Upload
truongnguyet
View
224
Download
0
Embed Size (px)
Citation preview
1
11° Aggiornamento delle «Disposizioni di vigilanza per le banche»: un nuovo rapporto tra
Banca ed Outsourcer?
Lunedì 23 novembre 2015
Cattolica Assicurazioni
Verona
2 ISACA VENICE Chapter
Cedacri in una slide
23/11/2015
Gestione completa del sistema informativo bancario: ■ Soluzioni applicative ■ Infrastruttura tecnologica (HW, SW di
base, network) ■ Help desk e presidio
applicativo/funzionale ■ System Integration
Business Proces Outsourcing: ■ Back Office bancari ■ Supporto ai canali (Call Center
clienti/dipendenti) ■ Smaterializzazione e Gestione
documentale ■ Stampa e postalizzazione
Piattaforma di near-shoring in Moldova: ■ Servizi di BPO ■ Sviluppi Software
■ 1.400 dipendenti ■ > 150 Clienti tra banche,
istituzioni finanziarie, aziende industriali e di servizi
■ > 255 Mln di fatturato Consolidato di Gruppo
■ 2.700 sportelli gestiti ■ 30.000 Mips di potenza
elaborativa Mainframe ■ 4.000 Server ■ 33.000 utenti utilizzatori
del Sistema ■ 50 milioni di transazioni
gestite giornalmente
CEDACRI IN NUMERI
Circa il 10% del sistema bancario italiano è attestato
su Cedacri (*)
(*) Rif: masse intermediate Fonte: Bilanci 2013
3 ISACA VENICE Chapter
Le certificazioni di Cedacri
23/11/2015
UNI EN ISO 9001:2008 – Sistema di Gestione Qualità UNI CEI ISO/IEC 27001:2013 – Sistema di Gestione della Sicurezza Campo di applicazione: Progettazione, sviluppo, manutenzione e gestione in outsourcing di sistemi informativi, ASP, Facility management, Firma Digitale, Posta Elettronica Certificata, Servizi di formazione e consulenza organizzativa in ambito bancario, Disaster Recovery. ISO/IEC 20000-1:2011 – Information technology -- Service management Scope: “The Information Technology Service Management System of CEDACRI supporting the provision of Application and Infrastructure Management and Maintenance services to Banking and Financial Institutions and to other external customers”.
ISAE 3402 TYPE TWO Attestazione dell’effettivo funzionamento del sistema dei controlli operanti sui processi aziendali relativi ai servizi di outsourcing.
TIER III – Continuità del business (alimentazione elettrica, condizionamento, resistenza agli eventi naturali) Attestazione di conformità dei data center ai requisiti “Tier Performance Standards” del documento “White Paper – Tier Classification Define Site Infrastructure Performance” pubblicato dall’Uptime Institute.
Certification Authority Posta Elettronica Certificata Certificatore Accreditato e Gestore Certificato da DigitPA - Ente Nazionale per la Digitalizzazione della Pubblica Amministrazione.
PCI DSS – Payment Card Industry Data Security Standard Certificazione richiesta dai Circuiti Internazionali di gestione delle carte che richiede il rispetto dei requisiti (più di 200 da rispettare tassativamente) necessari per garantire la sicurezza dei dati dei titolari di carte di credito/debito.
5 ISACA VENICE Chapter
L’evoluzione normativa
23/11/2015
11°Aggiornamento Circolare n. 285 del 17 dicembre 2013 «Disposizioni di
vigilanza per le banche»
La norma fornisce un quadro regolamentare all’interno del quale porre i rapporti
tra Banche e fornitori, in primis gli outsourcer informatici, a cui è richiesto un
significativo sforzo di integrazione con i processi delle Banche (vedi analisi del
rischio ICT).
D. Lgs. 12 maggio 2015, n. 72
Il decreto, che ha recepito la direttiva CRD IV, ha introdotto nel T.U.B. e nel
T.U.F., inter alia, significative novità relative alla disciplina dei fornitori di servizi
essenziali o importanti esternalizzati dagli intermediari, attribuendo alla Banca
d’Italia diretti poteri di vigilanza su tali entità.
