Il modello di controllo sull Information Technology

Il modello di controllo sull Information Technology L esperienza Eurizon Financial Group e Banca Fideuram Bruno Ferrari Responsabile Governance e Organizzazione Amministrativo Finanziaria

Indice 1. Esigenze normative 2. Modello emergente ed evoluzione del ruolo 3. Livello logico Assessment 4. Ambito d intervento 5. Area IT e Processing Back Office 6. L information technology in Eurizon 7. Attività effettuate 8. Impatti di carattere organizzativo 8. I plus ottenuti 2

1. Esigenze normative 1.1 Sarbanes Oxley Act SEZIONE 302 Imposizione di un obbligo di attestazione dei bilanci societari a carico di CEO e CFO Il principio di revisione AS2, nonché le interpretazioni operative del PCAOB, indicano le modalità operative e metodologie di riferimento che il Management deve utilizzare: ad es. CoSo Model come Framework di riferimento attività specifiche e standard metodologici sui controlli generali IT (ad es Cobit) specifica modalità per effettuare il test di operatività dei controlli SEZIONE 404 Attestazione del CEO e del CFO relativamente all esistenza e adeguatezza degli Internal Control in merito al bilancio e alle altre informazioni finanziarie pubbliche La società di revisione deve verificare le attestazioni del CEO e CFO, in accordo con gli standard emessi o adottati dal PCAOB (Public Company Accounting Oversight Board) ed emettere una propria relazione Auditing Standard No. 2 An Audit of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements 3

1. Esigenze normative 1.2 Legge 262 decreto sul risparmio LE PRINCIPALI AREE DI RISCHIO PER IL CFO Rapporti Rapporti con con società società estere aventi sede Redazione Redazione dei dei estere aventi sede legale legale in in Stati Stati che che non non documenti documenti contabili contabili societari garantiscono garantiscono la la societari trasparenza trasparenza societaria societaria Codici Codici di di comportamento comportamento Art. 14 Art. 154-bis comma 2 TUF Attestazione da parte del Direttore Generale e del Dirigente preposto alla redazione dei documenti contabili societari e le informazioni e i dati contenuti negli atti e nelle comunicazioni previste dalla legge o diffuse al mercato corrispondono al vero. Art. 14 Art. 154-bis comma 3 TUF Predisposizione di adeguate procedure amministrative e contabili per la predisposizione del bilancio e di ogn altra comunicazione finanziaria da parte del Dirigente preposto alla redazione dei documenti contabili societari. Art. 14 Art. 154-bis comma 5 TUF Attestazione, con apposita relazione, dell adeguatezza e dell effettiva applicazione delle procedure da parte degli organi amministrativi delegati e del Dirigente preposto alla redazione dei documenti contabili societari Attestazione della corrispondenza del bilancio alle risultanze dei libri e delle scritture contabili secondo regolamenti che saranno emanati dalla CONSOB. 4

2. Modello emergente ed evoluzione del ruolo Tratti del modello emergente: Strategici Gestione più consapevole dei legami tra orientamento strategico ed indirizzi operativi Crescente rilevanza della comunicazione finanziaria e dell informativa societaria Organizzativi Necessità di competenze evolute per il governo integrato dei progetti (Basilea II, IAS, SOXA) Consolidamento di principi di eccellenza nei modelli organizzativi di controllo Informativi Convergenza tra logiche di valutazione gestionale e regole di rappresentazione contabile Evoluzione dei sistemi direzionali di sintesi e delle architetture informatiche a supporto Evoluzione del ruolo del Chief Financial Officer: Strategici Definire la struttura di relazioni tra financial reporting e processi organizzativi (driver risultati) Saldare le attività di financial planning con la valutazione delle implicazioni organizzative Organizzativi Presidiare il sistema di controllo sull informativa societaria Gestire unitariamente i processi finalizzati alla produzione dei financial reporting di Gruppo Strutturare e presidiare il sistema di controllo sull informativa societaria Informativi Adozione di metriche consistenti tra i processi valutativi (fair value, hedge accounting, ect.) Armonizzare classificazioni gestionali e rappresentazioni di bilancio (segment reporting) 5

