15° Aggiornamento Circolare 263/2006: … 29.4.2015 - Padova - ISACA VENICE Chapter...

1 29.4.2015 - Padova - ISACA VENICE Chapter

Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso

Informa(on and Communica(on Technology supply chain security

15° Aggiornamento Circolare 263/2006:

Esternalizzazione di funzioni aziendali

Luca Lazzaretto Rosangela D'Affuso

Padova, 29 aprile 2015



15° Aggiornamento Circolare 263/2006:

Esternalizzazione di funzioni aziendali



Information and Communication Technology supply chain security

Sponsor dell’evento Partner di ISACA VENICE Chapter CSQA Cer(ficazioni Srl, azienda accreditata da ACCREDIA e APMG-‐Interna(onal



Information and Communication Technology supplay chain security

Sponsor e sostenitori di ISACA VENICE Chapter

Con il patrocinio di

ISACA VENICE PER L’ATTIVITA’ SVOLTA NEL 2014 HA RICEVUTO I SEGUENTI AWARD: •  BEST MEDIUM CHAPTER WORLDWIDE AND EUROPE/AFRICA •  GROWTH MENTION



Luca Lazzaretto

Manager di KPMG Advisory, ha conseguito la laurea specialis(ca in ingegneria delle Telecomunicazioni presso la Facoltà di ingegneria dell’università di Padova nel 2007. Ha successivamente iniziato a lavorare in Accenture S.p.A. all’interno della LoS Technology Consul(ng – Security Informa(on e nel 2012 ha iniziato a lavorare in KPMG Advisory all’interno della LoS Informa(on Risk Management dove ad oggi ricopre il ruolo di Manager. Nel corso degli anni ha partecipato a svaria( proge\ rela(vi all’IT Security, IT Strategy, IT Governance, Risk and Compliance, Business Con(nuity e Iden(ty & Access Management, sia in contes( italiani che esteri. A^ualmente segue proge\ lega( al mondo dell’Industry Financial and Insurance Services e nell’ul(mo anno si è occupato di IT Security Assessment, sviluppo e implementazione di tool GRC (Governance Risk and Compliance) e compliance rela(va al 15° aggiornamento Circolare n. 263/2006 di Banca d’Italia. Le a^uali cer(ficazioni in possesso sono rela(ve al CISA, ISO 27001 Lead Auditor, ITIL v3 Founda(on, RSA Archer Admin e BS25999 Lead Auditor.



Rosangela D'Affuso

Specialista di Veneto Banca in ambito IT Governance, ha conseguito la laurea specialis(ca in Intelligenza Ar(ficiale e Robo(ca della Facoltà di Ingegneria Informa(ca presso il Politecnico di Milano nel 2008. Ha iniziato a lavorare fin da subito nel seôre bancario approdando nel 2008 in CheBanca! e nel 2013 in Veneto Banca, all’interno della Divisione Opera(ons. Nel corso degli anni ha partecipato a diversi proge\ rela(vi ad IT Strategy, IT Governance, Business Con(nuity, Risk and Compliance e IT Security. Aûalmente segue proge\ lega( all’implementazione di un Service Desk aziendale e alla compliance ai principali adempimen( in materia Privacy; nell’ul(mo anno si è occupata come capo progeô di compliance ai Capitoli 8 e 9 del 15° aggiornamento Circolare n. 263/2006 di Banca d’Italia. Le aûali cer(ficazioni in possesso sono rela(ve a Lean Six Sigma, Business Con(nuity Ins(tute (BCI), ITIL v3 Intermediate – Service Design, ITIL v3 Founda(on; ha inoltre seguito i corsi CRISC, COBIT 4.1, Project Management Ins(tute (PMI).



Abstract

•  Alla luce delle nuove disposizioni di vigilanza prudenziale per le Banche – 15° aggiornamento circolare n. 263/2006 emanato da Banca d’Italia nel 2013 – è stata introdoâ un’organica disciplina in materia di esternalizzazione di funzioni aziendali. Il ricorso all’esternalizzazione è funzionale ad accrescere la flessibilità organizza(va delle Banche che possono così dedicare maggiori risorse al core business oltre che a perseguire obie\vi di riduzione dei cos(. In par(colare, il ricorso all’outsourcing è ammesso, in coerenza con l’apposita poli(ca che deve essere definita in materia, purché le Banche presidino aêntamente i rischi derivan( dalle scelte effeûate e mantengano la capacità di controllo e la responsabilità delle a\vità esternalizzate. I requisi( richies( per procedere all’outsourcing di funzioni aziendali sono gradua( in modo diverso a seconda del caso in cui si tra\ di esternalizzazione verso terza parte o internalizzazione verso una società del gruppo e che l’ambito riguardi funzioni opera(ve importan( (quali ad esempio i sistemi informa(vi) o funzioni di controllo.

