SICUREZZA DIGITALE

Internal audit, controllo “perpetuo” per la PA digitale: le fondamenta

Dalla scelta degli standard alla condivisione fra stakeholder, ecco tutti i passaggi per progettare l’architettura a tutela del patrimonio informativo di un’organizzazione pubblica. Un processo strategico costantemente in evoluzione, in grado di auto-potenziarsi valorizzando la governance

Pubblicato il 24 Mar 2020

Giuseppe Arcidiacono

Responsabile Sistema Informativo at ARCEA

cyber security

L’attività di Internal Audit IT è il tassello finale del complesso processo di generazione e costruzione di un’infrastruttura di protezione del patrimonio informativo della pubblica amministrazione nel  contesto della digital transformation che coinvolge anche gli enti pubblici. Vediamo la road map che potrà portare a un’efficace strategia per proteggere la sicurezza digitale dell’azienda, nazionale e locale.

Gli obiettivi dell’Internal audit IT

L’articolato percorso di protezione e difesa della pubblica amministrazione dalle minacce derivanti dal cybercrime deve fisiologicamente trovare la sua “conclusione” nell’implementazione di un sistema finalizzato a garantire un miglioramento continuo attraverso contestuali attività di controllo, verifica, analisi della conformità alla normativa e dell’effettivo allineamento con la mission istituzionale che, in estrema sintesi, è possibile ricondurre ai meccanismi universalmente noti dell’“Internal Audit”.

Per comprendere al meglio il quadro di riferimento, mutuando la definizione probabilmente più nota e condivisa nella comunità internazionale anche perché fornita da una delle istituzioni più prestigiose ed importanti del settore, ossia l’“Institute of Internal Auditors” (IIA), è possibile affermare come l’internal auditing sia “un’attività indipendente e obiettiva di assurance e consulenza, finalizzata al miglioramento dell’efficacia e dell’efficienza dell’organizzazione. Assiste l’organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto, in quanto finalizzato a valutare e migliorare i processi di gestione dei rischi, di controllo, e di governance”.

In tale contesto, il processo ancora più specialistico dell’Audit dei Sistemi Informativi si focalizza sulla tutela del patrimonio informativo di un’organizzazione, garantendo l’effettiva integrità, riservatezza e disponibilità dei dati, con il fine ultimo di contribuire al raggiungimento degli obiettivi strategici e fornire un valore aggiunto all’intera organizzazione.

Da quanto appena illustrato, appare immediatamente chiaro come la macro-area dell’IT Audit non debba essere semplicemente circoscritta al campo, seppur ampio, importante e complesso, dei controlli, delle verifiche o delle “certificazioni” ma al contrario rappresenti un elemento imprescindibile dell’intera architettura di sicurezza, contribuendo a puntellare il sistema di protezione, ad esaltare le particolarità di ogni ambiente lavorativo e creare le basi verso una cultura aziendale volta al miglioramento continuo.

Internal audit, i soggetti coinvolti

Si tratta di un processo di natura strategica che deve far capo al Top Management, essere dotato di ampia autonomia organizzativa e gestionale ma anche e soprattutto essere difeso, tutelato e correttamente “presentato” al resto dell’amministrazione ed a tutti gli stakeholders di riferimento.

Così come abbiamo avuto modo di vedere per le altre fasi della road-map, anche per l’Audit è fondamentale riferirsi a standard e comunità internazionali in grado di fornire linee guida, best-practice, metodologie e strumenti di lavoro applicati in tutto il mondo e nelle più disparate realtà aziendali, imprenditoriali ed organizzative.

Si pensi, ad esempio, alla ISO 19011, specificatamente rivolta a fornire linee guida sulla gestione degli Audit, a norme già citate in precedenza quali la ISO/IEC 27001, che permette di certificare l’intero sistema di gestione di sicurezza delle informazioni, o il Cobit 5 ideato, sviluppato e manutenuto da ISACA, che costituisce il punto di riferimento mondiale per il Governo, il Controllo e la Gestione dei sistemi informativi.

