Revisione legale, entra in gioco anche la valutazione del rischio cibernetico

Se da una parte dall’utilizzo della tecnologia deriva una maggiore efficienza ed efficacia nello svolgimento delle attività aziendali, dall’altra ne discendono rischi specifici, che possono avere come conseguenza la proliferazione di attività fraudolente a volte difficili da individuare e che devono essere di conseguenza attentamente identificati da parte del revisore.

I rischi derivanti da una gestione non sempre adeguata dell’IT (per effetto di controlli carenti e/o mal disegnati) influiscono peraltro anche sui rischi di business, esponendo l’azienda a rischi di mercato (ad esempio perdita di competitività, reputazione, ecc), sui rischi finanziari, sui rischi legali e su altri rischi operativi. Ne discende una crescente sensibilità verso il corretto presidio mediante appropriati controlli interni e, più in generale, verso le tematiche legate alla «It Governance».

In tale contesto, assume particolare rilevanza la correlazione tra l’adeguatezza dei controlli interni sui sistemi informativi ed i nuovi scenari di rischio derivanti dall’evoluzione tecnologica e normativa, tra cui in primis rileva il rischio cyber.

In considerazione di ciò, la sicurezza informatica rappresenta una tematica in evoluzione che è necessario considerare, ai fini della revisione contabile, come parte integrante della valutazione dei rischi di errori significativi, poiché la frequenza e la complessità degli incidenti e degli attacchi informatici continuano a evolversi rapidamente, anche in ragione del crescente valore del patrimonio informativo delle aziende che risiede nei relativi sistemi. Tali rischi possono derivare sia da peculiarità dell’organizzazione, sia da fattori esterni, come le caratteristiche del settore e dell’ambiente in cui opera.

A causa della pandemia globale, peraltro, le organizzazioni hanno dovuto modificare in modo significativo le proprie pratiche lavorative, prevedendo o modificando le modalità di connessione dall’esterno, implementando talora nuovi applicativi e impostando nuove regole di accesso ed elaborazione delle transazioni; appare quindi evidente la necessità di comprendere a questo riguardo se e come sono stati modificati, integrati e/o implementati nuovi controlli a presidio dei relativi rischi sottesi.

Il rischio di attacchi cyber non rileva pertanto solo per le imprese (potenzialmente oggetto di attacchi) ma, per individuare e valutare correttamente i maggiori rischi che le organizzazioni si trovano ad affrontare, anche l’approccio di revisione dovrebbe essere considerato in quest’ottica, ricomprendendo, tra le altre, procedure di valutazione del rischio idonee ad identificare i rischi correlati alla sicurezza informatica (tra cui il rischio cyber) e a determinare gli eventuali impatti sulla strategia di audit, ove gli stessi abbiano rilevanza ai fini del financial reporting.

A tale proposito, va certamente osservato che non tutti i rischi per la sicurezza informatica danno necessariamente luogo a un rischio di errori significativi sul bilancio dovuti a frode o errore, sebbene sia sempre importante considerare eventuali impatti indiretti, ad esempio eventuali interruzioni delle operazioni ordinarie o la modifica della modalità di effettuazione delle stesse (con conseguenti rischi di errori significativi). Laddove la strategia di revisione faccia affidamento sui controlli, è pertanto opportuno effettuare una valutazione preliminare circa la rilevanza del rischio cyber.

Alcuni dei principali driver da considerare per identificare la rilevanza di tale rischio ai fini delle attività di audit sono tipicamente:
● la tipologia di industry, ossia il settore in cui opera l’impresa: alcuni settori di attività sono infatti per loro natura astrattamente più esposti di altri al rischio di attacchi cyber;
● la storia degli “incidenti di sicurezza” con impatto sul sistema di controllo interno rilevante ai fini del bilancio, in un arco temporale definito (tipicamente almeno nei precedenti 3 anni);
● la presenza di assetcritici tenuti in forma digitale dall’azienda, con potenziale impatto sul financial reporting (es. distinte base, brevetti, ecc.).

Da questa comprensione preliminare ed in base al proprio giudizio professionale, il revisore può valutare che il rischio cyber rappresenti o meno un rischio rilevante con impatto sul bilancio, in termini di errore significativo.

In ogni caso, in presenza di un «incidente di sicurezza» sarà ragionevolmente necessario comprenderne le caratteristiche, ossia la natura dell’incidente, l’ambito ove lo stesso si è manifestato, l’impatto sul financial reporting, la risposta dell’organizzazione, ecc.

