Business Continuity e Disaster Recovery Il ruolo dell Internal. Audit del Gruppo Monte Paschi Siena

Transcript

1 Business Continuity e Disaster Recovery Il ruolo dell Internal Audit del Gruppo Monte Paschi Siena Siena, 8 luglio 2005

2 Il Gruppo MPS in coerenza con la normativa di Vigilanza assegna alla funzione di controllo interno la missione di auditare il progetto sulla Continuità Operativa ed il Piano di Emergenza L attività è svolta secondo un approccio di management audit, non limitato alle sole verifiche di conformità ma con un ruolo di supporto e affiancamento alle strutture del Gruppo

3 Le iniziative Attività avviate: normative di controllo affiancamento

4 Attività normative Obiettivi: definire la metodologia del processo di audit definire standard di controllo e di governo in linea con le best practices internazionali condividere modalità operative omogenee tre le società del conglomerato finanziario Framework normativo: manuali di Audit Sistema dei controlli

5 Attività normative Focus ICT Normativa interna Manuale dei Controlli del Consorzio Operativo Gruppo MPS con valore di standard di riferimento per la Governance ed il Controllo in ambito ICT Manuale di Audit del Consorzio Operativo Gruppo MPS che costituisce il riferimento metodologico per le verifiche sui sistemi informativi Standard di Governance e Controllo ICT ricavato dal Manuale dei Controlli ed adattato alle realtà di piccola e media dimensione. Il documento è in corso di emanazione ed assumerà valenza di Regolamento di Gruppo Metodologia allineamento agli standard CobiT approccio process risk-based

6 Attività normative Struttura dei Manuali Area Macroprocesso Processo Sottoprocesso Classificazione adottata Descrizione Fase Definizione sintetica delle attività attualmente svolte Descrizione e classificazione Rischio Definizione dei rischi più significativi esemplificativo Descrizione Controllo Attributi del Controllo Descrizione del controllo e attribuzione alla funzione competente (addetto/responsabile)

7 Attività avviate: normative di controllo affiancamento

8 Attività di Controllo Durante i mesi di novembre e dicembre dello scorso anno l Area Controlli Interni, su sollecitazione del Collegio Sindacale, ha disposto una visita ispettiva presso la Funzione Organizzazione ed il Consorzio Operativo Gruppo MPS Obiettivi della visita: stimare lo Stato di Avanzamento Lavori dei progetti di Business Continuity e Disaster Recovery, in vista della scadenza del 30 giugno c.a. verificare il rispetto delle disposizioni emanate dalla Banca d Italia collaborare con le strutture interessate offrendo attivamente il proprio contributo allo sviluppo dell impostazione progettuale e suggerendo alcuni spunti di riflessione Standard di riferimento: Disposizioni di Vigilanza Standard di controllo internazionali allineati alla metodologia CobiT (Information System Audit and Control Association, National Institute of Standard and Technology, FFIEC)

9 Attività di Controllo Con riferimento al progetto Business Continuity, hanno costituito punto di attenzione: i risultati delle prime fasi del progetto ed in particolare la verifica che la selezione di entità del Gruppo da sottoporre a continuità operativa sia coerente con il perimetro minimo individuato dal legislatore (fase 0 pre-project planning) analisi dei risultati sulle stime d impatto del fermo processo sul business (fase 1 business impact analysis) la definizione dei ruoli e delle responsabilità dei soggetti coinvolti la condivisione delle strategie con le strutture interessate il piano di lavoro e la tempificazione delle attività

10 Attività di Controllo Per quanto attinente il progetto Disaster Recovery, hanno costituito punti di attenzione l esistenza e l adeguatezza del Piano di Disaster Recovery (DRP) l aggiornamento periodico del DRP l esistenza di appropriate fasi di test volte ad appurare che le procedure previste siano realmente in grado di ripristinare dati e servizi l esistenza di adeguate misure di recovery e di back up dei sistemi hardware, software e dei dati, in particolare: il trattamento delle copie di sicurezza e la possibilità di ripristino dei dati la tempificazione nella conservazione delle informazioni la disponibilità di siti alternativi a quelli di produzione per il funzionamento delle procedure critiche in caso di emergenza le modalità ed i tempi di riallineamento degli archivi di back up rispetto ai sistemi di produzione

11 L esito delle verifiche usiness Continuity A seguito degli accertamenti svolti è emerso un giudizio sostanzialmente positivo, motivato dagli aspetti seguenti: è già stato definito ed approvato l assetto organizzativo per il governo del progetto. Inoltre, con lettera sottoscritta dal Direttore Generale, il Gruppo MPS ha comunicato all Organo di Vigilanza il soggetto investito della responsabilità del Piano è stato predisposto, ed è in corso di realizzazione, il Piano di Continuità Operativa. il C.d.A. è stato informato del progetto tramite una comunicazione ufficiale il Risk Assessment, preliminare all individuazione dei processi critici, è stato condotto dai responsabili delle Business Unit coinvolte nel processo; la valutazione di criticità non è stata assegnata centralmente ma è stata espressa direttamente dai process owner, con la supervisione della Funzione Organizzazione è stato valutato molto positivo il Piano di Disaster Recovery del Gruppo, parte integrante del più generale Piano di Continuità Operativa, in quanto fornisce una robusta garanzia di continuità per quanto attiene i servizi tecnologici e costituisce un solido punto di partenza per implementare efficaci strategie di continuità

