Codice di autodisciplina e IT Governance

Транскрипт

1 Codice di autodisciplina e IT Governance Settembre 2013

2 Indice Premessa ed obiettivi del documento 3 Breve presentazione del Codice di autodisciplina 4 Il modello di riferimento di IT Governance: perché COBIT 5 7 COBIT 5: A Business Framework for the Governance and Management of Enterprise IT 9 Definizione dell approccio di audit 13

3 Premessa ed obiettivi del documento Il presente documento ha l intenzione di fornire un interpretazione del Codice di autodisciplina (di seguito Codice ), emesso nel dicembre 2011, relativamente alla governance in ambito IT. Il Codice all Art. 7 fornisce indicazioni su tematiche di Sistema di controllo interno e di gestione dei rischi senza tuttavia approfondire tale aspetto in merito all Information Technology. Tutti gli stakeholders, sia interni (Consiglio di Amministrazione, Governance, Risk & Compliance, Internal Audit, ecc.) sia esterni (business partner, auditor esterni, ecc.), sono ormai a conoscenza di quanto siano importanti le tematiche di governance e di gestione dei rischi e di come queste siano indissociabili da una buona ed attenta gestione degli aspetti legati all IT. Per tale motivo un gruppo di lavoro formato da esperti di IT Risk & Governance, appartenenti alle Big Four, ha pensato di definire il presente Position Paper, fornendo quindi un interpretazione del Codice che potesse fornire una guida e quindi supportare le società quotate ad affrontare le tematiche di IT Governance. Il presente documento interpretativo, come definisce lo stesso Codice nei Principi guida e regime transitorio è destinato ad [ ] III. Ogni società italiana con azioni quotate ( emittente ) [ ]. Si ricorda inoltre che l adesione al Codice è volontaria.

4 Breve presentazione del Codice di autodisciplina Nel dicembre del 2011 è stato pubblicato il nuovo testo revisionato del Codice per la corporate governance delle società quotate italiane elaborato, in linea di continuità con quanto avvenne nel 1999, da un Comitato per la Corporate Governance, ossia da un soggetto dalla natura composita costituito da rappresentanti di Borsa Italiana e delle Associazioni di categoria delle imprese bancarie, assicurative e industriali (ABI, ANIA, Assonime e Confindustria) e degli investitori istituzionali (Assogestioni) 1. Le novità apportate al Codice seguono tre direttrici principali: semplificazione e chiarificazione delle regole già esistenti; allineamento delle condotte richieste alle nuove regole del diritto societario e comunitario; inserimento di nuovi principi volti ad innalzare gli standard di governance degli emittenti e ad anticipare possibili futuri interventi legislativi. In particolare, per il terzo punto appena citato, il Codice ha mostrato particolare attenzione nei confronti dei seguenti temi: la centralità del Consiglio di Amministrazione (di seguito CdA ) nella governance societaria; l importanza della componente indipendente all interno del CdA; la valorizzazione dei Comitati endo-consiliari; l introduzione della funzione della gestione dei rischi all interno del sistema del controllo interno. In merito a quest ultimo punto il Codice del 2011, in linea con la posizione espressa dalla Commissione europea nel citato Libro Verde sulla Corporate Governance del 2011, ha ravvisato la necessità che ciascuna società quotata sviluppi, in base alle proprie caratteristiche, un adeguata cultura del rischio nonché una modalità di gestione che le consentano di affrontare efficacemente gli specifici rischi aziendali. In estrema sintesi le novità apportate al Codice sotto tale profilo perseguono tre fondamentali obiettivi: contribuire a diffondere la cultura del rischio, inserendo la funzione della gestione dei rischi all interno del sistema di controllo interno; attribuire al CdA, coadiuvato dal (rinnovato) Comitato per il controllo interno e la gestione dei rischi, un ruolo chiave nella definizione della natura e del livello del rischio compatibile con gli obiettivi strategici dell emittente; 1 Sintesi tratta dai Quaderni Giuridici L Autodisciplina in materia di Corporate Governance pubblicato da CONSOB nel febbraio 2013.

