“Nuove Disposizioni di Vigilanza Prudenziale per le Banche ... · Cedacri in una slide Collecchio...

1

Stefano Arduini

Sessione di Studio AIEA Milano, 21/02/2014

“Nuove Disposizioni di

Vigilanza Prudenziale

per le Banche”: una

opportunità per gli

outsourcer di servizi IT?

2

AGENDA

Quali sono i principali impatti?

Come sono state affrontate?

Possono essere una opportunità?

Sessione

di Studio

AIEA

21/02/2014

Conclusioni

Le “Nuove disposizioni di vigilanza prudenziale per le banche”

e le Società di erogazione di servizi in outsourcing

3

Cedacri in una slide

Collecchio

Bari

Castellazzo Brescia

Cedacri ha uno dei principali data center in Italia con:

■ oltre 70 istituti clienti

■ più di 2.700 sportelli gestiti

■ 40.000 risorse utilizzatrici

■ oltre 40 milioni di transazioni giornaliere gestite

■ 30.000 MIPS di potenza elaborativa

■ 4.000 Server

Numero sportelli

Risorse utilizzatrici

Masse intermediate*

(mln €)

Circa il 10% del sistema bancario

italiano è attestato su Cedacri

1. UNICREDIT

2. INTESA SANPAOLO

3. MPS

4. CEDACRI

5. UBI

6. BANCO POPOLARE

7. BNL

8. BPER

9.322

6.841

2.671

2.700

1.727

1.922

894

1.297

156.354

96.170

30.265

40.000

19.086

18.917

13.946

11.834

1.127.109

753.983

277.685

197.000

194.695

190.729

112.386

91.383

* Fonte: Bilanci

2012

Core Business ■ Gestione completa del sistema informativo bancario:

− Soluzioni applicative − Infrastruttura tecnologica (HW, SW di base, network) − Help desk e presidio applicativo/funzionale − System Integration

Servizi offerti dalle Società del Gruppo ■ SiGrade: sviluppo soluzioni applicative verticali ■ C-Global: Gestione esternalizzata dei processi operativi bancari ■ Docugest: Stampa e postalizzazione di ogni tipologia di

documentazione ■ Cedacri International: Centro servizi localizzato in Moldova

Sito

Primario

Sito

DR

4

AGENDA




Sessione

di Studio

AIEA

21/02/2014

Conclusioni



5

Cosa chiedono le Nuove Disposizioni?

Il 2 luglio 2013 la Banca d’Italia, all’esito dell’attività di consultazione avviata nel

mese di settembre 2012, ha emesso l’aggiornamento n. 15 della Circolare n. 263

del 27 dicembre 2006 - “Nuove disposizioni di vigilanza prudenziale per le

banche”, che inserisce nel Titolo V nuovi capitoli relativi a:

a. sistema dei controlli interni (Capitolo 7);

b. sistema informativo (Capitolo 8);

c. continuità operativa (Capitolo 9).

La nuova disciplina costituisce un quadro normativo organico e coerente con le

migliori prassi internazionali e con le raccomandazioni dei principali organismi

internazionali, ispirandosi ad alcuni principi di fondo:

il coinvolgimento degli organi aziendali;

l’esigenza di assicurare una visione integrata dei rischi;

l’attenzione all’efficienza e all’efficacia dei controlli;

la valorizzazione del principio di proporzionalità.

6

■ Le banche che decidono di esternalizzare funzioni aziendali devono mantenere la capacità di controllo e la

responsabilità sulle attività esternalizzate, nonché le competenze tecniche e gestionali essenziali per re-internalizzare il

loro svolgimento in caso di necessità: non possono alterare il rapporto e gli obblighi nei confronti dei clienti, mettere a

rischio il rispetto degli obblighi previsti dalla normativa di vigilanza.

