the innovation group · nelle slide seguenti sono riportati ... kpmg audit s.p.a., società per...
TRANSCRIPT
Milano, 15 aprile 2014
The Innovation Group
Aggiornamento n.15 della Circolare Banca d’Italia n. 263/2006 Gli aspetti organizzativi e gli impatti su sistemi informativi e processi: punti d’attenzione
1 © 2014 KPMG S.p.A., KPMG Advisory S.p.A., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di Amministrazione S.p.A., KPMG Audit S.p.A., società per azioni di diritto italiano, e Studio Associato Consulenza legale e tributaria, un'associazione professionale di diritto italiano, fanno parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
Agenda
• Premessa
• Considerazioni sulle novità normative
• Ricadute su ICT
• Conclusioni
2 © 2014 KPMG S.p.A., KPMG Advisory S.p.A., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di Amministrazione S.p.A., KPMG Audit S.p.A., società per azioni di diritto italiano, e Studio Associato Consulenza legale e tributaria, un'associazione professionale di diritto italiano, fanno parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
Premessa
L’entrata in vigore delle disposizioni di vigilanza di Banca d’Italia (Circolare 263 del 27 dicembre 2006, 15º aggiornamento del 2 luglio 2013) ha posto agli Istituti bancari italiani un’esigenza di rilevante aggiornamento/ evoluzione negli ambiti oggetto della Normativa, per quanto l’effettivo impatto possa variare in funzione dell’attuale livello di maturità del singolo intermediario negli specifici ambiti.
Nelle slide seguenti sono riportati….
….un minimo di inquadramento normativo
…. alcune considerazioni sul significato operativo di cosa implica applicare la normativa 263 in ambito ICT
3 © 2014 KPMG S.p.A., KPMG Advisory S.p.A., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di Amministrazione S.p.A., KPMG Audit S.p.A., società per azioni di diritto italiano, e Studio Associato Consulenza legale e tributaria, un'associazione professionale di diritto italiano, fanno parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
Premessa: l’aggiornamento normativo
Sistema dei controlli interni (Titolo V, Capitolo 7)
Sistema Informativo (Titolo V, Capitolo 8)
Continuità Operativa (Titolo V, Capitolo 9)
PRINCIPALI TEMATICHE TRATTATE
La normativa in materia di sistema dei controlli interni, sistema informativo e continuità operativa è finalizzata a:
• Rafforzare le capacità delle banche nella gestione dei rischi aziendali;
• Rivedere in modo organico e omogeneizzare il quadro normativo relativo alla materia in oggetto.
FINALITÀ
2012 2013 2014 2015 2016
SETT DIC GIU LUG DIC LUG FEB LUG LUG
4/09/2012 Pubblicazione documento di consultazione
3/12/2012 Termine
consultazione
26/06/2013 Emanazione
CRD IV e CRR
1/07/2014 Efficacia
disposizioni Cap. 7 e Cap.9
1/02/2015 Efficacia
Disposizioni Cap. 8
1/07/2015 Efficacia disposizioni
su funzioni risk management e
compliance (Cap.7, sez. III, par.1, lett. b)
1/07/2016 Efficacia esternalizzazione funzioni aziendali (sez. IV, V) e sistema informativo
(sez. VI )
2-3/07/2013 Emanazione documento e
entrata in vigore
Interventi di adeguamento
4 © 2014 KPMG S.p.A., KPMG Advisory S.p.A., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di Amministrazione S.p.A., KPMG Audit S.p.A., società per azioni di diritto italiano, e Studio Associato Consulenza legale e tributaria, un'associazione professionale di diritto italiano, fanno parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
L’aggiornamento normativo: i temi chiave
Capitolo 7
Sistema dei controlli interni
Capitolo Sezione Stima di impatto sulla funzione IT
Capitolo 8
Sistema Informativo
Capitolo 9
Continuità Operativa
• Il ruolo degli organi aziendali (Org. con funzione di supervisione
strategica, Org. con funzione di gestione, Org. con funzione di controllo)
• Funzioni aziendali di controllo
• Risk appetite Framework
• Esternalizzazioni di funzioni aziendali (outsourcing)
• Governo e Organizzazione del Sistema Informativo
• L’analisi del rischio informatico
• La gestione della sicurezza informatica
• Il sistema di gestione dei dati
• L’esternalizzazione del Sistema Informativo
• Disposizioni di carattere generale
• Requisiti per tutti gli operatori
• Requisiti particolari per i processi a rilevanza sistemica
PARZIALE/ BASSO
ALTO
MEDIO/ BASSO
L’entrata in vigore delle nuove disposizioni di vigilanza comporta un notevole cambiamento/aggiornamento per gli intermediari finanziari. La magnitudo dell’impatto dipende dalla specificità di ogni intermediario.
