Modello di funzionamento della Compliance: principi e strumenti



Documenti analoghi
Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali

Esternalizzazione della Funzione Compliance

Sicurezza, Rischio e Business Continuity Quali sinergie?

IL SISTEMA DI CONTROLLO INTERNO

1- Corso di IT Strategy

PROGRAMMA DIDATTICO I MODULI DEL PERCORSO MODULO 1

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

consulenza e soluzioni applicative al servizio dei Confidi

ABICS 2.0: l implementazione in azienda del sistema di servizi progettato dall Associazione

Il Modello 231 e l integrazione con gli altri sistemi di gestione aziendali

Il Sistema dei Controlli Interni per gli Organi Societari e le Funzioni di Controllo

Audit & Sicurezza Informatica. Linee di servizio

Associazione Italiana Information Systems Auditors

La funzione di compliance nelle compagnie di assicurazione: il regolamento ISVAP n. 20


2.1 L associazione professionale Gli Standard professionali dell internal auditing Le competenze professionali 29

Gli strumenti del controllo economico-finanziario e l integrazione delle informazioni finanziarie ed i sistemi GRC (Governance, Risk e Compliance)

Piano Strategico

La certificazione CISM

MILANO TORINO GENOVA

Associazione Italiana Corporate & Investment Banking. Presentazione Ricerca. Il risk management nelle imprese italiane

Modello dei controlli di secondo e terzo livello

ISO family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo

Presentazione di Arthur D. Little Integrazione di sistemi di gestione

MANDATO DI AUDIT DI GRUPPO

IL GRUPPO ISAGRO THE SMALL GLOBAL PLAYER DEGLI AGROFARMACI. Osservatorio sul Risk Management nelle PMI italiane - seconda edizione

MANDATO INTERNAL AUDIT

ObjectWay Group. Winning Software Solutions. ObjectWay Financial Suite: la soluzione flessibile e innovativa per la consulenza finanziaria

Le difficoltà del passaggio dalla funzione di Ispettorato a Internal Audit Convegno Nazionale AIEA - 19 maggio 2004

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010

TAVOLI DI LAVORO 231 PROGRAMMA DEI LAVORI. PLENUM Consulting Group S.r.l.

L internal auditing nell Agenzia delle Entrate: una realtà in evoluzione. Dott. Salvatore Di Giugno Direttore Centrale Audit e Sicurezza

Il modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali. Roma, 6 giugno

Politica di Acquisto di FASTWEB

GESTIONE E CONTROLLO DEL RISCHIO FISCALE L architettura formativa di ABIFormazione

REALIZZAZIONE DEL SISTEMA DEI CONTROLLI INTERNI IN AGOS ITAFINCO SPA

La certificazione dei sistemi di gestione della sicurezza ISO e BS 7799

Servizi di revisione contabile e verifica delle informazioni finanziarie nel processo di listing e post listing

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Progetto BPR: Business Process Reengineering

Il Risk Management Integrato in eni

Associazione Italiana Information Systems Auditors

Wealth Risk Management: il controllo del rischio e la tutela dell investitore

NOTA AIFIRM Associazione Italiana Financial Industry Risk Managers 23 luglio 2013

ESSERE O APPARIRE. Le assicurazioni nell immaginario giovanile

Rischi operativi e ruolo dell operational risk manager negli intermediari finanziari

MANAGEMENT DELLA SICUREZZA E GOVERNANCE PUBBLICA - MASGOP

SISTEMA DI CONTROLLO INTERNO per la gestione del rischio amministrativo-contabile

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma

Il Valore Aggiunto del Sistema dei Controlli Interni Integrato

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità

Allegato A al CCNL 2006/2009 comparto Ministeri

Direzione Centrale Audit e Sicurezza IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE

Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231

Assessorato allo Sviluppo Economico Direzione Cultura Turismo e Sport Servizio Promozione Economica e Turistica

Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS

Banche e Sicurezza 2015

Università di Macerata Facoltà di Economia

Assetti Organizzativi, di Controllo e Risk Governance nei Confidi. Firenze, 28 Febbraio 2013

MODELLO DI COMUNICAZIONE FINANZIARIA

Città di Montalto Uffugo (Provincia di Cosenza) SISTEMA DI MISURAZIONE E VALUTAZIONE DELLA PERFORMANCE

IT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma

4. GESTIONE DELLE RISORSE

Il ruolo delle procedure nella gestione dello studio professionale. Michele D Agnolo

I NUOVI MODELLI ORGANIZZATIVI E TECNOLOGICI A SUPPORTO DELL EFFICIENZA AZIENDALE

Il ruolo del Dottore Commercialista nell attività di rating advisory ed il visto di conformità sul merito creditizio

