IT GOVERNANCE E INFORMATION RISK MANAGEMENT: UN CONNUBIO PERFETTO



Documenti analoghi
SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

MANDATO INTERNAL AUDIT

Politica per la Sicurezza

1- Corso di IT Strategy

5.1.1 Politica per la sicurezza delle informazioni

Associazione Italiana Corporate & Investment Banking. Presentazione Ricerca. Il risk management nelle imprese italiane

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma

IL SISTEMA DI CONTROLLO INTERNO

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras

Configuration Management

Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali

Università di Macerata Facoltà di Economia

Modello dei controlli di secondo e terzo livello

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

SISTEMA DI CONTROLLO INTERNO per la gestione del rischio amministrativo-contabile

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Associazione Italiana Information Systems Auditors

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità

La certificazione CISM

Il modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali. Roma, 6 giugno

Esternalizzazione della Funzione Compliance

Gestire il rischio di processo: una possibile leva di rilancio del modello di business

La certificazione dei sistemi di gestione della sicurezza ISO e BS 7799

LA REVISIONE DELLA ISO 14001:2015

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010

MANDATO DI AUDIT DI GRUPPO

INTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA GIUSEPPE CERASOLI, CIA RESPONSABILE COMITATO PA

ACCREDIA L ENTE ITALIANO DI ACCREDITAMENTO

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa

COMUNE DI RAVENNA GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI)

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni

Banche e Sicurezza 2015

L esperienza dell Università di Bologna

I NUOVI MODELLI ORGANIZZATIVI E TECNOLOGICI A SUPPORTO DELL EFFICIENZA AZIENDALE

Metodologie per l identificazione e la qualificazione del rischio nell attività del Collegio Sindacale

Fattori critici di successo

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

Supply Intelligence. Informazioni rapide e approfondite sui fornitori potenziali

Direzione Centrale Audit e Sicurezza IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE

BILANCIARSI - Formazione e Consulenza per la legalità e la sostenibilità delle Organizzazioni

I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS AV2/07/11 ARTEMIDE.

S i s t e m a d i v a l u t a z i o n e d e l l e p r e s t a z i o n i d e i d i p e n d e n t i

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ITSMS (IT SERVICE MANAGEMENT SYSTEMS) AUDITOR/RESPONSABILI GRUPPO DI AUDIT

L IT Governance e la gestione del rischio

SDA Bocconi School of Management per Unindustria Reggio Emilia. Percorso formativo per Responsabili Sistemi Informativi"

03. Il Modello Gestionale per Processi

I SISTEMI DI GESTIONE DELLA SICUREZZA

Policy sulla Gestione delle Informazioni

2 PRINCIPI E VALORI CAP. 2.0 PRINCIPI E VALORI 2.1 SCOPO 2.2 PRINCIPI Inclusività

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO e ISO 22301

INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data:

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

Progetto di Information Security

Comprendere il Cloud Computing. Maggio, 2013

ISO 14001:2015 Le nuove prospettive dei Sistemi di Gestione ambientali. Roma 22/10/15 Bollate 05/11/15

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

Audit & Sicurezza Informatica. Linee di servizio

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti?

La norma ISO 9001:08 ha apportato modifiche alla normativa precedente in

Il Project Management nell Implementazione dell'it Service Operations

Sistema di gestione della Responsabilità Sociale

Appendice III. Competenza e definizione della competenza

ISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito

LA VALUTAZIONE DELL ATTIVITA del CONSIGLIO DI AMMINISTRAZIONE

Servizi di revisione contabile e verifica delle informazioni finanziarie nel processo di listing e post listing

Ciclo di vita dimensionale

Corso di Valutazione Economica dei Progetti e dei Piani. Marta Berni AA

VALUTAZIONE DEL LIVELLO DI SICUREZZA

QUESTIONARIO 3: MATURITA ORGANIZZATIVA

Applicazioni dello standard ISO 31000:2009 Risk Management Principles and guidelines