5 © 2014 KPMG S.p.A., KPMG Advisory S.p.A., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di Amministrazione S.p.A., KPMG Audit S.p.A., società per azioni di diritto italiano, e Studio Associato Consulenza legale e tributaria, un'associazione professionale di diritto italiano, fanno parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
Impatti in mabito ICT per organizzazione e processo
significativi Ruolo chiave delle attività e dell’approccio di analisi e
gestione del rischio
Interazioni tra rischio informatico e rischi
operativi
Interrelazioni con altre normative (es. D. Lgs.
196/2003, D. Lgs. 231/2001 ecc.) Complessità della
documentazione per la gestione dell’ICT (slide
seguente)
Complessità degli interventi (tecnologici/organizzativi)
richiesti
L’aggiornamento normativo: i punti di attenzione
L’aggiornamento normativo ha un impatto significativo su una molteplicità di aspetti.
Si delinea inoltre un tema di sostenibilità degli interventi da parte delle strutture coinvolte, sia in termini di progetto (oneri one-off), sia di esercizio nel continuo e di manutenzione dell’impianto complessivo
6 © 2014 KPMG S.p.A., KPMG Advisory S.p.A., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di Amministrazione S.p.A., KPMG Audit S.p.A., società per azioni di diritto italiano, e Studio Associato Consulenza legale e tributaria, un'associazione professionale di diritto italiano, fanno parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
L’aggiornamento normativo: l’impatto diretto sui Sistemi Informativi
Organizzazione della funzione di ICT, sicurezza informatica, controllo del rischio informatico, compliance ICT e i compiti della funzione di revisione interna
Strategie di sviluppo del sistema informativo e modello di riferimento per l’architettura dello stesso
Valutazione dell’adeguatezza dei servizi erogati in rapporto all’evoluzione aziendale e ai costi sostenuti
Approvazione del disegno dei processi di gestione del sistema informativo Valutazione del rischio potenziale cui sono soggette le risorse informatiche esaminate Individuazione delle misure di sicurezza idonee a conseguire il contenimento del rischio
individuato (trattamento del rischio) Policy di sicurezza informatica approvata dall’organo con funzione di supervisione strategica e
comunicata a tutto il personale e terze parti Sicurezza delle informazioni e delle risorse ICT (presidi fisici, accessi logici, autenticazione,
monitoraggio, tracciamento, sviluppo sicuro del SW, gestione del personale, ecc.) Gestione dei cambiamenti
Gestione degli incidenti di sicurezza
Disponibilità delle informazioni e dei servizi ICT
La gestione dei dati deve soddisfare specifici requisiti (es.: data governance, data warehouse, documentazione delle procedure di gestione dei dati, ecc. ...)
