15 Aggiornamento Circolare 263/2006: Esternalizzazione di funzioni aziendali

Transcript

1 Informa(on and Communica(on Technology supply chain security 15 Aggiornamento Circolare 263/2006: Esternalizzazione di funzioni aziendali Luca Lazzaretto Rosangela D'Affuso Padova, 29 aprile

2 15 Aggiornamento Circolare 263/2006: Esternalizzazione di funzioni aziendali 2

3 Information and Communication Technology supply chain security Sponsor dell evento Partner di ISACA VENICE Chapter CSQA Cer(ficazioni Srl, azienda accreditata da ACCREDIA e APMG- Interna(onal 3

4 Information and Communication Technology supplay chain security ISACA VENICE PER L ATTIVITA SVOLTA NEL 2014 HA RICEVUTO I SEGUENTI AWARD: BEST MEDIUM CHAPTER WORLDWIDE AND EUROPE/AFRICA GROWTH MENTION Sponsor e sostenitori di ISACA VENICE Chapter Con il patrocinio di Sviluppo delle strategie di outsourcing nel mercato ICT Luca Lazzare9o e Rosangela D'Affuso 4

5 Luca Lazzaretto Manager di KPMG Advisory, ha conseguito la laurea specialis(ca in ingegneria delle Telecomunicazioni presso la Facoltà di ingegneria dell università di Padova nel Ha successivamente iniziato a lavorare in Accenture S.p.A. all interno della LoS Technology Consul(ng Security Informa(on e nel 2012 ha iniziato a lavorare in KPMG Advisory all interno della LoS Informa(on Risk Management dove ad oggi ricopre il ruolo di Manager. Nel corso degli anni ha partecipato a svaria( proge\ rela(vi all IT Security, IT Strategy, IT Governance, Risk and Compliance, Business Con(nuity e Iden(ty & Access Management, sia in contes( italiani che esteri. A^ualmente segue proge\ lega( al mondo dell Industry Financial and Insurance Services e nell ul(mo anno si è occupato di IT Security Assessment, sviluppo e implementazione di tool GRC (Governance Risk and Compliance) e compliance rela(va al 15 aggiornamento Circolare n. 263/2006 di Banca d Italia. Le a^uali cer(ficazioni in possesso sono rela(ve al CISA, ISO Lead Auditor, ITIL v3 Founda(on, RSA Archer Admin e BS25999 Lead Auditor. 5

6 Rosangela D'Affuso Specialista di Veneto Banca in ambito IT Governance, ha conseguito la laurea specialis(ca in Intelligenza Ar(ficiale e Robo(ca della Facoltà di Ingegneria Informa(ca presso il Politecnico di Milano nel Ha iniziato a lavorare fin da subito nel se^ore bancario approdando nel 2008 in CheBanca! e nel 2013 in Veneto Banca, all interno della Divisione Opera(ons. Nel corso degli anni ha partecipato a diversi proge\ rela(vi ad IT Strategy, IT Governance, Business Con(nuity, Risk and Compliance e IT Security. A^ualmente segue proge\ lega( all implementazione di un Service Desk aziendale e alla compliance ai principali adempimen( in materia Privacy; nell ul(mo anno si è occupata come capo proge^o di compliance ai Capitoli 8 e 9 del 15 aggiornamento Circolare n. 263/2006 di Banca d Italia. Le a^uali cer(ficazioni in possesso sono rela(ve a Lean Six Sigma, Business Con(nuity Ins(tute (BCI), ITIL v3 Intermediate Service Design, ITIL v3 Founda(on; ha inoltre seguito i corsi CRISC, COBIT 4.1, Project Management Ins(tute (PMI). 6

