L’attività di Internal Audit IT è il tassello finale del complesso processo di generazione e costruzione di un’infrastruttura di protezione del patrimonio informativo della pubblica amministrazione nel contesto della digital transformation che coinvolge anche gli enti pubblici. Vediamo la road map che potrà portare a un’efficace strategia per proteggere la sicurezza digitale dell’azienda, nazionale e locale.
Gli obiettivi dell’Internal audit IT
L’articolato percorso di protezione e difesa della pubblica amministrazione dalle minacce derivanti dal cybercrime deve fisiologicamente trovare la sua “conclusione” nell’implementazione di un sistema finalizzato a garantire un miglioramento continuo attraverso contestuali attività di controllo, verifica, analisi della conformità alla normativa e dell’effettivo allineamento con la mission istituzionale che, in estrema sintesi, è possibile ricondurre ai meccanismi universalmente noti dell’“Internal Audit”.
Per comprendere al meglio il quadro di riferimento, mutuando la definizione probabilmente più nota e condivisa nella comunità internazionale anche perché fornita da una delle istituzioni più prestigiose ed importanti del settore, ossia l’“Institute of Internal Auditors” (IIA), è possibile affermare come l’internal auditing sia “un’attività indipendente e obiettiva di assurance e consulenza, finalizzata al miglioramento dell’efficacia e dell’efficienza dell’organizzazione. Assiste l’organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto, in quanto finalizzato a valutare e migliorare i processi di gestione dei rischi, di controllo, e di governance”.
In tale contesto, il processo ancora più specialistico dell’Audit dei Sistemi Informativi si focalizza sulla tutela del patrimonio informativo di un’organizzazione, garantendo l’effettiva integrità, riservatezza e disponibilità dei dati, con il fine ultimo di contribuire al raggiungimento degli obiettivi strategici e fornire un valore aggiunto all’intera organizzazione.
Da quanto appena illustrato, appare immediatamente chiaro come la macro-area dell’IT Audit non debba essere semplicemente circoscritta al campo, seppur ampio, importante e complesso, dei controlli, delle verifiche o delle “certificazioni” ma al contrario rappresenti un elemento imprescindibile dell’intera architettura di sicurezza, contribuendo a puntellare il sistema di protezione, ad esaltare le particolarità di ogni ambiente lavorativo e creare le basi verso una cultura aziendale volta al miglioramento continuo.
Internal audit, i soggetti coinvolti
Si tratta di un processo di natura strategica che deve far capo al Top Management, essere dotato di ampia autonomia organizzativa e gestionale ma anche e soprattutto essere difeso, tutelato e correttamente “presentato” al resto dell’amministrazione ed a tutti gli stakeholders di riferimento.
Così come abbiamo avuto modo di vedere per le altre fasi della road-map, anche per l’Audit è fondamentale riferirsi a standard e comunità internazionali in grado di fornire linee guida, best-practice, metodologie e strumenti di lavoro applicati in tutto il mondo e nelle più disparate realtà aziendali, imprenditoriali ed organizzative.
Si pensi, ad esempio, alla ISO 19011, specificatamente rivolta a fornire linee guida sulla gestione degli Audit, a norme già citate in precedenza quali la ISO/IEC 27001, che permette di certificare l’intero sistema di gestione di sicurezza delle informazioni, o il Cobit 5 ideato, sviluppato e manutenuto da ISACA, che costituisce il punto di riferimento mondiale per il Governo, il Controllo e la Gestione dei sistemi informativi.
Audit, un processo strategico
Ancora una volta, come già abbiamo avuto modo di approfondire nelle precedenti “puntate”, è necessario ribadire come i tratti peculiari della PA non permettano l’applicazione pedissequa di standard, linee guida e metodologie di carattere generale che devono invece essere adattate alle necessità e alle complesse sfaccettature di cui si compone la macchina statale sia a livello centrale che nelle sue articolazioni territoriali.
