“Nuove Disposizioni di Vigilanza Prudenziale per le Banche ... · Cedacri in una slide Collecchio...
Transcript of “Nuove Disposizioni di Vigilanza Prudenziale per le Banche ... · Cedacri in una slide Collecchio...
1
Stefano Arduini
Sessione di Studio AIEA Milano, 21/02/2014
“Nuove Disposizioni di
Vigilanza Prudenziale
per le Banche”: una
opportunità per gli
outsourcer di servizi IT?
2
AGENDA
Quali sono i principali impatti?
Come sono state affrontate?
Possono essere una opportunità?
Sessione
di Studio
AIEA
21/02/2014
Conclusioni
Le “Nuove disposizioni di vigilanza prudenziale per le banche”
e le Società di erogazione di servizi in outsourcing
3
Cedacri in una slide
Collecchio
Bari
Castellazzo Brescia
Cedacri ha uno dei principali data center in Italia con:
■ oltre 70 istituti clienti
■ più di 2.700 sportelli gestiti
■ 40.000 risorse utilizzatrici
■ oltre 40 milioni di transazioni giornaliere gestite
■ 30.000 MIPS di potenza elaborativa
■ 4.000 Server
Numero sportelli
Risorse utilizzatrici
Masse intermediate*
(mln €)
Circa il 10% del sistema bancario
italiano è attestato su Cedacri
1. UNICREDIT
2. INTESA SANPAOLO
3. MPS
4. CEDACRI
5. UBI
6. BANCO POPOLARE
7. BNL
8. BPER
9.322
6.841
2.671
2.700
1.727
1.922
894
1.297
156.354
96.170
30.265
40.000
19.086
18.917
13.946
11.834
1.127.109
753.983
277.685
197.000
194.695
190.729
112.386
91.383
* Fonte: Bilanci
2012
Core Business ■ Gestione completa del sistema informativo bancario:
− Soluzioni applicative − Infrastruttura tecnologica (HW, SW di base, network) − Help desk e presidio applicativo/funzionale − System Integration
Servizi offerti dalle Società del Gruppo ■ SiGrade: sviluppo soluzioni applicative verticali ■ C-Global: Gestione esternalizzata dei processi operativi bancari ■ Docugest: Stampa e postalizzazione di ogni tipologia di
documentazione ■ Cedacri International: Centro servizi localizzato in Moldova
Sito
Primario
Sito
DR
4
AGENDA
Quali sono i principali impatti?
Come sono state affrontate?
Possono essere una opportunità?
Sessione
di Studio
AIEA
21/02/2014
Conclusioni
Le “Nuove disposizioni di vigilanza prudenziale per le banche”
e le Società di erogazione di servizi in outsourcing
5
Cosa chiedono le Nuove Disposizioni?
Il 2 luglio 2013 la Banca d’Italia, all’esito dell’attività di consultazione avviata nel
mese di settembre 2012, ha emesso l’aggiornamento n. 15 della Circolare n. 263
del 27 dicembre 2006 - “Nuove disposizioni di vigilanza prudenziale per le
banche”, che inserisce nel Titolo V nuovi capitoli relativi a:
a. sistema dei controlli interni (Capitolo 7);
b. sistema informativo (Capitolo 8);
c. continuità operativa (Capitolo 9).
La nuova disciplina costituisce un quadro normativo organico e coerente con le
migliori prassi internazionali e con le raccomandazioni dei principali organismi
internazionali, ispirandosi ad alcuni principi di fondo:
il coinvolgimento degli organi aziendali;
l’esigenza di assicurare una visione integrata dei rischi;
l’attenzione all’efficienza e all’efficacia dei controlli;
la valorizzazione del principio di proporzionalità.
6
■ Le banche che decidono di esternalizzare funzioni aziendali devono mantenere la capacità di controllo e la
responsabilità sulle attività esternalizzate, nonché le competenze tecniche e gestionali essenziali per re-internalizzare il
loro svolgimento in caso di necessità: non possono alterare il rapporto e gli obblighi nei confronti dei clienti, mettere a
rischio il rispetto degli obblighi previsti dalla normativa di vigilanza.
