GENERALI GROUP Ufficio del Dirigente Preposto€¦ · Cobit AI7.12, ITIL SS 8.5.12, ISO27001...

GENERALI GROUPUfficio del Dirigente Preposto

L’integrazione delle best practice per una best practice de facto

Padova, 13 Novembre 2008

1Agenda

Il Gruppo GeneraliIl Gruppo Generali

La legge 262/05La legge 262/05

FrameworkFramework

MetodologiaMetodologia

Lesson learnedLesson learned

Il progetto FARGIl progetto FARG

2Il Gruppo Generali

Il Gruppo Generali nasce nel 26 Dicembre 1831 con la firma dell’atto che sancisce la nascita delle Assicurazioni Generali Austro-Italiche

Il Gruppo Generali è oggi presente in 40 Paesi consolidando la propria posizione tra i maggiori gruppi assicurativi mondiali

3Il Gruppo Generali - Organigramma

Il Consiglio di Amministrazione, riunitosi il 25 settembre a Venezia sotto la presidenza di Antoine Bernheim, ha deliberato la nomina del direttore generale e CFO, Raffaele Agrusti, a Dirigente preposto alla redazione dei documenti contabili societari della Compagnia

4Agenda



FrameworkFramework




5

…che hanno condotto il legislatore locale a compiere il percorso che si è concluso con l’emanazione della Legge 262/05.

Enron (2002)

Worldcom (2002)

Cirio (2002),

Parmalat (2003)

Finmatica (2004)

SarbanesOxley Act

l. 262/05

Gli antefatti…

6

Procedure Adeguate procedure amministrative e contabili per la formazione del bilancio di esercizio e, ove previsto, del bilancio consolidato nonché di ogni altra comunicazione di carattere finanziario

An adequate internal control structure and procedures for financial reporting”

Il Dirigente Preposto alla redazione dei documenti contabili societari (art 154-bis TUF modificato dalla Legge 262/05)

Chief Financial OfficerSoggetto

Attestazione Attestazione del bilancio d’esercizio/bilancio consolidato/relazione semestrale da parte degli Organi Amministrativi e del Dirigente Preposto

Management Assessment of internal control

Alla Società di Revisione, nella disciplina USA, è assegnato il compito di certificare il contenuto del Bilancio e la valutazione del management sulle procedure di controllo interno

Localmente la seconda valutazione non è prevista.

La normativa nazionale e internazionale

7

Sezione V-bis.

Redazione dei documenti contabili societari.

Art. 154-bis. - (Dirigente preposto alla redazione dei documenti contabili societari)

2. Gli atti e le comunicazioni della società previste dalla legge o diffuse al mercato, contenenti informazioni e dati sulla situazione economica, patrimoniale o finanziaria della stessa società, sono accompagnati da una dichiarazione scritta del direttore generale e del dirigente preposto alla redazione dei documenti contabili societari, che ne attestano la corrispondenza al vero.

3. Il dirigente preposto alla redazione dei documenti contabili societari predispone adeguate procedure amministrative e contabili per la predisposizione del bilancio di esercizio e, ove previsto, del bilancio consolidato nonché di ogni altra comunicazione di carattere finanziario.

4. Al dirigente preposto alla redazione dei documenti contabili societari devono essere conferiti adeguati poteri e mezzi per l’esercizio dei compiti attribuiti ai sensi del presente articolo.

5. Gli organi amministrativi delegati e il dirigente preposto alla redazione dei documenti contabili societari attestano con apposita relazione, allegata al bilancio di esercizio e, ove previsto, al bilancio consolidato, l’adeguatezza e l’effettiva applicazione delle procedure di cui al comma 3 nel corso dell’esercizio cui si riferisce il bilancio, nonché la corrispondenza del bilancio alle risultanze dei libri e delle scritture contabili. L’attestazione è resa secondo il modello stabilito con regolamento dalla CONSOB.

La legge 262/05

8Agenda



FrameworkFramework




9Il Progetto FARG

Il Gruppo Generali ha avviato nel mese di Gennaio 2007 il progetto FARG

FINANCIAL ACCOUNTING RISK GOVERNANCE

allo scopo di supportare la società all’allineamento con la L. 262/05, Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari.

