RUOLO DELL’INTERNAL AUDITING NEI NUOVI CONTESTI ITC Marco Recchia, CISA Banca Antonveneta SMAU ROMA 6 giugno 2002

Parleremo di: Sistema di Controllo Interno & Internal Auditing Nuovi ruoli per l’ITC Contesti di riferimento e rischi IT GOVERNANCE

Sistema di Controllo Interno Il raggiungimento degli obiettivi aziendali avviene attraverso l’attuazione di processi Ogni processo ha in se componenti di rischio Ogni rischio deve essere presidiato da un controllo L’insieme dei controlli, in quanto correlati tra loro, costituisce il S.C.I.

Sistema di Controllo interno Ha trovato piena definizione nell’ultimo decennio: Internal Control - Integrated Framework - 1992 - COSO - Committee of Sponsoring Organizations of the Treadway Commission; Framework for Internal Control Systems in Banking Organisations - 1998 - Comitato di Basilea. …...

Sistema di Controllo interno I concetti sono stati recepiti a livello regolamentare: Istruzioni di Vigilanza per le Banche - Banca d’Italia (Tit. IV - Cap. 11); Codice di autodisciplina per le società quotate - Borsa Italiana (“Codice Preda”); D.Leg. 231/2001, in materia di responsabilità amministrativa ….

Sistema di Controllo interno la vitalità di una banca, il suo posizionamento sul mercato ed una sana e prudente gestione “ … non possono prescindere dal buon funzionamento del sistema dei controlli” (Istr. Vig. Tit. IV, cap. 11, pag. 1). la responsabilità relativa alla implementazione e gestione di tale sistema ricade sui vertici aziendali il funzionamento del sistema deve essere soggetto a valutazione e monitoraggio periodico da parte di una struttura sovraordinata che si faccia garante dell’efficacia ed efficienza del sistema stesso (Istr. Vig. Tit. IV, cap. 11, pag. 5).

INTERNAL AUDITING L’attività di Internal Auditing: verifica e valutazione dell’adeguatezza e dell’efficacia del sistema di controllo interno dell’organizzazione; verifica della qualità delle prestazioni svolte per l’assolvimento delle responsabilità assegnate; assistenza ai membri dell’organizzazione nel corretto svolgimento delle proprie responsabilità; fornire valore aggiunto in termini di costruzione dei sistemi di controllo all’interno dei processi, di individuazione delle opportunità per il miglioramento organizzativo

INFORMATION SYSTEM AUDITING Necessità di specifiche competenze ed esperienze nella valutazione dei rischi e delle misure a loro presidio laddove: i processi, e quindi i controlli, sono supportati dall’ITC; è necessario valutare l’adeguatezza del S.C.I. con riferimento ai processi propri dell’ITC.

INTERNAL AUDITING Agisce nell’interesse dell’organizzazione Deve essere indipendente dall’organizzazione I suoi comportamenti sono disciplinati da: standard professionali codici deontologici regolamenti norme esterni all’organizzazione

C’era una volta l’EDP... Electronic Data Processing ELABORAZIONE ELETTRONICA perché svolta con una macchina anziché a mano dei DATI cioè di rappresentazioni alfanumeriche della realtà

Evoluzione dell’EDP…. Data base Teleprocessing Tempo reale dall’automazione della fase….. ….all’automazione del processo

Limiti dell’EDP…. Necessità di una mediazione…...

Limiti dell’EDP…. Tempi di realizzazione …”biblici”...

INFORMATION TECHNOLOGY Dall’EDP…. all’IT….. Personal computer Office automation Strumenti di produttività individuale Elaborazione delle INFORMAZIONI INFORMATION TECHNOLOGY

INFORMAZIONE = COMUNICAZIONE Dall’IT …..all’ICT.. INFORMAZIONE = COMUNICAZIONE Semplificazione degli strumenti di comunicazione TCP/IP INTERNET

I C T TECNOLOGIA AL SERVIZIO DELL’INFORMAZIONE? INFORMAZIONE AL OPPURE INFORMAZIONE AL SERVIZIO DELLA TECNOLOGIA?

