Cos'è un audit di conformità?
Un audit di conformità è una recensione imparziale delle attività e dei dati di un'organizzazione per verificare l'aderenza a policy, standard e regolamenti interni ed esterni. Può riguardare aspetti quali cybersecurity, privacy dei dati, rendicontazione finanziaria e salute e sicurezza.
Gli audit di conformità vengono spesso condotti nell'ambito del sistema di gestione della conformità di un'organizzazione. Un sistema di gestione della conformità, o CMS, è un sistema integrato utilizzato per soddisfare i requisiti normativi, le policy interne e gli standard di settore.
Oltre ai regolari controlli di conformità, un CMS efficace può includere anche un consiglio di amministrazione orientato alla creazione di una cultura della conformità all'interno dell'azienda, un chief compliance officer o responsabile della conformità per stabilire o implementare policy e procedure di conformità, così come il monitoraggio della conformità, attraverso operazioni di sorveglianza per identificare le aree di non conformità.
La pratica dell'auditing si è affermata nella società durante la prima rivoluzione industriale, quando le aziende hanno iniziato a espandersi e gli investitori cercavano garanzie sul loro stato di salute attraverso la revisione dei registri finanziari. A metà del XIX secolo, il Regno Unito stabilì una legge che richiedeva gli audit aziendali, contribuendo ad avviare lo sviluppo di normative di conformità che continua ancora oggi.1
I requisiti di conformità odierni vanno oltre l'esame dei rendiconti finanziari e includono una varietà di aree, come la protezione delle informazioni sensibili o l'adesione di un'organizzazione alle normative ambientali.
Per comprendere l'importanza degli audit di conformità, è utile innanzitutto considerare il panorama contemporaneo della conformità.
In tutto il mondo, i governi e le organizzazioni di settore applicano una vasta e diversificata gamma di requisiti di conformità a beneficio di consumatori, lavoratori, investitori e altri stakeholder. La violazione di questi requisiti può comportare pesanti sanzioni, multe e danni alla reputazione.
Ad esempio, le aziende coinvolte in una grave violazione del Regolamento generale sulla protezione dei dati dell'Unione Europea possono incorrere in multe fino a 20 milioni di euro o il 4% del loro fatturato annuo globale, a seconda di quale sia l'importo più elevato.
Gli audit di conformità possono aiutare le organizzazioni a raggiungere i propri obiettivi aziendali evitando conseguenze onerose. Consentono alle organizzazioni di determinare se stanno seguendo le proprie best practice in materia di gestione dei rischi, identificando eventuali rischi di non conformità e indicando quando è necessario intraprendere azioni correttive. Gli audit forniscono inoltre garanzie agli stakeholder in merito agli sforzi compiuti dall'organizzazione per garantire la conformità normativa.
Il termine audit di conformità è spesso usato per riferirsi in modo specifico a un audit esterno, condotto da revisori esterni indipendenti. Tuttavia, anche gli audit interni, eseguiti da un revisore interno o da un team di audit all'interno dell'azienda, possono rientrare nell'ambito degli audit di conformità.
Gli audit di conformità interni spesso si concentrano sulla conformità di un'azienda alle proprie policy e procedure, nonché sul miglioramento dell'efficienza dei processi aziendali e delle attività di gestione del rischio. Gli audit esterni, invece, vengono spesso condotti allo scopo di rassicurare gli stakeholder esterni sul fatto che un'azienda aderisce a standard quali le normative di governo.
In entrambi i casi, il processo di audit deve essere condotto in modo imparziale affinché i suoi risultati (esiti e raccomandazioni inseriti in un rapporto di audit) possano essere utilizzati per aiutare le organizzazioni e i responsabili della conformità a mantenere la conformità continua e a identificare i potenziali rischi.
Le procedure di audit possono valutare l'allineamento delle aziende agli standard di conformità per diverse aree e discipline. Queste includono:
- Cybersecurity
- Privacy e protezione dei dati
- Reportistica finanziaria e di sicurezza
- Environmental, Social and Governance (ESG)
- Salute e sicurezza
Cybersecurity
Gli audit delle pratiche di cybersecurity di un'organizzazione possono aiutare a garantire che siano adottate le misure giuste per gestire e rispondere alle minacce informatiche, dal phishing al malware.
Uno standard comunemente usato per gli audit di sicurezza informatica è il National Institute of Standards and Technology Cybersecurity Framework (NIST CSF) degli Stati Uniti. Questo standard fornisce indicazioni e best practice che le organizzazioni del settore privato possono seguire per migliorare la sicurezza delle informazioni e la gestione del rischio di cybersecurity. Il framework copre una serie di misure di cybersecurity tra cui valutazione dei rischi, gestione delle identità, controllo degli accessi, pianificazione della risposta e attività di ripristino.
Un altro standard importante alla base degli audit sulla cybersecurity è ISO/IEC 27001, noto anche come ISO 27001. Lo standard globale per la sicurezza delle informazioni, sviluppato congiuntamente dalla International Organization for Standardization e dalla International Electrotechnical Commission, è un insieme di requisiti per i sistemi di gestione della sicurezza delle informazioni all'interno di un'organizzazione. Di fatto, offre alle organizzazioni un framework per gestire e proteggere i propri dati sensibili e altre informazioni, riducendo il rischio di violazioni dei dati, attacchi informatici e altri incidenti di sicurezza.
Esiste inoltre un audit sulla cybersecurity appositamente progettato per i fornitori di servizi. I report SOC (Service Organization Control) sono report indipendenti di terze parti emessi da valutatori certificati dall'American Institute of Certified Public Accountants (AICPA) per affrontare i rischi associati a un servizio esterno. Un report SOC 2 valuta i controlli interni che un'organizzazione ha messo in atto per proteggere i dati di proprietà del cliente e fornisce dettagli sulla natura di tali controlli.
