The Innovation Group · Nelle slide seguenti sono riportati ... KPMG Audit S.p.A., società per...

Milano, 15 aprile 2014

The Innovation Group

Aggiornamento n.15 della Circolare Banca d’Italia n. 263/2006 Gli aspetti organizzativi e gli impatti su sistemi informativi e processi: punti d’attenzione

1 © 2014 KPMG S.p.A., KPMG Advisory S.p.A., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di Amministrazione S.p.A., KPMG Audit S.p.A., società per azioni di diritto italiano, e Studio Associato Consulenza legale e tributaria, un'associazione professionale di diritto italiano, fanno parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.

Agenda

• Premessa

• Considerazioni sulle novità normative

• Ricadute su ICT

• Conclusioni


Premessa

L’entrata in vigore delle disposizioni di vigilanza di Banca d’Italia (Circolare 263 del 27 dicembre 2006, 15º aggiornamento del 2 luglio 2013) ha posto agli Istituti bancari italiani un’esigenza di rilevante aggiornamento/ evoluzione negli ambiti oggetto della Normativa, per quanto l’effettivo impatto possa variare in funzione dell’attuale livello di maturità del singolo intermediario negli specifici ambiti.

Nelle slide seguenti sono riportati….

….un minimo di inquadramento normativo

…. alcune considerazioni sul significato operativo di cosa implica applicare la normativa 263 in ambito ICT


Premessa: l’aggiornamento normativo

Sistema dei controlli interni (Titolo V, Capitolo 7)

Sistema Informativo (Titolo V, Capitolo 8)

Continuità Operativa (Titolo V, Capitolo 9)

PRINCIPALI TEMATICHE TRATTATE

La normativa in materia di sistema dei controlli interni, sistema informativo e continuità operativa è finalizzata a:

• Rafforzare le capacità delle banche nella gestione dei rischi aziendali;

• Rivedere in modo organico e omogeneizzare il quadro normativo relativo alla materia in oggetto.

FINALITÀ

2012 2013 2014 2015 2016

SETT DIC GIU LUG DIC LUG FEB LUG LUG

4/09/2012 Pubblicazione documento di consultazione

3/12/2012 Termine

consultazione

26/06/2013 Emanazione

CRD IV e CRR

1/07/2014 Efficacia

disposizioni Cap. 7 e Cap.9

1/02/2015 Efficacia

Disposizioni Cap. 8

1/07/2015 Efficacia disposizioni

su funzioni risk management e

compliance (Cap.7, sez. III, par.1, lett. b)

1/07/2016 Efficacia esternalizzazione funzioni aziendali (sez. IV, V) e sistema informativo

(sez. VI )

2-3/07/2013 Emanazione documento e

entrata in vigore

Interventi di adeguamento


L’aggiornamento normativo: i temi chiave

Capitolo 7

Sistema dei controlli interni

Capitolo Sezione Stima di impatto sulla funzione IT

Capitolo 8

Sistema Informativo

Capitolo 9

Continuità Operativa

• Il ruolo degli organi aziendali (Org. con funzione di supervisione

strategica, Org. con funzione di gestione, Org. con funzione di controllo)

• Funzioni aziendali di controllo

• Risk appetite Framework

• Esternalizzazioni di funzioni aziendali (outsourcing)

• Governo e Organizzazione del Sistema Informativo

• L’analisi del rischio informatico

• La gestione della sicurezza informatica

• Il sistema di gestione dei dati

• L’esternalizzazione del Sistema Informativo

• Disposizioni di carattere generale

• Requisiti per tutti gli operatori

• Requisiti particolari per i processi a rilevanza sistemica

PARZIALE/ BASSO

ALTO

MEDIO/ BASSO

L’entrata in vigore delle nuove disposizioni di vigilanza comporta un notevole cambiamento/aggiornamento per gli intermediari finanziari. La magnitudo dell’impatto dipende dalla specificità di ogni intermediario.


Impatti in mabito ICT per organizzazione e processo

significativi Ruolo chiave delle attività e dell’approccio di analisi e

gestione del rischio

Interazioni tra rischio informatico e rischi

operativi

Interrelazioni con altre normative (es. D. Lgs.

196/2003, D. Lgs. 231/2001 ecc.) Complessità della

documentazione per la gestione dell’ICT (slide

seguente)

Complessità degli interventi (tecnologici/organizzativi)

richiesti

L’aggiornamento normativo: i punti di attenzione

L’aggiornamento normativo ha un impatto significativo su una molteplicità di aspetti.

