Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi"

Transcript

1 Sessione di Studio AIEA-ATED La gestione del rischio informatico nel framework dei rischi operativi 24 Novembre 2014

2 Agenda La gestione del rischio operativo nel Gruppo ISP La gestione degli eventi operativi Il processo di Autodiagnosi Quadro normativo di riferimento e gap analysis Le scelte organizzative Le scelte metodologiche Le variabili analizzate per definire un linguaggio comune I Fattori di Rischio rilevanti ai fini della valutazione del rischio ICT Il processo di governo del rischio ICT Conclusioni 2

3 La gestione del rischio operativo nel Gruppo ISP Quadro complessivo per la gestione dei rischi operativi (normativa e processi organizzativi per la misurazione, la gestione e il controllo) definito da tempo Adozione del Metodo Avanzato AMA (modello interno) per la determinazione del requisito patrimoniale a partire da dicembre 2009, su un perimetro di Unità Organizzative che si è via via esteso fino a coprire quasi il 90% del Margine di Intermediazione consolidato di Gruppo Governo dei rischi operativi di Gruppo attribuito al Consiglio di Gestione e al Consiglio di Sorveglianza, supportati dal Comitato Coordinamento Controlli e Operational Risk di Gruppo Funzione centralizzata di gestione del rischio operativo, responsabile della progettazione, dell implementazione e del presidio del framework metodologico e organizzativo, nonché della misurazione dei profili di rischio, della verifica dell efficacia delle misure di mitigazione e del reporting verso i vertici aziendali Responsabilità dell individuazione, della valutazione, della gestione e della mitigazione dei rischi in capo alle singole Unità Organizzative Individuazione e valutazione delle principali aree di rischio operativo svolte attraverso la rilevazione degli eventi operativi occorsi e il processo di Autodiagnosi 3

4 La gestione degli eventi operativi Overview Il processo di raccolta dei dati sugli accadimenti che abbiano come conseguenza lo scostamento tra l esito atteso di un processo dal risultato definito e il risultato effettivo (cd. eventi operativi): fornisce informazioni significative sull esposizione pregressa contribuisce alla conoscenza e alla comprensione dell esposizione al rischio operativo da un lato e alla valutazione dell efficacia/di potenziali debolezze nel sistema dei controlli interni dall altro Eventi Fattori di Rischio Effetti Cosa? Perché? Quanto? Modello degli Eventi Modello dei Fattori di Rischio Modello degli Effetti Identificazione e classificazione di tutte le possibili tipologie di evento operativo Identificazione e classificazione delle cause/fattori all origine degli eventi operativi o che ne amplificano gli effetti Identificazione e classificazione di tutti i possibili effetti derivanti da un evento operativo 4

5 Il processo di Autodiagnosi Overview Il processo di Autodiagnosi fornisce informazioni significative sull esposizione presente e futura: E una autovalutazione, da parte delle Unità Organizzative della Capogruppo e delle Società del Gruppo Individua le cause (cd. Fattori di Rischio) che possono generare eventi operativi o amplificarne gli effetti Esprime il livello di presidio percepito su tali Fattori di Rischio Stima il rischio di subire perdite nel futuro (Analisi di Scenario) Poiché nella valutazione del livello di presidio vengono considerati i controlli e le contromisure in essere, l Autodiagnosi esprime una stima di rischio residuo da parte delle Unità Organizzative Ciò consente di responsabilizzare le Unità Organizzative nell identificazione del rischio e nella proposta di azioni di mitigazione Oltre alla valutazione dei rischi strettamente operativi, il processo consente già una valutazione dei rischi di non conformità a specifiche normative per esigenze di Compliance (es. Processo Informativa Finanziaria - ex Legge 262, D.Lgs. 231/01) 5

6 Il processo di Autodiagnosi Le fasi Analisi dati storici di perdita interni (dati ottenuti con il processo di LDC) Finalizzata all analisi degli eventi operativi che si sono verificati e delle eventuali perdite occorse Responsabili Unità Organizzative VCO Responsabili Unità Organizzative AS Responsa bile Autodiagnosi OR MC ORM D A ud it? Componente storica Componente prospettica Analisi qualitativa Analisi di Scenario (AS) Valutazione quantitativa del profilo di rischio delle singole strutture mediante la raccolta di stime soggettive espresse dai responsabili delle Unità Organizzative Valutazione del Contesto Operativo (VCO) Valutazione qualitativa del profilo di rischio delle singole strutture tramite l analisi della rilevanza e del presidio degli elementi del contesto operativo (Fattori di Rischio) Analisi di Coerenza (AC) Finalizzata a verificare la coerenza tra i risultati di Analisi di Scenario, Valutazione del Contesto Operativo e le evidenze empiriche da dati di perdita Organizzazio ne Compliance/ Continuità Operativa Workshop/Presa Visione Fase finalizzata alla convalida dei risultati finali di AS, VCO e dati di perdita da parte del Responsabile AD Processo di Capital Budget A fronte delle principali Criticità Operative individuate possono essere proposte Azioni di Mitigazione a fonte delle quali viene aperta una scheda di Capital Budget 6

7 Il processo di Autodiagnosi La Valutazione del Contesto Operativo Consiste in un analisi qualitativa dell esposizione ai Rischi Operativi di una Unità Organizzativa effettuata mediante una valutazione dei Fattori di Rischio in relazione a ciascun processo svolto dalla stessa Lo strumento utilizzato per la valutazione del profilo di rischio consiste in una scheda definita Scorecard, integrata nell applicativo di gestione dei rischi operativi Durante la fase di valutazione, l ORMD può avvalersi delle evidenze derivanti da altri momenti di verifica da parte delle strutture di controllo L ORMD deve valutare, almeno una volta all anno, i FR applicabili a ciascuna UO di riferimento e associati ai processi aziendali Risorse Umane Sistemi Processi Eventi esterni La responsabilità della convalida delle singole valutazioni è in capo ai Responsabili delle Unità Organizzative in prima battuta, quindi in capo al Responsabile di Autodiagnosi (di solito la Direzione per la Capogruppo, l Amministratore Delegato/Direttore Generale per le società) 7

8 Quadro normativo di riferimento e gap analysis (1/2) Il XV aggiornamento della Circ. Bankit 263/2006 (cd. "Nuove Disposizioni") introduce i Capitoli 7, 8 e 9 Capitolo 7 Il sistema dei controlli interni Necessità di controlli - a livello di gruppo e di sue singole componenti - sul raggiungimento degli obiettivi di sicurezza informatica e di continuità operativa Capitolo 8 Il sistema Informativo Evoluzione del processo di gestione del rischio informatico verso una logica integrata: con il concorso di tutte le figure a diverso titolo coinvolte (utente responsabile, funzioni ICT, funzioni di controllo) ripetuto con periodicità adeguata e, comunque, in presenza di situazioni che possono influenzare il complessivo livello di rischio informatico Capitolo 9 La continuità operativa L'analisi di impatto per la continuità operativa individua il livello di rischio relativo ai singoli processi aziendali e pone in evidenza le conseguenze della interruzione del servizio I rischi non gestiti dal piano di continuità operativa devono essere documentati ed esplicitamente accettati dagli organi aziendali competenti ponendo particolare enfasi sul tema del rischio informatico e richiedendo di definire processi di analisi svolti con il concorso e coordinamento di diverse figure aziendali, allo scopo di fornire agli Organi una visione sintetica e complessiva del rischio ICT Il «Rischio informatico (o ICT)» è definito come il rischio di incorrere in perdite economiche, di reputazione e di quote di mercato in relazione all utilizzo di tecnologia dell informazione e della comunicazione (Information and Communication Technology ICT) Nella rappresentazione integrata dei rischi aziendali a fini prudenziali, tale tipologia di rischio è considerata, secondo gli specifici aspetti, tra i rischi operativi, reputazionali e strategici 8

