L IT Risk Management e le strategie di business

Transcript

1 L IT Risk Management e le strategie di business Lugano, 16 Gennaio

2 Agenda Protiviti Enterprise Risk Management IT Risk Management Case study 2

3 Chi siamo Protiviti è una società di consulenza indipendente dai network di revisione contabile, leader nell offerta esclusiva di servizi di consulenza in ambito Business Risk, Technology Risk e Internal Audit. In un momento in cui il mercato premia le aziende in grado di creare valore nel rispetto delle regole di trasparenza e corretta governance aziendale, Protiviti mette a disposizione competenze e risorse esclusivamente dedicate a identificare, misurare e gestire i rischi tipici del business, garantendo l allineamento alle normative e alle best practices, nazionali e internazionali, in materia di Corporate Governance, Risk Management e Controllo Interno. Independent Forniamo una consulenza obiettiva, nel miglior interesse dei nostri Clienti, senza conflitti di interesse. Big Four: Metodologie e strumenti Professionisti esperti Competenze nei servizi di risk consulting Stabilità finanziaria e gestionale Riconoscimento del mercato Presenza internazionale Protiviti combina la forza delle grandi società di consulenza e la caratteristica dell indipendenza senza compromessi Servizi di Boutique: Nessuna restrizione normativa o regolamentare Indipendenza dalla revisione esterna Migliori relazioni con i revisori esterni Focalizzazione dell offerta di servizi Risk Disponiamo di competenze, metodologie e strumenti altamente qualificati per aiutarvi ad identificare, valutare, misurare e gestire al meglio i rischi che stanno fra Voi e i Vostri obiettivi di business. Consulting Trasformiamo l esperienza e la metodologia in soluzioni pratiche, funzionali all azienda e facilmente integrabili nella Vostra organizzazione. 3

4 La nostra presenza internazionale Protiviti è una società controllata da Robert Half International. Nata nel 2002 e costituita da un gruppo di professionisti provenienti dalle practices di Risk Consulting delle principali società di revisione, Protiviti è oggi un network caratterizzato da una presenza internazionale di rilievo, con 60 uffici ed oltre professionisti dipendenti 4

5 I nostri servizi I servizi offerti riflettono la nostra conoscenza delle tematiche di corporate e IT governance e permettono alle aziende di definire i propri modelli di controllo in maniera efficiente ed efficace Strategy Governance Organization Control Processes & IT Systems Governance & Compliance Corporate Governance D.Lgs 231 IPO Services Fraud Risk Management CFO Services SOX / L.262 Fast Close Risk Management Mifid Basel II Solvency II Internal Audit Finance Transformation IAS / IFRS Market Risk Operational Risk Credit Risk Enterprise Risk Management Commodity Risk Economic Capital Calculation HR/Organization Organitation Analysis & Design Project & Change Management Training Operations Supply Chain Procurement Spend Solution Asset Management Revenue Management CIO Services IT Strategy Application Controls Effectiveness IT Governance Information Security IT Assessment Business Continuity 5

6 Agenda Protiviti Enterprise Risk Management IT Risk Management Case study 6

7 L Enterprise Risk Management ERM is a process, effected by an entity s board of directors, management and personnel, applied in a strategy setting and across the enterprise to identify and manage potential events that may affect the entity and to provide reasonable assurance regarding the achievement of entity objectives. Source: The Committee of Sponsoring Organizations of the Treadway Commission, Enterprise Risk Management Integrated Framework, 2004 Risk Management Business Risk Management Enterprise Risk Management Focus Financial and hazard risks and internal controls Business risk and internal controls Business risk and internal controls Objective Preserve enterprise value Preserve enterprise value Create and preserve enterprise value Scope Treasury, insurance and operations involved Business managers accountable (risk-byrisk) Strategy, people, process, technology and knowledge aligned to manage risk on an enterprise-wide basis Emphasis Financial and operations Management Strategy Application Selected risk areas, units and processes Selected risk areas, units and processes Enterprise-wide CURRENT STATE CAPABILITIES FUTURE STATE VISION 7

