codice di autodisciplina e it governance · i principi di cobit 5 sono: • 1. meeting stakeholder...

Codice di Autodisciplina e IT Governance

Milano, 2 ottobre 2013

Premessa ed obiettivi

Un gruppo di lavoro formato da soci AIEA esperti di IT Risk & Governance :

Marco Crestan – E&Y

Diego Monteleone – KPMG

Davide Mozzone – Deloitte

Dario Tizzanini – Snam

Ugo Vignolo Lutati – PwC

ha definito un Position Paper, che potesse fornire, interpretando il Codice di autodisciplina, una guida e quindi supportare le società quotate ad affrontare le tematiche di IT Governance.

2

Agenda

1. Breve presentazione del Codice di autodisciplina

2. Perché COBIT 5

3. COBIT 5: A business framework

4. Definizione dell’approccio di audit

3

Breve presentazione del Codice di autodisciplina

1

Codice di autodisciplina di Borsa Italiana SpA

► Il Codice di Autodisciplina è stato redatto dal comitato per la corporate governance delle società quotate nominato da Borsa Italiana S.p.A. nel 1999, revisionato nel 2002 , sostituito nel 2006 ed infine revisionato con l’attuale versione risalente al dicembre 2011.

► L’adesione al Codice di Autodisciplina da parte delle società quotate è volontaria

► L’adesione volontaria al Codice di Autodisciplina influisce sulla “reputazione” della società ed ha principalmente un effetto premiante di mercato

► Sistema del comply or explain – l’ordinamento prevede un obbligo di divulgazione al mercato dell’eventuale adesione ai codici di governo societario (tra cui il Codice di Autodisciplina), fornendo informazioni sull’osservanza (comply) ovvero motivando gli eventuali scostamenti (explain)

5

Codice di autodisciplina di Borsa Italiana SpA

► Le novità apportate dall’ultima revisione del Codice (2011) seguono tre direttrici principali: ► semplificazione e chiarificazione delle regole già esistenti;

► allineamento delle condotte richieste alle nuove regole del diritto societario e comunitario;

► inserimento di nuovi principi volti ad innalzare gli standard di governance degli emittenti e ad anticipare possibili futuri interventi legislativi.

► Le novità apportate al Codice, tra le altre, hanno portato all’introduzione della funzione della gestione dei rischi all’interno del sistema del controllo interno al fine di: ► contribuire a diffondere la “cultura del rischio”, inserendo la funzione della gestione dei

rischi all’interno del sistema di controllo interno;

► attribuire al CdA, coadiuvato dal (rinnovato) “Comitato per il controllo interno e la gestione dei rischi”, un ruolo chiave nella definizione della natura e del livello del rischio compatibile con gli obiettivi strategici dell’emittente;

► razionalizzare il sistema di controllo interno e gestione dei rischi sotto il profilo delle competenze attribuite ai vari soggetti coinvolti nell’esercizio di questa funzione.

6

Codice di autodisciplina di Borsa Italiana SpA (Circolare nr. 263/2013 – Banca d’Italia – Principali ambiti impattati)

5. COMPLIANCE • Collocazione organizzativa

• Chiarimento ed estensione del perimetro normativo

della funzione (es. normativa fiscale, ecc.) – cd.

“Compliance allargata”

• Ruolo di coordinamento dei presidi aziendali

specialistici di compliance (definizione metodologie di

valutazione dei rischi di compliance, strumenti e flussi di

reporting)

• Rafforzamento rolo di consulenza ex ante (progetti

innovativi )

• Rafforzamento obblighi reporting verso Banca d’Italia

7. ICT • Revisione/ razionalizzazione organizzazione ICT

• Introduzione di un modello di gestione integrata del

rischio informatico (comprensivo di valutazione della

propensione al rischio informatico)

• Focus sulla sicurezza informatica e compliance IT

• Obbligo in termini di segregazione dei compiti

• Obbligo di tracciatura delle transazioni critiche

• Introduzione di un modello di gestione dei dati (Data

Governance)

• Definizione/Revisione delle modalità di gestione e

controllo dell’esternalizzazione e del sourcing di sistemi

e servizi ICT

• Obbligo di predisposizione dei Documenti aziendali per

la gestione e il controllo ICT (Allegato A)