9 Quadro normativo di riferimento e gap analysis (2/2) Per indirizzare i gap di analisi del rischio ICT rilevati in fase di autovalutazione della propria situazione rispetto alle previsioni della norma (cd. Gap Analysis), il Gruppo ISP ha avviato un progetto: volto alla definizione di un linguaggio comune e all'aggiornamento in modalità integrata e coordinata dei processi di gestione nel continuo del «rischio ICT» e dei «rischi non gestiti dal piano di continuità operativa» cui partecipano Sistemi Informativi, Sicurezza Informatica, Continuità Operativa, Risk Management, Compliance, Audit Definire metodologia e processo di governo Definire una metodologia per l identificazione e la valutazione dell esposizione al Rischio ICT Disegnare un processo di governo nel continuo del rischio ICT e dei rischi residui non coperti dal piano di continuità operativa (di seguito anche rischi non gestiti BCM) Manutenere gli standard di Gruppo definiti Predisporre normativa in materia Definire le «Linee Guida per il Governo del Rischio Informatico» Aggiornare la normativa interna su Rischi Operativi con gli impatti rivenienti dal rischio ICT e dai rischi residui non gestiti dal piano di continuità operativa Predisporre informativa strutturata per gli Organi Aziendali Presentare in maniera complessiva e integrata i risultati della valutazione del rischio ICT verso gli Organi con: utilizzo e raccordo nel framework complessivo dei contributi delle funzioni specialistiche produzione di flussi informativi su evoluzione del rischio, rispetto della propensione ed efficacia delle misure di protezione implementate Presidiare il rispetto di standard e policy a livello locale Monitorare il rispetto degli standard e delle policy di Gruppo per la gestione del rischio ICT e dei rischi residui non gestiti dal piano di continuità operativa anche a livello locale, sotto la supervisione coordinata di Risk Managament e Compliance (II livello) e Auditing (III livello) 9

10 Funzione di Revisione Interna (Controllo di III livello): Audit Le scelte organizzative Con specifico riferimento alla responsabilità su tematiche inerenti il rischio informatico, il ruolo degli organi aziendali e delle funzioni coinvolte può essere così rappresentato: 1 Consiglio di Sorveglianza Organi Aziendali Consiglio di Gestione 2 1 CdS è responsabile di indirizzo e controllo del sistema informativo 2 CdG assicura la completezza, l adeguatezza, la funzionalità e l affidabilità del sistema informativo 3 Funzioni aziendali Utente responsabile 6 3 Utente responsabile, identificato per ciascun sistema o applicazione, ne assume formalmente la responsabilità, in rappresentanza degli utenti e nei rapporti con le funzioni preposte allo sviluppo e alla gestione tecnica 4 Funzioni specialistiche (FS): contribuiscono alla definizione del quadro metodologico e di controllo relativo al rischio per il proprio ambito di competenza 4 Funzioni di Controllo di II livello 5 Funzioni specialistiche con compiti di controllo: Continuità Operativa e Sicurezza Informatica Funzioni di Controllo di II livello: Compliance e Risk Management 5 Funzioni di controllo di II livello: Compliance: definisce, in collaborazione con le FS, le metodologie di valutazione del rischio di non conformità e le procedure atte a mitigarlo; esprime, sulla base dell attività delle FS e delle verifiche condotte direttamente, una valutazione del rischio di non conformità e dell adeguatezza dei presidi posti in essere per la relativa mitigazione Risk Management: sviluppa e manutiene i sistemi di misurazione, gestione e controllo dei rischi ICT; controlla l esposizione al rischio ICT in base a flussi informativi continui e monitora l efficacia delle misure di protezione delle risorse ICT. Funzione di controllo di III livello - Audit: 6 assolve compiti di assurance attinenti al sistema informativo aziendale (ICT audit) tramite proprio piano interventi, assicura adeguata copertura delle varie applicazioni, infrastrutture e processi di gestione, incluse le eventuali componenti esternalizzate fornisce valutazioni sui principali rischi tecnologici identificabili e sulla complessiva gestione del rischio informatico 10

11 Le scelte metodologiche (1/2) Data la definizione di Rischio ICT fornita nelle Nuove Disposizioni («nella rappresentazione integrata dei rischi aziendali a fini prudenziali, tale tipologia di rischio è considerata, secondo gli specifici aspetti, tra i rischi operativi [ ]») e alla luce del perimetro di Gruppo già coperto dal processo di gestione del rischio operativo, si è stabilito di procedere alla identificazione e valutazione dell esposizione al rischio ICT: evolvendo l attuale processo di Autodiagnosi previsto dal framework operational risk attraverso la valutazione dei Fattori di Rischio sugli ambiti applicativi a supporto dei processi aziendali sia da parte degli utenti (condotto per Unità Organizzativa dagli Operational Risk Manager Decentrati) che delle funzioni tecniche (Sistemi Informativi) e specialistiche (Sicurezza Infromatica e Continuità Operativa) valorizzando a tal fine le analisi già svolte dalle funzioni tecniche e specialistiche (per la definizione e la valutazione dei presidi di controllo in ambito Information Technology e Information Security Intesa Sanpaolo segue già le linee guida definite da framework internazionali quali il CObIT e la ISO 27000) prevedendo il contributo delle diverse funzioni aziendali di controllo e integrando nel framework le attività di Compliance (che fornisce tra l altro contributi nell'identificazione delle priorità d'intervento sul Rischio ICT laddove identifichi impatti di compliance) e Internal Auditing (che mette a disposizione la valutazione del profilo di rischio ICT unitamente alle principali evidenze sulle criticità inserite nel Tableau de Bord) valorizzando il patrimonio informativo a disposizione delle funzioni specialistiche (incident management e processi analoghi per le altre funzioni) E' stato così sviluppato un modello di identificazione e valutazione del Rischio ICT che: prevede il raccordo degli elementi esistenti a livello di metodologie, di basi informative disponibili e di linguaggi adottati da tutti gli interlocutori del processo analizza il livello di presidio degli elementi che caratterizzano il contesto operativo aziendale (Fattori di Rischio) sui processi e sugli ambiti applicativi e rappresenta l esposizione al rischio ICT attraverso una mappa del rischio 11