Si delinea inoltre un tema di sostenibilità degli interventi da parte delle strutture coinvolte, sia in termini di progetto (oneri one-off), sia di esercizio nel continuo e di manutenzione dell’impianto complessivo


L’aggiornamento normativo: l’impatto diretto sui Sistemi Informativi

Organizzazione della funzione di ICT, sicurezza informatica, controllo del rischio informatico, compliance ICT e i compiti della funzione di revisione interna

Strategie di sviluppo del sistema informativo e modello di riferimento per l’architettura dello stesso

Valutazione dell’adeguatezza dei servizi erogati in rapporto all’evoluzione aziendale e ai costi sostenuti

Approvazione del disegno dei processi di gestione del sistema informativo Valutazione del rischio potenziale cui sono soggette le risorse informatiche esaminate Individuazione delle misure di sicurezza idonee a conseguire il contenimento del rischio

individuato (trattamento del rischio) Policy di sicurezza informatica approvata dall’organo con funzione di supervisione strategica e

comunicata a tutto il personale e terze parti Sicurezza delle informazioni e delle risorse ICT (presidi fisici, accessi logici, autenticazione,

monitoraggio, tracciamento, sviluppo sicuro del SW, gestione del personale, ecc.) Gestione dei cambiamenti

Gestione degli incidenti di sicurezza

Disponibilità delle informazioni e dei servizi ICT

La gestione dei dati deve soddisfare specifici requisiti (es.: data governance, data warehouse, documentazione delle procedure di gestione dei dati, ecc. ...)

Applicazione della politica di esternalizzazione (anche in funzione dei requisiti alla sezione IV del cap. 7) con disposizione di specifiche indicazioni

Valutazioni dei rischi connessi al cloud computing

Sistema dei controlli interni

(Titolo V, Cap. 7)

Continuità Operativa

(Titolo V, Cap. 9)

Sistema Informativo (Titolo V, Cap. 8)

L’aggiornamento normativo pone l’accento (che “arbitrariamente” evidenziamo) su una serie di aspetti:

Governo (strategico e

operativo) dell’ICT

Gestione del Rischio in ambito

informatico

• Il presidio dell’Architettura

• Il presidio del Software Development LifeCycle - SDLC(processi di gestione)

• L’applicazione del Risk Appetite Framework in ambito ICT (e collegamento con coerente con il cap.7)


Governo dell’ICT: il presidio dell’architettura

Insieme di principi, linee guida o regole utilizzate per guidare il processo di acquisizione, sviluppo, modifica ed interfaccia di componenti IT. Gartner, IT Glossary

ICT Architecture

I livelli di astrazione dell’architettura

• Conservazione e valorizzazione degli asset aziendali

• Gestire il cambiamento per minimizzare impatti e valorizzare gli investimenti

• Risolvere le complessità derivanti dalla eterogeneità degli ambienti in ambiti enterprise

• Indirizzare in modo organico i nuovi modelli di business e le evoluzioni tecnologiche

• Conciliare aspetti economici ed organizzativi legati all’integrazione dei sistemi

Perché è importante

Per garantire efficacia di azione all’ICT Architecture devono esserne chiaramente definiti: Mission e Ruolo, Ampiezza dei domini (infrastrutture, applicazioni, dati, processi, logiche di integrazione), Autorevolezza / Skill need



Inno

vazi

one

Raz

iona

lizz.

S.I. stabile

S.I. In forte evoluzione

Architettura come presidio delle

“regole”

Architettura come stimolo alle “nuove”

soluzioni

Architettura come guida e responsabile

del turnaround del sistema

Architettura come gestore delle

coerenze e delle relazioni

Il ruolo dell’ICT

Architecture

• Ogni realtà ha un suo percorso specifico sul ruolo di architettura dovuto a “contingenze” e “cultura manageriale” esistente

• Ruolo che oscilla tra due estremi:

Innovazione ↔ controllo coerenze tecnologiche

Ruolo guida ↔ bulk di competenze a disposizione

• Oltre al ruolo dichiarato è indispensabile definire i “meccanismi di funzionamento”, in termini di:

responsabilità decisionali

meccanismi di ingaggio

confini con funzioni “vicine” (demand, organizzazione, strutture di delivery)

• In strutture complesse i diversi ruoli rappresentati in matrice sono “giocati” da più attori all’interno dell’organizzazione (es. demand management, organizzazione, aree applicative, etc.)

• Non sempre lo stesso ruolo è interpretato su tutti i domini ICT (infrastrutture, applicazioni, etc.)

