COBIT & COSO IT Risk Assessment

Транскрипт

1 COBIT & COSO IT Risk Assessment Roberto Apollonio Sessione di Studio AIEA Roma, 8 Ottobre 2009

2 Contenuti Corporate Governance Risk Management COSO and COBIT 3 Italia Case Study 3 Italia Page 2

3 Corporate Governance Con l'espressione Corporate Governance si intende l'insieme di regole e strutture organizzative che presiedono a un corretto ed efficiente governo societario Il termine Corporate Governance si riferisce a diversi ambiti della vita aziendale descrivendo: Å i processi con cui le società sono dirette e controllate; Å le attività con cui si incoraggiano le aziende a seguire dei codici (linee guida di corporate governance) Å le tecniche di investimento basate sul possesso attivo (fondi di corporate governance) Å un campo dell'economia che studia i problemi che derivano dalla Più in generale, la Corporate Governance abbraccia una serie di regole, separazione della proprietà dal controllo relazioni, processi e sistemi aziendali, tramite le quali l'autorità fiduciaria è esercitata e controllata. Tra le regole rientrano le leggi del paese e le regole societarie interne. Le relazioni includono quelle tra tutte le parti coinvolte nella società, come i proprietari, i manager, gli amministratori (qualora esista un Consiglio di amministrazione), le autorità di regolazione, nonché i dipendenti e la società in senso ampio. I processi e sistemi hanno a che fare con i meccanismi di delega dell'autorità, la misurazione delle performance, sicurezza, reporting e contabilità. 3 Italia Page 3

4 Corporate Governance Il Sistema di Controllo Interno, perno su cui la Corporate Governance ruota, costituisce l'elemento catalizzatore di soggetti e funzioni che, ognuna per la propria parte, contribuiscono alla conduzione dell'impresa in modo sano, corretto e coerente con gli obiettivi di risk management. Il Sistema di Controllo Interno è definito dal Codice Preda come l insieme dei processi diretti a monitorare l efficienza delle operazioni aziendali, l affidabilità dell informazione finanziaria, il rispetto di leggi e regolamenti, la salvaguardia dei beni aziendali; in altri termini tale sistema è costituito dalle attività poste in essere al fine di assicurare il rispetto sia dei corretti principi di gestione e di amministrazione dell impresa sia dell adeguatezza degli assetti e delle procedure organizzative aziendali. I destinatari di tali controlli sono individuabili sia negli organi volitivi dell azienda, sia nei portatori di capitale di rischio sia, infine, nel più ampio universo costituito dagli stakeholders. Gli eventi che negli ultimi anni hanno intaccato la credibilità dei mercati finanziari accrescono sempre più la necessità di un maggiore e incisivo focus sul Sistema di Controllo Interno. Diventa 3 Italia così mandatorio per il CEO di un azienda di medie/grandi dimensioni, Page 4 pubblica o privata, quotata o meno in Borsa, richiedere la conduzione di

5 Contenuti Corporate Governance Risk Management COSO and COBIT 3 Italia Case Study 3 Italia Page 5

6 Risk Management Il Sistema di Controllo Interno dovrà essere verificato e aggiornamento nel tempo per poter assicurare sempre un aderenza ed un integrazione totale con il sistema azienda. Nell ambito dell attività d impresa, al fine di assicurare condizioni di sana e corretta gestione, in coerenza con le strategie e gli obiettivi prefissati, ogni società deve sostenere un approccio preventivo ai rischi e ad orientare le scelte e le attività del management in un ottica di riduzione della probabilità di accadimento degli eventi negativi e del loro impatto. A tal fine, devono essere adottate strategie di gestione dei rischi in funzione della loro natura e tipologia quali, principalmente, quelli di natura finanziaria, industriale, di regulatory/compliance, strategici ed operativi, tecnici. Le modalità con cui il management identifica, valuta, gestisce e monitora gli specifici rischi connaturati alla gestione dei processi aziendali sono solitamente disciplinate da diversi strumenti normativi, procedurali, organizzativi, contenuti nel sistema normativo aziendale che, essendo permeati dalla cultura del rischio, ne presidiano il loro contenimento. Lo sviluppo di programmi di risk assessment concorre a rafforzare ulteriormente 3 Italia Page 6 la sensibilità del management sulla gestione dei rischi e contribuisce al