Da un certo punto di vista si potrebbe in prima battuta affermare come la struttura e la fisionomia dell’Audit, così come ampiamente descritto ed illustrato nella letteratura internazionale, possa coniugarsi in maniera quasi perfetta con l’organizzazione pubblica che deve fisiologicamente basare la propria azione su regole, procedure, norme e documenti ufficiali in grado di fornire evidenze e risultati oggettivi, imparziali e trasparenti a favore dell’intera collettività.
Gli ostacoli all’affermazione dell’audit
In tale contesto, però, il rischio più grande è quello di generare una pericolosa sovrapposizione, se non una vera e propria collisione, tra i meccanismi di controllo interno già previsti dalla normativa italiana e gli ambiti operativi, profondamente differenti, in cui devono necessariamente muoversi gli internal auditor nello svolgimento dei propri compiti.
In un sistema già fortemente ingessato dalla previsione di verifiche di natura amministrativa, contabile, gestionale, strategica ed organizzativa, è fondamentale ritagliare uno spazio ben preciso per le attività proprie dell’Audit che devono seguire traiettorie, principi e finalità differenti da ogni altra unità funzionale già operante all’interno di una pubblica amministrazione.
A tal proposito, è fondamentale sottolineare come l’Audit debba essere considerato come un controllo di “terzo livello”, successivo, anche in ordine di tempo, a tutte gli altri presidi già previsti e posti in essere in una qualsiasi organizzazione, oltre che un elemento catalizzatore e facilitatore dei processi di gestione del rischio aziendale ed un collante tra le unità operative e le sfere strategiche.
Internal audit, la progettazione
Ancora più delicato e, per certi versi, più complesso è il processo di progettazione, istituzione ed effettivo avvio di un’architettura finalizzata a verificare in maniera analitica ed oggettiva i sistemi informativi e la capacità di un’amministrazione di difendersi da minacce cibernetiche, attacchi di natura informatica o di garantire la prosecuzione delle attività vitali nel caso in cui si verifichino eventi avversi anche di notevole entità.
E’ necessario, infatti, preliminarmente ricordare come la cosiddetta “IT Governance” debba essere allineata al perseguimento degli obiettivi strategici di un’organizzazione, con il fine ultimo di generare valore aggiunto, permettere un’efficace gestione dei rischi e garantire la produzione dei risultati fondamentali connessi al “Core Business” aziendale secondo le indicazioni fornite, attraverso opportuni indirizzi di alto livello, dagli organi di vertice.
Si tratta di un passaggio particolarmente importante, che richiede un’attenta riflessione al fine di comprendere al meglio il ruolo dei sistemi informativi e, conseguentemente, quello dell’Audit IT all’interno di una pubblica amministrazione.
.
Calcolo dei contributi: un esempio
Si pensi, ad esempio, al caso di una soluzione tecnologica finalizzata a permettere il calcolo dei contributi che un cittadino deve pagare per l’erogazione di un particolare servizio pubblico. Nell’esempio in questione, potrebbe essere considerato positivamente un sistema, costruito con le più moderne tecnologie, che utilizzi un algoritmo di calcolo in grado di quantificare le aliquote ed i risultati finali, ma risulti difficile da utilizzare o consenta a un utilizzatore di modificare, anche inconsapevolmente, alcuni parametri di calcolo fondamentali e quindi conduca a ritardi o, ancora peggio, a risultati non affidabili?
In estrema sintesi, l’organizzazione dei servizi digitali non può essere semplicemente orientata verso aspetti puramente tecnici o comprensibili solamente da addetti ai lavori. Al contrario deve tenere in considerazione principi di carattere amministrativo, contabile, gestionale e strategico, includendo tra i fattori discriminanti anche l’ambiente di riferimento, la “cultura” aziendale, le risorse umane, le aspettative degli stakeholders e, naturalmente, la normativa di settore e le direttive del management.
