Upload
phamcong
View
215
Download
0
Embed Size (px)
Citation preview
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
La Governance Aziendale attraverso un sistema integrato ed efficiente di gestione
e di scambio delle informazioni
Presupposti ed esperienze
M. Nicoletta De Bonis - Sviluppo Prodotti Opentech
La società Opentech
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Soluzione informaticaDatabase Tipologici;
Aggiornamenti di Norme, Processi, Rischi
Supporto alla FormazioneNetwork di competenze
per servizi
Società di Servizi specializzata in
applicazioni GRC
Certificata “ISO 9001” per:
•Tecnologia dell’Informazione
•Formazione
•Servizi Professionali
Personale tecnico certificato Microsoft
Collabora con:
•Università
•Studi legali
•Specialisti di Organizzazione
•Associazioni di categoria
Governance
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
La guida di una azienda richiede
una armonizzazione continua nelle
diverse situazioni tra prestazioni e
sicurezza, nel rispetto delle regole
e in relazione agli obiettivi.
Definizione di Governance:
1. “l'insieme di istituzioni, di meccanismi e di regole, di ogni livello (leggi,
regolamenti etc.) che disciplinano la gestione dell'impresa stessa”
2. “… the system by which companies are directed and controlled ”
Il contesto attuale
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Attività di governo ancora
• manuali
•non standardizzate
•non integrate con i processi di business
Aumento
•della complessità normativa
•delle responsabilità
•dei rischi
•e dei costi
Standard di riferimento
C
I
O
A
P
D
M
R
C CONTEXT &
CULTUREO ORGANIZE &
OVERSEE
A ASSESS E
ALIGN
P PREVENT &
PROMOTED DETECT &
DISCERN
I INFORM &
INTEGRATE
R RESPOND
& RESOLVE
M MONITOR &
MEASURE
OCEG GRC Capability Model COSO ERM Framework COBIT Framework
Linee Guida
Autorità di Vigilanza CNIPA
Associazioni italiane di categoria Università Cattolica
AICOM, ANDAF, AIIA AIEA
I Sistemi IT
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
I sistemi informatici devono essere appropriati rispetto alle dimensioni e all’attività dell’impresa e devono fornire informazioni, sia all’interno che all’esterno, rispondenti ai principi di cui all’articolo 12, comma 2. (Il sistema dei controlli interni garantisce che le informazioni rispettino i principi di accuratezza, completezza, tempestività, coerenza, trasparenza e pertinenza)
Regolamento ISVAP 20/2008 - REGOLAMENTO RECANTE DISPOSIZIONI IN MATERIA DI CONTROLLI INTERNI, GESTIONE DEI RISCHI,COMPLIANCE ED ESTERNALIZZAZIONE DELLE ATTIVITÀ DELLE IMPRESE DI ASSICURAZIONE)
COBIT: Control Objectives for Information and related Technology, è un
insieme di best practice per la gestione manageriale dell'informaticaaziendale. Si tratta di un vero e proprio framework di IT Governance creatooriginariamente da ISACA, Information Systems Audit and ControlAssociation e successivamente gestito in partnership con l’IT GovernanceInstitute (ITGI)
Security Governance: un insieme di attività e operazioni che consentono
di impostare al meglio il processo di gestione della sicurezza in conformità astandard/normative di settore e parallelamente alle strategie di businessaziendali.
Risk Manager
Compliance Officer
Internal Audit
Consiglio di Amministrazione
Collegio Sindacale
Amministratore Delegato
Dirigente Preposto
Responsabile Qualità
Gli Attori di un sistema GRC
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Sistema Integrato delle Responsabilità
CONSOB
ISVAP
GARANTE DELLA PRIVACY
BANCA D’ITALIA
GARANTE DELLA CONCORRENZA (ANTITRUST)
AUTHORITY APPALTI
GARANTE TELECOMUNICAZIONI
Collaborazione tra funzioni aziendali
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Efficaci assetti organizzativi e di governo societario costituiscono per tutte le imprese condizione essenziale per il perseguimento degli obiettivi aziendali.
Disposizioni di Vigilanza in materia di Organizzazione e Governo Societario, Banca d’Italia - 4 marzo 2008
La funzione di conformità collabora con le altre funzioni presenti in azienda (es. revisione interna, controllo del rischio operativo, funzione legale, organizzazione, organismo di vigilanza individuato ai sensi della legge 231/2001, ecc.) allo scopo di sviluppare le proprie metodologie di gestione del rischio in modo coerente con le strategie e l’operatività aziendale, disegnando processi conformi alla normativa e prestando ausilio consultivo.
