15° aggiornamento circolare 263/2006: … 29.4.2015 - padova - isaca venice chapter...
TRANSCRIPT
1 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
Informa(on and Communica(on Technology supply chain security
15° Aggiornamento Circolare 263/2006:
Esternalizzazione di funzioni aziendali
Luca Lazzaretto Rosangela D'Affuso
Padova, 29 aprile 2015
2 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
15° Aggiornamento Circolare 263/2006:
Esternalizzazione di funzioni aziendali
3 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
Information and Communication Technology supply chain security
Sponsor dell’evento Partner di ISACA VENICE Chapter CSQA Cer(ficazioni Srl, azienda accreditata da ACCREDIA e APMG-‐Interna(onal
4 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
Information and Communication Technology supplay chain security
Sponsor e sostenitori di ISACA VENICE Chapter
Con il patrocinio di
ISACA VENICE PER L’ATTIVITA’ SVOLTA NEL 2014 HA RICEVUTO I SEGUENTI AWARD: • BEST MEDIUM CHAPTER WORLDWIDE AND EUROPE/AFRICA • GROWTH MENTION
5 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
Luca Lazzaretto
Manager di KPMG Advisory, ha conseguito la laurea specialis(ca in ingegneria delle Telecomunicazioni presso la Facoltà di ingegneria dell’università di Padova nel 2007. Ha successivamente iniziato a lavorare in Accenture S.p.A. all’interno della LoS Technology Consul(ng – Security Informa(on e nel 2012 ha iniziato a lavorare in KPMG Advisory all’interno della LoS Informa(on Risk Management dove ad oggi ricopre il ruolo di Manager. Nel corso degli anni ha partecipato a svaria( proge\ rela(vi all’IT Security, IT Strategy, IT Governance, Risk and Compliance, Business Con(nuity e Iden(ty & Access Management, sia in contes( italiani che esteri. A^ualmente segue proge\ lega( al mondo dell’Industry Financial and Insurance Services e nell’ul(mo anno si è occupato di IT Security Assessment, sviluppo e implementazione di tool GRC (Governance Risk and Compliance) e compliance rela(va al 15° aggiornamento Circolare n. 263/2006 di Banca d’Italia. Le a^uali cer(ficazioni in possesso sono rela(ve al CISA, ISO 27001 Lead Auditor, ITIL v3 Founda(on, RSA Archer Admin e BS25999 Lead Auditor.
6 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
Rosangela D'Affuso
Specialista di Veneto Banca in ambito IT Governance, ha conseguito la laurea specialis(ca in Intelligenza Ar(ficiale e Robo(ca della Facoltà di Ingegneria Informa(ca presso il Politecnico di Milano nel 2008. Ha iniziato a lavorare fin da subito nel se^ore bancario approdando nel 2008 in CheBanca! e nel 2013 in Veneto Banca, all’interno della Divisione Opera(ons. Nel corso degli anni ha partecipato a diversi proge\ rela(vi ad IT Strategy, IT Governance, Business Con(nuity, Risk and Compliance e IT Security. A^ualmente segue proge\ lega( all’implementazione di un Service Desk aziendale e alla compliance ai principali adempimen( in materia Privacy; nell’ul(mo anno si è occupata come capo proge^o di compliance ai Capitoli 8 e 9 del 15° aggiornamento Circolare n. 263/2006 di Banca d’Italia. Le a^uali cer(ficazioni in possesso sono rela(ve a Lean Six Sigma, Business Con(nuity Ins(tute (BCI), ITIL v3 Intermediate – Service Design, ITIL v3 Founda(on; ha inoltre seguito i corsi CRISC, COBIT 4.1, Project Management Ins(tute (PMI).
7 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
Abstract
• Alla luce delle nuove disposizioni di vigilanza prudenziale per le Banche – 15° aggiornamento circolare n. 263/2006 emanato da Banca d’Italia nel 2013 – è stata introdo^a un’organica disciplina in materia di esternalizzazione di funzioni aziendali. Il ricorso all’esternalizzazione è funzionale ad accrescere la flessibilità organizza(va delle Banche che possono così dedicare maggiori risorse al core business oltre che a perseguire obie\vi di riduzione dei cos(. In par(colare, il ricorso all’outsourcing è ammesso, in coerenza con l’apposita poli(ca che deve essere definita in materia, purché le Banche presidino a^entamente i rischi derivan( dalle scelte effe^uate e mantengano la capacità di controllo e la responsabilità delle a\vità esternalizzate. I requisi( richies( per procedere all’outsourcing di funzioni aziendali sono gradua( in modo diverso a seconda del caso in cui si tra\ di esternalizzazione verso terza parte o internalizzazione verso una società del gruppo e che l’ambito riguardi funzioni opera(ve importan( (quali ad esempio i sistemi informa(vi) o funzioni di controllo.
• Obie\vo dell’approfondimento consiste nel fornire una breve panoramica dei requisi( e dei vincoli introdo\ dalla norma(va di riferimento supporta( dalla presentazione di Business Case circa l’impianto documentale implementato da Veneto Banca S.C.p.A.