Applicazione della politica di esternalizzazione (anche in funzione dei requisiti alla sezione IV del cap. 7) con disposizione di specifiche indicazioni
Valutazioni dei rischi connessi al cloud computing
Sistema dei controlli interni
(Titolo V, Cap. 7)
Continuità Operativa
(Titolo V, Cap. 9)
Sistema Informativo (Titolo V, Cap. 8)
L’aggiornamento normativo pone l’accento (che “arbitrariamente” evidenziamo) su una serie di aspetti:
Governo (strategico e
operativo) dell’ICT
Gestione del Rischio in ambito
informatico
• Il presidio dell’Architettura
• Il presidio del Software Development LifeCycle - SDLC(processi di gestione)
• L’applicazione del Risk Appetite Framework in ambito ICT (e collegamento con coerente con il cap.7)
7 © 2014 KPMG S.p.A., KPMG Advisory S.p.A., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di Amministrazione S.p.A., KPMG Audit S.p.A., società per azioni di diritto italiano, e Studio Associato Consulenza legale e tributaria, un'associazione professionale di diritto italiano, fanno parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
Governo dell’ICT: il presidio dell’architettura
Insieme di principi, linee guida o regole utilizzate per guidare il processo di acquisizione, sviluppo, modifica ed interfaccia di componenti IT. Gartner, IT Glossary
ICT Architecture
I livelli di astrazione dell’architettura
• Conservazione e valorizzazione degli asset aziendali
• Gestire il cambiamento per minimizzare impatti e valorizzare gli investimenti
• Risolvere le complessità derivanti dalla eterogeneità degli ambienti in ambiti enterprise
• Indirizzare in modo organico i nuovi modelli di business e le evoluzioni tecnologiche
• Conciliare aspetti economici ed organizzativi legati all’integrazione dei sistemi
Perché è importante
Per garantire efficacia di azione all’ICT Architecture devono esserne chiaramente definiti: Mission e Ruolo, Ampiezza dei domini (infrastrutture, applicazioni, dati, processi, logiche di integrazione), Autorevolezza / Skill need
8 © 2014 KPMG S.p.A., KPMG Advisory S.p.A., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di Amministrazione S.p.A., KPMG Audit S.p.A., società per azioni di diritto italiano, e Studio Associato Consulenza legale e tributaria, un'associazione professionale di diritto italiano, fanno parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
Governo dell’ICT: il presidio dell’architettura
Inno
vazi
one
Raz
iona
lizz.
S.I. stabile
S.I. In forte evoluzione
Architettura come presidio delle
“regole”
Architettura come stimolo alle “nuove”
soluzioni
Architettura come guida e responsabile
del turnaround del sistema
Architettura come gestore delle
coerenze e delle relazioni
Il ruolo dell’ICT
Architecture
• Ogni realtà ha un suo percorso specifico sul ruolo di architettura dovuto a “contingenze” e “cultura manageriale” esistente
• Ruolo che oscilla tra due estremi:
Innovazione ↔ controllo coerenze tecnologiche
Ruolo guida ↔ bulk di competenze a disposizione
• Oltre al ruolo dichiarato è indispensabile definire i “meccanismi di funzionamento”, in termini di:
responsabilità decisionali
meccanismi di ingaggio
confini con funzioni “vicine” (demand, organizzazione, strutture di delivery)
• In strutture complesse i diversi ruoli rappresentati in matrice sono “giocati” da più attori all’interno dell’organizzazione (es. demand management, organizzazione, aree applicative, etc.)
• Non sempre lo stesso ruolo è interpretato su tutti i domini ICT (infrastrutture, applicazioni, etc.)