12 Le scelte metodologiche (2/2) Le attuali metodologie di identificazione del rischio utilizzate dalle direzioni aziendali sono disegnate per livelli target differenti e risultano specializzate per i propri ambiti di competenza A partire dal set metodologico e informativo a disposizione, il gruppo di lavoro ha raccordato i modelli esistenti in un unico modello comune di identificazione e valutazione del rischio informatico RISK MANAGEMENT Processi aziendali, Unità Organizzativa, Fattori di Rischio CONTINUITÀ OPERATIVA Processi aziendali, Perimetro BIA SICUREZZA INFORMATICA Processi aziendali, Ambito Applicativo, Regole di sicurezza R SISTEMI INFORMATIVI Processi aziendali, Ambiti Applicativi, CObIT COMPLIANCE Ambiti Normativi, Processi aziendali AUDIT Aree sotto osservazione, CObIT 12

13 Le variabili analizzate per definire un linguaggio comune Il progetto ha condotto numerose analisi sulle diverse dimensioni che caratterizzano l'attuale operatività delle funzioni coinvolte, per produrre un raccordo fra le stesse ed identificare un target comune di valutazione: i Fattori di Rischio (FdR). Nel framework sono stati integrati gli Obiettivi di Controllo previsti dal CObIT 4.0 e i controlli di sicurezza derivanti dalla ISO Fattori di Rischio Processi La Valutazione del Contesto Operativo (VCO) richiede di esprimere, per singole Unità Organizzative e per i processi alle stesse associati, la rilevanza ed il livello di presidio percepito Obiettivi controllo CObIT Ambiti Applicativi Per definire il contributo della Funzione Tecnica, gli Obiettivi di Controllo CObIT utilizzati per la valutazione del livello di presidio delle tematiche IT sono stati ricondotti ai FdR. La valutazione del Rischio viene espressa a livello di singolo Ambito Applicativo. Gli Obiettivi di Controllo CObIT sono utilizzati anche da Internal Auditing Controlli di Sicurezza Ambiti Applicativi Per definire il contributo di Sicurezza Informatica, sono stati ricondotti ai Fattori di Rischio i Controlli di Sicurezza (da ISO 27000) espressi dalla normativa interna ed utilizzati per la valutazione del livello di presidio delle tematiche di sicurezza informatica. La valutazione del Rischio viene espressa a livello di singolo Ambito Applicativo. 13

14 I Fattori di Rischio rilevanti ai fini della valutazione del rischio ICT Ai fini della identificazione e valutazione delle principali aree di Rischio ICT, è rilevante solo un sottoinsieme dei Fattori di Rischio disponibili e valutati nell ambito del normale processo di Autodiagnosi Alcuni Fattori di Rischio debbono essere valutati sia dalle funzioni tecniche e specialistiche che dagli utenti (es. adeguatezza del supporto software), altri dalle sole funzioni utente (es. livello di competenza professionale delle risorse) RISORSE UMANE Gestione amministrativa delle risorse umane Selezione, gestione e sviluppo delle risorse SISTEMI E SICUREZZA Adeguatezza di HW e SW Gestione di HW e SW Governo della sicurezza delle informazioni Governo della sicurezza fisica PROCESSI Aspetti legali e contrattuali Impostazione di normativa e processi Presidio contabilità Servizi esternalizzati Gestione operativa e presidio dei processi Impostazione di normativa e processi EVENTI ESTERNI BCM: continuità operativa, disaster recovery Security 14

15 Il processo di governo del rischio ICT Situazione complessiva di rischio: Rilevazione, raccolta e classificazione tramite metodologie già in uso (es. Autodiagnosi, valutazione COBIT/ Regole di Sicurezza/Business Continuity Management, ecc.) Nuovi progetti o modifiche rilevanti al sistema informativo Approfondimenti (comprensivi della valutazione di rischio) a seguito di eventi critici (es. incidenti) Identificazione Reporting integrato agli Organi, almeno annuale, sulla situazione complessiva di rischio e per la valutazione del rischio delle componenti critiche Relazione DC Compliance Relazione di Audit Comunicazione Valutazione Definizione mappa del Rischio ICT e del livello di Rischio Residuo complessivi Valutazione rischio potenziale e residuo per iniziative di sviluppo nuovi progetti o modifica rilevante del sistema informativo Approvazione rischio residuo ICT a cura dell Utente Responsabile post confronto con le funzioni con compiti di controllo Identificazione ed attuazione degli interventi di mitigazione definiti a fronte di un evento critico o di aree di rischio significativo Processo di monitoraggio integrato sui piani di rientro definiti a fronte di un evento critico o di aree di rischio significativo Mitigazione Monitoraggio Raccolta e organizzazione strutturate dei risultati ottenuti dall attività di identificazione e/o misurazione al fine di monitorare il rispetto dei limiti e degli indicatori (KRI) definiti in ambito RAF 15

16 Valutazione delle funzioni tecniche e specialistiche Revisione in base alle evidenze delle funzioni di controllo Workshop per la certificazione dei risultati Il processo di governo del rischio ICT Le fasi di identificazione e valutazione Il livello di presidio dei Fattori di Rischio (FdR) rilevanti a fini ICT deriva dal confronto: tra la valutazione delle funzioni tecniche e specialistiche e la valutazione condotta dall utente (Valutazione del Contesto Operativo) sui medesimi Fattori di Rischio potrà essere rivisto in base alle evidenze delle funzioni di controllo (Compliance, Audit, ecc.) Valutazione livello di presidio dei FdR in ambito Continuità Operativa (CO) a cura della CO, per processo Valutazione controlli di sicurezza tramite Survey a cura della Sicurezza Informatica (SI), per Ambito Applicativo Normalizzazione coordinata da DCRM Definizione corrispondente livello di presidio per CO Riconduzione controlli di sicurezza ai FdR in ambito SI e definizione del livello di presidio per SI; passaggio a valutazione per processo Processo di Autodiagnosi Definizione della mappa del rischio per processo e/o per ambito applicativo Risposta Survey della Sicurezza Informatica a cura dei Sistemi Informativi, per Ambito Applicativo Valutazione Obiettivi CObIT a cura dei Sistemi Informativi, per Ambito Applicativo Riconduzione CObIT ai FdR in ambito IT e definizione corrispondente livello di presidio per Sistemi Informativi; passaggio a valutazione per processo Valutazione del livello di presidio dei FdR a cura dell utente, per processo Livello di presidio dei FdR in ambito ICT per processo Queste valutazioni verranno usate da Compliance nell ambito del Compliance Risk Assessment sui diversi ambiti normativi 16

17 Conclusioni La scelta effettuata consente: di capitalizzare sull esistente, sia in termini di governance e processi che di metodologie e linguaggi già in uso di focalizzare l attenzione sulle aree più delicate o innovative introdotte dal XV agg.to della Circ. 263 (individuazione degli utenti responsabili, ICT compliance) di continuare nell evoluzione dei processi di gestione del rischio operativo già intrapresa REATTIVITA Fire Fighting Soluzioni Tattiche raccolta dati e risk assessment PROATTIVITA controllo e mitigazione del rischio Gestione delle Crisi Mitigazioni Individuali revisione ed evoluzione delle linee guida e della metodologia attribuzione del capitale Oltre alla conformità alla normativa, lo scopo è fare in modo che i processi di gestione del rischio operativo (e del Rischio ICT) non vengano trattati come un costo di compliance ma si auto-mantengano, si integrino nella gestione quotidiana dell attività e possano effettivamente essere utilizzati a supporto dei processi decisionali 17