• In strutture complesse il ruolo giocato dall’ICT Architecture potrebbe essere differente a seconda dell’ambito funzionale o del dominio tecnologico al quale viene applicato

Il ruolo in strutture

complesse


Lesson Learned in realtà complesse

• Partecipazione a comitati di budget per governare l’adeguato finanziamento degli investimenti architetturali

• Partecipazione a comitati di demand per la corretta interpretazione delle “spinte verticali” e delle esigenze di “breve periodo”

• Presidio forte di architettura sull’introduzione di nuove componenti architetturali (applicazioni e tecnologie) al fine di governare l’evoluzione dei sistemi

• Stimolare la collaborazione e l’accettazione degli architetti da parte delle aree applicative attraverso meccanismi di “federazione”


Direzione Sistemi Informativi

Servizio CanaliServizio Sistemi Applicativi Core

Servizio Infrastrutture Tecnologiche

Servizio Architetture

Servizio Governo ICT

Servizio Sistemi Applicativi Finanza

Servizio Sistemi Applicativi CRM

Comitato Architettura?

•••• •• •••

Budget ICT annuale

Necessità di presidio delle

regole d’ingaggio

Il governo dell’architettura richiede un’attenta definizione dei meccanismi di ingaggio e di coinvolgimento al fine di garantire l’efficacia dell’azione di indirizzo dell’architettura


Discovery Construction Transition Elaboration Maintenance Ciclo di vita

del Software Inception

Governo dell’ICT: il presidio del SDLC

• Conciliare la visione di m/l periodo con le esigenze tattiche e il time-to-market

• Conciliare la visione verticale (business silos) rispetto al disegno architetturale

• Colloquio con gli utenti per condividere la direzione nel m/l periodo

• Presidio dell’innovazione

• Architettura dei processi di business

• Modello attivo vs passivo

• Indirizzo e guida della domanda utente

• Fattibilità tecniche su progetti di trasformazione

• Selezione di soluzioni abilitanti coerenti con il disegno complessivo / con le policies

Elementi da presidiare

EnterpriseArchitecture Policies

Standard & guidelines

Strategiccapabilities

Blueprints

DemandManagement

Business Priorities

To-Be architecture

Manage gap withstandards and guidelines

Projects

Small Change

Business Requirements

Business needs

Project Portfolio Management

Delivery Planning

Programprioritization

IT Strategy

Mission & Vision

ObjectivesCriticalsuccess factors

Org. and Opt. model

Service Delivery model

BusinessStrategy

As-Is architecture

Mission & Vision

ObjectivesCriticalsuccess factors

I conflitti da risolvere tra “demand” e “architecture”

Meccanismi di lancio dei progetti

I meccanismi di lancio dei progetti



Discovery Transition Elaboration Maintenance Ciclo di vita

del Software

• Regole di ingegneria del software

• Processi e strumenti di qualità del software

• Metriche e KPI per il continuous improvement

• Presidio della comunicazione a diversi livelli della struttura e verso i partner /outsourcer

• Interfacce d’integrazione

• Politiche e contrattualistica con i fornitori

Elementi da presidiare Approccio alla Qualità del software

Inception Construction

I processi di controllo qualità e misurazione del software



• Definizione di Test strategies e plans

• Management controls e governance

• Presidio e trasformazione negli ambiti People, Process, Technology e Risk & Controls

• Strumenti

• Approccio risk-based (“testing early and often”)

• Politiche e contrattualistica con i fornitori /outsourcer

Elementi da presidiare Framework KPMG-NNI per Test e QA

I processi di Test e validazione del software

Discovery Transition Elaboration Maintenance Ciclo di vita

del Software Inception Construction



• Definizione Modello di KPI

• Analisi e Realizzazione strumenti a supporto

• Benchmarking performance esercizio

• Presidiare attraverso strumenti e processi di customer survey la qualità dei servizi erogati

• Sotware quality review

• Bilanciamento qualità/costi

• Interazione con outsourcer

Elementi da presidiare Approccio alla Qualità dei Servizi IT

La qualità dei Servizi ICT

Discovery Transition Elaboration Ciclo di vita

del Software Inception Construction Maintenance

Indicatori Teorici

Metriche

ID_Obiettivo

DescrizioneObiettivo ID_CSF Descrizione

CSFIT C

hange

Customer

Satisfa

ction

IT Stumenti e

Meto

di

IT Finance

RPA

IT

O_01 Trasparenza nelle regole di cost accounting verso gli utenti finali

CSF_01Utilizzare metriche/tecniche riconosciute dal mercato per la corretta

valorizzazione del costo complessivo di gestione dei Patrimoni Applicativi (Produzione e Manutenzione Applicativa)