12 L esito delle verifiche Business Continuity Punti di miglioramento: una maggiore formalizzazione della programmazione e delle attività/decisioni assunte un estensione del Piano di continuità alle attività da svolgere in condizioni di operativi degradata (ed in particolare alle filiali) che definisca le procedure da seguire p continuare ad erogare alcuni servizi a regime ridotto (*) previsione di un piano di resumption contenente le indicazioni utili al ripristin dell intera operatività del Gruppo, compresi le società ed i processi non ritenuti vitali (*) analisi dei piani di continuità operativa stilati dagli outsourcer e dai gestori del infrastrutture rilevanti (contratti sottoscritti con i fornitori - Enel, Telecom, ecc. - e live di continuità assicurati) (*) aspetti di miglioramento non dettati da vincoli normativi

13 L esito delle verifiche Disaster Recovery A seguito delle verifiche e dei risultati degli accertamenti svolti il giudizio è positivo. Il Piano di Disaster Recovery adottato dal Gruppo è improntato alla duplicazione integrale di dati e sistemi e garantisce l intero ripristino delle componenti IT Da un punto di vista tecnologico sono elementi positivi: l esistenza di due Centri di Elaborazione dei Dati (Siena e Firenze), con architetture hardware e software identiche, dotati di infrastrutture per l accesso alle reti di Gruppo, alle reti interbancarie, ai mercati finanziari e per la funzionalità dei sistemi di pagamento l aggiornamento in tempo reale degli archivi di entrambi i CED attraverso una doppia registrazione delle transazioni le copie di back up giornaliere dei dati su nastri magnetici conservati in caveau protetti l architettura di rete (R.In.G) strutturata su tre centri principali - Siena, Firenze e Pisa (in futuro spostato su Milano) - interconnessi tra loro

14 L esito delle verifiche Disaster Recovery Da un punto di vista di project management sono elementi positivi: la predisposizione della bozza del nuovo DRP; tale documento disciplina, tra l altro, le procedure di aggiornamento del Piano e le sue fasi di test l istituzione del Comitato di Crisi al quale spetta il compito di dichiarare, al sussistere di precisi presupposti, lo stato di emergenza ed attivare i team incaricati di svolgere le attività di recovery previsioni di test con cadenza almeno annuale di simulazione del recovery di un intero CED e, con maggior frequenza, del recovery parziale di singoli ambienti

15 L esito delle verifiche Disaster Recovery Principali aspetti di miglioramento: Tecnologici: regolamentazione degli aspetti di sicurezza relativi tanto all accesso agli ambienti protetti dei CED, quanto alla gestione e trasporto dei nastri logistica delle copie di sicurezza su nastro magnetico (da ricondurre ad una posizione geografica più distante da quella di produzione) Project management: definizione e formazione dei team incaricati di eseguire le procedure di recovery snellimento delle procedure di attivazione del Piano evoluzione delle misure previste per fronteggiare l ipotesi di un attacco virale ( Virus Recovery Plan nel quale dettagliare le attività da svolgere per garantire l operatività della banca durante il periodo nel quale il virus sopravvive)

16 Attività avviate: normative di controllo affiancamento

17 Affiancamento L Area Controlli Interni: presenzia in via sistematica alle iniziative della Funzione Organizzazione e del Consorzio Operativo Gruppo MPS nel disegno e nella realizzazione delle soluzioni di continuità scelte valuta a stato di avanzamento, la conformità delle iniziative intraprese e delle decisioni assunte con le disposizioni del Regolatore

18 Affiancamento Rischi operativi: sono state avviate le attività per per coordinare il progetti Rischi Operativi e Business Continuity al fine di: definire un linguaggio comune (tassonomia) fornire un supporto metodologico per l individuazione dell esposizione al rischio (definizione processi critici) integrare i risultati della BC nel modello di misurazione del rischio

19 Il ruolo della Direzione Audit del Consorzio Operativo di Gruppo

20 Le attività della Direzione Audit del Consorzio Operativo di Gruppo Attività di controllo avviate: attività di affiancamento e validazione nell ambito dei progetti di BC e DR; partecipazione al Comitato di Crisi del Consorzio; collaborazione con l Area Controlli Interni nell intervento svolto sui progetti di BC e DR, per gli aspetti d interesse del Consorzio.

21 Attività di affiancamento e validazione La funzione di Audit del Consorzio Operativo di Gruppo segue l andamento dei progetti di BC e DR, per gli aspetti di competenza del Consorzio; Perimetro di analisi: Business Continuity Management Disaster Recovery Plan Obiettivi dell attività: monitoraggio delle soluzioni prospettate; verifica dello Stato di Avanzamento Lavori dei progetti, con particolare riferimento alla scadenza 30 giugno 2005; verifica delle prove tecniche; validazione della normativa interna. Standard di riferimento: Disposizioni di Vigilanza; Standard di controllo internazionali allineati alla metodologia CobiT (Information System Audit and Control Association, National Institute of Standard and Technology, FFIEC); Manuale dei Controlli del Consorzio Operativo di Gruppo; Manuale di Audit del Consorzio Operativo di Gruppo.

22 Partecipazione al Comitato di Crisi del Consorzio Operativo di Gruppo Il Responsabile della Direzione Audit del Consorzio Operativo di Gruppo partecipa ai lavori del Comitato di Crisi, in qualità di membro permanente. Obiettivi dell attività: nelle sessioni ordinarie condivisione delle attività di prevenzione dei rischi; monitoraggio del grado di preparazione del Consorzio; in caso di crisi tracciatura delle decisioni assunte e delle azioni intraprese per la gestione della crisi, la valutazione delle conseguenze e l attivazione delle eventuali azioni di recupero.

23 Collaborazione con l Area Controlli Interni La Direzione Audit del Consorzio ha collaborato con l Area ControlIi Interni alla visita ispettiva promossa dal Collegio Sindacale della Capogruppo nei mesi di novembre e dicembre dello scorso anno e condotta dall Area Controlli Interni, per gli aspetti d interesse del Consorzio Operativo di Gruppo.

24