Disposizioni di Vigilanza – La Funzione di conformità, Banca d’Italia - 10 luglio 2007
L’Internal Audit , il Risk Manager e la Compliance collaborano tra loro, scambiandosi ogni informazione utile per l’espletamento dei rispettivi compiti
Regolamento ISVAP 20/2008 – Regolamento recante le disposizioni in materia di controlli interni, gestione dei rischi, compliance ed esternalizzazione delle attività delle imprese di assicurazioni
Il Ruolo dell’Organizzazione
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Identifica i Processi e i Ruoli Aziendali
Guida, fornisce supporto per la loro descrizione e divulga le procedure
Collabora alla descrizione di Workflow di Processo
Supporta la Compliance nella mappatura tra Processi e Adempimenti Normativi
Collabora alla definizione dei Rischi, sia di non Compliance, sia Operativi
Aggiornamento continuo: adeguamento e miglioramento dei Processi al sistema delle Regole, alla situazione aziendale, sulla base degli esiti dei controlli e misure di efficienza
Identifica e sovrintende alle regole per controllo della documentazione e dei flussi informativi (tracciabilità)
La Formazione
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
La formazione, nell’ambito degli Obiettivi prefissati per la Compliance, deveprevedere:
educazione sulle normative e sui regolamenti interni di riferimento
addestramento sulle attività operative correlate ai requisiti normativi
addestramento sugli strumenti messi a disposizione
workshop operativi
ulteriori incontri periodici di aggiornamento
verifiche del corretto apprendimento
analisi dei risultati
coinvolgimento delle funzioni aziendali più impegnate
Per il rispetto delle regole aziendali è determinante il ruolo dellaFormazione, che deve essere progettata, programmata e distribuita
Flussi informativi
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
La predisposizione di flussi informativi adeguati e in tempi coerenti con larilevanza e la complessità delle informazioni è necessaria anche per la pienavalorizzazione dei diversi livelli di responsabilità all’interno dell’organizzazioneaziendale.
Disposizioni di Vigilanza in materia di Organizzazione e Governo Societario, Banca d’Italia - 4 marzo 2008
Linee applicative
a) periodicità, forme e contenuti delladocumentazione da trasmettere ai singolicomponenti degli organi necessaria ai finidell’adozione delle delibere sulle materie all'ordinedel giorno
b) individuazione dei soggetti tenuti a inviare, su baseregolare, flussi informativi agli organi aziendali
c) determinazione del contenuto minimo dei flussiinformativi
Sistema di Reportistica
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Modello Organizzativo
Relazione di Compliance: sintesi delle attività svolte dalla Compliance, siaper gli Organi interni, sia per gli Organismi di Vigilanza
Sintesi dei Rischi per Normativa, Linea di Business, Processi/gruppi diProcesso,….
Relazione Dirigente Preposto
Piano dei Controlli
Piano di Audit
Rapporti di Verifica
…………………
Registrazione e Tracciabilità
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Per la registrazione, le verifiche e la tracciabilità delle attività operative è necessario avere un solido e flessibile sistema informatico, con:
Funzionalità operative che consentono di registrare le operazioni
Regole di gestione della documentazione
Workflow di supporto all’operatività su processi specifici
Sistemi di alert
Funzioni di Verifica
Reportistica e Cruscotti automatici
Il framework di un Sistema Integrato
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Riferimenti metodologici
•Linee guida AICOM
•Università Cattolica
•Metodologie standard ERM COSO e COBIT®
Basata sugli Asset aziendali correlati e registrati nel tempo
•Processi aziendali, Procedure
•Strutture organizzative
•Infrastrutture
Processo continuo
• Norme /Obiettivi e Adempimenti/Eventi di Rischio
• Valutazione Rischio e Controlli• Verifiche
• Valutazione Rischio Residuo• Reporting
Supporto alla Direzione e agli Organi di Controllo
•Piani Aziendali e di Gruppo
•Management Review
•Misure di Performance, Conformità e Rischio
Sistema di Governance, Compliance, Risk
Il modelloCopyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
C
I
O
A
P
D
M
R
C CONTEXT & CULTURE•Normative e Policies interne
•Obiettivi aziendali
•Formazione
O ORGANIZE & OVERSEE•Processi e Organizzazione
•Infrastrutture
•Mappa Processi-Norme-Responsabili
A ASSESS & ALIGN•Adempimenti /Eventi di
Rischio
•Valutazione Rischi
P PREVENT & PROMOTE•Procedure
•Controlli e Azioni Preventive
•FormazioneD DETECT & DISCERN•Assessment
•Verifiche/Test
•Sintesi
I INFORM & INTEGRATE•Sistema di News, Alert, To Do
•Reportistica e Flussi informativi
•Gestione Documenti
R RESPOND &
RESOLVE•Gestione Checklist
• Anomalie e Reclami
•Azioni Correttive
M MONITOR &
MEASURE•Monitoraggio Rischi
•Verifiche e Riesami
•Indicatori e Misure
Legal Inventory
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Normative esterne (cogenti e volontarie)
Policies interne e regolamenti aziendali e di gruppo
Estrazione degli Adempimenti (Obblighi e Divieti) /Eventi di Rischio collegati alle Sanzioni – Database Normativi
●Aggiornamento continuo (Studi Legali o Associazioni di settore)
●Storicità
●Supporto a specifici Adempimenti tramite linee guida o sentenze
●Utilizzo di standard pubblici
Mappatura Processi/Norme
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Identificazione dei Processi di esecuzione degli Adempimenti (Conformitànormativa) e dei Processi correlati ad Eventi di Rischio
Identificazione e valutazione delle Procedure di descrizione delle modalità diesecuzione degli Adempimenti e dei Responsabili coinvolti
Identificazione dei flussi/informazioni correlati
Identificazione delle Infrastrutture utilizzate (sw, macchine,…)
Valutazione della complessità operativa dei Processi allo scopo di valutare ilrischio di non conformità che può derivarne
Valutazione dell’efficienza (tempi medi di esecuzione, ricicli su attività, ..)
