NORMATIVA, BEST PRACTICES ED APPLICAZIONE PRATICA
|
|
- Vittoria Pippi
- 8 anni fa
- Visualizzazioni
Transcript
1 Verso il GOVERNO dei SISTEMI INFORMATIVI NORMATIVA, BEST PRACTICES ED APPLICAZIONE PRATICA ROBERTO NICCOLI Padova, 29 maggio
2 NORMATIVA, BEST PRACTICES ED APPLICAZIONE PRATICA IT affidabile per il business e IS GOVERNANCE come punti di arrivo della conformità 2
3 Verso il GOVERNO dei SISTEMI INFORMATIVI Sponsor e sostenitori di ISACA VENICE Chapter Con il patrocinio di 3
4 ROBERTO NICCOLI QUALIFICHE PROFESSIONALI Laurea in Economia e Commercio, Università L. Bocconi di Milano STORIA PROFESSIONALE Entrato in nell ottobre del 2000, ha svolto numerose attività in differenti settori ricoprendo rilevanti ruoli di responsabilità nel gruppo IT Governance & Data Management. ESPERIENZE PROGETTUALI Ha gestito e realizzato molteplici progetti nelle seguenti aree tematiche: Technology Supporto alla definizione dei processi operativi IT (Change Management, IT Security, Incident Management ecc); Supporto alla definizione di sistemi di monitoraggio e qualità IT (dashboard KPI e BSC); Supporto nella valutazione del sistema di controllo IT; ICT Compliance; Supporto alla ridefinizione organizzativa della funzione IT e/o del modello di IT Sourcing. Data Management Implementazione di Dashboard di fraud management (specifiche funzionali, specifiche tecniche ed implementazione); Revenue Maximizer (Riconciliazioni End-To-End, Error Management) ed assistenza nella definizione della funzione Revenue Assurance; Analisi e ricalcoli di dati operativi non finanziari, CAAT, ecc. 4
5 ABSTRACT L'intervento si concentrerà sull'esperienza maturata negli ultimi mesi da nell'ambito del 15 aggiornamento della Circolare 263 (Nuove disposizioni di vigilanza prudenziale per le banche) e, nello specifico, del Capitolo 8 Sistemi Informativi. Da un'esigenza di conformità ad una norma, sono stati avviati una serie di interventi prima di valutazione e successivamente di implementazione/revisione di processi di gestione dei Sistemi Informativi che porteranno gli operatori del settore a dotarsi di nuovi presidi organizzativi e nuove metodologie in ambito IT Governance entro il 1 febbraio Gli operatori nei prossimi mesi avranno il compito di implementare soluzioni che siano da un lato coerenti con i propri modelli di sourcing e di business (organizzazione, persone e tecnologie) e dall'altro con quanto richiesto da Banca d'italia. Stiamo vivendo un momento di profondo cambiamento in cui quanto definito da best practices e framework di settore (COBIT, ISO27000, ITIL) sta diventando ora un esigenza di business e di compliance. 5
6 Agenda Breve introduzione 263: principi generali Circolare 263 e metodologie di riferimento (COBIT, ISO27000) Assessment 263 Il piano di implementazione 263 6
7 Sezione 1 BREVE INTRODUZIONE 263: PRINCIPI GENERALI Struttura Il capitolo 8 e la sua articolazione Le scadenze normative Le principali novità 7
8 Sezione 1 Breve introduzione 263: principi generali L evoluzione della normativa verso un migliore presidio del rischio Le nuove disposizioni L Autorità di Vigilanza ha emanato lo scorso 2 luglio il 15 aggiornamento alla Circolare 263/2006, recante disposizioni prudenziali in materia di sistema dei controlli interni, sistema informativo e continuità operativa (di seguito, testo normativo o aggiornamento ), i cui principali ambiti sono di seguito elencati: Il sistema dei controlli interni (Cap. 7) Il ruolo degli Organi aziendali (Cap.7, Sez. II) Funzioni aziendali di controllo (Cap. 7, Sez. III) Esternalizzazione di funzioni aziendali al di fuori del gruppo bancario (Cap. 7, Sez. IV) Il RAF, il sistema dei controlli interni e l esternalizzazione nei gruppi bancari (Cap. 7, Sez. V) Il sistema informativo (Cap. 8) La continuità operativa (Cap. 9) Il contesto di riferimento Banca d Italia ha recentemente avviato una profonda revisione del quadro normativo volta a condurre il sistema bancario verso un migliore presidio del rischio a tutti i livelli aziendali e più in generale a migliorare l intera governance Le nuove disposizioni prendono le mosse dalla circolare 229/1999 Istruzioni di Vigilanza per le Banche, sostanzialmente principle based, declinando ed approfondendo taluni aspetti in una normativa basata sulle regole (Principi vs Regole) Banca d Italia ha inteso modificare ed integrare l attuale normativa di riferimento con la finalità ultima di istituire una governance aziendale volta a garantire una sana e prudente gestione ed il cui punto fulcro è rappresentato dalla comprensione, il governo del rischio e la sua remunerazione I principi cardine della nuova normativa sono stati condivisi anche dal Fondo Monetario Internazionale, con il quale la Banca d Italia si è confrontata prima della sua emanazione in occasione del FSAP In particolare, nelle Nuove Disposizioni è richiesto che gli intermediari debbano, entro il 30 gennaio 2014 (termine prorogato): inviare all Autorità di Vigilanza una relazione recante un autovalutazione della propria situazione aziendale rispetto alle previsioni della nuova normativa (cd gap analysis ) indicare in tale relazione le misure da adottare e la relativa scansione temporale per assicurare il pieno rispetto delle disposizioni (cd piano interventi Bankit ) e l elenco dei contratti di esternalizzazione in essere per il Capitolo 8 e 9, è stata fornito un questionario specifico da utilizzare per la risposta a Banca d'italia 8
9 Sezione 1 Breve introduzione 263: principi generali Principali novità I principi generali di Organizzazione La previsione di una disciplina Organica in materia di outsourcing Il codice etico Il processo di approvazione di nuovi prodotti e servizi, l avvio di nuove attività, l inserimento in nuovi mercati Il coordinamento delle funzioni/organi di controllo Principali novità normative La compliance fiscale Il Risk Appetite Framework - RAF Istituzione e requisiti delle funzioni aziendali di controllo Il rafforzamento dei poteri del Risk Management Il rischio informatico ed il governo dell Information e Communication Technology (ICT) 9
10 Sezione 1 Breve introduzione 263: principi generali Definizione di un processo di esternalizzazione basato su un analisi del rischio, che considera in primo luogo la stima dei rischi delle risorse e servizi da esternalizzare e quindi valuta i rischi dei possibili fornitori. Principi cardine 1. Proporzionalità e autonomia Organizzativa Le banche applicano le disposizioni secondo il principio di proporzionalità, tenendo conto della dimensione e complessità operative, della natura dell attività svolta, della tipologia dei servizi prestati. Le banche assicurano una stretta coerenza e un puntuale raccordo tra: il modello di business, il piano strategico, il RAF, il processo ICAAP, i budget, l Organizzazione aziendale e il sistema dei controlli interni attraverso un integrazione delle fonti informative al fine di ottimizzare i costi del controllo. 6. Gestione e controllo dell outsourcing 5. Efficienza, Efficacia, costi e coordinamento Sono considerati parametri di integrazione: la diffusione di un linguaggio comune nella gestione dei rischi a tutti i livelli della banca; l adozione di modelli e strumenti di rilevazione e valutazione tra di loro coerenti; la definizione di modelli di reportistica dei rischi; l individuazione di momenti formalizzati di coordinamento ai fini della pianificazione delle rispettive attività. I principi cardine della normativa 4. Visione integrata dei rischi 2. Crescente ruolo degli Organi di vertice 3. Cultura dei controlli che coinvolge tutta l Organizzazione aziendale La responsabilità primaria è rimessa agli Organi di governance, ciascuno secondo le rispettive competenze. L articolazione dei compiti e delle responsabilità degli Organi e delle funzioni aziendali deve essere chiaramente definita. Il sistema dei controlli interni ha rilievo strategico; la cultura del controllo deve avere una posizione di rilievo nella scala dei valori aziendali: non riguarda solo le funzioni aziendali di controllo, ma coinvolge tutta l Organizzazione aziendale e presuppone un forte coinvolgimento ed impegno da parte dei vertici. 10
