GENERALI GROUP Ufficio del Dirigente Preposto€¦ · Cobit AI7.12, ITIL SS 8.5.12, ISO27001...
Transcript of GENERALI GROUP Ufficio del Dirigente Preposto€¦ · Cobit AI7.12, ITIL SS 8.5.12, ISO27001...
GENERALI GROUPUfficio del Dirigente Preposto
L’integrazione delle best practice per una best practice de facto
Padova, 13 Novembre 2008
1Agenda
Il Gruppo GeneraliIl Gruppo Generali
La legge 262/05La legge 262/05
FrameworkFramework
MetodologiaMetodologia
Lesson learnedLesson learned
Il progetto FARGIl progetto FARG
2Il Gruppo Generali
Il Gruppo Generali nasce nel 26 Dicembre 1831 con la firma dell’atto che sancisce la nascita delle Assicurazioni Generali Austro-Italiche
Il Gruppo Generali è oggi presente in 40 Paesi consolidando la propria posizione tra i maggiori gruppi assicurativi mondiali
3Il Gruppo Generali - Organigramma
Il Consiglio di Amministrazione, riunitosi il 25 settembre a Venezia sotto la presidenza di Antoine Bernheim, ha deliberato la nomina del direttore generale e CFO, Raffaele Agrusti, a Dirigente preposto alla redazione dei documenti contabili societari della Compagnia
4Agenda
Il Gruppo GeneraliIl Gruppo Generali
La legge 262/05La legge 262/05
FrameworkFramework
MetodologiaMetodologia
Lesson learnedLesson learned
Il progetto FARGIl progetto FARG
5
…che hanno condotto il legislatore locale a compiere il percorso che si è concluso con l’emanazione della Legge 262/05.
Enron (2002)
Worldcom (2002)
Cirio (2002),
Parmalat (2003)
Finmatica (2004)
SarbanesOxley Act
l. 262/05
Gli antefatti…
6
Procedure Adeguate procedure amministrative e contabili per la formazione del bilancio di esercizio e, ove previsto, del bilancio consolidato nonché di ogni altra comunicazione di carattere finanziario
An adequate internal control structure and procedures for financial reporting”
Il Dirigente Preposto alla redazione dei documenti contabili societari (art 154-bis TUF modificato dalla Legge 262/05)
Chief Financial OfficerSoggetto
Attestazione Attestazione del bilancio d’esercizio/bilancio consolidato/relazione semestrale da parte degli Organi Amministrativi e del Dirigente Preposto
Management Assessment of internal control
Alla Società di Revisione, nella disciplina USA, è assegnato il compito di certificare il contenuto del Bilancio e la valutazione del management sulle procedure di controllo interno
Localmente la seconda valutazione non è prevista.
La normativa nazionale e internazionale
7
Sezione V-bis.
Redazione dei documenti contabili societari.
Art. 154-bis. - (Dirigente preposto alla redazione dei documenti contabili societari)
2. Gli atti e le comunicazioni della società previste dalla legge o diffuse al mercato, contenenti informazioni e dati sulla situazione economica, patrimoniale o finanziaria della stessa società, sono accompagnati da una dichiarazione scritta del direttore generale e del dirigente preposto alla redazione dei documenti contabili societari, che ne attestano la corrispondenza al vero.
3. Il dirigente preposto alla redazione dei documenti contabili societari predispone adeguate procedure amministrative e contabili per la predisposizione del bilancio di esercizio e, ove previsto, del bilancio consolidato nonché di ogni altra comunicazione di carattere finanziario.
4. Al dirigente preposto alla redazione dei documenti contabili societari devono essere conferiti adeguati poteri e mezzi per l’esercizio dei compiti attribuiti ai sensi del presente articolo.
5. Gli organi amministrativi delegati e il dirigente preposto alla redazione dei documenti contabili societari attestano con apposita relazione, allegata al bilancio di esercizio e, ove previsto, al bilancio consolidato, l’adeguatezza e l’effettiva applicazione delle procedure di cui al comma 3 nel corso dell’esercizio cui si riferisce il bilancio, nonché la corrispondenza del bilancio alle risultanze dei libri e delle scritture contabili. L’attestazione è resa secondo il modello stabilito con regolamento dalla CONSOB.
La legge 262/05
8Agenda
Il Gruppo GeneraliIl Gruppo Generali
La legge 262/05La legge 262/05
FrameworkFramework
MetodologiaMetodologia
Lesson learnedLesson learned
Il progetto FARGIl progetto FARG
9Il Progetto FARG
Il Gruppo Generali ha avviato nel mese di Gennaio 2007 il progetto FARG
FINANCIAL ACCOUNTING RISK GOVERNANCE
allo scopo di supportare la società all’allineamento con la L. 262/05, Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari.