UN MODELLO CLASSICO OPPORTUNITA’ VINCOLI MERCATI REGOLAMENTI SISTEMA TECNICO TECNOLOGIA

ISTANZE DI REGOLAMENTAZIONE I N N O V A Z I O N E VINCOLI/OPPORTUNITA’ MERCATI Autoregolamentazione REGOLAMENTI ISTANZE DI REGOLAMENTAZIONE SUPPORTO SUPPORTO TECNOLOGIA OPPORTUNITA’ OPPORTUNITA’ Out Sourcing

INNOVAZIONE NELL’ICT... Eliminazione delle costrizioni relative al: Perdita centralità funzione IT Prevalenza degli aspetti di business rispetto alle soluzioni tecnologiche Eliminazione delle costrizioni relative al: tempo: quando possono essere svolte alcune attività (disponibilità delle soluzioni); spazio: dove possono essere svolte; attori: chi può svolgerle; contesto: con chi possono essere svolte; contenuti: cosa può essere prodotto, trasmesso o ricevuto;

INNOVAZIONE NELL’ICT... Rende possibile ciò che prima non lo era o non era conveniente; Tecnologia trasversale: consente di mobilizzare risorse ovunque esse si trovino: globalizzazione; indipendenza dalla localizzazione e dalla struttura territoriale;

INNOVAZIONE NELL’ICT... INTERNET

L’ICT... Ma…. Consente di fornire soluzioni eleganti in tempi rapidi; Fa assumere un ruolo primario all’utente/proprietario del business; Supporta il business; Offre nuove opportunità al business Ecc. Ma….

L’ICT…. al prezzo di: maggiore complessità aumento dei componenti > oneri di gestione > rischi operativi (sicurezza)

L’ICT…. Altri rischi connessi: Anticipare eccessivamente la domanda di un mercato che: ancora non esiste non è conoscibile a priori Effettuare investimenti: in mercati insignificanti con clienti poco profittevoli senza decisioni finanziarie e organizzative razionali

L’ICT E IL BUSINESS BANCARIO Divengono fondamentali: Conoscenza e gestione dei mercati Conoscenza e gestione della clientela Design, gestione e distribuzione di prodotti e servizi Gestione dei canali di distribuzione Impatti sulle risorse umane Nuove soluzioni organizzative per la gestione dei processi ICT (chi dirige l’orchestra?)

SICUREZZA…. I rischi che si era abituati a considerare sostanzialmente permangono se ne aggiungono di nuovi in un contesto più complesso con componenti tecnologiche potenzialmente insicure

SICUREZZA…. L’architettura di rete introduce rischi ulteriori: su un campione di 585 aziende, nel 2000: il 70% ha subito violazioni (+8%) su 273 che hanno dato una valutazione: il danno subito è pari a $265.586.240 (+214%) Fonte: Computer Security Institute /FBI Computer Crime and Security Survey 2000

SICUREZZA….

SICUREZZA….

SICUREZZA…. Fattori di rischio: IERI assenza di valori etici OGGI diffusione di valori antietici

COME AFFRONTIAMO IL PROBLEMA?? SICUREZZA... COME AFFRONTIAMO IL PROBLEMA??

L’ICT E LE STRATEGIE I.C.T. BUSINESS STRATEGIE l’ICT condiziona la strategia dell’impresa per dominare le strategie è necessario governare la tecnologia

Come reagisce il management ? IT Governance Stiamo facendo le cose giuste? Le stiamo facendo nel modo giusto? Le stiamo facendo bene? Stiamo ottenendo benefici? Qual è il problema? L’IT governance è una responsabilità del CdA e consiste nella guida, nelle strutture organizzative e nei processi che garantiscono che l’IT supporti e contribuisca all’estensione delle strategie e degli obiettivi. Cosa fa il CdA? Traduzione operativa di strategie e obiettivi Sviluppo organizzativo Un metodo di controllo Balanced business scorecard Come reagisce il management ?

IT Governance Agenda Azionisti – Soggetti interessati Modello per l’IT Governance Coerenza dell’IT & Creaz. Valore Misura delle performance Gestione del rischio Sicurezza Conclusioni

Pressione da soggetti interessati IT Governance Pressione da soggetti interessati Azionisti e CdA Minori costi, maggiore profittabilità e aumento del valore delle azioni Più funzioni a costi inferiori e Clienti e utenti maggiore facilità d’uso Maggiore trasparenza della gestione sia nel settore privato che in quello pubblico Società

Quali segnali arrivano dalle autorità? IT Governance Quali segnali arrivano dalle autorità? Le maggiori situazioni di rischio sono state causate da debolezze nei Controlli interni, nella Supervisione, nell’IT Attenzione ai rischi operativi, fra questi la sicurezza e l’IT sono significativi Investire in: autenticazione, separazione, accountability Basel Committee on Banking Supervision (’88-2002) Banca d’Italia (1998) Commission on the Critical Information Infrastructure (1999) Riforma Draghi (1998) …..

