NORMATIVA, BEST PRACTICES ED APPLICAZIONE PRATICA

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "NORMATIVA, BEST PRACTICES ED APPLICAZIONE PRATICA"

Transcript

1 Verso il GOVERNO dei SISTEMI INFORMATIVI NORMATIVA, BEST PRACTICES ED APPLICAZIONE PRATICA ROBERTO NICCOLI Padova, 29 maggio

2 NORMATIVA, BEST PRACTICES ED APPLICAZIONE PRATICA IT affidabile per il business e IS GOVERNANCE come punti di arrivo della conformità 2

3 Verso il GOVERNO dei SISTEMI INFORMATIVI Sponsor e sostenitori di ISACA VENICE Chapter Con il patrocinio di 3

4 ROBERTO NICCOLI QUALIFICHE PROFESSIONALI Laurea in Economia e Commercio, Università L. Bocconi di Milano STORIA PROFESSIONALE Entrato in nell ottobre del 2000, ha svolto numerose attività in differenti settori ricoprendo rilevanti ruoli di responsabilità nel gruppo IT Governance & Data Management. ESPERIENZE PROGETTUALI Ha gestito e realizzato molteplici progetti nelle seguenti aree tematiche: Technology Supporto alla definizione dei processi operativi IT (Change Management, IT Security, Incident Management ecc); Supporto alla definizione di sistemi di monitoraggio e qualità IT (dashboard KPI e BSC); Supporto nella valutazione del sistema di controllo IT; ICT Compliance; Supporto alla ridefinizione organizzativa della funzione IT e/o del modello di IT Sourcing. Data Management Implementazione di Dashboard di fraud management (specifiche funzionali, specifiche tecniche ed implementazione); Revenue Maximizer (Riconciliazioni End-To-End, Error Management) ed assistenza nella definizione della funzione Revenue Assurance; Analisi e ricalcoli di dati operativi non finanziari, CAAT, ecc. 4

5 ABSTRACT L'intervento si concentrerà sull'esperienza maturata negli ultimi mesi da nell'ambito del 15 aggiornamento della Circolare 263 (Nuove disposizioni di vigilanza prudenziale per le banche) e, nello specifico, del Capitolo 8 Sistemi Informativi. Da un'esigenza di conformità ad una norma, sono stati avviati una serie di interventi prima di valutazione e successivamente di implementazione/revisione di processi di gestione dei Sistemi Informativi che porteranno gli operatori del settore a dotarsi di nuovi presidi organizzativi e nuove metodologie in ambito IT Governance entro il 1 febbraio Gli operatori nei prossimi mesi avranno il compito di implementare soluzioni che siano da un lato coerenti con i propri modelli di sourcing e di business (organizzazione, persone e tecnologie) e dall'altro con quanto richiesto da Banca d'italia. Stiamo vivendo un momento di profondo cambiamento in cui quanto definito da best practices e framework di settore (COBIT, ISO27000, ITIL) sta diventando ora un esigenza di business e di compliance. 5

6 Agenda Breve introduzione 263: principi generali Circolare 263 e metodologie di riferimento (COBIT, ISO27000) Assessment 263 Il piano di implementazione 263 6

7 Sezione 1 BREVE INTRODUZIONE 263: PRINCIPI GENERALI Struttura Il capitolo 8 e la sua articolazione Le scadenze normative Le principali novità 7

8 Sezione 1 Breve introduzione 263: principi generali L evoluzione della normativa verso un migliore presidio del rischio Le nuove disposizioni L Autorità di Vigilanza ha emanato lo scorso 2 luglio il 15 aggiornamento alla Circolare 263/2006, recante disposizioni prudenziali in materia di sistema dei controlli interni, sistema informativo e continuità operativa (di seguito, testo normativo o aggiornamento ), i cui principali ambiti sono di seguito elencati: Il sistema dei controlli interni (Cap. 7) Il ruolo degli Organi aziendali (Cap.7, Sez. II) Funzioni aziendali di controllo (Cap. 7, Sez. III) Esternalizzazione di funzioni aziendali al di fuori del gruppo bancario (Cap. 7, Sez. IV) Il RAF, il sistema dei controlli interni e l esternalizzazione nei gruppi bancari (Cap. 7, Sez. V) Il sistema informativo (Cap. 8) La continuità operativa (Cap. 9) Il contesto di riferimento Banca d Italia ha recentemente avviato una profonda revisione del quadro normativo volta a condurre il sistema bancario verso un migliore presidio del rischio a tutti i livelli aziendali e più in generale a migliorare l intera governance Le nuove disposizioni prendono le mosse dalla circolare 229/1999 Istruzioni di Vigilanza per le Banche, sostanzialmente principle based, declinando ed approfondendo taluni aspetti in una normativa basata sulle regole (Principi vs Regole) Banca d Italia ha inteso modificare ed integrare l attuale normativa di riferimento con la finalità ultima di istituire una governance aziendale volta a garantire una sana e prudente gestione ed il cui punto fulcro è rappresentato dalla comprensione, il governo del rischio e la sua remunerazione I principi cardine della nuova normativa sono stati condivisi anche dal Fondo Monetario Internazionale, con il quale la Banca d Italia si è confrontata prima della sua emanazione in occasione del FSAP In particolare, nelle Nuove Disposizioni è richiesto che gli intermediari debbano, entro il 30 gennaio 2014 (termine prorogato): inviare all Autorità di Vigilanza una relazione recante un autovalutazione della propria situazione aziendale rispetto alle previsioni della nuova normativa (cd gap analysis ) indicare in tale relazione le misure da adottare e la relativa scansione temporale per assicurare il pieno rispetto delle disposizioni (cd piano interventi Bankit ) e l elenco dei contratti di esternalizzazione in essere per il Capitolo 8 e 9, è stata fornito un questionario specifico da utilizzare per la risposta a Banca d'italia 8

9 Sezione 1 Breve introduzione 263: principi generali Principali novità I principi generali di Organizzazione La previsione di una disciplina Organica in materia di outsourcing Il codice etico Il processo di approvazione di nuovi prodotti e servizi, l avvio di nuove attività, l inserimento in nuovi mercati Il coordinamento delle funzioni/organi di controllo Principali novità normative La compliance fiscale Il Risk Appetite Framework - RAF Istituzione e requisiti delle funzioni aziendali di controllo Il rafforzamento dei poteri del Risk Management Il rischio informatico ed il governo dell Information e Communication Technology (ICT) 9

10 Sezione 1 Breve introduzione 263: principi generali Definizione di un processo di esternalizzazione basato su un analisi del rischio, che considera in primo luogo la stima dei rischi delle risorse e servizi da esternalizzare e quindi valuta i rischi dei possibili fornitori. Principi cardine 1. Proporzionalità e autonomia Organizzativa Le banche applicano le disposizioni secondo il principio di proporzionalità, tenendo conto della dimensione e complessità operative, della natura dell attività svolta, della tipologia dei servizi prestati. Le banche assicurano una stretta coerenza e un puntuale raccordo tra: il modello di business, il piano strategico, il RAF, il processo ICAAP, i budget, l Organizzazione aziendale e il sistema dei controlli interni attraverso un integrazione delle fonti informative al fine di ottimizzare i costi del controllo. 6. Gestione e controllo dell outsourcing 5. Efficienza, Efficacia, costi e coordinamento Sono considerati parametri di integrazione: la diffusione di un linguaggio comune nella gestione dei rischi a tutti i livelli della banca; l adozione di modelli e strumenti di rilevazione e valutazione tra di loro coerenti; la definizione di modelli di reportistica dei rischi; l individuazione di momenti formalizzati di coordinamento ai fini della pianificazione delle rispettive attività. I principi cardine della normativa 4. Visione integrata dei rischi 2. Crescente ruolo degli Organi di vertice 3. Cultura dei controlli che coinvolge tutta l Organizzazione aziendale La responsabilità primaria è rimessa agli Organi di governance, ciascuno secondo le rispettive competenze. L articolazione dei compiti e delle responsabilità degli Organi e delle funzioni aziendali deve essere chiaramente definita. Il sistema dei controlli interni ha rilievo strategico; la cultura del controllo deve avere una posizione di rilievo nella scala dei valori aziendali: non riguarda solo le funzioni aziendali di controllo, ma coinvolge tutta l Organizzazione aziendale e presuppone un forte coinvolgimento ed impegno da parte dei vertici. 10