•  Obie\vo dell’approfondimento consiste nel fornire una breve panoramica dei requisi( e dei vincoli introdo\ dalla norma(va di riferimento supporta( dalla presentazione di Business Case circa l’impianto documentale implementato da Veneto Banca S.C.p.A.



Agenda

•  Introduzione •  L'esternalizzazione: norma(va di riferimento

•  Business Case



Agenda

•  Introduzione •  Contesto norma?vo di riferimento

•  ObieCvi della norma

•  Overview della norma

•  Tempis?che di adeguamento

•  L'esternalizzazione •  Business Case



Introduzione

Banca d'Italia, a luglio 2013, ha emanato il 15° aggiornamento della circolare n. 263/2006 "Nuove disposizioni di vigilanza prudenziale per le banche", introducendo capitoli dedica? al:

•  Il Sistema dei Controlli Interni (Capitolo 7)

•  Il Sistema Informa(vo (Capitolo 8)

•  La Con(nuità Opera(va (Capitolo 9)

Contesto normativo di riferimento

LA CONTINUITÀ OPERATIVA (CAP.9)

IL SISTEMA INFORMATIVO

(CAP.8)

IL SISTEMA DEI CONTROLLI INTERNI

(CAP.7)



Introduzione

La norma?va introdo9a è finalizzata a:

•  rafforzare le capacità delle banche nella ges(one dei rischi aziendali •  rivedere in modo organico ed omogeneizzare il quadro norma(vo rela?vo alla materia in ogge9o

•  incorporare e promuovere best prac@ces

Tali “innovazioni” sono volte a (ri)definire i principi e le linee guida cui le Banche si devono uniformare, in termini di organizzazione, ruoli e compi? di organi/funzioni aziendali, sviluppo e ges?one del sistema informa(vo, adeguatezza dei presidi e dei livelli di con(nuità opera(va

Obiettivi della normativa



Introduzione

Le priorità di intervento rela?ve alle principali novità introdo9e possono essere sinte?zzate nei seguen? pun?:

Overview della normativa

14.  Comunicazione degli inciden? e dei fa9ori anomali rilevan? alle stru9ure preposte alla dichiarazione dello stato d’emergenza

15.  Introduzione di una stru9ura per il coordinamento della ges?one delle crisi opera?ve

1.  Implementazione di un Risk Appe)te Framework

2.  Disegno di un processo di ges?one integrata dei rischi

3.  Disegno di un compliance framework

4.  “Estensione” del perimetro del RM sul monitoraggio andamentale delle posizioni credi?zie

5.  Definizione processo per iden?ficazione e approvazione operazioni maggior rilievo

6.  Collocazione organizza?va delle funzioni di controllo

7.  “Raccordo” (policy e processi) tra organi e funzioni di controllo aziendali

8.  Previsione di apposita “policy” di esternalizzazione vs terze par? chiave

9.  L'analisi e la ges?one del rischio informa?co

10.  Formalizzazione compi? e responsabilità delle funzioni: ICT, Sicurezza Informa?ca, Controllo del rischio Informa?co e compliance ICT (governo e organizzazione del sistema informa?vo)

11.  Definizione di uno standard aziendale di Data governance

12.  La ges?one della sicurezza informa?ca (definizione delle policy rela?ve alla sicurezza, cambiamento, etc.)

13.  Definizione di una poli?ca di esternalizzazione ICT e revisione dei contraC

CONTINUITÀ OPERATIVA (CAP.9)

SISTEMA INFORMATIVO

(CAP.8)

SISTEMA DEI CONTROLLI INTERNI

(CAP.7)



Introduzione

Banca d'Italia ha inoltre definito una ?meline di adeguamento, riportata nel seguito, volta ad iden?ficare le varie scadenze di adeguamento per le Banche

Tempistiche di adeguamento

2013 2014 2015 2016

lug gen lug feb lug lug

02/07/2013 Entrata in vigore delle disposizioni

31/01/2014 Invio Relazione a Banca d’Italia

del Self Assessment

effe?uato dalle Banche

01/07/2014 Efficacia

disposizioni Capitoli 7 e 9


disposizioni Capitolo 8


disposizioni su funzioni risk

management e compliance (Cap.7, sez. III,par.1,

le?. b)


esternalizzazione di funzioni aziendali (Cap 7, sez. IV, V) e

del sistema informa)vo (Cap. 8,

sez. VI )

Tempis(ca di adeguamento totale per la parte di esternalizzazione e adeguamento dei contra\

30 mesi c.a.



Agenda

•  Introduzione •  L'esternalizzazione

•  ObieCvo

•  Quando si parla di esternalizzazione?