11 Sezione 1 Breve introduzione 263: principi generali La timeline normativa Le nuove disposizioni delineano un quadro di cambiamento che impatta su più attori e richiede l attivazione di un programma Organico e trasversale Di particolare rilievo il ruolo attivo riconosciuto agli Organi aziendali nel processo decisionale di assunzione e di monitoraggio dei rischi (es. definizione Risk Appetite Framework), il consolidamento della funzione di Controllo dei Rischi e l estensione delle responsabilità della funzione Compliance L Autorità di Vigilanza, in un ottica di ridefinizione e rafforzamento dei modelli governance degli intermediari, ha posto grande enfasi sulle regole specifiche in materia di Organizzazione e governo dell ICT I destinatari della disciplina devono adeguarsi in modo graduale alle nuove disposizioni sulla base del seguente piano: Gap Analysis per Banca d Italia Mappatura contratti di esternalizzazione in essere Entrata in vigore di una prima parte delle disposizioni Entrata in vigore delle disposizioni in materia di sistema informativo Entrata in vigore delle disposizioni relative alle linee di riporto dei responsabili delle funzioni di controllo di II livello Entrata in vigore delle disposizioni in materia di esternalizzazione 11
12 Sezione 1 Breve introduzione 263: principi generali Capitolo 8 - La governance ICT Il nuovo quadro d insieme ICT in coerenza con la governance aziendale (1/2) Principali aspetti normativi L Organo con funzione di supervisione strategica assume la generale responsabilità di indirizzo e controllo del sistema informativo a sostegno delle strategie aziendali. In particolare: approva le strategie di sviluppo del sistema informativo e relativo modello di riferimento per l architettura approva le policy di sicurezza informatica promuove lo sviluppo, la condivisione e l aggiornamento di conoscenze in materia di ICT all interno dell azienda è informato tempestivamente in caso di gravi incidenti e con cadenza almeno annuale circa l adeguatezza dei servizi erogati approva il framework metodologico per l analisi del rischio informatico approva la propensione al rischio informatico in coerenza con la propensione al rischio definito a livello aziendale è informato con cadenza almeno annuale sulla situazione di rischio informatico rispetto alla propensione al rischio L Organo con funzioni di gestione ha il compito di assicurare la completezza, l adeguatezza, la funzionalità e l affidabilità del sistema informativo. In particolare: definisce la struttura Organizzativa della funzione ICT assicurandone la rispondenza alle strategie e ai modelli architetturali definiti definisce l assetto Organizzativo, metodologico e procedurale per il processo di analisi del rischio informatico raccordandosi con la funzione di risk management approva gli standard di Data Governance ed il piano operativo delle iniziative informatiche valuta almeno annualmente le prestazioni della funzione ICT rispetto alle strategie ed agli obiettivi fisssati utilizzando opportuni sistemi di misurazione (KPI) approva almeno annualmente la valutazione del rischio delle componenti critiche 12
13 Sezione 1 Breve introduzione 263: principi generali Capitolo 8 - La governance ICT Il nuovo quadro d insieme ICT in coerenza con la governance aziendale (2/2) Principali aspetti normativi monitora il regolare svolgimento dei processi di gestione e di controllo dei servizi ICT e, a fronte di anomalie rilevate, pone in atto opportune azioni correttive; assume decisioni tempestive in merito a gravi incidenti di sicurezza informatica La funzione ICT si caratterizza per linee di riporto dirette a livello dell organo con funzione di gestione garantendo l unitarietà della visione gestionale e del rischio informatico nonché dell uniformità di applicazione delle norme riguardanti il sistema informativo. In particolare, ha la responsabilità: della pianificazione e del controllo del portafoglio dei progetti informatici in coerenza con il governo dell evoluzione dell architettura e dell innovazione tecnologica nonché con le attività di gestione del sistema informativo della realizzazione degli opportuni meccanismi di raccordo con le linee di business Le responsabilità in merito allo svolgimento dei compiti di controllo di secondo livello sono chiaramente assegnati. In particolare: il controllo dei rischi, basato su flussi informativi continui in merito all evoluzione del rischio informatico e sul monitoraggio dell efficacia delle misure di protezione delle risorse ICT. Le valutazioni svolte sono documentate e riviste in rapporto ai risultati del monitoraggio e comunque almeno una volta l anno. il rispetto dei regolamenti interni e delle normative esterne in tema di ICT garantendo, tra l altro: l assistenza su aspetti tecnici in caso di questioni legali relative al trattamento dei dati personali la coerenza degli assetti Organizzativi alle normative esterne, per le parti relative al sistema informativo l analisi di conformità dei contratti di outsourcing e con fornitori (inclusi i contratti infra-gruppo) La funzione di revisione interna è in grado di fornire valutazioni sui principali rischi tecnologici identificabili e sulla complessiva gestione del rischio informatico dell intermediario mediante il ricorso a competenze specialistiche (interno o mediante il ricorso a risorse esterne) 13
14 Sezione 1 Breve introduzione 263: principi generali Capitolo 8 Il rischio informatico Tendenze evolutive Situazione attuale La gestione del rischio informatico è ad oggi limitato allo specifico contesto ICT e spesso con approcci parcellizzati, metodologicamente differenziati a seconda dello specifico ambito: i processi di definizione dei piani di Continuità Operativa; i processi di analisi del rischio di sicurezza; i processi di analisi del rischio ai fini Privacy. Gli approcci adottati non prevedono (o solo limitatamente) un integrazione con le funzioni di controllo ed una connessione con la tassonomia dei rischi da queste utilizzate Modello a tendere Il rischio informativo diventa parte integrante del rischio aziendale complessivo e deve trovare una idonea integrazione con i rischi operativi, strategici e reputazionali L outsourcer recepisce dalla capogruppo/ banca utente un approccio metodologico ove siano descritti i principi sui quali deve poggiare la periodica valutazione e gestione del rischio informatico, definendo inoltre un impianto metodologico e flussi informativi che devono trovare un idonea integrazione rispetto a quanto previsto dalla capogruppo (Capitolo 7, RAF) Occorre definire un processo di gestione che permetta periodicamente e/o in caso di modifiche significative di valutare il rischio informatico su tutte le componenti critiche del sistema informativo e ne condivide con la capogruppo gli aspetti che possono impattare su di esse. A tal fine, il Consorzio di riferimento dovrà attivare tempestivamente adeguati flussi informativi in tale ambito Spunto Realizzazione di una visione integrata del rischio tra le funzioni di controllo e le strutture specialistiche che permetta di presidiare il rischio informatico sia nella gestione dei processi IT sia come una delle componenti del RAF. L'integrazione deve avvenire in modo strutturato lungo tutti i principali processi IT mediante l'adozione di presidi organizzativi, processi e soluzione tecnologiche che possano permettere di monitorare l'intero perimetro delle componenti ICT e distinguerne l'impatto/ criticità per il business. L'analisi del rischio informatico diventa uno dei driver principali su cui basare l'evoluzione del proprio sistema informativo di riferimento. 14
