Codice di autodisciplina e IT Governance

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Codice di autodisciplina e IT Governance"

Transcript

1 Codice di autodisciplina e IT Governance Settembre 2013

2 Indice Premessa ed obiettivi del documento 3 Breve presentazione del Codice di autodisciplina 4 Il modello di riferimento di IT Governance: perché COBIT 5 7 COBIT 5: A Business Framework for the Governance and Management of Enterprise IT 9 Definizione dell approccio di audit 13

3 Premessa ed obiettivi del documento Il presente documento ha l intenzione di fornire un interpretazione del Codice di autodisciplina (di seguito Codice ), emesso nel dicembre 2011, relativamente alla governance in ambito IT. Il Codice all Art. 7 fornisce indicazioni su tematiche di Sistema di controllo interno e di gestione dei rischi senza tuttavia approfondire tale aspetto in merito all Information Technology. Tutti gli stakeholders, sia interni (Consiglio di Amministrazione, Governance, Risk & Compliance, Internal Audit, ecc.) sia esterni (business partner, auditor esterni, ecc.), sono ormai a conoscenza di quanto siano importanti le tematiche di governance e di gestione dei rischi e di come queste siano indissociabili da una buona ed attenta gestione degli aspetti legati all IT. Per tale motivo un gruppo di lavoro formato da esperti di IT Risk & Governance, appartenenti alle Big Four, ha pensato di definire il presente Position Paper, fornendo quindi un interpretazione del Codice che potesse fornire una guida e quindi supportare le società quotate ad affrontare le tematiche di IT Governance. Il presente documento interpretativo, come definisce lo stesso Codice nei Principi guida e regime transitorio è destinato ad [ ] III. Ogni società italiana con azioni quotate ( emittente ) [ ]. Si ricorda inoltre che l adesione al Codice è volontaria.

4 Breve presentazione del Codice di autodisciplina Nel dicembre del 2011 è stato pubblicato il nuovo testo revisionato del Codice per la corporate governance delle società quotate italiane elaborato, in linea di continuità con quanto avvenne nel 1999, da un Comitato per la Corporate Governance, ossia da un soggetto dalla natura composita costituito da rappresentanti di Borsa Italiana e delle Associazioni di categoria delle imprese bancarie, assicurative e industriali (ABI, ANIA, Assonime e Confindustria) e degli investitori istituzionali (Assogestioni) 1. Le novità apportate al Codice seguono tre direttrici principali: semplificazione e chiarificazione delle regole già esistenti; allineamento delle condotte richieste alle nuove regole del diritto societario e comunitario; inserimento di nuovi principi volti ad innalzare gli standard di governance degli emittenti e ad anticipare possibili futuri interventi legislativi. In particolare, per il terzo punto appena citato, il Codice ha mostrato particolare attenzione nei confronti dei seguenti temi: la centralità del Consiglio di Amministrazione (di seguito CdA ) nella governance societaria; l importanza della componente indipendente all interno del CdA; la valorizzazione dei Comitati endo-consiliari; l introduzione della funzione della gestione dei rischi all interno del sistema del controllo interno. In merito a quest ultimo punto il Codice del 2011, in linea con la posizione espressa dalla Commissione europea nel citato Libro Verde sulla Corporate Governance del 2011, ha ravvisato la necessità che ciascuna società quotata sviluppi, in base alle proprie caratteristiche, un adeguata cultura del rischio nonché una modalità di gestione che le consentano di affrontare efficacemente gli specifici rischi aziendali. In estrema sintesi le novità apportate al Codice sotto tale profilo perseguono tre fondamentali obiettivi: contribuire a diffondere la cultura del rischio, inserendo la funzione della gestione dei rischi all interno del sistema di controllo interno; attribuire al CdA, coadiuvato dal (rinnovato) Comitato per il controllo interno e la gestione dei rischi, un ruolo chiave nella definizione della natura e del livello del rischio compatibile con gli obiettivi strategici dell emittente; 1 Sintesi tratta dai Quaderni Giuridici L Autodisciplina in materia di Corporate Governance pubblicato da CONSOB nel febbraio 2013.

5 razionalizzare il sistema di controllo interno e gestione dei rischi sotto il profilo delle competenze attribuite ai vari soggetti coinvolti nell esercizio di questa funzione. Successivamente all approvazione dell ultima edizione del Codice il panorama normativo nazionale si è arricchito di una serie di provvedimenti che hanno profondamente inciso sugli assetti di governance delle società italiane, quotate e non quotate. In particolare, a fini di una migliore comprensione del presente Position Paper in merito all IT Governance, è significativo citare quanto la Banca d Italia ha emanato in data 2 luglio 2013 con il 15 aggiornamento della Circolare n. 263 del 27 dicembre 2006 Nuove disposizioni di vigilanza prudenziale per le banche. Particolare attenzione va prestata al Capitolo 8 (Il sistema informativo) della Circolare all interno del quale viene aggiornata la disciplina del sistema informativo, anche per recepire le principali evoluzioni emerse nel panorama internazionale. Oltre a disciplinare le modalità di governo del sistema informativo, di gestione del rischio informatico ed i requisiti per assicurare la sicurezza informatica, le disposizioni recepiscono le raccomandazioni della BCE per la sicurezza delle transazioni bancarie tramite internet. Le previsioni contenute nel Capitolo 8 rappresentano requisiti di carattere generale per lo sviluppo e la gestione del sistema informativo da parte degli intermediari; le concrete misure da adottare tengono conto degli specifici obiettivi strategici e, secondo il principio di proporzionalità, della dimensione e complessità operative, della natura dell attività svolta, della tipologia dei servizi prestati nonché del livello di automazione dei processi e servizi della banca. A tal proposito, le banche valutano l opportunità di avvalersi degli standard e best practices definiti a livello internazionale in materia di governo, gestione, sicurezza e controllo del sistema informativo 2. Il sistema informativo (inclusivo delle risorse tecnologiche hardware, software, dati, documenti elettronici, reti telematiche e delle risorse umane dedicate alla loro amministrazione) rappresenta uno strumento di primaria importanza per il conseguimento degli obiettivi strategici e operativi degli intermediari, in considerazione della criticità dei processi aziendali che dipendono da esso. Infatti: dal punto di vista strategico, un sistema informativo sicuro ed efficiente, basato su un architettura flessibile, resiliente ed integrata a livello di gruppo consente di sfruttare le opportunità offerte dalla tecnologia per ampliare e migliorare i prodotti e i servizi per la clientela, accrescere la qualità dei processi di lavoro, favorire la 2 Vedi Titolo V della Circolare n. 263 del 27 dicembre 2006, 15 aggiornamento del 2 luglio 2013.

6 de-materializzazione dei valori, ridurre i costi anche attraverso la virtualizzazione dei servizi bancari; nell ottica della sana e prudente gestione, il sistema informativo consente al management di disporre di informazioni dettagliate, pertinenti ed aggiornate per l assunzione di decisioni consapevoli e tempestive e per la corretta attuazione del processo di gestione dei rischi; con riguardo al contenimento del rischio operativo, il regolare svolgimento dei processi interni e dei servizi forniti alla clientela, l integrità, la riservatezza e la disponibilità delle informazioni trattate, fanno affidamento sulla funzionalità dei processi e dei controlli automatizzati; in tema di compliance, al sistema informativo è affidato il compito di registrare, conservare e rappresentare correttamente i fatti di gestione e gli eventi rilevanti per le finalità previste da norme di legge e da regolamenti interni ed esterni. Possiamo quindi affermare che, a due anni di distanza dalla pubblicazione dell ultima revisione del Codice, la Banca d Italia abbia aggiornato la disciplina in ambito IT Governance in modo chiaro e puntuale. E auspicabile che in un futuro prossimo, sempre seguendo il concetto di proporzionalità, tali tematiche possano diventare un importante requisito ancora più chiaramente definito all interno del Codice stesso vista l importanza che oggi l IT Governance ha assunto all interno delle società. Come verrà spiegato nel paragrafo successivo l adozione del COBIT 5 risponde pienamente a quanto richiesto da Banca d Italia e quindi può costituire per tutte le società che già aderiscono o decideranno di adottare il Codice, oltre alle Banche, un metodo più efficace ed efficiente per gestire il proprio livello di IT Governance.