•  Definizioni

•  Perimetro di rifermento

•  Elemen? cos?tu?vi

•  Elemen? chiave

•  Esternalizzazione al di fuori del Gruppo

•  Esternalizzazione del sistema informa?vo

•  Business Case



L'esternalizzazione

•  Lo schema di disciplina nella Sezione IV "Esternalizzazione di funzioni aziendali (outsourcing) al di fuori del gruppo" del Cap. 7 e della sezione IV "L'esternalizzazione del sistema informa@vo" del Cap.8 della norma?va di riferimento, definisce un quadro organico di principi e requisi? in materia di esternalizzazione delle funzioni aziendali

•  Con queste disposizioni, Banca d’Italia consolida le indicazioni sull’esternalizzazione contenute nelle disposizioni di vigilanza emanate e le integra recependo le linee guida sull’outsourcing del CEBS del 14 dicembre 2006

Obie\vo perseguito da Banca d’Italia è assicurare che le Banche che ricorrono all’esternalizzazione di funzioni aziendali,

presidino i rischi derivan( dalle scelte effe^uate

Obiettivo



L'esternalizzazione

Deve essere definita e approvata una poli(ca rela(va all'esternalizzazione emanata a livello aziendale che definisca e indirizzi tu9e queste tema?che in una linea guida di alto livello e, successivamente, contestualizzata in

un processo chiaro e stru^urato

Obiettivo

Mantenendo le competenze essenziali per reinternalizzare

Mantenendo la responsabilità sulle a\vità esternalizzate

Mantenendo la capacità di controllo

Come?

Come può un'organizzazione presidiare corre9amente i rischi derivan? dal fa9o di aver esternalizzato delle aCvità presso una terza parte?



L'esternalizzazione Quando si parla di esternalizzazione?

Risulta fondamentale iden?ficare corre9amente quando si parla di esternalizzazione. A tal proposito, Banca d'Italia fornisce una descrizione esplicita sull'esternalizzazione, riporta di seguito l'estra9o della norma?va di riferimento*

(*) 15° aggiornamento circolare 263/2006, TITOLO V – Cap.7, Sezione I, Par. 3 "Definizioni"

“esternalizzazione: l’accordo in qualsiasi forma tra una banca e un fornitore di servizi in base al quale il fornitore realizza un processo, un servizio o un’aavità della stessa banca."

Si parla di "esternalizzazione" quando un processo, un servizio o un’a\vità cara^eris(ci della Banca viene affidato ad un fornitore terzo

(all’interno o all’esterno del gruppo bancario) nonostante la Banca possieda potenzialmente le capacità tecniche per poterlo eseguire.



L'esternalizzazione Altre definizioni connesse all'esternalizzazione

Si riportano nel seguito altre definizioni u?li per contestualizzare specifici aspeC rela?vi all'esternalizzazione

“funzioni aziendali di controllo”: la funzione di conformità alle norme (compliance), la funzione di controllo dei rischi (risk management func)on) e la funzione di revisione interna (internal audit)

“funzione opera@va importante – FOI ”: una funzione opera)va per la quale risulta verificata almeno una delle seguen) condizioni: • un’anomalia nella sua esecuzione o la sua mancata esecuzione possono comprome?ere gravemente:

a) i risulta) finanziari, la solidità o la con)nuità dell’aavità della banca; ovvero

b) la capacità della banca di conformarsi alle condizioni e agli obblighi derivan) dalla sua autorizzazione o agli obblighi previs) dalla disciplina di vigilanza;

• riguarda aavità so?oposte a riserva di legge;

• riguarda processi opera)vi delle funzioni aziendali di controllo o ha un impa?o significa)vo sulla ges)one dei rischi aziendali.

(*) 15° aggiornamento circolare 263/2006, TITOLO V – Cap.7, Sezione I, Par. 3 "Definizioni"



L'esternalizzazione Perimetro dell'esternalizzazione

Funzioni opera(ve importan( (FOI) che comportano livello di rischio alto (incluse funzioni di controllo)

Funzioni aziendali esternalizzabili stre9amente connesse al business e che comportano un possibile rischio (es. compliance, opera?vo, reputazionale)

Non si considerano esternalizzate le aCvità affidate all’esterno che non possono essere svolte nell’ambito della banca (ad esempio le u?li?es per energia, rete di telecomunicazione, etc.)

