The Innovation Group. Aggiornamento n.15 della Circolare Banca d Italia n. 263/2006

Transcript

1 The Innovation Group ggiornamento n.15 della Circolare Banca d Italia n. 263/2006 Gli aspetti organizzativi e gli impatti su sistemi informativi e processi: punti d attenzione Milano, 15 aprile 2014

2 genda Premessa Considerazioni sulle novità normative Ricadute su ICT Conclusioni 2014 KPMG S.p.., KPMG dvisory S.p.., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di mministrazione S.p.., KPMG udit S.p.., società per azioni di diritto italiano, e Studio ssociato Consulenza legale 1

3 Premessa L entrata in vigore delle disposizioni di vigilanza di Banca d Italia (Circolare 263 del 27 dicembre 2006, 15º aggiornamento del 2 luglio 2013) ha posto agli Istituti bancari italiani un esigenza di rilevante aggiornamento/ evoluzione negli ambiti oggetto della Normativa, per quanto l effettivo impatto possa variare in funzione dell attuale livello di maturità del singolo intermediario negli specifici ambiti. Nelle slide seguenti sono riportati..un minimo di inquadramento normativo. alcune considerazioni sul significato operativo di cosa implica applicare la normativa 263 in ambito ICT 2014 KPMG S.p.., KPMG dvisory S.p.., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di mministrazione S.p.., KPMG udit S.p.., società per azioni di diritto italiano, e Studio ssociato Consulenza legale 2

4 Premessa: l aggiornamento normativo FINLITÀ La normativa in materia di sistema dei controlli interni, sistema informativo e continuità operativa è finalizzata a: Rafforzare le capacità delle banche nella gestione dei rischi aziendali; Rivedere in modo organico e omogeneizzare il quadro normativo relativo alla materia in oggetto SETT DIC GIU LUG DIC LUG FEB LUG LUG 4/09/2012 Pubblicazione documento di consultazione 3/12/2012 Termine consultazione 26/06/2013 Emanazione CRD IV e CRR 2-3/07/2013 Emanazione documento e entrata in vigore 1/07/2014 Efficacia disposizioni Cap. 7 e Cap.9 1/02/2015 Efficacia Disposizioni Cap. 8 1/07/2015 Efficacia disposizioni su funzioni risk management e compliance (Cap.7, sez. III, par.1, lett. b) 1/07/2016 Efficacia esternalizzazione funzioni aziendali (sez. IV, V) e sistema informativo (sez. VI ) Interventi di adeguamento PRINCIPLI TEMTICHE TRTTTE Sistema dei controlli interni (Titolo V, Capitolo 7) Sistema Informativo (Titolo V, Capitolo 8) Continuità Operativa (Titolo V, Capitolo 9) 2014 KPMG S.p.., KPMG dvisory S.p.., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di mministrazione S.p.., KPMG udit S.p.., società per azioni di diritto italiano, e Studio ssociato Consulenza legale 3

5 L aggiornamento normativo: i temi chiave Capitolo Sezione Stima di impatto sulla funzione IT Capitolo 7 Sistema dei controlli interni Capitolo 8 Sistema Informativo Il ruolo degli organi aziendali (Org. con funzione di supervisione strategica, Org. con funzione di gestione, Org. con funzione di controllo) Funzioni aziendali di controllo Risk appetite Framework Esternalizzazioni di funzioni aziendali (outsourcing) Governo e Organizzazione del Sistema Informativo L analisi del rischio informatico La gestione della sicurezza informatica Il sistema di gestione dei dati L esternalizzazione del Sistema Informativo PRZILE/ BSSO LTO Capitolo 9 Continuità Operativa Disposizioni di carattere generale Requisiti per tutti gli operatori Requisiti particolari per i processi a rilevanza sistemica MEDIO/ BSSO L entrata in vigore delle nuove disposizioni di vigilanza comporta un notevole cambiamento/aggiornamento per gli intermediari finanziari. La magnitudo dell impatto dipende dalla specificità di ogni intermediario KPMG S.p.., KPMG dvisory S.p.., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di mministrazione S.p.., KPMG udit S.p.., società per azioni di diritto italiano, e Studio ssociato Consulenza legale 4

