Codice di autodisciplina e IT Governance



Похожие документы
NOTA AIFIRM Associazione Italiana Financial Industry Risk Managers 23 luglio 2013

MANDATO INTERNAL AUDIT

ISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito

1- Corso di IT Strategy

Politica per la Sicurezza

Gestire il rischio di processo: una possibile leva di rilancio del modello di business

Vigilanza bancaria e finanziaria

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

MODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO.

Associazione Italiana Information Systems Auditors

Università di Macerata Facoltà di Economia

MANUALE DELLA QUALITÀ Pag. 1 di 6

MANDATO DI AUDIT DI GRUPPO

5.1.1 Politica per la sicurezza delle informazioni

Città di Montalto Uffugo (Provincia di Cosenza) SISTEMA DI MISURAZIONE E VALUTAZIONE DELLA PERFORMANCE

REGOLAMENTO PER LA GESTIONE DEL PATRIMONIO DELLA FONDAZIONE BANCA DEL MONTE DI ROVIGO

CODICE ETICO 1. PREMESSA

EA 03 Prospetto economico degli oneri complessivi 1

UNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso

Modello dei controlli di secondo e terzo livello

Servizi di revisione contabile e verifica delle informazioni finanziarie nel processo di listing e post listing

Nuove funzioni e responsabilità del Risk Management. Presentazione alla Conferenza Il governo dei rischi in banca: nuove tendenze e sfide

SISTEMA DI CONTROLLO INTERNO per la gestione del rischio amministrativo-contabile

II.11 LA BANCA D ITALIA

Avvertenza: il presente Regolamento è in attesa di pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.

IL SISTEMA DI CONTROLLO INTERNO

COMUNE DI PERUGIA AREA DEL PERSONALE DEL COMPARTO DELLE POSIZIONI ORGANIZZATIVE E DELLE ALTE PROFESSIONALITA

I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS AV2/07/11 ARTEMIDE.

La norma ISO 9001:08 ha apportato modifiche alla normativa precedente in

SCHEMA DI REGOLAMENTO DI ATTUAZIONE DELL ARTICOLO 23 DELLA LEGGE N

Policy di gestione delle operazioni con soggetti collegati. Allegato 1 Sistema dei limiti alle attività di rischio verso soggetti collegati

SISTEMI DI MISURAZIONE DELLA PERFORMANCE

Metodologie per l identificazione e la qualificazione del rischio nell attività del Collegio Sindacale

Banche e Sicurezza 2015

DELIBERAZIONE N. 30/7 DEL

COMUNE DI RAVENNA GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI)

I Sistemi di Gestione Integrata Qualità, Ambiente e Sicurezza alla luce delle novità delle nuove edizioni delle norme ISO 9001 e 14001

Manuale di Gestione Integrata POLITICA AZIENDALE. 4.2 Politica Aziendale 2. Verifica RSGI Approvazione Direzione Emissione RSGI

Organizzazione e pianificazione delle attività di marketing

PRYSMIAN S.P.A. COMITATO CONTROLLO E RISCHI. Regolamento. Regolamento del Comitato Controllo e Rischi

COMUNE DI MORNICO AL SERIO. (Provincia di Bergamo) PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA (art. 10 del D.Lgs. n.

Linee di indirizzo per il Sistema di Controllo Interno e di Gestione dei Rischi

Esternalizzazione della Funzione Compliance

Associazione Italiana Corporate & Investment Banking. Presentazione Ricerca. Il risk management nelle imprese italiane

Diventa fondamentale che si verifichi una vera e propria rivoluzione copernicana, al fine di porre al centro il cliente e la sua piena soddisfazione.

MODELLO TEORICO DEI REQUISITI DI PROFESSIONALITA DEGLI AMMINISTRATORI

COMUNE DI CASTELLAR (Provincia di Cuneo) PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA TRIENNIO 2014/2016.

