Il difficile equilibrio tra performance e compliance : riflessioni sull evoluzione nel governo dei sistemi informativi (ICT)

Transcript

1 Il difficile equilibrio tra performance e compliance : riflessioni sull evoluzione nel governo dei sistemi informativi (ICT) Convegno ABI - Roma, 6 giugno 2006 Andrea Beretta Associate Partner (andreaberetta@kpmg.it) Management Consultants Via Vittor Pisani 13, Milano Tel Fax

2 Agenda 1. Il ruolo della compliance 2. L attenzione alle performace 3. Il governo dell ICT 4. Conclusioni 2

3 Il ruolo della compliance I driver evolutivi nei financial services Le discontinuità Integrazione e consolidamento Sbornia di Internet Instabilità economica Apertura dei mercati ???? Privatizzazioni Banche New entrant Pressione normativa Le variabili competitive M&A Internet Banks Pressione competitiva Euro Anno 2000 Nuovi modelli distributivi Contrazione dei margini Nuovi segmenti di business Le ricadute sull ICT Costituzione MOG Convergenza sistemi operazionali Rifacimenti / interventi tattici Proliferazione tecnologie Investimenti a perdere Societarizzazione IT Revisione assetti IT Interventi di cost reduction Riconfigurazione sistemi legacy per linee di business Investimenti tecnologici (DR, server consolidation..) Efficienza processi operativi Efficacia processi commerciali Time-to-market Evoluzione legacy Offshore/nearshore 3

4 Il ruolo della compliance : tendenza in atto Il contesto di mercato: la spinta normativa Le discontinuità Integrazione e consolidamento Sbornia di Internet Instabilità economico-politica Apertura dei mercati ? Pressione normativa Principali Principali novità novità nel nel quadro quadro normativo normativo Basilea Basilea Sound Sound practices practices Financial Financial Reporting Reporting Standars Standars International International Accounting Accounting Standards Standards Serbanes-Oxley Serbanes-Oxley Act Act Market Market Abuse Abuse legislation legislation Normativa Normativa sulla sulla Gestione Gestione della della continuità continuità operativa operativa? La tensione tra necessità di rispetto normativo e desiderio/ opportunità di miglioramento delle prestazioni è un elemento da sempre presente nella vita delle aziende La pressione normativa sta influendo in modo significativo su costi e scelte di investimento 4

5 Il ruolo della compliance e politiche di investimento La spesa informatica (*) delle Banche europee è leggermente incrementata: ha raggiunto circa 45.7 billion euro I costi informatici rappresentano circa il 3% dei costi operativi (*) Gran parte dei costi è focalizzata sulla manutenzione dei sistemi (*) Il 38% delle banche Europee(*) ha come priorità la centralizzazione ed efficientamento delle operation (riduzione costi) Il 39% dellebancheeuropee(*) ha in agenda spese per la compliance. (*) Fonte: Report Celent

6 Il ruolo della compliance : investimenti in DR e sicurezza Investimenti per il DR previsti per il 2005 in leggero aumento più o meno costanti in deciso incremento in netta diminuzione rispetto al % 20% 40% 60% 80% 100% Rilevanza sistemica Attivo sup. a 5Mld Euro Attivo inf. a 5Mld Euro Totale Fonte: Analisi dei risultati del Questionario sul Disaster Recovery, Abilab, marzo 2006 Fonte: Datamonitor, 2005 Business Continuity / DR e Sicurezza rappresentano fonti significative degli investimenti ICT 6

7 Il ruolo della compliance Innalzamento del livello di solidità del sistema Corporate resilience CRISI MANAGEMENT (CATENA DI COMANDO) Soluzioni Organizzative backup tra U.O. (cold backup) DR server Soluzioni Organizzative backup tra U.O. su multisito (hot backup) PERCORSO EVOLUTIVO INCREMENTO DELLA RESILIENCE COMPLESSIVA HA server Alta affidabilità tecnologica DR MF Ambito pre-normativa BCM Fonte: Elaborazione 2006 Tempo Alcune soluzioni individuate permettono di incrementare il livello di resilience del day by day 7

