Esternalizzazione di funzioni aziendali

Informa(on and Communica(on Technology supply chain security
15° Aggiornamento
Circolare 263/2006:
Esternalizzazione di
funzioni aziendali
Luca Lazzaretto
Rosangela D'Affuso
Padova, 29 aprile 2015
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
1
15° Aggiornamento
Circolare 263/2006:
Esternalizzazione di
funzioni aziendali
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
2
Information and Communication Technology
supply chain security
Sponsor dell’evento
Partner di ISACA VENICE Chapter
CSQA Cer(ficazioni Srl, azienda accreditata da ACCREDIA e APMG-­‐Interna(onal
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
3
Information and Communication Technology
supplay chain security
ISACA VENICE PER L’ATTIVITA’ SVOLTA NEL 2014 HA RICEVUTO I SEGUENTI AWARD: •  BEST MEDIUM CHAPTER WORLDWIDE AND EUROPE/AFRICA •  GROWTH MENTION Sponsor e
sostenitori di
ISACA VENICE
Chapter
Con il
patrocinio di
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
4
Luca Lazzaretto
Manager di KPMG Advisory, ha conseguito la laurea specialis(ca in ingegneria delle Telecomunicazioni presso la Facoltà di ingegneria dell’università di Padova nel 2007. Ha successivamente iniziato a lavorare in Accenture S.p.A. all’interno della LoS Technology Consul(ng – Security Informa(on e nel 2012 ha iniziato a lavorare in KPMG Advisory all’interno della LoS Informa(on Risk Management dove ad oggi ricopre il ruolo di Manager. Nel corso degli anni ha partecipato a svaria( proge\ rela(vi all’IT Security, IT Strategy, IT Governance, Risk and Compliance, Business Con(nuity e Iden(ty & Access Management, sia in contes( italiani che esteri. A^ualmente segue proge\ lega( al mondo dell’Industry Financial and Insurance Services e nell’ul(mo anno si è occupato di IT Security Assessment, sviluppo e implementazione di tool GRC (Governance Risk and Compliance) e compliance rela(va al 15° aggiornamento Circolare n. 263/2006 di Banca d’Italia. Le a^uali cer(ficazioni in possesso sono rela(ve al CISA, ISO 27001 Lead Auditor, ITIL v3 Founda(on, RSA Archer Admin e BS25999 Lead Auditor. Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
5
Rosangela D'Affuso
Specialista di Veneto Banca in ambito IT Governance, ha conseguito la laurea specialis(ca in Intelligenza Ar(ficiale e Robo(ca della Facoltà di Ingegneria Informa(ca presso il Politecnico di Milano nel 2008. Ha iniziato a lavorare fin da subito nel se^ore bancario approdando nel 2008 in CheBanca! e nel 2013 in Veneto Banca, all’interno della Divisione Opera(ons. Nel corso degli anni ha partecipato a diversi proge\ rela(vi ad IT Strategy, IT Governance, Business Con(nuity, Risk and Compliance e IT Security. A^ualmente segue proge\ lega( all’implementazione di un Service Desk aziendale e alla compliance ai principali adempimen( in materia Privacy; nell’ul(mo anno si è occupata come capo proge^o di compliance ai Capitoli 8 e 9 del 15° aggiornamento Circolare n. 263/2006 di Banca d’Italia. Le a^uali cer(ficazioni in possesso sono rela(ve a Lean Six Sigma, Business Con(nuity Ins(tute (BCI), ITIL v3 Intermediate – Service Design, ITIL v3 Founda(on; ha inoltre seguito i corsi CRISC, COBIT 4.1, Project Management Ins(tute (PMI). Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
6
Abstract
•  Alla luce delle nuove disposizioni di vigilanza prudenziale per le Banche – 15° aggiornamento circolare n. 263/2006 emanato da Banca d’Italia nel 2013 – è stata introdo^a un’organica disciplina in materia di esternalizzazione di funzioni aziendali. Il ricorso all’esternalizzazione è funzionale ad accrescere la flessibilità organizza(va delle Banche che possono così dedicare maggiori risorse al core business oltre che a perseguire obie\vi di riduzione dei cos(. In par(colare, il ricorso all’outsourcing è ammesso, in coerenza con l’apposita poli(ca che deve essere definita in materia, purché le Banche presidino a^entamente i rischi derivan( dalle scelte effe^uate e mantengano la capacità di controllo e la responsabilità delle a\vità esternalizzate. I requisi( richies( per procedere all’outsourcing di funzioni aziendali sono gradua( in modo diverso a seconda del caso in cui si tra\ di esternalizzazione verso terza parte o internalizzazione verso una società del gruppo e che l’ambito riguardi funzioni opera(ve importan( (quali ad esempio i sistemi informa(vi) o funzioni di controllo. •  Obie\vo dell’approfondimento consiste nel fornire una breve panoramica dei requisi( e dei vincoli introdo\ dalla norma(va di riferimento supporta( dalla presentazione di Business Case circa l’impianto documentale implementato da Veneto Banca S.C.p.A. Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