5 razionalizzare il sistema di controllo interno e gestione dei rischi sotto il profilo delle competenze attribuite ai vari soggetti coinvolti nell esercizio di questa funzione. Successivamente all approvazione dell ultima edizione del Codice il panorama normativo nazionale si è arricchito di una serie di provvedimenti che hanno profondamente inciso sugli assetti di governance delle società italiane, quotate e non quotate. In particolare, a fini di una migliore comprensione del presente Position Paper in merito all IT Governance, è significativo citare quanto la Banca d Italia ha emanato in data 2 luglio 2013 con il 15 aggiornamento della Circolare n. 263 del 27 dicembre 2006 Nuove disposizioni di vigilanza prudenziale per le banche. Particolare attenzione va prestata al Capitolo 8 (Il sistema informativo) della Circolare all interno del quale viene aggiornata la disciplina del sistema informativo, anche per recepire le principali evoluzioni emerse nel panorama internazionale. Oltre a disciplinare le modalità di governo del sistema informativo, di gestione del rischio informatico ed i requisiti per assicurare la sicurezza informatica, le disposizioni recepiscono le raccomandazioni della BCE per la sicurezza delle transazioni bancarie tramite internet. Le previsioni contenute nel Capitolo 8 rappresentano requisiti di carattere generale per lo sviluppo e la gestione del sistema informativo da parte degli intermediari; le concrete misure da adottare tengono conto degli specifici obiettivi strategici e, secondo il principio di proporzionalità, della dimensione e complessità operative, della natura dell attività svolta, della tipologia dei servizi prestati nonché del livello di automazione dei processi e servizi della banca. A tal proposito, le banche valutano l opportunità di avvalersi degli standard e best practices definiti a livello internazionale in materia di governo, gestione, sicurezza e controllo del sistema informativo 2. Il sistema informativo (inclusivo delle risorse tecnologiche hardware, software, dati, documenti elettronici, reti telematiche e delle risorse umane dedicate alla loro amministrazione) rappresenta uno strumento di primaria importanza per il conseguimento degli obiettivi strategici e operativi degli intermediari, in considerazione della criticità dei processi aziendali che dipendono da esso. Infatti: dal punto di vista strategico, un sistema informativo sicuro ed efficiente, basato su un architettura flessibile, resiliente ed integrata a livello di gruppo consente di sfruttare le opportunità offerte dalla tecnologia per ampliare e migliorare i prodotti e i servizi per la clientela, accrescere la qualità dei processi di lavoro, favorire la 2 Vedi Titolo V della Circolare n. 263 del 27 dicembre 2006, 15 aggiornamento del 2 luglio 2013.

6 de-materializzazione dei valori, ridurre i costi anche attraverso la virtualizzazione dei servizi bancari; nell ottica della sana e prudente gestione, il sistema informativo consente al management di disporre di informazioni dettagliate, pertinenti ed aggiornate per l assunzione di decisioni consapevoli e tempestive e per la corretta attuazione del processo di gestione dei rischi; con riguardo al contenimento del rischio operativo, il regolare svolgimento dei processi interni e dei servizi forniti alla clientela, l integrità, la riservatezza e la disponibilità delle informazioni trattate, fanno affidamento sulla funzionalità dei processi e dei controlli automatizzati; in tema di compliance, al sistema informativo è affidato il compito di registrare, conservare e rappresentare correttamente i fatti di gestione e gli eventi rilevanti per le finalità previste da norme di legge e da regolamenti interni ed esterni. Possiamo quindi affermare che, a due anni di distanza dalla pubblicazione dell ultima revisione del Codice, la Banca d Italia abbia aggiornato la disciplina in ambito IT Governance in modo chiaro e puntuale. E auspicabile che in un futuro prossimo, sempre seguendo il concetto di proporzionalità, tali tematiche possano diventare un importante requisito ancora più chiaramente definito all interno del Codice stesso vista l importanza che oggi l IT Governance ha assunto all interno delle società. Come verrà spiegato nel paragrafo successivo l adozione del COBIT 5 risponde pienamente a quanto richiesto da Banca d Italia e quindi può costituire per tutte le società che già aderiscono o decideranno di adottare il Codice, oltre alle Banche, un metodo più efficace ed efficiente per gestire il proprio livello di IT Governance.

