11° Aggiornamento delle
Transcript
11° Aggiornamento delle
11° Aggiornamento delle «Disposizioni di vigilanza per le banche»: un nuovo rapporto tra Banca ed Outsourcer? Lunedì 23 novembre 2015 Cattolica Assicurazioni Verona 1 Cedacri in una slide CEDACRI IN NUMERI Gestione completa del sistema informativo bancario: ■ Soluzioni applicative ■ Infrastruttura tecnologica (HW, SW di base, network) ■ Help desk e presidio applicativo/funzionale ■ System Integration Business Proces Outsourcing: ■ Back Office bancari ■ Supporto ai canali (Call Center clienti/dipendenti) ■ Smaterializzazione e Gestione documentale ■ Stampa e postalizzazione Piattaforma di near-shoring in Moldova: ■ Servizi di BPO ■ Sviluppi Software 23/11/2015 ISACA VENICE Chapter ■ ■ ■ ■ ■ ■ ■ ■ 1.400 dipendenti > 150 Clienti tra banche, istituzioni finanziarie, aziende industriali e di servizi > 255 Mln di fatturato Consolidato di Gruppo 2.700 sportelli gestiti 30.000 Mips di potenza elaborativa Mainframe 4.000 Server 33.000 utenti utilizzatori del Sistema 50 milioni di transazioni gestite giornalmente Circa il 10% del sistema bancario italiano è attestato su Cedacri (*) (*) Rif: masse intermediate Fonte: Bilanci 2013 2 Le certificazioni di Cedacri UNI EN ISO 9001:2008 – Sistema di Gestione Qualità UNI CEI ISO/IEC 27001:2013 – Sistema di Gestione della Sicurezza Campo di applicazione: Progettazione, sviluppo, manutenzione e gestione in outsourcing di sistemi informativi, ASP, Facility management, Firma Digitale, Posta Elettronica Certificata, Servizi di formazione e consulenza organizzativa in ambito bancario, Disaster Recovery. ISO/IEC 20000-1:2011 – Information technology -- Service management Scope: “The Information Technology Service Management System of CEDACRI supporting the provision of Application and Infrastructure Management and Maintenance services to Banking and Financial Institutions and to other external customers”. ISAE 3402 TYPE TWO Attestazione dell’effettivo funzionamento del sistema dei controlli operanti sui processi aziendali relativi ai servizi di outsourcing. PCI DSS – Payment Card Industry Data Security Standard Certificazione richiesta dai Circuiti Internazionali di gestione delle carte che richiede il rispetto dei requisiti (più di 200 da rispettare tassativamente) necessari per garantire la sicurezza dei dati dei titolari di carte di credito/debito. Certification Authority Posta Elettronica Certificata Certificatore Accreditato e Gestore Certificato da DigitPA - Ente Nazionale per la Digitalizzazione della Pubblica Amministrazione. TIER III – Continuità del business (alimentazione elettrica, condizionamento, resistenza agli eventi naturali) Attestazione di conformità dei data center ai requisiti “Tier Performance Standards” del documento “White Paper – Tier Classification Define Site Infrastructure Performance” pubblicato dall’Uptime Institute. 23/11/2015 ISACA VENICE Chapter 3 La normativa applicabile agli outsourcer ISACA VENICE Chapter 4 L’evoluzione normativa 11°Aggiornamento Circolare n. 285 del 17 dicembre 2013 «Disposizioni di vigilanza per le banche» La norma fornisce un quadro regolamentare all’interno del quale porre i rapporti tra Banche e fornitori, in primis gli outsourcer informatici, a cui è richiesto un significativo sforzo di integrazione con i processi delle Banche (vedi analisi del rischio ICT). D. Lgs. 12 maggio 2015, n. 72 Il decreto, che ha recepito la direttiva CRD IV, ha introdotto nel T.U.B. e nel T.U.F., inter alia, significative novità relative alla disciplina dei fornitori di servizi essenziali o importanti esternalizzati dagli intermediari, attribuendo alla Banca d’Italia diretti poteri di vigilanza su tali entità. Sanzioni e procedura sanzionatoria amministrativa (Documento per la consultazione) I destinatari della norma comprendono «i soggetti ai quali sono state esternalizzate funzioni aziendali essenziali o importanti.» 