COBIT 5 for Governance

Transcript

1 COBIT 5 for Governance Andrea Pederiva 1

2 SPONSOR DELL EVENTO SPONSOR DI ISACA VENICE CHAPTER CON IL PATROCINIO DI 2

3 Agenda Doveri e responsabilità degli amministratori Obblighi di legge e regolamentari Principi di corretta amministrazione e criteri di adeguatezza degli assetti organizzativo e amministrativo-contabile La proposta di COBIT 5 per i doveri degli amministratori Conclusioni Appendice COBIT 5 Governance practices 3

4 Doveri e responsabilità degli amministratori 4

5 Riferimenti normativi e regolatori Codice Civile Libro Quinto. Del lavoro Titolo V. Delle società Capo V. Società per azioni Sezione VI-bis - Dell'amministrazione e del controllo 2 - Degli amministratori: artt. da 2380-bis a 2396 (20 articoli) 3 - Del collegio sindacale: artt. da 2397 a 2409 (14 articoli) Codice di Autodisciplina delle Società Quotate ed Norme di comportamento del collegio sindacale Del collegio sindacale di società non quotate ed Del collegio sindacale di società quotate versione preliminare Lug

6 Doveri degli amministratori Gli amministratori devono adempiere i doveri ad essi imposti dalla legge e dallo statuto con la diligenza richiesta dalla natura dell'incarico e dalle loro specifiche competenze QUALI DOVERI? CHE GRADO DI DILIGENZA? 6 Art Responsabilità verso la società, comma 1

7 Quali doveri? [...] Il consiglio di amministrazione [...] Sulla base delle informazioni ricevute valuta l'adeguatezza dell'assetto organizzativo, amministrativo e contabile della società; [...] Gli organi delegati curano che l'assetto organizzativo, amministrativo e contabile sia adeguato alla natura e alle dimensioni dell'impresa [...] Gli amministratori sono tenuti ad agire in modo informato; [...] Art Presidente, comitato esecutivo e amministratori delegati 7

8 Quali doveri? (cont.) Il collegio sindacale vigila sull'osservanza della legge e dello statuto, sul rispetto dei princìpi di corretta amministrazione ed in particolare sull'adeguatezza dell'assetto organizzativo, amministrativo e contabile adottato dalla società e sul suo concreto funzionamento. [...] Art Doveri del collegio sindacale 8

9 Quale grado di diligenza? Quella richiesta dalla natura dell'incarico e dalle competenze In concreto: il giudice può solo valutare il percorso decisionale (business judgement rule); gli amministratori devono: avere acquisito adeguate informazioni avere posto in essere le necessarie cautele operato le opportune verifiche preventive rispettato i processi decisionali previsti rispettato generali criteri di razionalità economica previsti dalla scienza aziendale operato scelte compatibili e congruenti con le risorse e il patrimonio della società Eventuali competenze specifiche dell amministratore (es. fiscali, legali, etc.) aggiungono, e non tolgono, ai doveri di diligenza 9

10 Responsabilità degli amministratori [Gli amministratori] sono solidalmente responsabili verso la società dei danni derivanti dall'inosservanza di tali doveri, a meno che si tratti di attribuzioni proprie del comitato esecutivo o di funzioni in concreto attribuite ad uno o più amministratori. In ogni caso gli amministratori, fermo quanto disposto dal comma terzo dell'articolo 2381 (i), sono solidalmente responsabili se, essendo a conoscenza di fatti pregiudizievoli, non hanno fatto quanto potevano per impedirne il compimento o eliminarne o attenuarne le conseguenze dannose. (i) Compiti del Consiglio di Amministrazione, include la valutazione dell adeguatezza dell assetto organizzativo, amministrativo e contabile. Art Responsabilità verso la società, commi 2, 3 10

11 Riepilogando Obblighi di legge e regolamentari obblighi di legge prevalentemente applicabili a tutte le imprese obblighi regolamentari di norma specifici di settore Principi di corretta amministrazione razionalità delle scelte di gestione e diligenza con cui sono state assunte Criteri di adeguatezza dell assetto organizzativo, amministrativo e contabile previsti da norme regolamentari o da linee di indirizzo nei settori regolati indicati da linee guida, prassi o standard mercato per i settori non regolati QUALI OBBLIGHI DI LEGGE? QUALI PRINCIPI DI CORRETTA AMMINISTRAZIONE? QUALI CRITERI DI ADEGUATEZZA? 11