7 Il modello di riferimento di IT Governance: perché COBIT 5 Il Codice definisce nell Art. 7 nel primo principio 7.P.1, [ ]. Tale sistema (ndr. di controllo interno e gestione dei rischi) è integrato nei più generali assetti organizzativi e di governo societario adottati dall emittente e tiene in adeguata considerazione i modelli di riferimento e le best practices esistenti in ambito nazionale e internazionale [ ]. Inoltre, sempre nello stesso articolo nel quinto criterio attuativo 7.C.5 si parla di sistemi informativi, Il responsabile della funzione di internal audit : [ ]; g) verifica, nell ambito del piano di audit, l affidabilità dei sistemi informativi inclusi i sistemi di rilevazione contabile. Partendo da tali affermazioni, tratte dal Codice, è opportuno domandarsi quale framework di riferimento sia più adeguato per la definizione del sistema di governance e di gestione dei rischi in ambito IT. Il gruppo di lavoro ha identificato nel COBIT 5 il framework di riferimento adeguato per essere in linea con le aspettative e le ideologie di base del Codice e la sua capacità di potersi adattare ad ogni azienda. COBIT 5, rilasciato nel 2012 alla sua quinta edizione, consolida e integra i precedenti framework emessi da ISACA (COBIT 4.1, Val IT 2.0 and Risk IT e BMIS) e posa le sue fondamenta, dopo anni di riconosciuto utilizzo e vantaggi, sulle versioni precedenti di COBIT. Queste ultime hanno avuto il loro riconoscimento in SEC (COBIT for SOX) e nella equivalente applicazione sul mercato regolamentato italiano (COBIT per 262). Nel 2005 anche l Unione Europea ha indicato COBIT come uno degli standard utilizzabili per garantire la sicurezza dei sistemi informativi. Come risulta ben rappresentato nel terzo principio Applying a Single, Integrated framework, COBIT 5 è allineato con gli ultimi standard e framework internazionalmente riconosciuti, fatto che permette all azienda di utilizzarlo come elemento di integrazione più che una sostituzione di altri standard e frame work. Ad esempio l approccio di governance di COBIT 5 è basato su un modello di EDM (Evaluate, Direct and Monitor) che è lo stesso usato nell ISO Governance Model (ISO 38500). Altri riferimenti evidenziati in COBIT 5 sono: Enterprise related: COSO, COSO ERM, ISO 9000, ISO 31000; IT related: ISO 38500, ITIL, serie ISO 27000, TOGAF, PMBOK/PRINCE2, CMMI. COBIT 5, tuttavia, a differenza di altri standard e framework internazionali, che enfatizzano o i controlli di business (COSO), o di sicurezza IT (serie ISO/IEC 27000), o di service management delle attività legate all IT (ITIL), integra tutte le funzioni e i processi di IT Governance in una governance di impresa ed in una prospettiva di business. COBIT 5, pertanto, non ha la presunzione di sostituire nessuno dei suddetti standard e framework. Esso ha l intenzione di sottolineare come la governance, gli elementi di gestione e le pratiche siano necessarie al fine di creare

