I SERVIZI IN. Stefano Arduini OUTSOURCING: EROGAZIONE, FORMAZIONE E VERIFICA DEL SERVIZIO. Milano, 02/10/2013

Transcript

1 I SERVIZI IN OUTSOURCING: EROGAZIONE, FORMAZIONE E VERIFICA DEL SERVIZIO Stefano Arduini Milano, 02/10/2013 1

2 AGENDA I servizi in outsourcing: erogazione, formazione e verifica del servizio Il mercato dell outsourcing nel settore bancario Le tipologie ed i modelli di servizio Operare in un mondo in evoluzione, ma regolamentato Le Nuove disposizioni di vigilanza prudenziale per le banche 2

3 La diffusione dell outsourcing nel settore bancario Operatori Stato attuale Trend Futuro Grandi Gruppi Unicredit Intesa San Paolo Grandi operatori con centri di servizio IT/OPS Presenza multinazionale Gestione in house Sostituzione selettiva dei Grandi Sistemi con Sistemi Distribuiti Banche Medio-Grandi 13 Banche con > 500 filiali Grandi Sistemi in House Costi per IT più crescenti del fatturato Verificare le opportunità del Full Outsourcing rispetto all outsourcing verticale per le aree specifiche Banche Medio-Piccole ~ 550 Banche con 500 filiali Full outsourcing Crescita dei costi per IT al di sotto della crescita del fatturato Full outsourcing Estendere il servizio di outsourcing al Back Office e ai servizi ausiliari 3

4 La diffusione dell outsourcing nel settore bancario Operatori Stato attuale Trend Futuro Grandi Gruppi Banche Medio-Grandi Banche Medio-Piccole Unicredit Intesa San Paolo 13 Banche con > 500 filiali ~ 550 Banche con 500 filiali Grandi operatori Gestione in house con centri di servizio IT/OPS V-T Services Sostituzione Joint venture selettiva tra Ubis dei Grandi Presenza Sistemi con Sistemi multinazionale (UniCredit Distribuiti Business Integrated Solutions) e Ibm. Ha nella sua mission Verificare le Grandi Sistemi in la gestione e opportunità del Full House l ottimizzazione Outsourcing delle Costi per IT più infrastrutture rispetto tecnologiche crescenti del dell intero all outsourcing gruppo fatturato bancario, verticale in un modello per le di co-sourcing, aree ed specifiche intende fornire servizi tecnologici Full outsourcing anche ad Full altre outsourcing banche. Crescita dei costi Estendere il servizio per IT al di sotto di outsourcing al della crescita del Back Office e ai fatturato servizi ausiliari 4

5 La industry bancaria è caratterizzata dal più alto livello di incidenza dei costi IT sui ricavi Incidenza costi IT sui ricavi 4,23% 1,80% 0,88% 0,62% 0,39% 0,31% 0,15% Banche Telecomunicazioni & Media Assicurazioni e Finanziarie Travel & Transportation Industria Utilities Distribuzione e Servizi Fonte: elaborazione Net Consulting su dati ISTAT, Banca d Italia e ANIA

6 La prevalenza del modello «full outsourcing» è spiegata dalle significative efficienze di costo che abilita Incidenza delle Spese IT sui fondi intermediati 0,150% 10 Principali Gruppi/Banche medio-grandi con IT in house - 44% 0,083% Banche in Outsourcing* Pur in presenza di dimensioni maggiori, i Gruppi e le Banche mediograndi presentano il 44% in più di spese IT / masse intermediate rispetto alle banche in full outsourcing, con punte di inefficienza anche più elevate Fonte: Analisi KPMG su bilanci 2011 * Media dei 3 principali outsourcer 6