AZIENDA SPECIALE CONSORTILE PER I SERVIZI ALLA PERSONA PROGRAMMA PER LA TRASPARENZA E L INTEGRITA

Direzione Centrale Audit e Sicurezza IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE

Il ruolo dell Internal Auditing

PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa

MONITORAGGIO SULL AVVIO DEL CICLO DI GESTIONE DELLA PERFORMANCE 2013 DELL ISTITUTO NAZIONALE DELLA PREVIDENZA SOCIALE

CAPITOLO 20 AGGIORNAMENTO DEL CODICE DI STOCCAGGIO

COMUNE DI VENTOTENE PROVINCIA DI LATINA REGOLAMENTO SUL SISTEMA DEI CONTROLLI INTERNI

LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0

Azienda Pubblica di Servizi alla Persona Opere Sociali di N.S. di Misericordia Savona

CERTIFICAZIONE ISO 14001

SISTEMA DI GESTIONE INTEGRATO. Audit

BOZZA. PATTI PARASOCIALI(rev.24/10) Tra. Il Comune di.., con sede in.., in persona di, a questo atto

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ITSMS (IT SERVICE MANAGEMENT SYSTEMS) AUDITOR/RESPONSABILI GRUPPO DI AUDIT

Comune di San Martino Buon Albergo

Piano di Sviluppo Competenze

Strategia di classificazione della clientela relativamente ai servizi d investimento offerti dalla Banca Nazionale del Lavoro SpA

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni

REGOLAMENTO PER LA GESTIONE DEL PATRIMONIO

ALLEGATO D. Roma lì, / / Equitalia S.p.A. il Titolare

MANDATO DELLA FUNZIONE AUDIT. (Approvato dal Consiglio di Amministrazione di Enel Green Power il 12 marzo 2015)

ISO 9001:2015 e ISO 14001:2015

REGOLAMENTO INTERNO DEL CONTROLLO DI GESTIONE

Obiettivi generali del revisore

Capitolato per la selezione di una cooperativa sociale di tipo b per la realizzazione di attività relative all ambito disabilità e protezione civile

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Il Modello 231 e l integrazione con gli altri sistemi di gestione aziendali

Corso di diritto commerciale avanzato a/a Fabio Bonomo Lezione del 9 ottobre 2015

PROGRAMMA TRIENNALE PER LA TRASPARENZA E INTEGRITA ANNO

SISTEMA DEI CONTROLLI INTERNI

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza

PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA TRIENNIO

IL SISTEMA DI MISURAZIONE E VALUTAZIONE DELLA PERFORMANCE

NUMERICA RISK STP FUNZIONI FONDAMENTALI SII

Norme per l organizzazione - ISO serie 9000

Gli 8 principi della Qualità

ISO 14001:2015 Le nuove prospettive dei Sistemi di Gestione ambientali. Roma 22/10/15 Bollate 05/11/15

REGOLAMENTO INTERNO PER LA GESTIONE E LA COMUNICAZIONE ALL ESTERNO DI INFORMAZIONI RISERVATE E PRIVILEGIATE

AUDIT. 2. Processo di valutazione

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

COMUNE DI ROCCAVIONE Provincia di Cuneo

Il modello veneto di Bilancio Sociale Avis

I NUOVI MODELLI ORGANIZZATIVI E TECNOLOGICI A SUPPORTO DELL EFFICIENZA AZIENDALE

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

Introduzione. Introduzione. 1. I contenuti del Codice di Autodisciplina promosso da Borsa Italiana 2. Le modifiche approvate nel marzo 2010

4.5 CONTROLLO DEI DOCUMENTI E DEI DATI

INTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA GIUSEPPE CERASOLI, CIA RESPONSABILE COMITATO PA

COMUNE DI CASTAGNETO CARDUCCI Provincia di Livorno REGOLAMENTO SUL SISTEMA DEI CONTROLLI INTERNI

SVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007

MIFID Markets in Financial Instruments Directive

Транскрипт:

Codice di autodisciplina e IT Governance Settembre 2013

Indice Premessa ed obiettivi del documento 3 Breve presentazione del Codice di autodisciplina 4 Il modello di riferimento di IT Governance: perché COBIT 5 7 COBIT 5: A Business Framework for the Governance and Management of Enterprise IT 9 Definizione dell approccio di audit 13

Premessa ed obiettivi del documento Il presente documento ha l intenzione di fornire un interpretazione del Codice di autodisciplina (di seguito Codice ), emesso nel dicembre 2011, relativamente alla governance in ambito IT. Il Codice all Art. 7 fornisce indicazioni su tematiche di Sistema di controllo interno e di gestione dei rischi senza tuttavia approfondire tale aspetto in merito all Information Technology. Tutti gli stakeholders, sia interni (Consiglio di Amministrazione, Governance, Risk & Compliance, Internal Audit, ecc.) sia esterni (business partner, auditor esterni, ecc.), sono ormai a conoscenza di quanto siano importanti le tematiche di governance e di gestione dei rischi e di come queste siano indissociabili da una buona ed attenta gestione degli aspetti legati all IT. Per tale motivo un gruppo di lavoro formato da esperti di IT Risk & Governance, appartenenti alle Big Four, ha pensato di definire il presente Position Paper, fornendo quindi un interpretazione del Codice che potesse fornire una guida e quindi supportare le società quotate ad affrontare le tematiche di IT Governance. Il presente documento interpretativo, come definisce lo stesso Codice nei Principi guida e regime transitorio è destinato ad [ ] III. Ogni società italiana con azioni quotate ( emittente ) [ ]. Si ricorda inoltre che l adesione al Codice è volontaria.

