11° Aggiornamento delle

Transcript

11° Aggiornamento delle
«Disposizioni di vigilanza per le
banche»: un nuovo rapporto tra
Banca ed Outsourcer?
Lunedì 23 novembre 2015
Cattolica Assicurazioni
Verona
1
Cedacri in una slide
CEDACRI IN NUMERI
Gestione completa del sistema
informativo bancario:
■ Soluzioni applicative
■ Infrastruttura tecnologica (HW, SW di
base, network)
■ Help desk e presidio
applicativo/funzionale
■ System Integration
Business Proces Outsourcing:
■ Back Office bancari
■ Supporto ai canali (Call Center
clienti/dipendenti)
■ Smaterializzazione e Gestione
documentale
■ Stampa e postalizzazione
Piattaforma di near-shoring in Moldova:
■ Servizi di BPO
■ Sviluppi Software
23/11/2015
ISACA VENICE Chapter
■
■
■
■
■
■
■
■
1.400 dipendenti
> 150 Clienti tra banche,
istituzioni finanziarie,
aziende industriali e di
servizi
> 255 Mln di fatturato
Consolidato di Gruppo
2.700 sportelli gestiti
30.000 Mips di potenza
elaborativa Mainframe
4.000 Server
33.000 utenti utilizzatori
del Sistema
50 milioni di transazioni
gestite giornalmente
Circa il 10% del sistema
bancario italiano è attestato
su Cedacri (*)
(*) Rif: masse intermediate
Fonte: Bilanci 2013
2
Le certificazioni di Cedacri
UNI EN ISO 9001:2008 – Sistema di Gestione Qualità
UNI CEI ISO/IEC 27001:2013 – Sistema di Gestione della Sicurezza
Campo di applicazione: Progettazione, sviluppo, manutenzione e gestione in outsourcing di
sistemi informativi, ASP, Facility management, Firma Digitale, Posta Elettronica Certificata,
Servizi di formazione e consulenza organizzativa in ambito bancario, Disaster Recovery.
ISO/IEC 20000-1:2011 – Information technology -- Service management
Scope: “The Information Technology Service Management System of CEDACRI supporting the
provision of Application and Infrastructure Management and Maintenance services to Banking
and Financial Institutions and to other external customers”.
ISAE 3402 TYPE TWO
Attestazione dell’effettivo funzionamento del sistema dei controlli operanti sui processi
aziendali relativi ai servizi di outsourcing.
PCI DSS – Payment Card Industry Data Security Standard
Certificazione richiesta dai Circuiti Internazionali di gestione delle carte che richiede il rispetto
dei requisiti (più di 200 da rispettare tassativamente) necessari per garantire la sicurezza dei dati
dei titolari di carte di credito/debito.
Certification Authority
Posta Elettronica Certificata
Certificatore Accreditato e Gestore Certificato da DigitPA - Ente Nazionale per la Digitalizzazione
della Pubblica Amministrazione.
TIER III – Continuità del business (alimentazione elettrica, condizionamento, resistenza agli
eventi naturali)
Attestazione di conformità dei data center ai requisiti “Tier Performance Standards” del
documento “White Paper – Tier Classification Define Site Infrastructure Performance”
pubblicato dall’Uptime Institute.
23/11/2015
3
La normativa applicabile
agli outsourcer
4
L’evoluzione normativa
11°Aggiornamento Circolare n. 285 del 17 dicembre 2013 «Disposizioni di
vigilanza per le banche»
La norma fornisce un quadro regolamentare all’interno del quale porre i rapporti
tra Banche e fornitori, in primis gli outsourcer informatici, a cui è richiesto un
significativo sforzo di integrazione con i processi delle Banche (vedi analisi del
rischio ICT).
D. Lgs. 12 maggio 2015, n. 72
Il decreto, che ha recepito la direttiva CRD IV, ha introdotto nel T.U.B. e nel