8 Il Framework ERM COSO Il Committee of Sponsoring Organizations of the Tradeway Commission ha definito un framework integrato per l ERM che è diventato di fatto il framework di riferimento per il mercato e che comprende: le definizioni di rischio e di Enterprise Risk Management concetti, categorie, principi ed altri elementi utili a definire un framework di risk management omnicomprensivo indicazioni per implementare un modello di ERM criteri per valutare l efficacia del modello di ERM 8

9 Classificazione dei rischi I rischi ai quali è esposta un azienda possono essere classificati in tre tipologie principali 2008 Protiviti inc. 9

10 Sistema di Controllo Il Capability Maturity Model Il Sistema di Controllo è un sistema di elementi (strutture organizzative, processi e strumenti) che interagiscono al fine di gestire il rischio Il Capability Maturity Model (CMM) è lo strumento che utilizziamo per valutare e monitorare la capacità di gestione del rischio ed il sistema di controllo in essere, confrontandoli con il modello di riferimento a cui l azienda desidera giungere Capability Level Optimizing Managed Defined Repeatable Initial Capability Description CONTINUOUS IMPROVEMENT Continuously improving controls enterprise-wide QUANTITATIVE Risks managed quantitatively enterprise-wide Chain of accountability QUALITATIVE/QUANTITATIVE Policies, process and standards defined and institutionalized -- Chain of certification INTUITIVE Process established and repeating; reliance on people continues -- Controls documentation lacking AD HOC/CHAOTIC Control is not a priority -- Unstable environment leads to dependency on heroics 10

11 Sistema di Controllo 6 Elements of Infrastructure La valutazione di un sistema di controllo viene concretamente effettuata considerando il livello di maturità dei 6 Componenti Fondamentali dell Infrastruttura di Risk Management Business Policies Business Processes People and Organization Management Reports Methodologies Systems and Data 2008 Protiviti inc. 11

12 Agenda Protiviti Enterprise Risk Management IT Risk Management Case study 12

13 Protiviti Risk Barometer Protiviti ha recentemente condotto una ricerca finalizzata a comprendere la percezione dell esposizione al rischio e lo stato di implementazione dei processi di risk management di 100 primarie aziende italiane Risk Barometer Protiviti (Italia) 13

14 Protiviti Risk Barometer - Risultati Relativamente alla valutazione dei rischi di tipo interno, ovvero legati all organizzazione, ai processi e ai sistemi aziendali, la ricerca ha prodotto i seguenti risultati Risk Barometer Protiviti (Italia) 14

15 Protiviti Risk Barometer Benefici del RM La percezione delle aziende dei benefici derivanti dall attuazione di un processo strutturato di Risk Management è la seguente Risk Barometer Protiviti (Italia) 15

16 IT Risk Management A causa della pervasività dei sistemi informativi in tutti i processi aziendali, i rischi di natura IT influenzano tutte le altre tipologie di rischio Information Technology Risk is not just an IT issue! 2008 Protiviti inc. 16

17 IT Risk Management I processi aziendali sono sempre più dipendenti dai Sistemi Informativi! I rischi ai quali è soggetta la Funzione IT possono comportare serie conseguenze per il business della società e dare luogo ad interruzioni delle attività core nel breve, medio e lungo periodo, alle quali l Organizzazione potrebbe non riuscire a far fronte Risulta quindi importante identificare e prioritizzare i rischi in capo all azienda e, nello specifico, alla Funzione IT 2008 Protiviti inc. 17

18 Il modello dei rischi IT Il modello individua gli ambiti dei rischi IT e li pone in relazione con: le infrastrutture tecnologiche i processi IT i fattori critici di successo IT gli obiettivi di allineamento ai business needs Processi core della funzione IT, nell ambito dei quali si concretizzano i rischi 2008 Protiviti inc. 18

19 Framework di riferimento Il COSO ERM è un framework di alto livello che ha l obiettivo di abbracciare l universo dei rischi aziendali, compresi quelli relativi all IT Per l identificazione e la valutazione dei rischi e delle attività di controllo in ambito IT si utilizzano modelli quali COBIT e/o ISO