Il Modello 231 e l integrazione con gli altri sistemi di gestione aziendali

SVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007

Legge 231: le ricadute organizzative e il risk management

Il processo di sviluppo sicuro. Kimera Via Bistolfi, Milano

ISO 9001:2000: COME UTILIZZARE LA NORMA PER GESTIRE I FORNITORI

L IMPLEMENTAZIONE DEL MODELLO: I PROTOCOLLI DI CONTROLLO E I FLUSSI INFORMATIVI

REGOLAMENTO DEL COMITATO PER IL CONTROLLO INTERNO

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Politica di Acquisto di FASTWEB

RISCHIO OPERATIVO. Gruppo di lavoro AIFIRM "Rischio operativo": oggetto, sfide e stato dell'arte

POLITICA DELLA QUALITA DELL AMBIENTE E DELLA SICUREZZA ALIMENTARE

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.

Analisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it

Diventa fondamentale che si verifichi una vera e propria rivoluzione copernicana, al fine di porre al centro il cliente e la sua piena soddisfazione.

CERTIQUALITY. Gli standard ISO per il RiskManagement ed ISO per la certificazione dei Sistemi di Gestione della Business Continuity

SVILUPPO TALENTI PROGETTO CONSEGUIRE OBIETTIVI RICERCARE ECCELLENZA

Information technology e sicurezza aziendale. Como, 22 Novembre 2013

CERTIFICAZIONE ISO 14001

BASILE PETROLI S.p.A. Dichiarazione Politica qualità, ambiente e sicurezza

Sicurezza, Rischio e Business Continuity Quali sinergie?

MANUALE DELLA QUALITÀ Pag. 1 di 6

Il modello di ottimizzazione SAM

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Il Risk Management Integrato in eni

S I C U R E Z Z A I C U R E Z Z A C U R E Z Z A U R E Z Z A R E Z Z A E Z Z A Z Z A Z A A

Transcript:

OSSERVATORIO IT GOVERNANCE IT GOVERNANCE E INFORMATION RISK MANAGEMENT: UN CONNUBIO PERFETTO Sintesi a cura di Corrado Pomodoro, Senior manager HSPI Introduzione La Governance dell Information Technology è il modo in cui si indirizzano scelte, investimenti, piani di azione ed attività nell ambito dei Sistemi Informativi, in modo che siano allineati agli obiettivi aziendali e che siano un efficace strumento di supporto. Governance dell IT è anche il modo con cui si misura l efficacia dei Sistemi Informativi e l efficienza con cui vengono raggiunti gli scopi. L'Information Risk Management è il modo in cui vengono gestiti i rischi (le minacce o, talvolta, le opportunità) legati alle informazioni e ai dati, al fine di assicurare una protezione adeguata rispetto, ancora una volta, agli obiettivi aziendali (segretezza dei piani, affidabilità dei dati, disponibilità dei servizi), oltre che ai vincoli di legge. Due prassi fortemente complementari, per molti aspetti sovrapponibili, senza alcun dubbio inseparabili. Senza pretese di esaurire l argomento, vediamone alcuni aspetti di principio ed altri più pragmatici, utili, ci auguriamo, ad ispirare modelli virtuosi da una parte e a praticare efficienze, quanto mai preziose, dall altra: sani principi: IRM leva della Governance di impresa best practice: benefici dell integrazione di IRM e IT Governance strumenti e trasversalità un esempio: il codice di Autodisciplina 1