8 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
Agenda
• Introduzione • L'esternalizzazione: norma(va di riferimento
• Business Case
9 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
Agenda
• Introduzione • Contesto norma?vo di riferimento
• ObieCvi della norma
• Overview della norma
• Tempis?che di adeguamento
• L'esternalizzazione • Business Case
10 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
Introduzione
Banca d'Italia, a luglio 2013, ha emanato il 15° aggiornamento della circolare n. 263/2006 "Nuove disposizioni di vigilanza prudenziale per le banche", introducendo capitoli dedica? al:
• Il Sistema dei Controlli Interni (Capitolo 7)
• Il Sistema Informa(vo (Capitolo 8)
• La Con(nuità Opera(va (Capitolo 9)
Contesto normativo di riferimento
LA CONTINUITÀ OPERATIVA (CAP.9)
IL SISTEMA INFORMATIVO
(CAP.8)
IL SISTEMA DEI CONTROLLI INTERNI
(CAP.7)
11 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
Introduzione
La norma?va introdo9a è finalizzata a:
• rafforzare le capacità delle banche nella ges(one dei rischi aziendali • rivedere in modo organico ed omogeneizzare il quadro norma(vo rela?vo alla materia in ogge9o
• incorporare e promuovere best prac@ces
Tali “innovazioni” sono volte a (ri)definire i principi e le linee guida cui le Banche si devono uniformare, in termini di organizzazione, ruoli e compi? di organi/funzioni aziendali, sviluppo e ges?one del sistema informa(vo, adeguatezza dei presidi e dei livelli di con(nuità opera(va
Obiettivi della normativa
12 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
Introduzione
Le priorità di intervento rela?ve alle principali novità introdo9e possono essere sinte?zzate nei seguen? pun?:
Overview della normativa
14. Comunicazione degli inciden? e dei fa9ori anomali rilevan? alle stru9ure preposte alla dichiarazione dello stato d’emergenza
15. Introduzione di una stru9ura per il coordinamento della ges?one delle crisi opera?ve
1. Implementazione di un Risk Appe)te Framework
2. Disegno di un processo di ges?one integrata dei rischi
3. Disegno di un compliance framework
4. “Estensione” del perimetro del RM sul monitoraggio andamentale delle posizioni credi?zie
5. Definizione processo per iden?ficazione e approvazione operazioni maggior rilievo
6. Collocazione organizza?va delle funzioni di controllo
7. “Raccordo” (policy e processi) tra organi e funzioni di controllo aziendali
8. Previsione di apposita “policy” di esternalizzazione vs terze par? chiave
9. L'analisi e la ges?one del rischio informa?co
10. Formalizzazione compi? e responsabilità delle funzioni: ICT, Sicurezza Informa?ca, Controllo del rischio Informa?co e compliance ICT (governo e organizzazione del sistema informa?vo)
11. Definizione di uno standard aziendale di Data governance
12. La ges?one della sicurezza informa?ca (definizione delle policy rela?ve alla sicurezza, cambiamento, etc.)
13. Definizione di una poli?ca di esternalizzazione ICT e revisione dei contraC
CONTINUITÀ OPERATIVA (CAP.9)
SISTEMA INFORMATIVO
(CAP.8)
SISTEMA DEI CONTROLLI INTERNI
(CAP.7)
13 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
Introduzione
Banca d'Italia ha inoltre definito una ?meline di adeguamento, riportata nel seguito, volta ad iden?ficare le varie scadenze di adeguamento per le Banche
Tempistiche di adeguamento
2013 2014 2015 2016
lug gen lug feb lug lug
02/07/2013 Entrata in vigore delle disposizioni
31/01/2014 Invio Relazione a Banca d’Italia
del Self Assessment
effe?uato dalle Banche
01/07/2014 Efficacia
disposizioni Capitoli 7 e 9
01/02/2015 Efficacia
disposizioni Capitolo 8
01/07/2015 Efficacia
disposizioni su funzioni risk
management e compliance (Cap.7, sez. III,par.1,
le?. b)
01/07/2016 Efficacia
esternalizzazione di funzioni aziendali (Cap 7, sez. IV, V) e
del sistema informa)vo (Cap. 8,
sez. VI )
Tempis(ca di adeguamento totale per la parte di esternalizzazione e adeguamento dei contra\
30 mesi c.a.
14 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
Agenda
• Introduzione • L'esternalizzazione
• ObieCvo
• Quando si parla di esternalizzazione?
