← Blog

Rischio e Compliance: Costruire programmi evidence-first

Pubblicato: 2026-05-13
risk and compliance operational resilience DORA compliance NIS2 directive GRC
Rischio e Compliance: Costruire programmi evidence-first

If your team can only answer “Are we ready for the audit?” a few weeks before an external review, your risk and compliance model is already failing.

Quella domanda appartiene a un’era della burocrazia cartacea. Regolamenti moderni come DORA, NIS2 e GDPR si aspettano qualcosa di più stringente. Si aspettano che le organizzazioni dimostrino che i controlli importanti sono operativi, che le responsabilità siano chiare e che esistano prove prima che qualcuno le richieda. In pratica, ciò significa che la compliance deve funzionare come una disciplina ingegneristica, con input definiti, controlli operativi, output verificabili e decisioni tracciabili.

La maggior parte dei programmi deboli si basa ancora sulla raccolta puntuale. Qualcuno gestisce un foglio di calcolo. Un altro esporta screenshot. I documenti di policy stanno in una cartella, separati dai sistemi che dovrebbero governare. Questo modello si rompe davanti alla complessità normativa, alle piattaforme condivise, alle dipendenze di terze parti e ai cambiamenti frequenti. I programmi forti funzionano diversamente. Trattano le evidenze come parte delle operazioni quotidiane, non come un artefatto della stagione di audit.

Ripensare rischio e compliance per le normative moderne

Una domanda utile non è “Passeremo l’audit?” È “Possiamo dimostrare il controllo in qualsiasi momento?”

Questo cambiamento è importante perché l’ambiente di rischio non separa più il fallimento tecnico dal fallimento regolatorio. Secondo il riassunto del sondaggio sui rischi globali 2025 di Aon, gli attacchi informatici o le violazioni dei dati sono al primo posto e i cambiamenti normativi o legislativi al quarto tra i principali rischi globali. Per una funzione IT regolata, questi non sono flussi di lavoro separati. Lo stesso outage, una misconfigurazione, un guasto di accesso o una debolezza di un fornitore può generare sia un incidente operativo sia un problema di compliance.

Perché il vecchio modello si rompe

La compliance tradizionale presuppone stabilità. Le policy si scrivono annualmente. I controlli si revisionano periodicamente. Gli audit sono trattati come eventi. Questo approccio funzionava ragionevolmente quando gli ambienti cambiavano lentamente e le evidenze risiedevano in un piccolo numero di sistemi.

Non funziona bene per infrastrutture cloud, servizi esternalizzati, piattaforme multi-tenant o team di ingegneria distribuiti. Il cambiamento avviene continuamente. La proprietà del controllo si sposta tra security, platform, legal, privacy, procurement e operations. Se l’evidenza viene raccolta manualmente, sarà incompleta, tardiva o scollegata dal controllo che dovrebbe dimostrare.

La compliance non è un insieme di documenti. È una dichiarazione su come l’organizzazione opera, e le dichiarazioni hanno bisogno di prove.

La stessa logica appare oltre la security. I team che gestiscono obblighi di employment affrontano problemi di coordinamento simili tra policy, operazioni e conservazione delle evidenze. Lavori su Managing UK HR legislation sono utili perché mostrano lo stesso principio più ampio. La compliance regge solo quando gli obblighi sono collegati ai processi operativi quotidiani.

Come appare un programma moderno

Un modello di rischio e compliance più solido ha alcuni tratti riconoscibili:

  • I controlli sono legati ai sistemi: La policy non è lo stato finale. Il controllo tecnico o operativo lo è.
  • Le evidenze vengono generate continuamente: Log, approvazioni, stati di configurazione, registri di accesso e output di test esistono come sottoprodotti normali del lavoro.
  • La responsabilità è esplicita: Qualcuno è responsabile dell’intento della policy, qualcuno per il funzionamento del controllo e qualcuno per la qualità delle evidenze.
  • Gli audit verificano il sistema: Non dovrebbero costringere il sistema in un ordine temporaneo.