Promotori per offerta fuori

sede Forniture ele?ricità

Info providers

Contraa di consulenza

Prestazioni professionali

PERIMETRO ESTERNALIZZAZIONE

FOI

Reinternalizzare

Responsabilità

Controllo



L'esternalizzazione Le Funzioni Operative Importanti

Funzioni Opera(ve Importan( – FOI: Chi sono? Non determinabile univocamente poiché potrebbe dipendere dalle cara9eris?che di ciascuna Banca, dal modello di business ado9ato, dal valore dell’esternalizzazione, etc. Alcuni Esempi di Funzioni Opera?ve Importan? riconosciute da Banca d'Italia sono:

�  Back office �  Sistema informa?vo �  Funzioni di Controllo �  Tra9amento contante/tra9amento valori �  Processor delle carte/POS �  Ges?one canali telema?ci (call center, help desk) �  Ges?one patrimoni (Finanza) �  Segnalazioni di Vigilanza �  Etc

Reinternalizzare

Responsabilità

Controllo



L'esternalizzazione Responsabilità

Reinternalizzare

Responsabilità

Controllo

Introduzione della figura del Referente per le aNvità Esternalizzate

■  Introduzione della nomina del "referente per le a\vità esternalizzate", figura aziendale che deve possedere adegua? requisi? di professionalità ed ha il compito di garan?re la conservazione delle competenze richieste per controllare efficacemente le funzioni esternalizzate e per ges?re i rischi connessi all’esternalizzazione, inclusi quelli derivan? da potenziali confliC di interessi dell’outsourcer.

Funzioni di Controllo

■  Non è ammessa l’esternalizzazione delle Funzioni di Controllo della Capogruppo a soggeC esterni al Gruppo. Le Società del Gruppo possono esternalizzare le loro Funzioni aziendali di Controllo solo ed esclusivamente alla Capogruppo: non è ammessa l’esternalizzazione di de9e funzioni ad outsourcer esterni al Gruppo.

Organi con Funzione di Supervisione Strategica (ad esempio CdA delle

Banche)

■  Valutazione e approvazione dell'esternalizzazione basata su un processo di selezione dell'outsourcer tramite una specifica analisi del rischio, che considera in primo luogo la s?ma dei rischi delle risorse e servizi da esternalizzare e quindi valuta i rischi dei possibili fornitori (ad es., condizioni finanziarie, posizionamento sul mercato, qualità e turnover del management e del personale, capacità di ges?re la con?nuità opera?va e di fornire accura? e tempes?vi report direzionali sull’aCvità svolta, competenza ed esperienza, qualità e sicurezza nonché economicità e maturità, in un adeguato orizzonte temporale, della fornitura)



L'esternalizzazione Vincoli all'esternalizzazione

AsseTo organizza@vo

■  Divieto di delegare responsabilità aziendali e degli organi aziendali. Ad esempio, il divieto di esternalizzare aCvità che riguardano aspeC nevralgici del processo di erogazione del credito (per esempio la valutazione e il monitoraggio del merito del credito)

Tutela del cliente ■  Divieto di alterare il rapporto e gli obblighi nei confron( dei suoi clien(

Compliance

■  Divieto di creare le condizioni per: –  disa9endere gli obblighi previs? dalla disciplina di vigilanza –  violare le riserve di aCvità previste dalla legge.

■  Divieto di ostacolare la vigilanza

Sistema dei controlli interni

■  Divieto di pregiudicare la qualità del sistema dei controlli interni

■  Divieto di esternalizzare funzioni aziendali di controllo se non coerente con i limi? e le condizioni previs? al par. 2 della Sezione IV

Reinternalizzare

Responsabilità

Controllo



L'esternalizzazione Capacità di reinternalizzare

•  Par?colare a9enzione ha destato tra le Banche la previsione norma?va che richiede alle stesse di mantenere le competenze tecniche e ges?onali per reinternalizzare le funzioni aziendali esternalizzate

•  A riguardo, l’Autorità di Vigilanza nel Resoconto della Consultazione specifica quanto segue:

“La disciplina in materia di esternalizzazione prevede che la società tra?enga le competenze necessarie per poter reinternalizzare le funzioni esternalizzate in caso di necessità. Si ri)ene che il mantenimento di competenze essenziali concernen) l’aavità esternalizzata sia necessario, non solo per consen)re l’effeNvità dei controlli sul fornitore di servizi, ma anche per non arrecare pregiudizio all’opera@vità aziendale nei casi in cui sia necessaria una reinternalizzazione. In generale, la valutazione delle competenze ritenute effeavamente necessarie è, innanzitu?o, rimessa all’intermediario stesso.“

Reinternalizzare

Responsabilità

Controllo



L'esternalizzazione Capacità di reinternalizzare

Esternalizzazione al di fuori del Gruppo Bancario

Esternalizzazione all'interno del Gruppo Bancario

COSA SIGNIFICA?

Possibilità di svolgere adeguatamente una valutazione circa l’opportunità di reinternalizzare o affidare a terzi il servizio non più svolto dalla

capogruppo o dalla società del gruppo

COSA SIGNIFICA?

