Codice di Autodisciplina e IT Governance. Milano, 2 ottobre 2013

Transcript

1 Codice di Autodisciplina e IT Governance Milano, 2 ottobre 2013

2 Premessa ed obiettivi Un gruppo di lavoro formato da soci AIEA esperti di IT Risk & Governance : Marco Crestan E&Y Diego Monteleone KPMG Davide Mozzone Deloitte Dario Tizzanini Snam Ugo Vignolo Lutati PwC ha definito un Position Paper, che potesse fornire, interpretando il Codice di autodisciplina, una guida e quindi supportare le società quotate ad affrontare le tematiche di IT Governance. 2

3 Agenda 1. Breve presentazione del Codice di autodisciplina 2. Perché COBIT 5 3. COBIT 5: A business framework 4. Definizione dell approccio di audit 3

4 Breve presentazione del Codice di autodisciplina 1

5 Codice di autodisciplina di Borsa Italiana SpA Il Codice di Autodisciplina è stato redatto dal comitato per la corporate governance delle società quotate nominato da Borsa Italiana S.p.A. nel 1999, revisionato nel 2002, sostituito nel 2006 ed infine revisionato con l attuale versione risalente al dicembre L adesione al Codice di Autodisciplina da parte delle società quotate è volontaria L adesione volontaria al Codice di Autodisciplina influisce sulla reputazione della società ed ha principalmente un effetto premiante di mercato Sistema del comply or explain l ordinamento prevede un obbligo di divulgazione al mercato dell eventuale adesione ai codici di governo societario (tra cui il Codice di Autodisciplina), fornendo informazioni sull osservanza (comply) ovvero motivando gli eventuali scostamenti (explain) 5

6 Codice di autodisciplina di Borsa Italiana SpA Le novità apportate dall ultima revisione del Codice (2011) seguono tre direttrici principali: semplificazione e chiarificazione delle regole già esistenti; allineamento delle condotte richieste alle nuove regole del diritto societario e comunitario; inserimento di nuovi principi volti ad innalzare gli standard di governance degli emittenti e ad anticipare possibili futuri interventi legislativi. Le novità apportate al Codice, tra le altre, hanno portato all introduzione della funzione della gestione dei rischi all interno del sistema del controllo interno al fine di: contribuire a diffondere la cultura del rischio, inserendo la funzione della gestione dei rischi all interno del sistema di controllo interno; attribuire al CdA, coadiuvato dal (rinnovato) Comitato per il controllo interno e la gestione dei rischi, un ruolo chiave nella definizione della natura e del livello del rischio compatibile con gli obiettivi strategici dell emittente; razionalizzare il sistema di controllo interno e gestione dei rischi sotto il profilo delle competenze attribuite ai vari soggetti coinvolti nell esercizio di questa funzione. 6