Audit, un processo strategico

Ancora una volta, come già abbiamo avuto modo di approfondire nelle precedenti “puntate”, è necessario ribadire come i tratti peculiari della PA non permettano l’applicazione pedissequa di standard, linee guida e metodologie di carattere generale che devono invece essere adattate alle necessità e alle complesse sfaccettature di cui si compone la macchina statale sia a livello centrale che nelle sue articolazioni territoriali.

Da un certo punto di vista si potrebbe in prima battuta affermare come la struttura e la fisionomia dell’Audit, così come ampiamente descritto ed illustrato nella letteratura internazionale, possa coniugarsi in maniera quasi perfetta con l’organizzazione pubblica che deve fisiologicamente basare la propria azione su regole, procedure, norme e documenti ufficiali in grado di fornire evidenze e risultati oggettivi, imparziali e trasparenti a favore dell’intera collettività.

Gli ostacoli all’affermazione dell’audit

In tale contesto, però, il rischio più grande è quello di generare una pericolosa sovrapposizione, se non una vera e propria collisione, tra i meccanismi di controllo interno già previsti dalla normativa italiana e gli ambiti operativi, profondamente differenti, in cui devono necessariamente muoversi gli internal auditor nello svolgimento dei propri compiti.

In un sistema già fortemente ingessato dalla previsione di verifiche di natura amministrativa, contabile, gestionale, strategica ed organizzativa, è fondamentale ritagliare uno spazio ben preciso per le attività proprie dell’Audit che devono seguire traiettorie, principi e finalità  differenti da ogni altra unità funzionale già operante all’interno di una pubblica amministrazione.

A tal proposito, è fondamentale sottolineare come l’Audit debba essere considerato come un controllo di “terzo livello”, successivo, anche in ordine di tempo, a tutte gli altri presidi già previsti e posti in essere in una qualsiasi organizzazione, oltre che un elemento catalizzatore e facilitatore dei processi di gestione del rischio aziendale ed un collante tra le unità operative e le sfere strategiche.

Internal audit, la progettazione

Ancora più delicato e, per certi versi, più complesso è il processo di progettazione, istituzione ed effettivo avvio di un’architettura finalizzata a verificare in maniera analitica ed oggettiva i sistemi informativi e la capacità di un’amministrazione di difendersi da minacce cibernetiche, attacchi di natura informatica o di garantire la prosecuzione delle attività vitali nel caso in cui si verifichino eventi avversi anche di notevole entità.

E’ necessario, infatti, preliminarmente ricordare come la cosiddetta “IT Governance” debba essere allineata al perseguimento degli obiettivi strategici di un’organizzazione, con il fine ultimo di generare valore aggiunto, permettere un’efficace gestione dei rischi e garantire la produzione dei risultati fondamentali connessi al “Core Business” aziendale secondo le indicazioni fornite, attraverso opportuni indirizzi di alto livello, dagli organi di vertice.

Si tratta di un passaggio particolarmente importante, che richiede un’attenta riflessione al fine di comprendere al meglio il ruolo dei sistemi informativi e, conseguentemente, quello dell’Audit IT all’interno di una pubblica amministrazione.

.

Calcolo dei contributi: un esempio

Si pensi, ad esempio, al caso di una soluzione tecnologica finalizzata a permettere il calcolo dei contributi che un cittadino deve pagare per l’erogazione di un particolare servizio pubblico. Nell’esempio in questione, potrebbe essere considerato positivamente un sistema, costruito con le più moderne tecnologie, che utilizzi un algoritmo di calcolo in grado di quantificare le aliquote ed i risultati finali, ma risulti difficile da utilizzare o consenta a un utilizzatore di modificare, anche inconsapevolmente, alcuni parametri di calcolo fondamentali e quindi conduca a ritardi o, ancora peggio, a risultati non affidabili?

In estrema sintesi, l’organizzazione dei servizi digitali non può essere semplicemente orientata verso aspetti puramente tecnici o comprensibili solamente da addetti ai lavori. Al contrario deve tenere in considerazione principi di carattere amministrativo, contabile, gestionale e strategico, includendo tra i fattori discriminanti anche l’ambiente di riferimento, la “cultura” aziendale, le risorse umane, le aspettative degli stakeholders e, naturalmente, la normativa di settore e le direttive del management.