3. Livello logico Assessment DISEGNO DISEGNO SISTEMA SISTEMA CONTROLLO CONTROLLO FORMALIZZAZIONE DEI PROCESSI E DEI RELATIVI CONTROLLI SECONDO CRITERI DI TRACCIABILITÀ, RIPERCORRIBILITÀ, SUPERVISIONE E MONITORAGGIO RISK RISK ASSESSMENT ASSESSMENT VALUTAZIONE DEL SISTEMA DI CONTROLLO E PROCESSO DI CERTIFICAZIONE FINALIZZATO AL FORM 20-F VALUTAZIONE DEI PROCESSI SECONDO LOGICHE DI RISK ASSESSMENT PER IDENTIFICARE I PROFILI DI RISCHIOSITÀ ED I CONTROLLI POSTI A PRESIDIO PROCESSO CICLICO CONTINUO VALUTAZIONE VALUTAZIONE INDIVIDUAZIONE DELLE CARENZE DI CONTROLLO E CONFIGURAZIONE DEI PIANI D AZIONE CORRETTIVI TEST OF CONTROLS TEST OF CONTROLS & & ACTION PLAN ACTION PLAN 6

3. Livello logico Assessment Governo Modifiche allo Statuto, nomina del dirigente preposto (modalità di nomina e revoca del dirigente preposto) Conferimento al Dirigente preposto di adeguati mezzi e poteri Ridisegno del sistema delle deleghe e dei poteri e delle responsabilità a livello Gruppo Disegno organizzativo della struttura dedicata alla gestione nel continuo dell adeguamento normativo Governo Controlli interni Processi Sistema dei Controlli interni Individuazione di un framework di riferimento per la valutazione della efficacia dei controlli sul sistema informativo e contabile un sistema di regole interne per la predisposizione dei documenti contabili Sistema di validazione dei dati contabili Sistema di monitoraggio che coinvolga anche le funzioni aziendali istituzionalmente preposte al controllo Processi Individuazione delle entità societarie del Gruppo rilevanti in termini quantitativi e qualitativi Individuazione dei processi significativi (in termini di rischi e di possibile impatto sulle voci di bilancio) Documentazione dei processi e dei controlli significativi per tutte le aree di intervento identificate Individuazione delle eventuali azioni di rimedio 7

4. Ambito d intervento 4.1. Holding Eurizon Ambito SOX Estensione ambito 8

4. Ambito d intervento 4.2. Programma di lavoro 5/05 8/05 11/05 2/06 5/06 8/06 11/06 2/07 SOCIETA CONTROLLATE Pianificazione Disegno processi e controlli Risk assessment Piani correttivi Piano test Azioni correttive I Test of control Piani correttivi Piano test Azioni correttive II Test of control Controlli Bilancio CAPOGRUPPO Master Plan Action Plan Quadro Test I Quadro Test II Attestation Report Attività progettuali SOCIETA DI REVISIONE Attività di audit Attività istituzionale Attestation Report 9

5. Area IT e Processing Back Office 5.1 Ambito di applicazione Control Objectives for Information and related Technologies (CobiT) Domini PO AI DS M PO AI DS M Processi 34 28 Obiettivi di controllo 318 123 CobiT CobiT for SOA 10

5. Area IT e Processing Back Office 5.2 Attività Ambito L ambito di azione della SOX ai fini IT prevede l' analisi dei quattro domini Organizzazione e Pianificazione Acquisizione/Sviluppo e Manutenzione Erogazione e Supporto Monitoraggio ed Auditing Ogni dominio (4) - detto anche macroprocesso é articolato in processi (28) Per ciascun processo sono elencati Elementi di analisi Scenari di rischio Obiettivi di controllo che mitigano il rischio Fattori e misure di controllo e di sicurezza adottati Ad ogni misura di controllo sono associati il relativo Process owner - responsabile del controllo riferito ai processi di propria competenza Control performer, ovvero il responsabile dell'attivitá di controllo 11

6. Information Technology in Eurizon 6.1 Processi ed attività Presenza all interno del Gruppo Eurizon di una piattaforma unitaria per la gestione dei processi IT sia per l area bancaria sia per l area assicurativa; a tendere la suddetta gestione sarà estesa anche ai processi dell asset management. Area Bancaria Area Commerciale Piattaforme Assicurative 12

