Servizi High. Value Audit. Aree di intervento per aumentare il valore delle attività di Internal Audit

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Servizi High. Value Audit. Aree di intervento per aumentare il valore delle attività di Internal Audit"

Transcript

1 Protiviti s High Value Audits are a series of audits programs that provide you with better information for decision-making regarding the systems and processes that drive technology, compliance or operational efforts. Because of Protiviti s expertise, and the tight focus of the programs, the audits are executed in a short amount of time so that you can keep costs low while quickly identifying opportunities to improve performance and reduce expenses Servizi High Value Audit Aree di intervento per aumentare il valore delle attività di Internal Audit

2 Contenuti Slide Premessa 3 Cosa dicono gli Standard IIA 4 Spunti di riflessione per i Responsabili Internal Audit 5 Opportunità e benefici dell High Value Audit 6 I nostri Servizi High Value Audit 7 Technology Risk Consulting 8 Product & Services 21 2

3 Premessa 3

4 Cosa dicono gli Standard Internazionali per la Pratica Professionale dell Internal Audit L Internal Audit assiste l organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi di controllo, di gestione dei rischi e di corporate governance Definizione di Internal Auditing da Standard IIA Il Responsabile Internal Auditing deve gestire in modo efficace l attività al fine di assicurare che essa apporti valore aggiunto all organizzazione Standard IIA 2000 Si conferisce valore aggiunto quando, tramite servizi di assurance e di consulenza, vengono migliorate le prospettive di raggiungimento degli obiettivi dell organizzazione, vengono identificati miglioramenti operativi oppure ridotte le esposizioni al rischio Glossario degli Standard IIA 4

5 Spunti di riflessione Misurare il valore creato dalle attività di Internal Auditing non è facile Tuttavia fornire una risposta ad alcuni semplici quesiti può aiutare il Responsabile Internal Audit a comprendere il grado di capacità della propria Funzione di creare valore per l organizzazione: Il Piano delle attività di Audit è di tipo risk-based, ovvero focalizzato sulle aree di attività a maggior rischio per l azienda, come richiesto dagli Standard IIA? Gli interventi di audit sono focalizzati sui processi, sistemi informativi ed aree organizzative maggiormente critiche per il raggiungimento degli obiettivi aziendali? I suggerimenti forniti al termine degli incarichi di audit possono essere agevolmente misurati in termini di efficienza o miglioramento delle performance che sarebbero generati dalle soluzioni proposte? Il Vertice aziendale percepisce correttamente il valore generato dalle attività di Internal Audit svolte dalla Funzione? Come è possibile incrementare il valore aggiunto generato dagli interventi di audit svolti o pianificati? 5

6 Opportunità e benefici dell High Value Audit Con il termine High High Value ValueAudit AuditProtiviti identifica identifica quegli quegli interventi interventi in in aree aree ad ad alto alto Con il termine High rischio rischio ed ed elevata elevata esigenza esigenza di di specializzazione, specializzazione, nell ambito nell ambito delle delle quali quali la la funzione funzione può può fornire fornire al al Management Management indicazioni indicazioni e suggerimenti suggerimenti di di valore valore,, misurabili misurabili e concretamente concretamente percepibili percepibili dal dal Management, Management, in in grado grado di di far far riconoscere riconoscere l Internall l Internal Audit Audit quale quale consulente consulente di di riferimento riferimento in in tema tema di di governance, governance, rischi rischi e controlli controlli interni. interni. Tali interventi permetterebbero altresì alla funzione Internal Audit di beneficiare dei seguenti risultati: Migliore conoscenza del business aziendale e delle dinamiche di settore Migliorata e specialistica conoscenza degli obiettivi e dei fattori critici di successo del business Migliore comprensione dell ambiente di Controllo Interno a livello aziendale Migliore conoscenza dei rischi legati al business aziendale Migliore pianificazione, esecuzione e reporting degli interventi di Internal Auditing, mediante tecniche e metodologie specifiche per tipologia di intervento Migliore identificazione degli specifici Value Drivers aziendali e delle aspettative degli Stakeholders 6

7 I nostri servizi High Value Audit Protiviti dispone delle competenze e professionalità per supportare la Vostra funzione nell esecuzione di interventi nelle seguenti aree*: TECHNOLOGY RISK TECHNOLOGY CONSULTING RISK CONSULTING IT Risk Assessment IT Governance Technology Change Management IT Service Management Project Risk Management IT Asset Management ERP Security Management IT Business Continuity Payment Card Industry Data Security Standard Identity Management Data Privacy & Security Spreadsheet Risk Management Spend Risk Assessment Telecom Cost Management Supply Chain Management Contract Management Crisis Management & Business Continuity Intellectual Property Management Royalty Audit Retail Store Audit Fraud Audit Finance Process Effectiveness Commodity Risk Management Treasury & Financial Trading Management Financial Instruments PRODUCT & PRODUCT SERVICES & SERVICES * si precisa che in aggiunta ai servizi sopraindicati, Protiviti dispone di un set di soluzioni HVA dedicate a specifiche Industry (ad es. Settore Finanziario), non illustrate nel presente documento. 7

8 Technology Risk Consulting 8

9 IT Risk Assessment Una classificazione incompleta o non adeguata dei rischi IT può esporre a vulnerabilità come perdita o indisponibilità dei dati, inaffidabilità dei dati prodotti, accessi non autorizzati ai dati, non rispetto della compliance. Protiviti può supportare la Vostra Funzione di Internal Audit nello svolgimento di specifiche attività IT Risk Assessment, con l obiettivo di individuare, classificare e prioritizzare i rischi associati all ambiente IT all interno della Vostra organizzazione. Il risultato dell IT RIsk Assessment può anche fungere da input per una successiva pianificazione delle attività di IT Audit o di Enterprise Risk Management. Insoddisfazione del management nella gestione dei rischi IT IT e nella capacità di di identificare e gestire tutti i i potenziali rischi che impattano sul sul business. Assenza di di classificazione di di dati ed ed applicazioni in in termini di dirilevanza per il il business. Esigenze di di Compliance con le le normative vigenti (L. (L. 262/05 o SOX, d. d. lgs. 231, etc.). Programmi aziendali di di Risk Assessment non aggiornati a seguito di di significative innovazioni tecnologiche. Un Un IT IT Risk Assessment completo include la la valutazione dei seguenti ambiti: -- cultura aziendale dell IT Risk Management -- organizzazione e processi IT IT (security, asset management, software development life life cycle, etc.) -- portafoglio progetti IT IT -- portafoglio applicazioni IT IT -- infrastruttura IT IT -- fattori esterni (compliance normativa/standard, etc.). Creazione di di un un robusto ed ed efficace framework di di controllo interno. Identificazione delle aree critiche e dei rischi in in ambito IT. IT. Prioritizzazione dei rischi IT. IT. Identificazione dei rischi di di business collegati ai ai rischi IT. IT. Protiviti combina consolidate metodologie di di audit con il il proprio framework di di riferimento, il il Technology Risk Model, che integra tutte le le componenti da da considerare nel contesto dell IT RIsk Assessment. 9

10 IT Governance I cambiamenti e le evoluzioni del contesto tecnologico, economico e sociale hanno modificato il profilo dei rischi che le imprese devono affrontare. Protiviti può supportare la Vostra Funzione di Internal Audit nello svolgimento di specifiche attività di verifica sul modello di IT Governance, con l obiettivo di valutare l efficacia dell assetto organizzativo e dei processi di gestione dell IT e di identificare le opportunità di incremento dell efficienza e dell efficacia, attraverso un miglioramento del governo dei sistemi informativi, come componente chiave per il raggiungimento degli obiettivi di business. Non adeguata rispondenza della struttura IT IT alle esigenze di di business. Assenza di di policy e procedure IT. IT. Esigenze di di compliance. Difficoltà nella misurazione del ROI dell IT. Non adeguata separazione dei ruoli all interno della struttura IT. IT. Un Un assessment sull IT Governance permette di di valutare l allineamento dell organizzazione IT IT agli obiettivi di di business attraverso 4 aree chiave: -- Strategia valutazione dei processi di di definizione degli obiettivi dell IT a partire dagli obiettivi di di business definiti e indicatori di di performance IT IT associati -- Risorse umane valutazione della struttura organizzativa, con focus su su sourcing, skill, responsabilità e allineamento al al business -- Processi valutazione di di modalità operative della struttura IT, IT, livelli di di servizio e approccio all outsourcing -- Tecnologia valutazione degli asset tecnologici in in relazione ai ai bisogni presenti e futuri e sviluppo di di una architettura tecnologica e applicativa standard. Allineamento dell organizzazione IT IT agli obiettivi e ai ai processi di di business. Focalizzazione della struttura organizzativa dell IT posta al al servizio del business. Ottimizzazione di di costi/investimenti e realizzazione del cosiddetto IT IT Business Value. Compliance con le le normative vigenti (L. (L. 262/05 o SOX, d. d. lgs. 231, etc.). Misurabilità del grado di di raggiungimento degli obiettivi aziendali. Protiviti utilizza un un proprio framework di di IT ITGovernance basato sulle best practice di di riferimento ed ed in in particolare sul sulcobit. 10

11 Technology Change Management Importanti cambiamenti nelle tecnologie e nei sistemi IT a supporto del business possono generare, se non adeguatamente presidiati, rischi di interruzione di servizio, ritardi, inefficiente progettuali, con conseguente aumento dei costi implementativi. In tali situazioni, Protiviti può supportare la Vostra Funzione di Internal Audit nello svolgimento di specifiche attività di verifica sui programmi di Technology Change Management, al fine di valutare l adeguatezza dei processi di modifica ai sistemi IT della Vostra organizzazione, fornendo altresì al Management utili suggerimenti per ridurre i tempi di disservizio dei sistemi, gli incidenti, gli interventi di riparazione e per gestire con maggiore efficacia i cambiamenti tecnologici nei rispetto dei vincoli di budget. Elevata percentuale di di insuccesso dei cambiamenti tecnologici avviati in in passato. Elevati tempi di di downtime. Ritardi rispetto alla pianificazione definita. Scarsa tracciabilità dei processi di di change management e carente assurance sul sul rispetto dei livelli autorizzativi. Esigenze di di compliance alla legislazione vigente (L. (L. 262/05 o SOX, d. d. lgs. 231, etc.). Un Un intervento di di audit sul sul Technology Change Management (TCM) prevede: -- review della documentazione esistente relativa ai ai processi di di TCM -- analisi delle priorità e degli obiettivi del TCM -- verifica dell allineamento tra tra le le procedure e le le prassi operative -- analisi delle metriche di di misurazione della performance del TCM, facendo uso di di benchmark reali -- individuazione dei gap e alternative per il il miglioramento -- sviluppo e presentazione di di un un roadmap di di miglioramento del TCM. Suggerimenti per migliorare le le performance in in termini di: di: -- numero di di change effettuati -- percentuale di di change effettuati con successo -- riduzione dell effort delle risorse dedicate. Spunti di di miglioramento della documentazione aziendale (policy, linee guida e procedure). Allineamento alle best practice e agli standard di di riferimento. Protiviti utilizza metodologie consolidate e un un framework basato su su un un approccio olistico, focalizzato sull aumento dell efficienza, del controllo e del coordinamento tra tra gli gli attori coinvolti. 11

12 IT Service Management Una gestione non adeguata dei processi IT può comportare perdita di dati, interruzione dei servizi, insoddisfazione degli utenti, inefficienze operative. In tali situazioni, Protiviti può supportare la Vostra Funzione di Internal Audit nello svolgimento di specifiche attività di verifica dei processi di gestione delle infrastrutture, delle applicazioni e dei servizi IT, al fine di valutarne l adeguatezza alle esigenze della Vostra organizzazione, fornendo altresì al Management indicazioni per migliorare l efficienza e l efficacia dei processi di gestione dell IT ed ottimizzare i livelli di servizio offerti. Inefficienze operative nei processi di di gestione dell IT. Bassa soddisfazione degli utenti. Aumento del downtime dei sistemi IT. IT. Incremento dei costi operativi dell IT. Difficoltà nella misurazione e controllo dei livelli di di servizio offerti. Un Un intervento di di audit ITSM comprende i i seguenti elementi: -- review delle capability e dei processi di di IT IT Service Management -- comprensione delle funzioni e delle responsabilità all interno dell organizzazione IT IT -- review delle documentazione, standard, tecnologie a supporto e metriche -- interviste con gli gli stakeholder delle diverse funzioni/processi -- analisi delle interdipendenze e delle interfacce tra tra i i processi -- valutazione dell AS-IS e dei gap rispetto al al livello di di maturità desiderato -- introduzione di di una metrica che permetta di di confrontare le le performance IT IT con le le best practice di di riferimento -- indicazioni e raccomandazioni per opportunità di di miglioramento di di veloce attuazione -- sviluppo di di un un piano di di interventi per raggiungere il il livello di dimaturità desiderato. Risposte più veloci ed ed efficaci ai ai bisogni del business. Riduzione dei costi operativi fino al al 25-30% (fonte: Gartner 2003). Maggiore disponibilità di di informazioni a supporto delle scelte di di sourcing. Formalizzazione e misurazione dei livelli di di servizio offerti. Predisposizione di di documentazione aziendale di di riferimento (policy, linee guida e procedure). Protiviti utilizza il il proprio framework IT IT Service Management Model basato sulle best practice ITIL. 12

