Governance Risk and Compliance v3 · roadmap dall’attuale Phase 2 verso la standardizzazione e la...
27
Governance, Risk and Compliance.
Transcript of Governance Risk and Compliance v3 · roadmap dall’attuale Phase 2 verso la standardizzazione e la...
Governance, Risk and Compliance.������������
�� ����������
Governance, Risk and Compliance2 ©2007 Deloitte & Touche LLP. All rights reserved.
Agenda
• Ragioni della Governance IT
• Il mercato della compliance fino al 2007: un esempio
• I prossimi passi nel 2008
• Deloitte ERS
Le ragioni della Governance IT
Governance, Risk and Compliance4 ©2007 Deloitte & Touche LLP. All rights reserved.
Ragioni della Governance ITPremessa (1)
������������ ���������������������� ���������� ��������������������� ��������� ��������������������������������� ���! ����"#����������������� ��������������������������� ���� ��$����������%� ����������������&
!" ' �������������� �������������������(�� ��������������� ����������������������������� ����
�" ���)����� ��������������������*� ���������������� ����� ��������������� ���������� � �����
�������� ��������� ��������������� � ���������
Governance, Risk and Compliance5 ©2007 Deloitte & Touche LLP. All rights reserved.
Ragioni della Governance IT Premessa (2)
�������������������������������� �����������' �$����� ���������$���� ����������� �������������� ��������"
���)����� �����*� ��������������������������� ����� �)��������#��� ������� �+��������#"
���,������ ������������� ��� �������������-������������������������������������(�� ���������������������������������� ����� � �������������������������������������"
������ ������������� �������
Governance, Risk and Compliance6 ©2007 Deloitte & Touche LLP. All rights reserved.
Ragioni della Governance IT Premessa (3)
Le linee guida promosse dal PCAOB in ottica SOX, rappresentano la
roadmap dall’attuale Phase 2 verso la standardizzazione e la
centralizzazione di processi e controlli.
����� !"���#� �$� %�&��'$(����)� ����"�� ��������)*�+��",(��������
����� !"���#� �$� %�&��'$(����)� ����"�� ��������)*�+��",(��������
�����-!.������"�� ������ �� �����*�������
����� � �#
�����-!.������"�� ������ �� �����*�������
����� � �#
�����/!)���������������������
� ���������� �� ��
�����/!)���������������������
� ���������� �� ��
����+*�� �� ���������
� ��������*������������0
*��������#
�����1!&��� ������*2������� �� ��+&�������
���������
�����1!&��� ������*2������� �� ��+&�������
���������
��������+)� ����
)�������+. �����
Governance, Risk and Compliance7 ©2007 Deloitte & Touche LLP. All rights reserved.
Ragioni della Governance IT Overview
©2007 IT Governance Institute
PER
FOR
MA
NC
E
ME
ASU
RE
ME
NT RESOURCE
MANAGEMENT
RIS
KM
AN
AG
EM
ENT
VALUEDELIVERYSTRATEGIC
ALIGNMENT
.���� ����������������������������� ������ � ���� ������� ����������������� ������������������� �������$�������������� ���������$$������*"
)������������ �����)����������*&
/ 0����������������*���0����� ��(�������
/ +���$���� ����� �
/ &��'����������
/ )������� ����������
/ 1�����$�������������� ��������� �����
Governance, Risk and Compliance8 ©2007 Deloitte & Touche LLP. All rights reserved.
Obiettivo strategico dell’IT Governance è avvicinare la struttura ICT al Business,
superando la “sindrome del cacciavite”
e integrandosi con la Corporate Governance.
L’IT Governance è quindi il volante in mano all’ICT, per accrescerne il ruolo in seno alle strutture di business della Corporate attraverso il cost saving e l’aumento dell’efficacia del sistema di controllo IT.
Ragioni della Governance ITAllineamento al business e crezione di valore
Governance, Risk and Compliance9 ©2007 Deloitte & Touche LLP. All rights reserved.
Il cambio di visione che l’IT Governance può consentire alle linee di business è quella di percepire i rischi IT nella loro natura trasversale rispetto a tutti i processi aziendali.
Il rischio IT è un rischio di business
L’IT risk management integrato consente, oltre ad una maggiore efficienza, di vedere:
i rischi trasversali
i “rischi-cerniera”
Ragioni della Governance ITRisk management
Governance, Risk and Compliance10 ©2007 Deloitte & Touche LLP. All rights reserved.
Ragioni della Governance ITCompliance
Le aziende devono soddisfare diversi requisiti:
- normativi (SOX, EuroSOX, 262, 231, Privacy)
- di audit interno (rispetto a standard scelti dall’azienda)
- di audit esterno (revisione del bilancio o certificazioni).
Il Risk Management assume sempre più un ruolo cardine rispetto ai processi di business ed evolve, specialmente nelle grandi Corporate, da obbligo di compliance normativa a strumento strategico per l’evoluzione del business:
Governance, Risk e Compliance (GRC)
Governance
ComplianceRisk
Governance, Risk and Compliance11 ©2007 Deloitte & Touche LLP. All rights reserved.