12 Obblighi di legge e regolamentari in particolare attinenti i sistemi informativi 12

13 Obblighi di legge e regolamentari I sistemi informativi sono oggetto di molteplici previsioni normative e regolamentari: Di carattere generale (esempi): Protezione dei dati personali (misure minime di sicurezza, amministratori di sistema, etc.) Diritti di proprietà intellettuale Documento informatico, posta elettronica certificata, conservazione sostitutiva, etc. Settoriali (settori regolati esempi): Istruzioni/ disposizioni di vigilanza per le Banche (Banca d Italia) Norme regolamentari per le Assicurazioni (IVASS/ ex ISVAP) Infrastrutture critiche 13

14 Obblighi di autoregolamentazione Il consiglio di amministrazione [...]: a) definisce le linee di indirizzo del sistema di controllo interno e di gestione dei rischi [...]; b) valuta [...] l adeguatezza del sistema di controllo interno e di gestione dei rischi [...] d) descrive, nella relazione sul governo societario, le principali caratteristiche del sistema di controllo interno e di gestione dei rischi [...] Codice di Autodisciplina per le Società Quotate ed Criterio applicativo 7.C.1 14

15 Obblighi di autoregolamentazione Il comitato controllo e rischi [...] c) esamina le relazioni [...] predisposte dalla funzione internal audit [...] f) riferisce al consiglio [...] sull adeguatezza del sistema di controllo interno e di gestione dei rischi. Codice di Autodisciplina per le Società Quotate ed Criterio applicativo 7.C.2 15

16 Obblighi di autoregolamentazione L amministratore incaricato del sistema di controllo interno e di gestione dei rischi: a) cura l identificazione dei principali rischi aziendali [...] e li sottopone periodicamente all esame del consiglio di amministrazione; b) dà esecuzione alle linee di indirizzo definite dal consiglio di amministrazione, curando la progettazione, realizzazione e gestione del sistema di controllo interno e di gestione dei rischi [...] Codice di Autodisciplina per le Società Quotate ed Criterio applicativo 7.C.4 16

17 Obblighi di autoregolamentazione Il responsabile della funzione di internal audit: [...] a) verifica [...] l operatività e l idoneità del sistema di controllo interno e di gestione dei rischi [...] f) trasmette le relazioni [... ai presidenti del] [collegio sindacale, comitato controllo e rischi, consiglio di amministrazione] nonché all amministratore incaricato del sistema di controllo interno e di gestione dei rischi; g) verifica, nell ambito del piano di audit, l affidabilità dei sistemi informativi inclusi i sistemi di rilevazione contabile. In sostanza, i sistemi informativi sono dichiarati parte essenziale e prioritaria del sistema di controllo interno e gestione dei rischi. Codice di Autodisciplina per le Società Quotate ed Criterio applicativo 7.C.5 17

18 Principi di corretta amministrazione e criteri di adeguatezza degli assetti organizzativo e amministrativo e contabile L impatto sui sistemi informativi? 18

19 Principi di corretta amministrazione e adeguatezza degli assetti Norme di comportamento del collegio sindacale (società non quotate) CNDCEC In vigore dal 1/1/2012, per le società non quotate Norme di comportamento del collegio sindacale di società quotate CNDCEC Versione preliminare in pubblica consultazione, Luglio

20 Principi di corretta amministrazione Principi Il collegio sindacale vigila sul rispetto dei principi di corretta amministrazione La vigilanza sul rispetto dei principi di corretta amministrazione consiste nella verifica della conformità delle scelte di gestione a generali criteri di razionalità economica Criteri applicativi obbligo di diligenza degli amministratori non è controllo di merito riguarda aspetti di legittimità e correttezza del procedimento decisionale gli amministratori devono avere acquisito opportune informazioni posto in essere opportune cautele e verifiche preventive 20 Norme di comportamento del collegio sindacale CNDCEC

21 Adeguatezza dell assetto organizzativo Principi Assetto organizzativo: direttive e procedure per garantire che il potere decisionale sia assegnato ed effettivamente esercitato a un appropriato livello di competenza e responsabilità. Assetto organizzativo adeguato: struttura compatibile alle dimensioni della società e alla natura e alle modalità di perseguimento dell oggetto sociale. Criteri applicativi Criteri di adeguatezza separazione dei compiti chiari organigramma, deleghe e poteri verifica sul lavoro dei collaboratori rispetto dei processi decisionali personale competente direttive e procedure aggiornate e diffuse Per le quotate: efficacia e efficienza della gestione dei rischi e del controllo (quotate) flussi informativi completi, efficaci, tempestivi, attendibili (quotate) Norme di comportamento del collegio sindacale CNDCEC 21