13 Project Risk Management L implementazione di un nuovo sistema informativo aziendale può generare, se non adeguatamente presidiata, rischi di natura organizzativa, funzionale o tecnica. Protiviti può supportare la Vostra Funzione di Internal Audit nello svolgimento di specifiche attività di verifica volte a identificare, valutare e definire le strategie di mitigazione dei rischi relativi alla gestione, all esecuzione ed al controllo di un progetto di realizzazione /modifica dei sistemi informativi. Avvio di di progetti complessi di di revisione dei sistemi informativi critici per il il business aziendale. Significativo impatto di di change management associato all implementazione dei sistemi informativi. Assenza/inadeguato controllo dei costi di di implementazione dei sistemi informativi Difficoltà nel rispetto della pianificazione definita. Lo Lo scope di di un un assessment Project Risk Management completo include: -- analisi organizzativa del progetto -- analisi processi e organizzazione aziendale -- analisi della soluzione tecnica -- analisi del coinvolgimento utenti -- analisi della formazione utenti -- analisi del budget di di progetto -- identificazione di di rischi di di progetto/di processo/tecnici -- identificazione delle strategie di di mitigazione dei rischi e dei relativi suggerimenti. Riduzione fino al al 25% dei costi dovuti alla cancellazione o allo slittamento dei progetti. Protezione dell immagine aziendale da da errori/ritardi d implementazione. Protezione dei processi di di business da da errori/ritardi di di implementazione. Miglioramento dell allineamento strategico dell IT alle esigenze di di qualità, accessibilità e tempestività dell informazione. Gestione dei problemi di di resistenza al al cambiamento da da parte degli utenti. Protiviti utilizza un un proprio framework, il il Project Risk Management Model, allineato alle best practice ed ed agli standard di di riferimento. 13

14 IT Asset Management Una gestione non adeguata degli asset IT, del relativo ciclo di vita e delle licenze può comportare l aumento dei rischi legati alla conformità, nonché alla sicurezza delle informazioni ed al mancato controllo dei costi IT. L IT Asset Management (ITAM) consiste nell identificazione e valorizzazione degli asset IT e nella gestione di manutenzione, contratti e licenze ad essi relativi, nel corso del loro intero ciclo di vita. Protiviti può supportare la Vostra Funzione di Internal Audit nello svolgimento di specifiche attività di verifica volte a fornire importanti indicazioni per migliorare l efficacia dell IT, ridurre i costi di gestione e limitare le sanzioni causate dal mancato rispetto dei contratti relativi a licenze software. Mancanza di di controllo nel parco asset IT IT e nelle relative configurazioni. Esigenze di di compliance nella gestione delle licenze software. Aumento dei costi di di acquisto e manutenzione degli asset IT. IT. Ritardi dei processi di di procurement IT. IT. Una review su su IT IT Asset Management comprende l analisi dei seguenti elementi: -- strategie e policy di di IT IT asset management -- processi di di acquisto IT IT -- processi di di Installazione/implementazione e monitoraggio di di asset IT IT -- gestione delle licenze software -- accordi di di manutenzione hardware -- processi finanziari che coinvolgono fortemente l IT (budgeting, controllo di di gestione, etc) -- processi di di conversione e dismissione degli asset IT. IT. Maggiore integrazione tra tra la la funzione acquisiti e i i team di di IT IT Asset Management. Riduzione dei costi per l acquisto e la la manutenzione degli asset IT. IT. Maggiore efficienza nei processi di di procurement. Centralizzazione degli inventari relativi agli asset IT IT per reporting e interrogazioni più semplici e veloci. Aggiornamento continuo e tempestivo degli inventari degli asset IT. IT. Per eseguire audit sull IT Asset Management Protiviti utilizza il il framework proprietario IT IT Asset Management Model, che prevede una visione e gestione integrata di di tutti i i processi di di IT IT Asset Management. 14

15 ERP Security Management I sistemi ERP non sempre sono configurati in modo da soddisfare le esigenze del business e al tempo stesso garantire la sicurezza dei dati e la corretta segregazione delle mansioni. Protiviti può supportare la Vostra Funzione di Internal Audit nello svolgimento di specifiche attività di verifica volte ad analizzare il livello di sicurezza dell intero sistema ERP aziendale. La review si focalizza sui controlli automatici/manuali abilitati sulle transazioni e sui dati più significativi e/o sensibili, al fine di valutare il livello di sicurezza del sistema, nonché sulla sicurezza nella gestione di utenti e profili. L attività di Audit si conclude con la presentazione di un report utile al management sia per la valutazione dello stato attuale di sicurezza, sia per la predisposizione di una roadmap di miglioramento della sicurezza applicativa. Esigenze di di compliance con la la legislazione vigente (L. (L. 262/05 o SOX, d. d. lgs. 231, etc.). Problemi di di Segregation of of Duties (SoD). Numero elevato di di controlli manuali. Problemi di di sicurezza dei dati. Carenza di di policy e procedure per l utilizzo del sistema ERP. Un Un ERP Security Assessment prevede le le seguenti attività: -- analisi della sicurezza e amministrazione delle utenze -- analisi dei ruoli e delle responsabilità incompatibili -- analisi dei controlli automatizzati -- analisi di di incidenti/anomalie legati ai ai controlli ERP -- analisi delle transazioni svolte a sistema -- definizione di di procedure per la la gestione dei profili di di accesso e la la configurazione dei controlli preventive/detective di di sicurezza. Velocizzazione dei processi finance mediante l utilizzo di di controlli preventivi atti a ridurre le le rielaborazioni. Riduzione dei costi di di assessment, grazie all utilizzo di di tool automatici. Tracciatura dei processi di di abilitazione degli utenti. Compliance con la la legislazione vigente (L. (L. 262/05 o SOX, d. d. lgs. 231, etc.). Remediation plan e roadmap di di miglioramento della sicurezza applicativa. Protiviti utilizza tool automatici e metodologie consolidate, adottati a livello mondiale e costantemente aggiornati sulla base delle ultime release dei più diffusi sistemi ERP aziendali, inclusi SAP, Oracle e PeopleSoft. Esempi di di strumenti automatici di di controllo utilizzati da da Protiviti e conformi a sistemi ERP sono: Assure, tool proprietario di di Protiviti, SAP GRC (ex Virsa), Applimation, Approva, Consul. Assure Controls for SAP R/3 Assure Security for SAP R/3 15

16 IT Business Continuity Le infrastrutture, le applicazioni e i servizi IT sono da tempo diventate un fattore imprescindibile per la gestione dei clienti, delle risorse e degli aspetti finanziari (amministrazione, contabilità, reporting), così come per la produzione e la distribuzione dei prodotti. La perdita o l interruzione dei Sistemi IT determina alti impatti per il Business dell azienda. Risulta fondamentale minimizzare quindi il tempo di ripristino dei processi IT, dei sistemi infrastrutturali, delle applicazioni, dei database e delle reti LAN e WAN, in coerenza con i requisiti espressi dal Business. Protiviti può supportare la Vostra Funzione di Internal Audit nello svolgimento di specifiche attività di verifica dei Piani di Disaster Recovery al fine di valutarne l efficacia e l aggiornamento costante comprovato da cicli di test periodici. Mancanza di di un un Disaster Recovery Plan. Mancanza di di una Business Impact Analysis. Rischio di di interruzione di di servizi IT IT core. Disallineamento dei Piani di di Disaster Recovery rispetto ai ai sistemi in in produzione. Esigenze di di compliance con le le normative vigenti. Un Un audit sul sul Business Continuity Management prevede le le seguenti attività: -- analisi delle Policy di di Disaster Recovery -- raccolta dei dati e della documentazione esistente (standard, procedure, etc) -- inventario delle Soluzioni di di Disaster Recovery implementate -- analisi della classificazione dei rischi e dei processi critici -- analisi delle strategie Disaster Recovery -- validazione dei piani di di Disaster Recovery -- analisi dei test di di Disaster Recovery effettuati -- reporting. Compliance con le le normative vigenti. Integrazione tra tra i i programmi di di continuità operative ed ed i i programmi di di Risk Management. Minimizzazione della perdita di di dati a fronte di di eventi disastrosi. Salvaguardia dell immagine aziendale. Aggiornamento della documentazione aziendale (policy, procedure e linee guida). Protiviti ha ha sviluppato e applicato con successo efficaci programmi di di Disaster Recovery e utilizza consolidati framework di di riferimento per eseguire specifiche attività di di audit, inclusi il il Risk Management Infrastructure ed ed il il Capability Maturity Model. RTO RTO BASSO RTO RTO ALTO ALTO Active- Active Active- Passive Virtualizzazione Boot da SAN Disk Image Scriptbased Tool di Provisioning Costi Costi e complessità BASSO BASSO Costi Costi e complessità ALTO ALTO 16

17 Payment Card Industry - Data Security Standard Accanto alla costante e rilevante crescita del volume di acquisti effettuati tramite carte di credito, lo sfruttamento a fini illeciti delle nuove tecnologie e dei nuovi canali di pagamento rende sempre più attuale un problema serio e di non semplice soluzione, quello della sicurezza. Al fine di gestire tale criticità, è stato definito lo standard Payment Card Industry - Data Security Standards (PCI - DSS), al quale si devono adeguare tutte le aziende che ricevono pagamenti tramite carte di credito o trattano informazioni ad esse relative. Protiviti può supportare la Vostra Funzione di Internal Audit nello svolgimento di specifiche attività di verifica della conformità PCI - DSS. Il nostro approccio fornisce delle soluzioni che vanno oltre il semplice soddisfacimento dei requisiti PCI - DSS, ponendosi l obiettivo ultimo di rendere più efficienti ed efficaci i processi ed i controlli oggetto di analisi.. Gestione di di pagamenti tramite carte di di credito. Trattamento di di informazioni relative a carte di di credito. Gestione di di sistemi di di pagamento online. Compliance con i i Payment Card Industry --Data Security Standard. Miglioramento dell efficacia e dell efficienza dei controlli e dei processi coinvolti. Allineamento alle best practice di di riferimento. Riduzione dei costi derivanti da da spese legali e pagamento di di sanzioni e multe. Miglioramento della reputazione dell azienda sul sul mercato. Un Un assessment PCI DSS comprende le le seguenti fasi: -- Identification mappatura e analisi dei processi e dei sistemi che conservano e trasmettono le le informazioni relative alle transazioni con carte di di credito -- Compliance Utilizzando le le informazioni precedentemente acquisite, le le aree di di requisiti degli standard PCI --DSS sono confrontate con la la realtà aziendale analizzata, con l obiettivo di di identificare gap e criticità -- Remediation Sono fornite indicazioni per colmare i i gap riscontrati e assistenza nella fase di di implementazione dei nuovi controlli necessari a raggiungere gli gli obiettivi di di compliance -- Validation Dopo aver messo in in atto con successo la la fase di di remediation, Protiviti certifica la la compliance dell organizzazione oggetto di di intervento, predisponendo un un Report On Compliance (ROC). Protiviti dispone della certificazione QSA necessaria ad ad attestare la la certificazione. Protiviti attualmente possiede le le seguenti certificazioni PCI: -- PCI Qualified Security Assessor (QSA) PCI Approved Scanning Vendor (ASV) Visa LAC (Latin America/Caribbean) QSA Visa Qualified Payment Application Security Company (QPASC) 2007 Per eseguire il il PCI --DSS Assessment Protiviti usa il il framework proprietario Information Security FrameworkSM (ISF). 17