Software proprietario e open source

Per comprendere ancora meglio il contesto di riferimento, proviamo a riflettere su un altro aspetto particolarmente discusso e dibattuto negli ambiti della PA, ossia quello del progressivo superamento dell’utilizzo di software proprietario a favore dell’introduzione di soluzioni aperte e liberamente riutilizzabili. Se tale considerazione può essere ritenuta accettabile in linea di principio, in quanto potrebbe permettere vantaggi di tipo economico e funzionale, dovrebbe essere attentamente valutata nel caso di strumenti fortemente “impattanti” sulla produttività del personale e comunque accompagnata da campagne di formazione, informazione e sensibilizzazione in grado di permettere il superamento dei principali ostacoli sottesi al cambiamento.

Un caso particolarmente discusso negli anni scorsi è stato, ad esempio, quello di un ente pubblico che aveva deciso di acquistare, puntando ad un ingente risparmio economico, centinaia di nuove postazioni di lavoro informatiche basate su sistema operativo “Ubuntu” e corredate esclusivamente da programmi open source. Sebbene le interfacce utente fossero di tipo grafico (secondo il consolidato schema “a finestre”), le funzionalità garantite fossero praticamente equivalenti a quelle dei precedenti strumenti “proprietari” e le prestazioni dei PC si fossero confermate superiori a quelle dei computer dismessi, il risultato finale fu quello di una repentina marcia indietro dell’amministrazione a causa dei fortissimi rallentamenti provocati dalle difficoltà di adattamento del personale alle nuove strumentazioni.

Da quanto appena descritto appare evidente come il governo dei sistemi informativi e, conseguentemente, le attività di verifica e controllo della loro corretta implementazione, debbano essere guidate da una visione quanto più possibile ampia ed unitaria dell’intera amministrazione di riferimento, dei suoi compiti istituzionali, del contesto sociale in cui si ritrova ad operare, delle necessità degli utenti dei cittadini e degli stakeholders, travalicando aspetti tecnici per concentrarsi su ambiti strategici, funzionali ed organizzativi.

Collocazione del servizio di audit

Dopo aver esplorato il quadro di riferimento ed aver delineato il contesto nel quale debbano collocarsi governo, controllo e dell’IT, proviamo, ora, a definire le modalità migliori per declinare i principi generali dell’Audit sulla sicurezza delle informazioni nel complesso ed articolato ambito della PA sia centrale che periferica.

Il primo fondamentale passaggio è quello della previsione, all’interno dell’organigramma dell’ente interessato, di uno specifico ufficio, direttamente dipendente dal vertice amministrativo, che si dovrà occupare di tutti gli aspetti connessi a pianificazione, gestione e esecuzione degli Audit.

In particolare, considerando la natura strategica dell’Audit, le sue delicate finalità, la profondità delle analisi da eseguire, l’estensione dell’ambito di azione che coinvolge tutta l’organizzazione, e della necessità di trattare informazioni riservate, sensibili e spesso estremamente critiche per l’azione amministrativa, appare assolutamente inderogabile la collocazione del Servizio di Internal Audit in una posizione quanto più possibile indipendente, autonoma e sganciata dall’operatività dell’ente.

Si pensi, ad esempio, alle conseguenze che potrebbero derivare dalla diffusione non autorizzata e non controllata di report contenenti gravi disfunzioni inerenti il “Core Business” di un’organizzazione oppure al conflitto di interessi che si porrebbe in capo ad un manager che dovesse approvare le risultanze di un Audit potenzialmente in grado di far emergere lacune in un settore di propria competenza.

Audit a tutela della compliance normativa

Devono, inoltre, essere valutate con estrema attenzione, soprattutto nell’ambito della pubblica amministrazione, anche le connessioni con la normativa nazionale ed europea sulla tutela dei dati personali ed in particolare con il “General Data Protection Regulation” (GDPR) e gli obblighi di cooperazione con le autorità giudiziarie preposte alla vigilanza ed al controllo dell’attività istituzionale degli enti pubblici e privati.

