XXI Convegno Nazionale Information Systems Auditing · Responsabilità dei vertici aziendali 2. Il...
-
Upload
truongthuan -
Category
Documents
-
view
212 -
download
0
Transcript of XXI Convegno Nazionale Information Systems Auditing · Responsabilità dei vertici aziendali 2. Il...
BANCA D’ITALIA
1
AIEA 2007
XXI Convegno Nazionale Information Systems AuditingAccademia Navale di Livorno, 24 -25 Maggio 2007
La Continuità operativa nel sistema bancario italiano
Relatore: Tullio PràServizio Vigilanza sugli Enti Creditizi Banca d’Italia
BANCA D’ITALIA
2
AIEA 2007
Definizioni
• La gestione della continuità operativa comprende tutte le iniziative volte a ridurre ad un livello ritenuto accettabile i danni conseguenti a incidenti e catastrofi che colpiscono direttamente o indirettamente un’azienda
• Il piano di continuità operativa è il documento che formalizza i principi, fissa gli obiettivi e descrive le procedure per la gestione della continuità operativa
• Il piano di disaster recovery stabilisce le misure tecniche e organizzative per fronteggiare eventi che provochino la indisponibilità dei centri di elaborazione dati; costituisce parte integrante del piano di continuità operativa
BANCA D’ITALIA
3
AIEA 2007
Iniziative della Vigilanza
2002 Avvio del progetto:Indagine sullo stato di preparazione del sistema bancario
2004 Emanazione della normativa di vigilanza:Gestione della continuità operativa
2006 Termine per il completo adeguamento delle banche alla normativa di vigilanza
2007 Completamento del quadro normativo:Requisiti particolari di continuità operativa dei processi a rilevanza sistemica
BANCA D’ITALIA
4
AIEA 2007
Stato del sistema bancario a fine 2001
• Gli eventi 11 settembre 2001 evidenziano nuovi scenari e dimensioni dei profili di rischio nel sistema finanziario
• L’indagine sullo stato di preparazione delle banche evidenzia:
– Assenza, pressoché generalizzata, di piani di continuità operativa delle componenti non tecnologiche
– 1/3 delle banche non aveva organici piani di disaster recovery
– I piani di disaster recovery in essere non erano adeguati ad assicurare la continuità operativa dei sistemi informativi
– I vertici delle banche non erano coinvolti sul tema della prevenzione / gestione delle situazioni di emergenza
BANCA D’ITALIA
5
AIEA 2007
Iniziative della Vigilanza nel 2002-2003
• Incontri con le maggiori banche e i principali outsourcers per approfondire i presidi di emergenza in essere
• Interventi sulle banche con gravi carenze per chiedere l’attivazione immediata di misure volte a ridurre il livello di rischio
• Monitoraggio delle azioni intraprese• Azioni di sensibilizzazione dei vertici aziendali per:
– Alzare il livello di attenzione sul tema– Presentare le prime riflessioni in ambito
internazionale– Rendicontare sui problemi riscontrati
• Avvio dei lavori per la definizione della normativa settoriale
BANCA D’ITALIA
6
AIEA 2007
La normativa di Vigilanza del 2004 - principi
• Estensione della copertura normativa a tutti i processi aziendali ritenuti critici (non solo IT)
• Approccio flessibile:
– Requisiti a carattere metodologico-organizzativo
– Consapevolezza e piena responsabilità dei vertici
– Correlazione delle misure ai rischi
– Riconoscimento di ampia autonomia alle banche
• Requisiti minimi validi per tutti gli operatori
ma
• Facoltà di chiedere misure più stringenti per le banche a rilevanza sistemica
BANCA D’ITALIA
7
AIEA 2007
La normativa di Vigilanza del 2004 - contenuti
• Ambito del piano di continuità: scenari di rischio• Correlazione ai rischi: parametri caratteristici• Ruolo dei vertici aziendali• Individuazione dei processi critici• Contenuti minimi del piano:
– Disaster recovery– Crisis management– Outsourcing– Infrastrutture e controparti rilevanti– Risorse umane
• Test & Controlli interni• Requisiti particolari
BANCA D’ITALIA
8
AIEA 2007
• Termine per il recepimento della normativa: fine 2006• Per le maggiori banche risulta che:
– Sono stati adeguati i piani di disaster recovery– In genere sono state attivate soluzioni a 2 livelli (recovery
locale in architettura campus e recovery geografico con copia asincrona dei dati)
– I presidi di continuità non IT sono basati sulla ridondanza conseguente ai processi di aggregazione degli ultimi anni
• Per le banche minori risulta che:– Sono state risolte le carenze degli outsourcers– I presidi di continuità delle componenti non IT sono ancora
in uno stato embrionale– In diversi casi si riscontrano ritardi, peraltro contenuti in
6-9 mesi
Stato del sistema bancario a fine 2006
BANCA D’ITALIA
9
AIEA 2007
• High Level Principles for Business Continuity(Joint Forum – agosto 2006) – Principi:1. Responsabilità dei vertici aziendali2. Il piano considera le “major operational disruptions”3. Chiara definizione degli obiettivi di recovery4. Gestione delle comunicazioni5. Enfasi sugli aspetti cross-border6. Efficacia del piano tramite test periodici7. Le Vigilanze incorporano la BC nelle prassi ordinarie di controllo
• Business Continuity Expectations for SIPS(European Central Bank – giugno 2006) – Framework:1. Strategia di BC ben definita2. Appropriato BCP3. Efficace crisis/communication management4. Test regolari
Coerenza con lo scenario internazionale
BANCA D’ITALIA
10
AIEA 2007
Requisiti sistemici di BC – L’esperienza CODISE
• Gruppo di lavoro costituito da Banca d’Italia nel 2003 e coordinato congiuntamente a CONSOB
• Compiti:– Individuare i servizi critici di sistema– Definire gli scenari di rischio da presidiare– Pianificare collaudi e test integrati di sistema– Fissare le priorità di intervento– Proporre regole e standard di continuità per le
infrastrutture rillevanti• Partecipanti: maggiori banche, mercati finanziari,
infrastrutture di pagamento, autorità, governo, associazioni di categoria
• Realizzazioni: promosso/concordato lo sviluppo delle linee di policy per la continuità operativa del sistema finanziario nazionale
• Prossimi impegni: esercitazioni integrate
BANCA D’ITALIA
11
AIEA 2007
La normativa sui requisiti sistemici
• Provvedimento del 20 marzo 2007• Articolato su tre capisaldi:
1. Definizione dei criteri per la individuazione dei soggetti coinvolti
Banche/gruppi con quote di mercato (FINT) > 5%Rilevanza nei servizi di pagamento/regolamento
2. Elencazione dei processi a rilevanza sistemica da tutelare con misure di continuità rafforzate
Sistemi di pagamentoAccesso ai mercati rilevanti per la liquiditàServizi di compensazione e regolamento
3. Requisiti particolari aggiuntivi a quelli previsti per la generalità degli intermediari
• Termine per la compliance: da concordare con gli operatori (2008 - 2009)
BANCA D’ITALIA
12
AIEA 2007
I requisiti sistemici di continuità operativa
• Responsabilità della capogruppo• Scenari di rischio
– Distruzioni fisiche su larga scala di infrastrutture proprie o di terzi
– Pandemie, attacchi biologici
• Siti di recovery– Congrua distanza dai siti di produzione– Configurati per gestire picchi elevati di attività
• Tempi di rispristino– Tempi di ripristino contenuti entro le quattro ore– Procedure di emergenza per la liquidità
• Risorse individuate e documentate• Test annuali, inclusi quelli di sistema• Comunicazioni a Banca d’Italia
BANCA D’ITALIA
13
AIEA 2007
Altre iniziative rilevanti della Vigilanza
• Adeguamento dei bilanci e delle segnalazioni di vigilanza delle banche agli IAS
• Nuove disposizioni di vigilanza prudenziale (cd Basilea 2)
• Compliance• MIFID• ….