8 valore dall Information Technology a supporto degli obiettivi di business delle imprese. Quest ultimo aspetto evidenzia come siano condizioni necessarie, per l adozione e l implementazione con successo di COBIT 5, la direzione, il coinvolgimento ed il supporto continuo da parte del top management dell azienda. La scelta di implementare COBIT 5 come modello di IT Governance non è prerogativa del CIO (Chief Information Officer) o della Direzione Sistemi Informativi, ma è in primo luogo della Direzione d impresa. COBIT 5, come espresso nel primo principio Meeting Stakeholder Needs, nasce prima di tutto come necessità degli stakeholder, comunemente influenzate da fattori esogeni (ambiente e regolamentazioni esterne ed evoluzione tecnologica); solo successivamente, la strategia dell azienda si traduce in obiettivi di business, i quali a loro volta si riconducono ad obiettivi IT. Ulteriore vantaggio di adottare COBIT 5 come framework di riferimento è che le aziende possono utilizzarlo separando chiaramente la governance dal management. In sostanza, COBIT 5 è un esauriente framework che aiuta le imprese a creare un ottimale valore dall IT mantenendo un giusto equilibrio tra realizzazione dei benefici di business ed ottimizzazione del livello di rischio e dell utilizzo delle risorse. COBIT 5 permette all informazione ed alla relativa tecnologia di essere governata e gestita in maniera olistica sull intera organizzazione, considerando sia i processi di business end-to-end e le aree funzionali di responsabilità, sia gli interessi legati all IT. Per quanto sopra descritto, COBIT 5 rispetta e ricalca i requisiti di un sistema di governance e di gestione dei rischi così come espresso nel criterio applicativo 7.C.1 del Codice: [ ] i principali rischi afferenti all emittente e alle sue controllate risultino correttamente identificati, nonché adeguatamente misurati, gestiti e monitorati, determinando inoltre il grado di compatibilità di tali rischi con una sana e corretta gestione dell impresa coerente con gli obiettivi strategici individuati; [ ].

9 COBIT 5: A Business Framework for the Governance and Management of Enterprise IT Come emerge dal titolo che lo accompagna 3, le intenzioni del nuovo framework sono manifeste ed inequivocabili: rivolto non più esclusivamente ai dipartimenti IT delle società (tanto da definirsi business framework), COBIT 5 diventa lo strumento di governo e gestione dell IT. Questa premessa è aderente alle richieste normative sopra descritte, non solo di centralità degli organi di governo societari 4 (cfr.: Consiglio di Amministrazione), ma anche di enfasi nella definizione appropriata di un sistema di controllo interno e nella gestione dei rischi. All interno del framework, leggiamo: [ ] COBIT 5 provides a comprehensive framework that assists enterprises in achieving their objectives for the governance and management of enterprise IT. Simply stated, it helps enterprises create optimal value from IT by maintaining a balance between realising benefits and optimising risk levels and resource use. COBIT 5 enables IT to be governed and managed in a holistic manner for the entire enterprise, taking in the full end-to-end business and IT functional areas of responsibility, considering the IT-related interests of internal and external stakeholders. COBIT 5 is generic and useful for enterprises of all sizes, whether commercial, not-for-profit or in the public sector [ ]. Questo passo tratto dall Executive Summary espone in estrema sintesi i cinque principi COBIT 5 che regolano il governo dell IT per il raggiungimento degli obiettivi di business, offrendo riferimenti puntuali per una gestione dei rischi dell informazione. I principi di COBIT 5 sono: 1. Meeting Stakeholder Needs: partendo dal presupposto che le società esistono al fine di dare valore agli stakeholders garantendo l equilibrio desiderato tra i benefici ottenuti, i rischi assunti e l impiego delle risorse, COBIT fornisce evidenza di quali processi e quali elementi abilitanti siano necessari a supportare la creazione di valore. 2. Covering the Enterprise End-to-end: COBIT non insiste solamente sui processi IT ma considera l informazione ed i corrispondenti elementi tecnologici come attività, patrimonio, assests. 3. Applying a Single, Integrated Framework: COBIT si allinea con gli le best practices e gli standard esistenti, al fine di fornire un indirizzo di alto livello per le tematiche di governo e gestione dell IT all interno delle società. 3 4 A Business Framework for the Governance and Management of Enterprise IT. COBIT 5 è fondato su cinque principi, il primo dei quali è Meeting Stakeholder Needs.