T.U.F., inter alia, significative novità relative alla disciplina dei fornitori di servizi
essenziali o importanti esternalizzati dagli intermediari, attribuendo alla Banca
d’Italia diretti poteri di vigilanza su tali entità.
Sanzioni e procedura sanzionatoria amministrativa (Documento per la
consultazione)
I destinatari della norma comprendono «i soggetti ai quali sono state
esternalizzate funzioni aziendali essenziali o importanti.»
23/11/2015
5
L’evoluzione normativa
Dal punto di vista ICT, la normativa
rende evidenti e sistematici una serie
di requisiti già conosciuti ed
affrontati nell’ambito delle attività di
IT Governance, in precedenza
richiesti direttamente dai Clienti,
suggeriti dai framework di controllo
o imposti dalle certificazioni adottate
nel tempo.
Banca
23/11/2015
La normativa, pur essendo
indirizzata alle Banche, ha
impatto anche sull’outsourcer il
cui ruolo non è più quello di
mero fornitore di servizi.
Ciò implica una maggiore
interrelazione tra le Banche ed il
proprio outsourcer, che quindi
dovrà evolvere per poter
rispondere in modo coerente
alle richieste di natura
normativa.
La Banca deve diventare un po’ Outsourcer…
…l’Outsourcer deve diventare un po’… Banca
Outsourcer
6
Punti di attenzione
LEGGENDO PER LA PRIMA VOLTA IL DOCUMENTO IN
CONSULTAZIONE CHE HA PORTATO AL 15° AGGIORNAMENTO
DELLA CRIC. 263 (POI CONFLUITA NELLA CIRC. 285) CI È SEMBRATO
CHE
L’OUTSOURCING
VENISSE
VISTO
TUTTO
SOMMATO
NEGATIVAMENTE, E CI SONO SORTE ALCUNE DOMANDE:
• PER BANCA D’ITALIA ESTERNALIZZARE È UN VANTAGGIO O NO?
• QUALE È IL CRITERIO CHE MI PORTA A SCEGLIERE TRA
SOLUZIONE INTERNA ED ESTERNA?
• E QUALE È IL CRITERIO DA SEGUIRE PER SCEGLIERE TRA
OUTSOURCER DIVERSI?
IN ULTIMA ANALISI:
• L’ESTERNALIZZAZIONE AUMENTA O DIMINUISCE IL RISCHIO PER
L’INTERMEDIARIO?
7
Punti di attenzione
• Parte I – Recepimento in
Italia della CRD IV
• Titolo IV - Governo
societario, controlli interni,
gestione dei rischi
• Capitolo 3 – Il sistema dei
controlli interni
• Sezione IV –
Esternalizzazione di
funzioni aziendali
(outsourcing) al di fuori del
gruppo bancario
Il punto di vista
dell’outsourcer
1. Principi generali e requisiti particolari
Le banche che ricorrono all’esternalizzazione di
funzioni aziendali presidiano i rischi derivanti dalle
scelte effettuate e mantengono la capacità di controllo
e la responsabilità sulle attività esternalizzate nonché le
competenze tecniche e gestionali essenziali per reinternalizzare, in caso di necessità, il loro svolgimento.
Pur non ritenendo l’esternalizzazione un processo
irreversibile non è possibile trascurare il fatto che
un’eventuale re-internalizzazione dei servizi
comporterebbe maggiori costi per le banche;
sembrerebbe più realistico porre maggior enfasi sui
processi di controllo dell’operato dell’outsourcer,
prevedendo anche accertamenti ispettivi da parte delle
banche clienti, se non direttamente da parte della
Vigilanza stessa.
8
Punti di attenzione
Italia della CRD IV
gestione dei rischi
controlli interni
• Sezione IV –
Esternalizzazione di
funzioni aziendali
(outsourcing) al di fuori del
gruppo bancario
Il punto di vista
dell’outsourcer
Sono inoltre previste clausole risolutive espresse che
consentano alla banca di porre termine all’accordo di
esternalizzazione in presenza di eventi che possano
compromettere la capacità del fornitore di garantire il
servizio oppure quando si verifichi il mancato rispetto
del livello di servizio concordato.
La formulazione utilizzata, interpretata letteralmente,