7
Agenda
•  Introduzione •  L'esternalizzazione: norma(va di riferimento •  Business Case Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
8
Agenda
•  Introduzione •  Contesto norma?vo di riferimento •  ObieCvi della norma •  Overview della norma •  Tempis?che di adeguamento •  L'esternalizzazione •  Business Case Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
9
Introduzione
Contesto normativo di riferimento
Banca d'Italia, a luglio 2013, ha emanato il 15° aggiornamento della circolare n. 263/2006 "Nuove disposizioni di vigilanza prudenziale per le banche", introducendo capitoli dedica? al: •  Il Sistema dei Controlli Interni (Capitolo 7) •  Il Sistema Informa(vo (Capitolo 8) •  La Con(nuità Opera(va (Capitolo 9) IL SISTEMA DEI CONTROLLI INTERNI (CAP.7) LA CONTINUITÀ OPERATIVA (CAP.9) IL SISTEMA INFORMATIVO (CAP.8) Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
10
Introduzione
Obiettivi della normativa
La norma?va introdo9a è finalizzata a: •  rafforzare le capacità delle banche nella ges(one dei rischi aziendali •  rivedere in modo organico ed omogeneizzare il quadro norma(vo rela?vo alla materia in ogge9o •  incorporare e promuovere best prac@ces Tali “innovazioni” sono volte a (ri)definire i principi e le linee guida cui le Banche si devono uniformare, in termini di organizzazione, ruoli e compi? di organi/funzioni aziendali, sviluppo e ges?one del sistema informa(vo, adeguatezza dei presidi e dei livelli di con(nuità opera(va Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
11
Introduzione
Overview della normativa
Le priorità di intervento rela?ve alle principali novità introdo9e possono essere sinte?zzate nei seguen? pun?: 1.  Implementazione di un Risk Appe)te Framework 2.  Disegno di un processo di ges?one integrata dei rischi 3.  Disegno di un compliance framework 4.  “Estensione” del perimetro del RM sul monitoraggio andamentale delle posizioni credi?zie 5.  Definizione processo per iden?ficazione e approvazione operazioni maggior rilievo 6.  Collocazione organizza?va delle funzioni di controllo 7.  “Raccordo” (policy e processi) tra organi e funzioni di controllo aziendali 8.  Previsione di apposita “policy” di esternalizzazione vs terze par? chiave SISTEMA DEI CONTROLLI INTERNI (CAP.7) CONTINUITÀ OPERATIVA (CAP.9) SISTEMA INFORMATIVO (CAP.8) 9.  L'analisi e la ges?one del rischio informa?co 10.  Formalizzazione compi? e responsabilità delle funzioni: ICT, Sicurezza Informa?ca, Controllo del rischio Informa?co e compliance ICT (governo e organizzazione del sistema informa?vo) 11.  Definizione di uno standard aziendale di Data governance 12.  La ges?one della sicurezza informa?ca (definizione delle policy rela?ve alla sicurezza, cambiamento, etc.) 13.  Definizione di una poli?ca di esternalizzazione ICT e revisione dei contraC 15.  Introduzione di una stru9ura 14.  Comunicazione degli inciden? e dei per il coordinamento della fa9ori anomali rilevan? alle stru9ure ges?one delle crisi opera?ve preposte alla dichiarazione dello stato d’emergenza Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
12
Introduzione
Tempistiche di adeguamento
Banca d'Italia ha inoltre definito una ?meline di adeguamento, riportata nel seguito, volta ad iden?ficare le varie scadenze di adeguamento per le Banche 2013 lug 02/07/2013 Entrata in vigore delle disposizioni 2014 gen lug 31/01/2014 01/07/2014 Efficacia Invio Relazione a Banca d’Italia disposizioni Capitoli 7 e 9 del Self Assessment effe?uato dalle Banche 2015 feb lug 01/02/2015 01/07/2015 Efficacia Efficacia disposizioni disposizioni su Capitolo 8 funzioni risk management e compliance (Cap.
