1

11° Aggiornamento delle «Disposizioni di vigilanza per le banche»: un nuovo rapporto tra

Banca ed Outsourcer?

Lunedì 23 novembre 2015

Cattolica Assicurazioni

Verona

2 ISACA VENICE Chapter

Cedacri in una slide

23/11/2015

Gestione completa del sistema informativo bancario: ■ Soluzioni applicative ■ Infrastruttura tecnologica (HW, SW di

base, network) ■ Help desk e presidio

applicativo/funzionale ■ System Integration

Business Proces Outsourcing: ■ Back Office bancari ■ Supporto ai canali (Call Center

clienti/dipendenti) ■ Smaterializzazione e Gestione

documentale ■ Stampa e postalizzazione

Piattaforma di near-shoring in Moldova: ■ Servizi di BPO ■ Sviluppi Software

■ 1.400 dipendenti ■ > 150 Clienti tra banche,

istituzioni finanziarie, aziende industriali e di servizi

■ > 255 Mln di fatturato Consolidato di Gruppo

■ 2.700 sportelli gestiti ■ 30.000 Mips di potenza

elaborativa Mainframe ■ 4.000 Server ■ 33.000 utenti utilizzatori

del Sistema ■ 50 milioni di transazioni

gestite giornalmente

CEDACRI IN NUMERI

Circa il 10% del sistema bancario italiano è attestato

su Cedacri (*)

(*) Rif: masse intermediate Fonte: Bilanci 2013

3 ISACA VENICE Chapter

Le certificazioni di Cedacri

23/11/2015

UNI EN ISO 9001:2008 – Sistema di Gestione Qualità UNI CEI ISO/IEC 27001:2013 – Sistema di Gestione della Sicurezza Campo di applicazione: Progettazione, sviluppo, manutenzione e gestione in outsourcing di sistemi informativi, ASP, Facility management, Firma Digitale, Posta Elettronica Certificata, Servizi di formazione e consulenza organizzativa in ambito bancario, Disaster Recovery. ISO/IEC 20000-1:2011 – Information technology -- Service management Scope: “The Information Technology Service Management System of CEDACRI supporting the provision of Application and Infrastructure Management and Maintenance services to Banking and Financial Institutions and to other external customers”.

ISAE 3402 TYPE TWO Attestazione dell’effettivo funzionamento del sistema dei controlli operanti sui processi aziendali relativi ai servizi di outsourcing.

TIER III – Continuità del business (alimentazione elettrica, condizionamento, resistenza agli eventi naturali) Attestazione di conformità dei data center ai requisiti “Tier Performance Standards” del documento “White Paper – Tier Classification Define Site Infrastructure Performance” pubblicato dall’Uptime Institute.

Certification Authority Posta Elettronica Certificata Certificatore Accreditato e Gestore Certificato da DigitPA - Ente Nazionale per la Digitalizzazione della Pubblica Amministrazione.

PCI DSS – Payment Card Industry Data Security Standard Certificazione richiesta dai Circuiti Internazionali di gestione delle carte che richiede il rispetto dei requisiti (più di 200 da rispettare tassativamente) necessari per garantire la sicurezza dei dati dei titolari di carte di credito/debito.

4 ISACA VENICE Chapter

La normativa applicabile agli outsourcer

5 ISACA VENICE Chapter

L’evoluzione normativa

23/11/2015

11°Aggiornamento Circolare n. 285 del 17 dicembre 2013 «Disposizioni di

vigilanza per le banche»

La norma fornisce un quadro regolamentare all’interno del quale porre i rapporti

tra Banche e fornitori, in primis gli outsourcer informatici, a cui è richiesto un

significativo sforzo di integrazione con i processi delle Banche (vedi analisi del

rischio ICT).

D. Lgs. 12 maggio 2015, n. 72

Il decreto, che ha recepito la direttiva CRD IV, ha introdotto nel T.U.B. e nel

T.U.F., inter alia, significative novità relative alla disciplina dei fornitori di servizi

essenziali o importanti esternalizzati dagli intermediari, attribuendo alla Banca

d’Italia diretti poteri di vigilanza su tali entità.