• Definizioni
• Perimetro di rifermento
• Elemen? cos?tu?vi
• Elemen? chiave
• Esternalizzazione al di fuori del Gruppo
• Esternalizzazione del sistema informa?vo
• Business Case
15 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
L'esternalizzazione
• Lo schema di disciplina nella Sezione IV "Esternalizzazione di funzioni aziendali (outsourcing) al di fuori del gruppo" del Cap. 7 e della sezione IV "L'esternalizzazione del sistema informa@vo" del Cap.8 della norma?va di riferimento, definisce un quadro organico di principi e requisi? in materia di esternalizzazione delle funzioni aziendali
• Con queste disposizioni, Banca d’Italia consolida le indicazioni sull’esternalizzazione contenute nelle disposizioni di vigilanza emanate e le integra recependo le linee guida sull’outsourcing del CEBS del 14 dicembre 2006
Obie\vo perseguito da Banca d’Italia è assicurare che le Banche che ricorrono all’esternalizzazione di funzioni aziendali,
presidino i rischi derivan( dalle scelte effe^uate
Obiettivo
16 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
L'esternalizzazione
Deve essere definita e approvata una poli(ca rela(va all'esternalizzazione emanata a livello aziendale che definisca e indirizzi tu9e queste tema?che in una linea guida di alto livello e, successivamente, contestualizzata in
un processo chiaro e stru^urato
Obiettivo
Mantenendo le competenze essenziali per reinternalizzare
Mantenendo la responsabilità sulle a\vità esternalizzate
Mantenendo la capacità di controllo
Come?
Come può un'organizzazione presidiare corre9amente i rischi derivan? dal fa9o di aver esternalizzato delle aCvità presso una terza parte?
17 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
L'esternalizzazione Quando si parla di esternalizzazione?
Risulta fondamentale iden?ficare corre9amente quando si parla di esternalizzazione. A tal proposito, Banca d'Italia fornisce una descrizione esplicita sull'esternalizzazione, riporta di seguito l'estra9o della norma?va di riferimento*
(*) 15° aggiornamento circolare 263/2006, TITOLO V – Cap.7, Sezione I, Par. 3 "Definizioni"
“esternalizzazione: l’accordo in qualsiasi forma tra una banca e un fornitore di servizi in base al quale il fornitore realizza un processo, un servizio o un’aavità della stessa banca."
Si parla di "esternalizzazione" quando un processo, un servizio o un’a\vità cara^eris(ci della Banca viene affidato ad un fornitore terzo
(all’interno o all’esterno del gruppo bancario) nonostante la Banca possieda potenzialmente le capacità tecniche per poterlo eseguire.
18 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
L'esternalizzazione Altre definizioni connesse all'esternalizzazione
Si riportano nel seguito altre definizioni u?li per contestualizzare specifici aspeC rela?vi all'esternalizzazione
“funzioni aziendali di controllo”: la funzione di conformità alle norme (compliance), la funzione di controllo dei rischi (risk management func)on) e la funzione di revisione interna (internal audit)
“funzione opera@va importante – FOI ”: una funzione opera)va per la quale risulta verificata almeno una delle seguen) condizioni: • un’anomalia nella sua esecuzione o la sua mancata esecuzione possono comprome?ere gravemente:
a) i risulta) finanziari, la solidità o la con)nuità dell’aavità della banca; ovvero
b) la capacità della banca di conformarsi alle condizioni e agli obblighi derivan) dalla sua autorizzazione o agli obblighi previs) dalla disciplina di vigilanza;
• riguarda aavità so?oposte a riserva di legge;
• riguarda processi opera)vi delle funzioni aziendali di controllo o ha un impa?o significa)vo sulla ges)one dei rischi aziendali.
(*) 15° aggiornamento circolare 263/2006, TITOLO V – Cap.7, Sezione I, Par. 3 "Definizioni"
19 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
L'esternalizzazione Perimetro dell'esternalizzazione
Funzioni opera(ve importan( (FOI) che comportano livello di rischio alto (incluse funzioni di controllo)
Funzioni aziendali esternalizzabili stre9amente connesse al business e che comportano un possibile rischio (es. compliance, opera?vo, reputazionale)
Non si considerano esternalizzate le aCvità affidate all’esterno che non possono essere svolte nell’ambito della banca (ad esempio le u?li?es per energia, rete di telecomunicazione, etc.)
Promotori per offerta fuori
sede Forniture ele?ricità
Info providers
Contraa di consulenza
Prestazioni professionali
PERIMETRO ESTERNALIZZAZIONE
FOI
Reinternalizzare
Responsabilità
Controllo
20 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
L'esternalizzazione Le Funzioni Operative Importanti
Funzioni Opera(ve Importan( – FOI: Chi sono? Non determinabile univocamente poiché potrebbe dipendere dalle cara9eris?che di ciascuna Banca, dal modello di business ado9ato, dal valore dell’esternalizzazione, etc. Alcuni Esempi di Funzioni Opera?ve Importan? riconosciute da Banca d'Italia sono:
� Back office � Sistema informa?vo � Funzioni di Controllo � Tra9amento contante/tra9amento valori � Processor delle carte/POS � Ges?one canali telema?ci (call center, help desk) � Ges?one patrimoni (Finanza) � Segnalazioni di Vigilanza � Etc
Reinternalizzare
Responsabilità
Controllo
21 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
L'esternalizzazione Responsabilità
Reinternalizzare
Responsabilità
Controllo
Introduzione della figura del Referente per le aNvità Esternalizzate
■ Introduzione della nomina del "referente per le a\vità esternalizzate", figura aziendale che deve possedere adegua? requisi? di professionalità ed ha il compito di garan?re la conservazione delle competenze richieste per controllare efficacemente le funzioni esternalizzate e per ges?re i rischi connessi all’esternalizzazione, inclusi quelli derivan? da potenziali confliC di interessi dell’outsourcer.