7 Le attività di Cedacri Group Ambito Descrizione Società del Gruppo Information Technology Business Process Outsourcing Printing & Mailing Gestione Carte di Credito Business Information Piattaforma di near-shoring Gestione completa del sistema informativo bancario: Soluzioni applicative Infrastruttura tecnologica (HW, SW di base, network) Help desk e presidio applicativo/funzionale System Integration Gestione esternalizzata dei processi operativi bancari: Supporto ai canali (Call Center clienti/dipendenti) Back Office Smaterializzazione e Gestione documentale Stampa e postalizzazione di ogni tipologia di documentazione, sia destinata alla clientela sia destinata agli operatori banca Gestione dell issuing e del processing delle carte di credito Fornitura di informazioni a supporto del processo di valutazione creditizia Valutazioni immobiliari Centro servizi localizzato in Moldova: Sviluppi software Servizi di BPO 7

8 Il posizionamento nel mercato bancario Cedacri ha uno dei principali data center in Italia con: oltre 70 istituti clienti più di sportelli gestiti risorse utilizzatrici oltre 40 milioni di transazioni giornaliere gestite MIPS di potenza elaborativa Server 1. UNICREDIT 2. INTESA SANPAOLO 3. MPS 4. CEDACRI 5. UBI 6. BANCO POPOLARE 7. BNL 8. BPER Risorse utilizzatrici Numero sportelli Circa il 10% del sistema bancario italiano è attestato su Cedacri Masse intermediate* (mln ) * Fonte: Bilanci

9 AGENDA I servizi in outsourcing: erogazione, formazione e verifica del servizio Il mercato dell outsourcing nel settore bancario Le tipologie ed i modelli di servizio Operare in un mondo in evoluzione, ma regolamentato Le Nuove disposizioni di vigilanza prudenziale per le banche 9

10 Definizioni Nuove disposizioni di vigilanza prudenziale per le banche SEZIONE VI 1. Tipologie di esternalizzazione L esternalizzazione delle risorse e servizi ICT può assumere diverse forme a seconda del modello architetturale adottato: dall outsourcing verticale (relativo a determinati processi operativi) all outsourcing orizzontale di servizi trasversali come la gestione degli apparati hardware (facility management), lo sviluppo e la gestione del parco applicativo (application management), i collegamenti di rete, l help desk tecnico e gli interventi di riparazione e manutenzione delle risorse ICT, fino al full outsourcing del complessivo sistema informativo aziendale. 10

11 ICT Outsourcing: i componenti Tecnica Infrastrutture Hardware Servizi Ambiente fisico Alimentazione elettrica, condizionamento, ecc. Sicurezza fisica Potenza di calcolo Storage Connettività Presidio del servizio System Administration Desk Top Management Funzionale Applicazioni Supporto utente Manutenzione evolutiva Normativa Sviluppi su richiesta Help Desk Formazione Consulenza 11

12 ICT Outsourcing: i modelli di servizio Housing / Hosting Facility Management Application Management Outsourcing Infrastrutture Tecnica Hardware Servizi Applicazioni Funzionale Supporto utente 12

13 Full Outsourcing: elementi qualificanti del servizio Elementi chiave Suite applicativa completa Copertura funzionale realizzata con applicativi integrati in modo nativo Innovazione ed evoluzione continua Infrastruttura tecnologica di eccellenza Infrastruttura tecnologica gestita con livelli di servizio, qualità e garanzie di sicurezza e continuità del servizio di eccellenza Robustezza certificata dei sistemi e dei processi interni Capacità di integrazione Help Desk SLA di servizio Disponibilità di risorse dedicate Orientamento allo sviluppo e alla gestione di soluzioni di architetture IT complesse Processo strutturato di raccolta delle richieste di assistenza degli utenti tramite sistema di trouble ticketing Gestione proattiva di anomalie sul servizio (incident management) Livelli di servizio stringenti definiti su tutte le componenti chiave 13

14 Un modello organizzativo focalizzato sulla clientela Clienti Punti chiave Presidio del Servizio Gestione e Sviluppo Sistema Informativo Tecnologie e Servizio Gestione Clienti Consulenza e System Integration Architettura e Sicurezza Le due unità operative messe al servizio della clientela garantiscono forte focalizzazione sulle esigenze del cliente e capacità di risolvere efficacemente e tempestivamente le problematiche operative. L unità Consulenza e System Integration assicura la massima flessibilità e reattività nella allocazione delle risorse ai progetti di sviluppo personalizzati richiesti dal cliente. 14