La policy dovrebbe iden?ficare i casi in cui il rischio di reinternalizzare è par(colarmente alto (es.

fornitore monopolista). Negli altri casi potrebbe essere opportuno

mantenere le competenze per il controllo e dotarsi di procedure formalizzate per ges(re

l’affidamento ad altri fornitori (in caso sia impossibile reinternalizzare)

Reinternalizzare

Responsabilità

Controllo



L'esternalizzazione Elementi costitutivi dell'esternalizzazione

Gli elemen? cos?tu?vi dell'esternalizzazione sono defini? all'interno della norma?va e prevedono alcuni elemen? obbligatori richies? da BankIt, tra i quali la realizzazione del documento principale in ambito all'esternalizzazione, la Policy di Esternalizzazione

Policy di Esternalizzazione

Processo decisionale Presidi adottati Criteri di selezione del fornitore

Revisione contratti di outsourcing

Criteri selez.

fornitore

Valutaz. rischi

Funz. coinvolt

e …

Supporto funz.

esternal.

Segnalaz eventi / situaz.

anomale

Nomina referent

e …

Competenze,

capacità, autoriz

Valutaz. rischi

Funz. coinvolt

e … SLA Flussi

informativi Contin.

operativa …

Comunicazioni verso BankIt

La Policy di Esternalizzazione è definita e a^uata dall’Organo con Funzione di Ges(one (OFG) e approvata dall’Organo con Funzione di Supervisione (OFSS)



L'esternalizzazione Elementi chiave di una Policy di Esternalizzazione

Gli "Elemen( chiave" di una Policy di Esternalizzazione:

•  Definizione di linee guida per tu9e le ?pologie di esternalizzazioni (i.e. funzioni aziendali vs FOI; esternalizzazione all’interno del gruppo vs all’esterno; …)

•  Definizione di principi generali (es. principi e?ci per la scelta del fornitore, per la ges?one di confliC d’interesse, …)

•  Definizione delle modalità per la determinazione del (po di esternalizzazione, del livello di importanza e delle funzioni coinvolte (es. tavolo interfunzionale di valutazione delle esternalizzazioni)

•  Definizione di criteri per l’individuazione della (pologia di contra^o (es. con / senza possibilità di sub-‐esternalizzare)

•  Definizione criteri e processo interno per la definizione delle funzioni opera(ve importan( (FOI) (es. funzioni che non possono essere esternalizzate, …)



L'esternalizzazione Esternalizzazione al di fuori del Gruppo Bancario

Processo decisionale di esternalizzazione

Stabilire il processo decisionale per esternalizzare le funzioni aziendali specificando:

■  i livelli decisionali e le funzioni coinvolte ■  la valutazione:

–  dei rischi e dell’impa9o sulle funzioni aziendali –  dei rischi connessi con potenziali confliC di interesse del fornitore di servizi –  degli impaC in termini di con?nuità opera?va

■  i criteri per la scelta e la due diligence del fornitore

ContraTualis@ca ■  Definire il contenuto minimo dei contraC di outsourcing

■  Definire i livelli di servizio a9esi delle aCvità esternalizzate

Modalità di controllo ■  Stabilire la modalità di controllo nel con?nuo

■  Stabilire la modalità di coinvolgimento della funzione di revisione interna

Flussi informa@vi

■  Stabilire i flussi informa?vi per assicurare la piena conoscenza e governabilità dei fa^ori di rischio rela?vi alle funzioni esternalizzate: –  agli organi aziendali –  alle funzioni aziendali di controllo

Ges@one emergenze ■  Definire i piani di con(nuità opera(va (clausole contra9uali, piani opera?vi, ecc.) in caso di

non corre9o svolgimento delle funzioni esternalizzate da parte del fornitore di servizi



L'esternalizzazione Esternalizzazione del Sistema Informativo

FULL OUTSOURCING

Specifici Processi Opera?vi

Outsourcing Orizzontale

Facility Management

Applica?on Management

Help-‐Desk Tecnico …

Outsourcing

Ver(cale




Con riferimento al Sistema Informa?vo, considerato a tuC gli effeC esternalizzazione di una Funzione Opera?va Importante – FOI, la norma?va impone che nell’elaborazione del modello archite9urale e delle strategie di esternalizzazione devono essere considera? approcci tesi a contenere, per quanto possibile, il grado di dipendenza da specifici fornitori e partner tecnologici esterni al gruppo (vendor lock-‐in) a seconda del ?po di outsourcing esternalizzato (Full outsourcing, outsourcing ver)cale e/o orizzontale) L'obieCvo risulta essere quindi, per quanto possibile, la salvaguardia della possibilità di sos(tuire la fornitura con un’altra funzionalmente equivalente (ad es., privilegiando il ricorso a standard aper? per le connessioni, la memorizzazione e lo scambio di da?, la cooperazione applica?va) e prevedendo opportune exit strategies.