6. Information Technology in Eurizon 6.2 Service Organization Presenza all interno del Gruppo Eurizon di una Service Organizations complessa (in quanto sono coinvolte diverse entità del Gruppo) ed eterogenea (in quanto i servizi forniti sono diversa natura). Nello specifico, relativamente alla macchina operativa : STATO ATTUALE ISSUE NOTE Universo Servizi da maggio 2006 eroga servizi di: Information Technoloogy a Eurizon Vita e Banca Fideuram; Processing Back Office a Banca Fideuram. Prevista inclusione anche dei processi di Back office e IT di Eurizon Capital. Necessità di un coordinamento unitario: all interno di Universo Servizi; nei confronti delle società clienti Banca Fideuram e Eurizon Vita; nei confronti delle società di revisione delle società clienti ; nei confronti di Eurizon e Sanpaolo IMI. Lo scoping SOA di Capogruppo SPIMI, basato su criteri quantitativi delle poste di bilancio consolidato, non include la società, nonostante l importanza delle attività gestite. 13

7. Impatti di carattere organizzativo 7.1 Soluzione organizzativa adottata Pianificazione e Consulenza Fiscale Amministrazione e Bilancio Risk Management Governance e Org.ne Amm.vo Finanziaria Modello di Gov.no Amm.vo - Progetti Modello di Gov.no delle tecnologie Governance e Org.ne Amm.vo Finanziaria Governance e Org.ne Amm.vo Finanziaria Governance Amm.vo Finanziaria 14

7. Impatti di carattere organizzativo 7.2 Approccio organizzativo area IT Macroattività Attività Presidio a cura della Funzione Governance di EFG sul modello IT Manutenzione e Risk Assessment Coordinamento unitario dei processi di carattere IT Gestione processi: limitata in quanto l attività di manutenzione del corpus documentale sarà effettuato da Organizzazione e Rischi Operativi di Universo Servizi. Risk Assessment: valutazione dei rischi. Test Of Controls Test Of Design: valuation effettuata da Funzione Governance di EFG. Test Of Effectiveness: attività di test di efficacia nelle singole Subholding clienti di Universo Servizi. 15

7. Impatti di carattere organizzativo 7.2 Approccio organizzativo area IT Macroattività Attività Presidio a cura della Funzione Governance di EFG Coordinamento unitario: Razionalizzazione gestione rapporti con Outsourcers per Universo Servizi; nei confronti delle società clienti Banca Fideuram e Eurizon Vita; nei confronti delle società di revisione delle società clienti ; nei confronti di EFG e Sanpaolo IMI. 16

8. Attività effettuate 8.1. Assessment : Mappatura processo Codice attività di controllo 17

8. Attività effettuate 8.2. Assessment : Analisi rischi Descrizione del controllo rilevato 18

8. Attività effettuate 8.3. Assessment : Identificazione azioni correttive 19

8. Attività effettuate 8.4. Test of Controls : ruoli ed attività Piano di test (test( planning) 1 2 3 4 Completezza attività di controllo Walkthrough Test of Design Test of Effectiveness Verifica che le attività di controllo individuate coprano in modo completo gli obiettivi di controllo. Verifica che la documentazione dell attività di controllo, basata sulle risultanze delle interviste validate dai singoli referenti, sia coerente con le reali attività operative. Comparazione dei rischi sottesi all attività di controllo con gli elementi dell attività di controllo. Verifica sulla base di un campionamento (definito secondo le linee guida di PwC) dell effettiva applicazione delle attività di controllo. Owner Owner attività attività GDL GDL/ Control Owner GDL GDL/ Control Owner 20

8. Attività effettuate 8.5. Test of Controls : classificazione per difficoltà Sono stati identificati i seguenti li velli di diffcoltà nell esecuzione dei ToC. - Livello 1 Test elementare che richiede solamente la presa visione della metodologia e la verifica della sua completezza. + Livello 2 Livello 3 Livello 4 Livello 5 Test elementare che richiede la verifica della metodologia e di evidenze documentali di facile campionamento e reperibilità. Test che richiede la verifica della metodologia e di evidenze documentali che non sono di immediato campionamento o reperibilità, o comporta estrazioni di dati dai sistemi. Test strutturato con conseguente dilatamento dei tempi di esecuzione del walkthrough; il walkthrough potrebbe richiedere il coinvolgimento di diversi attori e/o il test potrebbe richiedere la riperformance del controllo Test estremamente strutturato che, rispetto al caso 4, comporta una attività complessa per l effettuazione di walkthrough e valutazione del design 21