Breve presentazione del Codice di autodisciplina Nel dicembre del 2011 è stato pubblicato il nuovo testo revisionato del Codice per la corporate governance delle società quotate italiane elaborato, in linea di continuità con quanto avvenne nel 1999, da un Comitato per la Corporate Governance, ossia da un soggetto dalla natura composita costituito da rappresentanti di Borsa Italiana e delle Associazioni di categoria delle imprese bancarie, assicurative e industriali (ABI, ANIA, Assonime e Confindustria) e degli investitori istituzionali (Assogestioni) 1. Le novità apportate al Codice seguono tre direttrici principali: semplificazione e chiarificazione delle regole già esistenti; allineamento delle condotte richieste alle nuove regole del diritto societario e comunitario; inserimento di nuovi principi volti ad innalzare gli standard di governance degli emittenti e ad anticipare possibili futuri interventi legislativi. In particolare, per il terzo punto appena citato, il Codice ha mostrato particolare attenzione nei confronti dei seguenti temi: la centralità del Consiglio di Amministrazione (di seguito CdA ) nella governance societaria; l importanza della componente indipendente all interno del CdA; la valorizzazione dei Comitati endo-consiliari; l introduzione della funzione della gestione dei rischi all interno del sistema del controllo interno. In merito a quest ultimo punto il Codice del 2011, in linea con la posizione espressa dalla Commissione europea nel citato Libro Verde sulla Corporate Governance del 2011, ha ravvisato la necessità che ciascuna società quotata sviluppi, in base alle proprie caratteristiche, un adeguata cultura del rischio nonché una modalità di gestione che le consentano di affrontare efficacemente gli specifici rischi aziendali. In estrema sintesi le novità apportate al Codice sotto tale profilo perseguono tre fondamentali obiettivi: contribuire a diffondere la cultura del rischio, inserendo la funzione della gestione dei rischi all interno del sistema di controllo interno; attribuire al CdA, coadiuvato dal (rinnovato) Comitato per il controllo interno e la gestione dei rischi, un ruolo chiave nella definizione della natura e del livello del rischio compatibile con gli obiettivi strategici dell emittente; 1 Sintesi tratta dai Quaderni Giuridici L Autodisciplina in materia di Corporate Governance pubblicato da CONSOB nel febbraio 2013.

razionalizzare il sistema di controllo interno e gestione dei rischi sotto il profilo delle competenze attribuite ai vari soggetti coinvolti nell esercizio di questa funzione. Successivamente all approvazione dell ultima edizione del Codice il panorama normativo nazionale si è arricchito di una serie di provvedimenti che hanno profondamente inciso sugli assetti di governance delle società italiane, quotate e non quotate. In particolare, a fini di una migliore comprensione del presente Position Paper in merito all IT Governance, è significativo citare quanto la Banca d Italia ha emanato in data 2 luglio 2013 con il 15 aggiornamento della Circolare n. 263 del 27 dicembre 2006 Nuove disposizioni di vigilanza prudenziale per le banche. Particolare attenzione va prestata al Capitolo 8 (Il sistema informativo) della Circolare all interno del quale viene aggiornata la disciplina del sistema informativo, anche per recepire le principali evoluzioni emerse nel panorama internazionale. Oltre a disciplinare le modalità di governo del sistema informativo, di gestione del rischio informatico ed i requisiti per assicurare la sicurezza informatica, le disposizioni recepiscono le raccomandazioni della BCE per la sicurezza delle transazioni bancarie tramite internet. Le previsioni contenute nel Capitolo 8 rappresentano requisiti di carattere generale per lo sviluppo e la gestione del sistema informativo da parte degli intermediari; le concrete misure da adottare tengono conto degli specifici obiettivi strategici e, secondo il principio di proporzionalità, della dimensione e complessità operative, della natura dell attività svolta, della tipologia dei servizi prestati nonché del livello di automazione dei processi e servizi della banca. A tal proposito, le banche valutano l opportunità di avvalersi degli standard e best practices definiti a livello internazionale in materia di governo, gestione, sicurezza e controllo del sistema informativo 2. Il sistema informativo (inclusivo delle risorse tecnologiche hardware, software, dati, documenti elettronici, reti telematiche e delle risorse umane dedicate alla loro amministrazione) rappresenta uno strumento di primaria importanza per il conseguimento degli obiettivi strategici e operativi degli intermediari, in considerazione della criticità dei processi aziendali che dipendono da esso. Infatti: dal punto di vista strategico, un sistema informativo sicuro ed efficiente, basato su un architettura flessibile, resiliente ed integrata a livello di gruppo consente di sfruttare le opportunità offerte dalla tecnologia per ampliare e migliorare i prodotti e i servizi per la clientela, accrescere la qualità dei processi di lavoro, favorire la 2 Vedi Titolo V della Circolare n. 263 del 27 dicembre 2006, 15 aggiornamento del 2 luglio 2013.

