La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

1 RUOLO DELLINTERNAL AUDITING NEI NUOVI CONTESTI ITC SMAU ROMA 6 giugno 2002 Marco Recchia, CISA Banca Antonveneta.

Presentazioni simili


Presentazione sul tema: "1 RUOLO DELLINTERNAL AUDITING NEI NUOVI CONTESTI ITC SMAU ROMA 6 giugno 2002 Marco Recchia, CISA Banca Antonveneta."— Transcript della presentazione:

1

2 1 RUOLO DELLINTERNAL AUDITING NEI NUOVI CONTESTI ITC SMAU ROMA 6 giugno 2002 Marco Recchia, CISA Banca Antonveneta

3 2 Parleremo di: Sistema di Controllo Interno & Internal Auditing Nuovi ruoli per lITC Contesti di riferimento e rischi IT GOVERNANCE

4 3 Sistema di Controllo Interno Il raggiungimento degli obiettivi aziendali avviene attraverso lattuazione di processi Ogni processo ha in se componenti di rischio Ogni rischio deve essere presidiato da un controllo Linsieme dei controlli, in quanto correlati tra loro, costituisce il S.C.I.

5 4 Sistema di Controllo interno Ha trovato piena definizione nellultimo decennio: –Internal Control - Integrated Framework COSO - Committee of Sponsoring Organizations of the Treadway Commission; –Framework for Internal Control Systems in Banking Organisations Comitato di Basilea. –…...

6 5 Sistema di Controllo interno I concetti sono stati recepiti a livello regolamentare: –Istruzioni di Vigilanza per le Banche - Banca dItalia (Tit. IV - Cap. 11); –Codice di autodisciplina per le società quotate - Borsa Italiana (Codice Preda); –D.Leg. 231/2001, in materia di responsabilità amministrativa –….

7 6 Sistema di Controllo interno la vitalità di una banca, il suo posizionamento sul mercato ed una sana e prudente gestione … non possono prescindere dal buon funzionamento del sistema dei controlli (Istr. Vig. Tit. IV, cap. 11, pag. 1). la responsabilità relativa alla implementazione e gestione di tale sistema ricade sui vertici aziendali il funzionamento del sistema deve essere soggetto a valutazione e monitoraggio periodico da parte di una struttura sovraordinata che si faccia garante dellefficacia ed efficienza del sistema stesso (Istr. Vig. Tit. IV, cap. 11, pag. 5).

8 7 INTERNAL AUDITING Lattività di Internal Auditing: –verifica e valutazione delladeguatezza e dellefficacia del sistema di controllo interno dellorganizzazione; –verifica della qualità delle prestazioni svolte per lassolvimento delle responsabilità assegnate; –assistenza ai membri dellorganizzazione nel corretto svolgimento delle proprie responsabilità; –fornire valore aggiunto in termini di costruzione dei sistemi di controllo allinterno dei processi, di individuazione delle opportunità per il miglioramento organizzativo

9 8 INFORMATION SYSTEM AUDITING Necessità di specifiche competenze ed esperienze nella valutazione dei rischi e delle misure a loro presidio laddove: –i processi, e quindi i controlli, sono supportati dallITC; –è necessario valutare ladeguatezza del S.C.I. con riferimento ai processi propri dellITC.

10 9 INTERNAL AUDITING Agisce nellinteresse dellorganizzazione Deve essere indipendente dallorganizzazione I suoi comportamenti sono disciplinati da: –standard professionali –codici deontologici –regolamenti –norme esterni allorganizzazione

11 10 Cera una volta lEDP... Electronic Data Processing ELABORAZIONE ELETTRONICA perché svolta con una macchina anziché a mano dei DATI cioè di rappresentazioni alfanumeriche della realtà

12 11 Evoluzione dellEDP…. Data base Teleprocessing Tempo reale dallautomazione della fase….. ….allautomazione del processo

13 12 Limiti dellEDP…. Necessità di una mediazione…...