11 Sezione 1 Breve introduzione 263: principi generali La timeline normativa Le nuove disposizioni delineano un quadro di cambiamento che impatta su più attori e richiede l attivazione di un programma Organico e trasversale Di particolare rilievo il ruolo attivo riconosciuto agli Organi aziendali nel processo decisionale di assunzione e di monitoraggio dei rischi (es. definizione Risk Appetite Framework), il consolidamento della funzione di Controllo dei Rischi e l estensione delle responsabilità della funzione Compliance L Autorità di Vigilanza, in un ottica di ridefinizione e rafforzamento dei modelli governance degli intermediari, ha posto grande enfasi sulle regole specifiche in materia di Organizzazione e governo dell ICT I destinatari della disciplina devono adeguarsi in modo graduale alle nuove disposizioni sulla base del seguente piano: Gap Analysis per Banca d Italia Mappatura contratti di esternalizzazione in essere Entrata in vigore di una prima parte delle disposizioni Entrata in vigore delle disposizioni in materia di sistema informativo Entrata in vigore delle disposizioni relative alle linee di riporto dei responsabili delle funzioni di controllo di II livello Entrata in vigore delle disposizioni in materia di esternalizzazione 11

12 Sezione 1 Breve introduzione 263: principi generali Capitolo 8 - La governance ICT Il nuovo quadro d insieme ICT in coerenza con la governance aziendale (1/2) Principali aspetti normativi L Organo con funzione di supervisione strategica assume la generale responsabilità di indirizzo e controllo del sistema informativo a sostegno delle strategie aziendali. In particolare: approva le strategie di sviluppo del sistema informativo e relativo modello di riferimento per l architettura approva le policy di sicurezza informatica promuove lo sviluppo, la condivisione e l aggiornamento di conoscenze in materia di ICT all interno dell azienda è informato tempestivamente in caso di gravi incidenti e con cadenza almeno annuale circa l adeguatezza dei servizi erogati approva il framework metodologico per l analisi del rischio informatico approva la propensione al rischio informatico in coerenza con la propensione al rischio definito a livello aziendale è informato con cadenza almeno annuale sulla situazione di rischio informatico rispetto alla propensione al rischio L Organo con funzioni di gestione ha il compito di assicurare la completezza, l adeguatezza, la funzionalità e l affidabilità del sistema informativo. In particolare: definisce la struttura Organizzativa della funzione ICT assicurandone la rispondenza alle strategie e ai modelli architetturali definiti definisce l assetto Organizzativo, metodologico e procedurale per il processo di analisi del rischio informatico raccordandosi con la funzione di risk management approva gli standard di Data Governance ed il piano operativo delle iniziative informatiche valuta almeno annualmente le prestazioni della funzione ICT rispetto alle strategie ed agli obiettivi fisssati utilizzando opportuni sistemi di misurazione (KPI) approva almeno annualmente la valutazione del rischio delle componenti critiche 12

13 Sezione 1 Breve introduzione 263: principi generali Capitolo 8 - La governance ICT Il nuovo quadro d insieme ICT in coerenza con la governance aziendale (2/2) Principali aspetti normativi monitora il regolare svolgimento dei processi di gestione e di controllo dei servizi ICT e, a fronte di anomalie rilevate, pone in atto opportune azioni correttive; assume decisioni tempestive in merito a gravi incidenti di sicurezza informatica La funzione ICT si caratterizza per linee di riporto dirette a livello dell organo con funzione di gestione garantendo l unitarietà della visione gestionale e del rischio informatico nonché dell uniformità di applicazione delle norme riguardanti il sistema informativo. In particolare, ha la responsabilità: della pianificazione e del controllo del portafoglio dei progetti informatici in coerenza con il governo dell evoluzione dell architettura e dell innovazione tecnologica nonché con le attività di gestione del sistema informativo della realizzazione degli opportuni meccanismi di raccordo con le linee di business Le responsabilità in merito allo svolgimento dei compiti di controllo di secondo livello sono chiaramente assegnati. In particolare: il controllo dei rischi, basato su flussi informativi continui in merito all evoluzione del rischio informatico e sul monitoraggio dell efficacia delle misure di protezione delle risorse ICT. Le valutazioni svolte sono documentate e riviste in rapporto ai risultati del monitoraggio e comunque almeno una volta l anno. il rispetto dei regolamenti interni e delle normative esterne in tema di ICT garantendo, tra l altro: l assistenza su aspetti tecnici in caso di questioni legali relative al trattamento dei dati personali la coerenza degli assetti Organizzativi alle normative esterne, per le parti relative al sistema informativo l analisi di conformità dei contratti di outsourcing e con fornitori (inclusi i contratti infra-gruppo) La funzione di revisione interna è in grado di fornire valutazioni sui principali rischi tecnologici identificabili e sulla complessiva gestione del rischio informatico dell intermediario mediante il ricorso a competenze specialistiche (interno o mediante il ricorso a risorse esterne) 13

14 Sezione 1 Breve introduzione 263: principi generali Capitolo 8 Il rischio informatico Tendenze evolutive Situazione attuale La gestione del rischio informatico è ad oggi limitato allo specifico contesto ICT e spesso con approcci parcellizzati, metodologicamente differenziati a seconda dello specifico ambito: i processi di definizione dei piani di Continuità Operativa; i processi di analisi del rischio di sicurezza; i processi di analisi del rischio ai fini Privacy. Gli approcci adottati non prevedono (o solo limitatamente) un integrazione con le funzioni di controllo ed una connessione con la tassonomia dei rischi da queste utilizzate Modello a tendere Il rischio informativo diventa parte integrante del rischio aziendale complessivo e deve trovare una idonea integrazione con i rischi operativi, strategici e reputazionali L outsourcer recepisce dalla capogruppo/ banca utente un approccio metodologico ove siano descritti i principi sui quali deve poggiare la periodica valutazione e gestione del rischio informatico, definendo inoltre un impianto metodologico e flussi informativi che devono trovare un idonea integrazione rispetto a quanto previsto dalla capogruppo (Capitolo 7, RAF) Occorre definire un processo di gestione che permetta periodicamente e/o in caso di modifiche significative di valutare il rischio informatico su tutte le componenti critiche del sistema informativo e ne condivide con la capogruppo gli aspetti che possono impattare su di esse. A tal fine, il Consorzio di riferimento dovrà attivare tempestivamente adeguati flussi informativi in tale ambito Spunto Realizzazione di una visione integrata del rischio tra le funzioni di controllo e le strutture specialistiche che permetta di presidiare il rischio informatico sia nella gestione dei processi IT sia come una delle componenti del RAF. L'integrazione deve avvenire in modo strutturato lungo tutti i principali processi IT mediante l'adozione di presidi organizzativi, processi e soluzione tecnologiche che possano permettere di monitorare l'intero perimetro delle componenti ICT e distinguerne l'impatto/ criticità per il business. L'analisi del rischio informatico diventa uno dei driver principali su cui basare l'evoluzione del proprio sistema informativo di riferimento. 14