Si faccia, ad esempio, riferimento al caso in cui da un Audit dovessero emergere evidenze di azioni potenzialmente illecite, di tentativi di frode o comunque di attività ipoteticamente in grado di mettere a rischio il corretto svolgimento delle attività istituzionali: sarebbe, in tal caso, compito del Top Management assicurare, anche tramite il contributo operativo di chi ha svolto la verifica interna, la massima collaborazione con le forze dell’ordine e gli organi preposti.

E’ del tutto evidente, pertanto, come l’Audit rappresenti uno strumento insostituibile per gli organi di vertice che, se da un lato, possono ricevere dati ed informazioni fondamentali per orientare la propria azione di governo, dall’altro hanno anche la possibilità di tutelare l’amministrazione affrontando in tempo utile possibili distorsioni o situazioni patologiche dell’azione amministrativa.

I 2 documenti cruciali per l’audit

Con la finalità precipua di rendere quanto più tracciabile, oggettivo, ripercorribile e revisionabile l’intero processo, riveste, inoltre, prioritaria importanza la predisposizione di due documenti strategici e gestionali che dovranno guidare le attività di tutti i soggetti coinvolti a vario titolo nelle sessioni di Audit e che possono essere descritti come il “Mansionario” ed il “Manuale” della funzione, la cui approvazione è demandata alla Direzione Generale o comunque al Top Management.

In particolare, il Mansionario dovrà illustrare in maniera puntuale i compiti affidati al personale dell’Ufficio di Internal Audit, disciplinare i cosiddetti conflitti di interesse e garantire un’adeguata segregazione delle funzioni. E’ immediatamente evidente, infatti, che il team di audit dovrà essere di volta in volta composto da personale totalmente estraneo ed indipendente rispetto al processo da verificare per poter garantire l’assoluta attendibilità dei risultati delle sessioni di controllo.

E’ fondamentale, inoltre, che l’amministrazione ribadisca, in propri documenti ufficiali, come le persone a vario titolo coinvolte negli audit, siano chiamate a svolgere il proprio lavoro con la massima trasparenza, diligenza e responsabilità, debbano osservare e rispettare tutti i requisiti di natura legale, amministrativa ed organizzativa, dimostrare la propria competenza, svolgere il lavoro in modo imparziale, tenendo conto di eventuali influenze che possono essere esercitate sul proprio giudizio nell’esecuzione dell’audit.

Saranno, invece, delineate nel Manuale della funzione le procedure e le metodologie, preferibilmente mutuate da standard internazionali come la citata norma ISO 19011, da utilizzare per la realizzazione dei diversi Audit che, anche ai sensi del predetto standard, devono essere finalizzati a raccogliere e mettere a disposizione dei soggetti competenti le informazioni e le evidenze necessarie all’organizzazione per operare in accordo con i requisiti previsti dalla normativa, le direttive del management, le aspettative dei cittadini, della collettività e dei portatori di interesse e, infine, per migliorare con continuità la qualità dei servizi offerti e l’efficienza della propria azione istituzionale.

Il risk assessment nell’Internal Audit

In analogia con quanto già indicato nella fase di costruzione del sistema di protezione e di gestione della sicurezza delle informazioni, anche la programmazione degli Audit deve essere direttamente riconnessa a fattori di rischio analizzati, misurati e valutati attraverso tecniche quantitative e qualitative.

Anche il Servizio di Internal Auditing di un’amministrazione, pertanto, sarà chiamato a sviluppare un proprio processo indipendente di “Risk Assessment” con lo scopo principale di orientare le attività verso i settori più critici o sensibili dell’intera organizzazione.

Utilizzando come riferimento la norma ISO/IEC – 27001, ad esempio, la valutazione dei rischi condotta dall’internal Audit potrebbe condurre alla pianificazione prioritaria di sessioni di verifica connesse a specifici domini (quali il Controllo Accesso, la Continuità Operativa, la Gestione degli Asset) per i quali il rischio inerente risulti essere estremamente elevato e, pertanto, meritevole di particolare ed immediata attenzione.

È opportuno, comunque, precisare come, sebbene il procedimento di analisi e verifica proprio dell’Internal Audit debba essere caratterizzato da un elevato grado di autonomia ed indipendenza, sia comunque ipotizzabile l’utilizzo del medesimo framework adottato per guidare l’implementazione dei controlli posti a presidio della sicurezza dell’organizzazione.