Sanzioni e procedura sanzionatoria amministrativa (Documento per la
consultazione)
I destinatari della norma comprendono «i soggetti ai quali sono state
esternalizzate funzioni aziendali essenziali o importanti.»
6 ISACA VENICE Chapter
L’evoluzione normativa
23/11/2015
Dal punto di vista ICT, la normativa rende evidenti e sistematici una serie di requisiti già conosciuti ed affrontati nell’ambito delle attività di IT Governance, in precedenza richiesti direttamente dai Clienti, suggeriti dai framework di controllo o imposti dalle certificazioni adottate nel tempo.
Banca Outsourcer
La normativa, pur essendo indirizzata alle Banche, ha impatto anche sull’outsourcer il cui ruolo non è più quello di mero fornitore di servizi.
Ciò implica una maggiore interrelazione tra le Banche ed il proprio outsourcer, che quindi dovrà evolvere per poter rispondere in modo coerente alle richieste di natura normativa.
La Banca deve diventare un po’ Outsourcer… …l’Outsourcer deve diventare un po’… Banca
7 ISACA VENICE Chapter
Punti di attenzione
LEGGENDO PER LA PRIMA VOLTA IL DOCUMENTO IN
CONSULTAZIONE CHE HA PORTATO AL 15° AGGIORNAMENTO
DELLA CRIC. 263 (POI CONFLUITA NELLA CIRC. 285) CI È SEMBRATO
CHE L’OUTSOURCING VENISSE VISTO TUTTO SOMMATO
NEGATIVAMENTE, E CI SONO SORTE ALCUNE DOMANDE:
• PER BANCA D’ITALIA ESTERNALIZZARE È UN VANTAGGIO O NO?
• QUALE È IL CRITERIO CHE MI PORTA A SCEGLIERE TRA
SOLUZIONE INTERNA ED ESTERNA?
• E QUALE È IL CRITERIO DA SEGUIRE PER SCEGLIERE TRA
OUTSOURCER DIVERSI?
IN ULTIMA ANALISI:
• L’ESTERNALIZZAZIONE AUMENTA O DIMINUISCE IL RISCHIO PER
L’INTERMEDIARIO?
8 ISACA VENICE Chapter
• Parte I – Recepimento in
Italia della CRD IV
• Titolo IV - Governo
societario, controlli interni,
gestione dei rischi
• Capitolo 3 – Il sistema dei
controlli interni
• Sezione IV –
Esternalizzazione di
funzioni aziendali
(outsourcing) al di fuori del
gruppo bancario
Il punto di vista
dell’outsourcer
1. Principi generali e requisiti particolari
Le banche che ricorrono all’esternalizzazione di
funzioni aziendali presidiano i rischi derivanti dalle
scelte effettuate e mantengono la capacità di controllo
e la responsabilità sulle attività esternalizzate nonché le
competenze tecniche e gestionali essenziali per re-
internalizzare, in caso di necessità, il loro svolgimento.
Pur non ritenendo l’esternalizzazione un processo
irreversibile non è possibile trascurare il fatto che
un’eventuale re-internalizzazione dei servizi
comporterebbe maggiori costi per le banche;
sembrerebbe più realistico porre maggior enfasi sui
processi di controllo dell’operato dell’outsourcer,
prevedendo anche accertamenti ispettivi da parte delle
banche clienti, se non direttamente da parte della
Vigilanza stessa.
Punti di attenzione
9 ISACA VENICE Chapter
• Parte I – Recepimento in
Italia della CRD IV
• Titolo IV - Governo
societario, controlli interni,
gestione dei rischi
• Capitolo 3 – Il sistema dei
controlli interni
• Sezione IV –
Esternalizzazione di
funzioni aziendali
(outsourcing) al di fuori del
gruppo bancario
Il punto di vista
dell’outsourcer
Sono inoltre previste clausole risolutive espresse che
consentano alla banca di porre termine all’accordo di
esternalizzazione in presenza di eventi che possano
compromettere la capacità del fornitore di garantire il
servizio oppure quando si verifichi il mancato rispetto
del livello di servizio concordato.