6 L aggiornamento normativo: i punti di attenzione Interazioni tra rischio informatico e rischi operativi Impatti in mabito ICT per organizzazione e processo significativi Ruolo chiave delle attività e dell approccio di analisi e gestione del rischio Complessità degli interventi (tecnologici/organizzativi) richiesti Complessità della documentazione per la gestione dell ICT (slide seguente) Interrelazioni con altre normative (es. D. Lgs. 196/2003, D. Lgs. 231/2001 ecc.) L aggiornamento normativo ha un impatto significativo su una molteplicità di aspetti. Si delinea inoltre un tema di sostenibilità degli interventi da parte delle strutture coinvolte, sia in termini di progetto (oneri one-off), sia di esercizio nel continuo e di manutenzione dell impianto complessivo 2014 KPMG S.p.., KPMG dvisory S.p.., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di mministrazione S.p.., KPMG udit S.p.., società per azioni di diritto italiano, e Studio ssociato Consulenza legale 5

7 L aggiornamento normativo: l impatto diretto sui Sistemi Informativi Sistema dei controlli interni (Titolo V, Cap. 7) Continuità Operativa (Titolo V, Cap. 9) Sistema Informativo (Titolo V, Cap. 8) Organizzazione della funzione di ICT, sicurezza informatica, controllo del rischio informatico, compliance ICT e i compiti della funzione di revisione interna Strategie di sviluppo del sistema informativo e modello di riferimento per l architettura dello stesso Valutazione dell adeguatezza dei servizi erogati in rapporto all evoluzione aziendale e ai costi sostenuti pprovazione del disegno dei processi di gestione del sistema informativo Valutazione del rischio potenziale cui sono soggette le risorse informatiche esaminate Individuazione delle misure di sicurezza idonee a conseguire il contenimento del rischio individuato (trattamento del rischio) Policy di sicurezza informatica approvata dall organo con funzione di supervisione strategica e comunicata a tutto il personale e terze parti Sicurezza delle informazioni e delle risorse ICT (presidi fisici, accessi logici, autenticazione, monitoraggio, tracciamento, sviluppo sicuro del SW, gestione del personale, ecc.) Gestione dei cambiamenti Gestione degli incidenti di sicurezza Disponibilità delle informazioni e dei servizi ICT La gestione dei dati deve soddisfare specifici requisiti (es.: data governance, data warehouse, documentazione delle procedure di gestione dei dati, ecc....) pplicazione della politica di esternalizzazione (anche in funzione dei requisiti alla sezione IV del cap. 7) con disposizione di specifiche indicazioni Valutazioni dei rischi connessi al cloud computing L aggiornamento normativo pone l accento (che arbitrariamente evidenziamo) su una serie di aspetti: Governo (strategico e operativo) dell ICT Il presidio dell rchitettura Il presidio del Software Development LifeCycle - SDLC(processi di gestione) Gestione del Rischio in ambito informatico L applicazione del Risk ppetite Framework in ambito ICT (e collegamento con coerente con il cap.7) 2014 KPMG S.p.., KPMG dvisory S.p.., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di mministrazione S.p.., KPMG udit S.p.., società per azioni di diritto italiano, e Studio ssociato Consulenza legale 6

8 Governo dell ICT: il presidio dell architettura ICT rchitecture Insieme di principi, linee guida o regole utilizzate per guidare il processo di acquisizione, sviluppo, modifica ed interfaccia di componenti IT. Gartner, IT Glossary I livelli di astrazione dell architettura Perché è importante Conservazione e valorizzazione degli asset aziendali Gestire il cambiamento per minimizzare impatti e valorizzare gli investimenti Risolvere le complessità derivanti dalla eterogeneità degli ambienti in ambiti enterprise Indirizzare in modo organico i nuovi modelli di business e le evoluzioni tecnologiche Conciliare aspetti economici ed organizzativi legati all integrazione dei sistemi Per garantire efficacia di azione all ICT rchitecture devono esserne chiaramente definiti: Mission e Ruolo, mpiezza dei domini (infrastrutture, applicazioni, dati, processi, logiche di integrazione), utorevolezza / Skill need 2014 KPMG S.p.., KPMG dvisory S.p.., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di mministrazione S.p.., KPMG udit S.p.., società per azioni di diritto italiano, e Studio ssociato Consulenza legale 7

