Parte integrante della corporate governance, la segregazione dei ruoli è uno dei principi cardine del modello organizzativo aziendale. Essa si ispira all’idea della distribuzione delle responsabilità e dei ruoli nel contesto aziendale, uno schema che è stato concepito per evitare che le attività critiche si concentrino su un unico soggetto, per eliminare i conflitti d’interesse ed elevare trasparenza e condivisione come principi cardine del governo societario.
A un livello meno concettuale e più operativo, segregation of duties sta a significare diverse cose: in primis, che nessuno in azienda può gestire in modo autonomo un processo critico dall’inizio alla fine, ma anche che le varie fasi ed attività in cui si articola il processo vengono gestite da soggetti diversi, di modo tale da minimizzare il rischio di frode, che a questo punto per concretizzarsi dovrebbe per forza passare attraverso lo schema della collusione. Una valida segregazione dei ruoli è ciò che impedisce, per esempio, alla stessa persona di creare un fornitore fittizio in anagrafica e autorizzare il pagamento di una fattura, di registrare un pagamento ricevuto in contanti e contestualmente emettere una nota di credito, di ordinare un prodotto al fornitore e di registrarne la ricezione in magazzino e via dicendo.
Segregation of Duties nel mondo SAP: impossibile farne a meno
Considerando che ogni azienda ha una normativa di riferimento e che molte di queste citano il principio della segregation of duties, esso va applicato con rigore nella gestione dei processi aziendali, ovvero ‘adattato’ alle logiche e alle funzionalità dell’ERP: supponendo una grande azienda con migliaia di dipendenti, ovvero un target ideale per i sistemi SAP, ognuno di loro deve poter lavorare sul sistema in modo efficace e rapido, senza limitazioni che ne compromettano la produttività; al tempo stesso, nessuno deve poter eseguire più funzioni riconducibili a parti di processo in conflitto tra di loro, ovvero che generino un potenziale rischio per l’azienda. Trascurare, o meglio non approfondire a sufficienza questo aspetto di sicurezza e compliance è molto pericoloso per l’organizzazione, poiché così facendo essa porge il fianco a importanti meccanismi di frode, fa sì che le persone possano consultare dati cui non dovrebbero avere accesso, genera potenziali danni di immagine e il rischio di non conformità in occasione di audit interni ed esterni, con conseguenze di responsabilità per l’azienda e i suoi amministratori.
Segregation of Duties: un processo continuo
Quindi ci domandiamo: se è vero che la corporate governance non può fare a meno della segregazione dei compiti, qual è la situazione del mercato? Quanto stanno investendo le aziende e cosa devono fare per dormire sonni tranquilli? A tal proposito abbiamo interpellato Domenico Rotundo, Sap Security Specialist di DNC, System Integrator italiano che da 20 anni si occupa di consulenza in ambito SAP e vanta competenze specifiche in ambito security: “Ci sono stati molti investimenti, soprattutto 10, 15 anni fa poiché le aziende sono state obbligate a farlo da norme come il Dlgs 231/01 e da molte altre leggi, tra cui quella di recepimento in Italia della SOX, ovvero la legge 262/05. Per le aziende quotate in borsa il processo è obbligatorio e la Segregation of Duties è propedeutica alla certificazione del bilancio, ma questo non significa che le altre aziende se ne possano disinteressare: esiste infatti un contesto normativo più ampio secondo cui il CIO è responsabile nel caso in cui non abbia messo in atto accorgimenti a tutela delle frodi informatiche. La Segregation of Duties nasce proprio per questo: evitare le frodi”.
Sulla base di ciò, e in considerazione dei rischi cui l’azienda si espone, si potrebbe ipotizzare una SOD impeccabile da parte di ogni organizzazione: “In realtà troviamo spesso diverse lacune – aggiunge Rotundo – perché molte aziende non hanno processi autorizzativi o tool di monitoraggio, e altre non si sono neppure sedute ad analizzare i processi per capire quali sono ‘SOD relevant’. Poi ci sono quelle che hanno fatto l’analisi, hanno risolto i conflitti ma subito dopo interrompono l’attività, perché non comprendono che il processo è continuo: non è un’attività che inizia e finisce, l’azienda cambia, entrano persone, altre cambiano ruolo, chiedono permessi, e tutto questo vale per decine di migliaia di dipendenti, per moltissimi processi e un’infinità di transazioni. Un pre-audit, come quello che facciamo noi, con conseguente attività di remediation o mitigation, è un’attività di controllo continuo che si armonizza con l’evoluzione dell’azienda”. L’attività, pur molto complessa, è quindi centrale per le aziende, che non si possono permettere di trascurarla: analizzare i processi, definire i rischi, le singole incompatibilità, creare quella che si definisce matrice SOD e tradurre le varie incompatibilità in azioni a sistema così da risalire a chi può porle in essere è fondamentale per il buon governo dell’azienda. Rotundo sottolinea quanto tali rischi siano comunque potenziali e non vengano necessariamente esercitati: per verificare la concretizzazione del rischio si usano tool che analizzano i log fornendo indicazioni precise non tanto su ciò che potrebbe accadere, quanto su quello che è già accaduto.
Una storia di conflitti, remediation e mitigation
Per implementare in azienda la segregazione dei compiti bisogna conoscere alla perfezione i processi aziendali, da parte di chi vengono posti in essere e in che modo, e a tutto questo occorre aggiungere una forte competenza tecnica in ambito ERP, poiché, nel caso dei sistemi SAP, conflitti e incompatibilità devono poi essere tradotte in singole transazioni da armonizzare. Qui emerge il ruolo centrale di una consulenza specialistica: “Siamo in grado di guidare l’azienda nella stesura per intero di una matrice SOD – aggiunge Rotundo -: partendo dalle best practice, identifichiamo all’interno dei processi quelle che sono le duties, ovvero le attività rilevanti dal punto di vista SOD, i rischi e le attività da inserire all’interno della matrice. A tal fine, abbiamo tool e competenze che ci permettono di ‘abbinare’ le incompatibilità evidenziate dall’analisi con le attività che si pongono in essere sull’ERP SAP, un’attività che è estremamente tecnica e specialistica. Ovviamente, ci occupiamo anche di attività di remediation e mitigation: fatta la matrice, emergono inevitabilmente dei conflitti da gestire, e la prima cosa da fare è, appunto, riuscire a risolverli. Andando a gestire le autorizzazioni, un buon 40%-50% dei conflitti vengono risolti, ma ci saranno di sicuro delle attività tecniche o di processo che generano incompatibilità e che, al tempo stesso, non si riescono a eliminare. A questi casi si risponde con l’attività di mitigation, cioè accettando il rischio ma controllandolo. Di fatto, noi gestiamo, controlliamo e supportiamo tutti questi processi, anche con strumenti proprietari per la business revalidation e per l’analisi SOD”.
È chiaro che, a seguito di un’attività del genere, l’azienda possa dormire sonni tranquilli, ma un interrogativo resta: quante non hanno ancora approfondito a dovere?