• Obbligo di reporting verso Banca d’Italia dei controlli

svolti da parte dell’Internal Auditing nei confronti

dell’outsourcer

• Rafforzamento requisiti in tema di Continuità Operativa

4. INTERNAL AUDIT

• Collocazione organizzativa

• Rafforzamento compiti di controllo su metodologie di

valutazione delle attività, risk management, su criticità

identificate dalla società di revisione legale

• Pianificazione ed esecuzione controlli in funzioni dei

rischi

• Rafforzamento e rimodulazione obblighi di reporting

verso Banca d’Italia

6. RISK MANAGEMENT

• Collocazione organizzativa

• Rafforzamento del ruolo del Risk Management

• Funzione di Convalida

• Declinazione politiche di governo dei rischi e relativi

processi

• Verifica corretto svolgimento monitoraggio andamentale

posizioni creditizie e congruità accantonamenti

• Strategic & Reputational risk management

• Risk opinion su nuovi prodotti/servizi/mercati

• Rafforzamento obblighi di reporting verso Bankit

1. GOVERNANCE

• Rafforzamento del ruolo della Corporate Governance e

del coinvolgimento di OSS, OG, OC

• Definizione Codice etico

• Definizione Risk Appetite Framework e coerenza con

strategie

• Operazioni di maggiori rilievo

• Nomina e revoca funzioni di controllo

• Comitato Controllo e Rischi

• Assegnazione al Collegio Sindacale dell’OdV 231/01

• Policy SCI e flussi informativi

• Verifica annuale compliance SCI

3. ORGANIZZAZIONE • Framework integrato di presidio dei rischi

• Rafforzamento della centralità e del ruolo dei controlli di

linea

• Product approval

• Disciplina organica esternalizzazione di funzioni

aziendali rilevanti

• Processi e metodologie per la valutazione delle attività

• Controlli di gruppo (referenti interni funzioni

esternalizzate; anagrafica unica clienti; comunicazione

preventiva a Bankit su funzioni esternalizzate; verifiche

periodiche a livello consolidato)

2. PERSONALE FUNZIONI DI CONTROLLO

• Procedure di valutazione quali quantitativa del

personale delle funzioni di controllo

• Definizione percorsi formativi

• Rotazione delle risorse

• Poteri di spesa per le funzioni di controllo

Codice di autodisciplina di Borsa Italiana SpA (Circolare nr. 263/2013 – Banca d’Italia)

► Possiamo quindi affermare che, a due anni di distanza dalla pubblicazione dell’ultima revisione del Codice, la Banca d’Italia abbia aggiornato la disciplina in ambito IT Governance in modo chiaro e puntuale. E’ auspicabile che in un futuro prossimo, sempre seguendo il concetto di proporzionalità, tali tematiche possano diventare un importante requisito ancora più chiaramente definito all’interno del Codice stesso vista l’importanza che oggi l’IT Governance ha assunto all’interno delle Società.

8

Quando il Codice di Autodisciplina incontra i Sistemi Informativi

Il Codice di Autodisciplina definisce nell’Art. 7 nel primo principio 7.P.1, “[…]. Tale sistema (ndr. di controllo interno e gestione dei rischi) è integrato nei più generali assetti organizzativi e di governo societario adottati dall’emittente e tiene in adeguata considerazione i modelli di riferimento e le best practices esistenti in ambito nazionale e internazionale […]”

Inoltre, sempre nello stesso articolo nel quinto criterio attuativo 7.C.5 si parla di sistemi informativi, “Il responsabile della funzione di internal audit: […]; g)verifica, nell’ambito del piano di audit, l’affidabilità dei sistemi informativi inclusi i sistemi di rilevazione contabile”

9

Come tradurre nella pratica le tematiche di IT Governance?

Esiste un framework adatto a rispondere alle esigenze del Codice?

Quali caratteristiche dovrebbe avere?