La formulazione utilizzata, interpretata letteralmente,
risulta estremamente penalizzante per gli outsourcer;
inoltre è scarsamente applicabile nel caso il Cliente
abbia una partecipazione azionaria nel centro servizi.
Sarebbe opportuno limitare tale previsione ai casi nei
quali il mancato rispetto del livello di servizio si verifichi
in modo generalizzato, grave e continuo e, soprattutto,
con impatto rilevante sul business della Banca.
Punti di attenzione
10 ISACA VENICE Chapter
Il punto di vista
dell’outsourcer
3. Comunicazioni alla Banca centrale europea o alla
Banca d’Italia
Le banche che intendono esternalizzare, in tutto o in
parte, lo svolgimento di funzioni operative importanti o
di controllo ne danno comunicazione preventiva alla
Banca d’Italia. La comunicazione, corredata di tutte le
indicazioni utili a verificare il rispetto dei criteri indicati
nella presente Sezione, è effettuata almeno 60 giorni
prima di conferire l’incarico e specifica le esigenze
aziendali che hanno determinato la scelta. Entro 60
giorni dal ricevimento della comunicazione la Banca
d’Italia può avviare un procedimento amministrativo
d’ufficio di divieto dell’esternalizzazione che si conclude
entro 60 giorni.
Non risulta chiara la motivazione per cui venga
richiesta una autorizzazione per l’esternalizzazione e
non per la re-internalizzazione, come se quest’ultima
non presentasse rischi. Inoltre anche il cambio di
outsourcer dovrebbe essere sottoposto a verifica della Vigilanza.
Punti di attenzione
• Parte I – Recepimento in
Italia della CRD IV
• Titolo IV - Governo
societario, controlli interni,
gestione dei rischi
• Capitolo 3 – Il sistema dei
controlli interni
• Sezione V – Il RAF, il
sistema dei controlli interni
e l’esternalizzazione nei
gruppi bancari
11 ISACA VENICE Chapter
• Parte Prima – Recepimento
in Italia della CRD IV
• Titolo IV – Governo
societario, controlli interni
e gestione dei rischi
• Capitolo 4 – Il sistema
informativo
• Sezione VI –
L’esternalizzazione del
sistema informativo
Il punto di vista
dell’outsourcer
1. Tipologie di esternalizzazione
Nell’elaborazione del modello architetturale e delle
strategie di esternalizzazione vanno considerati
approcci tesi a contenere, per quanto possibile, il
grado di dipendenza da specifici fornitori e partner
tecnologici esterni al gruppo bancario (c.d. vendor
lock-in), salvaguardando la possibilità di sostituire
la fornitura con un’altra funzionalmente equivalente
(ad es., privilegiando il ricorso a standard aperti per
le connessioni, la memorizzazione e lo scambio di
dati, la cooperazione applicativa) e prevedendo opportune exit strategies.
Tale previsione risulta onerosa e tecnicamente di
difficile applicazione nel caso di full outsourcing;
rappresenta un reale ostacolo alla esternalizzazione di
qualsiasi attività e, soprattutto, espone gli outsourcer al
rischio di un’estrema volatilità dei propri clienti con
conseguente difficoltà nel programmare investimenti
nel medio periodo. Andrebbe limitata ad alcune
componenti strumentali che effettivamente hanno la
natura di fungibilità tra di loro.
Punti di attenzione
13 ISACA VENICE Chapter
Come dimostrare la compliance?
