Un tema molto importante per l’individuazione di situazioni anomale e lo studio delle soluzioni adottabili, e’ quello della gestione dei sistemi informativi.
E’ essenziale effettuare analisi tecniche e sociali mediante una raccolta sistemica di dati per evidenziare possibili minacce, vulnerabilità, rischi per l’azienda e individuare soluzioni tecniche e organizzative per prevenire e contrastare possibili fenomeni avversi.
Questo fine puo’ essere perseguito attraverso la definizione di una matrice di assegnazione di responsabilita’ RACI per l’esecuzione delle attività dei processi aziendali. I ruoli previsti dalla matrice sono:
Responsible (R):è colui che esegue ed assegna l’attività
Accountable (A)è colui che ha la responsabilità sul risultato dell’attività. A differenza degli altri 3 ruoli, per ciascuna attività deve essere univocamente assegnato.
Consulted (C)è la persona che aiuta e collabora con il Responsible per l’esecuzione dell’attività.
Informed (I)è colui che deve essere informato al momento dell’esecuzione dell’attività.
Come abbiamo definito, l’Accountable, alla fine essendo la persona che ha la responsabilita’ sul risultato dell’attivita’, dovra’ essere destinatario finale delle attivita’ di raccolta delle informazioni, che a lui perverranno dall’Informed, che a sua volta ha captato le informazioni dall’esecutore dell’attivita’ cioe’ il Responsible e dalla persona che collabora e aiuta per l’esecuzione delle attivita’, cioe’ il consulted.
Questa attivita’, risulta molto utile per definire un sistema di reportistica con convergenza piramidale dove non solo i vertici aziendali sono informati su processi aziendali e anomalie ma anche gli altri protagonisti dell’organigramma aziendale pervengono a informazioni selettive, comunicate in relazione alle responsabilita’ assegnate.
Un’altra tecnica comunemente utilizzata per la verifica delle informazioni e per l’analisi degli scostamenti rispetto a gli obiettivi e’ quella dell’impiego di due diligence: ricorso a piu’ fonti, sorgenti informative incrociate. Ad esempio informazioni provenienti da due risorse con responsabilita’ e ruoli diversi, ad esempio confronto tra testimonianze orali e scritte, tra esposizione orale rispetto a fenomeni accaduti e registrazioni video ottenute con la videosorveglianza.
A queste procedure, dovrebbe seguire periodica e straordinaria attivita’ di audit, utilizzo di check, list, questionari e l’impiego di software e datawarehouse per raccolta e analisi dati.
Tutte queste misure di raccolta, gestione e condivisione informazioni e dati, potrebbero rappresentare l’opportunità di supportare il processo di analisi per l’identificazione delle contromisure da adottare per progettare soluzioni di sicurezza integrate all’avanguardia.
Riassumendo
•Definizione della matrice di assegnazione delle responsabilita’ (RACI con individuazione Responsible, Accountable, Consulted, informed).
•Definizione di un sistema di reportistica con convergenza piramidale, analisi degli scostamenti rispetto agli obiettivi.
•Utilizzo di due diligence informative, verifica incrociata delle informazioni, utilizzo di fonti differenti.
•Periodica e straordinaria attivita’ di internal ed external audit, utilizzo check list, questionari.
•Utilizzo software e data warehouse per raccolta e analisi dati.
Autore
Valerio Gambino
La condivisione delle conoscenze a volte puo costituire una sfida importante nel campo della gestione della conoscenza.
Ti ringrazio, io sono per la sharing economy intesa come rivoluzione culturale; sia santificato il web, i social e tutto quello che sposta i confini della conoscenza oltre i muri…perche’ il digitale, non conosce barriere, anzi le abbatte!