Sanzioni e procedura sanzionatoria amministrativa (Documento per la

consultazione)

I destinatari della norma comprendono «i soggetti ai quali sono state

esternalizzate funzioni aziendali essenziali o importanti.»

6 ISACA VENICE Chapter

L’evoluzione normativa

23/11/2015

Dal punto di vista ICT, la normativa rende evidenti e sistematici una serie di requisiti già conosciuti ed affrontati nell’ambito delle attività di IT Governance, in precedenza richiesti direttamente dai Clienti, suggeriti dai framework di controllo o imposti dalle certificazioni adottate nel tempo.

Banca Outsourcer

La normativa, pur essendo indirizzata alle Banche, ha impatto anche sull’outsourcer il cui ruolo non è più quello di mero fornitore di servizi.

Ciò implica una maggiore interrelazione tra le Banche ed il proprio outsourcer, che quindi dovrà evolvere per poter rispondere in modo coerente alle richieste di natura normativa.

La Banca deve diventare un po’ Outsourcer… …l’Outsourcer deve diventare un po’… Banca

7 ISACA VENICE Chapter

Punti di attenzione

LEGGENDO PER LA PRIMA VOLTA IL DOCUMENTO IN

CONSULTAZIONE CHE HA PORTATO AL 15° AGGIORNAMENTO

DELLA CRIC. 263 (POI CONFLUITA NELLA CIRC. 285) CI È SEMBRATO

CHE L’OUTSOURCING VENISSE VISTO TUTTO SOMMATO

NEGATIVAMENTE, E CI SONO SORTE ALCUNE DOMANDE:

• PER BANCA D’ITALIA ESTERNALIZZARE È UN VANTAGGIO O NO?

• QUALE È IL CRITERIO CHE MI PORTA A SCEGLIERE TRA

SOLUZIONE INTERNA ED ESTERNA?

• E QUALE È IL CRITERIO DA SEGUIRE PER SCEGLIERE TRA

OUTSOURCER DIVERSI?

IN ULTIMA ANALISI:

• L’ESTERNALIZZAZIONE AUMENTA O DIMINUISCE IL RISCHIO PER

L’INTERMEDIARIO?

8 ISACA VENICE Chapter

• Parte I – Recepimento in

Italia della CRD IV

• Titolo IV - Governo

societario, controlli interni,

gestione dei rischi

• Capitolo 3 – Il sistema dei

controlli interni

• Sezione IV –

Esternalizzazione di

funzioni aziendali

(outsourcing) al di fuori del

gruppo bancario

Il punto di vista

dell’outsourcer

1. Principi generali e requisiti particolari

Le banche che ricorrono all’esternalizzazione di

funzioni aziendali presidiano i rischi derivanti dalle

scelte effettuate e mantengono la capacità di controllo

e la responsabilità sulle attività esternalizzate nonché le

competenze tecniche e gestionali essenziali per re-

internalizzare, in caso di necessità, il loro svolgimento.

Pur non ritenendo l’esternalizzazione un processo

irreversibile non è possibile trascurare il fatto che

un’eventuale re-internalizzazione dei servizi

comporterebbe maggiori costi per le banche;

sembrerebbe più realistico porre maggior enfasi sui

processi di controllo dell’operato dell’outsourcer,

prevedendo anche accertamenti ispettivi da parte delle

banche clienti, se non direttamente da parte della

Vigilanza stessa.

Punti di attenzione

9 ISACA VENICE Chapter

• Parte I – Recepimento in

Italia della CRD IV

• Titolo IV - Governo

societario, controlli interni,

gestione dei rischi

• Capitolo 3 – Il sistema dei

controlli interni

• Sezione IV –

Esternalizzazione di

funzioni aziendali

(outsourcing) al di fuori del

gruppo bancario

Il punto di vista

dell’outsourcer

Sono inoltre previste clausole risolutive espresse che

consentano alla banca di porre termine all’accordo di

esternalizzazione in presenza di eventi che possano

compromettere la capacità del fornitore di garantire il

servizio oppure quando si verifichi il mancato rispetto

del livello di servizio concordato.

