Evridigit-logo-400

Sviluppo della check list per l’Information System audit sulle BCC

Il sistema dei controlli interni del Credito Cooperativo mette a disposizione degli addetti al servizio Internal Auditing un serie di check list pensate per guidare ed uniformare l’attività di analisi dei processi bancari. Le check list devono periodicamente essere riviste per aggiornarle alle mutate condizioni in cui si trovano ad operare le banche a seguito di cambiamenti nelle normative o per l’introduzione di nuovi processi o modifiche sostanziali degli stessi.

Per questo motivo la Federazione Nazionale delle Banche di Credito Cooperativo ha organizzato un gruppo di lavoro a cui ha assegnato il compito di rivedere la check list per l’audit del processo Information Technology.

Fra i principali driver che hanno portato alla revisione di questa check list possiamo citare la Banca d’Italia che ha alzato il livello di attenzione nei confronti dei sistemi informativi per l’importanza che essi hanno assunto nelle banche ed il cambio delle organizzazioni delle banche sempre più appoggiate a centri servizi informatici esterni

La check list precedente era figlia di un approccio molto orientato al controllo di dettaglio senza curarsi troppo di capire quanto l’IT fosse allineato con il business; l’IT era visto come un strumento/prodotto separato dall’azienda e come tale veniva valutato. Si è pertanto avvertita l’esigenza di dotarsi di uno strumento di analisi che permettesse di valutare la gestione delle risorse informatiche in un’ottica orientata al business

Questo concetto è stato ben espresso nell’introduzione a ITIL (IT Infrastructure Library) che fornisce un modello composto da linee guida e “best practice” per l’IT Service Management ed e l’approccio più largamente utilizzato ed accettato al mondo per l’IT Service Management.

“…
Negli ultimi anni si é iniziato a riconoscere che l’informazione e la risorsa strategica più importante che ogni organizzazione si trova a dover gestire. La chiave per la raccolta, l’analisi, la produzione e la distribuzione delle informazioni all’interno di un’organizzazione é la qualità dei sistemi ICT (Information Communication Technology) e dei servizi IT forniti al business. E’ essenziale riconoscere che i sistemi ICT sono un patrimonio cruciale e strategico dell’organizzazione e che pertanto le organizzazioni devono investire livelli di risorse adeguati nel supporto, nell’erogazione e nella gestione di questi critici servizi IT e dei sistemi ICT che li supportano. Comunque, molto spesso questi aspetti dell’IT sono trascurati o solo superficialmente indirizzati all’interno di molte organizzazioni.

I problemi più importanti affrontati oggi da parte di molti manager di elevato livello aziendale ed dell’IT sono:

  • Pianificazione strategica dell’IT e del business
  • Integrazione ed allineamento degli obiettivi IT e di business
  • Acquisizione e conservazione delle giuste risorse e conoscenze professionali
  • Attuazione di un continuo miglioramento
  • Misurazione dell’efficacia ed efficienza dell’organizzazione IT
  • Riduzione dei costi e del Total Cost of Ownership (TCO)
  • Raggiungimento e dimostrazione del Value For Money (VFM) e Return on Investment (ROI)
  • Dimostrazione del valore dell’IT per il business
  • Sviluppo dei partenariati e delle relazioni del business e dell’IT
  • Miglioramento del successo del progetto di erogazione
  • Outsourcing, insourcing e smart sourcing
  • Utilizzo dell’IT per ottenere un vantaggio competitivo
  • Erogazione dei servizi IT richiesti e giustificati dal business (ad es. erogazione di quello che e stato richiesto, con i tempi e i costi concordati)
  • Gestione di modifiche continue del business e dell’IT
  • Attività offshore e lungo tutti i fusi orari
  • Dimostrare che viene effettuato un governo appropriato dell’IT.

Le sfide per i manager IT sono quelle di coordinare e lavorare in partnership con il business per erogare servizi IT di alta qualità. Questo può essere raggiunto contemporaneamente alla riduzione del TCO e spesso all’incremento della frequenza, complessità e volume delle modifiche. Il principale metodo per realizzare questo obiettivo e basato su processi efficaci e sulla erogazione di servizi appropriati e che forniscano un valore proporzionale ai loro costi. Per raggiungere ciò, e dunque necessario sviluppare ed implementare i giusti processi dotati di meccanismi interni di valutazione e miglioramento. La gestione IT riguarda l’efficace ed efficiente utilizzo delle quattro P: Persone, Processi, Prodotti (strumenti e tecnologia) e Partner (fornitori, venditori ed organizzazioni di outsourcing).
Pertanto il management ha la necessità di sviluppare delle strategie e delle pianificazioni combinate per tutte e quattro le aree. Comunque, molte organizzazioni, nel passato ed ancora oggi, pur riconoscendo le quattro P non ne fanno uso per acquisirne vantaggio competitivo. Molto spesso vengono comprati prodotti per gestire le aree della tecnologia e poi vengono progettati i processi, i partner ed i ruoli delle persone per adeguarsi alla tecnologia ed alle sue limitazioni. Le persone ed i processi devono essere indirizzati prima e questo è uno dei principi fondamentali di ITIL.
…”

Per costruire la nuova check list sono state utilizzare i seguenti principi guida forniti dalla Federazione BCC Lombardia (Dott. Stefano Niccolini) e condivisi con le Federazioni BCC Emilia Romagna, Piemonte e Lazio-Umbria-Sardegna:

1. L’attività di Audit svolge verifiche sull’esistenza ed il funzionamento del sistema dei controlli interni della Banca. I controlli in loco sono una replica di controlli che la banca già svolge. L’auditor non opera mai controlli “più in gamba” o “segreti”, che la banca potrebbe o dovrebbe fare. In assenza di controlli adeguati da parte della banca, l’auditor suggerisce o segnala best practice, possibilmente collaudate in quanto attuate da altre banche (di simili caratteristiche). Viene esercitata forte pressione per la frequenza ai corsi sui controlli organizzati dalla Federazione

2. Va data grande importanza alle politiche (cfr. Basilea2): sono richieste (o suggerite) politiche per a) la gestione dei rischi operativi, b) politiche specifiche sui sistemi informativi.