23/11/2015
LA CERTIFICAZIONE ISAE 3402
1. Avere evidenza della attività di vigilanza sull’outsourcer, come richiesto da
Banca d’Italia;
2. Poter fornire ai revisori esterni uno strumento richiesto dalle normative vigenti
come attestazione sul Sistema di Controllo Interno (richiesto alle Banche che
devono essere conformi alla Legge sul Risparmio o al Sarbanes-Oxley Act);
3. Rendere disponibile ai revisori di bilancio l’evidenza dei controlli in essere al
fine di individuare il corretto approccio di audit (eventuali carenze nei controlli
automatici di sistema impongono maggiori attività di test sul campo: control
approach vs substantive approach);
4. Razionalizzare le attività di audit eseguite presso l’outsourcer sostenendo
minori costi, raggiungendo una maggiore profondità di analisi e riducendo
l’impatto sulla struttura Cedacri;
5. Ricevere informazioni circa il processo di continuo miglioramento dei processi
interni Cedacri e del costante innalzamento del livello di sicurezza posto a
salvaguardia del patrimonio informativo.
MA È SUFFICIENTE?
14 ISACA VENICE Chapter
Ambiti di attestazione
23/11/2015
ISAE3000 - Sistema di controlli interni Circ.285
(Cap 3-4)
Emissione di una relazione che attesti il rispetto dei
requisiti posti dal Regolatore agli outsourcer; l’attività
ha come perimetro gli aspetti organizzativi, documentali
ed operativi così come richiesto dalla norma.
Tale relazione è finalizzata a rispondere pienamente
alle esigenze di Cedacri e integra al suo interno i
risultati delle attività di controllo ISAE 3402.
DESTINATATARI: Banche clienti e clienti potenziali Sis
tem
a d
i co
ntr
oll
i in
tern
i (S
CI)
ISAE 3402 – General IT Controls
Emissione di una relazione che attesti l'efficacia
operativa dei GITC (General IT Controls) sui processi
di gestione ed erogazione dei servizi di full
outsourcing in ambito "financial reporting".
DESTINATATARI: Banche clienti e loro revisori
ISAE 3402 GITC
ISAE 3000 285 BdI
15 ISACA VENICE Chapter
Attestazione ISAE 3402
Cedacri, al fine di fornire alle Banche clienti e ai loro
revisori l’evidenza dell'effettivo funzionamento (disegno
ed efficacia) dei propri controlli ("General Computer
Controls" o "General IT Controls") nel periodo di
riferimento predispone una
relazione ISAE 3402 di tipo II.
Il report include una opinion che indica se i controlli di Cedacri siano:
• descritti in maniera accurata;
• disegnati in maniera tale da soddisfare gli obiettivi di controllo;
• implementati ed efficacemente operativi.
I Relazione del revisore
indipendente
II Management
Assertion e
descrizione dei
controlli e dei criteri
III Test dell’efficacia
operativa dei controlli
IV Altre informazioni
Sezioni Report ISAE 3402
Nella sezione II, redatta dal management Cedacri, sono riportate:
• overview delle operazioni gestite per conto dei Clienti;
• descrizione degli obiettivi di controllo e i relativi controlli;
• descrizione dei criteri usati per valutare i controlli;
• descrizione degli aspetti rilevanti del COSO Model (Control
Environment, Risk Assessment, Information and Communication, and
Monitoring);
• dichiarazione scritta sui controlli (Management Assertion).
La Sezione III contiene il narrative dei controlli oggetto di verifica con le
valutazioni del disegno, dell'implementazione e dell'efficacia durante tutto il
periodo di riferimento.
Descrizione
Considerazioni sul controllo esercitato dalle organizzazioni utenti.
Il report ISAE 3402
16 ISACA VENICE Chapter
COBIT 5
23/11/2015
Al fine di favorire il continuo allineamento dei processi di Cedacri alle best
practice di settore, l’attività di attestazione viene svolta con l’utilizzo della
metodologia Cobit versione 5.