7 Il modello di riferimento di IT Governance: perché COBIT 5 Il Codice definisce nell Art. 7 nel primo principio 7.P.1, [ ]. Tale sistema (ndr. di controllo interno e gestione dei rischi) è integrato nei più generali assetti organizzativi e di governo societario adottati dall emittente e tiene in adeguata considerazione i modelli di riferimento e le best practices esistenti in ambito nazionale e internazionale [ ]. Inoltre, sempre nello stesso articolo nel quinto criterio attuativo 7.C.5 si parla di sistemi informativi, Il responsabile della funzione di internal audit : [ ]; g) verifica, nell ambito del piano di audit, l affidabilità dei sistemi informativi inclusi i sistemi di rilevazione contabile. Partendo da tali affermazioni, tratte dal Codice, è opportuno domandarsi quale framework di riferimento sia più adeguato per la definizione del sistema di governance e di gestione dei rischi in ambito IT. Il gruppo di lavoro ha identificato nel COBIT 5 il framework di riferimento adeguato per essere in linea con le aspettative e le ideologie di base del Codice e la sua capacità di potersi adattare ad ogni azienda. COBIT 5, rilasciato nel 2012 alla sua quinta edizione, consolida e integra i precedenti framework emessi da ISACA (COBIT 4.1, Val IT 2.0 and Risk IT e BMIS) e posa le sue fondamenta, dopo anni di riconosciuto utilizzo e vantaggi, sulle versioni precedenti di COBIT. Queste ultime hanno avuto il loro riconoscimento in SEC (COBIT for SOX) e nella equivalente applicazione sul mercato regolamentato italiano (COBIT per 262). Nel 2005 anche l Unione Europea ha indicato COBIT come uno degli standard utilizzabili per garantire la sicurezza dei sistemi informativi. Come risulta ben rappresentato nel terzo principio Applying a Single, Integrated framework, COBIT 5 è allineato con gli ultimi standard e framework internazionalmente riconosciuti, fatto che permette all azienda di utilizzarlo come elemento di integrazione più che una sostituzione di altri standard e frame work. Ad esempio l approccio di governance di COBIT 5 è basato su un modello di EDM (Evaluate, Direct and Monitor) che è lo stesso usato nell ISO Governance Model (ISO 38500). Altri riferimenti evidenziati in COBIT 5 sono: Enterprise related: COSO, COSO ERM, ISO 9000, ISO 31000; IT related: ISO 38500, ITIL, serie ISO 27000, TOGAF, PMBOK/PRINCE2, CMMI. COBIT 5, tuttavia, a differenza di altri standard e framework internazionali, che enfatizzano o i controlli di business (COSO), o di sicurezza IT (serie ISO/IEC 27000), o di service management delle attività legate all IT (ITIL), integra tutte le funzioni e i processi di IT Governance in una governance di impresa ed in una prospettiva di business. COBIT 5, pertanto, non ha la presunzione di sostituire nessuno dei suddetti standard e framework. Esso ha l intenzione di sottolineare come la governance, gli elementi di gestione e le pratiche siano necessarie al fine di creare

8 valore dall Information Technology a supporto degli obiettivi di business delle imprese. Quest ultimo aspetto evidenzia come siano condizioni necessarie, per l adozione e l implementazione con successo di COBIT 5, la direzione, il coinvolgimento ed il supporto continuo da parte del top management dell azienda. La scelta di implementare COBIT 5 come modello di IT Governance non è prerogativa del CIO (Chief Information Officer) o della Direzione Sistemi Informativi, ma è in primo luogo della Direzione d impresa. COBIT 5, come espresso nel primo principio Meeting Stakeholder Needs, nasce prima di tutto come necessità degli stakeholder, comunemente influenzate da fattori esogeni (ambiente e regolamentazioni esterne ed evoluzione tecnologica); solo successivamente, la strategia dell azienda si traduce in obiettivi di business, i quali a loro volta si riconducono ad obiettivi IT. Ulteriore vantaggio di adottare COBIT 5 come framework di riferimento è che le aziende possono utilizzarlo separando chiaramente la governance dal management. In sostanza, COBIT 5 è un esauriente framework che aiuta le imprese a creare un ottimale valore dall IT mantenendo un giusto equilibrio tra realizzazione dei benefici di business ed ottimizzazione del livello di rischio e dell utilizzo delle risorse. COBIT 5 permette all informazione ed alla relativa tecnologia di essere governata e gestita in maniera olistica sull intera organizzazione, considerando sia i processi di business end-to-end e le aree funzionali di responsabilità, sia gli interessi legati all IT. Per quanto sopra descritto, COBIT 5 rispetta e ricalca i requisiti di un sistema di governance e di gestione dei rischi così come espresso nel criterio applicativo 7.C.1 del Codice: [ ] i principali rischi afferenti all emittente e alle sue controllate risultino correttamente identificati, nonché adeguatamente misurati, gestiti e monitorati, determinando inoltre il grado di compatibilità di tali rischi con una sana e corretta gestione dell impresa coerente con gli obiettivi strategici individuati; [ ].

9 COBIT 5: A Business Framework for the Governance and Management of Enterprise IT Come emerge dal titolo che lo accompagna 3, le intenzioni del nuovo framework sono manifeste ed inequivocabili: rivolto non più esclusivamente ai dipartimenti IT delle società (tanto da definirsi business framework), COBIT 5 diventa lo strumento di governo e gestione dell IT. Questa premessa è aderente alle richieste normative sopra descritte, non solo di centralità degli organi di governo societari 4 (cfr.: Consiglio di Amministrazione), ma anche di enfasi nella definizione appropriata di un sistema di controllo interno e nella gestione dei rischi. All interno del framework, leggiamo: [ ] COBIT 5 provides a comprehensive framework that assists enterprises in achieving their objectives for the governance and management of enterprise IT. Simply stated, it helps enterprises create optimal value from IT by maintaining a balance between realising benefits and optimising risk levels and resource use. COBIT 5 enables IT to be governed and managed in a holistic manner for the entire enterprise, taking in the full end-to-end business and IT functional areas of responsibility, considering the IT-related interests of internal and external stakeholders. COBIT 5 is generic and useful for enterprises of all sizes, whether commercial, not-for-profit or in the public sector [ ]. Questo passo tratto dall Executive Summary espone in estrema sintesi i cinque principi COBIT 5 che regolano il governo dell IT per il raggiungimento degli obiettivi di business, offrendo riferimenti puntuali per una gestione dei rischi dell informazione. I principi di COBIT 5 sono: 1. Meeting Stakeholder Needs: partendo dal presupposto che le società esistono al fine di dare valore agli stakeholders garantendo l equilibrio desiderato tra i benefici ottenuti, i rischi assunti e l impiego delle risorse, COBIT fornisce evidenza di quali processi e quali elementi abilitanti siano necessari a supportare la creazione di valore. 2. Covering the Enterprise End-to-end: COBIT non insiste solamente sui processi IT ma considera l informazione ed i corrispondenti elementi tecnologici come attività, patrimonio, assests. 3. Applying a Single, Integrated Framework: COBIT si allinea con gli le best practices e gli standard esistenti, al fine di fornire un indirizzo di alto livello per le tematiche di governo e gestione dell IT all interno delle società. 3 4 A Business Framework for the Governance and Management of Enterprise IT. COBIT 5 è fondato su cinque principi, il primo dei quali è Meeting Stakeholder Needs.

10 4. Enabling a Holistic Approach: il governo e la gestione dell IT richiedono un approccio olistico delle numerose componenti esistenti e che interagiscono tra loro. Per tale ragione COBIT definisce alcuni elementi abilitanti per permettere l implementazione dei processi di governo e gestione. Gli elementi abilitanti sono: - Principles, Policies and Frameworks; - Processes - Organisational Structures; - Culture, Ethics and Behaviour; - Information; - Services, Infrastructure and Applications; - People, Skills and Competencies. 5. Separating Governance from Management: governo e gestione sono elementi differenti in ambito aziendale. COBIT li disciplina definendo per ciascuno lo svolgimento di determinate attività e l adozioni di strutture organizzative dedicate, al fine di raggiungere obiettivi differenti. Infatti: - la governance assicura che i bisogni degli stakeholders, condizioni ed opzioni siano valutate al fine di determinare obiettivi aziendali bilanciati e concordati; l impostazione della direzione attraverso la prioritizzazione ed il decision making; il monitoraggio delle performance e la compliance in confronto alla direzione concordata e agli obiettivi; - il Management pianifica, costruisce, fa funzionare e monitora le attività in allineamento alle direzioni impostate dal corpo della governance al fine di raggiungere gli obiettivi aziendali. Ripercorrendo i principi, COBIT 5 correla quindi i bisogni degli stakeholder agli obiettivi dell impresa, definendo gli obiettivi IT e gli elementi abilitanti. E proprio seguendo queste correlazioni che troviamo le guide di riferimento dei processi 5, le quali riportano spesso ampliate e riviste (se non a volte, del tutto nuove), le informazioni tipiche del mondo COBIT: identificazione dei processi; descrizione dei processi; definizione dello scopo del processo; la connessione degli obiettivi (Goal Cascade); obiettivi del processo e metriche; matrice RACI; descrizione dettagliata dei processi. Il concetto di rischio, controllo e misurazione non possono prescindere dal grado di raggiungimento degli obiettivi IT (necessari come detto per l abilitazione degli obiettivi 5 Denominate Process Reference Guide, presenti all interno della famiglia COBIT 5 Enabler Guides.