La formulazione utilizzata, interpretata letteralmente,

risulta estremamente penalizzante per gli outsourcer;

inoltre è scarsamente applicabile nel caso il Cliente

abbia una partecipazione azionaria nel centro servizi.

Sarebbe opportuno limitare tale previsione ai casi nei

quali il mancato rispetto del livello di servizio si verifichi

in modo generalizzato, grave e continuo e, soprattutto,

con impatto rilevante sul business della Banca.

Punti di attenzione

10 ISACA VENICE Chapter

Il punto di vista

dell’outsourcer

3. Comunicazioni alla Banca centrale europea o alla

Banca d’Italia

Le banche che intendono esternalizzare, in tutto o in

parte, lo svolgimento di funzioni operative importanti o

di controllo ne danno comunicazione preventiva alla

Banca d’Italia. La comunicazione, corredata di tutte le

indicazioni utili a verificare il rispetto dei criteri indicati

nella presente Sezione, è effettuata almeno 60 giorni

prima di conferire l’incarico e specifica le esigenze

aziendali che hanno determinato la scelta. Entro 60

giorni dal ricevimento della comunicazione la Banca

d’Italia può avviare un procedimento amministrativo

d’ufficio di divieto dell’esternalizzazione che si conclude

entro 60 giorni.

Non risulta chiara la motivazione per cui venga

richiesta una autorizzazione per l’esternalizzazione e

non per la re-internalizzazione, come se quest’ultima

non presentasse rischi. Inoltre anche il cambio di

outsourcer dovrebbe essere sottoposto a verifica della Vigilanza.

Punti di attenzione

• Parte I – Recepimento in

Italia della CRD IV

• Titolo IV - Governo

societario, controlli interni,

gestione dei rischi

• Capitolo 3 – Il sistema dei

controlli interni

• Sezione V – Il RAF, il

sistema dei controlli interni

e l’esternalizzazione nei

gruppi bancari

11 ISACA VENICE Chapter

• Parte Prima – Recepimento

in Italia della CRD IV

• Titolo IV – Governo

societario, controlli interni

e gestione dei rischi

• Capitolo 4 – Il sistema

informativo

• Sezione VI –

L’esternalizzazione del

sistema informativo

Il punto di vista

dell’outsourcer

1. Tipologie di esternalizzazione

Nell’elaborazione del modello architetturale e delle

strategie di esternalizzazione vanno considerati

approcci tesi a contenere, per quanto possibile, il

grado di dipendenza da specifici fornitori e partner

tecnologici esterni al gruppo bancario (c.d. vendor

lock-in), salvaguardando la possibilità di sostituire

la fornitura con un’altra funzionalmente equivalente

(ad es., privilegiando il ricorso a standard aperti per

le connessioni, la memorizzazione e lo scambio di

dati, la cooperazione applicativa) e prevedendo opportune exit strategies.

Tale previsione risulta onerosa e tecnicamente di

difficile applicazione nel caso di full outsourcing;

rappresenta un reale ostacolo alla esternalizzazione di

qualsiasi attività e, soprattutto, espone gli outsourcer al

rischio di un’estrema volatilità dei propri clienti con

conseguente difficoltà nel programmare investimenti

nel medio periodo. Andrebbe limitata ad alcune

componenti strumentali che effettivamente hanno la

natura di fungibilità tra di loro.

Punti di attenzione

12 ISACA VENICE Chapter

L’attestazione ISAE 3402… ma non solo

13 ISACA VENICE Chapter

Come dimostrare la compliance?