Nell’accordo scritto tra la banca e il fornitore di servizi

sono formalizzati e chiaramente definiti:

► i rispettivi obblighi, i livelli di servizio attesi

(espressi in termini oggettivi e misurabili), le

informazioni necessarie per la verifica del loro

rispetto

► gli eventuali conflitti di interesse e le opportune

cautele per prevenirli e attenuarli

► le condizioni al verificarsi delle quali possono essere

apportate modifiche all’accordo

► la durata dell’accordo e le modalità di rinnovo

► i livelli di servizio assicurati in caso di

emergenza, compatibili con le esigenze aziendali e

la normativa di vigilanza

► clausole risolutive per permettere alla banca di

porre termine all’accordo in caso di eventi che

possano compromettere la capacità del fornitore di

garantire il servizio o in caso di mancato rispetto del

livello di servizio concordato

► Dispone di competenza, capacità e autorizzazione per esercitare le funzioni esternalizzate

► Comunica tempestivamente alla banca qualsiasi evento che possa incidere sulla sua capacità di svolgere le funzioni esternalizzate in modo efficace e compliant con la normativa

► Garantisce la sicurezza, la disponibilità, l’integrità e la riservatezza delle informazioni relative all’attività della banca

► Conserva le competenze

richieste per controllare le

funzioni esternalizzate e

gestire i rischi connessi, inclusi

i potenziali conflitti di interesse

► Dispone di informazioni

adeguate per valutare le

misure previste dal fornitore di

servizi relativamente ai piani di

emergenza

► Ha accesso ai dati relativi alle

attività esternalizzate

► Concorda preventivamente con

il fornitore di servizi eventuali

rapporti di sub-

esternalizzazione

Banca Fornitore di servizi

Esternalizzazione di funzioni aziendali

7

L’esternalizzazione di sistemi e servizi ICT La gestione del rischio IT

Disposizioni di carattere generale

Governo e organizzazione dell’ICT

Sono definiti gli obiettivi e i

requisiti del sistema informativo

aziendale con particolare

riferimento agli aspetti

normativi associati

Con l’obiettivo di disciplinare

l’organizzazione dei controlli interni,

sono descritti ruoli e responsabilità

associati al governo e sviluppo e

alla gestione dei sistemi

informativi e del rischio

informatico e della sicurezza

Sono descritti i principi di

carattere generale riferiti al

processo di analisi, gestione

dei rischi IT e gli aspetti legati

all’accettazione formale del

rischio residuo

Il sistema di gestione della sicurezza informatica

IV.

Sono rappresentati i requisiti minimi

e le relative modalità di gestione

delle infrastrutture di sicurezza a

protezione dell’integrità, disponibilità e

riservatezza dei dati

VI. Sono valutati i requisiti di

sicurezza e protezione che

devono essere condivisi tra

l’intermediario e l’outsourcer

Il sistema di gestione dei dati

V.

Sono definiti i requisiti per la

realizzazione di un sistema di

tracciamento delle operazioni

aziendali funzionale alla attività di

analisi e reporting verso le funzioni di

gestione del business e per la

valutazione dell’evoluzione dei rischi

I. II.

III.

Sistema informativo

8

– Valutare e risolvere

le problematiche di

Data Management


le problematiche di

Data quality


le problematiche di

Data Security

– Gestire le soluzioni di

Data Quality


Data Management


Data Security

- V

eri

fica

re p

rob

lem

i te

cn

ici

- R

iso

lve

re p

rob

lem

i

tecn

ici

Data Assurance

– Definire le regole di

Data Assurance

– Effettuare controlli sui

Dati per finalità di

compliance e di

business

– Definire la strategia di

confidenzialità dei dati

(i.e. Database

encryption, data

access restriction,…)