15 Help Desk UFFICI CENTRALI CLIENTI CANALI/ PUNTO VENDITA PROMOTORI/ VENDITORI 1 LIVELLO PRESIDIO DEL SERVIZIO APPLICATIVO TECNOLOGICO 2 LIVELLO AREE APPLICATIVE GESTIONE TECNOLOGIE E SERVIZIO 15

16 La misurazione dei livelli di servizio All interno di ogni contratto è presente un impegno a rispettare criteri di performance nell esecuzione dei servizi erogati secondo metriche definite. Uno SLA è costituito dai seguenti elementi: KPI: entità di cui si vuole misurare il valore; Valori soglia: indicano i valori di riferimento da utilizzare per la valutazione del livello di performance dello SLA (adeguato, insufficiente, pessimo). Mensilmente viene prodotto il Rapporto dei Servizi che rappresenta, con dati di sintesi, le misurazioni dei Livelli di Servizio in termini di: Identificazione del servizio; Periodo di riferimento; Valori target; Performance misurata. Il Rapporto dei Servizi viene esaminato nel corso degli incontri periodici (mensili / trimestrali) tenuti con i Clienti. In caso di SLA non adeguato, viene predisposto uno specifico Incident Report nel quale vengono fornite le informazioni di dettaglio sugli eventi che hanno causato il degrado del servizio 16

17 Service Level Agreements KPI Disponibilità del servizio on line Log delle sonde collezionato da Sistema di SLM della Control Room On-line: per le applicazioni «Primarie» si effettua il monitoraggio delle funzioni più rappresentative. Performance di sistema Tempo di risposta delle principali transazioni Log collezionati da Sistema di SLM della Control Room Timing dei batch giornalieri, mensili e periodici Dati raccolti dal sistema statistico provenienti dai sistemi di schedulazione automatica Batch: viene identificato un gruppo di funzioni critiche per le quali vengono definiti: orario di cut off ritardo massimo tollerabile 17

18 Service Level Agreements KPI Assistenza ed Help Desk Tempo di presa in carico dei ticket Sistema aziendale di trouble ticketing Remedy Tempo di risoluzione dei ticket Sistema aziendale di trouble ticketing Remedy Monitoraggio di più di messaggi di Trouble Ticketing (segnalazioni, richieste di informazioni, ecc.) Più di contatti telefonici (più del 90% presi in carico in meno di 20 secondi) 99% delle issue severe risolte in meno di 4 ore Soglie differenziate per gravità della anomalia 18

19 Service Level Agreements KPI Normativa Master Plan Rispetto delle date di rilascio concordate e pianificate Sistema di Demand Management PPM Rientrano in questo ambito tutte le implementazioni applicative pianificate. Richieste di personalizzazioni Tempo di quotazione della richiesta Sistema di Demand Management PPM Rispetto delle date di consegna concordate Sistema di Demand Management PPM Si considerano i servizi addizionali o avviamenti di servizi di importo una tantum maggiore di Per la misurazione si considerano le offerte protocollate accettate dal Cliente entro la data di scadenza. 19

20 AGENDA I servizi in outsourcing: erogazione, formazione e verifica del servizio Il mercato dell outsourcing nel settore bancario Le tipologie ed i modelli di servizio Operare in un mondo in evoluzione, ma regolamentato Le Nuove disposizioni di vigilanza prudenziale per le banche 20

21 Il contesto normativo e regolamentare Società ICT service provider Outsourcer in ambito finanziario Privacy 231/2001 Posta Elettronica Certificata Certification Authority US/EU Safe Harbour Normative di settore (Banca d Italia, UIF, ecc.) Consorzio Bancomat PCI DSS Sarbanes Oxley Act Cedacri si trova a dover rispondere, a diverso titolo, ad una serie di requisiti normativi complessi, diretti ed indiretti; L utilizzo di un approccio integrato è funzionale alla gestione dell ambiente di controllo e rende più agevole l attività di verifica interna ed esterna. * Ulteriori vincoli vengono posti dalle policy interne adottate dai singoli Clienti, spesso parte integrante dell impianto contrattuale. 21

