Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi

Save this PDF as:
 WORD  PNG  TXT  JPG

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi"

Transcript

1 Sessione di Studio AIEA-ATED La gestione del rischio informatico nel framework dei rischi operativi 24 Novembre 2014

2 Agenda La gestione del rischio operativo nel Gruppo ISP La gestione degli eventi operativi Il processo di Autodiagnosi Quadro normativo di riferimento e gap analysis Le scelte organizzative Le scelte metodologiche Le variabili analizzate per definire un linguaggio comune I Fattori di Rischio rilevanti ai fini della valutazione del rischio ICT Il processo di governo del rischio ICT Conclusioni 2

3 La gestione del rischio operativo nel Gruppo ISP Quadro complessivo per la gestione dei rischi operativi (normativa e processi organizzativi per la misurazione, la gestione e il controllo) definito da tempo Adozione del Metodo Avanzato AMA (modello interno) per la determinazione del requisito patrimoniale a partire da dicembre 2009, su un perimetro di Unità Organizzative che si è via via esteso fino a coprire quasi il 90% del Margine di Intermediazione consolidato di Gruppo Governo dei rischi operativi di Gruppo attribuito al Consiglio di Gestione e al Consiglio di Sorveglianza, supportati dal Comitato Coordinamento Controlli e Operational Risk di Gruppo Funzione centralizzata di gestione del rischio operativo, responsabile della progettazione, dell implementazione e del presidio del framework metodologico e organizzativo, nonché della misurazione dei profili di rischio, della verifica dell efficacia delle misure di mitigazione e del reporting verso i vertici aziendali Responsabilità dell individuazione, della valutazione, della gestione e della mitigazione dei rischi in capo alle singole Unità Organizzative Individuazione e valutazione delle principali aree di rischio operativo svolte attraverso la rilevazione degli eventi operativi occorsi e il processo di Autodiagnosi 3

4 La gestione degli eventi operativi Overview Il processo di raccolta dei dati sugli accadimenti che abbiano come conseguenza lo scostamento tra l esito atteso di un processo dal risultato definito e il risultato effettivo (cd. eventi operativi): fornisce informazioni significative sull esposizione pregressa contribuisce alla conoscenza e alla comprensione dell esposizione al rischio operativo da un lato e alla valutazione dell efficacia/di potenziali debolezze nel sistema dei controlli interni dall altro Eventi Fattori di Rischio Effetti Cosa? Perché? Quanto? Modello degli Eventi Modello dei Fattori di Rischio Modello degli Effetti Identificazione e classificazione di tutte le possibili tipologie di evento operativo Identificazione e classificazione delle cause/fattori all origine degli eventi operativi o che ne amplificano gli effetti Identificazione e classificazione di tutti i possibili effetti derivanti da un evento operativo 4

5 Il processo di Autodiagnosi Overview Il processo di Autodiagnosi fornisce informazioni significative sull esposizione presente e futura: E una autovalutazione, da parte delle Unità Organizzative della Capogruppo e delle Società del Gruppo Individua le cause (cd. Fattori di Rischio) che possono generare eventi operativi o amplificarne gli effetti Esprime il livello di presidio percepito su tali Fattori di Rischio Stima il rischio di subire perdite nel futuro (Analisi di Scenario) Poiché nella valutazione del livello di presidio vengono considerati i controlli e le contromisure in essere, l Autodiagnosi esprime una stima di rischio residuo da parte delle Unità Organizzative Ciò consente di responsabilizzare le Unità Organizzative nell identificazione del rischio e nella proposta di azioni di mitigazione Oltre alla valutazione dei rischi strettamente operativi, il processo consente già una valutazione dei rischi di non conformità a specifiche normative per esigenze di Compliance (es. Processo Informativa Finanziaria - ex Legge 262, D.Lgs. 231/01) 5

6 Il processo di Autodiagnosi Le fasi Analisi dati storici di perdita interni (dati ottenuti con il processo di LDC) Finalizzata all analisi degli eventi operativi che si sono verificati e delle eventuali perdite occorse Responsabili Unità Organizzative VCO Responsabili Unità Organizzative AS Responsa bile Autodiagnosi OR MC ORM D A ud it? Componente storica Componente prospettica Analisi qualitativa Analisi di Scenario (AS) Valutazione quantitativa del profilo di rischio delle singole strutture mediante la raccolta di stime soggettive espresse dai responsabili delle Unità Organizzative Valutazione del Contesto Operativo (VCO) Valutazione qualitativa del profilo di rischio delle singole strutture tramite l analisi della rilevanza e del presidio degli elementi del contesto operativo (Fattori di Rischio) Analisi di Coerenza (AC) Finalizzata a verificare la coerenza tra i risultati di Analisi di Scenario, Valutazione del Contesto Operativo e le evidenze empiriche da dati di perdita Organizzazio ne Compliance/ Continuità Operativa Workshop/Presa Visione Fase finalizzata alla convalida dei risultati finali di AS, VCO e dati di perdita da parte del Responsabile AD Processo di Capital Budget A fronte delle principali Criticità Operative individuate possono essere proposte Azioni di Mitigazione a fonte delle quali viene aperta una scheda di Capital Budget 6

7 Il processo di Autodiagnosi La Valutazione del Contesto Operativo Consiste in un analisi qualitativa dell esposizione ai Rischi Operativi di una Unità Organizzativa effettuata mediante una valutazione dei Fattori di Rischio in relazione a ciascun processo svolto dalla stessa Lo strumento utilizzato per la valutazione del profilo di rischio consiste in una scheda definita Scorecard, integrata nell applicativo di gestione dei rischi operativi Durante la fase di valutazione, l ORMD può avvalersi delle evidenze derivanti da altri momenti di verifica da parte delle strutture di controllo L ORMD deve valutare, almeno una volta all anno, i FR applicabili a ciascuna UO di riferimento e associati ai processi aziendali Risorse Umane Sistemi Processi Eventi esterni La responsabilità della convalida delle singole valutazioni è in capo ai Responsabili delle Unità Organizzative in prima battuta, quindi in capo al Responsabile di Autodiagnosi (di solito la Direzione per la Capogruppo, l Amministratore Delegato/Direttore Generale per le società) 7

8 Quadro normativo di riferimento e gap analysis (1/2) Il XV aggiornamento della Circ. Bankit 263/2006 (cd. "Nuove Disposizioni") introduce i Capitoli 7, 8 e 9 Capitolo 7 Il sistema dei controlli interni Necessità di controlli - a livello di gruppo e di sue singole componenti - sul raggiungimento degli obiettivi di sicurezza informatica e di continuità operativa Capitolo 8 Il sistema Informativo Evoluzione del processo di gestione del rischio informatico verso una logica integrata: con il concorso di tutte le figure a diverso titolo coinvolte (utente responsabile, funzioni ICT, funzioni di controllo) ripetuto con periodicità adeguata e, comunque, in presenza di situazioni che possono influenzare il complessivo livello di rischio informatico Capitolo 9 La continuità operativa L'analisi di impatto per la continuità operativa individua il livello di rischio relativo ai singoli processi aziendali e pone in evidenza le conseguenze della interruzione del servizio I rischi non gestiti dal piano di continuità operativa devono essere documentati ed esplicitamente accettati dagli organi aziendali competenti ponendo particolare enfasi sul tema del rischio informatico e richiedendo di definire processi di analisi svolti con il concorso e coordinamento di diverse figure aziendali, allo scopo di fornire agli Organi una visione sintetica e complessiva del rischio ICT Il «Rischio informatico (o ICT)» è definito come il rischio di incorrere in perdite economiche, di reputazione e di quote di mercato in relazione all utilizzo di tecnologia dell informazione e della comunicazione (Information and Communication Technology ICT) Nella rappresentazione integrata dei rischi aziendali a fini prudenziali, tale tipologia di rischio è considerata, secondo gli specifici aspetti, tra i rischi operativi, reputazionali e strategici 8