Innalzamento del livello della qualità
dell’ambiente di controllo
Maggiore controllo e sensibilità
sull’operatività dei processi amministrativi
e contabili
Garanzia dal punto di vista IT di
disponibilità, riservatezza, integritàe correttezza dei dati
10
La normativa impatta in modo rilevante l’ambito dei Sistemi Informativi il corretto funzionamento delle infrastrutture e le applicazioni impiegate per l’acquisizione, l’elaborazione, la trasmissione e la rappresentazione delle informazioni amministrativo-contabili, ma NON identifica un preciso riferimento ad un framework
Il Progetto FARG e gli ITGC
Processi di business
Processi ITGC
11Agenda
Il Gruppo GeneraliIl Gruppo Generali
La legge 262/05La legge 262/05
FrameworkFramework
MetodologiaMetodologia
Lesson learnedLesson learned
Il progetto FARGIl progetto FARG
12Normativa e Metodologia
Art. 154-bis – comma 5
Gli organi amministrativi delegati e il Dirigente Preposto (…) attestano con apposita relazione (…) l’adeguatezza e l’effettiva applicazione delle procedure (…)
Rilevazione dei processi
!
Individuazione dei rischi
Definizione dei controlli chiave Test del
DisegnoTest di
EfficaciaWalkthrough
Adeguatezza Effettiva applicazione
13
Strumento adottato uniformemente da tutte le compagnie in scope
Patrimonio aziendale che garantisce al DP un adeguato livello informativo
Informazioni accessibili on line
Strumenti – FARG Tool
Database
Dirigente Preposto
Ufficio delDirigente Preposto
Società in scope
Revisione Interna
14Agenda
Il Gruppo GeneraliIl Gruppo Generali
La legge 262/05La legge 262/05
FrameworkFramework
MetodologiaMetodologia
Lesson learnedLesson learned
Il progetto FARGIl progetto FARG
15IT General Control
La normativa non identifica un preciso riferimento ad un “framework” in base al quale valutare l’adeguatezza dei processi inerenti l’ambito Sistemi Informativi.
• Risk Assessment• Control environment and activities• Information and communication• Monitoring
Establishes Internal Controls Framework for Financials
COSO – Internal Control Committee of Sponsoring Organizations
Establishes IT Framework for Control and Security34 detailed Control Objectives in 4 Domains:
• Plan & Organize IT• Acquire & Implements• Deliver & Support• Monitor & Evaluate
COBIT – IT ControlsControl Objectives for Informationand related Technology
16Referenze internazionali
Le organizzazioni dovrebbero considerare e adottare una varietà di modelli IT, standards e best practices.
ISO 9000
ITIL
COSO
WHAT HOW
SCOPE OF COVERAGE
Source: ISACA, Introductory COBIT Presentation, Overview of IT Governance and the COBIT Framework
COBITISO 17799
17La formula del Framework de facto
=+
ITIL Gestione della SicurezzaGestione dei datiBusiness ContinuityDisaster Recovery
COBIT Controlli InterniIntegrazione tra control objectives e processi
ISO 17799 Change Management Ciclo di Vita del sw
+
18Framework ITGC
Il Framework costituito per l’analisi degli ITGC si compone dei seguenti macro processi
Change Management
Gestione dei Dati
Ciclo di vita del SW
Controlli Interni
Business ContinuityDisaster Recovery Gestione della
sicurezza
19Framework - Change Management
Gestione dei cambiamenti apportati all’ambiente di produzione, minimizzando gli impatti e cercando di migliorare l’operativitàdell’azienda
Definizione e diffusione delle procedure e dei ruoli per il Change Management
Pianificazione dei cambiamenti
Test delle modifiche
Gestione del passaggio in produzione
Storicizzazione, tracciatura delle modifiche
Post-implementation review
Gestione degli interventi in emergenza
20Framework - Ciclo di vita del Software
Gestione delle diverse fasi di uno sviluppo software, ovvero la raccolta dei requisiti di business, il disegno, l’implementazione, il rilascio e la manutenzione
Definizione e diffusione delle procedure di ciclo di vita del software (SDLC)
Valutazione di impatto, costi, priorità e autorizzazione
Fasi di test e User Acceptance Test
Chiusura della fase di sviluppo
21Framework - Gestione dei dati
Scopo principale del processo di Gestione dei dati è assicurare la completezza, l’accuratezza, la disponibilità e la protezione dei dati aziendali