11 di business). Tali obiettivi sono raggiunti attraverso l implementazione di fattori abilitanti e sono categorizzati come segue: intrinsic goals; contextual goals; accessibility and security goals. A titolo di esempio, la qualità dell informazione (inteso come fattore abilitante) può essere declinata come segue: Qualità intrinseca - La misura in cui il valore dei dati è in conformità con il valore attuale o vero. Include: - Accuratezza - La misura in cui l informazione è corretta ed affidabile. - Obiettività - La misura in cui l informazione è obiettiva, senza pregiudizi ed imparziale. - Credibilità - La misura in cui è considerata vera e credibile. - Reputazione - La misura in cui l informazione è altamente considerata in termini della sua fonte o contenuti. Qualità del contenuto e rappresentazione - La misura in cui l informazione è applicabile al compito dell informazione degli utenti e si presenta come intellegibile e chiara, riconoscendo che la qualità dell informazione dipende dal contesto di utilizzo. Include: - Pertinenza - La misura in cui l informazione è applicabile e utile per il compito a portata di mano. - Completezza - La misura in cui l informazione non è mancante o è di sufficiente profondità ed ampiezza per completare il compito a portata di mano. - Attualità - La misura in cui l informazione è sufficientemente aggiornata per il compito a portata di mano. - Quantità appropriata d informazione - La misura in cui il volume delle informazioni è appropriato per il compito a portata di mano. - Rappresentazione concisa - La misura in cui l informazione è rappresentata in maniera compatta. - Rappresentazione consistente - La misura in cui l informazione è presentata nello stesso formato. - Interpretabilità - La misura in cui l informazione è in linguaggi appropriati, simboli ed unità, con chiare definizioni. - Comprensibilità - La misura in cui l informazione è facilmente capita e recepita. - Facilità di manipolazione - La misura in cui l informazione è facile da manipolare ed applicare a diversi compiti. Qualità della sicurezza/accessibilità - La misura in cui l informazione è disponibile od ottenibile. Include:

12 - Disponibilità/tempestività - La misura in cui l informazione è disponibile quando richiesta, o facilmente e velocemente recuperabile. - Accesso ristretto - la misura in cui l informazione è appropriatamente ristretta a soggetti autorizzati. Ne consegue che il concetto di affidabilità dei sistemi informativi è da ricercarsi nell ambito di processi IT che sappiano rendersi abilitatori delle qualità dell informazione.

13 Definizione dell approccio di audit Definito nel paragrafo precedente l insieme degli obiettivi del sistema di controllo dei sistemi informativi, necessari per assicurare l adeguatezza dei processi IT per il raggiungimento degli obiettivi di business, nonché l affidabilità dei sistemi stessi, il passaggio successivo prevede la stesura di un piano di audit di alto livello che identifichi secondo una metodologia consolidata gli interventi di audit da eseguire secondo un criterio di valutazione dei rischi. Al fine di raggiungere tale obiettivo, è necessario dapprima procedere con l identificazione di tutti i processi di business rilevanti e dei loro obiettivi, nonché dei sistemi a supporto degli stessi. Ciò consente in prima istanza di comprendere in che modo i processi IT possono influenzare il raggiungimento degli obiettivi aziendali, ed inoltre di definire il perimetro dei sistemi oggetto delle verifiche. Ciò avviene sulla base di valutazioni, sia quantitative sia qualitative, sui possibili rischi esistenti, sulle relative minacce e vulnerabilità, e di conseguenza sugli impatti in merito al raggiungimento degli obiettivi di controllo IT definiti da COBIT (risk assessment). In particolare, il risk assessment dovrebbe prevedere un analisi preventiva del contesto aziendale, volta all identificazione dei rischi esistenti sui processi e dei possibili impatti, ed alla comprensione dell influenza dei processi IT su tali rischi, valutando l allineamento dei processi di governance dei sistemi informativi (Evaluate, Direct & Monitoring secondo COBIT 5) alle strategie di gestione di rischio aziendali. Sulla base di tali valutazioni saranno identificati le misure di controllo IT oggetto di verifica, e valutata la rispondenza dell ambiente di controllo esistente ai requisiti definiti a livello di obiettivi. L insieme del perimetro e degli esiti del risk assessment permetterà di assegnare un livello di criticità (e di conseguenza priorità) a ciascun sistema e processo IT in ambito, guidando la definizione del piano delle attività di audit pluriennale. Sulla base della complessità dell ambiente e dell organizzazione IT è possibile prevedere una diversa durata del piano di verifiche di audit, ma a livello generale si ipotizza un orizzonte temporale di tre anni per il completamento delle verifiche stesse, e comunque non superiore ai cinque anni. Tale piano di audit dovrà prevedere la copertura nell orizzonte temporale previsto di tutto il perimetro dei sistemi e dei processi IT significativi con un criterio di rotazione, nonché l esecuzione di tutte le verifiche di audit ritenute necessarie trasversalmente sulle seguenti aree: Verifica dei controlli generali IT e relativa maturity, che indirizzi l obiettivo introdotto al paragrafo precedente di Qualità intrinseca, e parzialmente dell obiettivo di Sicurezza/Accessibilità. Tali verifiche dovrebbero prevedere l analisi dei controlli previsti nell ambito dei processi di gestione (Management Processes secondo COBIT 5) del ciclo di vita dei sistemi informativi: - Align, Plan & Organize,

14 - Build, Acquire & Implement, - Deliver, Service & Support, - Monitor, Evaluate & Assess, tramite la comprensione dei controlli stessi (walkthrough) ed il successivo test di efficacia. Queste attività dovrebbero essere eseguite tutti gli anni, ma il perimetro di applicazione può essere configurato in modo che ogni applicativo sia verificato una volta nell orizzonte temporale, a partire da quelli con criticità superiore. Assessment dei controlli automatici (e semiautomatici) chiave per i processi in ambito, così da indirizzare l obiettivo di Qualità del contenuto e della rappresentazione. Tali verifiche dovrebbero prevedere il test dei controlli chiave gestiti tramite automatismi di sistema, nell ambito dei processi di business significativi inclusi in ambito. Anche in questo caso, verifiche sui controlli automatici dovrebbero essere condotte tutti gli anni, ma il perimetro di applicazione può essere configurato in modo da coprire tutti i processi nell orizzonte temporale, a partire da quelli con criticità superiore. Con specifico riferimento all obiettivo Sicurezza/Accessibilità, come già introdotto in precedenza, possono essere svolte ulteriori verifiche ad-hoc sulle seguenti aree: - Vulnerability Assessment & Penetration Testing, volti alla verifica dell esistenza di eventuali vulnerabilità nei sistemi ed alla definizione dei conseguenti piani di azione; - Security Assessment volti alla verifica dell adeguatezza del Sistema di Gestione della Sicurezza delle Informazioni dal punto di vista organizzativo, procedurale e tecnico; - Compliance Privacy, ivi inclusa la gestione degli Amministratori di Sistema come da Provvedimento del 27 novembre 2008; - verifiche della Segregation of Duties al fine di identificare eventuali conflitti e la conseguente strategia di mitigazione; - ogni altro intervento ritenuto necessario sulla base del contesto organizzativo e normativo aziendale. A seconda della complessità dell ambiente e dei sistemi IT, e del livello di automazione raggiungibile dalle modalità di verifica, tali attività possono essere svolte anche più volte l anno, consentendo un costante allineamento ai requisiti di security aziendale. A seguito di tale pianificazione di massima, il piano di verifiche per l anno corrente deve essere specificato nel dettaglio, tramite la definizione dell insieme dei sistemi e processi in ambito, dei controlli da testare e delle relative strategie di test. Il piano di audit di dettaglio deve poi essere eseguito in collaborazione con le funzioni aziendali coinvolte, eventuali gap rispetto alle leading practices evidenziati e condivisi con le funzioni coinvolte stesse, le quali definiranno l action plan corrispondente per raggiungere la conformità agli obiettivi di controllo prestabiliti.