9 Quadro normativo di riferimento e gap analysis (2/2) Per indirizzare i gap di analisi del rischio ICT rilevati in fase di autovalutazione della propria situazione rispetto alle previsioni della norma (cd. Gap Analysis), il Gruppo ISP ha avviato un progetto: volto alla definizione di un linguaggio comune e all'aggiornamento in modalità integrata e coordinata dei processi di gestione nel continuo del «rischio ICT» e dei «rischi non gestiti dal piano di continuità operativa» cui partecipano Sistemi Informativi, Sicurezza Informatica, Continuità Operativa, Risk Management, Compliance, Audit Definire metodologia e processo di governo Definire una metodologia per l identificazione e la valutazione dell esposizione al Rischio ICT Disegnare un processo di governo nel continuo del rischio ICT e dei rischi residui non coperti dal piano di continuità operativa (di seguito anche rischi non gestiti BCM) Manutenere gli standard di Gruppo definiti Predisporre normativa in materia Definire le «Linee Guida per il Governo del Rischio Informatico» Aggiornare la normativa interna su Rischi Operativi con gli impatti rivenienti dal rischio ICT e dai rischi residui non gestiti dal piano di continuità operativa Predisporre informativa strutturata per gli Organi Aziendali Presentare in maniera complessiva e integrata i risultati della valutazione del rischio ICT verso gli Organi con: utilizzo e raccordo nel framework complessivo dei contributi delle funzioni specialistiche produzione di flussi informativi su evoluzione del rischio, rispetto della propensione ed efficacia delle misure di protezione implementate Presidiare il rispetto di standard e policy a livello locale Monitorare il rispetto degli standard e delle policy di Gruppo per la gestione del rischio ICT e dei rischi residui non gestiti dal piano di continuità operativa anche a livello locale, sotto la supervisione coordinata di Risk Managament e Compliance (II livello) e Auditing (III livello) 9

10 Funzione di Revisione Interna (Controllo di III livello): Audit Le scelte organizzative Con specifico riferimento alla responsabilità su tematiche inerenti il rischio informatico, il ruolo degli organi aziendali e delle funzioni coinvolte può essere così rappresentato: 1 Consiglio di Sorveglianza Organi Aziendali Consiglio di Gestione 2 1 CdS è responsabile di indirizzo e controllo del sistema informativo 2 CdG assicura la completezza, l adeguatezza, la funzionalità e l affidabilità del sistema informativo 3 Funzioni aziendali Utente responsabile 6 3 Utente responsabile, identificato per ciascun sistema o applicazione, ne assume formalmente la responsabilità, in rappresentanza degli utenti e nei rapporti con le funzioni preposte allo sviluppo e alla gestione tecnica 4 Funzioni specialistiche (FS): contribuiscono alla definizione del quadro metodologico e di controllo relativo al rischio per il proprio ambito di competenza 4 Funzioni di Controllo di II livello 5 Funzioni specialistiche con compiti di controllo: Continuità Operativa e Sicurezza Informatica Funzioni di Controllo di II livello: Compliance e Risk Management 5 Funzioni di controllo di II livello: Compliance: definisce, in collaborazione con le FS, le metodologie di valutazione del rischio di non conformità e le procedure atte a mitigarlo; esprime, sulla base dell attività delle FS e delle verifiche condotte direttamente, una valutazione del rischio di non conformità e dell adeguatezza dei presidi posti in essere per la relativa mitigazione Risk Management: sviluppa e manutiene i sistemi di misurazione, gestione e controllo dei rischi ICT; controlla l esposizione al rischio ICT in base a flussi informativi continui e monitora l efficacia delle misure di protezione delle risorse ICT. Funzione di controllo di III livello - Audit: 6 assolve compiti di assurance attinenti al sistema informativo aziendale (ICT audit) tramite proprio piano interventi, assicura adeguata copertura delle varie applicazioni, infrastrutture e processi di gestione, incluse le eventuali componenti esternalizzate fornisce valutazioni sui principali rischi tecnologici identificabili e sulla complessiva gestione del rischio informatico 10

11 Le scelte metodologiche (1/2) Data la definizione di Rischio ICT fornita nelle Nuove Disposizioni («nella rappresentazione integrata dei rischi aziendali a fini prudenziali, tale tipologia di rischio è considerata, secondo gli specifici aspetti, tra i rischi operativi [ ]») e alla luce del perimetro di Gruppo già coperto dal processo di gestione del rischio operativo, si è stabilito di procedere alla identificazione e valutazione dell esposizione al rischio ICT: evolvendo l attuale processo di Autodiagnosi previsto dal framework operational risk attraverso la valutazione dei Fattori di Rischio sugli ambiti applicativi a supporto dei processi aziendali sia da parte degli utenti (condotto per Unità Organizzativa dagli Operational Risk Manager Decentrati) che delle funzioni tecniche (Sistemi Informativi) e specialistiche (Sicurezza Infromatica e Continuità Operativa) valorizzando a tal fine le analisi già svolte dalle funzioni tecniche e specialistiche (per la definizione e la valutazione dei presidi di controllo in ambito Information Technology e Information Security Intesa Sanpaolo segue già le linee guida definite da framework internazionali quali il CObIT e la ISO 27000) prevedendo il contributo delle diverse funzioni aziendali di controllo e integrando nel framework le attività di Compliance (che fornisce tra l altro contributi nell'identificazione delle priorità d'intervento sul Rischio ICT laddove identifichi impatti di compliance) e Internal Auditing (che mette a disposizione la valutazione del profilo di rischio ICT unitamente alle principali evidenze sulle criticità inserite nel Tableau de Bord) valorizzando il patrimonio informativo a disposizione delle funzioni specialistiche (incident management e processi analoghi per le altre funzioni) E' stato così sviluppato un modello di identificazione e valutazione del Rischio ICT che: prevede il raccordo degli elementi esistenti a livello di metodologie, di basi informative disponibili e di linguaggi adottati da tutti gli interlocutori del processo analizza il livello di presidio degli elementi che caratterizzano il contesto operativo aziendale (Fattori di Rischio) sui processi e sugli ambiti applicativi e rappresenta l esposizione al rischio ICT attraverso una mappa del rischio 11