L'esternalizzazione Esternalizzazione del Sistema Informativo

Tu^e le tema(che rela(ve al caso specifico di outsourcing del Sistema Informa(vo devono essere indirizzate all'interno della Policy di Esternalizzazione

Referente per l’aNvità esternalizzata

■  Nel caso di full outsourcing della funzione ICT, al “referente per l’aCvità esternalizzata” è assegnata la responsabilità di seguire la pianificazione dei progeC informa?ci; la stessa figura garan?sce, in collaborazione con il fornitore di servizi, la realizzazione degli opportuni meccanismi di raccordo con le linee di business

Comunicazioni obbligatorie a Banca

d'Italia

■  Includono i risulta? dell’analisi dei rischi che considera la s?ma dei rischi delle risorse e servizi da esternalizzare e valuta la qualità dei sub-‐fornitori, la ridondanza delle linee di comunicazione u?lizzate nonché l’affidabilità, la sicurezza e la scalabilità delle tecnologie ado9ate

■  Limitatamente agli intermediari delle macro-‐categorie 1 e 2 a fini SREP – la descrizione delle exit strategies previste

Contenu@ del contraTo con fornitori di sistemi e

servizi ICT

■  L’obbligo per il fornitore di servizi di osservare la policy di sicurezza informa?ca aziendale ■  La proprietà di da?, souware, documentazione tecnica, e altre risorse ICT ■  La periodica produzione delle copie di backup del sistema informa?vo ■  La ripar?zione dei compi? e delle responsabilità aCnen? i presidi di sicurezza ■  Le procedure in caso di inciden? di sicurezza informa?ca e di con?nuità opera?va ■  La definizione di livelli di servizio coeren? con le esigenze ■  La predisposizione di misure di tracciamento idonee ■  La possibilità per l’intermediario di conoscere informazioni circa i data center ■  L’obbligo di eliminare … qualsiasi copia o stralcio di da? riserva? di proprietà dell’intermediario ■  …



L'esternalizzazione Approccio progettuale tipico di adeguamento

Fase 1 – Definizione della Policy di

esternalizzazione

Fase 2 – Adeguamento dei

contra\

■  Definire il processo decisionale a9raverso il quale giungere alla esternalizzazione, avendo cura di verificare il rispe9o del requisito di proporzionalità

■  Definire il criterio per iden(ficare le funzioni opera(ve importan(

■  Iden?ficare gli ambi( che non possono essere ogge^o di esternalizzazione

■  Iden?ficare le competenze ritenute necessarie per reinternalizzare

■  ....

■  Analisi dei contra\ in essere al fine di verificare che siano rispe9a? tuC i requisi? previs? dalla policy e in par?colare quelli specifici previs? per le funzioni opera?ve importan?

■  Verifica dei requisi( del fornitore di servizi

■  Iden?ficazione delle integrazioni necessarie

■  Adeguamento dei contraC

■  Accordo con il fornitore di servizi ■  ...

■  Aggiornare le modalità di ges(one delle a\vità in outsourcing: –  modalità di controllo –  flussi informa?vi –  piani di emergenza –  responsabili –  ...

■  Mantenere le capacità tecniche e ges(onali essenziali per reinternalizzare le a\vità

Fase 3 – Adeguamento dell’opera(vità

L'elenco delle a\vità non è esaus(vo e dipende prevalentemente dal contesto e dal perimetro in ambito



Agenda

•  Introduzione •  L'esternalizzazione •  Business Case

•  Il perimetro

•  Gli a9ori coinvol?

•  I deliverable

•  La Policy di esternalizzazione

•  Il Framework di revisione contra9uale

•  Il Template contra9uale standard

•  La Policy di Exit Strategy

•  L’aggiornamento dei contraC FOI



Business Case Veneto Banca

In o9emperanza alle Nuove disposizioni di vigilanza prudenziale per le banche, nel 2014 Veneto Banca ha avviato nell’ambito del proge9o “Compliance 263 – Capitolo 8” uno specifico can?ere proge9uale rela?vo all'esternalizzazione delle funzioni aziendali. Il can?ere ha dato seguito a quanto previsto dalla Norma?va nei Capitoli 7* e 8** ponendosi come obieCvi:

�  la redazione dei documen( previs? in ambito norma?vo �  la definizione del Framework di revisione contra^uale �  la revisione dei contra\ di outsourcing

(*) 15° aggiornamento circolare 263/2006, TITOLO V – Cap.7, Sezione IV "Esternalizzazione di funzioni aziendali (outsourcing) al di fuori del gruppo bancario" (**) 15° aggiornamento circolare 263/2006, TITOLO V – Cap.8, Sezione VI "L’esternalizzazione del sistema informa)vo"



Business Case Il perimetro

In perimetro al proge9o di adeguamento alla Norma?va e con par?colare riferimento al can?ere dell‘esternalizzazione, sono state condo9e specifiche aCvità volte a definire:

Nel seguito si riportano dei brevi estra\ per ciascuno dei deliverable prodo\

1. Policy di Esternalizzazione

1.a Framework di revisione contra^uale 1.b Template Contra^uale Standard

2. Policy di Exit Strategy

2. Aggiornamento contra\ FOI



Business Case Gli attori coinvolti

Procurement Consulenza Legale Compliance Organizzazione Direzione IT

Aspe\ generali sulla ges(one del

ciclo di vita contraûale

Aspe\ legali su ar(coli contraûali

Aderenza alla norma(va di riferimento

Aspe\ su servizio erogato e modello

di ges(one dell'outsourcer

Aspe\ tecnici e su livelli di servizio


1.a Framework di revisione contraûale 1.b Template Contraûale Standard


2. Aggiornamento contra\ fornitori FOI

Commitment da parte di tu9e le Funzioni necessarie e dei principali Stakeholder

Prerequisito



Business Case 1. La Policy di Esternalizzazione: scopo

La Policy di Esternalizzazione ha lo scopo di:

•  disciplinare il processo di esternalizzazione di funzioni aziendali internamente (insourcing) o esternamente al Gruppo (outsourcing), iden?ficando le fasi, i ruoli e le responsabilità degli Organi e delle Funzioni aziendali a vario ?tolo coinvolte

•  definire il sistema di regole di riferimento finalizzato a garan?re la trasparenza dei processi di selezione, il controllo e la mi?gazione dei rischi connessi alle a\vità svolte dagli outsourcer, ponendo le basi affinché le stesse siano effe9uate nel rispe9o dei ruoli e delle responsabilità definite e di specifici criteri di presidio dei rischi

•  definire il contenuto minimo dei contra\ di outsourcing e i livelli di servizio aêsi delle aCvità esternalizzate e iden?ficare le modalità di controllo, nel con?nuo, delle funzioni esternalizzate

•  formalizzare i flussi informa(vi interni vol? ad assicurare agli Organi aziendali e alle Funzioni di Controllo la piena conoscenza e governabilità dei fa9ori di rischio rela?vi alle funzioni esternalizzate


1.a Framework di revisione contraûale

1.b Template Contraûale Standard





Business Case 1. La Policy di Esternalizzazione: struttura del documento

Introduzione

ObieCvi Ambito di applicazione della Policy Riferimen? norma?vi Glossario

Definizioni Definizioni di “esternalizzazione” e di “Funzione Opera?va Importante (FOI)" u?lizzate lungo la Policy e coeren? con quanto previsto dalle disposizioni di Banca d'Italia

Elemen@ guida e iter del processo di esternalizzazione

1. Individuazione delle esigenze di esternalizzazione e analisi preliminare

2. Analisi tecnica

3. Selezione e valutazione del fornitore

4. Approvazione operazione di esternalizzazione

5. Comunicazione preven?va dell’operazione alla Banca d’Italia

6. Definizione del contra9o di esternalizzazione

7. Approvazione e perfezionamento dell’accordo e aCvazione del servizio

8. Ges?one opera?va del rapporto e valutazione delle prestazioni del fornitore

9. Repor?ng e comunicazioni verso Banca d’Italia

Esternalizzazione di funzioni rilevan@ di par@colare cri@cità

Esternalizzazione di sistemi e servizi ICT Definizione del processo decisionale in merito all’esternalizzazione di sistemi e servizi ICT comprensivo della valutazione degli elemen? che possono determinare il successo o l’insuccesso delle strategie aziendali. Il processo pone l'a9enzione alla valutazione dei rischi che le scelte di esternalizzazione comportano e la valutazione delle misure adeguate per il loro contenimento

Esternalizzazione del servizio di tra^amento del contante Per i servizi specifici quali quello del tra9amento del contante, è definito il processo volto alla scelta del contraente, che deve fondarsi sull’accertamento della sua piena affidabilità, tali controlli considerano la corre9ezza della ges?one e dell’adeguatezza delle stru9ure e dei processi organizza?vi, sia nell’esercizio di efficaci controlli successivi, da svolgere nel con?nuo per verificare l’ordinato e corre9o svolgimento dell’aCvità nel pieno rispe9o delle norme vigen?

