Codice di autodisciplina e IT Governance

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Codice di autodisciplina e IT Governance"

Transcript

1 Codice di autodisciplina e IT Governance Settembre 2013

2 Indice Premessa ed obiettivi del documento 3 Breve presentazione del Codice di autodisciplina 4 Il modello di riferimento di IT Governance: perché COBIT 5 7 COBIT 5: A Business Framework for the Governance and Management of Enterprise IT 9 Definizione dell approccio di audit 13

3 Premessa ed obiettivi del documento Il presente documento ha l intenzione di fornire un interpretazione del Codice di autodisciplina (di seguito Codice ), emesso nel dicembre 2011, relativamente alla governance in ambito IT. Il Codice all Art. 7 fornisce indicazioni su tematiche di Sistema di controllo interno e di gestione dei rischi senza tuttavia approfondire tale aspetto in merito all Information Technology. Tutti gli stakeholders, sia interni (Consiglio di Amministrazione, Governance, Risk & Compliance, Internal Audit, ecc.) sia esterni (business partner, auditor esterni, ecc.), sono ormai a conoscenza di quanto siano importanti le tematiche di governance e di gestione dei rischi e di come queste siano indissociabili da una buona ed attenta gestione degli aspetti legati all IT. Per tale motivo un gruppo di lavoro formato da esperti di IT Risk & Governance, appartenenti alle Big Four, ha pensato di definire il presente Position Paper, fornendo quindi un interpretazione del Codice che potesse fornire una guida e quindi supportare le società quotate ad affrontare le tematiche di IT Governance. Il presente documento interpretativo, come definisce lo stesso Codice nei Principi guida e regime transitorio è destinato ad [ ] III. Ogni società italiana con azioni quotate ( emittente ) [ ]. Si ricorda inoltre che l adesione al Codice è volontaria.

4 Breve presentazione del Codice di autodisciplina Nel dicembre del 2011 è stato pubblicato il nuovo testo revisionato del Codice per la corporate governance delle società quotate italiane elaborato, in linea di continuità con quanto avvenne nel 1999, da un Comitato per la Corporate Governance, ossia da un soggetto dalla natura composita costituito da rappresentanti di Borsa Italiana e delle Associazioni di categoria delle imprese bancarie, assicurative e industriali (ABI, ANIA, Assonime e Confindustria) e degli investitori istituzionali (Assogestioni) 1. Le novità apportate al Codice seguono tre direttrici principali: semplificazione e chiarificazione delle regole già esistenti; allineamento delle condotte richieste alle nuove regole del diritto societario e comunitario; inserimento di nuovi principi volti ad innalzare gli standard di governance degli emittenti e ad anticipare possibili futuri interventi legislativi. In particolare, per il terzo punto appena citato, il Codice ha mostrato particolare attenzione nei confronti dei seguenti temi: la centralità del Consiglio di Amministrazione (di seguito CdA ) nella governance societaria; l importanza della componente indipendente all interno del CdA; la valorizzazione dei Comitati endo-consiliari; l introduzione della funzione della gestione dei rischi all interno del sistema del controllo interno. In merito a quest ultimo punto il Codice del 2011, in linea con la posizione espressa dalla Commissione europea nel citato Libro Verde sulla Corporate Governance del 2011, ha ravvisato la necessità che ciascuna società quotata sviluppi, in base alle proprie caratteristiche, un adeguata cultura del rischio nonché una modalità di gestione che le consentano di affrontare efficacemente gli specifici rischi aziendali. In estrema sintesi le novità apportate al Codice sotto tale profilo perseguono tre fondamentali obiettivi: contribuire a diffondere la cultura del rischio, inserendo la funzione della gestione dei rischi all interno del sistema di controllo interno; attribuire al CdA, coadiuvato dal (rinnovato) Comitato per il controllo interno e la gestione dei rischi, un ruolo chiave nella definizione della natura e del livello del rischio compatibile con gli obiettivi strategici dell emittente; 1 Sintesi tratta dai Quaderni Giuridici L Autodisciplina in materia di Corporate Governance pubblicato da CONSOB nel febbraio 2013.

5 razionalizzare il sistema di controllo interno e gestione dei rischi sotto il profilo delle competenze attribuite ai vari soggetti coinvolti nell esercizio di questa funzione. Successivamente all approvazione dell ultima edizione del Codice il panorama normativo nazionale si è arricchito di una serie di provvedimenti che hanno profondamente inciso sugli assetti di governance delle società italiane, quotate e non quotate. In particolare, a fini di una migliore comprensione del presente Position Paper in merito all IT Governance, è significativo citare quanto la Banca d Italia ha emanato in data 2 luglio 2013 con il 15 aggiornamento della Circolare n. 263 del 27 dicembre 2006 Nuove disposizioni di vigilanza prudenziale per le banche. Particolare attenzione va prestata al Capitolo 8 (Il sistema informativo) della Circolare all interno del quale viene aggiornata la disciplina del sistema informativo, anche per recepire le principali evoluzioni emerse nel panorama internazionale. Oltre a disciplinare le modalità di governo del sistema informativo, di gestione del rischio informatico ed i requisiti per assicurare la sicurezza informatica, le disposizioni recepiscono le raccomandazioni della BCE per la sicurezza delle transazioni bancarie tramite internet. Le previsioni contenute nel Capitolo 8 rappresentano requisiti di carattere generale per lo sviluppo e la gestione del sistema informativo da parte degli intermediari; le concrete misure da adottare tengono conto degli specifici obiettivi strategici e, secondo il principio di proporzionalità, della dimensione e complessità operative, della natura dell attività svolta, della tipologia dei servizi prestati nonché del livello di automazione dei processi e servizi della banca. A tal proposito, le banche valutano l opportunità di avvalersi degli standard e best practices definiti a livello internazionale in materia di governo, gestione, sicurezza e controllo del sistema informativo 2. Il sistema informativo (inclusivo delle risorse tecnologiche hardware, software, dati, documenti elettronici, reti telematiche e delle risorse umane dedicate alla loro amministrazione) rappresenta uno strumento di primaria importanza per il conseguimento degli obiettivi strategici e operativi degli intermediari, in considerazione della criticità dei processi aziendali che dipendono da esso. Infatti: dal punto di vista strategico, un sistema informativo sicuro ed efficiente, basato su un architettura flessibile, resiliente ed integrata a livello di gruppo consente di sfruttare le opportunità offerte dalla tecnologia per ampliare e migliorare i prodotti e i servizi per la clientela, accrescere la qualità dei processi di lavoro, favorire la 2 Vedi Titolo V della Circolare n. 263 del 27 dicembre 2006, 15 aggiornamento del 2 luglio 2013.

6 de-materializzazione dei valori, ridurre i costi anche attraverso la virtualizzazione dei servizi bancari; nell ottica della sana e prudente gestione, il sistema informativo consente al management di disporre di informazioni dettagliate, pertinenti ed aggiornate per l assunzione di decisioni consapevoli e tempestive e per la corretta attuazione del processo di gestione dei rischi; con riguardo al contenimento del rischio operativo, il regolare svolgimento dei processi interni e dei servizi forniti alla clientela, l integrità, la riservatezza e la disponibilità delle informazioni trattate, fanno affidamento sulla funzionalità dei processi e dei controlli automatizzati; in tema di compliance, al sistema informativo è affidato il compito di registrare, conservare e rappresentare correttamente i fatti di gestione e gli eventi rilevanti per le finalità previste da norme di legge e da regolamenti interni ed esterni. Possiamo quindi affermare che, a due anni di distanza dalla pubblicazione dell ultima revisione del Codice, la Banca d Italia abbia aggiornato la disciplina in ambito IT Governance in modo chiaro e puntuale. E auspicabile che in un futuro prossimo, sempre seguendo il concetto di proporzionalità, tali tematiche possano diventare un importante requisito ancora più chiaramente definito all interno del Codice stesso vista l importanza che oggi l IT Governance ha assunto all interno delle società. Come verrà spiegato nel paragrafo successivo l adozione del COBIT 5 risponde pienamente a quanto richiesto da Banca d Italia e quindi può costituire per tutte le società che già aderiscono o decideranno di adottare il Codice, oltre alle Banche, un metodo più efficace ed efficiente per gestire il proprio livello di IT Governance.