de-materializzazione dei valori, ridurre i costi anche attraverso la virtualizzazione dei servizi bancari; nell ottica della sana e prudente gestione, il sistema informativo consente al management di disporre di informazioni dettagliate, pertinenti ed aggiornate per l assunzione di decisioni consapevoli e tempestive e per la corretta attuazione del processo di gestione dei rischi; con riguardo al contenimento del rischio operativo, il regolare svolgimento dei processi interni e dei servizi forniti alla clientela, l integrità, la riservatezza e la disponibilità delle informazioni trattate, fanno affidamento sulla funzionalità dei processi e dei controlli automatizzati; in tema di compliance, al sistema informativo è affidato il compito di registrare, conservare e rappresentare correttamente i fatti di gestione e gli eventi rilevanti per le finalità previste da norme di legge e da regolamenti interni ed esterni. Possiamo quindi affermare che, a due anni di distanza dalla pubblicazione dell ultima revisione del Codice, la Banca d Italia abbia aggiornato la disciplina in ambito IT Governance in modo chiaro e puntuale. E auspicabile che in un futuro prossimo, sempre seguendo il concetto di proporzionalità, tali tematiche possano diventare un importante requisito ancora più chiaramente definito all interno del Codice stesso vista l importanza che oggi l IT Governance ha assunto all interno delle società. Come verrà spiegato nel paragrafo successivo l adozione del COBIT 5 risponde pienamente a quanto richiesto da Banca d Italia e quindi può costituire per tutte le società che già aderiscono o decideranno di adottare il Codice, oltre alle Banche, un metodo più efficace ed efficiente per gestire il proprio livello di IT Governance.

Il modello di riferimento di IT Governance: perché COBIT 5 Il Codice definisce nell Art. 7 nel primo principio 7.P.1, [ ]. Tale sistema (ndr. di controllo interno e gestione dei rischi) è integrato nei più generali assetti organizzativi e di governo societario adottati dall emittente e tiene in adeguata considerazione i modelli di riferimento e le best practices esistenti in ambito nazionale e internazionale [ ]. Inoltre, sempre nello stesso articolo nel quinto criterio attuativo 7.C.5 si parla di sistemi informativi, Il responsabile della funzione di internal audit : [ ]; g) verifica, nell ambito del piano di audit, l affidabilità dei sistemi informativi inclusi i sistemi di rilevazione contabile. Partendo da tali affermazioni, tratte dal Codice, è opportuno domandarsi quale framework di riferimento sia più adeguato per la definizione del sistema di governance e di gestione dei rischi in ambito IT. Il gruppo di lavoro ha identificato nel COBIT 5 il framework di riferimento adeguato per essere in linea con le aspettative e le ideologie di base del Codice e la sua capacità di potersi adattare ad ogni azienda. COBIT 5, rilasciato nel 2012 alla sua quinta edizione, consolida e integra i precedenti framework emessi da ISACA (COBIT 4.1, Val IT 2.0 and Risk IT e BMIS) e posa le sue fondamenta, dopo anni di riconosciuto utilizzo e vantaggi, sulle versioni precedenti di COBIT. Queste ultime hanno avuto il loro riconoscimento in SEC (COBIT for SOX) e nella equivalente applicazione sul mercato regolamentato italiano (COBIT per 262). Nel 2005 anche l Unione Europea ha indicato COBIT come uno degli standard utilizzabili per garantire la sicurezza dei sistemi informativi. Come risulta ben rappresentato nel terzo principio Applying a Single, Integrated framework, COBIT 5 è allineato con gli ultimi standard e framework internazionalmente riconosciuti, fatto che permette all azienda di utilizzarlo come elemento di integrazione più che una sostituzione di altri standard e frame work. Ad esempio l approccio di governance di COBIT 5 è basato su un modello di EDM (Evaluate, Direct and Monitor) che è lo stesso usato nell ISO Governance Model (ISO 38500). Altri riferimenti evidenziati in COBIT 5 sono: Enterprise related: COSO, COSO ERM, ISO 9000, ISO 31000; IT related: ISO 38500, ITIL, serie ISO 27000, TOGAF, PMBOK/PRINCE2, CMMI. COBIT 5, tuttavia, a differenza di altri standard e framework internazionali, che enfatizzano o i controlli di business (COSO), o di sicurezza IT (serie ISO/IEC 27000), o di service management delle attività legate all IT (ITIL), integra tutte le funzioni e i processi di IT Governance in una governance di impresa ed in una prospettiva di business. COBIT 5, pertanto, non ha la presunzione di sostituire nessuno dei suddetti standard e framework. Esso ha l intenzione di sottolineare come la governance, gli elementi di gestione e le pratiche siano necessarie al fine di creare

