tecnologie e reponsabilità

Il digitale nella governance dell’impresa: i rischi e le possibili soluzioni



Indirizzo copiato

La tecnologia è una componente chiave per gestire ogni comportamento dell’impresa, ma può diventare anche fonte di rischio. In particolare, gli sforzi devono essere rivolti  alla cyber security e alla capacità di prevenire, identificare e rispondere in tempo reale a qualsiasi forma di attacco  

Pubblicato il 3 lug 2023

Benedetto Santacroce

Studio Legale Tributario Santacroce & Associati



Infrastruttura di comunicazione: un approccio open source

I processi di digitalizzazione delle imprese nascondono una serie di rischi tecnologici che vanno monitorati con attenzione dal board per evitare di assumersi, anche inconsapevolmente delle responsabilità.

Questo messaggio, che cercheremo di illustrare e di perimetrare con esattezza, è chiaramente espresso dall’ultimo Global risk Report del world Economic Forum che, proprio accanto ai rischi che derivano da fattori socioeconomici, geopolitici e ambientali, evidenzia la crescente rilevanza di rischi collegati alla sicurezza dei dati, alla cybersecurity, alla digitalizzazione e all’utilizzo della tecnologia.

Governance d’impresa: le responsabilità connesse con l’uso del digitale

Dello stesso tema si è interessata Assirevi (l’associazione della revisione legale) in una interessante monografia pubblicata nel corso del mese di maggio 2023. Pubblicazione che mette proprio in guardia gli amministratori sulla responsabilità connessa ai profili relativi all’utilizzo della tecnologia e che, se ignorati dall’impresa, sono capaci anche di metterla fuori mercato e coinvolgere chi era chiamato ad assumere le decisioni strategiche e organizzative. Ovviamente l’obiettivo dell’associazione è di comprendere come l’utilizzo della tecnologia possa influenzare i bilanci e le connesse informative.

L’interesse del tema che viene definito “IT Govenrnace” è assoluto e, secondo chi scrive molto sottovalutato dalle imprese e, più in dettaglio, dagli atti emanati dai consigli di amministrazione anche di società di particolare rilevanza nazionale e internazionale.

Il perimetro dell’indagine

La gestione dell’informazione e del dato è un elemento strategico reso necessario dall’evoluzione del mercato e dalla necessità di rispondere tempestivamente alle richieste che provengono dall’interno dell’impresa e dall’esterno di essa. Sempre di più il dato fornito al mercato, alle autorità di controllo e a tutte le diverse funzioni aziendali deve essere sicuro, in termini di contenuto, coerente, in termini di business, efficace e tempestivo. Controllare il dato significa avere la possibilità di governare con consapevolezza l’impresa, consentendo al consiglio di amministrazione di prendere le decisioni strategiche con una visione integrata e attualizzata del sistema e del contesto in cui il proprio business si svolge.

In particolare, le imprese devono dedicare uno specifico sforzo nell’appropriarsi dei processi in cui il dato si forma, si gestisce e si conserva, solo così il dato sarà sempre disponibile e se adeguatamente monitorato potrà divenire fonte di stimolo per riorientare l’intera organizzazione dell’impresa. In questo l’intelligenza artificiale (AI) potrà consentire di incrociare i dati in modo automatico e fornire specifici alert al sistema offrendo a chi governa una marcia in più per anticipare i rischi.

È chiaro che così concepita la tecnologia non costituisce più una mera funzione aziendale ma costituisce il cuore pulsante del sistema influenzando qualunque settore dell’impresa. Si pensi cosa vuol dire l’IT per il marketing, per la comunicazione e per il governo di tutti i rischi aziendali.