5 Evaluate, Direct and Monitor
13 Align, Plan and Organse
10 Build, Acquire and Implement
6 Deliver, Service and Support
3 Monitor, Evaluate and assess
A partire dai 37 processi mappati sui 5 domini Cobit e
dal perimetro 2014, è stata eseguita una revisione del
set di processi, obiettivi di controllo e attività di
controllo che costituiranno il perimetro di attestazione
ISAE Cedacri.
DISTRIBUZIONE DEI PROCESSI PER DOMINIO
Al fine di rivedere, a partire dal perimetro 2014, il
sottoinsieme di processi Cobit5, è stato creato un
cruscotto informativo che consentisse di mettere
in relazione il framework Cobit con altri framework e
normative di settore (Information
governance/Security).
Nelle slide successive verrà illustrato l'approccio
utilizzato per l'assessment di revisione dei processi
del framework Cobit nel perimetro di attestazione
Cedacri.
17 ISACA VENICE Chapter
Il punto di partenza
23/11/2015
APO02 Manage strategy.
APO05 Manage Portfolio.
APO06 Manage budget and costs.
APO09 Manage service agreements.
APO10 Manage suppliers.
APO12 Manage risk.
APO13 Manage security.
BAI01 Manage programmes and projects.
BAI03 Manage solutions identification and build.
BAI04 Manage availability and capacity.
BAI05 Manage organisational change enablement.
BAI06 Manage changes.
BAI07 Manage change acceptance and transitioning.
BAI08 Manage knowledge.
BAI09 Manage assets.
BAI10 Manage configuration.
DSS01 Manage operations.
DSS02 Manage service requests and incidents.
DSS03 Manage problems.
DSS04 Manage continuity.
DSS05 Manage security services.
DSS06 Manage business process controls.
EDM02 Ensure benefits delivery.
EDM03 Ensure risk optimisation.
MEA01 Monitor, evaluate and assess performance and conformance.
MEA02 Monitor, evaluate and assess the system of internal control.
MEA03
Monitor, evaluate and assess compliance with external
requirements.
7 dominio APO (Pianificazione ed Organizzazione)
9 dominio BAI (Realizzazione)
6 dominio DSS (Erogazione)
Processi 2014
2 dominio EDM (Governo)
3 dominio MEA (Controllo)
27 Dall'analisi dei processi del perimetro di attestazione
2014 è stata rilevata la presenza di:
27 processi Cobit5 in scope
80 Number of Controls (NOC) Cedacri e
210 Control activities mappati sui NOC
1 9
14
3
18 ISACA VENICE Chapter
La mappatura dei processi
23/11/2015
6 dominio DSS (Erogazione)
8 dominio APO (Pianificazione ed Organizzazione)
6 dominio APO (Pianificazione ed Organizzazione)
5 dominio BAI (Realizzazione)
1 dominio MEA (Controllo)
8 dominio BAI (Realizzazione)
6 dominio DSS (Erogazione)
5 dominio EDM (Governo)
Processi Cobit5 for SOX
3 dominio MEA (Controllo)
18
30
Perimetro ISAE3402 Circ. 285
Processi 285 nel perimetro
18 processi previsti da framework
30 processi Cobit a
copertura dei requisiti
SOX
ISAE 3402 – General IT Controls Emissione di una relazione che attesti, nel periodo di
riferimento, l'efficacia operativa dei General IT Controls sui
processi di gestione ed erogazione dei servizi Cedacri di full
outsourcing in ambito "financial reporting" (18 processi
Cobit5 e relative Management Practice Cedacri).
ISAE3000 - Sistema di controlli interni Circ.285 (Cap
3-4) Emissione di una relazione che attesti, nel periodo di
riferimento, il rispetto dei requisiti posti dal Regolatore agli
outsourcer; l’attività ha come perimetro gli aspetti
organizzativi, documentali ed operativi (efficacia dei controlli)
così come richiesto dalla norma (30 processi Cobit5 e
relative Management Practice Cedacri).
Processi Cobit5 rilevanti ai fini 285
Processi
rilevanti SOX
16
2
19 ISACA VENICE Chapter
Gli Assurance Engagements Other Than Audit sono incarichi diversi dalla revisione o dalla review di
dati storici di natura finanziaria.