7 Il modello di riferimento di IT Governance: perché COBIT 5 Il Codice definisce nell Art. 7 nel primo principio 7.P.1, [ ]. Tale sistema (ndr. di controllo interno e gestione dei rischi) è integrato nei più generali assetti organizzativi e di governo societario adottati dall emittente e tiene in adeguata considerazione i modelli di riferimento e le best practices esistenti in ambito nazionale e internazionale [ ]. Inoltre, sempre nello stesso articolo nel quinto criterio attuativo 7.C.5 si parla di sistemi informativi, Il responsabile della funzione di internal audit : [ ]; g) verifica, nell ambito del piano di audit, l affidabilità dei sistemi informativi inclusi i sistemi di rilevazione contabile. Partendo da tali affermazioni, tratte dal Codice, è opportuno domandarsi quale framework di riferimento sia più adeguato per la definizione del sistema di governance e di gestione dei rischi in ambito IT. Il gruppo di lavoro ha identificato nel COBIT 5 il framework di riferimento adeguato per essere in linea con le aspettative e le ideologie di base del Codice e la sua capacità di potersi adattare ad ogni azienda. COBIT 5, rilasciato nel 2012 alla sua quinta edizione, consolida e integra i precedenti framework emessi da ISACA (COBIT 4.1, Val IT 2.0 and Risk IT e BMIS) e posa le sue fondamenta, dopo anni di riconosciuto utilizzo e vantaggi, sulle versioni precedenti di COBIT. Queste ultime hanno avuto il loro riconoscimento in SEC (COBIT for SOX) e nella equivalente applicazione sul mercato regolamentato italiano (COBIT per 262). Nel 2005 anche l Unione Europea ha indicato COBIT come uno degli standard utilizzabili per garantire la sicurezza dei sistemi informativi. Come risulta ben rappresentato nel terzo principio Applying a Single, Integrated framework, COBIT 5 è allineato con gli ultimi standard e framework internazionalmente riconosciuti, fatto che permette all azienda di utilizzarlo come elemento di integrazione più che una sostituzione di altri standard e frame work. Ad esempio l approccio di governance di COBIT 5 è basato su un modello di EDM (Evaluate, Direct and Monitor) che è lo stesso usato nell ISO Governance Model (ISO 38500). Altri riferimenti evidenziati in COBIT 5 sono: Enterprise related: COSO, COSO ERM, ISO 9000, ISO 31000; IT related: ISO 38500, ITIL, serie ISO 27000, TOGAF, PMBOK/PRINCE2, CMMI. COBIT 5, tuttavia, a differenza di altri standard e framework internazionali, che enfatizzano o i controlli di business (COSO), o di sicurezza IT (serie ISO/IEC 27000), o di service management delle attività legate all IT (ITIL), integra tutte le funzioni e i processi di IT Governance in una governance di impresa ed in una prospettiva di business. COBIT 5, pertanto, non ha la presunzione di sostituire nessuno dei suddetti standard e framework. Esso ha l intenzione di sottolineare come la governance, gli elementi di gestione e le pratiche siano necessarie al fine di creare

8 valore dall Information Technology a supporto degli obiettivi di business delle imprese. Quest ultimo aspetto evidenzia come siano condizioni necessarie, per l adozione e l implementazione con successo di COBIT 5, la direzione, il coinvolgimento ed il supporto continuo da parte del top management dell azienda. La scelta di implementare COBIT 5 come modello di IT Governance non è prerogativa del CIO (Chief Information Officer) o della Direzione Sistemi Informativi, ma è in primo luogo della Direzione d impresa. COBIT 5, come espresso nel primo principio Meeting Stakeholder Needs, nasce prima di tutto come necessità degli stakeholder, comunemente influenzate da fattori esogeni (ambiente e regolamentazioni esterne ed evoluzione tecnologica); solo successivamente, la strategia dell azienda si traduce in obiettivi di business, i quali a loro volta si riconducono ad obiettivi IT. Ulteriore vantaggio di adottare COBIT 5 come framework di riferimento è che le aziende possono utilizzarlo separando chiaramente la governance dal management. In sostanza, COBIT 5 è un esauriente framework che aiuta le imprese a creare un ottimale valore dall IT mantenendo un giusto equilibrio tra realizzazione dei benefici di business ed ottimizzazione del livello di rischio e dell utilizzo delle risorse. COBIT 5 permette all informazione ed alla relativa tecnologia di essere governata e gestita in maniera olistica sull intera organizzazione, considerando sia i processi di business end-to-end e le aree funzionali di responsabilità, sia gli interessi legati all IT. Per quanto sopra descritto, COBIT 5 rispetta e ricalca i requisiti di un sistema di governance e di gestione dei rischi così come espresso nel criterio applicativo 7.C.1 del Codice: [ ] i principali rischi afferenti all emittente e alle sue controllate risultino correttamente identificati, nonché adeguatamente misurati, gestiti e monitorati, determinando inoltre il grado di compatibilità di tali rischi con una sana e corretta gestione dell impresa coerente con gli obiettivi strategici individuati; [ ].

9 COBIT 5: A Business Framework for the Governance and Management of Enterprise IT Come emerge dal titolo che lo accompagna 3, le intenzioni del nuovo framework sono manifeste ed inequivocabili: rivolto non più esclusivamente ai dipartimenti IT delle società (tanto da definirsi business framework), COBIT 5 diventa lo strumento di governo e gestione dell IT. Questa premessa è aderente alle richieste normative sopra descritte, non solo di centralità degli organi di governo societari 4 (cfr.: Consiglio di Amministrazione), ma anche di enfasi nella definizione appropriata di un sistema di controllo interno e nella gestione dei rischi. All interno del framework, leggiamo: [ ] COBIT 5 provides a comprehensive framework that assists enterprises in achieving their objectives for the governance and management of enterprise IT. Simply stated, it helps enterprises create optimal value from IT by maintaining a balance between realising benefits and optimising risk levels and resource use. COBIT 5 enables IT to be governed and managed in a holistic manner for the entire enterprise, taking in the full end-to-end business and IT functional areas of responsibility, considering the IT-related interests of internal and external stakeholders. COBIT 5 is generic and useful for enterprises of all sizes, whether commercial, not-for-profit or in the public sector [ ]. Questo passo tratto dall Executive Summary espone in estrema sintesi i cinque principi COBIT 5 che regolano il governo dell IT per il raggiungimento degli obiettivi di business, offrendo riferimenti puntuali per una gestione dei rischi dell informazione. I principi di COBIT 5 sono: 1. Meeting Stakeholder Needs: partendo dal presupposto che le società esistono al fine di dare valore agli stakeholders garantendo l equilibrio desiderato tra i benefici ottenuti, i rischi assunti e l impiego delle risorse, COBIT fornisce evidenza di quali processi e quali elementi abilitanti siano necessari a supportare la creazione di valore. 2. Covering the Enterprise End-to-end: COBIT non insiste solamente sui processi IT ma considera l informazione ed i corrispondenti elementi tecnologici come attività, patrimonio, assests. 3. Applying a Single, Integrated Framework: COBIT si allinea con gli le best practices e gli standard esistenti, al fine di fornire un indirizzo di alto livello per le tematiche di governo e gestione dell IT all interno delle società. 3 4 A Business Framework for the Governance and Management of Enterprise IT. COBIT 5 è fondato su cinque principi, il primo dei quali è Meeting Stakeholder Needs.