22 Un sistema di controllo certificato ISAE 3402 TYPE TWO Attestazione dell effettivo funzionamento del sistema dei controlli operanti sui processi aziendali relativi ai servizi di outsourcing. Lo standard ISAE 3402 (International Standard on Assurance Engagements) emanato dall International Auditing and Assurance Standards Board (IAASB) e riconosciuto a livello internazionale, a partire dal 15 giugno 2011 sostituisce il SAS 70; è una attestazione che pone l attenzione sui controlli in essere relativi ai sistemi (procedure, software, infrastrutture, dati, ecc.) utilizzati per raggiungere gli obiettivi di business di una società. Perché questa certificazione? Per dare evidenza dell attività di controllo che devono essere effettuate sull outsourcer, come richiesto da Banca d Italia (Istruzioni di Vigilanza per le Banche TITOLO IV - Capitolo 11: L'attribuzione a soggetti terzi di attività connesse con il funzionamento dei sistemi informativi non esonera le banche dalle responsabilità di controllo. ); Per fornire ai revisori esterni uno strumento richiesto dalle normative vigenti come attestazione sul Sistema di Controllo Interno (richiesto alle Società che devono essere conformi alla Legge sul Risparmio o al Sarbanes-Oxley Act); Per offrire ai revisori di bilancio l evidenza dei controlli in essere al fine di individuare il corretto approccio di audit (eventuali carenze nei controlli automatici di sistema impongono maggiori attività di test sul campo: control approach vs substantive approach). 22

23 Un sistema di controllo certificato Contenuti del Report ISAE 3402 Sezione I: Relazione dei revisori indipendenti; esprimerà tre opinioni: 1. La descrizione dei controlli della Service Organisation presenta adeguatamente gli aspetti rilevanti dei controlli; 2. Le attività di controllo sono state disegnate per raggiungere gli obiettivi di controllo, in maniera "ragionevole ma non con assoluta certezza"; 3. Tali attività di controllo erano effettivamente operative nel periodo. Sezione II: Descrizione dell ambiente di controllo Sezione III: Procedure di verifica svolte e risultati Sezione IV: Considerazioni sul controllo esercitato dalle organizzazioni utenti La documentazione di un ISAE 3402 va sempre valutata insieme al sistema di controllo interno dell organizzazione utente (nessun controllo inizia a finisce presso l outsourcer). Il report SAS70 può essere predisposto in due modalità: Type One Relativo ad attività di controllo, operative ad una certa data. Esprime un opinione sull efficacia dei controlli in essere ad una specifica data, con riferimento a determinati obiettivi di controllo definiti dal service. Type Two In aggiunta al tipo 1 vengono eseguite adeguate attività di verifica idonee ad esprime un opinione sull effettivo funzionamento dei controlli, durante un determinato periodo di riferimento. 23

24 Un sistema di controllo certificato Descrizione dell ambiente di controllo Non esiste una definizione standard degli obiettivi di controllo che devono essere coperti da un report ISAE 3402, specifici per il singolo service provider e per i suoi clienti. La scelta Cedacri è stata quella di sviluppare un framework condiviso con le banche utenti, basato su CobIt, che copre non solo i control objective tipici SOx, ma che è stato progressivamente esteso per avere la massima copertura dei controlli a valere sui servizi erogati (per esempio: business continuity). Attualmente l ambito copre i seguenti domini: Pianificazione ed Organizzazione 3 processi Acquisizione ed Implementazione 5 processi Erogazione e Supporto 11 processi Monitoraggio e Valutazione 3 processi a cui corrispondono 78 Obiettivi di Controllo di Dettaglio per un totale di 215 attività di controllo. CobIt Process C.A. PO1 Define a strategic IT plan 7 PO9 Assess and manage IT risks 4 PO10 Manage projects 7 AI2 Acquire and maintain application software 17 AI3 Acquire and maintain technology infrastructure 5 AI4 Enable operation and use 5 AI6 Manage changes 12 AI7 Install and accredit solutions and changes 9 DS1 Define and manage service levels 10 DS2 Manage third-party services 8 DS3 Manage performance and capacity 7 DS4 Ensure continuous service 8 DS5 Ensure systems security 31 DS8 Manage service desk and incidents 7 DS9 Manage the configuration 5 DS10 Manage problems 3 DS11 Manage data 23 DS12 Manage the physical environment 15 DS13 Manage operations 14 ME1 Monitor and evaluate IT performance 5 ME2 Monitor and evaluate internal control 5 ME3 Ensure compliance with external requirements 8 24