REGOLAMENTO DEL COMITATO CONTROLLO E RISCHI DI SNAM. Il presente Regolamento, approvato dal Consiglio di Amministrazione in data 12

Andaf Riproduzione riservata

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO e ISO 22301

Certificazione ABI in Compliance management

VIDEOSORVEGLIANZA E CERTIFICAZIONE

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi

BCC BARLASSINA. Policy di Valutazione e Pricing delle obbligazioni emesse da

MANDATO DELLA FUNZIONE AUDIT. (Approvato dal Consiglio di Amministrazione di Enel Green Power il 12 marzo 2015)

Il ruolo dell Internal Auditing

Possibili iniziative di ricerca e formazione FISM-BOCCONI su

EA 03 Prospetto economico degli oneri complessivi 1

Compliance in Banks 2010

LA FORMAZIONE COME STRUMENTO ELETTIVO PER LA DIFFUSIONE DELLA CULTURA DELLA SICUREZZA, DELLA DIFFUSIONE DELLE CONOSCENZE

AMMINISTRARE I PROCESSI

Nuove funzioni e responsabilità del Risk Management. Presentazione alla Conferenza Il governo dei rischi in banca: nuove tendenze e sfide

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ITSMS (IT SERVICE MANAGEMENT SYSTEMS) AUDITOR/RESPONSABILI GRUPPO DI AUDIT

La gestione della Sicurezza nel Gruppo CRIF. La struttura organizzativa

AIM Italia/Mercato Alternativo del Capitale. Requisiti generali di organizzazione - funzioni aziendali di controllo (Nominated Adviser)

Avvertenza: il presente Regolamento è in attesa di pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.

Il Regolamento REACh e la Check Compliance: proposta di Linee Guida

Progetto di Information Security

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

NORMATIVA SULLA VIDEOSORVEGLIANZA

Gestire i rischi, novità e strumenti per i modelli 231/01 e la nuova ISO 9001 del 2015

Adozione dei principi contabili internazionali (IFRS) in Banca delle Marche

L approccio alla gestione integrata dei processi e dei controlli in BPB

SENAPA CONSULTING CATALOGO FORMAZIONE EDIZIONE True Partnership, True Prevention, True Protection

Transcript:

WORKSHOP Il supporto IT all approccio GRC per la riduzione dei costi nelle organizzazioni pubbliche e private Milano, 1 Dicembre 2009 Roberto Rufolo - Partner, Adfor 1

Stato dell arte Il proliferare e la continua evoluzione dei regolamenti e delle normative nazionali ed internazionali, e la pluralità di funzioni a vario titolo coinvolte Controlli Interni, Audit, Risk Management, Rischi Operativi, Compliance Manager, Information Security Manager determinano una continua e crescente complessità: CATEGORIE GENERALI riguardano tutte societàin generale, indipendentemente dal settore in cui operano PARTICOLARI riguardano le societàche si trovano in particolari situazioni (ad esempio quotate) indipendentemente dal settore in cui operano SPECIFICHE Riguardano specificamente le societàche operano in un determinato settore (nell esempio: assicurazioni, finanza) Includono norme e regolamenti dei rispettivi Organi di Vigilanza LEGGI, NORME, REGOLAMENTI, STANDARD (ESEMPI) L.231 (responsablità amministratori) L. 48/2008 (criminalità informatica) D.Lgs 81/2008 (testo unico sicurezza) D.Lgs 196/2001 (privacy) Sarbanes Oxley L. 231/07 (Antiriciclaggio) Solvency MIFID L. 262 (Trasparenza bancaria) Codice delle assicurazioni private Regolamenti ISVAP, Direttive BANKIT, Direttive CONSOB, DISCREZIONALI Sono, in genere, standard di mercato ai quali la societàintende conformarsi ISO 27001 (Information Security) ISO 25999 (Business Continuity) ISO 9001/Vision 2000 (Qualità) EFQM (Qualità) 2

Termini di riferimento OGGETTI DI COMPLIANCE SISTEMA DELLA COMPLIANCE Leggi, regolamenti, norme interne, standard, codici etici, al cui rispetto si deve / si intende essere conformi Rischi Controlli Sistema dei Controlli Derivanti da comportamenti non conformi: PotentialComplianceFailurePoint nei processi di business Conseguenze operative economiche legali reputazionali Ciò che si mette in atto per evitare / individuare / correggere comportamenti non conformi Articolazione delle responsabilità attinenti ai controlli Processi di Compliance Management Processi operativi del sistema della compliance(analisi, valutazione dei rischi, definizione dei controlli, verifiche, indirizzo correttivi, reporting, ) 3