10 4. Enabling a Holistic Approach: il governo e la gestione dell IT richiedono un approccio olistico delle numerose componenti esistenti e che interagiscono tra loro. Per tale ragione COBIT definisce alcuni elementi abilitanti per permettere l implementazione dei processi di governo e gestione. Gli elementi abilitanti sono: - Principles, Policies and Frameworks; - Processes - Organisational Structures; - Culture, Ethics and Behaviour; - Information; - Services, Infrastructure and Applications; - People, Skills and Competencies. 5. Separating Governance from Management: governo e gestione sono elementi differenti in ambito aziendale. COBIT li disciplina definendo per ciascuno lo svolgimento di determinate attività e l adozioni di strutture organizzative dedicate, al fine di raggiungere obiettivi differenti. Infatti: - la governance assicura che i bisogni degli stakeholders, condizioni ed opzioni siano valutate al fine di determinare obiettivi aziendali bilanciati e concordati; l impostazione della direzione attraverso la prioritizzazione ed il decision making; il monitoraggio delle performance e la compliance in confronto alla direzione concordata e agli obiettivi; - il Management pianifica, costruisce, fa funzionare e monitora le attività in allineamento alle direzioni impostate dal corpo della governance al fine di raggiungere gli obiettivi aziendali. Ripercorrendo i principi, COBIT 5 correla quindi i bisogni degli stakeholder agli obiettivi dell impresa, definendo gli obiettivi IT e gli elementi abilitanti. E proprio seguendo queste correlazioni che troviamo le guide di riferimento dei processi 5, le quali riportano spesso ampliate e riviste (se non a volte, del tutto nuove), le informazioni tipiche del mondo COBIT: identificazione dei processi; descrizione dei processi; definizione dello scopo del processo; la connessione degli obiettivi (Goal Cascade); obiettivi del processo e metriche; matrice RACI; descrizione dettagliata dei processi. Il concetto di rischio, controllo e misurazione non possono prescindere dal grado di raggiungimento degli obiettivi IT (necessari come detto per l abilitazione degli obiettivi 5 Denominate Process Reference Guide, presenti all interno della famiglia COBIT 5 Enabler Guides.

11 di business). Tali obiettivi sono raggiunti attraverso l implementazione di fattori abilitanti e sono categorizzati come segue: intrinsic goals; contextual goals; accessibility and security goals. A titolo di esempio, la qualità dell informazione (inteso come fattore abilitante) può essere declinata come segue: Qualità intrinseca - La misura in cui il valore dei dati è in conformità con il valore attuale o vero. Include: - Accuratezza - La misura in cui l informazione è corretta ed affidabile. - Obiettività - La misura in cui l informazione è obiettiva, senza pregiudizi ed imparziale. - Credibilità - La misura in cui è considerata vera e credibile. - Reputazione - La misura in cui l informazione è altamente considerata in termini della sua fonte o contenuti. Qualità del contenuto e rappresentazione - La misura in cui l informazione è applicabile al compito dell informazione degli utenti e si presenta come intellegibile e chiara, riconoscendo che la qualità dell informazione dipende dal contesto di utilizzo. Include: - Pertinenza - La misura in cui l informazione è applicabile e utile per il compito a portata di mano. - Completezza - La misura in cui l informazione non è mancante o è di sufficiente profondità ed ampiezza per completare il compito a portata di mano. - Attualità - La misura in cui l informazione è sufficientemente aggiornata per il compito a portata di mano. - Quantità appropriata d informazione - La misura in cui il volume delle informazioni è appropriato per il compito a portata di mano. - Rappresentazione concisa - La misura in cui l informazione è rappresentata in maniera compatta. - Rappresentazione consistente - La misura in cui l informazione è presentata nello stesso formato. - Interpretabilità - La misura in cui l informazione è in linguaggi appropriati, simboli ed unità, con chiare definizioni. - Comprensibilità - La misura in cui l informazione è facilmente capita e recepita. - Facilità di manipolazione - La misura in cui l informazione è facile da manipolare ed applicare a diversi compiti. Qualità della sicurezza/accessibilità - La misura in cui l informazione è disponibile od ottenibile. Include:

12 - Disponibilità/tempestività - La misura in cui l informazione è disponibile quando richiesta, o facilmente e velocemente recuperabile. - Accesso ristretto - la misura in cui l informazione è appropriatamente ristretta a soggetti autorizzati. Ne consegue che il concetto di affidabilità dei sistemi informativi è da ricercarsi nell ambito di processi IT che sappiano rendersi abilitatori delle qualità dell informazione.

13 Definizione dell approccio di audit Definito nel paragrafo precedente l insieme degli obiettivi del sistema di controllo dei sistemi informativi, necessari per assicurare l adeguatezza dei processi IT per il raggiungimento degli obiettivi di business, nonché l affidabilità dei sistemi stessi, il passaggio successivo prevede la stesura di un piano di audit di alto livello che identifichi secondo una metodologia consolidata gli interventi di audit da eseguire secondo un criterio di valutazione dei rischi. Al fine di raggiungere tale obiettivo, è necessario dapprima procedere con l identificazione di tutti i processi di business rilevanti e dei loro obiettivi, nonché dei sistemi a supporto degli stessi. Ciò consente in prima istanza di comprendere in che modo i processi IT possono influenzare il raggiungimento degli obiettivi aziendali, ed inoltre di definire il perimetro dei sistemi oggetto delle verifiche. Ciò avviene sulla base di valutazioni, sia quantitative sia qualitative, sui possibili rischi esistenti, sulle relative minacce e vulnerabilità, e di conseguenza sugli impatti in merito al raggiungimento degli obiettivi di controllo IT definiti da COBIT (risk assessment). In particolare, il risk assessment dovrebbe prevedere un analisi preventiva del contesto aziendale, volta all identificazione dei rischi esistenti sui processi e dei possibili impatti, ed alla comprensione dell influenza dei processi IT su tali rischi, valutando l allineamento dei processi di governance dei sistemi informativi (Evaluate, Direct & Monitoring secondo COBIT 5) alle strategie di gestione di rischio aziendali. Sulla base di tali valutazioni saranno identificati le misure di controllo IT oggetto di verifica, e valutata la rispondenza dell ambiente di controllo esistente ai requisiti definiti a livello di obiettivi. L insieme del perimetro e degli esiti del risk assessment permetterà di assegnare un livello di criticità (e di conseguenza priorità) a ciascun sistema e processo IT in ambito, guidando la definizione del piano delle attività di audit pluriennale. Sulla base della complessità dell ambiente e dell organizzazione IT è possibile prevedere una diversa durata del piano di verifiche di audit, ma a livello generale si ipotizza un orizzonte temporale di tre anni per il completamento delle verifiche stesse, e comunque non superiore ai cinque anni. Tale piano di audit dovrà prevedere la copertura nell orizzonte temporale previsto di tutto il perimetro dei sistemi e dei processi IT significativi con un criterio di rotazione, nonché l esecuzione di tutte le verifiche di audit ritenute necessarie trasversalmente sulle seguenti aree: Verifica dei controlli generali IT e relativa maturity, che indirizzi l obiettivo introdotto al paragrafo precedente di Qualità intrinseca, e parzialmente dell obiettivo di Sicurezza/Accessibilità. Tali verifiche dovrebbero prevedere l analisi dei controlli previsti nell ambito dei processi di gestione (Management Processes secondo COBIT 5) del ciclo di vita dei sistemi informativi: - Align, Plan & Organize,

14 - Build, Acquire & Implement, - Deliver, Service & Support, - Monitor, Evaluate & Assess, tramite la comprensione dei controlli stessi (walkthrough) ed il successivo test di efficacia. Queste attività dovrebbero essere eseguite tutti gli anni, ma il perimetro di applicazione può essere configurato in modo che ogni applicativo sia verificato una volta nell orizzonte temporale, a partire da quelli con criticità superiore. Assessment dei controlli automatici (e semiautomatici) chiave per i processi in ambito, così da indirizzare l obiettivo di Qualità del contenuto e della rappresentazione. Tali verifiche dovrebbero prevedere il test dei controlli chiave gestiti tramite automatismi di sistema, nell ambito dei processi di business significativi inclusi in ambito. Anche in questo caso, verifiche sui controlli automatici dovrebbero essere condotte tutti gli anni, ma il perimetro di applicazione può essere configurato in modo da coprire tutti i processi nell orizzonte temporale, a partire da quelli con criticità superiore. Con specifico riferimento all obiettivo Sicurezza/Accessibilità, come già introdotto in precedenza, possono essere svolte ulteriori verifiche ad-hoc sulle seguenti aree: - Vulnerability Assessment & Penetration Testing, volti alla verifica dell esistenza di eventuali vulnerabilità nei sistemi ed alla definizione dei conseguenti piani di azione; - Security Assessment volti alla verifica dell adeguatezza del Sistema di Gestione della Sicurezza delle Informazioni dal punto di vista organizzativo, procedurale e tecnico; - Compliance Privacy, ivi inclusa la gestione degli Amministratori di Sistema come da Provvedimento del 27 novembre 2008; - verifiche della Segregation of Duties al fine di identificare eventuali conflitti e la conseguente strategia di mitigazione; - ogni altro intervento ritenuto necessario sulla base del contesto organizzativo e normativo aziendale. A seconda della complessità dell ambiente e dei sistemi IT, e del livello di automazione raggiungibile dalle modalità di verifica, tali attività possono essere svolte anche più volte l anno, consentendo un costante allineamento ai requisiti di security aziendale. A seguito di tale pianificazione di massima, il piano di verifiche per l anno corrente deve essere specificato nel dettaglio, tramite la definizione dell insieme dei sistemi e processi in ambito, dei controlli da testare e delle relative strategie di test. Il piano di audit di dettaglio deve poi essere eseguito in collaborazione con le funzioni aziendali coinvolte, eventuali gap rispetto alle leading practices evidenziati e condivisi con le funzioni coinvolte stesse, le quali definiranno l action plan corrispondente per raggiungere la conformità agli obiettivi di controllo prestabiliti.