23/11/2015 ISACA VENICE Chapter 5 L’evoluzione normativa Dal punto di vista ICT, la normativa rende evidenti e sistematici una serie di requisiti già conosciuti ed affrontati nell’ambito delle attività di IT Governance, in precedenza richiesti direttamente dai Clienti, suggeriti dai framework di controllo o imposti dalle certificazioni adottate nel tempo. Banca 23/11/2015 La normativa, pur essendo indirizzata alle Banche, ha impatto anche sull’outsourcer il cui ruolo non è più quello di mero fornitore di servizi. Ciò implica una maggiore interrelazione tra le Banche ed il proprio outsourcer, che quindi dovrà evolvere per poter rispondere in modo coerente alle richieste di natura normativa. La Banca deve diventare un po’ Outsourcer… …l’Outsourcer deve diventare un po’… Banca ISACA VENICE Chapter Outsourcer 6 Punti di attenzione LEGGENDO PER LA PRIMA VOLTA IL DOCUMENTO IN CONSULTAZIONE CHE HA PORTATO AL 15° AGGIORNAMENTO DELLA CRIC. 263 (POI CONFLUITA NELLA CIRC. 285) CI È SEMBRATO CHE L’OUTSOURCING VENISSE VISTO TUTTO SOMMATO NEGATIVAMENTE, E CI SONO SORTE ALCUNE DOMANDE: • PER BANCA D’ITALIA ESTERNALIZZARE È UN VANTAGGIO O NO? • QUALE È IL CRITERIO CHE MI PORTA A SCEGLIERE TRA SOLUZIONE INTERNA ED ESTERNA? • E QUALE È IL CRITERIO DA SEGUIRE PER SCEGLIERE TRA OUTSOURCER DIVERSI? IN ULTIMA ANALISI: • L’ESTERNALIZZAZIONE AUMENTA O DIMINUISCE IL RISCHIO PER L’INTERMEDIARIO? ISACA VENICE Chapter 7 Punti di attenzione • Parte I – Recepimento in Italia della CRD IV • Titolo IV - Governo societario, controlli interni, gestione dei rischi • Capitolo 3 – Il sistema dei controlli interni • Sezione IV – Esternalizzazione di funzioni aziendali (outsourcing) al di fuori del gruppo bancario Il punto di vista dell’outsourcer 1. Principi generali e requisiti particolari Le banche che ricorrono all’esternalizzazione di funzioni aziendali presidiano i rischi derivanti dalle scelte effettuate e mantengono la capacità di controllo e la responsabilità sulle attività esternalizzate nonché le competenze tecniche e gestionali essenziali per reinternalizzare, in caso di necessità, il loro svolgimento. Pur non ritenendo l’esternalizzazione un processo irreversibile non è possibile trascurare il fatto che un’eventuale re-internalizzazione dei servizi comporterebbe maggiori costi per le banche; sembrerebbe più realistico porre maggior enfasi sui processi di controllo dell’operato dell’outsourcer, prevedendo anche accertamenti ispettivi da parte delle banche clienti, se non direttamente da parte della Vigilanza stessa. ISACA VENICE Chapter 8 Punti di attenzione • Parte I – Recepimento in Italia della CRD IV • Titolo IV - Governo societario, controlli interni, gestione dei rischi • Capitolo 3 – Il sistema dei controlli interni • Sezione IV – Esternalizzazione di funzioni aziendali (outsourcing) al di fuori del gruppo bancario Il punto di vista dell’outsourcer Sono inoltre previste clausole risolutive espresse che consentano alla banca di porre termine all’accordo di esternalizzazione in presenza di eventi che possano compromettere la capacità del fornitore di garantire il servizio oppure quando si verifichi il mancato rispetto del livello di servizio concordato. La formulazione utilizzata, interpretata letteralmente, risulta estremamente penalizzante per gli outsourcer; inoltre è scarsamente applicabile nel caso il Cliente abbia una partecipazione azionaria nel centro servizi. Sarebbe opportuno limitare tale previsione ai casi nei quali il mancato rispetto del livello di servizio si verifichi in modo generalizzato, grave e continuo e, soprattutto, con impatto rilevante sul business della Banca. ISACA VENICE Chapter 9 Punti di attenzione • Parte I – Recepimento in Italia della CRD IV • Titolo IV - Governo societario, controlli interni, gestione dei rischi • Capitolo 3 – Il sistema dei controlli interni • Sezione V – Il RAF, il sistema dei controlli interni e l’esternalizzazione nei gruppi bancari Il punto di vista dell’outsourcer 3. Comunicazioni alla Banca centrale europea o alla Banca d’Italia Le banche che intendono esternalizzare, in tutto o in parte, lo svolgimento di