risulta estremamente penalizzante per gli outsourcer;
inoltre è scarsamente applicabile nel caso il Cliente
abbia una partecipazione azionaria nel centro servizi.
Sarebbe opportuno limitare tale previsione ai casi nei
quali il mancato rispetto del livello di servizio si verifichi
in modo generalizzato, grave e continuo e, soprattutto,
con impatto rilevante sul business della Banca.
9
Punti di attenzione
Italia della CRD IV
gestione dei rischi
controlli interni
• Sezione V – Il RAF, il
sistema dei controlli interni
e l’esternalizzazione nei
gruppi bancari
Il punto di vista
dell’outsourcer
3. Comunicazioni alla Banca centrale europea o alla
Banca d’Italia
Le banche che intendono esternalizzare, in tutto o in
parte, lo svolgimento di funzioni operative importanti o
di controllo ne danno comunicazione preventiva alla
Banca d’Italia. La comunicazione, corredata di tutte le
indicazioni utili a verificare il rispetto dei criteri indicati
nella presente Sezione, è effettuata almeno 60 giorni
prima di conferire l’incarico e specifica le esigenze
aziendali che hanno determinato la scelta. Entro 60
giorni dal ricevimento della comunicazione la Banca
d’Italia può avviare un procedimento amministrativo
d’ufficio di divieto dell’esternalizzazione che si conclude
entro 60 giorni.
Non risulta chiara la motivazione per cui venga
richiesta una autorizzazione per l’esternalizzazione e
non per la re-internalizzazione, come se quest’ultima
non presentasse rischi. Inoltre anche il cambio di
outsourcer dovrebbe essere sottoposto a verifica della
Vigilanza.
10
Punti di attenzione
• Parte Prima – Recepimento
in Italia della CRD IV
• Titolo IV – Governo
societario, controlli interni
e gestione dei rischi
• Capitolo 4 – Il sistema
informativo
• Sezione VI –
L’esternalizzazione del
sistema informativo
Il punto di vista
dell’outsourcer
1. Tipologie di esternalizzazione
Nell’elaborazione del modello architetturale e delle
strategie di esternalizzazione vanno considerati
approcci tesi a contenere, per quanto possibile, il
grado di dipendenza da specifici fornitori e partner
tecnologici esterni al gruppo bancario (c.d. vendor
lock-in), salvaguardando la possibilità di sostituire
la fornitura con un’altra funzionalmente equivalente
(ad es., privilegiando il ricorso a standard aperti per
le connessioni, la memorizzazione e lo scambio di
dati, la cooperazione applicativa) e prevedendo
opportune exit strategies.
Tale previsione risulta onerosa e tecnicamente di
difficile applicazione nel caso di full outsourcing;
rappresenta un reale ostacolo alla esternalizzazione di
qualsiasi attività e, soprattutto, espone gli outsourcer al
rischio di un’estrema volatilità dei propri clienti con
conseguente difficoltà nel programmare investimenti
nel medio periodo. Andrebbe limitata ad alcune
componenti strumentali che effettivamente hanno la
natura di fungibilità tra di loro.
11
L’attestazione ISAE 3402…
ma non solo
12
Come dimostrare la compliance?
LA CERTIFICAZIONE ISAE 3402
1. Avere evidenza della attività di vigilanza sull’outsourcer, come richiesto da
Banca d’Italia;
2. Poter fornire ai revisori esterni uno strumento richiesto dalle normative vigenti
come attestazione sul Sistema di Controllo Interno (richiesto alle Banche che
devono essere conformi alla Legge sul Risparmio o al Sarbanes-Oxley Act);
3. Rendere disponibile ai revisori di bilancio l’evidenza dei controlli in essere al
fine di individuare il corretto approccio di audit (eventuali carenze nei controlli