23/11/2015

LA CERTIFICAZIONE ISAE 3402

1. Avere evidenza della attività di vigilanza sull’outsourcer, come richiesto da

Banca d’Italia;

2. Poter fornire ai revisori esterni uno strumento richiesto dalle normative vigenti

come attestazione sul Sistema di Controllo Interno (richiesto alle Banche che

devono essere conformi alla Legge sul Risparmio o al Sarbanes-Oxley Act);

3. Rendere disponibile ai revisori di bilancio l’evidenza dei controlli in essere al

fine di individuare il corretto approccio di audit (eventuali carenze nei controlli

automatici di sistema impongono maggiori attività di test sul campo: control

approach vs substantive approach);

4. Razionalizzare le attività di audit eseguite presso l’outsourcer sostenendo

minori costi, raggiungendo una maggiore profondità di analisi e riducendo

l’impatto sulla struttura Cedacri;

5. Ricevere informazioni circa il processo di continuo miglioramento dei processi

interni Cedacri e del costante innalzamento del livello di sicurezza posto a

salvaguardia del patrimonio informativo.

MA È SUFFICIENTE?

14 ISACA VENICE Chapter

Ambiti di attestazione

23/11/2015

ISAE3000 - Sistema di controlli interni Circ.285

(Cap 3-4)

Emissione di una relazione che attesti il rispetto dei

requisiti posti dal Regolatore agli outsourcer; l’attività

ha come perimetro gli aspetti organizzativi, documentali

ed operativi così come richiesto dalla norma.

Tale relazione è finalizzata a rispondere pienamente

alle esigenze di Cedacri e integra al suo interno i

risultati delle attività di controllo ISAE 3402.

DESTINATATARI: Banche clienti e clienti potenziali Sis

tem

a d

i co

ntr

oll

i in

tern

i (S

CI)

ISAE 3402 – General IT Controls

Emissione di una relazione che attesti l'efficacia

operativa dei GITC (General IT Controls) sui processi

di gestione ed erogazione dei servizi di full

outsourcing in ambito "financial reporting".

DESTINATATARI: Banche clienti e loro revisori

ISAE 3402 GITC

ISAE 3000 285 BdI

15 ISACA VENICE Chapter

Attestazione ISAE 3402

Cedacri, al fine di fornire alle Banche clienti e ai loro

revisori l’evidenza dell'effettivo funzionamento (disegno

ed efficacia) dei propri controlli ("General Computer

Controls" o "General IT Controls") nel periodo di

riferimento predispone una

relazione ISAE 3402 di tipo II.

Il report include una opinion che indica se i controlli di Cedacri siano:

• descritti in maniera accurata;

• disegnati in maniera tale da soddisfare gli obiettivi di controllo;

• implementati ed efficacemente operativi.

I Relazione del revisore

indipendente

II Management

Assertion e

descrizione dei

controlli e dei criteri

III Test dell’efficacia

operativa dei controlli

IV Altre informazioni

Sezioni Report ISAE 3402

Nella sezione II, redatta dal management Cedacri, sono riportate:

• overview delle operazioni gestite per conto dei Clienti;

• descrizione degli obiettivi di controllo e i relativi controlli;

• descrizione dei criteri usati per valutare i controlli;

• descrizione degli aspetti rilevanti del COSO Model (Control

Environment, Risk Assessment, Information and Communication, and

Monitoring);

• dichiarazione scritta sui controlli (Management Assertion).

La Sezione III contiene il narrative dei controlli oggetto di verifica con le

valutazioni del disegno, dell'implementazione e dell'efficacia durante tutto il

periodo di riferimento.

Descrizione

Considerazioni sul controllo esercitato dalle organizzazioni utenti.

Il report ISAE 3402

16 ISACA VENICE Chapter

COBIT 5

23/11/2015

Al fine di favorire il continuo allineamento dei processi di Cedacri alle best

practice di settore, l’attività di attestazione viene svolta con l’utilizzo della

metodologia Cobit versione 5.