15 Sezione 1 Breve introduzione 263: principi generali Capitolo 8 La gestione della sicurezza Tendenze evolutive Situazione attuale La gestione della sicurezza informatica è prevalentemente vista come sicurezza fisica e logica, senza darne un inquadramento unico I processi di gestione dei cambiamenti sono spesso poco formalizzati e si basano su prassi che non permettono di assicurare che aspetti rilevanti per il sistema di controllo (valutazione del rischio in caso di modifiche, accettazione formale delle modifiche, definizione di specifici flussi in caso di emergenza, ecc) siano recepiti e gestiti in base a flussi strutturati e consistenti sulla base della tipologia di modifica La gestione degli incidenti è gestita all interno dei processi di Service Desk (di primo, secondo e terzo livello) ma spesso non è garantita l attivazione dei necessari flussi informativi verso soggetti interni Modello a tendere La definizione di policy di sicurezza, procedure e documenti di maggiore dettaglio operativi devono permettere di attuare modelli tecnico-organizzativi capaci di garantire la protezione degli asset aziendali ed assicurare un evoluzione nel tempo in coerenza con i prodotti forniti, le tecnologie utilizzati e i rischi fronteggiati Nel caso di modelli di sourcing misti occorre implementare un modello operativo che permetta di assicurare comunque una visione unitaria ed integrata mediante standard di riferimento condivisi L outsourcer deve definire i processi per la gestione degli incidenti di sicurezza integrati anche con i processi di gestione della Continuità Operativa della banca, attivando, nel caso, le previste comunicazioni alle forze dell ordine e/o a Banca d Italia Spunto La gestione della sicurezza abbraccia orizzonti sempre più vasti in cui i sistemi di gestione della sicurezza delle informazioni diventano processi di gestione complessi ed articolati, dove la corretta definizione delle regole di sicurezza è raggiunta solo attraverso una valutazione (da parte delle strutture di business) del grado di importanza delle informazioni trattate, anche alla luce dalle risultanze del processo di analisi dei rischi 15

16 Sezione 1 Breve introduzione 263: principi generali Capitolo 8 Il sistema di gestione dei dati Tendenze evolutive Situazione attuale La mancanza di idonei presidi organizzativi (come ad esempio, uffici architetture) non ha permesso di sviluppare, parallelamente alla messa in produzione di procedure ed applicazioni informatiche, un sistema capace di definire, formalizzare e mantenere nel tempo una completa tracciatura dei flussi informativi in termini di procedure di estrazione, trasformazione e controllo dei dati Tali approcci sono stati introdotti spesso con Basilea II e III e l introduzione dei processi di Data Quality ad essi sottesi Modello a tendere La registrazione nei sistemi informativi delle principali operazioni aziendali e dei fatti di gestione deve avvenire assicurando nel continuo l'integrità, completezza e correttezza dei dati e delle informazioni. Occorre inoltre prevedere processi di tracciamento e controllo in caso di immissione o rettifica manuale di dati Occorre definizione uno standard di Data Governance che permetta di definire un modello di riferimento (processi, strutture e tecnologie) atto a definire la proprietà del dato e a misurare la qualità del dato All interno dell analisi del rischio informatico, deve essere definito uno specifico ambito legato alla qualità del dato La formalizzazione dei data model per i sistemi informativi (es.: DWH), compresi i processi di caricamento ed elaborazione, i processi di quadratura dei dati e tutte le attività di estrazione e reporting dei dati, diventano un requisito per migliorare la qualità del reporting aziendale Spunto L accountabilty (data classification) e la verificabilità del dato (definizione e formalizzazione di modelli dati) lungo tutto il suo ciclo di vita permette di implementare sistemi di gestione capaci di fornire informazioni complete ed aggiornate sulle attività aziendali rilevanti e sull evoluzione dei rischi ad esse connesse 16

17 Sezione 1 Breve introduzione 263: principi generali Capitolo 7 Nuove logiche di esternalizzazione Tendenze evolutive Situazione attuale L esternalizzazione segue prevalentemente logiche di efficienza economica ed operativa, il cui processo non sempre è supportato da adeguati percorsi decisionali e di controllo Modello a tendere L esternalizzazione delle funzioni aziendali dovrà seguire un percorso più rigido, obbligando le capogruppo a definire una politica aziendale in tema che sancisca il processo decisionale seguito dalle banche/entità del gruppo per esternalizzare le funzioni aziendali, i criteri per individuare i fornitori, gli SLA ed i flussi informativi Si vuole in questo modo guidare e tracciare maggiormente il percorso di esternalizzazione, inducendo a valutare nel merito il processo decisionale, e la scelta dei fornitori (competenze e capacità). Inoltre, si irrobustisce il controllo delle attività svolte dal fornitore, tramite il rispetto formale di SLA e l obbligo di produzione di appositi flussi informativi indirizzati agli Organi aziendali per consentire la piena coscienza e governabilità dei fattori di rischio delle attività esternalizzate Requisiti meno stringenti sono previsti nel caso di esternalizzazioni all interno del medesimo Gruppo Bancario Spunto Definizione del nuovo processo di esternalizzazione e delle attività di controllo, da realizzarsi in ottica condivisa ed integrata a livello aziendale (coinvolgimento delle funzioni interessate, funzioni di controllo, alta direzione) come primo passo del presidio a livello complessivo 17

18 Sezione 1 Breve introduzione 263: principi generali Capitolo 8 Le logiche di esternalizzazione in ambito ICT Tendenze evolutive Situazione attuale L esternalizzazione segue prevalentemente logiche di efficienza economica ed operativa, il cui processo non sempre è supportato da adeguati percorsi decisionali e di controllo Modello a tendere L esternalizzazione delle componenti critiche dei sistemi informativi dovrà seguire un percorso più rigido, obbligando le capogruppo/ banche utenti a definire un quadro di riferimento idoneo a garantire l indirizzo ed il controllo del sistema informativo e la supervisione dell analisi del rischio informatico mediante idonee strutture organizzative, metodologie e processi di gestione dell ICT Si vuole in questo modo governare ed indirizzare maggiormente il percorso di esternalizzazione, sia in fase di definizione del modello di sourcinng sia nel corso del tempo nell erogazione dei servizi. Si irrobustisce dunque il controllo delle attività svolte dall outsourcer, anche tramite la definizione e il monitoraggio di SLA coerenti con le esigenze di business ed attivando appositi flussi informativi indirizzati agli organi aziendali di supervisione strategica e di gestione Spunto Definizione di flussi informativi che possano permettere di offrire agli organi di supervisione strategica e di gestione un corretto e tempestivo quadro di riferimento, misurando anche la contribuzione della funzione ICT al raggiungimento degli obiettivi strategici aziendali Definizione di un sistema di controllo ICT integrato con il più ampio sistema di controllo aziendale anche a causa della pervasività che i sistemi informativi hanno sui processi aziendali 18

19 Sezione 1 Breve introduzione 263: principi generali Capitolo 9 La continuità operativa Tendenze evolutive Situazione attuale Sono implementati processi che garantiscono la definizione e la gestione dei piani di continuità operativa, eventualmente, in modo accentrato per gruppi bancari (in tal caso, dotando le controllate di piani di continuità operativa e verificando la coerenza degli stessi con gli obiettivi strategici del gruppo in tema di contenimento dei rischi) Modello a tendere Occorre completare l implementazione di quanto già definito dai precedenti Bollettini di Vigilanza in ambito Continuità Operativa Il CdA ha la responsabilità di stabilire obiettivi e strategie di continuità operativa; a tal fine, attribuisce risorse adeguate ad assicurarne il conseguimento, approva il piano di continuità e nomina un responsabile del piano, comunicandone il nominativo a Banca d Italia. Inoltre, il CdA è informato, con frequenza almeno annuale, sugli esiti dei controlli sull adeguatezza del piano e sulle ulteriori verifiche La procedura per la dichiarazione dello stato di crisi è definita in raccordo con il processo di gestione degli incidenti Spunto I processi di gestione degli incidenti e di escalation devono essere integrati tra le differenti entità che, a vario titolo, concorrono alla continuità operativa del gruppo bancario La definizione di componente critica ai fini della continuità operativa deve trovare un allineamento logico anche con quanto definito dal Capitolo 8 19

20 Sezione 2 CIRCOLARE 263 E METODOLOGIE DI RIFERIMENTO (ISO27000, COBIT) 20

21 Sezione 2 Circolare 263 e metodologie di riferimento (COBIT, ISO27000) Gli standard di riferimento La normativa nelle considerazioni generali sulla gestione del Sistema Informativo fa un chiaro riferimento all'utilizzo di standard e best practices di settore. A tal proposito le banche valutano l opportunità di avvalersi degli standard e best practices definiti a livello internazionale in materia di governo, gestione, sicurezza e controllo del sistema informativo. [rif. TITOLO V - Capitolo 8, Sezione I Disposizioni di carattere generale] In tal senso, gli standard che sono stati presi in considerazione come riferimento sono: l'iso :2013 che copre in maniera esaustiva tutti gli ambiti introdotti dalla 263 in ambito sistema di gestione della sicurezza delle informazioni e del rischio informatico il CobiT 5 (o il CobiT 4.1), utilizzato come framework di riferimento dall'ufficio Audit per il sistema di controllo interno IT. Sono inoltre utilizzati altri standard/ framework come ITIL (erogazione dei servizi), ISF Standard of Good Practices (sicurezza), DAMA Framework (data governance) ad integrazione di approcci metodologici già adottati o per definire aspetti prevalentemente operativi. 21

