COBIT & COSO IT Risk Assessment

Похожие документы
Approccio alla gestione del rischio

LINEA GUIDA ENTERPRISE RISK MANAGEMENT

La legge 262/05 e le sue implicazioni

Università di Macerata Facoltà di Economia

Il ciclo produttivo della Compagnia

Aspetti evolutivi dei sistemi di controllo: l'esperienza di BancoPosta e Poste Italiane

Percorso professionalizzante Internal audit in banca

La Compliance e la Governance: un framework per la gestione integrata

Architettura del sistema di controllo interno: interazioni tra Internal Audit e Chief Risk Officer

Dalle attività ispettive alla creazione di valore: l internal audit. Dott. Gianfranco Ruggiero Resp. Internal Audit MPS Capital Services

Il ruolo dell Internal Audit nell integrazione dei Sistemi di Controllo

LINEE GUIDA PER IL SISTEMA DI CONTROLLO INTERNO E RISCHI BREMBO

Avv. Clara Cairoli - COTRAL S.p.A. - Roma

SERVICE MANAGEMENT E ITIL

GENERALI GROUP Ufficio del Dirigente Preposto. L integrazione delle best practice per una best practice de facto. Padova, 13 Novembre 2008

L evoluzione del modello dei controlli interni sull Information Tecnology

Sistema di controllo interno

L esperienza Mondo Convenienza

Assicurazioni Generali S.p.A. La presentazione è stata realizzata da Assicurazioni Generali ed è riservata esclusivamente ai soci CeTIF.

Diana Capone ABI - 30 ottobre 2008

CYBERSECURITY AND IT RISK MANAGEMENT FOR FINANCIAL INSTITUTIONS INFRASTRUCTURES - CPEXPO Partner

3 LINEE DI INDIRIZZO PER IL SISTEMA DI CONTROLLO INTERNO E DI GESTIONE DEI RISCHI

PIRELLI ENTERPRISE RISK MANAGEMENT turn risk into a choice

Compliance in Banks 2011

ENTERPRISE RISK MANAGEMENT: LA VIA DEL FUTURO CONSAPEVOLE

COBIT 5 for Information Security

21 Settembre Torino RiskiaTo. Le nuove sfide dell ERM: la gestione integrata dei rischi aziendali a cura di Luisella RAVERA e Fabio GHI

L attività Sarbanes Oxley Act : punti di contatto con la funzione di compliance nelle assicurazioni

La Governance come strumento di valorizzazione dell'it verso il business

MEGA Process Oriented & Risk Driven Solution

IL SISTEMA DI RISK MANAGEMENT INTRODOTTO IN ISTAT: IL PERCORSO

La Quality Assurance dell Internal Audit

Processo di gestione del rischio d informazione finanziaria

Third Party Assurance Reporting

I REQUISITI INNOVATIVI DELLA ISO Alessandra Peverini Perugia 23 ottobre 2015

Le procedure di revisione: test su controlli e procedure di validità. 19/09/2017 Titolo documento 1

REGOLAMENTO DEL COMITATO CONTROLLO E RISCHI E OPERAZIONI CON PARTI CORRELATE DI SNAM S.P.A.

Il governo del Rischio informatico alla luce delle Nuove Disposizioni di Vigilanza Prudenziale

LE IMPRESE DI MINORI DIMENSIONI

IBM - IT Service Management 1

Транскрипт:

COBIT & COSO IT Risk Assessment Roberto Apollonio roberto.apollonio@h3g.it Sessione di Studio AIEA Roma, 8 Ottobre 2009

Contenuti Corporate Governance Risk Management COSO and COBIT 3 Italia Case Study 3 Italia Page 2