Essi comprendono una vasta gamma di possibili incarichi relativi a diversi aspetti, con diversi gradi di
“assurance” e diverse procedure per ottenere “comfort”.
L’ISAE 3000 è lo standard applicabile a tutti gli engagement per i quali non esista uno standard
specifico
L’ISAE 3000 non tratta come svolgere uno specifico engagement, ma tratta l’approccio generale da
adottare e i requisiti minimi da rispettare.
Per tali incarichi si esprime una conclusione di natura positiva(“reasonable”) o di natura negativa
(“limited assurance”) su un determinato aspetto (subject matter) usando dei criteri di misurazione
adeguati.
La “subject matter” può avere diverse forme:
• Performance o aspetti finanziari
• Performance o aspetti non finanziari (ie: indicatori di efficacia o efficienza)
• Caratteristiche fisiche (ie: informazioni contenute in specifiche)
• Sistemi e processi (efficacia )
• Comportamenti ( compliance )
Deve essere emesso un report scritto, basandosi su una sufficiente ed adeguata evidenza.
ISAE 3000
Assurance Engagements Other Than Audits or Reviews of Historical Financial Information
Il report ISAE 3000
20 ISACA VENICE Chapter
Attestazione ISAE 3000
23/11/2015
Analisi dello scope 285 in relazione ai processi
Cobit5 necessari a rispondere ai requisiti della
Circolare 285, relativamente ai cap. 3 e 4.
Sono stati considerati tutti i processi SOX
reliant e 285 reliant; le considerazioni a
supporto sono riportate nelle slide
successive.
L'analisi dei requisiti previsti dalla circolare 285, e in
dettaglio dei capitoli 3 e 4 è stata eseguita
attraverso un mapping con i processi Cobit5,
secondo quanto definito dalla AIEA
Scomposizione in sezioni e paragrafi Cap. 3 – 4 Circ. 285 BdI
285 Mapping pesato con i processi/attività Cobit5
Definizione SCI (Sistema di Controllo Interno) copertura dei requisiti della Circ.285
Il perimetro ISAE3000 prevede:
30 Processi
117 Management Practice Cedacri
219 Control Activities Cedacri
21 ISACA VENICE Chapter
Attestazione ISAE 3000 - considerazioni
23/11/2015
Se
z.
I
Premessa S
ez.
II
Cap.1 Premessa
Cap. 2 Compiti dell’organo con funzione di supervisione strategica
Cap. 3 Compiti dell’organo con funzione di gestione
Cap. 4 Organizzazione della funzione ICT
Se
z.
IV
Cap. 4 La sicurezza delle informazioni e delle risorse ICT
Se
z.
V
Cap1. Premessa
Analisi dei processi con Cruscotto
Capitolo 3 della
Circolare
L'analisi del nuovo perimetro ISAE, ha consentito l'identificazione di alcuni processi Cobit5 che necessitano
specifica associazione a Management Practice Cedacri.
In particolare, tali processi (APO03, APO07, EDM01, EDM04 e EDM05) si riferiscono ai seguenti punti
della norma:
A partire dal cruscotto abbiamo analizzato nel dettaglio quali
management practice Cobit5 sono riferite ai singoli paragrafi della
Circ. 285, al fine di delineare un perimetro completo ISAE3000 Cobit5
based.
22 ISACA VENICE Chapter
Attestazione ISAE 3000 - considerazioni
23/11/2015
Analisi del processo APO03 - Manage Enterprise Architecture e del processo APO07 - Manage Human Resources
Attraverso l'utilizzo del cruscotto abbiamo individuato le management practice (MP) Cobit5 relative ai processi APO03 e
APO07 collegati allo specifico paragrafo della Circ. 285 (Sez.1, Premessa e Sez.IV La sicurezza delle informazioni e delle
risorse ICT).
