La Governance Aziendale attraverso un sistema integrato ed efficiente di gestione e di scambio delle informazioni Presupposti ed esperienze M. Nicoletta De Bonis - Sviluppo Prodotti Opentech
Società di Servizi specializzata in applicazioni GRC Certificata ISO 9001 per: Tecnologia dell Informazione Formazione Servizi Professionali Personale tecnico certificato Microsoft Collabora con: Università Studi legali Specialisti di Organizzazione Associazioni di categoria Soluzione informatica Database Tipologici; Aggiornamenti di Norme, Processi, Rischi Supporto alla Formazione Network di competenze per servizi La società Opentech
Definizione di Governance: 1. l'insieme di istituzioni, di meccanismi e di regole, di ogni livello (leggi, regolamenti etc.) che disciplinano la gestione dell'impresa stessa 2. the system by which companies are directed and controlled La guida di una azienda richiede una armonizzazione continua nelle diverse situazioni tra prestazioni e sicurezza, nel rispetto delle regole e in relazione agli obiettivi. Governance
Aumento della complessità normativa delle responsabilità dei rischi e dei costi Attività di governo ancora manuali non standardizzate non integrate con i processi di business Il contesto attuale
M MONITOR & MEASURE C CONTEXT & CULTURE C O O ORGANIZE & OVERSEE R RESPOND & RESOLVE M I A A ASSESS E ALIGN R P D I INFORM & INTEGRATE D DETECT & DISCERN P PREVENT & PROMOTE OCEG GRC Capability Model COSO ERM Framework COBIT Framework Linee Guida Autorità di Vigilanza CNIPA Associazioni italiane di categoria Università Cattolica AICOM, ANDAF, AIIA AIEA Standard di riferimento
I sistemi informatici devono essere appropriati rispetto alle dimensioni e all attività dell impresa e devono fornire informazioni, sia all interno che all esterno, rispondenti ai principi di cui all articolo 12, comma 2. (Il sistema dei controlli interni garantisce che le informazioni rispettino i principi di accuratezza, completezza, tempestività, coerenza, trasparenza e pertinenza) Regolamento ISVAP 20/2008 - REGOLAMENTO RECANTE DISPOSIZIONI IN MATERIA DI CONTROLLI INTERNI, GESTIONE DEI RISCHI,COMPLIANCE ED ESTERNALIZZAZIONE DELLE ATTIVITÀ DELLE IMPRESE DI ASSICURAZIONE) COBIT: Control Objectives for Information and related Technology, è un insieme di best practice per la gestione manageriale dell'informatica aziendale. Si tratta di un vero e proprio framework di IT Governance creato originariamente da ISACA, Information Systems Audit and Control Association e successivamente gestito in partnership con l IT Governance Institute (ITGI) Security Governance: un insieme di attività e operazioni che consentono di impostare al meglio il processo di gestione della sicurezza in conformità a standard/normative di settore e parallelamente alle strategie di business aziendali. I Sistemi IT
Risk Manager CONSOB ISVAP Responsabile Qualità Compliance Officer GARANTE DELLA PRIVACY BANCA D ITALIA GARANTE DELLA CONCORRENZA (ANTITRUST) Dirigente Preposto Sistema Integrato delle Responsabilità Internal Audit AUTHORITY APPALTI GARANTE TELECOMUNICAZIONI Amministratore Delegato Consiglio di Amministrazione Collegio Sindacale Gli Attori di un sistema GRC
Efficaci assetti organizzativi e di governo societario costituiscono per tutte le imprese condizione essenziale per il perseguimento degli obiettivi aziendali. Disposizioni di Vigilanza in materia di Organizzazione e Governo Societario, Banca d Italia - 4 marzo 2008 La funzione di conformità collabora con le altre funzioni presenti in azienda (es. revisione interna, controllo del rischio operativo, funzione legale, organizzazione, organismo di vigilanza individuato ai sensi della legge 231/2001, ecc.) allo scopo di sviluppare le proprie metodologie di gestione del rischio in modo coerente con le strategie e l operatività aziendale, disegnando processi conformi alla normativa e prestando ausilio consultivo. Disposizioni di Vigilanza La Funzione di conformità, Banca d Italia - 10 luglio 2007 L Internal Audit, il Risk Manager e la Compliance collaborano tra loro, scambiandosi ogni informazione utile per l espletamento dei rispettivi compiti Regolamento ISVAP 20/2008 Regolamento recante le disposizioni in materia di controlli interni, gestione dei rischi, compliance ed esternalizzazione delle attività delle imprese di assicurazioni Collaborazione tra funzioni aziendali
