10 dicembre 2009

Basilea II: Obiettivi di controllo IT - Executive Summary

Nel sito di ISACA Roma è disponibile la traduzioni in italiano di "IT Control Objectives for Basel II" di ISACA: versione in italiano | versione originale in lingua inglese (sito di ISACA International).
La traduzione è stata realizzata da Agatino Grillo, CISA, CISSP, CISM con il patrocinio di ISACA Roma. Agatino ha all'attivo per ISACA anche la traduzione di "ISACA: Obiettivi di controllo IT per la Sarbanes-Oxley" (scaricabile gratuitamente).


"Obiettivi di controllo IT per Basilea II", Executive Summary
La pubblicazione "Obiettivi di controllo IT per Basilea II" fornisce un framework completo e coerente per la gestione dei rischi informativi (information risk) nel contesto di Basilea II.
Il documento è indirizzato sia ai professionisti IT, sia agli esperti di servizi finanziari.

Adottando il framework presentato in questa pubblicazione, gli intermediari finanziari possono utilizzare con successo i processi e controlli noti e condivisi nella comunità dell'Information Technology: gli obiettivi di controllo IT ed i processi di management presi in considerazione riguardano infatti il ruolo dell'IT nella gestione dei rischi operativi e le relative attività che devono intraprendere i professionisti IT, gli internal auditor IT, gli IT risk manager e gli information security officer.

La Corporate governance, il Risk management e la regulatory Compliance (GRC) sono ormai tra le principali priorità per il business in quanto esso è sempre più influenzato dalle richieste degli stakeholder, dalle valutazioni dei mercati, dalle aspettative di performance. La necessità di una migliore corporate governance è sempre più diffusa. Quando si parla di governance ci si riferisce alla gestione di criticità quali flussi informativi incompleti, comunicazioni non efficienti e incomplete, mancata comprensione dei rischi così come indicato chiaramente nei principi definiti dall'ITGI.

Il capitolo 2 introduce i concetti fondamentali: Corporate governance, Risk management, Compliance.
La crescente quantità di attività specifiche in ambito regolatorio, in aggiunta al livello sempre maggiore di informazioni richieste, sono una chiara evidenza del fatto che la governance, il risk management e la compliance sono ormai aree primarie di attenzione per quel che riguarda i regulator dei servizi finanziari e bancari.
Negli ultimi anni c'è stato infatti un rapido aumento dei requisiti in ambito GRC. Norme e regolamenti relativi a tali aree si sono evoluti in framework dettagliati che riguardano molti aspetti sia dell'ambito bancario sia dell'ambito tecnologico. Negli ultimi anni, norme e leggi nazionali ed internazionali si sono indirizzate, in modo crescente, su temi quali l'Information Management, l'Information Technology e le varie discipline specialistiche che esse comprendono.

Il capitolo 3 illustra le componenti rilevanti, in ambito normativo, per i servizi finanziari e l'IT. Nel 2004, il comitato di Basilea per la vigilanza bancaria ha reso pubblico il secondo framework relativo alla adeguatezza patrimoniale che introduce un nuovo approccio al rischio nelle istituzioni finanziarie. L'obiettivo di Basilea II è di rafforzare le practice di gestione del rischio di credito e del rischio operativo e di fissare un legame tra la valutazione del rischio ed i coefficienti patrimoniali. Le nuove norme forniscono un incentivo alle istituzioni finanziarie in quanto il miglioramento della qualità della gestione del rischio e dei relativi sistemi di controllo permettono di ridurre il capitale da accantonare per la copertura di tali rischi.
In ultima istanza gli intermediari finanziari possono acquisire un vantaggio competitivo se dimostrano di avere un forte framework GRC; per ogni azienda infatti l'esposizione al rischio complessivo determina il coefficiente patrimoniale richiesto e dunque le iniziative GRC diventano un fattore importante per ridurre tale coefficiente.

Il capitolo 4 descrive il nuovo approccio al risk management così come è definito nel framework di Basilea II. I rischi operativi sono considerati come un'autonoma ed importante categoria di rischio, come è testimoniato, negli ultimi dieci anni, da un gran numero di incidenti e crisi imputabili ad essi. Il rischio operativo si riferisce alle operazioni bancarie ed alla conduzione ordinaria del business, area spesso più ampia ed articolata di quelle a cui si riferiscono altre categorie di rischio come quello relativo al tasso di interesse. Per tale motivo identificare e misurare i rischi operativi si è dimostrato un compito assai impegnativo per le banche e le istituzioni finanziarie.
In generale l'Information Technology e l'Information Management sono elementi chiave per una strategia completa di gestione del GRC e per l'ottimizzazione dei coefficienti patrimoniali. Le componenti correlate all'IT come le applicazioni software, gli elementi infrastrutturali ed i controlli fanno tutti parte dei rischi operativi.

Il capitolo 5 fornisce una overview dei rischi operativi e della rilevanza che assume, al riguardo, l'information risk. Il capitolo inoltre mappa i principi di Basilea per i rischi operativi rispetti ai rischi classici dell'Information Technology.
Al fine di indirizzare in maniera adeguata i rischi relativi alle informazioni occorre adottare un approccio business-driven. I processi di business devono guidare la definizione dei controlli e delle metriche mentre il set dei controlli relativi all'IT sono completati da un insieme di indicatori per misurare la compliance e la maturità. Quando un rischio di tipo informativo ha un impatto sul processo di business, i passi necessari per ridurre e mitigare il rischio devono essere parte integrante del framework GRC dell'organizzazione.

Il capitolo 6 fornisce un ponte tra Basilea II e rischi di tipo informativo definendo un insieme di dieci principi guida per l'information risk management. Questi principi guida corrispondono ai principi del risk management "operativo" come tracciati nei documenti di Basilea.

Gestire gli information risk nel contesto di Basilea richiede l'adeguamento dei noti processi IT, dei controlli e delle relative attività. Queste regole di base per la gestione dei rischi IT sono descritte nel capitolo 7.
Il corporate GRC framework di solito consiste di diverse componenti ciascuna delle quali gestisce differenti parti ed obiettivi dell'organizzazione. Per i rischi legati alle informazioni, il framework COBIT rappresenta un insieme già ottimizzato di processi e tool che supportano l'intero framework GRC; inoltre COBIT già prevede i collegamenti e la mappatura fra i suoi contenuti ed i più importanti framework per la compliance e la governance.
Basilea II richiede un approccio business-driven al risk management.
Per utilizzare COBIT come modello di supporto per il GRC, l'insieme dei controlli IT deve essere messo in relazione ai rischi IT; i rischi IT sono un sottoinsieme dei rischi business-driven che sono individuabili nei processi di business.

Il capitolo 8 illustra la sequenza logica dalla vista dei processi di business agli information risk ed ai controlli IT. Il capitolo spiega, passo per passo, come i professionisti IT ed i risk manager devono utilizzare COBIT per gestire i rischi di Basilea.
La gestione del rischio comprende l'uso di indicatori per denotare gli obiettivi, le performance ed il livello del rischio.

Il capitolo 9 introduce il concetto dei COBIT Key Risk Indicator (KRI) ed il loro uso per Basilea II.
Ogni KRI supporta il processo continuo del risk assessment e risk management al fine di ottenere i miglioramenti nell'insieme dei rischi operativi. Il capitolo descrive i tipi di indicatori, la loro importanza all'interno del processo complessivo di risk management e la definizione dei KRI adatti per un framework completo e coerente di information risk management.

Nessun commento:

Posta un commento