Tra i potenziali impatti negativi sul financial reporting sono ad esempio da considerare: spese relative a indagini, notifica di violazioni, azioni correttive da porre in essere, contenziosi (inclusi i costi di servizi legali e altri servizi professionali), costi relativi a violazioni contrattuali o reclami inerenti garanzie, costi relativi alla necessità di richiamo/sostituzione di prodotti, sanzioni derivanti dal mancato rispetto della normativa sulla protezione dei dati personali, costi correlati alla necessità di indennizzo delle controparti, aumento dei premi assicurativi, flussi di cassa futuri ridotti, effetti relativi al danneggiamento di beni correlati alla proprietà intellettuale, maggiori costi di finanziamento.

Nel percorso di valutazione del framework cyber, fermo restando che il piano di approfondimenti da seguire dovrebbe essere adattato allo specifico scenario sulla base del giudizio professionale del revisore, tra le macro-aree oggetto di approfondimento dovrebbero essere considerate almeno quelle elencate di seguito.
● Risk Assessment. L’attività si dovrebbe sostanziare nella comprensione del processo di risk management dell’impresa attraverso l’analisi di policy, procedure e se e come il rischio cyber è considerato dall’organizzazione.
● Ruoli e responsabilità. Le analisi dovrebbero condurre a comprendere se e come l’organizzazione ha definito ruoli e responsabilità in merito alla sicurezza delle informazioni (ad esempio attraverso l’identificazione di un Ciso).
● Salvaguardia degli asset. L’attività si dovrebbe sostanziare in un processo finalizzato a comprendere se è mantenuto aggiornato un censimento degli asset critici per il business e tenuti in forma digitale dall’azienda o impattati dal rischio cyber in via indiretta e quali sono i controlli in essere a protezione di questi.
● Incidenti di sicurezza. Gli approfondimenti dovrebbero condurre alla comprensione del processo di gestione degli incident e dei controlli posti in essere per la loro prevenzione e gestione.
● Disclosure. L’attività si dovrebbe sostanziare nella comprensione del processo di comunicazione all’esterno dei rischi e di eventuali incidenti inerenti la sicurezza delle informazioni e delle correlate informazioni fornite.

Qualora dall’esito di tale processo di analisi il rischio cyber sia considerato rilevante, il revisore dovrà ragionevolmente identificare i controlli applicativi e gli Itgc pertinenti e testare la loro efficacia operativa, e/o eseguire test di sostanza in risposta ai rischi identificati, al fine di indirizzare il rischio di cybersecurity nel processo di revisione contabile.

Tra le altre, dovrebbero essere previste verifiche mirate ad approfondire e comprendere i processi di incident management & response connessi ad un eventuale attacco informatico, i presidi di sicurezza fisica e logica, le misure di back up, le misure di business continuity e di disaster recovery, le misure connesse alla sicurezza perimetrale e di rete, le analisi in tema di vulnerability, le misure di intrusion prevention & detection, le procedure di patch management, le iniziative di formazione e awareness al personale in tema di cybersecurity.

Ciò comporta l’integrazione della valutazione degli Itgc con controlli più specifici in ambito “cyber”: per ciascun controllo-chiave individuato, sarà necessario valutare l’applicabilità al contesto, analizzare il disegno e testarne l’operatività.

Appare in ogni caso fondamentale un’appropriata sensibilizzazione del management, affinché venga tempestivamente coinvolto il revisore qualora siano stati rilevati incident o eventi particolari con impatti cyber, in modo da implementare opportunamente analisi / procedure aggiuntive atte a garantire una risposta di audit adeguata.

Segnaliamo che tra i settori con più elevata esposizione ad un potenziale attacco cyber sono da considerare le società di gaming on line, le banche, le Sim, le Sgr, le assicurazioni, le imprese operanti nel commercio on line e di software.

Anche i settori dell’energy & utilities, i trasporti, la moda, telecomunicazioni presentano un alto rischio di attacchi, mentre appaiono ad oggi astrattamente contraddistinti da una minore probabilità di accadimento di eventi cyber quelli relativi all’industria, alle costruzioni, alla distribuzione commerciale, al mining.

Va tuttavia evidenziato che con lo smart working il rischio appare oggi in ogni caso più distribuito e attacchi sempre più frequenti si stanno manifestando anche in settori precedentemente ritenuti “a bassa probabilità” di attacco.

Questo articolo fa parte del Modulo24 Revisione e Crisi d'impresa, dove puoi leggere la versione integrale . Leggi gli altri articoli degli autori del Comitato scientifico e scopri i dettagli di Modulo24