Saranno, naturalmente, diverse le finalità e le prospettive di esecuzione del Risk Assessment che, nel caso dell’internal audit, dovranno essere anche orientate a fornire un primo quadro di riferimento oggettivo ed imparziale al management aziendale sui rischi inerenti, ossia intrinsecamente legati al profilo di un’amministrazione, e su quelli residui, derivanti dall’azione di mitigazione dei controlli posti in essere dai servizi competenti.

È immediatamente chiaro, pertanto, come la mappatura dei rischi costituirà anche una verifica preliminare delle contromisure già implementate e guiderà le successive azioni di analisi ed approfondimento che potranno essere orientate verso i punti maggiormente critici o verso le aree più nebulose emerse dalla fase di assessment.

Il “Programma degli audit”

Una volta definite, anche attraverso l’attività di risk assessment appena descritta, le priorità degli interventi, è necessario procedere con la predisposizione di quello che la ISO 19011 descrive come “Programma degli Audit”, ossia di un documento gestionale articolato su un intervallo temporale pluriennale e relativo a diverse sessioni di verifica, le quali saranno successivamente dettagliate in Piani finalizzati a definire le specifiche attività connesse a singoli Audit.

In tale contesto, i responsabili della gestione dell’attività di audit dovrebbero:

  • Stabilire gli obiettivi e l’estensione del programma;
  • Definire le responsabilità, le risorse e le procedure;
  • Assicurare l’effettiva e lineare attuazione dell’intera programmazione;
  • Monitorare, riesaminare e migliorare l’intera programmazione;
  • Assicurare che siano conservate appropriate registrazioni del programma di audit.

Si tratta di un processo identificabile secondo gli schemi del “Program Management” in quanto finalizzato soprattutto alla gestione coordinate di un portafoglio di progetti (Audit nel caso particolare) che concorrono a garantire il raggiungimento degli obiettivi della funzione di Internal Audit e, a cascata, dell’intera organizzazione.

Ci troviamo, pertanto, di fronte ad un processo di natura strategica, che richiede un coinvolgimento forte e qualificato da parte delle più alte sfere dell’amministrazione, chiamate sia a fornire il “commitment” e la necessaria autorità agli auditor ma anche e soprattutto ad esprimere le aspettative, le priorità e gli indirizzi in grado di orientare la sequenza delle attività da svolgere in un’ottica di lungo termine.

Audit e linea del management

Il Piano di Audit, infatti, dovrebbe rispecchiare ed essere fortemente allineato con la direzione che il management intende imprimere al governo dell’amministrazione soprattutto in relazione alle aree operative ritenute maggiormente critiche, sensibili, funzionali al raggiungimento degli obiettivi strategici e, conseguentemente, meritevoli di essere analizzate, verificate e sottoposte a controllo nel più breve tempo possibile.

Di estrema rilevanza è anche la quantificazione e la “prenotazione” delle risorse umane, finanziarie ed organizzative necessarie all’attuazione delle sessioni di Audit che, naturalmente, dovranno essere coordinate ed incastonate con le normali attività istituzionali, con il fine ultimo di non arrecare danni o rallentamenti all’azione amministrativa e di trarre il maggior vantaggio possibile, anche in termini di miglioramento dei processi, dalle verifiche effettuate.

Fase di esecuzione degli audit

Una delle parti più importanti e delicate di un Audit è sicuramente quella connessa alla sua concreta esecuzione che, per poter fornire risultati attendibili e permettere all’organizzazione di raggiungere i propri obiettivi, deve seguire alcuni passaggi procedurali, formalmente descritti anche dalla già richiamata norma ISO 19011 cui nel seguito si farà riferimento.

Prioritariamente, mutuando ancora una volta alcuni principi fondamentali del Project Management e partendo dal Programma descritto nella sezione precedente, un Audit dovrebbe sempre essere preliminarmente pianificato attraverso l’approvazione di un documento di dettaglio in grado di descriverne gli obiettivi, i criteri e le modalità di conduzione, compresi il campo di applicazione, le unità organizzative ed i processi, oltre naturalmente ai tempi, alla durata delle attività̀, ai Ruoli ed alle responsabilità̀ di ogni membro del gruppo di lavoro.