15 Per ogni anno successivo, il piano dovrà prevedere l aggiornamento del risk assessment, volto a identificare e valutare eventuali elementi di discontinuità rispetto al passato con riferimento agli obiettivi di controllo IT (progetti significativi, migrazioni di sistemi in scope, cambiamenti organizzativi, aggiornamenti alla normativa di riferimento, ecc.). Tali valutazioni potrebbero portare alla modifica dell ambito e del dettaglio dei test da eseguire per l anno corrente, ponendo maggiore attenzione sugli elementi modificati rispetto al risk assessment precedente o che presentano una priorità maggiore. Ciò non deve comunque pregiudicare la copertura di tutti i processi ed i sistemi rilevanti nell ambito dell orizzonte temporale considerato. In ogni caso, le attività di audit degli anni successivi al primo dovrebbero includere, sulla base di quanto emerso durante l aggiornamento del risk assessment: follow-up delle tematiche emerse nel corso dei precedenti audit, al fine di verificare l effettiva implementazione degli action plan definiti e l efficacia delle soluzioni adottate; specifiche verifiche sui cambiamenti significativi avvenuti rispetto alla precedente rilevazione del sistema dei controlli; esecuzione delle attività previste dal piano di audit pluriennale, secondo la pianificazione di massima; esecuzione di eventuali ulteriori verifiche ad-hoc, sulla base delle specifiche necessità dell organizzazione. La conduzione delle attività di audit così, come illustrato sopra, consente un monitoraggio costante di tutti i controlli chiave relativi ai processi ed ai sistemi in scope, supportando con efficacia ed efficienza la verifica delle caratteristiche di affidabilità dei sistemi informativi, che si rende necessaria per la conformità ai requisiti del Codice.

Fattori critici di successo

Fattori critici di successo CSF e KPI Fattori critici di successo Critical Success Factor (CSF) Definiscono le azioni o gli elementi più importanti per controllare i processi IT Linee guida orientate alla gestione del processo Devono

Dettagli

SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA. Service Oriented Architecture

SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA. Service Oriented Architecture SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA Service Oriented Architecture Ormai tutti, nel mondo dell IT, conoscono i principi di SOA e i benefici che si possono ottenere

Dettagli

L attività dell Internal Audit. G.M. Mirabelli

L attività dell Internal Audit. G.M. Mirabelli L attività dell Internal Audit G.M. Mirabelli Milano 13 ottobre 2006 Obiettivi della presentazione Evidenziare i compiti che nel nuovo Codice di autodisciplina sono assegnati all Internal Auditing, se

Dettagli

Banche e Sicurezza 2015

Banche e Sicurezza 2015 Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso

Dettagli

Processi di Gestione dei Sistemi ICT

Processi di Gestione dei Sistemi ICT Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A3_1 V1.1 Processi di Gestione dei Sistemi ICT Il contenuto del documento è liberamente utilizzabile dagli studenti,

Dettagli

Informazioni aziendali: il punto di vista del Chief Information Security Officer ed il supporto di COBIT 5 for Information Security

Informazioni aziendali: il punto di vista del Chief Information Security Officer ed il supporto di COBIT 5 for Information Security Informazioni aziendali: il punto di vista del Chief Information Security Officer ed il supporto di COBIT 5 for Information Security Jonathan Brera Venezia Mestre, 26 Ottobre 2012 1 Agenda Introduzione

Dettagli

FLASH REPORT. Il nuovo Intermediario Finanziario Unico. Giugno 2015

FLASH REPORT. Il nuovo Intermediario Finanziario Unico. Giugno 2015 FLASH REPORT Il nuovo Intermediario Finanziario Unico Giugno 2015 Il 4 settembre 2010 è stato pubblicato in Gazzetta Ufficiale il D.Lgs. 141 del 13 agosto 2010, attuativo della Direttiva comunitaria n.

Dettagli

Il Governo Societario nelle Banche di Credito Cooperativo: attualità e prospettive

Il Governo Societario nelle Banche di Credito Cooperativo: attualità e prospettive Il Governo Societario nelle Banche di Credito Cooperativo: attualità e prospettive Il modello di sistema dei controlli interni per il Credito Cooperativo Giuseppe Zaghini, Rischi e Controlli - Ufficio

Dettagli

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 Introduzione Il primo ottobre 2015 la normativa ISO/IEC 27001: 2005 verrà definitivamente sostituita dalla più recente versione del 2013: il periodo di

Dettagli

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma Il Risk Management Integrato in eni Stefano Leofreddi Senior Vice President Risk Management Integrato 1 Ottobre 2014, Roma Indice - Sviluppo del Modello RMI - Governance e Policy - Processo e Strumenti

Dettagli

POLICY PER L ESERCIZIO DEI DIRITTI INERENTI AGLI STRUMENTI FINANZIARI DEGLI OICR GESTITI

POLICY PER L ESERCIZIO DEI DIRITTI INERENTI AGLI STRUMENTI FINANZIARI DEGLI OICR GESTITI POLICY PER L ESERCIZIO DEI DIRITTI INERENTI AGLI STRUMENTI FINANZIARI DEGLI OICR GESTITI Approvato dal Revisionato dal Consiglio di Amministrazione del 27 aprile 2012 Le presenti linee guida rappresentano

Dettagli

NOTA AIFIRM Associazione Italiana Financial Industry Risk Managers 23 luglio 2013

NOTA AIFIRM Associazione Italiana Financial Industry Risk Managers 23 luglio 2013 NOTA AIFIRM Associazione Italiana Financial Industry Risk Managers 23 luglio 2013 E stato introdotto nell ordinamento di vigilanza italiano il concetto di risk appetite framework (RAF). E contenuto nella

Dettagli

Analisi e gestione dei rischi. in TBS Group

Analisi e gestione dei rischi. in TBS Group 18 ottobre 2012 Analisi e gestione dei rischi in TBS Group Avv. Aldo Cappuccio (presidente del Comitato di Controllo Interno) 1 TBS Group S.p.A. TBS Group S.p.A. nasce e si sviluppa, agli inizi degli anni

Dettagli

IL RUOLO DEL RISK MANAGEMENT NEL SISTEMA DEI CONTROLLI INTERNI

IL RUOLO DEL RISK MANAGEMENT NEL SISTEMA DEI CONTROLLI INTERNI IL RUOLO DEL RISK MANAGEMENT NEL SISTEMA DEI CONTROLLI INTERNI Andrea Piazzetta Risk Manager Gruppo Banca Popolare di Vicenza Vicenza, 18 settembre 2009 Gruppo Banca Popolare di Vicenza Contesto regolamentare

Dettagli

Servizi di revisione contabile e verifica delle informazioni finanziarie nel processo di listing e post listing

Servizi di revisione contabile e verifica delle informazioni finanziarie nel processo di listing e post listing Servizi di revisione contabile e verifica delle informazioni finanziarie nel processo di listing e post listing Nel seguito sono presentati i servizi di revisione contabile e verifica delle informazioni

Dettagli

La disclosure e il monitoraggio della corporate governance in Italia

La disclosure e il monitoraggio della corporate governance in Italia Comitato per la Corporate Governance La disclosure e il monitoraggio della corporate governance in Italia Gabriele Galateri di Genola e Carmine Di Noia Milano, 16 aprile 2014 1 La disclosure della corporate

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

Nuove disposizioni di vigilanza prudenziale per le banche: principali novità

Nuove disposizioni di vigilanza prudenziale per le banche: principali novità FLASH REPORT Nuove disposizioni di vigilanza prudenziale per le banche: principali novità Luglio 2013 Il 2 luglio 2013 la Banca d Italia, all esito dell attività di consultazione avviata nel mese di settembre