9 Governo dell ICT: il presidio dell architettura Innovazione rchitettura come stimolo alle nuove soluzioni rchitettura come guida e responsabile del turnaround del sistema Ogni realtà ha un suo percorso specifico sul ruolo di architettura dovuto a contingenze e cultura manageriale esistente Ruolo che oscilla tra due estremi: Innovazione controllo coerenze tecnologiche Il ruolo dell ICT rchitecture Razionalizz. rchitettura come presidio delle regole rchitettura come gestore delle coerenze e delle relazioni Ruolo guida bulk di competenze a disposizione Oltre al ruolo dichiarato è indispensabile definire i meccanismi di funzionamento, in termini di: responsabilità decisionali meccanismi di ingaggio S.I. stabile S.I. In forte evoluzione confini con funzioni vicine (demand, organizzazione, strutture di delivery) Il ruolo in strutture complesse In strutture complesse i diversi ruoli rappresentati in matrice sono giocati da più attori all interno dell organizzazione (es. demand management, organizzazione, aree applicative, etc.) Non sempre lo stesso ruolo è interpretato su tutti i domini ICT (infrastrutture, applicazioni, etc.) In strutture complesse il ruolo giocato dall ICT rchitecture potrebbe essere differente a seconda dell ambito funzionale o del dominio tecnologico al quale viene applicato 2014 KPMG S.p.., KPMG dvisory S.p.., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di mministrazione S.p.., KPMG udit S.p.., società per azioni di diritto italiano, e Studio ssociato Consulenza legale 8

10 Governo dell ICT: il presidio dell architettura Budget ICT annuale Comitato rchitettura? Direzione Sistemi Informativi Necessità di presidio delle regole d ingaggio Servizio Canali Servizio Sistemi pplicativi Core Servizio Sistemi pplicativi CRM Servizio Sistemi pplicativi Finanza Servizio Infrastrutture Tecnologiche Servizio Governo ICT Servizio rchitetture Lesson Learned in realtà complesse Partecipazione a comitati di budget per governare l adeguato finanziamento degli investimenti architetturali Partecipazione a comitati di demand per la corretta interpretazione delle spinte verticali e delle esigenze di breve periodo Presidio forte di architettura sull introduzione di nuove componenti architetturali (applicazioni e tecnologie) al fine di governare l evoluzione dei sistemi Stimolare la collaborazione e l accettazione degli architetti da parte delle aree applicative attraverso meccanismi di federazione Il governo dell architettura richiede un attenta definizione dei meccanismi di ingaggio e di coinvolgimento al fine di garantire l efficacia dell azione di indirizzo dell architettura 2014 KPMG S.p.., KPMG dvisory S.p.., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di mministrazione S.p.., KPMG udit S.p.., società per azioni di diritto italiano, e Studio ssociato Consulenza legale 9

11 Governo dell ICT: il presidio del SDLC I meccanismi di lancio dei progetti Ciclo di vita del Software Discovery Inception Elaboration Construction Transition Maintenance Meccanismi di lancio dei progetti Elementi da presidiare Business Strategy Mission & Vision Objectives Critical success factors Indirizzo e guida della domanda utente Fattibilità tecniche su progetti di trasformazione IT Strategy Mission & Vision Objectives Critical success factors Org. and Opt. model Service Delivery model Selezione di soluzioni abilitanti coerenti con il disegno complessivo / con le policies Demand Management Business needs Business Priorities Business Requirements Enterprise rchitecture Projects Strategic capabilities Policies s-is architecture To-Be architecture Manage gap with standards and guidelines Small Change Standard & guidelines Blueprints Project Portfolio Management Delivery Planning Program prioritization I conflitti da risolvere tra demand e architecture Conciliare la visione di m/l periodo con le esigenze tattiche e il time-to-market Conciliare la visione verticale (business silos) rispetto al disegno architetturale Colloquio con gli utenti per condividere la direzione nel m/l periodo Presidio dell innovazione rchitettura dei processi di business Modello attivo vs passivo 2014 KPMG S.p.., KPMG dvisory S.p.., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di mministrazione S.p.., KPMG udit S.p.., società per azioni di diritto italiano, e Studio ssociato Consulenza legale 10

