La Governance Aziendale attraverso un sistema integrato ed ... · Association e successivamente gestito in partnership con l’ITGovernance Institute ... Modello Organizzativo

Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale

La Governance Aziendale attraverso un sistema integrato ed efficiente di gestione

e di scambio delle informazioni

Presupposti ed esperienze

M. Nicoletta De Bonis - Sviluppo Prodotti Opentech

La società Opentech


Soluzione informaticaDatabase Tipologici;

Aggiornamenti di Norme, Processi, Rischi

Supporto alla FormazioneNetwork di competenze

per servizi

Società di Servizi specializzata in

applicazioni GRC

Certificata “ISO 9001” per:

•Tecnologia dell’Informazione

•Formazione

•Servizi Professionali

Personale tecnico certificato Microsoft

Collabora con:

•Università

•Studi legali

•Specialisti di Organizzazione

•Associazioni di categoria

Governance


La guida di una azienda richiede

una armonizzazione continua nelle

diverse situazioni tra prestazioni e

sicurezza, nel rispetto delle regole

e in relazione agli obiettivi.

Definizione di Governance:

1. “l'insieme di istituzioni, di meccanismi e di regole, di ogni livello (leggi,

regolamenti etc.) che disciplinano la gestione dell'impresa stessa”

2. “… the system by which companies are directed and controlled ”

Il contesto attuale


Attività di governo ancora

• manuali

•non standardizzate

•non integrate con i processi di business

Aumento

•della complessità normativa

•delle responsabilità

•dei rischi

•e dei costi

Standard di riferimento

C

I

O

A

P

D

M

R

C CONTEXT &

CULTUREO ORGANIZE &

OVERSEE

A ASSESS E

ALIGN

P PREVENT &

PROMOTED DETECT &

DISCERN

I INFORM &

INTEGRATE

R RESPOND

& RESOLVE

M MONITOR &

MEASURE

OCEG GRC Capability Model COSO ERM Framework COBIT Framework

Linee Guida

Autorità di Vigilanza CNIPA

Associazioni italiane di categoria Università Cattolica

AICOM, ANDAF, AIIA AIEA

I Sistemi IT


I sistemi informatici devono essere appropriati rispetto alle dimensioni e all’attività dell’impresa e devono fornire informazioni, sia all’interno che all’esterno, rispondenti ai principi di cui all’articolo 12, comma 2. (Il sistema dei controlli interni garantisce che le informazioni rispettino i principi di accuratezza, completezza, tempestività, coerenza, trasparenza e pertinenza)

Regolamento ISVAP 20/2008 - REGOLAMENTO RECANTE DISPOSIZIONI IN MATERIA DI CONTROLLI INTERNI, GESTIONE DEI RISCHI,COMPLIANCE ED ESTERNALIZZAZIONE DELLE ATTIVITÀ DELLE IMPRESE DI ASSICURAZIONE)

COBIT: Control Objectives for Information and related Technology, è un

insieme di best practice per la gestione manageriale dell'informaticaaziendale. Si tratta di un vero e proprio framework di IT Governance creatooriginariamente da ISACA, Information Systems Audit and ControlAssociation e successivamente gestito in partnership con l’IT GovernanceInstitute (ITGI)

Security Governance: un insieme di attività e operazioni che consentono

di impostare al meglio il processo di gestione della sicurezza in conformità astandard/normative di settore e parallelamente alle strategie di businessaziendali.

http://www.isaca.org/template.cfm?section=home

http://www.itgi.org/

Risk Manager

Compliance Officer

Internal Audit

Consiglio di Amministrazione

Collegio Sindacale

Amministratore Delegato

Dirigente Preposto

Responsabile Qualità

Gli Attori di un sistema GRC


Sistema Integrato delle Responsabilità

CONSOB

ISVAP

GARANTE DELLA PRIVACY

BANCA D’ITALIA

GARANTE DELLA CONCORRENZA (ANTITRUST)

AUTHORITY APPALTI

GARANTE TELECOMUNICAZIONI

Collaborazione tra funzioni aziendali


Efficaci assetti organizzativi e di governo societario costituiscono per tutte le imprese condizione essenziale per il perseguimento degli obiettivi aziendali.

Disposizioni di Vigilanza in materia di Organizzazione e Governo Societario, Banca d’Italia - 4 marzo 2008

La funzione di conformità collabora con le altre funzioni presenti in azienda (es. revisione interna, controllo del rischio operativo, funzione legale, organizzazione, organismo di vigilanza individuato ai sensi della legge 231/2001, ecc.) allo scopo di sviluppare le proprie metodologie di gestione del rischio in modo coerente con le strategie e l’operatività aziendale, disegnando processi conformi alla normativa e prestando ausilio consultivo.