7 Abstract Alla luce delle nuove disposizioni di vigilanza prudenziale per le Banche 15 aggiornamento circolare n. 263/2006 emanato da Banca d Italia nel 2013 è stata introdo^a un organica disciplina in materia di esternalizzazione di funzioni aziendali. Il ricorso all esternalizzazione è funzionale ad accrescere la flessibilità organizza(va delle Banche che possono così dedicare maggiori risorse al core business oltre che a perseguire obie\vi di riduzione dei cos(. In par(colare, il ricorso all outsourcing è ammesso, in coerenza con l apposita poli(ca che deve essere definita in materia, purché le Banche presidino a^entamente i rischi derivan( dalle scelte effe^uate e mantengano la capacità di controllo e la responsabilità delle a\vità esternalizzate. I requisi( richies( per procedere all outsourcing di funzioni aziendali sono gradua( in modo diverso a seconda del caso in cui si tra\ di esternalizzazione verso terza parte o internalizzazione verso una società del gruppo e che l ambito riguardi funzioni opera(ve importan( (quali ad esempio i sistemi informa(vi) o funzioni di controllo. Obie\vo dell approfondimento consiste nel fornire una breve panoramica dei requisi( e dei vincoli introdo\ dalla norma(va di riferimento supporta( dalla presentazione di Business Case circa l impianto documentale implementato da Veneto Banca S.C.p.A. 7

8 Agenda Introduzione L'esternalizzazione: norma(va di riferimento Business Case 8

9 Agenda Introduzione Contesto norma?vo di riferimento ObieCvi della norma Overview della norma Tempis?che di adeguamento L'esternalizzazione Business Case 9

10 Introduzione Contesto normativo di riferimento Banca d'italia, a luglio 2013, ha emanato il 15 aggiornamento della circolare n. 263/2006 "Nuove disposizioni di vigilanza prudenziale per le banche", introducendo capitoli dedica? al: Il Sistema dei Controlli Interni (Capitolo 7) Il Sistema Informa(vo (Capitolo 8) La Con(nuità Opera(va (Capitolo 9) IL SISTEMA DEI CONTROLLI INTERNI (CAP.7) LA CONTINUITÀ OPERATIVA (CAP.9) IL SISTEMA INFORMATIVO (CAP.8) 10

11 Introduzione Obiettivi della normativa La norma?va introdo9a è finalizzata a: rafforzare le capacità delle banche nella ges(one dei rischi aziendali rivedere in modo organico ed omogeneizzare il quadro norma(vo rela?vo alla materia in ogge9o incorporare e promuovere best prac@ces Tali innovazioni sono volte a (ri)definire i principi e le linee guida cui le Banche si devono uniformare, in termini di organizzazione, ruoli e compi? di organi/funzioni aziendali, sviluppo e ges?one del sistema informa(vo, adeguatezza dei presidi e dei livelli di con(nuità opera(va 11

12 Introduzione Overview della normativa Le priorità di intervento rela?ve alle principali novità introdo9e possono essere sinte?zzate nei seguen? pun?: 1. Implementazione di un Risk Appe)te Framework 2. Disegno di un processo di ges?one integrata dei rischi 3. Disegno di un compliance framework 4. Estensione del perimetro del RM sul monitoraggio andamentale delle posizioni credi?zie 5. Definizione processo per iden?ficazione e approvazione operazioni maggior rilievo 6. Collocazione organizza?va delle funzioni di controllo 7. Raccordo (policy e processi) tra organi e funzioni di controllo aziendali 8. Previsione di apposita policy di esternalizzazione vs terze par? chiave SISTEMA DEI CONTROLLI INTERNI (CAP.7) CONTINUITÀ OPERATIVA (CAP.9) SISTEMA INFORMATIVO (CAP.8) 14. Comunicazione degli inciden? e dei fa9ori anomali rilevan? alle stru9ure preposte alla dichiarazione dello stato d emergenza 9. L'analisi e la ges?one del rischio informa?co 10. Formalizzazione compi? e responsabilità delle funzioni: ICT, Sicurezza Informa?ca, Controllo del rischio Informa?co e compliance ICT (governo e organizzazione del sistema informa?vo) 11. Definizione di uno standard aziendale di Data governance 12. La ges?one della sicurezza informa?ca (definizione delle policy rela?ve alla sicurezza, cambiamento, etc.) 13. Definizione di una poli?ca di esternalizzazione ICT e revisione dei contrac 15. Introduzione di una stru9ura per il coordinamento della ges?one delle crisi opera?ve 12