automatici di sistema impongono maggiori attività di test sul campo: control
approach vs substantive approach);
4. Razionalizzare le attività di audit eseguite presso l’outsourcer sostenendo
minori costi, raggiungendo una maggiore profondità di analisi e riducendo
l’impatto sulla struttura Cedacri;
5. Ricevere informazioni circa il processo di continuo miglioramento dei processi
interni Cedacri e del costante innalzamento del livello di sicurezza posto a
salvaguardia del patrimonio informativo.
MA È SUFFICIENTE?
23/11/2015
13
Sistema di controlli interni (SCI)
Ambiti di attestazione
23/11/2015
ISAE 3402
GITC
ISAE 3402 – General IT Controls
Emissione di una relazione che attesti l'efficacia
operativa dei GITC (General IT Controls) sui processi
di gestione ed erogazione dei servizi di full
outsourcing in ambito "financial reporting".
DESTINATATARI: Banche clienti e loro revisori
ISAE 3000
285 BdI
ISAE3000 - Sistema di controlli interni Circ.285
(Cap 3-4)
Emissione di una relazione che attesti il rispetto dei
requisiti posti dal Regolatore agli outsourcer; l’attività
ha come perimetro gli aspetti organizzativi, documentali
ed operativi così come richiesto dalla norma.
Tale relazione è finalizzata a rispondere pienamente
alle esigenze di Cedacri e integra al suo interno i
risultati delle attività di controllo ISAE 3402.
DESTINATATARI: Banche clienti e clienti potenziali
14
Il report ISAE 3402
Descrizione
Sezioni Report ISAE 3402
I
Relazione del revisore
indipendente
Il report include una opinion che indica se i controlli di Cedacri siano:
• descritti in maniera accurata;
• disegnati in maniera tale da soddisfare gli obiettivi di controllo;
• implementati ed efficacemente operativi.
II Management
Assertion e
descrizione dei
controlli e dei criteri
Nella sezione II, redatta dal management Cedacri, sono riportate:
• overview delle operazioni gestite per conto dei Clienti;
• descrizione degli obiettivi di controllo e i relativi controlli;
• descrizione dei criteri usati per valutare i controlli;
• descrizione degli aspetti rilevanti del COSO Model (Control
Environment, Risk Assessment, Information and Communication, and
Monitoring);
• dichiarazione scritta sui controlli (Management Assertion).
III Test dell’efficacia
operativa dei controlli
La Sezione III contiene il narrative dei controlli oggetto di verifica con le
valutazioni del disegno, dell'implementazione e dell'efficacia durante tutto il
periodo di riferimento.
IV Altre informazioni
Considerazioni sul controllo esercitato dalle organizzazioni utenti.
Attestazione
ISAE 3402
Cedacri, al fine di fornire alle Banche clienti e ai loro
revisori l’evidenza dell'effettivo funzionamento (disegno
ed efficacia) dei propri controlli ("General Computer
Controls" o "General IT Controls") nel periodo di
riferimento predispone una
relazione ISAE 3402 di tipo II.
15
COBIT 5
Al fine di favorire il continuo allineamento dei processi di Cedacri alle best
practice di settore, l’attività di attestazione viene svolta con l’utilizzo della
metodologia Cobit versione 5.
A partire dai 37 processi mappati sui 5 domini Cobit e
dal perimetro 2014, è stata eseguita una revisione del
set di processi, obiettivi di controllo e attività di
controllo che costituiranno il perimetro di attestazione
ISAE Cedacri.
DISTRIBUZIONE DEI PROCESSI PER DOMINIO
Align, Plan and
Organse
Al fine di rivedere, a partire dal perimetro 2014, il
