ATTIVITA DI RICERCA 2014 Il governo del Rischio informatico alla luce delle Nuove Disposizioni di Vigilanza Prudenziale Metodologie, processi e strumenti PROPOSTA DI PARTECIPAZIONE 1
TEMI E MOTIVAZIONI Tradizionalmente incluso nel novero dei rischi operativi, il rischio informatico può essere definito, in termini generali, come: il rischio di danni economici e di reputazione derivanti dall uso della tecnologia, intendendosi con ciò tanto i rischi impliciti nella tecnologia quanto i rischi che derivano dall automazione, attraverso l uso della tecnologia, di processi operativi aziendali. Con il 15 aggiornamento delle Nuove disposizioni di vigilanza prudenziale per le banche, sono inseriti nel Titolo V della Circolare n. 263 del 27 dicembre 2006 una serie di nuove Disposizioni in tema de Il sistema dei controlli interni (Capitolo 7), Il sistema informativo (Capitolo 8) e La continuità operativa (il Capitolo 9). In particolare nel Capitolo 8 (Il sistema Informativo), un insieme di principi e di regole per indirizzare una corretta gestione del rischio informatico, dei processi di gestione della sicurezza informatica e dei flussi informativi relativi ai controlli sul sistema informativo. Pertanto, in seguito alla redazione del documento di Gap Analysis e all individuazione degli scostamenti dal modello di riferimento, le istituzioni finanziarie dovranno attrezzarsi per ridefinire i propri approcci di governance e gestione dei sistemi ICT. Sotto il profilo regolamentare, nel rispetto delle scadenze previste dall Organo di Vigilanza, risulta dunque fondamentale affrontare il tema del rischio informatico in un ottica unitaria, inquadrandolo nell ambito più generale dei processi di gestione del rischio d impresa. Lo sviluppo di una visione unitaria del rischio informatico richiede un elevato grado di convergenza tra le diverse funzioni/unità organizzative che, a diverso titolo e con diversi gradi di responsabilità, presidiano i rischi diretti (cioè quelli impliciti nella tecnologia), tipicamente appartenenti all area della sicurezza informatica (o sicurezza logica) e i rischi indiretti (cioè quelli che hanno origine nell operatività aziendale), tipicamente appartenenti ad altre aree (unità di business, operational risk management, internal audit, compliance, organizzazione, sicurezza fisica, ecc.). OBIETTIVI E OUTPUT Sulla base delle premesse appena esposte, il CeTIF propone di sviluppare un progetto di ricerca denominato: Il governo del Rischio informatico alla luce delle Nuove Disposizioni di Vigilanza Prudenziale Metodologie, processi e strumenti La ricerca si propone di definire un approccio metodologico in linea con i principi definiti dalle disposizioni di vigilanza, orientato alla identificazione dei rischi e delle interdipendenze tra questi, le unità di business, i processi operativi aziendali e i relativi flussi di reporting. 2
La ricerca intende indirizzare il conseguente sviluppo di processi gestionali e soluzioni tecnologiche che consentano di presidiare efficacemente il governo del rischio informatico. L attività di ricerca è finalizzata alla produzione dei seguenti output, che verranno rilasciati in seguito all incontro previsto nel mese di marzo 2014: Metodologie e strumenti per la rilevazione, analisi, valutazione, gestione e reporting del rischio informatico nel rispetto delle disposizioni di vigilanza Modello organizzativo di riferimento per il governo del rischio informatico, che definisce l interrelazione con i processi di risk management e gli aspetti collaborativi tra le funzioni preposte al governo dei rischi e dei controlli Brief Assessment (incontro opzionale, da svolgersi tra marzo e giugno 2014 presso le banche partecipanti), che abbia l obiettivo di supportare l applicazione delle metodologie e dei processi identificati dal tavolo di lavoro Le attività previste dall Osservatorio saranno organizzate all interno di quattro incontri di lavoro tra