25 Un sistema di controllo certificato ISO 9001: 2008 Sistema di Gestione Qualità ISO/IEC 27001: 2005 Sistema di Gestione della Sicurezza Campo di applicazione: Progettazione, sviluppo, manutenzione e gestione in outsourcing di sistemi informativi, ASP, Facility management, Firma Digitale, Posta Elettronica Certificata, Servizi di formazione e consulenza organizzativa in ambito bancario, Disaster Recovery. PCI DSS Payment Card Industry Data Security Standard Certificazione di piena conformità ai requisiti definiti per assicurare la protezione dei dati dei titolari di carte di credito (più di 200 controlli da rispettare tassativamente). Certification Authority Posta Elettronica Certificata Certificatore Accreditato e Gestore Certificato da DigitPA - Ente Nazionale per la Digitalizzazione della Pubblica Amministrazione. TIER III Continuità del business (alimentazione elettrica, condizionamento, resistenza agli eventi naturali) Attestazione di conformità dei data center ai requisiti Tier Performance Standards del documento White Paper Tier Classification Define Site Infrastructure Performance pubblicato dall Uptime Institute. 25

26 Il cambiamento continuo Driver Evoluzione Innovazione I fattori esterni Sviluppi pianificati su base annuale (Master Plan) e pluriennale (Piano dei Sistemi) Continua ricerca di soluzioni per la creazione di prodotti in grado di sfruttare le nuove tecnologie Richieste normative nazionali ed internazionali Esigenze della clientela Requisiti contrattuali Il servizio di Full Outsourcing prevede al suo interno l erogazione di un rilevante numero di giornate indirizzate al continuo adeguamento della infrastruttura tecnica ed applicativa. Esigenze specifiche vengono invece gestite tramite progetti ad hoc. 26

27 Governo dell evoluzione Gli investimenti.000 gg/u Ogni anno, Cedacri sviluppa e rilascia il proprio Master Plan che include lo sviluppo di applicazioni in relazione a: Adeguamenti normativi Miglioramenti funzionali delle soluzioni esistenti Nuove soluzioni Evoluzione del Sistema Informativo: Master Plan 100% 75% 50% 25% Investimenti infrastrutturali Sviluppi a pagamento Master Plan e Piano dei sistemi Negli ultimi anni si è verificato un forte aumento del budget riservato alla normativa (nel 2012 circa 500 diversi provvedimenti!!!). 0% Nuove soluzioni Progetti evolutivi/ottimizzazione Normativa e regolamentazioni 27

28 L innovazione: i servizi «mobile» C-Kit Cedacri Keep-In-Touch permette alla banca di essere in contatto continuo con tutti i propri clienti inducendo azioni di cross-selling e up-selling C-Kit abilita, di fatto, all'utilizzo di tutte le piattaforme di comunicazione per interagire in ogni luogo e situazione integrando e orchestrando canali fisici e digitali attraverso un modello che, non solo riconosce clienti e prospect, ma è anche in grado di offrirgli proattivamente servizi e soluzioni personalizzate sulla base delle singole necessità, reali o potenziali che siano. C-Payment C-Payment fa leva sulle tecnologie disponibili sui comuni smartphone per consentire agli utenti di effettuare in mobilità, in modo semplice e sicuro, pagamenti di ogni importo La soluzione permette infatti di effettuare transazioni avvicinando semplicemente due cellulari di nuova generazione, quello dell acquirente e quello del venditore, che possono scambiarsi reciprocamente le informazioni necessarie al perfezionamento dell operazione tramite una specifica app. ABILAB FORUM Premio per le migliori soluzioni innovative Front End Unico e C-Kit 28