15 Per ogni anno successivo, il piano dovrà prevedere l aggiornamento del risk assessment, volto a identificare e valutare eventuali elementi di discontinuità rispetto al passato con riferimento agli obiettivi di controllo IT (progetti significativi, migrazioni di sistemi in scope, cambiamenti organizzativi, aggiornamenti alla normativa di riferimento, ecc.). Tali valutazioni potrebbero portare alla modifica dell ambito e del dettaglio dei test da eseguire per l anno corrente, ponendo maggiore attenzione sugli elementi modificati rispetto al risk assessment precedente o che presentano una priorità maggiore. Ciò non deve comunque pregiudicare la copertura di tutti i processi ed i sistemi rilevanti nell ambito dell orizzonte temporale considerato. In ogni caso, le attività di audit degli anni successivi al primo dovrebbero includere, sulla base di quanto emerso durante l aggiornamento del risk assessment: follow-up delle tematiche emerse nel corso dei precedenti audit, al fine di verificare l effettiva implementazione degli action plan definiti e l efficacia delle soluzioni adottate; specifiche verifiche sui cambiamenti significativi avvenuti rispetto alla precedente rilevazione del sistema dei controlli; esecuzione delle attività previste dal piano di audit pluriennale, secondo la pianificazione di massima; esecuzione di eventuali ulteriori verifiche ad-hoc, sulla base delle specifiche necessità dell organizzazione. La conduzione delle attività di audit così, come illustrato sopra, consente un monitoraggio costante di tutti i controlli chiave relativi ai processi ed ai sistemi in scope, supportando con efficacia ed efficienza la verifica delle caratteristiche di affidabilità dei sistemi informativi, che si rende necessaria per la conformità ai requisiti del Codice.

Informazioni aziendali: il punto di vista del Chief Information Security Officer ed il supporto di COBIT 5 for Information Security

Informazioni aziendali: il punto di vista del Chief Information Security Officer ed il supporto di COBIT 5 for Information Security Informazioni aziendali: il punto di vista del Chief Information Security Officer ed il supporto di COBIT 5 for Information Security Jonathan Brera Venezia Mestre, 26 Ottobre 2012 1 Agenda Introduzione

Dettagli

ERG S.p.A. Linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi

ERG S.p.A. Linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi ERG S.p.A. Linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi Approvate dal Consiglio di Amministrazione dell 11 marzo 2014 1 Sommario 1. Il Sistema di Controllo Interno e di

Dettagli

Nuove disposizioni di vigilanza prudenziale per le banche: principali novità

Nuove disposizioni di vigilanza prudenziale per le banche: principali novità FLASH REPORT Nuove disposizioni di vigilanza prudenziale per le banche: principali novità Luglio 2013 Il 2 luglio 2013 la Banca d Italia, all esito dell attività di consultazione avviata nel mese di settembre

Dettagli

ERG S.p.A. Linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi

ERG S.p.A. Linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi ERG S.p.A. Linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi Approvate dal Consiglio di Amministrazione dell 11 marzo 2014 1 1 Ultimo aggiornamento in data 3 marzo 2016. 2 Sommario

Dettagli

L attività dell Internal Audit. G.M. Mirabelli

L attività dell Internal Audit. G.M. Mirabelli L attività dell Internal Audit G.M. Mirabelli Milano 13 ottobre 2006 Obiettivi della presentazione Evidenziare i compiti che nel nuovo Codice di autodisciplina sono assegnati all Internal Auditing, se

Dettagli

Fattori critici di successo

Fattori critici di successo CSF e KPI Fattori critici di successo Critical Success Factor (CSF) Definiscono le azioni o gli elementi più importanti per controllare i processi IT Linee guida orientate alla gestione del processo Devono

Dettagli

FLASH REPORT. Il nuovo Intermediario Finanziario Unico. Giugno 2015

FLASH REPORT. Il nuovo Intermediario Finanziario Unico. Giugno 2015 FLASH REPORT Il nuovo Intermediario Finanziario Unico Giugno 2015 Il 4 settembre 2010 è stato pubblicato in Gazzetta Ufficiale il D.Lgs. 141 del 13 agosto 2010, attuativo della Direttiva comunitaria n.

Dettagli

Processi di Gestione dei Sistemi ICT

Processi di Gestione dei Sistemi ICT Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A3_1 V1.1 Processi di Gestione dei Sistemi ICT Il contenuto del documento è liberamente utilizzabile dagli studenti,

Dettagli

Il Governo Societario nelle Banche di Credito Cooperativo: attualità e prospettive

Il Governo Societario nelle Banche di Credito Cooperativo: attualità e prospettive Il Governo Societario nelle Banche di Credito Cooperativo: attualità e prospettive Il modello di sistema dei controlli interni per il Credito Cooperativo Giuseppe Zaghini, Rischi e Controlli - Ufficio

Dettagli

Servizi di revisione contabile e verifica delle informazioni finanziarie nel processo di listing e post listing

Servizi di revisione contabile e verifica delle informazioni finanziarie nel processo di listing e post listing Servizi di revisione contabile e verifica delle informazioni finanziarie nel processo di listing e post listing Nel seguito sono presentati i servizi di revisione contabile e verifica delle informazioni

Dettagli

La disclosure e il monitoraggio della corporate governance in Italia

La disclosure e il monitoraggio della corporate governance in Italia Comitato per la Corporate Governance La disclosure e il monitoraggio della corporate governance in Italia Gabriele Galateri di Genola e Carmine Di Noia Milano, 16 aprile 2014 1 La disclosure della corporate

Dettagli

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 Introduzione Il primo ottobre 2015 la normativa ISO/IEC 27001: 2005 verrà definitivamente sostituita dalla più recente versione del 2013: il periodo di

Dettagli

Banche e Sicurezza 2015

Banche e Sicurezza 2015 Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso

Dettagli

Esercizi per la redazione del Business Plan

Esercizi per la redazione del Business Plan Esercizi per la redazione del Business Plan Una società intende iniziare la sua attività l 1/1/2010 con un apporto in denaro di 20.000 euro. Dopo aver redatto lo Stato Patrimoniale iniziale all 1/1/2010

Dettagli

FNM SpA Linee di Indirizzo del Sistema di Controllo Interno e Gestione dei Rischi

FNM SpA Linee di Indirizzo del Sistema di Controllo Interno e Gestione dei Rischi FNM SpA Linee di Indirizzo del Sistema di Controllo Interno e Gestione dei Rischi Approvate dal Consiglio di Amministrazione in data 17 aprile 2014 Linee di Indirizzo del SCIGR 1. Premessa Il Sistema di

Dettagli

SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA. Service Oriented Architecture

SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA. Service Oriented Architecture SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA Service Oriented Architecture Ormai tutti, nel mondo dell IT, conoscono i principi di SOA e i benefici che si possono ottenere

Dettagli

Marco Salvato, KPMG. AIEA Verona 25.11.2005

Marco Salvato, KPMG. AIEA Verona 25.11.2005 Information Systems Governance e analisi dei rischi con ITIL e COBIT Marco Salvato, KPMG Sessione di studio AIEA, Verona 25 Novembre 2005 1 Information Systems Governance L'Information Systems Governance

Dettagli

IS Governance in action: l esperienza di eni

IS Governance in action: l esperienza di eni IS Governance in action: l esperienza di eni eni.com Giancarlo Cimmino Resp. ICT Compliance & Risk Management Contenuti L ICT eni: mission e principali grandezze IS Governance: il modello organizzativo

Dettagli

LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E DI GESTIONE DEI RISCHI DEL GRUPPO TOD S S.P.A.

LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E DI GESTIONE DEI RISCHI DEL GRUPPO TOD S S.P.A. LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E DI GESTIONE DEI RISCHI DEL GRUPPO TOD S S.P.A. (APPROVATE DAL CONSIGLIO DI AMMINISTRAZIONE DELLA SOCIETÀ NELLA RIUNIONE DEL 10 MAGGIO 2012) TOD S S.P.A.