– Implementare la

strategia di data

security


data security

Data Security

– Definire l’ Information

Security Policy

– Valutare la Data

classification e

assegnare un relativo

profilo di rischio

– Definire un modello di

risk appetite

– Effettuare il Risk

Assessment

– Definire la strategia

di integrità dei dati


di disponibilità dei

dati

– Implementare le

regole di Data

Quality


di Data Quality


di data integrity


di data availability

– Implementare la

strategia di data

quality


data quality

Data Quality

– Definire la Data Quality

Policy

Banca

ICT

Outsourcer


di Data Management

– Implementare la

strategia di data

management


data management

Data Management

– Definire i requisiti di

Business

-Defin

ire

I r

eq

uis

iti

-Eff

ett

ua

re I c

on

tro

lli

- D

efin

ire

l’a

rch

ite

ttu

ra d

i

Se

cu

rity

e i s

erv

izi

- Im

ple

me

nta

re e

ge

stire

le

so

luzio

ni

-V

alu

tare

e a

cce

tta

re

l’In

form

atio

ris

k

- D

efin

ire

l’a

rch

itu

ttu

ra e

I

se

rviz

i d

i d

ata

qu

alit

y

- Im

ple

me

nta

re e

ge

stire

le

so

luzio

ni

-D

efin

ire

I r

eq

uis

iti

- D

efin

ire

l’a

rch

ite

ttu

ra d

i

da

ta m

an

ag

em

ent

-D

efin

ire

I r

eq

uis

iti

- Im

ple

me

nta

re e

ge

stire

le

so

luzio

ni

Il sistema di gestione dei dati

9

Continuità Operativa

La nuova normativa:

■ Aggiorna gli scenari di crisi da considerare

■ Aggiorna i processi a rilevanza sistemica e ne stabilisce i tempi di ripristino e di ripartenza

■ Stabilisce i tempi di ripartenza della Banca per i blocchi generati da un fornitore

■ Individua il concetto di Escalation

■ Definisce il CODISE, struttura per il coordinamento delle crisi operative della piazza finanziaria italiana

presieduta dalla Banca d'Italia.

Ha assunto un’importanza chiave la revisione periodica della valutazione del rischio e l’adattamento delle strategie di sicurezza finalizzate a garantire un adeguato livello di continuità operativa anche in presenza di eventi catastrofici. Ha assunto un’importanza chiave la revisione periodica della valutazione del rischio e l’adattamento delle strategie di sicurezza finalizzate a garantire un adeguato livello di continuità operativa anche in presenza di eventi catastrofici.

Valutazione dell’evento

Reazione alla crisi Attività operative

durante l’emergenza

Ripristino del normale

funzionamento

Raccolta delle informazioni

relative all’evento

Sulla base degli elementi raccolti

valutazione degli effetti prodotti

dall’evento

Se necessario dichiarazione

dello stato di crisi

Avvio del piano operativo di

emergenza

Attivazione dei BET

Assegnazione delle mansioni

Gestione di eventuali

trasferimenti delle risorse

Esecuzione dei tutte le attività

necessarie per il recupero

dell’operatività dei processi critici e

per la gestione delle risorse

tecniche ed umane coinvolte

Esecuzione dei tutte le attività per

il ritorno al normale processo di

funzionamento. Le attività per il

ritorno alla normalità sono

progettate e coordinate dal Crisis

Manager.

COMUNICAZIONE AL CODISE COMUNICAZIONE AL CODISE

Dichiarazione dello stato di crisi Valutazione degli operatori

potenzialmente danneggiati

Aggiornamento dell’evoluzione

della Crisi Ripristino dello stato di normalità

10

AGENDA




Sessione

di Studio

AIEA

21/02/2014

Conclusioni



11

Gap Analysis Circolare 263

È stato realizzato un progetto di supporto specialistico alle banche per supportarle nell’autovalutazione richiesta dalle nuove disposizioni di vigilanza prudenziale; il progetto ha registrato l’adesione di circa 30 istituti utenti (*).

Dall’avvio della fase esecutiva (fine luglio 2013), a partire dal workshop di approfondimento sulla normativa e la successiva distribuzione del questionario di self-assessment, sono state svolte le attività di approfondimento e di realizzazione dell’analisi per gli istituti aderenti all’iniziativa, come precedentemente illustrato.

Obiettivo principale di tale progetto è stato la definizione delle linee guida di orientamento delle azioni che Cedacri realizzerà al fine di permettere alle Banche utenti il pieno adempimento ai nuovi requisiti normativi, in base alla rilevazione del posizionamento dei servizi da parte degli istituti.

L’identificazione e la pianificazione delle «azioni Cedacri» si integra nel più generale processo di pianificazione di Cedacri Group, di cui il Master Plan annuale rappresenta una delle principali componenti.

(*) Comprensivo dei gruppi bancari, pari a circa 85% dei volumi dei servizi di Full Outsourcing Bancario

12

Gap Analysis Banche

Gap Analysis Cedacri

Circ. 263 15° agg.

Circ. 263 15° agg.

Relaz. Bankit Relaz. Bankit

Cantier

e Q2

2

0

1

4

Q3

2

0

1

4

Q4

2

0

1

3

Q1

2

0

1

4

Q4

2

0

1

4

Priorità 3

01.1/01.2 Governo S.I. 01.1/01.2 Governo S.I.