22 Sezione 2 Circolare 263 e metodologie di riferimento (COBIT, ISO27000) Lo standard di riferimento per la sicurezza delle informazioni Series ISO2700x 22

23 Sezione 2 Circolare 263 e metodologie di riferimento (COBIT, ISO27000) Il 25 Settembre 2013 è stato pubblicato il nuovo Standard ISO :2013, che contiene i requisiti per implementare, gestire e certificare un Information Security Management System (ISMS). Lo Standard ISO :2013 si applica a tutte le organizzazioni (aziende, Pubblica Amministrazione, Onlus) di ogni dimensione e settore. Lo Standard ISO :2013 prende in considerazione tutti gli aspetti della sicurezza delle informazioni: Lo standard di riferimento per la sicurezza delle informazioni ISO :2013 organizzazione; persone; luoghi fisici; documenti cartacei; sistemi IT. L'assessment sulla sicurezza IT è stato condotto partendo dalla rilevazione dei processi di sicurezza ad oggi definiti sulla base dello standard ISO :

24 Sezione 2 Circolare 263 e metodologie di riferimento (COBIT, ISO27000) Lo standard di riferimento per il sistema di controllo interno COBIT5 Il COBIT5 consolida in una medesima entità di tre differenti framework: Cobit (216 Control Objectives), e RiskIT (69 Management Practice) e ValIT (43 Management Practice). Tale processo di consolidamento ha permesso al Cobit di diventare uno strumento di governance a 360 ovvero uno strumento con cui definire ed implementare i processi di gestione delle funzioni Sistemi Informativi. I quattro domini del Cobit 4.1 sono diventati cinque e i processi in essi contenuti sono stati ridistribuiti riuscendo a: recepire in maniera ottimale nell impianto metodologico i principi di segregation of duties (definire, implementare e monitorare); distinguere puntualmente i processi di governance da quelli relativi al management. Il primo dominio Evaluate, Direct and Monitor (EDM) si concentra sulla definizione di modelli di gestione che possano garantire un allineamento costante e duraturo con gli obiettivi di business, ottimizzando rischi, risorse e capability tipiche di una struttura IT. Il secondo dominio Align, Plan and Organise (APO) conferma i principali obiettivi di controllo del Cobit 4.1 introducendo in questa nuova versione nuovi processi tipici delle attività di pianificazione ed organizzazione quali ad esempio la gestione dei fornitori (APO10), la gestione dei Service Level Agreements (APO09), la definizione di un framework di gestione IT (APO01). Elemento ulteriore di novità è rappresentato dall introduzione in tale dominio dei processi di governo della Sicurezza IT che vengono separati dai relativi processi operativi ed inclusi in un processo ad hoc (APO13). 24

25 Sezione 2 Circolare 263 e metodologie di riferimento (COBIT, ISO27000) Lo standard di riferimento per il sistema di controllo interno COBIT5 Anche il terzo dominio Build, Acquire and Implement (BAI) si arricchisce in termini di processi tipici delle attività di acquisizione, implementazione e mantenimento delle componenti di un sistema informativo, intese non solo come programmi ed applicazioni ma anche come gestione degli asset e del relativo ciclo di vita (BAI09 e BAI10). Il quarto dominio Deliver Serve and Support (DSS) si concentra esclusivamente sui processi di gestione della macchina IT quali la gestione delle operations, dei processi di service desk, di continuità e di gestione operativa della sicurezza. In tale dominio, è stato introdotto un nuovo processo (DSS06) che si focalizza, tra l altro, sui controlli applicativi che assicurano che dati ed informazioni siano processati in modo coerente ai requisiti di business e che sia assicurata nel tempo la loro completezza, accuratezza, validità ed un accesso ristretto. Tale tipologia di controlli già presente nel Cobit4.1 ma solo nella parte introduttiva, diventa oggi una componente di dettaglio del modello. In ultimo, il dominio Monitor, Evaluate and Assess (MEA) si focalizza sui processi di monitoraggio delle performance e delle conformità con riferimento al sistema di controllo interno e ai requisiti imposti dalla normativa vigente. 25

26 Sezione 2 Circolare 263 e metodologie di riferimento (COBIT, ISO27000) Lo standard di riferimento per il sistema di controllo interno COBIT5 26

Banche e Sicurezza 2015

Banche e Sicurezza 2015 Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

FLASH REPORT. Il nuovo Intermediario Finanziario Unico. Giugno 2015

FLASH REPORT. Il nuovo Intermediario Finanziario Unico. Giugno 2015 FLASH REPORT Il nuovo Intermediario Finanziario Unico Giugno 2015 Il 4 settembre 2010 è stato pubblicato in Gazzetta Ufficiale il D.Lgs. 141 del 13 agosto 2010, attuativo della Direttiva comunitaria n.

Dettagli

Sistema dei Controlli interni Gestione coordinata delle aree di miglioramento

Sistema dei Controlli interni Gestione coordinata delle aree di miglioramento Sistema dei Controlli interni Gestione coordinata delle aree di miglioramento Stefano Moni Resp. Servizio Validazione e Monitoraggio Convegno ABI - Basilea 3 Roma, 16-17 Giugno 2014 INDICE 1. INTRODUZIONE

Dettagli

Nuove disposizioni di vigilanza prudenziale per le banche: principali novità

Nuove disposizioni di vigilanza prudenziale per le banche: principali novità FLASH REPORT Nuove disposizioni di vigilanza prudenziale per le banche: principali novità Luglio 2013 Il 2 luglio 2013 la Banca d Italia, all esito dell attività di consultazione avviata nel mese di settembre

Dettagli

Assetti Organizzativi, di Controllo e Risk Governance nei Confidi. Firenze, 28 Febbraio 2013

Assetti Organizzativi, di Controllo e Risk Governance nei Confidi. Firenze, 28 Febbraio 2013 Assetti Organizzativi, di Controllo e Risk Governance nei Confidi Firenze, 28 Febbraio 2013 Indice ß Introduzione ß Assetti Organizzativi ß Sistema dei Controlli Interni ß Risk Governance ß Conclusioni

Dettagli

NOTA AIFIRM Associazione Italiana Financial Industry Risk Managers 23 luglio 2013

NOTA AIFIRM Associazione Italiana Financial Industry Risk Managers 23 luglio 2013 NOTA AIFIRM Associazione Italiana Financial Industry Risk Managers 23 luglio 2013 E stato introdotto nell ordinamento di vigilanza italiano il concetto di risk appetite framework (RAF). E contenuto nella

Dettagli

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma Il Risk Management Integrato in eni Stefano Leofreddi Senior Vice President Risk Management Integrato 1 Ottobre 2014, Roma Indice - Sviluppo del Modello RMI - Governance e Policy - Processo e Strumenti

Dettagli

La certificazione ISO/IEC 20000-1:2005: casi pratici

La certificazione ISO/IEC 20000-1:2005: casi pratici La certificazione ISO/IEC 20000-1:2005: casi pratici L esperienza DNV come Ente di Certificazione ISO 20000 di Cesare Gallotti e Fabrizio Monteleone La ISO/IEC 20000-1:2005 (che recepisce la BS 15000-1:2002

Dettagli

Il Governo Societario nelle Banche di Credito Cooperativo: attualità e prospettive

Il Governo Societario nelle Banche di Credito Cooperativo: attualità e prospettive Il Governo Societario nelle Banche di Credito Cooperativo: attualità e prospettive Il modello di sistema dei controlli interni per il Credito Cooperativo Giuseppe Zaghini, Rischi e Controlli - Ufficio

Dettagli

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi Sessione di Studio AIEA-ATED La gestione del rischio informatico nel framework dei rischi operativi 24 Novembre 2014 Agenda La gestione del rischio operativo nel Gruppo ISP La gestione degli eventi operativi

Dettagli

A C 263 A C R M. La proposta di Nexen per il supporto alla Gap Analysis

A C 263 A C R M. La proposta di Nexen per il supporto alla Gap Analysis A C 263 A C R M La proposta di Nexen per il supporto alla Gap Analysis Conformità alla circolare 263 Timeline e principali attività Entro il 31 dicembre 2013 i destinatari della presente disciplina inviano

Dettagli

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale;

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale; Presentazione Blu Consulting è una società di consulenza direzionale certificata ISO 9001:2008, fondata da Mauro Masciarelli nel 2009, specializzata nella revisione delle strategie di business, adeguamento

Dettagli

Il Regolamento si compone di 41 articoli, suddivisi in nove capi.