Software proprietario e open source
Per comprendere ancora meglio il contesto di riferimento, proviamo a riflettere su un altro aspetto particolarmente discusso e dibattuto negli ambiti della PA, ossia quello del progressivo superamento dell’utilizzo di software proprietario a favore dell’introduzione di soluzioni aperte e liberamente riutilizzabili. Se tale considerazione può essere ritenuta accettabile in linea di principio, in quanto potrebbe permettere vantaggi di tipo economico e funzionale, dovrebbe essere attentamente valutata nel caso di strumenti fortemente “impattanti” sulla produttività del personale e comunque accompagnata da campagne di formazione, informazione e sensibilizzazione in grado di permettere il superamento dei principali ostacoli sottesi al cambiamento.
Un caso particolarmente discusso negli anni scorsi è stato, ad esempio, quello di un ente pubblico che aveva deciso di acquistare, puntando ad un ingente risparmio economico, centinaia di nuove postazioni di lavoro informatiche basate su sistema operativo “Ubuntu” e corredate esclusivamente da programmi open source. Sebbene le interfacce utente fossero di tipo grafico (secondo il consolidato schema “a finestre”), le funzionalità garantite fossero praticamente equivalenti a quelle dei precedenti strumenti “proprietari” e le prestazioni dei PC si fossero confermate superiori a quelle dei computer dismessi, il risultato finale fu quello di una repentina marcia indietro dell’amministrazione a causa dei fortissimi rallentamenti provocati dalle difficoltà di adattamento del personale alle nuove strumentazioni.
Da quanto appena descritto appare evidente come il governo dei sistemi informativi e, conseguentemente, le attività di verifica e controllo della loro corretta implementazione, debbano essere guidate da una visione quanto più possibile ampia ed unitaria dell’intera amministrazione di riferimento, dei suoi compiti istituzionali, del contesto sociale in cui si ritrova ad operare, delle necessità degli utenti dei cittadini e degli stakeholders, travalicando aspetti tecnici per concentrarsi su ambiti strategici, funzionali ed organizzativi.
Collocazione del servizio di audit
Dopo aver esplorato il quadro di riferimento ed aver delineato il contesto nel quale debbano collocarsi governo, controllo e dell’IT, proviamo, ora, a definire le modalità migliori per declinare i principi generali dell’Audit sulla sicurezza delle informazioni nel complesso ed articolato ambito della PA sia centrale che periferica.
Il primo fondamentale passaggio è quello della previsione, all’interno dell’organigramma dell’ente interessato, di uno specifico ufficio, direttamente dipendente dal vertice amministrativo, che si dovrà occupare di tutti gli aspetti connessi a pianificazione, gestione e esecuzione degli Audit.
In particolare, considerando la natura strategica dell’Audit, le sue delicate finalità, la profondità delle analisi da eseguire, l’estensione dell’ambito di azione che coinvolge tutta l’organizzazione, e della necessità di trattare informazioni riservate, sensibili e spesso estremamente critiche per l’azione amministrativa, appare assolutamente inderogabile la collocazione del Servizio di Internal Audit in una posizione quanto più possibile indipendente, autonoma e sganciata dall’operatività dell’ente.
Si pensi, ad esempio, alle conseguenze che potrebbero derivare dalla diffusione non autorizzata e non controllata di report contenenti gravi disfunzioni inerenti il “Core Business” di un’organizzazione oppure al conflitto di interessi che si porrebbe in capo ad un manager che dovesse approvare le risultanze di un Audit potenzialmente in grado di far emergere lacune in un settore di propria competenza.
Audit a tutela della compliance normativa
Devono, inoltre, essere valutate con estrema attenzione, soprattutto nell’ambito della pubblica amministrazione, anche le connessioni con la normativa nazionale ed europea sulla tutela dei dati personali ed in particolare con il “General Data Protection Regulation” (GDPR) e gli obblighi di cooperazione con le autorità giudiziarie preposte alla vigilanza ed al controllo dell’attività istituzionale degli enti pubblici e privati.
Si faccia, ad esempio, riferimento al caso in cui da un Audit dovessero emergere evidenze di azioni potenzialmente illecite, di tentativi di frode o comunque di attività ipoteticamente in grado di mettere a rischio il corretto svolgimento delle attività istituzionali: sarebbe, in tal caso, compito del Top Management assicurare, anche tramite il contributo operativo di chi ha svolto la verifica interna, la massima collaborazione con le forze dell’ordine e gli organi preposti.