Prima Milestone Normativa

01.3 Change Mgmt 01.3 Change Mgmt Priorità 2

01.4 Incident Mgmt 01.4 Incident Mgmt Priorità 2

02.1 Security Mgmt 02.1 Security Mgmt Priorità 1

03.1 Data Governance 03.1 Data Governance Priorità 1

04.1 Risk Mgmt 04.1 Risk Mgmt Priorità 1

05.1 Cont. Operativa 05.1 Cont. Operativa Priorità 1

06.1 Contratti e Allegati 06.1 Contratti e Allegati

Priorità 1

01.5 SLA Mgmt 01.5 SLA Mgmt Priorità 3

Prima Milestone Normativa

Ipotesi

Il progetto Cedacri, sviluppato sulla base dei

risultati raccolti dalle banche e sulla gap

analysis interna, è stato finalizzato alla

individuazione delle possibili aree di

intervento, per arrivare alla completa

conformità alle nuove disposizioni di vigilanza.

E’ stato costituito un team di progetto multi-

funzione che coordina le attività di:

• Analisi d’impatto dei requisiti normativi

• Raccolta dei risultati della gap analysis

svolta dalle banche aderenti al progetto di

supporto specialistico

• Sviluppo dei cantieri e stesura delle ipotesi

di lavoro e del piano degli interventi di

miglioramento eventualmente individuati

Il progetto interno

13

Il progetto è basato sulla metodologia utilizzata per l’analisi lato banche.

Le direttrici esecutive del progetto sono le seguenti:

- Raccolta dei risultati della gap analysis svolta dalle banche utenti, come percezione di conformità dei servizi Cedacri

- Gap analysis interna, svolta con la collaborazione delle varie funzioni, tramite la compilazione di questionari di analisi

dei requisiti normativi.

workshop

condivisione

interviste

Raccolta

questionari

Analisi

risposte

Presentazione

risultati

I questionari inviati alle varie funzioni sono

stati raccolti dal Gruppo di Lavoro e sono in

corso attività di razionalizzazione degli stessi

Le risposte sono state analizzate e si è

provveduto alla sintesi su azioni di alto livello,

che hanno portato alla proposta di

strutturazione dei cantieri del progetto Cedacri

(v. slide seguenti)

Una volta condivisa la proposta di progetto e il

relativo masterplan, i documenti dovranno

essere formalizzati agli istituti per

l’integrazione delle rispettive autovalutazioni

Attività

Scheda di sintesi

generale dei gap

rilevati ed azioni

identificate

(proposta)

Scheda di sintesi di

dettaglio per i singoli

gap rilevati e progetti

di adeguamento

condivisi

Pianificazione esecutiva degli

interventi riportati nel piano di

progetto Cedacri.

Il progetto Cedacri

14

06 Contratti e allegati

Verifica e eventuale

adeguamento contratti quadro

e allegati ai dettami normativi

(esternalizzazione)

06 Contratti e allegati

Verifica e eventuale

adeguamento contratti quadro

e allegati ai dettami normativi

(esternalizzazione)

02 Sicurezza Informatica

Security Management,

armonizzazione policy di

sicurezza, linee guida policy

banche, proposta nuovi servizi

02 Sicurezza Informatica

Security Management,

armonizzazione policy di

sicurezza, linee guida policy

banche, proposta nuovi servizi

03 Data Governance

Separazione ambienti

operativi, processi di Data

Quality, metodologie di

controllo qualità del dato

03 Data Governance

Separazione ambienti

operativi, processi di Data

Quality, metodologie di

controllo qualità del dato

01 Governance e

Organizzazione S.I.

Processi Change & Incident

mgmt, supporto specialistico /

organizzativo alle banche,

valutazione servizi ICT

01 Governance e

Organizzazione S.I.