29 Tempistiche Normative I fattori esterni: la normativa Organo emanante Descrizione Documento Garante per la protezione dei dati personali Banca d Italia Principali argomenti trattati - Autenticazione e autorizzazione - Tracciamento e monitoraggio - Gestione dei diritti di accesso degli utenti - Protezione degli End point - Organizzazione della sicurezza - Gestione del rischio IT - Governo dei dati - Sicurezza dell outsourcing - Requisiti per garantire la tracciabilità e l accountability di accesso ai dati personali e finanziari dei clienti da parte dei dipendenti di istituti di credito - Requisiti volti ad impostare un quadro di controllo interno efficiente per gestire correttamente i rischi, inclusi i requisiti in materia di sicurezza IT, di gestione del rischio IT e di business continuity - Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie (Giugno 2011) - Nuove disposizioni di vigilanza prudenziale per le banche (Aggiornamento luglio 2013) Banca Centrale Europea - Strong authentication - Autorizzazione delle transazioni - Tracciamento e monitoraggio - Raccomandazioni e best practise per proteggere i servizi di pagamento via internet dalle frodi, compresi i requisiti di sicurezza per proteggere le infrastrutture ICT - Raccomandazioni per la sicurezza dei pagamenti su internet (Gennaio 2013) Garante per la protezione dei dati personali Banca d Italia Implementare una soluzione tecnica per tracciare e monitorare gli accessi ai dati dei clienti Banca Centrale Europea Valutare lo stato attuale della sicurezza IT e della gestione dei rischi IT e identificare le misure da adottare per il rispetto della normativa Implementare le misure organizzative, procedurali e tecniche definite dalla normativa Implementare misure procedurali e tecniche volte alla protezione dei servizi di pagamento 29

30 AGENDA I servizi in outsourcing: erogazione, formazione e verifica del servizio Il mercato dell outsourcing nel settore bancario Le tipologie ed i modelli di servizio Operare in un mondo in evoluzione, ma regolamentato Le Nuove disposizioni di vigilanza prudenziale per le banche 30

31 Capitolo 9 Capitolo 8 Capitolo 7 Le Milestone delle Nuove disposizioni 2 luglio dicembre luglio febbraio luglio 1 luglio Disposizioni contenute nel Capitolo 7 (Il sistema dei controlli interni) Disposizioni contenute nel Capitolo 7 Sezione III, par. 1, lett. b), secondo alinea, secondo periodo (linee di riporto dei responsabili delle funzioni di controllo) Disposizioni contenute nel Capitolo 7 Sezione IV e V (adeguamento dei contratti di esternalizzazione in essere alla data di entrata in vigore delle disposizioni alla prima scadenza contrattuale o comunque entro 3 anni) Disposizioni contenute nel Capitolo 8 (Il sistema informativo + raccomandazioni della BCE in materia di sicurezza dei pagamenti in internet) Disposizioni contenute nel Capitolo 8 Sezione VI (adeguamento dei contratti di esternalizzazione del sistema informativo in essere alla data di entrata in vigore delle disposizioni alla prima scadenza contrattuale o comunque entro 3 anni) Disposizioni contenute nel Capitolo 9 (La continuità operativa) 1 2 Autovalutazione della propria situazione aziendale rispetto alle previsioni della nuova normativa (gap analysis con indicazione delle misure da adottare e relativa scansione temporale). Comunicazione alla Banca d'italia dei contratti di esternalizzazione in essere alla data di entrata in vigore delle disposizioni e la relativa durata. 31