E’ del tutto evidente, pertanto, come l’Audit rappresenti uno strumento insostituibile per gli organi di vertice che, se da un lato, possono ricevere dati ed informazioni fondamentali per orientare la propria azione di governo, dall’altro hanno anche la possibilità di tutelare l’amministrazione affrontando in tempo utile possibili distorsioni o situazioni patologiche dell’azione amministrativa.
I 2 documenti cruciali per l’audit
Con la finalità precipua di rendere quanto più tracciabile, oggettivo, ripercorribile e revisionabile l’intero processo, riveste, inoltre, prioritaria importanza la predisposizione di due documenti strategici e gestionali che dovranno guidare le attività di tutti i soggetti coinvolti a vario titolo nelle sessioni di Audit e che possono essere descritti come il “Mansionario” ed il “Manuale” della funzione, la cui approvazione è demandata alla Direzione Generale o comunque al Top Management.
In particolare, il Mansionario dovrà illustrare in maniera puntuale i compiti affidati al personale dell’Ufficio di Internal Audit, disciplinare i cosiddetti conflitti di interesse e garantire un’adeguata segregazione delle funzioni. E’ immediatamente evidente, infatti, che il team di audit dovrà essere di volta in volta composto da personale totalmente estraneo ed indipendente rispetto al processo da verificare per poter garantire l’assoluta attendibilità dei risultati delle sessioni di controllo.
E’ fondamentale, inoltre, che l’amministrazione ribadisca, in propri documenti ufficiali, come le persone a vario titolo coinvolte negli audit, siano chiamate a svolgere il proprio lavoro con la massima trasparenza, diligenza e responsabilità, debbano osservare e rispettare tutti i requisiti di natura legale, amministrativa ed organizzativa, dimostrare la propria competenza, svolgere il lavoro in modo imparziale, tenendo conto di eventuali influenze che possono essere esercitate sul proprio giudizio nell’esecuzione dell’audit.
Saranno, invece, delineate nel Manuale della funzione le procedure e le metodologie, preferibilmente mutuate da standard internazionali come la citata norma ISO 19011, da utilizzare per la realizzazione dei diversi Audit che, anche ai sensi del predetto standard, devono essere finalizzati a raccogliere e mettere a disposizione dei soggetti competenti le informazioni e le evidenze necessarie all’organizzazione per operare in accordo con i requisiti previsti dalla normativa, le direttive del management, le aspettative dei cittadini, della collettività e dei portatori di interesse e, infine, per migliorare con continuità la qualità dei servizi offerti e l’efficienza della propria azione istituzionale.
Il risk assessment nell’Internal Audit
In analogia con quanto già indicato nella fase di costruzione del sistema di protezione e di gestione della sicurezza delle informazioni, anche la programmazione degli Audit deve essere direttamente riconnessa a fattori di rischio analizzati, misurati e valutati attraverso tecniche quantitative e qualitative.
Anche il Servizio di Internal Auditing di un’amministrazione, pertanto, sarà chiamato a sviluppare un proprio processo indipendente di “Risk Assessment” con lo scopo principale di orientare le attività verso i settori più critici o sensibili dell’intera organizzazione.
Utilizzando come riferimento la norma ISO/IEC – 27001, ad esempio, la valutazione dei rischi condotta dall’internal Audit potrebbe condurre alla pianificazione prioritaria di sessioni di verifica connesse a specifici domini (quali il Controllo Accesso, la Continuità Operativa, la Gestione degli Asset) per i quali il rischio inerente risulti essere estremamente elevato e, pertanto, meritevole di particolare ed immediata attenzione.
È opportuno, comunque, precisare come, sebbene il procedimento di analisi e verifica proprio dell’Internal Audit debba essere caratterizzato da un elevato grado di autonomia ed indipendenza, sia comunque ipotizzabile l’utilizzo del medesimo framework adottato per guidare l’implementazione dei controlli posti a presidio della sicurezza dell’organizzazione.
