BANCA D’ITALIA

1

AIEA 2007

XXI Convegno Nazionale Information Systems AuditingAccademia Navale di Livorno, 24 -25 Maggio 2007

La Continuità operativa nel sistema bancario italiano

Relatore: Tullio PràServizio Vigilanza sugli Enti Creditizi Banca d’Italia

BANCA D’ITALIA

2

AIEA 2007

Definizioni

• La gestione della continuità operativa comprende tutte le iniziative volte a ridurre ad un livello ritenuto accettabile i danni conseguenti a incidenti e catastrofi che colpiscono direttamente o indirettamente un’azienda

• Il piano di continuità operativa è il documento che formalizza i principi, fissa gli obiettivi e descrive le procedure per la gestione della continuità operativa

• Il piano di disaster recovery stabilisce le misure tecniche e organizzative per fronteggiare eventi che provochino la indisponibilità dei centri di elaborazione dati; costituisce parte integrante del piano di continuità operativa

BANCA D’ITALIA

3

AIEA 2007

Iniziative della Vigilanza

2002 Avvio del progetto:Indagine sullo stato di preparazione del sistema bancario

2004 Emanazione della normativa di vigilanza:Gestione della continuità operativa

2006 Termine per il completo adeguamento delle banche alla normativa di vigilanza

2007 Completamento del quadro normativo:Requisiti particolari di continuità operativa dei processi a rilevanza sistemica

BANCA D’ITALIA

4

AIEA 2007

Stato del sistema bancario a fine 2001

• Gli eventi 11 settembre 2001 evidenziano nuovi scenari e dimensioni dei profili di rischio nel sistema finanziario

• L’indagine sullo stato di preparazione delle banche evidenzia:

– Assenza, pressoché generalizzata, di piani di continuità operativa delle componenti non tecnologiche

– 1/3 delle banche non aveva organici piani di disaster recovery

– I piani di disaster recovery in essere non erano adeguati ad assicurare la continuità operativa dei sistemi informativi

– I vertici delle banche non erano coinvolti sul tema della prevenzione / gestione delle situazioni di emergenza

BANCA D’ITALIA

5

AIEA 2007

Iniziative della Vigilanza nel 2002-2003

• Incontri con le maggiori banche e i principali outsourcers per approfondire i presidi di emergenza in essere

• Interventi sulle banche con gravi carenze per chiedere l’attivazione immediata di misure volte a ridurre il livello di rischio

• Monitoraggio delle azioni intraprese• Azioni di sensibilizzazione dei vertici aziendali per:

– Alzare il livello di attenzione sul tema– Presentare le prime riflessioni in ambito

internazionale– Rendicontare sui problemi riscontrati

• Avvio dei lavori per la definizione della normativa settoriale

BANCA D’ITALIA

6

AIEA 2007

La normativa di Vigilanza del 2004 - principi

• Estensione della copertura normativa a tutti i processi aziendali ritenuti critici (non solo IT)

• Approccio flessibile:

– Requisiti a carattere metodologico-organizzativo

– Consapevolezza e piena responsabilità dei vertici

– Correlazione delle misure ai rischi

– Riconoscimento di ampia autonomia alle banche

• Requisiti minimi validi per tutti gli operatori

ma

• Facoltà di chiedere misure più stringenti per le banche a rilevanza sistemica

BANCA D’ITALIA

7

AIEA 2007

La normativa di Vigilanza del 2004 - contenuti

• Ambito del piano di continuità: scenari di rischio• Correlazione ai rischi: parametri caratteristici• Ruolo dei vertici aziendali• Individuazione dei processi critici• Contenuti minimi del piano:

– Disaster recovery– Crisis management– Outsourcing– Infrastrutture e controparti rilevanti– Risorse umane

• Test & Controlli interni• Requisiti particolari

BANCA D’ITALIA

8

AIEA 2007

• Termine per il recepimento della normativa: fine 2006• Per le maggiori banche risulta che:

– Sono stati adeguati i piani di disaster recovery– In genere sono state attivate soluzioni a 2 livelli (recovery

locale in architettura campus e recovery geografico con copia asincrona dei dati)

– I presidi di continuità non IT sono basati sulla ridondanza conseguente ai processi di aggregazione degli ultimi anni

• Per le banche minori risulta che:– Sono state risolte le carenze degli outsourcers– I presidi di continuità delle componenti non IT sono ancora

in uno stato embrionale– In diversi casi si riscontrano ritardi, peraltro contenuti in