1. Essere allineata con la Governance d’impresa e gli obiettivi di business 2. Essere un’unico framework internazionalmente riconosciuto 3. Separare adeguatamente Governance da Management

COBIT 5

10

Perché COBIT 5

2

COBIT 5, come espresso nel suo primo principio, nasce prima di tutto come necessità degli stakeholder, fisiologicamente influenzate da fattori esogeni (ambiente e regolamentazioni esterne ed evoluzione tecnologica)

Una volta che è stata definita la strategia dell’azienda, questa si traduce in obiettivi di business, i quali a loro volta si riconducono ad obiettivi IT

Pertanto deve essere chiaro alle Società che decidono di implementare COBIT 5 che la direzione, il coinvolgimento ed il supporto continuo da parte del top management dell’azienda siano condizioni necessarie

La scelta di implementare COBIT 5 come modello di IT Governance non è prerogativa del CIO o della Direzione Sistemi Informativi, ma è in primo luogo della Direzione d’impresa

ISACA, Cobit 5, A Business Framework for the Governance and Management of Enterprise IT, ISACA, 2012

Perché COBIT 5 “Meeting Stakeholder Needs”

Adottando COBIT 5 le aziende possono separare chiaramente la governance dal management.

ISACA, Cobit 5, A Business Framework for the Governance

and Management of Enterprise IT, ISACA, 2012

Perché COBIT 5 “Separating Governance from Management”

COBIT 5 permette all’informazione ed alla relativa tecnologia di essere governata e gestita in maniera olistica sull’intera organizzazione, considerando sia i processi di business end-to-end e le aree funzionali di responsabilità, sia gli interessi legati all’IT.

13

COBIT 5 consolida e integra i precedenti framework emessi da ISACA (COBIT 4.1, Val IT 2.0 and Risk IT e BMIS)

fa riferimento agli altri modelli Enterprise related (COSO, COSO ERM, ISO 9000, ISO 31000) ed IT related (ISO 38500, ITIL, serie ISO 27000, TOGAF, PMBOK/PRINCE2, CMMI)


Perché COBIT 5 “Applying a Single, Integrated Framework”

14

COBIT 5 è allineato con gli ultimi standard e framework internazionalmente riconosciuti, fatto che permette all’azienda di utilizzarlo come elemento di integrazione più che una sostituzione di altri standard e framework.


Perché COBIT 5 “Applying a Single, Integrated Framework”

15

COBIT 5: A business framework

3

I contenuti di COBIT 5 sono i seguenti:

5 principi (principles)

7 elementi abilitatori (enablers)

il modello ‘Process Reference’ (l’insieme dei processi, delle

attività, delle practice, …)

la guida per l’implementazione del framework

un modello per la definizione della grado di maturità della

strttura IT (governance IT e management IT)


17

Come emerge dal titolo che lo accompagna, le intenzioni del nuovo framework sono manifeste ed inequivocabili: rivolto non più esclusivamente ai dipartimenti IT delle società (tanto da definirsi business framework), COBIT 5 diventa lo strumento di governo e gestione dell’IT. Nell’executive summary del documento leggiamo:

“[…] COBIT 5 provides a comprehensive framework that assists enterprises in achieving their objectives for the governance and management of enterprise IT. Simply stated, it helps enterprises create optimal value from IT by maintaining a balance between realising benefits and optimising risk levels and resource use. COBIT 5 enables IT to be governed and managed in a holistic manner for the entire enterprise, taking in the full end-to-end business and IT functional areas of responsibility, considering the IT-related interests of internal and external stakeholders. COBIT 5 is generic and useful for enterprises of all sizes, whether commercial, not-for-profit or in the public sector […]”.


18

I principi di COBIT 5 sono:

• 1. Meeting Stakeholder Needs: partendo dal presupposto che le società esistono al fine di dare valore agli stakeholders garantendo l’equilibrio desiderato tra i benefici ottenuti, i rischi assunti e l’impiego delle risorse, COBIT fornisce evidenza di quali processi e quali elementi abilitanti siano necessari a supportare la creazione di valore.

• 2. Covering the Enterprise End-to-end: COBIT non insiste solamente sui processi IT ma considera l’informazione ed i corrispondenti elementi tecnologici come attività, patrimonio, assests.

• 3. Applying a Single, Integrated Framework: COBIT si allinea con gli le best practices e gli standard esistenti, al fine di fornire un indirizzo di alto livello per le tematiche di governo e gestione dell’IT all’interno delle società.

