Come definisce Andrea Borghesan “Un sistema informativo è un insieme di elementi che raccolgono, elaborano, memorizzano e distribuiscono informazioni per supportare le attività decisionali e di controllo di un’azienda. Oltre al supporto delle attività decisionali, al coordinamento e al controllo, i sistemi informativi possono aiutare i manager e i dipendenti ad analizzare i problemi, a visualizzare argomenti complessi e a creare nuovi prodotti. I sistemi informativi contengono informazioni relative a persone, luoghi e oggetti dell’azienda o dell’ambiente che la circonda”102. Il sistema informativo interno è concepito in funzione delle decisioni ed è finalizzato a produrre informazioni utili alle scelte aziendali, quindi deve essere integrato, flessibile ed idoneo a produrre informazioni tempestive e affidabili. Questo sistema di informazioni può essere automatizzato (informatico) oppure non.
Il sistema informativo interno fornisce un flusso di informazioni e dati che permette al personale di individuare se tutto ciò che riguarda l’organizzazione sta funzionando bene oppure ci sono lacune che necessitano interventi speciali, quindi permettono anche l’individuazione dei punti di forza e di debolezza dell’entità. Un adeguato flusso di informazione molte volte significa riuscire ad individuare in anticipo i rischi inerenti alla gestione operativa e direzionale di un’organizzazione.
Il sistema informativo aziendale è a supporto di tutte le funzioni perchè: “rende disponibile e accessibile l’informazione alle diverse strutture organizzative aziendali; fornisce gli strumenti per operare sulle informazioni e sui dati sulla base delle regole e delle modalità definite internamente all’azienda; rende disponibili informazioni specifiche, di carattere pubblico o riservato a fornitori, partner, clienti e potenziali clienti dell’azienda; consente l’accesso ad informazioni rese disponibili da soggetti esterni alle diverse strutture organizzative aziendali; consente e semplifica la comunicazione interna all’azienda e tra le strutture aziendali e clienti, fornitori e partner; fornisce strumenti operativi per lo svolgimento di specifiche attività previste per le diverse strutture organizzative aziendali; garantisce la sicurezza delle informazioni in termini di disponibilità, integrità e riservatezza”103.
Il Consiglio di Amministrazione necessita di dati sintetici sulle prospettive di business, sul budget e sul bilancio consuntivo; Amministratore Delegato ha bisogno delle informazioni di carattere economico e finanziario; il Direttore Generale deve accedere ai dati relativi alle attività di ogni direzione; Direzione Amministrativa deve gestire i dati relativi ai clienti e fornitori, nonché le necessità finanziarie dell’organizzazione; il reparto di produzione deve raccogliere informazioni inerenti i costi sostenuti, i costi previsti, le risorse disponibili, le commesse attive, in sostanza dati relativi al processo produttivo; la direzione commerciale si occupa dei dati relativi al mercato, alle domande, ai prodotti aziendali e ai potenziali clienti. In sintesi, ogni reparto ha bisogno di dati ed informazioni per poter funzionare e ciascuna di loro a sua volta producono ulteriori dati ed informazioni. Anche il flusso di scambio di informazioni è fondamentale ad esempio se la direzione commerciale non comunica di avere ricevuto una domanda di commessa da un nuovo cliente il reparto di produzione 103 Marco Liverani, “Componenti di un sistema informativo aziendale”, 2018/2019, Università degli Studi Roma Tre - Corso di Laurea in Matematica www.mat.uniroma3.it
non può attivarsi per eseguire l’ordine e la direzione amministrativa non può provvedere al fabbisogno finanziario per l’acquisto di risorse per quella determinata commessa. Figura 26: Piramide di Anthony
Fonte: www.chris-kimble.com
Le persone e le organizzazioni utilizzano le tecnologie, raccolgono, memorizzano e distribuiscono informazioni. Un buon sistema informativo viene utilizzato per fornire informazioni importanti per il processo decisionale. La tecnologia informatica può essere utilizzata per l'elaborazione, l'archiviazione o la distribuzione di dati ed informazioni. Il sistema informativo di un’azienda è una combinazione organizzata di persone, hardware, software, reti di comunicazione e risorse di dati che serve ad archiviare, recuperare, trasformare e diffondere informazioni all’interno di un'organizzazione. Il sistema informativo interno dell’azienda può essere suddiviso in tre categorie secondo il modello a piramide di Anthony104: • Attività strategiche: le informazioni a supporto dell’organo direttivo servono per elaborare strategie e politiche per il raggiungimento degli obiettivi aziendali, per il controllo dei risultati ottenuti attraverso le altre due attività e per il controllo del conseguimento dei corrispondenti risultati in termini di efficienza ed efficacia. Si tratta prevalentemente di dati prospettici stimati e approssimati, informazioni anche non omogenee tra loro.