18 Identity Management I problemi di gestione delle identità digitali all interno delle aziende sono in continuo aumento, a fronte di un complesso sempre più eterogeneo di ambienti e infrastrutture applicative, come conseguenza dell esigenza di proteggere i dati riservati dalle minacce interne ed esterne. Protiviti può supportare la Vostra Funzione di Internal Audit nello svolgimento di specifiche attività di verifica delle soluzioni e dei processi di Identity Management (IdM), mirate a valutare e allo stesso tempo migliorare il controllo sugli accessi logici degli utenti alle applicazioni e alle risorse critiche, con il fine ultimo di creare un ambiente di sicurezza condiviso che prende in considerazione le persone, i processi, e le tecnologie, attraverso un approccio riskbalanced e business-based. Compliance alla legislazione vigente (L. (L. 262/05 o SOX, d. d. lgs. 231, etc.). Problemi di di Segregation of of Duties (SoD). Aumento dei costi di di gestione degli accessi logici. Rischio di di accesso da da parte di di utenti non autorizzati. Riduzione del tempo medio per fornire all utente finale l accesso alle applicazioni. Efficientamento dei processi di di audit per la la compliance alla L. L. 262/05 e/o SOX. Miglioramento del processo di di gestione delle utenze e conseguente riduzione dei costi ad ad esso associati. Incremento del livello di di sicurezza nell accesso alle risorse aziendali. Un Un audit in in ambito IdM si si compone delle seguenti fasi: -- Fase I: I: Business Alignment Strategy verifica dell allineamento tra tra gli gli obiettivi di di business e gli gli obiettivi IT IT -- Fase II: II: Process and Architecture Requirements verifica dell architettura del sistema di di identity management, dei processi ad ad esso relativi e della sua roadmap di di implementazione/evoluzione -- Fase III: III: Vendor Analysis and Selection analisi dei requisiti richiesti per i i vendor e del processo di di selezione. Protiviti ha ha sviluppato un un modello di di Identity Mangement proprietario denominato Identity Management Framework, che individua i i componenti critici dell infrastruttura di di sicurezza. Il Il framework serve da da riferimento per lo lo sviluppo e la la verifica di di una soluzione di di Identity Management robusta e completa. Identity Management Business Triggers Authoritative Source New Hire Employee Termination Customer Reassignment Business Partner Special Access Workflow Identity Access Resources Repository Control Applications User Accounts User Entitlements Directory Coordination User Account Provisioning Databases Physical Other Audit & Logging Infrastructure Enterprise Role Infrastructure Security Infrastructure 18

19 Data Privacy & Security La proliferazione di regole e normative da una parte, e la crescente complessità dei meccanismi di vigilanza e controllo dall'altra, generano una pressione sui processi e sulle attività in ambito sia business sia IT. La necessità di gestire nuove situazioni di rischio impone un approccio integrato alla gestione della sicurezza, mirato allo sviluppo di nuove capacità di risk assessment e al mantenimento di un adeguato livello di continuità. Protiviti può supportare la Vostra Funzione di Internal Audit nello svolgimento di specifiche attività di verifica su Data Privacy mirati ad analizzare e classificare le informazioni aziendali, individuare i controlli esistenti, identificare potenziali cause di problemi nell accesso e nel trattamento delle informazioni. Ciò permette, in ultima analisi, di raggiungere la compliance con le normative vigenti. Compliance alla legislazione vigente (Direttiva Europea sul sul trattamento dei dati e D. D. Lgs. n. n. 196/2003 Codice in in materia di di protezione dei dati personali ). Rischio di di danni d immagine. Elevati costi derivanti da da spese legali e pagamento di di sanzioni e multe in in relazione alla gestione dei dati soggetti a privacy. Compliance alla legislazione vigente (Direttiva Europea sul sul trattamento dei dati e il il D. D. Lgs. n. n. 196/2003 Codice in in materia di di protezione dei dati personali ). Customer satisfaction. Miglioramento della reputazione aziendale. Lo Lo scope di di un un audit sulla data privacy include i i seguenti elementi: -- Analisi e valutazione del Documento Programmatico sulla Sicurezza (DPS) per la la compliance con i i requisiti di di legge (D. Lgs. n. n. 196/2003 ), ), ovvero con gli gli standard di di settore (es. standard Payment Card Industry Data Security Standard) -- Assistenza nell identificare le le tipologie di di informazioni sensibili trattate, e come esse sono usate, condivise, conservate, protette e cancellate -- Valutazione dell aderenza agli standard di di sicurezza definiti nel DPS e/o dedotti dalle best practice di di mercato. Il Il modello Protiviti si si basa su su un un approccio capace di di fornire una copertura totale ed ed integrata dell intero processo di di gestione delle informazioni all interno dell azienda. 19

20 Spreadsheet Risk Management L utilizzo di fogli di lavoro elettronici (c.d. spreadsheet) è ampiamente diffuso all interno delle aziende e spesso questi strumenti sono utilizzati a supporto di analisi chiave ovvero nell ambito dei processi di financial & management reporting. Pur trattando dati sensibili, spesso gli spreadsheet non sono gestiti adeguatamente e in alcuni casi risultano privi dei minimi controlli che garantiscano l accuratezza, la completezza, la riservatezza e la disponibilità dei dati trattati. Protiviti può supportare la Vostra Funzione nello svolgimento di specifiche attività di verifica sugli spreadsheet mirate ad analizzare e gestire il rischio associato all utilizzo di fogli di lavoro. Rischio di di errori dovuti a non corretta imputazione di di dati ed ed erronea impostazione delle logiche di di calcolo Rischio di di integrità dei dati a causa di di manipolazione accidentali, fraudolente, non autorizzate e non tracciabili Rischio Versioning/Backup derivanti da da sovrascrittura accidentale con conseguente perdita dei dati, assenza di di opportuni presidi di di backup, non corretta gestione del versioning dei documenti Un Un audit sulla gestione degli spreadsheet comprende le le seguenti fasi: -- Esecuzione di di un un assessment, per l identificazione di di spreadsheet che supportano processi di di business critici, e dei rischi ad ad essi associati -- Identificazione e valutazione dei controlli esistenti -- Definizione delle Policy di di gestione degli Spreadsheet e dei processi di di supporto -- Verifica dei singoli spreadsheet al al fine di di identificare errori potenziali e punti di di debolezza -- Attività di di remediation dei gap e degli errori individuati -- Definizione di di un un framework di di controllo continuativo -- Supporto nell identificazione e nell implementazione di di eventuali tool informatici per la la gestione degli spreadsheet. Identificazione e creazione di di un un inventario degli spreadsheet critici. Compliance alla legislazione vigente (es: Sarbanes Oxley, Legge 262). Riduzione degli errori imputabili ad ad una non corretta gestione dei fogli ci ci calcolo. Creazione di di un un robusto ed ed efficace framework di di controllo degli spreadsheet. Il Il modello Protiviti si si basa su su un un approccio in in grado di di fornire una copertura totale ed ed integrata dell intero processo di di gestione degli Spreadsheet. 20

21 Product & Services 21

22 Spend Risk Assessment Le aziende spendono anche fino al 70% dei ricavi in acquisti: una gestione non efficace ed efficiente del procurement potrebbe far insorgere rischi di perdite finanziarie e operative, non adeguata continuità, tempestività e qualità delle forniture, non conformità legale e normativa, comportamenti fraudolenti, ecc. Del resto, una gestione ottimizzata del ciclo di spesa potrebbe migliorare i risultati aziendali anche per il tramite di realizzazione di efficienze e risparmi. Le metodologie sviluppate da Protiviti e finalizzate all individuazione/mitigazione dei rischi connessi al processo di spesa consentono interventi di audit a maggior valore, in quanto tesi all individuazione di opportunità di miglioramento del processo e di risparmio. Indicatori di Rischio per il piano di Audit Carenza di di strategie, policy, procedure a presidio della corretta gestione dell intero processo di di acquisto e dei rischi connessi Sistemi non integrati di di gestione degli acquisti e/o contabilità fornitori Mancanza di di accurate e tempestive informazioni necessarie per la lagestione del processo e per le le successive attività di di analisi e reporting Conoscenza di di frodi subite o errori commessi (i.e. doppi pagamenti) Decentralizzazione delle attività di di acquisto Alto volume e complessità delle transazioni Problematiche relative al al rispetto e alla qualità delle consegne Eccessiva obsolescenza e/o overstock di di magazzino. Ad Ad un un intervento di di tipo tradizionale, focalizzato sulla conformità del processo rispetto alle procedure e sulla verifica dell operatività dei controlli transazionali, affianchiamo attività a maggiore valore finalizzate a: a: ottimizzare la la governance del processo, anche attraverso l identificazione, la la valutazione e la la gestione dei rischi di di procurement (compresi i i rischi connessi alle strategie di di sourcing e a potenziali frodi); ottimizzare le le capacità di di procurement (strategie; processi aziendali; struttura organizzativa; reportistica; metodologie; sistemi informativi); identificare potenziali opportunità per la la riduzione dei costi di di acquisto. Definizione e implementazione di di strategie, policy e procedure Ottimizzazione del processo e definizione di di possibili iniziative di di risparmio/cost savings Prevenzione e controllo di di potenziali frodi/errori Disponibilità di di informazioni complete, accurate e tempestive Identificazione e gestione efficiente dei fornitori strategici Gestione efficiente del magazzino Struttura di di acquisto più efficiente e competitiva. La nostra metodologia Spend Risk Assessment A supporto dell analisi utilizziamo strumenti quali --quantitativi specifici, quali: Benchmark, KPI e modelli di di saving; tool informatici proprietari per il il data mining & analysis (fra cui cui lo lo Spend Risk Assessor), che permette in in tempi rapidi l estrazione e l analisi dei dati relativi al al Procurement, facilitando così l identificazione di di aree potenzialmente a rischio e opportunità di di ottimizzazione del processo. 22

23 Telecom Cost Management La capacità di gestire e mantenere un efficace rete di comunicazione (voce e dati) è essenziale per consentire l utilizzo ottimale di una risorsa aziendale così critica e un controllo dei costi. Poche aziende però hanno la consapevolezza delle reali necessità in termini di infrastrutture e servizi di telecomunicazioni: il risultato è quello di avere reti non ottimizzate, prezzi non aggiornati ed errata fatturazione. Indicatori di Rischio per il piano di Audit Crescita del budget per i i servizi di di telecomunicazioni a discapito dei progressi tecnologici Obiettivo di di riduzione delle spese IT IT nel complesso Incertezza sulla valorizzazione delle spese di di telecomunicazione e sulla relativa distribuzione per unità geografica e/o unità di di business Esistenza di di punti di di debolezza nella gestione della sicurezza Dubbi sulle condizioni di di costo e livelli di di servizio applicate dai fornitori Difficoltà di di analisi dei report di di fatturazione. Assessment sull allineamento strategico tra tra i i beni e i i servizi di di telecomunicazione aziendali rispetto agli obiettivi di di business del Cliente: -- review dei servizi esistenti -- verifica del processo di di acquisto (es. sinergie tra tra i i fornitori, comparazione delle offerte, ecc.) -- analisi dei contratti e comparazione dei costi di di servizio con iibenchmark di di mercato Recupero dei pagamenti -- controllo dell accuratezza delle fatture -- verifica degli errori di di fatturazione -- recupero delle fatturazioni errate Inoltre viene fornito il il supporto per le le attività finalizzate a: a: -- Riduzione dei costi (anche tramite success fees) -- Ottimizzazione dei servizi e delle infrastrutture Miglioramento del rapporto costo // servizi utilizzati Comprensione delle soluzioni disponibili per la la gestione delle esigenze attuali e future dell azienda Confronto chiaro tra tra gli gli operatori, attraverso RFP organiche e strutturate Possibilità di di Outsourcing o di di Co-sourcing dell Audit sulla fatturazione Identificazione dei rischi di di sicurezza nell architettura delle infrastrutture di di telecomunicazione e creazione di di piani di di mitigazione dei rischi individuati Dismissione dei servizi non convenienti e chiusura dei contratti non vantaggiosi. Service Need Request for Proposal 1. Processo di approvvigionamento Valutiamo i processi ed i controlli del Cliente e identifichiamo azioni di mitigazione dei rischi per determinare le soluzioni di comunicazione necessarie, i processi di approvazione all acquisto, all installazione e alla fatturazione. 2. Gestione del contratto Affianchiamo le Aziende durante la fase di negoziazione e sviluppo dei contratti di servizio e nel loro continuo monitoraggio assicurando che sconti, condizioni e termini di contratto siano rispettati. 3. Ottimizzazione della rete Interpret Vendor Response Valutiamo che i prodotti ed i servizi erogati siano allineati con gli obiettivi aziendali verificando: il dimensionamento e l ottimizzazione di utilizzo delle infrastrutture voce e dati; Accurate la gestione della convergenza voce e dati; Billing l istituzione dei piani di Business Continuity e di Disaster Recovery; Recovery il monitoraggio della qualità dei livelli di servizio Select Vendor Negotiate Contract Install Service Update Inventory Disconnects Strategy Product & Vendor Selection 3 Validate Invoice Assistiamo il Cliente nella creazione e nella valutazione di RFP. Lo supportiamo nella scelta del prodotto per veicolare le necessità di business alle migliori condizioni di prezzo e servizi. 5. Verifica della fatturazione & Gestione delle richieste di rimborso Cost Assistiamo il Cliente nella creazione di un Inventario degli attuali prodotti e servizi di comunicazione e verifichiamo l accuratezza e la correttezza della fatturazione. Aligned 6a. Gestione Minimized Sicurezza e Frodi Forniamo al Cliente una valutazione delle tecniche di controllointernaz. degli accessi e di Fraud Detection per NAZ. i prodotti RM di comunicazione. 2,4% 25,9% Telecom Cost Management 6b. Funzione di gestione delle comunicazioni Assistiamo il Cliente nello sviluppo di un piano operativo per la Efficient NAZ. RF gestione degli accessi 5,8% voce locali e long distance (fissi e mobili), dei servizi dati (Internet, WAN, LAN) e delle infrastrutture di Reviewed telecomunicazione valutandone Design i costi rispetto ai benchmark di mercato. RAM 0,0% Benchmarking T.C.G. 17,9% RATA TEL 10,5% SMS 7,7% SMS SPEC. 1,2% ROAMING 8,5% CANONI 17,7% MAIL 0,0% ROAM. SMS 0,5% INTERNET 1,8% CANONI RATA TEL T.C.G. RAM NAZ. RF NAZ. RM INTERNAZ. SMS SMS SPEC. ROAMING ROAM. SMS MAIL INTERNET 23