20 IT Governance Il modello di IT Governance è lo strumento che consente di definire in maniera univoca e valida a livello aziendale le modalità di gestione dell IT, in termini di struttura organizzativa, processi e procedure, strumenti, assicurando un approccio omogeneo e strutturato alla gestione dell IT L allineamento strategico mira ad assicurare la rispondenza tra i piani aziendali ed i piani IT, definire, mantenere e convalidare il valore del piano d azione dell IT ed allineare l operatività dell IT a quella aziendale L erogazione del valore si riferisce alla realizzazione del piano d azione nel ciclo operativo, assicurando che l IT produca i benefici attesi rispetto agli obiettivi strategici, concentrandosi sull ottimizzazione dei costi e dimostrando il valore intrinseco dell IT La gestione delle risorse è relativa alla valutazione degli investimenti ed alla gestione più appropriata delle risorse IT (applicazioni, informazioni, infrastrutture e risorse umane) La gestione del rischio richiede consapevolezza dei rischi da parte dell alta direzione aziendale, una chiara visione della propensione al rischio dell impresa, la conoscenza dei requisiti di conformità, la trasparenza rispetto ai rischi aziendali più significativi, e l inserimento di responsabili dell IT risk management all interno dell organizzazione La misurazione della performance valuta e controlla l attuazione della strategia, la conduzione dei progetti, l utilizzo delle risorse, la performance dei processi e l erogazione dei servizi COBIT 20

21 Fattori critici per l IT Governance Coinvolgimento e sponsorizzazione da parte del Top Management Comunicazione e sensibilizzazione continua di tutti gli attori coinvolti Focus sull esecuzione e sui risultati Semplificazione dei processi comunicando i cambiamenti in maniera comprensibile a tutti gli attori coinvolti DEMAND BUSINESS IT IT GOVERNANCE IT IT SERVICES 21

22 Ruolo dell Internal Audit Supportare il Management nell implementazione di solide pratiche di IT Governance Rivedere e fornire feedback al Management sui rischi IT Fornire supporto al Management sul design e sull efficacia operativa dei controlli definiti all interno del modello di Governance IT per la gestione dei rischi IT La Governance IT è un processo continuo di apprendimento, produce risultati nel medio periodo e necessariamente deve evolvere nel tempo. L attiva collaborazione fra il Management IT e l Internal Audit può dare risultati concreti 22

23 Agenda Protiviti Enterprise Risk Management IT Risk Management Case study 23

24 Il caso XYZ La Società XYZ è un primario Gruppo Internazionale, con un fatturato di oltre 1 Miliardo di Euro. La struttura societaria è così composta: Corporate, con sede in Italia, quotata alla Borsa Italiana da circa 2 anni 6 Società Operative con sedi dislocate nei 5 continenti 24

25 Il caso XYZ la realtà IT La realtà IT che caratterizza il Gruppo XYZ può essere sintetizzata dai seguenti elementi, che costituiscono i fulcri del Modello di IT Governance che regola le attività IT: una struttura IT di Gruppo e strutture IT locali all interno delle singole società operative sistemi suddivisibili in 3 categorie: Sistemi condivisi fra la Corporate e le Società Operative (es. SAP condiviso tra le società del gruppo); Sistemi centrali a supporto dei processi gestionali della Corporate; Sistemi locali a supporto dei processi gestionali e di business delle Società Operative. alto grado di esternalizzazione (Outsourcing) di alcuni processi IT, tra cui l Application Management 25

26 Il caso XYZ la realtà IT (cont.) Con l obiettivo di gestire al meglio la crescente complessità della realtà IT ed alla luce delle esigenze di carattere informativo, operativo, organizzativo e di controllo interno, è stato avviato un Progetto per la definizione di un Modello di Governance IT Il modello di Governance IT ha l obiettivo di indirizzare la definizione e la comunicazione delle responsabilità di gestione dell IT, facilitare il miglioramento della gestione e dell erogazione di servizi IT, definire le regole per lo sviluppo, l implementazione e il monitoraggio delle modalità di gestione dei processi IT, coerentemente alle Strategie del Gruppo e ai relativi processi operativi Allineamento Allineamento Strategico Strategico Architettura Architettura IT IT Trasferimento Trasferimento del del Valore Valore Gestione Gestione degli degli Asset Asset IT IT Gestione Gestione del del Rischio Rischio Misurazione Misurazione delle delle Prestazioni Prestazioni Sinergia Sinergia 26