12 Governo dell ICT: il presidio del SDLC I processi di controllo qualità e misurazione del software Ciclo di vita del Software Discovery Inception Elaboration Construction Transition Maintenance Elementi da presidiare pproccio alla Qualità del software Regole di ingegneria del software Processi e strumenti di qualità del software Metriche e KPI per il continuous improvement Presidio della comunicazione a diversi livelli della struttura e verso i partner /outsourcer Interfacce d integrazione Politiche e contrattualistica con i fornitori 2014 KPMG S.p.., KPMG dvisory S.p.., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di mministrazione S.p.., KPMG udit S.p.., società per azioni di diritto italiano, e Studio ssociato Consulenza legale 11

13 Governo dell ICT: il presidio del SDLC I processi di Test e validazione del software Ciclo di vita del Software Discovery Inception Elaboration Construction Transition Maintenance Elementi da presidiare Framework KPMG-NNI per Test e Q Definizione di Test strategies e plans Management controls e governance Presidio e trasformazione negli ambiti People, Process, Technology e Risk & Controls Strumenti pproccio risk-based ( testing early and often ) Politiche e contrattualistica con i fornitori /outsourcer 2014 KPMG S.p.., KPMG dvisory S.p.., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di mministrazione S.p.., KPMG udit S.p.., società per azioni di diritto italiano, e Studio ssociato Consulenza legale 12