24 Supply Chain Management (1 di 2) Un processo non adeguato di previsione delle vendite e di pianificazione operativa rappresenta una delle maggiori cause di inefficienza per le aziende. L ottimizzazione di tale processo richiede collaborazione tra funzioni e processi, nonché efficaci flussi informativi reciproci e presidio di aspetti quali la tempestività e integrità delle informazioni, la valutazione e mitigazione dei rischi e l analisi degli indicatori di business. Con il giusto approccio, l Internal Audit può fornire utili spunti di riflessione al Management per migliorare l efficacia ed efficienza dei processi in oggetto. Elevati ammanchi, bassa rotazione di di magazzino Ritardi di di produzione e problematiche di di puntualità nelle consegne Elevate scorte di di magazzino/wip Sistemi di di pianificazione non adeguati, flussi logistici e costi di di spedizione elevati Sottoutilizzo delle risorse Inaccuratezza dei forecast Mancata integrazione/collaborazione tra tra i i diversi attori della catena del valore (interni/esterni). Ottimizzazione del magazzino e delle giacenze Riduzione dei ritardi di di produzione/aumento del livello di di servizio Riduzione delle inefficienze/aumento del capitale circolante Miglioramento della capacità produttiva e delle performance Accurati forecast della domanda/produzione Gestione integrata dei rischi e condivisione delle responsabilità lungo l intera catena del valore. Mappatura dei processi e dei rischi aziendali al al fine di di comprendere il il grado di di integrazione delle prassi aziendali, dei ruoli e delle responsabilità. Analisi del grado di di integrazione tra tra le le funzioni organizzative e la la qualità dei flussi informativi. Analisi e valutazione dei processi a livello organizzativo e operativo. Analisi e valutazione dei rischi di di processo, benchmarking. Identificazione degli elementi di di vulnerabilità, dei gap e delle soluzioni volte a sanarli. Demand Planning N ew Product R equirem ents Integration Supply Planning Sales & Operations Planning and Sub -Processes C o-ordination C ross-functional review, reconciliation and integration of plans and perform ance - new activities, dem and and supply, and volum e and financial. Recommendations and Choices: Evaluate risks, opportunities, and choices. P ropose dem and/supply plans and alternative plans/choices. R eview and A ppro val by Senior M anagem ent 24

25 Supply Chain Management (2 di 2) Il processo di gestione delle magazzino e dell inventario è cruciale per soddisfare i fabbisogni correnti e futuri di produzione e rispondere alle richieste del customer service, minimizzando i costi operativi. La strategia aziendale e i processi di stoccaggio e movimentazione dei materiali rivestono un ruolo determinante, in quanto incidono direttamente sulla capacità dell azienda di soddisfare la domanda in un ottica di efficacia ed efficienza. L Internal Audit può fornire utili spunti di riflessione per la miglior comprensione del profilo di rischio e la corretta pianificazione delle necessarie azioni di mitigazione e controllo interno. Eccesso di di magazzino e diminuzione della rotazione delle scorte Aumento di di scorte obsolete o non più utilizzabili Aumento o eccesso dei costi operativi di di stoccaggio Progettazione e processi inefficienti Eccessivi tempi nelle attività di di movimentazione, stoccaggio e consegna Carenza di di materiali chiave Livello di di produttività Conti di di magazzino non riconciliati Scostamento significativo tra tra conta fisica di di magazzino ed ed esistenza contabile Scarsa integrazione tra tra i i dati relativi ai ai piani di di produzione e di di magazzino. Identificazione e quantificazione dei rischi e miglioramento della gestione e del sistema di di controllo Diminuzione dei livelli di di scorte Riduzione di di scorte di di sicurezza e dell obsoleto Riduzione di di scarti e aumento della rotazione delle scorte Miglioramento nell accuratezza dei dati di di pianificazione e scheduling Progettazione di di un un layout del magazzino efficiente ed ed efficace Processi snelli ed ed efficienti, riduzione dei costi di di magazzino Incremento dell accuratezza e della completezza delle informazioni relative alle scorte Miglioramento del processo di di reporting e analisi delle giacenze di di magazzino Comprendere necessità, criticità e problematiche attraverso un un incontro preliminare Comprendere la la struttura della società, la la strategia e i i processi della supply chain, attraverso incontri, interviste e mappatura delle attività Condurre sessioni facilitate e valutazioni di di processo al al fine di di identificare i i rischi potenziali e le le criticità all interno dell area Effettuare un analisi documentale e verificare le le conformità al al fine di di valutare l efficacia dei processi e dei controlli Definire rischi e gap e identificarne le le cause, attraverso l analisi dei dati e lo lo sviluppo di di modelli di di simulazione Sviluppare raccomandazioni volte al al miglioramento del processo, sfruttando la la nostra esperienza nel settore, effettuando una gap analysis a seguito del confronto con la la best practice, ed ed utilizzando la la tecnologia più all avanguardia Implementare piani d azione, contribuire alla formazione del personale e monitorare i i risultati. C u r re n t In v e n to r y O b s o le te S t o c k E x c e s s S t o c k S a f e ty S t o c k R e q u ire d S t o c k E x tra c t & A n a ly z e D a ta U n d e rs ta n d P r o c e s s T h a t Im p a c t In v e n to ry D e te r m in e P r o c e s s In e ffic ie n c ie s D e te r m in e P r o c e s s F a ilu re P o in ts V a lid a te a n d Q u a n tify F a ilu re P o in ts a n d In e ffic ie n c ie s R e c o m m e n d a n d Im p le m e n t P ro c e s s a n d C o n tro ls Im p ro v e m e n ts In v e n to r y G o a l In v e n to r y R e d u c tio n A m o u n t 25

26 Contract Management Molte aziende dispongono oggi di complessi sistemi contrattuali con molteplici fornitori e clienti, che possono essere significativamente onerosi e rischiosi per l organizzazione. Attraverso l analisi del processo di gestione dei contratti, la standardizzazione dei termini e la valutazione delle performance storiche, il Management può beneficiare di una migliore comprensione dei rischi e di spunti di riflessione sulle possibili azioni di mitigazione, ivi incluse migliori condizioni e termini contrattuali. Il recupero di questi benefici può avere un effetto diretto sui profitti. Scarsa/incompleta conoscenza/applicazione dei termini contrattuali Inadeguatezza delle policy aziendali in in tema di di negoziazione del contratto, termini o gestione della performance Mancanza di di standardizzazione di di termini e condizioni Gestione dei contratti non centralizzata Esigenza di di razionalizzazione della contrattualistica derivante da da recenti operazioni di di fusione/acquisizione Esternalizzazione // outsourcing di di alcuni servizi/processi Inadeguate performance dei fornitori Errori // inaccuratezza della fatturazione. Possibili risparmi per sconti non reclamati // errori di di fatturazione da da parte dei fornitori Miglioramento del processo di di gestione della contrattualistica Effettiva operatività e applicazione di di policy all interno dell organizzazione Riduzione dei costi di di gestione dei fornitori dovuta alla standardizzazione del processo Adeguata gestione dei rischi contrattuali dovuta alla consistenza del processo e alla corretta applicazione di di termini e parametri di di controllo. 26

27 Crisis Management & Business Continuity Le nuove esigenze dei mercati finanziari, l intenso utilizzo della tecnologia dell informazione ed i nuovi scenari di rischio a livello internazionale, hanno comportato una maggiore sensibilità sul tema della Continuità Operativa dei processi e delle attività di business. In caso di inattività prolungata anche di una sola attività rilevante, infatti, il funzionamento dei processi core potrebbe risultare gravemente compromesso. Inoltre anche gli eventi di Crisi che comportano rischi di immagine o finanziari, seppure senza interruzione di processi specifici sono da considerare attentamente. Protiviti può supportare la Vostra Funzione di Internal Audit nello svolgimento di specifiche attività di verifica sui programmi di Business Continuity aziendali, con l obiettivo di fornire al management l indicazione se siano state definite strategie, piani e azioni mirati a minimizzare i costi, le inefficienze e le criticità causate da un interruzione della normale attività di business o da situazioni di Crisi Mancanza di di un un Business Continuity Plan e di di un un Crisis Management & Communication Plan Mancanza di di una Business Impact Analysis Rischio di di interruzione di di servizi core o di di Crisi ad ad alto impatto reputazionale Disallineamento dei Piani di di continuità operativa e della relativa documentazione Esigenze di di compliance con le le normative vigenti. Un Un audit sul sul Business Continuity Management prevede le le seguenti attività: -- analisi delle Policy di di BCM -- raccolta dei dati e della documentazione esistente (standard, procedure, etc) -- inventario dei processi di di business -- analisi della classificazione dei rischi e dei processi critici -- analisi delle strategie di di Business Resumption, Crisis Management e Communication -- validazione dei piani di di Business Recovery -- verifica di di coerenza tra tra i i piani di di Business Continuity e di di Disaster Recovery -- analisi dei test effettuati -- reporting. Compliance con le le normative vigenti Integrazione tra tra i i programmi di di continuità operative ed ed i i programmi di di Risk Management Minimizzazione della perdita di di dati a fronte di di eventi disastrosi Salvaguardia dell immagine aziendale Aggiornamento della documentazione aziendale (policy, procedure e linee guida). Protiviti ha ha sviluppato e applicato con successo efficaci programmi di di BCM e utilizza consolidati framework di di riferimento per eseguire specifiche attività di di audit, inclusi il il Risk Management ed ed il il Capability Maturity Model. 27

28 Intellectual Property Management Quanto vale la Proprietà Intellettuale nella Vostra azienda? Come viene gestita in azienda? I processi di gestione della Proprietà Intellettuale stanno evolvendo da un approccio difensivo o passivo, tradizionalmente focalizzato sulla difesa del patrimonio aziendale e sulla prevenzione della riproduzione di prodotti dell azienda, ad un approccio proattivo, volto ad incrementare il valore per gli azionisti. Protiviti può assistere le Funzioni Internal Audit nell analisi dell efficacia ed efficienza dei processi di gestione dell IP Assets. Mancato aggiornamento tecnologico/legale e perdita del vantaggio competitivo Cessione di di asset core per il il business al al momento della vendita o dello scorporo di di business unit/rami aziendali Errata rappresentazione a bilancio del valore di di marchi e brevetti Accollo di di passività potenziali a seguito di di fusioni, acquisizioni o joint venture Sottostima del valore del portafoglio brevetti e perdita opportunità di di cessione licenze e di di royalty Sostenimento di di costi per il il mantenimento di di marchi o brevetti non più validi o senza un un vantaggio competitivo e non strategici Danneggiamento della reputazione e del brand in in caso di di contraffazione Assenza di di protezione delle informazioni e regolamentazione degli accessi Inadeguata copertura territoriale del deposito/registrazione Inconscia contraffazione di di brevetti altrui. Analisi dei processi e delle strutture organizzative dedicate Identificazione // Valutazione rischi Inventario e classificazione per tipologia (i.e. brevetti, famiglie di di brevetti, marchi, diritti d autore, ecc), per origine (i.e. brevetti sviluppati internamente e/o a licenza, ecc) e per data di di creazione e/o scadenza Identificazione hidden assets Valutazione criticità asset IP, IP, con particicolare attenzione al al grado di di utilizzo/importanza e al al valore associato/associabile Valutazione portafoglio, con particolare attenzione al al grado di di protezione, gestione annualità e contratti di di licenza attiva/passiva Analisi di di mercato (benchmark con concorrenti di di settore). Miglioramento nella definizione del reale valore degli Intangibles Assets (fair value) Miglioramento nella definizione di di ruoli e responsabilità, anche attraverso l assegnazione di di un un ruolo strategico ai ai gestori del patrimonio intellettuale e aziendale Diffusione della cultura del deposito e del monitoraggio del portafoglio marchi e brevetti Definizione di di una strategia di di sviluppo del valore (royalties, licenze, joint venture, sale and leaseback, ecc.) Garanzia di di una sorveglianza brevettuale nel tempo. Obiettivi Risultati Quick Assessment Identificare le aree di maggior esposizione al rischio e le necessità di approfondimento Modello organizzativo e operativo as is Mappa dei rischi e opportunità di approfondimento Approfondimento Completare l attività di IP risk assessment negli ambiti di reale interesse Inventario IP ed identificazione hidden asset Ipotesi di razionalizzazione portafoglio Modello organizzativo e operativo to be 28