sottoinsieme di processi Cobit5, è stato creato un
cruscotto informativo che consentisse di mettere
in relazione il framework Cobit con altri framework e
normative di settore (Information
governance/Security).
Nelle slide successive verrà illustrato l'approccio
utilizzato per l'assessment di revisione dei processi
del framework Cobit nel perimetro di attestazione
Cedacri.
23/11/2015
Deliver, Service
and Support
5
Evaluate,
Direct and
Monitor
10
Build, Acquire
and Implement
13
6
3
Monitor,
Evaluate
and assess
16
Il punto di partenza
Processi 2014
Dall'analisi dei processi del perimetro di attestazione
2014 è stata rilevata la presenza di:
27 processi Cobit5 in scope
80 Number of Controls (NOC) Cedacri e
210 Control activities mappati sui NOC
27
7 dominio APO (Pianificazione ed Organizzazione)
9 dominio BAI (Realizzazione)
6 dominio DSS (Erogazione)
2 dominio EDM (Governo)
3 dominio MEA (Controllo)
3
1
9
14
BAI08 Manage knowledge.
APO02 Manage strategy.
BAI09 Manage assets.
APO05 Manage Portfolio.
BAI10 Manage configuration.
APO06 Manage budget and costs.
DSS01 Manage operations.
APO09 Manage service agreements.
DSS02 Manage service requests and incidents.
APO10 Manage suppliers.
DSS03 Manage problems.
APO12 Manage risk.
DSS04 Manage continuity.
APO13 Manage security.
DSS05 Manage security services.
BAI01 Manage programmes and projects.
BAI03 Manage solutions identification and build.
BAI04 Manage availability and capacity.
BAI05 Manage organisational change enablement.
BAI06 Manage changes.
BAI07 Manage change acceptance and transitioning.
23/11/2015
DSS06 Manage business process controls.
EDM02 Ensure benefits delivery.
EDM03 Ensure risk optimisation.
MEA01 Monitor, evaluate and assess performance and conformance.
MEA02 Monitor, evaluate and assess the system of internal control.
MEA03 Monitor, evaluate and assess compliance with external
requirements.
17
La mappatura dei processi
Processi
rilevanti SOX
2
18 processi
previsti da
framework
16
Processi
285 nel
perimetro
Perimetro ISAE3402
SOX
30 processi
Cobit a
copertura dei
requisiti
Circ. 285
Processi Cobit5 for SOX
ISAE 3402 – General IT Controls
Emissione di una relazione che attesti, nel periodo di
riferimento, l'efficacia operativa dei General IT Controls sui
processi di gestione ed erogazione dei servizi Cedacri di full
outsourcing in ambito "financial reporting" (18 processi
Cobit5 e relative Management Practice Cedacri).
ISAE3000 - Sistema di controlli interni Circ.285 (Cap
3-4)
Emissione di una relazione che attesti, nel periodo di
riferimento, il rispetto dei requisiti posti dal Regolatore agli
outsourcer; l’attività ha come perimetro gli aspetti
organizzativi, documentali ed operativi (efficacia dei controlli)
così come richiesto dalla norma (30 processi Cobit5 e
relative Management Practice Cedacri).
23/11/2015
18
Processi Cobit5 rilevanti ai fini 285
30
5 dominio EDM (Governo)
18
Il report ISAE 3000
ISAE 3000
Assurance Engagements Other Than Audits or Reviews of Historical Financial Information
Gli Assurance Engagements Other Than Audit sono incarichi diversi dalla revisione o dalla review di
dati storici di natura finanziaria.
Essi comprendono una vasta gamma di possibili incarichi relativi a diversi aspetti, con diversi gradi di
“assurance” e diverse procedure per ottenere “comfort”.
L’ISAE 3000 è lo standard applicabile a tutti gli engagement per i quali non esista uno standard
specifico