6-9 mesi

Stato del sistema bancario a fine 2006

BANCA D’ITALIA

9

AIEA 2007

• High Level Principles for Business Continuity(Joint Forum – agosto 2006) – Principi:1. Responsabilità dei vertici aziendali2. Il piano considera le “major operational disruptions”3. Chiara definizione degli obiettivi di recovery4. Gestione delle comunicazioni5. Enfasi sugli aspetti cross-border6. Efficacia del piano tramite test periodici7. Le Vigilanze incorporano la BC nelle prassi ordinarie di controllo

• Business Continuity Expectations for SIPS(European Central Bank – giugno 2006) – Framework:1. Strategia di BC ben definita2. Appropriato BCP3. Efficace crisis/communication management4. Test regolari

Coerenza con lo scenario internazionale

BANCA D’ITALIA

10

AIEA 2007

Requisiti sistemici di BC – L’esperienza CODISE

• Gruppo di lavoro costituito da Banca d’Italia nel 2003 e coordinato congiuntamente a CONSOB

• Compiti:– Individuare i servizi critici di sistema– Definire gli scenari di rischio da presidiare– Pianificare collaudi e test integrati di sistema– Fissare le priorità di intervento– Proporre regole e standard di continuità per le

infrastrutture rillevanti• Partecipanti: maggiori banche, mercati finanziari,

infrastrutture di pagamento, autorità, governo, associazioni di categoria

• Realizzazioni: promosso/concordato lo sviluppo delle linee di policy per la continuità operativa del sistema finanziario nazionale

• Prossimi impegni: esercitazioni integrate

BANCA D’ITALIA

11

AIEA 2007

La normativa sui requisiti sistemici

• Provvedimento del 20 marzo 2007• Articolato su tre capisaldi:

1. Definizione dei criteri per la individuazione dei soggetti coinvolti

Banche/gruppi con quote di mercato (FINT) > 5%Rilevanza nei servizi di pagamento/regolamento

2. Elencazione dei processi a rilevanza sistemica da tutelare con misure di continuità rafforzate

Sistemi di pagamentoAccesso ai mercati rilevanti per la liquiditàServizi di compensazione e regolamento

3. Requisiti particolari aggiuntivi a quelli previsti per la generalità degli intermediari

• Termine per la compliance: da concordare con gli operatori (2008 - 2009)

BANCA D’ITALIA

12

AIEA 2007

I requisiti sistemici di continuità operativa

• Responsabilità della capogruppo• Scenari di rischio

– Distruzioni fisiche su larga scala di infrastrutture proprie o di terzi

– Pandemie, attacchi biologici

• Siti di recovery– Congrua distanza dai siti di produzione– Configurati per gestire picchi elevati di attività

• Tempi di rispristino– Tempi di ripristino contenuti entro le quattro ore– Procedure di emergenza per la liquidità

• Risorse individuate e documentate• Test annuali, inclusi quelli di sistema• Comunicazioni a Banca d’Italia

BANCA D’ITALIA

13

AIEA 2007

Altre iniziative rilevanti della Vigilanza

• Adeguamento dei bilanci e delle segnalazioni di vigilanza delle banche agli IAS

• Nuove disposizioni di vigilanza prudenziale (cd Basilea 2)

• Compliance• MIFID• ….

BANCA D’ITALIA

14

AIEA 2007

Nuove disposizioni di vigilanza prudenziale

Quadro di riferimento:

• Nuovo Accordo di Basilea sul capitale delle banche (giugno 2006)

• Direttiva 48/2006 (CRD) accesso all’attività delle banche e al suo esercizio

• Direttiva 49/2006 (CAD) adeguatezza patrimoniale di banche e finanziarie

• DL 22/12/2006 n. 297 Modifiche al TUB• Circolare BI n. 263 del 27/12/2006

BANCA D’ITALIA

15

AIEA 2007

Nuove disposizioni di vigilanza prudenziale

Regolamentazione basata su tre pilastri:

1. Requisito patrimoniale a fronte dei rischi tipici dell’attività bancaria– Credito/controparte– Mercato– Operativo

1. Processo di controllo dell’adeguatezza patrimoniale– ICAAP– SREP

2. Informativa al pubblico

BANCA D’ITALIA

16

AIEA 2007

Nuove disposizioni di vigilanza prudenziale

Definizione di rischio operativo:

“Per rischio operativo si intende il rischio di subire perdite derivanti dalla inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni…Un puntuale rispetto delle disposizioni in tema di conformità alle norme (compliance) assume rilievo anche per la prevenzione e il contenimento dei rischi operativi”

