COBIT come base diconoscenza per la definizionedel sistema dei controlliinterni nelle Banche
Giornata di studio ATED - Manno, 17 settembre 2003
Francesco Santiloni – Banca Monte dei Paschi di SienaAndrea Pederiva – Deloitte Business Consulting
2
Agenda
• Il progetto
• Il contesto – scenario attuale(Istr. di vigilanza e controllo interno)
• Il contesto – scenario futuro(Basilea e rischio operativo)
• Gli strumenti prodotti
• Considerazioni finali
4
Il progetto
• Evoluzione della funzione di Internal Audit del ConsorzioOperativo Gruppo MPS
• Il Consorzio è società di servizi strumentale al gruppo bancarioper ICT e Back Office
Corporate Montedei Paschi
Banca A Banca N. . .Consorzio Operativo
ServiziICT
Servizi diBack Office
5
Obiettivi strategici
• Evoluzione del Sistema di Controllo Interno secondo le lineeguida indicate dal Comitato di Basilea nel Nuovo Accordo sulCapitale
• Evoluzione della funzione di auditing del Consorzioconformemente alle Direttive di Gruppo
• Ottemperanza alle norme vigenti (in particolare, alle Istruzioni diVigilanza)
6
Indirizzi Corporate per lo S.C.I.
• Convenzione di servizio fra il Consorzio e le Banche del Gruppoper l’auditing sul Consorzio
• Regolamento della funzione di I.A. coerente con il regolamentodei controlli interni di gruppo
• Presenza di competenze di audit interne al Consorzio relative a:– Audit sui processi IT ed i sistemi informatici
– Audit operativo sui processi di Back Office
– Audit amministrativo sui processi gestionali e contabili
8
Assoggettamento alla Vigilanza
Le Società di Servizi appartenenti a GruppiBancari sono soggette alla VigilanzaConsolidata(*):
InformativaDirettamente o per il tramite della capogruppo
RegolamentarePer il tramite della capogruppo
IspettivaLa Banca d’Italia può effettuare ispezioni presso le Società del Gruppo,anche non bancarie
(*) Artt. 65, 66, 67, 68 t.u.b.
9
Responsabilità e accesso all’outsourcer
L’esternalizzazione dell’IT non esonera laBanca dalle responsabilità di controllo(Tit. IV – Cap. 11 – Sez. II – Par. 4)
L’IA (della Banca) deve poter accedere anchealle attività dei soggetti terzi a cui siano stateattribuite attività rilevanti per il funzionamento delsistema dei controlli interni(Tit. IV – Cap. 11 – Sez. II – Par. 3 - viene esplicitato l’esempio della gestione deisistemi informativi)
10
Controlli Interni sull’IT(Istruzioni: Tit. IV – Cap. 11 – Sez. II – Par. 4)
• Strategie IT approvate dal CDA
• Politiche, standard e controllisull’IT definiti e documentati
• Procedure formalizzate diapprovazione e acquisizione(hw, sw e servizi); acquisizionedeve assicurare la continuitàdel servizio
• Internal Audit in grado diverificare l’adeguatezza deicontrolli sull’IT
• Ambienti di sviluppo eproduzione separati
• Accessi ai diversi ambientidisegnati tenuto conto dei rischi“frode” e “infedeltà deldipendente”
• Internal Audit controlla leviolazioni alla sicurezza logica
• Sicurezza fisica dei dati eprotezione da eventi esterni
• Piano di emergenza percontinuità delle operazioni vitalie ritorno alla normalità in tempiragionevoli
11
In estrema sintesi
• La Società di Servizi deve essere assoggettata acontrolli di Internal Audit in relazione alle attivitàsvolte per conto delle Banche del gruppo
• Lo svolgimento di tali controlli può essereaccentrato presso una delle società del gruppo(eventualmente, anche presso la Società Servizi)
• I controlli di Internal Audit comprendono un’areasignificativa di controlli sull’IT
13
Nuovo Accordo sul Capitale
Introduzione del rischio operativo
Diversi approcci alla misurazione
Complessità e “precisione” crescenti
Basic Indicator
Standardised
Advanced
Measurement
Standardised
Foundation
Internal Rating
Advanced Internal
Rating
Rischio di credito
Standardised
Internal Models
Rischio di mercatoRischio operativoNew
14
Impatti sull’ITImpatti relativi al soddisfacimento dei requisiti
minimi– Sistemi informativi adeguati– Raccolta dei dati di perdita– Monitoraggio continuo degli eventi– Gestione delle regole di calcolo e delle
metodologieImpatti relativi al calcolo del rischio operativo
– Informazioni quali/quantitative sui sistemiinformativi ed il loro utilizzo per il calcolo delrischio operativo (autovalutazioni dei process owner, raccolta
dei dati di perdita da conto economico, costruzione di KRI, etc.)