Dettagli

CODICE DI AUTODISCIPLINA (aspetti generali - sintesi)

CODICE DI AUTODISCIPLINA (aspetti generali - sintesi) CODICE DI AUTODISCIPLINA (aspetti generali - sintesi) Codice di autodisciplina Sintetica descrizione del contenuto del Codice di Autodisciplina approvato nel marzo 2006 dal Comitato per la corporate governance

Dettagli

REGOLAMENTO PER LA GESTIONE DEL PATRIMONIO

REGOLAMENTO PER LA GESTIONE DEL PATRIMONIO REGOLAMENTO PER LA GESTIONE DEL PATRIMONIO Approvato dal Consiglio di Indirizzo nella seduta del 14 febbraio 2014 1 SOMMARIO AMBITO DI APPLICAZIONE Pag. 3 1. PRINCIPI GENERALI Pag. 3 1.1. Finalità del

Dettagli

Introduzione. Introduzione. 1. I contenuti del Codice di Autodisciplina promosso da Borsa Italiana 2. Le modifiche approvate nel marzo 2010

Introduzione. Introduzione. 1. I contenuti del Codice di Autodisciplina promosso da Borsa Italiana 2. Le modifiche approvate nel marzo 2010 Oggetto: Sintetica descrizione del contenuto del Codice di Autodisciplina, promosso da Borsa Italiana S.p.A., approvato dal Comitato per la corporate governance nel marzo 2006 e successivamente modificato

Dettagli

Maggio 2014. Silvia Colombo, Jenny.Avvocati

Maggio 2014. Silvia Colombo, Jenny.Avvocati Maggio 2014 Prime riflessioni sul recepimento degli Orientamenti EIOPA, attuativi della direttiva Solvency II: l IVASS modifica il Regolamento n. 20/2008 Silvia Colombo, Jenny.Avvocati L iter delle modifiche

Dettagli

KPS - ATTI CONSIGLIO - 08/2015 POLICY. Esercizio dei diritti inerenti agli strumenti finanziari degli OICR gestiti

KPS - ATTI CONSIGLIO - 08/2015 POLICY. Esercizio dei diritti inerenti agli strumenti finanziari degli OICR gestiti POLICY Esercizio dei diritti inerenti agli strumenti finanziari degli OICR gestiti [ Pagina Bianca ] Esercizio dei diritti inerenti agli strumenti finanziari degli OICR gestiti 1 INDICE Indice... 2 PREMESSA...

Dettagli

Risposta alla consultazione di Banca d Italia sul Programma dell attività normativa dell Area Vigilanza per l anno 2011

Risposta alla consultazione di Banca d Italia sul Programma dell attività normativa dell Area Vigilanza per l anno 2011 Risposta alla consultazione di Banca d Italia sul Programma dell attività normativa dell Area Vigilanza per l anno 2011 Dicembre 2010 DOCUMENTI 1. Considerazioni preliminari Il Programma di attività normativa

Dettagli

ERG S.p.A. Linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi

ERG S.p.A. Linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi ERG S.p.A. Linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi Approvate dal Consiglio di Amministrazione dell 11 marzo 2014 1 Sommario 1. Il Sistema di Controllo Interno e di

Dettagli

Marco Salvato, KPMG. AIEA Verona 25.11.2005

Marco Salvato, KPMG. AIEA Verona 25.11.2005 Information Systems Governance e analisi dei rischi con ITIL e COBIT Marco Salvato, KPMG Sessione di studio AIEA, Verona 25 Novembre 2005 1 Information Systems Governance L'Information Systems Governance

Dettagli

Università di Macerata Facoltà di Economia

Università di Macerata Facoltà di Economia Materiale didattico per il corso di Internal Auditing Anno accademico 2010-2011 Università di Macerata Facoltà di Economia Obiettivo della lezione ERM - Enterprise Risk Manangement Per eventuali comunicazioni:

Dettagli

LA COMPLIANCE FISCALE NELLE BANCHE: IMPATTO SUI MODELLI DI ORGANIZZAZIONE, GESTIONE E CONTROLLO

LA COMPLIANCE FISCALE NELLE BANCHE: IMPATTO SUI MODELLI DI ORGANIZZAZIONE, GESTIONE E CONTROLLO Focus on LA COMPLIANCE FISCALE NELLE BANCHE: IMPATTO SUI MODELLI DI ORGANIZZAZIONE, GESTIONE E CONTROLLO Aprile 2016 www.lascalaw.com www.iusletter.com Milano Roma Torino Bologna Firenze Ancona Vicenza

Dettagli

FNM SpA Linee di Indirizzo del Sistema di Controllo Interno e Gestione dei Rischi

FNM SpA Linee di Indirizzo del Sistema di Controllo Interno e Gestione dei Rischi FNM SpA Linee di Indirizzo del Sistema di Controllo Interno e Gestione dei Rischi Approvate dal Consiglio di Amministrazione in data 17 aprile 2014 Linee di Indirizzo del SCIGR 1. Premessa Il Sistema di

Dettagli

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale;

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale; Presentazione Blu Consulting è una società di consulenza direzionale certificata ISO 9001:2008, fondata da Mauro Masciarelli nel 2009, specializzata nella revisione delle strategie di business, adeguamento

Dettagli

Università di Macerata Facoltà di Economia

Università di Macerata Facoltà di Economia Materiale didattico per il corso di Internal Auditing Anno accademico 2010-2011 Università di Macerata Facoltà di Economia 01 Angelo Micocci: fonti e definizioni 1 Obiettivo della lezione Internal Control

Dettagli

FORTINVESTIMENTI SIM S.P.A. BASILEA 2 III PILASTRO - INFORMATIVA AL PUBBLICO. In ottemperanza al Regolamento Banca d Italia del 24 ottobre 2007

FORTINVESTIMENTI SIM S.P.A. BASILEA 2 III PILASTRO - INFORMATIVA AL PUBBLICO. In ottemperanza al Regolamento Banca d Italia del 24 ottobre 2007 FORTINVESTIMENTI SIM S.P.A. BASILEA 2 III PILASTRO - INFORMATIVA AL PUBBLICO In ottemperanza al Regolamento Banca d Italia del 24 ottobre 2007 Al 31 dicembre 2008 INTRODUZIONE 3 TAVOLA 1 - REQUISITO INFORMATIVO

Dettagli

Applicazioni dello standard ISO 31000:2009 Risk Management Principles and guidelines

Applicazioni dello standard ISO 31000:2009 Risk Management Principles and guidelines Applicazioni dello standard ISO 31000:2009 Risk Management Principles and guidelines Lo standard ISO 31000 nel sistema di controllo interno e di gestione dei rischi ex art. 7 del Codice di Autodisciplina

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING PROCESS OPTIMIZATION Mappatura as is dei processi, definizione dello stato to be, gap analysis, definizione ed implementazione

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

ERG S.p.A. Linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi

ERG S.p.A. Linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi ERG S.p.A. Linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi Approvate dal Consiglio di Amministrazione dell 11 marzo 2014 1 1 Ultimo aggiornamento in data 3 marzo 2016. 2 Sommario

Dettagli

IL NUOVO CODICE DI AUTODISCIPLINA DELLE SOCIETA QUOTATE

IL NUOVO CODICE DI AUTODISCIPLINA DELLE SOCIETA QUOTATE IL NUOVO CODICE DI AUTODISCIPLINA DELLE SOCIETA QUOTATE 10 Febbraio 2012 Milano Auditorium ENEL - Via Carducci 13 Roma ENEL - Viale Regina Margherita 137 Indice Introduzione sulle modifiche apportate al

Dettagli

Gli aspetti innovativi del Draft International Standard (DIS) ISO 9001:2015

Gli aspetti innovativi del Draft International Standard (DIS) ISO 9001:2015 Gli aspetti innovativi del Draft International Standard (DIS) ISO 9001:2015 I requisiti per la gestione del rischio presenti nel DIS della nuova ISO 9001:2015 Alessandra Peverini Perugia 9/09/2014 ISO

Dettagli

Il processo di definizione e gestione del Risk Appetite nelle assicurazioni italiane. Renzo G. Avesani, Presidente CROFI

Il processo di definizione e gestione del Risk Appetite nelle assicurazioni italiane. Renzo G. Avesani, Presidente CROFI Il processo di definizione e gestione del Risk Appetite nelle assicurazioni italiane Renzo G. Avesani, Presidente CROFI Milano, 10 07 2013 1. Che cosa è il Risk Appetite? 2. Il processo di Risk Appetite

Dettagli

Monitoraggio di primo livello di avvio del ciclo della performance per l anno 2015

Monitoraggio di primo livello di avvio del ciclo della performance per l anno 2015 Organismo Indipendente di Valutazione Sede, 03.04.2015 Pr. 88 PRESIDENTE Dott. Riccardo Maria Monti DIRETTORE GENERALE Dott. Roberto Luongo E,p.c.: Presidenza Direzione Generale Dott. Gianpaolo Bruno Dott.