Il Regolamento si compone di 41 articoli, suddivisi in nove capi. RELAZIONE REGOLAMENTO N. 20 DEL 26 MARZO 2008 RECANTE DISPOSIZIONI IN MATERIA DI CONTROLLI INTERNI, GESTIONE DEI RISCHI, COMPLIANCE ED ESTERNALIZZAZIONE DELLE ATTIVITÀ DELLE IMPRESE DI ASSICURAZIONE, AI

Dettagli

Il processo di definizione e gestione del Risk Appetite nelle assicurazioni italiane. Renzo G. Avesani, Presidente CROFI

Il processo di definizione e gestione del Risk Appetite nelle assicurazioni italiane. Renzo G. Avesani, Presidente CROFI Il processo di definizione e gestione del Risk Appetite nelle assicurazioni italiane Renzo G. Avesani, Presidente CROFI Milano, 10 07 2013 1. Che cosa è il Risk Appetite? 2. Il processo di Risk Appetite

Dettagli

1- Corso di IT Strategy

1- Corso di IT Strategy Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso

Dettagli

COME MISURARE UN SERVICE DESK IT

COME MISURARE UN SERVICE DESK IT OSSERVATORIO IT GOVERNANCE COME MISURARE UN SERVICE DESK IT A cura di Donatella Maciocia, consultant di HSPI Introduzione Il Service Desk, ovvero il gruppo di persone che è l interfaccia con gli utenti

Dettagli

Processi di Gestione dei Sistemi ICT

Processi di Gestione dei Sistemi ICT Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A3_1 V1.1 Processi di Gestione dei Sistemi ICT Il contenuto del documento è liberamente utilizzabile dagli studenti,

Dettagli

Il Sistema dei Controlli nel Gruppo Bancario Iccrea. Aggiornato al 13/11/2013

Il Sistema dei Controlli nel Gruppo Bancario Iccrea. Aggiornato al 13/11/2013 Il Sistema dei Controlli nel Gruppo Bancario Iccrea Aggiornato al 13/11/2013 1 Il sistema dei controlli adottato da Iccrea Holding Le attività, i processi, l assetto organizzativo, la gestione del rischio,

Dettagli

Sicurezza, Rischio e Business Continuity Quali sinergie?

Sicurezza, Rischio e Business Continuity Quali sinergie? Sicurezza, Rischio e Business Continuity Quali sinergie? ABI Banche e Sicurezza 2016 John Ramaioli Milano, 27 maggio 2016 Agenda Ø Il contesto normativo ed organizzativo Ø Possibili sinergie Ø Considerazioni

Dettagli

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Davide Lizzio CISA CRISC Venezia Mestre, 26 Ottobre 2012 Informazioni Aziendali: Il processo di

Dettagli

Marco Salvato, KPMG. AIEA Verona 25.11.2005

Marco Salvato, KPMG. AIEA Verona 25.11.2005 Information Systems Governance e analisi dei rischi con ITIL e COBIT Marco Salvato, KPMG Sessione di studio AIEA, Verona 25 Novembre 2005 1 Information Systems Governance L'Information Systems Governance

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

Modello dei controlli di secondo e terzo livello

Modello dei controlli di secondo e terzo livello Modello dei controlli di secondo e terzo livello Vers def 24/4/2012_CLEN INDICE PREMESSA... 2 STRUTTURA DEL DOCUMENTO... 3 DEFINIZIONE DEI LIVELLI DI CONTROLLO... 3 RUOLI E RESPONSABILITA DELLE FUNZIONI

Dettagli

La Governance come strumento di valorizzazione dell'it verso il business

La Governance come strumento di valorizzazione dell'it verso il business La Governance come strumento di valorizzazione dell'it verso il business Livio Selvini HP IT Governance Senior Consultant Vicenza, 24 novembre Hewlett-Packard Development Company, L.P. The information

Dettagli

Esternalizzazione della Funzione Compliance

Esternalizzazione della Funzione Compliance Esternalizzazione della Funzione Compliance Supporto professionale agli intermediari oggetto della normativa di Banca d Italia in materia di rischio di non conformità Maggio 2012 Labet S.r.l. Confidenziale

Dettagli

Misura delle performance dei processi con le metriche suggerite da COBIT e ITIL

Misura delle performance dei processi con le metriche suggerite da COBIT e ITIL Al servizio dei professionisti dell IT Governance Capitolo di Milano Misura delle performance dei processi con le metriche suggerite da COBIT e ITIL Valter Tozzini - ItSMF Italia Paola Belforte - ItSMF

Dettagli

IL RUOLO DEL RISK MANAGEMENT NEL SISTEMA DEI CONTROLLI INTERNI

IL RUOLO DEL RISK MANAGEMENT NEL SISTEMA DEI CONTROLLI INTERNI IL RUOLO DEL RISK MANAGEMENT NEL SISTEMA DEI CONTROLLI INTERNI Andrea Piazzetta Risk Manager Gruppo Banca Popolare di Vicenza Vicenza, 18 settembre 2009 Gruppo Banca Popolare di Vicenza Contesto regolamentare

Dettagli

Verifica qualità dati contabili Elaborazione e strutturazione dell informazione

Verifica qualità dati contabili Elaborazione e strutturazione dell informazione COMUNE DI TRENTO Servizio Programmazione e Controllo via Belenzani 22 38100 Trento Telefono: 0461-884162; Fax: 0461-884168 e_mail: servizio_programmazione@comune.trento.it Sito internet dell amministrazione:

Dettagli

Regolamento degli Organi Aziendali, delle Funzioni di Controllo e Dei Flussi Informativi. Data approvazione CDA 23 gennaio 2015

Regolamento degli Organi Aziendali, delle Funzioni di Controllo e Dei Flussi Informativi. Data approvazione CDA 23 gennaio 2015 degli Organi Aziendali, delle Funzioni di Controllo e Dei Flussi Informativi Data approvazione CDA 23 gennaio 2015 SOMMARIO ART. 1 - DISPOSIZIONI PRELIMINARI... 4 ART. 2 - DEFINIZIONI... 5 ART. 3 PREMESSA...

Dettagli

LA COMPLIANCE FISCALE NELLE BANCHE: IMPATTO SUI MODELLI DI ORGANIZZAZIONE, GESTIONE E CONTROLLO

LA COMPLIANCE FISCALE NELLE BANCHE: IMPATTO SUI MODELLI DI ORGANIZZAZIONE, GESTIONE E CONTROLLO Focus on LA COMPLIANCE FISCALE NELLE BANCHE: IMPATTO SUI MODELLI DI ORGANIZZAZIONE, GESTIONE E CONTROLLO Aprile 2016 www.lascalaw.com www.iusletter.com Milano Roma Torino Bologna Firenze Ancona Vicenza

Dettagli

Assessment degli Operational Risk. Assessment. Progetto Basilea 2. Agenda. Area Controlli Interni Corporate Center - Gruppo MPS

Assessment degli Operational Risk. Assessment. Progetto Basilea 2. Agenda. Area Controlli Interni Corporate Center - Gruppo MPS Progetto Basilea 2 Area Controlli Interni Corporate Center - Gruppo MPS degli Operational Risk 2003 Firm Name/Legal Entity Agenda Il nuovo contesto di vigilanza: novità ed impatti Analisi Qualitativa 1