Rif.: The New BaselCapital AccordConsultative DocumentAprile 2003
15
Mercati/Controparti
Localizzazione degli impatti sui S.I.
Servizi ApplicativiC/C CC/DD MutuiDD/RR Anagrafe Fidi/Gar. Titoli …
Front EndSportello E-Bank RNIChioschi … SWIFT Mercati …
MiddlewareMessage Queing Transaction Services Networking Interfaces …
Sistemi di raccolta dati e disaccoppiamento tecnologico e temporaleDatawarehouse
Sistemi di Controllo e Risk ManagementAudit Management Controlli a Distanza
Credit Risk Market Risk
Sistemi di SintesiCoge Coan Segnalazioni
DSS Sistemi premiantiOperational Risk
Sistemi di Contabilizzazione …Estrattori e Gestori di flussi
Sistemi di gestione dell’ITProject Management Security ManagementNetwork Management Continuity Management …
INDICATORI DI RISCHIOEVENTI PERDITA
INDICATORI DI RISCHIOEVENTI PERDITA
FUNZIONALITA’ PER LA RACCOLTADEGLI EVENTI PERDITA
SISTEMI PER LAGESTIONE DEL RISCHIO
FUNZIONALITA’ PER IL“PRICING” DEL RISCHIO E IL“REWARDING” DELLA SUAMITIGAZIONE
16
In estrema sintesiIl Patrimonio Minimo di Vigilanza è funzione anchedell’esposizione al Rischio Operativo
E’ necessario attivare processi strutturati di Gestionee Misurazione del Rischio, anche Operativo
Requisiti di base:- mappatura dei rischi e dei controlli interni;- utilizzo di sistemi per la misurazione e gestione del rischio operativo
18
Gli strumenti prodotti
Regolamento del Sistema dei Controlli Interni (SCI)Documento con valore normativo, in accordo al Regolamento deiControlli Interni di Gruppo
Manuale dei ControlliBase di conoscenza sul sistema dei controlli interni; utilizzatodall’Internal Audit come termine di riferimento per le attività di audit;può essere utilizzato dalle strutture come fonte per la definizionedella normativa sui controlli di linea
Convenzione di servizioNorma i servizi che devono essere erogati dalla funzione di InternalAudit ed i relativi livelli di servizio
19
Regolamento dello S.C.I.
Ruoli e responsabilità delle unità organizzative delConsorzio Operativo
- Direzione e Responsabili di Ufficio- Strutture operative- Internal Audit
Modello delle Relazioni fra Consorzio e SocietàConsorziate
Principali soggetti interessati:- I.A. Corporate- I.A. Società del Gruppo- I.A. Consorzio
20
Ruoli e responsabilità
Funzioni esistenti Controlli di linea Gestione del rischio Attività di audit Direzione; responsabili di Ufficio
Contribuisce a definire i controlli di linea.