Sani principi Per spiegare il parallelo tra IT Governance e IRM, ne introduciamo un altro: così come l IT Governance è un componente della Governance aziendale (Corporate Governance), l IRM è un componente della gestione dei rischi aziendale (Enterprise Risk Management, ERM). L ERM, a sua volta, è a tutti gli effetti uno strumento di Corporate Governance, laddove supporta l alta direzione a prendere decisioni strategiche in modo più consapevole e ad assicurare organicità ed adeguatezza al sistema dei controlli interni progettato a tutela degli obblighi di legge (es. trasparenza di bilancio), nonché degli interessi dei principali stakeholder. L ERM si pone quindi come una soluzione per gestire le crescenti esigenze di controllo nella maggior parte dei casi rese cogenti da interventi legislativi - che hanno portato a sovrastrutture di compliance poco efficienti, avulse dai processi aziendali e, soprattutto, inefficaci rispetto all insieme più ampio e articolato dei rischi di un impresa. Si può dire altrettanto dell IRM rispetto all IT Governance? In teoria forse sì. Nella pratica c è ancora un po di confusione, alimentata, negli ambienti dell Information Technology, da un terzo incomodo: l Information Security e la sua apparente dicotomia rispetto all Information Risk Management. In un indagine del 2011 (Survey Analysis: Information Security Governance, 2011, Tom Scholtz) Gartner interrogava un campione di aziende sulle relazioni tra Information Security e Information Risk Management e, di fronte a risposte tanto contrastanti quanto bilanciate, concludeva Maybe security and risk management are not the two sides of the same coin maybe these disciplines are so integrated that they ARE the coin. E ancora: The business is interested in the coin, not the pictures embossed on either side of it. Indeed, an effective assurance model consists of three aspects: risk management, security management and audit. Sostanzialmente, in accordo con le conclusioni di Scholtz e superato l impasse attribuendo alla moneta - il coin nella conclusione di Scholtz - il nome conciliante di assurance, che ingloba in sé i concetti di Information Risk Management e Information Security Management, resta il dubbio di quanto, ad oggi, essi rappresentino effettivamente uno strumento da integrare, per rafforzarla e renderla più efficace, con la Governance dell IT. Detta in altri termini: quali sono, se esistono, i benefici dell integrazione delle due prassi - quella dell IT Governance e quella dell information Risk management - e come sia possibile perseguirli senza incorrere in altri effetti indesiderati. Per cercare di fugare i dubbi, o almeno una loro parte più sul piano pratico che su quello teorico e dei principi, sul quale probabilmente è più facile ritrovarsi attingiamo ad alcune risorse ed alcuni esempi. Best practice Cobit, il framework per eccellenza dell IT Governance, oggi alla sua quinta versione, enumera, nella guida Cobit 5 for Information Security, molteplici esigenze ed altrettanti benefici che riguardano l integrazione di buone prassi per la gestione dei rischi e della sicurezza delle informazioni in ciascuno dei 37 processi di IT Governance. L opera, al riguardo, non è ancora completa; si attende, infatti, anche la prossima uscita della guida Cobit 5 for Risk (non ancora rilasciata alla data di questo articolo). La guida è ricca e dettagliata ma non si distingue per sinteticità, presentandosi più che altro come un ampio manuale di riferimento. Il modello dei processi, su cui il framework e la guida si basano, al contrario, offre un eccellente schema di sintesi a cui rapportarsi allo scopo di richiamare ed esemplificare gli stretti legami tra IT Governance e Information Risk Management. Lo schema raggruppa i 37 processi in 5 gruppi, che corrispondono ad altrettante fasi del ciclo di vita dei Sistemi Informativi: 2