29 Royalty Audit Le aziende spesso evitano di effettuare attività di audit sui licenziatari per timore di compromettere le relazioni di business e per non essere percepiti come diffidenti. Eppure l esperienza insegna che esistono ampi margini di miglioramento dei flussi di reporting in tema di royalty, per consentire maggiore accuratezza dei calcoli e puntualità dei pagamenti. Protiviti può supportare le Funzioni Internal Audit nella valutazione dell efficacia del processo di gestione delle royalty, con la finalità di supportare il Management nell accertare e massimizzare i ricavi da royalty, senza peggiorare le relazioni avviate. Mancata rilevazione di di vendite a filiali Applicazioni di di sconti impropri // eccessivi Erroneo trattamento dei campioni gratuiti Errori di di calcolo (e.g., valuta, tassi di di interesse e IVA) Gestione Royalties e/o volumi minimi richiesti Gestione Prezzi di di vendita minimi richiesti Reporting // Pagamenti non tempestivi Reporting non chiaro // incoerente // inadeguato Condizioni di di licenza ambigue ed ed errata interpretazione delle condizioni del contratto Prodotti esclusi da da royalty. Migliore definizione delle royalty spettanti Miglioramento delle procedure per la la gestione ed ed il il monitoraggio dei processi di di licensing Miglioramento dei sistemi di di reportistica del licenziatario Miglioramento dei flussi comunicativi con i i licenziatari Corretta interpretazione dei contratti di di licenza. Pianificazione ed ed attività preliminari -- Revisione contratto di di licenza, comprensione condizioni del contratto, prodotti fruttiferi di di royalty, metodo di di calcolo delle royalty e ogni altra condizione di di conformità -- Review royalty reports per accuratezza amministrativa, riguardante la la coerenza con l accordo di di licenza Attività di di review on site e Testing -- Review della lista dei prodotti e identificazione di di quelli royalty-bearing. -- Comprensione della modalità di di registrazione delle transazioni relative ai ai prodotti in in oggetto e del calcolo delle royalties -- Quantificazione // Calcolo di di un un eventuale gap di di stima delle royalties Documentazione e report -- Executive Summaries ed ed Action Matrices Fase I Pianificazione ed attività preliminari Fase II II Attività di review on site + Testing Fase III Documentazione e report Issue List Pianificazione intervento Opening meeting con il il licenziatario; inizio studio del processo Testing specifico e interviste Validazione issue con i i process owners Closing meeting con il il CFO, il il Controller, ecc. per validare le le evidenze // fatti e chiarire la la bozza di di report Condivisione continua con il il Cliente. 29

30 Retail Store Audit Un azienda retail mediamente perde 1,75% delle vendite annue a causa di frodi interne e furti che avvengono presso i punti vendita. L implementazione di un processo di Store Audit è quindi essenziale per il monitoraggio della gestione di questi rischi e per la protezione degli asset e dei processi aziendali. Accanto all audit tradizionale possono essere implementati programmi basati sulle tecniche di Store (self) Audit (supportato da specifiche Audit Software Solutions), Exception Based Reporting e High-Shrink Store Programs: tali metodologie integrano le tecniche di audit tradizionali attraverso diversi approcci di risk management. Indisponibilità di di informazioni complete e affidabili a supporto del processo decisionale Aumento dei costi per furti e frodi interne Elevati investimenti in in scorte Non adeguata responsabilizzazione e formazione del personale del punto vendita e del management locale. Identificazione dei rischi (e (e della relativa esposizione) prima che si si tramutino in in eventi di di perdita Rilevazione di di aree di di vulnerabilità che possono incidere sulle vendite e sul sul servizio al al cliente Opportunità di di training per il il personale del punto vendita e per il il management Verifica della compliance a leggi e regolamenti Automazione della attività di di audit (es: tecnologia Compass). AUDIT- Store (Self) Audit: integrazione delle tecniche di di audit tradizionale attraverso approcci che hanno l obiettivo di di incrementare la la copertura (ambito dei rischi) e l efficacia (tempestività di di risposta) delle attività di di audit. L intervento è svolto con il il supporto di di specifici strumenti web-based (Audit Collector, Audit Reporting Web Site). CONTINUOUS MONITORING --Exception Based Reporting: soluzioni informatiche finalizzate a consentire il il monitoraggio continuo delle transazioni effettuate presso i i punti vendita, al al fine di di identificare le le potenziali attività fraudolente e/o le le deviazioni da da regole predefinite. Utilizzano sistemi di di alert basati su su soglie di di tolleranza e di di analisi storica delle transazioni. Possono essere utilizzate per indirizzare un un reporting sistematico agli Store Manager su su indicatori chiave legati alle transazioni. RISK MANAGEMENT --High-Shrink Store Programs: si si tratta di di iniziative di di prevenzione degli eventi di di perdita, disegnate per gestire le le aree a maggior rischio di di perdita. Tali iniziative prevedono il il disegno e l implementazione di: di: -- Un Un processo strutturato di di analisi, misurazione e gestione dei principali fenomeni di di perdita identificati. -- Una efficace politica di di comunicazione basata su: materiale di di training customizzato, programmi di di incentivazione del personale, ewarness training and tutorials, Compliance tools, inclusi quizzes e web-based monitoring. 30

31 Fraud Audit Sulla base di quanto emerge da un indagine condotta nel 2008 dall Association of Certified Fraud Examiners, si stima che le società perdano circa il 7% dei loro ricavi annui a causa delle frodi. Anche per questo motivo, azionisti e Enti di regolamentazione e controllo, stanno sempre più chiedendo alle Società una gestione più proattiva su questo tipo di rischio. Protiviti può supportare la Vostra funzione nell individuare e gestire il rischio di frode aziendale, aiutandoli nel comprendere dove e come potrebbe verificarsi e a implementare i programmi e i controlli anti-frode necessari per proteggere la reputazione e il patrimonio aziendale e aumentare la fiducia dei diversi stakeholders coinvolti. Gestione di di parte rilevante del business in in paesi a rischio frode Frequente utilizzo di di terze parti (es. Agenti, broker, procacciatori, ecc. )) nella gestione del business Case history aziendale elevata Deficienze nei sistemi aziendali di di gestione antifrode Approccio dell azienda alla gestione frodi non unitario e/o decentralizzato Sensibilizzare il il vertice aziendale sul sul rischio frode aziendale attraverso presentazioni, workshop, ecc. Creare un un robusto ed ed efficace framework di di controllo interno dedicato alle frodi aziendali. Identificare le le aree critiche e a rischio frode Prevedere periodici processi di di verifica sui sui temi specifici del rischio frode Valutare l opportunità di di servirsi di di servizi esternalizzati ad ad alto valore aggiunto 31

32 Finance Process Effectiveness (1 di 2) All aumentare delle dimensioni e della complessità di un organizzazione, la presenza di processi finanziari efficaci e in grado di fornire adeguato supporto al Vertice nel perseguimento degli obiettivi e delle strategie aziendali può rappresentare un elemento distintivo e un fattore critico di successo. Protiviti può assistere le Funzioni di Internal Audit nell analisi dei livelli di efficienza operativa e di efficacia di controllo dei processi e delle strutture Finance, fornendo strumenti e metodologie per l individuazione delle aree di miglioramento e delle soluzioni organizzative, di processo e di sistema. Presenza di di progetti di di integrazione organizzativa connessi, ad ad esempio, a operazioni di di fusione o acquisizione, in in assenza di di requisiti minimi di di controllo interno rispetto alle esigenze di di efficacia dei processi aziendali. Scarsa interrelazione // integrazione dei processi Finance con i i processi di di business con conseguenti inefficienze ed ed inadeguatezze organizzative. Difficoltà delle strutture Finance di di fornire informazioni di di qualità, tempestive e significative a supporto della gestione aziendale. Sviluppo/miglioramento dei processi amministrativi che supportino la la gestione dei rischi aziendali e il il business Miglioramento dell informativa interna (a (a supporto dei processi decisionali) e esterna (mercati, ecc.) Riduzione dei costi di di struttura // ottimizzazione dei processi Eliminazione delle attività a basso valore aggiunto ed ed incremento delle competenze analitiche. Analisi e valutazione del processo/i in in termini di: di: -- Coerenza del flusso delle attività rispetto l operatività reale. -- Esigenze informative e di di reporting dei clienti interni -- Esigenze della funzione Finance e capacità di di risposta dei processi gestiti in in termini di di risorse (carichi di di lavoro, competenze), organizzazione (ruoli e responsabilità) e sistemi informativi a supporto (grado di di integrazione // livello di di utilizzo). -- Requisiti di di compliance e controllo interno. Confronto con benchmark di di processo e/o di di settore, ove necessario. Definizione delle aree di di miglioramento // intervento, quali ad ad esempio: -- Organizzazione: segregazione funzionale, sistema di di deleghe e procure, formazione e training. -- Processi: elaborazione policy e procedure, definizione di di parametri qualiquantitativi di di monitoraggio dell efficacia // efficienza, decisioni di di make-or-buy. -- Sistemi Informativi: integrazione dei sistemi, automatizzazione di di attività manuali. Supporto nel monitoraggio dell implementazione degli interventi sulle aree definite e nella gestione del cambiamento. 32

33 Finance Process Effectiveness (2 di 2) Molte aziende si trovano oggi a dover affrontare rischi e problematiche legati al processo di chiusura contabile e reporting, connesse alla presenza di colli di bottiglia inattesi e inspiegabili, resi ancora più critici al crescere delle dimensioni e della complessità della struttura organizzativa. Protiviti può in tali casi assistere le Funzioni Internal Audit nell analisi dei processi di closing e reporting al fine valutarne il livello di efficienza ed efficacia della gestione del flusso di attività (organizzazione, ruoli e responsabilità, carichi di lavoro) e dell utilizzo dei sistemi informativi a supporto. Scarso rispetto di di regole e procedure interne relative a chiusura e reporting (scadenze, modulistica) Basso grado di di coinvolgimento nel processo delle strutture periferiche Livello non adeguato di di esperienza // formazione del personale su susistemi e normativa contabile Bassa standardizzazione dei processi di di raccolta e delle fonti dei dati Processi di di closing non formalizzati // non aggiornati Mancanza di di integrazione e/o standardizzazione dei sistemi Insufficiente automatizzazione delle attività di di routine Ridotte performance // sottoutilizzo delle potenzialità degli applicativi. Ottimizzazione dei carichi di di lavoro in in ambito reporting Anticipazione di di attività di di riconciliazione e analisi contabili al al di di fuori del processo di di chiusura Estensione del ricorso a metodi di di stima Riduzione del numero di di rettifiche manuali Standardizzazione di di strumenti di di raccolta dei dati e di di reportistica contabile Automatizzazione di di registrazioni ricorrenti, di di accertamenti e intercompany matching Integrazione // attivazione di di funzionalità standard presenti nei sistemi contabili Diffusione e applicazione di di procedure contabili di di Gruppo. Analisi: -- Rilevare i i principali eventi e input nell ambito del processo di di chiusura contabile // consolidamento // reporting. -- Analizzare il il flusso delle attività, la la loro collocazione nell ambito del processo e il il correlato fabbisogno di di risorse. -- Analizzare i i sistemi informativi a supporto (livello di di standardizzazione, livelli di di utilizzo, grado di di integrazione) e quantificare l utilizzo di di strumenti di di informatica individuale (ad esempio: Excel, Access). -- Identificare le le principali criticità e le le aree di di miglioramento. Valutazione -- Suggerire possibili soluzioni con l obiettivo di di riposizionare le le attività in in un ottica di di efficienza, individuando eventuali flussi informativi non necessari e attività ridondanti. -- Supporto consulenziale dell Internal Audit nella definizione del modello di di closing a tendere, con focus sul sul disegno di di un un adeguato sistema di di controllo interno. 33