5 Evaluate, Direct and Monitor

13 Align, Plan and Organse

10 Build, Acquire and Implement

6 Deliver, Service and Support

3 Monitor, Evaluate and assess

A partire dai 37 processi mappati sui 5 domini Cobit e

dal perimetro 2014, è stata eseguita una revisione del

set di processi, obiettivi di controllo e attività di

controllo che costituiranno il perimetro di attestazione

ISAE Cedacri.

DISTRIBUZIONE DEI PROCESSI PER DOMINIO

Al fine di rivedere, a partire dal perimetro 2014, il

sottoinsieme di processi Cobit5, è stato creato un

cruscotto informativo che consentisse di mettere

in relazione il framework Cobit con altri framework e

normative di settore (Information

governance/Security).

Nelle slide successive verrà illustrato l'approccio

utilizzato per l'assessment di revisione dei processi

del framework Cobit nel perimetro di attestazione

Cedacri.

17 ISACA VENICE Chapter

Il punto di partenza

23/11/2015

APO02 Manage strategy.

APO05 Manage Portfolio.

APO06 Manage budget and costs.

APO09 Manage service agreements.

APO10 Manage suppliers.

APO12 Manage risk.

APO13 Manage security.

BAI01 Manage programmes and projects.

BAI03 Manage solutions identification and build.

BAI04 Manage availability and capacity.

BAI05 Manage organisational change enablement.

BAI06 Manage changes.

BAI07 Manage change acceptance and transitioning.

BAI08 Manage knowledge.

BAI09 Manage assets.

BAI10 Manage configuration.

DSS01 Manage operations.

DSS02 Manage service requests and incidents.

DSS03 Manage problems.

DSS04 Manage continuity.

DSS05 Manage security services.

DSS06 Manage business process controls.

EDM02 Ensure benefits delivery.

EDM03 Ensure risk optimisation.

MEA01 Monitor, evaluate and assess performance and conformance.

MEA02 Monitor, evaluate and assess the system of internal control.

MEA03

Monitor, evaluate and assess compliance with external

requirements.

7 dominio APO (Pianificazione ed Organizzazione)

9 dominio BAI (Realizzazione)

6 dominio DSS (Erogazione)

Processi 2014

2 dominio EDM (Governo)

3 dominio MEA (Controllo)

27 Dall'analisi dei processi del perimetro di attestazione

2014 è stata rilevata la presenza di:

27 processi Cobit5 in scope

80 Number of Controls (NOC) Cedacri e

210 Control activities mappati sui NOC

1 9

14

3

18 ISACA VENICE Chapter

La mappatura dei processi

23/11/2015

6 dominio DSS (Erogazione)

8 dominio APO (Pianificazione ed Organizzazione)

6 dominio APO (Pianificazione ed Organizzazione)

5 dominio BAI (Realizzazione)

1 dominio MEA (Controllo)

8 dominio BAI (Realizzazione)

6 dominio DSS (Erogazione)

5 dominio EDM (Governo)

Processi Cobit5 for SOX

3 dominio MEA (Controllo)

18

30

Perimetro ISAE3402 Circ. 285

Processi 285 nel perimetro

18 processi previsti da framework

30 processi Cobit a

copertura dei requisiti

SOX

ISAE 3402 – General IT Controls Emissione di una relazione che attesti, nel periodo di

riferimento, l'efficacia operativa dei General IT Controls sui

processi di gestione ed erogazione dei servizi Cedacri di full

outsourcing in ambito "financial reporting" (18 processi

Cobit5 e relative Management Practice Cedacri).

ISAE3000 - Sistema di controlli interni Circ.285 (Cap

3-4) Emissione di una relazione che attesti, nel periodo di

riferimento, il rispetto dei requisiti posti dal Regolatore agli

outsourcer; l’attività ha come perimetro gli aspetti

organizzativi, documentali ed operativi (efficacia dei controlli)

così come richiesto dalla norma (30 processi Cobit5 e

relative Management Practice Cedacri).

Processi Cobit5 rilevanti ai fini 285

Processi

rilevanti SOX

16

2

19 ISACA VENICE Chapter

Gli Assurance Engagements Other Than Audit sono incarichi diversi dalla revisione o dalla review di

dati storici di natura finanziaria.

