Audit e controlli interni: come ridurre il rischio cyber (post Gdpr)

L’attività di audit, (termine di derivazione latina, dove auditor è colui che ascolta, ma anche il giudice istruttore) è nota nelle aziende italiane soprattutto dove sono presenti certificazioni di sistemi di gestione.

In questo casi l’attività viene svolta da soggetti esterni alle aziende.

Gli audit possono infatti essere (secondo la UNI EN ISO 19011):

• interni (audit di prima parte), effettuati per il riesame da parte della direzione e per altri fini interni, dall’organizzazione stessa;
• esterni, di seconda parte e di terza parte:

1. gli audit di seconda parte sono effettuati da chi ha un interesse nell’organizzazione (clienti, o da altre persone per conto degli stessi);
2. gli audit di terza parte sono effettuati da organismi di audit esterni indipendenti, quali quelli che rilasciano certificazioni di conformità ai requisiti di standard qual la ISO 9001 o la ISO 14001.

La presenza di una struttura interna di audit è piuttosto rara e riguarda unicamente aziende di grandi dimensioni ovvero aziende, come le banche, che sono obbligate ad averla in base ad una specifica normativa.

Attività di audit: cos’è e a cosa serve

La materia è fortemente regolamentata da una serie di norme vincolanti (standard ufficiali, quali l’ISO) o volontari.

Secondo le linee guida per gli audit dei sistemi di gestione per la qualità e/o di gestione ambientale UNI EN ISO 19011, l’audit (o verifica ispettiva) è il processo sistematico, indipendente e documentato per ottenere evidenze dell’audit (registrazioni, dichiarazioni di fatti o altre informazioni che sono pertinenti ai criteri dell’audit e verificabili) e valutare con obiettività, al fine di stabilire in quale misura i criteri dell’audit (insieme di politiche, procedure o requisiti) sono stati soddisfatti.

Il libro “Standard internazionali e guide interpretative per la pratica professionale” dell’Internal Auditing (The Institute of Internal Auditors) definisce a sua volta l’internal auditing come:

un’attività indipendente e obiettiva di “assurance” e consulenza, finalizzata al miglioramento dell’efficacia e dell’efficienza dell’organizzazione. Assiste l’organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi di controllo, di gestione dei rischi e di corporate governance.

Ulteriori definizioni sono presenti in altri standard volontari, come quelli di ISACA (associazione degli ICT auditor).

Entrambe queste associazioni dispongono di proprie certificazioni per la qualificazione del personale addetto allo svolgimento delle attività di audit: CIA, CCSA, CFSA, CRMA… per quanto attiene al The Institute of Internal Auditors, CISA, CISM, CRSIC, CGEIT per quanto attiene ad ISACA.

Queste certificazioni, ampiamente riconosciute a livello internazionale, qualificano gli auditor tramite un esame (In realtà è possibile effettuare l’esame anche se non si soddisfano i prerequisiti di esperienza, ma la certificazione sarà rilasciata solo al raggiungimento dei medesimi) al quale si accede dopo un periodo documentato di esperienza, variabile in funzione del tipo di certificazione.

A ciò si aggiunge un sistema di crediti formativi che testimoniamo l’obbligo di aggiornamento continuo da parte degli auditor certificati.

Certificazioni utili per la verifica dei sistemi di gestione

Per quanto attiene le attività di verifica dei sistemi di gestione, quali la ISO 27001, il percorso di riconoscimento di una qualifica è più articolato ed è necessario, oltre al superamento di un esame, una reale e documentata attività di audit.

Sono inoltre disponibili certificazioni del personale in ambiti trasversali (ad esempio attività investigativa forense, come quelle di ACFE o legati ad uno specifico settore, come ad esempio il valutatore privacy, di recente istituzione nella norma UNI 11697).

Tutte queste certificazioni (al di là del fatto che chi sia certificato svolga effettivamente un’attività di audit), qualificano le competenze professionali di chi ne è in possesso e quindi sono uno strumento di valutazione utile alle aziende per la selezione sia di eventuali fornitori, sia di potenziali candidati.