14 ID_Obi ettivo O_01 O_02 Descrizione Obiettivo Trasparenza nelle regole di cost accounting verso gli utenti finali ID_CSF CSF_01 CSF_02 CSF_03 CSF_04 CSF_05 CSF_06 CSF_07 CSF_08 O_03 Migliorare il controllo ex-post dei consuntivi CSF_09 Descrizione CSF Utilizzare metriche/tecniche riconosciute dal mercato per la corretta valorizzazione del costo complessivo di gestione dei Patrimoni pplicativi (Produzione e Manutenzione pplicativa) Utilizzare metriche/tecniche best practice sul mercato per il corretto cost accounting (attribuzione dei costi di erogazione del servizio e di manutenzione alle singole funzioni di business) Evolvere verso un modello di cost accounting che tenga conto delle specifiche techiche e funzionali dei singoli servizi offerti dai Patrimoni vere a disposizione informazioni puntuali e strutturate sulla crescita nel tempo della dimensione tecnico-funzionale dei patrimoni (a valle degli interventi di sviluppo/manutenzione) Definire un modello di KPI per i Servizi IT oggetto di contratti di fornitura che consenta di mettere a confronto le diverse forniture sui diversi patrimoni vere a disposizione un set di indicatori che permetta di stimare con maggiore precisione il costo dei servizi richiesti da ProPa a Produzione Informatica necessari alla gestione del Patrimonio vere a disposizione metriche che permettano una stima accurata delle necessità di budget per la gestione dei patrimoni Sviluppare un modello di valorizzazione dell indice di complessità dei Patrimoni che abiliti corretti benchmark di costo tra i diversi Patrimoni vere a disposizione metriche che permettano di valutare e monitorare correttamente i consuntivi relativi alla gestione dei patrimoni rispetto al Budget O_04 Misurare e dimostrare l efficienza dell IT CSF_10 Misurare e dimostrare che l IT realizza miglioramenti continui M M M M O_05 Standardizzazione dei Contratti di Sourcing CSF_05 Misurazione dell'effettiva qualità del servizio IT O_06 (anche al fine di verificare il gap tra qualità percepita ed erogata) O_07 O_08 ccuratezza del Budget Misurazione della efficienza ed efficacia del Customer Care Migliorare i processi di pianificazione e gestione dei Patrimoni pplicativi CSF_11 CSF_12 CSF_13 CSF_14 CSF_15 CSF_16 CSF_17 CSF_18 Definire un modello di KPI per i Servizi IT oggetto di contratti di fornitura che consenta di mettere a confronto le diverse forniture sui diversi patrimoni Verificare la reale Disponibilità dei servizi IT end-to-end lungo l'intera catena tecnologica a supporto degli stessi ( dal server su cui il servizio è pubblicato all'interfaccia di fruizione utente attraverso la rete e tutti gli altri apparati necessari) Verificare la reale Performance dei servizi IT end-to-end lungo l'intera catena tecnologica a supporto degli stessi (dal server su cui il servizio è pubblicato all'interfaccia di fruizione utente attraverso la rete e tutti gli altri apparati necessari) Verificare la reale Usabilità dei servizi IT end-to-endlungo l'intera catena tecnologica a supporto degli stessi ( dal server su cui il servizio è pubblicato all'interfaccia di fruizione utente attraverso la rete e tutti gli altri apparati necessari) Misurare l efficacia del servizio di HD sia in ottica end-to-end sia per il solo I/II livello (non specialistico) Misurare l efficienza del servizio di HD sia in ottica end-to-end sia per il solo I/II livello (non specialistico) nalizzare ticket connessi a richieste informative inerenti l'utilizzo delle nuove applicazioni/funzionalità Rendere maggiormente efficaci la classificazione del ticket e la conseguente assegnazione al supporto specialistico evitando il sovraccarico dei livelli specialistici con attività a informative a basso valore aggiunto Riduzione dei ticket riaperti a causa di risposte poco pertinenti o non esaustive a tutti i livelli di assistenza (specialistica e non) IT Change CSF_19 Migliorare ccuratezza e Tempestività del I/II livello di Help Desk CSF_20 CSF_21 Garantire l efficacia dell M in termini di pianificazione tra MO, MOE e Produzione nei processi di manutenzione evolutiva Misurare la percentuale di SW rilasciato dal Patrimonio gestita tramite release CSF_22 Rendere disponibili misure oggettive a supporto dei SL di Patrimonio M M M M M IT Finance RP M M M M IT Governo dell ICT: il presidio del SDLC La qualità dei Servizi ICT Ciclo di vita del Software Discovery Inception Elaboration Construction Transition Maintenance Elementi da presidiare pproccio alla Qualità dei Servizi IT Definizione Modello di KPI nalisi e Realizzazione strumenti a supporto Benchmarking performance esercizio Presidiare attraverso strumenti e processi di customer survey la qualità dei servizi erogati Sotware quality review Bilanciamento qualità/costi Interazione con outsourcer Complessità Tecnico/Organizzativa n di risorse impiegate nell M n di interventi di manutenzione(mev,mc) n di piattaforme nzianità delle applicazioni: Classe di disponibilità delle applicazioni Complessità Business numero di processi supportati numero di utenti per Classe (nominali e concorrenti) consumo CPU criticità processo supportato tipologia di Utenti (FO,BO,Direzione) Obiettivi e CSF? Complessità Tecnico/Organizzativa Customer Satisfaction IT Stumenti e Metodi G MG M MP P Indicatori Teorici Metriche Cluster Dimensionale Z P MP M MG G Costo totale di Gestione Complessità Business Economics Costo ProP? Patrimonio Efficiente Spending contenuto con bassa concentrazione sulla tecnologia ed elevata sulla manutenzione Evolutiva Patrimonio Critico Spending considerevole con elevata concentrazione sulla tecnologia (package acquistato male, processi di gestione inefficaci, qualità tecnica del codice scadente) Patrimonio Inefficiente Spending elevato sia in ambito tecnologico sia in ambito applicativo 2014 KPMG S.p.., KPMG dvisory S.p.., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di mministrazione S.p.., KPMG udit S.p.., società per azioni di diritto italiano, e Studio ssociato Consulenza legale 13