Si tratta di un passaggio di basilare importanza perché fornisce alla verifica il sigillo dell’ufficialità, conferisce agli auditor un autorevole mandato, permette ai soggetti coinvolti dall’audit di comprendere le reali finalità del controllo ed, infine, aiuta l’intera amministrazione a cogliere le opportunità di miglioramento intrinsecamente connesse ad ogni sessione di controllo.

Un ulteriore vantaggio legato al cosiddetto “Piano di Audit” è rappresentato dalla possibilità di coordinare le attività di Core Business con quelle relative alle verifiche che richiederanno tempo, attenzione e concentrazione da parte di tutti i “process owner”.

Un passaggio spesso sottovalutato ma che, al contrario, riveste un ruolo basilare nel contesto di un Audit è quello della riunione di apertura, conosciuta anche dagli addetti ai lavori con la locuzione anglosassone “kick off meeting, nella quale sono comunicati gli obiettivi ai responsabili di processo, sono concordate le modalità di esecuzione e condivise alcune informazioni di carattere generali riguardanti la sessione di verifica.

Audit, la fase di indagine

Una volta consumati tutti gli step procedurali propedeutici alla corretta esecuzione dell’Audit, è possibile partire con le attività di “indagine” che, in linea generale, si esplicano in interviste, raccolte di evidenze, osservazioni dei processi, riesame degli standard adottati, della struttura organizzativa e della documentazione dei sistemi informativi.

Tra gli aspetti degni di menzione vi è sicuramente quello relativo al “campionamento”, ossia all’insieme delle tecniche finalizzate a selezionare un numero ridotto ma significativo di elementi da controllare a partire da una “popolazione” oggetto di indagine che può essere anche molto estesa e, quindi, non verificabile nella sua interezza.

Per comprendere al meglio il concetto di riferimento, si pensi ad esempio alla necessità di rivedere l’implementazione delle politiche di sicurezza sulle singole postazioni informatiche di un’amministrazione. In un contesto nel quale siano presenti centinaia di computer, si renderà indispensabile procedere con un campionamento che possa fornire un risultato quanto più possibile attendibile ed estensibile a tutte le postazioni. Tra le tecniche maggiormente utilizzate, si ricordano quella “statistica”, che prevede l’applicazione di funzioni matematiche basate su principi stocastici, e quella “empirica” o “judgmental”, in cui la modalità di selezione è orientata dalle scelte ponderate effettuate dagli auditor in base alla situazione contingente.

Test di “conformità” e test di “sostanza”

Evitando di entrare in elementi eccessivamente specialistici inerenti le tecniche di audit, un altro fattore di carattere generale da tenere in considerazione è quello relativo alla necessità di distinguere tra test di “conformità”, finalizzati a verificare la corretta applicazione di un processo, di una norma o di un requisito, e test di “sostanza”, che invece focalizzano la propria attenzione sull’integrità dell’effettiva elaborazione e, pertanto, degli output prodotti da una determinata procedura.

Riprendendo l’esempio descritto in precedenza e relativo all’implementazione di un software finalizzato alla quantificazione di alcune “tasse” a carico dei cittadini, il test di conformità potrebbe essere mirato a verificare l’aderenza del processo di sviluppo e scrittura del codice con i Manuali che regolamentano il “ciclo di vita” di generazione di un’applicazione mentre il test di sostanza dovrebbe verificare l’effettiva corrispondenza tra i risultati attesi e quelli prodotti dal programma, anche attraverso la simulazione manuale dell’algoritmo di calcolo.

In considerazione, inoltre, dell’aspetto intrinsecamente “formale” e del valore anche prospettico delle attività di Audit, è imprescindibile che i risultati di ogni sessione, dopo essere stati opportunamente condivisi con i soggetti coinvolti, siano cristallizzati in un rapporto contenente anche le eventuali azioni correttive concordate con i responsabili di processo con il fine di superare alcune criticità, cogliere le opportunità di miglioramento, esaltare i punti di forza emersi nel corso delle verifiche e del confronto con gli auditor.