• In strutture complesse il ruolo giocato dall’ICT Architecture potrebbe essere differente a seconda dell’ambito funzionale o del dominio tecnologico al quale viene applicato
Il ruolo in strutture
complesse
9 © 2014 KPMG S.p.A., KPMG Advisory S.p.A., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di Amministrazione S.p.A., KPMG Audit S.p.A., società per azioni di diritto italiano, e Studio Associato Consulenza legale e tributaria, un'associazione professionale di diritto italiano, fanno parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
Lesson Learned in realtà complesse
• Partecipazione a comitati di budget per governare l’adeguato finanziamento degli investimenti architetturali
• Partecipazione a comitati di demand per la corretta interpretazione delle “spinte verticali” e delle esigenze di “breve periodo”
• Presidio forte di architettura sull’introduzione di nuove componenti architetturali (applicazioni e tecnologie) al fine di governare l’evoluzione dei sistemi
• Stimolare la collaborazione e l’accettazione degli architetti da parte delle aree applicative attraverso meccanismi di “federazione”
Governo dell’ICT: il presidio dell’architettura
Direzione Sistemi Informativi
Servizio CanaliServizio Sistemi Applicativi Core
Servizio Infrastrutture Tecnologiche
Servizio Architetture
Servizio Governo ICT
Servizio Sistemi Applicativi Finanza
Servizio Sistemi Applicativi CRM
Comitato Architettura?
•••• •• •••
Budget ICT annuale
Necessità di presidio delle
regole d’ingaggio
Il governo dell’architettura richiede un’attenta definizione dei meccanismi di ingaggio e di coinvolgimento al fine di garantire l’efficacia dell’azione di indirizzo dell’architettura
10 © 2014 KPMG S.p.A., KPMG Advisory S.p.A., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di Amministrazione S.p.A., KPMG Audit S.p.A., società per azioni di diritto italiano, e Studio Associato Consulenza legale e tributaria, un'associazione professionale di diritto italiano, fanno parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
Discovery Construction Transition Elaboration Maintenance Ciclo di vita
del Software Inception
Governo dell’ICT: il presidio del SDLC
• Conciliare la visione di m/l periodo con le esigenze tattiche e il time-to-market
• Conciliare la visione verticale (business silos) rispetto al disegno architetturale
• Colloquio con gli utenti per condividere la direzione nel m/l periodo
• Presidio dell’innovazione
• Architettura dei processi di business
• Modello attivo vs passivo
• Indirizzo e guida della domanda utente
• Fattibilità tecniche su progetti di trasformazione
• Selezione di soluzioni abilitanti coerenti con il disegno complessivo / con le policies
Elementi da presidiare
EnterpriseArchitecture Policies
Standard & guidelines
Strategiccapabilities
Blueprints
DemandManagement
Business Priorities
To-Be architecture
Manage gap withstandards and guidelines
Projects
Small Change
Business Requirements
Business needs
Project Portfolio Management
Delivery Planning
Programprioritization
IT Strategy
Mission & Vision
ObjectivesCriticalsuccess factors
Org. and Opt. model
Service Delivery model
BusinessStrategy
As-Is architecture
Mission & Vision
ObjectivesCriticalsuccess factors
I conflitti da risolvere tra “demand” e “architecture”
Meccanismi di lancio dei progetti
I meccanismi di lancio dei progetti
11 © 2014 KPMG S.p.A., KPMG Advisory S.p.A., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di Amministrazione S.p.A., KPMG Audit S.p.A., società per azioni di diritto italiano, e Studio Associato Consulenza legale e tributaria, un'associazione professionale di diritto italiano, fanno parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
Governo dell’ICT: il presidio del SDLC
Discovery Transition Elaboration Maintenance Ciclo di vita
del Software
• Regole di ingegneria del software
• Processi e strumenti di qualità del software
• Metriche e KPI per il continuous improvement
• Presidio della comunicazione a diversi livelli della struttura e verso i partner /outsourcer
• Interfacce d’integrazione
• Politiche e contrattualistica con i fornitori
Elementi da presidiare Approccio alla Qualità del software
Inception Construction
I processi di controllo qualità e misurazione del software