7 Codice di autodisciplina di Borsa Italiana SpA (Circolare nr. 263/2013 Banca d Italia Principali ambiti impattati) 1. GOVERNANCE 4. INTERNAL AUDIT Collocazione organizzativa Rafforzamento compiti di controllo su metodologie di valutazione delle attività, risk management, su criticità identificate dalla società di revisione legale Pianificazione ed esecuzione controlli in funzioni dei rischi Rafforzamento e rimodulazione obblighi di reporting verso Banca d Italia 5. COMPLIANCE Collocazione organizzativa Chiarimento ed estensione del perimetro normativo della funzione (es. normativa fiscale, ecc.) cd. Compliance allargata Ruolo di coordinamento dei presidi aziendali specialistici di compliance (definizione metodologie di valutazione dei rischi di compliance, strumenti e flussi di reporting) Rafforzamento rolo di consulenza ex ante (progetti innovativi ) Rafforzamento obblighi reporting verso Banca d Italia Rafforzamento del ruolo della Corporate Governance e del coinvolgimento di OSS, OG, OC Definizione Codice etico Definizione Risk Appetite Framework e coerenza con strategie Operazioni di maggiori rilievo Nomina e revoca funzioni di controllo Comitato Controllo e Rischi Assegnazione al Collegio Sindacale dell OdV 231/01 Policy SCI e flussi informativi Verifica annuale compliance SCI 2. PERSONALE FUNZIONI DI CONTROLLO Procedure di valutazione quali quantitativa del personale delle funzioni di controllo Definizione percorsi formativi Rotazione delle risorse Poteri di spesa per le funzioni di controllo 3. ORGANIZZAZIONE Framework integrato di presidio dei rischi Rafforzamento della centralità e del ruolo dei controlli di linea Product approval Disciplina organica esternalizzazione di funzioni aziendali rilevanti Processi e metodologie per la valutazione delle attività Controlli di gruppo (referenti interni funzioni esternalizzate; anagrafica unica clienti; comunicazione preventiva a Bankit su funzioni esternalizzate; verifiche periodiche a livello consolidato) 6. RISK MANAGEMENT Collocazione organizzativa Rafforzamento del ruolo del Risk Management Funzione di Convalida Declinazione politiche di governo dei rischi e relativi processi Verifica corretto svolgimento monitoraggio andamentale posizioni creditizie e congruità accantonamenti Strategic & Reputational risk management Risk opinion su nuovi prodotti/servizi/mercati Rafforzamento obblighi di reporting verso Bankit 7. ICT Revisione/ razionalizzazione organizzazione ICT Introduzione di un modello di gestione integrata del rischio informatico (comprensivo di valutazione della propensione al rischio informatico) Focus sulla sicurezza informatica e compliance IT Obbligo in termini di segregazione dei compiti Obbligo di tracciatura delle transazioni critiche Introduzione di un modello di gestione dei dati (Data Governance) Definizione/Revisione delle modalità di gestione e controllo dell esternalizzazione e del sourcing di sistemi e servizi ICT Obbligo di predisposizione dei Documenti aziendali per la gestione e il controllo ICT (Allegato A) Obbligo di reporting verso Banca d Italia dei controlli svolti da parte dell Internal Auditing nei confronti dell outsourcer Rafforzamento requisiti in tema di Continuità Operativa

8 Codice di autodisciplina di Borsa Italiana SpA (Circolare nr. 263/2013 Banca d Italia) Possiamo quindi affermare che, a due anni di distanza dalla pubblicazione dell ultima revisione del Codice, la Banca d Italia abbia aggiornato la disciplina in ambito IT Governance in modo chiaro e puntuale. E auspicabile che in un futuro prossimo, sempre seguendo il concetto di proporzionalità, tali tematiche possano diventare un importante requisito ancora più chiaramente definito all interno del Codice stesso vista l importanza che oggi l IT Governance ha assunto all interno delle Società. 8

9 Quando il Codice di Autodisciplina incontra i Sistemi Informativi Il Codice di Autodisciplina definisce nell Art. 7 nel primo principio 7.P.1, [ ]. Tale sistema (ndr. di controllo interno e gestione dei rischi) è integrato nei più generali assetti organizzativi e di governo societario adottati dall emittente e tiene in adeguata considerazione i modelli di riferimento e le best practices esistenti in ambito nazionale e internazionale [ ] Inoltre, sempre nello stesso articolo nel quinto criterio attuativo 7.C.5 si parla di sistemi informativi, Il responsabile della funzione di internal audit: [ ]; g)verifica, nell ambito del piano di audit, l affidabilità dei sistemi informativi inclusi i sistemi di rilevazione contabile 9

10 Come tradurre nella pratica le tematiche di IT Governance? Esiste un framework adatto a rispondere alle esigenze del Codice? Quali caratteristiche dovrebbe avere? COBIT 5 1. Essere allineata con la Governance d impresa e gli obiettivi di business 2. Essere un unico framework internazionalmente riconosciuto 3. Separare adeguatamente Governance da Management 10