7, sez. III,par.1, le?. b) 2016 lug 01/07/2016 Efficacia esternalizzazione di funzioni aziendali (Cap 7, sez. IV, V) e del sistema informa)vo (Cap. 8, sez. VI ) 30 mesi c.a. Tempis(ca di adeguamento totale per la parte di esternalizzazione e adeguamento dei contra\ Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
13
Agenda
•  Introduzione •  L'esternalizzazione •  ObieCvo •  Quando si parla di esternalizzazione? •  Definizioni •  Perimetro di rifermento •  Elemen? cos?tu?vi •  Elemen? chiave •  Esternalizzazione al di fuori del Gruppo •  Esternalizzazione del sistema informa?vo •  Business Case Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
14
L'esternalizzazione
Obiettivo
•  Lo schema di disciplina nella Sezione IV "Esternalizzazione di funzioni aziendali (outsourcing) al di fuori del gruppo" del Cap. 7 e della sezione IV "L'esternalizzazione del sistema informa@vo" del Cap.8 della norma?va di riferimento, definisce un quadro organico di principi e requisi? in materia di esternalizzazione delle funzioni aziendali •  Con queste disposizioni, Banca d’Italia consolida le indicazioni sull’esternalizzazione contenute nelle disposizioni di vigilanza emanate e le integra recependo le linee guida sull’outsourcing del CEBS del 14 dicembre 2006 Obie\vo perseguito da Banca d’Italia è assicurare che le Banche che ricorrono all’esternalizzazione di funzioni aziendali, presidino i rischi derivan( dalle scelte effe^uate Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
15
L'esternalizzazione
Obiettivo
Come può un'organizzazione presidiare corre9amente i rischi derivan? dal fa9o di aver esternalizzato delle aCvità presso una terza parte? Mantenendo la capacità di controllo Come? Mantenendo la responsabilità sulle a\vità esternalizzate Mantenendo le competenze essenziali per reinternalizzare Deve essere definita e approvata una poli(ca rela(va all'esternalizzazione emanata a livello aziendale che definisca e indirizzi tu9e queste tema?che in una linea guida di alto livello e, successivamente, contestualizzata in un processo chiaro e stru^urato Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
16
L'esternalizzazione
Quando si parla di esternalizzazione?
Risulta fondamentale iden?ficare corre9amente quando si parla di esternalizzazione. A tal proposito, Banca d'Italia fornisce una descrizione esplicita sull'esternalizzazione, riporta di seguito l'estra9o della norma?va di riferimento* “esternalizzazione: l’accordo in qualsiasi forma tra una banca e un fornitore di servizi in base al quale il fornitore realizza un processo, un servizio o un’aavità della stessa banca." Si parla di "esternalizzazione" quando un processo, un servizio o un’a\vità cara^eris(ci della Banca viene affidato ad un fornitore terzo (all’interno o all’esterno del gruppo bancario) nonostante la Banca possieda potenzialmente le capacità tecniche per poterlo eseguire. (*) 15° aggiornamento circolare 263/2006, TITOLO V – Cap.7, Sezione I, Par. 3 "Definizioni" Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
17
L'esternalizzazione
Altre definizioni connesse all'esternalizzazione
Si riportano nel seguito altre definizioni u?li per contestualizzare specifici aspeC rela?vi all'esternalizzazione “funzioni aziendali di controllo”: la funzione di conformità alle norme (compliance), la funzione di controllo dei rischi (risk management func)on) e la funzione di revisione interna (internal audit) “funzione opera@va importante – FOI ”: una funzione opera)va per la quale risulta verificata almeno una delle seguen) condizioni: • un’anomalia nella sua esecuzione o la sua mancata esecuzione possono comprome?ere gravemente: a) i risulta) finanziari, la solidità o la con)nuità dell’aavità della banca; ovvero b) la capacità della banca di conformarsi alle condizioni e agli obblighi derivan) dalla sua autorizzazione o agli obblighi previs) dalla disciplina di vigilanza; • riguarda aavità so?oposte a riserva di legge; • riguarda processi opera)vi delle funzioni aziendali di controllo o ha un impa?o significa)vo sulla ges)one dei rischi aziendali. (*) 15° aggiornamento circolare 263/2006, TITOLO V – Cap.7, Sezione I, Par. 3 "Definizioni" Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
18
Controllo L'esternalizzazione
Responsabilità Reinternalizzare Perimetro dell'esternalizzazione
Forniture ele?ricità Promotori per offerta fuori sede Non si considerano esternalizzate le aCvità affidate all’esterno che non possono essere svolte nell’ambito della banca (ad esempio le u?li?es per energia, rete di telecomunicazione, etc.) Info providers PERIMETRO ESTERNALIZZAZIONE Prestazioni professionali Contraa di consulenza FOI Funzioni aziendali esternalizzabili stre9amente connesse al business e che comportano un possibile rischio (es. compliance, opera?vo, reputazionale) Funzioni opera(ve importan( (FOI) che comportano livello di rischio alto (incluse funzioni di controllo) Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
19
Controllo L'esternalizzazione
Responsabilità Reinternalizzare Le Funzioni Operative Importanti