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

L ISVAP (Istituto per la vigilanza sulle assicurazioni private e di interesse collettivo)

L ISVAP (Istituto per la vigilanza sulle assicurazioni private e di interesse collettivo) REGOLAMENTO N. 39 DEL 9 GIUGNO 2011 REGOLAMENTO RELATIVO ALLE POLITICHE DI REMUNERAZIONE NELLE IMPRESE DI ASSICURAZIONE L ISVAP (Istituto per la vigilanza sulle assicurazioni private e di interesse collettivo)

Dettagli

La certificazione ISO/IEC 20000-1:2005: casi pratici

La certificazione ISO/IEC 20000-1:2005: casi pratici La certificazione ISO/IEC 20000-1:2005: casi pratici L esperienza DNV come Ente di Certificazione ISO 20000 di Cesare Gallotti e Fabrizio Monteleone La ISO/IEC 20000-1:2005 (che recepisce la BS 15000-1:2002

Dettagli

LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E DI GESTIONE DEI RISCHI DEL GRUPPO TOD S S.P.A.

LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E DI GESTIONE DEI RISCHI DEL GRUPPO TOD S S.P.A. LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E DI GESTIONE DEI RISCHI DEL GRUPPO TOD S S.P.A. (APPROVATE DAL CONSIGLIO DI AMMINISTRAZIONE DELLA SOCIETÀ NELLA RIUNIONE DEL 10 MAGGIO 2012) TOD S S.P.A.

Dettagli

CORPORATE GOVERNANCE. Implementare una corporate governance efficace

CORPORATE GOVERNANCE. Implementare una corporate governance efficace CORPORATE GOVERNANCE Implementare una corporate governance efficace 2 I vertici aziendali affrontano una situazione in evoluzione Stiamo assistendo ad un cambiamento senza precedenti nel mondo della corporate

Dettagli

Documentare, negoziare e concordare gli obiettivi di qualità e le responsabilità del Cliente e dei Fornitori nei Service Level Agreements (SLA);

Documentare, negoziare e concordare gli obiettivi di qualità e le responsabilità del Cliente e dei Fornitori nei Service Level Agreements (SLA); L economia della conoscenza presuppone che l informazione venga considerata come la risorsa strategica più importante che ogni organizzazione si trova a dover gestire. La chiave per la raccolta, l analisi,

Dettagli

IS Governance in action: l esperienza di eni

IS Governance in action: l esperienza di eni IS Governance in action: l esperienza di eni eni.com Giancarlo Cimmino Resp. ICT Compliance & Risk Management Contenuti L ICT eni: mission e principali grandezze IS Governance: il modello organizzativo

Dettagli

REVISIONE DELLA DISCIPLINA SECONDARIA IN MATERIA DI GESTIONE COLLETTIVA DEL RISPARMIO

REVISIONE DELLA DISCIPLINA SECONDARIA IN MATERIA DI GESTIONE COLLETTIVA DEL RISPARMIO Vigilanza bancaria e finanziaria REVISIONE DELLA DISCIPLINA SECONDARIA IN MATERIA DI GESTIONE COLLETTIVA DEL RISPARMIO MODIFICHE AL REGOLAMENTO SULLA GESTIONE COLLETTIVA DEL RISPARMIO IN MATERIA DI APPROVAZIONE

Dettagli

COMPOSIZIONE QUALITATIVA E QUANTITATIVA OTTIMALE DEL CONSIGLIO DI AMMINISTRAZIONE

COMPOSIZIONE QUALITATIVA E QUANTITATIVA OTTIMALE DEL CONSIGLIO DI AMMINISTRAZIONE COMPOSIZIONE QUALITATIVA E QUANTITATIVA OTTIMALE DEL CONSIGLIO DI AMMINISTRAZIONE APRILE 2015 1 INDICE 1 INTRODUZIONE... 3 2 OBIETTIVI DEL DOCUMENTO... 4 3 PROFILO TEORICO DEL CONSIGLIERE... 5 3.1 Ruoli

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Tavola 1 Requisito informativo generale

Tavola 1 Requisito informativo generale Tavola 1 Requisito informativo generale (a) Il Consiglio di Amministrazione di Finlabo SIM. (di seguito anche la SIM o la Società ), ha definito le politiche di gestione dei rischi all interno delle quali

Dettagli

Nuove funzioni e responsabilità del Risk Management. Presentazione alla Conferenza Il governo dei rischi in banca: nuove tendenze e sfide

Nuove funzioni e responsabilità del Risk Management. Presentazione alla Conferenza Il governo dei rischi in banca: nuove tendenze e sfide Nuove funzioni e responsabilità del Risk Management Presentazione alla Conferenza Il governo dei rischi in banca: nuove tendenze e sfide 9 Aprile 2015 Agenda 1. Premessa: Il ruolo della Corporate Governance

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

PROCEDURE PER L APPROVAZIONE DELLA POLITICA DI REMUNERAZIONE

PROCEDURE PER L APPROVAZIONE DELLA POLITICA DI REMUNERAZIONE 31 della dicembre politica 2008 di PROCEDURE PER L APPROVAZIONE DELLA POLITICA DI REMUNERAZIONE 1. Premessa Il presente documento ("Procedure per l approvazione della politica di, per brevità, le Procedure

Dettagli

Services Portfolio per gli Istituti Finanziari

Services Portfolio per gli Istituti Finanziari Services Portfolio per gli Istituti Finanziari Servizi di consulenza direzionale e sviluppo sulle tematiche di Security, Compliance e Business Continuity 2015 Summary Chi siamo Il modello operativo di

Dettagli

l assicurazione di qualità della convalida dell apprendimento non formale e informale (LLP-LdV-TOI-11-IT-632)

l assicurazione di qualità della convalida dell apprendimento non formale e informale (LLP-LdV-TOI-11-IT-632) (LLP-LdV-TOI-11-IT-632) l assicurazione di qualità della convalida dell apprendimento non formale e informale Il presente progetto è finanziato con il sostegno della Commissione europea. L autore è il

Dettagli

INFORMATIVA AL PUBBLICO AI SENSI DEL PROVVEDIMENTO BANCA D ITALIA 24 OTTOBRE 2007 TITOLO III CAPITOLO 1

INFORMATIVA AL PUBBLICO AI SENSI DEL PROVVEDIMENTO BANCA D ITALIA 24 OTTOBRE 2007 TITOLO III CAPITOLO 1 INFORMATIVA AL PUBBLICO AI SENSI DEL PROVVEDIMENTO BANCA D ITALIA 24 OTTOBRE 2007 TITOLO III CAPITOLO 1 Premessa Il Regolamento della Banca d Italia in materia di vigilanza prudenziale per le SIM (Titolo

Dettagli

Regolamento del Comitato Rischi di UBI Banca s.c.p.a.