Per una visione pratica di come la governance colleghi questi strati, il GRC operating model overview è un punto di riferimento utile.

Distinguere gestione del rischio da obblighi di compliance

Molte organizzazioni usano ancora “rischio” e “compliance” come se significassero la stessa cosa. Non è così. Confonderli crea cattiva prioritizzazione e sforzo sprecato.

A hand-drawn diagram comparing risk management and compliance obligations with key operational activities for each.

La gestione del rischio chiede: “Cosa potrebbe impedirci di raggiungere i nostri obiettivi e cosa dovremmo fare al riguardo?” La compliance chiede: “Cosa siamo obbligati a fare e possiamo dimostrare di farlo?” Una è guidata dall’incertezza e dal giudizio di business. L’altra è guidata dall’obbligo.

Un’analogia pratica

Pensa alla costruzione di un ponte.

La gestione del rischio è la disciplina ingegneristica. Esamina carichi, vento, corrosione, traffico, modalità di guasto, intervalli di manutenzione e tolleranze. Accetta che alcuni rischi possano essere ridotti, alcuni trasferiti, alcuni monitorati e alcuni accettati entro l’appetito.

La compliance è il codice edilizio. Imposta obblighi minimi che non sono opzionali. Se il codice richiede un particolare standard di sicurezza, non puoi “accettare” la non-conformità perché un altro progetto ha un valore strategico più alto. Ti conformi, oppure sostieni le conseguenze.

Quella distinzione conta negli ambienti tecnologici. Un team di security può decidere che un controllo può essere compensato da un altro perché il rischio residuo è accettabile. Un obbligo legale o regolatorio potrebbe non consentire quella flessibilità a meno che il quadro non permetta esplicitamente un approccio di controllo equivalente.

Cosa va storto quando i team confondono le due cose

Quando rischio e compliance si fondono, le organizzazioni tendono a commettere uno di tre errori:

  • Sovra-controllano aree a basso valore: I team accumulano evidenze e approvazioni su questioni minori perché tutto è etichettato “compliance”.
  • Sottocontrollano obblighi obbligatori: Un requisito viene trattato come una decisione discrezionale sul rischio e si deraglia.
  • Riportano le informazioni sbagliate ai livelli superiori: I dirigenti sentono che un rischio è “gestito” quando l’obbligo sottostante è ancora insoddisfatto.

Le conseguenze finanziarie non sono teoriche. Nel 2024, le multe per violazioni della privacy GDPR hanno ammontato a €1,2 miliardi, come riassunto nella panoramica delle statistiche di compliance di Zluri. Quelle multe stanno a parte il costo operativo dell’incidente stesso. È il promemoria più chiaro che un fallimento di compliance e un fallimento di security possono sovrapporsi ma devono ancora essere governati in modo diverso.

Un trattamento più dettagliato di quella distinzione merita una lettura in questo pezzo su risk management and compliance.

Un semplice test operativo

Usa questo test quando decidi come gestire un problema:

Question If yes If no
Is there a binding legal, regulatory, or contractual obligation? Treat it as a compliance requirement with defined proof Assess it through normal risk methods
Can leadership choose to accept the gap? Usually no, unless the framework allows a justified alternative Possibly yes, subject to appetite
Is evidence required to show operation? Always assume yes Often still useful, but not always mandatory

Una breve discussione tecnica può aiutare i team a fare questa distinzione nella pratica:

Regola pratica: Gestisci il rischio secondo l’appetito. Soddisfa gli obblighi di compliance secondo il requisito. Non scambiare una logica con l’altra.

Costruire un framework di governance integrato

Un framework di governance è utile solo se collega l’intento del board all’operatività quotidiana dei controlli. Molti non lo fanno. Producono librerie di policy, registri dei rischi e verbali di comitato, ma lasciano una scarsa tracciabilità tra quegli artefatti e ciò che le persone fanno.

A diagram illustrating an integrated governance framework connecting risk management, compliance obligations, and operational activities within an organization.