27 Il caso XYZ IT Governance Model L approccio utilizzato nella definizione del Modello di IT Governance può essere così sintetizzato: Set-Up Set-Up del del Progetto Progetto Definizione Definizione del del Modello Modello di di IT IT Governance Governance Sviluppo Sviluppo delle delle Policy Policy IT IT Mappatura Mappatura / / Definizione Definizione dei dei Processi Processi IT IT Chiave Chiave Sviluppo Sviluppo delle delle Procedure Procedure IT IT Chiave Chiave Locali Locali Sviluppo Sviluppo delle delle Procedure Procedure IT IT Corporate Corporate di di XYZ XYZ Implementazione Implementazione del del Modello Modello di di IT IT Governance Governance 27

28 Il caso XYZ IT Governance Model - Policy Obiettivi: definire, promuovere, suggerire, scoraggiare o proibire determinate prassi operative, processi, tecnologie e controlli interni relativi alla gestione dell IT Policy IT: fornire principi e linee guida per la gestione dell IT che supporta il business del gruppo IT GOVERNANCE Pianificazione ed Organizzazione Acquisizione ed Implementazione Erogazione e Supporto Continuità Operativa Procedure (operative): regolamentare dal punto di vista operativo le varie attività descritte dalle Policy IT Sicurezza delle Informazioni Monitoraggio e Valutazione 28

29 Il caso XYZ IT Governance Model - Policy IT GOVERNANCE Pianificazione ed Organizzazione Acquisizione ed Implementazione Erogazione e Supporto Continuità Operativa Assicurare l allineamento dei processi IT alle necessità aziendali mediante un adeguata pianificazione delle risorse ed una coerente organizzazione a supporto Garantire l efficacia e l efficienza delle risorse IT, fornendo al Gruppo XYZ strumenti corretti e affidabili Garantire Livelli di Servizio IT costanti, efficaci, affidabili, sicuri ed efficienti che consentano il raggiungimento degli obiettivi aziendali e della continuità operativa delle funzioni di staff Garantire la continuità operativa del Business, anche in caso di situazioni o eventi di carattere catastrofico Sicurezza delle Informazioni Garantire la riservatezza, l integrità e la disponibilità delle informazioni aziendali Monitoraggio e Valutazione Assicurare l adeguatezza e l efficacia dei meccanismi di controllo che garantiscono il governo dell IT 29

30 Il caso XYZ IT Governance Model - Procedure Pianificazione ed Organizzazione Acquisizione ed Implementazione Erogazione e Supporto Continuità Operativa Sicurezza delle Informazioni Monitoraggio e Valutazione Pianificazione Gestione dei Rischi Gestione e Controllo Valutazione dei Requisiti Gestione delle Applicazioni SAP Acquisizione ed Implementazione di Soluzioni IT Gestione degli SLA Help Desk Supporto operativo Valutazione dei Rischi di Disponibilità Gestione delle Inefficienze Gestione delle Crisi Gestione degli Accessi Logici e dei Profili utente Accessi di Emergenza Sicurezza SAP Monitoraggio dei Rischi IT Acquisizione delle Infrastrutture IT Gestione del Cambiamento Applicativo Gestione del Cambiamento Tecnologico Gestione degli Asset IT Gestione dei Backup Registrazione e Monitoraggio degli Eventi di Sicurezza Gestione delle Configurazioni di Sicurezza Procedure IT Corporate e Locali Procedure IT Corporate 30

31 Grazie per l attenzione! Enrico Ferretti enrico.ferretti@protiviti.it Tamara Devalle tamara.devalle@protiviti.it 31

32 At Protiviti, we believe the companies that most effectively understand and manage their risk are the companies that most often succeed. Or as we like to say 32