7 Risk Management Risk Assessment e Risk Management sono dei processi di valutazione e gestione attraverso i quali vengono identificati i rischi valutando le preferenze, stimando le conseguenze che eventi indesiderabili potrebbero avere, prevedendo la possibilità che questi eventi accadano e soppesando il valore di ogni diverso modo di agire. La valutazione dei rischi è un processo durante il quale strategie diverse sono pesate e vengono prese decisioni sui rischi ritenuti accettabili. Queste strategie hanno differenti effetti sui rischi, inclusi la riduzione, la rimozione e la ridefinizione degli stessi. Alla fine, viene determinato un livello accettabile di rischio e di conseguenza viene adottata una strategia. In questo processo sono coinvolti: il calcolo costi-benefici, la stima della tolleranza dei rischi e la quantificazione delle preferenze. Il framework di Enterprise Risk Management, pubblicato dal Committee of Sponsoring Organization of the Treadway Commission (CoSO) nel Settembre 2004, costituisce il modello di riferimento a livello internazionale per la corretta gestione di tutti i rischi cui l azienda è esposta. 3 Italia Page 7

8 Contenuti Corporate Governance Risk Management COSO and COBIT 3 Italia Case Study 3 Italia Page 8

9 COSO Il CoSO report definisce il processo risk management assegnando allo stesso un ruolo di primo piano a supporto del top management nella definizione della strategia aziendale. L Enterprise risk management si compone di otto componenti correlati: 1. Internal Environment 2. Objective Setting 3. Event Identification 4. Risk Assessment 5. Risk Response 6. Control Activities 7. Information and Communication 8. Monitoring 3 Italia Page 9

10 COBIT Il Control Objectives for Information and related Technology (COBIT) è un modello (framework) per la gestione della Information and Communication Technology (ICT) creato nel 1992 dall'associazione americana degli auditor dei sistemi informativi (Information Systems Audit and Control Association - ISACA), e dal IT Governance Institute (ITGI). COBIT fornisce ai manager, agli auditor e agli utenti dei sistemi IT una griglia di riferimento costituita da: una struttura dei processi della funzione IT, rispetto alla quale si è venuto formando il consenso degli esperti del settore una serie di strumenti teorici e pratici collegati ai processi con l'obiettivo di valutare se è in atto un efficace governo della funzione IT (IT governance) o di fornire una guida per instaurarlo 3 Italia Page 10

11 Contenuti Corporate Governance Risk Management COSO and COBIT 3 Italia Case Study 3 Italia Page 11

12 3 Italia Case Study: Risk Assessment Su richiesta del Gruppo HWL, nel 2007 viene avviato un progetto di Risk Assessment, da ripetere due volte all anno, strutturato secondo i seguenti steps: Coinvolgimento del Top Management locale Adozione del COSO Framework Identificazione processi aziendali core/significativi Conduzione dell assessment a livello Entity (Top Management) e di Processo (coinvolgimento delle linee aziendali) Analisi dei rischi al fine di identificare le soluzioni per la loro rimozione o riduzione del loro impatto Condivisione dei risultati sia con il Top Management locale sia con quello di Gruppo Avvio piano di Remediation Actions e monitoraggio mensile 3 Italia Page 12

13 3 Italia Case Study: Core Processes Principali Processi individuati/classificati come significativi per il business: Marketing Sviluppo Prodotti Gestione Vendite Attività Post Vendita (Assistenza Tecnica, CRM) Acquisti Ciclo Attivo/Passivo Fatturazione Gestione/Controllo delle Revenue Billing Gestione Credito Clienti Frodi Commissioning Legal HR Information Technolgy & Network 3 Italia Page 13

14 3 Italia Case Study: COSO & COBIT Sviluppo di una checklist per un supporto concreto nella conduzione dell assessment sia nell ambito IT sia per il comparto Network (Telefonia, DVB- H). Processi Il COBIT quale COBIT strumento / COSO Internal per la conduzione Control Integrated di un assessment Framework in ambito IT e Network 3 Italia Page 14

15 3 Italia Case Study: COSO & COBIT Sviluppo di una checklist per un supporto concreto nella conduzione dell assessment sia nell ambito IT sia per il comparto Network (Telefonia, DVB- H): Overall Picture 3 Italia Page 15

16 3 Italia Case Study: COSO & COBIT Plan and Organize example 3 Italia Page 16

17 3 Italia Case Study: COSO & COBIT Acquire and Implement example 3 Italia Page 17

18 3 Italia Case Study: COSO & COBIT Delivery and Support example 3 Italia Page 18

19 3 Italia Case Study: COSO & COBIT Monitor and Evaluate example 3 Italia Page 19

20 3 Italia Case Study: COSO & COBIT Dinamiche dei Processi 3 Italia Page 20

21 3 Italia Case Study: COSO & COBIT Key Actions/Projects impacting the Control Environment 3 Italia Page 21

22 grazie