Funzioni di Controllo
■ Non è ammessa l’esternalizzazione delle Funzioni di Controllo della Capogruppo a soggeC esterni al Gruppo. Le Società del Gruppo possono esternalizzare le loro Funzioni aziendali di Controllo solo ed esclusivamente alla Capogruppo: non è ammessa l’esternalizzazione di de9e funzioni ad outsourcer esterni al Gruppo.
Organi con Funzione di Supervisione Strategica (ad esempio CdA delle
Banche)
■ Valutazione e approvazione dell'esternalizzazione basata su un processo di selezione dell'outsourcer tramite una specifica analisi del rischio, che considera in primo luogo la s?ma dei rischi delle risorse e servizi da esternalizzare e quindi valuta i rischi dei possibili fornitori (ad es., condizioni finanziarie, posizionamento sul mercato, qualità e turnover del management e del personale, capacità di ges?re la con?nuità opera?va e di fornire accura? e tempes?vi report direzionali sull’aCvità svolta, competenza ed esperienza, qualità e sicurezza nonché economicità e maturità, in un adeguato orizzonte temporale, della fornitura)
22 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
L'esternalizzazione Vincoli all'esternalizzazione
AsseTo organizza@vo
■ Divieto di delegare responsabilità aziendali e degli organi aziendali. Ad esempio, il divieto di esternalizzare aCvità che riguardano aspeC nevralgici del processo di erogazione del credito (per esempio la valutazione e il monitoraggio del merito del credito)
Tutela del cliente ■ Divieto di alterare il rapporto e gli obblighi nei confron( dei suoi clien(
Compliance
■ Divieto di creare le condizioni per: – disa9endere gli obblighi previs? dalla disciplina di vigilanza – violare le riserve di aCvità previste dalla legge.
■ Divieto di ostacolare la vigilanza
Sistema dei controlli interni
■ Divieto di pregiudicare la qualità del sistema dei controlli interni
■ Divieto di esternalizzare funzioni aziendali di controllo se non coerente con i limi? e le condizioni previs? al par. 2 della Sezione IV
Reinternalizzare
Responsabilità
Controllo
23 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
L'esternalizzazione Capacità di reinternalizzare
• Par?colare a9enzione ha destato tra le Banche la previsione norma?va che richiede alle stesse di mantenere le competenze tecniche e ges?onali per reinternalizzare le funzioni aziendali esternalizzate
• A riguardo, l’Autorità di Vigilanza nel Resoconto della Consultazione specifica quanto segue:
“La disciplina in materia di esternalizzazione prevede che la società tra?enga le competenze necessarie per poter reinternalizzare le funzioni esternalizzate in caso di necessità. Si ri)ene che il mantenimento di competenze essenziali concernen) l’aavità esternalizzata sia necessario, non solo per consen)re l’effeNvità dei controlli sul fornitore di servizi, ma anche per non arrecare pregiudizio all’opera@vità aziendale nei casi in cui sia necessaria una reinternalizzazione. In generale, la valutazione delle competenze ritenute effeavamente necessarie è, innanzitu?o, rimessa all’intermediario stesso.“
Reinternalizzare
Responsabilità
Controllo
24 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
L'esternalizzazione Capacità di reinternalizzare
Esternalizzazione al di fuori del Gruppo Bancario
Esternalizzazione all'interno del Gruppo Bancario
COSA SIGNIFICA?
Possibilità di svolgere adeguatamente una valutazione circa l’opportunità di reinternalizzare o affidare a terzi il servizio non più svolto dalla
capogruppo o dalla società del gruppo
COSA SIGNIFICA?
La policy dovrebbe iden?ficare i casi in cui il rischio di reinternalizzare è par(colarmente alto (es.
fornitore monopolista). Negli altri casi potrebbe essere opportuno
mantenere le competenze per il controllo e dotarsi di procedure formalizzate per ges(re
l’affidamento ad altri fornitori (in caso sia impossibile reinternalizzare)
Reinternalizzare
Responsabilità
Controllo
25 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
L'esternalizzazione Elementi costitutivi dell'esternalizzazione
Gli elemen? cos?tu?vi dell'esternalizzazione sono defini? all'interno della norma?va e prevedono alcuni elemen? obbligatori richies? da BankIt, tra i quali la realizzazione del documento principale in ambito all'esternalizzazione, la Policy di Esternalizzazione
Policy di Esternalizzazione
Processo decisionale Presidi adottati Criteri di selezione del fornitore
Revisione contratti di outsourcing
Criteri selez.
fornitore
Valutaz. rischi
Funz. coinvolt
e …
Supporto funz.
esternal.