32 Impatti delle Nuove disposizioni FATTORI DI DEBOLEZZA RISCONTRATI DA BANCA D ITALIA LE PRINCIPALI AREE DI INTERVENTO Impatto per le banche Impatto di carattere IT La cultura dei rischi e dei controlli riguarda solo le funzioni di controllo e non coinvolge tutta l organizzazione aziendale 1 Gestione integrata dei rischi Diffusione ed implementazione dell Enterprise Risk Management al fine di facilitare la responsabilizzazione ( accountability ) sul governo dei rischi a tutti i livelli aziendali MEDIO BASSO (Indiretto) Incoerenza tra rischio assunto e rischio percepito dagli Organismi di governo Mancanza di un adeguato set di misure e interventi previsti in caso di superamento dei limiti previsti 2 Risk Appetite / Risk Tolerance Framework Definizione / fine-tuning del framework di riferimento per l assunzione dei rischi assoluti (risk appetite) e di quelli effettivi (risk tolerance) ALTO MEDIO (compatibilità della matrice dei rischi) Gestione non omogenea e coordinata delle attività di monitoraggio a presidio dei principali profili di rischiosità aziendale 3 Coordinamento delle funzioni di controllo Sviluppo di procedure e meccanismi di coordinamento delle attività svolte dalle Funzioni di Controllo (i.e. Compliance, Risk Management, Internal Audit) MEDIO NA Scarso coinvolgimento nella valutazione ex-ante dei rischi ed assenza di una regolare interazione con il Board e con le altre funzioni di controllo 4 Rafforzamento poteri della funzione di Risk Management Definizione e implementazione di un framework di risk appetite Definizione della metodologia di analisi per la predisposizione di pareri preventivi Implementazione di indicatori di anomalia dei sistemi di misurazione e controllo dei rischi MEDIO NA Impatto Diretto = effetto diretto sui sistemi IT Impatto Indiretto = coinvolge tematiche di carattere IT 32

33 Impatti delle Nuove disposizioni FATTORI DI DEBOLEZZA RISCONTRATI DA BANCA D ITALIA LE PRINCIPALI AREE DI INTERVENTO Impatto per le banche Impatto di carattere IT Riduzione della liquidità su mkt di strumenti complessi e indisponibilità di prezzi su mkt secondari 5 Valutazione delle attività aziendali Sviluppo di politiche e processi di valutazione delle attività aziendali e, in particolare, degli strumenti finanziari Definizione dei limiti massimi all esposizione della banca verso strumenti o prodotti finanziari di incerta o difficile valutazione MEDIO/ BASSO MEDIO/ BASSO (Diretto) Presidio limitato alla sola normativa di competenza Coinvolgimento in operazioni fiscalmente irregolari poste in essere da parte della clientela 6 Nuove responsabilità per la funzione Compliance Estensione della responsabilità della Compliance su normative quantunque presidiate da altre Funzioni (es. privacy, sicurezza sul lavoro) in relazione alla definizione di metodologie e procedure a presidio della conformità alle stesse Presidio dei rischi derivanti da operazioni fiscalmente irregolari poste in essere dalla Clientela MEDIO / ALTO NA Scarsa effettività operativa del sistema di controllo interno in tema di gestione del rischio 7 Nuove responsabilità della funzione Revisione Interna Introduzione di alcune novità tra i compiti della Revisione Interna, quali ad esempio la partecipazione al processo di definizione del risk appetite framework e di gestione del rischio MEDIO NA Strategie commerciali non allineate con gli obiettivi di rischio Perdita di fiducia da parte della clientela 8 Politiche e processi aziendali di maggior rilievo Definizione delle politiche e dei processi aziendali di maggior rilievo, con particolare riferimento alla gestione dei rischi, valutazione delle attività aziendali, approvazione di nuovi prodotti/servizi, avvio di nuove attività, inserimento in nuovi mercati e convalida dei modelli interni di misurazione dei rischi non utilizzati a fini regolamentari MEDIO MEDIO/ BASSO (Diretto) Impatto Diretto = effetto diretto sui sistemi IT Impatto Indiretto = coinvolge tematiche di carattere IT 33

