Una tipica struttura informativa aziendale si compone della contabilità direzionale, degli strumenti IT e del sistema di reporting necessari ad alimentare il processo di gestione e il controllo manageriale delle attività operative e direzionali aziendali. Il processo di controllo non è un processo meccanico ma deve essere in grado di rispondere alla complessità in cui l’azienda opera, con il duplice scopo di influenzare il comportamento degli individui e di verificare il raggiungimento degli obiettivi aziendali. In questo paragrafo si analizzerà il fenomeno dell’integrazione dei sistemi IT
34 cfr. G. DHILLOM – J. BACKHOUSE, Information system security management in the new millennium, 2000. 35 V. in argomento E. BERTINO, Data security – Challenges and research opportunities, 2014.
88 e il suo impatto sulla contabilità direzionale, sul sistema di reporting e sul controllo di gestione.
L’utilizzo degli strumenti IT dovrebbe consentire una razionalizzazione dei processi operativi, un migliore coordinamento delle attività operative, un miglioramento nelle relazioni di interdipendenza tra funzioni aziendali, una standardizzazione delle procedure e dei comportamenti desiderati. Tuttavia, l’esperienza dimostra che non sempre ciò si verifica, e la causa è da ricondurre alle forti resistenze che il cambiamento delle pratiche organizzative può generare nel comportamento degli individui.
Le aziende moderne utilizzano un numero sempre crescente di tecnologie informatiche. Le soluzioni IT offrono senz’altro una serie di innumerevoli vantaggi, ma portano con sé altrettanti rischi e pericoli. Una mancata coerenza ed una debole integrazione tra le differenti tecnologie informatiche e la contabilità direzionale può compromettere il livello di qualità e di tempestività dell’intero sistema di reporting direzionale. Il percorso decisionale, sia a livello operativo che a livello manageriale, rischia di essere alimentato da informazioni che non sono coerenti né con l’andamento del business, né con le esigenze organizzative, né tantomeno con le variabili chiave del controllo.
In particolare, si è portati a credere che l’uso di sistemi ERP con un alto livello di integrazione dei processi transazionali sia diffuso nella maggior parte delle aziende e che il corretto funzionamento di tali sistemi sia garantito nel tempo, mentre in realtà la gran parte delle aziende opera con sistemi che sono molto spesso non-integrati.
Sebbene la non-integrazione in diversi casi sembri essere la soluzione migliore per lo svolgimento delle attività operative, una mancanza di integrazione comporta per diverse aziende una grande mole di lavoro in termini di immissione manuale dei dati e genera implicazioni negative di natura operativa ed organizzativa, quali la perdita dei dati, la verifica successiva dei valori immessi nel sistema, il rallentamento delle attività operative, errori nella pianificazione e nella programmazione operativa, l’errata valutazione delle rimanenze in magazzino e la conseguente inefficienza nella spedizione di prodotti al cliente, l’ambiguità negli obiettivi assegnati, l’insoddisfazione dei lavoratori, e così via.
89 Inoltre, l’impossibilità di ottenere informazioni in tempo reale attraverso la diretta interrogazione del sistema informatico rende il processo decisionale inefficiente, mettendo a repentaglio da un lato l’operatività aziendale, dall’altro la bontà delle decisioni di breve termine e di quelle strategiche.
Per questi motivi, l’integrazione informatico-informativa rappresenta un fattore critico per l’efficiente e l’efficace funzionamento del sistema nel suo complesso. Oggi le aziende sono spesso chiamate ad una revisione dell’intero sistema di controllo, per verificare quali problemi di natura organizzativa e/o informativa rendono il sistema inefficace a guidare l’azienda verso il raggiungimento degli obiettivi. Uno di questi problemi è la mancanza di integrazione informativa-informativa36.