Dettagli

L Enterprise Risk Management in Italia

L Enterprise Risk Management in Italia DISCUSSION PAPER L Enterprise Risk Management in Italia Risultati della survey condotta in collaborazione con l Osservatorio di Revisione della SDA Bocconi Seconda edizione Maggio 2012 kpmg.com/it 2 L

Dettagli

Il ruolo dell Internal Auditing

Il ruolo dell Internal Auditing Il ruolo dell Internal Auditing Meccanismi di governance, evoluzione dei controlli interni e Position Paper AIIA Milano, 16 marzo 2006 Carolyn Dittmeier Presidente AIIA 1 Alcuni nuovi meccanismi di governance

Dettagli

ZeroUno Executive Dinner

ZeroUno Executive Dinner L ICT per il business nelle aziende italiane: mito o realtà? 30 settembre 2008 Milano, 30 settembre 2008 Slide 0 I principali obiettivi strategici delle aziende Quali sono i primi 3 obiettivi di business

Dettagli

CODICE DI AUTODISCIPLINA DELL ENI S.p.A. (la Società) IN ADESIONE AL CODICE PROMOSSO DA BORSA ITALIANA S.p.A.

CODICE DI AUTODISCIPLINA DELL ENI S.p.A. (la Società) IN ADESIONE AL CODICE PROMOSSO DA BORSA ITALIANA S.p.A. CODICE DI AUTODISCIPLINA DELL ENI S.p.A. (la Società) IN ADESIONE AL CODICE PROMOSSO DA BORSA ITALIANA S.p.A. 1. Ruolo del consiglio di amministrazione 2. Composizione del consiglio di amministrazione

Dettagli

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma Il Risk Management Integrato in eni Stefano Leofreddi Senior Vice President Risk Management Integrato 1 Ottobre 2014, Roma Indice - Sviluppo del Modello RMI - Governance e Policy - Processo e Strumenti

Dettagli

NOTA AIFIRM Associazione Italiana Financial Industry Risk Managers 23 luglio 2013

NOTA AIFIRM Associazione Italiana Financial Industry Risk Managers 23 luglio 2013 NOTA AIFIRM Associazione Italiana Financial Industry Risk Managers 23 luglio 2013 E stato introdotto nell ordinamento di vigilanza italiano il concetto di risk appetite framework (RAF). E contenuto nella

Dettagli

Services Portfolio per gli Istituti Finanziari

Services Portfolio per gli Istituti Finanziari Services Portfolio per gli Istituti Finanziari Servizi di consulenza direzionale e sviluppo sulle tematiche di Security, Compliance e Business Continuity 2015 Summary Chi siamo Il modello operativo di

Dettagli

IL RUOLO DEL RISK MANAGEMENT NEL SISTEMA DEI CONTROLLI INTERNI

IL RUOLO DEL RISK MANAGEMENT NEL SISTEMA DEI CONTROLLI INTERNI IL RUOLO DEL RISK MANAGEMENT NEL SISTEMA DEI CONTROLLI INTERNI Andrea Piazzetta Risk Manager Gruppo Banca Popolare di Vicenza Vicenza, 18 settembre 2009 Gruppo Banca Popolare di Vicenza Contesto regolamentare

Dettagli

Introduzione a COBIT 5 for Assurance

Introduzione a COBIT 5 for Assurance Introduzione a COBIT 5 for Assurance Andrea Pontoni 1 SPONSOR DELL EVENTO SPONSOR DI ISACA VENICE CHAPTER CON IL PATROCINIO DI 2 Agenda Obiettivi Assurance Definizione Drivers dell Assurance Vantaggi di

Dettagli

POLICY PER L ESERCIZIO DEI DIRITTI INERENTI AGLI STRUMENTI FINANZIARI DEGLI OICR GESTITI

POLICY PER L ESERCIZIO DEI DIRITTI INERENTI AGLI STRUMENTI FINANZIARI DEGLI OICR GESTITI POLICY PER L ESERCIZIO DEI DIRITTI INERENTI AGLI STRUMENTI FINANZIARI DEGLI OICR GESTITI Approvato dal Revisionato dal Consiglio di Amministrazione del 27 aprile 2012 Le presenti linee guida rappresentano

Dettagli

Nuove funzioni e responsabilità del Risk Management in banca: la view di una banca di piccole/ medie dimensioni. Iris Pennisi Federcasse

Nuove funzioni e responsabilità del Risk Management in banca: la view di una banca di piccole/ medie dimensioni. Iris Pennisi Federcasse Nuove funzioni e responsabilità del Risk Management in banca: la view di una banca di piccole/ medie dimensioni Roma, 9 aprile 205 Iris Pennisi Federcasse Una premessa di metodo: «trasformare un vincolo

Dettagli

IL SISTEMA DEI CONTROLLI: AUDIT, CONTROLLO INTERNO, COMITATO CONTROLLO E RISCHI E COLLEGIO SINDACALE

IL SISTEMA DEI CONTROLLI: AUDIT, CONTROLLO INTERNO, COMITATO CONTROLLO E RISCHI E COLLEGIO SINDACALE IL SISTEMA DEI CONTROLLI: AUDIT, CONTROLLO INTERNO, COMITATO CONTROLLO E RISCHI E COLLEGIO SINDACALE ENRICO MARIA BIGNAMI 1 febbraio 2014 Il Sistema dei Controlli: Audit, Controllo Interno, Comitato Controllo

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale;

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale; Presentazione Blu Consulting è una società di consulenza direzionale certificata ISO 9001:2008, fondata da Mauro Masciarelli nel 2009, specializzata nella revisione delle strategie di business, adeguamento

Dettagli

Analisi e gestione dei rischi. in TBS Group

Analisi e gestione dei rischi. in TBS Group 18 ottobre 2012 Analisi e gestione dei rischi in TBS Group Avv. Aldo Cappuccio (presidente del Comitato di Controllo Interno) 1 TBS Group S.p.A. TBS Group S.p.A. nasce e si sviluppa, agli inizi degli anni

Dettagli

Gli aspetti innovativi del Draft International Standard (DIS) ISO 9001:2015

Gli aspetti innovativi del Draft International Standard (DIS) ISO 9001:2015 Gli aspetti innovativi del Draft International Standard (DIS) ISO 9001:2015 I requisiti per la gestione del rischio presenti nel DIS della nuova ISO 9001:2015 Alessandra Peverini Perugia 9/09/2014 ISO

Dettagli

Sistema di Controllo Interno e Gestione Rischi

Sistema di Controllo Interno e Gestione Rischi Management System Guideline Sistema di Controllo Interno e Gestione Rischi 11 aprile 2013 1 Messaggio del CEO Il Sistema di Controllo Interno e Gestione dei Rischi (di seguito SCIGR) è considerato in eni

Dettagli

Linea Guida Sistema di Controllo Interno e Gestione Rischi (SCIGR) Poste Italiane S.p.A.

Linea Guida Sistema di Controllo Interno e Gestione Rischi (SCIGR) Poste Italiane S.p.A. Linea Guida Sistema di Controllo Interno e Gestione Rischi (SCIGR) Poste Italiane S.p.A. Introduzione Poste Italiane ha adottato un nuovo modello di business e organizzativo volto ad abilitare il conseguimento

Dettagli

LA COMPLIANCE FISCALE NELLE BANCHE: IMPATTO SUI MODELLI DI ORGANIZZAZIONE, GESTIONE E CONTROLLO

LA COMPLIANCE FISCALE NELLE BANCHE: IMPATTO SUI MODELLI DI ORGANIZZAZIONE, GESTIONE E CONTROLLO Focus on LA COMPLIANCE FISCALE NELLE BANCHE: IMPATTO SUI MODELLI DI ORGANIZZAZIONE, GESTIONE E CONTROLLO Aprile 2016 www.lascalaw.com www.iusletter.com Milano Roma Torino Bologna Firenze Ancona Vicenza

Dettagli

Tavola 1 Requisito informativo generale

Tavola 1 Requisito informativo generale Tavola 1 Requisito informativo generale (a) Il Consiglio di Amministrazione di Finlabo SIM. (di seguito anche la SIM o la Società ), ha definito le politiche di gestione dei rischi all interno delle quali

Dettagli

Il secondo pilastro: il processo di controllo prudenziale

Il secondo pilastro: il processo di controllo prudenziale : il processo di controllo prudenziale! Il processo di controllo prudenziale (Supervisory Review Process SRP) si articola in due fasi integrate! La prima è rappresentata dal processo interno di determinazione