Innalzamento del livello della qualità

dell’ambiente di controllo

Maggiore controllo e sensibilità

sull’operatività dei processi amministrativi

e contabili

Garanzia dal punto di vista IT di

disponibilità, riservatezza, integritàe correttezza dei dati

10

La normativa impatta in modo rilevante l’ambito dei Sistemi Informativi il corretto funzionamento delle infrastrutture e le applicazioni impiegate per l’acquisizione, l’elaborazione, la trasmissione e la rappresentazione delle informazioni amministrativo-contabili, ma NON identifica un preciso riferimento ad un framework

Il Progetto FARG e gli ITGC

Processi di business

Processi ITGC

11Agenda



FrameworkFramework




12Normativa e Metodologia

Art. 154-bis – comma 5

Gli organi amministrativi delegati e il Dirigente Preposto (…) attestano con apposita relazione (…) l’adeguatezza e l’effettiva applicazione delle procedure (…)

Rilevazione dei processi

!

Individuazione dei rischi

Definizione dei controlli chiave Test del

DisegnoTest di

EfficaciaWalkthrough

Adeguatezza Effettiva applicazione

13

Strumento adottato uniformemente da tutte le compagnie in scope

Patrimonio aziendale che garantisce al DP un adeguato livello informativo

Informazioni accessibili on line

Strumenti – FARG Tool

Database

Dirigente Preposto

Ufficio delDirigente Preposto

Società in scope

Revisione Interna

14Agenda



FrameworkFramework




15IT General Control

La normativa non identifica un preciso riferimento ad un “framework” in base al quale valutare l’adeguatezza dei processi inerenti l’ambito Sistemi Informativi.

• Risk Assessment• Control environment and activities• Information and communication• Monitoring

Establishes Internal Controls Framework for Financials

COSO – Internal Control Committee of Sponsoring Organizations

Establishes IT Framework for Control and Security34 detailed Control Objectives in 4 Domains:

• Plan & Organize IT• Acquire & Implements• Deliver & Support• Monitor & Evaluate

COBIT – IT ControlsControl Objectives for Informationand related Technology

16Referenze internazionali

Le organizzazioni dovrebbero considerare e adottare una varietà di modelli IT, standards e best practices.

ISO 9000

ITIL

COSO

WHAT HOW

SCOPE OF COVERAGE

Source: ISACA, Introductory COBIT Presentation, Overview of IT Governance and the COBIT Framework

COBITISO 17799

17La formula del Framework de facto

=+

ITIL Gestione della SicurezzaGestione dei datiBusiness ContinuityDisaster Recovery

COBIT Controlli InterniIntegrazione tra control objectives e processi

ISO 17799 Change Management Ciclo di Vita del sw

+

18Framework ITGC

Il Framework costituito per l’analisi degli ITGC si compone dei seguenti macro processi

Change Management

Gestione dei Dati

Ciclo di vita del SW

Controlli Interni

Business ContinuityDisaster Recovery Gestione della

sicurezza

19Framework - Change Management

Gestione dei cambiamenti apportati all’ambiente di produzione, minimizzando gli impatti e cercando di migliorare l’operativitàdell’azienda

Definizione e diffusione delle procedure e dei ruoli per il Change Management

Pianificazione dei cambiamenti

Test delle modifiche

Gestione del passaggio in produzione

Storicizzazione, tracciatura delle modifiche

Post-implementation review

Gestione degli interventi in emergenza

20Framework - Ciclo di vita del Software

Gestione delle diverse fasi di uno sviluppo software, ovvero la raccolta dei requisiti di business, il disegno, l’implementazione, il rilascio e la manutenzione

Definizione e diffusione delle procedure di ciclo di vita del software (SDLC)

Valutazione di impatto, costi, priorità e autorizzazione

Fasi di test e User Acceptance Test

Chiusura della fase di sviluppo

21Framework - Gestione dei dati

Scopo principale del processo di Gestione dei dati è assicurare la completezza, l’accuratezza, la disponibilità e la protezione dei dati aziendali