14 13 Limiti dellEDP…. Tempi di realizzazione …biblici...

15 14 DallEDP…. allIT….. Personal computer Office automation Strumenti di produttività individuale Elaborazione delle INFORMAZIONI INFORMATION TECHNOLOGY

16 15 DallIT …..allICT.. INFORMAZIONE = COMUNICAZIONE INTERNET TCP/IP Semplificazione degli strumenti di comunicazione

17 16 I C T TECNOLOGIA AL SERVIZIO DELLINFORMAZIONE? OPPURE INFORMAZIONE AL SERVIZIO DELLA TECNOLOGIA?

18 17 UN MODELLO CLASSICO MERCATI REGOLAMENTI TECNOLOGIA OPPORTUNITA VINCOLI SISTEMA TECNICO

19 18 I N N O V A Z I O N E MERCATI REGOLAMENTI TECNOLOGIA VINCOLI/OPPORTUNITA ISTANZE DI REGOLAMENTAZIONE OPPORTUNITA SUPPORTO Autoregolamentazione Out Sourcing SUPPORTO OPPORTUNITA

20 19

21 20

22 21 INNOVAZIONE NELLICT... Perdita centralità funzione IT –Prevalenza degli aspetti di business rispetto alle soluzioni tecnologiche Eliminazione delle costrizioni relative al: –tempo: quando possono essere svolte alcune attività (disponibilità delle soluzioni); –spazio: dove possono essere svolte; –attori: chi può svolgerle; –contesto: con chi possono essere svolte; –contenuti: cosa può essere prodotto, trasmesso o ricevuto;

23 22 INNOVAZIONE NELLICT... Rende possibile ciò che prima non lo era o non era conveniente; Tecnologia trasversale: consente di mobilizzare risorse ovunque esse si trovino: globalizzazione; indipendenza dalla localizzazione e dalla struttura territoriale;

24 23 INTERNET INNOVAZIONE NELLICT...

25 24 LICT... Consente di fornire soluzioni eleganti in tempi rapidi; Fa assumere un ruolo primario allutente/proprietario del business; Supporta il business; Offre nuove opportunità al business Ecc. Ma….

26 25 LICT…. al prezzo di: maggiore complessità –aumento dei componenti > oneri di gestione > rischi operativi (sicurezza)

27 26 LICT…. Altri rischi connessi: Anticipare eccessivamente la domanda di un mercato che: –ancora non esiste –non è conoscibile a priori Effettuare investimenti: –in mercati insignificanti –con clienti poco profittevoli –senza decisioni finanziarie e organizzative razionali

28 27 LICT E IL BUSINESS BANCARIO Divengono fondamentali: Conoscenza e gestione dei mercati Conoscenza e gestione della clientela Design, gestione e distribuzione di prodotti e servizi Gestione dei canali di distribuzione Impatti sulle risorse umane Nuove soluzioni organizzative per la gestione dei processi ICT (chi dirige lorchestra?)

29 28 SICUREZZA…. I rischi che si era abituati a considerare sostanzialmente permangono se ne aggiungono di nuovi in un contesto più complesso con componenti tecnologiche potenzialmente insicure

30 29 SICUREZZA…. Larchitettura di rete introduce rischi ulteriori: –su un campione di 585 aziende, nel 2000: il 70% ha subito violazioni (+8%) su 273 che hanno dato una valutazione: –il danno subito è pari a $ (+214%) Fonte: Computer Security Institute /FBI Computer Crime and Security Survey 2000

31 30 SICUREZZA….

32 31 SICUREZZA….

33 32 SICUREZZA…. Fattori di rischio: –IERI assenza di valori etici –OGGI diffusione di valori antietici

34 33 SICUREZZA... COME AFFRONTIAMO IL PROBLEMA??