L’ISAE 3000 non tratta come svolgere uno specifico engagement, ma tratta l’approccio generale da
adottare e i requisiti minimi da rispettare.
Per tali incarichi si esprime una conclusione di natura positiva(“reasonable”) o di natura negativa
(“limited assurance”) su un determinato aspetto (subject matter) usando dei criteri di misurazione
adeguati.
La “subject matter” può avere diverse forme:
• Performance o aspetti finanziari
• Performance o aspetti non finanziari (ie: indicatori di efficacia o efficienza)
• Caratteristiche fisiche (ie: informazioni contenute in specifiche)
• Sistemi e processi (efficacia )
• Comportamenti ( compliance )
Deve essere emesso un report scritto, basandosi su una sufficiente ed adeguata evidenza.
19
Attestazione ISAE 3000
Analisi dello scope 285 in relazione ai processi
Cobit5 necessari a rispondere ai requisiti della
Circolare 285, relativamente ai cap. 3 e 4.
Il perimetro ISAE3000 prevede:
30 Processi
Sono stati considerati tutti i processi SOX
reliant e 285 reliant; le considerazioni a
supporto sono riportate nelle slide
successive.
Scomposizione in
sezioni e paragrafi
Cap. 3 – 4 Circ. 285
BdI
117 Management Practice Cedacri
219 Control Activities Cedacri
L'analisi dei requisiti previsti dalla circolare 285, e in
dettaglio dei capitoli 3 e 4 è stata eseguita
attraverso un mapping con i processi Cobit5,
secondo quanto definito dalla AIEA
23/11/2015
285 Mapping pesato con
i processi/attività Cobit5
Definizione SCI (Sistema
di Controllo Interno)
copertura dei requisiti
della Circ.285
20
Attestazione ISAE 3000 - considerazioni
L'analisi del nuovo perimetro ISAE, ha consentito l'identificazione di alcuni processi Cobit5 che necessitano
specifica associazione a Management Practice Cedacri.
In particolare, tali processi (APO03, APO07, EDM01, EDM04 e EDM05) si riferiscono ai seguenti punti
della norma:
Capitolo 3 della
Circolare
Cap. 4 La sicurezza
delle informazioni e
delle risorse ICT
Cap1.
Premessa
Sez. V
Cap.1 Premessa
Cap. 2 Compiti dell’organo con
funzione di supervisione
strategica
Cap. 3 Compiti dell’organo con
funzione di gestione
Cap. 4 Organizzazione della
funzione ICT
Sez. IV
Sez. II
Sez. I
Premessa
Analisi dei processi con Cruscotto
A partire dal cruscotto abbiamo analizzato nel dettaglio quali
management practice Cobit5 sono riferite ai singoli paragrafi della
Circ. 285, al fine di delineare un perimetro completo ISAE3000 Cobit5
based.
23/11/2015
21
Attestazione ISAE 3000 - considerazioni
I processi EDM01 - Manage the IT Management Framework, EDM04 - Ensure Resource Optimisation e
EDM05 - Ensure Stakeholder Transparency sono stati considerati nello scope poiché si riferiscono ad
argomenti di Governance inseriti e specificati dalla Circ. 285 di BdI.
L'introduzione di questi processi ha generato l'aumento delle Management Practice Cedacri
Analisi del processo APO03 - Manage Enterprise Architecture e del processo APO07 - Manage Human Resources
Attraverso l'utilizzo del cruscotto abbiamo individuato le management practice (MP) Cobit5 relative ai processi APO03 e
APO07 collegati allo specifico paragrafo della Circ. 285 (Sez.1, Premessa e Sez.IV La sicurezza delle informazioni e delle
risorse ICT).
Le MP sono state analizzate singolarmente e confrontate con le attività richieste dalla Circolare di Banca d'Italia. L'analisi ha
portato all'esclusione dei processi APO03 e APO07 poiché le attività richieste dalla Circolare collegata ad essi sono state
coperte da altri processi Cobit5 già in scope.
