BANCA D ITALIA AIEA Relatore: Tullio Prà Servizio Vigilanza sugli Enti Creditizi Banca d Italia

Transcript

1 XXI Convegno Nazionale Information Systems Auditing Accademia Navale di Livorno, Maggio 2007 La Continuità operativa nel sistema bancario italiano Relatore: Tullio Prà Servizio Vigilanza sugli Enti Creditizi Banca d Italia 1

2 Definizioni La gestione della continuità operativa comprende tutte le iniziative volte a ridurre ad un livello ritenuto accettabile i danni conseguenti a incidenti e catastrofi che colpiscono direttamente o indirettamente un azienda Il piano di continuità operativa è il documento che formalizza i principi, fissa gli obiettivi e descrive le procedure per la gestione della continuità operativa Il piano di disaster recovery stabilisce le misure tecniche e organizzative per fronteggiare eventi che provochino la indisponibilità dei centri di elaborazione dati; costituisce parte integrante del piano di continuità operativa 2

3 Iniziative della Vigilanza 2002 Avvio del progetto: Indagine sullo stato di preparazione del sistema bancario 2004 Emanazione della normativa di vigilanza: Gestione della continuità operativa 2006 Termine per il completo adeguamento delle banche alla normativa di vigilanza 2007 Completamento del quadro normativo: Requisiti particolari di continuità operativa dei processi a rilevanza sistemica 3

4 Stato del sistema bancario a fine 2001 Gli eventi 11 settembre 2001 evidenziano nuovi scenari e dimensioni dei profili di rischio nel sistema finanziario L indagine sullo stato di preparazione delle banche evidenzia: Assenza, pressoché generalizzata, di piani di continuità operativa delle componenti non tecnologiche 1/3 delle banche non aveva organici piani di disaster recovery I piani di disaster recovery in essere non erano adeguati ad assicurare la continuità operativa dei sistemi informativi I vertici delle banche non erano coinvolti sul tema della prevenzione / gestione delle situazioni di emergenza 4

5 Iniziative della Vigilanza nel Incontri con le maggiori banche e i principali outsourcers per approfondire i presidi di emergenza in essere Interventi sulle banche con gravi carenze per chiedere l attivazione immediata di misure volte a ridurre il livello di rischio Monitoraggio delle azioni intraprese Azioni di sensibilizzazione dei vertici aziendali per: Alzare il livello di attenzione sul tema Presentare le prime riflessioni in ambito internazionale Rendicontare sui problemi riscontrati Avvio dei lavori per la definizione della normativa settoriale 5

6 La normativa di Vigilanza del principi Estensione della copertura normativa a tutti i processi aziendali ritenuti critici (non solo IT) Approccio flessibile: Requisiti a carattere metodologico-organizzativo Consapevolezza e piena responsabilità dei vertici Correlazione delle misure ai rischi Riconoscimento di ampia autonomia alle banche Requisiti minimi validi per tutti gli operatori ma Facoltà di chiedere misure più stringenti per le banche a rilevanza sistemica 6

7 La normativa di Vigilanza del contenuti Ambito del piano di continuità: scenari di rischio Correlazione ai rischi: parametri caratteristici Ruolo dei vertici aziendali Individuazione dei processi critici Contenuti minimi del piano: Disaster recovery Crisis management Outsourcing Infrastrutture e controparti rilevanti Risorse umane Test & Controlli interni Requisiti particolari 7

8 Stato del sistema bancario a fine 2006 Termine per il recepimento della normativa: fine 2006 Per le maggiori banche risulta che: Sono stati adeguati i piani di disaster recovery In genere sono state attivate soluzioni a 2 livelli (recovery locale in architettura campus e recovery geografico con copia asincrona dei dati) I presidi di continuità non IT sono basati sulla ridondanza conseguente ai processi di aggregazione degli ultimi anni Per le banche minori risulta che: Sono state risolte le carenze degli outsourcers I presidi di continuità delle componenti non IT sono ancora in uno stato embrionale In diversi casi si riscontrano ritardi, peraltro contenuti in 6-9 mesi 8