8. Attività effettuate 8.6. Test of Controls : pianificazione su Drivers complessità Sulla base dei livelli di difficoltà e dall analisi delle linee guida normative e di Sanpaolo, è stata costruita la seguente matrice che utilizza come driver la periodicità e la complessità del controllo. L output della matrice è l assegnazione di un tempo STD per ciascuna tipologia di controllo basata sui driver precedenti sulla base del presupposto che tutte le 137 attività di controllo da sottoporre a ToC sono manuali. 22

8. Attività effettuate 8.7. Test of Controls : identificazione azioni correttive Successivamente al Test Of Design e test Of Effectiveness, in caso di non adeguatezza dell attività di controllo, Vengono puntualmente identificate azioni correttive. 23

8. Attività effettuate 8.8. Attività di valutazione- impianto documentale Documento Documento di analisi del sistema dei controlli interni sul financial reporting Exposure report (report excel) Lettera di Attestazione Finalità Sintetizzare in un documento descrittivo le attività svolte e le evidenze emerse in fase di valutazione Riportare i principali attributi delle anomalie rilevate per consentirne una successiva aggregazione informativa a livello di Gruppo Acquisire da parte del Dirigente preposto una dichiarazione di responsabilità dal Management delle società Caratteristiche Standard definito da Intesasanpaolo, integrato e contestualizzato da Eurizon Financial Group per le società controllate Compilazione a livello societario con coordinamento Eurizon Financial Group e supervisione Intesasanpaolo Predisposizione a livello societario; doppio invio da società controllata ad Intesa- Sanpaolo (originale) e a Eurizon Financial group Stato deliverable Completato Completato In corso 24

9. I plus ottenuti 9.1. Gestione integrata processi, controlli e rischi Rischio Sarbanes Oxley D.Lgs.231/01 Business Continuity ( ) Controllo Natura Modalità Struttura Aziendale Responsabilità Competenze Processo Prodotto / Servizio Catena del valore Financial reporting Procedura Attività e Compiti Infrastrutture 25

9. I plus ottenuti 9.2. Razionalizzazione processi IT dell outsourcers Omogeneità rispetto a modello CobiT Valutazione non omogenea 10 Valutazione non omogenea Valutazione Omogenea 391 Valutazione omogenea non confrontabili Non possibile giudizio 8 Totale 409 su 409 26

9. I plus ottenuti 9.2. Razionalizzazione processi IT dell outsourcers Omogeneità rispetto a modello CobiT Esempio di attività non omogenee 87-4 (Eurizon Vita) Descrizione attività di controllo: Impostazione "Sicura" dei parametri che regolamentano il controllo degli accessi al database E stato fornito punteggio 4 anche se non sono state citate procedure / check evidence 54-2 (Eurizon Vita) Descrizione attività di controllo: Definizione formale dei livelli di servizio e le modalità di reporting che consentono il monitoraggio dei servizi erogati da Universo Servizi In Eurizon Vita la non applicazione di SLA nel rapporto tra AIP e U.S. non implica un punteggio negativo. In BF la stessa situazione fra BF e SGR ha comportato un punteggio negativo e conseguente AP. 27

9. I plus ottenuti 9.2. Razionalizzazione processi IT dell outsourcers Omogeneità rispetto a modello CobiT Esempio di attività non omogenee 87-4 (Eurizon Vita) Descrizione attività di controllo: Impostazione "Sicura" dei parametri che regolamentano il controllo degli accessi al database E stato fornito punteggio 4 anche se non sono state citate procedure / check evidence 54-2 (Eurizon Vita) Descrizione attività di controllo: Definizione formale dei livelli di servizio e le modalità di reporting che consentono il monitoraggio dei servizi erogati da Universo Servizi In Eurizon Vita la non applicazione di SLA nel rapporto tra AIP e U.S. non implica un punteggio negativo. In BF la stessa situazione fra BF e SGR ha comportato un punteggio negativo e conseguente AP. 28

9. I plus ottenuti 9.2. Razionalizzazione processi IT dell outsourcers Obiettivi di controllo (BF + AIP = Modello CobiT) 123 200 BF Obiettivi di controllo chiave (BF + AIP = Modello CobiT) * 49 193 Riferite a 409 Aggregazioni Attività * Un obiettivo di controllo comprende più aggregazioni 209 EV 29