Controlli di completezza, accuratezza e autorizzazione dell’input
Integrità dei processi elaborativi
Trattamento degli errori nell’elaborazione dei dati
Gestione delle interfacce
Trattamento degli errori nelle interfacce o nelle elaborazioni
Gestione delle eccezioni e degli interventi manuali
22
Minimizzare l’impatto sul business in caso di interruzionedei servizi IT
Definizione di una metodologia di riferimento
Identificazione risorse IT critiche
Valutazione degli impatti sul business
Identificazione del personale IT critico
Definizione del piano di continuità IT
Verifica e test del piano di continuità IT
Manutenzione del piano di continuità IT ed allineamento strategico
Piani di backup e verifica dei ripristini
Framework - Business Continuity
23Framework - Controlli Interni
Scopo principale del processo Controlli interni IT è assicurare il governo dell’infrastruttura informatica in linea con quanto previsto dal modello di governo generale dell’azienda
Analisi dei rischi
Garantire il governo dell’IT
24Framework - Gestione della sicurezza
Definizione e diffusione delle politiche di sicurezza
Gestione ed organizzazione della sicurezza
Identificazione degli asset e delle risorse critiche
Ciclo di vita delle autorizzazioni e dei profili utente
Gestione delle autenticazioni utente
Gestione degli incidenti di sicurezza e delle contromisure
Monitoraggio e verifica della sicurezza
Protezione perimetrale fisica e logica
Gestione delle chiavi crittografiche e dei certificati
Prevenzione e gestione delle frodi
Prevenzione, rilevazione ed eliminazione del software malevolo
Assessment di sicurezza indipendenti
Mantenere l’integrità dell’infrastruttura informatica, minimizzando l’impatto delle vulnerabilità e degli incidenti di sicurezza
25Agenda
Il Gruppo GeneraliIl Gruppo Generali
La legge 262/05La legge 262/05
FrameworkFramework
MetodologiaMetodologia
Lesson learnedLesson learned
Il progetto FARGIl progetto FARG
26Lesson learned – Centralità degli ITGC
Il presidio delle procedure amministrative e contabili non può prescindere dal governo dei sistemi informativi su cui tali procedure si appoggiano (siano essi articolati ERP, sistemi legacy o semplici applicativi di Office Automation).
I processi amministrativi e contabili sono oggi fortemente standardizzati ed automatizzati, a seguito dell’utilizzo di sistemi informativi integrati;
le logiche informatiche tracciano e descrivono la maggior parte delle transazioni di natura contabile e costituiscono pertanto evidenza delle modalità di gestione delle operazioni aziendali;
i sistemi informativi gestiscono i più importanti volumi di transazioni con rilevanza contabile cui sono pertanto associabili significativi rischi di errori e manipolazioni.
27
PROCESS High Priority Medium Priority TotalBusiness Continuity e Disaster Recovery 6 4 10Change Management 6 6 12Data Management 5 3 8Internal Controls 2 1 3Security Management 13 8 21Software Development Life Cycle (SDLC) 3 3 6Total 35 25 60
PROCESS High Priority Medium Priority TotalBusiness Continuity e Disaster Recovery 6 4 10Change Management 6 3 9Data Management 5 2 7Internal Controls 2 1 3Security Management 13 7 20Software Development Life Cycle (SDLC) 3 2 5Total 35 19 54
Il framework non è statico, ma in progressivo divenire sulla base dell’esperienza
Lesson learned – Fine tuning
28
Cobit AI6.3, ITIL SS8.5.11 SS8.5.14, ISO27001 10.1.2;Service Operation 7.5.2 (Process - Problem resolution)
Cobit AI6.3, ITIL Service Transition 6.2 (Change Management), ISO27001 10.1.2
Cobit AI7.12, ITIL SS 8.5.12, ISO27001 12.5.2;Continual Service Improvement 8.6.5 (Analysing the data)
Referenze esplicite alle best practice di riferimento
Lesson learned – Best practice
29
Integrazione del framework con l’adozione del Capability MaturityModel
Lesson learned – Integrazione framework
Source: www.askprocess.com
30
Il framework è stato analizzato e condiviso in occasione di un workshop cui hanno preso parte i vari referenti IT delle società in scope
Creazione di relazioni personali e collaborative
Maggio 2008
Lesson learned – Condivisione
31Any questions?