Saranno, naturalmente, diverse le finalità e le prospettive di esecuzione del Risk Assessment che, nel caso dell’internal audit, dovranno essere anche orientate a fornire un primo quadro di riferimento oggettivo ed imparziale al management aziendale sui rischi inerenti, ossia intrinsecamente legati al profilo di un’amministrazione, e su quelli residui, derivanti dall’azione di mitigazione dei controlli posti in essere dai servizi competenti.
È immediatamente chiaro, pertanto, come la mappatura dei rischi costituirà anche una verifica preliminare delle contromisure già implementate e guiderà le successive azioni di analisi ed approfondimento che potranno essere orientate verso i punti maggiormente critici o verso le aree più nebulose emerse dalla fase di assessment.
Il “Programma degli audit”
Una volta definite, anche attraverso l’attività di risk assessment appena descritta, le priorità degli interventi, è necessario procedere con la predisposizione di quello che la ISO 19011 descrive come “Programma degli Audit”, ossia di un documento gestionale articolato su un intervallo temporale pluriennale e relativo a diverse sessioni di verifica, le quali saranno successivamente dettagliate in Piani finalizzati a definire le specifiche attività connesse a singoli Audit.
In tale contesto, i responsabili della gestione dell’attività di audit dovrebbero:
- Stabilire gli obiettivi e l’estensione del programma;
- Definire le responsabilità, le risorse e le procedure;
- Assicurare l’effettiva e lineare attuazione dell’intera programmazione;
- Monitorare, riesaminare e migliorare l’intera programmazione;
- Assicurare che siano conservate appropriate registrazioni del programma di audit.
Si tratta di un processo identificabile secondo gli schemi del “Program Management” in quanto finalizzato soprattutto alla gestione coordinate di un portafoglio di progetti (Audit nel caso particolare) che concorrono a garantire il raggiungimento degli obiettivi della funzione di Internal Audit e, a cascata, dell’intera organizzazione.
Ci troviamo, pertanto, di fronte ad un processo di natura strategica, che richiede un coinvolgimento forte e qualificato da parte delle più alte sfere dell’amministrazione, chiamate sia a fornire il “commitment” e la necessaria autorità agli auditor ma anche e soprattutto ad esprimere le aspettative, le priorità e gli indirizzi in grado di orientare la sequenza delle attività da svolgere in un’ottica di lungo termine.
Audit e linea del management
Il Piano di Audit, infatti, dovrebbe rispecchiare ed essere fortemente allineato con la direzione che il management intende imprimere al governo dell’amministrazione soprattutto in relazione alle aree operative ritenute maggiormente critiche, sensibili, funzionali al raggiungimento degli obiettivi strategici e, conseguentemente, meritevoli di essere analizzate, verificate e sottoposte a controllo nel più breve tempo possibile.
Di estrema rilevanza è anche la quantificazione e la “prenotazione” delle risorse umane, finanziarie ed organizzative necessarie all’attuazione delle sessioni di Audit che, naturalmente, dovranno essere coordinate ed incastonate con le normali attività istituzionali, con il fine ultimo di non arrecare danni o rallentamenti all’azione amministrativa e di trarre il maggior vantaggio possibile, anche in termini di miglioramento dei processi, dalle verifiche effettuate.
Fase di esecuzione degli audit
Una delle parti più importanti e delicate di un Audit è sicuramente quella connessa alla sua concreta esecuzione che, per poter fornire risultati attendibili e permettere all’organizzazione di raggiungere i propri obiettivi, deve seguire alcuni passaggi procedurali, formalmente descritti anche dalla già richiamata norma ISO 19011 cui nel seguito si farà riferimento.
Prioritariamente, mutuando ancora una volta alcuni principi fondamentali del Project Management e partendo dal Programma descritto nella sezione precedente, un Audit dovrebbe sempre essere preliminarmente pianificato attraverso l’approvazione di un documento di dettaglio in grado di descriverne gli obiettivi, i criteri e le modalità di conduzione, compresi il campo di applicazione, le unità organizzative ed i processi, oltre naturalmente ai tempi, alla durata delle attività̀, ai Ruoli ed alle responsabilità̀ di ogni membro del gruppo di lavoro.