12 © 2014 KPMG S.p.A., KPMG Advisory S.p.A., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di Amministrazione S.p.A., KPMG Audit S.p.A., società per azioni di diritto italiano, e Studio Associato Consulenza legale e tributaria, un'associazione professionale di diritto italiano, fanno parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
Governo dell’ICT: il presidio del SDLC
• Definizione di Test strategies e plans
• Management controls e governance
• Presidio e trasformazione negli ambiti People, Process, Technology e Risk & Controls
• Strumenti
• Approccio risk-based (“testing early and often”)
• Politiche e contrattualistica con i fornitori /outsourcer
Elementi da presidiare Framework KPMG-NNI per Test e QA
I processi di Test e validazione del software
Discovery Transition Elaboration Maintenance Ciclo di vita
del Software Inception Construction
13 © 2014 KPMG S.p.A., KPMG Advisory S.p.A., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di Amministrazione S.p.A., KPMG Audit S.p.A., società per azioni di diritto italiano, e Studio Associato Consulenza legale e tributaria, un'associazione professionale di diritto italiano, fanno parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
Governo dell’ICT: il presidio del SDLC
• Definizione Modello di KPI
• Analisi e Realizzazione strumenti a supporto
• Benchmarking performance esercizio
• Presidiare attraverso strumenti e processi di customer survey la qualità dei servizi erogati
• Sotware quality review
• Bilanciamento qualità/costi
• Interazione con outsourcer
Elementi da presidiare Approccio alla Qualità dei Servizi IT
La qualità dei Servizi ICT
Discovery Transition Elaboration Ciclo di vita
del Software Inception Construction Maintenance
Indicatori Teorici
Metriche
ID_Obiettivo
DescrizioneObiettivo ID_CSF Descrizione
CSFIT C
hange
Customer
Satisfa
ction
IT Stumenti e
Meto
di
IT Finance
RPA
IT
O_01 Trasparenza nelle regole di cost accounting verso gli utenti finali
CSF_01Utilizzare metriche/tecniche riconosciute dal mercato per la corretta
valorizzazione del costo complessivo di gestione dei Patrimoni Applicativi (Produzione e Manutenzione Applicativa)
A
CSF_02Utilizzare metriche/tecniche best practice sul mercato per il corretto cost accounting (attribuzione dei costi di erogazione del servizio e di
manutenzione alle singole funzioni di business)A
CSF_03 Evolvere verso un modello di cost accounting che tenga conto delle specifiche techiche e funzionali dei singoli servizi offerti dai Patrimoni M
CSF_04Avere a disposizione informazioni puntuali e strutturate sulla crescita nel tempo della dimensione tecnico-funzionale dei patrimoni (a valle
degli interventi di sviluppo/manutenzione)A
CSF_05Definire un modello di KPI per i Servizi IT oggetto di contratti di
fornitura che consenta di mettere a confronto le diverse forniture sui diversi patrimoni
A M A
CSF_06Avere a disposizione un set di indicatori che permetta di stimare con
maggiore precisione il costo dei servizi richiesti da ProPa a Produzione Informatica necessari alla gestione del Patrimonio
A A
CSF_07 Avere a disposizione metriche che permettano una stima accurata delle necessità di budget per la gestione dei patrimoni A
CSF_08 Sviluppare un modello di valorizzazione dell’“indice di complessità dei Patrimoni” che abiliti corretti benchmark di costo tra i diversi Patrimoni A
O_03 Migliorare il controllo ex-post dei consuntivi CSF_09Avere a disposizione metriche che permettano di valutare e
monitorare correttamente i consuntivi relativi alla gestione dei patrimoni rispetto al Budget
M
O_04 Misurare e dimostrare l’efficienza dell’IT CSF_10 Misurare e dimostrare che l’IT realizza miglioramenti continui M M M M
O_05 Standardizzazione dei Contratti di Sourcing CSF_05Definire un modello di KPI per i Servizi IT oggetto di contratti di
fornitura che consenta di mettere a confronto le diverse forniture sui diversi patrimoni
A M A
CSF_11
Verificare la reale Disponibilità dei servizi IT end-to-end lungo l'intera catena tecnologica a supporto degli stessi ( dal server su cui il servizio è pubblicato all'interfaccia di fruizione utente attraverso la rete e tutti
gli altri apparati necessari)
A
CSF_12
Verificare la reale Performance dei servizi IT end-to-end lungo l'intera catena tecnologica a supporto degli stessi (dal server su cui il servizio è pubblicato all'interfaccia di fruizione utente attraverso la rete e tutti