Nell’accordo scritto tra la banca e il fornitore di servizi
sono formalizzati e chiaramente definiti:
► i rispettivi obblighi, i livelli di servizio attesi
(espressi in termini oggettivi e misurabili), le
informazioni necessarie per la verifica del loro
rispetto
► gli eventuali conflitti di interesse e le opportune
cautele per prevenirli e attenuarli
► le condizioni al verificarsi delle quali possono essere
apportate modifiche all’accordo
► la durata dell’accordo e le modalità di rinnovo
► i livelli di servizio assicurati in caso di
emergenza, compatibili con le esigenze aziendali e
la normativa di vigilanza
► clausole risolutive per permettere alla banca di
porre termine all’accordo in caso di eventi che
possano compromettere la capacità del fornitore di
garantire il servizio o in caso di mancato rispetto del
livello di servizio concordato
► Dispone di competenza, capacità e autorizzazione per esercitare le funzioni esternalizzate
► Comunica tempestivamente alla banca qualsiasi evento che possa incidere sulla sua capacità di svolgere le funzioni esternalizzate in modo efficace e compliant con la normativa
► Garantisce la sicurezza, la disponibilità, l’integrità e la riservatezza delle informazioni relative all’attività della banca
► Conserva le competenze
richieste per controllare le
funzioni esternalizzate e
gestire i rischi connessi, inclusi
i potenziali conflitti di interesse
► Dispone di informazioni
adeguate per valutare le
misure previste dal fornitore di
servizi relativamente ai piani di
emergenza
► Ha accesso ai dati relativi alle
attività esternalizzate
► Concorda preventivamente con
il fornitore di servizi eventuali
rapporti di sub-
esternalizzazione
Banca Fornitore di servizi
Esternalizzazione di funzioni aziendali
7
L’esternalizzazione di sistemi e servizi ICT La gestione del rischio IT
Disposizioni di carattere generale
Governo e organizzazione dell’ICT
Sono definiti gli obiettivi e i
requisiti del sistema informativo
aziendale con particolare
riferimento agli aspetti
normativi associati
Con l’obiettivo di disciplinare
l’organizzazione dei controlli interni,
sono descritti ruoli e responsabilità
associati al governo e sviluppo e
alla gestione dei sistemi
informativi e del rischio
informatico e della sicurezza
Sono descritti i principi di
carattere generale riferiti al
processo di analisi, gestione
dei rischi IT e gli aspetti legati
all’accettazione formale del
rischio residuo
Il sistema di gestione della sicurezza informatica
IV.
Sono rappresentati i requisiti minimi
e le relative modalità di gestione
delle infrastrutture di sicurezza a
protezione dell’integrità, disponibilità e
riservatezza dei dati
VI. Sono valutati i requisiti di
sicurezza e protezione che
devono essere condivisi tra
l’intermediario e l’outsourcer
Il sistema di gestione dei dati
V.
Sono definiti i requisiti per la
realizzazione di un sistema di
tracciamento delle operazioni
aziendali funzionale alla attività di
analisi e reporting verso le funzioni di
gestione del business e per la
valutazione dell’evoluzione dei rischi
I. II.
III.
Sistema informativo
8
– Valutare e risolvere
le problematiche di
Data Management
– Valutare e risolvere
le problematiche di
Data quality
– Valutare e risolvere
le problematiche di
Data Security
– Gestire le soluzioni di
Data Quality
– Gestire le soluzioni di
Data Management
– Gestire le soluzioni di
Data Security
- V
eri
fica
re p
rob
lem
i te
cn
ici
- R
iso
lve
re p
rob
lem
i
tecn
ici
Data Assurance
– Definire le regole di
Data Assurance
– Effettuare controlli sui
Dati per finalità di
compliance e di
business
– Definire la strategia di
confidenzialità dei dati
(i.e. Database
encryption, data
access restriction,…)
– Implementare la
strategia di data
security
– Gestire le soluzioni di
data security
Data Security
– Definire l’ Information
Security Policy
– Valutare la Data
classification e
assegnare un relativo
profilo di rischio
– Definire un modello di
risk appetite
– Effettuare il Risk
Assessment
– Definire la strategia
di integrità dei dati
– Definire la strategia
di disponibilità dei
dati
– Implementare le
regole di Data
Quality
– Definire la strategia
di Data Quality
– Definire la strategia
di data integrity