Cornice per la costruzione della Compliance QUADRO DI GOVERNO SCENARIO DI RIFERIMENTO E VISIONE MODELLO DI FUNZIONAMENTO SISTEMA DEI CONTROLLI STRUMENTI SOFTWARE PROCESSI OPERATIVI CHE COSA Perimetro d interesse, Raccomandazioni e attese del Management, Policy di valutazione del rischio COME Responsabilità e criteri di cooperazione, Adempimenti, Rischi e Controlli per ciascuna materia nel perimetro d interesse Attività di monitoraggio, intervento, reportistica, Soluzioni applicative a supporto delle attività ROAD MAP QUANDO Programma di realizzazione graduale del Modello di Funzionamento Fattori chiave di successo (formazione, comunicazione, motivazione, ) 4

Stato dell arte Le aziende, in primis quelle del comparto finanziario, stanno affrontando questa complessità attraverso una fase di start-up caratterizzata da : Definizione di ruoli e responsabilità Mappatura di processi Analisi di impatto delle diverse normative sui singoli processi aziendali Modelli di gestione del rischio di compliance Strumenti software primordiali (tendenzialmente excel) E necessario (in atto in alcune realtà) il passaggio da questa fase di start-up ad una fase a regime, caratterizzata da un Sistema di Gestione della Compliance, rispetto al quale l IT costituisce un imprescindibile fattore abilitante 5

Sistema di Gestione della Compliance: visione d alto livello IMPIANTO (EX ANTE) ATTIVITA DI IMPIANTO DELLA COMPLIANCE (NUOVE NORMATIVE, NUOVI PRODOTTI, MODIFICHE ORGANIZZATIVE E PROCEDURALI) ANALISI D IMPATTO GAP ANALYSIS ACTION PLAN AZIONI VALIDAZIONE ADEMPIMENTI E SISTEMA DEI CONTROLLI PROCESSI DI BUSINESS ADEMPIMENTI RISCHI CONTROLLI DI PRIMO LIVELLO CONTROLLI DI SECONDO LIVELLO MODALITA E FREQUENZA DI VERIFICA REPORTISTICA ISTITUZIONALE E DI GOVERNO GESTIONE (EX-POST) PROCESSI DI COMPLIANCE MANAGEMENT VERIFICHE DI I E II LIVELLO SEGNALAZIONI DI NON CONFORMITA VERIFICHE REPORTING REPORTING ACTION PLAN AZIONI VALIDAZIONE 6

Il ruolo dell IT: fornire soluzioni per favorire efficienza e efficacia IMPIANTO (EX ANTE) ATTIVITA DI IMPIANTO DELLA COMPLIANCE (NUOVE NORMATIVE, NUOVI PRODOTTI, MODIFICHE ORGANIZZATIVE E PROCEDURALI) GESTIONE (EX-POST) VERIFICHE DI I E II LIVELLO SEGNALAZIONI DI NON CONFORMITA REPORTING ANALISI D IMPATTO PROCESSI DI BUSINESS VERIFICHE GAP ANALYSIS ACTION PLAN ADEMPIMENTI E SISTEMA DEI CONTROLLI ADEMPIMENTI RISCHI PROCESSI DI COMPLIANCE MANAGEMENT ACTION PLAN AZIONI CONTROLLI DI PRIMO LIVELLO CONTROLLI DI SECONDO LIVELLO AZIONI MODALITA E FREQUENZA DI VERIFICA VALIDAZIONE VALIDAZIONE REPORTISTICA ISTITUZIONALE E DI GOVERNO REPORTING Strumenti software a supporto delle conoscenze, fonti normative, pareri Strumenti software a supporto del ciclo di gestione operativa della compliance I principali requisiti per uno strumento software per la gestione operativa della compliance: Copertura funzionale dell intero ciclo di compliance management, Efficienza di gestione (eliminazione/riduzione delle ridondanze nei controlli), Apertura (in import) a fonti normative interne/esterne, Integrabilità (import/export) con altri sistemi (risk management, process management, ), Adattabilità al contesto organizzativo Multi-azienda, multi-divisione, multi-livello (operazionale, gestionale, direzionale), multi-lingua Flessibilità di utilizzo Viste multiple (per norma, per processo, per unità organizzativa), Selettività rispetto ai ruoli aziendali (per ruolo rispetto alla compliance) 7

Sintesi delle principali funzionalità Gestione Anagrafiche, Parametri, Repository Ciclo di Compliance Management Raggruppamento Viste Multiple Processi di Business Risk Tiers Contesto organizzativo Parametri Fase del Ciclo Identificazione e analisi dei rischi Definizione della risposta al rischio Assessment e Gap analysis Action Plan Validazione Verifiche Reportistica Contenuti Informazioni generali Profilo di rischio Flowchart Signing Process Categorie di rischio Funzioni, Persone, Sedi, Sistemi IT,. Criteri di valutazione, Pesi, Questionari, Entità coinvolte Leggi, Regolamenti, Adempimenti, Rischi di non conformità, Assertions, Analisi quali-quantitativa Controlli di I e II livello, Owner dei controlli, Frequenza e modalità di verifica, KRI, Stato attuale dei controlli, Scostamenti dallo stato di conformità, Debolezze, Definizione e monitoring di interventi per il rientro dalle non conformità Verifica del rientro da non conformità Verifiche nel continuo: frequenze, scadenziari, gestione degli alert, Gestione di segnalazioni di non conformità, traccia e storicizzazione di eventi Reporting gestionale: rischi, controlli, debolezze, traccia degli interventi, scadenziari, Dashboard direzionali con grafica e funzionalità di drill down 8