A

CSF_02Utilizzare metriche/tecniche best practice sul mercato per il corretto cost accounting (attribuzione dei costi di erogazione del servizio e di

manutenzione alle singole funzioni di business)A

CSF_03 Evolvere verso un modello di cost accounting che tenga conto delle specifiche techiche e funzionali dei singoli servizi offerti dai Patrimoni M

CSF_04Avere a disposizione informazioni puntuali e strutturate sulla crescita nel tempo della dimensione tecnico-funzionale dei patrimoni (a valle

degli interventi di sviluppo/manutenzione)A

CSF_05Definire un modello di KPI per i Servizi IT oggetto di contratti di

fornitura che consenta di mettere a confronto le diverse forniture sui diversi patrimoni

A M A

CSF_06Avere a disposizione un set di indicatori che permetta di stimare con

maggiore precisione il costo dei servizi richiesti da ProPa a Produzione Informatica necessari alla gestione del Patrimonio

A A

CSF_07 Avere a disposizione metriche che permettano una stima accurata delle necessità di budget per la gestione dei patrimoni A

CSF_08 Sviluppare un modello di valorizzazione dell’“indice di complessità dei Patrimoni” che abiliti corretti benchmark di costo tra i diversi Patrimoni A

O_03 Migliorare il controllo ex-post dei consuntivi CSF_09Avere a disposizione metriche che permettano di valutare e

monitorare correttamente i consuntivi relativi alla gestione dei patrimoni rispetto al Budget

M

O_04 Misurare e dimostrare l’efficienza dell’IT CSF_10 Misurare e dimostrare che l’IT realizza miglioramenti continui M M M M

O_05 Standardizzazione dei Contratti di Sourcing CSF_05Definire un modello di KPI per i Servizi IT oggetto di contratti di

fornitura che consenta di mettere a confronto le diverse forniture sui diversi patrimoni

A M A

CSF_11

Verificare la reale Disponibilità dei servizi IT end-to-end lungo l'intera catena tecnologica a supporto degli stessi ( dal server su cui il servizio è pubblicato all'interfaccia di fruizione utente attraverso la rete e tutti

gli altri apparati necessari)

A

CSF_12

Verificare la reale Performance dei servizi IT end-to-end lungo l'intera catena tecnologica a supporto degli stessi (dal server su cui il servizio è pubblicato all'interfaccia di fruizione utente attraverso la rete e tutti


A

CSF_13

Verificare la reale Usabilità dei servizi IT end-to-endlungo l'intera catena tecnologica a supporto degli stessi ( dal server su cui il servizio è pubblicato all'interfaccia di fruizione utente attraverso la rete e tutti


M

CSF_14 Misurare l’efficacia del servizio di HD sia in ottica end-to-end sia per il solo I/II livello (non specialistico) A A

CSF_15 Misurare l’efficienza del servizio di HD sia in ottica end-to-end sia per il solo I/II livello (non specialistico) M M

CSF_16 Analizzare ticket connessi a richieste informative inerenti l'utilizzo delle nuove applicazioni/funzionalità A A

CSF_17

Rendere maggiormente efficaci la classificazione del ticket e la conseguente assegnazione al supporto specialistico evitando il

sovraccarico dei livelli specialistici con attività a informative a basso valore aggiunto

M A

CSF_18 Riduzione dei ticket riaperti a causa di risposte poco pertinenti o non esaustive a tutti i livelli di assistenza (specialistica e non) A A

CSF_19 Migliorare Accuratezza e Tempestività del I/II livello di Help Desk A A

CSF_20 Garantire l’efficacia dell’AM in termini di pianificazione tra MOA, MOE e Produzione nei processi di manutenzione evolutiva M

CSF_21 Misurare la percentuale di SW rilasciato dal Patrimonio gestita tramite release A

CSF_22 Rendere disponibili misure oggettive a supporto dei SAL di Patrimonio A

Migliorare i processi di pianificazione e gestione dei Patrimoni ApplicativiO_08

O_01

O_02

O_06

O_07

Trasparenza nelle regole di cost accounting verso gli utenti finali

Accuratezza del Budget

Misurazione dell'effettiva qualità del servizio IT (anche al fine di verificare il gap tra qualità

percepita ed erogata)

Misurazione della efficienza ed efficacia del Customer Care

Obiettivi e CSF ?

?