Un altro aspetto problematico riguardante l’integrazione dei sistemi informativi è quello relativo all’ambito M&A (Mergers and acquisitions), ovvero delle fusioni e delle acquisizioni. Fusioni e acquisizioni sono sempre più frequenti in settori altamente competitivi e ormai quasi quotidianamente possiamo assistere alla fusione di due società o all'acquisizione di una piccola impresa da parte di un concorrente di più grandi dimensioni. Entrambe queste operazioni (fusioni e acquisizioni) coinvolgono una complessa serie di azioni destinate alla consolidazione delle operation, all’ottimizzazione dei costi e alla razionalizzazione di procedure e risorse. In tal senso, una delle questioni più rilevanti e problematiche riguarda l’integrazione dei sistemi informativi aziendali: capita spesso infatti che i responsabili dei due sistemi informativi abbiano il compito di far conciliare due insiemi potenzialmente disparati di policy IT e di procedure IT, il che potrebbe rivelarsi un'operazione davvero estenuante e complicata. Inoltre, durante il processo di consolidamento delle policy IT, non si può prescindere dal considerare gli effetti che una fusione può avere su chi vi è coinvolto in termini di inerzia al cambiamento. Il merge di un'azienda può infatti generare un'atmosfera di incertezza, dubbio e timore, e i cambiamenti improvvisi all'ambiente lavorativo potrebbero portare al manifestarsi di stress fra i dipendenti37.
36 Contenuto ripreso dall’articolo “L’integrazione dei sistemi informativi e l’impatto sul controllo di gestione” di M.
BASTELLI, rinvenibile per intero sul sito internet www.reteict.it.
37 V. in argomento F. GIACOMAZZI – C. PANELLA – B. PERNICI – M. SANSONI, Information systems integration in
90
Bibliografia
V. AGRAWAL, A Comparative Study on Information Security Risk Analysis Methods, 2015
N. AHITUV – S. NEUMANN – H. N. RILEY, Principles fo information systems for management, 1994
Y. H. AL-MAMARY – A. SHAMSUDDIN – N. AZIATI, The role of different types of information systems in business organizations: a review, International Journal of Research (IJR), 2014
I.O. ANGELL, Winners and losers in the information age, 1999
I.O. ANGELL, Computer security in these uncertain times: the need for a new approach, 1993
K. BANDYOPADHYAY – P. P. MYKYTYN – K. MYKYTYN, A framework for integrated risk management in information technology, Management Decision, Vol 37 Issue:5, p.437-445, 1999
A. BARUA – C. H. KRIEBEL – T. MUKHOPADHYAY, Information technologies and business value: an analytical and empirical investigation, 1995
A. BEHNIA – R. A. RASHID – J. A. CHAUDHRY, A Survey of Information Security Risk Analysis Methods, 2012
R. BERNARD, Information lifecycle security risk assessment: a tool for closing security gaps, 2007
the impact on IS capabilities, 1999; A. C. STYLIANOU – C. JEFFRIES – S. S. ROBBINS, Corporate mergers and the problems of IS integration, 1996.
91 E. BERTINO, Data Security – Challenges and Research Opportunities, 2014
E. BRYNOLFSSON - H. MENDELSON, Information systems and the organization of modern enterprise, 1993
R. BUYYA – J. BROBERG – A. GOSCINSKI, Introduction to cloud computing, 2011 T. CORNFORD – M. SHAIKH, Introduction to information systems, University of
London, 2013
G. DHILLOM, J. BACKHOUSE, Information System Security Management in the New Millennium, 2000
G. DHILLOM, J. BACKHOUSE, Risks in the use of information technology within organizations, 2010
G. DHILLOM – G. TORKZADEH, Value-Focused Assessment of Information System Security in Organizations, 2001
S. DRISSI – H. HOUMANI – H. MEDROMI, Survey: Risk Assessment for Cloud Computing, 2013
E. DUBOIS – P. HEYMANS – N. MAYER – R. MATULEVICIUS, A Systematic Approach to Define the Domain of Information System Security Risk Management, 2010