Banche e Sicurezza 2015

Banche e Sicurezza 2015 Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso

Dettagli

Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali

Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali La gestione dei rischi operativi e degli altri rischi Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali Mario Seghelini 26 giugno 2012 - Milano

Dettagli

Assessment degli Operational Risk. Assessment. Progetto Basilea 2. Agenda. Area Controlli Interni Corporate Center - Gruppo MPS

Assessment degli Operational Risk. Assessment. Progetto Basilea 2. Agenda. Area Controlli Interni Corporate Center - Gruppo MPS Progetto Basilea 2 Area Controlli Interni Corporate Center - Gruppo MPS degli Operational Risk 2003 Firm Name/Legal Entity Agenda Il nuovo contesto di vigilanza: novità ed impatti Analisi Qualitativa 1

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

Il Sistema dei Controlli nel Gruppo Bancario Iccrea. Aggiornato al 13/11/2013

Il Sistema dei Controlli nel Gruppo Bancario Iccrea. Aggiornato al 13/11/2013 Il Sistema dei Controlli nel Gruppo Bancario Iccrea Aggiornato al 13/11/2013 1 Il sistema dei controlli adottato da Iccrea Holding Le attività, i processi, l assetto organizzativo, la gestione del rischio,

Dettagli

1- Corso di IT Strategy

1- Corso di IT Strategy Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso

Dettagli

Modello dei controlli di secondo e terzo livello

Modello dei controlli di secondo e terzo livello Modello dei controlli di secondo e terzo livello Vers def 24/4/2012_CLEN INDICE PREMESSA... 2 STRUTTURA DEL DOCUMENTO... 3 DEFINIZIONE DEI LIVELLI DI CONTROLLO... 3 RUOLI E RESPONSABILITA DELLE FUNZIONI

Dettagli

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale;

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale; Presentazione Blu Consulting è una società di consulenza direzionale certificata ISO 9001:2008, fondata da Mauro Masciarelli nel 2009, specializzata nella revisione delle strategie di business, adeguamento

Dettagli

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 Per una migliore qualità della vita CERTIQUALITY La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 CHI SIAMO Certiquality è una società la cui attività è orientata

Dettagli

Il Governo Societario nelle Banche di Credito Cooperativo: attualità e prospettive

Il Governo Societario nelle Banche di Credito Cooperativo: attualità e prospettive Il Governo Societario nelle Banche di Credito Cooperativo: attualità e prospettive Il modello di sistema dei controlli interni per il Credito Cooperativo Giuseppe Zaghini, Rischi e Controlli - Ufficio

Dettagli

Esternalizzazione della Funzione Compliance

Esternalizzazione della Funzione Compliance Esternalizzazione della Funzione Compliance Supporto professionale agli intermediari oggetto della normativa di Banca d Italia in materia di rischio di non conformità Maggio 2012 Labet S.r.l. Confidenziale

Dettagli

IL SISTEMA DI CONTROLLO INTERNO

IL SISTEMA DI CONTROLLO INTERNO http://www.sinedi.com ARTICOLO 27 OTTOBRE 2008 IL SISTEMA DI CONTROLLO INTERNO PRODUZIONE DI VALORE E RISCHIO D IMPRESA Nel corso del tempo, ogni azienda deve gestire un adeguato portafoglio di strumenti

Dettagli

Valutazione del sistema di controllo interno: un'unica modalità di approccio per i processi di business e di IT Governance

Valutazione del sistema di controllo interno: un'unica modalità di approccio per i processi di business e di IT Governance Valutazione del sistema di controllo interno: un'unica modalità di approccio per i processi di business e di IT Governance Livorno 24-25 maggio 2007 Paolo Casati 1 Evoluzione delle attività di Internal

Dettagli

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma Il Risk Management Integrato in eni Stefano Leofreddi Senior Vice President Risk Management Integrato 1 Ottobre 2014, Roma Indice - Sviluppo del Modello RMI - Governance e Policy - Processo e Strumenti

Dettagli

IL RUOLO DEL RISK MANAGEMENT NEL SISTEMA DEI CONTROLLI INTERNI

IL RUOLO DEL RISK MANAGEMENT NEL SISTEMA DEI CONTROLLI INTERNI IL RUOLO DEL RISK MANAGEMENT NEL SISTEMA DEI CONTROLLI INTERNI Andrea Piazzetta Risk Manager Gruppo Banca Popolare di Vicenza Vicenza, 18 settembre 2009 Gruppo Banca Popolare di Vicenza Contesto regolamentare

Dettagli

Nuove disposizioni di vigilanza prudenziale per le banche: principali novità

Nuove disposizioni di vigilanza prudenziale per le banche: principali novità FLASH REPORT Nuove disposizioni di vigilanza prudenziale per le banche: principali novità Luglio 2013 Il 2 luglio 2013 la Banca d Italia, all esito dell attività di consultazione avviata nel mese di settembre

Dettagli

IT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma

IT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma IT Risk-Assessment Assessment: il ruolo dell Auditor nel processo. AIIA - Consigliere del Chapter di Roma Agenda Overview sul Risk-Management Il processo di Risk-Assessment Internal Auditor e Risk-Management

Dettagli

Università di Macerata Facoltà di Economia

Università di Macerata Facoltà di Economia Materiale didattico per il corso di Internal Auditing Anno accademico 2010-2011 Università di Macerata Facoltà di Economia Obiettivo della lezione ERM - Enterprise Risk Manangement Per eventuali comunicazioni:

Dettagli

AMMINISTRAZIONE, FINANZA E CONTROLLO

AMMINISTRAZIONE, FINANZA E CONTROLLO 23.12.2104 ORDINE DI SERVIZIO n. 33/14 AMMINISTRAZIONE, FINANZA E CONTROLLO Con riferimento all Ordine di Servizio n. 26 del 19.11.2014, si provvede a definire l articolazione della funzione AMMINISTRAZIONE,

Dettagli

Osservatorio Solvency II

Osservatorio Solvency II Divisione Ricerche Claudio Dematté Osservatorio Solvency II Operational Transformation Risk & capital management Prof.ssa Simona Cosma 02.02.201 Agenda Il Framework di riferimento Obiettivi dell indagine

Dettagli

Regolamento degli Organi Aziendali, delle Funzioni di Controllo e Dei Flussi Informativi. Data approvazione CDA 23 gennaio 2015

Regolamento degli Organi Aziendali, delle Funzioni di Controllo e Dei Flussi Informativi. Data approvazione CDA 23 gennaio 2015 degli Organi Aziendali, delle Funzioni di Controllo e Dei Flussi Informativi Data approvazione CDA 23 gennaio 2015 SOMMARIO ART. 1 - DISPOSIZIONI PRELIMINARI... 4 ART. 2 - DEFINIZIONI... 5 ART. 3 PREMESSA...