Si tratta di un passaggio di basilare importanza perché fornisce alla verifica il sigillo dell’ufficialità, conferisce agli auditor un autorevole mandato, permette ai soggetti coinvolti dall’audit di comprendere le reali finalità del controllo ed, infine, aiuta l’intera amministrazione a cogliere le opportunità di miglioramento intrinsecamente connesse ad ogni sessione di controllo.
Un ulteriore vantaggio legato al cosiddetto “Piano di Audit” è rappresentato dalla possibilità di coordinare le attività di Core Business con quelle relative alle verifiche che richiederanno tempo, attenzione e concentrazione da parte di tutti i “process owner”.
Un passaggio spesso sottovalutato ma che, al contrario, riveste un ruolo basilare nel contesto di un Audit è quello della riunione di apertura, conosciuta anche dagli addetti ai lavori con la locuzione anglosassone “kick off meeting”, nella quale sono comunicati gli obiettivi ai responsabili di processo, sono concordate le modalità di esecuzione e condivise alcune informazioni di carattere generali riguardanti la sessione di verifica.
Audit, la fase di indagine
Una volta consumati tutti gli step procedurali propedeutici alla corretta esecuzione dell’Audit, è possibile partire con le attività di “indagine” che, in linea generale, si esplicano in interviste, raccolte di evidenze, osservazioni dei processi, riesame degli standard adottati, della struttura organizzativa e della documentazione dei sistemi informativi.
Tra gli aspetti degni di menzione vi è sicuramente quello relativo al “campionamento”, ossia all’insieme delle tecniche finalizzate a selezionare un numero ridotto ma significativo di elementi da controllare a partire da una “popolazione” oggetto di indagine che può essere anche molto estesa e, quindi, non verificabile nella sua interezza.
Per comprendere al meglio il concetto di riferimento, si pensi ad esempio alla necessità di rivedere l’implementazione delle politiche di sicurezza sulle singole postazioni informatiche di un’amministrazione. In un contesto nel quale siano presenti centinaia di computer, si renderà indispensabile procedere con un campionamento che possa fornire un risultato quanto più possibile attendibile ed estensibile a tutte le postazioni. Tra le tecniche maggiormente utilizzate, si ricordano quella “statistica”, che prevede l’applicazione di funzioni matematiche basate su principi stocastici, e quella “empirica” o “judgmental”, in cui la modalità di selezione è orientata dalle scelte ponderate effettuate dagli auditor in base alla situazione contingente.
Test di “conformità” e test di “sostanza”
Evitando di entrare in elementi eccessivamente specialistici inerenti le tecniche di audit, un altro fattore di carattere generale da tenere in considerazione è quello relativo alla necessità di distinguere tra test di “conformità”, finalizzati a verificare la corretta applicazione di un processo, di una norma o di un requisito, e test di “sostanza”, che invece focalizzano la propria attenzione sull’integrità dell’effettiva elaborazione e, pertanto, degli output prodotti da una determinata procedura.
Riprendendo l’esempio descritto in precedenza e relativo all’implementazione di un software finalizzato alla quantificazione di alcune “tasse” a carico dei cittadini, il test di conformità potrebbe essere mirato a verificare l’aderenza del processo di sviluppo e scrittura del codice con i Manuali che regolamentano il “ciclo di vita” di generazione di un’applicazione mentre il test di sostanza dovrebbe verificare l’effettiva corrispondenza tra i risultati attesi e quelli prodotti dal programma, anche attraverso la simulazione manuale dell’algoritmo di calcolo.
In considerazione, inoltre, dell’aspetto intrinsecamente “formale” e del valore anche prospettico delle attività di Audit, è imprescindibile che i risultati di ogni sessione, dopo essere stati opportunamente condivisi con i soggetti coinvolti, siano cristallizzati in un rapporto contenente anche le eventuali azioni correttive concordate con i responsabili di processo con il fine di superare alcune criticità, cogliere le opportunità di miglioramento, esaltare i punti di forza emersi nel corso delle verifiche e del confronto con gli auditor.