 Già in scope
APO03
 BAI03 - Manage solutions
identification and build
APO07
 BAI08 - Manage knowledge
 DSS04 - Manage continuity
 BAI08 - Manage knowledge
 Già in scope
23/11/2015
22
Copertura finale
ISAE3402
• 18 Processi
• 82
Management
Practice
Cedacri
• 168 Control
Activites
Cedacri
2 processi
APO11 Manage Quality
BAI10 Manage Configuration
16 processi
APO01 Manage the IT Management DSS01 Manage Operations
Framework
DSS02 Manage Service Requests
APO02 Manage Strategy
and Incidents
APO09 Manage Service Agreements DSS03 Manage Problems
APO10 Manage Suppliers
DSS04 Manage Continuity
APO13 Manage Security
DSS05 Manage Security Services
BAI02 Manage Requirements
DSS06 Manage Business Process
Definition
Controls
BAI03 Manage Solutions Identification MEA02 Monitor, Evaluate and Assess
and Build
the System of Internal Control
BAI06 Manage Changes
BAI07 Manage Change Acceptance
and Transitioning
Financial reporting
Circolare 285 BdI (Cap. 8 – 9)
Processi Cobit5 for SOX
12 processi
ISAE3000
• 30 Processi
• 117
Management
Practice
Cedacri
• 219 Control
Activites
Cedacri
APO12 Manage Risk
BAI01 Manage Programmes and
Projects
BAI04 Manage Availability and
Capacity
BAI08 Manage Knowledge
BAI09 Manage Assets
EDM01 Manage the IT Management
Framework
EDM02 Ensure Benefits Delivery
EDM03 Ensure Risk Optimisation
EDM04 Ensure Resource
Optimisation
EDM05 Ensure Stakeholder
Transparency
MEA01 Monitor, Evaluate and Assess
Performance and Conformance
MEA03 Monitor, Evaluate and Assess
Compliance with External
Requirements
Processi Cobit5 for Circ. 285
23/11/2015
23
Gli strumenti di supporto
Il cruscotto consente di individuare quali processi
Cobit5 (e anche Cobit 4.1) sono rilevanti ai fini
SOX, ISO27001:2013, ITIL, Circ. 285 BdI o
Cybersecurity.
Il tool consente di arrivare ad un adeguato livello
dettaglio in termini di:
- Management Practice del Cobit5
- Capitolo e Annex della Norma ISO 27001
- Sezione e attività di dettaglio della Circ. 285 BdI
- Sottocategoria Cybersecurity
E' in questo modo possibile individuare specifiche
coperture di un processo o management practice
Cobit5 di una specifica norma attraverso dei report
sintetici
Il cruscotto consente di analizzare i processi considerando il livello di
copertura che gli stessi danno sulle normative/framework di settore
(es. 285 BdI)
23/11/2015
La mappa dei framework realizzata è stata relazionata
agli obiettivi di controllo Cedacri a partire dalla
mappatura in essere nel 2014.
L'analisi volta all'analisi critica del perimetro ha tenuto
conto di 2 Driver:
- Processi Cobit reliant for SOX, ovvero rilevanti ai
fini del Bilancio (sulla base delle indicazioni estratte
dal documento Obiettivi di controllo IT per il
Sarbanes-Oxley Act, Il ruolo dell'IT nel progetto e
nell'implementazione dei controlli interni per la
predisposizione del reporting finanziario, LUGLIO
2007 - Traduzione Italiana a cura di AIEA);
- Processi Cobit rilevanti ai fini 285, ovvero rilevanti
ai fini dei requisiti definiti dalla circolare BdI 285 (a
partire dalla mappatura effettuata dalla AIEA, nei
documenti di analisi della Circ. 263 BdI, 3 Agosto
2014 e successive revisioni)
e
L'analisi condotta ha avuto l'obiettivo di ridefinire
il numero di controlli e le control activities Cobit5
al fine di coprire i requisiti SOX e quelli della
Circ.285 con le attività di controllo caratteristiche
di Cedacri
24
Assessment della funzione IA
La fase di Quality Assuranca Review (QAR) della funzione di Internal Audit, finalizzata alla