35 34 LICT E LE STRATEGIE lICT condiziona la strategia dellimpresa per dominare le strategie è necessario governare la tecnologia I.C.T. BUSINESS STRATEGIE

36 35 Stiamo facendo le cose giuste? Le stiamo facendo nel modo giusto? Le stiamo facendo bene? Stiamo ottenendo benefici? Qual è il problema? LIT governance è una responsabilità del CdA e consiste nella guida, nelle strutture organizzative e nei processi che garantiscono che lIT supporti e contribuisca allestensione delle strategie e degli obiettivi. Cosa fa il CdA? Traduzione operativa di strategie e obiettivi Sviluppo organizzativo Un metodo di controllo Balanced business scorecard Come reagisce il management ? IT Governance

37 36 Azionisti – Soggetti interessati Modello per lIT Governance Coerenza dellIT & Creaz. Valore Misura delle performance Gestione del rischio Sicurezza Conclusioni Azionisti – Soggetti interessati Modello per lIT Governance Coerenza dellIT & Creaz. Valore Misura delle performance Gestione del rischio Sicurezza Conclusioni IT Governance

38 37 Pressione da soggetti interessati Azionisti e CdA Minori costi, maggiore profittabilità e aumento del valore delle azioni Clienti e utenti Più funzioni a costi inferiori e maggiore facilità duso Società Maggiore trasparenza della gestione sia nel settore privato che in quello pubblico IT Governance

39 38 uLe maggiori situazioni di rischio sono state causate da debolezze nei Controlli interni, nella Supervisione, nellIT uAttenzione ai rischi operativi, fra questi la sicurezza e lIT sono significativi uInvestire in: autenticazione, separazione, accountability Quali segnali arrivano dalle autorità? Basel Committee on Banking Supervision ( ) Banca dItalia (1998) Commission on the Critical Information Infrastructure (1999) Riforma Draghi (1998) ….. IT Governance

40 39 u Cadbury: …strengthen internal control…boards need to set strategic aims, provide leadership, supervise management and report to shareholders on their stewardship. u Turnbull: …board to assure appropriate and effective processes to monitor risk and effectiveness of the system of internal control… broader corporate governance role for audit committees...monitor and report on risks... u BIS:...governance arrangements for critical systems should be effective, accountable and transparent… u Principi di comportamento del Collegio Sindacale u CNDC-CNR: Principi di Revisione Standards IT Governance

41 40 l Due diligence l IT è critico per il business l IT è strategico per il business l Le aspettative e lerogato non collimano l IT non ottiene attenzione/risorse necessarie l Investimenti e rischi sempre maggiori Perchè adottare un modello di IT Governance? IT Governance

42 41 Le criticità derivano da: La crescente dipendenza dalle informazioni e dai sistemi e dai canali di comunicazione che le erogano Lazienda dipende da entità che vanno oltre il suo diretto controllo I malfunzionamenti dellIT impattano sempre di più sullimmagine e sulla catena del valore dellazienda Le tecnologie propongono nuove soluzioni che cambiano drammaticamente le organizzazioni e le procedure, creando nuove opportunità e riducendo i costi I rischi derivanti da un mercato che opera in un mondo interconnesso La necessità di costruire e mantenere la conoscenza essenziale per il quotidiano e per far crescere lazienda IT è critico per molte Aziende IT Governance

43 42 Azionisti – Soggetti interessati Modello per lIT Governance Coerenza dellIT & Creaz. Valore Misura delle performance Gestione del rischio Sicurezza Conclusioni Azionisti – Soggetti interessati Modello per lIT Governance Coerenza dellIT & Creaz. Valore Misura delle performance Gestione del rischio Sicurezza Conclusioni IT Governance

44 43 Cosa dovrebbe fare il CdA ? Cogliere le indicazioni del mercato Adottare un modello per lT governance Fare le giuste domande Focalizzarsi sui seguenti aspetti dellIT 4 Coerenza con il business 4 Creazione di valore 4 Gestione dei rischi Misurare i risultati Creazione di valore Stakehol der Value Drivers Misura delle perform. Gestione dei rischi Coerenza della strategia IT Governance