funzioni operative importanti o di controllo ne danno comunicazione preventiva alla Banca d’Italia. La comunicazione, corredata di tutte le indicazioni utili a verificare il rispetto dei criteri indicati nella presente Sezione, è effettuata almeno 60 giorni prima di conferire l’incarico e specifica le esigenze aziendali che hanno determinato la scelta. Entro 60 giorni dal ricevimento della comunicazione la Banca d’Italia può avviare un procedimento amministrativo d’ufficio di divieto dell’esternalizzazione che si conclude entro 60 giorni. Non risulta chiara la motivazione per cui venga richiesta una autorizzazione per l’esternalizzazione e non per la re-internalizzazione, come se quest’ultima non presentasse rischi. Inoltre anche il cambio di outsourcer dovrebbe essere sottoposto a verifica della Vigilanza. ISACA VENICE Chapter 10 Punti di attenzione • Parte Prima – Recepimento in Italia della CRD IV • Titolo IV – Governo societario, controlli interni e gestione dei rischi • Capitolo 4 – Il sistema informativo • Sezione VI – L’esternalizzazione del sistema informativo Il punto di vista dell’outsourcer 1. Tipologie di esternalizzazione Nell’elaborazione del modello architetturale e delle strategie di esternalizzazione vanno considerati approcci tesi a contenere, per quanto possibile, il grado di dipendenza da specifici fornitori e partner tecnologici esterni al gruppo bancario (c.d. vendor lock-in), salvaguardando la possibilità di sostituire la fornitura con un’altra funzionalmente equivalente (ad es., privilegiando il ricorso a standard aperti per le connessioni, la memorizzazione e lo scambio di dati, la cooperazione applicativa) e prevedendo opportune exit strategies. Tale previsione risulta onerosa e tecnicamente di difficile applicazione nel caso di full outsourcing; rappresenta un reale ostacolo alla esternalizzazione di qualsiasi attività e, soprattutto, espone gli outsourcer al rischio di un’estrema volatilità dei propri clienti con conseguente difficoltà nel programmare investimenti nel medio periodo. Andrebbe limitata ad alcune componenti strumentali che effettivamente hanno la natura di fungibilità tra di loro. ISACA VENICE Chapter 11 L’attestazione ISAE 3402… ma non solo ISACA VENICE Chapter 12 Come dimostrare la compliance? LA CERTIFICAZIONE ISAE 3402 1. Avere evidenza della attività di vigilanza sull’outsourcer, come richiesto da Banca d’Italia; 2. Poter fornire ai revisori esterni uno strumento richiesto dalle normative vigenti come attestazione sul Sistema di Controllo Interno (richiesto alle Banche che devono essere conformi alla Legge sul Risparmio o al Sarbanes-Oxley Act); 3. Rendere disponibile ai revisori di bilancio l’evidenza dei controlli in essere al fine di individuare il corretto approccio di audit (eventuali carenze nei controlli automatici di sistema impongono maggiori attività di test sul campo: control approach vs substantive approach); 4. Razionalizzare le attività di audit eseguite presso l’outsourcer sostenendo minori costi, raggiungendo una maggiore profondità di analisi e riducendo l’impatto sulla struttura Cedacri; 5. Ricevere informazioni circa il processo di continuo miglioramento dei processi interni Cedacri e del costante innalzamento del livello di sicurezza posto a salvaguardia del patrimonio informativo. MA È SUFFICIENTE? 23/11/2015 ISACA VENICE Chapter 13 Sistema di controlli interni (SCI) Ambiti di attestazione 23/11/2015 ISAE 3402 GITC ISAE 3402 – General IT Controls Emissione di una relazione che attesti l'efficacia operativa dei GITC (General IT Controls) sui processi di gestione ed erogazione dei servizi di full outsourcing in ambito "financial reporting". DESTINATATARI: Banche clienti e loro revisori ISAE 3000 285 BdI ISAE3000 - Sistema di controlli interni Circ.285 (Cap 3-4) Emissione di una relazione che attesti il rispetto dei requisiti posti dal Regolatore agli outsourcer; l’attività ha come perimetro gli aspetti organizzativi, documentali ed operativi così come richiesto dalla norma. Tale