15 Gestione del Rischio Informatico Il Risk ppetite Framework definisce: Obiettivi di rischio Soglie di tolleranza Limiti operativi Procedure ed interventi gestionali Tempistiche di aggiornamento RF Compiti di organi e funzioni aziendali Individuati ex-ante dal framework stesso, coerenti con risk capacity, business model e indirizzi strategici Declinate con evidenza degli interventi gestionali da adottare al loro raggiungimento Stabiliti sia in condizioni di normale operatività, sia di stress. Sono definiti in termini di misure espressive del capitale a rischio o capitale economico (VaR, expected shortfall, ecc.); adeguatezza patrimoniale; liquidità ttivabili nel caso in cui sia necessario ricondurre il livello di rischio entro i limiti stabiliti Stabilite in base alla strategia aziendale Definiti a seconda delle responsabilità in capo a ciascun organo/funzione Rischi quantificabili I parametri quantitativi e qualitativi utilizzati nella definizione del RF devono essere coerenti con quelli utilizzati in sede di pianificazione patrimoniale (ICP) e strategica. Declinati a seconda di Credito / Controparte Mercato Operativo la declinazione di propensione al rischio, soglie di tolleranza, limiti di rischio deve avvenire attraverso opportuni parametri quantitativi Rischi non quantificabili Strategico Reputazionale Compliance per i rischi difficilmente quantificabili e/o per eventuali statement generali sulle politiche di rischio che la banca intende seguire, va fatto ricorso a indicazioni di tipo qualitativo in grado di orientare la definizione e l aggiornamento di processi e sistemi di controllo 2014 KPMG S.p.., KPMG dvisory S.p.., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di mministrazione S.p.., KPMG udit S.p.., società per azioni di diritto italiano, e Studio ssociato Consulenza legale 14

16 Gestione del Rischio Informatico Modello di analisi nalisi dei risultati mbito Evento Perdita annua attesa Requisiti informazioni Severity 10 M 500k N. Categoria 1 Integrità dei dati 2 Virus 3 Intrusioni 4 Procedure batch 5 Continuità operativa 6 Errori interni Sistemi centrali, dipartimentali, distribuiti, etc. Disponibilità, Integrità, Riservatezza, etc. 50k Frequenza Severity Valore/ Classe Numero di eventi all anno Perdita del singolo evento Perdita attesa su base annua (valore o classe di valore) Bassa Media lta Frequency zioni ICT Governance for Risk/ Control ssurance 2 Security of Information & Systems Continuity of ICT Project & Change Management 2014 KPMG S.p.., KPMG dvisory S.p.., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di mministrazione S.p.., KPMG udit S.p.., società per azioni di diritto italiano, e Studio ssociato Consulenza legale 15

17 Conclusioni Le evoluzioni normative e il contesto di mercato stanno sollevando una serie di elementi di riflessione sui temi del Governo dell ICT e della Gestione dei Rischi Industrializzazione L ultimo aggiornamento della Normativa 263/06 di BankIt fornisce una serie di elementi di pressione per l evoluzione verso una maggiore maturità, sia in termini di efficacia che di industrializzazione, dei processi ICT Si tratta di un percorso graduale e continuo, di cui le pressioni normative costituiscono solo un aspetto Efficacia 2014 KPMG S.p.., KPMG dvisory S.p.., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di mministrazione S.p.., KPMG udit S.p.., società per azioni di diritto italiano, e Studio ssociato Consulenza legale 16

18 Grazie per l attenzione ndrea Beretta ssociate Partner Nolan Norton Italia Kpmg dvisory 2014 KPMG dvisory S.p.., an Italian limited liability share capital company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. ll rights reserved. andreaberetta@kpmg.it Mob: The KPMG name, logo and "cutting through complexity" are registered trademarks or trademarks of KPMG International Cooperative ("KPMG International").