Contribuisce alla definizione delle modalità di gestione del rischio. Valutazione e accettazione/diniego dell'esposizione al rischio. Direzione degli interventi per la gestione della esposizione al rischio.
E’ destinataria dei rapporti della funzione di Internal Audit per le opportune iniziative
Strutture operative Esecuzione dei controlli di linea di competenza.
n/a n/a
Internal audit Concorso alla definizione dei controlli di linea. Esecuzione dei controlli di linea di competenza (relativi alla funzione).
Verifica delle modalità operative e delle metodologie utilizzate dalle funzioni di controllo rischi.
Attività di internal audit per i processi interni e svolti per conto delle società clienti. Produzione di informativa per le Direzioni e le funzioni di controllo rischi delle Società del Gruppo.
21
Modello delle relazioni
Il modello delle relazioni è governato da SLA, fissatida apposita convenzione
I.A. delConsorzio
I.A.Corporate
I.A. Societàdel Gruppo
• Standard e metodologie• Coordinamento e supervisione• Approvazione del Piano di Audit)• Autorizzazione e indirizzo interventi straordinari• Eventuali audit sulla Società di Servizi
• Piano di Audit• Relazioni periodiche• Relazioni ad hoc
• Standard e metodologie• Coordinamento e supervisione• Approvazione del Piano di Audit• Autorizzazione e indirizzo interventi straordinari• Eventuali audit sulle Società del Gruppo• Relazioni dell’I.A. periodiche e ad hoc della Società di Servizi
• Piano di Audit• Relazioni periodiche• Relazioni ad hoc
Eventuale partecipazione, autorizzata dall’IAdi gruppo, a interventi di audit sulla Società diServizi
• Richieste di intervento ad hoc
22
Manuale dei controlli
Il manuale dei controlli è una base informativa checonsente di:
- Mappare i processi aziendali
- Associare ad ogni fase di processo i propri rischi
- Associare ad ogni rischio i relativi controlli
- Classificare i rischi
- Classificare i controlli
Il manuale è suddiviso tra controlli di linea e controllidi audit
23
Schema logico della base dati
Mappa deiprocessi
Mappa dellecat. di rischio
Rischi
Controlli
Appartenenzaal processo
Responsabile
Tipologiadi controllo
Stato diautomazione
Tempistica
Ciclicità
Stato diesecuzione
Attributi dei rischi
A supporto dei processi di
gestione della esposizione al
rischio
Attributi dei controlli
A supporto dei processi di
gestione del Sistema dei
Controlli Interni
24
Il ruolo del CobiT
Nella definizione dei processiCobiT come modello per il controllo dei processi IT(In fase di revisione dei processi aziendali CobiT è stato anche utilizzatocome modello per la definizione dei processi)
Nell’individuazione dei rischiGli obiettivi di controllo CobiT come fonte da cui ricavarela mappa dei rischi in ambito IT
Nell’individuazione dei controlliGli obiettivi di controllo CobiT a supporto della mappaturadei controlli in essere e per la definizione dei controlli
25
Per mappare i processi
A. Attività Produttive A.1 Application Management
A.2 Facility Management
A.1.1 Sviluppo Applicazioni
A.2.1 Erogazione Servizi ElaborativiA.2.2 Svil. nuovi sistemi, progett., manutenzione
Area Macroprocesso Processo
26
Per mappare i processi
A. Attività Produttive A.1 Application Management
A.2 Facility Management
A.1.1 Sviluppo Applicazioni
A.2.1 Erogazione Servizi ElaborativiA.2.2 Svil. nuovi sistemi, progett., manutenzione
Area Macroprocesso Processo
A11.01 Studio preliminare ed individuazione delle soluzioni AI1 Identify automated solutions
A11.02 Sviluppo del software applicativo - Realizzazione interna
AI2 Acquire and maintain applications software
A11.03 Acquisizione e sviluppo del software applicativo - Realizzazione esterna chiavi in mano