BANCA D’ITALIA
14
AIEA 2007
Nuove disposizioni di vigilanza prudenziale
Quadro di riferimento:
• Nuovo Accordo di Basilea sul capitale delle banche (giugno 2006)
• Direttiva 48/2006 (CRD) accesso all’attività delle banche e al suo esercizio
• Direttiva 49/2006 (CAD) adeguatezza patrimoniale di banche e finanziarie
• DL 22/12/2006 n. 297 Modifiche al TUB• Circolare BI n. 263 del 27/12/2006
BANCA D’ITALIA
15
AIEA 2007
Nuove disposizioni di vigilanza prudenziale
Regolamentazione basata su tre pilastri:
1. Requisito patrimoniale a fronte dei rischi tipici dell’attività bancaria– Credito/controparte– Mercato– Operativo
1. Processo di controllo dell’adeguatezza patrimoniale– ICAAP– SREP
2. Informativa al pubblico
BANCA D’ITALIA
16
AIEA 2007
Nuove disposizioni di vigilanza prudenziale
Definizione di rischio operativo:
“Per rischio operativo si intende il rischio di subire perdite derivanti dalla inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni…Un puntuale rispetto delle disposizioni in tema di conformità alle norme (compliance) assume rilievo anche per la prevenzione e il contenimento dei rischi operativi”
BANCA D’ITALIA
17
AIEA 2007
Nuove disposizioni di vigilanza prudenziale
Relazione tra - rischio tecnologico- rischio operativo- continuità operativa
Rischio operativo(e-security, business continuity)
Rischio tecnologico
Rischio strategico (coerenza dell’IT con il business)
BANCA D’ITALIA
18
AIEA 2007
Nuove disposizioni di vigilanza prudenziale
Metodi di calcolo del rischio operativo:
1. Metodo base: BIA (Basic Indicator Approach)
2. Metodo standardizzato: TSA (TraditionalStandardized Approach)
3. Metodi Avanzati: AMA (Advanced MeasurementApproach)
BANCA D’ITALIA
19
AIEA 2007
Nuove disposizioni di vigilanza prudenziale
Prerequisiti per tutti: principi di governo e gestione
TSA + sistema di gestione dei rischi operativi+ processo di auto-valutazione
AMA requisiti TSA+ funzione di controllo dei rischi operativi
(progetta, sviluppa, mantiene, misura)+ processo di convalida interno+ integrazione misurazione nei processi
gestionali
BANCA D’ITALIA
20
AIEA 2007
Rapporto (IT) Auditing – Supervisione bancaria
Quadro di riferimento internazionale:
• Internal audit in banks and the supervisor’s relationship with auditors (BCBS – August 2001)
• The relationships betweenbanking supervisors and banks’ external auditors (BCBS –January 2002)
• Internal audit in banks and the supervisor’s relationship with auditors: A survey (BCBS –August 2002)
Si auspica: “…periodic discussion at the national level between
the supervisory authorities and the professionalaccountancy bodies …”
BANCA D’ITALIA
21
AIEA 2007
Rapporto (IT) Auditing – Supervisione bancaria
Istruzioni di vigilanza:
• Il sistema dei controlli interni è costituito dall’insieme delle regole, procedure e strutture organizzative che mirano ad assicurare il rispetto delle strategie aziendali
• Si articolano in:– Controlli di linea, diretti ad assicurare il corretto
svolgimento delle operazioni– Controlli sulla gestione dei rischi, con l’obiettivo di
misurare i rischi e di verificare il rispetto dei limiti assegnati alle varie funzioni
– Attività di revisione interna, volta ad individuare andamenti anomali e violazioni di procedure/regole nonché a valutare la funzionalità del complessivo sistema dei controlli interni
BANCA D’ITALIA
22
AIEA 2007
Rapporto (IT) Auditing – Supervisione bancaria
Nuove disposizioni di vigilanza prudenziale (circ. 263):
• Governo e gestione dei rischi operativi– Le banche prestano particolare attenzione agli eventi di
maggiore gravità e scarsa frequenza e individuano le varie forme e modalità con cui possono manifestarsi i rischi operativi
– Le banche si dotano di piani di emergenza e di continuitàoperativa che assicurano la propria capacità di operare su base continuativa e di limitare le perdite operative in caso di gravi interruzioni dell’operatività
BANCA D’ITALIA
23
AIEA 2007
Rapporto (IT) Auditing – Supervisione bancaria
Nuove disposizioni di vigilanza prudenziale (circ. 263):
• Governo e gestione dei rischi operativi – controlli interni– Metodo standardizzato
• Processo di auto-validazione• Funzione di revisione interna
– Metodi Avanzati• Funzione di controllo dei rischi operativi• Processo di convalida interno• Funzione di revisione interna
– Verifiche periodiche sui sistemi di gestione e misurazione– Verifiche sul processo di convalida e su utilizzo a fini gestionali– Verifiche su sistema misurazione (qualità dati e sistemi informativi)– Relazione annuale sull’attività di revisione dei sistemi di gestione e
misurazione dei rischi operativi
BANCA D’ITALIA
24
AIEA 2007
(IT) Auditing – Continuità operativa
• L’approccio alla continuità operativa e il piano di emergenza sono regolarmente controllati dalla funzione di revisione interna
– Gli auditors prendono visione dei programmi di test, assistono alle prove, ne controllano i risultati, propongono modifiche al piano
• Va considerata l’opportunità di sottoporre il piano di emergenza alla revisione da parte di auditors esterni
• La funzione di revisione interna è coinvolta nel controllo dei piani di emergenza di outsourcers e fornitori critici
– L’auditing esamina i contratti per accertare che il livello di tutela sia adeguato agli obiettivi e agli standard aziendali
– Può decidere di fare riferimento alle funzioni di revisione delle controparti se ritenute professionali, indipendenti, trasparenti quanto ai risultati dei controlli