Segnalaz eventi / situaz.
anomale
Nomina referent
e …
Competenze,
capacità, autoriz
Valutaz. rischi
Funz. coinvolt
e … SLA Flussi
informativi Contin.
operativa …
Comunicazioni verso BankIt
La Policy di Esternalizzazione è definita e a^uata dall’Organo con Funzione di Ges(one (OFG) e approvata dall’Organo con Funzione di Supervisione (OFSS)
26 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
L'esternalizzazione Elementi chiave di una Policy di Esternalizzazione
Gli "Elemen( chiave" di una Policy di Esternalizzazione:
• Definizione di linee guida per tu9e le ?pologie di esternalizzazioni (i.e. funzioni aziendali vs FOI; esternalizzazione all’interno del gruppo vs all’esterno; …)
• Definizione di principi generali (es. principi e?ci per la scelta del fornitore, per la ges?one di confliC d’interesse, …)
• Definizione delle modalità per la determinazione del (po di esternalizzazione, del livello di importanza e delle funzioni coinvolte (es. tavolo interfunzionale di valutazione delle esternalizzazioni)
• Definizione di criteri per l’individuazione della (pologia di contra^o (es. con / senza possibilità di sub-‐esternalizzare)
• Definizione criteri e processo interno per la definizione delle funzioni opera(ve importan( (FOI) (es. funzioni che non possono essere esternalizzate, …)
27 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
L'esternalizzazione Esternalizzazione al di fuori del Gruppo Bancario
Processo decisionale di esternalizzazione
Stabilire il processo decisionale per esternalizzare le funzioni aziendali specificando:
■ i livelli decisionali e le funzioni coinvolte ■ la valutazione:
– dei rischi e dell’impa9o sulle funzioni aziendali – dei rischi connessi con potenziali confliC di interesse del fornitore di servizi – degli impaC in termini di con?nuità opera?va
■ i criteri per la scelta e la due diligence del fornitore
ContraTualis@ca ■ Definire il contenuto minimo dei contraC di outsourcing
■ Definire i livelli di servizio a9esi delle aCvità esternalizzate
Modalità di controllo ■ Stabilire la modalità di controllo nel con?nuo
■ Stabilire la modalità di coinvolgimento della funzione di revisione interna
Flussi informa@vi
■ Stabilire i flussi informa?vi per assicurare la piena conoscenza e governabilità dei fa^ori di rischio rela?vi alle funzioni esternalizzate: – agli organi aziendali – alle funzioni aziendali di controllo
Ges@one emergenze ■ Definire i piani di con(nuità opera(va (clausole contra9uali, piani opera?vi, ecc.) in caso di
non corre9o svolgimento delle funzioni esternalizzate da parte del fornitore di servizi
28 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
L'esternalizzazione Esternalizzazione del Sistema Informativo
FULL OUTSOURCING
Specifici Processi Opera?vi
Outsourcing Orizzontale
Facility Management
Applica?on Management
Help-‐Desk Tecnico …
Outsourcing
Ver(cale
Specifici Processi Opera?vi
Specifici Processi Opera?vi
Specifici Processi Opera?vi
Con riferimento al Sistema Informa?vo, considerato a tuC gli effeC esternalizzazione di una Funzione Opera?va Importante – FOI, la norma?va impone che nell’elaborazione del modello archite9urale e delle strategie di esternalizzazione devono essere considera? approcci tesi a contenere, per quanto possibile, il grado di dipendenza da specifici fornitori e partner tecnologici esterni al gruppo (vendor lock-‐in) a seconda del ?po di outsourcing esternalizzato (Full outsourcing, outsourcing ver)cale e/o orizzontale) L'obieCvo risulta essere quindi, per quanto possibile, la salvaguardia della possibilità di sos(tuire la fornitura con un’altra funzionalmente equivalente (ad es., privilegiando il ricorso a standard aper? per le connessioni, la memorizzazione e lo scambio di da?, la cooperazione applica?va) e prevedendo opportune exit strategies.