11 Perché COBIT 5 2

12 Perché COBIT 5 Meeting Stakeholder Needs COBIT 5, come espresso nel suo primo principio, nasce prima di tutto come necessità degli stakeholder, fisiologicamente influenzate da fattori esogeni (ambiente e regolamentazioni esterne ed evoluzione tecnologica) Una volta che è stata definita la strategia dell azienda, questa si traduce in obiettivi di business, i quali a loro volta si riconducono ad obiettivi IT Pertanto deve essere chiaro alle Società che decidono di implementare COBIT 5 che la direzione, il coinvolgimento ed il supporto continuo da parte del top management dell azienda siano condizioni necessarie La scelta di implementare COBIT 5 come modello di IT Governance non è prerogativa del CIO o della Direzione Sistemi Informativi, ma è in primo luogo della Direzione d impresa ISACA, Cobit 5, A Business Framework for the Governance and Management of Enterprise IT, ISACA, 2012

13 Perché COBIT 5 Separating Governance from Management Adottando COBIT 5 le aziende possono separare chiaramente la governance dal management. ISACA, Cobit 5, A Business Framework for the Governance and Management of Enterprise IT, ISACA, 2012 COBIT 5 permette all informazione ed alla relativa tecnologia di essere governata e gestita in maniera olistica sull intera organizzazione, considerando sia i processi di business end-to-end e le aree funzionali di responsabilità, sia gli interessi legati all IT. 13

14 Perché COBIT 5 Applying a Single, Integrated Framework COBIT 5 consolida e integra i precedenti framework emessi da ISACA (COBIT 4.1, Val IT 2.0 and Risk IT e BMIS) fa riferimento agli altri modelli Enterprise related (COSO, COSO ERM, ISO 9000, ISO 31000) ed IT related (ISO 38500, ITIL, serie ISO 27000, TOGAF, PMBOK/PRINCE2, CMMI) ISACA, Cobit 5, A Business Framework for the Governance and Management of Enterprise IT, ISACA,

15 Perché COBIT 5 Applying a Single, Integrated Framework COBIT 5 è allineato con gli ultimi standard e framework internazionalmente riconosciuti, fatto che permette all azienda di utilizzarlo come elemento di integrazione più che una sostituzione di altri standard e framework. ISACA, Cobit 5, A Business Framework for the Governance and Management of Enterprise IT, ISACA,

16 COBIT 5: A business framework 3

17 COBIT 5: A business framework I contenuti di COBIT 5 sono i seguenti: 5 principi (principles) 7 elementi abilitatori (enablers) il modello Process Reference (l insieme dei processi, delle attività, delle practice, ) la guida per l implementazione del framework un modello per la definizione della grado di maturità della strttura IT (governance IT e management IT) 17

18 COBIT 5: A business framework Come emerge dal titolo che lo accompagna, le intenzioni del nuovo framework sono manifeste ed inequivocabili: rivolto non più esclusivamente ai dipartimenti IT delle società (tanto da definirsi business framework), COBIT 5 diventa lo strumento di governo e gestione dell IT. Nell executive summary del documento leggiamo: [ ] COBIT 5 provides a comprehensive framework that assists enterprises in achieving their objectives for the governance and management of enterprise IT. Simply stated, it helps enterprises create optimal value from IT by maintaining a balance between realising benefits and optimising risk levels and resource use. COBIT 5 enables IT to be governed and managed in a holistic manner for the entire enterprise, taking in the full end-to-end business and IT functional areas of responsibility, considering the IT-related interests of internal and external stakeholders. COBIT 5 is generic and useful for enterprises of all sizes, whether commercial, not-for-profit or in the public sector [ ]. 18

19 I principi COBIT 5 I principi di COBIT 5 sono: 1. Meeting Stakeholder Needs: partendo dal presupposto che le società esistono al fine di dare valore agli stakeholders garantendo l equilibrio desiderato tra i benefici ottenuti, i rischi assunti e l impiego delle risorse, COBIT fornisce evidenza di quali processi e quali elementi abilitanti siano necessari a supportare la creazione di valore. 2. Covering the Enterprise End-to-end: COBIT non insiste solamente sui processi IT ma considera l informazione ed i corrispondenti elementi tecnologici come attività, patrimonio, assests. 3. Applying a Single, Integrated Framework: COBIT si allinea con gli le best practices e gli standard esistenti, al fine di fornire un indirizzo di alto livello per le tematiche di governo e gestione dell IT all interno delle società. 4. Enabling a Holistic Approach: il governo e la gestione dell IT richiedono un approccio olistico delle numerose componenti esistenti e che interagiscono tra loro. Per tale ragione COBIT definisce alcuni elementi abilitanti per permettere l implementazione dei processi di governo e gestione. Gli elementi abilitanti sono: i) Principles, Policies and Frameworks; ii) Processes; iii) Organisational Structures; iv) Culture, Ethics and Behaviour; v) Information; vi) Services, Infrastructure and Applications; vii) People, Skills and Competencies. 19