34 Commodity Risk Management Molte aziende si trovano oggi a dover affrontare la forte volatilità dei prezzi delle materie prime, in un mercato in forte evoluzione sia in termini di regolamentazione dei settori che per la nascita di nuovi mercati regolamentati. Le commodity sono in parte legate alla specifica industry di riferimento, in parte comuni, quali l energia elettrica o altri combustibili necessari al ciclo produttivo. Al rischio prezzo e disponibilità delle commodity sono inoltre collegati altri rischi quali credito/controparte, possibilità di generazione di energia (cogenerazione), oneri derivanti dai certificati ambientali richiesti dal protocollo di Kyoto. Protiviti può assistere le Funzioni Internal Audit nell analisi dei processi di gestione, ottimizzazione e trading delle commodity al fine valutarne il livello di efficienza ed efficacia della gestione del flusso di attività (organizzazione, ruoli e responsabilità, segregazione delle attività puramente industriale da quella di trading) e dell utilizzo dei sistemi informativi a supporto. Forti oscillazioni dei margini correlati all andamento dei prezzi di di mercato delle materie prime Industry energy intensive ( energivori ) con forti assorbimenti di di energia e cogenerazione da da impianti di di proprietà che consentono la la rivendita del surplus Cicli produttivi ad ad alto impatto ambientale Avvio di di attività di di trading di di commodity o energia svincolato dall attività e dalle esigenze puramente industriali e con finalità di di speculazione nel breve termine Inadeguata segregazione tra tra funzioni di di trading/commerciale e funzioni di di controllo (back office e risk management) Non chiara definizione da da parte della Direzione aziendale del profilo di di rischio accettabile nella gestione delle commodity e degli strumenti finanziari correlati. Definizione da da parte della Direzione del profilo di di rischio, delle finalità dell attività di di trading su su commodity, dei limiti di di rischio Adeguata politica di di copertura dal rischio prezzo su su commodity attraverso l utilizzo di di strumenti finanziari debitamente autorizzati e monitorati Configurazione di di un un corretto modello di di monitoraggio delle attività, sia sia attraverso adeguamenti organizzativi (segregation of of duties) che attraverso processi e strumenti specifici Definizione di di un un iter approvativo per l avvio di di nuove tipologie di di attività, strumenti o mercati su su commodity. Analisi e assessment -- Rilevare le le principali necessitià e gli gli obiettivi nella gestione delle commodity -- Analizzare il il flusso delle attività, la la corretta segregazione e tracciabilità e l iter autorizzativo per la la stipula di di contratti fisici o finanziari su su commodity -- Analizzare i i sistemi informativi (livello di di standardizzazione e grado di di integrazione) e quantificare l utilizzo di di strumenti di di informatica individuale -- Identificare le le principali criticità e le le aree di di miglioramento Ottimizzazione e disegno -- Suggerire possibili soluzioni in in termini di di policy, organizzazione, processi, reporting, metodologie e sistemi sulla base della metodologia dei six sixelements -- Fornire indicazioni di di benchmark rispetto ad ad altre realtà. Al fine di integrare nei propri giudizi di rating anche considerazioni sulla solidità dell infrastruttura di risk management di Moody s Risk un azienda, Moody s ha sviluppato un framework di Risk Management Assessment (fonte: Moody s Research Methodlogy: Management Assessment Risk Management Assessment, July 2004). Coinvolgimento del CdA nella definizione della propensione al rischio, della struttura di controllo e dell organizzazione del commodity risk management Risk Consapevolezza e comprensione, da parte del top management, dell esposizione al rischio commodity Governance Sistema di deleghe ed autorità delle funzioni di commodity risk management Indipendenza/autonomia dell organizzazione a presidio del rischio commodity Procedure per l approvazione di nuovi strumenti finanziari per la gestione del rischio commodity Grado di segregazione delle funzioni nella conduzione delle attività di trading Nel valutare il rating di aziende che svolgono anche attività di trading, Standard & Poor s utilizza l approccio PIM - Misure organizzative in grado di garantire il rispetto dei limiti di rischio Risk S&P Approccio PIM Policy, Infrastruttura, (Fonte: Assessing Trading Risk Management Practices Of Financial Institutions, October 2005), Processi sistematici di riconciliazione volto dati a interni/dati valutare la robustezza controparti delle practices di risk management in riferimento alle attività di trading svolte dall azienda. Management Coerenza della propensione al rischio commodity con le decisioni di Strategic Hedging Traduzione della propensione al rischio Esistenza commodity un Corporate in limiti di Risk book Officer indipendente dall Unità di Trading e a diretto riporto dell AD Esistenza di una formale rappresentazione della propensione al rischio commodity di Gruppo La propensione al rischio commodity di Gruppo è tradotta in termini quantitativi Utilizzo e documentazione di metodologie statistiche (es. PaR) per la gestione del rischio Analisi/ Esistenza di policy/procedure di validazione dei modelli utilizzati nelle attività di commodity risk management Utilizzo di scenari per lo stress testing Quantificazione Frequenza e grado di dettaglio Tutte della. le policy relative alle attività di commodity risk management sono chiaramente documentate, e reportistica sul rischio commodity alla Direzione del rischio Diffusione di Policy stabiliscono. ruoli e responsabilità reports sulla gestione del rischio commodity a vari livelli del management I. limiti di rischio sono formalmente approvati dal CdA I. limiti sono assegnati alle diverse Divisioni/Società Grado di integrazione dei sistemi a Tutte supporto le deroghe delle attività ai limiti di vengono commodity approvate risk management dal Comitato Infrastruttura Presenza di investimenti in tecnologie La reportistica in grado di interna soddisfare fornisce le esigenze una disclosure del commodity qualitativa risk e quantitativa management sui limiti utilizzati informatica e Controllo di qualità, back-testing e La valutazione reportisticadelle esterna ipotesi fornisce alla base una dei disclosure modelli qualitativa utilizzati e quantitativa sui limiti utilizzati ed evidenzia i modellistica Organizzazione del data processing potenziali e misure impatti di controllo del rischio dei dati commodity sui ricavi Esistenza di procedure di data recovery e di business continuity relativi al commodity risk management Infrastruttura. Le responsabilità relative alle operazioni di Back Office sono chiaramente individuate e sono indipendenti da quelle legate alle attività di trading Gli scenari di prezzo sono sottoposti periodicamente a revisione, con cadenza al massimo semestrale Esistono documenti che spiegano le ipotesi alla base degli assunti sulle correlazioni, sulle volatilità e sugli altri.. parametri utilizzati nell ambito della simulazione Monte Carlo. Per cogliere il profilo di rischio in condizioni di mercato estreme, viene costantemente effettuato stress testing. Vengono condotte specifiche analisi what if relative ai diversi book di rischio Vengono condotte analisi di sensitività che evidenziano l impatto di specifici eventi sull esposizione al rischio Viene effettuato back-testing sui modelli utilizzati ed i risultati sono periodicamente riportati e commentati Governance and Controls Valuation and Risk Metrics Credit Risk Management Risk Management Disclosures Market Indices 34

SAP Assure SAP Integrity Assure Tool

SAP Assure SAP Integrity Assure Tool Enterprise Fraud Application Risk Management Solution SAP Assure SAP Integrity Assure Tool Agenda Introduzione a SAP Assure Tool Suite Focus su Assure Integrity Presentazione di un caso pratico 1 I prodotti

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

ZeroUno Executive Dinner

ZeroUno Executive Dinner L ICT per il business nelle aziende italiane: mito o realtà? 30 settembre 2008 Milano, 30 settembre 2008 Slide 0 I principali obiettivi strategici delle aziende Quali sono i primi 3 obiettivi di business

Dettagli

STS. Profilo della società

STS. Profilo della società STS Profilo della società STS, Your ICT Partner Con un solido background accademico, regolari confronti con il mondo della ricerca ed esperienza sia nel settore pubblico che privato, STS è da oltre 20

Dettagli

IL PROFILO DELL AZIENDA. Cherry Consulting S.r.l 1

IL PROFILO DELL AZIENDA. Cherry Consulting S.r.l 1 IL PROFILO DELL AZIENDA 1 Chi siamo e la nostra missione Chi siamo: un gruppo di manager che hanno maturato esperienze nella consulenza, nel marketing, nella progettazione, nella vendita di soluzioni e

Dettagli

Direzione Centrale Sistemi Informativi

Direzione Centrale Sistemi Informativi Direzione Centrale Sistemi Informativi Missione Contribuire, in coerenza con le strategie e gli obiettivi aziendali, alla definizione della strategia ICT del Gruppo, con proposta al Chief Operating Officer

Dettagli

ERP Security e Audit: un modello per costruire una soluzione automatizzata

ERP Security e Audit: un modello per costruire una soluzione automatizzata ERP Security e Audit: un modello per costruire una soluzione automatizzata 19 Aprile 2007 Eleonora Sassano Contenuti Evoluzione Sistemi Informativi Impatto sul sistema di controllo interno Obiettivi di

Dettagli

Marco Salvato, KPMG. AIEA Verona 25.11.2005

Marco Salvato, KPMG. AIEA Verona 25.11.2005 Information Systems Governance e analisi dei rischi con ITIL e COBIT Marco Salvato, KPMG Sessione di studio AIEA, Verona 25 Novembre 2005 1 Information Systems Governance L'Information Systems Governance

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING PROCESS OPTIMIZATION Mappatura as is dei processi, definizione dello stato to be, gap analysis, definizione ed implementazione

Dettagli

IT FINANCIAL MANAGEMENT

IT FINANCIAL MANAGEMENT IT FINANCIAL MANAGEMENT L IT Financial Management è una disciplina per la pianificazione e il controllo economico-finanziario, di carattere sia strategico sia operativo, basata su un ampio insieme di metodologie

Dettagli

Corso Base ITIL V3 2008

Corso Base ITIL V3 2008 Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione

Dettagli

ASSEGNA LE SEGUENTI COMPETENZE ISTITUZIONALI AGLI UFFICI DELLA DIREZIONE GENERALE OSSERVATORIO SERVIZI INFORMATICI E DELLE TELECOMUNICAZIONI:

ASSEGNA LE SEGUENTI COMPETENZE ISTITUZIONALI AGLI UFFICI DELLA DIREZIONE GENERALE OSSERVATORIO SERVIZI INFORMATICI E DELLE TELECOMUNICAZIONI: IL PRESIDENTE VISTO il decreto legislativo 12 aprile 2006, n. 163 e successive modifiche ed integrazioni, in particolare l art. 8, comma 2, ai sensi del quale l Autorità stabilisce le norme sulla propria

Dettagli

L iniziativa Cloud DT

L iniziativa Cloud DT L iniziativa Cloud DT Francesco Castanò Dipartimento del Tesoro Ufficio per il Coordinamento Informatico Dipartimentale (UCID) Roma, Luglio 2011 Il Cloud Computing Alcune definizioni Il Cloud Computing

Dettagli

Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS

Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS Alessandro Ronchi Senior Security Project Manager La Circolare 263-15 aggiornamento

Dettagli

Audit & Sicurezza Informatica. Linee di servizio

Audit & Sicurezza Informatica. Linee di servizio Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano

Dettagli

Services Portfolio per gli Istituti Finanziari

Services Portfolio per gli Istituti Finanziari Services Portfolio per gli Istituti Finanziari Servizi di consulenza direzionale e sviluppo sulle tematiche di Security, Compliance e Business Continuity 2015 Summary Chi siamo Il modello operativo di

Dettagli

Nell'era della Business Technology: il business e la tecnologia allineati per migliorare i risultati dell'azienda

Nell'era della Business Technology: il business e la tecnologia allineati per migliorare i risultati dell'azienda Nell'era della Business Technology: il business e la tecnologia allineati per migliorare i risultati dell'azienda Giovanni Vecchio Marketing Program Manager - Hewlett Packard Italiana S.r.l. Treviso, 13

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi Sessione di Studio AIEA-ATED La gestione del rischio informatico nel framework dei rischi operativi 24 Novembre 2014 Agenda La gestione del rischio operativo nel Gruppo ISP La gestione degli eventi operativi

Dettagli

Ottimizzate i processi IT, massimizzate il ROA (return on assets) e migliorate il livello dei servizi

Ottimizzate i processi IT, massimizzate il ROA (return on assets) e migliorate il livello dei servizi Soluzioni per la gestione di risorse e servizi A supporto dei vostri obiettivi di business Ottimizzate i processi IT, massimizzate il ROA (return on assets) e migliorate il livello dei servizi Utilizzate

Dettagli

L evoluzione del Processo di Enterprise Risk Management nel Gruppo Telecom Italia