15 Sezione 1 Breve introduzione 263: principi generali Capitolo 8 La gestione della sicurezza Tendenze evolutive Situazione attuale La gestione della sicurezza informatica è prevalentemente vista come sicurezza fisica e logica, senza darne un inquadramento unico I processi di gestione dei cambiamenti sono spesso poco formalizzati e si basano su prassi che non permettono di assicurare che aspetti rilevanti per il sistema di controllo (valutazione del rischio in caso di modifiche, accettazione formale delle modifiche, definizione di specifici flussi in caso di emergenza, ecc) siano recepiti e gestiti in base a flussi strutturati e consistenti sulla base della tipologia di modifica La gestione degli incidenti è gestita all interno dei processi di Service Desk (di primo, secondo e terzo livello) ma spesso non è garantita l attivazione dei necessari flussi informativi verso soggetti interni Modello a tendere La definizione di policy di sicurezza, procedure e documenti di maggiore dettaglio operativi devono permettere di attuare modelli tecnico-organizzativi capaci di garantire la protezione degli asset aziendali ed assicurare un evoluzione nel tempo in coerenza con i prodotti forniti, le tecnologie utilizzati e i rischi fronteggiati Nel caso di modelli di sourcing misti occorre implementare un modello operativo che permetta di assicurare comunque una visione unitaria ed integrata mediante standard di riferimento condivisi L outsourcer deve definire i processi per la gestione degli incidenti di sicurezza integrati anche con i processi di gestione della Continuità Operativa della banca, attivando, nel caso, le previste comunicazioni alle forze dell ordine e/o a Banca d Italia Spunto La gestione della sicurezza abbraccia orizzonti sempre più vasti in cui i sistemi di gestione della sicurezza delle informazioni diventano processi di gestione complessi ed articolati, dove la corretta definizione delle regole di sicurezza è raggiunta solo attraverso una valutazione (da parte delle strutture di business) del grado di importanza delle informazioni trattate, anche alla luce dalle risultanze del processo di analisi dei rischi 15
16 Sezione 1 Breve introduzione 263: principi generali Capitolo 8 Il sistema di gestione dei dati Tendenze evolutive Situazione attuale La mancanza di idonei presidi organizzativi (come ad esempio, uffici architetture) non ha permesso di sviluppare, parallelamente alla messa in produzione di procedure ed applicazioni informatiche, un sistema capace di definire, formalizzare e mantenere nel tempo una completa tracciatura dei flussi informativi in termini di procedure di estrazione, trasformazione e controllo dei dati Tali approcci sono stati introdotti spesso con Basilea II e III e l introduzione dei processi di Data Quality ad essi sottesi Modello a tendere La registrazione nei sistemi informativi delle principali operazioni aziendali e dei fatti di gestione deve avvenire assicurando nel continuo l'integrità, completezza e correttezza dei dati e delle informazioni. Occorre inoltre prevedere processi di tracciamento e controllo in caso di immissione o rettifica manuale di dati Occorre definizione uno standard di Data Governance che permetta di definire un modello di riferimento (processi, strutture e tecnologie) atto a definire la proprietà del dato e a misurare la qualità del dato All interno dell analisi del rischio informatico, deve essere definito uno specifico ambito legato alla qualità del dato La formalizzazione dei data model per i sistemi informativi (es.: DWH), compresi i processi di caricamento ed elaborazione, i processi di quadratura dei dati e tutte le attività di estrazione e reporting dei dati, diventano un requisito per migliorare la qualità del reporting aziendale Spunto L accountabilty (data classification) e la verificabilità del dato (definizione e formalizzazione di modelli dati) lungo tutto il suo ciclo di vita permette di implementare sistemi di gestione capaci di fornire informazioni complete ed aggiornate sulle attività aziendali rilevanti e sull evoluzione dei rischi ad esse connesse 16
17 Sezione 1 Breve introduzione 263: principi generali Capitolo 7 Nuove logiche di esternalizzazione Tendenze evolutive Situazione attuale L esternalizzazione segue prevalentemente logiche di efficienza economica ed operativa, il cui processo non sempre è supportato da adeguati percorsi decisionali e di controllo Modello a tendere L esternalizzazione delle funzioni aziendali dovrà seguire un percorso più rigido, obbligando le capogruppo a definire una politica aziendale in tema che sancisca il processo decisionale seguito dalle banche/entità del gruppo per esternalizzare le funzioni aziendali, i criteri per individuare i fornitori, gli SLA ed i flussi informativi Si vuole in questo modo guidare e tracciare maggiormente il percorso di esternalizzazione, inducendo a valutare nel merito il processo decisionale, e la scelta dei fornitori (competenze e capacità). Inoltre, si irrobustisce il controllo delle attività svolte dal fornitore, tramite il rispetto formale di SLA e l obbligo di produzione di appositi flussi informativi indirizzati agli Organi aziendali per consentire la piena coscienza e governabilità dei fattori di rischio delle attività esternalizzate Requisiti meno stringenti sono previsti nel caso di esternalizzazioni all interno del medesimo Gruppo Bancario Spunto Definizione del nuovo processo di esternalizzazione e delle attività di controllo, da realizzarsi in ottica condivisa ed integrata a livello aziendale (coinvolgimento delle funzioni interessate, funzioni di controllo, alta direzione) come primo passo del presidio a livello complessivo 17
18 Sezione 1 Breve introduzione 263: principi generali Capitolo 8 Le logiche di esternalizzazione in ambito ICT Tendenze evolutive Situazione attuale L esternalizzazione segue prevalentemente logiche di efficienza economica ed operativa, il cui processo non sempre è supportato da adeguati percorsi decisionali e di controllo Modello a tendere L esternalizzazione delle componenti critiche dei sistemi informativi dovrà seguire un percorso più rigido, obbligando le capogruppo/ banche utenti a definire un quadro di riferimento idoneo a garantire l indirizzo ed il controllo del sistema informativo e la supervisione dell analisi del rischio informatico mediante idonee strutture organizzative, metodologie e processi di gestione dell ICT Si vuole in questo modo governare ed indirizzare maggiormente il percorso di esternalizzazione, sia in fase di definizione del modello di sourcinng sia nel corso del tempo nell erogazione dei servizi. Si irrobustisce dunque il controllo delle attività svolte dall outsourcer, anche tramite la definizione e il monitoraggio di SLA coerenti con le esigenze di business ed attivando appositi flussi informativi indirizzati agli organi aziendali di supervisione strategica e di gestione Spunto Definizione di flussi informativi che possano permettere di offrire agli organi di supervisione strategica e di gestione un corretto e tempestivo quadro di riferimento, misurando anche la contribuzione della funzione ICT al raggiungimento degli obiettivi strategici aziendali Definizione di un sistema di controllo ICT integrato con il più ampio sistema di controllo aziendale anche a causa della pervasività che i sistemi informativi hanno sui processi aziendali 18
19 Sezione 1 Breve introduzione 263: principi generali Capitolo 9 La continuità operativa Tendenze evolutive Situazione attuale Sono implementati processi che garantiscono la definizione e la gestione dei piani di continuità operativa, eventualmente, in modo accentrato per gruppi bancari (in tal caso, dotando le controllate di piani di continuità operativa e verificando la coerenza degli stessi con gli obiettivi strategici del gruppo in tema di contenimento dei rischi) Modello a tendere Occorre completare l implementazione di quanto già definito dai precedenti Bollettini di Vigilanza in ambito Continuità Operativa Il CdA ha la responsabilità di stabilire obiettivi e strategie di continuità operativa; a tal fine, attribuisce risorse adeguate ad assicurarne il conseguimento, approva il piano di continuità e nomina un responsabile del piano, comunicandone il nominativo a Banca d Italia. Inoltre, il CdA è informato, con frequenza almeno annuale, sugli esiti dei controlli sull adeguatezza del piano e sulle ulteriori verifiche La procedura per la dichiarazione dello stato di crisi è definita in raccordo con il processo di gestione degli incidenti Spunto I processi di gestione degli incidenti e di escalation devono essere integrati tra le differenti entità che, a vario titolo, concorrono alla continuità operativa del gruppo bancario La definizione di componente critica ai fini della continuità operativa deve trovare un allineamento logico anche con quanto definito dal Capitolo 8 19