– Definire la strategia
di data availability
– Implementare la
strategia di data
quality
– Gestire le soluzioni di
data quality
Data Quality
– Definire la Data Quality
Policy
Banca
ICT
Outsourcer
– Definire la strategia
di Data Management
– Implementare la
strategia di data
management
– Gestire le soluzioni di
data management
Data Management
– Definire i requisiti di
Business
-Defin
ire
I r
eq
uis
iti
-Eff
ett
ua
re I c
on
tro
lli
- D
efin
ire
l’a
rch
ite
ttu
ra d
i
Se
cu
rity
e i s
erv
izi
- Im
ple
me
nta
re e
ge
stire
le
so
luzio
ni
-V
alu
tare
e a
cce
tta
re
l’In
form
atio
ris
k
- D
efin
ire
l’a
rch
itu
ttu
ra e
I
se
rviz
i d
i d
ata
qu
alit
y
- Im
ple
me
nta
re e
ge
stire
le
so
luzio
ni
-D
efin
ire
I r
eq
uis
iti
- D
efin
ire
l’a
rch
ite
ttu
ra d
i
da
ta m
an
ag
em
ent
-D
efin
ire
I r
eq
uis
iti
- Im
ple
me
nta
re e
ge
stire
le
so
luzio
ni
Il sistema di gestione dei dati
9
Continuità Operativa
La nuova normativa:
■ Aggiorna gli scenari di crisi da considerare
■ Aggiorna i processi a rilevanza sistemica e ne stabilisce i tempi di ripristino e di ripartenza
■ Stabilisce i tempi di ripartenza della Banca per i blocchi generati da un fornitore
■ Individua il concetto di Escalation
■ Definisce il CODISE, struttura per il coordinamento delle crisi operative della piazza finanziaria italiana
presieduta dalla Banca d'Italia.
Ha assunto un’importanza chiave la revisione periodica della valutazione del rischio e l’adattamento delle strategie di sicurezza finalizzate a garantire un adeguato livello di continuità operativa anche in presenza di eventi catastrofici. Ha assunto un’importanza chiave la revisione periodica della valutazione del rischio e l’adattamento delle strategie di sicurezza finalizzate a garantire un adeguato livello di continuità operativa anche in presenza di eventi catastrofici.
Valutazione dell’evento
Reazione alla crisi Attività operative
durante l’emergenza
Ripristino del normale
funzionamento
Raccolta delle informazioni
relative all’evento
Sulla base degli elementi raccolti
valutazione degli effetti prodotti
dall’evento
Se necessario dichiarazione
dello stato di crisi
Avvio del piano operativo di
emergenza
Attivazione dei BET
Assegnazione delle mansioni
Gestione di eventuali
trasferimenti delle risorse
Esecuzione dei tutte le attività
necessarie per il recupero
dell’operatività dei processi critici e
per la gestione delle risorse
tecniche ed umane coinvolte
Esecuzione dei tutte le attività per
il ritorno al normale processo di
funzionamento. Le attività per il
ritorno alla normalità sono
progettate e coordinate dal Crisis
Manager.
COMUNICAZIONE AL CODISE COMUNICAZIONE AL CODISE
Dichiarazione dello stato di crisi Valutazione degli operatori
potenzialmente danneggiati
Aggiornamento dell’evoluzione
della Crisi Ripristino dello stato di normalità
10
AGENDA
Quali sono i principali impatti?
Come sono state affrontate?
Possono essere una opportunità?
Sessione
di Studio
AIEA
21/02/2014
Conclusioni
Le “Nuove disposizioni di vigilanza prudenziale per le banche”
e le Società di erogazione di servizi in outsourcing
11
Gap Analysis Circolare 263
È stato realizzato un progetto di supporto specialistico alle banche per supportarle nell’autovalutazione richiesta dalle nuove disposizioni di vigilanza prudenziale; il progetto ha registrato l’adesione di circa 30 istituti utenti (*).
Dall’avvio della fase esecutiva (fine luglio 2013), a partire dal workshop di approfondimento sulla normativa e la successiva distribuzione del questionario di self-assessment, sono state svolte le attività di approfondimento e di realizzazione dell’analisi per gli istituti aderenti all’iniziativa, come precedentemente illustrato.
Obiettivo principale di tale progetto è stato la definizione delle linee guida di orientamento delle azioni che Cedacri realizzerà al fine di permettere alle Banche utenti il pieno adempimento ai nuovi requisiti normativi, in base alla rilevazione del posizionamento dei servizi da parte degli istituti.
L’identificazione e la pianificazione delle «azioni Cedacri» si integra nel più generale processo di pianificazione di Cedacri Group, di cui il Master Plan annuale rappresenta una delle principali componenti.
