Pubblicazioni

Febbraio, 2016

Il “Rapporto Sintetico sulla Situazione del Rischio Informatico”

(Circolare Banca d’Italia n. 285 del 17 dicembre 2013 - 11° aggiornamento)

Questo documento rappresenta un percorso per la redazione del “Rapporto sintetico sulla Situazione del Rischio Informatico in realtà bancarie di “piccola dimensione” caratterizzate da una situazione di full outsourcing dei sistemi informativi.

La Circolare Banca d’Italia n. 285 del 17 dicembre 2013 - 11° aggiornamento prescrive la redazione di tale documento con periodicità annuale e la sua  approvazione da parte dell’Organo con funzione Strategica (OFSS) della Banca.

Il rapporto rientra tra le “Valutazioni Aziendali” elencati nell’allegato A al Titolo IV – Governo societario, controlli interni e gestione dei rischi - Capitolo 4 – Il sistema informativo.

Premesse

La Vigilanza definisce “rischio informatico (o ICT)” come: “il rischio di incorrere in perdite economiche, di reputazione e di quote di mercato in relazione all’utilizzo di tecnologia dell’informazione e della comunicazione (Information and Communication Technology – ICT). Nella rappresentazione integrata dei rischi aziendali a fini prudenziali (ICAAP), tale tipologia di rischio è considerata, secondo gli specifici aspetti, tra i rischi operativi, reputazionali e strategici

Nell’ambito dei compiti di gestione strategica, al CdA compete anche la Governance dell Sistema Informativo, attuata con il supporto di un sistema di reporting che consenta visibilità sul contributo dell’ICT nella trattazione e nella riduzione dei rischi aziendali. In dettaglio il sistema di reporting deve consentire di monitorare:

  • La capacità del sistema informativo di soddisfare le esigenze di business a vantaggio della competitività dell’azienda.

  • La conformità dei sistemi informatici.

Preme in tale contesto sottolineare come l’accento della Vigilanza sia posto sull’opportunità di integrazione delle procedure di controllo del rischio in  tutti i comparti, incluso quello informatico.

In particolare, dalle Disposizioni deriva un richiamo a non isolare le tematiche ICT, ma a considerarle come parte dell’operatività a supporto  del core business.

Significativa è  la definizione dei “controlli di linea”[1] propri alle Strutture Operative classificate. ”prime responsabili del processo di gestione dei rischi”.

Se ciò si osserva alla luce dell’affermazione che i controlli di linea, “per quanto possibile, sono incorporati nelle procedure informatiche”, ne consegue che le Strutture Operative sono tenute ad acquisire la conoscenza e la capacità di valutazione dell’adeguatezza dei sistemi informativi.

 

[1] Controlli di linea (c.d. “controlli di primo livello”), diretti ad assicurare il corretto svolgimento delle operazioni. Essi sono effettuati dalle stesse strutture operative (ad es., controlli di tipo gerarchico, sistematici e a campione), anche attraverso unità dedicate esclusivamente a compiti di controllo che riportano ai responsabili delle strutture operative, ovvero eseguiti nell’ambito del back office; per quanto possibile, essi sono incorporati nelle procedure informatiche.

Le strutture operative sono le prime responsabili del processo di gestione dei rischi: nel corso dell’operatività giornaliera tali strutture devono identificare, misurare o valutare, monitorare, attenuare e riportare i rischi derivanti dall’ordinaria attività aziendale in conformità con il processo di gestione dei rischi; esse devono rispettare i limiti operativi loro assegnati coerentemente con gli obiettivi di rischio e con le procedure in cui si articola il processo di gestione dei rischi.

La conoscenza degli Utenti si deve comprendere gli aspetti inerenti, (anche in combinazione tra loro) le seguenti tematiche:

  • copertura dei fabbisogni (gap ICT solutions vs. business needs)

  • < >

    continuità dei sistemi

  • affidabilità

  • qualità dei dati

  • conformità alle norme.

La conoscenza su elementi tecnici o tecnologici non è obiettivo ascrivibile agli Utenti.

Il reperimento delle informazioni

Il reperimento delle informazioni rispetto alla tematica ICT, abbraccia l’intera azienda. Visibilità sullo scopo, sul ruolo e sulla performance dei sistemi informatici non è prerogativa, dell’ICT auditing, ma di tutti gli stakeholder:

  • Strutture operative

  • Funzione ICT

  • Responsabile FOI / ICT

  • Funzioni di controllo interno – secondo livello di controllo

  • Internal auditing e ICT Auditing (attività svolte sull’interno della Banca)

  • ICT Auditing (attività svolte sull’outsourcer)

L’organizzazione delle informazioni

Il “Rapporto sintetico sulla Situazione del Rischio Informatico” si pone come uno degli elementi base per la gestione delle strategie sui sistemi informativi, su cui la Vigilanza propone indicazioni e spunti nel capitolo dedicato.