valore dall Information Technology a supporto degli obiettivi di business delle imprese. Quest ultimo aspetto evidenzia come siano condizioni necessarie, per l adozione e l implementazione con successo di COBIT 5, la direzione, il coinvolgimento ed il supporto continuo da parte del top management dell azienda. La scelta di implementare COBIT 5 come modello di IT Governance non è prerogativa del CIO (Chief Information Officer) o della Direzione Sistemi Informativi, ma è in primo luogo della Direzione d impresa. COBIT 5, come espresso nel primo principio Meeting Stakeholder Needs, nasce prima di tutto come necessità degli stakeholder, comunemente influenzate da fattori esogeni (ambiente e regolamentazioni esterne ed evoluzione tecnologica); solo successivamente, la strategia dell azienda si traduce in obiettivi di business, i quali a loro volta si riconducono ad obiettivi IT. Ulteriore vantaggio di adottare COBIT 5 come framework di riferimento è che le aziende possono utilizzarlo separando chiaramente la governance dal management. In sostanza, COBIT 5 è un esauriente framework che aiuta le imprese a creare un ottimale valore dall IT mantenendo un giusto equilibrio tra realizzazione dei benefici di business ed ottimizzazione del livello di rischio e dell utilizzo delle risorse. COBIT 5 permette all informazione ed alla relativa tecnologia di essere governata e gestita in maniera olistica sull intera organizzazione, considerando sia i processi di business end-to-end e le aree funzionali di responsabilità, sia gli interessi legati all IT. Per quanto sopra descritto, COBIT 5 rispetta e ricalca i requisiti di un sistema di governance e di gestione dei rischi così come espresso nel criterio applicativo 7.C.1 del Codice: [ ] i principali rischi afferenti all emittente e alle sue controllate risultino correttamente identificati, nonché adeguatamente misurati, gestiti e monitorati, determinando inoltre il grado di compatibilità di tali rischi con una sana e corretta gestione dell impresa coerente con gli obiettivi strategici individuati; [ ].