20 Sezione 2 CIRCOLARE 263 E METODOLOGIE DI RIFERIMENTO (ISO27000, COBIT) 20
21 Sezione 2 Circolare 263 e metodologie di riferimento (COBIT, ISO27000) Gli standard di riferimento La normativa nelle considerazioni generali sulla gestione del Sistema Informativo fa un chiaro riferimento all'utilizzo di standard e best practices di settore. A tal proposito le banche valutano l opportunità di avvalersi degli standard e best practices definiti a livello internazionale in materia di governo, gestione, sicurezza e controllo del sistema informativo. [rif. TITOLO V - Capitolo 8, Sezione I Disposizioni di carattere generale] In tal senso, gli standard che sono stati presi in considerazione come riferimento sono: l'iso :2013 che copre in maniera esaustiva tutti gli ambiti introdotti dalla 263 in ambito sistema di gestione della sicurezza delle informazioni e del rischio informatico il CobiT 5 (o il CobiT 4.1), utilizzato come framework di riferimento dall'ufficio Audit per il sistema di controllo interno IT. Sono inoltre utilizzati altri standard/ framework come ITIL (erogazione dei servizi), ISF Standard of Good Practices (sicurezza), DAMA Framework (data governance) ad integrazione di approcci metodologici già adottati o per definire aspetti prevalentemente operativi. 21
22 Sezione 2 Circolare 263 e metodologie di riferimento (COBIT, ISO27000) Lo standard di riferimento per la sicurezza delle informazioni Series ISO2700x 22
23 Sezione 2 Circolare 263 e metodologie di riferimento (COBIT, ISO27000) Il 25 Settembre 2013 è stato pubblicato il nuovo Standard ISO :2013, che contiene i requisiti per implementare, gestire e certificare un Information Security Management System (ISMS). Lo Standard ISO :2013 si applica a tutte le organizzazioni (aziende, Pubblica Amministrazione, Onlus) di ogni dimensione e settore. Lo Standard ISO :2013 prende in considerazione tutti gli aspetti della sicurezza delle informazioni: Lo standard di riferimento per la sicurezza delle informazioni ISO :2013 organizzazione; persone; luoghi fisici; documenti cartacei; sistemi IT. L'assessment sulla sicurezza IT è stato condotto partendo dalla rilevazione dei processi di sicurezza ad oggi definiti sulla base dello standard ISO :
24 Sezione 2 Circolare 263 e metodologie di riferimento (COBIT, ISO27000) Lo standard di riferimento per il sistema di controllo interno COBIT5 Il COBIT5 consolida in una medesima entità di tre differenti framework: Cobit (216 Control Objectives), e RiskIT (69 Management Practice) e ValIT (43 Management Practice). Tale processo di consolidamento ha permesso al Cobit di diventare uno strumento di governance a 360 ovvero uno strumento con cui definire ed implementare i processi di gestione delle funzioni Sistemi Informativi. I quattro domini del Cobit 4.1 sono diventati cinque e i processi in essi contenuti sono stati ridistribuiti riuscendo a: recepire in maniera ottimale nell impianto metodologico i principi di segregation of duties (definire, implementare e monitorare); distinguere puntualmente i processi di governance da quelli relativi al management. Il primo dominio Evaluate, Direct and Monitor (EDM) si concentra sulla definizione di modelli di gestione che possano garantire un allineamento costante e duraturo con gli obiettivi di business, ottimizzando rischi, risorse e capability tipiche di una struttura IT. Il secondo dominio Align, Plan and Organise (APO) conferma i principali obiettivi di controllo del Cobit 4.1 introducendo in questa nuova versione nuovi processi tipici delle attività di pianificazione ed organizzazione quali ad esempio la gestione dei fornitori (APO10), la gestione dei Service Level Agreements (APO09), la definizione di un framework di gestione IT (APO01). Elemento ulteriore di novità è rappresentato dall introduzione in tale dominio dei processi di governo della Sicurezza IT che vengono separati dai relativi processi operativi ed inclusi in un processo ad hoc (APO13). 24
25 Sezione 2 Circolare 263 e metodologie di riferimento (COBIT, ISO27000) Lo standard di riferimento per il sistema di controllo interno COBIT5 Anche il terzo dominio Build, Acquire and Implement (BAI) si arricchisce in termini di processi tipici delle attività di acquisizione, implementazione e mantenimento delle componenti di un sistema informativo, intese non solo come programmi ed applicazioni ma anche come gestione degli asset e del relativo ciclo di vita (BAI09 e BAI10). Il quarto dominio Deliver Serve and Support (DSS) si concentra esclusivamente sui processi di gestione della macchina IT quali la gestione delle operations, dei processi di service desk, di continuità e di gestione operativa della sicurezza. In tale dominio, è stato introdotto un nuovo processo (DSS06) che si focalizza, tra l altro, sui controlli applicativi che assicurano che dati ed informazioni siano processati in modo coerente ai requisiti di business e che sia assicurata nel tempo la loro completezza, accuratezza, validità ed un accesso ristretto. Tale tipologia di controlli già presente nel Cobit4.1 ma solo nella parte introduttiva, diventa oggi una componente di dettaglio del modello. In ultimo, il dominio Monitor, Evaluate and Assess (MEA) si focalizza sui processi di monitoraggio delle performance e delle conformità con riferimento al sistema di controllo interno e ai requisiti imposti dalla normativa vigente. 25
26 Sezione 2 Circolare 263 e metodologie di riferimento (COBIT, ISO27000) Lo standard di riferimento per il sistema di controllo interno COBIT5 26
NOTA AIFIRM Associazione Italiana Financial Industry Risk Managers 23 luglio 2013
NOTA AIFIRM Associazione Italiana Financial Industry Risk Managers 23 luglio 2013 E stato introdotto nell ordinamento di vigilanza italiano il concetto di risk appetite framework (RAF). E contenuto nella
Dettagli1- Corso di IT Strategy
Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso
DettagliBanche e Sicurezza 2015
Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso
DettagliModello dei controlli di secondo e terzo livello
Modello dei controlli di secondo e terzo livello Vers def 24/4/2012_CLEN INDICE PREMESSA... 2 STRUTTURA DEL DOCUMENTO... 3 DEFINIZIONE DEI LIVELLI DI CONTROLLO... 3 RUOLI E RESPONSABILITA DELLE FUNZIONI
DettagliEsternalizzazione della Funzione Compliance
Esternalizzazione della Funzione Compliance Supporto professionale agli intermediari oggetto della normativa di Banca d Italia in materia di rischio di non conformità Maggio 2012 Labet S.r.l. Confidenziale
DettagliPolitica per la Sicurezza
Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato
DettagliIl controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali
La gestione dei rischi operativi e degli altri rischi Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali Mario Seghelini 26 giugno 2012 - Milano
DettagliDirezione Centrale Audit e Sicurezza IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE
IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE Maggio 2006 1 La costituzione dell Audit Interno La rivisitazione del modello per i controlli di regolarità amministrativa e contabile è stata
DettagliSISTEMI DI MISURAZIONE DELLA PERFORMANCE
SISTEMI DI MISURAZIONE DELLA PERFORMANCE Dicembre, 2014 Il Sistema di misurazione e valutazione della performance... 3 Il Ciclo di gestione della performance... 5 Il Sistema di misurazione e valutazione
DettagliA C 263 A C R M. La proposta di Nexen per il supporto alla Gap Analysis
A C 263 A C R M La proposta di Nexen per il supporto alla Gap Analysis Conformità alla circolare 263 Timeline e principali attività Entro il 31 dicembre 2013 i destinatari della presente disciplina inviano
DettagliVigilanza bancaria e finanziaria
Vigilanza bancaria e finanziaria DISPOSIZIONI DI VIGILANZA IN MATERIA DI POTERI DI DIREZIONE E COORDINAMENTO DELLA CAPOGRUPPO DI UN GRUPPO BANCARIO NEI CONFRONTI DELLE SOCIETÀ DI GESTIONE DEL RISPARMIO
DettagliSicurezza, Rischio e Business Continuity Quali sinergie?