Corporate Governance Con l'espressione Corporate Governance si intende l'insieme di regole e strutture organizzative che presiedono a un corretto ed efficiente governo societario Il termine Corporate Governance si riferisce a diversi ambiti della vita aziendale descrivendo: Å i processi con cui le società sono dirette e controllate; Å le attività con cui si incoraggiano le aziende a seguire dei codici (linee guida di corporate governance) Å le tecniche di investimento basate sul possesso attivo (fondi di corporate governance) Å un campo dell'economia che studia i problemi che derivano dalla Più in generale, la Corporate Governance abbraccia una serie di regole, separazione della proprietà dal controllo relazioni, processi e sistemi aziendali, tramite le quali l'autorità fiduciaria è esercitata e controllata. Tra le regole rientrano le leggi del paese e le regole societarie interne. Le relazioni includono quelle tra tutte le parti coinvolte nella società, come i proprietari, i manager, gli amministratori (qualora esista un Consiglio di amministrazione), le autorità di regolazione, nonché i dipendenti e la società in senso ampio. I processi e sistemi hanno a che fare con i meccanismi di delega dell'autorità, la misurazione delle performance, sicurezza, reporting e contabilità. 3 Italia Page 3

Corporate Governance Il Sistema di Controllo Interno, perno su cui la Corporate Governance ruota, costituisce l'elemento catalizzatore di soggetti e funzioni che, ognuna per la propria parte, contribuiscono alla conduzione dell'impresa in modo sano, corretto e coerente con gli obiettivi di risk management. Il Sistema di Controllo Interno è definito dal Codice Preda come l insieme dei processi diretti a monitorare l efficienza delle operazioni aziendali, l affidabilità dell informazione finanziaria, il rispetto di leggi e regolamenti, la salvaguardia dei beni aziendali; in altri termini tale sistema è costituito dalle attività poste in essere al fine di assicurare il rispetto sia dei corretti principi di gestione e di amministrazione dell impresa sia dell adeguatezza degli assetti e delle procedure organizzative aziendali. I destinatari di tali controlli sono individuabili sia negli organi volitivi dell azienda, sia nei portatori di capitale di rischio sia, infine, nel più ampio universo costituito dagli stakeholders. Gli eventi che negli ultimi anni hanno intaccato la credibilità dei mercati finanziari accrescono sempre più la necessità di un maggiore e incisivo focus sul Sistema di Controllo Interno. Diventa 3 Italia così mandatorio per il CEO di un azienda di medie/grandi dimensioni, Page 4 pubblica o privata, quotata o meno in Borsa, richiedere la conduzione di

Contenuti Corporate Governance Risk Management COSO and COBIT 3 Italia Case Study 3 Italia Page 5

Risk Management Il Sistema di Controllo Interno dovrà essere verificato e aggiornamento nel tempo per poter assicurare sempre un aderenza ed un integrazione totale con il sistema azienda. Nell ambito dell attività d impresa, al fine di assicurare condizioni di sana e corretta gestione, in coerenza con le strategie e gli obiettivi prefissati, ogni società deve sostenere un approccio preventivo ai rischi e ad orientare le scelte e le attività del management in un ottica di riduzione della probabilità di accadimento degli eventi negativi e del loro impatto. A tal fine, devono essere adottate strategie di gestione dei rischi in funzione della loro natura e tipologia quali, principalmente, quelli di natura finanziaria, industriale, di regulatory/compliance, strategici ed operativi, tecnici. Le modalità con cui il management identifica, valuta, gestisce e monitora gli specifici rischi connaturati alla gestione dei processi aziendali sono solitamente disciplinate da diversi strumenti normativi, procedurali, organizzativi, contenuti nel sistema normativo aziendale che, essendo permeati dalla cultura del rischio, ne presidiano il loro contenimento. Lo sviluppo di programmi di risk assessment concorre a rafforzare ulteriormente 3 Italia Page 6 la sensibilità del management sulla gestione dei rischi e contribuisce al

Risk Management Risk Assessment e Risk Management sono dei processi di valutazione e gestione attraverso i quali vengono identificati i rischi valutando le preferenze, stimando le conseguenze che eventi indesiderabili potrebbero avere, prevedendo la possibilità che questi eventi accadano e soppesando il valore di ogni diverso modo di agire. La valutazione dei rischi è un processo durante il quale strategie diverse sono pesate e vengono prese decisioni sui rischi ritenuti accettabili. Queste strategie hanno differenti effetti sui rischi, inclusi la riduzione, la rimozione e la ridefinizione degli stessi. Alla fine, viene determinato un livello accettabile di rischio e di conseguenza viene adottata una strategia. In questo processo sono coinvolti: il calcolo costi-benefici, la stima della tolleranza dei rischi e la quantificazione delle preferenze. Il framework di Enterprise Risk Management, pubblicato dal Committee of Sponsoring Organization of the Treadway Commission (CoSO) nel Settembre 2004, costituisce il modello di riferimento a livello internazionale per la corretta gestione di tutti i rischi cui l azienda è esposta. 3 Italia Page 7