10 4. Enabling a Holistic Approach: il governo e la gestione dell IT richiedono un approccio olistico delle numerose componenti esistenti e che interagiscono tra loro. Per tale ragione COBIT definisce alcuni elementi abilitanti per permettere l implementazione dei processi di governo e gestione. Gli elementi abilitanti sono: - Principles, Policies and Frameworks; - Processes - Organisational Structures; - Culture, Ethics and Behaviour; - Information; - Services, Infrastructure and Applications; - People, Skills and Competencies. 5. Separating Governance from Management: governo e gestione sono elementi differenti in ambito aziendale. COBIT li disciplina definendo per ciascuno lo svolgimento di determinate attività e l adozioni di strutture organizzative dedicate, al fine di raggiungere obiettivi differenti. Infatti: - la governance assicura che i bisogni degli stakeholders, condizioni ed opzioni siano valutate al fine di determinare obiettivi aziendali bilanciati e concordati; l impostazione della direzione attraverso la prioritizzazione ed il decision making; il monitoraggio delle performance e la compliance in confronto alla direzione concordata e agli obiettivi; - il Management pianifica, costruisce, fa funzionare e monitora le attività in allineamento alle direzioni impostate dal corpo della governance al fine di raggiungere gli obiettivi aziendali. Ripercorrendo i principi, COBIT 5 correla quindi i bisogni degli stakeholder agli obiettivi dell impresa, definendo gli obiettivi IT e gli elementi abilitanti. E proprio seguendo queste correlazioni che troviamo le guide di riferimento dei processi 5, le quali riportano spesso ampliate e riviste (se non a volte, del tutto nuove), le informazioni tipiche del mondo COBIT: identificazione dei processi; descrizione dei processi; definizione dello scopo del processo; la connessione degli obiettivi (Goal Cascade); obiettivi del processo e metriche; matrice RACI; descrizione dettagliata dei processi. Il concetto di rischio, controllo e misurazione non possono prescindere dal grado di raggiungimento degli obiettivi IT (necessari come detto per l abilitazione degli obiettivi 5 Denominate Process Reference Guide, presenti all interno della famiglia COBIT 5 Enabler Guides.

11 di business). Tali obiettivi sono raggiunti attraverso l implementazione di fattori abilitanti e sono categorizzati come segue: intrinsic goals; contextual goals; accessibility and security goals. A titolo di esempio, la qualità dell informazione (inteso come fattore abilitante) può essere declinata come segue: Qualità intrinseca - La misura in cui il valore dei dati è in conformità con il valore attuale o vero. Include: - Accuratezza - La misura in cui l informazione è corretta ed affidabile. - Obiettività - La misura in cui l informazione è obiettiva, senza pregiudizi ed imparziale. - Credibilità - La misura in cui è considerata vera e credibile. - Reputazione - La misura in cui l informazione è altamente considerata in termini della sua fonte o contenuti. Qualità del contenuto e rappresentazione - La misura in cui l informazione è applicabile al compito dell informazione degli utenti e si presenta come intellegibile e chiara, riconoscendo che la qualità dell informazione dipende dal contesto di utilizzo. Include: - Pertinenza - La misura in cui l informazione è applicabile e utile per il compito a portata di mano. - Completezza - La misura in cui l informazione non è mancante o è di sufficiente profondità ed ampiezza per completare il compito a portata di mano. - Attualità - La misura in cui l informazione è sufficientemente aggiornata per il compito a portata di mano. - Quantità appropriata d informazione - La misura in cui il volume delle informazioni è appropriato per il compito a portata di mano. - Rappresentazione concisa - La misura in cui l informazione è rappresentata in maniera compatta. - Rappresentazione consistente - La misura in cui l informazione è presentata nello stesso formato. - Interpretabilità - La misura in cui l informazione è in linguaggi appropriati, simboli ed unità, con chiare definizioni. - Comprensibilità - La misura in cui l informazione è facilmente capita e recepita. - Facilità di manipolazione - La misura in cui l informazione è facile da manipolare ed applicare a diversi compiti. Qualità della sicurezza/accessibilità - La misura in cui l informazione è disponibile od ottenibile. Include:

12 - Disponibilità/tempestività - La misura in cui l informazione è disponibile quando richiesta, o facilmente e velocemente recuperabile. - Accesso ristretto - la misura in cui l informazione è appropriatamente ristretta a soggetti autorizzati. Ne consegue che il concetto di affidabilità dei sistemi informativi è da ricercarsi nell ambito di processi IT che sappiano rendersi abilitatori delle qualità dell informazione.