Dettagli

Il sistema di governo dell ICT: ambiti di evoluzione del ruolo di COBIT in Enel

Il sistema di governo dell ICT: ambiti di evoluzione del ruolo di COBIT in Enel Il sistema di governo dell ICT: ambiti di evoluzione del ruolo di COBIT in Enel Mario Casodi ICT Governance / epm Convegno Nazionale AIEA Pisa, 21 maggio 2009 INDICE Introduzione Gestione della mappa dei

Dettagli

ASSEGNA LE SEGUENTI COMPETENZE ISTITUZIONALI AGLI UFFICI DELLA DIREZIONE GENERALE OSSERVATORIO SERVIZI INFORMATICI E DELLE TELECOMUNICAZIONI:

ASSEGNA LE SEGUENTI COMPETENZE ISTITUZIONALI AGLI UFFICI DELLA DIREZIONE GENERALE OSSERVATORIO SERVIZI INFORMATICI E DELLE TELECOMUNICAZIONI: IL PRESIDENTE VISTO il decreto legislativo 12 aprile 2006, n. 163 e successive modifiche ed integrazioni, in particolare l art. 8, comma 2, ai sensi del quale l Autorità stabilisce le norme sulla propria

Dettagli

GESTIONE E CONTROLLO DEL RISCHIO FISCALE L architettura formativa di ABIFormazione

GESTIONE E CONTROLLO DEL RISCHIO FISCALE L architettura formativa di ABIFormazione PERCORSO FORMATIVO Modulo 1 12-14 maggio 2014 Modulo 2 3-5 giugno 2014 PERCORSO DI APPROFONDIMENTO 12-13 giugno 2014 23-24 giugno 2014 GESTIONE E CONTROLLO DEL RISCHIO FISCALE L architettura formativa

Dettagli

INIZIATIVA TESI. ISACA VENICE promuove le best practice proposte da ISACA e la collaborazione fra le Università e le Imprese del triveneto

INIZIATIVA TESI. ISACA VENICE promuove le best practice proposte da ISACA e la collaborazione fra le Università e le Imprese del triveneto INIZIATIVA TESI ISACA VENICE promuove le best practice proposte da ISACA e la collaborazione fra le Università e le Imprese del triveneto In linea con la sua mission e con le indicazioni del Comitato Strategico,

Dettagli

Organismo per la gestione degli Elenchi degli agenti in attività finanziaria e dei mediatori creditizi

Organismo per la gestione degli Elenchi degli agenti in attività finanziaria e dei mediatori creditizi Organismo per la gestione degli Elenchi degli agenti in attività finanziaria e dei mediatori creditizi LINEE GUIDA CONCERNENTI IL CONTENUTO DEI REQUISITI ORGANIZZATIVI PER L ISCRIZIONE NELL ELENCO DEI

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

Modello di organizzazione, gestione e controllo ex D. Lgs. 231/2001 GOVERNANCE ORGANIZZATIVA

Modello di organizzazione, gestione e controllo ex D. Lgs. 231/2001 GOVERNANCE ORGANIZZATIVA Modello di organizzazione, gestione e controllo ex D. Lgs. 231/2001 Rev. 1-20/10/2010 GOVERNANCE ORGANIZZATIVA 1. Sistema di governance organizzativa L assetto organizzativo, amministrativo e contabile

Dettagli

Compliance in Banks 2010

Compliance in Banks 2010 Compliance 2010 Compliance in Banks 2010 Dott. Giuseppe Aquaro Responsabile Group Audit Unicredit S.p.A. Il coordinamento complessivo del Sistema dei Controlli Interni in Banca Roma, 12 Novembre 2010 Premessa:

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 5 Marco Fusaro KPMG S.p.A. 1 CobiT: strumento per la comprensione di una

Dettagli

Corso Base ITIL V3 2008

Corso Base ITIL V3 2008 Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione

Dettagli

Direzione Centrale Sistemi Informativi

Direzione Centrale Sistemi Informativi Direzione Centrale Sistemi Informativi Missione Contribuire, in coerenza con le strategie e gli obiettivi aziendali, alla definizione della strategia ICT del Gruppo, con proposta al Chief Operating Officer

Dettagli

Nuove funzioni e responsabilità del Risk Management in banca: la view di una banca di piccole/ medie dimensioni. Iris Pennisi Federcasse

Nuove funzioni e responsabilità del Risk Management in banca: la view di una banca di piccole/ medie dimensioni. Iris Pennisi Federcasse Nuove funzioni e responsabilità del Risk Management in banca: la view di una banca di piccole/ medie dimensioni Roma, 9 aprile 205 Iris Pennisi Federcasse Una premessa di metodo: «trasformare un vincolo

Dettagli

Governance IT. Il governo della qualità dei dati in Cattolica. Un percorso oltre i requisiti normativi

Governance IT. Il governo della qualità dei dati in Cattolica. Un percorso oltre i requisiti normativi Governance IT Il governo della qualità dei dati in Cattolica. Un percorso oltre i requisiti normativi Lunedì 23 novembre 2015 Cattolica Assicurazioni Verona 1 Il percorso del Gruppo Cattolica verso la

Dettagli

SISTEMA DI GESTIONE PER LA QUALITÀ E CERTIFICAZIONE ISO 9001 ed. 2000 PER L'UNIVERSITÀ DI CAMERINO PROGETTO DI MASSIMA

SISTEMA DI GESTIONE PER LA QUALITÀ E CERTIFICAZIONE ISO 9001 ed. 2000 PER L'UNIVERSITÀ DI CAMERINO PROGETTO DI MASSIMA Allegato 1 SISTEMA DI GESTIONE PER LA QUALITÀ E CERTIFICAZIONE ISO 9001 ed. 2000 PER L'UNIVERSITÀ DI CAMERINO PROGETTO DI MASSIMA Torino, 29 maggio 2001 Progetto Università Camerino 25_05_01.ppt 1 ESIGENZE

Dettagli

IAS nei sistemi bancari: la visione Banksiel

IAS nei sistemi bancari: la visione Banksiel Fondo Interbancario: IAS nei sistemi bancari: la visione Banksiel Indice Gli impegni normativi Gli impatti L approccio Banksiel Le soluzioni Banksiel Case study 2 Gli impegni normativi 3 Gli impegni normativi

Dettagli

Speciale: I casi. Introduzione dell'area tematica IL CASO FEDERAZIONE DELLE BCC DELL'EMILIA- ROMAGNA

Speciale: I casi. Introduzione dell'area tematica IL CASO FEDERAZIONE DELLE BCC DELL'EMILIA- ROMAGNA Estratto dell'agenda dell'innovazione e del Trade Bologna 2011 Speciale: I casi Introduzione dell'area tematica IL CASO FEDERAZIONE DELLE BCC DELL'EMILIA- ROMAGNA Innovare e competere con le ICT: casi

Dettagli

PER UNA PUBBLICA AMMINISTRAZIONE DI QUALITÀ

PER UNA PUBBLICA AMMINISTRAZIONE DI QUALITÀ PER UNA PUBBLICA AMMINISTRAZIONE DI QUALITÀ La qualità dei servizi e delle politiche pubbliche è essenziale per la competitività del sistema economico e per il miglioramento delle condizioni di vita dei

Dettagli

Software. Engineering

Software. Engineering Software Engineering Agenda Scenario nel quale matura la necessità di esternalizzare Modalità conrattuali, ambito, livelli di servizio Modalità di governo del contratto e di erogazione dei servizi Metodologia

Dettagli

Iniziativa : "Sessione di Studio" a Torino

Iniziativa : Sessione di Studio a Torino Iniziativa : "Sessione di Studio" a Torino Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,

Dettagli

IS Governance in action: l esperienza di eni

IS Governance in action: l esperienza di eni IS Governance in action: l esperienza di eni eni.com Giancarlo Cimmino Resp. ICT Compliance & Risk Management Contenuti L ICT eni: mission e principali grandezze IS Governance: il modello organizzativo

Dettagli

INFORMATIVA AL PUBBLICO AI SENSI DEL PROVVEDIMENTO BANCA D ITALIA 24 OTTOBRE 2007 TITOLO III CAPITOLO 1

INFORMATIVA AL PUBBLICO AI SENSI DEL PROVVEDIMENTO BANCA D ITALIA 24 OTTOBRE 2007 TITOLO III CAPITOLO 1 INFORMATIVA AL PUBBLICO AI SENSI DEL PROVVEDIMENTO BANCA D ITALIA 24 OTTOBRE 2007 TITOLO III CAPITOLO 1 Premessa Il Regolamento della Banca d Italia in materia di vigilanza prudenziale per le SIM (Titolo

Dettagli

Monitoraggio di primo livello di avvio del ciclo della performance per l anno 2015

Monitoraggio di primo livello di avvio del ciclo della performance per l anno 2015 Organismo Indipendente di Valutazione Sede, 03.04.2015 Pr. 88 PRESIDENTE Dott. Riccardo Maria Monti DIRETTORE GENERALE Dott. Roberto Luongo E,p.c.: Presidenza Direzione Generale Dott. Gianpaolo Bruno Dott.