8 Il ruolo della compliance La sicurezza è molto più di un firewall Perimeter Defense Wireless Access Control Application Development Processes Network Design Network Components Authentication Solutions Virus Protection Secure Programming Infrastructure Security Directory Services Product Security Application Security Secure Builds and Host Hardening Partner and Third-party Integration Operating Systems Data Integrity Privacy, Confidentiality & Compartmentalization Storage Solutions Monitoring & Logging Provisioning & Implementation Cryptography Digital Forensics Secure Operations System Administration Incident Response & Readiness Configuration Management Assessment & Audit Physical Security Business Continuity Corporate Security Policy Compliance Security Strategy Training and Awareness Roles, Responsibilities & Accountability Employee Exit Processes Internal Threat Profiling Secure Organization Hiring and Screening Security Roadmap 8

9 Compliance e performace Esemplificativo Stima del livello di rischio Business Alto Basso Azione immediata Da valutare / a discrezione Iniziative strategiche Soluzioni intelligenti Basso Alto Stima del livello dei costi da sostenere per rimediare ai danni La comprensione del livello di rischio porta ad individuare azioni ai diversi livelli: informatici, organizzativi, tecnici (sicurezza fisica), comportamentali Alcune soluzioni strategiche business possono significativamente influenzare l approccio alla sicurezza (es: revisione modello della rete distributiva-filiali ) 9

10 L attenzione alle performance Il contesto di mercato: l apertura dei mercati e nuovi segmenti di business Le discontinuità Integrazione e consolidamento Sbornia di Internet Instabilità economico-politica Apertura dei mercati ? Pressione competitiva La crescente apertura dei mercati verso processi di integrazione trasfrontaliera ed il conseguente aumento della pressione competitiva richiedono flessibilità e capacità di integrazione dei processi produttivi 10

11 L attenzione alle performance I driver strategici per l IT Per competere nel nuovo contesto di mercato le banche devono porsi il problema dell innovazione La selezione delle tecnologie su cui investire è un processo strategico Which are the most important business drivers for investing in your institution s core systems? Which is most important? Enabling more streamlined end-to-end processes 10% 2% 27% Enabling more rapid time to market for new products 16% 21% 24% Enabling more standardized products Enabling increased crossselling opportunities Enabling compliance with changing regulatory requirements Fonte: Datamonitor, 2005 Post merger and acquisition (M&A) consolidation 11

12 L attenzione alle performance Le aree di innovazione: alcuni spunti GOVERNO GESTIONE OPERATIVA INFRASTRUTTURA COMMERCIALE COMMERCIALE FINANZA TESORERIA / FINANZA CONTENZIOSO / LEGALE SEGNALAZIONI SISTEMI CONTROLLO E GOVERNANCE ASSET MGMT TITOLI E BORSA CREDITI / FINANZIAMENTI OPERATIONS ANAGRAFE INCASSI / PAGAMENTI TESORERIA ENTI PERSONALE ESTERO Esemplificativo RETI INTERBANCARIE GESTIONE DEL RAPPORTO COL CLIENTE CANALI FILIALI CORPORATE BANKING ATM PROMOTORI INTERNET e MOBILE CONTABILITA Nuovi modelli di filiale: filiali technology intensive che consentono di abilitare modalità diverse di interazione con il cliente, di erogazione dei servizi e di costruzione dei processi Orchestrazione dei canali: gestione del processo di vendita in modo coordinato tra i differenti canali CENTRO PERIFERIA Ridisegno dei processi: attraverso soluzioni di BPM e architetture orientate ai servizi (SOA) per traguardare obiettivi di efficienza e di efficacia dei processi produttivi 12

13 ICT Governance (Governo dell ICT): Allineamento al Board e Governance operativa Board Abilitare e sostenere le strategie business Garantire le performance dei Sistemi Informativi Governare il Rischio Business-ICT Corporate Governance Busine ss Linkag e ICT Governance IS Manag ement IS Contro l Users Community Allineamento Allineamento al al Board Board Governance Governance Operativa Operativa Strategie Modello decisionale Policies Processi operativi Chi fa cosa, Modalità di relazione Attori e ruoli Contenuti operativi Aree di sviluppo/innovazione Quali priorità nel medio periodo Chi è l owner del budget ICT Qual è il grado di BCM compliance Come proteggo il knowhow Quale knowhow devo reperire Come disegno le SLA Come definisco l architettura ICT Come implemento la security fisica e logica L impianto di ICT Governance non consiste in un modello di riferimento sulla carta, ma richiede di presidiare aspetti operativi e di contenuto delle variabili critiche Deve premettere di creare del valore (business linkage) e preservare il valore (ICT Management, ICT Control) 13