Effetti e timing dell’auditing

A differenza di quanto si possa essere indotti a pensare, un Audit non si conclude con l’approvazione e l’inoltro del suo rapporto a tutti i soggetti interessati ma, al contrario, produce i propri effetti probabilmente più importanti nei mesi e negli anni successivi alla conclusione delle attività di verifica, grazie soprattutto al processo conosciuto come “Follow Up”.

Si tratta, in estrema sintesi, di una serie di attività finalizzate a prendere atto dell’evoluzione e dei risultati ottenuti dal “Piano delle Azioni Correttive” e, pertanto, del valore aggiunto apportato dall’Audit all’organizzazione.

Un indicatore estremamente utile per verificare l’effettiva capacità di un’amministrazione di sfruttare a pieno il valore potenzialmente elevato dell’Internal Audit è quello connesso al rapporto tra i Piani di azione e correzione effettivamente conclusi ed implementati e quelli formalmente concordati alla fine di una sessione di Audit.

E’ del tutto evidente, infatti, che le aree di criticità o miglioramento individuate debbano essere adeguatamente e tempestivamente affrontate per evitare di vanificare gli sforzi profusi in tutto il ciclo di gestione degli Audit ma anche e soprattutto per ottenere un valore aggiunto per l’intera organizzazione.

Non deve essere, infine, trascurata la circostanza per la quale i rapporti di Internal Audit possano costituire la base di partenza per ispezioni ed accertamenti condotti da terze parti e che, pertanto, siano in grado di orientare anche le attività esterne di supervisione, verifica, certificazione e vigilanza con conseguenze anche molto serie per l’immagine e la credibilità dell’intera organizzazione.

Auditing, un processo senza fine

L’attività di Internal Audit può essere certamente considerata come il tassello finale da progettare, implementare, concretizzare ed apporre nel processo di generazione e costruzione di un’infrastruttura di protezione del patrimonio informativo della pubblica amministrazione in un contesto di transizione sempre più veloce e repentina verso una nuova organizzazione digitale e potenzialmente paper-less.

Poiché la difesa dal cybercrime deve essere caratterizzata dalla continua ricerca delle migliori soluzioni gestionali, tecniche, procedurali ed implementative e deve condurre un’organizzazione a reagire, a tutti i suoi livelli, tempestivamente ed efficacemente ai mutati contesti di riferimento, l’imponente e complessa macchina organizzativa posta a presidio della sicurezza non può assolutamente concludere la propria attività con l’implementazione e la finalizzazione di tutti i suoi componenti ma, al contrario, deve sempre evolversi, migliorarsi, adeguarsi ed ottimizzare le proprie risposte alle minacce esterne ed alle proprie stesse vulnerabilità.

Per questo motivo, il processo deve essere ideato e costruito in modo che sia iterativo, perpetuo, costantemente in evoluzione ed in grado di auto-potenziarsi: come abbiamo avuto modo di vedere, infatti, i risultati delle attività di internal audit avranno tanto più valore ed efficacia quanto saranno in grado di innescare, grazie al lavoro ed alla collaborazione di tutti i soggetti a vario titolo coinvolti nell’amministrazione, attività di revisione, reingegnerizzazione, rivisitazione ed ottimizzazione in tutte le ramificazioni operative e strategiche.

Un’organizzazione pubblica, pertanto, dovrà ciclicamente ripercorrere tutte le fasi descritte nella road-map appena conclusa, analizzando e rivalutando i propri rischi, scegliendo le modalità più opportune di prevenzione, correzione e mitigazione, implementando tutti i correttivi necessari, predisponendo le procedure di risposta alle emergenze ed agli incidenti e, soprattutto, verificando sempre la propria infrastruttura per individuare ulteriori aree di miglioramento così da poter continuare, in un ciclo potenzialmente infinito, la propria battaglia contro le minacce cibernetiche con l’obiettivo finale di tutelare e difendere gli interessi dei cittadini e di tutta la collettività.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

  • scenari

    Internal Audit con l’intelligenza artificiale: come fare

    02 Ago 2023

    di Luca Barbieri, Mattia Girardi e Francesco Perna

    Condividi

Prossimo

Internal Audit con l’intelligenza artificiale: come fare

Articolo 1 di 2