Sicurezza, Rischio e Business Continuity Quali sinergie? ABI Banche e Sicurezza 2016 John Ramaioli Milano, 27 maggio 2016 Agenda Ø Il contesto normativo ed organizzativo Ø Possibili sinergie Ø Considerazioni
DettagliRiunione del Comitato di gestione Monitoraggio APQ - 18/12/03
Riunione del Comitato di gestione Monitoraggio APQ - 18/12/03 Roma, 18 dicembre 2003 Agenda dell'incontro Approvazione del regolamento interno Stato di avanzamento del "Progetto Monitoraggio" Prossimi
DettagliMANUALE DELLA QUALITÀ Pag. 1 di 6
MANUALE DELLA QUALITÀ Pag. 1 di 6 INDICE GESTIONE DELLE RISORSE Messa a disposizione delle risorse Competenza, consapevolezza, addestramento Infrastrutture Ambiente di lavoro MANUALE DELLA QUALITÀ Pag.
DettagliComune di San Martino Buon Albergo
Comune di San Martino Buon Albergo Provincia di Verona - C.A.P. 37036 SISTEMA DI VALUTAZIONE DELLE POSIZIONI DIRIGENZIALI Approvato dalla Giunta Comunale il 31.07.2012 INDICE PREMESSA A) LA VALUTAZIONE
DettagliCOMUNE DI RAVENNA GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI)
COMUNE DI RAVENNA Il sistema di valutazione delle posizioni del personale dirigente GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI) Ravenna, Settembre 2004 SCHEMA DI SINTESI PER LA
DettagliMANDATO DI AUDIT DI GRUPPO
MANDATO DI AUDIT DI GRUPPO Data: Ottobre, 2013 UniCredit Group - Public MISSION E AMBITO DI COMPETENZA L Internal Audit è una funzione indipendente nominata dagli Organi di Governo della Società ed è parte
DettagliCittà di Montalto Uffugo (Provincia di Cosenza) SISTEMA DI MISURAZIONE E VALUTAZIONE DELLA PERFORMANCE
Città di Montalto Uffugo (Provincia di Cosenza) SISTEMA DI MISURAZIONE E VALUTAZIONE DELLA PERFORMANCE Allegato Delibera Giunta Comunale n. 110 del 19 maggio 2014 1) Caratteristiche generali del sistema
DettagliNuove funzioni e responsabilità del Risk Management. Presentazione alla Conferenza Il governo dei rischi in banca: nuove tendenze e sfide
Nuove funzioni e responsabilità del Risk Management Presentazione alla Conferenza Il governo dei rischi in banca: nuove tendenze e sfide 9 Aprile 2015 Agenda 1. Premessa: Il ruolo della Corporate Governance
DettagliIl sistema di misurazione e valutazione della performance di Éupolis Lombardia
Il sistema di misurazione e valutazione della performance di Éupolis Lombardia Report a cura del Nucleo di Valutazione delle Prestazioni Dirigenziali Settembre 2014 1 Premessa Il Report Il sistema di misurazione
DettagliREALIZZAZIONE DEL SISTEMA DEI CONTROLLI INTERNI IN AGOS ITAFINCO SPA
REALIZZAZIONE DEL SISTEMA DEI CONTROLLI INTERNI IN AGOS ITAFINCO SPA PREMESSA SISTEMA DEI CONTROLLI INTERNI ORGANI E FUNZIONI DI VALUTAZIONE DEL SISTEMA DEI CONTROLLI IN AGOS AUDITING: OBIETTIVI, MODELLO
DettagliApprofondimento. Controllo Interno
Consegnato OO.SS. 20 maggio 2013 Approfondimento Controllo Interno Maggio 2013 Assetto Organizzativo Controllo Interno CONTROLLO INTERNO ASSICURAZIONE QUALITA DI AUDIT E SISTEMI ETICA DEL GOVERNO AZIENDALE
DettagliQUESTIONARIO 3: MATURITA ORGANIZZATIVA
QUESTIONARIO 3: MATURITA ORGANIZZATIVA Caratteristiche generali 0 I R M 1 Leadership e coerenza degli obiettivi 2. Orientamento ai risultati I manager elaborano e formulano una chiara mission. Es.: I manager
Dettagli5.1.1 Politica per la sicurezza delle informazioni
Norma di riferimento: ISO/IEC 27001:2014 5.1.1 Politica per la sicurezza delle informazioni pag. 1 di 5 Motivazione Real Comm è una società che opera nel campo dell Information and Communication Technology.
DettagliStefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma
Il Risk Management Integrato in eni Stefano Leofreddi Senior Vice President Risk Management Integrato 1 Ottobre 2014, Roma Indice - Sviluppo del Modello RMI - Governance e Policy - Processo e Strumenti
DettagliEA 03 Prospetto economico degli oneri complessivi 1
UNIONE EUROPEA REPUBBLICA ITALIANA Fase 1: Analisi iniziale L analisi iniziale prevede uno studio dello stato attuale della gestione interna dell Ente. Metodo: si prevede l individuazione dei referenti
DettagliBOZZA. Attività Descrizione Competenza Raccolta e definizione delle necessità Supporto tecnico specialistico alla SdS
Allegato 1 Sono stati individuati cinque macro-processi e declinati nelle relative funzioni, secondo le schema di seguito riportato: 1. Programmazione e Controllo area ICT 2. Gestione delle funzioni ICT
DettagliAssociazione Italiana Information Systems Auditors
Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM 2 A I E A Costituita a Milano nel 1979 Finalità:
DettagliIl Direttore DISCIPLINARE DEL PROCESSO DI BUDGET 2015
Il Direttore DISCIPLINARE DEL PROCESSO DI BUDGET 2015 DEFINIZIONE DI BUDGET Il Budget è lo strumento per attuare la pianificazione operativa che l Istituto intende intraprendere nell anno di esercizio
DettagliLa norma ISO 9001:08 ha apportato modifiche alla normativa precedente in
La norma ISO 9001:08 ha apportato modifiche alla normativa precedente in base alle necessità di chiarezza emerse nell utilizzo della precedente versione e per meglio armonizzarla con la ISO 14001:04. Elemento
DettagliDirezione Centrale Sistemi Informativi
Direzione Centrale Sistemi Informativi Missione Contribuire, in coerenza con le strategie e gli obiettivi aziendali, alla definizione della strategia ICT del Gruppo, con proposta al Chief Operating Officer
DettagliGestire il rischio di processo: una possibile leva di rilancio del modello di business
Gestire il rischio di processo: una possibile leva di rilancio del modello di business Gianluca Meloni, Davide Brembati In collaborazione con 1 1 Le premesse del Progetto di ricerca Nella presente congiuntura
DettagliIL SISTEMA DI CONTROLLO INTERNO
http://www.sinedi.com ARTICOLO 27 OTTOBRE 2008 IL SISTEMA DI CONTROLLO INTERNO PRODUZIONE DI VALORE E RISCHIO D IMPRESA Nel corso del tempo, ogni azienda deve gestire un adeguato portafoglio di strumenti
DettagliMODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO.