(*) Comprensivo dei gruppi bancari, pari a circa 85% dei volumi dei servizi di Full Outsourcing Bancario
12
Gap Analysis Banche
Gap Analysis Cedacri
Circ. 263 15° agg.
Circ. 263 15° agg.
Relaz. Bankit Relaz. Bankit
Cantier
e Q2
2
0
1
4
Q3
2
0
1
4
Q4
2
0
1
3
Q1
2
0
1
4
Q4
2
0
1
4
Priorità 3
01.1/01.2 Governo S.I. 01.1/01.2 Governo S.I.
Prima Milestone Normativa
01.3 Change Mgmt 01.3 Change Mgmt Priorità 2
01.4 Incident Mgmt 01.4 Incident Mgmt Priorità 2
02.1 Security Mgmt 02.1 Security Mgmt Priorità 1
03.1 Data Governance 03.1 Data Governance Priorità 1
04.1 Risk Mgmt 04.1 Risk Mgmt Priorità 1
05.1 Cont. Operativa 05.1 Cont. Operativa Priorità 1
06.1 Contratti e Allegati 06.1 Contratti e Allegati
Priorità 1
01.5 SLA Mgmt 01.5 SLA Mgmt Priorità 3
Prima Milestone Normativa
Ipotesi
Il progetto Cedacri, sviluppato sulla base dei
risultati raccolti dalle banche e sulla gap
analysis interna, è stato finalizzato alla
individuazione delle possibili aree di
intervento, per arrivare alla completa
conformità alle nuove disposizioni di vigilanza.
E’ stato costituito un team di progetto multi-
funzione che coordina le attività di:
• Analisi d’impatto dei requisiti normativi
• Raccolta dei risultati della gap analysis
svolta dalle banche aderenti al progetto di
supporto specialistico
• Sviluppo dei cantieri e stesura delle ipotesi
di lavoro e del piano degli interventi di
miglioramento eventualmente individuati
Il progetto interno
13
Il progetto è basato sulla metodologia utilizzata per l’analisi lato banche.
Le direttrici esecutive del progetto sono le seguenti:
- Raccolta dei risultati della gap analysis svolta dalle banche utenti, come percezione di conformità dei servizi Cedacri
- Gap analysis interna, svolta con la collaborazione delle varie funzioni, tramite la compilazione di questionari di analisi
dei requisiti normativi.
workshop
condivisione
interviste
Raccolta
questionari
Analisi
risposte
Presentazione
risultati
I questionari inviati alle varie funzioni sono
stati raccolti dal Gruppo di Lavoro e sono in
corso attività di razionalizzazione degli stessi
Le risposte sono state analizzate e si è
provveduto alla sintesi su azioni di alto livello,
che hanno portato alla proposta di
strutturazione dei cantieri del progetto Cedacri
(v. slide seguenti)
Una volta condivisa la proposta di progetto e il
relativo masterplan, i documenti dovranno
essere formalizzati agli istituti per
l’integrazione delle rispettive autovalutazioni
Attività
Scheda di sintesi
generale dei gap
rilevati ed azioni
identificate
(proposta)
Scheda di sintesi di
dettaglio per i singoli
gap rilevati e progetti
di adeguamento
condivisi
Pianificazione esecutiva degli
interventi riportati nel piano di
progetto Cedacri.
Il progetto Cedacri
14
06 Contratti e allegati
Verifica e eventuale
adeguamento contratti quadro
e allegati ai dettami normativi
(esternalizzazione)
06 Contratti e allegati
Verifica e eventuale
adeguamento contratti quadro
e allegati ai dettami normativi
(esternalizzazione)
02 Sicurezza Informatica
Security Management,
armonizzazione policy di
sicurezza, linee guida policy
banche, proposta nuovi servizi
02 Sicurezza Informatica
Security Management,
armonizzazione policy di
sicurezza, linee guida policy
banche, proposta nuovi servizi
03 Data Governance
Separazione ambienti
operativi, processi di Data
Quality, metodologie di
controllo qualità del dato
03 Data Governance
Separazione ambienti
operativi, processi di Data
Quality, metodologie di
controllo qualità del dato
01 Governance e
Organizzazione S.I.
Processi Change & Incident
mgmt, supporto specialistico /
organizzativo alle banche,
valutazione servizi ICT
01 Governance e
Organizzazione S.I.