9 Coerenza con lo scenario internazionale High Level Principles for Business Continuity (Joint Forum agosto 2006) Principi: 1. Responsabilità dei vertici aziendali 2. Il piano considera le major operational disruptions 3. Chiara definizione degli obiettivi di recovery 4. Gestione delle comunicazioni 5. Enfasi sugli aspetti cross-border 6. Efficacia del piano tramite test periodici 7. Le Vigilanze incorporano la BC nelle prassi ordinarie di controllo Business Continuity Expectations for SIPS (European Central Bank giugno 2006) Framework: 1. Strategia di BC ben definita 2. Appropriato BCP 3. Efficace crisis/communication management 4. Test regolari 9

10 Requisiti sistemici di BC L esperienza CODISE Gruppo di lavoro costituito da Banca d Italia nel 2003 e coordinato congiuntamente a CONSOB Compiti: Individuare i servizi critici di sistema Definire gli scenari di rischio da presidiare Pianificare collaudi e test integrati di sistema Fissare le priorità di intervento Proporre regole e standard di continuità per le infrastrutture rillevanti Partecipanti: maggiori banche, mercati finanziari, infrastrutture di pagamento, autorità, governo, associazioni di categoria Realizzazioni: promosso/concordato lo sviluppo delle linee di policy per la continuità operativa del sistema finanziario nazionale Prossimi impegni: esercitazioni integrate 10

11 La normativa sui requisiti sistemici Provvedimento del 20 marzo 2007 Articolato su tre capisaldi: 1. Definizione dei criteri per la individuazione dei soggetti coinvolti Banche/gruppi con quote di mercato (FINT) > 5% Rilevanza nei servizi di pagamento/regolamento 2. Elencazione dei processi a rilevanza sistemica da tutelare con misure di continuità rafforzate Sistemi di pagamento Accesso ai mercati rilevanti per la liquidità Servizi di compensazione e regolamento 3. Requisiti particolari aggiuntivi a quelli previsti per la generalità degli intermediari Termine per la compliance: da concordare con gli operatori ( ) 11

12 I requisiti sistemici di continuità operativa Responsabilità della capogruppo Scenari di rischio Distruzioni fisiche su larga scala di infrastrutture proprie o di terzi Pandemie, attacchi biologici Siti di recovery Congrua distanza dai siti di produzione Configurati per gestire picchi elevati di attività Tempi di rispristino Tempi di ripristino contenuti entro le quattro ore Procedure di emergenza per la liquidità Risorse individuate e documentate Test annuali, inclusi quelli di sistema Comunicazioni a Banca d Italia 12

13 Altre iniziative rilevanti della Vigilanza Adeguamento dei bilanci e delle segnalazioni di vigilanza delle banche agli IAS Nuove disposizioni di vigilanza prudenziale (cd Basilea 2) Compliance MIFID. 13

14 Nuove disposizioni di vigilanza prudenziale Quadro di riferimento: Nuovo Accordo di Basilea sul capitale delle banche (giugno 2006) Direttiva 48/2006 (CRD) accesso all attività delle banche e al suo esercizio Direttiva 49/2006 (CAD) adeguatezza patrimoniale di banche e finanziarie DL 22/12/2006 n. 297 Modifiche al TUB Circolare BI n. 263 del 27/12/

15 Nuove disposizioni di vigilanza prudenziale Regolamentazione basata su tre pilastri: 1. Requisito patrimoniale a fronte dei rischi tipici dell attività bancaria Credito/controparte Mercato Operativo 1. Processo di controllo dell adeguatezza patrimoniale ICAAP SREP 2. Informativa al pubblico 15

16 Nuove disposizioni di vigilanza prudenziale Definizione di rischio operativo: Per rischio operativo si intende il rischio di subire perdite derivanti dalla inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni Un puntuale rispetto delle disposizioni in tema di conformità alle norme (compliance) assume rilievo anche per la prevenzione e il contenimento dei rischi operativi 16