22 Adeguatezza e funzionamento del sistema amministrativo-contabile Principi Sistema amministrativo-contabile: direttive, procedure e prassi per la completezza, correttezza, tempestività e attendibilità dell informativa societaria Sistema amministrativo-contabile adeguato: completa, tempestiva e attendibile rilevazione contabile informazioni valide e utili per le scelte di gestione produzione di dati attendibili per la formazione del bilancio Criteri applicativi Valutazione di adeguatezza: giudizio professionale sulla base delle caratteristiche del sistema, [per le non quotate: da porre a confronto con un modello teorico di riferimento identificato come best practice] il collegio può richiedere notizie in ordine ai controlli informativi e organizzativi istituiti dalla società [per le quotate: e dalle società controllate] Conclusioni riassunte in apposito paragrafo della relazione all assemblea 22

23 Adeguatezza e funzionamento del sistema di controllo interno Principi Sistema di controllo interno: direttive, procedure e prassi adottate allo scopo di raggiungere, attraverso un adeguato processo di gestione dei principali rischi, i seguenti obiettivi: obiettivi strategici [conformità delle scelte del management alle direttive ricevute e all oggetto sociale, salvaguardia del patrimonio aziendale, tutela degli interessi degli stakeholders; obiettivi operativi [efficacia ed efficienza delle attività operative aziendali]; obiettivi di reporting [attendibilità e affidabilità dei dati]; obiettivi di conformità [conformità alle leggi e ai regolamenti]. Un sistema di controllo interno risulta adeguato se permette la chiara e precisa indicazione dei principali fattori di rischio aziendale, ne consente il costante monitoraggio e la corretta gestione. 23

24 Adeguatezza e funzionamento del sistema di controllo interno Criteri applicativi non quotate Il codice civile non prevede espressamente la vigilanza sul sistema di controllo interno fra i doveri del collegio sindacale Si ritiene [comunque] opportuno che, in applicazione del più ampio dovere di vigilare sull assetto organizzativo, il collegio sindacale vigili anche sull adeguatezza e sul funzionamento del sistema di controllo interno Conclusioni dell attività di vigilanza riassunte in apposito paragrafo della relazione all assemblea Criteri applicativi quotate Valutazione di adeguatezza: giudizio professionale emesso sulla base delle informazioni disponibili [...] Elementi tipici che occorre valutare: 1. ambiente di controllo 2. sistema di valutazione dei rischi aziendali 3. attività di controllo 4. procedure e meccanismi di informazione e comunicazione; 5. attività di monitoraggio Priorità ai rischi significativi 24

25 Un possibile approccio ai doveri degli organi delegati e del Consiglio di Amministrazione attinenti la gestione dei sistemi informativi La proposta di COBIT 5 25

26 Principle 5: Separating Governance and Management Governance: considerare esigenze degli stakeholder e contesto per (EDM): Valutare le opzioni e determinare obiettivi bilanciati e condivisi Indirizzare il management Monitorare performance e compliance Key Areas & Domains of Governance & Management Il Management pianifica, realizza, esegue e monitora coerentemente con gli indirizzi dell organo di governo per il conseguimento degli obiettivi aziendali (PBRM) COBIT 5 Framework, figura ISACA 26