Funzioni Opera(ve Importan( – FOI: Chi sono? Non determinabile univocamente poiché potrebbe dipendere dalle cara9eris?che di ciascuna Banca, dal modello di business ado9ato, dal valore dell’esternalizzazione, etc. Alcuni Esempi di Funzioni Opera?ve Importan? riconosciute da Banca d'Italia sono: Ÿ  Back office Ÿ  Sistema informa?vo Ÿ  Funzioni di Controllo Ÿ  Tra9amento contante/tra9amento valori Ÿ  Processor delle carte/POS Ÿ  Ges?one canali telema?ci (call center, help desk) Ÿ  Ges?one patrimoni (Finanza) Ÿ  Segnalazioni di Vigilanza Ÿ  Etc Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
20
Controllo L'esternalizzazione
Responsabilità Reinternalizzare Responsabilità
Introduzione della figura del Referente per le aNvità Esternalizzate Organi con Funzione di Supervisione Strategica (ad esempio CdA delle Banche) Funzioni di Controllo ■  Introduzione della nomina del "referente per le a\vità esternalizzate", figura aziendale che deve possedere adegua? requisi? di professionalità ed ha il compito di garan?re la conservazione delle competenze richieste per controllare efficacemente le funzioni esternalizzate e per ges?re i rischi connessi all’esternalizzazione, inclusi quelli derivan? da potenziali confliC di interessi dell’outsourcer. ■  Valutazione e approvazione dell'esternalizzazione basata su un processo di selezione dell'outsourcer tramite una specifica analisi del rischio, che considera in primo luogo la s?ma dei rischi delle risorse e servizi da esternalizzare e quindi valuta i rischi dei possibili fornitori (ad es., condizioni finanziarie, posizionamento sul mercato, qualità e turnover del management e del personale, capacità di ges?re la con?nuità opera?va e di fornire accura? e tempes?vi report direzionali sull’aCvità svolta, competenza ed esperienza, qualità e sicurezza nonché economicità e maturità, in un adeguato orizzonte temporale, della fornitura) ■  Non è ammessa l’esternalizzazione delle Funzioni di Controllo della Capogruppo a soggeC esterni al Gruppo. Le Società del Gruppo possono esternalizzare le loro Funzioni aziendali di Controllo solo ed esclusivamente alla Capogruppo: non è ammessa l’esternalizzazione di de9e funzioni ad outsourcer esterni al Gruppo. Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
21
Controllo L'esternalizzazione
Responsabilità Reinternalizzare Vincoli all'esternalizzazione
AsseTo organizza@vo ■  Divieto di delegare responsabilità aziendali e degli organi aziendali. Ad esempio, il divieto di esternalizzare aCvità che riguardano aspeC nevralgici del processo di erogazione del credito (per esempio la valutazione e il monitoraggio del merito del credito) ■  Divieto di alterare il rapporto e gli obblighi nei confron( dei suoi clien( Tutela del cliente ■  Divieto di creare le condizioni per: –  disa9endere gli obblighi previs? dalla disciplina di vigilanza –  violare le riserve di aCvità previste dalla legge. Compliance ■  Divieto di ostacolare la vigilanza ■  Divieto di pregiudicare la qualità del sistema dei controlli interni Sistema dei controlli interni ■  Divieto di esternalizzare funzioni aziendali di controllo se non coerente con i limi? e le condizioni previs? al par. 2 della Sezione IV Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
22
Controllo L'esternalizzazione
Responsabilità Reinternalizzare Capacità di reinternalizzare
•  Par?colare a9enzione ha destato tra le Banche la previsione norma?va che richiede alle stesse di mantenere le competenze tecniche e ges?onali per reinternalizzare le funzioni aziendali esternalizzate •  A riguardo, l’Autorità di Vigilanza nel Resoconto della Consultazione specifica quanto segue: “La disciplina in materia di esternalizzazione prevede che la società tra?enga le competenze necessarie per poter reinternalizzare le funzioni esternalizzate in caso di necessità. Si ri)ene che il mantenimento di competenze essenziali concernen) l’aavità esternalizzata sia necessario, non solo per consen)re l’effeNvità dei controlli sul fornitore di servizi, ma anche per non arrecare pregiudizio all’opera@vità aziendale nei casi in cui sia necessaria una reinternalizzazione. In generale, la valutazione delle competenze ritenute effeavamente necessarie è, innanzitu?o, rimessa all’intermediario stesso.“ Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
23
Controllo L'esternalizzazione
Responsabilità Reinternalizzare Capacità di reinternalizzare
Esternalizzazione al di fuori del Gruppo Bancario Esternalizzazione all'interno del Gruppo Bancario COSA SIGNIFICA? Possibilità di svolgere adeguatamente una valutazione circa l’opportunità di reinternalizzare o affidare a terzi il servizio non più svolto dalla capogruppo o dalla società del gruppo COSA SIGNIFICA? La policy dovrebbe iden?ficare i casi in cui il rischio di reinternalizzare è par(colarmente alto (es. fornitore monopolista). Negli altri casi potrebbe essere opportuno mantenere le competenze per il controllo e dotarsi di procedure formalizzate per ges(re l’affidamento ad altri fornitori (in caso sia impossibile reinternalizzare) Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
24
L'esternalizzazione
Elementi costitutivi dell'esternalizzazione
Gli elemen? cos?tu?vi dell'esternalizzazione sono defini? all'interno della norma?va e prevedono alcuni elemen? obbligatori richies? da BankIt, tra i quali la realizzazione del documento principale in ambito all'esternalizzazione, la Policy di Esternalizzazione Policy di Esternalizzazione
Processo decisionale
Criteri
selez.
fornitore
Valutaz.
rischi
Funz.
coinvolt
e
Criteri di selezione del
fornitore
Presidi adottati
…
Support
o funz.
esternal.