12 Le scelte metodologiche (2/2) Le attuali metodologie di identificazione del rischio utilizzate dalle direzioni aziendali sono disegnate per livelli target differenti e risultano specializzate per i propri ambiti di competenza A partire dal set metodologico e informativo a disposizione, il gruppo di lavoro ha raccordato i modelli esistenti in un unico modello comune di identificazione e valutazione del rischio informatico RISK MANAGEMENT Processi aziendali, Unità Organizzativa, Fattori di Rischio CONTINUITÀ OPERATIVA Processi aziendali, Perimetro BIA SICUREZZA INFORMATICA Processi aziendali, Ambito Applicativo, Regole di sicurezza R SISTEMI INFORMATIVI Processi aziendali, Ambiti Applicativi, CObIT COMPLIANCE Ambiti Normativi, Processi aziendali AUDIT Aree sotto osservazione, CObIT 12

13 Le variabili analizzate per definire un linguaggio comune Il progetto ha condotto numerose analisi sulle diverse dimensioni che caratterizzano l'attuale operatività delle funzioni coinvolte, per produrre un raccordo fra le stesse ed identificare un target comune di valutazione: i Fattori di Rischio (FdR). Nel framework sono stati integrati gli Obiettivi di Controllo previsti dal CObIT 4.0 e i controlli di sicurezza derivanti dalla ISO Fattori di Rischio Processi La Valutazione del Contesto Operativo (VCO) richiede di esprimere, per singole Unità Organizzative e per i processi alle stesse associati, la rilevanza ed il livello di presidio percepito Obiettivi controllo CObIT Ambiti Applicativi Per definire il contributo della Funzione Tecnica, gli Obiettivi di Controllo CObIT utilizzati per la valutazione del livello di presidio delle tematiche IT sono stati ricondotti ai FdR. La valutazione del Rischio viene espressa a livello di singolo Ambito Applicativo. Gli Obiettivi di Controllo CObIT sono utilizzati anche da Internal Auditing Controlli di Sicurezza Ambiti Applicativi Per definire il contributo di Sicurezza Informatica, sono stati ricondotti ai Fattori di Rischio i Controlli di Sicurezza (da ISO 27000) espressi dalla normativa interna ed utilizzati per la valutazione del livello di presidio delle tematiche di sicurezza informatica. La valutazione del Rischio viene espressa a livello di singolo Ambito Applicativo. 13

14 I Fattori di Rischio rilevanti ai fini della valutazione del rischio ICT Ai fini della identificazione e valutazione delle principali aree di Rischio ICT, è rilevante solo un sottoinsieme dei Fattori di Rischio disponibili e valutati nell ambito del normale processo di Autodiagnosi Alcuni Fattori di Rischio debbono essere valutati sia dalle funzioni tecniche e specialistiche che dagli utenti (es. adeguatezza del supporto software), altri dalle sole funzioni utente (es. livello di competenza professionale delle risorse) RISORSE UMANE Gestione amministrativa delle risorse umane Selezione, gestione e sviluppo delle risorse SISTEMI E SICUREZZA Adeguatezza di HW e SW Gestione di HW e SW Governo della sicurezza delle informazioni Governo della sicurezza fisica PROCESSI Aspetti legali e contrattuali Impostazione di normativa e processi Presidio contabilità Servizi esternalizzati Gestione operativa e presidio dei processi Impostazione di normativa e processi EVENTI ESTERNI BCM: continuità operativa, disaster recovery Security 14

15 Il processo di governo del rischio ICT Situazione complessiva di rischio: Rilevazione, raccolta e classificazione tramite metodologie già in uso (es. Autodiagnosi, valutazione COBIT/ Regole di Sicurezza/Business Continuity Management, ecc.) Nuovi progetti o modifiche rilevanti al sistema informativo Approfondimenti (comprensivi della valutazione di rischio) a seguito di eventi critici (es. incidenti) Identificazione Reporting integrato agli Organi, almeno annuale, sulla situazione complessiva di rischio e per la valutazione del rischio delle componenti critiche Relazione DC Compliance Relazione di Audit Comunicazione Valutazione Definizione mappa del Rischio ICT e del livello di Rischio Residuo complessivi Valutazione rischio potenziale e residuo per iniziative di sviluppo nuovi progetti o modifica rilevante del sistema informativo Approvazione rischio residuo ICT a cura dell Utente Responsabile post confronto con le funzioni con compiti di controllo Identificazione ed attuazione degli interventi di mitigazione definiti a fronte di un evento critico o di aree di rischio significativo Processo di monitoraggio integrato sui piani di rientro definiti a fronte di un evento critico o di aree di rischio significativo Mitigazione Monitoraggio Raccolta e organizzazione strutturate dei risultati ottenuti dall attività di identificazione e/o misurazione al fine di monitorare il rispetto dei limiti e degli indicatori (KRI) definiti in ambito RAF 15

16 Valutazione delle funzioni tecniche e specialistiche Revisione in base alle evidenze delle funzioni di controllo Workshop per la certificazione dei risultati Il processo di governo del rischio ICT Le fasi di identificazione e valutazione Il livello di presidio dei Fattori di Rischio (FdR) rilevanti a fini ICT deriva dal confronto: tra la valutazione delle funzioni tecniche e specialistiche e la valutazione condotta dall utente (Valutazione del Contesto Operativo) sui medesimi Fattori di Rischio potrà essere rivisto in base alle evidenze delle funzioni di controllo (Compliance, Audit, ecc.) Valutazione livello di presidio dei FdR in ambito Continuità Operativa (CO) a cura della CO, per processo Valutazione controlli di sicurezza tramite Survey a cura della Sicurezza Informatica (SI), per Ambito Applicativo Normalizzazione coordinata da DCRM Definizione corrispondente livello di presidio per CO Riconduzione controlli di sicurezza ai FdR in ambito SI e definizione del livello di presidio per SI; passaggio a valutazione per processo Processo di Autodiagnosi Definizione della mappa del rischio per processo e/o per ambito applicativo Risposta Survey della Sicurezza Informatica a cura dei Sistemi Informativi, per Ambito Applicativo Valutazione Obiettivi CObIT a cura dei Sistemi Informativi, per Ambito Applicativo Riconduzione CObIT ai FdR in ambito IT e definizione corrispondente livello di presidio per Sistemi Informativi; passaggio a valutazione per processo Valutazione del livello di presidio dei FdR a cura dell utente, per processo Livello di presidio dei FdR in ambito ICT per processo Queste valutazioni verranno usate da Compliance nell ambito del Compliance Risk Assessment sui diversi ambiti normativi 16

17 Conclusioni La scelta effettuata consente: di capitalizzare sull esistente, sia in termini di governance e processi che di metodologie e linguaggi già in uso di focalizzare l attenzione sulle aree più delicate o innovative introdotte dal XV agg.to della Circ. 263 (individuazione degli utenti responsabili, ICT compliance) di continuare nell evoluzione dei processi di gestione del rischio operativo già intrapresa REATTIVITA Fire Fighting Soluzioni Tattiche raccolta dati e risk assessment PROATTIVITA controllo e mitigazione del rischio Gestione delle Crisi Mitigazioni Individuali revisione ed evoluzione delle linee guida e della metodologia attribuzione del capitale Oltre alla conformità alla normativa, lo scopo è fare in modo che i processi di gestione del rischio operativo (e del Rischio ICT) non vengano trattati come un costo di compliance ma si auto-mantengano, si integrino nella gestione quotidiana dell attività e possano effettivamente essere utilizzati a supporto dei processi decisionali 17