45 44 Che cosa dovrebbe fare il Management? Mantenere coerente la strategia IT con gli obiettivi aziendali Tradurre strategia e obiettivi in piani di azione Definire strutture organizzative per attuare le strategie Adottare un modello di governo Fornire una infrastruttura tecn. che consenta la creazione e condivisione di informazioni aziendali Assegnare la responsabilità di gestione dei rischi nellambito dellorganizzazione Attenzione ai processi ed alle competenze inform. Misurare le performance (balanced business scorecard) IT Governance

46 45 u Parte dalla premessa che lIT deve fornire le informazioni che necessitano allimpresa per perseguire i propri obiettivi. u Si basa sulla organizzazione per processi e promuove lownership dei processi u Divide lIT in 34 processi appartenenti a quattro domini e fornisce un controllo di alto livello per ciascuno di essi u Classifica le esigenze aziendali di affidabilità, qualità e sicurezza in sette criteri che possono essere usati per definire cosa il business chiede allIT u E formato da un insieme di oltre 300 obiettivi di controllo di dettaglio u Efficacia u Efficienza u Disponibilità u Integrità u Riservatezza u Conformità u Affidabilità u Pianificazione u Acquisizione e Sviluppo u Esercizio e Assistenza u Monitoraggio C OBI T: un metodo per i controlli IT IT Governance

47 46 C OBI T: un metodo per i controlli IT IT Governance C OBI T è stato di recente ampliato con uno strato relativo alla gestione ed al governo fornendo al manager un supporto contenente: uElementi per misurare le performance (misure di produttività e driver di performance per tutti i processi dellIT) uUna lista di fattori critici di successo che propone, in modo schematico e non tecnico, le best practice per ciascun processo dellIT uUn maturity model per assistere nellattività di benchmark e decisione relativamente ai controlli dellIT

48 47 P……. TI livelli di servizio sono espressi in termini appropriati/comprensibili per lazienda e per lutente finale TI livelli di servizio debbono trovare riscontro puntuale nella struttura manageriale e nelle responsabilità ………. C OBI T: Management Guidelines Critical Success Factors DS01. Definire e gestire i livelli di servizio IT Governance u…. uI livelli di servizio sono espressi in termini appropriati/comprensibili per lazienda e per lutente finale uI livelli di servizio devono trovare riscontro puntuale nella struttura manageriale e nelle responsabilità u…….

49 48 P……. Tbusiness unit strategiche sottoscrivono livelli di servizio allineati con gli obiettivi aziendali chiave percentuale di servizi IT che soddisfano gli SLA ………. C OBI T: Management Guidelines Key Goal Indicators DS01. Definire e gestire i livelli di servizio IT Governance ….. Business unit strategiche sottoscrivono livelli di servizio allineati con gli obiettivi aziendali chiave percentuale di servizi IT che soddisfano gli SLA ….

50 49 P……. Tinvestimenti necessari per raggiungere il livello di servizio definito Atempo richiesto per adeguare il sistema ad un nuovo livello di servizio p………. C OBI T: Management Guidelines Key Performance Indicators DS01. Definire e gestire i livelli di servizio IT Governance..… investimenti necessari per raggiungere il livello di servizio definito tempo richiesto per adeguare il sistema ad un nuovo livello di servizio …...