Processi Change & Incident

mgmt, supporto specialistico /

organizzativo alle banche,

valutazione servizi ICT

04 Risk Mgmt e Sistema dei

controlli

IS Audit, certificazioni, risk

assessment (IT Risk

Framework), KRI e interfaccia

RAF banche

04 Risk Mgmt e Sistema dei

controlli

IS Audit, certificazioni, risk

assessment (IT Risk

Framework), KRI e interfaccia

RAF banche

05 BCM e DR

Piano di Continuità Operativa

e adeguamento Disaster

Recovery, capacity planning,

proposta nuovi servizi

05 BCM e DR

Piano di Continuità Operativa

e adeguamento Disaster

Recovery, capacity planning,

proposta nuovi servizi

Gap

Analysis

circ.263

Gap

Analysis

circ.263

Banche utenti - Progetto Cedacri - EY Banche utenti - Progetto Cedacri - EY

I cantieri del Progetto Cedacri

15

Sintesi situazione cantieri

Cantiere Attività in corso

01.1/01.2 Governance e

Organizzazione S.I.

Predisposizione template documenti di governo S.I. (all. A cap.8)

01.3 Change Management Predisposizione proposte di revisione dei processi di Change

Management (applicativo / infrastrutturale)

01.4 Incident Management Assessment casistiche e tipologie incidenti inerenti la sicurezza fisica

e le utilities infrastrutturali

01.5 SLA Management Proposta di integrazione SLA per servizi D/R

02.1 Security Management Predisposizione estratto delle policy di sicurezza Cedacri

03.1 Data Governance Progetto PdS: Sistema accentrato per quadratura e controllo

04.1 Risk Management Progetto PdS: Datawarehouse rischi

Estensione risk assessment ISAE, costituzione GdL multi-istituto per

definizione congiunta del processo

05.1 BCM e D/R Predisposizione estratto del BCP Cedacri per integrazione

documenti banche

06.1 Contratti e allegati Integrazione documenti contrattuali, nelle rinegoziazioni in corso, con i

contenuti proposti nei mesi scorsi (rif. Addendum contrattuale)

16

Master Plan circ.263 Cedacri (esemplificativo)

Cantiere Q2 2014 Q3 2014 Q4 2013 Q1 2014 Q4 2014

Priorità 3 01.1/01.2 Governo S.I. 01.1/01.2 Governo S.I. Prima Milestone Normativa

01.3 Change Mgmt 01.3 Change Mgmt Priorità 2

01.4 Incident Mgmt 01.4 Incident Mgmt Priorità 2

02.1 Security Mgmt 02.1 Security Mgmt Priorità 1

03.1 Data Governance 03.1 Data Governance Priorità 1

04.1 Risk Mgmt 04.1 Risk Mgmt Priorità 1

05.1 Cont. Operativa 05.1 Cont. Operativa Priorità 1

06.1 Contratti e Allegati 06.1 Contratti e Allegati Priorità 1

01.5 SLA Mgmt 01.5 SLA Mgmt Priorità 3

Interventi a rilasci intermedi

Ipotesi di completamento

17

Risk profile

Risk appetite

Risk capacity

Risk tollerance

ICT Risk profile

= Residual

Risk

ICT Risk limit

ICT Potential Risk

Disaster Recovery

Mitigation

Risk Appetite Framework e analisi rischio ICT

La Circolare 263 ed il Rischio IT

18

La Circolare 263 ed il Rischio IT

Risk profile

Risk appetite

Risk capacity

Risk tollerance

Risk profile

Risk appetite

Risk capacity

Risk tollerance

Risk profile

Risk appetite

Risk capacity

Risk tollerance

ICT Risk profile

= Residual

Risk

ICT Risk limit

ICT Potential Risk

Disaster Recovery

Mitigation

19

Risk Appetite Framework

Risk Tolerance

Risk Appetite Livello Strategico

(top-down e preventivo)

Livello Operativo

(bottom-up e di monitoraggio on going)

Livello di rischio (complessivo e per tipologia) che

la banca intende assumere per il perseguimento

dei suoi obiettivi strategici

Devianza massima dal risk appetite consentita; la

soglia di tolleranza è fissata in modo da assicurare

in ogni caso alla banca margini sufficienti per

operare anche in condizioni di stress, entro il

massimo rischio assumibile

► Il Risk Appetite Framework (RAF) è il quadro di riferimento che definisce - in coerenza con il massimo rischio assumibile, il

business model e il piano strategico - i seguenti aspetti:

► la propensione al rischio,

► le soglie di tolleranza,

► i limiti di rischio,

► le politiche di governo dei rischi,

► i processi di riferimento.