Misure semplificate in caso di esternalizzazione di funzioni

non FOI

Con riferimento all’esternalizzazione di Funzioni Opera?ve non Importan?, la Banca valuta a seconda dei casi e della cri?cità della funzione ogge9o di esternalizzazione, l’iter da prevedere ai fini del compimento dell’operazione sebbene la linea guida seguita è generalmente comune per FOI e non FOI






Allega@

Processo decisionale esternalizzazione Template standard RfP Griglia di valutazione per RfP Checklist di revisione cotnra9uale Griglie di valutazione per albo fornitori



Business Case 1.a Il Framework di revisione contrattuale

Tra gli allega? alla Policy di Esternalizzazione, è stato definito un Framework di revisione contra?uale che prevede una checklist volta ad indirizzare 22 ambi? di analisi per un totale di oltre 80 controlli in essere di cui 33 defini( dalla norma(va di riferimento

Framework di revisione

contraTuale

1. Requisi( generali 2. Service Level Agreement (SLA) 3. Sicurezza e confidenzialità 4. Diriô di audit 5. Repor(s(ca 6. Cos( e penali 7. Sub-‐contractors e fornitori mul(pli 8. Proprietà e Licenza 9. Risoluzione delle dispute 10. Manleva 11. Limitazioni di responsabilità

6/11 4/5 3/5 1/4 -‐/1 -‐/1 1/2 1/2 -‐/1 -‐/1 -‐/1

12. Risoluzione (Tempis(che e cos() 2/4

# contr. norma(vi/ tot Ambito analisi 263/2006






13. Compliance 1/4 14. Clausole contraûali specifiche 3/4 15. Con(nuità Opera(va 5/13 16. Requisi( generali contra\ di fornitura servizi ICT -‐/4 17. Integrità e confidenzialità dei da( 1/4 18. Ges(one dei cambiamen( e delle configurazioni -‐/4 19. Protezione da so|ware malevolo -‐/2 20. Disponibilità del servizio -‐/3 21. Trasferimento di competenze -‐/1 22. Clausole contraûali specifiche ICT 5/6



Business Case 1.b Il Template contrattuale standard

Ulteriore allegato alla Policy di Esternalizzazione è il Template Contra?uale Standard volto a definire un impianto contra9uale cos?tuito da clausole, pre-‐approvate e compliant alla norma?va di riferimento, su cui impostare i nuovi contraC per le aCvità esternalizzate della Banca








Business Case 2. La Policy di Exit Strategy

A supporto della Policy di Esternalizzazione, è stata predisposta una policy volta ad iden?ficare le linee guida per la corre9a ges(one della strategia di uscita di funzioni, servizi e/o aCvità aziendali esternalizzate del sistema informa?vo (outsourcing). La policy prende in considerazione le varie fasi del ciclo di vita del servizio esternalizzato, a par?re dalla prima negoziazione/stesura del contra9o fino al trasferimento del servizio verso una nuova terza parte o alla reinternalizzazione

FASE 1 – Definizione aspeN

contraTuali

FASE 2 – Monitoraggio e

revisione

FASE 3 – Valutazione uscita (Approaching exit)

FASE 4 – Ges@one dell'uscita (Managing exit)

Ciclo di vita

de

l servizio

t Negoziazione Ges(one della terza parte

�  Selezione del fornitore (RfP/RfQ)

�  Definizione degli aspeC contra9uali lega? al servizio

�  Negoziazione dei termini e degli aspeC economici

�  ACvazione del servizio (erogazione)

�  Monitoraggio SLA

�  Monitoraggio andamento

�  Monitoraggio cos? �  Ges?one inciden?

�  ...

Valutazione driver

cambiamento

Ges(one transizione del servizio

(verso altra terza parte o reinternalizzazione)

�  Predisposizione dell'Exit Plan �  Predisposizione migrazione /

assistenza al trasferimento �  Periodo di parallelo

�  Validazione nuovo modello di servizio

�  …

�  Decisione di analisi e valutazione dell'exit

�  Predisposizione business case

�  Decisione di ricorso all'exit








Business Case 3. L’aggiornamento dei contratti FOI






Con l’obieCvo di applicare quanto previsto a livello metodologico e di rispondere entro la data di efficacia all’adeguamento dei contraC rilevan? di esternalizzazione, sono sta? defini(/revisiona( 13 contra\ FOI. Tra ques? i contraC con:

�  SEC Servizi, il principale outsourcer del Sistema Informa?vo della Banca �  Telecom Italia, il principale fornitore di rete e sicurezza infrastru9urale �  i maggiori fornitori di Servizi Opera(vi �  i principali fornitori di recupero credi( �  i fornitori dei sistemi di informazioni credi(zie �  i fornitori di accesso ai merca(

Framework di revisione

contraTuale

Partendo dall’applicazione della checklist, si sono iden?fica? per ogni contra9o i principali gap da colmare/indirizzare nella revisione e successiva negoziazione con il fornitore



Domande…



Grazie per l’attenzione!

Riferimenti per contatti: Luca Lazzaretto [email protected] Rosangela D'Affuso [email protected]

15° Aggiornamento Circolare 263/2006: … 29.4.2015 - Padova - ISACA VENICE Chapter...

Documents

Transcript of 15° Aggiornamento Circolare 263/2006: … 29.4.2015 - Padova - ISACA VENICE Chapter...