29 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
L'esternalizzazione Esternalizzazione del Sistema Informativo
Tu^e le tema(che rela(ve al caso specifico di outsourcing del Sistema Informa(vo devono essere indirizzate all'interno della Policy di Esternalizzazione
Referente per l’aNvità esternalizzata
■ Nel caso di full outsourcing della funzione ICT, al “referente per l’aCvità esternalizzata” è assegnata la responsabilità di seguire la pianificazione dei progeC informa?ci; la stessa figura garan?sce, in collaborazione con il fornitore di servizi, la realizzazione degli opportuni meccanismi di raccordo con le linee di business
Comunicazioni obbligatorie a Banca
d'Italia
■ Includono i risulta? dell’analisi dei rischi che considera la s?ma dei rischi delle risorse e servizi da esternalizzare e valuta la qualità dei sub-‐fornitori, la ridondanza delle linee di comunicazione u?lizzate nonché l’affidabilità, la sicurezza e la scalabilità delle tecnologie ado9ate
■ Limitatamente agli intermediari delle macro-‐categorie 1 e 2 a fini SREP – la descrizione delle exit strategies previste
Contenu@ del contraTo con fornitori di sistemi e
servizi ICT
■ L’obbligo per il fornitore di servizi di osservare la policy di sicurezza informa?ca aziendale ■ La proprietà di da?, souware, documentazione tecnica, e altre risorse ICT ■ La periodica produzione delle copie di backup del sistema informa?vo ■ La ripar?zione dei compi? e delle responsabilità aCnen? i presidi di sicurezza ■ Le procedure in caso di inciden? di sicurezza informa?ca e di con?nuità opera?va ■ La definizione di livelli di servizio coeren? con le esigenze ■ La predisposizione di misure di tracciamento idonee ■ La possibilità per l’intermediario di conoscere informazioni circa i data center ■ L’obbligo di eliminare … qualsiasi copia o stralcio di da? riserva? di proprietà dell’intermediario ■ …
30 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
L'esternalizzazione Approccio progettuale tipico di adeguamento
Fase 1 – Definizione della Policy di
esternalizzazione
Fase 2 – Adeguamento dei
contra\
■ Definire il processo decisionale a9raverso il quale giungere alla esternalizzazione, avendo cura di verificare il rispe9o del requisito di proporzionalità
■ Definire il criterio per iden(ficare le funzioni opera(ve importan(
■ Iden?ficare gli ambi( che non possono essere ogge^o di esternalizzazione
■ Iden?ficare le competenze ritenute necessarie per reinternalizzare
■ ....
■ Analisi dei contra\ in essere al fine di verificare che siano rispe9a? tuC i requisi? previs? dalla policy e in par?colare quelli specifici previs? per le funzioni opera?ve importan?
■ Verifica dei requisi( del fornitore di servizi
■ Iden?ficazione delle integrazioni necessarie
■ Adeguamento dei contraC
■ Accordo con il fornitore di servizi ■ ...
■ Aggiornare le modalità di ges(one delle a\vità in outsourcing: – modalità di controllo – flussi informa?vi – piani di emergenza – responsabili – ...
■ Mantenere le capacità tecniche e ges(onali essenziali per reinternalizzare le a\vità
Fase 3 – Adeguamento dell’opera(vità
L'elenco delle a\vità non è esaus(vo e dipende prevalentemente dal contesto e dal perimetro in ambito
31 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
Agenda
• Introduzione • L'esternalizzazione • Business Case
• Il perimetro
• Gli a9ori coinvol?
• I deliverable
• La Policy di esternalizzazione
• Il Framework di revisione contra9uale
• Il Template contra9uale standard
• La Policy di Exit Strategy
• L’aggiornamento dei contraC FOI
32 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
Business Case Veneto Banca
In o9emperanza alle Nuove disposizioni di vigilanza prudenziale per le banche, nel 2014 Veneto Banca ha avviato nell’ambito del proge9o “Compliance 263 – Capitolo 8” uno specifico can?ere proge9uale rela?vo all'esternalizzazione delle funzioni aziendali. Il can?ere ha dato seguito a quanto previsto dalla Norma?va nei Capitoli 7* e 8** ponendosi come obieCvi:
� la redazione dei documen( previs? in ambito norma?vo � la definizione del Framework di revisione contra^uale � la revisione dei contra\ di outsourcing
(*) 15° aggiornamento circolare 263/2006, TITOLO V – Cap.7, Sezione IV "Esternalizzazione di funzioni aziendali (outsourcing) al di fuori del gruppo bancario" (**) 15° aggiornamento circolare 263/2006, TITOLO V – Cap.8, Sezione VI "L’esternalizzazione del sistema informa)vo"
33 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