Un modello integrato è più semplice di quanto suggeriscano molte presentazioni GRC. Ha bisogno di quattro livelli collegati: decisioni di governance, intento della policy, controlli operativi ed evidenze. Se un livello è staccato, l’intero sistema diventa difficile da difendere.

La catena che conta

Una catena di governance praticabile appare così:

  1. Obbligo o requisito di business
    Può derivare da regolamento, contratto, policy interna o necessità operativa.

  2. Dichiarazione di policy
    L’organizzazione enuncia ciò che deve essere vero. Per esempio, l’accesso ai dati regolamentati è limitato, revisionato e revocato prontamente.

  3. Progettazione del controllo
    I team definiscono il meccanismo reale. Potrebbe essere controllo di accesso basato sui ruoli, workflow di joiner-mover-leaver, regole di approvazione e revisioni periodiche degli accessi.

  4. Esecuzione operativa
    Persone e sistemi eseguono il controllo. Le richieste di accesso vengono inviate, approvate, implementate, registrate, revisionate e rimosse.

  5. Evidenza e revisione
    I registri mostrano che il controllo ha funzionato come previsto, le eccezioni sono state gestite e la proprietà è stata attiva.

Molti programmi falliscono al punto tre. Si fermano al linguaggio della policy e presumono che i team operativi inferiscano il resto. Qui inizia l’ambiguità.

La proprietà deve essere esplicita

La governance migliora quando la proprietà è suddivisa per funzione piuttosto che confusa in un generico “proprietario del controllo”.

Un modello pratico di solito separa:

  • Policy owner: Responsabile della regola e del suo significato regolatorio
  • Control owner: Responsabile della progettazione e del funzionamento
  • Evidence owner: Responsabile della qualità, conservazione e reperibilità delle prove
  • Reviewer o approver: Responsabile del challenge e della supervisione

Questo sembra amministrativo, ma previene una modalità di fallimento comune. Durante un audit, un team può sapere che il controllo esiste ma nessuno riesce a spiegare chi lo valida, chi approva le eccezioni o chi assicura che le evidenze rimangano complete nel tempo.

Se la proprietà non può essere nominata a livello di ruolo individuale, il controllo probabilmente non è ancora sufficientemente maturo.

La governance è un sistema di feedback

Un framework integrato non è un flusso unidirezionale. Una buona governance prende feedback da incidenti, test falliti, eccezioni di controllo, riscontri di audit interno e problemi di terze parti, poi aggiorna la policy o il design del controllo.

Qui molti team migliorano il loro profilo di rischio e compliance senza comprare nulla di nuovo. Accorciano la distanza tra operazioni e oversight. Quando appare un’eccezione ricorrente, non la archiviano semplicemente. Decidono se la policy è irrealistica, il controllo è debole o il processo è sotto-dotato.

Un modo compatto per valutare il proprio framework è chiedersi:

  • Possiamo tracciare ogni obbligo importante a un controllo?
  • Possiamo tracciare ogni controllo chiave a una proprietà nominata?
  • Possiamo produrre evidenze senza ricostruire la storia a mano?
  • Un reviewer può vedere eccezioni e risposte, non solo i casi di successo?

Se la risposta è incoerente, il problema di solito non è lo sforzo. È l’architettura.

Progettare un sistema operativo evidence-first

La maggior parte dei programmi di compliance tratta ancora le evidenze come un output raccolto a posteriori. È al contrario. L’evidenza dovrebbe essere parte del sistema operativo stesso.

A diagram showing an operational system supported by layers of evidence for processes, decisions, and outputs.

Se un controllo è importante, l’evidenza per quel controllo dovrebbe essere generata vicino al lavoro. Le revisioni degli accessi dovrebbero produrre approvazioni datate ed eccezioni. Le modifiche di policy dovrebbero portare la cronologia delle versioni e l’identità dell’approvatore. Il monitoraggio della sicurezza dovrebbe produrre log che possano essere collegati ai workflow di risposta. Le valutazioni dei fornitori dovrebbero lasciare un record verificabile di richieste, sottomissioni e decisioni.