L evoluzione del Processo di Enterprise Risk Management nel Gruppo Telecom Italia GRUPPO TELECOM ITALIA Roma, 17 giugno 2014 L evoluzione del Processo di Enterprise Risk Management nel Gruppo Telecom Italia Dirigente Preposto ex L. 262/05 Premessa Fattori Esogeni nagement - Contesto

Dettagli

sfide del ventunesimo Secolo

sfide del ventunesimo Secolo 21 Century Finance Survey Ottimizzare i le potenzialità, garantire i risultati. ti Il CFO di fronte alle sfide del ventunesimo Secolo Copyright 2013 - Business International È vietata la riproduzione,

Dettagli

nova systems roma Services Business & Values

nova systems roma Services Business & Values nova systems roma Services Business & Values Indice 1. SCM: Security Compliance Management... 3 2. ESM: Enterprise Security Management... 4 3. IAM: Identity & Access Management... 4 4. IIM: Information

Dettagli

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo IX Convention ABI L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo BPR e BCM: due linee di azione per uno stesso obiettivo Ing. Alessandro Pinzauti Direttore

Dettagli

Company profile. Nihil difficile volenti Nulla è arduo per colui che vuole. Environment, Safety & Enterprise Risk Management more or less

Company profile. Nihil difficile volenti Nulla è arduo per colui che vuole. Environment, Safety & Enterprise Risk Management more or less Environment, Safety & Enterprise Risk Management more or less Company profile Nihil difficile volenti Nulla è arduo per colui che vuole Business Consultant S.r.l. Via La Cittadella, 102/G 93100 Caltanissetta

Dettagli

L importanza di ITIL V3

L importanza di ITIL V3 6HUYLFH'HOLYHU\DQG3URFHVV$XWRPDWLRQ L importanza di ITIL V3 IBM - IT Strategy & Architecture Claudio Valant Le Migliori Prassi (Best Practice) ITIL ƒ ƒ ƒ ƒ,7,/ VWDSHU,QIRUPDWLRQ7HFKQRORJ\,QIUDVWUXFWXUH

Dettagli

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management 2015 Summary Chi siamo Il modello operativo di Quality Solutions Contesto di riferimento Framework Lo standard

Dettagli

gestione documentale dalla dematerializzazione dei documenti alla digitalizzazione dei processi fino all azienda digitale

gestione documentale dalla dematerializzazione dei documenti alla digitalizzazione dei processi fino all azienda digitale gestione documentale dalla dematerializzazione dei documenti alla digitalizzazione dei processi fino all azienda digitale Gestione documentale Gestione documentale Dalla dematerializzazione dei documenti

Dettagli

www.iks.it informazioni@iks.it 049.870.10.10 Copyright IKS srl

www.iks.it informazioni@iks.it 049.870.10.10 Copyright IKS srl www.iks.it informazioni@iks.it 049.870.10.10 Il nostro obiettivo è fornire ai Clienti soluzioni abilitanti e a valore aggiunto per la realizzazione di servizi di business, nell ambito nell infrastruttura

Dettagli

Paolo Gandolfo Asset & Service Management per il governo dell'infrastruttura IT

Paolo Gandolfo Asset & Service Management per il governo dell'infrastruttura IT Paolo Gandolfo Asset & Service per il governo dell'infrastruttura IT La visione strategica IBM Tivoli si impegna a fornire una soluzione di Asset & Service management capace di indirizzare i business goal

Dettagli

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Davide Lizzio CISA CRISC Venezia Mestre, 26 Ottobre 2012 Informazioni Aziendali: Il processo di

Dettagli

Application Security Governance

Application Security Governance Application Security Governance 28 ottobre 2010 Francesco Baldi Security & Risk Management Practice Principal 1 AGENDA Problematiche di sicurezza applicativa Modello di riferimento Processo di sicurezza

Dettagli

La ISA nasce nel 1994. Servizi DIGITAL SOLUTION

La ISA nasce nel 1994. Servizi DIGITAL SOLUTION ISA ICT Value Consulting La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di consulenza ICT alle organizzazioni nell'ottica di migliorare la qualità e il valore dei servizi

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

MEGA INTERNATIONAL MANAGING ENTERPRISE COMPLEXITY

MEGA INTERNATIONAL MANAGING ENTERPRISE COMPLEXITY MEGA INTERNATIONAL MANAGING ENTERPRISE COMPLEXITY 2 MANAGING ENTERPRISE COMPLEXITY Oggi il mondo del business è in rapida evoluzione. Le decisioni devono essere prese sempre più velocemente e sotto pressione.

Dettagli

La valutazione dei rischi e delle procedure sull adeguatezza del SCI.

La valutazione dei rischi e delle procedure sull adeguatezza del SCI. 1 La valutazione dei rischi e delle procedure sull adeguatezza del SCI. Prof.ssa Roberta Provasi Università degli Studi di Milano-Bicocca 13 giugno 2014 2 La valutazione delle componenti del SCI 2 1 3

Dettagli

Assessment degli Operational Risk. Assessment. Progetto Basilea 2. Agenda. Area Controlli Interni Corporate Center - Gruppo MPS

Assessment degli Operational Risk. Assessment. Progetto Basilea 2. Agenda. Area Controlli Interni Corporate Center - Gruppo MPS Progetto Basilea 2 Area Controlli Interni Corporate Center - Gruppo MPS degli Operational Risk 2003 Firm Name/Legal Entity Agenda Il nuovo contesto di vigilanza: novità ed impatti Analisi Qualitativa 1

Dettagli

IS Governance in action: l esperienza di eni

IS Governance in action: l esperienza di eni IS Governance in action: l esperienza di eni eni.com Giancarlo Cimmino Resp. ICT Compliance & Risk Management Contenuti L ICT eni: mission e principali grandezze IS Governance: il modello organizzativo

Dettagli

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009 Insight N. 24 Maggio 2009 Gestire e comunicare la crisi: un caso di successo Il termine crisi suggerisce istintivamente un momento, nella vita di una persona o di un azienda, dalle conseguenze non prevedibili

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

La ISA nasce nel 1994 DIGITAL SOLUTION

La ISA nasce nel 1994 DIGITAL SOLUTION La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di consulenza ICT alle organizzazioni nell'ottica di migliorare la qualità e il valore dei servizi IT attraverso l'impiego

Dettagli

IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE. La ISA nasce nel 1994

IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE. La ISA nasce nel 1994 ISA ICT Value Consulting IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di Consulting ICT alle organizzazioni

Dettagli

2006 IBM Corporation

2006 IBM Corporation La polarizzazione del mercato Polarizzazione del mercato consumer Bell Curves Crescita e valore percepito Well Curves Mass Competitive Spectrum Targeted Gli specialisti di settore devono possedere value

Dettagli

Retail Store Audit. Milano, 21 novembre 2012

Retail Store Audit. Milano, 21 novembre 2012 . Milano, 21 novembre 2012 Agenda Presentazione risultati Survey Modalità operative e leading practices Tavola Rotonda Presentazione risultati Survey. - 2 - La Survey Obiettivo: La ricerca condotta da

Dettagli

La governance dei Sistemi Informativi nelle aziende italiane. Rossella Macinante Practice Leader

La governance dei Sistemi Informativi nelle aziende italiane. Rossella Macinante Practice Leader La governance dei Sistemi Informativi nelle aziende italiane Rossella Macinante Practice Leader Firenze, 30 Giugno 2010 Previsioni sull andamento del PIL nei principali Paesi nel 2010-2011 Variazioni %

Dettagli

IDENTITY & ACCESS GOVERNANCE

IDENTITY & ACCESS GOVERNANCE IDENTITY & ACCESS GOVERNANCE Come raggiungere e mantenere la conformità alle normative Italiane con un sistema di Identity and Access Governance Leggi, normative e impatti tecnologici: la interpretazione

Dettagli

Il business risk reporting: lo. gestione continua dei rischi

Il business risk reporting: lo. gestione continua dei rischi 18 ottobre 2012 Il business risk reporting: lo strumento essenziale per la gestione continua dei rischi Stefano Oddone, EPM Sales Consulting Senior Manager di Oracle 1 AGENDA L importanza di misurare Business

Dettagli

Gianpaolo Bresciani Copyright IBM Corporation 2007

Gianpaolo Bresciani Copyright IBM Corporation 2007 FINANCIAL INTELLIGENCE dati, informazioni e fattore tempo Gianpaolo BRESCIANI CFO IBM ITALIA S.p.A. Globalizzazione: opportunità e sfide Opportunità... Ottimizzazione supply chain Mercato del lavoro (costi

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1 Obiettivi della presentazione Dimostrare come

Dettagli

Proteggere il proprio Business con BSI.

Proteggere il proprio Business con BSI. Proteggere il proprio Business con BSI. Siamo i maggiori esperti nello standard ISO/IEC 27001, nato dalla nostra norma BS 7799: è per questo che CSA ci ha coinvolto nello sviluppo della Certificazione

Dettagli

Sicurezza le competenze

Sicurezza le competenze Sicurezza le competenze Le oche selvatiche volano in formazione a V, lo fanno perché al battere delle loro ali l aria produce un movimento che aiuta l oca che sta dietro. Volando così, le oche selvatiche

Dettagli

SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA. Service Oriented Architecture

SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA. Service Oriented Architecture SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA Service Oriented Architecture Ormai tutti, nel mondo dell IT, conoscono i principi di SOA e i benefici che si possono ottenere

Dettagli

Gli strumenti del controllo economico-finanziario e l integrazione delle informazioni finanziarie ed i sistemi GRC (Governance, Risk e Compliance)

Gli strumenti del controllo economico-finanziario e l integrazione delle informazioni finanziarie ed i sistemi GRC (Governance, Risk e Compliance) Nicola Pierallini EVP, Tagetik Gli strumenti del controllo economico-finanziario e l integrazione delle informazioni finanziarie ed i sistemi GRC (Governance, Risk e Compliance) FG Le applicazioni di Financial

Dettagli

Una piattaforma enterprise per gestire e migliorare le iniziative di Governance, Risk e Compliance

Una piattaforma enterprise per gestire e migliorare le iniziative di Governance, Risk e Compliance Una piattaforma enterprise per gestire e migliorare le iniziative di Governance, Risk e Compliance Maria-Cristina Pasqualetti - Deloitte Salvatore De Masi Deloitte Andrea Magnaguagno - IBM Scenario La

Dettagli

1- Corso di IT Strategy

1- Corso di IT Strategy Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso

Dettagli

ISACA VENICE MEETING 2014

ISACA VENICE MEETING 2014 Verso il GOVERNO dei SISTEMI INFORMATIVI ISACA VENICE MEETING 2014 Information & Data Classification, un approccio strutturato Giuseppe Blasi Andrea Gaglietto Padova, 29 maggio 2014 1 Agenda Il contesto

Dettagli

CONSOLIDATO. Le vostre esigenze. La nostra offerta di sevizi. I nostri punti di forza. Formazione. Assistenza nei processi complessi

CONSOLIDATO. Le vostre esigenze. La nostra offerta di sevizi. I nostri punti di forza. Formazione. Assistenza nei processi complessi Le vostre esigenze Beneficiare di un assistenza puntuale e regolare nella produzione della vostra informativa finanziaria consolidata permettendovi di rendere flessibile il vostro livello di risorse Rendere

Dettagli

Esercizi per la redazione del Business Plan

Esercizi per la redazione del Business Plan Esercizi per la redazione del Business Plan Una società intende iniziare la sua attività l 1/1/2010 con un apporto in denaro di 20.000 euro. Dopo aver redatto lo Stato Patrimoniale iniziale all 1/1/2010

Dettagli

Information technology e sicurezza aziendale. Como, 22 Novembre 2013

Information technology e sicurezza aziendale. Como, 22 Novembre 2013 Information technology e sicurezza aziendale Como, 22 Novembre 2013 Contenuti Reati informatici 231 Governo della Sicurezza Data Governance 1 D.Lgs 231/01 e gestione dei dati Le fattispecie di reato previste

Dettagli

I TOOL A SUPPORTO DELL'ICT MANAGEMENT: UTILITÀ, MODALITÀ D'USO E PRINCIPALI CRITICITÀ.

I TOOL A SUPPORTO DELL'ICT MANAGEMENT: UTILITÀ, MODALITÀ D'USO E PRINCIPALI CRITICITÀ. ANALISI 12 Luglio 2012 I TOOL A SUPPORTO DELL'ICT MANAGEMENT: UTILITÀ, MODALITÀ D'USO E PRINCIPALI CRITICITÀ. Le sfide a cui deve rispondere l IT e i tool di ICT Management Analisi a cura di Andrea Cavazza,

Dettagli

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti?