14 ICT Governance: una definizione Specifying the decision rights and accountability framework to encourage desiderable behavior in using IT (HBS) STRATEGIA BUSINESS Catena del valore dell Information & Communication Technology Identificazione delle opportunità dell ICT come supporto alla competitività ed innovazione del business Valutazione costi/benefici della nuova soluzione/ processo Gestione continuità e erogazione delle soluzioni ICT implementate Identificazione del valore Costruzione del valore Gestione ed ed erogazione del valore Program Management Modello business & Architettura ICT Politica delle Infrastrutture Strategia e Piani budget Politiche si Sourcing BPR Studi di Fattibilita sviluppo e realizzazione delle soluzioni ICT System Integration Application Management Delivery Servizi ICT User support Definizione di ICT Governance: fornisce una struttura nella quale le decisioni prese sui problemi ICT vengono allineate totalmente con la strategia di Business e con la cultura dell'azienda individua linee guida, definizione degli standard e principi per l efficacia dell innovazione tecnologica indirizza le priorità degli investimenti Business linkage attua i meccanismi di controllo dei processi di delivery (governo del rischio, sicurezza) ICT Management & Control 14

15 ICT Governance: parte della governance aziendale ciao Corporate Governance ICT Governance Business Linkage Complessità Orientamento S.I. Cultura Misure IT Management & Control Portafoglio Applicativo Infrastrutture Creazione del Valore La Governance dei Sistemi Informativi è parte integrante della Corporate Governance Non è materia esclusiva della funzione ICT Supera il concetto di Gestione in favore del Governo dei Sistemi Informativi Pone le basi perché l assetto dei Sistemi Informativi si mantenga nel tempo coerente con le esigenze aziendali in contesti strutturalmente complessi Sistemi Informativi Processi e Strumenti Ambiti Decisiona li Partner Esterni Gestione del rischio Stakeholders Aziendali Meccanismi Organizzati vi Rischi Definire, implementare e mantenere sistemi di scelte, processi, strumenti e meccanismi organizzativi che favoriscano costantemente nel tempo l allineamento tra l assetto dei S.I. ed il Business aziendale, nell ottica della creazione e della non distruzione del Valore 15

16 ICT Governance: ICT control COBIT ITIL CMM BS BS ISO/IEC IT Gov Cobit 15000: : :2000 Institute Family ICT process Availability Mgt x x x x x Availability Mgt x Change Mgt x x x x x Financial Mgt x x x x IS Audit x x x x Management Structures Operations Mgt x x x x Organizational Framework Esemplificativo Policies & Standards Project Mgt x x x Security Mgt x x x x x x Service Mgt x x x x Solution Dev x x x Strategic Planning Support Mgt x x x ITIL BS BS ISO/IEC IT Gov Cobit 15000: : :2000 Institute Governance Framework Management committees x x x Organizational Framework x Policies & Standards x x Strategic Planning x x x x ITIL Le maggiori leading practice (COBIT, ITIL, BS15000, ISO17799, IT Governance Institute, etc.) coprono diversi aspetti dell ICT Governance 16

17 La Catena del Valore della ICT Governance ICT Governance Business Linkage ICT Management ICT Control Strategia Business Piano strategico Priorità/architettura Standard tecnologici ed innovazione Modello di delivery Sourcing Processi decisionali Right Financials ICT Budget Demand Management e Project portfolio Service Management Contract management Performance Management (KPI/SLA) Processi Operativi (e.g. ITIL) ICT asset Know-how critico e Skills Compliance SOX Risk Management Business Continuity Management High availability Disaster Recovery Continuità operativa Security Investimenti ICT Application Portfolio Infrastructure Benchmarking Un efficace modello di Governance deve comunque presidiare tutte le componenti della value chain, a livelli di complessità differenti in funzione del contesto 17

18 Conclusioni Dopo una prevalenza di spinte normative emergono elementi di innovazione Nel tempo bisognerà gestire sempre questo strabismo di priorità La sicurezza, ad esempio, non è solo un problema tecnologico: ma attiene ad un allineamento coerente tra strategie business, organizzazione e ruolo delle nuove tecnologie La sfida dei prossimi mesi è di gestire correttamente le iniziative di innovazione e di compliance comprendendo le rispettive interazioni: non guardiamo i progetti normativi con soluzioni tradizionali possono esserci spunti per operare a più ampio respiro L ICT Governance rappresenta un modello per gestire nel tempo queste dinamiche in modo coerente rispetto alle aspettative del management/board 18