gli altri apparati necessari)
A
CSF_13
Verificare la reale Usabilità dei servizi IT end-to-endlungo l'intera catena tecnologica a supporto degli stessi ( dal server su cui il servizio è pubblicato all'interfaccia di fruizione utente attraverso la rete e tutti
gli altri apparati necessari)
M
CSF_14 Misurare l’efficacia del servizio di HD sia in ottica end-to-end sia per il solo I/II livello (non specialistico) A A
CSF_15 Misurare l’efficienza del servizio di HD sia in ottica end-to-end sia per il solo I/II livello (non specialistico) M M
CSF_16 Analizzare ticket connessi a richieste informative inerenti l'utilizzo delle nuove applicazioni/funzionalità A A
CSF_17
Rendere maggiormente efficaci la classificazione del ticket e la conseguente assegnazione al supporto specialistico evitando il
sovraccarico dei livelli specialistici con attività a informative a basso valore aggiunto
M A
CSF_18 Riduzione dei ticket riaperti a causa di risposte poco pertinenti o non esaustive a tutti i livelli di assistenza (specialistica e non) A A
CSF_19 Migliorare Accuratezza e Tempestività del I/II livello di Help Desk A A
CSF_20 Garantire l’efficacia dell’AM in termini di pianificazione tra MOA, MOE e Produzione nei processi di manutenzione evolutiva M
CSF_21 Misurare la percentuale di SW rilasciato dal Patrimonio gestita tramite release A
CSF_22 Rendere disponibili misure oggettive a supporto dei SAL di Patrimonio A
Migliorare i processi di pianificazione e gestione dei Patrimoni ApplicativiO_08
O_01
O_02
O_06
O_07
Trasparenza nelle regole di cost accounting verso gli utenti finali
Accuratezza del Budget
Misurazione dell'effettiva qualità del servizio IT (anche al fine di verificare il gap tra qualità
percepita ed erogata)
Misurazione della efficienza ed efficacia del Customer Care
Obiettivi e CSF ?
?
Complessità Business
Com
ples
sità
Tecn
ico/
Org
anizz
ativ
a
P
G
MG
M
MP
P MP M MG G
Cluster Dimensionale ZCluster Dimensionale Z
Costo totale di Gestione Costo ProPA
Economics
Complessità Tecnico/Organizzativa• n° di risorse impiegate nell’AM• n° di interventi di manutenzione(MEV,MAC)• n° di piattaforme• Anzianità delle applicazioni:• Classe di disponibilità delle applicazioni
Complessità Business• numero di processi supportati• numero di utenti per Classe (nominali
e concorrenti) • consumo CPU• criticità processo supportato• tipologia di Utenti (FO,BO,Direzione)
Patrimonio EfficienteSpending contenuto con bassa concentrazione sulla tecnologia ed elevata sulla manutenzione Evolutiva
Patrimonio CriticoSpending considerevole con elevata concentrazione sulla tecnologia (package acquistato male, processi di gestione inefficaci, qualità tecnica del codice scadente)
Patrimonio InefficienteSpending elevato sia in ambito tecnologico sia in ambito applicativo
14 © 2014 KPMG S.p.A., KPMG Advisory S.p.A., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di Amministrazione S.p.A., KPMG Audit S.p.A., società per azioni di diritto italiano, e Studio Associato Consulenza legale e tributaria, un'associazione professionale di diritto italiano, fanno parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
Il Risk Appetite Framework definisce:
Obiettivi di rischio
Soglie di tolleranza
Limiti operativi
Procedure ed interventi gestionali
Tempistiche di aggiornamento RAF
Compiti di organi e funzioni aziendali
1
2
3
4
5
6
Individuati ex-ante dal framework stesso, coerenti con risk capacity, business model e
indirizzi strategici
Declinate con evidenza degli interventi gestionali da adottare al loro raggiungimento
Stabiliti sia in condizioni di normale operatività, sia di stress. Sono definiti in termini di misure
espressive del capitale a rischio o capitale economico (VaR, expected shortfall, ecc.);
adeguatezza patrimoniale; liquidità
Attivabili nel caso in cui sia necessario ricondurre il livello di rischio entro i limiti
stabiliti
Stabilite in base alla strategia aziendale
Definiti a seconda delle responsabilità in capo a ciascun organo/funzione
Declinati a seconda di
I parametri quantitativi e qualitativi utilizzati nella definizione del RAF
devono essere coerenti con quelli utilizzati in sede di pianificazione patrimoniale (ICAAP) e strategica.