27 Dettaglio del Process Reference Model Processes for Governance of Enterprise IT Evaluate, Direct and Monitor EDM01 Ensure Governance Framework Setting and Maintenance EDM02 Ensure Benefits Delivery EDM03 Ensure Risk Optimisation EDM04 Ensure Resource Optimisation EDM05 Ensure Stakeholder Transparency Align, Plan and Organise APO01 Manage the IT Management Framework APO02 Manage Strategy APO03 Manage Enterprise Architecture APO04 Manage Innovation APO05 Manage Portfolio APO06 Manage Budget and Costs APO07 Manage Human Resources Monitor, Evaluate and Assess APO08 Manage Relationships APO09 Manage Service Agreements APO10 Manage Suppliers APO11 Manage Quality APO12 Manage Risk APO13 Manage Security MEA01 Monitor, Evaluate and Assess Performance and Conformance Build, Acquire and Implement BAI01 Manage Programmes and Projects BAI02 Manage Requirements Definition BAI03 Manage Solutions Identification and Build BAI04 Manage Availability and Capacity BAI05 Manage Organisational Change Enablement BAI06 Manage Changes BAI07 Manage Change Acceptance and Transitioning MEA02 Monitor, Evaluate and Assess the System of Internal Control BAI08 Manage Knowledge BAI09 Manage Assets BAI010 Manage Configuration Deliver, Service and Support DSS01 Manage Operations DSS02 Manage Service Requests and Incidents DSS03 Manage Problems DSS04 Manage Continuity DSS05 Manage Security Services DSS06 Manage Business Process Controls MEA03 Monitor, Evaluate and Assess Compliance With External Requirements Processes for Management of Enterprise IT COBIT 5 Framework, figure ISACA All rights reserved. 27

28 Evaluate, Direct & Monitor Processes for Governance of Enterprise IT Evaluate, Direct and Monitor EDM01 Ensure Governance Framework Setting and Maintenance EDM02 Ensure Benefits Delivery EDM03 Ensure Risk Optimisation EDM04 Ensure Resource Optimisation EDM05 Ensure Stakeholder Transparency 28

29 Governance practices EDM01. Ensure Governance Framework Setting and Maintenance 01 Evaluate the governance system 02 Direct the governance system 03 Monitor the governance system EDM02. Ensure Benefits Delivery 01 Evaluate value optimisation 02 Direct value optimisation 03 Monitor value optimisation EDM03. Ensure Risk Optimisation 01 Evaluate risk management 02 Direct risk management 03 Monitor risk management EDM04. Ensure Resource Optimisation 01 Evaluate resource management 02 Direct resource management 03 Monitor resource management EDM05. Ensure Stakeholder Transparency 01 Evaluate stakeholder reporting requirements 02 Direct stakeholder communication and reporting EDM05.03 Monitor stakeholder communication. 29

30 Who s in charge? EDM01 Ensure Governance Framework Setting and Maintenance 30

31 Who s in charge? EDM02 Ensure Benefits Delivery 31

32 Who s in charge? EDM03 Ensure Risk Optimisation 32

33 Who s in charge? EDM04 Ensure Resource Optimisation 33

34 Who s in charge? EDM05 Ensure Stakeholder Transparency 34

35 Conclusioni COBIT 5 Governance Practices a supporto dei doveri degli amministratori 35

36 Riepilogando doveri degli amministratori Doveri degli amministratori: rispetto della legge e dell atto costitutivo rispetto di principi di corretta amministrazione adeguatezza dell'assetto organizzativo, amministrativo e contabile Tali principi e criteri investono il governo e la gestione dei sistemi informativi (in particolare con riferimento al sistema amministrativocontabile ed al sistema di controllo interno e gestione dei rischi) Le buone pratiche di mercato contribuiscono a definire il concreto contenuto dei doveri degli amministratori Gradi diversi di responsabilità: indirizzare e valutare per il Consiglio di Amministrazione curare e attuare per gli organi delegati (da non confondere con la distinzione fra governance e management) 36

37 Riepilogando - Principi di corretta amministrazione e adeguatezza degli assetti Principi di corretta amministrazione Conformità delle scelte di gestione a generali criteri di razionalità economica obbligo di diligenza nell espletamento del mandato degli amministratori legittimità delle scelte correttezza del procedimento decisionale acquisizione di opportune informazioni, adozione di cautele e verifiche preventive rispetto del processo decisionale Adeguatezza degli assetti chiari organigramma aziendale, funzioni, compiti e responsabilità attività decisionale e direttiva esercitata dagli aventi poteri personale con adeguata competenza direttive e procedure aggiornate e diffuse efficienza ed efficacia della gestione dei rischi e del controllo interno adeguatezza dei flussi informativi separazione di compiti e funzioni verifica sul lavoro svolto dai collaboratori 37