13 Definizione dell approccio di audit Definito nel paragrafo precedente l insieme degli obiettivi del sistema di controllo dei sistemi informativi, necessari per assicurare l adeguatezza dei processi IT per il raggiungimento degli obiettivi di business, nonché l affidabilità dei sistemi stessi, il passaggio successivo prevede la stesura di un piano di audit di alto livello che identifichi secondo una metodologia consolidata gli interventi di audit da eseguire secondo un criterio di valutazione dei rischi. Al fine di raggiungere tale obiettivo, è necessario dapprima procedere con l identificazione di tutti i processi di business rilevanti e dei loro obiettivi, nonché dei sistemi a supporto degli stessi. Ciò consente in prima istanza di comprendere in che modo i processi IT possono influenzare il raggiungimento degli obiettivi aziendali, ed inoltre di definire il perimetro dei sistemi oggetto delle verifiche. Ciò avviene sulla base di valutazioni, sia quantitative sia qualitative, sui possibili rischi esistenti, sulle relative minacce e vulnerabilità, e di conseguenza sugli impatti in merito al raggiungimento degli obiettivi di controllo IT definiti da COBIT (risk assessment). In particolare, il risk assessment dovrebbe prevedere un analisi preventiva del contesto aziendale, volta all identificazione dei rischi esistenti sui processi e dei possibili impatti, ed alla comprensione dell influenza dei processi IT su tali rischi, valutando l allineamento dei processi di governance dei sistemi informativi (Evaluate, Direct & Monitoring secondo COBIT 5) alle strategie di gestione di rischio aziendali. Sulla base di tali valutazioni saranno identificati le misure di controllo IT oggetto di verifica, e valutata la rispondenza dell ambiente di controllo esistente ai requisiti definiti a livello di obiettivi. L insieme del perimetro e degli esiti del risk assessment permetterà di assegnare un livello di criticità (e di conseguenza priorità) a ciascun sistema e processo IT in ambito, guidando la definizione del piano delle attività di audit pluriennale. Sulla base della complessità dell ambiente e dell organizzazione IT è possibile prevedere una diversa durata del piano di verifiche di audit, ma a livello generale si ipotizza un orizzonte temporale di tre anni per il completamento delle verifiche stesse, e comunque non superiore ai cinque anni. Tale piano di audit dovrà prevedere la copertura nell orizzonte temporale previsto di tutto il perimetro dei sistemi e dei processi IT significativi con un criterio di rotazione, nonché l esecuzione di tutte le verifiche di audit ritenute necessarie trasversalmente sulle seguenti aree: Verifica dei controlli generali IT e relativa maturity, che indirizzi l obiettivo introdotto al paragrafo precedente di Qualità intrinseca, e parzialmente dell obiettivo di Sicurezza/Accessibilità. Tali verifiche dovrebbero prevedere l analisi dei controlli previsti nell ambito dei processi di gestione (Management Processes secondo COBIT 5) del ciclo di vita dei sistemi informativi: - Align, Plan & Organize,