104 Donald A. Marchand, William J. Kettinger, John D. Rollins, Information Orientation: The Link to Business
• Attività tattiche: queste attività hanno bisogno di adeguato flusso di informazioni che riguardano la programmazione delle risorse disponibili e a questa categoria appartengono le cosiddette attività di programmazione e controllo, che vanno dalla definizione e analisi dei budget alla contabilità industriale, alla stesura dei piani di produzione. Essi sono dati omogenei e congruenti tra loro, possono essere sintetici o arrotondati, frutto di elaborazioni ripetitive e coerenti nel tempo. • Attività operative: il sistema informativo a supporto delle attività operative
fornisce alle funzioni esecutive le informazioni e i dati relativi alla produzione e alla vendita dei prodotti e servizi. Sono dati o informazioni richiesti in tempo reale, e sono esatti ed analitici. Figura 27: Tecnologie dell’informazione e comunicazione Fonte: searchcio.techtarget.com
I sistemi informativi sono fondamentali per un efficace gestione dei rischi e il raggiungimento degli obiettivi. Questi diventano ancora più cruciali nei momenti in cui il mercato del business cambia e le novità tecnologiche creano nuove opportunità e rischi da affrontare. Per gestire un’enorme quantità di informazione e dati le aziende si appoggiano contemporaneamente alle applicazioni o software di ICT e ERP. Sono sistemi informativi per la pianificazione delle risorse aziendali. Come si osserva dalla figura un sistema di tecnologie dell'informazione e della comunicazione (ICT) è composto da hardware, software, dati e le persone che li usano. Comprende anche la tecnologia di comunicazione, come Internet e il computer.
L’utilizzo dei sistemi ICT ci rende molto più produttivi perchè possiamo portare a termine un numero maggiore di attività contemporaneamente con una riduzione del costo usando i computer di quanto potessimo prima della loro invenzione; siamo in grado di gestire grandi quantità di informazioni e di elaborarle rapidamente e di trasmettere e ricevere informazioni rapidamente. Il sistema di ICT può essere suddiviso in sistemi di informazione per quanto riguarda la gestione di dati e informazioni, in sistemi di controllo se riguardano le macchine di controllo e in sistemi di comunicazione se si riferisce al trasporto di dati da un luogo/individuo a un altro. Figura 28: Enterprise resource management Fonte: vitolavecchia.altervista.org Anche i sistemi informativi integrati quali le ERP sono fondamentali per la gestione dei rischi aziendali integrando i processi operativi ed amministrativi riducono in un unico sistema logico i flussi di informazione e dati delle diverse aree funzionali. Le informazioni sono individuate, registrate, archiviate e condivise in tempo reale, rendendoli disponibili a tutti gli operatori interessati per un controllo efficace delle attività aziendali, a prescindere dal luogo in cui si trovano. Il sistema informativo ERP è un’integrazione dei vari sistemi gestionali utilizzati in tutta l’organizzazione: • FRM: software di gestione finanziaria che offre alle aziende una gamma completa di funzioni contabili per tenere traccia delle operazioni finanziarie quotidiane e generare bilanci trimestrali e annuali. Inoltre, fornisce strumenti per il reporting, l'analisi, il budget e la pianificazione;
• CRM: permette una gestione efficace dei rapporti con i clienti acquisiti e potenziali, attraverso attività e strategie che servono a catturare nuovi clienti e massimizzare i profitti sui clienti fedeli, facendo leva sulle loro esigenze e aspettative;
• MRP: è un software per l’organizzazione del fabbisogno dei materiali, delle loro lavorazioni e per il controllo delle giacenze; garantisce quindi la circolazione efficace delle risorse materiali e provvede al suo approvvigionamento qualora richiesto dal sistema;
• HRM: applicazione per la gestione delle risorse umane; organizza le informazioni e tutti i documenti relativi ai dipendenti per permettere di centralizzare, organizzare e consultare i dati in maniera efficiente con un’interfaccia gradevole e facile da usare; • SCM: servono per la gestione efficace ed efficiente della rete di fornitura. L’ERP utilizza dati attuali e storici. Da una parte i dati attuali permettono di controllare il range di tollerabilità, la situazione di rischi a livello di processo e funzione e determinare gli scostamenti dagli obiettivi fissati. Dall’atra parte i dati storici servono per confrontare i vari risultati, per verificare se ci sono miglioramenti o peggioramenti, per allertare i manager sui eventi possibili che porterebbero ostacolare il percorso verso gli obiettivi. I sistemi informativi sono sempre più complessi, integrati ad articolati, sempre più le aziende si affidano ai sistemi informatici per tenersi al passo con l’evoluzione tecnologica. Questo crescente e massiccio affidamento ai sistemi informatici a tutti livelli operativi e gestionali comporta nuovi rischi di esposizione che richiedono di essere presi in considerazione ed integrati nell’ERM.