Dettagli

PROFILO DEL. GRuPPO L ATTIVITÀ E LA STRUTTURA DEL GRUPPO 14 PRINCIPALI RISCHI E OPPORTUNITÀ DELLE ATTIVITÀ DI GTECH 15

PROFILO DEL. GRuPPO L ATTIVITÀ E LA STRUTTURA DEL GRUPPO 14 PRINCIPALI RISCHI E OPPORTUNITÀ DELLE ATTIVITÀ DI GTECH 15 PROFILO DEL GRuPPO L ATTIVITÀ E LA STRUTTURA DEL GRUPPO 14 PRINCIPALI RISCHI E OPPORTUNITÀ DELLE ATTIVITÀ DI GTECH 15 CORPORATE GOVERNANCE E COMPLIANCE 15 12 Bilancio di Sostenibilità GTECH Il Profilo

Dettagli

Maggio 2014. Silvia Colombo, Jenny.Avvocati

Maggio 2014. Silvia Colombo, Jenny.Avvocati Maggio 2014 Prime riflessioni sul recepimento degli Orientamenti EIOPA, attuativi della direttiva Solvency II: l IVASS modifica il Regolamento n. 20/2008 Silvia Colombo, Jenny.Avvocati L iter delle modifiche

Dettagli

CORPORATE GOVERNANCE. Implementare una corporate governance efficace

CORPORATE GOVERNANCE. Implementare una corporate governance efficace CORPORATE GOVERNANCE Implementare una corporate governance efficace 2 I vertici aziendali affrontano una situazione in evoluzione Stiamo assistendo ad un cambiamento senza precedenti nel mondo della corporate

Dettagli

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti L adozione di COBIT come strumento di IS Governance. Stato dell arte, risultati e fattori critici di successo nelle esperienze analizzate. Elisa Pozzoli, Gianluca Salviotti Copyright SDA Bocconi Elisa

Dettagli

Regolamento degli Organi Aziendali, delle Funzioni di Controllo e Dei Flussi Informativi. Data approvazione CDA 23 gennaio 2015

Regolamento degli Organi Aziendali, delle Funzioni di Controllo e Dei Flussi Informativi. Data approvazione CDA 23 gennaio 2015 degli Organi Aziendali, delle Funzioni di Controllo e Dei Flussi Informativi Data approvazione CDA 23 gennaio 2015 SOMMARIO ART. 1 - DISPOSIZIONI PRELIMINARI... 4 ART. 2 - DEFINIZIONI... 5 ART. 3 PREMESSA...

Dettagli

Università di Macerata Facoltà di Economia

Università di Macerata Facoltà di Economia Materiale didattico per il corso di Internal Auditing Anno accademico 2010-2011 Università di Macerata Facoltà di Economia 01 Angelo Micocci: fonti e definizioni 1 Obiettivo della lezione Internal Control

Dettagli

KPS - ATTI CONSIGLIO - 08/2015 POLICY. Esercizio dei diritti inerenti agli strumenti finanziari degli OICR gestiti

KPS - ATTI CONSIGLIO - 08/2015 POLICY. Esercizio dei diritti inerenti agli strumenti finanziari degli OICR gestiti POLICY Esercizio dei diritti inerenti agli strumenti finanziari degli OICR gestiti [ Pagina Bianca ] Esercizio dei diritti inerenti agli strumenti finanziari degli OICR gestiti 1 INDICE Indice... 2 PREMESSA...

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

I SISTEMI DI GESTIONE COME STRUMENTO MANAGERIALE PER LA COMPLIANCE AZIENDALE. Massimo Tronci Università di Roma La Sapienza

I SISTEMI DI GESTIONE COME STRUMENTO MANAGERIALE PER LA COMPLIANCE AZIENDALE. Massimo Tronci Università di Roma La Sapienza I SISTEMI DI GESTIONE COME STRUMENTO MANAGERIALE PER LA COMPLIANCE AZIENDALE Massimo Tronci Università di Roma La Sapienza Confindustria - Bari, 30 settembre 2008 Questa presentazione Il contesto di riferimento

Dettagli

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti L adozione di COBIT come strumento di IS Governance. Stato dell arte, risultati e fattori critici di successo nelle esperienze analizzate. Elisa Pozzoli, Gianluca Salviotti Copyright SDA Bocconi Elisa

Dettagli

FORTINVESTIMENTI SIM S.P.A. BASILEA 2 III PILASTRO - INFORMATIVA AL PUBBLICO. In ottemperanza al Regolamento Banca d Italia del 24 ottobre 2007

FORTINVESTIMENTI SIM S.P.A. BASILEA 2 III PILASTRO - INFORMATIVA AL PUBBLICO. In ottemperanza al Regolamento Banca d Italia del 24 ottobre 2007 FORTINVESTIMENTI SIM S.P.A. BASILEA 2 III PILASTRO - INFORMATIVA AL PUBBLICO In ottemperanza al Regolamento Banca d Italia del 24 ottobre 2007 Al 31 dicembre 2008 INTRODUZIONE 3 TAVOLA 1 - REQUISITO INFORMATIVO

Dettagli

Il Sistema dei Controlli Interni per gli Organi Societari e le Funzioni di Controllo

Il Sistema dei Controlli Interni per gli Organi Societari e le Funzioni di Controllo Il Sistema dei Controlli Interni per gli Organi Societari e le Funzioni di Controllo Alla luce delle nuove Disposizioni di Banca d Italia Ing. Riaz Bashir Opentech Confidi Day 2014 - Castelbuono (PA) 15

Dettagli

LA COSTRUZIONE DI UN SISTEMA DI CONTROLLO INTERNO (IL CASO DELLE COMPAGNIE DI ASSICURAZIONE)

LA COSTRUZIONE DI UN SISTEMA DI CONTROLLO INTERNO (IL CASO DELLE COMPAGNIE DI ASSICURAZIONE) LA COSTRUZIONE DI UN SISTEMA DI CONTROLLO INTERNO (IL CASO DELLE COMPAGNIE DI ASSICURAZIONE) Dott. Werther Montanari Direttore Audit di Gruppo Società Cattolica di Assicurazione Soc. Coop. Verona, 9 dicembre

Dettagli

Il Sistema dei Controlli nel Gruppo Bancario Iccrea. Aggiornato al 13/11/2013

Il Sistema dei Controlli nel Gruppo Bancario Iccrea. Aggiornato al 13/11/2013 Il Sistema dei Controlli nel Gruppo Bancario Iccrea Aggiornato al 13/11/2013 1 Il sistema dei controlli adottato da Iccrea Holding Le attività, i processi, l assetto organizzativo, la gestione del rischio,

Dettagli

Documentare, negoziare e concordare gli obiettivi di qualità e le responsabilità del Cliente e dei Fornitori nei Service Level Agreements (SLA);

Documentare, negoziare e concordare gli obiettivi di qualità e le responsabilità del Cliente e dei Fornitori nei Service Level Agreements (SLA); L economia della conoscenza presuppone che l informazione venga considerata come la risorsa strategica più importante che ogni organizzazione si trova a dover gestire. La chiave per la raccolta, l analisi,

Dettagli

SAP Assure SAP Integrity Assure Tool

SAP Assure SAP Integrity Assure Tool Enterprise Fraud Application Risk Management Solution SAP Assure SAP Integrity Assure Tool Agenda Introduzione a SAP Assure Tool Suite Focus su Assure Integrity Presentazione di un caso pratico 1 I prodotti

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

Osservazioni generali

Osservazioni generali Documento di consultazione n. 1/2014 Schema di Regolamento 20/2008 recante nuove disposizioni in materia di controlli interni, gestione dei rischi ed esternalizzazione Legenda Nella riga Commentatore i

Dettagli

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING PROCESS OPTIMIZATION Mappatura as is dei processi, definizione dello stato to be, gap analysis, definizione ed implementazione

Dettagli

attività indipendente obiettiva assurance consulenza miglioramento approccio professionale sistematico valore aggiunto

attività indipendente obiettiva assurance consulenza miglioramento approccio professionale sistematico valore aggiunto MASTER AMLP 1 DEFINIZIONE L Internal Auditing è un'attività indipendente ed obiettiva di assurance e consulenza, finalizzata al miglioramento dell'efficacia e dell efficienza dell'organizzazione. Assiste

Dettagli

Risposta alla consultazione di Banca d Italia sul Programma dell attività normativa dell Area Vigilanza per l anno 2011

Risposta alla consultazione di Banca d Italia sul Programma dell attività normativa dell Area Vigilanza per l anno 2011 Risposta alla consultazione di Banca d Italia sul Programma dell attività normativa dell Area Vigilanza per l anno 2011 Dicembre 2010 DOCUMENTI 1. Considerazioni preliminari Il Programma di attività normativa