L’evidenza inizia alla fonte

La domanda giusta non è “Cosa chiedono di solito gli auditor?” È “Quali registri dimostrano naturalmente che questo controllo è operativo?”

Questo cambia il modo in cui i team progettano i processi. Invece di chiedere a ingegneri o amministratori di creare evidenze manualmente, si usano output nativi quando possibile:

  • System logs per autenticazione, attività amministrative e cronologia delle modifiche
  • Snapshot di configurazione per impostazioni di baseline e revisione delle derive
  • Record di workflow per approvazioni, eccezioni e azioni di remediation
  • Cronologia delle versioni per policy, procedure e descrizioni dei controlli
  • Output di test per validazione dei controlli, simulazioni e follow-up

Molti team di piattaforma e DevOps hanno già un vantaggio. Sono abituati a lavorare con pipeline, commit, cronologia delle review e controlli automatizzati. Ecco perché una buona guida alla documentazione CI/CD è rilevante oltre la delivery software. Le stesse abitudini che migliorano la tracciabilità ingegneristica migliorano anche la qualità delle evidenze di compliance.

Il giudizio qualitativo non basta

I team maturi usano ancora il giudizio degli esperti, ma non si fermano lì. Un workshop sul rischio che etichetta questioni come rosso, ambra o verde può essere utile per la discussione, ma spesso è troppo vago per prioritizzare i controlli o giustificare investimenti.

Un approccio più solido usa la quantificazione dove aiuta il processo decisionale. Un’analisi Concertium del 2025 (2025 Concertium analysis) ha rilevato che le aziende IT che usano valutazioni quantitative del rischio per prioritizzare i controlli hanno ridotto il rischio residuo fino al 40% rispetto alle aziende che si basano solo su valutazioni qualitative. Il valore non sta nella formula di per sé. Il valore è che il pensiero quantificato costringe i team a esprimere perché un controllo è più importante di un altro e quale esposizione residua rimane dopo l’implementazione.

Costruire un ciclo di vita controllo-evidenza

Un sistema evidence-first segue di solito un ciclo di vita ripetibile:

  1. Definire l’obiettivo del controllo
    Dichiarare cosa il controllo intende prevenire, rilevare o dimostrare.

  2. Identificare fonti di evidenza autorevoli
    Usare record dai sistemi che operano il controllo, non screenshot di comodo a meno che non siano necessari.

  3. Definire regole di raccolta
    Decidere cosa viene catturato automaticamente, cosa richiede revisione umana e cosa deve essere conservato.

  4. Mappare l’evidenza alle asserzioni di controllo
    Ogni artefatto dovrebbe supportare una specifica affermazione. Evitare di buttare file non correlati in una cartella condivisa.

  5. Revisionare per integrità e contesto
    L’evidenza senza timestamp, proprietà o spiegazione spesso genera più domande che risposte.

  6. Conservare ed esportare in forma utilizzabile
    Gli auditor hanno bisogno di vedere prove organizzate, non il vostro caos interno.

Per i team che affinandano questa disciplina, materiale su audit evidence design è spesso più utile di un’altra checklist generica di compliance.

Buone evidenze sono specifiche, attribuibili, temporali e connesse a una dichiarazione di controllo. Se uno di questi elementi manca, aspettati contestazioni.

Cosa non funziona

Tre abitudini minano regolarmente team altrimenti capaci:

  • Raccolta massiva vicino all’audit: Questo crea lacune, nomi incoerenti e scarsa provenienza.
  • Assicurazione basata solo sulla policy: Una policy firmata non dimostra il funzionamento.
  • Evidenza senza narrativa: Le esportazioni grezze hanno bisogno di contesto sufficiente affinché il reviewer capisca cosa sta vedendo.

L’obiettivo pratico è semplice. Un reviewer dovrebbe poter passare dall’obbligo al controllo, dal controllo all’evidenza e dall’evidenza alla proprietà senza bisogno di knowledge tribale.