Controlli di completezza, accuratezza e autorizzazione dell’input

Integrità dei processi elaborativi

Trattamento degli errori nell’elaborazione dei dati

Gestione delle interfacce

Trattamento degli errori nelle interfacce o nelle elaborazioni

Gestione delle eccezioni e degli interventi manuali

22

Minimizzare l’impatto sul business in caso di interruzionedei servizi IT

Definizione di una metodologia di riferimento

Identificazione risorse IT critiche

Valutazione degli impatti sul business

Identificazione del personale IT critico

Definizione del piano di continuità IT

Verifica e test del piano di continuità IT

Manutenzione del piano di continuità IT ed allineamento strategico

Piani di backup e verifica dei ripristini

Framework - Business Continuity

23Framework - Controlli Interni

Scopo principale del processo Controlli interni IT è assicurare il governo dell’infrastruttura informatica in linea con quanto previsto dal modello di governo generale dell’azienda

Analisi dei rischi

Garantire il governo dell’IT

24Framework - Gestione della sicurezza

Definizione e diffusione delle politiche di sicurezza

Gestione ed organizzazione della sicurezza

Identificazione degli asset e delle risorse critiche

Ciclo di vita delle autorizzazioni e dei profili utente

Gestione delle autenticazioni utente

Gestione degli incidenti di sicurezza e delle contromisure

Monitoraggio e verifica della sicurezza

Protezione perimetrale fisica e logica

Gestione delle chiavi crittografiche e dei certificati

Prevenzione e gestione delle frodi

Prevenzione, rilevazione ed eliminazione del software malevolo

Assessment di sicurezza indipendenti

Mantenere l’integrità dell’infrastruttura informatica, minimizzando l’impatto delle vulnerabilità e degli incidenti di sicurezza

25Agenda



FrameworkFramework




26Lesson learned – Centralità degli ITGC

Il presidio delle procedure amministrative e contabili non può prescindere dal governo dei sistemi informativi su cui tali procedure si appoggiano (siano essi articolati ERP, sistemi legacy o semplici applicativi di Office Automation).

I processi amministrativi e contabili sono oggi fortemente standardizzati ed automatizzati, a seguito dell’utilizzo di sistemi informativi integrati;

le logiche informatiche tracciano e descrivono la maggior parte delle transazioni di natura contabile e costituiscono pertanto evidenza delle modalità di gestione delle operazioni aziendali;

i sistemi informativi gestiscono i più importanti volumi di transazioni con rilevanza contabile cui sono pertanto associabili significativi rischi di errori e manipolazioni.

27

PROCESS High Priority Medium Priority TotalBusiness Continuity e Disaster Recovery 6 4 10Change Management 6 6 12Data Management 5 3 8Internal Controls 2 1 3Security Management 13 8 21Software Development Life Cycle (SDLC) 3 3 6Total 35 25 60

PROCESS High Priority Medium Priority TotalBusiness Continuity e Disaster Recovery 6 4 10Change Management 6 3 9Data Management 5 2 7Internal Controls 2 1 3Security Management 13 7 20Software Development Life Cycle (SDLC) 3 2 5Total 35 19 54

Il framework non è statico, ma in progressivo divenire sulla base dell’esperienza

Lesson learned – Fine tuning

28

Cobit AI6.3, ITIL SS8.5.11 SS8.5.14, ISO27001 10.1.2;Service Operation 7.5.2 (Process - Problem resolution)

Cobit AI6.3, ITIL Service Transition 6.2 (Change Management), ISO27001 10.1.2

Cobit AI7.12, ITIL SS 8.5.12, ISO27001 12.5.2;Continual Service Improvement 8.6.5 (Analysing the data)

Referenze esplicite alle best practice di riferimento

Lesson learned – Best practice

29

Integrazione del framework con l’adozione del Capability MaturityModel

Lesson learned – Integrazione framework

Source: www.askprocess.com

30

Il framework è stato analizzato e condiviso in occasione di un workshop cui hanno preso parte i vari referenti IT delle società in scope

Creazione di relazioni personali e collaborative

Maggio 2008

Lesson learned – Condivisione

31Any questions?

GENERALI GROUP Ufficio del Dirigente Preposto€¦ · Cobit AI7.12, ITIL SS 8.5.12, ISO27001...

Documents

Transcript of GENERALI GROUP Ufficio del Dirigente Preposto€¦ · Cobit AI7.12, ITIL SS 8.5.12, ISO27001...