Dettagli

Processo di gestione del rischio d informazione finanziaria

Processo di gestione del rischio d informazione finanziaria Processo di gestione del rischio d informazione finanziaria Deltas S.p.A. La comunicazione finanziaria Sondrio, 9 marzo 2010 Agenda Vincoli di conformità alla L. 262/20005 Soluzioni operative Nuove sfide

Dettagli

Comunità di pratica Nedcommunity Risk management, piano strategico e organi di governo: business case

Comunità di pratica Nedcommunity Risk management, piano strategico e organi di governo: business case Making the traveller s day better Comunità di pratica Nedcommunity Risk management, piano strategico e organi di governo: business case Milano, 2 Luglio 204 Group Enterprise Risk Management Contenuto del

Dettagli

Coordinamento, sinergie e flussi informativi tra l OdV, gli organi di controllo interno e le funzioni di assurance: uno schema di analisi

Coordinamento, sinergie e flussi informativi tra l OdV, gli organi di controllo interno e le funzioni di assurance: uno schema di analisi L importanza della comunicazione Coordinamento, sinergie e flussi informativi tra l OdV, gli organi di controllo interno e le funzioni di assurance: uno schema di analisi FAbio ACCARDi se nella ricerca

Dettagli

Lo sviluppo della compliance nel settore manifatturiero: implicazioni per l'internal Audit e possibili sviluppi futuri. Milano, 12 Ottobre 2015

Lo sviluppo della compliance nel settore manifatturiero: implicazioni per l'internal Audit e possibili sviluppi futuri. Milano, 12 Ottobre 2015 Lo sviluppo della compliance nel settore manifatturiero: implicazioni per l'internal Audit e possibili sviluppi futuri Milano, 12 Ottobre 2015 Agenda Introduzione - F. Albieri L'impegno dell'aiia e del

Dettagli

COMPOSIZIONE QUALITATIVA E QUANTITATIVA DEL CONSIGLIO DI AMMINISTRAZIONE

COMPOSIZIONE QUALITATIVA E QUANTITATIVA DEL CONSIGLIO DI AMMINISTRAZIONE COMPOSIZIONE QUALITATIVA E QUANTITATIVA DEL CONSIGLIO DI AMMINISTRAZIONE Indice Premessa e contesto normativo... 3 Valutazione della composizione qualitativa... 4 Profili generali... 4 Richiami normativi...

Dettagli

COMMENTI AL DOCUMENTO AVENTE PER OGGETTO: DISCIPLINA DEI LIMITI AGLI INVESTIMENTI E DEI CONFLITTI D INTERESSE PER I FONDI PENSIONE

COMMENTI AL DOCUMENTO AVENTE PER OGGETTO: DISCIPLINA DEI LIMITI AGLI INVESTIMENTI E DEI CONFLITTI D INTERESSE PER I FONDI PENSIONE Roma, 1 febbraio 2008 COMMENTI AL DOCUMENTO AVENTE PER OGGETTO: DISCIPLINA DEI LIMITI AGLI INVESTIMENTI E DEI CONFLITTI D INTERESSE PER I FONDI PENSIONE Con riferimento al Documento in oggetto, posto in

Dettagli

Università di Macerata Facoltà di Economia

Università di Macerata Facoltà di Economia Materiale didattico per il corso di Internal Auditing Anno accademico 2010-2011 Università di Macerata Facoltà di Economia Obiettivo della lezione ERM - Enterprise Risk Manangement Per eventuali comunicazioni:

Dettagli

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site La Tecnologia evolve velocemente ed anche gli esperti IT più competenti hanno bisogno di una formazione costante per tenere il passo Come

Dettagli

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi Sessione di Studio AIEA-ATED La gestione del rischio informatico nel framework dei rischi operativi 24 Novembre 2014 Agenda La gestione del rischio operativo nel Gruppo ISP La gestione degli eventi operativi

Dettagli

La Carta dell Investimento Sostenibile e Responsabile della finanza italiana

La Carta dell Investimento Sostenibile e Responsabile della finanza italiana La Carta dell Investimento Sostenibile e Responsabile della finanza italiana 6 Giugno 2012, Scuderie di Palazzo Altieri - Roma Siglata in occasione della Settimana Italiana dell Investimento Sostenibile

Dettagli

CONFORMIS IN FINANCE S.R.L Via Carroccio, 16 20123 Milano P.IVA/C.F. 07620150966

CONFORMIS IN FINANCE S.R.L Via Carroccio, 16 20123 Milano P.IVA/C.F. 07620150966 CONFORMIS IN FINANCE S.R.L Via Carroccio, 16 20123 Milano P.IVA/C.F. 07620150966 Tel: 0287186784 Fax: 0287161185 info@conformisinfinance.it pec@pec.conformisinfinance.it www.conformisinfinance.it Obiettivi

Dettagli

La gestione del rischio controparti

La gestione del rischio controparti Risk Assurance Services www.pwc.com/it La gestione del rischio controparti Un esigenza da presidiare per la tutela della reputazione e del valore aziendale La reputazione è un asset strategico da valorizzare,

Dettagli

L ISVAP (Istituto per la vigilanza sulle assicurazioni private e di interesse collettivo)

L ISVAP (Istituto per la vigilanza sulle assicurazioni private e di interesse collettivo) REGOLAMENTO N. 39 DEL 9 GIUGNO 2011 REGOLAMENTO RELATIVO ALLE POLITICHE DI REMUNERAZIONE NELLE IMPRESE DI ASSICURAZIONE L ISVAP (Istituto per la vigilanza sulle assicurazioni private e di interesse collettivo)

Dettagli

Stato e Prospettive del Quadro dei Controlli Interni dell Azienda. Armando BOFFI Partner PRICEWATERHOUSECOOPERS

Stato e Prospettive del Quadro dei Controlli Interni dell Azienda. Armando BOFFI Partner PRICEWATERHOUSECOOPERS Stato e Prospettive del Quadro dei Controlli Interni dell Azienda Armando BOFFI Partner PRICEWATERHOUSECOOPERS Perché l attenzione sui controlli interni? 2 Corporate Governance e controllo interno negli

Dettagli

REVISIONE DELLA DISCIPLINA SECONDARIA IN MATERIA DI GESTIONE COLLETTIVA DEL RISPARMIO

REVISIONE DELLA DISCIPLINA SECONDARIA IN MATERIA DI GESTIONE COLLETTIVA DEL RISPARMIO Vigilanza bancaria e finanziaria REVISIONE DELLA DISCIPLINA SECONDARIA IN MATERIA DI GESTIONE COLLETTIVA DEL RISPARMIO MODIFICHE AL REGOLAMENTO SULLA GESTIONE COLLETTIVA DEL RISPARMIO IN MATERIA DI APPROVAZIONE

Dettagli

MANDATO INTERNAL AUDIT

MANDATO INTERNAL AUDIT INTERNAL AUDIT MANDATO INTERNAL AUDIT Il presente Mandato Internal Audit di Società, previo parere favorevole del Comitato Controllo e Rischi in data 30 ottobre 2012 e sentito il Collegio Sindacale e l

Dettagli

Applicazioni dello standard ISO 31000:2009 Risk Management Principles and guidelines

Applicazioni dello standard ISO 31000:2009 Risk Management Principles and guidelines Applicazioni dello standard ISO 31000:2009 Risk Management Principles and guidelines Lo standard ISO 31000 nel sistema di controllo interno e di gestione dei rischi ex art. 7 del Codice di Autodisciplina

Dettagli

Risk Governance e Obiettivi Strategici d Impresa: Punti di attenzione per il Comitato Controllo e Rischi a supporto del CdA

Risk Governance e Obiettivi Strategici d Impresa: Punti di attenzione per il Comitato Controllo e Rischi a supporto del CdA Risk Governance e Obiettivi Strategici d Impresa: Punti di attenzione per il Comitato Controllo e Rischi a supporto del CdA (Con riferimenti ai business case di Autogrill, Barilla, Eni, Luxottica, Pirelli)

Dettagli

INTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA GIUSEPPE CERASOLI, CIA RESPONSABILE COMITATO PA

INTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA GIUSEPPE CERASOLI, CIA RESPONSABILE COMITATO PA INTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA Fondato a New York nel 1941 Presente in 160 paesi, conta ora più di 110.000 membri Ha sede negli USA ma la sua Governance è Globale Globali sono pure il