Processi Change & Incident
mgmt, supporto specialistico /
organizzativo alle banche,
valutazione servizi ICT
04 Risk Mgmt e Sistema dei
controlli
IS Audit, certificazioni, risk
assessment (IT Risk
Framework), KRI e interfaccia
RAF banche
04 Risk Mgmt e Sistema dei
controlli
IS Audit, certificazioni, risk
assessment (IT Risk
Framework), KRI e interfaccia
RAF banche
05 BCM e DR
Piano di Continuità Operativa
e adeguamento Disaster
Recovery, capacity planning,
proposta nuovi servizi
05 BCM e DR
Piano di Continuità Operativa
e adeguamento Disaster
Recovery, capacity planning,
proposta nuovi servizi
Gap
Analysis
circ.263
Gap
Analysis
circ.263
Banche utenti - Progetto Cedacri - EY Banche utenti - Progetto Cedacri - EY
I cantieri del Progetto Cedacri
15
Sintesi situazione cantieri
Cantiere Attività in corso
01.1/01.2 Governance e
Organizzazione S.I.
Predisposizione template documenti di governo S.I. (all. A cap.8)
01.3 Change Management Predisposizione proposte di revisione dei processi di Change
Management (applicativo / infrastrutturale)
01.4 Incident Management Assessment casistiche e tipologie incidenti inerenti la sicurezza fisica
e le utilities infrastrutturali
01.5 SLA Management Proposta di integrazione SLA per servizi D/R
02.1 Security Management Predisposizione estratto delle policy di sicurezza Cedacri
03.1 Data Governance Progetto PdS: Sistema accentrato per quadratura e controllo
04.1 Risk Management Progetto PdS: Datawarehouse rischi
Estensione risk assessment ISAE, costituzione GdL multi-istituto per
definizione congiunta del processo
05.1 BCM e D/R Predisposizione estratto del BCP Cedacri per integrazione
documenti banche
06.1 Contratti e allegati Integrazione documenti contrattuali, nelle rinegoziazioni in corso, con i
contenuti proposti nei mesi scorsi (rif. Addendum contrattuale)
16
Master Plan circ.263 Cedacri (esemplificativo)
Cantiere Q2 2014 Q3 2014 Q4 2013 Q1 2014 Q4 2014
Priorità 3 01.1/01.2 Governo S.I. 01.1/01.2 Governo S.I. Prima Milestone Normativa
01.3 Change Mgmt 01.3 Change Mgmt Priorità 2
01.4 Incident Mgmt 01.4 Incident Mgmt Priorità 2
02.1 Security Mgmt 02.1 Security Mgmt Priorità 1
03.1 Data Governance 03.1 Data Governance Priorità 1
04.1 Risk Mgmt 04.1 Risk Mgmt Priorità 1
05.1 Cont. Operativa 05.1 Cont. Operativa Priorità 1
06.1 Contratti e Allegati 06.1 Contratti e Allegati Priorità 1
01.5 SLA Mgmt 01.5 SLA Mgmt Priorità 3
Interventi a rilasci intermedi
Ipotesi di completamento
17
Risk profile
Risk appetite
Risk capacity
Risk tollerance
ICT Risk profile
= Residual
Risk
ICT Risk limit
ICT Potential Risk
Disaster Recovery
Mitigation
Risk Appetite Framework e analisi rischio ICT
La Circolare 263 ed il Rischio IT
18
La Circolare 263 ed il Rischio IT
Risk profile
Risk appetite
Risk capacity
Risk tollerance
Risk profile
Risk appetite
Risk capacity
Risk tollerance
Risk profile
Risk appetite
Risk capacity
Risk tollerance
ICT Risk profile
= Residual
Risk
ICT Risk limit
ICT Potential Risk
Disaster Recovery
Mitigation
19
Risk Appetite Framework
Risk Tolerance
Risk Appetite Livello Strategico
(top-down e preventivo)
Livello Operativo
(bottom-up e di monitoraggio on going)
Livello di rischio (complessivo e per tipologia) che
la banca intende assumere per il perseguimento
dei suoi obiettivi strategici
Devianza massima dal risk appetite consentita; la
soglia di tolleranza è fissata in modo da assicurare
in ogni caso alla banca margini sufficienti per
operare anche in condizioni di stress, entro il
massimo rischio assumibile
► Il Risk Appetite Framework (RAF) è il quadro di riferimento che definisce - in coerenza con il massimo rischio assumibile, il
business model e il piano strategico - i seguenti aspetti:
► la propensione al rischio,
► le soglie di tolleranza,
► i limiti di rischio,
► le politiche di governo dei rischi,
► i processi di riferimento.