► Dotarsi di un RAF vuol dire, pertanto, definire gli obiettivi di rischio che la banca intende e può raggiungere e tradurli in

vincoli e incentivi per la struttura aziendale, implementando un sistema di monitoraggio e reporting.

Rischio informatico Rischio informatico

Il Risk Appetite Framework

Rischio di Credito Rischio di

Mercato Rischio di Tasso

Rischio di

Concentrazione

Rischio

Operativo Rischio Residuo Rischio Liquidità Altri Rischi

20

Cedacri da tempo svolge una attività di Risk Analysis nell’ambito delle certificazioni ISAE

3402 e ISO 27001.

L’obiettivo dell’attività di Risk Analysis è di definire e valutare i rischi affrontati da Cedacri

rispetto alle proprie Attività Critiche e stabilire gli opportuni piani di azione per mitigare o

ridurre gli eventi che possono avere un potenziale impatto negativo sugli obiettivi e/o

sull’operatività aziendale.

Il processo di analisi prende in esame i rischi interni ed esterni dell'organizzazione

valutandone la verosimiglianza (ovvero probabilità o frequenza).

I risultati dell’analisi includono l'individuazione delle componenti critiche, la definizione delle

loro specifiche tecniche e la documentazione applicabile per identificare:

• la vulnerabilità e l'esposizione (verosimiglianza di evento) di Cedacri rispetto a tipi

specifici di incidenti;

• la concentrazione di Attività Critiche sullo stesso ambiente;

• una valutazione dei tipi di rischio che costituiscono una minaccia all'organizzazione;

• le priorità degli interventi da attuare per garantire la BCM ed i necessari controlli sui

possibili rischi;

• una strategia di controllo di gestione del rischio.

Le «Nuove disposizioni di vigilanza prudenziale per le banche» richiedono a Cedacri

l’evoluzione del proprio processo di Risk Analysis per renderlo conforme ai requisiti

normativi cui devono rispondere le Banche Clienti.

L’Analisi del Rischio

21

Processi e

servizi

Tools

Processi di Business Bancari

Applicazioni

► Catalogo dei

Processi IT

► Report ISAE 3402

► Catalogo dei

servizi

► Disponibilità dei

mgt tools di

incident e servizi

Configuration

Management DB

Principali facilitatori

KRI

1

Processi IT

Applicazioni ISAE 3402

Altri assets (e.s. DB) 2

Approccio al modello e programma di ITRM

22

Fasi e principali obiettivi

Stakeholders Assessment della situazione corrente

1

Sviluppo della strategia, del modello e del

sistema di reporting, interno e verso le

Banche

2

ITRM Strategia, Organizzazione e modello

di reporting

Sviluppo del modello di IT Risk

Management interno e definizione dei

flussi informativi verso le Banche

3

Modello di IT Risk Assessment

Valutazione dei rischi IT, trattamento e

accettazione del rischio e reporting

interno e verso le Banche

4

Valutazione e trattamento

Evoluzione del modello di IT Risk

Management e del sistema di reporting

5

Estensione ed evoluzione del modello

Fase

1

Fase 2

23

Le attività previste si possono così sintetizzare:

1. Creazione di un tavolo di lavoro per l’iniziativa di IT Risk Management;

2. Creazione di un framework di gestione del rischio informatico coerente con gli analoghi

schemi predisposti dalle Banche in ottica Basilea ed integrato con i processi di analisi

del rischio già esistenti;

3. Definizione delle metriche di misurazione del Rischio informatico (qualitativo vs

quantitativo, aggregato vs dettagliato);

4. Predisposizione di un colloquio con le Banche al fine di ricevere informazioni in termini

di ICT Risk Profile ed ICT Risk Limit;

5. Implementazione del processo di Risk Assessment in continuo;

6. Realizzazione di un flusso di alimentazione verso le Banche al contenente la

componente di Rischio informatico da riportare nei singoli framework.

Lo sviluppo del progetto di IT Risk

24

AGENDA




Sessione

di Studio

AIEA

21/02/2014

Conclusioni



25

Le opportunità nei confronti del mercato

La compliance normativa è prevista contrattualmente e, nei confronti dei clienti già acquisiti,

è quindi un obbligo.