Regolamento del Comitato Rischi di UBI Banca s.c.p.a. Regolamento del Comitato Rischi di UBI Banca s.c.p.a. 15 settembre 2015 1 Regolamento del Comitato Rischi di UBI Banca s.c.p.a. Compiti e regole di funzionamento (ex art. 49 dello Statuto) Premessa Ai

Dettagli

MANDATO INTERNAL AUDIT

MANDATO INTERNAL AUDIT INTERNAL AUDIT MANDATO INTERNAL AUDIT Il presente Mandato Internal Audit di Società, previo parere favorevole del Comitato Controllo e Rischi in data 30 ottobre 2012 e sentito il Collegio Sindacale e l

Dettagli

Assetti Organizzativi, di Controllo e Risk Governance nei Confidi. Firenze, 28 Febbraio 2013

Assetti Organizzativi, di Controllo e Risk Governance nei Confidi. Firenze, 28 Febbraio 2013 Assetti Organizzativi, di Controllo e Risk Governance nei Confidi Firenze, 28 Febbraio 2013 Indice ß Introduzione ß Assetti Organizzativi ß Sistema dei Controlli Interni ß Risk Governance ß Conclusioni

Dettagli

Modello dei controlli di secondo e terzo livello

Modello dei controlli di secondo e terzo livello Modello dei controlli di secondo e terzo livello Vers def 24/4/2012_CLEN INDICE PREMESSA... 2 STRUTTURA DEL DOCUMENTO... 3 DEFINIZIONE DEI LIVELLI DI CONTROLLO... 3 RUOLI E RESPONSABILITA DELLE FUNZIONI

Dettagli

REGOLAMENTO PER LA GESTIONE DEL PATRIMONIO MOBILIARE

REGOLAMENTO PER LA GESTIONE DEL PATRIMONIO MOBILIARE REGOLAMENTO PER LA GESTIONE DEL PATRIMONIO MOBILIARE INDICE Art. 1 - Ambito di applicazione Ambito di applicazione 1 TITOLO I PRINCIPI GENERALI Art. 2 - Finalità del processo di gestione del patrimonio

Dettagli

Studio legale: sicurezza e salute sul lavoro

Studio legale: sicurezza e salute sul lavoro Studio legale: sicurezza e salute sul lavoro Le politiche adottate a livello istituzionale, produttivo e dei servizi in tema di Sicurezza e salute del lavoro sono da tempo orientate verso l implementazione

Dettagli

I SISTEMI DI GESTIONE COME STRUMENTO MANAGERIALE PER LA COMPLIANCE AZIENDALE. Massimo Tronci Università di Roma La Sapienza

I SISTEMI DI GESTIONE COME STRUMENTO MANAGERIALE PER LA COMPLIANCE AZIENDALE. Massimo Tronci Università di Roma La Sapienza I SISTEMI DI GESTIONE COME STRUMENTO MANAGERIALE PER LA COMPLIANCE AZIENDALE Massimo Tronci Università di Roma La Sapienza Confindustria - Bari, 30 settembre 2008 Questa presentazione Il contesto di riferimento

Dettagli

Lista delle descrizioni dei Profili

Lista delle descrizioni dei Profili Lista delle descrizioni dei Profili La seguente lista dei Profili Professionali ICT è stata definita dal CEN Workshop on ICT Skills nell'ambito del Comitato Europeo di Standardizzazione. I profili fanno

Dettagli

RELAZIONE DEL COLLEGIO SINDACALE AI SENSI DELL ARTICOLO 153 D. LGS. N. 58/1998 E DELL ARTICOLO 2429 C.C.

RELAZIONE DEL COLLEGIO SINDACALE AI SENSI DELL ARTICOLO 153 D. LGS. N. 58/1998 E DELL ARTICOLO 2429 C.C. RELAZIONE DEL COLLEGIO SINDACALE AI SENSI DELL ARTICOLO 153 D. LGS. N. 58/1998 E DELL ARTICOLO 2429 C.C. All Assemblea degli Azionisti di Mittel SpA. Nel corso dell esercizio chiuso al 30 settembre 2012

Dettagli

89588/15 Alle Imprese di assicurazione e riassicurazione con sede legale in Italia LORO SEDI

89588/15 Alle Imprese di assicurazione e riassicurazione con sede legale in Italia LORO SEDI SERVIZIO NORMATIVA E POLITICHE DI VIGILANZA Roma 28 luglio 2015 Prot. n. All.ti n. 89588/15 Alle Imprese di assicurazione e riassicurazione con sede legale in Italia Alle Imprese capogruppo e, p.c. Rappresentanze

Dettagli

Agenzia ICE. Monitoraggio di primo livello di avvio del ciclo della performance per l anno 2014

Agenzia ICE. Monitoraggio di primo livello di avvio del ciclo della performance per l anno 2014 Agenzia ICE Monitoraggio di primo livello di avvio del ciclo della performance per l anno 2014 Allegati: 1 Scheda standard di monitoraggio 2 Informazioni di sintesi 1 Allegato 1: Scheda standard di monitoraggio

Dettagli

REGOLAMENTO COMITATO CONTROLLO, RISCHI, REMUNERAZIONE E NOMINE

REGOLAMENTO COMITATO CONTROLLO, RISCHI, REMUNERAZIONE E NOMINE REGOLAMENTO COMITATO CONTROLLO, RISCHI, REMUNERAZIONE E NOMINE 24 Luglio 2015 1 ARTICOLO 1 PREMESSA 1.1. Conto tenuto delle raccomandazioni contenute nel Codice di Autodisciplina di Borsa Italiana S.p.A.,

Dettagli

Allegato 1 Confronto delle disposizioni attuative della normativa primaria

Allegato 1 Confronto delle disposizioni attuative della normativa primaria Allegato 1 Confronto delle disposizioni attuative della normativa primaria Istruzioni di vigilanza per gli intermediari finanziari iscritti nell elenco speciale (Circ. Banca d Italia 216 del 5 agosto 1996

Dettagli

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Davide Lizzio CISA CRISC Venezia Mestre, 26 Ottobre 2012 Informazioni Aziendali: Il processo di

Dettagli

Il Sistema dei Controlli nel Gruppo Bancario Iccrea. Aggiornato al 13/11/2013

Il Sistema dei Controlli nel Gruppo Bancario Iccrea. Aggiornato al 13/11/2013 Il Sistema dei Controlli nel Gruppo Bancario Iccrea Aggiornato al 13/11/2013 1 Il sistema dei controlli adottato da Iccrea Holding Le attività, i processi, l assetto organizzativo, la gestione del rischio,

Dettagli

Comunità di pratica Nedcommunity Risk management, piano strategico e organi di governo: business case

Comunità di pratica Nedcommunity Risk management, piano strategico e organi di governo: business case Making the traveller s day better Comunità di pratica Nedcommunity Risk management, piano strategico e organi di governo: business case Milano, 2 Luglio 204 Group Enterprise Risk Management Contenuto del

Dettagli

COMMENTI AL DOCUMENTO AVENTE PER OGGETTO: DISCIPLINA DEI LIMITI AGLI INVESTIMENTI E DEI CONFLITTI D INTERESSE PER I FONDI PENSIONE

COMMENTI AL DOCUMENTO AVENTE PER OGGETTO: DISCIPLINA DEI LIMITI AGLI INVESTIMENTI E DEI CONFLITTI D INTERESSE PER I FONDI PENSIONE Roma, 1 febbraio 2008 COMMENTI AL DOCUMENTO AVENTE PER OGGETTO: DISCIPLINA DEI LIMITI AGLI INVESTIMENTI E DEI CONFLITTI D INTERESSE PER I FONDI PENSIONE Con riferimento al Documento in oggetto, posto in

Dettagli

Procedimenti per l adozione di atti di regolazione

Procedimenti per l adozione di atti di regolazione Procedimenti per l adozione di atti di regolazione Risposta alla consultazione Consob sul progetto di regolamento di attuazione dell articolo 23 della legge n. 262/2005 1. Introduzione La Consob ha sottoposto

Dettagli

Sistema di Prevenzione della Corruzione - Attività di Auditing

Sistema di Prevenzione della Corruzione - Attività di Auditing Procedura Audit PROTOCOLLI OPERATIVI. Piano Audit anno 2015 Allegato_C )al PTPC 2015-2017 INDICE: 1. Premesse 2. Campo di applicazione; 3. Obiettivi dell attività di auditing 4. Ruoli e responsabilità

Dettagli

i soggetti sottoposti al controllo condizioni per le esenzioni

i soggetti sottoposti al controllo condizioni per le esenzioni A. SVILUPPO STORICO: NORMA COMUNITARIA LA IV a DIRETTIVA 25/7/1978 N. 78/660 Art. 1 Art. 11 Art. 51 comma 1: Art. 51 comma 2: i soggetti sottoposti al controllo condizioni per le esenzioni in cosa consiste

Dettagli

Comunicazione n. DCG/DSR/0051400 del 19-6-2014

Comunicazione n. DCG/DSR/0051400 del 19-6-2014 Comunicazione n. DCG/DSR/0051400 del 19-6-2014 Oggetto: Raccomandazioni in materia di informazioni da fornire al pubblico su indennità e/o altri benefici riconosciuti ad amministratori esecutivi e direttori

