I problemi di compliance normativa rappresentano una priorità nella gestione dei sistemi di controllo interno aziendali. In particolare, la previsione e l’intercettazione di potenziali rischi di conformità alle prescrizioni di legge sono passi fondamentali in termini di prevenzione di danni concreti per il business. Ecco perché è importante che vi sia un sistema informativo implementato per affrontare questo tipo di problematiche, offrendo soluzioni capaci di garantire il pieno rispetto delle norme senza ulteriori aggravi sull’attività d’impresa. Sostenute dalla collaborazione sinergica tra i vari dipartimenti dell’organizzazione aziendale e dalla consulenza degli esperti, l’uso adeguato di questi strumenti tecnologici consentirà all’impresa di adempiere a tutti i propri obblighi in tema di compliance normativa.
Le soluzioni SAP per la compliance normativa e la gestione del sistema di controllo interno
SAP considera da sempre come strategico l’ambito GRC (Governance, Risk & Compliance), infatti ne ha dedicato un intero compendio di soluzioni a beneficio dell’impresa, oltre a una serie di soluzioni dedicate ai più specifici temi della Cyber Security e della Data Protection.
La conformità alle norme e regole sempre più stringenti e l’estensione della responsabilità sociale d’impresa nel sistema legislativo italiano e internazionale (cfr. ad esempio le normative 262, 231, SOX) rendono i sistemi di controllo interno sempre più articolati e costosi allorché necessari. Pertanto, è indispensabile gestire tutte le relative attività con delle soluzioni informatiche che consentano di:
- Mappare i processi in ambito e i relativi controlli e consentirne un agevole aggiornamento nel tempo
- Localizzare e valutare i rischi
- Testare l’effettiva operatività dei controlli e del sistema nel suo complesso
- Gestire le policy e procedure aziendali
Inoltre, come elemento imprescindibile di ogni sistema di controllo interno assume un ruolo fondamentale la separazione dei ruoli e delle responsabilità.
Immaginate il caso di un utente che disponga di accessi troppo estesi o autorizzazioni troppo ampie, con il rischio evidente di esporre l’azienda a gravi problematiche di compliance normativa. Si tratta di un’eventualità che può essere volontaria, se l’utente ha commesso un abuso intenzionale oppure involontaria, se per caso si sono verificati usi impropri delle transazioni rispetto ai profili autorizzati. È necessario che davanti a queste casistiche, non così infrequenti, l’azienda sia in grado di prevenirle o identificarle tempestivamente, intervenendo in modo efficiente, apportando soluzioni e sistemazioni concrete.
È a tutto questo che ha pensato SAP quando ha messo a punto il compendio di soluzioni GRC per la gestione della sicurezza interna e della compliance normativa, anche con l’introduzione – nel maggio 2018 – della legge Eu GDPR, che ha posto l’attenzione in particolare sui flussi di business relativi ai dati personali dei cittadini dell’Unione europea, e che è stata integrata con specifiche soluzioni in ambito Cyber Security e protezione dei dati personali.
Individuare e valutare i rischi, gestire il sistema dei controlli interni, intercettare le minacce in ambito SOD (Segregation Of Duties) e Cyber Security.
Le soluzioni SAP in tema di GRC si suddividono in tre macroaree:
- Process control and risk management
- Access control
- Business integrity screening
La prima area si colloca nell’ambito dell’analisi dei rischi e della gestione e documentazione del sistema dei controlli interni; la seconda si focalizza sulla separazione dei ruoli, evidenziando quello che gli utenti sono autorizzati “a fare”; la terza monitora quel che gli utenti “stanno facendo” a sistema, prevenendo errori e/o frodi.
Facciamo un esempio.
Tramite il SAP Risk Management possiamo identificare e valutare tutti i rischi aziendali di natura strategica, operativa, amministrativa, di compliance, ecc. Con SAP GRC process control vengono documentati i processi, i relativi controlli e i test del disegno (TOD) e di effettiva applicazione degli stessi (TOE).
Alcuni rischi e relativi controlli potrebbero riguardare la separazione dei compiti (SOD): ad esempio potrebbe essere identificato un rischio SOD nel consentire ad un utente di svolgere contemporaneamente attività relative a richieste di acquisto, a ordini di acquisto e ad entrate merci.
SAP GRC access control segnalerà tali potenziali conflitti sia nel processo di definizione dei ruoli, sia durante l’assegnazione di quest’ultimi agli utenti, bloccandone l’attribuzione.
Se poi l’utente dovesse comunque riuscire a eseguire contemporaneamente un ordine e un’entrata merce, allora SAP GRC business integrity screening farà la sua parte, segnalando che sono state lanciate delle transazioni potenzialmente in conflitto nel medesimo ruolo.
A tutto ciò SAP unisce una serie di strumenti utili per la protezione dei dati personali e per la prevenzione e l’individuazione degli attacchi cyber: UI Masking, UI Logging e Enterprise Threat Detection (ETD), che consente di tutelare da “occhi indiscreti” ogni tipo di informazione attraverso un’azione di mascheramento, con effetti anche di rispetto della compliance normativa. La soluzione ETD, poi, consente di identificare con tempestività tentativi di attacco da fonti interne o esterne: una funzionalità fondata su Smart Data Streaming di SAP HANA, che invia notifiche in real time per intercettare e neutralizzare eventuali minacce alla sicurezza del sistema.
Un esempio della sua utilità si riscontra ancora in un caso di rispetto della compliance normativa: con l’introduzione del GDPR, in caso di attacco informatico o di fughe di dati, l’azienda ha l’obbligo di notificare entro 72 ore all’Autorità garante e alle persone fisiche coinvolte l’avvenuto Data Breach. SAP ETD agisce proprio in questa direzione, consentendo all’impresa di assolvere al suo obbligo normativo in maniera tempestiva ed efficace.