Dettagli

Analisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it

Analisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it Analisi e gestione del rischio ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it ISCOM e infrastrutture critiche www.iscom.gov.it Premessa Prima di iniziare qualsiasi considerazione sull'analisi

Dettagli

Lista delle descrizioni dei Profili

Lista delle descrizioni dei Profili Lista delle descrizioni dei Profili La seguente lista dei Profili Professionali ICT è stata definita dal CEN Workshop on ICT Skills nell'ambito del Comitato Europeo di Standardizzazione. I profili fanno

Dettagli

Il sistema di controllo interno e di gestione dei rischi nel nuovo Codice di Autodisciplina. Roma, 18/10/2012. Francesco La Manno Borsa Italiana

Il sistema di controllo interno e di gestione dei rischi nel nuovo Codice di Autodisciplina. Roma, 18/10/2012. Francesco La Manno Borsa Italiana Il sistema di controllo interno e di gestione dei rischi nel nuovo Codice di Autodisciplina Roma, 18/10/2012 Francesco La Manno Borsa Italiana Il Codice di Autodisciplina 1999: Prima versione del Codice

Dettagli

Introduzione. Introduzione. 1. I contenuti del Codice di Autodisciplina promosso da Borsa Italiana 2. Le modifiche approvate nel marzo 2010

Introduzione. Introduzione. 1. I contenuti del Codice di Autodisciplina promosso da Borsa Italiana 2. Le modifiche approvate nel marzo 2010 Oggetto: Sintetica descrizione del contenuto del Codice di Autodisciplina, promosso da Borsa Italiana S.p.A., approvato dal Comitato per la corporate governance nel marzo 2006 e successivamente modificato

Dettagli

Una piattaforma enterprise per gestire e migliorare le iniziative di Governance, Risk e Compliance

Una piattaforma enterprise per gestire e migliorare le iniziative di Governance, Risk e Compliance Una piattaforma enterprise per gestire e migliorare le iniziative di Governance, Risk e Compliance Maria-Cristina Pasqualetti - Deloitte Salvatore De Masi Deloitte Andrea Magnaguagno - IBM Scenario La

Dettagli

Il sistema di governo dell ICT: ambiti di evoluzione del ruolo di COBIT in Enel

Il sistema di governo dell ICT: ambiti di evoluzione del ruolo di COBIT in Enel Il sistema di governo dell ICT: ambiti di evoluzione del ruolo di COBIT in Enel Mario Casodi ICT Governance / epm Convegno Nazionale AIEA Pisa, 21 maggio 2009 INDICE Introduzione Gestione della mappa dei

Dettagli

NORMATIVA, BEST PRACTICES ED APPLICAZIONE PRATICA

NORMATIVA, BEST PRACTICES ED APPLICAZIONE PRATICA Verso il GOVERNO dei SISTEMI INFORMATIVI NORMATIVA, BEST PRACTICES ED APPLICAZIONE PRATICA ROBERTO NICCOLI Padova, 29 maggio 2014 1 NORMATIVA, BEST PRACTICES ED APPLICAZIONE PRATICA IT affidabile per il

Dettagli

L esperienza d integrazione in SSC

L esperienza d integrazione in SSC Roma, 10 dicembre 2010 Centro Congressi Cavour L esperienza d integrazione in SSC Approcci multimodello nelle pratiche aziendali Il presente documento contiene informazioni e dati di S.S.C. s.r.l., pertanto

Dettagli

Nuove funzioni e responsabilità del Risk Management. Presentazione alla Conferenza Il governo dei rischi in banca: nuove tendenze e sfide

Nuove funzioni e responsabilità del Risk Management. Presentazione alla Conferenza Il governo dei rischi in banca: nuove tendenze e sfide Nuove funzioni e responsabilità del Risk Management Presentazione alla Conferenza Il governo dei rischi in banca: nuove tendenze e sfide 9 Aprile 2015 Agenda 1. Premessa: Il ruolo della Corporate Governance

Dettagli

INTERVENTO INTRODUTTIVO. di Emilio Tonini. Direttore Generale, Banca Monte dei Paschi di Siena

INTERVENTO INTRODUTTIVO. di Emilio Tonini. Direttore Generale, Banca Monte dei Paschi di Siena INTERVENTO INTRODUTTIVO di Emilio Tonini Direttore Generale, Banca Monte dei Paschi di Siena Buongiorno a tutti e un cordiale benvenuto a questa 4 edizione del forum internazionale Montepaschi Vita che,

Dettagli

AIFMD NOVITÀ INTRODOTTE CON I DECRETI ATTUATIVI: AMBITI DI APPLICAZIONE E PROFILI DI GOVERNANCE

AIFMD NOVITÀ INTRODOTTE CON I DECRETI ATTUATIVI: AMBITI DI APPLICAZIONE E PROFILI DI GOVERNANCE AIFMD NOVITÀ INTRODOTTE CON I DECRETI ATTUATIVI: AMBITI DI APPLICAZIONE E PROFILI DI GOVERNANCE Partner di: Private Equity LAB Associato a: Shadow Banking e AIFMD G20 Pittsburgh 2009 Rivedere l intero

Dettagli

CMMI, ITIL, TOGAF OGNI UFFICIO IT ADOTTA LA SUA BEST PRACTICE! Ma se i giocatori seguono

CMMI, ITIL, TOGAF OGNI UFFICIO IT ADOTTA LA SUA BEST PRACTICE! Ma se i giocatori seguono OSSERVATORIO IT GOVERNANCE CMMI, ITIL, TOGAF OGNI UFFICIO IT ADOTTA LA SUA BEST PRACTICE! Ma se i giocatori seguono schemi diversi, difficilmente si va a canestro! A cura di Francesco Csciati, Manager

Dettagli

REGOLAMENTO PER LA GESTIONE DEL PATRIMONIO

REGOLAMENTO PER LA GESTIONE DEL PATRIMONIO REGOLAMENTO PER LA GESTIONE DEL PATRIMONIO Approvato dal Consiglio di Indirizzo nella seduta del 14 febbraio 2014 1 SOMMARIO AMBITO DI APPLICAZIONE Pag. 3 1. PRINCIPI GENERALI Pag. 3 1.1. Finalità del

Dettagli

IDENTITY & ACCESS GOVERNANCE

IDENTITY & ACCESS GOVERNANCE IDENTITY & ACCESS GOVERNANCE Come raggiungere e mantenere la conformità alle normative Italiane con un sistema di Identity and Access Governance Leggi, normative e impatti tecnologici: la interpretazione

Dettagli

L evoluzione del Processo di Enterprise Risk Management nel Gruppo Telecom Italia

L evoluzione del Processo di Enterprise Risk Management nel Gruppo Telecom Italia GRUPPO TELECOM ITALIA Roma, 17 giugno 2014 L evoluzione del Processo di Enterprise Risk Management nel Gruppo Telecom Italia Dirigente Preposto ex L. 262/05 Premessa Fattori Esogeni nagement - Contesto

Dettagli

SOMMARIO. Adottati con delibera del Consiglio di Amministrazione del 27 febbraio 2015

SOMMARIO. Adottati con delibera del Consiglio di Amministrazione del 27 febbraio 2015 PRIINCIIPII DII AUTODIISCIIPLIINA DII IINFRASTRUTTURE WIIRELESS IITALIIANE Adottati con delibera del Consiglio di Amministrazione del 27 febbraio 2015 SOMMARIO Articolo 1 Principi generali pag. 2 Articolo

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

Corso di diritto commerciale avanzato a/a 2015-2016 Fabio Bonomo (fabio.bonomo@enel.com) Lezione del 9 ottobre 2015

Corso di diritto commerciale avanzato a/a 2015-2016 Fabio Bonomo (fabio.bonomo@enel.com) Lezione del 9 ottobre 2015 Corso di diritto commerciale avanzato a/a 2015-2016 Fabio Bonomo (fabio.bonomo@enel.com) Lezione del 9 ottobre 2015 1 Gli attori della Corporate Governance Le società Le società (corporations) organizzazioni

Dettagli

CODICE DI AUTODISCIPLINA (aspetti generali - sintesi)

CODICE DI AUTODISCIPLINA (aspetti generali - sintesi) CODICE DI AUTODISCIPLINA (aspetti generali - sintesi) Codice di autodisciplina Sintetica descrizione del contenuto del Codice di Autodisciplina approvato nel marzo 2006 dal Comitato per la corporate governance

Dettagli