Complessità Business

Com

ples

sità

Tecn

ico/

Org

anizz

ativ

a

P

G

MG

M

MP

P MP M MG G

Cluster Dimensionale ZCluster Dimensionale Z

Costo totale di Gestione Costo ProPA

Economics

Complessità Tecnico/Organizzativa• n° di risorse impiegate nell’AM• n° di interventi di manutenzione(MEV,MAC)• n° di piattaforme• Anzianità delle applicazioni:• Classe di disponibilità delle applicazioni

Complessità Business• numero di processi supportati• numero di utenti per Classe (nominali

e concorrenti) • consumo CPU• criticità processo supportato• tipologia di Utenti (FO,BO,Direzione)

Patrimonio EfficienteSpending contenuto con bassa concentrazione sulla tecnologia ed elevata sulla manutenzione Evolutiva

Patrimonio CriticoSpending considerevole con elevata concentrazione sulla tecnologia (package acquistato male, processi di gestione inefficaci, qualità tecnica del codice scadente)

Patrimonio InefficienteSpending elevato sia in ambito tecnologico sia in ambito applicativo


Il Risk Appetite Framework definisce:

Obiettivi di rischio

Soglie di tolleranza

Limiti operativi

Procedure ed interventi gestionali

Tempistiche di aggiornamento RAF

Compiti di organi e funzioni aziendali

1

2

3

4

5

6

Individuati ex-ante dal framework stesso, coerenti con risk capacity, business model e

indirizzi strategici

Declinate con evidenza degli interventi gestionali da adottare al loro raggiungimento

Stabiliti sia in condizioni di normale operatività, sia di stress. Sono definiti in termini di misure

espressive del capitale a rischio o capitale economico (VaR, expected shortfall, ecc.);

adeguatezza patrimoniale; liquidità

Attivabili nel caso in cui sia necessario ricondurre il livello di rischio entro i limiti

stabiliti

Stabilite in base alla strategia aziendale

Definiti a seconda delle responsabilità in capo a ciascun organo/funzione

Declinati a seconda di

I parametri quantitativi e qualitativi utilizzati nella definizione del RAF

devono essere coerenti con quelli utilizzati in sede di pianificazione patrimoniale (ICAAP) e strategica.

Gestione del Rischio Informatico

la declinazione di propensione al rischio, soglie di tolleranza, limiti di rischio deve avvenire attraverso opportuni parametri quantitativi

Credito / Controparte

Mercato

Operativo

Rischi quantificabili

per i rischi difficilmente quantificabili e/o per eventuali statement generali sulle politiche di rischio che la banca intende seguire, va fatto ricorso a indicazioni di tipo qualitativo in grado di orientare la definizione e l’aggiornamento di processi e sistemi di controllo

Strategico

Reputazionale

Compliance

Rischi non quantificabili


1

2

3

4

550k€

500k€

Severity

Bassa

6

10 M€

Frequency

Media Alta

Gestione del Rischio Informatico

Modello di analisi

Ambito

Evento

Requisiti informazioni

Perdita annua attesa

Severity

Analisi dei risultati

Frequenza Valore/ Classe

• Sistemi centrali, dipartimentali, distribuiti, etc.

• Numero di eventi all’anno

• Perdita del singolo evento

• Perdita attesa su base annua (valore o classe di valore)

• Disponibilità, Integrità, Riservatezza, etc.

N. Categoria 1 Integrità dei dati 2 Virus 3 Intrusioni 4 Procedure batch 5 Continuità operativa 6 Errori interni

Azioni • ICT Governance for Risk/ Control Assurance

• Security of Information & Systems

• Continuity of ICT

• Project & Change Management 2


Conclusioni In

du

stri

aliz

zazi

on

e

Efficacia

• Le evoluzioni normative e il contesto di mercato stanno sollevando una serie di elementi di riflessione sui temi del Governo dell’ICT e della Gestione dei Rischi

• L’ultimo aggiornamento della Normativa 263/06 di BankIt fornisce una serie di elementi di pressione per l’evoluzione verso una maggiore maturità, sia in termini di efficacia che di industrializzazione, dei processi ICT

• Si tratta di un percorso graduale e continuo, di cui le pressioni normative costituiscono solo un aspetto

© 2014 KPMG Advisory S.p.A., an Italian limited liability share capital company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.

The KPMG name, logo and "cutting through complexity" are registered trademarks or trademarks of KPMG International

Cooperative ("KPMG International").

Grazie per l’attenzione

Andrea Beretta Associate Partner Nolan Norton Italia – Kpmg Advisory Email: [email protected] Mob: 348 011 32 12

mailto:[email protected]�

The Innovation Group · Nelle slide seguenti sono riportati ... KPMG Audit S.p.A., società per...

Documents

Transcript of The Innovation Group · Nelle slide seguenti sono riportati ... KPMG Audit S.p.A., società per...