ALLEGATO A MODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO. il sistema organizzativo che governa le modalità di erogazione delle cure non è ancora rivolto al controllo in modo sistemico
DettagliProcessi e Risk Assessment nel Gruppo Reale Mutua 23/05/2013
Processi e Risk Assessment nel Gruppo Reale Mutua 23/05/2013 Agenda 1. Il Gruppo Reale Mutua 2. Il progetto BPM 3. Il processo di Control Risk Self Assessment 4. Le sfide del futuro Il Gruppo Reale Mutua
DettagliIl Risk Management Integrato in eni
Il Risk Integrato in eni Maria Clotilde Tondini Vice President Risk Integrato 5 Marzo 015, Milano Indice - Il Modello eni - 1 Il Modello eni Le fasi di sviluppo L avvio e l attuazione del Modello di Risk
DettagliSISTEMA DEI CONTROLLI INTERNI
( BY INTERNAL AUDITING FACTORIT SPA ) SISTEMA DEI CONTROLLI INTERNI L azienda Factorit ha da qualche anno costituito una funzione di presidio del monitoraggio dei rischi aziendali strettamente connessi
DettagliLa Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità
Il Sistema di Gestione della Qualità 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione La gestione del progetto Le interfacce La Certificazione 9001:2008 Referenze 2 Chi siamo
DettagliNUMERICA RISK STP FUNZIONI FONDAMENTALI SII
NUMERICA RISK STP FUNZIONE ATTUARIALE, SOLVENCY II DIRETTIVA SOLVENCY II FUNZIONI FONDAMENTALI In conformità agli articoli 44, 46, 47 e 48 della direttiva 2009/138/CE Solvency II, le autorità nazionali
DettagliINFORMAZIONE FORMAZIONE E CONSULENZA. benchmark ingbenchmarking benchmarkingbench marking
BENCHMARKING STUDY INFORMAZIONE FORMAZIONE E CONSULENZA benchmark ingbenchmarking benchmarkingbench marking CREDIT MANAGEMENT CREDIT MANAGEMENT Benchmarking Study Gestione e recupero dei crediti BENCHMARKING
DettagliSISTEMA DI GESTIONE PER LA QUALITÀ E CERTIFICAZIONE ISO 9001 ed. 2000 PER L'UNIVERSITÀ DI CAMERINO PROGETTO DI MASSIMA
Allegato 1 SISTEMA DI GESTIONE PER LA QUALITÀ E CERTIFICAZIONE ISO 9001 ed. 2000 PER L'UNIVERSITÀ DI CAMERINO PROGETTO DI MASSIMA Torino, 29 maggio 2001 Progetto Università Camerino 25_05_01.ppt 1 ESIGENZE
DettagliIncentive & La soluzione per informatizzare e gestire il processo di. Performance Management
Incentive & Performance Management La soluzione per informatizzare e gestire il processo di Performance Management Il contesto di riferimento La performance, e di conseguenza la sua gestione, sono elementi
DettagliOsservatorio Solvency II Operational Transformation
Divisione Ricerche Claudio Dematté Osservatorio Solvency II Operational Transformation Comply or Explain La Road Map verso Solvency II in Italia Maria Alejandra Guglielmetti 30.01.2014 Comply or Explain?
DettagliA cura di Giorgio Mezzasalma
GUIDA METODOLOGICA PER IL MONITORAGGIO E VALUTAZIONE DEL PIANO DI COMUNICAZIONE E INFORMAZIONE FSE P.O.R. 2007-2013 E DEI RELATIVI PIANI OPERATIVI DI COMUNICAZIONE ANNUALI A cura di Giorgio Mezzasalma
DettagliMANDATO INTERNAL AUDIT
INTERNAL AUDIT MANDATO INTERNAL AUDIT Il presente Mandato Internal Audit di Società, previo parere favorevole del Comitato Controllo e Rischi in data 30 ottobre 2012 e sentito il Collegio Sindacale e l
DettagliIl Modello 231 e l integrazione con gli altri sistemi di gestione aziendali
RESPONSABILITA D IMPRESA D.lgs. 231/01 L EVOLUZIONE DEI MODELLI ORGANIZZATIVI E DI GESTIONE 27 maggio 2014 ore 14.00 Il Modello 231 e l integrazione con gli altri sistemi di gestione aziendali Ing. Gennaro
DettagliNorme per l organizzazione - ISO serie 9000
Norme per l organizzazione - ISO serie 9000 Le norme cosiddette organizzative definiscono le caratteristiche ed i requisiti che sono stati definiti come necessari e qualificanti per le organizzazioni al
DettagliIl Governo Societario nelle Banche di Credito Cooperativo: attualità e prospettive
Il Governo Societario nelle Banche di Credito Cooperativo: attualità e prospettive Il modello di sistema dei controlli interni per il Credito Cooperativo Giuseppe Zaghini, Rischi e Controlli - Ufficio
DettagliUNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso
SORVEGLIANZA E CERTIFICAZIONI UNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso Pagina 1 di 10 INTRODUZIONE La Norma UNI EN ISO 9001:2008 fa parte delle norme Internazionali
DettagliSURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI
ANALISI SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI Descrizione dell indagine e del panel utilizzato L associazione itsmf Italia
DettagliIl processo di definizione e gestione del Risk Appetite nelle assicurazioni italiane. Renzo G. Avesani, Presidente CROFI
Il processo di definizione e gestione del Risk Appetite nelle assicurazioni italiane Renzo G. Avesani, Presidente CROFI Milano, 10 07 2013 1. Che cosa è il Risk Appetite? 2. Il processo di Risk Appetite
DettagliBILANCIARSI - Formazione e Consulenza per la legalità e la sostenibilità delle Organizzazioni
INTRODUZIONE BilanciaRSI è una società di formazione e consulenza specializzata nei temi della Legalità, della Sostenibilità, della Responsabilità d Impresa e degli Asset Intangibili. Da più di 10 anni
DettagliS.A.C. Società Aeroporto Catania S.p.A.
S.A.C. Società Aeroporto Catania S.p.A. Capitolato tecnico per Affidamento del servizio di consulenza per la progettazione, implementazione e certificazione di un Sistema di Gestione Integrato per la Qualità
DettagliDiventa fondamentale che si verifichi una vera e propria rivoluzione copernicana, al fine di porre al centro il cliente e la sua piena soddisfazione.