Privacy e protezione dei dati
Sebbene gli audit sulla cybersecurity includano in genere un esame delle misure di protezione dei dati di un'organizzazione, gli audit basati su determinate leggi e regolamenti si concentrano specificamente su quest'area. Questi includono audit in linea con le leggi che proteggono le informazioni sui consumatori e la privacy dei dati.
Le leggi che si applicano in generale ai consumatori includono il Regolamento generale sulla protezione dei dati (GDPR) dell'UE e il California Consumer Privacy Act (CCPA). Ai fini della conformità al GDPR, le aziende sono tenute a utilizzare modalità legalmente approvate per trasferire ed elaborare i dati personali, proteggere i dati personali a riposo e in transito, e rispettare i diritti dei residenti dell'UE, come stabilito dalla legge, in materia di raccolta, utilizzo e possesso dei dati personali.
Per la conformità al CCPA, le aziende devono aderire alle linee guida che coprono diversi tipi di dati personali per i residenti della California, tra cui data di nascita, numero di patente, numero di passaporto, estremi del conto bancario e numeri di carta di credito o di debito.
Un tipo chiave di audit di conformità nella privacy sanitaria è l'audit dell'Health Insurance Portability and Accountability Act (HIPAA). Le entità coperte da questa legge statunitense, inclusi gli operatori sanitari come medici e ospedali, nonché le compagnie di assicurazione sanitaria e i loro partner commerciali affiliati, sono tenute a implementare e mantenere una serie di controlli tecnici, amministrativi e fisici concepiti per salvaguardare le informazioni sanitarie protette (PHI).
Reporting finanziario e sicurezza
Gli audit dei rendiconti finanziari e i controlli di sicurezza delle organizzazioni possono valutarne la conformità a leggi come il Sarbanes-Oxley Act (SOX) e alle regole di settore come il Payment Card Industry Data Security Standard (PCI DSS).
Il SOX Act è una legge statunitense volta a prevenire le frodi aziendali. Richiede che le società pubbliche implementino controlli interni per proteggere i dati finanziari dalla manomissione, oltre a presentare relazioni periodiche alla Securities and Exchange Commission (SEC) che attestino l'efficacia dei controlli di sicurezza e l'accuratezza delle informazioni finanziarie e a superare una revisione contabile indipendente annuale dei propri bilanci e controlli.
Il PCI DSS è un insieme di requisiti di sicurezza per proteggere i dati dei titolari di carte, come numeri di conto primari (PAN), nomi, date di scadenza e codici di servizio, così come altre informazioni sensibili durante tutto il ciclo di vita.
La conformità a PCI DSS richiede la presentazione di report annuali da parte di commercianti e fornitori di servizi, nonché report aggiuntivi a seguito di modifiche significative all'ambiente dei dati dei titolari di carta. La convalida della conformità comporta anche una valutazione continua del livello di sicurezza di un'organizzazione e una correzione costante per colmare eventuali lacune a livello di policy, tecnologia o procedure di sicurezza.
Environmental, Social and Governance (ESG)
Gli audit ambientali, sociali e di governance (ESG) possono determinare se le imprese rispettano le leggi e i framework relativi agli impatti ambientali e sociali. Questi includono la Corporate Sustainability Reporting Directive (CSRD) dell'UE, i regolamenti della US Environmental Protection Agency, la Global Reporting Initiative (GRI) e gli standard del Sustainability Accounting Standards Board (SASB).
Salute e sicurezza
Gli audit di sicurezza valutano se le organizzazioni rispettano le norme e i regolamenti creati per proteggere la salute e la sicurezza dei lavoratori. I principali standard includono ISO 45001, uno standard globale per la salute e la sicurezza sviluppato dalla International Organization for Standardization e, negli Stati Uniti, le regole per la sicurezza sul posto di lavoro stabilite e applicate dalla Occupational Safety and Health Administration (OSHA).
La natura di un audit di conformità può variare in base al tipo di audit, al programma di conformità, all'organizzazione e al settore. Tuttavia, ci sono alcune misure che i revisori della conformità adottano comunemente durante il processo di audit di conformità. Queste includono:
Fase 1: pianificazione dell'audit
Determinare l'ambito dell'audit, i suoi obiettivi e le risorse necessarie. Una lista di controllo della conformità che mappi il processo potrebbe rivelarsi utile.
Fase 2: revisione dei documenti
Esamina le politiche e le procedure dell'azienda, nonché qualsiasi altro documento pertinente, come registrazioni e contratti.
Fase 3: ulteriori ricerche
Intervistare dipendenti e/o manager. Se pertinente, osservare le operazioni e i processi interni.
Fase 4: compilazione di un rapporto di audit di conformità
Documenta risultati, scoperte e raccomandazioni per il miglioramento continuo o le azioni correttive.
Fase 5: follow-up
Monitorare i progressi nell'attuazione delle misure o azioni raccomandate.
Le soluzioni software possono aiutare le organizzazioni a monitorare l'aderenza ai requisiti di conformità e a prepararsi per gli audit di conformità. Le soluzioni leader offrono funzionalità quali:
Monitoraggio in tempo reale per la sicurezza dei dati e la conformità normativa.
Dashboard complete che forniscono una visione unificata delle attività di conformità.
Acquisizione e reportistica automatizzate dei dati che aiutano a semplificare i controlli di conformità.
I modelli pronti all'uso e aggiornati regolarmente semplificano la configurazione delle politiche di conformità.
Risorse
Note a piè di pagina
1 “Why change over time the fundamental purpose of auditing?” International Journal of Business and Management Invention. Settembre 2023.