14 - Build, Acquire & Implement, - Deliver, Service & Support, - Monitor, Evaluate & Assess, tramite la comprensione dei controlli stessi (walkthrough) ed il successivo test di efficacia. Queste attività dovrebbero essere eseguite tutti gli anni, ma il perimetro di applicazione può essere configurato in modo che ogni applicativo sia verificato una volta nell orizzonte temporale, a partire da quelli con criticità superiore. Assessment dei controlli automatici (e semiautomatici) chiave per i processi in ambito, così da indirizzare l obiettivo di Qualità del contenuto e della rappresentazione. Tali verifiche dovrebbero prevedere il test dei controlli chiave gestiti tramite automatismi di sistema, nell ambito dei processi di business significativi inclusi in ambito. Anche in questo caso, verifiche sui controlli automatici dovrebbero essere condotte tutti gli anni, ma il perimetro di applicazione può essere configurato in modo da coprire tutti i processi nell orizzonte temporale, a partire da quelli con criticità superiore. Con specifico riferimento all obiettivo Sicurezza/Accessibilità, come già introdotto in precedenza, possono essere svolte ulteriori verifiche ad-hoc sulle seguenti aree: - Vulnerability Assessment & Penetration Testing, volti alla verifica dell esistenza di eventuali vulnerabilità nei sistemi ed alla definizione dei conseguenti piani di azione; - Security Assessment volti alla verifica dell adeguatezza del Sistema di Gestione della Sicurezza delle Informazioni dal punto di vista organizzativo, procedurale e tecnico; - Compliance Privacy, ivi inclusa la gestione degli Amministratori di Sistema come da Provvedimento del 27 novembre 2008; - verifiche della Segregation of Duties al fine di identificare eventuali conflitti e la conseguente strategia di mitigazione; - ogni altro intervento ritenuto necessario sulla base del contesto organizzativo e normativo aziendale. A seconda della complessità dell ambiente e dei sistemi IT, e del livello di automazione raggiungibile dalle modalità di verifica, tali attività possono essere svolte anche più volte l anno, consentendo un costante allineamento ai requisiti di security aziendale. A seguito di tale pianificazione di massima, il piano di verifiche per l anno corrente deve essere specificato nel dettaglio, tramite la definizione dell insieme dei sistemi e processi in ambito, dei controlli da testare e delle relative strategie di test. Il piano di audit di dettaglio deve poi essere eseguito in collaborazione con le funzioni aziendali coinvolte, eventuali gap rispetto alle leading practices evidenziati e condivisi con le funzioni coinvolte stesse, le quali definiranno l action plan corrispondente per raggiungere la conformità agli obiettivi di controllo prestabiliti.

15 Per ogni anno successivo, il piano dovrà prevedere l aggiornamento del risk assessment, volto a identificare e valutare eventuali elementi di discontinuità rispetto al passato con riferimento agli obiettivi di controllo IT (progetti significativi, migrazioni di sistemi in scope, cambiamenti organizzativi, aggiornamenti alla normativa di riferimento, ecc.). Tali valutazioni potrebbero portare alla modifica dell ambito e del dettaglio dei test da eseguire per l anno corrente, ponendo maggiore attenzione sugli elementi modificati rispetto al risk assessment precedente o che presentano una priorità maggiore. Ciò non deve comunque pregiudicare la copertura di tutti i processi ed i sistemi rilevanti nell ambito dell orizzonte temporale considerato. In ogni caso, le attività di audit degli anni successivi al primo dovrebbero includere, sulla base di quanto emerso durante l aggiornamento del risk assessment: follow-up delle tematiche emerse nel corso dei precedenti audit, al fine di verificare l effettiva implementazione degli action plan definiti e l efficacia delle soluzioni adottate; specifiche verifiche sui cambiamenti significativi avvenuti rispetto alla precedente rilevazione del sistema dei controlli; esecuzione delle attività previste dal piano di audit pluriennale, secondo la pianificazione di massima; esecuzione di eventuali ulteriori verifiche ad-hoc, sulla base delle specifiche necessità dell organizzazione. La conduzione delle attività di audit così, come illustrato sopra, consente un monitoraggio costante di tutti i controlli chiave relativi ai processi ed ai sistemi in scope, supportando con efficacia ed efficienza la verifica delle caratteristiche di affidabilità dei sistemi informativi, che si rende necessaria per la conformità ai requisiti del Codice.