[section_title title=L’indipendenza professionale dell’IS auditor – Parte 2]
Information Security Auditor: una posizione ancora più delicata
Se da un punto di vista generale, le indicazioni per il professionista di internal auditor sono quelle sopra indicate, la situazione per l’auditor dei sistemi informativi, è stata soggetta ad ulteriori studi ed analisi.
E’ sotto gli occhi di tutti, che la necessità di rendere più performanti i servizi forniti dalle organizzazioni e la sempre maggiore dipendenza degli stessi e dei suoi processi dalle tecnologie ICT, rappresenta un aspetto di grande interesse e forse ancora sottovalutato in molte aziende pubbliche e private.
Infatti, l’utilizzo delle tecnologie, senza un idoneo governo e controllo, introduce nuovi e pericolosissimi rischi per le aziende, sia in termini di sicurezza che di performance e continuità.
Per questi motivi, molte realtà, specie banche e assicurazioni, attraverso i cui servizi IT viaggiano transazioni finanziarie per miliardi di euro, si sono dotati del supporto di auditor in materia di information security.
La figura dell’IS auditor, viste le sue peculiarità professionali, caratterizzate da elevate conoscenze tecniche, tecnologiche e organizzative, è di solito una risorsa esterna alle strutture di internal auditing in quanto difficilmente individuabile in azienda.
Solo da pochi anni, con l’aumento della maturità delle organizzazioni e con i problemi che la crisi finanziaria ha portato con sè, molte di queste attività hanno iniziato ad essere svolte dalle funzioni di internal auditing presenti nelle aziende, avviando anche un processo di accorpamento delle varie funzioni di assurance sotto un’unica direzione .
E’ importante chiarire che l’IS Auditor (o IT Auditor), svolge prevalentemente, attività di assurance e consulenza in tema di information security su sistemi e infrastrutture ICT, assicurando l’adeguatezza degli IT General Control and Application Control, intesi a garantire la sicurezza delle informazioni generate, elaborate, trasmesse, memorizzate e cancellate nell’azienda.
Anche per l’auditor dei sistemi di sicurezza delle informazioni sono definiti appositi framework e linee guide, intese come buone pratiche (in realtà alcune sono obbligatorie) per il corretto svolgimento della professione.
A tal fine, l’ISACA , associazione internazionalmente riconosciuta come leader nel settore della governance, della gestione dei rischi e del controllo dei sistemi IT e dei processi da essi dipendenti, ha predisposto un documento che raccoglie le best practices e gli standard per IS Auditor: Information Technology Assurance Framework (ITAF), A Professional Practices Framework for IS Audit/Assurance, che illustra ed affronta tutte le problematiche relative alla professione, sia in fase di impostazione e avvio di un incarico di IT audit, che in quelle di conduzione e chiusura, comprese quelle sull’indipendenza e obiettività.
In particolare l’ITAF, fra gli standard generali, prevede lo standard 1003 Professional Independence, il quale afferma che l’IS auditing deve essere indipendente ed obiettivo in tutte le questioni relative alle attività di revisione e assurance, sia nell’attitudine che nell’apparenza.
Tale aspetto è particolarmente sentito e trattato nell’ITAF proprio a causa della particolare natura dell’IS Auditor, il quale viene spesso utilizzato (specie nelle piccole/medie realtà) sia in attività di assurance e consulenza, che operative.
Sicuramente, da un punto di vista aziendale – specie con aziende di piccole dimensioni – non è biasimabile l’utilizzo di un professionista IT in diversi processi, in modo da avere un abbattimento dei costi, ma nelle medie e grandi realtà è sempre meglio garantire la separazione dei ruoli e delle funzioni.
Infatti, l’utilizzo del professionista di audit IT in attività operative, impatta senza dubbio sull’indipendenza del professionista stesso, sia se inserito come responsabile di un processo operativo, sia se appartenente ad una struttura operativa con a capo un altro soggetto.
Il motivo principale è legato al fatto che se quel particolare processo o quella specifica struttura possono essere soggette ad audit (appartenenti all’universo di audit), ovvero ad attività di controllo da parte dell’IT auditor, è evidente che, a causa delle forze messe in gioco, potrebbe essere compromessa l’obiettività, specie se lo stesso non è valutato dal Top Management (che è super partes), bensì dai responsabili operativi.
E’ ovvio che attività di revisione e attività operative, sebbene legate all’IT, rappresentano forze che nel loro insieme convergono verso gli obiettivi aziendali, ma isolate l’una dall’altra e in contrapposizione, in quanto una legata a garantire che le cose siano fatte secondo le regole, rispettando i requisiti di sicurezza, conformità, economicità, ecc, l’altra invece spinta a massimizzare il proprio obiettivo e la propria performance, magari trascurando anche alcune importanti caratteristiche.
Come è stato già indicato in altri punti del presente elaborato, alcuni importanti aspetti legati all’IT sono trattati anche dagli standard IIA, che però rimanda alle risorse elaborate da ISACA , proprio a differenziare la figura dell’auditor da quella dell’IT auditor che, come abbiamo già detto è estremamente specializzata, cosa che ne giustifica l’utilizzo in diversi settori, a volte anche in contrasto fra loro.
Infatti, l’ITAF illustra il framework concettuale e metodologico per i professionisti di IS Auditor, proprio perché sono molte le circostanze o le combinazioni di circostanze che possono essere rilevanti nella valutazione delle minacce all’indipendenza del professionista dell’IT audit.
Come di consueto per la professione, anche in questo caso, per gestire la minaccia all’indipendenza e all’obiettività, i passi da seguire sono quelli standard del mestiere:
• Identificare le minacce all’indipendenza;
• Valutare la rilevanza delle minacce individuate;
• Applicare misure di salvaguardia per eliminare le minacce o ridurla a livelli accettabili.
Prosegui la lettua alla pagina seguente