Business Case Il perimetro
In perimetro al proge9o di adeguamento alla Norma?va e con par?colare riferimento al can?ere dell‘esternalizzazione, sono state condo9e specifiche aCvità volte a definire:
Nel seguito si riportano dei brevi estra\ per ciascuno dei deliverable prodo\
1. Policy di Esternalizzazione
1.a Framework di revisione contra^uale 1.b Template Contra^uale Standard
2. Policy di Exit Strategy
2. Aggiornamento contra\ FOI
34 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
Business Case Gli attori coinvolti
Procurement Consulenza Legale Compliance Organizzazione Direzione IT
Aspe\ generali sulla ges(one del
ciclo di vita contra^uale
Aspe\ legali su ar(coli contra^uali
Aderenza alla norma(va di riferimento
Aspe\ su servizio erogato e modello
di ges(one dell'outsourcer
Aspe\ tecnici e su livelli di servizio
1. Policy di Esternalizzazione
1.a Framework di revisione contra^uale 1.b Template Contra^uale Standard
2. Policy di Exit Strategy
2. Aggiornamento contra\ fornitori FOI
Commitment da parte di tu9e le Funzioni necessarie e dei principali Stakeholder
Prerequisito
35 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
Business Case 1. La Policy di Esternalizzazione: scopo
La Policy di Esternalizzazione ha lo scopo di:
• disciplinare il processo di esternalizzazione di funzioni aziendali internamente (insourcing) o esternamente al Gruppo (outsourcing), iden?ficando le fasi, i ruoli e le responsabilità degli Organi e delle Funzioni aziendali a vario ?tolo coinvolte
• definire il sistema di regole di riferimento finalizzato a garan?re la trasparenza dei processi di selezione, il controllo e la mi?gazione dei rischi connessi alle a\vità svolte dagli outsourcer, ponendo le basi affinché le stesse siano effe9uate nel rispe9o dei ruoli e delle responsabilità definite e di specifici criteri di presidio dei rischi
• definire il contenuto minimo dei contra\ di outsourcing e i livelli di servizio a^esi delle aCvità esternalizzate e iden?ficare le modalità di controllo, nel con?nuo, delle funzioni esternalizzate
• formalizzare i flussi informa(vi interni vol? ad assicurare agli Organi aziendali e alle Funzioni di Controllo la piena conoscenza e governabilità dei fa9ori di rischio rela?vi alle funzioni esternalizzate
1. Policy di Esternalizzazione
1.a Framework di revisione contra^uale
1.b Template Contra^uale Standard
2. Policy di Exit Strategy
2. Aggiornamento contra\ fornitori FOI
36 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
Business Case 1. La Policy di Esternalizzazione: struttura del documento
Introduzione
ObieCvi Ambito di applicazione della Policy Riferimen? norma?vi Glossario
Definizioni Definizioni di “esternalizzazione” e di “Funzione Opera?va Importante (FOI)" u?lizzate lungo la Policy e coeren? con quanto previsto dalle disposizioni di Banca d'Italia
Elemen@ guida e iter del processo di esternalizzazione
1. Individuazione delle esigenze di esternalizzazione e analisi preliminare
2. Analisi tecnica
3. Selezione e valutazione del fornitore
4. Approvazione operazione di esternalizzazione
5. Comunicazione preven?va dell’operazione alla Banca d’Italia
6. Definizione del contra9o di esternalizzazione
7. Approvazione e perfezionamento dell’accordo e aCvazione del servizio
8. Ges?one opera?va del rapporto e valutazione delle prestazioni del fornitore
9. Repor?ng e comunicazioni verso Banca d’Italia
Esternalizzazione di funzioni rilevan@ di par@colare cri@cità
Esternalizzazione di sistemi e servizi ICT Definizione del processo decisionale in merito all’esternalizzazione di sistemi e servizi ICT comprensivo della valutazione degli elemen? che possono determinare il successo o l’insuccesso delle strategie aziendali. Il processo pone l'a9enzione alla valutazione dei rischi che le scelte di esternalizzazione comportano e la valutazione delle misure adeguate per il loro contenimento
Esternalizzazione del servizio di tra^amento del contante Per i servizi specifici quali quello del tra9amento del contante, è definito il processo volto alla scelta del contraente, che deve fondarsi sull’accertamento della sua piena affidabilità, tali controlli considerano la corre9ezza della ges?one e dell’adeguatezza delle stru9ure e dei processi organizza?vi, sia nell’esercizio di efficaci controlli successivi, da svolgere nel con?nuo per verificare l’ordinato e corre9o svolgimento dell’aCvità nel pieno rispe9o delle norme vigen?