Le MP sono state analizzate singolarmente e confrontate con le attività richieste dalla Circolare di Banca d'Italia. L'analisi ha
portato all'esclusione dei processi APO03 e APO07 poiché le attività richieste dalla Circolare collegata ad essi sono state
coperte da altri processi Cobit5 già in scope.
I processi EDM01 - Manage the IT Management Framework, EDM04 - Ensure Resource Optimisation e
EDM05 - Ensure Stakeholder Transparency sono stati considerati nello scope poiché si riferiscono ad
argomenti di Governance inseriti e specificati dalla Circ. 285 di BdI.
L'introduzione di questi processi ha generato l'aumento delle Management Practice Cedacri
AP
O0
3
AP
O0
7
BAI03 - Manage solutions
identification and build
BAI08 - Manage knowledge
DSS04 - Manage continuity
Già in scope
Già in scope
BAI08 - Manage knowledge
22
23 ISACA VENICE Chapter
Copertura finale
23/11/2015
APO01 Manage the IT Management
Framework
APO02 Manage Strategy
APO09 Manage Service Agreements
APO10 Manage Suppliers
APO13 Manage Security
BAI02 Manage Requirements
Definition
BAI03 Manage Solutions Identification
and Build
BAI06 Manage Changes
BAI07 Manage Change Acceptance
and Transitioning
DSS01 Manage Operations
DSS02 Manage Service Requests
and Incidents
DSS03 Manage Problems
DSS04 Manage Continuity
DSS05 Manage Security Services
DSS06 Manage Business Process
Controls
MEA02 Monitor, Evaluate and Assess
the System of Internal Control
16 processi
APO11 Manage Quality
BAI10 Manage Configuration
2 processi
APO12 Manage Risk
BAI01 Manage Programmes and
Projects
BAI04 Manage Availability and
Capacity
BAI08 Manage Knowledge
BAI09 Manage Assets
EDM01 Manage the IT Management
Framework
EDM02 Ensure Benefits Delivery
EDM03 Ensure Risk Optimisation
EDM04 Ensure Resource
Optimisation
EDM05 Ensure Stakeholder
Transparency
MEA01 Monitor, Evaluate and Assess
Performance and Conformance
MEA03 Monitor, Evaluate and Assess
Compliance with External
Requirements
12 processi
Processi Cobit5 for SOX
Processi Cobit5 for Circ. 285
ISAE3402
• 18 Processi
• 82 Management Practice Cedacri
• 168 Control Activites Cedacri
ISAE3000
• 30 Processi
• 117 Management Practice Cedacri
• 219 Control Activites Cedacri
Cir
co
lare
285 B
dI
(Cap
. 8 –
9)
Fin
an
cia
l rep
ortin
g
24 ISACA VENICE Chapter
Gli strumenti di supporto
23/11/2015
e
Il cruscotto consente di individuare quali processi
Cobit5 (e anche Cobit 4.1) sono rilevanti ai fini
SOX, ISO27001:2013, ITIL, Circ. 285 BdI o
Cybersecurity.
Il tool consente di arrivare ad un adeguato livello
dettaglio in termini di:
- Management Practice del Cobit5
- Capitolo e Annex della Norma ISO 27001
- Sezione e attività di dettaglio della Circ. 285 BdI
- Sottocategoria Cybersecurity
E' in questo modo possibile individuare specifiche
coperture di un processo o management practice
Cobit5 di una specifica norma attraverso dei report
sintetici
Il cruscotto consente di analizzare i processi considerando il livello di
copertura che gli stessi danno sulle normative/framework di settore
(es. 285 BdI)
L'analisi condotta ha avuto l'obiettivo di ridefinire
il numero di controlli e le control activities Cobit5
al fine di coprire i requisiti SOX e quelli della
Circ.285 con le attività di controllo caratteristiche
di Cedacri
La mappa dei framework realizzata è stata relazionata
agli obiettivi di controllo Cedacri a partire dalla
mappatura in essere nel 2014.