2.1.3) La normativa
Negli ultimi anni, nel mondo abbiamo seguito l'elevato livello di corruzione e frode in vari settori economici, diverse aziende hanno visto indebolire loro immagine e reputazione a causa di un loro coinvolgimento, anche indiretto. Ecco che sorge la necessita di un sistema adeguato per quanto riguarda la conformità alle norme, regole, trasparenza, politiche e standard (vedi figura 29). Il concetto di conformità nelle aziende mira a generare valore per un'organizzazione e garantirne la sopravvivenza. L’importanza di questa pratica deriva dai grandi impatti finanziari causati da fattori come l’assenza di linee guida e normative, disallineamenti alle leggi applicabili, mancanza di adeguati strumenti preventivi, errori di gestione dei processi e operazioni senza un sistema informativostrutturato. Dire che un’organizzazione ha conformità normativa e strategica significa che c'è trasparenza e un grado crescente di maturità gestionale. Essere in regola dimostra che manager e team hanno il controllo dei processi e delle procedure, e questi ultimi vengono implementati ed eseguiti con un'efficace conformità politica, commerciale, lavorativa, contrattuale e comportamentale.
Figura 29: Compliance
Fonte: www.anitian.com
Ogni azienda che punta al raggiungimento dell’efficienza deve dotarsi di adeguati strumenti e regolamenti interni aziendali per prevenire i motivi di conflitto, migliorare l’efficienza e l’efficacia, la migliore qualità del lavoro e promuovere un’adeguata tutela del personale e del patrimonio aziendale. Anche per il processo di analisi dei rischi è previsto, direttamente o indirettamente, una serie di norme nazionali, internazionali o standard di riferimento. Non essere conformi significa automaticamente essere esposti inutilmente a rischi elevati, che possono portare, tra l'altro, a perdite finanziarie, azionarie e di mercato, quindi la gestione dei rischi e conformità sono strettamente collegati tra di loro. È necessario riflettere e modificare gli stili di gestione, adeguare il modo in cui vengono gestite le informazioni dell'azienda e il modo in cui le persone si comportano quotidianamente, al fine di raggiungere un livello di eccellenza nella conformità indipendentemente dal settore aziendale e dalle dimensioni dell'azienda.
Oltre agli standard già esaminati in precedenza, COSO FRAMWORK e ISO 31000, le aziende si riferiscono ai seguenti standard per quanto riguarda la sicurezza dell’informazione e gestione dei rischi. Come abbiamo già concepito che l’informazione è di fondamentale importanza per la vita aziendale, quindi proteggerlo allineandosi agli
standard internazionali aiuta l’organizzazione a raggiungere un buon livello di gestione e conformità.