I principi COBIT 5

• 4. Enabling a Holistic Approach: il governo e la gestione dell’IT richiedono un approccio olistico delle numerose componenti esistenti e che interagiscono tra loro. Per tale ragione COBIT definisce alcuni elementi abilitanti per permettere l’implementazione dei processi di governo e gestione. Gli elementi abilitanti sono: i) Principles, Policies and Frameworks; ii) Processes; iii) Organisational Structures; iv) Culture, Ethics and Behaviour; v) Information; vi) Services, Infrastructure and Applications; vii) People, Skills and Competencies.

19

• 5.Separating Governance from Management: governo e gestione sono elementi differenti in ambito aziendale. COBIT li disciplina definendo per ciascuno lo svolgimento di determinate attività e l’adozioni di strutture organizzative dedicate, al fine di raggiungere obiettivi differenti. Infatti:

– la governance assicura che i bisogni degli stakeholders, condizioni ed opzioni siano valutate al fine di determinare obiettivi aziendali bilanciati e concordati; l’impostazione della direzione attraverso la prioritizzazione ed il decision making; il monitoraggio delle performance e la compliance in confronto alla direzione concordata e agli obiettivi;

– il management pianifica, costruisce, fa funzionare e monitora le attività in allineamento alle direzioni impostate dal corpo della governance al fine di raggiungere gli obiettivi aziendali.

I principi COBIT 5

20

Ripercorrendo i principi, COBIT 5 correla quindi i bisogni di portatori di interesse agli obiettivi dell’impresa, definendo gli obiettivi IT e gli elementi abilitanti. E’ proprio seguendo queste correlazioni che troviamo le guide di riferimento dei processi, le quali riportano – spesso ampliate e riviste (se non – a volte, del tutto nuove), le informazioni tipiche del mondo COBIT:

identificazione dei processi

descrizione dei processi

definizione dello scopo del processo

la connessione degli obiettivi

(Goal Cascade)

obiettivi del processo e metriche

Matrice RACI

descrizione dettagliata dei processi

I principi COBIT 5

21

• Il concetto di rischio, controllo e misurazione non possono prescindere dal grado di raggiungimento degli obiettivi IT (necessari come detto per l’abilitazione degli obiettivi di business). Tali obiettivi sono raggiunti attraverso l’implementazione di fattori abilitanti e sono categorizzati come segue:

intrinsic goals

contextual goals

accessibility and security goals

• Ne consegue che il concetto di affidabilità dei sistemi informativi è da ricercarsi nell’ambito di processi IT che sappiano rendersi abilitatori delle qualità dell’informazione.

• Al fine di verificare le caratteristiche di affidabilità dei sistemi è pertanto necessario definire un approccio di audit IT che si focalizzi sui processi IT e che indirizzi in modo specifico le qualità dell’informazione come sopra definite

Il concetto di rischio ed affidabilità

22

Definizione dell’approccio di audit

4

Cobit 5 come modello di governance ICT

Soddisfare le necessità degli Stakeholders

Coprire l’Enterprise End-to-End

Applicare un framework

unico e integrato

Definire un approccio

olistico

Separare la governance dal management

Identificazione dei

processi IT

Connessione degli obiettivi

(Goal Cascade)

Definizione dello scopo

del processo IT

Descrizione dei processi

IT

Risk Assessment

Matrice

RACI

Monitoraggio

Piano di audit IT

Affidabilità dei sistemi informativi

24

• Obiettivo: verificare l’adeguatezza dei processi IT e l’affidabilità dei sistemi in conformità con gli obiettivi di business

• Soluzione: definizione di un piano di audit IT che identifichi secondo una metodologia consolidata gli interventi di audit da eseguire secondo un criterio di valutazione dei rischi

Piano di Audit IT

Mappatura processi e sistemi IT

Esecuzione Risk

Assessment

Esecuzione piano di

audit

Definizione del piano di

azione e relative

attività di monitoraggio

Processi e Sistemi IT

25

Processi e relativi obiettivi e sistemi

• Identificazione di tutti i processi di business rilevanti e dei loro obiettivi, nonché dei sistemi a supporto degli stessi