Dettagli

CONSIP SpA. Gara per l affidamento dei servizi di supporto strategico a Consip nel campo dell Information & Communication Technology (ICT)

CONSIP SpA. Gara per l affidamento dei servizi di supporto strategico a Consip nel campo dell Information & Communication Technology (ICT) CONSIP S.p.A. Allegato 6 Capitolato tecnico Capitolato relativo all affidamento dei servizi di supporto strategico a Consip nel campo dell Information & Communication Technology (ICT) Capitolato Tecnico

Dettagli

Nuove funzioni e responsabilità del Risk Management. Presentazione alla Conferenza Il governo dei rischi in banca: nuove tendenze e sfide

Nuove funzioni e responsabilità del Risk Management. Presentazione alla Conferenza Il governo dei rischi in banca: nuove tendenze e sfide Nuove funzioni e responsabilità del Risk Management Presentazione alla Conferenza Il governo dei rischi in banca: nuove tendenze e sfide 9 Aprile 2015 Agenda 1. Premessa: Il ruolo della Corporate Governance

Dettagli

BOZZA. Attività Descrizione Competenza Raccolta e definizione delle necessità Supporto tecnico specialistico alla SdS

BOZZA. Attività Descrizione Competenza Raccolta e definizione delle necessità Supporto tecnico specialistico alla SdS Allegato 1 Sono stati individuati cinque macro-processi e declinati nelle relative funzioni, secondo le schema di seguito riportato: 1. Programmazione e Controllo area ICT 2. Gestione delle funzioni ICT

Dettagli

CASO APPLICATIVO: PROGRAMMA DI SVILUPPO RISORSE UMANE

CASO APPLICATIVO: PROGRAMMA DI SVILUPPO RISORSE UMANE CASO APPLICATIVO: PROGRAMMA DI SVILUPPO RISORSE UMANE IL PROJECT MANAGEMENT NEL SERVIZIO SANITARIO L esperienza dell APSS di Trento Bolzano, 8 maggio 2008 Auditorio del Palazzo Provinciale 12 Autore: Ettore

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

L attività dell Internal Audit. G.M. Mirabelli

L attività dell Internal Audit. G.M. Mirabelli L attività dell Internal Audit G.M. Mirabelli Milano 13 ottobre 2006 Obiettivi della presentazione Evidenziare i compiti che nel nuovo Codice di autodisciplina sono assegnati all Internal Auditing, se

Dettagli

Le linee guida ABI sull adeguatezza

Le linee guida ABI sull adeguatezza Le linee guida ABI sull adeguatezza La profilatura della clientela ai fini MiFID è il tema centrale delle Linee Guida ABI recentemente validate dalla Consob sull implementazione degli Orientamenti Esma

Dettagli

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti?

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? L innovazione applicata ai controlli: il caso della cybersecurity Tommaso Stranieri Partner di

Dettagli

L auto-valutazione dell ICAAP alla prova dei fatti: dalla teoria alla pratica

L auto-valutazione dell ICAAP alla prova dei fatti: dalla teoria alla pratica L auto-valutazione dell ICAAP alla prova dei fatti: dalla teoria alla pratica Fabio Salis Roma, 4 Giugno 2009 Agenda Cosa vi avevamo raccontato... Le funzioni aziendali coinvolte nel processo ICAAP Il

Dettagli

Fattori critici di successo

Fattori critici di successo CSF e KPI Fattori critici di successo Critical Success Factor (CSF) Definiscono le azioni o gli elementi più importanti per controllare i processi IT Linee guida orientate alla gestione del processo Devono

Dettagli

Le esternalizzazioni di alcune funzioni aziendali: l esperienza lombarda

Le esternalizzazioni di alcune funzioni aziendali: l esperienza lombarda Le esternalizzazioni di alcune funzioni aziendali: l esperienza lombarda Pietro Galbiati Buongiorno a tutti. 1 Il mio compito è quello di presentare in sintesi come stiamo affrontando il tema della esternalizzazione

Dettagli

Il procedimento di autorizzazione

Il procedimento di autorizzazione Dipartimento Vigilanza Bancaria e Finanziaria Il procedimento di autorizzazione Roma, 1 luglio 2015 Agostino Di Febo Servizio Costituzioni e gestione delle crisi Divisione Costituzioni banche e intermediari

Dettagli

Banca Popolare di Sondrio

Banca Popolare di Sondrio Banca Popolare di Sondrio Governo e Qualità dei Dati: l impostazione organizzativa e progettuale a copertura delle esigenze aziendali 1 Giugno 2015 Ver 3.0 Indice Generale La normativa Soluzione organizzativa

Dettagli

LA COSTRUZIONE DI UN SISTEMA DI CONTROLLO INTERNO (IL CASO DELLE COMPAGNIE DI ASSICURAZIONE)

LA COSTRUZIONE DI UN SISTEMA DI CONTROLLO INTERNO (IL CASO DELLE COMPAGNIE DI ASSICURAZIONE) LA COSTRUZIONE DI UN SISTEMA DI CONTROLLO INTERNO (IL CASO DELLE COMPAGNIE DI ASSICURAZIONE) Dott. Werther Montanari Direttore Audit di Gruppo Società Cattolica di Assicurazione Soc. Coop. Verona, 9 dicembre

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

ORGANISMO DI VIGILANZA

ORGANISMO DI VIGILANZA ALLEGATO 3 ORGANISMO DI VIGILANZA 12 1. Il decreto 231/01 e l istituzione dell OdV Come noto il Decreto 231/01 ha introdotto una nuova forma di responsabilità delle persone giuridiche per alcuni tipi di

Dettagli

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING PROCESS OPTIMIZATION Mappatura as is dei processi, definizione dello stato to be, gap analysis, definizione ed implementazione

Dettagli

Lista delle descrizioni dei Profili

Lista delle descrizioni dei Profili Lista delle descrizioni dei Profili La seguente lista dei Profili Professionali ICT è stata definita dal CEN Workshop on ICT Skills nell'ambito del Comitato Europeo di Standardizzazione. I profili fanno

Dettagli

Il Risk Management Integrato in eni

Il Risk Management Integrato in eni Il Risk Integrato in eni Maria Clotilde Tondini Vice President Risk Integrato 5 Marzo 015, Milano Indice - Il Modello eni - 1 Il Modello eni Le fasi di sviluppo L avvio e l attuazione del Modello di Risk

Dettagli

Il nuovo provvedimento di Banca d Italia in tema di antiriciclaggio. www.iusletter.com

Il nuovo provvedimento di Banca d Italia in tema di antiriciclaggio. www.iusletter.com LaScala studio legale e tributario in association with Field Fisher Waterhouse Focus on Il nuovo provvedimento di Banca d Italia in tema di antiriciclaggio Giugno 2011 www.iusletter.com Milano Roma Torino

Dettagli

Le funzione di conformità alle norme nell ambito del Sistema dei Controlli Interni delle Banche

Le funzione di conformità alle norme nell ambito del Sistema dei Controlli Interni delle Banche Le funzione di conformità alle norme nell ambito del Sistema dei Controlli Interni delle Banche a cura di Francesco Manganaro 11 Gennaio 2014 1 Obiettivo del seminario Il Sistema dei Controlli Interni,

Dettagli

Il percorso delle aziende italiane verso l IT Governance. Rossella Macinante Practice Leader

Il percorso delle aziende italiane verso l IT Governance. Rossella Macinante Practice Leader Il percorso delle aziende italiane verso l IT Governance Rossella Macinante Practice Leader 11 Marzo 2009 Previsioni sull andamento dell economia nei principali Paesi nel 2009 Dati in % 3,4% 0,5% 1,1%

Dettagli

Il Sistema della performance e le direttive CIVIT. Università di Cagliari monfardini@unica.it

Il Sistema della performance e le direttive CIVIT. Università di Cagliari monfardini@unica.it Il Sistema della performance e le direttive CIVIT Dott. Patrizio Monfardini Università di Cagliari monfardini@unica.it Art. 4 (ciclo di gestione della performance) 2 comma 1: [.] le amministrazioni pubbliche

Dettagli

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras 2 Introduzione Le architetture basate sui servizi (SOA) stanno rapidamente diventando lo standard de facto per lo sviluppo delle applicazioni aziendali.

