CSV Italia

26 agosto 2014

I controlli interni sui processi ICT in ambito aziendale

Dal Rapporto Clusit 2014 sulla Sicurezza ICT in Italia, ecco il Focus On a cura di Stefano Niccolini e Claudio Telmon, sui controlli interni sui processi ICT in ambito aziendale.

I controlli interni sui processi ICT in ambito aziendale

All’interno di un’azienda di dimensioni rilevanti le politiche aziendali sono importanti per comunicare ai collaboratori lo stile imprenditoriale con l’obiettivo di indirizzare motivazione e comportamenti secondo uno stile preciso, caratteristico dell’impresa. Si tratta di indirizzare il buon senso individuale, bene prezioso nelle situazioni eccezionali in cui si devono gestire rischi e non sono precisate procedure o regole. Il vantaggio della diffusione delle politiche aziendali consiste nella riduzione del rischio di comportamenti “non in linea” in situazioni anomale. Dalle politiche, in particolare quelle sui rischi aziendali, dovrebbero trarre spunto i regolamenti interni, in primis quelli che descrivono i processi decisionali.

I Controlli Interni, esterni alle strutture produttive, dovrebbero valutare l’osservanza e l’applicazione da parte di queste alle indicazioni dell’impresa, ai fini dell’ottenimento degli obiettivi di business in un quadro di ottimizzazione delle risorse e minimizzazione dei rischi. Particolarmente in realtà complesse, può diventare molto difficile la costruzione di una valutazione affidabile sul tematiche come l’ottimizzazione delle risorse e adeguato trattamento dei rischi. Le fasi chiave di un buon sistema dei controlli interni possono essere quindi i seguenti.

Definizione delle politiche commerciali e del rischio: è un documento che descrive l’orientamento al business dell’azienda e l’approccio al rischio. Ai principi ivi esposti si riferiscono tutti gli altri documenti che descrivono le attività e i processi aziendali. A quei principi deve ispirarsi chi opera in azienda nei casi in cui si debba operare in assenza di regole specifiche. In sintesi, le politiche sono “il buon senso secondo la nostra azienda”.

Attribuzione delle responsabilità: è il primo dei processi di controllo del rischio. Questa fase produce i regolamenti, con l’avviso di escludere da questi la descrizione del come si fa, privilegiando la descrizione degli obiettivi. Nell’attribuzione delle responsabilità si deve considerare anche l’interazione tra i diversi portatori di responsabilità, in modo da chiarire i processi decisionali. Tale azione consente di rilevare i cosiddetti conflitti di interesse e di prevenire situazioni in cui un unico soggetto possa ottenere libertà di azione non coerenti con lo spirito imprenditoriale o in contrasto con norme o leggi vigenti.

Definizione dei processi: il destinatario di una responsabilità che implica lo svolgimento di attività dovrebbe rendere conto sulle modalità di assolvimento di quanto conferito. Questo aspetto non sempre viene pienamente realizzato e si può presentare il caso di responsabili di aree di business che operano in base a procedure definite esternamente all’area. Tale situazione però tende a svuotare il mandato imprenditoriale all’area operativa, spostando la responsabilità in merito all’efficacia, efficienza e forse anche conformità di quanto svolto esternamente ad essa. Viceversa l’attribuzione all’area operativa dell’onere di definire processi e controlli interni innalza lo spirito imprenditoriale anche se ciò richiede una specifica cautela da parte del vertice aziendale: il sistema dei controlli interni.

Attuazione di un Sistema di Controlli Interni: il Sistema dei Controlli Interni costituisce la fase di chiusura del processo di attribuzione delle deleghe di responsabilità. Il processo infatti dovrebbe fornire indicazioni al vertice aziendale sulla capacità della struttura di operare come previsto, sulla sua potenzialità evolutiva e, in definitiva, sulla capacità di creare valore secondo un approccio fedele al mandato imprenditoriale definito nelle politiche dell’azienda.

Il quadro sopra esposto, necessariamente riassunto e reso essenziale, non include esplicitamente il fattore informatico perché è ovvio e sottinteso. Ormai l’informatica è nell’azienda, a prescindere da quanto i collaboratori e i dipendenti portano con sé, nei dispositivi mobili personali. Oltretutto, l’informatica permette la registrazione di fatti attinenti al business da cui ricavare informazioni sulla capacità dell’azienda di gestire il rischio in ogni sua forma: economico / finanziario, reputazionale, legale, operativo, ecc. Queste registrazioni sono rile-vanti sia dal punto di vista dei controlli interni che della sicurezza.

Tuttavia, un aspetto problematico dell’informatica è il rischio associato al suo utilizzo. Le tecnologie emergenti offrono sempre maggiori possibilità in termini di efficienza dei sistemi di governo e gestione dell’impresa. Cloud, Big Data, Mobile Devices sono tecnologie o prodotti pervasivi e le imprese si trovano a doversi interrogare sull’opportunità di cavalcare la tigre. Ma con quali rischi? Sicurezza e Conformità sono i punti di attenzione attualmente più gettonati.