► Dotarsi di un RAF vuol dire, pertanto, definire gli obiettivi di rischio che la banca intende e può raggiungere e tradurli in
vincoli e incentivi per la struttura aziendale, implementando un sistema di monitoraggio e reporting.
Rischio informatico Rischio informatico
Il Risk Appetite Framework
Rischio di Credito Rischio di
Mercato Rischio di Tasso
Rischio di
Concentrazione
Rischio
Operativo Rischio Residuo Rischio Liquidità Altri Rischi
20
Cedacri da tempo svolge una attività di Risk Analysis nell’ambito delle certificazioni ISAE
3402 e ISO 27001.
L’obiettivo dell’attività di Risk Analysis è di definire e valutare i rischi affrontati da Cedacri
rispetto alle proprie Attività Critiche e stabilire gli opportuni piani di azione per mitigare o
ridurre gli eventi che possono avere un potenziale impatto negativo sugli obiettivi e/o
sull’operatività aziendale.
Il processo di analisi prende in esame i rischi interni ed esterni dell'organizzazione
valutandone la verosimiglianza (ovvero probabilità o frequenza).
I risultati dell’analisi includono l'individuazione delle componenti critiche, la definizione delle
loro specifiche tecniche e la documentazione applicabile per identificare:
• la vulnerabilità e l'esposizione (verosimiglianza di evento) di Cedacri rispetto a tipi
specifici di incidenti;
• la concentrazione di Attività Critiche sullo stesso ambiente;
• una valutazione dei tipi di rischio che costituiscono una minaccia all'organizzazione;
• le priorità degli interventi da attuare per garantire la BCM ed i necessari controlli sui
possibili rischi;
• una strategia di controllo di gestione del rischio.
Le «Nuove disposizioni di vigilanza prudenziale per le banche» richiedono a Cedacri
l’evoluzione del proprio processo di Risk Analysis per renderlo conforme ai requisiti
normativi cui devono rispondere le Banche Clienti.
L’Analisi del Rischio
21
Processi e
servizi
Tools
Processi di Business Bancari
Applicazioni
► Catalogo dei
Processi IT
► Report ISAE 3402
► Catalogo dei
servizi
► Disponibilità dei
mgt tools di
incident e servizi
Configuration
Management DB
Principali facilitatori
KRI
1
Processi IT
Applicazioni ISAE 3402
Altri assets (e.s. DB) 2
Approccio al modello e programma di ITRM
22
Fasi e principali obiettivi
Stakeholders Assessment della situazione corrente
1
Sviluppo della strategia, del modello e del
sistema di reporting, interno e verso le
Banche
2
ITRM Strategia, Organizzazione e modello
di reporting
Sviluppo del modello di IT Risk
Management interno e definizione dei
flussi informativi verso le Banche
3
Modello di IT Risk Assessment
Valutazione dei rischi IT, trattamento e
accettazione del rischio e reporting
interno e verso le Banche
4
Valutazione e trattamento
Evoluzione del modello di IT Risk
Management e del sistema di reporting
5
Estensione ed evoluzione del modello
Fase
1
Fase 2
23
Le attività previste si possono così sintetizzare:
1. Creazione di un tavolo di lavoro per l’iniziativa di IT Risk Management;
2. Creazione di un framework di gestione del rischio informatico coerente con gli analoghi
schemi predisposti dalle Banche in ottica Basilea ed integrato con i processi di analisi
del rischio già esistenti;
3. Definizione delle metriche di misurazione del Rischio informatico (qualitativo vs
quantitativo, aggregato vs dettagliato);
4. Predisposizione di un colloquio con le Banche al fine di ricevere informazioni in termini
di ICT Risk Profile ed ICT Risk Limit;
5. Implementazione del processo di Risk Assessment in continuo;
6. Realizzazione di un flusso di alimentazione verso le Banche al contenente la
componente di Rischio informatico da riportare nei singoli framework.
Lo sviluppo del progetto di IT Risk
24
AGENDA
Quali sono i principali impatti?
Come sono state affrontate?
Possono essere una opportunità?