Dettagli

XXIV Convegno AIEA. Il contributo dell IT Audit al governo e alla qualità dei processi IT aziendali. Siena, 21 ottobre 2010

XXIV Convegno AIEA. Il contributo dell IT Audit al governo e alla qualità dei processi IT aziendali. Siena, 21 ottobre 2010 XXIV Convegno AIEA Il contributo dell IT Audit al governo e alla qualità dei processi IT aziendali Siena, 21 ottobre 2010 Agenda Lo scenario di riferimento Il ruolo dell IT Audit nei diversi contesti Scelte

Dettagli

Approfondimento. Controllo Interno

Approfondimento. Controllo Interno Consegnato OO.SS. 20 maggio 2013 Approfondimento Controllo Interno Maggio 2013 Assetto Organizzativo Controllo Interno CONTROLLO INTERNO ASSICURAZIONE QUALITA DI AUDIT E SISTEMI ETICA DEL GOVERNO AZIENDALE

Dettagli

PROGRAMMA DIDATTICO I MODULI DEL PERCORSO MODULO 1

PROGRAMMA DIDATTICO I MODULI DEL PERCORSO MODULO 1 www.abiformazione.it Percorso professionalizzante per la Compliance in banca Compliance / Corsi Professionalizzanti Fin dalle prime indicazioni di Banca d Italia sulla Funzione di Conformità, ABIFormazione

Dettagli

Direzione Centrale Sistemi Informativi

Direzione Centrale Sistemi Informativi Direzione Centrale Sistemi Informativi Missione Contribuire, in coerenza con le strategie e gli obiettivi aziendali, alla definizione della strategia ICT del Gruppo, con proposta al Chief Operating Officer

Dettagli

IS Governance in action: l esperienza di eni

IS Governance in action: l esperienza di eni IS Governance in action: l esperienza di eni eni.com Giancarlo Cimmino Resp. ICT Compliance & Risk Management Contenuti L ICT eni: mission e principali grandezze IS Governance: il modello organizzativo

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

Regolamento del Comitato Rischi di UBI Banca s.c.p.a.

Regolamento del Comitato Rischi di UBI Banca s.c.p.a. Regolamento del Comitato Rischi di UBI Banca s.c.p.a. 15 settembre 2015 1 Regolamento del Comitato Rischi di UBI Banca s.c.p.a. Compiti e regole di funzionamento (ex art. 49 dello Statuto) Premessa Ai

Dettagli

Linee di indirizzo per il Sistema di Controllo Interno e di Gestione dei Rischi

Linee di indirizzo per il Sistema di Controllo Interno e di Gestione dei Rischi 3 Linee di indirizzo per il Sistema di Controllo Interno e di Gestione dei Rischi 1. Premessa Il Sistema di Controllo Interno e di Gestione dei Rischi di Fiat S.p.A. (la Società ) costituisce elemento

Dettagli

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti L impostazione dei servizi offerti Le Banche e le altre imprese, sono

Dettagli

MANDATO INTERNAL AUDIT

MANDATO INTERNAL AUDIT INTERNAL AUDIT MANDATO INTERNAL AUDIT Il presente Mandato Internal Audit di Società, previo parere favorevole del Comitato Controllo e Rischi in data 30 ottobre 2012 e sentito il Collegio Sindacale e l

Dettagli

L auto-valutazione dell ICAAP alla prova dei fatti: dalla teoria alla pratica

L auto-valutazione dell ICAAP alla prova dei fatti: dalla teoria alla pratica L auto-valutazione dell ICAAP alla prova dei fatti: dalla teoria alla pratica Fabio Salis Roma, 4 Giugno 2009 Agenda Cosa vi avevamo raccontato... Le funzioni aziendali coinvolte nel processo ICAAP Il

Dettagli

FORTINVESTIMENTI SIM S.P.A. BASILEA 2 III PILASTRO - INFORMATIVA AL PUBBLICO. In ottemperanza al Regolamento Banca d Italia del 24 ottobre 2007

FORTINVESTIMENTI SIM S.P.A. BASILEA 2 III PILASTRO - INFORMATIVA AL PUBBLICO. In ottemperanza al Regolamento Banca d Italia del 24 ottobre 2007 FORTINVESTIMENTI SIM S.P.A. BASILEA 2 III PILASTRO - INFORMATIVA AL PUBBLICO In ottemperanza al Regolamento Banca d Italia del 24 ottobre 2007 Al 31 dicembre 2008 INTRODUZIONE 3 TAVOLA 1 - REQUISITO INFORMATIVO

Dettagli

INTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA GIUSEPPE CERASOLI, CIA RESPONSABILE COMITATO PA

INTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA GIUSEPPE CERASOLI, CIA RESPONSABILE COMITATO PA INTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA Fondato a New York nel 1941 Presente in 160 paesi, conta ora più di 110.000 membri Ha sede negli USA ma la sua Governance è Globale Globali sono pure il

Dettagli

Nuove funzioni e responsabilità del Risk Management. Presentazione alla Conferenza Il governo dei rischi in banca: nuove tendenze e sfide

Nuove funzioni e responsabilità del Risk Management. Presentazione alla Conferenza Il governo dei rischi in banca: nuove tendenze e sfide Nuove funzioni e responsabilità del Risk Management Presentazione alla Conferenza Il governo dei rischi in banca: nuove tendenze e sfide 9 Aprile 2015 Agenda 1. Premessa: Il ruolo della Corporate Governance

Dettagli

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Davide Lizzio CISA CRISC Venezia Mestre, 26 Ottobre 2012 Informazioni Aziendali: Il processo di

Dettagli

Sicurezza, Rischio e Business Continuity Quali sinergie?

Sicurezza, Rischio e Business Continuity Quali sinergie? Sicurezza, Rischio e Business Continuity Quali sinergie? ABI Banche e Sicurezza 2016 John Ramaioli Milano, 27 maggio 2016 Agenda Ø Il contesto normativo ed organizzativo Ø Possibili sinergie Ø Considerazioni

Dettagli

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING PROCESS OPTIMIZATION Mappatura as is dei processi, definizione dello stato to be, gap analysis, definizione ed implementazione

Dettagli

INFORMATIVA AL PUBBLICO DA PARTE DEGLI ENTI AI SENSI DEL REGOLAMENTO (UE) N. 575/2013

INFORMATIVA AL PUBBLICO DA PARTE DEGLI ENTI AI SENSI DEL REGOLAMENTO (UE) N. 575/2013 INFORMATIVA AL PUBBLICO DA PARTE DEGLI ENTI AI SENSI DEL REGOLAMENTO (UE) N. 575/2013 DATI DI BILANCIO AL 31 DICEMBRE 2014 1 INDICE INTRODUZIONE... 3 OBIETTIVI E POLITICHE DI GESTIONE DEL RISCHIO... 7

Dettagli

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting Symantec / ZeroUno Executive lunch IT Security & Risk Management Riccardo Zanchi - Partner NetConsulting 25 settembre 2008 Agenda Il contesto del mercato della security I principali risultati della survey

Dettagli

Sistema dei Controlli interni Gestione coordinata delle aree di miglioramento

Sistema dei Controlli interni Gestione coordinata delle aree di miglioramento Sistema dei Controlli interni Gestione coordinata delle aree di miglioramento Stefano Moni Resp. Servizio Validazione e Monitoraggio Convegno ABI - Basilea 3 Roma, 16-17 Giugno 2014 INDICE 1. INTRODUZIONE