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? L innovazione applicata ai controlli: il caso della cybersecurity Tommaso Stranieri Partner di

Dettagli

Documentare, negoziare e concordare gli obiettivi di qualità e le responsabilità del Cliente e dei Fornitori nei Service Level Agreements (SLA);

Documentare, negoziare e concordare gli obiettivi di qualità e le responsabilità del Cliente e dei Fornitori nei Service Level Agreements (SLA); L economia della conoscenza presuppone che l informazione venga considerata come la risorsa strategica più importante che ogni organizzazione si trova a dover gestire. La chiave per la raccolta, l analisi,

Dettagli

Progetto AURELIA: la via verso il miglioramento dei processi IT

Progetto AURELIA: la via verso il miglioramento dei processi IT Progetto AURELIA: la via verso il miglioramento dei processi IT Maurizio Coluccia Agenda BNL - BNP Paribas: IT Convergence Projects Il programma Il progetto Aurelia Il perimetro del progetto e le interfacce

Dettagli

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013 Product Management & Partnerships Industrial & SCADA Infrastructure Protection Milano 30 Ottobre 2013 VIDEO IL NUOVO PANORAMA Le minacce sono più complesse E con tante risorse da proteggere il personale

Dettagli

Un approccio in tre passi per l evoluzione di applicazioni e infrastrutture

Un approccio in tre passi per l evoluzione di applicazioni e infrastrutture TRASFORMARE LE COMPAGNIE ASSICURATIVE Un approccio in tre passi per l evoluzione di applicazioni e infrastrutture Costruire la compagnia digitale? L approccio DDway alla trasformazione dell IT Un percorso

Dettagli

Lista delle descrizioni dei Profili

Lista delle descrizioni dei Profili Lista delle descrizioni dei Profili La seguente lista dei Profili Professionali ICT è stata definita dal CEN Workshop on ICT Skills nell'ambito del Comitato Europeo di Standardizzazione. I profili fanno

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013 Sicurezza ICT e continuità del Business Igea Marina Rimini - 5 luglio 2013 Indice L approccio alla Sicurezza ICT La rilevazione della situazione L analisi del rischio Cenni agli Standard di riferimento

Dettagli

L ICT e l innovazione

L ICT e l innovazione Il valore del Project Management nei Progetti di Innovazione nelle Piccole e Medie Imprese L ICT e l innovazione Milano, 15 dicembre 2006 Enrico Masciadra, PMP emasciadra@libero.it Le cinque forze competitive

Dettagli

LA GESTIONE DELLA SICUREZZA CON IBM Security Identity Governance

LA GESTIONE DELLA SICUREZZA CON IBM Security Identity Governance LA GESTIONE DELLA SICUREZZA CON IBM Security Identity Governance IDENTITY & ACCESS MANAGEMENT L approccio Engineering ai progetti Fa parte del contesto più ampio delle tematiche legate alla sicurezza (secure

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE Sicurezza delle informazioni Legal Snapshot SCENARIO Il contesto attuale è caratterizzato da continui cambiamenti ed evoluzioni tecnologiche che condizionano gli ambiti sociali ed aziendali. La legislazione

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

L esperienza d integrazione in SSC

L esperienza d integrazione in SSC Roma, 10 dicembre 2010 Centro Congressi Cavour L esperienza d integrazione in SSC Approcci multimodello nelle pratiche aziendali Il presente documento contiene informazioni e dati di S.S.C. s.r.l., pertanto

Dettagli

Il modello di ottimizzazione SAM

Il modello di ottimizzazione SAM Il modello di ottimizzazione control, optimize, grow Il modello di ottimizzazione Il modello di ottimizzazione è allineato con il modello di ottimizzazione dell infrastruttura e fornisce un framework per

Dettagli

Preaudit Sicurezza / Ambiente. General Risk Assessment

Preaudit Sicurezza / Ambiente. General Risk Assessment General Risk Assessment Conduzione di un General Risk Assessment in coerenza con i requisiti ISO 9001:2015. nel 2015 verrà pubblicata la nuova UNI EN ISO 9001 che avrà sempre più un orientamento alla gestione

Dettagli

SERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP)

SERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP) SERVIZI PMI Project management outsourcing La vita (dell IT) è quella cosa che succede mentre siamo impegnati a fare tutt altro e quindi spesso capita di dover implementare una nuova piattaforma applicativa,

Dettagli

IT Service Management, le best practice per la gestione dei servizi

IT Service Management, le best practice per la gestione dei servizi Il Framework ITIL e gli Standard di PMI : : possibili sinergie Milano, Venerdì, 11 Luglio 2008 IT Service Management, le best practice per la gestione dei servizi Maxime Sottini Slide 1 Agenda Introduzione

Dettagli

Milano, Settembre 2009 BIOSS Consulting

Milano, Settembre 2009 BIOSS Consulting Milano, Settembre 2009 BIOSS Consulting Presentazione della società Agenda Chi siamo 3 Cosa facciamo 4-13 San Donato Milanese, 26 maggio 2008 Come lo facciamo 14-20 Case Studies 21-28 Prodotti utilizzati

Dettagli

SAP Business One: la soluzione per la gestione aziendale delle piccole e medie imprese

SAP Business One: la soluzione per la gestione aziendale delle piccole e medie imprese SAP Business One è la soluzione di gestione aziendale completa, accessibile e di facile implementazione. Pensata specificatamente per le piccole e medie imprese, ne assicura la crescita aiutandole a incrementare

Dettagli

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti La protezione della Banca attraverso la convergenza della Sicurezza Fisica e Logica Roma, 21-22 Maggio 2007 Mariangela Fagnani (mfagnani@it.ibm.com) ABI Banche e Sicurezza 2007 2007 Corporation Agenda

Dettagli

ITSM Trasformation L iniziativa TelecomItalia. Ing. ConoFranco Miragliotta

ITSM Trasformation L iniziativa TelecomItalia. Ing. ConoFranco Miragliotta ITSM Trasformation L iniziativa TelecomItalia Ing. ConoFranco Miragliotta L azienda Gruppo Telecom Italia I numeri del Gruppo (al 31 dicembre 2007) 8 i Paesi in cui il Gruppo Telecom Italia è presente

Dettagli

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi Seminari Eucip, Esercizio di Sistemi Informativi Service Delivery and Support Dipartimento di Informtica e Sistemistica Università di Roma La Sapienza ITIL.1 Relazioni con il.2 Pianificazione.3 Gestione

Dettagli

Qualifiche professionali per ITIL PRACTICES FOR SERVICE MANAGEMENT. Certificato ITIL Foundation in IT Service Management SYLLABUS

Qualifiche professionali per ITIL PRACTICES FOR SERVICE MANAGEMENT. Certificato ITIL Foundation in IT Service Management SYLLABUS Qualifiche professionali per ITIL PRACTICES FOR SERVICE MANAGEMENT Certificato ITIL Foundation in IT Service Management SYLLABUS Page 1 of 11 IL CERTIFICATO ITIL FOUNDATION IN IT SERVICE MANAGEMENT La

Dettagli

IT e FRAUD AUDIT: un Alleanza Necessaria GRAZIELLA SPANO

IT e FRAUD AUDIT: un Alleanza Necessaria GRAZIELLA SPANO IT e FRAUD AUDIT: un Alleanza Necessaria GRAZIELLA SPANO 1 Perché l alleanza è vincente Per prevenire le frodi occorre avere un corretto controllo interno che è realizzabile anche grazie al supporto dell

Dettagli

Attività indipendente di valutazione e verifica delle operazioni che si identifica nelle funzioni di indagine di:

Attività indipendente di valutazione e verifica delle operazioni che si identifica nelle funzioni di indagine di: 22-12-2009 1 Attività indipendente di valutazione e verifica delle operazioni che si identifica nelle funzioni di indagine di: affidabilità dei processi elaborativi qualità delle informazioni prodotte

Dettagli

Eccellere nel Governo dei Costi

Eccellere nel Governo dei Costi Eccellere nel Governo dei Costi Workshop n. 1 Roma, 17 Aprile 2015 (seconda parte) Milano Roma Londra San Paolo Rio de Janeiro Madrid Lisbona Tunisi Buenos Aires Kuala Lumpur Agenda Day 1 Data dalle alle

Dettagli

Estratto dell'agenda dell'innovazione Smau Milano 2011. Speciale: I casi. Introduzione dell'area tematica. Il caso INCA CGIL

Estratto dell'agenda dell'innovazione Smau Milano 2011. Speciale: I casi. Introduzione dell'area tematica. Il caso INCA CGIL Estratto dell'agenda dell'innovazione Smau Milano 2011 Speciale: I casi Introduzione dell'area tematica Il caso INCA CGIL Innovare e competere con le ICT - PARTE I Cap.1 L innovazione nella gestione dei

Dettagli

Gestire un progetto di introduzione di sistemi informativi di SCM. 1 Marco Bettucci Gestione della produzione II - LIUC

Gestire un progetto di introduzione di sistemi informativi di SCM. 1 Marco Bettucci Gestione della produzione II - LIUC Gestire un progetto di introduzione di sistemi informativi di SCM 1 Che cos è un progetto? Una serie complessa di attività in un intervallo temporale definito... finalizzate al raggiungimento di obiettivi

Dettagli

SISTEMI DI SVILUPPO PRODOTTO. Realizzazione di maggiore valore. con le soluzioni di gestione del ciclo di vita del prodotto

SISTEMI DI SVILUPPO PRODOTTO. Realizzazione di maggiore valore. con le soluzioni di gestione del ciclo di vita del prodotto SERVIZI E SUPPORTO PROCESSI E INIZIATIVE SISTEMI DI SVILUPPO PRODOTTO PRODOTTI SOFTWARE SOLUZIONI VERTICALI Realizzazione di maggiore valore con le soluzioni di gestione del ciclo di vita del prodotto

Dettagli

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site La Tecnologia evolve velocemente ed anche gli esperti IT più competenti hanno bisogno di una formazione costante per tenere il passo Come

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

PERCHÉ NON POSSIAMO FARE A MENO DI UNA STRATEGIA DI SERVICE LEVEL MANAGEMENT

PERCHÉ NON POSSIAMO FARE A MENO DI UNA STRATEGIA DI SERVICE LEVEL MANAGEMENT OSSERVATORIO IT GOVERNANCE PERCHÉ NON POSSIAMO FARE A MENO DI UNA STRATEGIA DI SERVICE LEVEL MANAGEMENT A cura di Alberto Rizzotto, Manager di HSPI Premessa La necessità di adottare best practice internazionali

Dettagli

CORPORATE GOVERNANCE. Implementare una corporate governance efficace

CORPORATE GOVERNANCE. Implementare una corporate governance efficace CORPORATE GOVERNANCE Implementare una corporate governance efficace 2 I vertici aziendali affrontano una situazione in evoluzione Stiamo assistendo ad un cambiamento senza precedenti nel mondo della corporate

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 5 Marco Fusaro KPMG S.p.A. 1 CobiT: strumento per la comprensione di una

Dettagli

FNM SpA Linee di Indirizzo del Sistema di Controllo Interno e Gestione dei Rischi

FNM SpA Linee di Indirizzo del Sistema di Controllo Interno e Gestione dei Rischi FNM SpA Linee di Indirizzo del Sistema di Controllo Interno e Gestione dei Rischi Approvate dal Consiglio di Amministrazione in data 17 aprile 2014 Linee di Indirizzo del SCIGR 1. Premessa Il Sistema di

Dettagli

roj X Soluzione SCM Experience the Innovation www.solgenia.com

roj X Soluzione SCM Experience the Innovation www.solgenia.com roj X Soluzione SCM www.solgenia.com Experience the Innovation OBIET T IVO: catena del valore www.solgenia.com Experience the Innovation 2 Proj è la soluzione Solgenia in ambito ERP e SCM per l ottimizzazione

Dettagli

Multicanalità e CRM: obiettivi e criticità

Multicanalità e CRM: obiettivi e criticità Multicanalità e CRM: obiettivi e criticità Corrado Avesani - CRM 2001 Strumenti evoluti per il rapporto con la clientela Convegno ABI Roma, 14 dicembre 2001 Agenda Multicanalità e CRM Il concetto di multicanalità

Dettagli

ANALISI DI UN CASO DI EVOLUZIONE NELL ADOZIONE DELLA SOLUZIONE PROJECT AND PORTFOLIO MANAGEMENT DI HP.

ANALISI DI UN CASO DI EVOLUZIONE NELL ADOZIONE DELLA SOLUZIONE PROJECT AND PORTFOLIO MANAGEMENT DI HP. INTERVISTA 13 settembre 2012 ANALISI DI UN CASO DI EVOLUZIONE NELL ADOZIONE DELLA SOLUZIONE PROJECT AND PORTFOLIO MANAGEMENT DI HP. Intervista ad Ermanno Pappalardo, Lead Solution Consultant HP Software

Dettagli