Banche e Sicurezza 2015

Banche e Sicurezza 2015 Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso

Dettagli

Modello dei controlli di secondo e terzo livello

Modello dei controlli di secondo e terzo livello Modello dei controlli di secondo e terzo livello Vers def 24/4/2012_CLEN INDICE PREMESSA... 2 STRUTTURA DEL DOCUMENTO... 3 DEFINIZIONE DEI LIVELLI DI CONTROLLO... 3 RUOLI E RESPONSABILITA DELLE FUNZIONI

Dettagli

Linee di indirizzo per il Sistema di Controllo Interno e di Gestione dei Rischi

Linee di indirizzo per il Sistema di Controllo Interno e di Gestione dei Rischi 3 Linee di indirizzo per il Sistema di Controllo Interno e di Gestione dei Rischi 1. Premessa Il Sistema di Controllo Interno e di Gestione dei Rischi di Fiat S.p.A. (la Società ) costituisce elemento

Dettagli

1- Corso di IT Strategy

1- Corso di IT Strategy Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso

Dettagli

Esternalizzazione della Funzione Compliance

Esternalizzazione della Funzione Compliance Esternalizzazione della Funzione Compliance Supporto professionale agli intermediari oggetto della normativa di Banca d Italia in materia di rischio di non conformità Maggio 2012 Labet S.r.l. Confidenziale

Dettagli

Il Sistema dei Controlli nel Gruppo Bancario Iccrea. Aggiornato al 13/11/2013

Il Sistema dei Controlli nel Gruppo Bancario Iccrea. Aggiornato al 13/11/2013 Il Sistema dei Controlli nel Gruppo Bancario Iccrea Aggiornato al 13/11/2013 1 Il sistema dei controlli adottato da Iccrea Holding Le attività, i processi, l assetto organizzativo, la gestione del rischio,

Dettagli

L attività di Internal Audit nella nuova configurazione organizzativa

L attività di Internal Audit nella nuova configurazione organizzativa L attività di Internal Audit nella nuova configurazione organizzativa Massimo Bozeglav Responsabile Direzione Internal Audit Banca Popolare di Vicenza Indice 1. I fattori di cambiamento 2. L architettura

Dettagli

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma Il Risk Management Integrato in eni Stefano Leofreddi Senior Vice President Risk Management Integrato 1 Ottobre 2014, Roma Indice - Sviluppo del Modello RMI - Governance e Policy - Processo e Strumenti

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

IL SISTEMA DI CONTROLLO INTERNO

IL SISTEMA DI CONTROLLO INTERNO http://www.sinedi.com ARTICOLO 27 OTTOBRE 2008 IL SISTEMA DI CONTROLLO INTERNO PRODUZIONE DI VALORE E RISCHIO D IMPRESA Nel corso del tempo, ogni azienda deve gestire un adeguato portafoglio di strumenti

Dettagli

IL RUOLO DEL RISK MANAGEMENT NEL SISTEMA DEI CONTROLLI INTERNI

IL RUOLO DEL RISK MANAGEMENT NEL SISTEMA DEI CONTROLLI INTERNI IL RUOLO DEL RISK MANAGEMENT NEL SISTEMA DEI CONTROLLI INTERNI Andrea Piazzetta Risk Manager Gruppo Banca Popolare di Vicenza Vicenza, 18 settembre 2009 Gruppo Banca Popolare di Vicenza Contesto regolamentare

Dettagli

Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali

Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali La gestione dei rischi operativi e degli altri rischi Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali Mario Seghelini 26 giugno 2012 - Milano

Dettagli

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 Per una migliore qualità della vita CERTIQUALITY La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 CHI SIAMO Certiquality è una società la cui attività è orientata

Dettagli

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale;

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale; Presentazione Blu Consulting è una società di consulenza direzionale certificata ISO 9001:2008, fondata da Mauro Masciarelli nel 2009, specializzata nella revisione delle strategie di business, adeguamento

Dettagli

Il Governo Societario nelle Banche di Credito Cooperativo: attualità e prospettive

Il Governo Societario nelle Banche di Credito Cooperativo: attualità e prospettive Il Governo Societario nelle Banche di Credito Cooperativo: attualità e prospettive Il modello di sistema dei controlli interni per il Credito Cooperativo Giuseppe Zaghini, Rischi e Controlli - Ufficio

Dettagli

IT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma

IT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma IT Risk-Assessment Assessment: il ruolo dell Auditor nel processo. AIIA - Consigliere del Chapter di Roma Agenda Overview sul Risk-Management Il processo di Risk-Assessment Internal Auditor e Risk-Management

Dettagli

Nuove funzioni e responsabilità del Risk Management. Presentazione alla Conferenza Il governo dei rischi in banca: nuove tendenze e sfide

Nuove funzioni e responsabilità del Risk Management. Presentazione alla Conferenza Il governo dei rischi in banca: nuove tendenze e sfide Nuove funzioni e responsabilità del Risk Management Presentazione alla Conferenza Il governo dei rischi in banca: nuove tendenze e sfide 9 Aprile 2015 Agenda 1. Premessa: Il ruolo della Corporate Governance

Dettagli

Valutazione del sistema di controllo interno: un'unica modalità di approccio per i processi di business e di IT Governance

Valutazione del sistema di controllo interno: un'unica modalità di approccio per i processi di business e di IT Governance Valutazione del sistema di controllo interno: un'unica modalità di approccio per i processi di business e di IT Governance Livorno 24-25 maggio 2007 Paolo Casati 1 Evoluzione delle attività di Internal

Dettagli

AMMINISTRAZIONE, FINANZA E CONTROLLO

AMMINISTRAZIONE, FINANZA E CONTROLLO 23.12.2104 ORDINE DI SERVIZIO n. 33/14 AMMINISTRAZIONE, FINANZA E CONTROLLO Con riferimento all Ordine di Servizio n. 26 del 19.11.2014, si provvede a definire l articolazione della funzione AMMINISTRAZIONE,

Dettagli

NOTA AIFIRM Associazione Italiana Financial Industry Risk Managers 23 luglio 2013

NOTA AIFIRM Associazione Italiana Financial Industry Risk Managers 23 luglio 2013 NOTA AIFIRM Associazione Italiana Financial Industry Risk Managers 23 luglio 2013 E stato introdotto nell ordinamento di vigilanza italiano il concetto di risk appetite framework (RAF). E contenuto nella

Dettagli

Università di Macerata Facoltà di Economia

Università di Macerata Facoltà di Economia Materiale didattico per il corso di Internal Auditing Anno accademico 2010-2011 Università di Macerata Facoltà di Economia Obiettivo della lezione ERM - Enterprise Risk Manangement Per eventuali comunicazioni:

Dettagli

Osservatorio Solvency II

Osservatorio Solvency II Divisione Ricerche Claudio Dematté Osservatorio Solvency II Operational Transformation Risk & capital management Prof.ssa Simona Cosma 02.02.201 Agenda Il Framework di riferimento Obiettivi dell indagine

Dettagli

Approfondimento. Controllo Interno

Approfondimento. Controllo Interno Consegnato OO.SS. 20 maggio 2013 Approfondimento Controllo Interno Maggio 2013 Assetto Organizzativo Controllo Interno CONTROLLO INTERNO ASSICURAZIONE QUALITA DI AUDIT E SISTEMI ETICA DEL GOVERNO AZIENDALE

Dettagli

MANDATO INTERNAL AUDIT

MANDATO INTERNAL AUDIT INTERNAL AUDIT MANDATO INTERNAL AUDIT Il presente Mandato Internal Audit di Società, previo parere favorevole del Comitato Controllo e Rischi in data 30 ottobre 2012 e sentito il Collegio Sindacale e l

Dettagli

IS Governance in action: l esperienza di eni

IS Governance in action: l esperienza di eni IS Governance in action: l esperienza di eni eni.com Giancarlo Cimmino Resp. ICT Compliance & Risk Management Contenuti L ICT eni: mission e principali grandezze IS Governance: il modello organizzativo

Dettagli

PROGRAMMA DIDATTICO I MODULI DEL PERCORSO MODULO 1

PROGRAMMA DIDATTICO I MODULI DEL PERCORSO MODULO 1 www.abiformazione.it Percorso professionalizzante per la Compliance in banca Compliance / Corsi Professionalizzanti Fin dalle prime indicazioni di Banca d Italia sulla Funzione di Conformità, ABIFormazione

Dettagli

Funzionigramma delle Direzioni Regionali della Divisione Banca dei Territori

Funzionigramma delle Direzioni Regionali della Divisione Banca dei Territori gramma delle Direzioni Regionali della Divisione Banca dei Territori Luglio 2010 INDICE ORGANIGRAMMA...3 FUNZIONIGRAMMA...5 DIRETTORE REGIONALE...6 COORDINAMENTO MARKETING E STRATEGIE TERRITORIALI...6

Dettagli

FORTINVESTIMENTI SIM S.P.A. BASILEA 2 III PILASTRO - INFORMATIVA AL PUBBLICO. In ottemperanza al Regolamento Banca d Italia del 24 ottobre 2007

FORTINVESTIMENTI SIM S.P.A. BASILEA 2 III PILASTRO - INFORMATIVA AL PUBBLICO. In ottemperanza al Regolamento Banca d Italia del 24 ottobre 2007 FORTINVESTIMENTI SIM S.P.A. BASILEA 2 III PILASTRO - INFORMATIVA AL PUBBLICO In ottemperanza al Regolamento Banca d Italia del 24 ottobre 2007 Al 31 dicembre 2008 INTRODUZIONE 3 TAVOLA 1 - REQUISITO INFORMATIVO

Dettagli

Assessment degli Operational Risk. Assessment. Progetto Basilea 2. Agenda. Area Controlli Interni Corporate Center - Gruppo MPS

Assessment degli Operational Risk. Assessment. Progetto Basilea 2. Agenda. Area Controlli Interni Corporate Center - Gruppo MPS Progetto Basilea 2 Area Controlli Interni Corporate Center - Gruppo MPS degli Operational Risk 2003 Firm Name/Legal Entity Agenda Il nuovo contesto di vigilanza: novità ed impatti Analisi Qualitativa 1

Dettagli

Norme per l organizzazione - ISO serie 9000

Norme per l organizzazione - ISO serie 9000 Norme per l organizzazione - ISO serie 9000 Le norme cosiddette organizzative definiscono le caratteristiche ed i requisiti che sono stati definiti come necessari e qualificanti per le organizzazioni al

Dettagli

Direzione Centrale Audit e Sicurezza IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE

Direzione Centrale Audit e Sicurezza IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE Maggio 2006 1 La costituzione dell Audit Interno La rivisitazione del modello per i controlli di regolarità amministrativa e contabile è stata

Dettagli

*(67,21(,03$77,25*$1,==$7,9,(

*(67,21(,03$77,25*$1,==$7,9,( 3,1,),=,21((21752//2, *(67,21(,0377,25*1,==7,9,( 68//(5,6256(801( 7HVWLPRQLDQ]DGHO*UXSSR%DQFD/RPEDUGD *=DQRQL 0LODQRJLXJQR Struttura del Gruppo Banca Lombarda 6WUXWWXUDGHO*UXSSR%DQFD/RPEDUGDH3LHPRQWHVH

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

MANDATO DI AUDIT DI GRUPPO

MANDATO DI AUDIT DI GRUPPO MANDATO DI AUDIT DI GRUPPO Data: Ottobre, 2013 UniCredit Group - Public MISSION E AMBITO DI COMPETENZA L Internal Audit è una funzione indipendente nominata dagli Organi di Governo della Società ed è parte

Dettagli

INTERNAL AUDIT LIVELLO I - EDIZIONE III A.A. 2015-2016

INTERNAL AUDIT LIVELLO I - EDIZIONE III A.A. 2015-2016 INTERNAL AUDIT LIVELLO I - EDIZIONE III A.A. 2015-2016 Presentazione La funzione di internal audit ha acquisito, negli anni, un ruolo di primaria importanza nell'ambito dell'adozione delle migliori regole

Dettagli

Direzione Centrale Sistemi Informativi

Direzione Centrale Sistemi Informativi Direzione Centrale Sistemi Informativi Missione Contribuire, in coerenza con le strategie e gli obiettivi aziendali, alla definizione della strategia ICT del Gruppo, con proposta al Chief Operating Officer

Dettagli

Gestire il rischio di processo: una possibile leva di rilancio del modello di business

Gestire il rischio di processo: una possibile leva di rilancio del modello di business Gestire il rischio di processo: una possibile leva di rilancio del modello di business Gianluca Meloni, Davide Brembati In collaborazione con 1 1 Le premesse del Progetto di ricerca Nella presente congiuntura

Dettagli

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Davide Lizzio CISA CRISC Venezia Mestre, 26 Ottobre 2012 Informazioni Aziendali: Il processo di

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

CERTIQUALITY. La Gestione della Business Continuity : gli standard ISO 31000 ed ISO 22301. P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a

CERTIQUALITY. La Gestione della Business Continuity : gli standard ISO 31000 ed ISO 22301. P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a CERTIQUALITY La Gestione della Business Continuity : gli standard ISO 31000 ed ISO 22301 Dott. Nicola Gatta Direzione Marketing & Industry Management

Dettagli

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting Symantec / ZeroUno Executive lunch IT Security & Risk Management Riccardo Zanchi - Partner NetConsulting 25 settembre 2008 Agenda Il contesto del mercato della security I principali risultati della survey

Dettagli

Il processo di definizione e gestione del Risk Appetite nelle assicurazioni italiane. Renzo G. Avesani, Presidente CROFI

Il processo di definizione e gestione del Risk Appetite nelle assicurazioni italiane. Renzo G. Avesani, Presidente CROFI Il processo di definizione e gestione del Risk Appetite nelle assicurazioni italiane Renzo G. Avesani, Presidente CROFI Milano, 10 07 2013 1. Che cosa è il Risk Appetite? 2. Il processo di Risk Appetite