51 50 PAD HOC: processo informale, misure qualitative, reporting non sistematico AD HOC: processo informale, misure qualitative, reporting non sistemico INTUITIVO: SLA informale e non rivisto, reporting incompleto DEFINITO: responsabilità e processo definiti, inizio di analisi economica e di benchmark, valutazione della soddisfazione del cliente MISURABILE: SL fanno parte dei requisiti del sistema e delle applicazioni, reporting sistematico/automatico/completo, customer satisfaction valutata sistematicamente, valutazione dei rischi, processo standardizzato OTTIMIZZATO: SL coerenti con obiettivi aziendali e IT, analisi economica spinta, miglioramento continuo, perseguimento della customer satisfaction, benchmark sistematico, incentivi collegati a SL e obiettivi C OBI T: Management Guidelines Maturity Model DS01. Definire e gestire i livelli di servizio IT Governance

52 51 Diverse definizioni con alcuni punti in comune: l E responsabilità del CdA e dellAlta Direzione l Proteggere linvestimento degli azionisti l Garantire una gestione trasparente dei rischi l Indirizzare e controllare: investimenti nellIT, opportunità, benefici, rischi l Allineare lIT con il business, assodato che lIT è una componente fondamentale e critica del piano strategico e influenza le scelte strategiche l Supportare lattività corrente e prepararsi per il futuro l E parte integrante di una struttura di governo globale Definizione di IT Governance (1) IT Governance

53 52 IT governance, come altri settori della governance, è una responsabilità dellesecutivo e degli azionisti rappresentati dal CdA. E formata dalle strutture organizzative e di guida e dai processi che assicurano the lIT aziendale supporta e amplia le strategie e gli obiettivi dellazienda. Definizione di IT Governance (2) IT Governance ITGI document: Board Briefing on IT Governance

54 53 Definisci obiettivi misurabili Verifica i risultati Misura le performance Intervieni se non adeguato Produci e persegui lobiettivo Modello dellIT Governance IT Governance

55 54 Guidare dirigere Controllare Misurare le Performance Attività IT Aumentare lautomazione (business più efficace) Ridurre i costi (azienda più efficiente) Gestire i rischi (sicurezza, affidabilità e conformità) IT è allineato con il business IT favorisce il business e massimizza i benefici Le risorse IT sono usate responsabilmente I rischi informatici sono gestiti appropriatamente Definire gli obiettivi Modello dellIT Governance IT Governance

56 55 Attività e attori dellIT Governance IT Governance

57 56 Azionisti – Soggetti interessati Modello per lIT Governance Coerenza dellIT & Creaz. Valore Misura delle performance Gestione del rischio Sicurezza Conclusioni Azionisti – Soggetti interessati Modello per lIT Governance Coerenza dellIT & Creaz. Valore Misura delle performance Gestione del rischio Sicurezza Conclusioni IT Governance

58 57 Il CdA/A.D. dovrebbe garantire la coerenza dellIT con il business attraverso: 4La valutazione dellallineamento della strategia IT a quella del Business 4La valutazione del servizio erogato rispetto alla strategia effettuando delle misure 4Lindirizzo della strategia IT verso il bilanciamento degli investimenti tra lattività corrente e la crescita dellazienda 4La selezione ponderata dei settori nei quali concentrare limpegno delle risorse Strategia Aziendale Coerenza delle attività IT Operations Strategia dellIT Business Operations Coerenza dellIT IT Governance

59 58 Si guida lallineamento IT/B garantendo che lIT crei valore: 4 con una strategia aziendale focalizzata su vantaggio competitivo, time-to-market, la soddisfazione del cliente e la riduzione dei suoi tempi di attesa, la produttività e la capacità di generare profitto 4 supportata dalla strategia IT che mira a consegnare in tempo rispettando i budget con i benefici attesi Creazione di Valore IT Governance

60 59 Il CdA/lAlta Direzione relativamente ai rischi aziendali: 4garantisce visibilità sui rischi significativi dellorganizzazione 4è consapevole che la responsabilità finale della gestione dei rischi gli rimane in capo 4è consapevole che la riduzione dei rischi può generare costi indotti da inefficienza 4ritiene che una gestione proattiva dei rischi crei un vantaggio competitivo 4Fa in modo che la gestione del rischio sia incorporata nei processi operativi dellazienda Gestione dei rischi informatici IT Governance