Essi comprendono una vasta gamma di possibili incarichi relativi a diversi aspetti, con diversi gradi di

“assurance” e diverse procedure per ottenere “comfort”.

L’ISAE 3000 è lo standard applicabile a tutti gli engagement per i quali non esista uno standard

specifico

L’ISAE 3000 non tratta come svolgere uno specifico engagement, ma tratta l’approccio generale da

adottare e i requisiti minimi da rispettare.

Per tali incarichi si esprime una conclusione di natura positiva(“reasonable”) o di natura negativa

(“limited assurance”) su un determinato aspetto (subject matter) usando dei criteri di misurazione

adeguati.

La “subject matter” può avere diverse forme:

• Performance o aspetti finanziari

• Performance o aspetti non finanziari (ie: indicatori di efficacia o efficienza)

• Caratteristiche fisiche (ie: informazioni contenute in specifiche)

• Sistemi e processi (efficacia )

• Comportamenti ( compliance )

Deve essere emesso un report scritto, basandosi su una sufficiente ed adeguata evidenza.

ISAE 3000

Assurance Engagements Other Than Audits or Reviews of Historical Financial Information

Il report ISAE 3000

20 ISACA VENICE Chapter

Attestazione ISAE 3000

23/11/2015

Analisi dello scope 285 in relazione ai processi

Cobit5 necessari a rispondere ai requisiti della

Circolare 285, relativamente ai cap. 3 e 4.

Sono stati considerati tutti i processi SOX

reliant e 285 reliant; le considerazioni a

supporto sono riportate nelle slide

successive.

L'analisi dei requisiti previsti dalla circolare 285, e in

dettaglio dei capitoli 3 e 4 è stata eseguita

attraverso un mapping con i processi Cobit5,

secondo quanto definito dalla AIEA

Scomposizione in sezioni e paragrafi Cap. 3 – 4 Circ. 285 BdI

285 Mapping pesato con i processi/attività Cobit5

Definizione SCI (Sistema di Controllo Interno) copertura dei requisiti della Circ.285

Il perimetro ISAE3000 prevede:

30 Processi

117 Management Practice Cedacri

219 Control Activities Cedacri

21 ISACA VENICE Chapter

Attestazione ISAE 3000 - considerazioni

23/11/2015

Se

z.

I

Premessa S

ez.

II

Cap.1 Premessa

Cap. 2 Compiti dell’organo con funzione di supervisione strategica

Cap. 3 Compiti dell’organo con funzione di gestione

Cap. 4 Organizzazione della funzione ICT

Se

z.

IV

Cap. 4 La sicurezza delle informazioni e delle risorse ICT

Se

z.

V

Cap1. Premessa

Analisi dei processi con Cruscotto

Capitolo 3 della

Circolare

L'analisi del nuovo perimetro ISAE, ha consentito l'identificazione di alcuni processi Cobit5 che necessitano

specifica associazione a Management Practice Cedacri.

In particolare, tali processi (APO03, APO07, EDM01, EDM04 e EDM05) si riferiscono ai seguenti punti

della norma:

A partire dal cruscotto abbiamo analizzato nel dettaglio quali

management practice Cobit5 sono riferite ai singoli paragrafi della

Circ. 285, al fine di delineare un perimetro completo ISAE3000 Cobit5

based.

22 ISACA VENICE Chapter

Attestazione ISAE 3000 - considerazioni

23/11/2015

Analisi del processo APO03 - Manage Enterprise Architecture e del processo APO07 - Manage Human Resources

Attraverso l'utilizzo del cruscotto abbiamo individuato le management practice (MP) Cobit5 relative ai processi APO03 e

APO07 collegati allo specifico paragrafo della Circ. 285 (Sez.1, Premessa e Sez.IV La sicurezza delle informazioni e delle

risorse ICT).