COBIT 5: A Business Framework for the Governance and Management of Enterprise IT Come emerge dal titolo che lo accompagna 3, le intenzioni del nuovo framework sono manifeste ed inequivocabili: rivolto non più esclusivamente ai dipartimenti IT delle società (tanto da definirsi business framework), COBIT 5 diventa lo strumento di governo e gestione dell IT. Questa premessa è aderente alle richieste normative sopra descritte, non solo di centralità degli organi di governo societari 4 (cfr.: Consiglio di Amministrazione), ma anche di enfasi nella definizione appropriata di un sistema di controllo interno e nella gestione dei rischi. All interno del framework, leggiamo: [ ] COBIT 5 provides a comprehensive framework that assists enterprises in achieving their objectives for the governance and management of enterprise IT. Simply stated, it helps enterprises create optimal value from IT by maintaining a balance between realising benefits and optimising risk levels and resource use. COBIT 5 enables IT to be governed and managed in a holistic manner for the entire enterprise, taking in the full end-to-end business and IT functional areas of responsibility, considering the IT-related interests of internal and external stakeholders. COBIT 5 is generic and useful for enterprises of all sizes, whether commercial, not-for-profit or in the public sector [ ]. Questo passo tratto dall Executive Summary espone in estrema sintesi i cinque principi COBIT 5 che regolano il governo dell IT per il raggiungimento degli obiettivi di business, offrendo riferimenti puntuali per una gestione dei rischi dell informazione. I principi di COBIT 5 sono: 1. Meeting Stakeholder Needs: partendo dal presupposto che le società esistono al fine di dare valore agli stakeholders garantendo l equilibrio desiderato tra i benefici ottenuti, i rischi assunti e l impiego delle risorse, COBIT fornisce evidenza di quali processi e quali elementi abilitanti siano necessari a supportare la creazione di valore. 2. Covering the Enterprise End-to-end: COBIT non insiste solamente sui processi IT ma considera l informazione ed i corrispondenti elementi tecnologici come attività, patrimonio, assests. 3. Applying a Single, Integrated Framework: COBIT si allinea con gli le best practices e gli standard esistenti, al fine di fornire un indirizzo di alto livello per le tematiche di governo e gestione dell IT all interno delle società. 3 4 A Business Framework for the Governance and Management of Enterprise IT. COBIT 5 è fondato su cinque principi, il primo dei quali è Meeting Stakeholder Needs.

4. Enabling a Holistic Approach: il governo e la gestione dell IT richiedono un approccio olistico delle numerose componenti esistenti e che interagiscono tra loro. Per tale ragione COBIT definisce alcuni elementi abilitanti per permettere l implementazione dei processi di governo e gestione. Gli elementi abilitanti sono: - Principles, Policies and Frameworks; - Processes - Organisational Structures; - Culture, Ethics and Behaviour; - Information; - Services, Infrastructure and Applications; - People, Skills and Competencies. 5. Separating Governance from Management: governo e gestione sono elementi differenti in ambito aziendale. COBIT li disciplina definendo per ciascuno lo svolgimento di determinate attività e l adozioni di strutture organizzative dedicate, al fine di raggiungere obiettivi differenti. Infatti: - la governance assicura che i bisogni degli stakeholders, condizioni ed opzioni siano valutate al fine di determinare obiettivi aziendali bilanciati e concordati; l impostazione della direzione attraverso la prioritizzazione ed il decision making; il monitoraggio delle performance e la compliance in confronto alla direzione concordata e agli obiettivi; - il Management pianifica, costruisce, fa funzionare e monitora le attività in allineamento alle direzioni impostate dal corpo della governance al fine di raggiungere gli obiettivi aziendali. Ripercorrendo i principi, COBIT 5 correla quindi i bisogni degli stakeholder agli obiettivi dell impresa, definendo gli obiettivi IT e gli elementi abilitanti. E proprio seguendo queste correlazioni che troviamo le guide di riferimento dei processi 5, le quali riportano spesso ampliate e riviste (se non a volte, del tutto nuove), le informazioni tipiche del mondo COBIT: identificazione dei processi; descrizione dei processi; definizione dello scopo del processo; la connessione degli obiettivi (Goal Cascade); obiettivi del processo e metriche; matrice RACI; descrizione dettagliata dei processi. Il concetto di rischio, controllo e misurazione non possono prescindere dal grado di raggiungimento degli obiettivi IT (necessari come detto per l abilitazione degli obiettivi 5 Denominate Process Reference Guide, presenti all interno della famiglia COBIT 5 Enabler Guides.