AI2 Acquire and maintain applications software
A11.04 Acquisizione di software applicativo - acquisizione pacchetto software
AI2 Acquire and maintain applications software
A11.05 Manutenzione evolutiva AI2 Acquire and maintain applications software
A11.06 Collaudo e certificazione (Application Management)
AI2 Acquire and maintain applications software
A11.07 Installazione delle applicazioni e impianto degli archivi
AI5 Install and accredit systems
A11.08 Gestione normativa utente e materiale di addestramento
AI5 Develop and maintain procedures
A11.09 Avviamento AI5 Install and accredit systems
A11.10 Gestione delle modifiche - manutenzione ordinaria AI2 Acquire and maintain applications software
Sottoprocesso interno Processo CobiT
27
Per mappare i processi
A.Attività
Produttive
A.1Application
Management
A.1.1Sviluppo
Applicazioni
A.1.1.1Studio prelim. edindivid. soluzioni
Area Macroprocesso Processo Sottoprocesso
1 Formulazione della strategia di acquisizione AI1.3 Formulation of acquisition strategy2 Individuazione delle soluzioni alternative AI1.2 Formulation of alternative courses of action3 Valutazione dell'architettura dei dati AI1.7 Information architecture4 Analisi dei rischi sulla sicurezza AI1.8 Risk analysis report5 Valutazione della tracciabilità dei dati AI1.10 Audit trails design6 Valutazione dell'ergonomicità AI1.11 Ergonomics7 Analisi dei requisiti per i Servizi di Terze Parti AI1.4 Third party service requirements8 Valutazione delle proposte di contratto - -9 Studio di fattibilità tecnologica AI1.5 Technological feasibility study10 Studio di fattibilità economica AI1.6 Economic feasibility study11 Accettazione finale AI1.17/18 Acceptance of facilities/technology
Fasi del manuale dei controlli Obiettivi di controllo CobiT
28
Per individuare rischi e controlli
A.Attività
Produttive
A.1Application
Management
A.1.1Sviluppo
Applicazioni
A.1.1.1Studio prelim. edindivid. soluzioni
Area Macroprocesso Processo SottoprocessoA.1.1.1.2
Individuzione dellesoluzioni alternative
Fase
Obiettivo di controllo CobiT1 Mancata individuazione di soluzioni
alternative più efficaci ed efficienti.1 Illustrazione delle soluzioni
alternative2 Rispondenza delle soluzioni alla
normativa in vigore3 Confronto delle esigenze aziendali
con le best practice5 Valutazione pacchetti software
commerciali6 Valutazioni quantitative delle
soluzioni
Rischi del Manuale dei Controlli Controlli del Manuale dei Controlli1.2 Formulation of Alternative Courses of ActionCONTROL OBJECTIVEThe organisation’s system development life cycle methodology should provide for the analysis ofthe alternative courses of action that will satisfy the business requirements established for a proposed new or modified system.
29
Per validare il manuale dei controlli
Utilizzo dei CobiT Control Objectives:per validare il manuale in termini di copertura degliobiettivi di controllo
Utilizzo delle CobiT Audit Guidelines:per validare le linee guida per le attività di audit
Validazione a cura dell’Area Controlli di Gruppo delCorporate Center
30
Altre fonti utilizzate
• CobiT Audit Guidelines
• CobiT Management Guidelines
• ITIL
• ITSEC/ISO17799
• ISACA-IIA Standards
32
Considerazioni finali• Compito dell’Internal Audit è il presidio del Sistema dei
Controlli Interni
• Per conoscere lo S.C.I. è necessario mappare le struttureaziendali (processi e unità organizzative), i rischi ed icontrolli in essere e previsti
• Mappare rischi e controlli consente anche la correttagestione del rischio operativo, supportando l’individuazionedegli eventi “perdita”
• Il CobiT ha in quest’ambito un fondamentale ruolo dibase di conoscenza per i processi IT