Il Tax Control Framework

Per attività ho seguito negli ultimi 10 anni la costruzione, in materia fiscale, dei Tax Control Framework, vale a dire dei modelli gestionali creati dalle imprese per governare il rischio fiscale, ebbene in tale contesto l’utilizzo della tecnologia consente la possibilità non solo di informare tutte le unità interne dell’ impresa o del gruppo d’impresa, ma se strutturata in modo interattivo e automatizzato consente di identificare il rischio, di provvedere ad indagarlo in modo tempestivo e di correggere le procedure evitando rischi più gravi. Certamente anche in questa mia esperienza (di assistenza nello sviluppo della cooperative compliance con l’Agenzia delle Entrate) ho constatato ancora un approccio timido e direi un po’ datato al tema con ancora meccanismi di controllo manuale sicuramente importanti, ma del tutto inefficaci nei risultati. In questo contesto la tecnologia viene ancora utilizzata in modo passivo quale repository dell’informazione e non in modo dinamico quale fonte di identificazione del rischio.

L’esempio serve a capire come la tecnologia è una componente strutturale indispensabile per gestire in modo adeguato ogni comportamento dell’impresa, ma in questa sua funzione diviene anche fonte di rischio per le imprese che non la gestiscono.

In particolare, come rileva Assirevi i sistemi informativi devono, tra l’altro:

  • garantire l’integrità, l’accuratezza e la riservatezza delle informazioni, nonché la relativa disponibilità al personale nei tempi e nei modi previsti;
    • essere conformi alle disposizioni di legge/regolamenti applicabili;assicurare la protezione da eventuali accessi non autorizzati;
    • prevenire e rilevare tempestivamente possibili tentativi di violazione ed

incidenti di sicurezza;

  • consentire il tempestivo ripristino delle funzionalità delle risorse eventualmente danneggiate;
    • garantire la tracciabilità e la immodificabilità dei dati nel tempo, anche per esigenze, tra gli altri, di tutela e preservazione del patrimonio aziendale.

I rischi d’impresa

Proprio in questo contesto tutti i rischi d’impresa: finanziari, non finanziari, ambientali di mercato, fiscali e amministrativi sono strettamente correlati a un rischio IT. Tale rischio, come definito a livello internazionale come risk IT Framework (fonte ISACA – seconda edizione 2020), può essere così declinato:

  • IT benefit/Value Enablemet Risk – il rischio derivante per il business e l’organizzazione per il mancato utilizzo delle tecnologie (si pensi al caso dell’impresa che opera sul mercato al consumo che non adotti una piattaforma e-commerce);
  • IT program – Project- delivery risk – rischio correlato al contributo che l’IT può dare per il miglioramento delle soluzioni di business ovvero di compliance con la realizzazione di specifici progetti (ad esempio l’adozione di un portale di dialogo con il cliente ovvero la creazione di piattaforme interattive);
  • IT operations and Service-delivery Risk – rischio correlato alla performance dei Servizi IT – capacità di gestire tutti i servizi interni ed esterni in continuità senza disservizi (si pensi al caso di un’impresa che entra nel business dei programmi streaming e per eccesso di domanda e per non adeguato livello tecnologico abbia continui disservizi);
  • Cyber and information Security Risk – rischio direttamente correlato alla capacità di tutelare il dato da minacce cyber – (elemento di particolare rilevanza per tutte le imprese e che negli ultimi tempi ha manifestato le maggiori preoccupazioni).

Le soluzioni immediate

la presenza dei numerosi rischi sopra descritti impone un’immediata presa di posizione dei vertici aziendali supportati da alcune figure chiavi interne (tra cui Chief Information Officer (CIO), chief information security Officer (CISO) , Chief Risk Officer (CRO), chief compliance Officer (CCO)).

Questa presa di posizione consiste in una revisione dei processi di formazione, gestione e conservazione del dato (sulla base anche delle linee guida Agid), nonché nella previsione di programmi e progetti per la formazione del personale e la creazione di presidi di controllo interno e di assistenza esterna. In particolare, gli sforzi maggiori devono essere immediatamente rivolti alla cyber security e l’impegno, in tale campo, deve essere diretto a costruire una struttura (tecnica e umana) capace, di prevenire, identificare e rispondere in tempo reale a qualsiasi forma di attacco informatico.

Insomma, non è più tempo di pensare, ma di agire verificando subito il livello di gestione dell’IT con un approccio integrato sull’impresa.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3