Strumenti pragmatici per il controllo dimostrabile

Un processo solido può sopravvivere a strumenti deboli per un po’. Non può scalare con strumenti deboli. Quando l’ambiente include più team, fornitori esterni, dati regolamentati e revisioni ricorrenti, il sistema di record conta.

A hand-drawn illustration showing a step-by-step sequence of tools leading to the word CONTROL.

L’obiettivo non è acquistare una “GRC platform” perché la categoria esiste. L’obiettivo è assemblare capacità funzionali che rendano le affermazioni sul funzionamento dei controlli difendibili.

Capacità che risolvono problemi reali

Alcuni requisiti sono obbligatori in ambienti regolamentati.

Audit trail immutabili

Se le evidenze possono essere alterate senza essere registrate, non reggeranno bene all’esame. Gli audit trail devono mostrare chi ha fatto cosa, quando e in relazione a quale record o controllo. Devono anche preservare sequenza e storia.

Questo conta durante le eccezioni, le remediation e i cambi di proprietà. Uno snapshot pulito dello stato corrente è utile, ma un investigatore o un auditor spesso ha bisogno di vedere come lo stato si è evoluto.

Forte crittografia per le evidenze archiviate

Le evidenze spesso contengono dati di configurazione sensibili, dati personali, contratti o materiale di incidente. Proteggere quelle evidenze non è solo buona pratica di sicurezza. Fa parte del mantenimento di un processo di compliance affidabile.

La crittografia è più importante quando le evidenze vengono esportate, condivise tra funzioni o conservate per lunghi periodi. I team devono sapere quali record richiedono trattamenti più stringenti e quali utenti sono autorizzati ad accedervi.

Controllo degli accessi basato sui ruoli

RBAC è il punto in cui la responsabilità incontra l’applicazione tecnica. Senza di esso, troppe persone possono caricare, modificare, approvare o esportare materiale. Questo indebolisce l’integrità del controllo.

Un modello maturo restringe le azioni per ruolo. I policy owner non hanno bisogno di ogni permesso di esportazione. I contributori di evidenze non devono poter approvare le proprie sottomissioni. I revisori hanno bisogno di visibilità che gli operatori potrebbero non avere.

Versioning

Il versioning è spesso sottovalutato perché sembra amministrativo. Non lo è. Risponde a domande di audit fondamentali: quale versione era in vigore, quando è cambiata, chi ha approvato il cambiamento e quali evidenze si allineano a quella versione?

Senza versioning, i team discutono dalla memoria. Non è mai una posizione solida.

Le evidenze di terze parti sono di solito il punto debole

I controlli interni sono abbastanza difficili. I controlli di terze parti sono più duri perché dipendi da tempistiche esterne, sistemi esterni e disciplina esterna.

Secondo dati PwC 2025 citati in questa analisi, il 62% dei fallimenti di audit IT nelle aziende regolamentate è riconducibile a lacune nella gestione del rischio dei fornitori e delle terze parti. Questo si allinea con ciò che molti operatori vedono sul campo. Le organizzazioni possono gestire bene le librerie di policy interne, poi fallire nell’ottenere evidenze affidabili da processor, provider di servizi o partner operativi esternalizzati.

Un processo efficace per le terze parti di solito necessita di:

  • Workflow di richiesta sicuri: Le parti esterne devono sapere esattamente cosa è richiesto e entro quando.
  • Cronologia delle sottomissioni verificabile: Serve prova di ciò che è stato ricevuto, non solo catene email.
  • Accesso controllato agli artefatti condivisi: Le evidenze sensibili non dovrebbero circolare informalmente.
  • Collegamento a obblighi e controlli: Le evidenze del fornitore devono mappare al vostro ambiente di controllo, non rimanere in un repository procurement scollegato dalla preparazione all’audit.

Lo strumento conta meno del record che preserva. Se un fornitore invia un file, serve provenienza, contesto e una traccia decisionale attorno a quel file.