Le competenze per l’attività di audit

L’attività dell’auditor necessita sia di competenze specialistiche, in funzione del tipo di audit e della materia trattata, sia di capacità di indagine secondo schemi rigorosi e ripetibili.

A queste competenze va tuttavia affiancata la capacità di individuare indizi anche da colloqui informali e di correlare gli elementi raccolti al fine di indirizzare le attività di indagine nella direzione più corretta.

Un auditor deve anche possedere una buona flessibilità in quanto può essere chiamato a svolgere attività di verifica fra loro molto differenti.

Le attività di audit possono infatti differenziarsi in funzione dell’oggetto e possono comprendere (secondo ISACA):

• audit contabili, il cui scopo è valutare la correttezza del bilancio e delle registrazioni contabili;
• audit operativi, fatti per valutare la struttura di controllo interno di un certo processo o area;
• audit integrati, come combinazione dei precedenti;
• audit gestionali, volti alla valutazione degli aspetti riguardanti l’efficienza e la produttività all’interno di un’azienda;
• audit dei sistemi informativi;
• audit forensi, specializzati nell’individuare, svelare e reagire alle azioni criminose e alle frodi.

Di fatto solo le aziende (in particolare le banche) di più grandi dimensioni, o gli enti di certificazione, hanno auditor che svolgono un’attività specializzata.

Sistema di controlli interni a presidio dei rischi

L’attività di audit non è l’unico strumento con cui un’azienda può effettuare delle verifiche.

L’audit si pone infatti al vertice dell’articolato sistema di controlli interni che un’azienda dovrebbe avere a presidio dei rischi.

Un’ottima guida alla costruzione di un adeguato sistema di controlli interni, adottabile come punto di riferimento dalle aziende di una certa dimensione e complessità, può essere costituito dalla Circolare 285 di Banca d’Italia, che è liberamente consultabile sul sito della stessa.

Tale documento definisce come:

• funzioni di controllo: l’insieme delle funzioni che per disposizione legislativa, regolamentare, statutaria o di autoregolamentazione hanno compiti di controllo;
• funzioni aziendali di controllo: la funzione di conformità alle norme (compliance), la funzione di controllo dei rischi (risk management function) e la funzione di revisione interna (internal audit).

La Circolare indica quella che è l’architettura ed i compiti di un sistema di controllo interno, declinandoli nel dettaglio:

Il sistema dei controlli interni è costituito dall’insieme delle regole, delle funzioni, delle strutture, delle risorse, dei processi e delle procedure che mirano ad assicurare, nel rispetto della sana e prudente gestione, il conseguimento delle seguenti finalità:

• verifica dell’attuazione delle strategie e delle politiche aziendali;
• contenimento del rischio entro i limiti indicati nel quadro di riferimento per la determinazione della propensione al rischio della banca (Risk Appetite Framework – “RAF”);
• salvaguardia del valore delle attività e protezione dalle perdite;
• efficacia ed efficienza dei processi aziendali;
• affidabilità e sicurezza delle informazioni aziendali e delle procedure informatiche;
• prevenzione del rischio che la banca sia coinvolta, anche involontariamente, in attività illecite (con particolare riferimento a quelle connesse con il riciclaggio, l’usura ed il finanziamento al terrorismo);
• conformità delle operazioni con la legge e la normativa di vigilanza, nonché con le politiche, i regolamenti e le procedure interne.

Come si può notare lo schema proposto da Banca d’Italia non è basato su astratte considerazioni di pura conformità, ma è caratterizzato da un approccio basato sul rischio (RAF) che trova riscontro nella formulazione delle più recenti normative applicabili a qualunque soggetto (ad esempio nel GDPR).

Banca d’Italia prosegue dando indicazioni pratiche su come il sistema dei controlli interni possa raggiungere il proprio obiettivo:

• assicurare la completezza, l’adeguatezza, la funzionalità (in termini di efficienza ed efficacia), l’affidabilità del processo di gestione dei rischi e la sua coerenza con il RAF;
• prevedere attività di controllo diffuse a ogni segmento operativo e livello gerarchico;
• garantire che le anomalie riscontrate siano tempestivamente portate a conoscenza di livelli appropriati dell’impresa (agli organi aziendali, se significative) in grado di attivare tempestivamente gli opportuni interventi correttivi;
• incorporare specifiche procedure per far fronte all’eventuale violazione di limiti operativi.