Identifica i Processi e i Ruoli Aziendali Guida, fornisce supporto per la loro descrizione e divulga le procedure Collabora alla descrizione di Workflow di Processo Supporta la Compliance nella mappatura tra Processi e Adempimenti Normativi Collabora alla definizione dei Rischi, sia di non Compliance, sia Operativi Aggiornamento continuo: adeguamento e miglioramento dei Processi al sistema delle Regole, alla situazione aziendale, sulla base degli esiti dei controlli e misure di efficienza Identifica e sovrintende alle regole per controllo della documentazione e dei flussi informativi (tracciabilità) Il Ruolo dell Organizzazione
Per il rispetto delle regole aziendali è determinante il ruolo della Formazione, che deve essere progettata, programmata e distribuita La formazione, nell ambito degli Obiettivi prefissati per la Compliance, deve prevedere: educazione sulle normative e sui regolamenti interni di riferimento addestramento sulle attività operative correlate ai requisiti normativi addestramento sugli strumenti messi a disposizione workshop operativi ulteriori incontri periodici di aggiornamento verifiche del corretto apprendimento analisi dei risultati coinvolgimento delle funzioni aziendali più impegnate La Formazione
La predisposizione di flussi informativi adeguati e in tempi coerenti con la rilevanza e la complessità delle informazioni è necessaria anche per la piena valorizzazione dei diversi livelli di responsabilità all interno dell organizzazione aziendale. Disposizioni di Vigilanza in materia di Organizzazione e Governo Societario, Banca d Italia - 4 marzo 2008 Linee applicative a) periodicità, forme e contenuti della documentazione da trasmettere ai singoli componenti degli organi necessaria ai fini dell adozione delle delibere sulle materie all'ordine del giorno b) individuazione dei soggetti tenuti a inviare, su base regolare, flussi informativi agli organi aziendali c) determinazione del contenuto minimo dei flussi informativi Flussi informativi
Modello Organizzativo Relazione di Compliance: sintesi delle attività svolte dalla Compliance, sia per gli Organi interni, sia per gli Organismi di Vigilanza Sintesi dei Rischi per Normativa, Linea di Business, Processi/gruppi di Processo,. Relazione Dirigente Preposto Piano dei Controlli Piano di Audit Rapporti di Verifica Sistema di Reportistica
Per la registrazione, le verifiche e la tracciabilità delle attività operative è necessario avere un solido e flessibile sistema informatico, con: Funzionalità operative che consentono di registrare le operazioni Regole di gestione della documentazione Workflow di supporto all operatività su processi specifici Sistemi di alert Funzioni di Verifica Reportistica e Cruscotti automatici Registrazione e Tracciabilità
Riferimenti metodologici Linee guida AICOM Università Cattolica Metodologie standard ERM COSO e COBIT Basata sugli Asset aziendali correlati e registrati nel tempo Processi aziendali, Procedure Strutture organizzative Infrastrutture Sistema di Governance, Compliance, Risk Processo continuo Norme /Obiettivi e Adempimenti/Eventi di Rischio Valutazione Rischio e Controlli Verifiche Valutazione Rischio Residuo Reporting Supporto alla Direzione e agli Organi di Controllo Piani Aziendali e di Gruppo Management Review Misure di Performance, Conformità e Rischio Il framework di un Sistema Integrato
M MONITOR & MEASURE Monitoraggio Rischi Verifiche e Riesami Indicatori e Misure C CONTEXT & CULTURE Normative e Policies interne Obiettivi aziendali Formazione C O O ORGANIZE & OVERSEE Processi e Organizzazione Infrastrutture Mappa Processi-Norme-Responsabili R RESPOND & RESOLVE Gestione Checklist Anomalie e Reclami Azioni Correttive M R I A P A ASSESS & ALIGN Adempimenti /Eventi di Rischio Valutazione Rischi I INFORM & INTEGRATE Sistema di News, Alert, To Do Reportistica e Flussi informativi Gestione Documenti Il modello D D DETECT & DISCERN Assessment Verifiche/Test Sintesi P PREVENT & PROMOTE Procedure Controlli e Azioni Preventive Formazione