Standards IT Governance Cadbury: “…strengthen internal control…boards need to set strategic aims, provide leadership, supervise management and report to shareholders on their stewardship.” Turnbull: “…board to assure appropriate and effective processes to monitor risk and effectiveness of the system of internal control… broader corporate governance role for audit committees...monitor and report on risks...” BIS: “...governance arrangements for critical systems should be effective, accountable and transparent…” Principi di comportamento del Collegio Sindacale CNDC-CNR: Principi di Revisione

Perchè adottare un modello di IT Governance? “Due diligence” IT è critico per il business IT è strategico per il business Le aspettative e l’erogato non collimano IT non ottiene attenzione/risorse necessarie Investimenti e rischi sempre maggiori

IT è critico per molte Aziende IT Governance IT è critico per molte Aziende Le criticità derivano da: La crescente dipendenza dalle informazioni e dai sistemi e dai canali di comunicazione che le erogano L’azienda dipende da entità che vanno oltre il suo diretto controllo I malfunzionamenti dell’IT impattano sempre di più sull’immagine e sulla catena del valore dell’azienda Le tecnologie propongono nuove soluzioni che cambiano drammaticamente le organizzazioni e le procedure, creando nuove opportunità e riducendo i costi I rischi derivanti da un mercato che opera in un mondo interconnesso La necessità di costruire e mantenere la conoscenza essenziale per il quotidiano e per far crescere l’azienda

IT Governance Agenda Azionisti – Soggetti interessati Modello per l’IT Governance Coerenza dell’IT & Creaz. Valore Misura delle performance Gestione del rischio Sicurezza Conclusioni

Cosa dovrebbe fare il CdA ? IT Governance Cosa dovrebbe fare il CdA ? Cogliere le indicazioni del mercato Adottare un modello per l’T governance Fare le giuste domande Focalizzarsi sui seguenti aspetti dell’IT Coerenza con il business Creazione di valore Gestione dei rischi Misurare i risultati Creazione di valore Coerenza della strategia Stakeholder Value Drivers Gestione dei rischi Misura delle perform.

Che cosa dovrebbe fare il Management? IT Governance Che cosa dovrebbe fare il Management? Mantenere coerente la strategia IT con gli obiettivi aziendali Tradurre strategia e obiettivi in piani di azione Definire strutture organizzative per attuare le strategie Adottare un modello di governo Fornire una infrastruttura tecn. che consenta la creazione e condivisione di informazioni aziendali Assegnare la responsabilità di gestione dei rischi nell’ambito dell’organizzazione Attenzione ai processi ed alle competenze inform. Misurare le performance (balanced business scorecard)

COBIT: un metodo per i controlli IT IT Governance COBIT: un metodo per i controlli IT Parte dalla premessa che l’IT deve fornire le informazioni che necessitano all’impresa per perseguire i propri obiettivi. Si basa sulla organizzazione per processi e promuove l’ownership dei processi Divide l’IT in 34 processi appartenenti a quattro domini e fornisce un controllo di alto livello per ciascuno di essi Classifica le esigenze aziendali di affidabilità, qualità e sicurezza in sette criteri che possono essere usati per definire cosa il business chiede all’IT E’ formato da un insieme di oltre 300 obiettivi di controllo di dettaglio Pianificazione Acquisizione e Sviluppo Esercizio e Assistenza Monitoraggio Efficacia Efficienza Disponibilità Integrità Riservatezza Conformità Affidabilità

COBIT: un metodo per i controlli IT IT Governance COBIT: un metodo per i controlli IT COBIT è stato di recente ampliato con uno strato relativo alla gestione ed al governo fornendo al manager un supporto contenente: Elementi per misurare le performance (misure di produttività e driver di performance per tutti i processi dell’IT) Una lista di fattori critici di successo che propone, in modo schematico e non tecnico, le best practice per ciascun processo dell’IT Un maturity model per assistere nell’attività di benchmark e decisione relativamente ai controlli dell’IT

COBIT: Management Guidelines Critical Success Factors IT Governance COBIT: Management Guidelines Critical Success Factors DS01. Definire e gestire i livelli di servizio P……. TI livelli di servizio sono espressi in termini appropriati/comprensibili per l’azienda e per l’utente finale TI livelli di servizio debbono trovare riscontro puntuale nella struttura manageriale e nelle responsabilità ………. …. I livelli di servizio sono espressi in termini appropriati/comprensibili per l’azienda e per l’utente finale I livelli di servizio devono trovare riscontro puntuale nella struttura manageriale e nelle responsabilità …….