Misure semplificate in caso di esternalizzazione di funzioni
non FOI
Con riferimento all’esternalizzazione di Funzioni Opera?ve non Importan?, la Banca valuta a seconda dei casi e della cri?cità della funzione ogge9o di esternalizzazione, l’iter da prevedere ai fini del compimento dell’operazione sebbene la linea guida seguita è generalmente comune per FOI e non FOI
1. Policy di Esternalizzazione
1.a Framework di revisione contra^uale
1.b Template Contra^uale Standard
2. Policy di Exit Strategy
2. Aggiornamento contra\ fornitori FOI
Allega@
Processo decisionale esternalizzazione Template standard RfP Griglia di valutazione per RfP Checklist di revisione cotnra9uale Griglie di valutazione per albo fornitori
37 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
Business Case 1.a Il Framework di revisione contrattuale
Tra gli allega? alla Policy di Esternalizzazione, è stato definito un Framework di revisione contra?uale che prevede una checklist volta ad indirizzare 22 ambi? di analisi per un totale di oltre 80 controlli in essere di cui 33 defini( dalla norma(va di riferimento
Framework di revisione
contraTuale
1. Requisi( generali 2. Service Level Agreement (SLA) 3. Sicurezza e confidenzialità 4. Diri^o di audit 5. Repor(s(ca 6. Cos( e penali 7. Sub-‐contractors e fornitori mul(pli 8. Proprietà e Licenza 9. Risoluzione delle dispute 10. Manleva 11. Limitazioni di responsabilità
6/11 4/5 3/5 1/4 -‐/1 -‐/1 1/2 1/2 -‐/1 -‐/1 -‐/1
12. Risoluzione (Tempis(che e cos() 2/4
# contr. norma(vi/ tot Ambito analisi 263/2006
1. Policy di Esternalizzazione
1.a Framework di revisione contra^uale
1.b Template Contra^uale Standard
2. Policy di Exit Strategy
2. Aggiornamento contra\ fornitori FOI
13. Compliance 1/4 14. Clausole contra^uali specifiche 3/4 15. Con(nuità Opera(va 5/13 16. Requisi( generali contra\ di fornitura servizi ICT -‐/4 17. Integrità e confidenzialità dei da( 1/4 18. Ges(one dei cambiamen( e delle configurazioni -‐/4 19. Protezione da so|ware malevolo -‐/2 20. Disponibilità del servizio -‐/3 21. Trasferimento di competenze -‐/1 22. Clausole contra^uali specifiche ICT 5/6
38 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
Business Case 1.b Il Template contrattuale standard
Ulteriore allegato alla Policy di Esternalizzazione è il Template Contra?uale Standard volto a definire un impianto contra9uale cos?tuito da clausole, pre-‐approvate e compliant alla norma?va di riferimento, su cui impostare i nuovi contraC per le aCvità esternalizzate della Banca
1. Policy di Esternalizzazione
1.a Framework di revisione contra^uale
1.b Template Contra^uale Standard
2. Policy di Exit Strategy
2. Aggiornamento contra\ fornitori FOI
39 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
Business Case 2. La Policy di Exit Strategy
A supporto della Policy di Esternalizzazione, è stata predisposta una policy volta ad iden?ficare le linee guida per la corre9a ges(one della strategia di uscita di funzioni, servizi e/o aCvità aziendali esternalizzate del sistema informa?vo (outsourcing). La policy prende in considerazione le varie fasi del ciclo di vita del servizio esternalizzato, a par?re dalla prima negoziazione/stesura del contra9o fino al trasferimento del servizio verso una nuova terza parte o alla reinternalizzazione
FASE 1 – Definizione aspeN
contraTuali
FASE 2 – Monitoraggio e
revisione
FASE 3 – Valutazione uscita (Approaching exit)
FASE 4 – Ges@one dell'uscita (Managing exit)
Ciclo di vita
de
l servizio
t Negoziazione Ges(one della terza parte
� Selezione del fornitore (RfP/RfQ)
� Definizione degli aspeC contra9uali lega? al servizio
� Negoziazione dei termini e degli aspeC economici
� ACvazione del servizio (erogazione)
� Monitoraggio SLA
� Monitoraggio andamento
� Monitoraggio cos? � Ges?one inciden?
� ...
Valutazione driver
cambiamento
Ges(one transizione del servizio
(verso altra terza parte o reinternalizzazione)
� Predisposizione dell'Exit Plan � Predisposizione migrazione /
assistenza al trasferimento � Periodo di parallelo
� Validazione nuovo modello di servizio
� …
� Decisione di analisi e valutazione dell'exit
� Predisposizione business case
� Decisione di ricorso all'exit
1. Policy di Esternalizzazione
1.a Framework di revisione contra^uale
1.b Template Contra^uale Standard
2. Policy di Exit Strategy
2. Aggiornamento contra\ fornitori FOI
40 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
Business Case 3. L’aggiornamento dei contratti FOI
1. Policy di Esternalizzazione
1.a Framework di revisione contra^uale
1.b Template Contra^uale Standard
2. Policy di Exit Strategy
2. Aggiornamento contra\ fornitori FOI
Con l’obieCvo di applicare quanto previsto a livello metodologico e di rispondere entro la data di efficacia all’adeguamento dei contraC rilevan? di esternalizzazione, sono sta? defini(/revisiona( 13 contra\ FOI. Tra ques? i contraC con:
� SEC Servizi, il principale outsourcer del Sistema Informa?vo della Banca � Telecom Italia, il principale fornitore di rete e sicurezza infrastru9urale � i maggiori fornitori di Servizi Opera(vi � i principali fornitori di recupero credi( � i fornitori dei sistemi di informazioni credi(zie � i fornitori di accesso ai merca(
Framework di revisione
contraTuale
Partendo dall’applicazione della checklist, si sono iden?fica? per ogni contra9o i principali gap da colmare/indirizzare nella revisione e successiva negoziazione con il fornitore
41 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
Domande…
42 29.4.2015 - Padova - ISACA VENICE Chapter
Sviluppo delle strategie di outsourcing nel mercato ICT – Luca Lazzare9o e Rosangela D'Affuso
Grazie per l’attenzione!
Riferimenti per contatti: Luca Lazzaretto [email protected] Rosangela D'Affuso [email protected]