Risk Assessment

• Identificazione delle minacce e delle parti coinvolte

• Valutazione dei rischi e dei loro impatti sul sistema

• Test di accettabilità e decisioni di salvaguardia (misure di controllo IT)

• Revisione e verifica della rispondenza ai requisiti definiti a livello di obiettivi del sistema attuale

Piano di Audit

• Verifica dei controlli generali IT e relativa maturity

• Assessment dei controlli automatici e semiautomatici

• Verifiche ad hoc (obiettivo Sicurezza/Accessibilità)

Aggiornamento Risk Assessment

• Identificazione gap rispetto alle leading practices

• Aggiornamento del piano per eliminare le discontinuità identificate

• Revisione del piano di controllo e del dettaglio test

Le fasi di sviluppo

26

Da dove partire:

• Identificazione dei processi rilevanti e loro obiettivi/sistemi di supporto

• Definizione del perimetro dei sistemi oggetto di verifiche e loro influenza sui risultati/target

• Valutazione (qualitativa e quantitativa) dei possibili rischi esistenti, in merito alle relative minacce e vulnerabilità, e di conseguenza sugli impatti rispetto al raggiungimento degli obiettivi di controllo IT (Risk Assessment)


Risk Assessment

Piano di Audit Aggiornamento

Risk

Assessment

Le fasi di sviluppo Attività preliminari

27

• Analisi preventiva del contesto aziendale e suo perimetro

• Comprensione dell’influenza dei processi IT sui rischi individuati

• Comprensione delle modalità di governance dei Sistemi Informativi

– Evaluate, direct and monitoring (Cobit5)

• Assegnazione livello di criticità/priorità per ciascun sistema

--> Definizione del Piano di Audit (pluriennale, non superiore ai 5 anni)

Comprensione del

perimetro

Identificazione dei rischi inerenti i

processi IT

Comprensione dei controlli IT

che indirizzano il

rischio

Monitoraggio del rischio e azioni di controllo


Risk Assessment


Risk

Assessment

Le fasi di sviluppo Risk Assessment

28

Le fasi di sviluppo Piano di Audit


Risk Assessment


Risk

Assessment

Verifica dei controlli generali IT e relativa maturity

Per indirizzare gli obiettivi “Qualità intrinseca” e, parzialmente,

Sicurezza/Accessibilità

Gestione dei processi del ciclo di vita del SI

(Management Processes secondo Cobit 5)

1. Align, plan and organize

2. Build, acquire and implement

3. Deliver, service and support

4. Monitor, evaluate and assess

Assessment dei controlli automatici (e semiautomatici)

Per indirizzare indirizzare l’obiettivo di Qualità del contenuto e

della rappresentazione

Test dei controlli chiave gestiti tramite automatismi di sistema, nell’ambito dei processi

di business significativi

Verifiche ad hoc con riferimento all’obiettivo Sicurezza/Accessibilità

1. Vulnerability assessment and Penetration tests

2. Security assessment

3. Compliance privacy

4. Verifiche sulla Segregation of duties

29

• Identificazione e valutazione di eventuali elementi di discontinuità rispetto al passato

• Modifica dell’ambito e del dettaglio dei test da eseguire per l’anno corrente

focus sugli elementi modificati rispetto al Risk Assessment precedente o che presentano una priorità maggiore

• Inoltre:

Follow-up dei precedenti audit e verifica dell’effettiva implementazione degli action plan definiti e l’efficacia delle soluzioni adottate;

Specifiche verifiche sui cambiamenti significativi avvenuti rispetto al precedente sistema dei controlli ed eventuali ulteriori verifiche ad-hoc;

Esecuzione delle attività previste dal piano di audit pluriennale.


Risk Assessment


Risk

Assessment

Le fasi di sviluppo Aggiornamento del Risk Assessment

30

Strategia aziendale, obiettivi IT e di

business

Conclusioni

Cobit 5

Modello di controllo

Risk Assessment

Action Plan periodici

Test e verifiche ad

hoc

Follow up e update

Piano di verifiche per l’affidabilità dei sistemi

Processi e sistemi IT Codice di autodisciplina

Direzione, coinvolgimento e supporto continuo del top

management

31

codice di autodisciplina e it governance · i principi di cobit 5 sono: • 1. meeting stakeholder...

Documents