1. Evaluate, Direct and Monitor (EDM); 2. Align, Plan and Organize (APO); 3. Build, Acquire and Implement (BAI); 4. Deliver, Service and Support (DSS); 5. Monitor, Evaluate and Assess (MEA). La prima fase - Evaluate, Direct and Monitor - è peculiare delle attività di Governance nella sua prerogativa di fornire un indirizzo di azione e verificarne i risultati: solo un accurata comprensione del contesto, inteso anche come attitudine al rischio, per cultura o necessità, e conseguente determinazione dei criteri di valutazione di opportunità, progetti, risultati, può assicurare il livello di consapevolezza indispensabile per non fare il passo più lungo della gamba. Prassi e strumenti di eccellenza, a questo scopo, si rivelano la definizione di Policy, di un adeguata struttura organizzativa e, nei casi più complessi, l impostazione di un Enterprise Architecture. La seconda fase - Align, Plan and Organise ha a che vedere con l elaborazione di un piano d azione attraverso l esperta capacità di gestire le risorse, interne ed esterne, con una precisa visione strategica. Alla base del successo di un piano c è la capacità di intravedere e neutralizzare le implicazioni negative o, in altri termini, i rischi di progetto. Intùito ed esperienza sono armi eccellenti per questo, fintantoché funzionano; dopo, per chi rimane, non resta che affidarsi alla meticolosità di una buona analisi dei rischi: la definizione delle strategie non può non passare per la valutazione dei rischi e degli impatti di ciascuna azione, così come della sua non attuazione; ne è un esempio significativo la Business Continuity, che basa la scelta delle soluzioni per la continuità operativa aziendale sui requisiti derivanti dalla valutazione degli impatti conseguenti ad eventi critici. La terza fase Build, Acquire and Implement riguarda l attuazione delle strategie, attraverso lo sviluppo o l acquisizione delle soluzioni identificate. Anche in questo caso il parallelo con la Business Continuity, che a sua volta è un componente dell Information Security, è illuminante, ma evidentemente non unico. È in questa fase che i requisiti di principio, i vincoli di progetto, si trasformano in requisiti di dettaglio e il progetto di massima in un progetto esecutivo. Qualsiasi requisito funzionale (o di business) non può prescindere dai requisiti di compliance, accessibilità,, integrità, segretezza espressi in termini assoluti (esistono oppure no) e relativi (quanto confidenziale? quali conseguenze se qualcun altro vi accede? quali se qualcuno non vi accede?); qualsiasi requisito tecnico non può prescindere dai requisiti di affidabilità, disponibilità e generale protezione dell infrastruttura che lo sostiene. Cruciale, in questa fase, è il passaggio dallo sviluppo all esercizio, che comporta un attenta verifica dei requisiti, tanto più efficace quanto meglio pianificata ed impostata sulla base di scenari critici (worst case). Il tema si estende al fornitore (sviluppatore, outsourcer, cloud provider), alla sua affidabilità oltre che alla sua capacità tecnica, alla sua solidità finanziaria, al suo dimostrabile rispetto dei vincoli di legge e di contratto, tutti elementi che concorrono a limitare i rischi o a mantenerli entro limiti accettabili. La quarta fase - Deliver, Service and Support riguarda l Esercizio dei Sistemi Informativi, la gestione degli incidenti e dei problemi, la gestione della continuità operativa. È la parte più esecutiva. In termini di Risk Management è necessario riferirsi alla sfera più specifica della gestione della sicurezza delle informazioni, intesa come assicurazione che i requisiti di riservatezza, integrità e disponibilità determinati in tutte le precedenti fasi siano controbilanciati da un complesso di misure organizzative, procedurali e tecnologiche; controlli appunto, adeguati ed applicati. In termini di Risk management è la fase del trattamento, unita a quella irrinunciabile della gestione degli imprevisti incidenti - che anche il miglior sistema di controlli non potrà, e non vorrà, sempre impedire. L ultima fase - Monitor, Evaluate and Assess riguarda la verifica che le prestazioni siano 3