Ragioni della Governance ITGestione delle risorse e delle Performance
La gestione ed il monitoraggio degli asset (hw, sw, dati, infrastrutture, risorse umane, processi e procedure organizzative) sono funzioni del business.
Da qui la necessità di controllare e tracciare la quantità e la qualità del contributo di ognuna rispetto ai risultati o alle performances attese. Si rende quindi necessaria la definizione di metriche (e relative soglie) e criteri di posizionamento rispetto ad un livello di maturità atteso.
l’IT value
Governance, Risk and Compliance12 ©2007 Deloitte & Touche LLP. All rights reserved.
L’approccio a Silos sin qui adottato mostra i propri limiti nella definizione di attività di controllo ridondanti (e poca copertura di quelle trasversali) e nell’inefficiente uso delle risorse, con un maggiore costo di gestione del Sistema.
),3 �4.�� 56�4.��1-
& &1 &- &/ & &1 &- &/ & &1 &- &/
�" � �"1� 7 �"�� �" � �"1� 7 �"���" � �"1� 7 �"��
�,8�.�"9�*9,&8"��:*
&*;<�)���
"���:��= *�,9�&,..��<�.��"��
Ragioni della Governance ITDall’approccio “a Silos”…
Governance, Risk and Compliance13 ©2007 Deloitte & Touche LLP. All rights reserved.
Il sistema di controllo unico, integrato e dinamico definito all�interno dell�IT Governance, sintetizza e aggrega i requisiti di Compliance e di Governance comuni, evidenziando i singoli controlli a presidio di pi2 rischi e consentendo l�eliminazione dei controlli ridondanti. L�approccio integrato riduce la complessit> del sistema di controllo, ne ottimizza le risorse e genera un minor costo della Compliance.
�9)�*8*���,8�.�"9�*9,&8"��:*
&*;<�)����,8<9�
"���:��= *�,9�&,..�
�,9),.��"��
),3 �4.�� 56�4.��1-
& &1 &- &/
�" �"1 7 �"�
Ragioni della Governance IT… all’approccio integrato
Governance, Risk and Compliance14 ©2007 Deloitte & Touche LLP. All rights reserved.
Ragioni della Governance ITScalabilità e manutenzione
La gestione integrata dei processi IT, visti come catene di attività di
processo (APi) e di attività di controllo (CAj) distinte, facilita il
monitoring dei gap multipli che insistono sullo stesso driver (owner,
societ3, applicazione), i controlli complementari che congiuntamente
presidiano lo stesso rischio nonch4 il singolo controllo a presidio di
pi� rischi, con benefici significativi in ottica di manutenzione.
"�1 �" "�
)��$� ���� 7 )��$� �����
7"�- �"�
)��$� ����1
"��
Il mercato della
compliance fino al 2007:
un esempio
Governance, Risk and Compliance16 ©2007 Deloitte & Touche LLP. All rights reserved.
Il mercato della compliance fino al 2007: un esempio
Ai fini SOX è stato costruito in molte grandi aziende a partire dal 2005 un modello per gli IT General Controls (ITGC).
A seguire è stata svolta una gap analysis per verificare gli scostamenti rispetto al modello SOX ITGC sia in termini di disegno (self assessment) che di operatività (test).
Un’analisi parallela ha coinvolto quei controlli applicativi di processo (PLC) che, d’accordo con la Corporate, sono stati considerati di responsabilità dell’ICT.
Sia sul fronte ITGC che PLC sono state avviate attività di remediation a fronte dei gap rilevati, con una parallela attività di bonifica per alcune tipologie di gap pregressi.
Governance, Risk and Compliance17 ©2007 Deloitte & Touche LLP. All rights reserved.
Il mercato della compliance fino al 2007: un esempio
Nel 2007 in alcune aziende particolarmente virtuose si è proceduto anche ad attività di:
Migrazione del framework ITGC da un’impostazione custom verso lo standard Cobit 4.1, con una frequente riduzione di attività di controllo SOX nel perimetro ed un’integrazione con attività di IT Governance, in fase iniziale quasi sempre escluse dall’analisi.
Risk assessment sugli ITGC (finalizzata ad un ulteriore restringimento del perimetro di test ed in coerenza con l’approccio risk based già seguito per i processi di business)
In accordo con le linee guida PCAOB (AS n°5) sulla razionalizzazione del sistema di controllo SOX, sono stati quindi definiti dei criteri di razionalizzazione per gli ITGC che unendo le efficienze della migrazione con il risk assessment comportano potenzialmente un significativo ridimensionamento dell’effort futuro per il test degli ITGC (le esperienze Deloitte hanno riscontrato una riduzione di circa il 60 %)
Governance, Risk and Compliance18 ©2007 Deloitte & Touche LLP. All rights reserved.