L’organizzazione delle informazioni da includere nel documento deve essere coerente con la metodologia di analisi e misura del rischio informatico che la Banca ha deliberato.

È consigliabile una preventiva analisi sulla segmentazione delle informazioni necessarie con mappatura sulla struttura organizzativa della Banca.

Più in dettaglio, nella definizione delle responsabilità delle diverse aree operative interessate, è importante esplicitare disposizioni specifiche, corredate con precisi obiettivi di reporting, relativamente ai rischi gestiti.

In particolare, ogni singola area operativa è tenuta a generare, a cadenze specificate, secondo la propria peculiare visibilità sulla tematica, un proprio  documento di sintesi sul rischio informatico, basato su osservazioni registrate nel corso dello svolgimento quotidiano dei propri compiti.

Un contributo importante è fornito dall’outsourcer che nell’osservanza delle clausole contrattuali per la fornitura dei S.I. secondo gli standard imposti dalla Vigilanza, è tenuto a rispettare il “Risk Appetite” della singola  banca  cliente, comunicando ad essa le modalità ed il grado di riduzione dei rischi ottenuto.

La Vigilanza non specifica un proprietario del documento, ma  indica la sua presenza tra i flussi informativi che l’Organo con Funzione Strategica deve considerare. Ragionevolmente si può assumere che la presentazione del documento all’OFSS possa essere svolta dal Risk Manager o in alternativa coordinata da tale figura.

La mappa del documento “Rapporto Sintetico del Rischio Informatico”

Tralasciando le eventuali introduzioni con i richiami alla normativa, il documento può essere strutturato come segue

  • Richiamo alle politiche di rischio, deliberate dall’OFSS

  • Esposizione delle responsabilità assegnate con riferimento al rischio informatico. Tra queste saranno incluse quelle attribuite a soggetti esterni come l’outsourcer e (eventualmente) il servizio di ICT Auditing

  • Esposizione delle valutazioni sul rischio informatico, prodotte dai seguenti soggetti:

    • Outsourcer – valutazione prodotta dall’outsourcer con le misure di esposizione al rischio

    • ICT Audit (1) – valutazione di sintesi prodotta dal servizio di ICT Auditing a coronamento dei programmi di verifica periodica

    • ICT – Audit (2) – valutazioni espresse dal servizio di ICT Auditing in seguito a verifiche svolte presso la struttura della Banca, sulle procedure di controllo e di gestione dei sistemi informatici

    • Funzioni di controllo (secondo livello di controllo) – valutazioni prodotte dalle funzioni di controllo di secondo livello. Tali valutazioni possono essere risultato di attività di verifica diretta (tipicamente Sicurezza Logica, conformità a disposizioni legislative, Privacy, ecc) o di controllo incluso in verifiche su tematiche di business ma connesse con l’utilizzo di sistemi informatici. (Per esempio, verifica della presenza di software non autorizzato sui terminali nell’ambito di ispezioni su filiali)

    • Relazioni della funzione ICT: questa riporterà elementi utili per comprendere la capacità della Banca di assimilare e utilizzare al meglio la fornitura dell’outsourcer. In virtù di un punto d’osservazione privilegiato, la funzione ICT potrà testimoniare in merito alla qualità del colloquio tra il mondo business della Banca e l’outsourcer

    • Valutazioni degli utenti. In qualità di primo gestore del processo del rischio, il proprietario di processo è tenuto a osservare e registrare i punti di forza dei sistemi informatici a disposizione per il perseguimento degli obiettivi di business. La raccolta di informazioni reperibili presso questa categoria di utenti rappresenta però possibili criticità, per limiti in materia di formazione e la limitata abitudine a svolgere osservazioni in modo sistematico, affidabile ed equilibrato.

  • Sintesi sull’esposizione al rischio informatico. Tale sezione può essere prodotta dalla funzione di Risk Management, con richiamo specifico alle politiche sui rischi proposte in apertura del documento

  • Proposte di azione per mitigazione di situazioni di rischio eccedente le politiche aziendali.

Conclusioni

Attraverso un’azione corale delle parti in causa, interessate alla produzione, alla somministrazione / diffusione delle procedure informatiche, con il supporto delle funzioni di controllo e degli utenti, è possibile produrre un documento di sintesi che:

  • Consente visibilità e iniziative ponderate da parte dell’organo di governo

  • Scandisce un processo di miglioramento continuo con riferimento al presidio del rischio informatico. Tale miglioramento è funzionale alla riduzione di altri rischi operativi (frode, inefficienze, errori, ecc), reputazionali e di compliance.

Stefano Niccolini, Paolo Gasperi, Daniele Chieregato