Governance delle società alla prova dei rischi di information technology

Il rischio informatico dovrebbe essere monitorato e gestito dal consiglio di amministrazione delle società, anche in relazione all’informativa non finanziaria.

Assirevi, l’Associazione italiana delle società di revisione legale, ha pubblicato sul proprio sito la monografia relativa all’evoluzione della governance dei rischi di information technology (IT) con l’intento di sensibilizzare i vertici aziendali su tale tematica.

L’impatto delle nuove tecnologie digitali sui modelli di business impone alle imprese una riflessione di carattere strategico sul governo dei rischi e delle opportunità connessi alla trasformazione digitale che, se non opportunamente indirizzati, potrebbero generare conseguenze estreme mettendo a repentaglio la sopravvivenza dell’impresa.

Pertanto, il consiglio di amministrazione è direttamente coinvolto anche nei processi decisionali, strategici e organizzativi che riguardano l’utilizzo della tecnologia digitale: la non adeguata gestione di tali aspetti potrebbe portare a responsabilità degli amministratori.

Inoltre, la prevenzione dei rischi legati all’IT è rilevante anche per gli altri soggetti coinvolti nel monitoraggio e nella supervisione dell’informativa finanziaria e non finanziaria, in sostanza collegi sindacali e comitato di controllo e rischi.

In tale contesto, l’interesse di Assirevi deriva dalla necessità per il revisore di conoscere i rischi della società sottoposta a revisione, identificare quelli che possono avere effetti sul bilancio e comprendere le attività poste in essere dagli organi amministrativi per evitare che tali rischi possano avere conseguenze negative sull’informativa.

Nel contesto della trasformazione digitale in atto, è necessario considerare l’influenza dell’uso delle tecnologie, che non sono una funzione aziendale a sé stante, sulle altre aree e tematiche di interesse aziendale, per esempio il marketing, la comunicazione e l’organizzazione.

La monografia ha come obiettivo l’analisi dei flussi informativi e dei processi aziendali in materia di rischi IT: non si tratta di un documento tecnico per specialisti di IT ma, considerando la crescente rilevanza dei sistemi informativi, vuole essere uno strumento di supporto per generare riflessioni sull’approccio per la gestione dell’IT.

Il primo capitolo del documento inquadra la tematica in questione nell’ambito del più ampio concetto di corporate governance, mentre nel secondo capitolo sono individuati le modalità di coordinamento tra i vari soggetti coinvolti.

Il rischio informatico è analizzato nel terzo capitolo, mentre il quarto analizza le componenti di gestione del rischio IT.

Il quinto e ultimo capitolo, quello più operativo, identifica le diverse minacce molte delle quali sono favorite dai trend evolutivi e tecnologici che si stanno consolidando nel tempo.

Per esempio, «malware» destinato a eseguire un processo non autorizzato che avrà un impatto negativo sulla riservatezza, integrità, e disponibilità di un sistema.

Altro rischio analizzato riguarda le minacce veicolate tramite e-mail costituite da un insieme di minacce che sfruttano le debolezze della psiche umana e delle abitudini quotidiane, nonché le vulnerabilità tecniche dei sistemi informativi.