Dettagli

attività indipendente obiettiva assurance consulenza miglioramento approccio professionale sistematico valore aggiunto

attività indipendente obiettiva assurance consulenza miglioramento approccio professionale sistematico valore aggiunto MASTER AMLP 1 DEFINIZIONE L Internal Auditing è un'attività indipendente ed obiettiva di assurance e consulenza, finalizzata al miglioramento dell'efficacia e dell efficienza dell'organizzazione. Assiste

Dettagli

Il Ruolo del Dottore Commercialista nell implementazione del modello

Il Ruolo del Dottore Commercialista nell implementazione del modello S.A.F. SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO SISTEMI DI COMPLIANCE E DECRETO LEGISLATIVO 231 DEL 2001 Il Ruolo del Dottore Commercialista nell implementazione del modello Dott. Michele Milano 1 29 novembre

Dettagli

Resoconto degli interventi. Sessione Plenaria IV

Resoconto degli interventi. Sessione Plenaria IV Resoconto degli interventi Sessione Plenaria IV 1 Sessione plenaria IV La centralità delle risorse umane nella gestione del rischio di compliance 11 nov. 2011 ore 9.30 11.00 Chairman: Giancarlo Durante,

Dettagli

Il processo di sviluppo sicuro. Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it

Il processo di sviluppo sicuro. Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Il processo di sviluppo sicuro Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Argomenti: Perchè farlo Il processo di

Dettagli

Adozione dei principi contabili internazionali (IFRS) in Banca delle Marche

Adozione dei principi contabili internazionali (IFRS) in Banca delle Marche Adozione dei principi contabili internazionali (IFRS) in Banca delle Marche Forum Bancario organizzato dal FITD: "L'introduzione degli International Financial Reporting Standards" Milano, 27 e 28 novembre

Dettagli

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti L impostazione dei servizi offerti Le Banche e le altre imprese, sono

Dettagli

Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS

Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS Alessandro Ronchi Senior Security Project Manager La Circolare 263-15 aggiornamento

Dettagli

Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali

Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali La gestione dei rischi operativi e degli altri rischi Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali Mario Seghelini 26 giugno 2012 - Milano

Dettagli

La gestione del processo di compliance applicato ai servizi di investimento. - Roma, 12 novembre 2010 -

La gestione del processo di compliance applicato ai servizi di investimento. - Roma, 12 novembre 2010 - La gestione del processo di compliance applicato ai servizi di investimento - Roma, 12 novembre 2010 - 2 Agenda Attività di Bancoposta Compliance in Bancoposta L applicazione ai servizi di investimento

Dettagli

Il catalogo MANAGEMENT Si rivolge a: Imprenditori con responsabilità diretta. Quadri sulla gestione

Il catalogo MANAGEMENT Si rivolge a: Imprenditori con responsabilità diretta. Quadri sulla gestione 6 Il catalogo MANAGEMENT Si rivolge a: Imprenditori con responsabilità diretta Quadri sulla gestione Impiegati con responsabilità direttive Dirigenti di imprese private e organizzazioni pubbliche, interessati

Dettagli

Formalizzare i processi aziendali per

Formalizzare i processi aziendali per Formalizzare i processi aziendali per accrescere l efficacia l dei controlli Bankadati S.I. Gruppo Creval La comunicazione finanziaria Sondrio, 9 marzo 2010 LA GESTIONE PER PROCESSI IN CREVAL La gestione

Dettagli

PROGRAMMA PER LA TRASPARENZA DECRETO LEGISLATIVO 14 MARZO 2013 N. 33

PROGRAMMA PER LA TRASPARENZA DECRETO LEGISLATIVO 14 MARZO 2013 N. 33 Settore Segreteria e Direzione generale Ufficio Trasparenza e Comunicazione PROGRAMMA PER LA TRASPARENZA DECRETO LEGISLATIVO 14 MARZO 2013 N. 33 Relazione anno 2014 a cura del Segretario Generale e della

Dettagli

XXIV Convegno AIEA. Il contributo dell IT Audit al governo e alla qualità dei processi IT aziendali. Siena, 21 ottobre 2010

XXIV Convegno AIEA. Il contributo dell IT Audit al governo e alla qualità dei processi IT aziendali. Siena, 21 ottobre 2010 XXIV Convegno AIEA Il contributo dell IT Audit al governo e alla qualità dei processi IT aziendali Siena, 21 ottobre 2010 Agenda Lo scenario di riferimento Il ruolo dell IT Audit nei diversi contesti Scelte

Dettagli

IT Service Management

IT Service Management IT Service Management ITIL: I concetti chiave ed il livello di adozione nelle aziende italiane Matteo De Angelis, itsmf Italia (I) 1 Chi è itsmf italia 12 th May 2011 - Bolzano itsmf (IT Service Management

Dettagli

Direzione Centrale Audit e Sicurezza IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE

Direzione Centrale Audit e Sicurezza IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE Maggio 2006 1 La costituzione dell Audit Interno La rivisitazione del modello per i controlli di regolarità amministrativa e contabile è stata

Dettagli

L attività di Internal Audit nella nuova configurazione organizzativa

L attività di Internal Audit nella nuova configurazione organizzativa L attività di Internal Audit nella nuova configurazione organizzativa Massimo Bozeglav Responsabile Direzione Internal Audit Banca Popolare di Vicenza Indice 1. I fattori di cambiamento 2. L architettura

Dettagli

Maggio 2014. Silvia Colombo, Jenny.Avvocati

Maggio 2014. Silvia Colombo, Jenny.Avvocati Maggio 2014 Prime riflessioni sul recepimento degli Orientamenti EIOPA, attuativi della direttiva Solvency II: l IVASS modifica il Regolamento n. 20/2008 Silvia Colombo, Jenny.Avvocati L iter delle modifiche

Dettagli

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti L adozione di COBIT come strumento di IS Governance. Stato dell arte, risultati e fattori critici di successo nelle esperienze analizzate. Elisa Pozzoli, Gianluca Salviotti Copyright SDA Bocconi Elisa

Dettagli

Services Portfolio per gli Istituti Finanziari

Services Portfolio per gli Istituti Finanziari Services Portfolio per gli Istituti Finanziari Servizi di consulenza direzionale e sviluppo sulle tematiche di Security, Compliance e Business Continuity 2015 Summary Chi siamo Il modello operativo di

Dettagli

IL PROGETTO QUALITA TOTALE 2007-2013

IL PROGETTO QUALITA TOTALE 2007-2013 UNIONE EUROPEA IL PROGETTO QUALITA TOTALE 2007-2013 Sentirsi protagonisti per il successo del progetto MODULO II Strumenti e iniziative per lo sviluppo del progetto 16 luglio 2009 Indice Il percorso nell

Dettagli

IT FINANCIAL MANAGEMENT

IT FINANCIAL MANAGEMENT IT FINANCIAL MANAGEMENT L IT Financial Management è una disciplina per la pianificazione e il controllo economico-finanziario, di carattere sia strategico sia operativo, basata su un ampio insieme di metodologie

Dettagli

ISO20000: il percorso di Poste Italiane verso la certificazione

ISO20000: il percorso di Poste Italiane verso la certificazione ISO20000: il percorso di Poste Italiane verso la certificazione Il percorso di Poste Italiane verso la certificazione Cristina Imperi Il Profilo del Gruppo Poste Italiane Il Gruppo Poste Italiane è una

Dettagli