Segnalaz
Nomina
eventi /
referent
situaz.
e
anomale
…
Competenz
Funz.
e,
Valutaz
coinvolt …
capacità, . rischi
e
autoriz
Revisione contratti di
outsourcing
SLA
Flussi
informativi
Contin.
…
operativa
Comunicazioni verso BankIt
La Policy di Esternalizzazione è definita e a^uata dall’Organo con Funzione di Ges(one (OFG) e approvata dall’Organo con Funzione di Supervisione (OFSS) Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
25
L'esternalizzazione
Elementi chiave di una Policy di Esternalizzazione
Gli "Elemen( chiave" di una Policy di Esternalizzazione: •  Definizione di linee guida per tu9e le ?pologie di esternalizzazioni (i.e. funzioni aziendali vs FOI; esternalizzazione all’interno del gruppo vs all’esterno; …) •  Definizione di principi generali (es. principi e?ci per la scelta del fornitore, per la ges?one di confliC d’interesse, …) •  Definizione delle modalità per la determinazione del (po di esternalizzazione, del livello di importanza e delle funzioni coinvolte (es. tavolo interfunzionale di valutazione delle esternalizzazioni) •  Definizione di criteri per l’individuazione della (pologia di contra^o (es. con / senza possibilità di sub-­‐esternalizzare) •  Definizione criteri e processo interno per la definizione delle funzioni opera(ve importan( (FOI) (es. funzioni che non possono essere esternalizzate, …) Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
26
L'esternalizzazione
Esternalizzazione al di fuori del Gruppo Bancario
Stabilire il processo decisionale per esternalizzare le funzioni aziendali specificando: ■  i livelli decisionali e le funzioni coinvolte Processo decisionale di esternalizzazione ■  la valutazione: –  dei rischi e dell’impa9o sulle funzioni aziendali –  dei rischi connessi con potenziali confliC di interesse del fornitore di servizi –  degli impaC in termini di con?nuità opera?va ■  i criteri per la scelta e la due diligence del fornitore ■  Definire il contenuto minimo dei contraC di outsourcing ContraTualis@ca ■  Definire i livelli di servizio a9esi delle aCvità esternalizzate Modalità di controllo ■  Stabilire la modalità di controllo nel con?nuo ■  Stabilire la modalità di coinvolgimento della funzione di revisione interna ■  Stabilire i flussi informa?vi per assicurare la piena conoscenza e governabilità dei fa^ori di rischio rela?vi alle funzioni esternalizzate: –  agli organi aziendali –  alle funzioni aziendali di controllo Flussi informa@vi Ges@one emergenze ■  Definire i piani di con(nuità opera(va (clausole contra9uali, piani opera?vi, ecc.) in caso di non corre9o svolgimento delle funzioni esternalizzate da parte del fornitore di servizi Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
27
L'esternalizzazione
Esternalizzazione del Sistema Informativo
Con riferimento al Sistema Informa?vo, considerato a tuC gli effeC esternalizzazione di una Funzione Opera?va Importante – FOI, la norma?va impone che nell’elaborazione del modello archite9urale e delle strategie di esternalizzazione devono essere considera? approcci tesi a contenere, per quanto possibile, il grado di dipendenza da specifici fornitori e partner tecnologici esterni al gruppo (vendor lock-­‐in) a seconda del ?po di outsourcing esternalizzato (Full outsourcing, outsourcing ver)cale e/o orizzontale) L'obieCvo risulta essere quindi, per quanto possibile, la salvaguardia della possibilità di sos(tuire la fornitura con un’altra funzionalmente equivalente (ad es., privilegiando il ricorso a standard aper? per le connessioni, la memorizzazione e lo scambio di da?, la cooperazione applica?va) e prevedendo opportune exit strategies. Outsourcing Ver(cale FULL OUTSOURCING Specifici Processi Opera?vi Specifici Processi Opera?vi Specifici Processi Opera?vi Specifici Processi Opera?vi Outsourcing Orizzontale Facility Management Applica?on Management Help-­‐Desk Tecnico … Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
28
L'esternalizzazione
Esternalizzazione del Sistema Informativo
Referente per l’aNvità esternalizzata ■  Nel caso di full outsourcing della funzione ICT, al “referente per l’aCvità esternalizzata” è assegnata la responsabilità di seguire la pianificazione dei progeC informa?ci; la stessa figura garan?sce, in collaborazione con il fornitore di servizi, la realizzazione degli opportuni meccanismi di raccordo con le linee di business Contenu@ del contraTo con fornitori di sistemi e servizi ICT ■ 
■ 
■ 
■ 
■ 
■ 
■ 
■ 
■ 
■ 