BANCA D’ITALIA

17

AIEA 2007

Nuove disposizioni di vigilanza prudenziale

Relazione tra - rischio tecnologico- rischio operativo- continuità operativa

Rischio operativo(e-security, business continuity)

Rischio tecnologico

Rischio strategico (coerenza dell’IT con il business)

BANCA D’ITALIA

18

AIEA 2007

Nuove disposizioni di vigilanza prudenziale

Metodi di calcolo del rischio operativo:

1. Metodo base: BIA (Basic Indicator Approach)

2. Metodo standardizzato: TSA (TraditionalStandardized Approach)

3. Metodi Avanzati: AMA (Advanced MeasurementApproach)

BANCA D’ITALIA

19

AIEA 2007

Nuove disposizioni di vigilanza prudenziale

Prerequisiti per tutti: principi di governo e gestione

TSA + sistema di gestione dei rischi operativi+ processo di auto-valutazione

AMA requisiti TSA+ funzione di controllo dei rischi operativi

(progetta, sviluppa, mantiene, misura)+ processo di convalida interno+ integrazione misurazione nei processi

gestionali

BANCA D’ITALIA

20

AIEA 2007

Rapporto (IT) Auditing – Supervisione bancaria

Quadro di riferimento internazionale:

• Internal audit in banks and the supervisor’s relationship with auditors (BCBS – August 2001)

• The relationships betweenbanking supervisors and banks’ external auditors (BCBS –January 2002)

• Internal audit in banks and the supervisor’s relationship with auditors: A survey (BCBS –August 2002)

Si auspica: “…periodic discussion at the national level between

the supervisory authorities and the professionalaccountancy bodies …”

BANCA D’ITALIA

21

AIEA 2007

Rapporto (IT) Auditing – Supervisione bancaria

Istruzioni di vigilanza:

• Il sistema dei controlli interni è costituito dall’insieme delle regole, procedure e strutture organizzative che mirano ad assicurare il rispetto delle strategie aziendali

• Si articolano in:– Controlli di linea, diretti ad assicurare il corretto

svolgimento delle operazioni– Controlli sulla gestione dei rischi, con l’obiettivo di

misurare i rischi e di verificare il rispetto dei limiti assegnati alle varie funzioni

– Attività di revisione interna, volta ad individuare andamenti anomali e violazioni di procedure/regole nonché a valutare la funzionalità del complessivo sistema dei controlli interni

BANCA D’ITALIA

22

AIEA 2007

Rapporto (IT) Auditing – Supervisione bancaria

Nuove disposizioni di vigilanza prudenziale (circ. 263):

• Governo e gestione dei rischi operativi– Le banche prestano particolare attenzione agli eventi di

maggiore gravità e scarsa frequenza e individuano le varie forme e modalità con cui possono manifestarsi i rischi operativi

– Le banche si dotano di piani di emergenza e di continuitàoperativa che assicurano la propria capacità di operare su base continuativa e di limitare le perdite operative in caso di gravi interruzioni dell’operatività

BANCA D’ITALIA

23

AIEA 2007

Rapporto (IT) Auditing – Supervisione bancaria

Nuove disposizioni di vigilanza prudenziale (circ. 263):

• Governo e gestione dei rischi operativi – controlli interni– Metodo standardizzato

• Processo di auto-validazione• Funzione di revisione interna

– Metodi Avanzati• Funzione di controllo dei rischi operativi• Processo di convalida interno• Funzione di revisione interna

– Verifiche periodiche sui sistemi di gestione e misurazione– Verifiche sul processo di convalida e su utilizzo a fini gestionali– Verifiche su sistema misurazione (qualità dati e sistemi informativi)– Relazione annuale sull’attività di revisione dei sistemi di gestione e

misurazione dei rischi operativi

BANCA D’ITALIA

24

AIEA 2007

(IT) Auditing – Continuità operativa

• L’approccio alla continuità operativa e il piano di emergenza sono regolarmente controllati dalla funzione di revisione interna

– Gli auditors prendono visione dei programmi di test, assistono alle prove, ne controllano i risultati, propongono modifiche al piano

• Va considerata l’opportunità di sottoporre il piano di emergenza alla revisione da parte di auditors esterni

• La funzione di revisione interna è coinvolta nel controllo dei piani di emergenza di outsourcers e fornitori critici

– L’auditing esamina i contratti per accertare che il livello di tutela sia adeguato agli obiettivi e agli standard aziendali

– Può decidere di fare riferimento alle funzioni di revisione delle controparti se ritenute professionali, indipendenti, trasparenti quanto ai risultati dei controlli