L'analisi volta all'analisi critica del perimetro ha tenuto
conto di 2 Driver:
- Processi Cobit reliant for SOX, ovvero rilevanti ai
fini del Bilancio (sulla base delle indicazioni estratte
dal documento Obiettivi di controllo IT per il
Sarbanes-Oxley Act, Il ruolo dell'IT nel progetto e
nell'implementazione dei controlli interni per la
predisposizione del reporting finanziario, LUGLIO
2007 - Traduzione Italiana a cura di AIEA);
- Processi Cobit rilevanti ai fini 285, ovvero rilevanti
ai fini dei requisiti definiti dalla circolare BdI 285 (a
partire dalla mappatura effettuata dalla AIEA, nei
documenti di analisi della Circ. 263 BdI, 3 Agosto
2014 e successive revisioni)
25 ISACA VENICE Chapter
Assessment della funzione IA
23/11/2015
La fase di Quality Assuranca Review (QAR) della funzione di Internal Audit, finalizzata alla
valutazione della professionalità e indipendenza della funzione, prevede l'utilizzo di una
metodologia proprietaria del Revisore
Posizionamento della Funzione all’interno dell’organizzazione: la Funzione Internal Audit è
posizionata strategicamente per contribuire al raggiungimento degli obiettivi di business?
Risorse umane (Persone) che compongono la Funzione: la Funzione Internal Audit ha
un’adeguata strategia di risorse per perseguire la propria mission e raggiungere i propri
obiettivi?
Processi di cui si avvale la Funzione per svolgere le proprie attività: i processi
di internal auditing consentono di perseguire e di soddisfare i bisogni del
business?
La metodologia ingloba tutti gli aspetti generali
dell’organizzazione e della gestione della funzione
Internal Audit.
Secondo tale metodologia, la Funzione ed i processi
oggetto dell’incarico sono stati analizzati a partire da tre
attributi, riconosciuti dall’Institute of Internal Auditors,
attinenti ai temi di gestione:
26 ISACA VENICE Chapter
Assessment della funzione IA
Le analisi si focalizzeranno sui seguenti ambiti:
collocazione organizzativa e valutazione del grado
di indipendenza della funzione Internal Audit;
mandato dell’Internal Audit (Audit Charter);
processo di risk assessment a supporto dei piani di
audit;
modalità di definizione e di approvazione del piano
di audit;
processo di auditing, anche con riferimento agli
Standard Internazionali per la Pratica Professionale
del Institute of Internal Audit (IIA);
processi di gestione delle risorse e delle attività
svolte dalla funzione Internal Audit.
Interviste con personale IA Verifica dell’attività di internal auditing Analisi dei KPI
Interviste con il personale
dell’Internal Audit
Valutazione preliminare degli
indicatori chiave (KPI) dell’attività
di internal auditing
Analisi del mandato della funzione di IA
Verifica dell’attività di internal auditing
rispetto agli standard IIA e al Codice
Deontologico
Analisi dei processi operativi della
Funzione attraverso l’esame, a
campione, degli incarichi di audit
Individuazione delle aree di
miglioramento
Calcolo dei KPI della Funzione
IA
Analisi dei KPI individuati e
confronto con il benchmark di
riferimento
27 ISACA VENICE Chapter
Grazie per l’attenzione!
23/11/2015
Stefano Arduini
Responsabile Internal Auditing di Gruppo
www.cedacri.it
--------------------------------------------------------
Mobile: +39 335 6476855
Tel: +39 0521 807075
Fax: +39 0521 807901
Email: [email protected]
PEC: [email protected]
-------------------------------------------------------- Società di capitali : Cedacri S.p.A.
Sede legale: Via del Conventino 1 – 43044 Collecchio (PR)
Partita Iva: 00432960342
Registro delle Imprese presso il quale la società risulta Iscritta: Parma
Numero di iscrizione presso il Registro delle Imprese: 128475 dal 23/04/1976
Capitale Sociale nella somma versata e quale risulta esistente dall’ultimo bilancio: 12.609.000, 00 Euro