Normative esterne (cogenti e volontarie) Policies interne e regolamenti aziendali e di gruppo Estrazione degli Adempimenti (Obblighi e Divieti) /Eventi di Rischio collegati alle Sanzioni Database Normativi Aggiornamento continuo (Studi Legali o Associazioni di settore) Storicità Supporto a specifici Adempimenti tramite linee guida o sentenze Utilizzo di standard pubblici Legal Inventory
Identificazione dei Processi di esecuzione degli Adempimenti (Conformità normativa) e dei Processi correlati ad Eventi di Rischio Identificazione e valutazione delle Procedure di descrizione delle modalità di esecuzione degli Adempimenti e dei Responsabili coinvolti Identificazione dei flussi/informazioni correlati Identificazione delle Infrastrutture utilizzate (sw, macchine, ) Valutazione della complessità operativa dei Processi allo scopo di valutare il rischio di non conformità che può derivarne Valutazione dell efficienza (tempi medi di esecuzione, ricicli su attività,..) Azioni Preventive, Controlli e Azioni Correttive Mappatura Processi/Norme
Azioni Preventive Organizzative Formazione/Addestramento Infrastrutturali (applicativi software a supporto, strumenti hw, ) Valutazione dell Efficacia come elemento per l aggiornamento del Rischio Controlli Piano dei Controlli Valutazione adeguatezza rispetto ai rischi Definizione Responsabilità e pianificazione periodica Sistema di alert per i responsabili delle esecuzioni Verifica esiti e rispetto dei tempi pianificati Cruscotti di sintesi degli esiti Valutazione degli Esiti come elemento per l aggiornamento del Rischio Azioni Preventive e Controlli
Valutazione Continua Livello di Rischio Storia Livello di Rischio Livello di Rischio Accettabile Valutazione Livello di Rischio Residuo Valutazione Livello di Rischio Inerente (ex ante) Verifiche e Azioni Correttive Azioni Preventive (Controlli, Procedure, Formazione) Ciclo di Valutazione del Rischio
Sintesi Rischi per:. Processo. Linea di Business. Event type. Norma. Azienda Sintesi dei Rischi
Consiglio di Stato Gestione Processo Appalti-Acquisti / Documentazione Passaggio dalla gestione cartacea documenti a gestione elettronica Utilizzo Workflow del Procedimento con sistema di Alert Tracciabilità delle operazioni e trasparenza Gestione Privacy Produzione informatizzata del Documento Programmatico della Sicurezza Gestione Sicurezza IT COBIT (fase 2) Gestione Processi e Risorse IT Esperienze
Organizzazione Sistema di Comunicazione (news e allegati) all interno e tra le banche del servizio Distribuzione Processi Mansionario Controllo accessi ai sistemi informatici Compliance Gestione storica del Legal Inventory Market Abuse, MIFID, Antiriciclaggio, 231, 196, 81 Data base Adempimenti Monitoraggio Conformità alle Norme per LoB, Norma Rischi Distribuzione dei Rischi Monitoraggio e mappa dei rischi Sanzioni e Danni Controlli Piano dei Controlli Distribuzione dei Controlli Tracciabilità esecuzioni Cruscotto Controlli per rispetto scadenze e esiti rilevati Reclami Registri Reclami Accantonamenti economici ed esborsi Esperienze
Legal inventory Archivio storico Normative Internazionali e ISVAP Organizzazione Organigramma Processi Compliance Gestione Storica del Legal Inventory Mappatura Processi Data base Adempimenti Rischi Gestione, monitoraggio e mappa dei rischi Sanzioni e Danni Esperienze
Elementi essenziali per il successo Coinvolgimento Funzioni chiave Avvio ed estensione graduale per le norme Avvio ed estensione graduale per Funzioni Aziendali, Società, Gruppo Flessibilità e gradualità nella gestione dei Dati, su base storica Disponibilità di Data Base Predefiniti (DBT Tipologici) Gestione e distribuzione dei Processi (distinzione tra quelli in comune e quelli specifici) Disponibilità di Controlli COBIT Disponibilità di Strumenti di gestione Processi, Organizzazione,Rischi, Controlli Condivisione degli Strumenti operativi da più Funzioni Aziendali Evidenze e Sintesi per il Management Lesson learning
Copyright Opentech 2009- Il contenuto non può essere disgiunto dalla esposizione verbale