Gestione del Rischio Informatico
la declinazione di propensione al rischio, soglie di tolleranza, limiti di rischio deve avvenire attraverso opportuni parametri quantitativi
Credito / Controparte
Mercato
Operativo
Rischi quantificabili
per i rischi difficilmente quantificabili e/o per eventuali statement generali sulle politiche di rischio che la banca intende seguire, va fatto ricorso a indicazioni di tipo qualitativo in grado di orientare la definizione e l’aggiornamento di processi e sistemi di controllo
Strategico
Reputazionale
Compliance
Rischi non quantificabili
15 © 2014 KPMG S.p.A., KPMG Advisory S.p.A., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di Amministrazione S.p.A., KPMG Audit S.p.A., società per azioni di diritto italiano, e Studio Associato Consulenza legale e tributaria, un'associazione professionale di diritto italiano, fanno parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
1
2
3
4
550k€
500k€
Severity
Bassa
6
10 M€
Frequency
Media Alta
Gestione del Rischio Informatico
Modello di analisi
Ambito
Evento
Requisiti informazioni
Perdita annua attesa
Severity
Analisi dei risultati
Frequenza Valore/ Classe
• Sistemi centrali, dipartimentali, distribuiti, etc.
• Numero di eventi all’anno
• Perdita del singolo evento
• Perdita attesa su base annua (valore o classe di valore)
• Disponibilità, Integrità, Riservatezza, etc.
N. Categoria 1 Integrità dei dati 2 Virus 3 Intrusioni 4 Procedure batch 5 Continuità operativa 6 Errori interni
Azioni • ICT Governance for Risk/ Control Assurance
• Security of Information & Systems
• Continuity of ICT
• Project & Change Management 2
16 © 2014 KPMG S.p.A., KPMG Advisory S.p.A., Nolan, Norton Italia S.r.l., KPMG Fides Servizi di Amministrazione S.p.A., KPMG Audit S.p.A., società per azioni di diritto italiano, e Studio Associato Consulenza legale e tributaria, un'associazione professionale di diritto italiano, fanno parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
Conclusioni In
du
stri
aliz
zazi
on
e
Efficacia
• Le evoluzioni normative e il contesto di mercato stanno sollevando una serie di elementi di riflessione sui temi del Governo dell’ICT e della Gestione dei Rischi
• L’ultimo aggiornamento della Normativa 263/06 di BankIt fornisce una serie di elementi di pressione per l’evoluzione verso una maggiore maturità, sia in termini di efficacia che di industrializzazione, dei processi ICT
• Si tratta di un percorso graduale e continuo, di cui le pressioni normative costituiscono solo un aspetto
© 2014 KPMG Advisory S.p.A., an Italian limited liability share capital company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
The KPMG name, logo and "cutting through complexity" are registered trademarks or trademarks of KPMG International
Cooperative ("KPMG International").
Grazie per l’attenzione
Andrea Beretta Associate Partner Nolan Norton Italia – Kpmg Advisory Email: [email protected] Mob: 348 011 32 12