Lo strumentario dovrebbe ridurre l’ambiguità, non nasconderla

Alcune piattaforme falliscono perché ottimizzano per dashboard invece che per tracciabilità. Valutano i controlli, colorano i rischi e generano riassunti attraenti, ma rendono difficile rispondere a domande specifiche su proprietà, eccezioni o lineage delle evidenze.

Gli strumenti utili fanno l’opposto. Rendono le relazioni visibili. Quale policy richiede questo controllo? Da quale team dipende questo controllo? Quale fornitore ha fornito questa evidenza? Quale eccezione è stata approvata, da chi e per quanto tempo?

Questo è ciò che il controllo dimostrabile sembra in pratica. Non presentazione. Integrità del record.

Prepararsi agli audit come verifica del sistema

Se la preparazione all’audit causa ancora interruzioni tra engineering, security, legal e operations, il modello operativo sta segnalando un problema di design.

Un approccio migliore tratta l’audit come una verifica periodica di un sistema che già funziona. L’evidenza dovrebbe già esistere. La proprietà dovrebbe già essere assegnata. Le eccezioni dovrebbero già essere documentate. La preparazione all’audit diventa quindi il lavoro di selezionare, impacchettare e spiegare i record, non di crearli da zero.

Perché l’agilità conta

Questa è una ragione per cui l’agilità dell’audit è diventata una questione pratica, non un’aspirazione morbida. Un rapporto ENISA 2025 citato in questa analisi ha rilevato che il 68% delle organizzazioni fatica con l’agilità dell’audit e solo il 22% usa sprint compattati per processi IT ad alto rischio. Quella lacuna conta perché il lavoro di assurance moderno è raramente lineare. Una review DORA o NIS2 può scatenare richieste di follow-up, walkthrough di incidenti, campionamenti di controllo e domande sui fornitori in rapida successione.

I team che possono lavorare in cicli brevi e controllati se la cavano meglio. Non aspettano un gigantesco esercizio annuale. Validano regolarmente le aree ad alto rischio, migliorano continuamente la qualità delle evidenze e trattano la traccia mancante come un difetto operativo.

L’audit readiness appare diversa in pratica

Un programma evidence-first cambia la meccanica della preparazione:

  • Lo scopo è già definito: Sapete quali entità, sistemi, controlli e fornitori rientrano nel perimetro dell’audit.
  • I responsabili possono rispondere rapidamente: Le richieste sono instradate verso ruoli responsabili invece che a liste di distribuzione ampie.
  • I pacchetti di evidenza sono curati, non improvvisati: Le esportazioni riflettono un sistema di record controllato.
  • Le simulazioni diventano utili: Prove di incidente e controlli gap testano le stesse strutture che supportano il lavoro formale di audit.

Quello stile operativo somiglia a una buona validazione ingegneristica. Il punto non è solo affermare che qualcosa dovrebbe funzionare. È verificare che lo faccia. La distinzione è simile a quella discussa in how startup teams ship better software, dove verifica e validazione sono discipline separate ma connesse. La compliance beneficia della stessa disciplina. Si valida l’intento del design attraverso policy e definizione dei controlli, poi si verifica il funzionamento tramite le evidenze.

Gli audit vanno più lisci quando confermano una realtà organizzata piuttosto che esporre una realtà improvvisata.

Il risultato pratico è meno dramma. Non perché la regolamentazione sia diventata più leggera, ma perché l’organizzazione ha smesso di trattare l’assicurazione come un evento stagionale e ha iniziato a trattarla come parte delle operazioni.

AuditReady è costruito per i team che vogliono questo tipo di modello operativo. Aiuta le organizzazioni regolamentate a organizzare evidenze, mappare proprietà, collegare policy ai controlli, raccogliere sottomissioni di terze parti in modo sicuro e produrre pacchetti pronti per l’audit senza trasformare la preparazione in una corsa ai documenti. Se ti serve un sistema pratico per il lavoro DORA, NIS2 o GDPR, AuditReady vale la pena di essere considerato.