9. I plus ottenuti 9.2. Razionalizzazione processi IT dell outsourcers E stata effettuata una attività di aggregazione delle attività di controllo sulla base dei seguenti parametri: Piattaforma tecnologica Tipologia di attività Process Owner Sono state individuate 193 aggregazioni per le 409 attività. Le aggregazioni più significative sono: -N 1 aggregazione che raggruppa 11 attività (sicurezza logica); -N 2 aggregazioni (Config. Sistemi e gestione problemi incidenti) che raggruppano 10 attività ciascuna; -N 7 aggregazioni che raggruppano 6 attività ciascuna. Sono state comunque rilevate: -N 42 aggregazioni che raggruppano 2 attività ciascuna; -N 99 attività non raggruppabili. 30

9. I plus ottenuti 9.3. Classificazione azioni correttive Tipologia di anomalia Attività di controllo Carenza riscontrata Azione correttiva individuata Carenza del disegno Gestione e revisione degli user account La procedura non viene descritta nei manuali operativi aziendali. Nell'unità organizzativa non sono stati rilevati manuali o procedure organizzative che descrivano i controlli che vengono svolti Redigere un'apposita procedura che descriva, in maniera dettagliata, lo svolgimento della quotidiana riconciliazione tra i profili censiti dalla Direzione del Personale di Banca Fideuram e quelli presenti nello strumento informatico IUP (Interfaccia Unica di Profilazione). Controllo eseguito parzialmente Configurazione degli applicativi e dei data storage La procedura di esecuzione delle attività è correttamente descritta e condivisa limitatamente per l'ambiente Mainframe.Sono adottati diversi approcci per ridurre eventuali sprechi di risorse sui sistemi di data storage, tuttavia non tutti gli ambienti sono coperti da tale metodologia.il Disegno del controllo non è Integrare il Narrative con la descrizione della metodologia specifica per gli ambienti Dipartimenatli e Windows. implementato efficacemente Efficacia operativa del controllo Controllo delle performance e capacità non ottimali Non tutti gli alert generati da Sitescope sono stati segnalati tramite email. L'operatività del controllo non è efficacemente implementata. Prevedere che tutti gli alert generati da Sitescope siano segnalati tramite e-mail 31

9. I plus ottenuti 9.5. Valuation : classificazione anomalie per gravità La gravità è stabilita in relazione alla tipologia delle anomalie ed al quadro in cui le medesime si manifestano: ALTA Tipologia di anomalie Quadro di riferimento MEDIA BASSA Processo / controllo assente Controllo non eseguito, eseguito in modo inefficace; Controllo eseguito con periodicità inferiore a quella definita; Mancata segregazione dei compiti; Assenza di supervisione; Processo non formalizzato; Controllo eseguito parzialmente Controllo - seppur esistente - non documentato; Processo / controllo non aderente a quanto riportato nell impianto documentale; Mancanza del formalismo richiesto (es.: check evidence non adeguata). Descrizione del processo / controllo da migliorare al fine di aumentare la comprensione delle modalità di svolgimento del controllo (chi, come, quando, ); Formazione di voci contabili price sensitive per gli analisti: Es.: derivati, rapporti infragruppo, valutazioni su crediti (analitiche e forfetarie) e su titoli, operazioni di consolidamento, ecc. Rilevanza in termini di volumi (importo dei conti / volume delle transazioni a rischio) Manifestazione temporale immediata del potenziale errore sul bilancio es.: calcolo accantonamenti / rettifiche Inefficace funzionamento di una filiera di controlli (gerarchici, di linea / secondo livello) Importo dei conti / volume delle transazioni a rischio non rilevante Manifestazione temporale differita es.: deterioramento qualità del credito a seguito di controlli di istruttoria inefficaci Esistenza di controlli complementari che riducono la probabilità di errore sul bilancio 32

9. I plus ottenuti 9.5. Valuation : sensibilizzazione Management Attività Contenuto Attori Valutazione dell adeguatezza ed effettività del sistema dei controlli interni Vengono inseriti, in particolare, i principali elementi a supporto della dichiarazione di adeguatezza: Executive Summary 1. Attività effettuate (suddivise tra Assessment, Piani di azione correttive e Test Of Controls) 2. Impatti organizzativi derivanti dai Requirements 3. Analisi del sistema dei controlli interni sul Financial reporting: 1. Quadro di sintesi sistema dei controlli interni 2. Analisi indicatori di governance (processi, controlli, piani d azione) 3. Analisi anomalie rilevate 4. Principali benefici ottenuti 5. Suggerimenti e proposte Impostazione Eurizon Financial Group, integrazione di dettaglio a cura delle Subholdings 33