La valutazione dell’esposizione del business ai rischi è di competenza dei proprietari del business. Business Owner implica Risk Owner, anche per i rischi IT. Tuttavia la garanzia di una valutazione equilibrata e corretta può essere opportunamente considerata da un soggetto esterno. Si parlerà quindi di Assurance, attività propria dell’Internal Auditing, in particolare dell’ICT Auditing. Tale funzione è opportuna in realtà medio grandi ed è resa obbligatoria, ad esempio, nel mondo bancario italiano dalle Disposizioni di Vigilanza di Banca d’Italia. Per essere efficace la funzione di Audit deve essere indipendente dalle strutture che vengono sottoposte a valutazione.Tale caratteristica è stata storicamente sempre ben considerata. Per le realtà più piccole, che non hanno le risorse per realizzare un sistema di controlli interni strutturato, può essere opportuno appoggiarsi a competenze esterne che siano in grado di valutare la capacità del sistema informativo di supportare l’azienda nel raggiungimento dei suoi obiettivi. Per fare questo, dovrà disporre non solo di competenze tecniche informatiche, ma anche della capacità di comprendere le effettive esigenze del business dell’azienda, e dovrà comunque avere la dovuta indipendenza da chi, internamente all’azienda o fornitore esterno, gestisce effettivamente il sistema informativo.

Nell’ambito dell’audit ICT, la sicurezza riveste un interesse particolare. Dato che l’audit è per sua natura focalizzato principalmente sui processi più critici per l’organizzazione, è chiaro che la possibilità di questi processi di svolgersi correttamente è legata fra l’altro alla garanzia che non siano possibili attività illegittime che possano danneggiare i processi stessi. In effetti, l’ambito della sicurezza è quello in cui alcune forme di audit sono tutto sommato note e relativamente comuni anche fuori dagli ambiti regolamentati come le banche.

Si tratta dei cosiddetti vulnerability assessment e penetration test (VA/PT), che rappresentano un’attività molto circoscritta di audit, ma che rendono l’idea di cosa possa essere un audit di sicurezza: un’attività svolta da una terza parte indipendente (anche quando si tratti di una struttura interna). Questa, disponendo di competenze specifiche nell’ambito della sicurezza IT ha lo scopo di verificare se la gestione del sistema informativo sia adeguata, quali siano i punti di miglioramento, e darne visibilità ai vertici dell’organizzazione. Nel caso del VA/PT però, si tratta di un’attività che si limita a fotografare lo stato corrente di alcuni aspetti limitati della sicurezza di un sistema informativo. I risultati che si ottengono, salvo eccezioni, devono essere inquadrati in un più ampio contesto. Un audit ICT affronta, in generale, un insieme più ampio di problematiche, ad esempio la distribuzione di ruoli e responsabilità, le tematiche contrattuali, la capacità di gestire gli eventuali incidenti, la conformità alle normative (fra le quali naturalmente è particolarmente significativa quella sul trattamento dei dati personali), lo sviluppo e l’acquisizione di codice sicuro, e molti altri. In definitiva si tratta di esprimere una valutazione del rischio di disallineamento tra soluzioni ICT aziendali e necessità di business. L’audit sulla sicurezza ICT, attraverso un programma di verifiche, anche “sul pezzo” (VA/PT), esprime la valutazione precedentemente citata sulla distanza tra le aspettative di protezione dell’azienda e i presidi effettivamente in essere.

La competenza di chi, interno o esterno, svolge l’attività di audit, è fondamentale. I danni che possono essere arrecati ad un’azienda da relazioni di ICT Audit con valutazioni inesatte sono rilevanti. Le competenze di un professionista sono in generale difficilmente comprova-bili, e in questo le associazioni hanno un ruolo importante. Nel campo dell’ICT Audit ISA-CA, che associa oltre 100.000 professionisti ICT in tutto il mondo, si propone come entità certificatrice per i professionisti che svolgono attività di ICT Audit. La certificazione CISA è accordata a professionisti che oltre ad una certa anzianità nel campo dell’Audit, superano un esame scritto di rilevante difficoltà. L’esame verte sulla conoscenza dei sistemi informativi, non soltanto sotto profili tecnici o tecnologici, ma anche sotto il profilo della gestione manageriale. Ad AIEA ad esempio, che è anche capitolo di Milano di ISACA, aderiscono attualmente 484 soci con certificazione CISA.

Quattro sono le linee di attività in ambito ICT che ISACA promuove: la Governance, il Gestione dei Rischi, la Sicurezza e l’Audit. Per ognuna di esse l’associazione pubblica regolarmente documentazione che consente di rimanere al passo con l’evoluzione tecnologica. A supporto di chi si deve occupare di governare e gestire i sistemi informativi spicca COBIT 5. Si tratta di un framework che aiuta a coniugare le esigenze di business di un’impresa con quelle informatiche, individuando diversi fattori abilitanti: non solo processi ma anche le caratteristiche di ambiente come le persone, la cultura, le competenze. ISACA eroga tramite i capitoli nazionali corsi di formazione per quei professionisti che intendono ottenere certificazioni di tipo professionale in ciascuno dei quattro ambiti citati, Governance, Gestione dei Rischi, Sicurezza e Audit.

Concludendo, se il ricorso ai sistemi informativi è soluzione che a sua volta apre un ventaglio di problemi, i controlli interni, opportunamente progettati ed eseguiti, consentono di raggiungere con ragionevole certezza gli obiettivi di business.I controlli, e fra questi anche quelli relativi alla sicurezza, devono possibilmente avere carat-tere preventivo ma sono disponibili metodologie e profili professionali in grado di riportare in linguaggio comprensibile anche a non informatici fatti e problematiche di taglio anche specialistico.La professionalità dei soggetti che si occupano di ICT è essere avvalorata dalle certificazioni internazionali che attestano la competenza di chi l’ha conseguita.