relazione è finalizzata a rispondere pienamente alle esigenze di Cedacri e integra al suo interno i risultati delle attività di controllo ISAE 3402. DESTINATATARI: Banche clienti e clienti potenziali ISACA VENICE Chapter 14 Il report ISAE 3402 Descrizione Sezioni Report ISAE 3402 I Relazione del revisore indipendente Il report include una opinion che indica se i controlli di Cedacri siano: • descritti in maniera accurata; • disegnati in maniera tale da soddisfare gli obiettivi di controllo; • implementati ed efficacemente operativi. II Management Assertion e descrizione dei controlli e dei criteri Nella sezione II, redatta dal management Cedacri, sono riportate: • overview delle operazioni gestite per conto dei Clienti; • descrizione degli obiettivi di controllo e i relativi controlli; • descrizione dei criteri usati per valutare i controlli; • descrizione degli aspetti rilevanti del COSO Model (Control Environment, Risk Assessment, Information and Communication, and Monitoring); • dichiarazione scritta sui controlli (Management Assertion). III Test dell’efficacia operativa dei controlli La Sezione III contiene il narrative dei controlli oggetto di verifica con le valutazioni del disegno, dell'implementazione e dell'efficacia durante tutto il periodo di riferimento. IV Altre informazioni Considerazioni sul controllo esercitato dalle organizzazioni utenti. Attestazione ISAE 3402 Cedacri, al fine di fornire alle Banche clienti e ai loro revisori l’evidenza dell'effettivo funzionamento (disegno ed efficacia) dei propri controlli ("General Computer Controls" o "General IT Controls") nel periodo di riferimento predispone una relazione ISAE 3402 di tipo II. ISACA VENICE Chapter 15 COBIT 5 Al fine di favorire il continuo allineamento dei processi di Cedacri alle best practice di settore, l’attività di attestazione viene svolta con l’utilizzo della metodologia Cobit versione 5. A partire dai 37 processi mappati sui 5 domini Cobit e dal perimetro 2014, è stata eseguita una revisione del set di processi, obiettivi di controllo e attività di controllo che costituiranno il perimetro di attestazione ISAE Cedacri. DISTRIBUZIONE DEI PROCESSI PER DOMINIO Align, Plan and Organse Al fine di rivedere, a partire dal perimetro 2014, il sottoinsieme di processi Cobit5, è stato creato un cruscotto informativo che consentisse di mettere in relazione il framework Cobit con altri framework e normative di settore (Information governance/Security). Nelle slide successive verrà illustrato l'approccio utilizzato per l'assessment di revisione dei processi del framework Cobit nel perimetro di attestazione Cedacri. 23/11/2015 Deliver, Service and Support ISACA VENICE Chapter 5 Evaluate, Direct and Monitor 10 Build, Acquire and Implement 13 6 3 Monitor, Evaluate and assess 16 Il punto di partenza Processi 2014 Dall'analisi dei processi del perimetro di attestazione 2014 è stata rilevata la presenza di: 27 processi Cobit5 in scope 80 Number of Controls (NOC) Cedacri e 210 Control activities mappati sui NOC 27 7 dominio APO (Pianificazione ed Organizzazione) 9 dominio BAI (Realizzazione) 6 dominio DSS (Erogazione) 2 dominio EDM (Governo) 3 dominio MEA (Controllo) 3 1 9 14 BAI08 Manage knowledge. APO02 Manage strategy. BAI09 Manage assets. APO05 Manage Portfolio. BAI10 Manage configuration. APO06 Manage budget and costs. DSS01 Manage operations. APO09 Manage service agreements. DSS02 Manage service requests and incidents. APO10 Manage suppliers. DSS03 Manage problems. APO12 Manage risk. DSS04 Manage continuity. APO13 Manage security. DSS05 Manage security services. BAI01 Manage programmes and projects. BAI03 Manage solutions identification and build. BAI04 Manage availability and capacity. BAI05 Manage organisational change enablement. BAI06 Manage changes. BAI07 Manage change acceptance and transitioning. 