13 Introduzione Tempistiche di adeguamento Banca d'italia ha inoltre definito una?meline di adeguamento, riportata nel seguito, volta ad iden?ficare le varie scadenze di adeguamento per le Banche lug gen lug feb lug lug 02/07/2013 Entrata in vigore delle disposizioni 31/01/2014 Invio Relazione a Banca d Italia del Self Assessment effe?uato dalle Banche 01/07/2014 Efficacia disposizioni Capitoli 7 e 9 01/02/2015 Efficacia disposizioni Capitolo 8 01/07/2015 Efficacia disposizioni su funzioni risk management e compliance (Cap. 7, sez. III,par.1, le?. b) 01/07/2016 Efficacia esternalizzazione di funzioni aziendali (Cap 7, sez. IV, V) e del sistema informa)vo (Cap. 8, sez. VI ) 30 mesi c.a. Tempis(ca di adeguamento totale per la parte di esternalizzazione e adeguamento dei contra\ 13

14 Agenda Introduzione L'esternalizzazione ObieCvo Quando si parla di esternalizzazione? Definizioni Perimetro di rifermento Elemen? cos?tu?vi Elemen? chiave Esternalizzazione al di fuori del Gruppo Esternalizzazione del sistema informa?vo Business Case 14

15 L'esternalizzazione Obiettivo Lo schema di disciplina nella Sezione IV "Esternalizzazione di funzioni aziendali (outsourcing) al di fuori del gruppo" del Cap. 7 e della sezione IV "L'esternalizzazione del sistema informa@vo" del Cap.8 della norma?va di riferimento, definisce un quadro organico di principi e requisi? in materia di esternalizzazione delle funzioni aziendali Con queste disposizioni, Banca d Italia consolida le indicazioni sull esternalizzazione contenute nelle disposizioni di vigilanza emanate e le integra recependo le linee guida sull outsourcing del CEBS del 14 dicembre 2006 Obie\vo perseguito da Banca d Italia è assicurare che le Banche che ricorrono all esternalizzazione di funzioni aziendali, presidino i rischi derivan( dalle scelte effe^uate 15

16 L'esternalizzazione Obiettivo Come può un'organizzazione presidiare corre9amente i rischi derivan? dal fa9o di aver esternalizzato delle acvità presso una terza parte? Mantenendo la capacità di controllo Come? Mantenendo la responsabilità sulle a\vità esternalizzate Mantenendo le competenze essenziali per reinternalizzare Deve essere definita e approvata una poli(ca rela(va all'esternalizzazione emanata a livello aziendale che definisca e indirizzi tu9e queste tema?che in una linea guida di alto livello e, successivamente, contestualizzata in un processo chiaro e stru^urato 16

17 L'esternalizzazione Quando si parla di esternalizzazione? Risulta fondamentale iden?ficare corre9amente quando si parla di esternalizzazione. A tal proposito, Banca d'italia fornisce una descrizione esplicita sull'esternalizzazione, riporta di seguito l'estra9o della norma?va di riferimento* esternalizzazione: l accordo in qualsiasi forma tra una banca e un fornitore di servizi in base al quale il fornitore realizza un processo, un servizio o un aavità della stessa banca." Si parla di "esternalizzazione" quando un processo, un servizio o un a\vità cara^eris(ci della Banca viene affidato ad un fornitore terzo (all interno o all esterno del gruppo bancario) nonostante la Banca possieda potenzialmente le capacità tecniche per poterlo eseguire. (*) 15 aggiornamento circolare 263/2006, TITOLO V Cap.7, Sezione I, Par. 3 "Definizioni" 17