coerenti con le aspettative, incluse quelle del sistema dei controlli. Il richiamo a funzioni di audit indipendenti è chiaro e spiega, quindi, il ruolo che la loro funzione (interna o esterna) ha nella gestione dei rischi e nell IT Governance. Vale la pena sottolineare alcune delle implicazioni tra la sicurezza delle informazioni e alcuni dei processi di IT service management sottesi ad una buona prassi di IT governance. Come evidenziato nella fase Build, Acquire and Implement di Cobit, nell attività di analisi dei requisiti è fondamentale l inclusione dei requisiti di sicurezza delle informazioni a partire dai fondamentali confidenzialità, integrità e disponibilità. Questo implica l importanza del coinvolgimento delle strutture/competenze deputate alla sicurezza delle informazioni nel processo di change management. Classificare correttamente un change valutandone gli impatti per l organizzazione nel suo complesso è a tutti gli effetti un attività di Risk management. L integrazione dei due processi, ancorché naturale per missione, è garanzia di efficienza del flusso operativo di change management. Il beneficio dell integrazione in termini di efficienza operativa ed efficacia dei risultati si estende evidentemente a buona parte degli altri processi strettamente collegati nell ambito del transition, quali: release & deployment, asset & configuration, così come all intera filiera dei processi ITIL: strategy - si pensi alla gestione della domanda e alla necessità di valutare impatti e rischi - service design si pensi alla necessità e al beneficio di realizzare software e infrastrutture più sicure e resilienti - operation si pensi all integrazione della gestione degli incidenti di sicurezza delle informazioni, inclusi potenziali disastri, con i processi di event, incident e problem management. Una buona integrazione, tesa a snellire il team dedicato alla sicurezza delle informazioni, a favore di una ripartizione delle responsabilità di attuazione e verifica dei controlli nell ambito di tutte le funzioni aziendali, ispirata a principi di collaborazione, apprezzamento e condivisione dei rischi, porta un ulteriore importante beneficio. È infatti estremamente utile a mitigare la percezione negativa della sicurezza in azienda come ostacolo, inutile sovrastruttura, elemento frenante, a favore di una più ragionevole valutazione di necessità (vedi la compliance) ed opportunità (vedi la continuità del servizio). Strumenti e trasversalità Premesso che, come per qualsiasi ambito dell Information Technology, uno strumento diventa utile solo se subordinato ad un effettivo e metabolizzato cambiamento organizzativo e di processo, l integrazione tra Information Risk Management e IT Governance può essere efficacemente supportata dalla crescente disponibilità e diffusione di diverse categorie di strumenti tecnologici. Fra tutte, merita di essere citata la categoria dei cosiddetti sistemi GRC Governance Risk & Compliance. L acronimo, definito, a quanto sembra, per la prima volta da Gartner, racchiude strumenti che svolgono funzioni di GRC Management, che secondo la definizione di Gartner vuol dire: automation of the management, measurement, remediation and reporting of controls and risks against objectives, in accordance with rules, regulations, standards, policies and business decisions. Le funzioni di un GRC sono articolate in quattro principali gruppi: 1. Audit management (pianificazione, self assessment, reporting); 2. Policy management (gestione documentale del ciclo di vita, mappatura sugli obiettivi di business e rischi); 3. Compliance management (gestione documentale, workflow, reporting); 4. Risk management (gestione documentale, workflow, questionari, reporting, remediation). L efficacia di questi strumenti è proporzionale alla loro trasversalità rispetto alle funzioni aziendali. 4

Riprendendo la premessa, la trasversalità rappresenta il cambiamento indispensabile per l utilità dello strumento. Un database unificato in cui raccogliere gli eventi di diversa natura che possano avere impatto sulla sicurezza delle informazioni; unificato in quanto popolato da tutti i processi aziendali ed opportunamente normalizzato. Un repository unico per le policy aziendali, i regolamenti, le leggi, i vincoli applicabili, ad uso delle diverse funzioni di assurance aziendale: la direzione audit, la qualità, la compliance, gli organismi di vigilanza, la sicurezza fisica, etc.. Un modello per la classificazione degli asset, l analisi degli impatti e dei rischi, definito in base ad una metodologia condivisa a livello aziendale, e incentrato su criteri di valutazione e livelli di tolleranza stabiliti dall alta direzione e validi per tutta l azienda. Lo strumento GRC usato con una logica di trasversalità e organicità, diventa uno strumento di supporto alle decisioni: decisioni strategiche che indirizzano i piani industriali, i piani IT e i piani di Sicurezza delle Informazioni; decisioni tattiche che indirizzano la gestione dei progetti, dei cambiamenti (change management), degli incidenti. Gli strumenti GRC, sebbene ne esistano di diversa natura - dai più direzionali/strategici orientati all Enterprise Risk Management (EGRC) a quelli più orientati alla sicurezza IT e/o alla gestione di minacce e vulnerabilità in settori specifici (che Gartner definisce Operational GRC) - rappresentano il livello più alto, di gestione di informazioni che sono o possono essere generate, a livello più basso, da altri strumenti complementari quali ad esempio: strumenti di audit e compliance, sistemi SIEM (Security and Information Event Management), sistemi di governo degli accessi (Identity Access Governance/Management), sistemi di Data Loss Prevention (DLP), strumenti specifici di analisi dei rischi, sistemi di vulnerability assessment, penetration test, code review, oltre che tutti gli strumenti di gestione dei log. L integrazione e sostegno reciproco di IRM e IT Governance è ulteriormente rafforzata dall integrazione e sostegno che gli strumenti tipici dell IT Governance devono avere con quelli cui abbiamo accennato poc anzi: repository ed inventory comuni e integrati quali CMDB (Configuration Management DataBase), strumenti di Asset Management e License management, diventano estremamente utili per la identificazione delle dipendenze applicative e quindi per le analisi degli impatti e dei rischi aggregati; così come strumenti di gestione progetti e strategie IT quali Portfolio, Program e Project management diventano più potenti ed funzionali ai processi decisionali se arricchiti di dati utili a gestire rischi e conformità. La questione meriterebbe un approfondimento che lo spazio di questo articolo non può assicurare; per spiegare meglio che quanto detto è vero a patto che esista una cultura di risk management, che i processi di IT governance siano già in qualche modo risk-driven e che in generale esista una certa maturità nella selezione, integrazione ed utilizzo delle tecnologie per l automazione dei processi di IT service management. Un esempio di integrazione: il codice di Autodisciplina Il nuovo codice di autodisciplina delle società quotate in borsa (2011), al quale le società aderiscono volontariamente, tra i principi guida include, all art. 7, il Sistema di controllo interno e di gestione dei rischi. Il codice riguarda la Corporate Governance ed in particolare il ruolo del CdA, degli amministratori, dei comitati, dei sindaci, dei rapporti con gli azionisti e il sistema di controllo interno. Il codice è nato nel 2006 e la revisione del 2011 ha visto l affiancamento della gestione dei rischi al già presente sistema di controllo interno. Il codice spiega come il sistema dei controlli rappresenti uno degli snodi cruciali della governance di una società. Spiega come la moderna concezione dei controlli ruota attorno alla nozione di rischi aziendali, alla loro identificazione, valutazione e monitoraggio e che la normativa e il Codice si riferiscono al sistema di controllo interno e di gestione dei rischi come a un sistema unitario di cui il rischio rappresenta il filo conduttore. Il codice spiega, quindi, il ruolo dell audit nella gestione dei rischi, richiamando una struttura di controllo a tre livelli, dove il terzo livello è rappresentato dalla funzione di audit appunto, 5