34 Impatti delle Nuove disposizioni FATTORI DI DEBOLEZZA RISCONTRATI DA BANCA D ITALIA LE PRINCIPALI AREE DI INTERVENTO Impatto per le banche Impatto di carattere IT 9 Non sistematico, completo e consapevole presidio delle attività esternalizzate Outsourcing Definizione delle politiche di esternalizzazione Revisione contratti di outsourcing in essere Predisposizione relazione annuale a cura dell IA MEDIO ALTO (Diretto) Presenza di significativi gap in termini di misure minime per la gestione dei rischi tecnologico (ICT) e operativo. 10 Sistema Informativo Disciplina della governance, dell organizzazione del sistema informativo e dei requisiti per assicurare la sicurezza informatica e il sistema di gestione dei dati Formalizzazione del quadro di riferimento per l analisi del rischio informatico con l approvazione del massimo livello di rischio informatico tollerabile MEDIO / ALTO ALTO (Diretto/ Indiretto) Scarsa razionalizzazione tra le diverse fonti normative a disciplina della materia e limitata efficace del processo di incident management 11 Continuità operativa Formalizzazione del ruolo del CODISE(*) Definizione di un processo di rapida escalation da incidente a emergenza Riduzione del tempo complessivo di ripristino MEDIO / ALTO ALTO (Diretto/ Indiretto) (*) Gruppo di lavoro per la continuità di servizio del sistema finanziario italiano coordinato dalla Banca d'italia d'intesa con la CONSOB, al quale partecipano i principali gruppi bancari e le società che gestiscono le infrastrutture di sistema rilevanti per l'ordinato funzionamento del sistema finanziario Impatto Diretto = effetto diretto sui sistemi IT Impatto Indiretto = coinvolge tematiche di carattere IT 34

35 Le Nuove disposizioni e l esternalizzazione Contenuto minimo contrattuale I diritti e gli obblighi tra la banca e l outsourcer. I livelli di servizio attesi, espressi in termini oggettivi e misurabili. Le condizioni al verificarsi delle quali possono essere apportate modifiche all accordo. La durata dell accordo e le modalità di rinnovo nonché gli impegni reciproci connessi con l interruzione del rapporto. I livelli di servizio assicurati in caso di emergenza e le soluzioni di continuità compatibili con le esigenze aziendali e coerenti con le prescrizioni dell Autorità di vigilanza. Obblighi del fornitore di servizi Possesso della competenza, della capacità e delle autorizzazioni richieste dalla legge per esercitare, in maniera professionale e affidabile, le funzioni esternalizzate. Tempestiva comunicazione di qualsiasi evento che potrebbe incidere sulla sua capacità di svolgere le funzioni esternalizzate in maniera efficace e in conformità con la normativa vigente. Gestione della sicurezza delle informazioni relative all attività della banca, sotto l aspetto della disponibilità, integrità e riservatezza (es. norme sulla protezione dei dati personali). Obblighi della banca committente Salvaguardia della competenza richiesta per controllare efficacemente le funzioni esternalizzate e per gestire i rischi connessi con l esternalizzazione; a tal fine viene individuato un responsabile del controllo delle singole funzioni esternalizzate dotato di adeguati requisiti di professionalità ( referente per le attività esternalizzate ). Acquisizione dei piani di emergenza dell outsourcer o delle informazioni necessarie, al fine di valutare la qualità delle misure previste e di integrarle con le soluzioni di continuità realizzate all'interno. 35

36 Considerazioni finali Dal punto di vista ICT, la Nuova normativa rende evidenti e sistematici una serie di requisiti già conosciuti ed affrontati nell ambito delle attività di IT Governance, in precedenza richiesti direttamente dai Clienti, suggeriti dai framework di controllo o imposti dalle certificazioni adottate nel tempo. La normativa è indirizzata alle Banche ed il ruolo dell outsourcer è visto come mero fornitore di servizi. È peraltro evidente la maggiore interrelazione che dovrà essere posta in essere tra le Banche ed il proprio outsourcer, che quindi dovrà evolvere per poter rispondere in modo coerente alle richieste di natura normativa. Banca La Banca deve diventare un po Outsourcer l Outsourcer deve diventare un po Banca Outsourcer 36