Comunicazioni obbligatorie a Banca d'Italia L’obbligo per il fornitore di servizi di osservare la policy di sicurezza informa?ca aziendale La proprietà di da?, souware, documentazione tecnica, e altre risorse ICT La periodica produzione delle copie di backup del sistema informa?vo La ripar?zione dei compi? e delle responsabilità aCnen? i presidi di sicurezza Le procedure in caso di inciden? di sicurezza informa?ca e di con?nuità opera?va La definizione di livelli di servizio coeren? con le esigenze La predisposizione di misure di tracciamento idonee La possibilità per l’intermediario di conoscere informazioni circa i data center L’obbligo di eliminare … qualsiasi copia o stralcio di da? riserva? di proprietà dell’intermediario … ■  Includono i risulta? dell’analisi dei rischi che considera la s?ma dei rischi delle risorse e servizi da esternalizzare e valuta la qualità dei sub-­‐fornitori, la ridondanza delle linee di comunicazione u?lizzate nonché l’affidabilità, la sicurezza e la scalabilità delle tecnologie ado9ate ■  Limitatamente agli intermediari delle macro-­‐categorie 1 e 2 a fini SREP – la descrizione delle exit strategies previste Tu^e le tema(che rela(ve al caso specifico di outsourcing del Sistema Informa(vo devono essere indirizzate all'interno della Policy di Esternalizzazione Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
29
L'esternalizzazione
Approccio progettuale tipico di adeguamento
Fase 1 – Definizione della Policy di esternalizzazione ■  Definire il processo decisionale a9raverso il quale giungere alla esternalizzazione, avendo cura di verificare il rispe9o del requisito di proporzionalità ■  Definire il criterio per iden(ficare le funzioni opera(ve importan( ■  Iden?ficare gli ambi( che non possono essere ogge^o di esternalizzazione ■  Iden?ficare le competenze ritenute necessarie per reinternalizzare ■  .... Fase 2 – Adeguamento dei contra\ ■  Analisi dei contra\ in essere al fine di verificare che siano rispe9a? tuC i requisi? previs? dalla policy e in par?colare quelli specifici previs? per le funzioni opera?ve importan? ■  Verifica dei requisi( del fornitore di servizi ■  Iden?ficazione delle integrazioni necessarie ■  Adeguamento dei contraC Fase 3 – Adeguamento dell’opera(vità ■  Aggiornare le modalità di ges(one delle a\vità in outsourcing: –  modalità di controllo –  flussi informa?vi –  piani di emergenza –  responsabili –  ... ■  Mantenere le capacità tecniche e ges(onali essenziali per reinternalizzare le a\vità ■  Accordo con il fornitore di servizi ■  ... L'elenco delle a\vità non è esaus(vo e dipende prevalentemente dal contesto e dal perimetro in ambito Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
30
Agenda
•  Introduzione •  L'esternalizzazione •  Business Case •  Il perimetro •  Gli a9ori coinvol? •  I deliverable •  La Policy di esternalizzazione •  Il Framework di revisione contra9uale •  Il Template contra9uale standard •  La Policy di Exit Strategy •  L’aggiornamento dei contraC FOI Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
31
Business Case
Veneto Banca
In o9emperanza alle Nuove disposizioni di vigilanza prudenziale per le banche, nel 2014 Veneto Banca ha avviato nell’ambito del proge9o “Compliance 263 – Capitolo 8” uno specifico can?ere proge9uale rela?vo all'esternalizzazione delle funzioni aziendali. Il can?ere ha dato seguito a quanto previsto dalla Norma?va nei Capitoli 7* e 8** ponendosi come obieCvi: Ÿ  la redazione dei documen( previs? in ambito norma?vo Ÿ  la definizione del Framework di revisione contra^uale Ÿ  la revisione dei contra\ di outsourcing (*) 15° aggiornamento circolare 263/2006, TITOLO V – Cap.7, Sezione IV "Esternalizzazione di funzioni aziendali (outsourcing) al di fuori del gruppo bancario" (**) 15° aggiornamento circolare 263/2006, TITOLO V – Cap.8, Sezione VI "L’esternalizzazione del sistema informa)vo" Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
32
Business Case
Il perimetro
In perimetro al proge9o di adeguamento alla Norma?va e con par?colare riferimento al can?ere dell‘esternalizzazione, sono state condo9e specifiche aCvità volte a definire: 1. Policy di Esternalizzazione 1.a Framework di revisione contra^uale 1.b Template Contra^uale Standard 2. Policy di Exit Strategy 2. Aggiornamento contra\ FOI Nel seguito si riportano dei brevi estra\ per ciascuno dei deliverable prodo\ Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
33
Business Case
Gli attori coinvolti
Prerequisito Commitment da parte di tu9e le Funzioni necessarie e dei principali Stakeholder 1. Policy di Esternalizzazione 1.a Framework di revisione contra^uale 1.b Template Contra^uale Standard 2. Policy di Exit Strategy 2. Aggiornamento contra\ fornitori FOI Procurement Aspe\ generali sulla ges(one del ciclo di vita contra^uale Consulenza Legale Compliance Organizzazione Direzione IT Aspe\ legali su ar(coli contra^uali Aderenza alla norma(va di riferimento Aspe\ su servizio erogato e modello di ges(one dell'outsourcer Aspe\ tecnici e su livelli di servizio Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
