I processi di digitalizzazione delle imprese nascondono una serie di rischi tecnologici che vanno monitorati con attenzione dal board per evitare di assumersi, anche inconsapevolmente delle responsabilità.
Questo messaggio, che cercheremo di illustrare e di perimetrare con esattezza, è chiaramente espresso dall’ultimo Global risk Report del world Economic Forum che, proprio accanto ai rischi che derivano da fattori socioeconomici, geopolitici e ambientali, evidenzia la crescente rilevanza di rischi collegati alla sicurezza dei dati, alla cybersecurity, alla digitalizzazione e all’utilizzo della tecnologia.
Governance d’impresa: le responsabilità connesse con l’uso del digitale
Dello stesso tema si è interessata Assirevi (l’associazione della revisione legale) in una interessante monografia pubblicata nel corso del mese di maggio 2023. Pubblicazione che mette proprio in guardia gli amministratori sulla responsabilità connessa ai profili relativi all’utilizzo della tecnologia e che, se ignorati dall’impresa, sono capaci anche di metterla fuori mercato e coinvolgere chi era chiamato ad assumere le decisioni strategiche e organizzative. Ovviamente l’obiettivo dell’associazione è di comprendere come l’utilizzo della tecnologia possa influenzare i bilanci e le connesse informative.
L’interesse del tema che viene definito “IT Govenrnace” è assoluto e, secondo chi scrive molto sottovalutato dalle imprese e, più in dettaglio, dagli atti emanati dai consigli di amministrazione anche di società di particolare rilevanza nazionale e internazionale.
Il perimetro dell’indagine
La gestione dell’informazione e del dato è un elemento strategico reso necessario dall’evoluzione del mercato e dalla necessità di rispondere tempestivamente alle richieste che provengono dall’interno dell’impresa e dall’esterno di essa. Sempre di più il dato fornito al mercato, alle autorità di controllo e a tutte le diverse funzioni aziendali deve essere sicuro, in termini di contenuto, coerente, in termini di business, efficace e tempestivo. Controllare il dato significa avere la possibilità di governare con consapevolezza l’impresa, consentendo al consiglio di amministrazione di prendere le decisioni strategiche con una visione integrata e attualizzata del sistema e del contesto in cui il proprio business si svolge.
In particolare, le imprese devono dedicare uno specifico sforzo nell’appropriarsi dei processi in cui il dato si forma, si gestisce e si conserva, solo così il dato sarà sempre disponibile e se adeguatamente monitorato potrà divenire fonte di stimolo per riorientare l’intera organizzazione dell’impresa. In questo l’intelligenza artificiale (AI) potrà consentire di incrociare i dati in modo automatico e fornire specifici alert al sistema offrendo a chi governa una marcia in più per anticipare i rischi.
È chiaro che così concepita la tecnologia non costituisce più una mera funzione aziendale ma costituisce il cuore pulsante del sistema influenzando qualunque settore dell’impresa. Si pensi cosa vuol dire l’IT per il marketing, per la comunicazione e per il governo di tutti i rischi aziendali.
Il Tax Control Framework
Per attività ho seguito negli ultimi 10 anni la costruzione, in materia fiscale, dei Tax Control Framework, vale a dire dei modelli gestionali creati dalle imprese per governare il rischio fiscale, ebbene in tale contesto l’utilizzo della tecnologia consente la possibilità non solo di informare tutte le unità interne dell’ impresa o del gruppo d’impresa, ma se strutturata in modo interattivo e automatizzato consente di identificare il rischio, di provvedere ad indagarlo in modo tempestivo e di correggere le procedure evitando rischi più gravi. Certamente anche in questa mia esperienza (di assistenza nello sviluppo della cooperative compliance con l’Agenzia delle Entrate) ho constatato ancora un approccio timido e direi un po’ datato al tema con ancora meccanismi di controllo manuale sicuramente importanti, ma del tutto inefficaci nei risultati. In questo contesto la tecnologia viene ancora utilizzata in modo passivo quale repository dell’informazione e non in modo dinamico quale fonte di identificazione del rischio.
L’esempio serve a capire come la tecnologia è una componente strutturale indispensabile per gestire in modo adeguato ogni comportamento dell’impresa, ma in questa sua funzione diviene anche fonte di rischio per le imprese che non la gestiscono.
In particolare, come rileva Assirevi i sistemi informativi devono, tra l’altro:
- garantire l’integrità, l’accuratezza e la riservatezza delle informazioni, nonché la relativa disponibilità al personale nei tempi e nei modi previsti;
- essere conformi alle disposizioni di legge/regolamenti applicabili;assicurare la protezione da eventuali accessi non autorizzati;
- prevenire e rilevare tempestivamente possibili tentativi di violazione ed
incidenti di sicurezza;
- consentire il tempestivo ripristino delle funzionalità delle risorse eventualmente danneggiate;
- garantire la tracciabilità e la immodificabilità dei dati nel tempo, anche per esigenze, tra gli altri, di tutela e preservazione del patrimonio aziendale.
I rischi d’impresa
Proprio in questo contesto tutti i rischi d’impresa: finanziari, non finanziari, ambientali di mercato, fiscali e amministrativi sono strettamente correlati a un rischio IT. Tale rischio, come definito a livello internazionale come risk IT Framework (fonte ISACA – seconda edizione 2020), può essere così declinato:
- IT benefit/Value Enablemet Risk – il rischio derivante per il business e l’organizzazione per il mancato utilizzo delle tecnologie (si pensi al caso dell’impresa che opera sul mercato al consumo che non adotti una piattaforma e-commerce);
- IT program – Project- delivery risk – rischio correlato al contributo che l’IT può dare per il miglioramento delle soluzioni di business ovvero di compliance con la realizzazione di specifici progetti (ad esempio l’adozione di un portale di dialogo con il cliente ovvero la creazione di piattaforme interattive);
- IT operations and Service-delivery Risk – rischio correlato alla performance dei Servizi IT – capacità di gestire tutti i servizi interni ed esterni in continuità senza disservizi (si pensi al caso di un’impresa che entra nel business dei programmi streaming e per eccesso di domanda e per non adeguato livello tecnologico abbia continui disservizi);
- Cyber and information Security Risk – rischio direttamente correlato alla capacità di tutelare il dato da minacce cyber – (elemento di particolare rilevanza per tutte le imprese e che negli ultimi tempi ha manifestato le maggiori preoccupazioni).
Le soluzioni immediate
la presenza dei numerosi rischi sopra descritti impone un’immediata presa di posizione dei vertici aziendali supportati da alcune figure chiavi interne (tra cui Chief Information Officer (CIO), chief information security Officer (CISO) , Chief Risk Officer (CRO), chief compliance Officer (CCO)).
Questa presa di posizione consiste in una revisione dei processi di formazione, gestione e conservazione del dato (sulla base anche delle linee guida Agid), nonché nella previsione di programmi e progetti per la formazione del personale e la creazione di presidi di controllo interno e di assistenza esterna. In particolare, gli sforzi maggiori devono essere immediatamente rivolti alla cyber security e l’impegno, in tale campo, deve essere diretto a costruire una struttura (tecnica e umana) capace, di prevenire, identificare e rispondere in tempo reale a qualsiasi forma di attacco informatico.
Insomma, non è più tempo di pensare, ma di agire verificando subito il livello di gestione dell’IT con un approccio integrato sull’impresa.