23/11/2015 DSS06 Manage business process controls. EDM02 Ensure benefits delivery. EDM03 Ensure risk optimisation. MEA01 Monitor, evaluate and assess performance and conformance. MEA02 Monitor, evaluate and assess the system of internal control. MEA03 Monitor, evaluate and assess compliance with external requirements. ISACA VENICE Chapter 17 La mappatura dei processi Processi rilevanti SOX 2 18 processi previsti da framework 16 Processi 285 nel perimetro Perimetro ISAE3402 SOX 30 processi Cobit a copertura dei requisiti Circ. 285 Processi Cobit5 for SOX ISAE 3402 – General IT Controls Emissione di una relazione che attesti, nel periodo di riferimento, l'efficacia operativa dei General IT Controls sui processi di gestione ed erogazione dei servizi Cedacri di full outsourcing in ambito "financial reporting" (18 processi Cobit5 e relative Management Practice Cedacri). ISAE3000 - Sistema di controlli interni Circ.285 (Cap 3-4) Emissione di una relazione che attesti, nel periodo di riferimento, il rispetto dei requisiti posti dal Regolatore agli outsourcer; l’attività ha come perimetro gli aspetti organizzativi, documentali ed operativi (efficacia dei controlli) così come richiesto dalla norma (30 processi Cobit5 e relative Management Practice Cedacri). 23/11/2015 18 6 dominio APO (Pianificazione ed Organizzazione) 5 dominio BAI (Realizzazione) 6 dominio DSS (Erogazione) 1 dominio MEA (Controllo) Processi Cobit5 rilevanti ai fini 285 30 8 dominio APO (Pianificazione ed Organizzazione) 8 dominio BAI (Realizzazione) 6 dominio DSS (Erogazione) 5 dominio EDM (Governo) 3 dominio MEA (Controllo) ISACA VENICE Chapter 18 Il report ISAE 3000 ISAE 3000 Assurance Engagements Other Than Audits or Reviews of Historical Financial Information Gli Assurance Engagements Other Than Audit sono incarichi diversi dalla revisione o dalla review di dati storici di natura finanziaria. Essi comprendono una vasta gamma di possibili incarichi relativi a diversi aspetti, con diversi gradi di “assurance” e diverse procedure per ottenere “comfort”. L’ISAE 3000 è lo standard applicabile a tutti gli engagement per i quali non esista uno standard specifico L’ISAE 3000 non tratta come svolgere uno specifico engagement, ma tratta l’approccio generale da adottare e i requisiti minimi da rispettare. Per tali incarichi si esprime una conclusione di natura positiva(“reasonable”) o di natura negativa (“limited assurance”) su un determinato aspetto (subject matter) usando dei criteri di misurazione adeguati. La “subject matter” può avere diverse forme: • Performance o aspetti finanziari • Performance o aspetti non finanziari (ie: indicatori di efficacia o efficienza) • Caratteristiche fisiche (ie: informazioni contenute in specifiche) • Sistemi e processi (efficacia ) • Comportamenti ( compliance ) Deve essere emesso un report scritto, basandosi su una sufficiente ed adeguata evidenza. ISACA VENICE Chapter 19 Attestazione ISAE 3000 Analisi dello scope 285 in relazione ai processi Cobit5 necessari a rispondere ai requisiti della Circolare 285, relativamente ai cap. 3 e 4. Il perimetro ISAE3000 prevede: 30 Processi Sono stati considerati tutti i processi SOX reliant e 285 reliant; le considerazioni a supporto sono riportate nelle slide successive. Scomposizione in sezioni e paragrafi Cap. 3 – 4 Circ. 285 BdI 117 Management Practice Cedacri 219 Control Activities Cedacri L'analisi dei requisiti previsti dalla circolare 285, e in dettaglio dei capitoli 3 e 4 è stata eseguita attraverso un mapping con i processi Cobit5, secondo quanto definito dalla AIEA 23/11/2015 ISACA VENICE Chapter 285 Mapping pesato con i processi/attività Cobit5 Definizione SCI (Sistema di Controllo Interno) copertura dei requisiti della Circ.285 20 Attestazione ISAE 3000 - considerazioni L'analisi del nuovo perimetro ISAE, ha consentito l'identificazione di alcuni processi Cobit5 che necessitano specifica associazione a Management Practice Cedacri. In particolare, tali processi (APO03, APO07, EDM01, EDM04 e EDM05) si riferiscono ai seguenti punti della norma: Capitolo 3 della Circolare Cap. 4 La sicurezza delle informazioni e delle risorse ICT Cap1. Premessa Sez. V Cap.1 Premessa Cap. 2 Compiti dell’organo con funzione di supervisione strategica Cap. 3 Compiti dell’organo con funzione di gestione Cap. 4 Organizzazione della funzione ICT Sez. IV Sez. II Sez. I Premessa Analisi dei processi con Cruscotto A partire dal cruscotto abbiamo analizzato nel dettaglio quali management practice Cobit5 sono riferite ai singoli paragrafi della Circ. 285, al fine di delineare un perimetro completo ISAE3000 Cobit5 based. 