34
1. Policy di Esternalizzazione Business Case
1.a Framework di revisione contra^uale 1.b Template Contra^uale Standard 2. Policy di Exit Strategy 2. Aggiornamento contra\ fornitori FOI 1. La Policy di Esternalizzazione: scopo
La Policy di Esternalizzazione ha lo scopo di: •  disciplinare il processo di esternalizzazione di funzioni aziendali internamente (insourcing) o esternamente al Gruppo (outsourcing), iden?ficando le fasi, i ruoli e le responsabilità degli Organi e delle Funzioni aziendali a vario ?tolo coinvolte •  definire il sistema di regole di riferimento finalizzato a garan?re la trasparenza dei processi di selezione, il controllo e la mi?gazione dei rischi connessi alle a\vità svolte dagli outsourcer, ponendo le basi affinché le stesse siano effe9uate nel rispe9o dei ruoli e delle responsabilità definite e di specifici criteri di presidio dei rischi •  definire il contenuto minimo dei contra\ di outsourcing e i livelli di servizio a^esi delle aCvità esternalizzate e iden?ficare le modalità di controllo, nel con?nuo, delle funzioni esternalizzate •  formalizzare i flussi informa(vi interni vol? ad assicurare agli Organi aziendali e alle Funzioni di Controllo la piena conoscenza e governabilità dei fa9ori di rischio rela?vi alle funzioni esternalizzate Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
35
1. Policy di Esternalizzazione Business Case
1.a Framework di revisione contra^uale 1.b Template Contra^uale Standard 2. Policy di Exit Strategy 2. Aggiornamento contra\ fornitori FOI 1. La Policy di Esternalizzazione: struttura del documento
Introduzione Definizioni ObieCvi Ambito di applicazione della Policy Riferimen? norma?vi Glossario Definizioni di “esternalizzazione” e di “Funzione Opera?va Importante (FOI)" u?lizzate lungo la Policy e coeren? con quanto previsto dalle disposizioni di Banca d'Italia 1. Individuazione delle esigenze di esternalizzazione e analisi preliminare 2. Analisi tecnica 3. Selezione e valutazione del fornitore 4. Approvazione operazione di esternalizzazione Elemen@ guida e iter del processo di esternalizzazione 5. Comunicazione preven?va dell’operazione alla Banca d’Italia 6. Definizione del contra9o di esternalizzazione 7. Approvazione e perfezionamento dell’accordo e aCvazione del servizio 8. Ges?one opera?va del rapporto e valutazione delle prestazioni del fornitore 9. Repor?ng e comunicazioni verso Banca d’Italia Misure semplificate in caso di esternalizzazione di funzioni non FOI Esternalizzazione di funzioni rilevan@ di par@colare cri@cità Allega@ Con riferimento all’esternalizzazione di Funzioni Opera?ve non Importan?, la Banca valuta a seconda dei casi e della cri?cità della funzione ogge9o di esternalizzazione, l’iter da prevedere ai fini del compimento dell’operazione sebbene la linea guida seguita è generalmente comune per FOI e non FOI Esternalizzazione di sistemi e servizi ICT Definizione del processo decisionale in merito all’esternalizzazione di sistemi e servizi ICT comprensivo della valutazione degli elemen? che possono determinare il successo o l’insuccesso delle strategie aziendali. Il processo pone l'a9enzione alla valutazione dei rischi che le scelte di esternalizzazione comportano e la valutazione delle misure adeguate per il loro contenimento Esternalizzazione del servizio di tra^amento del contante Per i servizi specifici quali quello del tra9amento del contante, è definito il processo volto alla scelta del contraente, che deve fondarsi sull’accertamento della sua piena affidabilità, tali controlli considerano la corre9ezza della ges?one e dell’adeguatezza delle stru9ure e dei processi organizza?vi, sia nell’esercizio di efficaci controlli successivi, da svolgere nel con?nuo per verificare l’ordinato e corre9o svolgimento dell’aCvità nel pieno rispe9o delle norme vigen? Processo decisionale esternalizzazione Template standard RfP Griglia di valutazione per RfP Checklist di revisione cotnra9uale Griglie di valutazione per albo fornitori Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
36
1. Policy di Esternalizzazione Business Case
1.a Framework di revisione contra^uale 1.b Template Contra^uale Standard 2. Policy di Exit Strategy 2. Aggiornamento contra\ fornitori FOI 1.a Il Framework di revisione contrattuale