20 I principi COBIT 5 5.Separating Governance from Management: governo e gestione sono elementi differenti in ambito aziendale. COBIT li disciplina definendo per ciascuno lo svolgimento di determinate attività e l adozioni di strutture organizzative dedicate, al fine di raggiungere obiettivi differenti. Infatti: la governance assicura che i bisogni degli stakeholders, condizioni ed opzioni siano valutate al fine di determinare obiettivi aziendali bilanciati e concordati; l impostazione della direzione attraverso la prioritizzazione ed il decision making; il monitoraggio delle performance e la compliance in confronto alla direzione concordata e agli obiettivi; il management pianifica, costruisce, fa funzionare e monitora le attività in allineamento alle direzioni impostate dal corpo della governance al fine di raggiungere gli obiettivi aziendali. 20

21 I principi COBIT 5 Ripercorrendo i principi, COBIT 5 correla quindi i bisogni di portatori di interesse agli obiettivi dell impresa, definendo gli obiettivi IT e gli elementi abilitanti. E proprio seguendo queste correlazioni che troviamo le guide di riferimento dei processi, le quali riportano spesso ampliate e riviste (se non a volte, del tutto nuove), le informazioni tipiche del mondo COBIT: identificazione dei processi descrizione dei processi definizione dello scopo del processo la connessione degli obiettivi (Goal Cascade) obiettivi del processo e metriche Matrice RACI descrizione dettagliata dei processi 21

22 Il concetto di rischio ed affidabilità Il concetto di rischio, controllo e misurazione non possono prescindere dal grado di raggiungimento degli obiettivi IT (necessari come detto per l abilitazione degli obiettivi di business). Tali obiettivi sono raggiunti attraverso l implementazione di fattori abilitanti e sono categorizzati come segue: intrinsic goals contextual goals accessibility and security goals Ne consegue che il concetto di affidabilità dei sistemi informativi è da ricercarsi nell ambito di processi IT che sappiano rendersi abilitatori delle qualità dell informazione. Al fine di verificare le caratteristiche di affidabilità dei sistemi è pertanto necessario definire un approccio di audit IT che si focalizzi sui processi IT e che indirizzi in modo specifico le qualità dell informazione come sopra definite 22

23 Definizione dell approccio di audit 4

24 Cobit 5 come modello di governance ICT Soddisfare le necessità degli Stakeholders Identificazio ne dei processi IT Descrizione dei processi IT Coprire l Enterprise End-to-End Definizione dello scopo del processo IT Connessione degli obiettivi (Goal Cascade) Matrice RACI Definire un approccio olistico Applicare un framework unico e integrato Risk Assessment Piano di audit IT Monitorag gio Separare la governance dal management Affidabilità dei sistemi informativi 24

25 Processi e Sistemi IT Obiettivo: verificare l adeguatezza dei processi IT e l affidabilità dei sistemi in conformità con gli obiettivi di business Mappatura processi e sistemi IT Soluzione: definizione di un piano di audit IT che identifichi secondo una metodologia consolidata gli interventi di audit da eseguire secondo un criterio di valutazione dei rischi Definizione del piano di azione e relative attività di monitoraggio Piano di Audit IT Esecuzione piano di audit Esecuzione Risk Assessment 25