61 60 Tecniche di gestione dei rischi Risk Allocation - contratti, SLA, ecc. Risk Mitigation – sicurezza & controllo Risk Transfer - assicurazione Risk Assurance - audit & certificazione Risk Acceptance - formale, trasparente Gestione dei rischi informatici IT Governance

62 61 # di clienti IT Costo per cliente IT Costo/efficienza dei processi IT Valore creato dallIT per dipendente Informazioni Disponibilità del sistema e dei servizi Sviluppo in tempo e nel budget Produttività e tempo di risposta Numero di errori e rifacimenti Livello di servizio erogato Soddisfazione dei clieenti # di nuovi clienti raggiunti # di nuovi canali di servizio Investimenti Clienti Produttività e clima del personale # dipendenti aggiornati su nuovi servizi Valore aggiunto erogato per dipendente Aumento disp. e mgt della conoscenza Apprendimento P Processi Esempi di misure IT IT Balanced Scorecard IT Governance

63 62 Azionisti – Soggetti interessati Modello per lIT Governance Coerenza dellIT & Creaz. Valore Misura delle performance Gestione del rischio Sicurezza Conclusioni Azionisti – Soggetti interessati Modello per lIT Governance Coerenza dellIT & Creaz. Valore Misura delle performance Gestione del rischio Sicurezza Conclusioni IT Governance

64 63 Costo della sicurezza IT Costo della sicurezza e del controllo vs. IT Budget % % %55% Costo della non conformità Benchmarking Leadership Attività elementari Attività di base Good Practice Riferimento per il mercato = driver per il cambiamento IT Governance

65 64 Strumenti & Tecnologia Processi Policy & Procedures Security Management Human Behaviour & Culture System Access Control Network Segregation Application Security Politica Performance della sicurezza IT Politiche e proced. Mgt Sicurezz Formazione,comp.i Sicurez. Applicaz. Controllo accessi Separazione Reti Molto basso 1 Basso 2 Medio 3 Buono 4 Molto buono 5 Eccel. Legenda 5 - Eccellente:Ottimizzato, fortemente integrato 4 – Molto buono:Gestito, misure e monitoraggio 3 - Buono:Procedure definite e comunicate 2 - Medio:Affronto i problemi, ripetibile 1 - Basso:Iniziale, ad hoc, non organizz. 0 – Molto basso:Nessuna gestione Legenda Media del sistema Posizionamento 97 Obiettivi per il 2001 IT Governance

66 65 Azionisti – Soggetti interessati Modello per lIT Governance Coerenza dellIT & Creaz. Valore Misura delle performance Gestione del rischio Sicurezza Conclusioni Azionisti – Soggetti interessati Modello per lIT Governance Coerenza dellIT & Creaz. Valore Misura delle performance Gestione del rischio Sicurezza Conclusioni IT Governance

67 66 Obiettivi Capire i requisiti e limportanza strategica dellIT Assicurare il supporto aziendale alloperations Garantire la crescita e lampliamento delle attività aziendali nel futuro Scopo Garantire che le attese informatiche siano soddisfatte ed i rischi informatici siano tenuti sotto controllo Posizionamento Nel più ampio ambito delle strutture di governo dellazienda che coprono la relazione tra la gestione, il controllo, la proprietà, gli azionisti (stakeholders) garantendo adeguate strutture a supporto IT Governance: sintesi IT Governance

68 67 IT Governance: sintesi IT Development BSC IT Operational BSC Business BSC IT Strategic BSC Acquisition & Implementation Delivery & Support Planning & Organization Monitoring IT Governance

69 68 IT Governance Institute Rolling Meadows, IL USA IT Governance AIEA – Associazione Italiana Information Systems Auditors Via Accademia, 19 - Milano


Scaricare ppt "1 RUOLO DELLINTERNAL AUDITING NEI NUOVI CONTESTI ITC SMAU ROMA 6 giugno 2002 Marco Recchia, CISA Banca Antonveneta."

Presentazioni simili


Annunci Google