di business). Tali obiettivi sono raggiunti attraverso l implementazione di fattori abilitanti e sono categorizzati come segue: intrinsic goals; contextual goals; accessibility and security goals. A titolo di esempio, la qualità dell informazione (inteso come fattore abilitante) può essere declinata come segue: Qualità intrinseca - La misura in cui il valore dei dati è in conformità con il valore attuale o vero. Include: - Accuratezza - La misura in cui l informazione è corretta ed affidabile. - Obiettività - La misura in cui l informazione è obiettiva, senza pregiudizi ed imparziale. - Credibilità - La misura in cui è considerata vera e credibile. - Reputazione - La misura in cui l informazione è altamente considerata in termini della sua fonte o contenuti. Qualità del contenuto e rappresentazione - La misura in cui l informazione è applicabile al compito dell informazione degli utenti e si presenta come intellegibile e chiara, riconoscendo che la qualità dell informazione dipende dal contesto di utilizzo. Include: - Pertinenza - La misura in cui l informazione è applicabile e utile per il compito a portata di mano. - Completezza - La misura in cui l informazione non è mancante o è di sufficiente profondità ed ampiezza per completare il compito a portata di mano. - Attualità - La misura in cui l informazione è sufficientemente aggiornata per il compito a portata di mano. - Quantità appropriata d informazione - La misura in cui il volume delle informazioni è appropriato per il compito a portata di mano. - Rappresentazione concisa - La misura in cui l informazione è rappresentata in maniera compatta. - Rappresentazione consistente - La misura in cui l informazione è presentata nello stesso formato. - Interpretabilità - La misura in cui l informazione è in linguaggi appropriati, simboli ed unità, con chiare definizioni. - Comprensibilità - La misura in cui l informazione è facilmente capita e recepita. - Facilità di manipolazione - La misura in cui l informazione è facile da manipolare ed applicare a diversi compiti. Qualità della sicurezza/accessibilità - La misura in cui l informazione è disponibile od ottenibile. Include:

- Disponibilità/tempestività - La misura in cui l informazione è disponibile quando richiesta, o facilmente e velocemente recuperabile. - Accesso ristretto - la misura in cui l informazione è appropriatamente ristretta a soggetti autorizzati. Ne consegue che il concetto di affidabilità dei sistemi informativi è da ricercarsi nell ambito di processi IT che sappiano rendersi abilitatori delle qualità dell informazione.

Definizione dell approccio di audit Definito nel paragrafo precedente l insieme degli obiettivi del sistema di controllo dei sistemi informativi, necessari per assicurare l adeguatezza dei processi IT per il raggiungimento degli obiettivi di business, nonché l affidabilità dei sistemi stessi, il passaggio successivo prevede la stesura di un piano di audit di alto livello che identifichi secondo una metodologia consolidata gli interventi di audit da eseguire secondo un criterio di valutazione dei rischi. Al fine di raggiungere tale obiettivo, è necessario dapprima procedere con l identificazione di tutti i processi di business rilevanti e dei loro obiettivi, nonché dei sistemi a supporto degli stessi. Ciò consente in prima istanza di comprendere in che modo i processi IT possono influenzare il raggiungimento degli obiettivi aziendali, ed inoltre di definire il perimetro dei sistemi oggetto delle verifiche. Ciò avviene sulla base di valutazioni, sia quantitative sia qualitative, sui possibili rischi esistenti, sulle relative minacce e vulnerabilità, e di conseguenza sugli impatti in merito al raggiungimento degli obiettivi di controllo IT definiti da COBIT (risk assessment). In particolare, il risk assessment dovrebbe prevedere un analisi preventiva del contesto aziendale, volta all identificazione dei rischi esistenti sui processi e dei possibili impatti, ed alla comprensione dell influenza dei processi IT su tali rischi, valutando l allineamento dei processi di governance dei sistemi informativi (Evaluate, Direct & Monitoring secondo COBIT 5) alle strategie di gestione di rischio aziendali. Sulla base di tali valutazioni saranno identificati le misure di controllo IT oggetto di verifica, e valutata la rispondenza dell ambiente di controllo esistente ai requisiti definiti a livello di obiettivi. L insieme del perimetro e degli esiti del risk assessment permetterà di assegnare un livello di criticità (e di conseguenza priorità) a ciascun sistema e processo IT in ambito, guidando la definizione del piano delle attività di audit pluriennale. Sulla base della complessità dell ambiente e dell organizzazione IT è possibile prevedere una diversa durata del piano di verifiche di audit, ma a livello generale si ipotizza un orizzonte temporale di tre anni per il completamento delle verifiche stesse, e comunque non superiore ai cinque anni. Tale piano di audit dovrà prevedere la copertura nell orizzonte temporale previsto di tutto il perimetro dei sistemi e dei processi IT significativi con un criterio di rotazione, nonché l esecuzione di tutte le verifiche di audit ritenute necessarie trasversalmente sulle seguenti aree: Verifica dei controlli generali IT e relativa maturity, che indirizzi l obiettivo introdotto al paragrafo precedente di Qualità intrinseca, e parzialmente dell obiettivo di Sicurezza/Accessibilità. Tali verifiche dovrebbero prevedere l analisi dei controlli previsti nell ambito dei processi di gestione (Management Processes secondo COBIT 5) del ciclo di vita dei sistemi informativi: - Align, Plan & Organize,