Effetti e timing dell’auditing
A differenza di quanto si possa essere indotti a pensare, un Audit non si conclude con l’approvazione e l’inoltro del suo rapporto a tutti i soggetti interessati ma, al contrario, produce i propri effetti probabilmente più importanti nei mesi e negli anni successivi alla conclusione delle attività di verifica, grazie soprattutto al processo conosciuto come “Follow Up”.
Si tratta, in estrema sintesi, di una serie di attività finalizzate a prendere atto dell’evoluzione e dei risultati ottenuti dal “Piano delle Azioni Correttive” e, pertanto, del valore aggiunto apportato dall’Audit all’organizzazione.
Un indicatore estremamente utile per verificare l’effettiva capacità di un’amministrazione di sfruttare a pieno il valore potenzialmente elevato dell’Internal Audit è quello connesso al rapporto tra i Piani di azione e correzione effettivamente conclusi ed implementati e quelli formalmente concordati alla fine di una sessione di Audit.
E’ del tutto evidente, infatti, che le aree di criticità o miglioramento individuate debbano essere adeguatamente e tempestivamente affrontate per evitare di vanificare gli sforzi profusi in tutto il ciclo di gestione degli Audit ma anche e soprattutto per ottenere un valore aggiunto per l’intera organizzazione.
Non deve essere, infine, trascurata la circostanza per la quale i rapporti di Internal Audit possano costituire la base di partenza per ispezioni ed accertamenti condotti da terze parti e che, pertanto, siano in grado di orientare anche le attività esterne di supervisione, verifica, certificazione e vigilanza con conseguenze anche molto serie per l’immagine e la credibilità dell’intera organizzazione.
Auditing, un processo senza fine
L’attività di Internal Audit può essere certamente considerata come il tassello finale da progettare, implementare, concretizzare ed apporre nel processo di generazione e costruzione di un’infrastruttura di protezione del patrimonio informativo della pubblica amministrazione in un contesto di transizione sempre più veloce e repentina verso una nuova organizzazione digitale e potenzialmente paper-less.
Poiché la difesa dal cybercrime deve essere caratterizzata dalla continua ricerca delle migliori soluzioni gestionali, tecniche, procedurali ed implementative e deve condurre un’organizzazione a reagire, a tutti i suoi livelli, tempestivamente ed efficacemente ai mutati contesti di riferimento, l’imponente e complessa macchina organizzativa posta a presidio della sicurezza non può assolutamente concludere la propria attività con l’implementazione e la finalizzazione di tutti i suoi componenti ma, al contrario, deve sempre evolversi, migliorarsi, adeguarsi ed ottimizzare le proprie risposte alle minacce esterne ed alle proprie stesse vulnerabilità.
Per questo motivo, il processo deve essere ideato e costruito in modo che sia iterativo, perpetuo, costantemente in evoluzione ed in grado di auto-potenziarsi: come abbiamo avuto modo di vedere, infatti, i risultati delle attività di internal audit avranno tanto più valore ed efficacia quanto saranno in grado di innescare, grazie al lavoro ed alla collaborazione di tutti i soggetti a vario titolo coinvolti nell’amministrazione, attività di revisione, reingegnerizzazione, rivisitazione ed ottimizzazione in tutte le ramificazioni operative e strategiche.
Un’organizzazione pubblica, pertanto, dovrà ciclicamente ripercorrere tutte le fasi descritte nella road-map appena conclusa, analizzando e rivalutando i propri rischi, scegliendo le modalità più opportune di prevenzione, correzione e mitigazione, implementando tutti i correttivi necessari, predisponendo le procedure di risposta alle emergenze ed agli incidenti e, soprattutto, verificando sempre la propria infrastruttura per individuare ulteriori aree di miglioramento così da poter continuare, in un ciclo potenzialmente infinito, la propria battaglia contro le minacce cibernetiche con l’obiettivo finale di tutelare e difendere gli interessi dei cittadini e di tutta la collettività.