ISO 9001 Con la sigla ISO 9001 si intende lo standard di riferimento internazionalmente riconosciuto per la Gestione della Qualità, che rappresenta quindi un precetto universale applicabile all interno
DettagliSviluppo Sistemi Qualit à nella Cooperazione di Abitazione
Sviluppo Sistemi Qualit à nella Cooperazione di Abitazione 1. OBIETTIVI DEL PROGETTO Il presente Progetto è essenzialmente finalizzato a: diffondere i principi e i concetti della Qualità come strategia
DettagliCittà di Lecce SISTEMA DI MISURAZIONE E VALUTAZIONE DELLA PERFORMANCE ORGANIZZATIVA
Città di Lecce SISTEMA DI MISURAZIONE E VALUTAZIONE DELLA PERFORMANCE ORGANIZZATIVA INDICE 1. Introduzione... 4 2. Sistema di misurazione e valutazione della performance organizzativa... 4 2.1. L Albero
DettagliPanoramica su ITIL V3 ed esempio di implementazione del Service Design
Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico
DettagliPROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa
PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA UNI EN ISO 9001 (ed. 2008) Revisione Approvazione n. 03 del 31/01/09 Salvatore Ragusa PROGETTO TECNICO SISTEMA QUALITA Il nostro progetto
DettagliDELIBERAZIONE N. 30/7 DEL 29.7.2014
Oggetto: Assegnazione all Azienda ASL n. 8 di Cagliari dell espletamento della procedura per l affidamento del servizio di realizzazione del sistema informatico per la gestione dell accreditamento dei
DettagliFattura elettronica e conservazione
Fattura elettronica e conservazione Maria Pia Giovannini Responsabile Area Regole, standard e guide tecniche Agenzia per l Italia Digitale Torino, 22 novembre 2013 1 Il contesto di riferimento Agenda digitale
DettagliREGOLAMENTO PER L ISTITUZIONE E L APPLICAZIONE DEL SISTEMA DI MISURAZIONE E VALUTAZIONE DELLA PERFORMANCE
REGOLAMENTO PER L ISTITUZIONE E L APPLICAZIONE DEL SISTEMA DI MISURAZIONE E VALUTAZIONE DELLA PERFORMANCE Approvato con delibera di Giunta Comunale n. 22 del 20.04.2011 in vigore dal 26.05.2011 TITOLO
DettagliPolicy di gestione delle operazioni con soggetti collegati. Allegato 1 Sistema dei limiti alle attività di rischio verso soggetti collegati
Policy di gestione delle operazioni con soggetti collegati Allegato 1 Sistema dei limiti alle attività di rischio verso soggetti collegati Aggiornamento del 24 luglio 2014 INDICE 1. Obiettivi del documento...
DettagliMANDATO DELLA FUNZIONE AUDIT. (Approvato dal Consiglio di Amministrazione di Enel Green Power il 12 marzo 2015)
MANDATO DELLA FUNZIONE AUDIT (Approvato dal Consiglio di Amministrazione di Enel Green Power il 12 marzo 2015) 1 INDICE DEI CONTENUTI 1. INTRODUZIONE E FINALITA DEL DOCUMENTO 2. MISSIONE 3. AMBITO 4. PROFESSIONALITA
DettagliContabilità e fiscalità pubblica
Contabilità e fiscalità pubblica Corso 60 ore Negli ultimi anni è in corso un consistente sforzo - che partendo dal piano normativo si ripercuote sull ordinamento e sulla gestione contabile di tutte le
DettagliIl Sistema dei Controlli nel Gruppo Bancario Iccrea. Aggiornato al 13/11/2013
Il Sistema dei Controlli nel Gruppo Bancario Iccrea Aggiornato al 13/11/2013 1 Il sistema dei controlli adottato da Iccrea Holding Le attività, i processi, l assetto organizzativo, la gestione del rischio,
DettagliMANUALE DELLA QUALITÀ SEZIONE 5.1: FUNZIONAMENTO DEL SISTEMA DI GESTIONE PER LA QUALITÀ
MANUALE GESTIONE QUALITÀ SEZ. 5.1 REV. 02 pagina 1/5 MANUALE DELLA QUALITÀ Rif.to: UNI EN ISO 9001:2008 PARTE 5: RESPONSABILITÀ DELLA DIREZIONE SEZIONE 5.1: FUNZIONAMENTO DEL SISTEMA DI GESTIONE PER LA
DettagliPiano di Sviluppo Competenze
Piano di Sviluppo Competenze La proprietà e i diritti d'autore di questo documento e dei suoi allegati appartengono a RES. Le informazioni in esso contenute sono strettamente confidenziali. Il documento,
DettagliI modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza
1 I modelli di gestione per la qualità I modelli normativi I modelli per l eccellenza Entrambi i modelli si basano sull applicazione degli otto principi del TQM 2 I modelli normativi I modelli normativi
Dettagli4. GESTIONE DELLE RISORSE
Pagina 1 di 6 Manuale Qualità Gestione delle Risorse INDICE DELLE EDIZIONI.REVISIONI N DATA DESCRIZIONE Paragraf i variati Pagine variate 1.0 Prima emissione Tutti Tutte ELABORAZIONE VERIFICA E APPROVAZIONE
Dettagli03. Il Modello Gestionale per Processi
03. Il Modello Gestionale per Processi Gli aspetti strutturali (vale a dire l organigramma e la descrizione delle funzioni, ruoli e responsabilità) da soli non bastano per gestire la performance; l organigramma
DettagliISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.
ISO/IEC 2700:2013 Principali modifiche e piano di transizione alla nuova edizione ISO/IEC 27001 La norma ISO/IEC 27001, Information technology - Security techniques - Information security management systems
DettagliPoste Italiane S.p.A.
Poste Italiane S.p.A. Innovation public procurement : come la PA può essere driver d innovazione Roma, 26 Maggio 2015 2 Rilevanza strategica del cambiamento In un contesto sempre più competitivo, l area
DettagliSogin - Linee Guida sui cantieri temporanei o mobili
Sogin - Linee Guida sui cantieri temporanei o mobili 1. PREMESSA La disciplina dei cantieri temporanei e mobili ha trovato preciso regolamentazione nel Decreto Legislativo 9 aprile 2008, n. 81, e nel successivo
DettagliSCHEMA DI REGOLAMENTO DI ATTUAZIONE DELL ARTICOLO 23 DELLA LEGGE N
SCHEMA DI REGOLAMENTO DI ATTUAZIONE DELL ARTICOLO 23 DELLA LEGGE N.262 DEL 28 DICEMBRE 2005 CONCERNENTE I PROCEDIMENTI PER L ADOZIONE DI ATTI DI REGOLAZIONE Il presente documento, recante lo schema di
DettagliSistema dei Controlli interni Gestione coordinata delle aree di miglioramento
Sistema dei Controlli interni Gestione coordinata delle aree di miglioramento Stefano Moni Resp. Servizio Validazione e Monitoraggio Convegno ABI - Basilea 3 Roma, 16-17 Giugno 2014 INDICE 1. INTRODUZIONE
DettagliISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito
ISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito 1 ISA 610 USING THE WORK OF INTERNAL AUDITORS Questo principio tratta
DettagliMetodologie per l identificazione e la qualificazione del rischio nell attività del Collegio Sindacale
Metodologie per l identificazione e la qualificazione del rischio nell attività del Collegio Sindacale Prof. Valter Cantino Università degli Studi di Torino 1 IL RIFERIMENTO ALLA GESTIONE DEL RISCHIO NELLE