- Build, Acquire & Implement, - Deliver, Service & Support, - Monitor, Evaluate & Assess, tramite la comprensione dei controlli stessi (walkthrough) ed il successivo test di efficacia. Queste attività dovrebbero essere eseguite tutti gli anni, ma il perimetro di applicazione può essere configurato in modo che ogni applicativo sia verificato una volta nell orizzonte temporale, a partire da quelli con criticità superiore. Assessment dei controlli automatici (e semiautomatici) chiave per i processi in ambito, così da indirizzare l obiettivo di Qualità del contenuto e della rappresentazione. Tali verifiche dovrebbero prevedere il test dei controlli chiave gestiti tramite automatismi di sistema, nell ambito dei processi di business significativi inclusi in ambito. Anche in questo caso, verifiche sui controlli automatici dovrebbero essere condotte tutti gli anni, ma il perimetro di applicazione può essere configurato in modo da coprire tutti i processi nell orizzonte temporale, a partire da quelli con criticità superiore. Con specifico riferimento all obiettivo Sicurezza/Accessibilità, come già introdotto in precedenza, possono essere svolte ulteriori verifiche ad-hoc sulle seguenti aree: - Vulnerability Assessment & Penetration Testing, volti alla verifica dell esistenza di eventuali vulnerabilità nei sistemi ed alla definizione dei conseguenti piani di azione; - Security Assessment volti alla verifica dell adeguatezza del Sistema di Gestione della Sicurezza delle Informazioni dal punto di vista organizzativo, procedurale e tecnico; - Compliance Privacy, ivi inclusa la gestione degli Amministratori di Sistema come da Provvedimento del 27 novembre 2008; - verifiche della Segregation of Duties al fine di identificare eventuali conflitti e la conseguente strategia di mitigazione; - ogni altro intervento ritenuto necessario sulla base del contesto organizzativo e normativo aziendale. A seconda della complessità dell ambiente e dei sistemi IT, e del livello di automazione raggiungibile dalle modalità di verifica, tali attività possono essere svolte anche più volte l anno, consentendo un costante allineamento ai requisiti di security aziendale. A seguito di tale pianificazione di massima, il piano di verifiche per l anno corrente deve essere specificato nel dettaglio, tramite la definizione dell insieme dei sistemi e processi in ambito, dei controlli da testare e delle relative strategie di test. Il piano di audit di dettaglio deve poi essere eseguito in collaborazione con le funzioni aziendali coinvolte, eventuali gap rispetto alle leading practices evidenziati e condivisi con le funzioni coinvolte stesse, le quali definiranno l action plan corrispondente per raggiungere la conformità agli obiettivi di controllo prestabiliti.

Per ogni anno successivo, il piano dovrà prevedere l aggiornamento del risk assessment, volto a identificare e valutare eventuali elementi di discontinuità rispetto al passato con riferimento agli obiettivi di controllo IT (progetti significativi, migrazioni di sistemi in scope, cambiamenti organizzativi, aggiornamenti alla normativa di riferimento, ecc.). Tali valutazioni potrebbero portare alla modifica dell ambito e del dettaglio dei test da eseguire per l anno corrente, ponendo maggiore attenzione sugli elementi modificati rispetto al risk assessment precedente o che presentano una priorità maggiore. Ciò non deve comunque pregiudicare la copertura di tutti i processi ed i sistemi rilevanti nell ambito dell orizzonte temporale considerato. In ogni caso, le attività di audit degli anni successivi al primo dovrebbero includere, sulla base di quanto emerso durante l aggiornamento del risk assessment: follow-up delle tematiche emerse nel corso dei precedenti audit, al fine di verificare l effettiva implementazione degli action plan definiti e l efficacia delle soluzioni adottate; specifiche verifiche sui cambiamenti significativi avvenuti rispetto alla precedente rilevazione del sistema dei controlli; esecuzione delle attività previste dal piano di audit pluriennale, secondo la pianificazione di massima; esecuzione di eventuali ulteriori verifiche ad-hoc, sulla base delle specifiche necessità dell organizzazione. La conduzione delle attività di audit così, come illustrato sopra, consente un monitoraggio costante di tutti i controlli chiave relativi ai processi ed ai sistemi in scope, supportando con efficacia ed efficienza la verifica delle caratteristiche di affidabilità dei sistemi informativi, che si rende necessaria per la conformità ai requisiti del Codice.

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back