26 Le fasi di sviluppo Processi e relativi obiettivi e sistemi Risk Assessment Piano di Audit Aggiornamento Risk Assessment Identificazione di tutti i processi di business rilevanti e dei loro obiettivi, nonché dei sistemi a supporto degli stessi Identificazione delle minacce e delle parti coinvolte Valutazione dei rischi e dei loro impatti sul sistema Test di accettabilità e decisioni di salvaguardia (misure di controllo IT) Revisione e verifica della rispondenza ai requisiti definiti a livello di obiettivi del sistema attuale Verifica dei controlli generali IT e relativa maturity Assessment dei controlli automatici e semiautomatici Verifiche ad hoc (obiettivo Sicurezza/Accessibilità) Identificazione gap rispetto alle leading practices Aggiornamento del piano per eliminare le discontinuità identificate Revisione del piano di controllo e del dettaglio test 26

27 Le fasi di sviluppo Attività preliminari Processi e relativi obiettivi e sistemi Risk Assessment Piano di Audit Aggiornamento Risk Assessment Da dove partire: Identificazione dei processi rilevanti e loro obiettivi/sistemi di supporto Definizione del perimetro dei sistemi oggetto di verifiche e loro influenza sui risultati/target Valutazione (qualitativa e quantitativa) dei possibili rischi esistenti, in merito alle relative minacce e vulnerabilità, e di conseguenza sugli impatti rispetto al raggiungimento degli obiettivi di controllo IT (Risk Assessment) 27

28 Le fasi di sviluppo Risk Assessment Processi e relativi obiettivi e sistemi Risk Assessment Piano di Audit Aggiornamento Risk Assessment Analisi preventiva del contesto aziendale e suo perimetro Comprensione dell influenza dei processi IT sui rischi individuati Comprensione delle modalità di governance dei Sistemi Informativi Monitoraggi o del rischio e azioni di controllo Comprension e del perimetro Identificazion e dei rischi inerenti i processi IT Evaluate, direct and monitoring (Cobit5) Assegnazione livello di criticità/priorità per ciascun sistema Comprensione dei controlli IT che indirizzano il rischio --> Definizione del Piano di Audit (pluriennale, non superiore ai 5 anni) 28

29 Le fasi di sviluppo Piano di Audit Processi e relativi obiettivi e sistemi Risk Assessment Piano di Audit Aggiornamento Risk Assessment Verifica dei controlli generali IT e relativa maturity Per indirizzare gli obiettivi Qualità intrinseca e, parzialmente, Sicurezza/Accessibilità Gestione dei processi del ciclo di vita del SI (Management Processes secondo Cobit 5) 1. Align, plan and organize 2. Build, acquire and implement 3. Deliver, service and support 4. Monitor, evaluate and assess Assessment dei controlli automatici (e semiautomatici) Per indirizzare indirizzare l obiettivo di Qualità del contenuto e della rappresentazione Test dei controlli chiave gestiti tramite automatismi di sistema, nell ambito dei processi di business significativi Verifiche ad hoc con riferimento all obiettivo Sicurezza/Accessibilità 1. Vulnerability assessment and Penetration tests 2. Security assessment 3. Compliance privacy 4. Verifiche sulla Segregation of duties 29

30 Le fasi di sviluppo Aggiornamento del Risk Assessment Processi e relativi obiettivi e sistemi Risk Assessment Piano di Audit Aggiornamento Risk Assessment Identificazione e valutazione di eventuali elementi di discontinuità rispetto al passato Modifica dell ambito e del dettaglio dei test da eseguire per l anno corrente focus sugli elementi modificati rispetto al Risk Assessment precedente o che presentano una priorità maggiore Inoltre: Follow-up dei precedenti audit e verifica dell effettiva implementazione degli action plan definiti e l efficacia delle soluzioni adottate; Specifiche verifiche sui cambiamenti significativi avvenuti rispetto al precedente sistema dei controlli ed eventuali ulteriori verifiche ad-hoc; Esecuzione delle attività previste dal piano di audit pluriennale. 30

31 Conclusioni Codice di autodisciplina Processi e sistemi IT Strategia aziendale, obiettivi IT e di business Cobit 5 Direzione, coinvolgimento e supporto continuo del top management Piano di verifiche per l affidabilità dei sistemi Modello di controllo Risk Assessment Action Plan periodici Test e verifiche ad hoc Follow up e update 31