Non viene ritenuto un fattore competitivo tra gli outsourcer, sebbene la diversa «qualità» delle

misure poste in essere potrebbe rappresentare un fattore di distinzione tra i diversi provider.

Riteniamo invece che potrebbe essere motivo di interesse per Banche che gestiscano

internamente il Sistema Informativo.

Pur non essendo un evento epocale quali «Anno 2000» o «Euro», che hanno avuto un

impatto diretto sugli applicativi, le Nuove Disposizioni richiedono importanti cambiamenti sia

organizzativi che di IT Governance che potrebbero spingere le Banche a valutare

l’opportunità di esternalizzare le funzioni ICT.

26

Le opportunità nei confronti dei Clienti

I requisiti posti dalla Autorità di Vigilanza agli outsourcer sono indirizzati principalmente alla IT

Governance ed ai processi interni, innalzando significativamente il livello di interazione tra le

Banche Clienti e l’outsourcer sia dal punto di vista «qualitativo» che «quantitativo».

La nuova normativa offre l’opportunità (impone) agli outsourcer il passaggio dal ruolo di mero

fornitore di servizi a quello di componente attiva ed integrata nei processi delle singole

Banche.

Quali sono gli aspetti di criticità?

■ Forma vs Sostanza

■ Cultura

■ Metodologia

■ Maturità del Sistema dei Controlli Interni

■ Formalizzazione e reportistica

In pratica si tratterà di una sorte di «stress test» per verificare l’effettiva tenuta del Sistema

dei Controlli Interni e delle certificazioni ad esso connesse.

27

Le opportunità verso la struttura interna

Il punto di vista dell’auditor

Negli outsourcer di norma prevale un approccio di natura tecnologia, fortemente orientato al

servizio, con un Sistema dei Controlli Interni funzionale al raggiungimento degli obiettivi di

business.

La compliance alle Nuove Disposizioni vede l’auditor in prima linea su diversi fronti, quali:

■ La «traduzione» dei requisiti normativi in un linguaggio famigliare ai tecnici, con link diretti

alle certificazioni ed ai processi già in essere;

■ Il supporto nella individuazione delle misure più opportune da adottare e comunque

■ La verifica della conformità delle misure adottate;

■ L’aggiornamento del Sistema dei Controlli Interni per recepire le nuove istanze normative.

È quindi una occasione privilegiata per «vendere» il prodotto Internal Audit!!!

28

AGENDA




Sessione

di Studio

AIEA

21/02/2014

Conclusioni



29

I benefici attesi

►Governance integrata

o Collegamento tra governance, risk management, risk control ed audit;

o Incremento dell’attenzione ai rischi e ai controlli nel business dovuto all’introduzione

sistematica dei controlli

►Incremento della trasparenza ed efficienza dei rischi e controlli

o Chiara allocazione delle responsabilità dei rischi e controlli, facilitazione della

razionalizzazione dei processi

o Riduzione della granularità dal momento che il focus è sui rischi più significativi

o Standardizzazione della documentazione dei processi, rischi e controlli, della

categorizzazione dei rischi così come la reportistica su tutti i tipi rischi e tutti i tipi di

business, riducendo ridondanze e chiudendo i gap individuati

►Incremento dell’efficacia dei controlli

o Rafforzamento del risk management e dei controlli nei processi di business

o Test periodici per valutare l’efficacia e l’effettività dell’esecuzione dei controlli

o Aggiornamento periodico della valutazione dei rischi più significativi e i relativi controlli

basati sulla risk experience, benchmark e cambiamenti nel contesto lavorativo

Conclusioni

30

Stefano Arduini Responsabile Area Internal Auditing, Certificazioni CEDACRI S.p.A. www.cedacri.it ----------------------------------------------------- Mobile: +39 335 6476855 Tel: +39 0521 807075 Fax: +39 0521 807901 Email: [email protected] -----------------------------------------------------

Grazie per l’attenzione

http://www.cedacri.it/

mailto:[email protected]

“Nuove Disposizioni di Vigilanza Prudenziale per le Banche ... · Cedacri in una slide Collecchio...

Documents

Transcript of “Nuove Disposizioni di Vigilanza Prudenziale per le Banche ... · Cedacri in una slide Collecchio...