il secondo dalle funzioni aziendali che monitorano i tipici rischi aziendali (rischio operativo, finanziario, di mercato, di non conformità, etc.) e che potrebbe essere attribuito ad un funzione specifica di Risk Officer o a manager e strutture aziendali non dedicati a ciò in via esclusiva, il primo dai business owner che identificano, valutano e gestiscono i rischi, implementando le specifiche azioni di trattamento. L esempio del Codice di Autodisciplina riprende e sostanzia l incipit di questo articolo, cioè opportunità e necessità di una governance basata sulla gestione dei rischi. Bottom line La trasposizione del concetto nel campo dell Information Technology mantiene tutta la sua validità a sostegno di chi pensa che l integrazione dell Information Risk Management con l IT Governance, anche in periodi economici migliori, sarebbe stata essenziale per garantire la qualità degli interventi di sicurezza e la loro reale integrazione nelle attività day-by-day: la crisi economica la rende ora anche l unica strada perseguibile. Della serie: non tutto il male vien per nuocere. Con questo il tema evidentemente non può dirsi esaurito: è recentissima la pubblicazione da parte di Banca d Italia delle Nuove disposizioni di vigilanza prudenziale per le banche (15 aggiornamento del 2 luglio 2013) che introduce interessanti considerazioni in merito alla gestione dei rischi e ai ruoli aziendali; è sempre vivo il dibattito sull Enterprise Risk management e sui framework di riferimento (es. ISO 31000); si attende una versione della ISO/IEC 27001 che dovrebbe apportare delle novità in merito al sistema di controlli e alla gestione dei rischi aziendale; si diffondono movimenti di pensiero sulla crescente necessità di considerare l impresa come un sistema annullando la separazione tra business ed IT oltre che tra i diversi silos che per anni hanno caratterizzato i sistemi informativi (si veda il movimento DevOps e le implicazioni in termini di governance e rischi connessi). Noi di HSPI proveremo senza promettere di riuscirci - a non perderci neanche un bit e a trasferire le nostre analisi e i nostri pensieri, come al solito, su questa newsletter (stay tuned). HSPI SpA - Consulenti di Direzione Viale Aldo Moro 16-40127 Bologna (Italy) P.IVA 02355801206 Tel. +39 051 509861 Fax. +39 051 509737 BOLOGNA MILANO ROMA www.hspi.it e-mail: info@hspi.it 6

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back