Il mercato della compliance fino al 2007: un esempio
Spesso sono state svolto, in parallelo alle attività di compliance SOX, anche altre attività con ampi margini di sovrapposizione:
Mappatura dei processi IT (alcuni su base ITIL altri su base custom)
Mantenimento del modello di controllo per la Privacy e la 231
Mantenimento del Sistema di Qualità dell’IT
Attività di Risk Analysis su base BIA a livello Corporate
to be continued ...
I prossimi passi nel 2008
Governance, Risk and Compliance20 ©2007 Deloitte & Touche LLP. All rights reserved.
I prossimi passi nel 2008Una prima ipotesi di attività per l’IT nel 2008
)
Il primo step per avviare l’IT ad un Sistema Integrato di Governance è il raffinamento/reengineering dei processi ITC, alcuni su base ITIL ed altri disegnati sulla base del reale flusso esistente nelle aziende (custom).Questa attività comporta:- omogeneizzazione dei livelli di processo- definizione del target ITIL- gap analysis rispetto ad ITIL dei processi pertinenti
- gap analysis rispetto al target dei processi custom
Governance, Risk and Compliance21 ©2007 Deloitte & Touche LLP. All rights reserved.
I prossimi passi nel 2008Una prima ipotesi di attività per l’IT nel 2008
)
A questo punto le aziende rischiano di trovarsi con una mappatura dei processi eterogenea e con alcuni sistemi di controllo specializzati (SOA, Security, Privacy, Qualità, etc.). E’ il momento della razionalizzazione e dell’integrazione nello stesso flusso dei processi IT di:
- rischi di processo- attività di controllo - punti di misura- asset coinvolti- documenti e procedure a supporto
L’obiettivo è garantire il governo dei processi IT e dei relativi rischi attraverso un Monitoring Continuo sia dei controlli automatici che di quelli manuali
Governance, Risk and Compliance22 ©2007 Deloitte & Touche LLP. All rights reserved.
I prossimi passi nel 2008Una prima ipotesi di attività per l’IT nel 2008
)
Con un modello integrato di processi, rischi e controlli IT si può passare alla verifica del modello completo di IT Governance rispetto ad un framework internazionale di riferimento (IT Governance Institute) ed in particolare:
- Modelli di Maturità dei processi (MM)
- Metriche e valori di soglia per il monitoring di processi e controlli
- Key Goal Indicators (KGI)
- Key Performances Indicators (KPI)
- IT Value
Governance, Risk and Compliance23 ©2007 Deloitte & Touche LLP. All rights reserved.
I prossimi passi nel 2008Una prima ipotesi di attività per l’IT nel 2008
)Un esempio di sviluppo di metriche rispetto a rischi ed obiettivi sia di business che IT ed a livello sia di processo che di attività:
5��������)��
������������������������������ ���(����$��� ���
�*�)��
0�����������(���������$���*���������������������(���������
�������)��
� ����%�������������������������������������$$���
0��������)��+�����������,������� ��������$$� ����������������3 �����
�������
6������1������
������ ������ �����������������������������������������������
6������1������
������ ������ ������*��������������� ����������
��������
6������1������
������ ������ ������*��������� ������������������$$���
6������1������
���,���$�� ������������� ������������ ��������$$�
Governance, Risk and Compliance24 ©2007 Deloitte & Touche LLP. All rights reserved.
Base di Conoscenzariporta le minacce/agenti/vulnerabilità/attacchi e le relative contromisure applicabili in uno specifico contesto (Processo) con diversi livelli di efficacia.
Tool per rappresentare lo scenario dell’analisipermette di definire i confini e le caratteristiche di rischio del perimetro di analisi che può essere effettuata per siti/aree fisiche o processi.
Motore di analisi del rischio e di conformitàeffettua in modalità automatica l’analisi del rischio e della conformità per il perimetro in esame evidenziando le eventuali carenze (gap analysis), gli interventi migliorativi da attuare e gli indicatori del rischio residuo.
Presentazione e analisi what-if dei risultaticonsente di avere viste multidimensionali sui risultati delle analisi del rischio e di ipotizzare diversi impatti a fronte di diversi scenari.
I prossimi passi nel 2008Ipotesi di tool per l’IT Governance
Deloitte ERS.EnterpriseRiskServices
Governance, Risk and Compliance26 ©2007 Deloitte & Touche LLP. All rights reserved.
• Governance ICT- Valutazione e implementazione del modello organizzativo, dei processi e dei
controlli del Sistema della Governance• Risk Assessment
- Risk Analysis & Risk Management• Supporto all’implementazione di tool
- Analisi delle specifiche e supporto all’implementazione• Privacy assessment
- Assessment, Gap Analysis e remediation Plan• SOX (US e EU) e 262
- Assessment, Gap Analysis e Remediation Plan• Security Assessment
- Assessment e remediation plan sul modello di Security- Vulnerability assessment e network review
Deloitte ERSLe nostre competenze