valutazione della professionalità e indipendenza della funzione, prevede l'utilizzo di una
metodologia proprietaria del Revisore
La metodologia ingloba tutti gli aspetti generali
dell’organizzazione e della gestione della funzione
Internal Audit.
Secondo tale metodologia, la Funzione ed i processi
oggetto dell’incarico sono stati analizzati a partire da tre
attributi, riconosciuti dall’Institute of Internal Auditors,
attinenti ai temi di gestione:
Posizionamento della Funzione all’interno dell’organizzazione: la Funzione Internal Audit è
posizionata strategicamente per contribuire al raggiungimento degli obiettivi di business?
Risorse umane (Persone) che compongono la Funzione: la Funzione Internal Audit ha
un’adeguata strategia di risorse per perseguire la propria mission e raggiungere i propri
obiettivi?
Processi di cui si avvale la Funzione per svolgere le proprie attività: i processi
di internal auditing consentono di perseguire e di soddisfare i bisogni del
business?
23/11/2015
25
Assessment della funzione IA
Le analisi si focalizzeranno sui seguenti ambiti:
 collocazione organizzativa e valutazione del grado
di indipendenza della funzione Internal Audit;
 mandato dell’Internal Audit (Audit Charter);
 processo di risk assessment a supporto dei piani di
audit;
 modalità di definizione e di approvazione del piano
di audit;
 processo di auditing, anche con riferimento agli
Standard Internazionali per la Pratica Professionale
del Institute of Internal Audit (IIA);
 processi di gestione delle risorse e delle attività
svolte dalla funzione Internal Audit.
Interviste con personale IA
 Interviste con il personale
dell’Internal Audit
 Valutazione preliminare degli
indicatori chiave (KPI) dell’attività
di internal auditing
Verifica dell’attività di internal auditing
 Analisi del mandato della funzione di IA
 Verifica dell’attività di internal auditing
rispetto agli standard IIA e al Codice
Deontologico
 Analisi dei processi operativi della
Funzione
attraverso
l’esame,
a
campione, degli incarichi di audit
 Individuazione
delle
aree
di
miglioramento
Analisi dei KPI
 Calcolo dei KPI della Funzione
IA
 Analisi dei KPI individuati e
confronto con il benchmark di
riferimento
26
Grazie per l’attenzione!
Stefano Arduini
Responsabile Internal Auditing di Gruppo
www.cedacri.it
-------------------------------------------------------Mobile: +39 335 6476855
Tel: +39 0521 807075
Fax: +39 0521 807901
Email: [email protected]
PEC: [email protected]
-------------------------------------------------------Società di capitali : Cedacri S.p.A.
Sede legale: Via del Conventino 1 – 43044 Collecchio (PR)
Partita Iva: 00432960342
Registro delle Imprese presso il quale la società risulta Iscritta: Parma
Numero di iscrizione presso il Registro delle Imprese: 128475 dal 23/04/1976
Capitale Sociale nella somma versata e quale risulta esistente dall’ultimo bilancio: 12.609.000, 00 Euro
23/11/2015
27

11° Aggiornamento delle

Transcript

Documenti analoghi

Maturity Assessment Tool

regolamento nominating committee

Introduzione ai sistemi di controllo interno

Fondaco dei Tedeschi is reborn as La Fenice, in Venice, Venezia

Aron Rodrigue (Stanford University) Reflections on the History and

Piattaforma di Sportello

trova eventi

20160415_02_Taiariol_IT audit nel gruppo Benetton

Inglese - IIS "Fabio Besta" Orte

Company profile industry

Le soluzioni per le aziende industriali e di servizi