18 L'esternalizzazione Altre definizioni connesse all'esternalizzazione Si riportano nel seguito altre definizioni u?li per contestualizzare specifici aspec rela?vi all'esternalizzazione funzioni aziendali di controllo : la funzione di conformità alle norme (compliance), la funzione di controllo dei rischi (risk management func)on) e la funzione di revisione interna (internal audit) funzione opera@va importante FOI : una funzione opera)va per la quale risulta verificata almeno una delle seguen) condizioni: un anomalia nella sua esecuzione o la sua mancata esecuzione possono comprome?ere gravemente: a) i risulta) finanziari, la solidità o la con)nuità dell aavità della banca; ovvero b) la capacità della banca di conformarsi alle condizioni e agli obblighi derivan) dalla sua autorizzazione o agli obblighi previs) dalla disciplina di vigilanza; riguarda aavità so?oposte a riserva di legge; riguarda processi opera)vi delle funzioni aziendali di controllo o ha un impa?o significa)vo sulla ges)one dei rischi aziendali. (*) 15 aggiornamento circolare 263/2006, TITOLO V Cap.7, Sezione I, Par. 3 "Definizioni" 18

19 L'esternalizzazione Perimetro dell'esternalizzazione Controllo Responsabilità Reinternalizzare Forniture ele?ricità Prestazioni professionali Promotori per offerta fuori sede Contraa di consulenza Info providers PERIMETRO ESTERNALIZZAZIONE FOI Non si considerano esternalizzate le acvità affidate all esterno che non possono essere svolte nell ambito della banca (ad esempio le u?li?es per energia, rete di telecomunicazione, etc.) Funzioni aziendali esternalizzabili stre9amente connesse al business e che comportano un possibile rischio (es. compliance, opera?vo, reputazionale) Funzioni opera(ve importan( (FOI) che comportano livello di rischio alto (incluse funzioni di controllo) 19

20 L'esternalizzazione Le Funzioni Operative Importanti Controllo Responsabilità Reinternalizzare Funzioni Opera(ve Importan( FOI: Chi sono? Non determinabile univocamente poiché potrebbe dipendere dalle cara9eris?che di ciascuna Banca, dal modello di business ado9ato, dal valore dell esternalizzazione, etc. Alcuni Esempi di Funzioni Opera?ve Importan? riconosciute da Banca d'italia sono: Back office Sistema informa?vo Funzioni di Controllo Tra9amento contante/tra9amento valori Processor delle carte/pos Ges?one canali telema?ci (call center, help desk) Ges?one patrimoni (Finanza) Segnalazioni di Vigilanza Etc 20

21 L'esternalizzazione Responsabilità Controllo Responsabilità Reinternalizzare Introduzione della figura del Referente per le anvità Esternalizzate Introduzione della nomina del "referente per le a\vità esternalizzate", figura aziendale che deve possedere adegua? requisi? di professionalità ed ha il compito di garan?re la conservazione delle competenze richieste per controllare efficacemente le funzioni esternalizzate e per ges?re i rischi connessi all esternalizzazione, inclusi quelli derivan? da potenziali conflic di interessi dell outsourcer. Organi con Funzione di Supervisione Strategica (ad esempio CdA delle Banche) Valutazione e approvazione dell'esternalizzazione basata su un processo di selezione dell'outsourcer tramite una specifica analisi del rischio, che considera in primo luogo la s?ma dei rischi delle risorse e servizi da esternalizzare e quindi valuta i rischi dei possibili fornitori (ad es., condizioni finanziarie, posizionamento sul mercato, qualità e turnover del management e del personale, capacità di ges?re la con?nuità opera?va e di fornire accura? e tempes?vi report direzionali sull acvità svolta, competenza ed esperienza, qualità e sicurezza nonché economicità e maturità, in un adeguato orizzonte temporale, della fornitura) Funzioni di Controllo Non è ammessa l esternalizzazione delle Funzioni di Controllo della Capogruppo a soggec esterni al Gruppo. Le Società del Gruppo possono esternalizzare le loro Funzioni aziendali di Controllo solo ed esclusivamente alla Capogruppo: non è ammessa l esternalizzazione di de9e funzioni ad outsourcer esterni al Gruppo. 21