Contenuti Corporate Governance Risk Management COSO and COBIT 3 Italia Case Study 3 Italia Page 8

COSO Il CoSO report definisce il processo risk management assegnando allo stesso un ruolo di primo piano a supporto del top management nella definizione della strategia aziendale. L Enterprise risk management si compone di otto componenti correlati: 1. Internal Environment 2. Objective Setting 3. Event Identification 4. Risk Assessment 5. Risk Response 6. Control Activities 7. Information and Communication 8. Monitoring 3 Italia Page 9

COBIT Il Control Objectives for Information and related Technology (COBIT) è un modello (framework) per la gestione della Information and Communication Technology (ICT) creato nel 1992 dall'associazione americana degli auditor dei sistemi informativi (Information Systems Audit and Control Association - ISACA), e dal IT Governance Institute (ITGI). COBIT fornisce ai manager, agli auditor e agli utenti dei sistemi IT una griglia di riferimento costituita da: una struttura dei processi della funzione IT, rispetto alla quale si è venuto formando il consenso degli esperti del settore una serie di strumenti teorici e pratici collegati ai processi con l'obiettivo di valutare se è in atto un efficace governo della funzione IT (IT governance) o di fornire una guida per instaurarlo 3 Italia Page 10

Contenuti Corporate Governance Risk Management COSO and COBIT 3 Italia Case Study 3 Italia Page 11

3 Italia Case Study: Risk Assessment Su richiesta del Gruppo HWL, nel 2007 viene avviato un progetto di Risk Assessment, da ripetere due volte all anno, strutturato secondo i seguenti steps: Coinvolgimento del Top Management locale Adozione del COSO Framework Identificazione processi aziendali core/significativi Conduzione dell assessment a livello Entity (Top Management) e di Processo (coinvolgimento delle linee aziendali) Analisi dei rischi al fine di identificare le soluzioni per la loro rimozione o riduzione del loro impatto Condivisione dei risultati sia con il Top Management locale sia con quello di Gruppo Avvio piano di Remediation Actions e monitoraggio mensile 3 Italia Page 12

3 Italia Case Study: Core Processes Principali Processi individuati/classificati come significativi per il business: Marketing Sviluppo Prodotti Gestione Vendite Attività Post Vendita (Assistenza Tecnica, CRM) Acquisti Ciclo Attivo/Passivo Fatturazione Gestione/Controllo delle Revenue Billing Gestione Credito Clienti Frodi Commissioning Legal HR Information Technolgy & Network 3 Italia Page 13

3 Italia Case Study: COSO & COBIT Sviluppo di una checklist per un supporto concreto nella conduzione dell assessment sia nell ambito IT sia per il comparto Network (Telefonia, DVB- H). Processi Il COBIT quale COBIT strumento / COSO Internal per la conduzione Control Integrated di un assessment Framework in ambito IT e Network 3 Italia Page 14

3 Italia Case Study: COSO & COBIT Sviluppo di una checklist per un supporto concreto nella conduzione dell assessment sia nell ambito IT sia per il comparto Network (Telefonia, DVB- H): Overall Picture 3 Italia Page 15

3 Italia Case Study: COSO & COBIT Plan and Organize example 3 Italia Page 16

3 Italia Case Study: COSO & COBIT Acquire and Implement example 3 Italia Page 17

3 Italia Case Study: COSO & COBIT Delivery and Support example 3 Italia Page 18

3 Italia Case Study: COSO & COBIT Monitor and Evaluate example 3 Italia Page 19

3 Italia Case Study: COSO & COBIT Dinamiche dei Processi 3 Italia Page 20

3 Italia Case Study: COSO & COBIT Key Actions/Projects impacting the Control Environment 3 Italia Page 21

grazie

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back