Oltre alla funzione di audit (revisione interna) Banca d’Italia declina strutture di controllo specialistiche e definisce una gerarchia nei controlli così definiti:

• controlli di linea (cosiddetti “controlli di primo livello”), diretti ad assicurare il corretto svolgimento delle operazioni. Essi sono effettuati dalle stesse strutture operative (ad esempio, controlli di tipo gerarchico, sistematici e a campione), anche attraverso unità dedicate esclusivamente a compiti di controllo che riportano ai responsabili delle strutture operative, ovvero eseguiti nell’ambito del back office; per quanto possibile, essi sono incorporati nelle procedure informatiche. Le strutture operative sono le prime responsabili del processo di gestione dei rischi: nel corso dell’operatività giornaliera tali strutture devono identificare, misurare o valutare, monitorare, attenuare e riportare i rischi derivanti dall’ordinaria attività aziendale in conformità con il processo di gestione dei rischi; esse devono rispettare i limiti operativi loro assegnati coerentemente con gli obiettivi di rischio e con le procedure in cui si articola il processo di gestione dei rischi;
• controlli sui rischi e sulla conformità (cosiddetti “controlli di secondo livello”), che hanno l’obiettivo di assicurare, tra l’altro:

1. la corretta attuazione del processo di gestione dei rischi;
2. il rispetto dei limiti operativi assegnati alle varie funzioni;
3. la conformità dell’operatività aziendale alle norme, incluse quelle di autoregolamentazione.

Le funzioni preposte a tali controlli sono distinte da quelle produttive; esse concorrono alla definizione delle politiche di governo dei rischi e del processo di gestione dei rischi;

• revisione interna (cosiddetti “controlli di terzo livello”), volta a individuare violazioni delle procedure e della regolamentazione nonché a valutare periodicamente la completezza, l’adeguatezza, la funzionalità (in termini di efficienza ed efficacia) e l’affidabilità del sistema dei controlli interni e del sistema informativo (ICT audit), con cadenza prefissata in relazione alla natura e all’intensità dei rischi. La funzione di revisione interna è volta, da un lato, a controllare, in un’ottica di controlli di terzo livello, anche con verifiche in loco, il regolare andamento dell’operatività e l’evoluzione dei rischi, e, dall’altro, a valutare la completezza, l’adeguatezza, la funzionalità e l’affidabilità della struttura organizzativa e delle altre componenti del sistema dei controlli interni, portando all’attenzione degli organi aziendali i possibili miglioramenti, con particolare riferimento al RAF, al processo di gestione dei rischi nonché agli strumenti di misurazione e controllo degli stessi. Sulla base dei risultati dei propri controlli formula raccomandazioni agli organi aziendali.

Controlli interni necessari per la compliance al GDPR

Svolgere regolarmente attività di verifiche interne ed implementare un sistema di controlli interni la cui complessità deve essere proporzionale da un lato al rischio e dall’altro alla struttura dell’azienda è sempre più una necessità imposta dai vari enti normativi.

Lo stesso GDPR, la cui applicazione coinvolge aziende ed enti di ogni dimensione richiede ai titolari di essere in grado di dimostrare la propria conformità alla norma.

Al riguardo il WP29 nel suo parere WP 173 Parere 3/2010 indicava lo strumento utile a tale fine:

53. Esistono vari metodi a disposizione dei titolari del trattamento per valutare l’efficacia (o l’inefficacia) delle misure. Per il trattamento di dati di maggiori dimensioni, più complesso e ad alto rischio, gli audit interni ed esterni sono metodi comuni di verifica. Anche il modo in cui vengono condotti gli audit può variare, da audit completi ad audit negativi (che possono a loro volta assumere forme diverse).

Del resto, lo stesso DPO (art. 39, paragrafo b del GDPR) è chiamato a svolgere fra i propri compiti una attività di verifica a vari livelli:

b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

motivo per cui sia le norme UNI 11697 prima citate relative alle figure professionali privacy, sia l’unica certificazione per DPO emessa da un’Autorità Garante prevedono espressamente tali competenze.