COBIT: Management Guidelines Key Goal Indicators IT Governance COBIT: Management Guidelines Key Goal Indicators DS01. Definire e gestire i livelli di servizio P……. Tbusiness unit strategiche sottoscrivono livelli di servizio allineati con gli obiettivi aziendali chiave percentuale di servizi IT che soddisfano gli SLA ………. ….. Business unit strategiche sottoscrivono livelli di servizio allineati con gli obiettivi aziendali chiave percentuale di servizi IT che soddisfano gli SLA ….

COBIT: Management Guidelines Key Performance Indicators IT Governance COBIT: Management Guidelines Key Performance Indicators DS01. Definire e gestire i livelli di servizio P……. Tinvestimenti necessari per raggiungere il livello di servizio definito Atempo richiesto per adeguare il sistema ad un nuovo livello di servizio p………. ..… investimenti necessari per raggiungere il livello di servizio definito tempo richiesto per adeguare il sistema ad un nuovo livello di servizio …...

COBIT: Management Guidelines Maturity Model IT Governance COBIT: Management Guidelines Maturity Model PAD HOC: processo informale, misure qualitative, reporting non sistematico AD HOC: processo informale, misure qualitative, reporting non sistemico INTUITIVO: SLA informale e non rivisto, reporting incompleto DEFINITO: responsabilità e processo definiti, inizio di analisi economica e di benchmark, valutazione della soddisfazione del cliente MISURABILE: SL fanno parte dei requisiti del sistema e delle applicazioni, reporting sistematico/automatico/completo, customer satisfaction valutata sistematicamente, valutazione dei rischi, processo standardizzato OTTIMIZZATO: SL coerenti con obiettivi aziendali e IT, analisi economica spinta, miglioramento continuo, perseguimento della customer satisfaction, benchmark sistematico, incentivi collegati a SL e obiettivi DS01. Definire e gestire i livelli di servizio

Definizione di IT Governance (1) Diverse definizioni con alcuni punti in comune: E’ responsabilità del CdA e dell’Alta Direzione Proteggere l’investimento degli azionisti Garantire una gestione trasparente dei rischi Indirizzare e controllare: investimenti nell’IT, opportunità, benefici, rischi Allineare l’IT con il business, assodato che l’IT è una componente fondamentale e critica del piano strategico e influenza le scelte strategiche Supportare l’attività corrente e prepararsi per il futuro E’ parte integrante di una struttura di governo globale

Definizione di IT Governance (2) IT governance, come altri settori della governance, è una responsabilità dell’esecutivo e degli azionisti rappresentati dal CdA. E’ formata dalle strutture organizzative e di guida e dai processi che assicurano the l’IT aziendale supporta e amplia le strategie e gli obiettivi dell’azienda. ITGI document: Board Briefing on IT Governance

Intervieni se non adeguato Produci e persegui l’obiettivo IT Governance Modello dell’IT Governance Intervieni se non adeguato Produci e persegui l’obiettivo Definisci obiettivi misurabili Verifica i risultati Misura le performance

Modello dell’IT Governance Misurare le Performance Guidare dirigere Definire gli obiettivi Attività IT IT è allineato con il business IT favorisce il business e massimizza i benefici Le risorse IT sono usate responsabilmente I rischi informatici sono gestiti appropriatamente Aumentare l’automazione (business più efficace) Ridurre i costi (azienda più efficiente) Gestire i rischi (sicurezza, affidabilità e conformità) Controllare Misurare le Performance

Attività e attori dell’IT Governance

IT Governance Agenda Azionisti – Soggetti interessati Modello per l’IT Governance Coerenza dell’IT & Creaz. Valore Misura delle performance Gestione del rischio Sicurezza Conclusioni

Coerenza delle attività IT Governance Coerenza dell’IT Il CdA/A.D. dovrebbe garantire la coerenza dell’IT con il business attraverso: La valutazione dell’allineamento della strategia IT a quella del Business La valutazione del servizio erogato rispetto alla strategia effettuando delle misure L’indirizzo della strategia IT verso il bilanciamento degli investimenti tra l’attività corrente e la crescita dell’azienda La selezione ponderata dei settori nei quali concentrare l’impegno delle risorse Strategia Aziendale Coerenza delle attività IT Operations Strategia dell’IT Business Operations