Azioni Preventive, Controlli e Azioni Correttive
Azioni Preventive e Controlli
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Azioni Preventive Organizzative
Formazione/Addestramento
Infrastrutturali (applicativi software a supporto, strumenti hw, …)
Valutazione dell’Efficacia come elemento per l’aggiornamento del Rischio
Controlli Piano dei Controlli
Valutazione adeguatezza rispetto ai rischi
Definizione Responsabilità e pianificazione periodica
Sistema di alert per i responsabili delle esecuzioni
Verifica esiti e rispetto dei tempi pianificati
Cruscotti di sintesi degli esiti
Valutazione degli Esiti come elemento per l’aggiornamento del Rischio
Ciclo di Valutazione del Rischio
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
ValutazioneContinua Livello di
Rischio
Livello di RischioAccettabile
Valutazione Livellodi Rischio Inerente
(ex ante)
Azioni Preventive (Controlli, Procedure,
Formazione)
Verifiche e AzioniCorrettive
Valutazione Livellodi Rischio Residuo
Storia Livello diRischio
Sintesi dei Rischi
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Sintesi Rischi per:. Processo. Linea di Business. Event type. Norma. Azienda
Esperienze
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Gestione Processo Appalti-Acquisti / Documentazione
• Passaggio dalla gestione cartacea documenti a gestione elettronica
• Utilizzo Workflow del Procedimento con sistema di Alert
• Tracciabilità delle operazioni e trasparenza
Gestione Privacy
• Produzione informatizzata del Documento Programmatico della Sicurezza
Gestione Sicurezza IT
• COBIT (fase 2)
• Gestione Processi e Risorse IT
Consiglio di Stato
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Organizzazione
• Sistema di Comunicazione (news e allegati) all’interno e tra le banche del servizio
• Distribuzione Processi
• Mansionario
• Controllo accessi ai sistemi informatici
Compliance
• Gestione storica del Legal Inventory – Market Abuse, MIFID, Antiriciclaggio, 231, 196, 81
• Data base Adempimenti
• Monitoraggio Conformità alle Norme per LoB, Norma
Rischi
• Distribuzione dei Rischi
• Monitoraggio e mappa dei rischi
• Sanzioni e Danni
Controlli
• Piano dei Controlli
• Distribuzione dei Controlli
• Tracciabilità esecuzioni
• Cruscotto Controlli per rispetto scadenze e esiti rilevati
Reclami
• Registri Reclami
• Accantonamenti economici ed esborsi
Esperienze
Esperienze
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Legal inventory
•Archivio storico Normative Internazionali e ISVAP
Organizzazione
• Organigramma
• Processi
Compliance
• Gestione Storica del Legal Inventory
• Mappatura Processi
• Data base Adempimenti
Rischi
• Gestione, monitoraggio e mappa dei rischi
• Sanzioni e Danni
Lesson learning
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Coinvolgimento Funzioni “chiave”
Avvio ed estensione graduale per le norme
Avvio ed estensione graduale per Funzioni Aziendali, Società , Gruppo
Flessibilità e gradualità nella gestione dei Dati, su base storica
Disponibilità di Data Base Predefiniti (DBT Tipologici)
Gestione e distribuzione dei Processi (distinzione tra quelli in comune e quelli specifici)
Disponibilità di Controlli COBIT®
Disponibilità di Strumenti di gestione Processi, Organizzazione,Rischi, Controlli
Condivisione degli Strumenti operativi da più Funzioni Aziendali
Evidenze e Sintesi per il Management
Elementi essenziali per il successo