ISO/IEC 17799105: si tratta di uno standard internazionale di sicurezza delle informazioni che fornisce un quadro per l'eccellenza di continuità aziendale, conformità legale e raggiungimento di un vantaggio competitivo. ISO 17799 definisce la sicurezza delle informazioni come la tutela della riservatezza, integrità e disponibilità delle informazioni Quindi questo modello è utile per la creazione di politiche e procedure di sicurezza delle informazioni, l’assegnazione di ruoli e responsabilità, la documentazione delle procedure operative, la preparazione all'incidente e il rispetto dei requisiti legali e dei controlli di audit. Nell'elaborare una politica di sicurezza e nell'attuare adeguati controlli di sicurezza, le organizzazioni rispettano i requisiti e dimostrano il loro impegno a proteggere le risorse informative e proteggere la riservatezza delle informazioni personali identificabili del cliente. Forniscono ai loro partner e clienti una maggiore fiducia della loro capacità di prevenire e recuperare rapidamente qualsiasi interruzione nei vari livelli di produzione o di servizio. Alla fine si ottiene una sicurezza adeguata a minimizzare i danni. Figura 30: ISO gestione dell’informazione Fonte: www.semanticscholar.org L'implementazione di ISO / IEC 17799 comporta l'inserimento di un piano di esecuzione economico che include controlli di sicurezza adeguati per mitigare i rischi identificati e proteggere la riservatezza, l'integrità e la disponibilità delle risorse informative di
105 Ellie Myler, ISO 17799: Standard for Security, The Information Management Journal, 2006. people.eecs.ku.edu
un'organizzazione. Implica anche un monitoraggio continuo per garantire che questi controlli rimangano efficaci. In breve, ISO / IEC 17799 consente alle organizzazioni la gestione della sicurezza delle informazioni di un processo di business in modo coerente e globale estendendo quell'approccio di sicurezza molto ristretto che si concentra unicamente sugli aspetti tecnici o sull'infrastruttura informatica.
ISF Standard of GoodPractice106: Questo standard copre diversi aspetti della sicurezza delle informazioni in quanto si concentra su questioni relative alla strategia di sicurezza, gestione degli incidenti, continuità aziendale, resilienza informatica e gestione delle crisi. Questo standard è stato implementato per aiutare le organizzazioni ad identificare come soddisfare i requisiti normativi e di conformità, a rispondere alle minacce in rapida evoluzione, inclusi sofisticati attacchi alla sicurezza informatica, ad essere agili e sfruttare nuove opportunità, garantendo al contempo che i rischi associati alle informazioni siano gestiti a livelli accettabili. Inoltre, fornisce un quadro generale che funge da guida completa per la sicurezza del sistema in quanto tratta anche gli argomenti incorporati in:
• ISO / IEC 27002: nuova edizione di ISO/IEC 17799;
• COBIT 5: “aiuta le aziende a creare un valore ottimale dall'IT mantenendo equilibrio tra realizzazione di benefici, ottimizzazione dei livelli di rischio e uso delle risorse”107.
• NIST Cybersecurity Framework: è un insieme di pratiche, standard e raccomandazioni che aiutano un'organizzazione a migliorare le proprie misure di sicurezza informatica. Il NIST Cybersecurity Framework cerca di affrontare la mancanza di standard in termini di sicurezza informatica, ci sono grandi differenze nel modo in cui le aziende utilizzano tecnologie, lingue e regole per combattere hacker e pirati informatici. Gli attacchi informatici stanno diventando sempre più diffusi e complessi e combatterli sta diventando sempre più difficile. Ciò è aggravato dalla mancanza di una strategia unificata tra le organizzazioni. Sempre di più, per motivi di sicurezza per gli stakeholders aziendali, vengono introdotti norme e regole sulla trasparenza delle informazioni aziendali, a questo proposito anche gli OIC e IFRS applicano regole di trasparenza e chiarezza per quanto riguardano i bilanci. 106Information Security Forum (ISF), Standard of Good Practice for Information Security, 2013. www.infosecurityeurope.com K.Seeburn, Cobit For Information Security, ISACA. www.isaca.org
Anche l’importanza crescente dell’internal auditing, dell’accordo di Basilea 2 e responsabilità penale delle persone giuridiche sono frutto di questi innumerevoli rischi a cui ogni giorno le nostre aziende si espongono. Ciascuna azienda sa con esattezza a quali rischi (di processo, ambientale, informativi, di sicurezza, …) è connesso la propria operatività e dovrebbe adottare misure, politiche e procedure per conoscerli e governarli.