Creazione di Valore IT Governance Si guida l’allineamento IT/B garantendo che l’IT crei valore: con una strategia aziendale focalizzata su vantaggio competitivo, time-to-market, la soddisfazione del cliente e la riduzione dei suoi tempi di attesa, la produttività e la capacità di generare profitto supportata dalla strategia IT che mira a consegnare in tempo rispettando i budget con i benefici attesi

Gestione dei rischi informatici IT Governance Gestione dei rischi informatici Il CdA/l’Alta Direzione relativamente ai rischi aziendali: garantisce visibilità sui rischi significativi dell’organizzazione è consapevole che la responsabilità finale della gestione dei rischi gli rimane in capo è consapevole che la riduzione dei rischi può generare costi indotti da inefficienza ritiene che una gestione proattiva dei rischi crei un vantaggio competitivo Fa in modo che la gestione del rischio sia incorporata nei processi operativi dell’azienda

Gestione dei rischi informatici IT Governance Gestione dei rischi informatici Tecniche di gestione dei rischi Risk Allocation - contratti, SLA, ecc. Risk Mitigation – sicurezza & controllo Risk Transfer - assicurazione Risk Assurance - audit & certificazione Risk Acceptance - formale, trasparente

IT Balanced Scorecard IT Governance Esempi di misure IT Investimenti # di clienti IT Costo per cliente IT Costo/efficienza dei processi IT Valore creato dall’IT per dipendente Clienti Processi Livello di servizio erogato Soddisfazione dei clieenti # di nuovi clienti raggiunti # di nuovi canali di servizio Disponibilità del sistema e dei servizi Sviluppo in tempo e nel budget Produttività e tempo di risposta Numero di errori e rifacimenti Informazioni Apprendimento Produttività e clima del personale # dipendenti aggiornati su nuovi servizi Valore aggiunto erogato per dipendente Aumento disp. e mgt della conoscenza

IT Governance Agenda Azionisti – Soggetti interessati Modello per l’IT Governance Coerenza dell’IT & Creaz. Valore Misura delle performance Gestione del rischio Sicurezza Conclusioni

Costo della non conformità IT Governance Costo della sicurezza e del controllo vs. IT Budget 5 - 10% 20 - 25% 45 - 50% 55% Costo della non conformità Benchmarking Leadership Attività elementari di base Good Practice Riferimento per il mercato = driver per il cambiamento Costo della sicurezza IT

Strumenti & Tecnologia IT Governance Strumenti & Tecnologia Processi Policy & Procedures Security Management Human Behaviour & Culture System Access Control Network Segregation Application 1 2 3 6 5 4 Politica Performance della sicurezza IT 1996 1997 1998 1999 2000 2001 20 40 60 80 100 92 88 76 64 48 42 96 Politiche e proced. Mgt Sicurezz Formazione,comp.i Sicurez. Applicaz. Controllo accessi Separazione Reti 1. 2. 3. 4. 5. 6. 10 Molto basso 1 Basso 2 Medio 3 Buono 4 buono 5 Eccel. Legenda 5 - Eccellente: Ottimizzato, fortemente integrato 4 – Molto buono: Gestito, misure e monitoraggio 3 - Buono: Procedure definite e comunicate 2 - Medio: Affronto i problemi, ripetibile 1 - Basso: Iniziale, ad hoc, non organizz. 0 – Molto basso: Nessuna gestione Media del sistema Posizionamento ‘97 Obiettivi per il 2001

IT Governance Agenda Azionisti – Soggetti interessati Modello per l’IT Governance Coerenza dell’IT & Creaz. Valore Misura delle performance Gestione del rischio Sicurezza Conclusioni

IT Governance: sintesi Obiettivi Capire i requisiti e l’importanza strategica dell’IT Assicurare il supporto aziendale all’operations Garantire la crescita e l’ampliamento delle attività aziendali nel futuro Scopo Garantire che le attese informatiche siano soddisfatte ed i rischi informatici siano tenuti sotto controllo Posizionamento Nel più ampio ambito delle strutture di governo dell’azienda che coprono la relazione tra la gestione, il controllo, la proprietà, gli azionisti (stakeholders) garantendo adeguate strutture a supporto

Acquisition & Implementation IT Governance IT Governance: sintesi IT Development BSC Operational Business Strategic Acquisition & Implementation Delivery & Support Planning & Organization Monitoring

IT Governance IT Governance Institute Rolling Meadows, IL 60008 USA www.isaca.org www.ITgovernance.org AIEA – Associazione Italiana Information Systems Auditors Via Accademia, 19 - Milano www.aiea.it marco.recchia@antonveneta.it