ricercatori CeTIF e istituzioni finanziarie, con l obiettivo di accompagnare le banche partecipanti nel percorso di adeguamento. MODALITA DI SVOLGIMENTO 28 Novembre 2013 Il rischio informatico nelle Nuove Disposizioni di Vigilanza Il primo incontro sarà dedicato all analisi della nuova normativa, delle configurazioni organizzative e delle attività progettuali previste per il presidio degli adempimenti di vigilanza. Tra i temi oggetto della giornata: Presentazione delle evidenze sul rischio informatico nella nuova normativa Strutture coinvolte e responsabilità Scadenze e attività previste nell adeguamento al modello di riferimento 6 Febbraio 2014 Misurazione e Gestione del Rischio Informatico Il secondo incontro avrà lo scopo di individuare metodologie e strumenti per la misurazione e la gestione del rischio informatico. Tra i temi oggetto della giornata: Valutazione del rischio potenziale e del rischio residuo Misure di attenuazione di tipo tecnico e/o organizzativo Accettazione e controllo del rischio residuo Strumenti tecnologici e automazione dell IT Risk Management 14 Marzo 2014 Modello organizzativo per il governo del rischio informatico Il terzo incontro sarà finalizzato alla definizione di un framework organizzativo e metodologico per il governo del rischio informatico. Tra i temi oggetto della giornata: Funzioni/unità organizzative coinvolte e principali meccanismi di coordinamento adottati Processi gestionali e soluzioni organizzative per la governance del rischio Strumenti informatici a supporto e modelli di reporting 3
17 Giugno 2014 Stato di avanzamento dei progetti di adeguamento Il quarto incontro sarà programmato con l obiettivo di verificare il livello di avanzamento dei progetti di adeguamento intrapresi, condividere eventuali criticità e confrontare le soluzioni organizzative e tecnologiche adottate. Saranno inoltre descritti i risultati dei Brief Assessment condotti presso le banche partecipanti. Gli incontri tematici si svolgeranno secondo la formula del dibattito universitario. Questo implica la completa simmetria dei rapporti tra i partecipanti e una partecipazione attiva, orientata al confronto. Gli incontri potranno articolarsi in modo differente a seconda del tema e possono prevedere la partecipazione di ospiti esterni e la presentazione di: testimonianze e casi di studio da parte dei partecipanti, degli organi di vigilanza e di istituzioni che si contraddistinguono per avere affrontato i temi oggetto di discussione; docenti universitari con competenze specifiche sugli argomenti oggetto di trattazione. DESTINATARI Il Competence Centre è indirizzato alle aree Risk Management, Controlli interni, Organizzazione, Sicurezza e, più in generale, alle risorse dedicate alla gestione del rischio informatico e ai progetti di adeguamento alle recenti disposizioni di vigilanza prudenziale. 4
CETIF (Centro di Ricerca in Tecnologie, Innovazione e Servizi Finanziari) dal 1990 si occupa di definire, sviluppare e promuovere progetti che hanno l'obiettivo di esplorare le innovazioni strategico-organizzative applicate al mondo della finanza di banche e assicurazioni. L'analisi dell'innovazione permette di comprendere le dinamiche evolutive del mercato, delle organizzazioni e dell'impatto che nuovi strumenti informativi hanno sui processi decisionali e operativi. L'approccio indipendente, accademico e orientato a valore per gli Aderenti contraddistinguono i lavori di ricerca di CeTIF. Il CeTIF collabora con le principali società di analisi e ricerche di mercato italiane e internazionali, con le associazioni industriali, ed è socio fondatore del FIT: l'associazione europea dei centri di ricerca sulla finanza e l'information Technology. Nel comitato di Programma del CeTIF figurano esponenti dei principali attori di mercato del sistema finanziario italiano, oltre a rappresentanze delle istituzioni di vigilanza. Maggiori informazioni al indirizzo www.cetif.it 5