Disposizioni di Vigilanza – La Funzione di conformità, Banca d’Italia - 10 luglio 2007

L’Internal Audit , il Risk Manager e la Compliance collaborano tra loro, scambiandosi ogni informazione utile per l’espletamento dei rispettivi compiti

Regolamento ISVAP 20/2008 – Regolamento recante le disposizioni in materia di controlli interni, gestione dei rischi, compliance ed esternalizzazione delle attività delle imprese di assicurazioni

Il Ruolo dell’Organizzazione


Identifica i Processi e i Ruoli Aziendali

Guida, fornisce supporto per la loro descrizione e divulga le procedure

Collabora alla descrizione di Workflow di Processo

Supporta la Compliance nella mappatura tra Processi e Adempimenti Normativi

Collabora alla definizione dei Rischi, sia di non Compliance, sia Operativi

Aggiornamento continuo: adeguamento e miglioramento dei Processi al sistema delle Regole, alla situazione aziendale, sulla base degli esiti dei controlli e misure di efficienza

Identifica e sovrintende alle regole per controllo della documentazione e dei flussi informativi (tracciabilità)

La Formazione


La formazione, nell’ambito degli Obiettivi prefissati per la Compliance, deveprevedere:

educazione sulle normative e sui regolamenti interni di riferimento

addestramento sulle attività operative correlate ai requisiti normativi

addestramento sugli strumenti messi a disposizione

workshop operativi

ulteriori incontri periodici di aggiornamento

verifiche del corretto apprendimento

analisi dei risultati

coinvolgimento delle funzioni aziendali più impegnate

Per il rispetto delle regole aziendali è determinante il ruolo dellaFormazione, che deve essere progettata, programmata e distribuita

Flussi informativi


La predisposizione di flussi informativi adeguati e in tempi coerenti con larilevanza e la complessità delle informazioni è necessaria anche per la pienavalorizzazione dei diversi livelli di responsabilità all’interno dell’organizzazioneaziendale.

Disposizioni di Vigilanza in materia di Organizzazione e Governo Societario, Banca d’Italia - 4 marzo 2008

Linee applicative

a) periodicità, forme e contenuti delladocumentazione da trasmettere ai singolicomponenti degli organi necessaria ai finidell’adozione delle delibere sulle materie all'ordinedel giorno

b) individuazione dei soggetti tenuti a inviare, su baseregolare, flussi informativi agli organi aziendali

c) determinazione del contenuto minimo dei flussiinformativi

Sistema di Reportistica


Modello Organizzativo

Relazione di Compliance: sintesi delle attività svolte dalla Compliance, siaper gli Organi interni, sia per gli Organismi di Vigilanza

Sintesi dei Rischi per Normativa, Linea di Business, Processi/gruppi diProcesso,….

Relazione Dirigente Preposto

Piano dei Controlli

Piano di Audit

Rapporti di Verifica

…………………

Registrazione e Tracciabilità


Per la registrazione, le verifiche e la tracciabilità delle attività operative è necessario avere un solido e flessibile sistema informatico, con:

Funzionalità operative che consentono di registrare le operazioni

Regole di gestione della documentazione

Workflow di supporto all’operatività su processi specifici

Sistemi di alert

Funzioni di Verifica

Reportistica e Cruscotti automatici

Il framework di un Sistema Integrato


Riferimenti metodologici

•Linee guida AICOM

•Università Cattolica

•Metodologie standard ERM COSO e COBIT®

Basata sugli Asset aziendali correlati e registrati nel tempo

•Processi aziendali, Procedure

•Strutture organizzative

•Infrastrutture

Processo continuo

• Norme /Obiettivi e Adempimenti/Eventi di Rischio

• Valutazione Rischio e Controlli• Verifiche

• Valutazione Rischio Residuo• Reporting

Supporto alla Direzione e agli Organi di Controllo

•Piani Aziendali e di Gruppo

•Management Review

•Misure di Performance, Conformità e Rischio

Sistema di Governance, Compliance, Risk

Il modelloCopyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale

C

I

O

A

P

D

M

R

C CONTEXT & CULTURE•Normative e Policies interne

•Obiettivi aziendali

•Formazione

O ORGANIZE & OVERSEE•Processi e Organizzazione

•Infrastrutture

•Mappa Processi-Norme-Responsabili

A ASSESS & ALIGN•Adempimenti /Eventi di

Rischio

•Valutazione Rischi

P PREVENT & PROMOTE•Procedure

•Controlli e Azioni Preventive

•FormazioneD DETECT & DISCERN•Assessment

•Verifiche/Test

•Sintesi

I INFORM & INTEGRATE•Sistema di News, Alert, To Do

•Reportistica e Flussi informativi

•Gestione Documenti

R RESPOND &

RESOLVE•Gestione Checklist

• Anomalie e Reclami

•Azioni Correttive

M MONITOR &

MEASURE•Monitoraggio Rischi

•Verifiche e Riesami

•Indicatori e Misure

Legal Inventory


Normative esterne (cogenti e volontarie)