Sessione
di Studio
AIEA
21/02/2014
Conclusioni
Le “Nuove disposizioni di vigilanza prudenziale per le banche”
e le Società di erogazione di servizi in outsourcing
25
Le opportunità nei confronti del mercato
La compliance normativa è prevista contrattualmente e, nei confronti dei clienti già acquisiti,
è quindi un obbligo.
Non viene ritenuto un fattore competitivo tra gli outsourcer, sebbene la diversa «qualità» delle
misure poste in essere potrebbe rappresentare un fattore di distinzione tra i diversi provider.
Riteniamo invece che potrebbe essere motivo di interesse per Banche che gestiscano
internamente il Sistema Informativo.
Pur non essendo un evento epocale quali «Anno 2000» o «Euro», che hanno avuto un
impatto diretto sugli applicativi, le Nuove Disposizioni richiedono importanti cambiamenti sia
organizzativi che di IT Governance che potrebbero spingere le Banche a valutare
l’opportunità di esternalizzare le funzioni ICT.
26
Le opportunità nei confronti dei Clienti
I requisiti posti dalla Autorità di Vigilanza agli outsourcer sono indirizzati principalmente alla IT
Governance ed ai processi interni, innalzando significativamente il livello di interazione tra le
Banche Clienti e l’outsourcer sia dal punto di vista «qualitativo» che «quantitativo».
La nuova normativa offre l’opportunità (impone) agli outsourcer il passaggio dal ruolo di mero
fornitore di servizi a quello di componente attiva ed integrata nei processi delle singole
Banche.
Quali sono gli aspetti di criticità?
■ Forma vs Sostanza
■ Cultura
■ Metodologia
■ Maturità del Sistema dei Controlli Interni
■ Formalizzazione e reportistica
In pratica si tratterà di una sorte di «stress test» per verificare l’effettiva tenuta del Sistema
dei Controlli Interni e delle certificazioni ad esso connesse.
27
Le opportunità verso la struttura interna
Il punto di vista dell’auditor
Negli outsourcer di norma prevale un approccio di natura tecnologia, fortemente orientato al
servizio, con un Sistema dei Controlli Interni funzionale al raggiungimento degli obiettivi di
business.
La compliance alle Nuove Disposizioni vede l’auditor in prima linea su diversi fronti, quali:
■ La «traduzione» dei requisiti normativi in un linguaggio famigliare ai tecnici, con link diretti
alle certificazioni ed ai processi già in essere;
■ Il supporto nella individuazione delle misure più opportune da adottare e comunque
■ La verifica della conformità delle misure adottate;
■ L’aggiornamento del Sistema dei Controlli Interni per recepire le nuove istanze normative.
È quindi una occasione privilegiata per «vendere» il prodotto Internal Audit!!!
28
AGENDA
Quali sono i principali impatti?
Come sono state affrontate?
Possono essere una opportunità?
Sessione
di Studio
AIEA
21/02/2014
Conclusioni
Le “Nuove disposizioni di vigilanza prudenziale per le banche”
e le Società di erogazione di servizi in outsourcing
29
I benefici attesi
►Governance integrata
o Collegamento tra governance, risk management, risk control ed audit;
o Incremento dell’attenzione ai rischi e ai controlli nel business dovuto all’introduzione
sistematica dei controlli
►Incremento della trasparenza ed efficienza dei rischi e controlli
o Chiara allocazione delle responsabilità dei rischi e controlli, facilitazione della
razionalizzazione dei processi
o Riduzione della granularità dal momento che il focus è sui rischi più significativi
o Standardizzazione della documentazione dei processi, rischi e controlli, della
categorizzazione dei rischi così come la reportistica su tutti i tipi rischi e tutti i tipi di
business, riducendo ridondanze e chiudendo i gap individuati
►Incremento dell’efficacia dei controlli
o Rafforzamento del risk management e dei controlli nei processi di business
o Test periodici per valutare l’efficacia e l’effettività dell’esecuzione dei controlli
o Aggiornamento periodico della valutazione dei rischi più significativi e i relativi controlli
basati sulla risk experience, benchmark e cambiamenti nel contesto lavorativo
Conclusioni
30
Stefano Arduini Responsabile Area Internal Auditing, Certificazioni CEDACRI S.p.A. www.cedacri.it ----------------------------------------------------- Mobile: +39 335 6476855 Tel: +39 0521 807075 Fax: +39 0521 807901 Email: [email protected] -----------------------------------------------------
Grazie per l’attenzione