DettagliMODELLO TEORICO DEI REQUISITI DI PROFESSIONALITA DEGLI AMMINISTRATORI
MODELLO TEORICO DEI REQUISITI DI PROFESSIONALITA DEGLI AMMINISTRATORI Approvato dal Consiglio di Amministrazione nella seduta del 3 marzo 202 OBIETTIVI Ai fini del corretto assolvimento delle funzioni
DettagliCONSIP SpA. Gara per l affidamento dei servizi di supporto strategico a Consip nel campo dell Information & Communication Technology (ICT)
CONSIP S.p.A. Allegato 6 Capitolato tecnico Capitolato relativo all affidamento dei servizi di supporto strategico a Consip nel campo dell Information & Communication Technology (ICT) Capitolato Tecnico
DettagliL internal auditing nell Agenzia delle Entrate: una realtà in evoluzione. Dott. Salvatore Di Giugno Direttore Centrale Audit e Sicurezza
L internal auditing nell Agenzia delle Entrate: una realtà in evoluzione Dott. Salvatore Di Giugno Direttore Centrale Audit e Sicurezza Forum P.A. 24 maggio 2007 Missione e Organizzazione Le competenze
DettagliL IMPLEMENTAZIONE DEL MODELLO: I PROTOCOLLI DI CONTROLLO E I FLUSSI INFORMATIVI
L IMPLEMENTAZIONE DEL MODELLO: I PROTOCOLLI DI CONTROLLO E I FLUSSI INFORMATIVI Workshop Gli organismi di vigilanza ex D.Lgs 231/2001 in ambito cooperativo: esperienze a confronto Paolo Maestri Unilab
DettagliMERCATO BUSINESS E PUBBLICA AMMINISTRAZIONE
MERCATO BUSINESS E PUBBLICA AMMINISTRAZIONE L attuale contesto economico e di mercato richiede l implementazione di un nuovo modello di presidio della clientela business e pubblica amministrazione finalizzato
DettagliComune di Nuoro DISCIPLINARE PER LA FORMAZIONE DELLE RISORSE UMANE. Settore AA.GG. e Personale. Ufficio Formazione
Comune di Nuoro Settore AA.GG. e Personale Ufficio Formazione DISCIPLINARE PER LA FORMAZIONE DELLE RISORSE UMANE Ultimo aggiornamento settembre 2008 Art. 1 (Oggetto e finalità) 1. Le disposizioni contenute
DettagliDIPARTIMENTO INFORMATIVO e TECNOLOGICO
DIPARTIMENTO INFORMATIVO e TECNOLOGICO ARTICOLAZIONE DEL DIPARTIMENTO Il Dipartimento Informativo e Tecnologico è composto dalle seguenti Strutture Complesse, Settori ed Uffici : Struttura Complessa Sistema
DettagliFraud Management assicurativo: processi e modelli operativi
ATTIVITA DI RICERCA 2013 2014 Fraud Management assicurativo: processi e modelli operativi PROPOSTA DI ADESIONE 1 TEMI E MOTIVAZIONI Le frodi nel settore assicurativo rappresentano un fenomeno che sta assumendo
DettagliPO 01 Rev. 0. Azienda S.p.A.
INDICE 1 GENERALITA... 2 2 RESPONSABILITA... 2 3 MODALITA DI GESTIONE DELLA... 2 3.1 DEI NEOASSUNTI... 3 3.2 MANSIONI SPECIFICHE... 4 3.3 PREPOSTI... 4 3.4 ALTRI INTERVENTI FORMATIVI... 4 3.5 DOCUMENTAZIONE
DettagliBusiness Process Management
Business Process Management Comprendere, gestire, organizzare e migliorare i processi di business Caso di studio a cura della dott. Danzi Francesca e della prof. Cecilia Rossignoli 1 Business process Un
DettagliIII PILASTRO INFORMATIVA AL PUBBLICO AL 31/12/2014
III PILASTRO INFORMATIVA AL PUBBLICO AL 31/12/2014 1 Premessa Le disposizioni contenute nella Circolare della Banca d Italia n.216 del 5 agosto 1996 7 aggiornamento del 9 luglio 2007, Capitolo V - Vigilanza
DettagliLa reingegnerizzazione dei processi nella Pubblica Amministrazione
La reingegnerizzazione dei processi nella Pubblica Amministrazione Dott.ssa Teresa Caltabiano Area della Ricerca Catania, 15 luglio 2011 Agenda Il contesto di riferimento Le organizzazioni I processi Il
DettagliAssociazione Italiana Corporate & Investment Banking. Presentazione Ricerca. Il risk management nelle imprese italiane
Associazione Italiana Corporate & Investment Banking 02.36531506 www.aicib.it aicib@unicatt.it Presentazione Ricerca Il risk management nelle imprese italiane AICIB Associazione Italiana Corporate & Investment
DettagliBASILE PETROLI S.p.A. Dichiarazione Politica qualità, ambiente e sicurezza
BASILE PETROLI S.p.A. Dichiarazione Politica qualità, ambiente e sicurezza Rev. 03 del 27 maggio 2008 La BASILE PETROLI S.p.A., nell ambito delle proprie attività di stoccaggio e commercializzazione di
DettagliCentro Tecnico per la Rete Unitaria della Pubblica Amministrazione
Centro Tecnico per la Rete Unitaria della Pubblica Amministrazione Area Rete Unitaria - Sezione Interoperabilità Linee guida del servizio di trasmissione di documenti informatici mediante posta elettronica
DettagliAudit & Sicurezza Informatica. Linee di servizio
Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano
DettagliV SESSIONE LA SOSTENIBILITÀ ATTRAVERSO I SERVIZI DI SISTEMA
C O N V E N T I O N V SESSIONE LA SOSTENIBILITÀ ATTRAVERSO I SERVIZI DI SISTEMA V SESSIONE LA SOSTENIBILITÀ ATTRAVERSO I SERVIZI DI SISTEMA FABIO CAMILLETTI CONVENTION ANNUALE FEDART PALERMO 12 OTTOBRE
DettagliCOMUNE DI PERUGIA AREA DEL PERSONALE DEL COMPARTO DELLE POSIZIONI ORGANIZZATIVE E DELLE ALTE PROFESSIONALITA
COMUNE DI PERUGIA AREA DEL PERSONALE DEL COMPARTO DELLE POSIZIONI ORGANIZZATIVE E DELLE ALTE PROFESSIONALITA METODOLOGIA DI VALUTAZIONE DELLA PERFORMANCE Approvato con atto G.C. n. 492 del 07.12.2011 1
DettagliFORMAZIONE AVANZATA LA GESTIONE E VALUTAZIONE DEI CONTRATTI, PROGETTI E SERVIZI ICT NELLA PA
FORMAZIONE AVANZATA LA GESTIONE E VALUTAZIONE DEI CONTRATTI, PROGETTI E SERVIZI ICT NELLA PA 1. Premessa Il nuovo Codice dell Amministrazione Digitale, pubblicato in Gazzetta Ufficiale il 10 gennaio 2011
DettagliPIANIFICAZIONE DELLA FORMAZIONE: processi, attori e strumenti
PIANIFICAZIONE DELLA FORMAZIONE: processi, attori e strumenti Dott.ssa Patrizia Castelli Premessa: Il processo di pianificazione della formazione nasce dall esigenza di sviluppare le competenze e le conoscenze
Dettagli2. Test di interoperabilità del sistema di gestione della PEC - Punto 1 della circolare 7 dicembre 2006, n. 51.
In esito all emanazione della circolare 7 dicembre 2006, n. CR/51 - che disciplina l attività di vigilanza e di controllo svolta da AGID nei confronti dei gestori di Posta Elettronica Certificata (PEC)
DettagliIng Omar Morales Qualità del Software
Ing Omar Morales Qualità del Software Soluzioni Professionali Integrate Viale F.Petrarca, 96-50124 Firenze LinkedIn it.linkedin.com/in/omarmoralescv TEL (+39) 335 52.10.589 FAX (+39) 055 39.06.93.26 info@omarmorales.net
Dettagli