22 L'esternalizzazione Vincoli all'esternalizzazione Controllo Responsabilità Reinternalizzare AsseTo Divieto di delegare responsabilità aziendali e degli organi aziendali. Ad esempio, il divieto di esternalizzare acvità che riguardano aspec nevralgici del processo di erogazione del credito (per esempio la valutazione e il monitoraggio del merito del credito) Tutela del cliente Divieto di alterare il rapporto e gli obblighi nei confron( dei suoi clien( Compliance Divieto di creare le condizioni per: disa9endere gli obblighi previs? dalla disciplina di vigilanza violare le riserve di acvità previste dalla legge. Divieto di ostacolare la vigilanza Sistema dei controlli interni Divieto di pregiudicare la qualità del sistema dei controlli interni Divieto di esternalizzare funzioni aziendali di controllo se non coerente con i limi? e le condizioni previs? al par. 2 della Sezione IV 22

23 L'esternalizzazione Capacità di reinternalizzare Controllo Responsabilità Reinternalizzare Par?colare a9enzione ha destato tra le Banche la previsione norma?va che richiede alle stesse di mantenere le competenze tecniche e ges?onali per reinternalizzare le funzioni aziendali esternalizzate A riguardo, l Autorità di Vigilanza nel Resoconto della Consultazione specifica quanto segue: La disciplina in materia di esternalizzazione prevede che la società tra?enga le competenze necessarie per poter reinternalizzare le funzioni esternalizzate in caso di necessità. Si ri)ene che il mantenimento di competenze essenziali concernen) l aavità esternalizzata sia necessario, non solo per consen)re l effenvità dei controlli sul fornitore di servizi, ma anche per non arrecare pregiudizio all opera@vità aziendale nei casi in cui sia necessaria una reinternalizzazione. In generale, la valutazione delle competenze ritenute effeavamente necessarie è, innanzitu?o, rimessa all intermediario stesso. 23

24 L'esternalizzazione Capacità di reinternalizzare Controllo Responsabilità Reinternalizzare Esternalizzazione al di fuori del Gruppo Bancario Esternalizzazione all'interno del Gruppo Bancario COSA SIGNIFICA? Possibilità di svolgere adeguatamente una valutazione circa l opportunità di reinternalizzare o affidare a terzi il servizio non più svolto dalla capogruppo o dalla società del gruppo COSA SIGNIFICA? La policy dovrebbe iden?ficare i casi in cui il rischio di reinternalizzare è par(colarmente alto (es. fornitore monopolista). Negli altri casi potrebbe essere opportuno mantenere le competenze per il controllo e dotarsi di procedure formalizzate per ges(re l affidamento ad altri fornitori (in caso sia impossibile reinternalizzare) 24

25 L'esternalizzazione Elementi costitutivi dell'esternalizzazione Gli elemen? cos?tu?vi dell'esternalizzazione sono defini? all'interno della norma?va e prevedono alcuni elemen? obbligatori richies? da BankIt, tra i quali la realizzazione del documento principale in ambito all'esternalizzazione, la Policy di Esternalizzazione Policy di Esternalizzazione Processo decisionale Presidi adottati Criteri di selezione del fornitore Revisione contratti di outsourcing Criteri selez. fornitore Valutaz. rischi Funz. coinvolt e Support o funz. esternal. Segnalaz eventi / situaz. anomale Nomina referent e Competenz e, capacità, autoriz Valutaz. rischi Funz. coinvolt e SLA Flussi informativi Contin. operativa Comunicazioni verso BankIt La Policy di Esternalizzazione è definita e a^uata dall Organo con Funzione di Ges(one (OFG) e approvata dall Organo con Funzione di Supervisione (OFSS) 25

26 L'esternalizzazione Elementi chiave di una Policy di Esternalizzazione Gli "Elemen( chiave" di una Policy di Esternalizzazione: Definizione di linee guida per tu9e le?pologie di esternalizzazioni (i.e. funzioni aziendali vs FOI; esternalizzazione all interno del gruppo vs all esterno; ) Definizione di principi generali (es. principi e?ci per la scelta del fornitore, per la ges?one di conflic d interesse, ) Definizione delle modalità per la determinazione del (po di esternalizzazione, del livello di importanza e delle funzioni coinvolte (es. tavolo interfunzionale di valutazione delle esternalizzazioni) Definizione di criteri per l individuazione della (pologia di contra^o (es. con / senza possibilità di sub- esternalizzare) Definizione criteri e processo interno per la definizione delle funzioni opera(ve importan( (FOI) (es. funzioni che non possono essere esternalizzate, ) 26