Dettagli

NOTA AIFIRM Associazione Italiana Financial Industry Risk Managers 23 luglio 2013

NOTA AIFIRM Associazione Italiana Financial Industry Risk Managers 23 luglio 2013 NOTA AIFIRM Associazione Italiana Financial Industry Risk Managers 23 luglio 2013 E stato introdotto nell ordinamento di vigilanza italiano il concetto di risk appetite framework (RAF). E contenuto nella

Dettagli

Il catalogo MANAGEMENT Si rivolge a: Imprenditori con responsabilità diretta. Quadri sulla gestione

Il catalogo MANAGEMENT Si rivolge a: Imprenditori con responsabilità diretta. Quadri sulla gestione 6 Il catalogo MANAGEMENT Si rivolge a: Imprenditori con responsabilità diretta Quadri sulla gestione Impiegati con responsabilità direttive Dirigenti di imprese private e organizzazioni pubbliche, interessati

Dettagli

Funzionigramma delle Direzioni Regionali della Divisione Banca dei Territori

Funzionigramma delle Direzioni Regionali della Divisione Banca dei Territori gramma delle Direzioni Regionali della Divisione Banca dei Territori Luglio 2010 INDICE ORGANIGRAMMA...3 FUNZIONIGRAMMA...5 DIRETTORE REGIONALE...6 COORDINAMENTO MARKETING E STRATEGIE TERRITORIALI...6

Dettagli

La gestione del rischio controparti

La gestione del rischio controparti Risk Assurance Services www.pwc.com/it La gestione del rischio controparti Un esigenza da presidiare per la tutela della reputazione e del valore aziendale La reputazione è un asset strategico da valorizzare,

Dettagli

INTERNAL AUDIT LIVELLO I - EDIZIONE III A.A. 2015-2016

INTERNAL AUDIT LIVELLO I - EDIZIONE III A.A. 2015-2016 INTERNAL AUDIT LIVELLO I - EDIZIONE III A.A. 2015-2016 Presentazione La funzione di internal audit ha acquisito, negli anni, un ruolo di primaria importanza nell'ambito dell'adozione delle migliori regole

Dettagli

L attività di Internal Audit nella nuova configurazione organizzativa

L attività di Internal Audit nella nuova configurazione organizzativa L attività di Internal Audit nella nuova configurazione organizzativa Massimo Bozeglav Responsabile Direzione Internal Audit Banca Popolare di Vicenza Indice 1. I fattori di cambiamento 2. L architettura

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

INFORMATIVA AL PUBBLICO AI SENSI DEL PROVVEDIMENTO BANCA D ITALIA 24 OTTOBRE 2007 TITOLO III CAPITOLO 1

INFORMATIVA AL PUBBLICO AI SENSI DEL PROVVEDIMENTO BANCA D ITALIA 24 OTTOBRE 2007 TITOLO III CAPITOLO 1 INFORMATIVA AL PUBBLICO AI SENSI DEL PROVVEDIMENTO BANCA D ITALIA 24 OTTOBRE 2007 TITOLO III CAPITOLO 1 Premessa Il Regolamento della Banca d Italia in materia di vigilanza prudenziale per le SIM (Titolo

Dettagli

UMIQ. Il metodo UMIQ. Unindustria Bologna. Corso rivolto a consulenti e auditor per conoscere e saper applicare il Metodo UMIQ nelle aziende

UMIQ. Il metodo UMIQ. Unindustria Bologna. Corso rivolto a consulenti e auditor per conoscere e saper applicare il Metodo UMIQ nelle aziende QUALITA UNINDUSTRIA INNOVAZIONE METODO UMIQ Il metodo UMIQ Unindustria Bologna Corso rivolto a consulenti e auditor per conoscere e saper applicare il Metodo UMIQ nelle aziende Obiettivi del corso Fornire

Dettagli

Preaudit Sicurezza / Ambiente. General Risk Assessment

Preaudit Sicurezza / Ambiente. General Risk Assessment General Risk Assessment Conduzione di un General Risk Assessment in coerenza con i requisiti ISO 9001:2015. nel 2015 verrà pubblicata la nuova UNI EN ISO 9001 che avrà sempre più un orientamento alla gestione

Dettagli

FLASH REPORT. Il nuovo Intermediario Finanziario Unico. Giugno 2015

FLASH REPORT. Il nuovo Intermediario Finanziario Unico. Giugno 2015 FLASH REPORT Il nuovo Intermediario Finanziario Unico Giugno 2015 Il 4 settembre 2010 è stato pubblicato in Gazzetta Ufficiale il D.Lgs. 141 del 13 agosto 2010, attuativo della Direttiva comunitaria n.

Dettagli

La certificazione ISO/IEC 20000-1:2005: casi pratici

La certificazione ISO/IEC 20000-1:2005: casi pratici La certificazione ISO/IEC 20000-1:2005: casi pratici L esperienza DNV come Ente di Certificazione ISO 20000 di Cesare Gallotti e Fabrizio Monteleone La ISO/IEC 20000-1:2005 (che recepisce la BS 15000-1:2002

Dettagli

Le tappe del reporting in Intesa Sanpaolo

Le tappe del reporting in Intesa Sanpaolo Le tappe del reporting in Intesa Sanpaolo Advanced Level GRI 3: A+ GRI Checked Organisational Stakeholder 2011 e 2012 Sviluppo di Rendicontazioni specializzate per Stakeholder Analisi di materialità Sintesi

Dettagli

L Enterprise Risk Management in Italia

L Enterprise Risk Management in Italia DISCUSSION PAPER L Enterprise Risk Management in Italia Risultati della survey condotta in collaborazione con l Osservatorio di Revisione della SDA Bocconi Seconda edizione Maggio 2012 kpmg.com/it 2 L

Dettagli

Analisi e gestione dei rischi. in TBS Group

Analisi e gestione dei rischi. in TBS Group 18 ottobre 2012 Analisi e gestione dei rischi in TBS Group Avv. Aldo Cappuccio (presidente del Comitato di Controllo Interno) 1 TBS Group S.p.A. TBS Group S.p.A. nasce e si sviluppa, agli inizi degli anni

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

Operational Risk vs Advanced IT RISK

Operational Risk vs Advanced IT RISK Operational Risk vs Advanced IT RISK Claudio Ruffini 24 Giugno 2015 L evoluzione normativa in tema di sicurezza informatica Disposizioni di vigilanza prudenziale di Banca d Italia in materia di sistema

Dettagli

CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES

CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES 1 CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT Il corso è finalizzato a illustrare in dettaglio le competenze richieste al Business Continuity Manager per guidare un progetto BCM e/o gestire

Dettagli

Il data quality nei progetti IRB e nel processo creditizio. Vincenzo M. Re

Il data quality nei progetti IRB e nel processo creditizio. Vincenzo M. Re Il data quality nei progetti IRB e nel processo creditizio Vincenzo M. Re Il documento riflette le opinioni personali del relatore che non possono in alcun modo essere ritenute espressione della posizione

Dettagli

2.1 L associazione professionale 19. 2.2 Gli Standard professionali dell internal auditing 23. 2.3 Le competenze professionali 29