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

Analisi e gestione dei rischi. in TBS Group

Analisi e gestione dei rischi. in TBS Group 18 ottobre 2012 Analisi e gestione dei rischi in TBS Group Avv. Aldo Cappuccio (presidente del Comitato di Controllo Interno) 1 TBS Group S.p.A. TBS Group S.p.A. nasce e si sviluppa, agli inizi degli anni

Dettagli

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING PROCESS OPTIMIZATION Mappatura as is dei processi, definizione dello stato to be, gap analysis, definizione ed implementazione

Dettagli

L attività dell Internal Audit. G.M. Mirabelli

L attività dell Internal Audit. G.M. Mirabelli L attività dell Internal Audit G.M. Mirabelli Milano 13 ottobre 2006 Obiettivi della presentazione Evidenziare i compiti che nel nuovo Codice di autodisciplina sono assegnati all Internal Auditing, se

Dettagli

MANDATO DELLA FUNZIONE AUDIT. (Approvato dal Consiglio di Amministrazione di Enel Green Power il 12 marzo 2015)

MANDATO DELLA FUNZIONE AUDIT. (Approvato dal Consiglio di Amministrazione di Enel Green Power il 12 marzo 2015) MANDATO DELLA FUNZIONE AUDIT (Approvato dal Consiglio di Amministrazione di Enel Green Power il 12 marzo 2015) 1 INDICE DEI CONTENUTI 1. INTRODUZIONE E FINALITA DEL DOCUMENTO 2. MISSIONE 3. AMBITO 4. PROFESSIONALITA

Dettagli

Sicurezza, Rischio e Business Continuity Quali sinergie?

Sicurezza, Rischio e Business Continuity Quali sinergie? Sicurezza, Rischio e Business Continuity Quali sinergie? ABI Banche e Sicurezza 2016 John Ramaioli Milano, 27 maggio 2016 Agenda Ø Il contesto normativo ed organizzativo Ø Possibili sinergie Ø Considerazioni

Dettagli

Il modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali. Roma, 6 giugno 2013 1

Il modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali. Roma, 6 giugno 2013 1 Il modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali Roma, 6 giugno 2013 1 Fondata nel 1972 142 soci 50 associati Fatturato complessivo dei

Dettagli

INTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA GIUSEPPE CERASOLI, CIA RESPONSABILE COMITATO PA

INTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA GIUSEPPE CERASOLI, CIA RESPONSABILE COMITATO PA INTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA Fondato a New York nel 1941 Presente in 160 paesi, conta ora più di 110.000 membri Ha sede negli USA ma la sua Governance è Globale Globali sono pure il

Dettagli

Preaudit Sicurezza / Ambiente. General Risk Assessment

Preaudit Sicurezza / Ambiente. General Risk Assessment General Risk Assessment Conduzione di un General Risk Assessment in coerenza con i requisiti ISO 9001:2015. nel 2015 verrà pubblicata la nuova UNI EN ISO 9001 che avrà sempre più un orientamento alla gestione

Dettagli

Nuove disposizioni di vigilanza prudenziale per le banche: principali novità

Nuove disposizioni di vigilanza prudenziale per le banche: principali novità FLASH REPORT Nuove disposizioni di vigilanza prudenziale per le banche: principali novità Luglio 2013 Il 2 luglio 2013 la Banca d Italia, all esito dell attività di consultazione avviata nel mese di settembre

Dettagli

La Funzione di Compliancein Banca. Nino Balistreri Consulente ABI Formazione

La Funzione di Compliancein Banca. Nino Balistreri Consulente ABI Formazione La Funzione di Compliancein Banca Nino Balistreri Consulente ABI Formazione Sommario L inquadramento normativo della funzione di compliance L ambito normativo di competenza Il processo di operativo 2 Banca

Dettagli

Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231

Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231 RISK MANAGEMENT & BUSINESS CONTINUITY Il Risk Management a supporto dell O.d.V. Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231 PER L ORGANISMO DI VIGILANZA

Dettagli

La gestione del rischio controparti

La gestione del rischio controparti Risk Assurance Services www.pwc.com/it La gestione del rischio controparti Un esigenza da presidiare per la tutela della reputazione e del valore aziendale La reputazione è un asset strategico da valorizzare,

Dettagli

FNM SpA Linee di Indirizzo del Sistema di Controllo Interno e Gestione dei Rischi

FNM SpA Linee di Indirizzo del Sistema di Controllo Interno e Gestione dei Rischi FNM SpA Linee di Indirizzo del Sistema di Controllo Interno e Gestione dei Rischi Approvate dal Consiglio di Amministrazione in data 17 aprile 2014 Linee di Indirizzo del SCIGR 1. Premessa Il Sistema di

Dettagli

FLASH REPORT. Il nuovo Intermediario Finanziario Unico. Giugno 2015

FLASH REPORT. Il nuovo Intermediario Finanziario Unico. Giugno 2015 FLASH REPORT Il nuovo Intermediario Finanziario Unico Giugno 2015 Il 4 settembre 2010 è stato pubblicato in Gazzetta Ufficiale il D.Lgs. 141 del 13 agosto 2010, attuativo della Direttiva comunitaria n.

Dettagli

LINEE DI INDIRIZZO PER LA GESTIONE DEL RISCHIO CLINICO

LINEE DI INDIRIZZO PER LA GESTIONE DEL RISCHIO CLINICO LINEE DI INDIRIZZO PER LA GESTIONE DEL RISCHIO CLINICO NELLE AZIENDE SANITARIE Le presenti linee di indirizzo regionali per la gestione del rischio clinico nelle Aziende Ospedaliere e nelle Aziende Unità

Dettagli

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti L impostazione dei servizi offerti Le Banche e le altre imprese, sono

Dettagli

REGIONE UMBRIA LINEE DI INDIRIZZO PER LA GESTIONE DEL RISCHIO CLINICO DELLE AZIENDE SANITARIE DGR 1345 DEL 27/07/2007

REGIONE UMBRIA LINEE DI INDIRIZZO PER LA GESTIONE DEL RISCHIO CLINICO DELLE AZIENDE SANITARIE DGR 1345 DEL 27/07/2007 REGIONE UMBRIA LINEE DI INDIRIZZO PER LA GESTIONE DEL RISCHIO CLINICO DELLE AZIENDE SANITARIE DGR 1345 DEL 27/07/2007 GESTIONE DEL RISCHIO CLINICO Il rischio clinico rappresenta l eventualità di subire

Dettagli

Fattori critici di successo

Fattori critici di successo CSF e KPI Fattori critici di successo Critical Success Factor (CSF) Definiscono le azioni o gli elementi più importanti per controllare i processi IT Linee guida orientate alla gestione del processo Devono

Dettagli

ISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito

ISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito ISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito 1 ISA 610 USING THE WORK OF INTERNAL AUDITORS Questo principio tratta

Dettagli

89588/15 Alle Imprese di assicurazione e riassicurazione con sede legale in Italia LORO SEDI

89588/15 Alle Imprese di assicurazione e riassicurazione con sede legale in Italia LORO SEDI SERVIZIO NORMATIVA E POLITICHE DI VIGILANZA Roma 28 luglio 2015 Prot. n. All.ti n. 89588/15 Alle Imprese di assicurazione e riassicurazione con sede legale in Italia Alle Imprese capogruppo e, p.c. Rappresentanze

Dettagli

Regolamento degli Organi Aziendali, delle Funzioni di Controllo e Dei Flussi Informativi. Data approvazione CDA 23 gennaio 2015

Regolamento degli Organi Aziendali, delle Funzioni di Controllo e Dei Flussi Informativi. Data approvazione CDA 23 gennaio 2015 degli Organi Aziendali, delle Funzioni di Controllo e Dei Flussi Informativi Data approvazione CDA 23 gennaio 2015 SOMMARIO ART. 1 - DISPOSIZIONI PRELIMINARI... 4 ART. 2 - DEFINIZIONI... 5 ART. 3 PREMESSA...