9. I plus ottenuti 9.5. Valuation : interazione tra aree di controllo interno Attività Contenuto Caratteristiche Sintetica descrizion edelle anomalie ad alta gravità ed a media gravità Indicazione degli elementi qualificanti le anomalie: Caratteristiche (processo, controllo, UO, frequenza, descrizione del funzionamento) Descrizione dell anomalia Considerazioni raccolte da altre fonti aziendali (es. Audit) Esistenza di Company level Controls o altri elementi mitigativi del rischio Descrizione eventuali controlli compensativi Descrizione di altre eventuali informazioni Informazioni di impatto ( probabilità, nome conto di bilancio, numero conto, esposizione a rischio) 34

9. I plus ottenuti 9.5. Valuation : interazione tra aree di controllo interno ANOMALIA NR. 1 Dominio: Delivery and Support Processo: Garantire la sicurezza dei sistemi Codice controllo: S.IT.DS.05.07 C02 Unità organizzativa: Sicurezza IT Frequenza: A richiesta Descrizione del funzionamento Approvazione richiesta di creazione utenza di dominio Rischio collegato Non è assicurata la sicurezza dei sistemi. Anomalia riscontrata durante la fase di ToC Mancanza di un processo di certificazione periodica delle utenze per la piattaforma assicurativa. Considerazioni raccolte sui controlli compensativi Pur permanendo la mancanza di una certificazione periodica da parte dei responsabili delle utenze, si sono riscontrati affinamenti del processo tra cui modifiche apportate all'applicazione RHD, derivate dall'action plan emerso nel precedente TOC di uguale argomento e controlli compensativi. In particolare: Action Plans La procedura è stata puntualmente riportata nei manuali di sicurezza informatica aziendale di gruppo, recependo le indicazioni della procedura 0020-AIP ; Sono stati aggiornati i Narratives relativamente al processo di censimento e tracciatura di una nuova utenza sul dominio EV (ora avviene tramite RHD tra ufficio del personale ed Infrastrutture Tecnologiche senza l ausilio delle e-mail e Help Desk) Viene inoltre effettuata, per la piattaforma Ex Fideuram Vita (quindi certificazione parziale) una certificazione semestrale manuale dei profili abilitativi. 35

9. I plus ottenuti 9.5. Valuation : interazione tra aree di controllo interno Controlli compensativi Come evidenziato nel Narrative, Tutto l iter procedurale che va dall inserimento della richiesta fino alla sua creazione è tracciato nella procedura RHD, che ad ogni step, genera automaticamente segnalazioni e-mail agli interessati sulle modifiche apportate. Inoltre sono state apportate modifiche all applicazione RHD, quali passaggio in produzione della procedura variazione stato risorsa, che permette di tracciare l intero processo relativo all abilitazione delle utenze (invio e presa in carico del censimento delle utenze, predisposizione postazione lavorativa e quant altro richiesto dall ufficio del personale, ecc). Occorre evidenziare inoltre, che i test sulle attività di controllo successive, Richiesta di cessazione dell utenza di dominio (80-3) e Disabilitazione automatica del personale interinale alla scadenza del rapporto di lavoro (80-4), hanno avuto esito positivo. Company Level Controls Relativamente all'esistenze di Policies, viene predisposto, annualmente, un Piano Informatico nel quale le Strutture Aziendali inseriscono le proprie esigenze di cambiamento ed innovazione informatica. Il necessario livello di integrazione tra le singole fasi di sviluppo applicativo è assicurato dall'adozione di una consolidata metodologia denominata "ADT". La metodologia indica, oltre alle attività da porre in essere, anche gli attori coinvolti ed i relativi ruoli, garantendone il controllo sulla realizzazione delle attività. Considerazioni raccolte dall Internal Audit La verifica di Audit n. 19/06 sulla sicurezza informatica ha indicato come carenza: Non si è riscontrata alcuna attività di certificazione delle abilitazioni assegnate ai sistemi Ex Sanpaolo Vita. La soluzione consigliata è d impiantare un processo di certificazione delle abilitazioni assegnate agli utenti del sistema assicurativo. Il Management ha recepito tali indicazioni e ha indicato che L'impianto di un processo automatico di certificazione (già presente in BF) richiede l'avvio di un processo ad hoc per l'ampliamento della piattaforma assicurativa. La realizzazione è comunque subordinata al nuovo disegno organizzativo, all'attribuzione del budget ed al potenziamento dell'unità. Probabilità di accadimento: Ragionevole 36