17 Nuove disposizioni di vigilanza prudenziale Relazione tra - rischio tecnologico - rischio operativo - continuità operativa Rischio operativo Rischio tecnologico (e-security, business continuity) Rischio strategico (coerenza dell IT con il business) 17

18 Nuove disposizioni di vigilanza prudenziale Metodi di calcolo del rischio operativo: 1. Metodo base: BIA (Basic Indicator Approach) 2. Metodo standardizzato: TSA (Traditional Standardized Approach) 3. Metodi Avanzati: AMA (Advanced Measurement Approach) 18

19 Nuove disposizioni di vigilanza prudenziale Prerequisiti per tutti: principi di governo e gestione TSA + sistema di gestione dei rischi operativi + processo di auto-valutazione AMA requisiti TSA + funzione di controllo dei rischi operativi (progetta, sviluppa, mantiene, misura) + processo di convalida interno + integrazione misurazione nei processi gestionali 19

20 Rapporto (IT) Auditing Supervisione bancaria Quadro di riferimento internazionale: Internal audit in banks and the supervisor s relationship with auditors (BCBS August 2001) The relationships betweenbanking supervisors and banks external auditors (BCBS January 2002) Internal audit in banks and the supervisor s relationship with auditors: A survey (BCBS August 2002) Si auspica: periodic discussion at the national level between the supervisory authorities and the professional accountancy bodies 20

21 Rapporto (IT) Auditing Supervisione bancaria Istruzioni di vigilanza: Il sistema dei controlli interni è costituito dall insieme delle regole, procedure e strutture organizzative che mirano ad assicurare il rispetto delle strategie aziendali Si articolano in: Controlli di linea, diretti ad assicurare il corretto svolgimento delle operazioni Controlli sulla gestione dei rischi, con l obiettivo di misurare i rischi e di verificare il rispetto dei limiti assegnati alle varie funzioni Attività di revisione interna, volta ad individuare andamenti anomali e violazioni di procedure/regole nonché a valutare la funzionalità del complessivo sistema dei controlli interni 21

22 Rapporto (IT) Auditing Supervisione bancaria Nuove disposizioni di vigilanza prudenziale (circ. 263): Governo e gestione dei rischi operativi Le banche prestano particolare attenzione agli eventi di maggiore gravità e scarsa frequenza e individuano le varie forme e modalità con cui possono manifestarsi i rischi operativi Le banche si dotano di piani di emergenza e di continuità operativa che assicurano la propria capacità di operare su base continuativa e di limitare le perdite operative in caso di gravi interruzioni dell operatività 22

23 Rapporto (IT) Auditing Supervisione bancaria Nuove disposizioni di vigilanza prudenziale (circ. 263): Governo e gestione dei rischi operativi controlli interni Metodo standardizzato Processo di auto-validazione Funzione di revisione interna Metodi Avanzati Funzione di controllo dei rischi operativi Processo di convalida interno Funzione di revisione interna Verifiche periodiche sui sistemi di gestione e misurazione Verifiche sul processo di convalida e su utilizzo a fini gestionali Verifiche su sistema misurazione (qualità dati e sistemi informativi) Relazione annuale sull attività di revisione dei sistemi di gestione e misurazione dei rischi operativi 23

24 (IT) Auditing Continuità operativa L approccio alla continuità operativa e il piano di emergenza sono regolarmente controllati dalla funzione di revisione interna Gli auditors prendono visione dei programmi di test, assistono alle prove, ne controllano i risultati, propongono modifiche al piano Va considerata l opportunità di sottoporre il piano di emergenza alla revisione da parte di auditors esterni La funzione di revisione interna è coinvolta nel controllo dei piani di emergenza di outsourcers e fornitori critici L auditing esamina i contratti per accertare che il livello di tutela sia adeguato agli obiettivi e agli standard aziendali Può decidere di fare riferimento alle funzioni di revisione delle controparti se ritenute professionali, indipendenti, trasparenti quanto ai risultati dei controlli 24