27 L'esternalizzazione Esternalizzazione al di fuori del Gruppo Bancario Processo decisionale di esternalizzazione Stabilire il processo decisionale per esternalizzare le funzioni aziendali specificando: i livelli decisionali e le funzioni coinvolte la valutazione: dei rischi e dell impa9o sulle funzioni aziendali dei rischi connessi con potenziali conflic di interesse del fornitore di servizi degli impac in termini di con?nuità opera?va i criteri per la scelta e la due diligence del fornitore ContraTualis@ca Definire il contenuto minimo dei contrac di outsourcing Definire i livelli di servizio a9esi delle acvità esternalizzate Modalità di controllo Stabilire la modalità di controllo nel con?nuo Stabilire la modalità di coinvolgimento della funzione di revisione interna Flussi informa@vi Ges@one emergenze Stabilire i flussi informa?vi per assicurare la piena conoscenza e governabilità dei fa^ori di rischio rela?vi alle funzioni esternalizzate: agli organi aziendali alle funzioni aziendali di controllo Definire i piani di con(nuità opera(va (clausole contra9uali, piani opera?vi, ecc.) in caso di non corre9o svolgimento delle funzioni esternalizzate da parte del fornitore di servizi 27

28 L'esternalizzazione Esternalizzazione del Sistema Informativo Con riferimento al Sistema Informa?vo, considerato a tuc gli effec esternalizzazione di una Funzione Opera?va Importante FOI, la norma?va impone che nell elaborazione del modello archite9urale e delle strategie di esternalizzazione devono essere considera? approcci tesi a contenere, per quanto possibile, il grado di dipendenza da specifici fornitori e partner tecnologici esterni al gruppo (vendor lock- in) a seconda del?po di outsourcing esternalizzato (Full outsourcing, outsourcing ver)cale e/o orizzontale) L'obieCvo risulta essere quindi, per quanto possibile, la salvaguardia della possibilità di sos(tuire la fornitura con un altra funzionalmente equivalente (ad es., privilegiando il ricorso a standard aper? per le connessioni, la memorizzazione e lo scambio di da?, la cooperazione applica?va) e prevedendo opportune exit strategies. FULL OUTSOURCING Outsourcing Ver(cale Specifici Processi Opera?vi Specifici Processi Opera?vi Specifici Processi Opera?vi Specifici Processi Opera?vi Facility Management Outsourcing Orizzontale Applica?on Management Help- Desk Tecnico 28

29 L'esternalizzazione Esternalizzazione del Sistema Informativo Referente per l anvità esternalizzata Contenu@ del contrato con fornitori di sistemi e servizi ICT Comunicazioni obbligatorie a Banca d'italia Nel caso di full outsourcing della funzione ICT, al referente per l acvità esternalizzata è assegnata la responsabilità di seguire la pianificazione dei progec informa?ci; la stessa figura garan?sce, in collaborazione con il fornitore di servizi, la realizzazione degli opportuni meccanismi di raccordo con le linee di business L obbligo per il fornitore di servizi di osservare la policy di sicurezza informa?ca aziendale La proprietà di da?, souware, documentazione tecnica, e altre risorse ICT La periodica produzione delle copie di backup del sistema informa?vo La ripar?zione dei compi? e delle responsabilità acnen? i presidi di sicurezza Le procedure in caso di inciden? di sicurezza informa?ca e di con?nuità opera?va La definizione di livelli di servizio coeren? con le esigenze La predisposizione di misure di tracciamento idonee La possibilità per l intermediario di conoscere informazioni circa i data center L obbligo di eliminare qualsiasi copia o stralcio di da? riserva? di proprietà dell intermediario Includono i risulta? dell analisi dei rischi che considera la s?ma dei rischi delle risorse e servizi da esternalizzare e valuta la qualità dei sub- fornitori, la ridondanza delle linee di comunicazione u?lizzate nonché l affidabilità, la sicurezza e la scalabilità delle tecnologie ado9ate Limitatamente agli intermediari delle macro- categorie 1 e 2 a fini SREP la descrizione delle exit strategies previste Tu^e le tema(che rela(ve al caso specifico di outsourcing del Sistema Informa(vo devono essere indirizzate all'interno della Policy di Esternalizzazione 29