23/11/2015 ISACA VENICE Chapter 21 Attestazione ISAE 3000 - considerazioni I processi EDM01 - Manage the IT Management Framework, EDM04 - Ensure Resource Optimisation e EDM05 - Ensure Stakeholder Transparency sono stati considerati nello scope poiché si riferiscono ad argomenti di Governance inseriti e specificati dalla Circ. 285 di BdI. L'introduzione di questi processi ha generato l'aumento delle Management Practice Cedacri Analisi del processo APO03 - Manage Enterprise Architecture e del processo APO07 - Manage Human Resources Attraverso l'utilizzo del cruscotto abbiamo individuato le management practice (MP) Cobit5 relative ai processi APO03 e APO07 collegati allo specifico paragrafo della Circ. 285 (Sez.1, Premessa e Sez.IV La sicurezza delle informazioni e delle risorse ICT). Le MP sono state analizzate singolarmente e confrontate con le attività richieste dalla Circolare di Banca d'Italia. L'analisi ha portato all'esclusione dei processi APO03 e APO07 poiché le attività richieste dalla Circolare collegata ad essi sono state coperte da altri processi Cobit5 già in scope. Già in scope APO03 BAI03 - Manage solutions identification and build APO07 BAI08 - Manage knowledge DSS04 - Manage continuity BAI08 - Manage knowledge Già in scope 23/11/2015 ISACA VENICE Chapter 22 Copertura finale ISAE3402 • 18 Processi • 82 Management Practice Cedacri • 168 Control Activites Cedacri 2 processi APO11 Manage Quality BAI10 Manage Configuration 16 processi APO01 Manage the IT Management DSS01 Manage Operations Framework DSS02 Manage Service Requests APO02 Manage Strategy and Incidents APO09 Manage Service Agreements DSS03 Manage Problems APO10 Manage Suppliers DSS04 Manage Continuity APO13 Manage Security DSS05 Manage Security Services BAI02 Manage Requirements DSS06 Manage Business Process Definition Controls BAI03 Manage Solutions Identification MEA02 Monitor, Evaluate and Assess and Build the System of Internal Control BAI06 Manage Changes BAI07 Manage Change Acceptance and Transitioning Financial reporting Circolare 285 BdI (Cap. 8 – 9) Processi Cobit5 for SOX 12 processi ISAE3000 • 30 Processi • 117 Management Practice Cedacri • 219 Control Activites Cedacri APO12 Manage Risk BAI01 Manage Programmes and Projects BAI04 Manage Availability and Capacity BAI08 Manage Knowledge BAI09 Manage Assets EDM01 Manage the IT Management Framework EDM02 Ensure Benefits Delivery EDM03 Ensure Risk Optimisation EDM04 Ensure Resource Optimisation EDM05 Ensure Stakeholder Transparency MEA01 Monitor, Evaluate and Assess Performance and Conformance MEA03 Monitor, Evaluate and Assess Compliance with External Requirements Processi Cobit5 for Circ. 285 23/11/2015 ISACA VENICE Chapter 23 Gli strumenti di supporto Il cruscotto consente di individuare quali processi Cobit5 (e anche Cobit 4.1) sono rilevanti ai fini SOX, ISO27001:2013, ITIL, Circ. 285 BdI o Cybersecurity. Il tool consente di arrivare ad un adeguato livello dettaglio in termini di: - Management Practice del Cobit5 - Capitolo e Annex della Norma ISO 27001 - Sezione e attività di dettaglio della Circ. 285 BdI - Sottocategoria Cybersecurity E' in questo modo possibile individuare specifiche coperture di un processo o management practice Cobit5 di una specifica norma attraverso dei report sintetici Il cruscotto consente di analizzare i processi considerando il livello di copertura che gli stessi danno sulle normative/framework di settore (es. 285 BdI) 23/11/2015 ISACA VENICE Chapter La mappa dei framework realizzata è stata relazionata agli obiettivi di controllo Cedacri a partire dalla mappatura