Policies interne e regolamenti aziendali e di gruppo

Estrazione degli Adempimenti (Obblighi e Divieti) /Eventi di Rischio collegati alle Sanzioni – Database Normativi

●Aggiornamento continuo (Studi Legali o Associazioni di settore)

●Storicità

●Supporto a specifici Adempimenti tramite linee guida o sentenze

●Utilizzo di standard pubblici

Mappatura Processi/Norme


Identificazione dei Processi di esecuzione degli Adempimenti (Conformitànormativa) e dei Processi correlati ad Eventi di Rischio

Identificazione e valutazione delle Procedure di descrizione delle modalità diesecuzione degli Adempimenti e dei Responsabili coinvolti

Identificazione dei flussi/informazioni correlati

Identificazione delle Infrastrutture utilizzate (sw, macchine,…)

Valutazione della complessità operativa dei Processi allo scopo di valutare ilrischio di non conformità che può derivarne

Valutazione dell’efficienza (tempi medi di esecuzione, ricicli su attività, ..)

Azioni Preventive, Controlli e Azioni Correttive

Azioni Preventive e Controlli


Azioni Preventive Organizzative

Formazione/Addestramento

Infrastrutturali (applicativi software a supporto, strumenti hw, …)

Valutazione dell’Efficacia come elemento per l’aggiornamento del Rischio

Controlli Piano dei Controlli

Valutazione adeguatezza rispetto ai rischi

Definizione Responsabilità e pianificazione periodica

Sistema di alert per i responsabili delle esecuzioni

Verifica esiti e rispetto dei tempi pianificati

Cruscotti di sintesi degli esiti

Valutazione degli Esiti come elemento per l’aggiornamento del Rischio

Ciclo di Valutazione del Rischio


ValutazioneContinua Livello di

Rischio

Livello di RischioAccettabile

Valutazione Livellodi Rischio Inerente

(ex ante)

Azioni Preventive (Controlli, Procedure,

Formazione)

Verifiche e AzioniCorrettive

Valutazione Livellodi Rischio Residuo

Storia Livello diRischio

Sintesi dei Rischi


Sintesi Rischi per:. Processo. Linea di Business. Event type. Norma. Azienda

Esperienze


Gestione Processo Appalti-Acquisti / Documentazione

• Passaggio dalla gestione cartacea documenti a gestione elettronica

• Utilizzo Workflow del Procedimento con sistema di Alert

• Tracciabilità delle operazioni e trasparenza

Gestione Privacy

• Produzione informatizzata del Documento Programmatico della Sicurezza

Gestione Sicurezza IT

• COBIT (fase 2)

• Gestione Processi e Risorse IT

Consiglio di Stato


Organizzazione

• Sistema di Comunicazione (news e allegati) all’interno e tra le banche del servizio

• Distribuzione Processi

• Mansionario

• Controllo accessi ai sistemi informatici

Compliance

• Gestione storica del Legal Inventory – Market Abuse, MIFID, Antiriciclaggio, 231, 196, 81

• Data base Adempimenti

• Monitoraggio Conformità alle Norme per LoB, Norma

Rischi

• Distribuzione dei Rischi

• Monitoraggio e mappa dei rischi

• Sanzioni e Danni

Controlli

• Piano dei Controlli

• Distribuzione dei Controlli

• Tracciabilità esecuzioni

• Cruscotto Controlli per rispetto scadenze e esiti rilevati

Reclami

• Registri Reclami

• Accantonamenti economici ed esborsi

Esperienze

Esperienze


Legal inventory

•Archivio storico Normative Internazionali e ISVAP

Organizzazione

• Organigramma

• Processi

Compliance

• Gestione Storica del Legal Inventory

• Mappatura Processi

• Data base Adempimenti

Rischi

• Gestione, monitoraggio e mappa dei rischi

• Sanzioni e Danni

Lesson learning


Coinvolgimento Funzioni “chiave”

Avvio ed estensione graduale per le norme

Avvio ed estensione graduale per Funzioni Aziendali, Società , Gruppo

Flessibilità e gradualità nella gestione dei Dati, su base storica

Disponibilità di Data Base Predefiniti (DBT Tipologici)

Gestione e distribuzione dei Processi (distinzione tra quelli in comune e quelli specifici)

Disponibilità di Controlli COBIT®

Disponibilità di Strumenti di gestione Processi, Organizzazione,Rischi, Controlli

Condivisione degli Strumenti operativi da più Funzioni Aziendali

Evidenze e Sintesi per il Management

Elementi essenziali per il successo

Copyright Opentech 2009- Il contenuto non può essere disgiunto dalla esposizione verbale

Documents

La Governance Aziendale attraverso un sistema integrato ed ... · Association e successivamente gestito in partnership con l’ITGovernance Institute ... Modello Organizzativo