S. FERUZA - T. H. KIM, IT Security Review: Privacy, Protection, Access Control, Assurance and System Security, 2007
T. FINNE, A decision support system for improving information security, 1998 T. FINNE, Information systems risk management: key concepts and business
92 T. FINNE, The information security chain in a company, Computers and security,
Vol.15, No.4, 1996, p.297-316
F. GIACOMAZZI – C. PANELLA – B. PERNICI – M. SANSONI, Information systems integration in mergers and acquisitions: a normative model, 1997
D. IONITA, Current Established Risk Assessment Methodologies and Tools, 2013 D. KANELLOPOULOS - G. RUFFO, Recent advances in multimedia information
system security, 2009
R. KANTHE – C. PATEL, Data Security and Privacy Protection Issues in Cloud Computing, 2012
C.F. KEMERER - G.I. SOSA, Systems development risks in strategic information systems, 1990
M. JOUINI - L. BEN ARFA RABAI - A. BEN AISSA, Classification of security threats in information systems, 2014
F. LIU – J. TONG – J. MAO – R. BOHN – J. MESSINA – L- BADGER – D. LEAF, NIST Cloud Computing Reference Architecture, 2011
Y. LIU, Y. SUN, J. RYO, S. RIZVI, A. V. VASILAKOS, A Survey of Security and Privacy Challenges in Cloud Computing: Solutions and Future Directions, 2015
K. D. LOCH - H. H. CARR – M. E. WARKENTIN, Threats to Information Systems: Today's Reality, Yesterday's Understandings, 1992
S. MALISUWAN – N. MADAN, Risk Analysis of IT Outsourcing Case Study on Public Companies in Thailand, 2013
93 F. MURMURA, Dai sistemi di integrazione ai sistemi integrati – L’introduzione dei
sistemi in azienda, Franco Angeli, Milano, 2009
S. NICOLOSO, Sistemi indormativi aziendali, Università degli Studi di Roma “Tor Vergata”, Metodi e modelli per l’organizzazione e la gestione, 2006
H. PAREKH – R. SRIDARAN, An Analysis of Security Challenges in Cloud Computing, 2013
R. J. PAUL, What an information system is, and why is it important to know this, 2010
M. M. POTEY – C. A. DHOTE – D. H. SHARMA, Cloud Computing – Understanding Risk, Threats, Vulnerability and Controls: A Survey, 2013
S. S. ROBBINS – A. C. STYLIANOU, Post-merger system integration: the impact on IS
capabilities, 1999
A. ROT, IT Risk Assessment: Quantitative and Qualitative Approach, 2008
R. SABHERWAL – A. JEYARAJ – C. CHOWA, Information system success: individual and organizational determinants, 2006
P. SHEDDEN – W. SMITH – A. AHMAD, Information Security Risk Assessment: Towards a Business Practice Perspective, 2010
N. SHUKLA – S. KUMAR, A Comparative Study on Information Security Risk Analysis Practices, 2012
G. SOLINAS, I sistemi di supporto alle decisioni – Nuovi strumenti per una gestione efficace dell’informazione, 2004
94 G. STONEBURNER – A. GOGUEN – A. FERINGA, Risk management giude for information technology systems, NIST – National Institute of Standards and Technology, 2002
A. C. STYLIANOU – C. JEFFRIES – S. S. ROBBINS, Corporate mergers and the problems of IS integration, 1996.
H. TOHIDI, The role of risk management in IT systems of organizations, 2011 M. E. WHITMAN, Enemy at the gate: threats to information security, 2003
Q. J. YEH – A. J. T. CHANG, Threats and countermeasures for information system security: a cross industry study, 2007
Sitografia
https://www.digital4.biz http://www.pacis-net.org https://www.cwi.it http://www.affaritaliani.it http://www.unimarconi.it http://www.uniroma2.it95
Ringraziamenti
Ringrazio l’Avvocato Marco Ferraro per avermi dato la possibilità di intraprendere questa avventura lavorativa, per la sua grande umanità e per avermi sempre sostenuto e incoraggiato.
Ringrazio il Dott. Valerio De Sanctis per i preziosissimi consigli ed insegnamenti, e per avermi indirizzato, affiancato e supportato nella realizzazione del presente lavoro.
Ringrazio il Prof. Ing. Riccardo Dulmin per avermi pazientemente e preziosamente guidato nella redazione del presente lavoro.