30 L'esternalizzazione Approccio progettuale tipico di adeguamento Fase 1 Definizione della Policy di esternalizzazione Fase 2 Adeguamento dei contra\ Fase 3 Adeguamento dell opera(vità Definire il processo decisionale a9raverso il quale giungere alla esternalizzazione, avendo cura di verificare il rispe9o del requisito di proporzionalità Definire il criterio per iden(ficare le funzioni opera(ve importan( Iden?ficare gli ambi( che non possono essere ogge^o di esternalizzazione Iden?ficare le competenze ritenute necessarie per reinternalizzare... Analisi dei contra\ in essere al fine di verificare che siano rispe9a? tuc i requisi? previs? dalla policy e in par?colare quelli specifici previs? per le funzioni opera?ve importan? Verifica dei requisi( del fornitore di servizi Iden?ficazione delle integrazioni necessarie Adeguamento dei contrac Accordo con il fornitore di servizi... Aggiornare le modalità di ges(one delle a\vità in outsourcing: modalità di controllo flussi informa?vi piani di emergenza responsabili... Mantenere le capacità tecniche e ges(onali essenziali per reinternalizzare le a\vità L'elenco delle a\vità non è esaus(vo e dipende prevalentemente dal contesto e dal perimetro in ambito 30

31 Agenda Introduzione L'esternalizzazione Business Case Il perimetro Gli a9ori coinvol? I deliverable La Policy di esternalizzazione Il Framework di revisione contra9uale Il Template contra9uale standard La Policy di Exit Strategy L aggiornamento dei contrac FOI 31

32 Business Case Veneto Banca In o9emperanza alle Nuove disposizioni di vigilanza prudenziale per le banche, nel 2014 Veneto Banca ha avviato nell ambito del proge9o Compliance 263 Capitolo 8 uno specifico can?ere proge9uale rela?vo all'esternalizzazione delle funzioni aziendali. Il can?ere ha dato seguito a quanto previsto dalla Norma?va nei Capitoli 7* e 8** ponendosi come obiecvi: la redazione dei documen( previs? in ambito norma?vo la definizione del Framework di revisione contra^uale la revisione dei contra\ di outsourcing (*) 15 aggiornamento circolare 263/2006, TITOLO V Cap.7, Sezione IV "Esternalizzazione di funzioni aziendali (outsourcing) al di fuori del gruppo bancario" (**) 15 aggiornamento circolare 263/2006, TITOLO V Cap.8, Sezione VI "L esternalizzazione del sistema informa)vo" 32

33 Business Case Il perimetro In perimetro al proge9o di adeguamento alla Norma?va e con par?colare riferimento al can?ere dell esternalizzazione, sono state condo9e specifiche acvità volte a definire: 1. Policy di Esternalizzazione 1.a Framework di revisione contra^uale 1.b Template Contra^uale Standard 2. Policy di Exit Strategy 2. Aggiornamento contra\ FOI Nel seguito si riportano dei brevi estra\ per ciascuno dei deliverable prodo\ 33

34 Business Case Prerequisito Gli attori coinvolti Commitment da parte di tu9e le Funzioni necessarie e dei principali Stakeholder 1. Policy di Esternalizzazione 1.a Framework di revisione contra^uale 1.b Template Contra^uale Standard 2. Policy di Exit Strategy 2. Aggiornamento contra\ fornitori FOI Procurement Consulenza Legale Compliance Organizzazione Direzione IT Aspe\ generali sulla ges(one del ciclo di vita contra^uale Aspe\ legali su ar(coli contra^uali Aderenza alla norma(va di riferimento Aspe\ su servizio erogato e modello di ges(one dell'outsourcer Aspe\ tecnici e su livelli di servizio 34