38 Riepilogando - Governance practices EDM01. Ensure Governance Framework Setting and Maintenance 01 Evaluate the governance system 02 Direct the governance system 03 Monitor the governance system EDM02. Ensure Benefits Delivery 01 Evaluate value optimisation 02 Direct value optimisation 03 Monitor value optimisation EDM03. Ensure Risk Optimisation 01 Evaluate risk management 02 Direct risk management 03 Monitor risk management EDM04. Ensure Resource Optimisation 01 Evaluate resource management 02 Direct resource management 03 Monitor resource management EDM05. Ensure Stakeholder Transparency 01 Evaluate stakeholder reporting requirements 02 Direct stakeholder communication and reporting EDM05.03 Monitor stakeholder communication. 38

39 Governance practices e doveri degli amministratori Governance practices Doveri degli amministratori EDM01. Ensure Governance Framework Setting and Maintenance Adeguatezza dell'assetto organizzativo EDM02. Ensure Benefits Delivery Rispetto di principi di corretta amministrazione EDM03. Ensure Risk Optimisation Adeguatezza degli assetti - rispetto di principi di corretta amministrazione EDM04. Ensure Resource Optimisation Rispetto di principi di corretta amministrazione EDM05. Ensure Stakeholder Transparency Adeguatezza dell'assetto organizzativo 39

40 Appendice COBIT 5 Governance practices 40

41 EDM01 Ensure Governance Framework Setting and Maintenance EDM01.01 Evaluate the governance system Continually identify and engage with the enterprise s stakeholders, document an understanding of the requirements, and make a judgement on the current and future design of governance of enterprise IT. EDM01.02 Direct the governance system Inform leaders and obtain their support, buy-in and commitment. Guide the structures, processes and practices for the governance of IT in line with agreed-on governance design principles, decision-making models and authority levels. Define the information required for informed decision making. EDM01.03 Monitor the governance system Monitor the effectiveness and performance of the enterprise s governance of IT. Assess whether the governance system and implemented mechanisms (including structures, principles and processes) are operating effectively and provide appropriate oversight of IT. 41

42 EDM02 Ensure Benefits Delivery EDM02.01 Evaluate value optimisation Continually evaluate the portfolio of IT-enabled investments, services and assets to determine the likelihood of achieving enterprise objectives and delivering value at a reasonable cost. Identify and make judgement on any changes in direction that need to be given to management to optimise value creation. EDM02.02 Direct value optimisation Direct value management principles and practices to enable optimal value realisation from IT-enabled investments throughout their full economic life cycle. EDM02.03 Monitor value optimisation Monitor the key goals and metrics to determine the extent to which the business is generating the expected value and benefits to the enterprise from IT-enabled investments and services. Identify significant issues and consider corrective actions. 42

43 EDM03 Ensure Risk Optimisation EDM03.01 Evaluate risk management Continually examine and make judgement on the effect of risk on the current and future use of IT in the enterprise. Consider whether the enterprise s risk appetite is appropriate and that risk to enterprise value related to the use of IT is identified and managed. EDM03.02 Direct risk management Direct the establishment of risk management practices to provide reasonable assurance that IT risk management practices are appropriate to ensure that the actual IT risk does not exceed the board s risk appetite. EDM03.03 Monitor risk management Monitor the key goals and metrics of the risk management processes and establish how deviations or problems will be identified, tracked and reported for remediation. 43

44 EDM04 Ensure Resource Optimisation EDM04.01 Evaluate resource management Continually examine and make judgement on the current and future need for ITrelated resources, options for resourcing (including sourcing strategies), and allocation and management principles to meet the needs of the enterprise in the optimal manner. EDM04.02 Direct resource management Ensure the adoption of resource management principles to enable optimal use of IT resources throughout their full economic life cycle. EDM04.03 Monitor resource management Monitor the key goals and metrics of the resource management processes and establish how deviations or problems will be identified, tracked and reported for remediation. 44

45 EDM05 Ensure Stakeholder Transparency EDM05.01 Evaluate stakeholder reporting requirements Continually examine and make judgement on the current and future requirements for stakeholder communication and reporting, including both mandatory reporting requirements (e.g., regulatory) and communication to other stakeholders. Establish the principles for communication. EDM05.02 Direct stakeholder communication and reporting Ensure the establishment of effective stakeholder communication and reporting, including mechanisms for ensuring the quality and completeness of information, oversight of mandatory reporting, and creating a communication strategy for stakeholders. EDM05.03 Monitor stakeholder communication Monitor the effectiveness of stakeholder communication. Assess mechanisms for ensuring accuracy, reliability and effectiveness, and ascertain whether the requirements of different stakeholders are met. 45

46 Questa è l ultima pagina 46