Dettagli

1- Corso di IT Strategy

1- Corso di IT Strategy Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso

Dettagli

I Sistemi Gestione Energia e il ruolo dell energy manager

I Sistemi Gestione Energia e il ruolo dell energy manager I Sistemi Gestione Energia e il ruolo dell energy manager Valentina Bini, FIRE 27 marzo, Napoli 1 Cos è la FIRE La Federazione Italiana per l uso Razionale dell Energia è un associazione tecnico-scientifica

Dettagli

Sistema dei Controlli interni Gestione coordinata delle aree di miglioramento

Sistema dei Controlli interni Gestione coordinata delle aree di miglioramento Sistema dei Controlli interni Gestione coordinata delle aree di miglioramento Stefano Moni Resp. Servizio Validazione e Monitoraggio Convegno ABI - Basilea 3 Roma, 16-17 Giugno 2014 INDICE 1. INTRODUZIONE

Dettagli

I riflessi sugli assetti gestionali e organizzativi

I riflessi sugli assetti gestionali e organizzativi I riflessi sugli assetti gestionali e organizzativi III 1 La sostenibilità del piano strategico e i riflessi sul finanziamento dell Istituto Come sottolineato nella Premessa, la capacità della Consob di

Dettagli

Standard qualitativi in Solvency 2 G I A MPAOLO CRENCA E MIF - E X E CUTIVE MASTER IN INSURANCE & F I NANCE

Standard qualitativi in Solvency 2 G I A MPAOLO CRENCA E MIF - E X E CUTIVE MASTER IN INSURANCE & F I NANCE Standard qualitativi in Solvency 2 G I A MPAOLO CRENCA E MIF - E X E CUTIVE MASTER IN INSURANCE & F I NANCE MILANO 28/03 / 2015 Indice 1. Solvency 2 2. Data quality 3. Riassicurazione 4. Modello interno

Dettagli

La Carta dell Investimento Sostenibile e Responsabile della finanza italiana

La Carta dell Investimento Sostenibile e Responsabile della finanza italiana La Carta dell Investimento Sostenibile e Responsabile della finanza italiana 6 Giugno 2012, Scuderie di Palazzo Altieri - Roma Siglata in occasione della Settimana Italiana dell Investimento Sostenibile

Dettagli

REGOLAMENTO PER LA GESTIONE DEL PATRIMONIO DELLA FONDAZIONE CASSA DI RISPARMIO IN BOLOGNA

REGOLAMENTO PER LA GESTIONE DEL PATRIMONIO DELLA FONDAZIONE CASSA DI RISPARMIO IN BOLOGNA REGOLAMENTO PER LA GESTIONE DEL PATRIMONIO DELLA FONDAZIONE CASSA DI RISPARMIO IN BOLOGNA Approvato dal Collegio di Indirizzo In data 21 dicembre 2015 AMBITO DI APPLICAZIONE TITOLO I PRINCIPI GENERALI

Dettagli

Gestire il rischio di processo: una possibile leva di rilancio del modello di business

Gestire il rischio di processo: una possibile leva di rilancio del modello di business Gestire il rischio di processo: una possibile leva di rilancio del modello di business Gianluca Meloni, Davide Brembati In collaborazione con 1 1 Le premesse del Progetto di ricerca Nella presente congiuntura

Dettagli

GRUPPO EDITORIALE L'ESPRESSO S.p.A. Procedura per Ia gestione e Ia comunicazione al pubblico delle informazioni privilegiate

GRUPPO EDITORIALE L'ESPRESSO S.p.A. Procedura per Ia gestione e Ia comunicazione al pubblico delle informazioni privilegiate GRUPPO EDITORIALE L'ESPRESSO S.p.A. Procedura per Ia gestione e Ia comunicazione al pubblico delle informazioni privilegiate aggiornamento gennaio 2013 Indice Pag. 1. Premessa....3 2. Informazioni da fornire

Dettagli

REGOLAMENTO PER LA GESTIONE DEL PATRIMONIO

REGOLAMENTO PER LA GESTIONE DEL PATRIMONIO REGOLAMENTO PER LA GESTIONE DEL PATRIMONIO INDICE Art. 1 Ambito di applicazione TITOLO I PRINCIPI GENERALI Art. 2 Finalità del processo di gestione del patrimonio Art. 3 Fondo stabilizzazione erogazioni

Dettagli

Vigilanza bancaria e finanziaria

Vigilanza bancaria e finanziaria Vigilanza bancaria e finanziaria DISPOSIZIONI DI VIGILANZA IN MATERIA DI POTERI DI DIREZIONE E COORDINAMENTO DELLA CAPOGRUPPO DI UN GRUPPO BANCARIO NEI CONFRONTI DELLE SOCIETÀ DI GESTIONE DEL RISPARMIO

Dettagli

RSM01. Pag. 1/9 Rev.03. Regolamento VSSM. E. Stanghellini R. De Pari. S. Ronchi R. De Pari 03 11/02/2015. S. Ronchi R. De Pari

RSM01. Pag. 1/9 Rev.03. Regolamento VSSM. E. Stanghellini R. De Pari. S. Ronchi R. De Pari 03 11/02/2015. S. Ronchi R. De Pari Pag. 1/9 03 11/02/2015 Modificata da EA a IAF la denominazione dei Settori merceologici. S. Ronchi R. De Pari E. Stanghellini R. De Pari 02 03/01/2014 Modificata ragione sociale 01 10/04/2012 Aggiornamento

Dettagli

ISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito

ISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito ISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito 1 ISA 610 USING THE WORK OF INTERNAL AUDITORS Questo principio tratta

Dettagli

Preaudit Sicurezza / Ambiente. General Risk Assessment

Preaudit Sicurezza / Ambiente. General Risk Assessment General Risk Assessment Conduzione di un General Risk Assessment in coerenza con i requisiti ISO 9001:2015. nel 2015 verrà pubblicata la nuova UNI EN ISO 9001 che avrà sempre più un orientamento alla gestione

Dettagli

Sistema di Controllo Interno e Gestione Rischi

Sistema di Controllo Interno e Gestione Rischi Management System Guideline Sistema di Controllo Interno e Gestione Rischi 11 aprile 2013 1 Messaggio del CEO Il Sistema di Controllo Interno e Gestione dei Rischi (di seguito SCIGR) è considerato in eni

Dettagli

ZeroUno Executive Dinner

ZeroUno Executive Dinner L ICT per il business nelle aziende italiane: mito o realtà? 30 settembre 2008 Milano, 30 settembre 2008 Slide 0 I principali obiettivi strategici delle aziende Quali sono i primi 3 obiettivi di business

Dettagli

AMMINISTRAZIONE, FINANZA E CONTROLLO

AMMINISTRAZIONE, FINANZA E CONTROLLO 23.12.2104 ORDINE DI SERVIZIO n. 33/14 AMMINISTRAZIONE, FINANZA E CONTROLLO Con riferimento all Ordine di Servizio n. 26 del 19.11.2014, si provvede a definire l articolazione della funzione AMMINISTRAZIONE,

Dettagli

Il Risk Management Integrato in eni

Il Risk Management Integrato in eni Il Risk Integrato in eni Maria Clotilde Tondini Vice President Risk Integrato 5 Marzo 015, Milano Indice - Il Modello eni - 1 Il Modello eni Le fasi di sviluppo L avvio e l attuazione del Modello di Risk

Dettagli

PROFILO AZIENDALE NET STUDIO 2015

PROFILO AZIENDALE NET STUDIO 2015 PROFILO AZIENDALE NET STUDIO 2015 NET STUDIO 2015 Net Studio è un azienda che ha sede in Toscana ma opera in tutta Italia e in altri paesi Europei per realizzare attività di Consulenza, System Integration,

Dettagli

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 Per una migliore qualità della vita CERTIQUALITY La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 CHI SIAMO Certiquality è una società la cui attività è orientata

Dettagli

Linee di indirizzo per il Sistema di Controllo Interno e di Gestione dei Rischi

Linee di indirizzo per il Sistema di Controllo Interno e di Gestione dei Rischi 3 Linee di indirizzo per il Sistema di Controllo Interno e di Gestione dei Rischi 1. Premessa Il Sistema di Controllo Interno e di Gestione dei Rischi di Fiat S.p.A. (la Società ) costituisce elemento

Dettagli