35 Business Case 1. La Policy di Esternalizzazione: scopo 1.a Framework di revisione contra^uale 1. Policy di Esternalizzazione 2. Policy di Exit Strategy 1.b Template Contra^uale Standard 2. Aggiornamento contra\ fornitori FOI La Policy di Esternalizzazione ha lo scopo di: disciplinare il processo di esternalizzazione di funzioni aziendali internamente (insourcing) o esternamente al Gruppo (outsourcing), iden?ficando le fasi, i ruoli e le responsabilità degli Organi e delle Funzioni aziendali a vario?tolo coinvolte definire il sistema di regole di riferimento finalizzato a garan?re la trasparenza dei processi di selezione, il controllo e la mi?gazione dei rischi connessi alle a\vità svolte dagli outsourcer, ponendo le basi affinché le stesse siano effe9uate nel rispe9o dei ruoli e delle responsabilità definite e di specifici criteri di presidio dei rischi definire il contenuto minimo dei contra\ di outsourcing e i livelli di servizio a^esi delle acvità esternalizzate e iden?ficare le modalità di controllo, nel con?nuo, delle funzioni esternalizzate formalizzare i flussi informa(vi interni vol? ad assicurare agli Organi aziendali e alle Funzioni di Controllo la piena conoscenza e governabilità dei fa9ori di rischio rela?vi alle funzioni esternalizzate 35

36 Business Case 1. La Policy di Esternalizzazione: struttura del documento Introduzione ObieCvi Ambito di applicazione della Policy Riferimen? norma?vi Glossario 1.a Framework di revisione contra^uale 1. Policy di Esternalizzazione 2. Policy di Exit Strategy 1.b Template Contra^uale Standard 2. Aggiornamento contra\ fornitori FOI Definizioni Definizioni di esternalizzazione e di Funzione Opera?va Importante (FOI)" u?lizzate lungo la Policy e coeren? con quanto previsto dalle disposizioni di Banca d'italia 1. Individuazione delle esigenze di esternalizzazione e analisi preliminare 2. Analisi tecnica 3. Selezione e valutazione del fornitore Elemen@ guida e iter del processo di esternalizzazione 4. Approvazione operazione di esternalizzazione 5. Comunicazione preven?va dell operazione alla Banca d Italia 6. Definizione del contra9o di esternalizzazione 7. Approvazione e perfezionamento dell accordo e acvazione del servizio 8. Ges?one opera?va del rapporto e valutazione delle prestazioni del fornitore 9. Repor?ng e comunicazioni verso Banca d Italia Misure semplificate in caso di esternalizzazione di funzioni non FOI Esternalizzazione di funzioni rilevan@ di par@colare cri@cità Con riferimento all esternalizzazione di Funzioni Opera?ve non Importan?, la Banca valuta a seconda dei casi e della cri?cità della funzione ogge9o di esternalizzazione, l iter da prevedere ai fini del compimento dell operazione sebbene la linea guida seguita è generalmente comune per FOI e non FOI Esternalizzazione di sistemi e servizi ICT Definizione del processo decisionale in merito all esternalizzazione di sistemi e servizi ICT comprensivo della valutazione degli elemen? che possono determinare il successo o l insuccesso delle strategie aziendali. Il processo pone l'a9enzione alla valutazione dei rischi che le scelte di esternalizzazione comportano e la valutazione delle misure adeguate per il loro contenimento Esternalizzazione del servizio di tra^amento del contante Per i servizi specifici quali quello del tra9amento del contante, è definito il processo volto alla scelta del contraente, che deve fondarsi sull accertamento della sua piena affidabilità, tali controlli considerano la corre9ezza della ges?one e dell adeguatezza delle stru9ure e dei processi organizza?vi, sia nell esercizio di efficaci controlli successivi, da svolgere nel con?nuo per verificare l ordinato e corre9o svolgimento dell acvità nel pieno rispe9o delle norme vigen? Allega@ Processo decisionale esternalizzazione Template standard RfP Griglia di valutazione per RfP Checklist di revisione cotnra9uale Griglie di valutazione per albo fornitori 36