Le MP sono state analizzate singolarmente e confrontate con le attività richieste dalla Circolare di Banca d'Italia. L'analisi ha

portato all'esclusione dei processi APO03 e APO07 poiché le attività richieste dalla Circolare collegata ad essi sono state

coperte da altri processi Cobit5 già in scope.

I processi EDM01 - Manage the IT Management Framework, EDM04 - Ensure Resource Optimisation e

EDM05 - Ensure Stakeholder Transparency sono stati considerati nello scope poiché si riferiscono ad

argomenti di Governance inseriti e specificati dalla Circ. 285 di BdI.

L'introduzione di questi processi ha generato l'aumento delle Management Practice Cedacri

AP

O0

3

AP

O0

7

BAI03 - Manage solutions

identification and build

BAI08 - Manage knowledge

DSS04 - Manage continuity

Già in scope

Già in scope

BAI08 - Manage knowledge

22

23 ISACA VENICE Chapter

Copertura finale

23/11/2015

APO01 Manage the IT Management

Framework

APO02 Manage Strategy

APO09 Manage Service Agreements

APO10 Manage Suppliers

APO13 Manage Security

BAI02 Manage Requirements

Definition

BAI03 Manage Solutions Identification

and Build

BAI06 Manage Changes

BAI07 Manage Change Acceptance

and Transitioning

DSS01 Manage Operations

DSS02 Manage Service Requests

and Incidents

DSS03 Manage Problems

DSS04 Manage Continuity

DSS05 Manage Security Services

DSS06 Manage Business Process

Controls

MEA02 Monitor, Evaluate and Assess

the System of Internal Control

16 processi

APO11 Manage Quality

BAI10 Manage Configuration

2 processi

APO12 Manage Risk

BAI01 Manage Programmes and

Projects

BAI04 Manage Availability and

Capacity

BAI08 Manage Knowledge

BAI09 Manage Assets

EDM01 Manage the IT Management

Framework

EDM02 Ensure Benefits Delivery

EDM03 Ensure Risk Optimisation

EDM04 Ensure Resource

Optimisation

EDM05 Ensure Stakeholder

Transparency

MEA01 Monitor, Evaluate and Assess

Performance and Conformance

MEA03 Monitor, Evaluate and Assess

Compliance with External

Requirements

12 processi

Processi Cobit5 for SOX

Processi Cobit5 for Circ. 285

ISAE3402

• 18 Processi

• 82 Management Practice Cedacri

• 168 Control Activites Cedacri

ISAE3000

• 30 Processi

• 117 Management Practice Cedacri

• 219 Control Activites Cedacri

Cir

co

lare

285 B

dI

(Cap

. 8 –

9)

Fin

an

cia

l rep

ortin

g

24 ISACA VENICE Chapter

Gli strumenti di supporto

23/11/2015

e

Il cruscotto consente di individuare quali processi

Cobit5 (e anche Cobit 4.1) sono rilevanti ai fini

SOX, ISO27001:2013, ITIL, Circ. 285 BdI o

Cybersecurity.

Il tool consente di arrivare ad un adeguato livello

dettaglio in termini di:

- Management Practice del Cobit5

- Capitolo e Annex della Norma ISO 27001

- Sezione e attività di dettaglio della Circ. 285 BdI

- Sottocategoria Cybersecurity

E' in questo modo possibile individuare specifiche

coperture di un processo o management practice

Cobit5 di una specifica norma attraverso dei report

sintetici

Il cruscotto consente di analizzare i processi considerando il livello di

copertura che gli stessi danno sulle normative/framework di settore

(es. 285 BdI)

L'analisi condotta ha avuto l'obiettivo di ridefinire

il numero di controlli e le control activities Cobit5

al fine di coprire i requisiti SOX e quelli della

Circ.285 con le attività di controllo caratteristiche

di Cedacri

La mappa dei framework realizzata è stata relazionata

agli obiettivi di controllo Cedacri a partire dalla

mappatura in essere nel 2014.