in essere nel 2014. L'analisi volta all'analisi critica del perimetro ha tenuto conto di 2 Driver: - Processi Cobit reliant for SOX, ovvero rilevanti ai fini del Bilancio (sulla base delle indicazioni estratte dal documento Obiettivi di controllo IT per il Sarbanes-Oxley Act, Il ruolo dell'IT nel progetto e nell'implementazione dei controlli interni per la predisposizione del reporting finanziario, LUGLIO 2007 - Traduzione Italiana a cura di AIEA); - Processi Cobit rilevanti ai fini 285, ovvero rilevanti ai fini dei requisiti definiti dalla circolare BdI 285 (a partire dalla mappatura effettuata dalla AIEA, nei documenti di analisi della Circ. 263 BdI, 3 Agosto 2014 e successive revisioni) e L'analisi condotta ha avuto l'obiettivo di ridefinire il numero di controlli e le control activities Cobit5 al fine di coprire i requisiti SOX e quelli della Circ.285 con le attività di controllo caratteristiche di Cedacri 24 Assessment della funzione IA La fase di Quality Assuranca Review (QAR) della funzione di Internal Audit, finalizzata alla valutazione della professionalità e indipendenza della funzione, prevede l'utilizzo di una metodologia proprietaria del Revisore La metodologia ingloba tutti gli aspetti generali dell’organizzazione e della gestione della funzione Internal Audit. Secondo tale metodologia, la Funzione ed i processi oggetto dell’incarico sono stati analizzati a partire da tre attributi, riconosciuti dall’Institute of Internal Auditors, attinenti ai temi di gestione: Posizionamento della Funzione all’interno dell’organizzazione: la Funzione Internal Audit è posizionata strategicamente per contribuire al raggiungimento degli obiettivi di business? Risorse umane (Persone) che compongono la Funzione: la Funzione Internal Audit ha un’adeguata strategia di risorse per perseguire la propria mission e raggiungere i propri obiettivi? Processi di cui si avvale la Funzione per svolgere le proprie attività: i processi di internal auditing consentono di perseguire e di soddisfare i bisogni del business? 23/11/2015 ISACA VENICE Chapter 25 Assessment della funzione IA Le analisi si focalizzeranno sui seguenti ambiti: collocazione organizzativa e valutazione del grado di indipendenza della funzione Internal Audit; mandato dell’Internal Audit (Audit Charter); processo di risk assessment a supporto dei piani di audit; modalità di definizione e di approvazione del piano di audit; processo di auditing, anche con riferimento agli Standard Internazionali per la Pratica Professionale del Institute of Internal Audit (IIA); processi di gestione delle risorse e delle attività svolte dalla funzione Internal Audit. Interviste con personale IA Interviste con il personale dell’Internal Audit Valutazione preliminare degli indicatori chiave (KPI) dell’attività di internal auditing Verifica dell’attività di internal auditing Analisi del mandato della funzione di IA Verifica dell’attività di internal auditing rispetto agli standard IIA e al Codice Deontologico Analisi dei processi operativi della Funzione attraverso l’esame, a campione, degli incarichi di audit Individuazione delle aree di miglioramento ISACA VENICE Chapter Analisi dei KPI Calcolo dei KPI della Funzione IA Analisi dei KPI individuati e confronto con il benchmark di riferimento 26 Grazie per l’attenzione! Stefano Arduini Responsabile Internal Auditing di Gruppo www.cedacri.it -------------------------------------------------------Mobile: +39 335 6476855 Tel: +39 0521 807075 Fax: +39 0521 807901 Email: [email protected] PEC: [email protected] -------------------------------------------------------Società di capitali : Cedacri S.p.A. Sede legale: Via del Conventino 1 – 43044 Collecchio (PR) Partita Iva: 00432960342 Registro delle Imprese presso il quale la società risulta Iscritta: Parma Numero di iscrizione presso il Registro delle Imprese: 128475 dal 23/04/1976 Capitale Sociale nella somma versata e quale risulta esistente dall’ultimo bilancio: 12.609.000, 00 Euro 23/11/2015 ISACA VENICE Chapter 27