2.1 L associazione professionale 19. 2.2 Gli Standard professionali dell internal auditing 23. 2.3 Le competenze professionali 29 Prefazione di Vittorio Mincato XIII Introduzione 1 Ringraziamenti 5 Parte prima LA PROFESSIONE DI INTERNAL AUDITING 1 La definizione di internal auditing 9 2I riferimenti della professione 19 2.1 L associazione

Dettagli

Il Sistema della performance e le direttive CIVIT. Università di Cagliari monfardini@unica.it

Il Sistema della performance e le direttive CIVIT. Università di Cagliari monfardini@unica.it Il Sistema della performance e le direttive CIVIT Dott. Patrizio Monfardini Università di Cagliari monfardini@unica.it Art. 4 (ciclo di gestione della performance) 2 comma 1: [.] le amministrazioni pubbliche

Dettagli

La gestione del rischio legale, reputazionale e strategico

La gestione del rischio legale, reputazionale e strategico LA GESTIONE DEI RISCHI OPERATIVI E DEGLI ALTRI RISCHI La gestione del rischio legale, reputazionale e strategico Nicola d Auria TMF Compliance (Italy) 26 giugno 2012 - Milano S.A.F. SCUOLA DI ALTA FORMAZIONE

Dettagli

Processo di gestione del rischio d informazione finanziaria

Processo di gestione del rischio d informazione finanziaria Processo di gestione del rischio d informazione finanziaria Deltas S.p.A. La comunicazione finanziaria Sondrio, 9 marzo 2010 Agenda Vincoli di conformità alla L. 262/20005 Soluzioni operative Nuove sfide

Dettagli

CERTIQUALITY. La Gestione della Business Continuity : gli standard ISO 31000 ed ISO 22301. P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a

CERTIQUALITY. La Gestione della Business Continuity : gli standard ISO 31000 ed ISO 22301. P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a CERTIQUALITY La Gestione della Business Continuity : gli standard ISO 31000 ed ISO 22301 Dott. Nicola Gatta Direzione Marketing & Industry Management

Dettagli

REGIONE UMBRIA LINEE DI INDIRIZZO PER LA GESTIONE DEL RISCHIO CLINICO DELLE AZIENDE SANITARIE DGR 1345 DEL 27/07/2007

REGIONE UMBRIA LINEE DI INDIRIZZO PER LA GESTIONE DEL RISCHIO CLINICO DELLE AZIENDE SANITARIE DGR 1345 DEL 27/07/2007 REGIONE UMBRIA LINEE DI INDIRIZZO PER LA GESTIONE DEL RISCHIO CLINICO DELLE AZIENDE SANITARIE DGR 1345 DEL 27/07/2007 GESTIONE DEL RISCHIO CLINICO Il rischio clinico rappresenta l eventualità di subire

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

LA COMPLIANCE FISCALE NELLE BANCHE: IMPATTO SUI MODELLI DI ORGANIZZAZIONE, GESTIONE E CONTROLLO

LA COMPLIANCE FISCALE NELLE BANCHE: IMPATTO SUI MODELLI DI ORGANIZZAZIONE, GESTIONE E CONTROLLO Focus on LA COMPLIANCE FISCALE NELLE BANCHE: IMPATTO SUI MODELLI DI ORGANIZZAZIONE, GESTIONE E CONTROLLO Aprile 2016 www.lascalaw.com www.iusletter.com Milano Roma Torino Bologna Firenze Ancona Vicenza

Dettagli

Direzione Centrale Audit e Sicurezza IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE

Direzione Centrale Audit e Sicurezza IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE Maggio 2006 1 La costituzione dell Audit Interno La rivisitazione del modello per i controlli di regolarità amministrativa e contabile è stata

Dettagli

Operational Risk Management & Business Continuity Fonti Informative e punti di contatto

Operational Risk Management & Business Continuity Fonti Informative e punti di contatto Operational Risk Management & Business Continuity Fonti Informative e punti di contatto Roma 16 giugno 2005 Dr. Paolo Cruciani BNL Responsabile Rischi Operativi BNL Direzione Risk Management Agenda 1.

Dettagli

CONFORMIS IN FINANCE S.R.L Via Carroccio, 16 20123 Milano P.IVA/C.F. 07620150966

CONFORMIS IN FINANCE S.R.L Via Carroccio, 16 20123 Milano P.IVA/C.F. 07620150966 CONFORMIS IN FINANCE S.R.L Via Carroccio, 16 20123 Milano P.IVA/C.F. 07620150966 Tel: 0287186784 Fax: 0287161185 info@conformisinfinance.it pec@pec.conformisinfinance.it www.conformisinfinance.it Obiettivi

Dettagli

Il processo di definizione e gestione del Risk Appetite nelle assicurazioni italiane. Renzo G. Avesani, Presidente CROFI

Il processo di definizione e gestione del Risk Appetite nelle assicurazioni italiane. Renzo G. Avesani, Presidente CROFI Il processo di definizione e gestione del Risk Appetite nelle assicurazioni italiane Renzo G. Avesani, Presidente CROFI Milano, 10 07 2013 1. Che cosa è il Risk Appetite? 2. Il processo di Risk Appetite

Dettagli

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo IX Convention ABI L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo BPR e BCM: due linee di azione per uno stesso obiettivo Ing. Alessandro Pinzauti Direttore

Dettagli

Fattori critici di successo

Fattori critici di successo CSF e KPI Fattori critici di successo Critical Success Factor (CSF) Definiscono le azioni o gli elementi più importanti per controllare i processi IT Linee guida orientate alla gestione del processo Devono

Dettagli

Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231

Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231 RISK MANAGEMENT & BUSINESS CONTINUITY Il Risk Management a supporto dell O.d.V. Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231 PER L ORGANISMO DI VIGILANZA

Dettagli

Insight. Gli scettici della qualità.

Insight. Gli scettici della qualità. Insight N. 30 Febbraio 2010 Gli scettici della qualità. Una fotografia della Quality Assurance Review in Italia: una pratica ancora poco diffusa, spesso a causa di preconcetti su costi e tempi di realizzazione,

Dettagli

Maggio 2014. Silvia Colombo, Jenny.Avvocati

Maggio 2014. Silvia Colombo, Jenny.Avvocati Maggio 2014 Prime riflessioni sul recepimento degli Orientamenti EIOPA, attuativi della direttiva Solvency II: l IVASS modifica il Regolamento n. 20/2008 Silvia Colombo, Jenny.Avvocati L iter delle modifiche

Dettagli

*(67,21(,03$77,25*$1,==$7,9,(

*(67,21(,03$77,25*$1,==$7,9,( 3,1,),=,21((21752//2, *(67,21(,0377,25*1,==7,9,( 68//(5,6256(801( 7HVWLPRQLDQ]DGHO*UXSSR%DQFD/RPEDUGD *=DQRQL 0LODQRJLXJQR Struttura del Gruppo Banca Lombarda 6WUXWWXUDGHO*UXSSR%DQFD/RPEDUGDH3LHPRQWHVH

