strategia di demandare alcuni servizi a fornitori esterni. Sarebbe interessante scoprirne le motivazioni di fondo. Sarebbe altres interessante capire se il mondo dei "Suppliers" interessato alla certificazione. In India, patria dell'offshoring, cugina stretta dell'outsourcing, molte aziende stanno percorrendo la strada dell'ISO/IEC 20000: questo perch sia i costi, sia le giovani organizzazioni, permettono un percorso di trasformazione basato sull'IT Service Management. Per quanto riguarda i framework di riferimento, l'ITIL rappresenta le best practice riconosciute dal mercato, mentre l'adozione del COBIT dimostra come ci sia bisogno di "misure" per governare l'IT, seppur bene organizzato per processi di gestione. Dallo studio condotto emerge chiaramente che in Italia si soffre ancora molto delle certificazioni di massa ISO 9000 degli anni '90. La certificazione ISO vista come una "burocratizzazione" aziendale che non porta benefici reali. Occorre ancora fare molte discussioni sul reale valore dell'ISO/IEC 20000. Infatti, con i risultati di oggi, sembra che non si sia compreso che certificarsi ISO/IEC 20000 non significa ottenere un pezzo di carta, ma significa aver riorganizzato il proprio IT secondo criteri qualitativi, misurabili e dimostrabili, che portano la certificazione come risultato intrinseco. Il White Paper completo dello studio disponibile allindirizzo WEB www.itsmf.it o www.quintgroup.com/it.

-4-