Dettagli

L auto-valutazione dell ICAAP alla prova dei fatti: dalla teoria alla pratica

L auto-valutazione dell ICAAP alla prova dei fatti: dalla teoria alla pratica L auto-valutazione dell ICAAP alla prova dei fatti: dalla teoria alla pratica Fabio Salis Roma, 4 Giugno 2009 Agenda Cosa vi avevamo raccontato... Le funzioni aziendali coinvolte nel processo ICAAP Il

Dettagli

TECNICHE DI VALUTAZIONE DEL RISCHIO

TECNICHE DI VALUTAZIONE DEL RISCHIO Per conto di AICQ CN 1 - Autore Giovanni Mattana - Consigliere di Giunta AICQ CN Presidente della Commissione UNI per i Sistemi di Qualità La norma è intesa come un supporto per la Iso 31000 e fornisce

Dettagli

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo IX Convention ABI L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo BPR e BCM: due linee di azione per uno stesso obiettivo Ing. Alessandro Pinzauti Direttore

Dettagli

ORDINE DEGLI ATTUARI

ORDINE DEGLI ATTUARI La Funzione Attuariale in ottica Solvency 2 Coordinamento, gestione e controllo in materia di riserve tecniche A. Chiricosta Roma, 1 luglio 2014 Agenda Indicazioni dalla Lettera al mercato applicazione

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

Regolamento del Comitato Rischi di UBI Banca s.c.p.a.

Regolamento del Comitato Rischi di UBI Banca s.c.p.a. Regolamento del Comitato Rischi di UBI Banca s.c.p.a. 15 settembre 2015 1 Regolamento del Comitato Rischi di UBI Banca s.c.p.a. Compiti e regole di funzionamento (ex art. 49 dello Statuto) Premessa Ai

Dettagli

INTERNAL AUDIT. Presentazione. Livello II - A.A. 2014-2015 Edizione II. Contrattualistica, Fiscalità e Finanza 1

INTERNAL AUDIT. Presentazione. Livello II - A.A. 2014-2015 Edizione II. Contrattualistica, Fiscalità e Finanza 1 1 Riapertura dei termini iscrizioni Livello II - A.A. 2014-2015 Edizione II Presentazione La funzione di internal audit ha acquisito, negli anni, un ruolo di primaria importanza nell'ambito dell'adozione

Dettagli

Il Valore Aggiunto del Sistema dei Controlli Interni Integrato

Il Valore Aggiunto del Sistema dei Controlli Interni Integrato Il Valore Aggiunto del Sistema dei Controlli Interni Integrato La vista dell Organizzazione e la vista dell Audit Milano, 24 Aprile 2015 LA VISTA DELL ORGANIZZAZIONE Massimo Barazzetta, Responsabile Direzione

Dettagli

Allegati al documento: Politiche per la Gestione della Liquidità e Contingency Funding Plan (CFP)

Allegati al documento: Politiche per la Gestione della Liquidità e Contingency Funding Plan (CFP) Versione 2 Allegati al documento: Politiche per la Gestione della Liquidità e Contingency Funding Plan (CFP) Banca di Credito Cooperativo dei Comuni Cilentani Approvate con delibera del C.d.A. del 21 aprile

Dettagli

Retail Store Audit. Milano, 21 novembre 2012

Retail Store Audit. Milano, 21 novembre 2012 . Milano, 21 novembre 2012 Agenda Presentazione risultati Survey Modalità operative e leading practices Tavola Rotonda Presentazione risultati Survey. - 2 - La Survey Obiettivo: La ricerca condotta da

Dettagli

A C 263 A C R M. La proposta di Nexen per il supporto alla Gap Analysis

A C 263 A C R M. La proposta di Nexen per il supporto alla Gap Analysis A C 263 A C R M La proposta di Nexen per il supporto alla Gap Analysis Conformità alla circolare 263 Timeline e principali attività Entro il 31 dicembre 2013 i destinatari della presente disciplina inviano

Dettagli

Sistema di Controllo Interno Settore Assicurativo

Sistema di Controllo Interno Settore Assicurativo STUDIO BERETTA DOTTTARELLI DOTTORI COMMERCIALISTI ASSOCIATI Sergio Beretta Sistema di Controllo Interno Settore Assicurativo 1 Indice Obiettivi dell intervento Nota Metodologica Quadro dell attuale sistema

Dettagli

Sistema dei Controlli interni Gestione coordinata delle aree di miglioramento

Sistema dei Controlli interni Gestione coordinata delle aree di miglioramento Sistema dei Controlli interni Gestione coordinata delle aree di miglioramento Stefano Moni Resp. Servizio Validazione e Monitoraggio Convegno ABI - Basilea 3 Roma, 16-17 Giugno 2014 INDICE 1. INTRODUZIONE

Dettagli

ANMIL Progetto Security Bologna 22 ottobre 2014 L ingegneria dei Servizi Integrati di Security a supporto del Security Manager

ANMIL Progetto Security Bologna 22 ottobre 2014 L ingegneria dei Servizi Integrati di Security a supporto del Security Manager ANMIL Progetto Security Bologna 22 ottobre 2014 L ingegneria dei Servizi Integrati di Security a supporto del Security Manager Raffaele Rocco A.D. - AICOM Spa 1 PRESENTAZIONE di AICOM Spa AICOM Società

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

COMPOSIZIONE QUALITATIVA E QUANTITATIVA OTTIMALE DEL CONSIGLIO DI AMMINISTRAZIONE

COMPOSIZIONE QUALITATIVA E QUANTITATIVA OTTIMALE DEL CONSIGLIO DI AMMINISTRAZIONE COMPOSIZIONE QUALITATIVA E QUANTITATIVA OTTIMALE DEL CONSIGLIO DI AMMINISTRAZIONE APRILE 2015 1 INDICE 1 INTRODUZIONE... 3 2 OBIETTIVI DEL DOCUMENTO... 4 3 PROFILO TEORICO DEL CONSIGLIERE... 5 3.1 Ruoli

Dettagli

Politica per la Sicurezza

Politica per la Sicurezza Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato

Dettagli

Rischi operativi e ruolo dell operational risk manager negli intermediari finanziari

Rischi operativi e ruolo dell operational risk manager negli intermediari finanziari S.A.F. SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO L operational risk management in ottica regolamentare, di vigilanza ed organizzativa Rischi operativi e ruolo dell operational risk manager negli intermediari

Dettagli

CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES

CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES 1 CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT Il corso è finalizzato a illustrare in dettaglio le competenze richieste al Business Continuity Manager per guidare un progetto BCM e/o gestire

Dettagli

Associazione Italiana Information Systems Auditors

Associazione Italiana Information Systems Auditors Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM 2 A I E A Costituita a Milano nel 1979 Finalità:

Dettagli

Il nuovo provvedimento di Banca d Italia in tema di antiriciclaggio. www.iusletter.com

Il nuovo provvedimento di Banca d Italia in tema di antiriciclaggio. www.iusletter.com LaScala studio legale e tributario in association with Field Fisher Waterhouse Focus on Il nuovo provvedimento di Banca d Italia in tema di antiriciclaggio Giugno 2011 www.iusletter.com Milano Roma Torino

Dettagli

Vision strategica della BCM

Vision strategica della BCM Vision strategica della BCM BCM Ticino Day 2015 Lugano 18 settembre 2015 Susanna Buson Business Continuity Manager and Advisor CBCP, MBCI Agenda Business Continuity vs Business Resilience Business Continuity

Dettagli

ESSERE O APPARIRE. Le assicurazioni nell immaginario giovanile

ESSERE O APPARIRE. Le assicurazioni nell immaginario giovanile ESSERE O APPARIRE Le assicurazioni nell immaginario giovanile Agenda_ INTRODUZIONE AL SETTORE ASSICURATIVO La Compagnia di Assicurazioni Il ciclo produttivo Chi gestisce tutto questo Le opportunità di

Dettagli

XXIV Convegno AIEA. Il contributo dell IT Audit al governo e alla qualità dei processi IT aziendali. Siena, 21 ottobre 2010

XXIV Convegno AIEA. Il contributo dell IT Audit al governo e alla qualità dei processi IT aziendali. Siena, 21 ottobre 2010 XXIV Convegno AIEA Il contributo dell IT Audit al governo e alla qualità dei processi IT aziendali Siena, 21 ottobre 2010 Agenda Lo scenario di riferimento Il ruolo dell IT Audit nei diversi contesti Scelte

Dettagli

Il corretto approccio al Sistema di Gestione Aziendale per la Sicurezza e Salute OHSAS 18001:2007

Il corretto approccio al Sistema di Gestione Aziendale per la Sicurezza e Salute OHSAS 18001:2007 Il corretto approccio al Sistema di Gestione Aziendale per la Sicurezza e Salute OHSAS 18001:2007 GENERALITA Il Sistema di Gestione Aziendale rappresenta la volontà di migliorare le attività aziendali,

Dettagli

MODELLO TEORICO DEI REQUISITI DI PROFESSIONALITA DEGLI AMMINISTRATORI

MODELLO TEORICO DEI REQUISITI DI PROFESSIONALITA DEGLI AMMINISTRATORI MODELLO TEORICO DEI REQUISITI DI PROFESSIONALITA DEGLI AMMINISTRATORI Approvato dal Consiglio di Amministrazione nella seduta del 3 marzo 202 OBIETTIVI Ai fini del corretto assolvimento delle funzioni

Dettagli

Le tappe del reporting in Intesa Sanpaolo

Le tappe del reporting in Intesa Sanpaolo Le tappe del reporting in Intesa Sanpaolo Advanced Level GRI 3: A+ GRI Checked Organisational Stakeholder 2011 e 2012 Sviluppo di Rendicontazioni specializzate per Stakeholder Analisi di materialità Sintesi

Dettagli

Audit & Sicurezza Informatica. Linee di servizio

Audit & Sicurezza Informatica. Linee di servizio Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano

Dettagli

GESTIONE E CONTROLLO DEL RISCHIO FISCALE L architettura formativa di ABIFormazione

GESTIONE E CONTROLLO DEL RISCHIO FISCALE L architettura formativa di ABIFormazione PERCORSO FORMATIVO Modulo 1 12-14 maggio 2014 Modulo 2 3-5 giugno 2014 PERCORSO DI APPROFONDIMENTO 12-13 giugno 2014 23-24 giugno 2014 GESTIONE E CONTROLLO DEL RISCHIO FISCALE L architettura formativa

Dettagli

INFORMATIVA AL PUBBLICO AI SENSI DEL PROVVEDIMENTO BANCA D ITALIA 24 OTTOBRE 2007 TITOLO III CAPITOLO 1

INFORMATIVA AL PUBBLICO AI SENSI DEL PROVVEDIMENTO BANCA D ITALIA 24 OTTOBRE 2007 TITOLO III CAPITOLO 1 INFORMATIVA AL PUBBLICO AI SENSI DEL PROVVEDIMENTO BANCA D ITALIA 24 OTTOBRE 2007 TITOLO III CAPITOLO 1 Premessa Il Regolamento della Banca d Italia in materia di vigilanza prudenziale per le SIM (Titolo

Dettagli

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc. CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente

Dettagli

Attività indipendente di valutazione e verifica delle operazioni che si identifica nelle funzioni di indagine di:

Attività indipendente di valutazione e verifica delle operazioni che si identifica nelle funzioni di indagine di: 22-12-2009 1 Attività indipendente di valutazione e verifica delle operazioni che si identifica nelle funzioni di indagine di: affidabilità dei processi elaborativi qualità delle informazioni prodotte

Dettagli

CERTIQUALITY. Gli standard ISO 31000 per il RiskManagement ed ISO 22301 per la certificazione dei Sistemi di Gestione della Business Continuity

CERTIQUALITY. Gli standard ISO 31000 per il RiskManagement ed ISO 22301 per la certificazione dei Sistemi di Gestione della Business Continuity Per una migliore qualità della vita CERTIQUALITY Gli standard ISO 31000 per il RiskManagement ed ISO 22301 per la certificazione dei Sistemi di Gestione della Business Continuity Dott. Nicola Gatta Direzione

Dettagli

Modulo 1 Concetti di base della Qualità

Modulo 1 Concetti di base della Qualità Syllabus rev. 1.04 Modulo 1 Concetti di base della Qualità Il seguente Syllabus è relativo al Modulo 1, Concetti e approcci di base per la gestione della qualità in una organizzazione, e fornisce i fondamenti

Dettagli

La certificazione CISM

La certificazione CISM La certificazione CISM Firenze, 19 maggio 2005 Daniele Chieregato Agenda Ruolo del Security Manager Certificati CISM Domini Requisiti Ruolo del Security Manager La gestione della Sicurezza Informatica

Dettagli

Fabio Iraldo GEO Green Economy Observatory Università Bocconi

Fabio Iraldo GEO Green Economy Observatory Università Bocconi I nuovi modelli di gestione del rischio ambientale Come le fattispecie di reato introdotte dalla Legge 68/15 modificano i modelli di prevenzione del rischio e relazione con i sistemi di gestione ambientale

Dettagli