Rischi di non conformità e gerarchia dei controlli Esempi tratti dalla suite software Easy2comply LEGGI, NORME, REGOLAMENTI Potential Compliance Failure Point PROCESSI SRUTTRA ORGANIZZATIVA Descrizione del rischio di Compliance Controlli di terzo livello Controlli di secondo livello Di competenza dell audit Di competenza di RiskManager e Compliance Manager Valutazione Qualitativa: matrice impatto/probabilità Controlli di primo livello (Controlli di linea) 9 Di competenza dei rispettivi process owner

Definizione della risposta al rischio: i controlli Esempi tratti dalla suite software Easy2comply PROCESSI LEGGI, NORME, REGOLAMENTI Potential Compliance Failure Point SRUTTRA ORGANIZZATIVA Rischio e Controllo associato Descrizione del Controllo Descrizione dell obiettivo del controllo e delle azioni già in atto 10

Dashboard (per Livello di Conformità, per processo, per norma, ) Esempi tratti dalla suite software Easy2comply Nota: tutti i Dashboard sono visibili per Normativa, Standard o Processo 11

Riassumendo i requirement per l IT SISTEMI INFORMATIVI NECESSITA GOVERNANCE CONTROLLI DI PRIMO LIVELLO CONTROLLI DI SECONDO E TERZO LIVELLO SISTEMI OPERAZIONALI (DI BUSINESS) Obbligare/Facilitare/ comportamenti conformi Impedire comportamenti non conformi Funzionalitàa supporto dei controlli (Log, Queryspecifiche, estrazioni) SISTEMI DI GOVERNO DELLA COMPLIANCE Valutazione dei rischi Dashboardper gli organi di controllo Riduzione dei costi di compliance mgnt Definire i controlli adeguati al livello di rischio Aumento di efficacia Verificare, individuare non conformità, tracciare, documentare Aumento di efficacia SISTEMI DI CONDIVISIONE DELLA CONOSCENZA Accesso a fonti normative LegalInventory Informare Motivare Favorire la comunicazione 12

L esperienza di un gruppo bancario olandese con presenza multinazionale 13

Background PROFILO PERIMETRO DI COMPLIANCE MODELLO : OPERATING IN SILOS Il gruppo bancario offre una gamma completa di servizi attraverso: 183 banche locali (olandesi) indipendenti, per un totale di 1220 filiali, un organizzazione centrale, e un rilevante numero di uffici internazionali. Il gruppo serve: 9 milioni di clienti con 56.000 addetti in 42 nazioni. Piùdi 50 norme e standard: International regulations -come Basel II Regionalregulations, come ad esempio MiFID in Europa Sarbanes Oxley in USA Leggi e regolamenti locali Regolamenti bancari di ciascuna nazione Standard di Internal Governance IT standard come: ITIL, ISO27001... Regulation/ Standard Basel II ISO27001 Privacy Law Mifid Cobit Task Force Group A Group B Group C Group D Group E Consultants Firm #1 Firm #2 Firm #3 Firm #4 Firm #5 CONSEGUENZE Methodolog y Tools Disomogeneità Visioni parziali della compliancee dei rischi Duplicazione degli sforzi Audit Fatigue Costi alti e crescenti di anno in anno Ciclo lungo di compliance α β γ δ ε 14

La soluzione Una soluzione composta da due elementi: COMPLIANCE FRAMEWORK integrato COMPLIANCE MODELLING APPROACH 15 15

Il risultato L imbuto della Compliance: 4904 Controls Active evaluated 215 Controls added 1195 Active Controls left 56 56 Internal Internal Policies Policies ROB ROB BASEL-II BASEL-II Unix Unix WFD WFD SOX SOX Windows Windows WBP WBP Security Security Baseline Baseline Control Objectives Control Objectives Tandem Tandem Current Active Controls Tabaksblat Tabaksblat Security Security Guide Line Guide Line ZOS ZOS WEH WEH 76% diriduzionedel numerodicontrolli 50% di riduzione dei costi totali di gestione della compliance Limitato numero di nuovi controlli aggiunti dopo le prime 9 normative affrontate (attualmente circa 40) 16

2026 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back