L'analisi volta all'analisi critica del perimetro ha tenuto

conto di 2 Driver:

- Processi Cobit reliant for SOX, ovvero rilevanti ai

fini del Bilancio (sulla base delle indicazioni estratte

dal documento Obiettivi di controllo IT per il

Sarbanes-Oxley Act, Il ruolo dell'IT nel progetto e

nell'implementazione dei controlli interni per la

predisposizione del reporting finanziario, LUGLIO

2007 - Traduzione Italiana a cura di AIEA);

- Processi Cobit rilevanti ai fini 285, ovvero rilevanti

ai fini dei requisiti definiti dalla circolare BdI 285 (a

partire dalla mappatura effettuata dalla AIEA, nei

documenti di analisi della Circ. 263 BdI, 3 Agosto

2014 e successive revisioni)

25 ISACA VENICE Chapter

Assessment della funzione IA

23/11/2015

La fase di Quality Assuranca Review (QAR) della funzione di Internal Audit, finalizzata alla

valutazione della professionalità e indipendenza della funzione, prevede l'utilizzo di una

metodologia proprietaria del Revisore

Posizionamento della Funzione all’interno dell’organizzazione: la Funzione Internal Audit è

posizionata strategicamente per contribuire al raggiungimento degli obiettivi di business?

Risorse umane (Persone) che compongono la Funzione: la Funzione Internal Audit ha

un’adeguata strategia di risorse per perseguire la propria mission e raggiungere i propri

obiettivi?

Processi di cui si avvale la Funzione per svolgere le proprie attività: i processi

di internal auditing consentono di perseguire e di soddisfare i bisogni del

business?

La metodologia ingloba tutti gli aspetti generali

dell’organizzazione e della gestione della funzione

Internal Audit.

Secondo tale metodologia, la Funzione ed i processi

oggetto dell’incarico sono stati analizzati a partire da tre

attributi, riconosciuti dall’Institute of Internal Auditors,

attinenti ai temi di gestione:

26 ISACA VENICE Chapter

Assessment della funzione IA

Le analisi si focalizzeranno sui seguenti ambiti:

collocazione organizzativa e valutazione del grado

di indipendenza della funzione Internal Audit;

mandato dell’Internal Audit (Audit Charter);

processo di risk assessment a supporto dei piani di

audit;

modalità di definizione e di approvazione del piano

di audit;

processo di auditing, anche con riferimento agli

Standard Internazionali per la Pratica Professionale

del Institute of Internal Audit (IIA);

processi di gestione delle risorse e delle attività

svolte dalla funzione Internal Audit.

Interviste con personale IA Verifica dell’attività di internal auditing Analisi dei KPI

Interviste con il personale

dell’Internal Audit

Valutazione preliminare degli

indicatori chiave (KPI) dell’attività

di internal auditing

Analisi del mandato della funzione di IA

Verifica dell’attività di internal auditing

rispetto agli standard IIA e al Codice

Deontologico

Analisi dei processi operativi della

Funzione attraverso l’esame, a

campione, degli incarichi di audit

Individuazione delle aree di

miglioramento

Calcolo dei KPI della Funzione

IA

Analisi dei KPI individuati e

confronto con il benchmark di

riferimento

27 ISACA VENICE Chapter

Grazie per l’attenzione!

23/11/2015

Stefano Arduini

Responsabile Internal Auditing di Gruppo

www.cedacri.it

--------------------------------------------------------

Mobile: +39 335 6476855

Tel: +39 0521 807075

Fax: +39 0521 807901

Email: stefano.arduini@cedacri.it

PEC: stefano.arduini@postacert.cedacri.it

-------------------------------------------------------- Società di capitali : Cedacri S.p.A.

Sede legale: Via del Conventino 1 – 43044 Collecchio (PR)

Partita Iva: 00432960342

Registro delle Imprese presso il quale la società risulta Iscritta: Parma

Numero di iscrizione presso il Registro delle Imprese: 128475 dal 23/04/1976

Capitale Sociale nella somma versata e quale risulta esistente dall’ultimo bilancio: 12.609.000, 00 Euro