Dettagli

Il Valore Aggiunto del Sistema dei Controlli Interni Integrato

Il Valore Aggiunto del Sistema dei Controlli Interni Integrato Il Valore Aggiunto del Sistema dei Controlli Interni Integrato La vista dell Organizzazione e la vista dell Audit Milano, 24 Aprile 2015 LA VISTA DELL ORGANIZZAZIONE Massimo Barazzetta, Responsabile Direzione

Dettagli

Retail Store Audit. Milano, 21 novembre 2012

Retail Store Audit. Milano, 21 novembre 2012 . Milano, 21 novembre 2012 Agenda Presentazione risultati Survey Modalità operative e leading practices Tavola Rotonda Presentazione risultati Survey. - 2 - La Survey Obiettivo: La ricerca condotta da

Dettagli

Il Risk Management Integrato in eni

Il Risk Management Integrato in eni Il Risk Integrato in eni Maria Clotilde Tondini Vice President Risk Integrato 5 Marzo 015, Milano Indice - Il Modello eni - 1 Il Modello eni Le fasi di sviluppo L avvio e l attuazione del Modello di Risk

Dettagli

L attività dell Internal Audit. G.M. Mirabelli

L attività dell Internal Audit. G.M. Mirabelli L attività dell Internal Audit G.M. Mirabelli Milano 13 ottobre 2006 Obiettivi della presentazione Evidenziare i compiti che nel nuovo Codice di autodisciplina sono assegnati all Internal Auditing, se

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Modello di organizzazione, gestione e controllo ex D. Lgs. 231/2001 GOVERNANCE ORGANIZZATIVA

Modello di organizzazione, gestione e controllo ex D. Lgs. 231/2001 GOVERNANCE ORGANIZZATIVA Modello di organizzazione, gestione e controllo ex D. Lgs. 231/2001 Rev. 1-20/10/2010 GOVERNANCE ORGANIZZATIVA 1. Sistema di governance organizzativa L assetto organizzativo, amministrativo e contabile

Dettagli

Rischi operativi e ruolo dell operational risk manager negli intermediari finanziari

Rischi operativi e ruolo dell operational risk manager negli intermediari finanziari S.A.F. SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO L operational risk management in ottica regolamentare, di vigilanza ed organizzativa Rischi operativi e ruolo dell operational risk manager negli intermediari

Dettagli

BANCA D ITALIA AIEA 2007. Relatore: Tullio Prà Servizio Vigilanza sugli Enti Creditizi Banca d Italia

BANCA D ITALIA AIEA 2007. Relatore: Tullio Prà Servizio Vigilanza sugli Enti Creditizi Banca d Italia XXI Convegno Nazionale Information Systems Auditing Accademia Navale di Livorno, 24-25 Maggio 2007 La Continuità operativa nel sistema bancario italiano Relatore: Tullio Prà Servizio Vigilanza sugli Enti

Dettagli

Studio legale: sicurezza e salute sul lavoro

Studio legale: sicurezza e salute sul lavoro Studio legale: sicurezza e salute sul lavoro Le politiche adottate a livello istituzionale, produttivo e dei servizi in tema di Sicurezza e salute del lavoro sono da tempo orientate verso l implementazione

Dettagli

Marco Salvato, KPMG. AIEA Verona 25.11.2005

Marco Salvato, KPMG. AIEA Verona 25.11.2005 Information Systems Governance e analisi dei rischi con ITIL e COBIT Marco Salvato, KPMG Sessione di studio AIEA, Verona 25 Novembre 2005 1 Information Systems Governance L'Information Systems Governance

Dettagli

Il sistema di governo dell ICT: ambiti di evoluzione del ruolo di COBIT in Enel

Il sistema di governo dell ICT: ambiti di evoluzione del ruolo di COBIT in Enel Il sistema di governo dell ICT: ambiti di evoluzione del ruolo di COBIT in Enel Mario Casodi ICT Governance / epm Convegno Nazionale AIEA Pisa, 21 maggio 2009 INDICE Introduzione Gestione della mappa dei

Dettagli

LINEE DI INDIRIZZO PER LA GESTIONE DEL RISCHIO CLINICO

LINEE DI INDIRIZZO PER LA GESTIONE DEL RISCHIO CLINICO LINEE DI INDIRIZZO PER LA GESTIONE DEL RISCHIO CLINICO NELLE AZIENDE SANITARIE Le presenti linee di indirizzo regionali per la gestione del rischio clinico nelle Aziende Ospedaliere e nelle Aziende Unità

Dettagli

A C 263 A C R M. La proposta di Nexen per il supporto alla Gap Analysis

A C 263 A C R M. La proposta di Nexen per il supporto alla Gap Analysis A C 263 A C R M La proposta di Nexen per il supporto alla Gap Analysis Conformità alla circolare 263 Timeline e principali attività Entro il 31 dicembre 2013 i destinatari della presente disciplina inviano

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

Audit & Sicurezza Informatica. Linee di servizio

Audit & Sicurezza Informatica. Linee di servizio Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano

Dettagli

Il modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali. Roma, 6 giugno 2013 1

Il modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali. Roma, 6 giugno 2013 1 Il modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali Roma, 6 giugno 2013 1 Fondata nel 1972 142 soci 50 associati Fatturato complessivo dei

Dettagli

FNM SpA Linee di Indirizzo del Sistema di Controllo Interno e Gestione dei Rischi

FNM SpA Linee di Indirizzo del Sistema di Controllo Interno e Gestione dei Rischi FNM SpA Linee di Indirizzo del Sistema di Controllo Interno e Gestione dei Rischi Approvate dal Consiglio di Amministrazione in data 17 aprile 2014 Linee di Indirizzo del SCIGR 1. Premessa Il Sistema di

Dettagli

Verifica dei Risultati Analisi e Miglioramento della Qualità

Verifica dei Risultati Analisi e Miglioramento della Qualità Supporto ad azioni di miglioramento del sistema di gestione qualità di SerT e strutture accreditate per soggetti dipendenti da sostanze d abuso Verifica dei Risultati Analisi e Miglioramento della Qualità

Dettagli

Evoluzione del SCI e del processo di gestione dei rischi nel Gruppo BPB

Evoluzione del SCI e del processo di gestione dei rischi nel Gruppo BPB Evoluzione del SCI e del processo di gestione dei rischi nel Gruppo BPB Antonio Zullo Chief Risk Officer Gruppo Banca Popolare di Bari 12 dicembre 2014 1 Il sistema dei controlli interni La nuova normativa

Dettagli

Informativa al pubblico

Informativa al pubblico Informativa al pubblico Terzo pilastro di Basilea 2 al 31 dicembre 2009 Le disposizioni emanate dalla Banca d Italia in applicazione della normativa europea in materia di Convergenza internazionale della

Dettagli

Iniziativa : "Sessione di Studio" a Torino

Iniziativa : Sessione di Studio a Torino Iniziativa : "Sessione di Studio" a Torino Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,

Dettagli

Versione 3.2 Dicembre,2013. MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159

Versione 3.2 Dicembre,2013. MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159 MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159 OPERATIONAL OFFICES GENOVA MILANO ROMA TORINO NETWORK INTEGRATION and SOLUTIONS srl www.nispro.it Per

Dettagli