Tra gli allega? alla Policy di Esternalizzazione, è stato definito un Framework di revisione contra?uale che prevede una checklist volta ad indirizzare 22 ambi? di analisi per un totale di oltre 80 controlli in essere di cui 33 defini( dalla norma(va di riferimento Ambito analisi 263/2006 Framework di revisione contraTuale # contr. norma(vi/ tot 1. Requisi( generali 6/11 2. Service Level Agreement (SLA) 4/5 3. Sicurezza e confidenzialità 3/5 4. Diri^o di audit 1/4 5. Repor(s(ca -­‐/1 6. Cos( e penali -­‐/1 7. Sub-­‐contractors e fornitori mul(pli 1/2 8. Proprietà e Licenza 1/2 9. Risoluzione delle dispute -­‐/1 10. Manleva -­‐/1 11. Limitazioni di responsabilità -­‐/1 12. Risoluzione (Tempis(che e cos() 2/4 13. Compliance 1/4 14. Clausole contra^uali specifiche 3/4 15. Con(nuità Opera(va 5/13 16. Requisi( generali contra\ di fornitura servizi ICT -­‐/4 17. Integrità e confidenzialità dei da( 1/4 18. Ges(one dei cambiamen( e delle configurazioni -­‐/4 19. Protezione da so|ware malevolo -­‐/2 20. Disponibilità del servizio -­‐/3 21. Trasferimento di competenze -­‐/1 22. Clausole contra^uali specifiche ICT 5/6 Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
37
1. Policy di Esternalizzazione Business Case
1.a Framework di revisione contra^uale 1.b Template Contra^uale Standard 2. Policy di Exit Strategy 2. Aggiornamento contra\ fornitori FOI 1.b Il Template contrattuale standard
Ulteriore allegato alla Policy di Esternalizzazione è il Template Contra?uale Standard volto a definire un impianto contra9uale cos?tuito da clausole, pre-­‐approvate e compliant alla norma?va di riferimento, su cui impostare i nuovi contraC per le aCvità esternalizzate della Banca Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
38
1. Policy di Esternalizzazione 1.a Framework di revisione contra^uale Business Case
1.b Template Contra^uale Standard 2. Policy di Exit Strategy 2. Aggiornamento contra\ fornitori FOI 2. La Policy di Exit Strategy
A supporto della Policy di Esternalizzazione, è stata predisposta una policy volta ad iden?ficare le linee guida per la corre9a ges(one della strategia di uscita di funzioni, servizi e/o aCvità aziendali esternalizzate del sistema informa?vo (outsourcing). La policy prende in considerazione le varie fasi del ciclo di vita del servizio esternalizzato, a par?re dalla prima negoziazione/stesura del contra9o fino al trasferimento del servizio verso una nuova terza parte o alla reinternalizzazione FASE 1 – Definizione aspeN contraTuali Ciclo di vita del servizio Negoziazione FASE 2 – Monitoraggio e revisione Ges(one della terza parte Ÿ  Selezione del fornitore (RfP/RfQ) Ÿ  Definizione degli aspeC contra9uali lega? al servizio Ÿ  Negoziazione dei termini e degli aspeC economici Ÿ  ACvazione del servizio (erogazione) Ÿ  Monitoraggio SLA Ÿ  Monitoraggio andamento Ÿ  Monitoraggio cos? Ÿ  Ges?one inciden? FASE 3 – Valutazione uscita (Approaching exit) Valutazione driver cambiamento FASE 4 – Ges@one dell'uscita (Managing exit) Ges(one transizione t del servizio (verso altra terza parte o reinternalizzazione) Ÿ  Decisione di analisi e valutazione dell'exit Ÿ  Predisposizione business case Ÿ  Predisposizione dell'Exit Plan Ÿ  Decisione di ricorso all'exit Ÿ  Periodo di parallelo Ÿ  ... Ÿ  Predisposizione migrazione /
assistenza al trasferimento Ÿ  Validazione nuovo modello di servizio Ÿ  … Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
39
1. Policy di Esternalizzazione Business Case
1.a Framework di revisione contra^uale 1.b Template Contra^uale Standard 2. Policy di Exit Strategy 2. Aggiornamento contra\ fornitori FOI 3. L’aggiornamento dei contratti FOI
Con l’obieCvo di applicare quanto previsto a livello metodologico e di rispondere entro la data di efficacia all’adeguamento dei contraC rilevan? di esternalizzazione, sono sta? defini(/
revisiona( 13 contra\ FOI. Tra ques? i contraC con: Ÿ  SEC Servizi, il principale outsourcer del Sistema Informa?vo della Banca Ÿ  Telecom Italia, il principale fornitore di rete e sicurezza infrastru9urale Ÿ  i maggiori fornitori di Servizi Opera(vi Ÿ  i principali fornitori di recupero credi( Ÿ  i fornitori dei sistemi di informazioni credi(zie Ÿ  i fornitori di accesso ai merca( Framework di revisione contraTuale Partendo dall’applicazione della checklist, si sono iden?fica? per ogni contra9o i principali gap da colmare/indirizzare nella revisione e successiva negoziazione con il fornitore Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
40
Domande…
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
41
Grazie per l’attenzione!
Riferimenti per contatti:
Luca Lazzaretto
[email protected]
Rosangela D'Affuso
[email protected]
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
29.4.2015 - Padova - ISACA VENICE Chapter
42