3. La banca può svolgere consapevolmente controlli (preventivi, di rilevazione e correttivi) solo in seguito ad attività di individuazione di rischi e avendo portato a termine un processo che definisce la priorità tra i controlli. Questo principio, di origine COSO, vale sempre. L’audit IT verifica pertanto, preventivamente, la presenza di un processo di Risk Assessment.
Non sono valutati positivamente ai fini del “Sistema dei Controlli Interni” (SCI) controlli, pur efficaci, ma sparsi qua e là senza un organico processo di Risk Assessment periodicamente svolto. Il fatto che un rischio sia individualmente e isolatamente ben presidiato da un controllo, significa poco ai fini del SCI!

4. Dalle esperienze citate si è ricavato che le attività per la gestione delle risorse informatiche si inquadrano nei seguenti processi:

  • Risk Assessment
  • Gestione degli allineamenti
  • Gestione della Sicurezza
  • Gestione della Formazione
  • Gestione dell’infrastruttura locale
  • Monitoraggio

Questi processi sono stati riconosciuti come rilevanti e sostanzialmente esaustivi in gruppi di studio a cui hanno partecipato, in diversi tempi, e con diverse professionalità, oltre 20 banche (si intendono BCC rilevanti per dimensione, operatività, rischi ecc.). Trattasi di banche con un rilevante grado di qualità in materia di SCI.

A ben guardare, una BCC che dominasse i sei processi indicati è in grado di garantire efficacia, efficienza, sicurezza e conformità dei sistemi informativi, intesi come risorsa finalizzata ad incrementare la capacità di creare valore di ogni collaboratore.

5. Questo approccio si pone l’obiettivo di condurre le Banche alla mappatura dei processi indicati. Una mappatura di base può essere offerta come esempio e la Banca la può personalizzare in base alle sue dimensioni o esigenze.

6. La Banca decide quali controlli introdurre per ottenere assurance sull’efficacia e sull’efficienza dei processi. In altri termini definisce i controlli di linea nei processi e i controlli sul rischio sui medesimi. Tutto ciò lo deve fare la banca!

7. L’auditor, utilizzando il modello dei processi IT CobiT, verifica se i processi della Banca contengono adeguati controlli.

Il lavoro ha il pregio di:

  • indirizzare la banca correttamente rispetto a Basilea 2
  • realizzare elementi utili per i controlli di compliance
  • dare indicazioni alla direzione della banca sulla capacità della medesima di svolgere controlli e metodi per valutarla anche quando l’auditor non c’è
  • educare le banche al fatto che il SCI è un fatto di loro competenza (cfr. IIVV)
  • fare scuola su best practice
  • favorire, a tendere, la diminuzione del lavoro di Audit, a fronte di maggior competenza delle Banche nella realizzazione di un SCI di qualità crescente
  • creare procedure di controllo omogenee tra banche, favorendo quindi attività di controllo anche da remoto
  • essere considerevolmente stabile rispetto alle modifiche dei processi delle BCC

Di seguito vengono riepilogate, sinteticamente, le valutazioni effettuate e le decisioni assunte dal Gruppo di Lavoro finalizzato alla revisione della nuova check list “Sistemi Informativi” (ex “Processo I.T.”) relativamente alle verifiche da eseguire sulle attività di processo internamente alle banche, sulla base delle indicazioni formulate dalla Commissione Controlli Interni.

Nell’ambito della più generale revisione della struttura del processo con oggetto i “Sistemi Informativi”, la capacità delle banche di valorizzarli e di generare valore da un utilizzo ottimale degli stessi, il GdL ha completato l’integrale rivisitazione e impostazione delle attività di controllo e verifica nella relativa check list, con l’obiettivo di:

  • definire uno strumento maggiormente adeguato al risk assessment nelle banche, che promuova consapevolezza nella gestione dei rischi informativi all’interno delle stesse, nell’ottica di sensibilizzare una maggiore correlazione dell’IS governance con le strategie di business della banca;
  • migliorare l’articolazione e la descrizione dei “processi” (“fasi”) dei Sistemi, con identificazione di ruoli e responsabilità all’interno della banca ed individuazione dei principali obiettivi di controllo indicati dalle best practices internazionali (CobiT);
  • aumentare l’attenzione verso i principi generali e gli standard richiesti per un’adeguata gestione del Sistema Informativo, i connessi rischi operativi e la verifica dell’esistenza e del corretto funzionamento del S.C.I., anziché attuare un’analisi indirizzata principalmente ad aspetti di dettaglio che espone al rischio di non riuscire a presidiare tutte le eventuali criticità o possibili minacce riscontrabili su un Sistema Informativo non idoneo.

Nell’ambito del perimetro di riferimento, relativamente alla mappatura dei rischi e delle connesse verifiche di audit, il GdL ha condiviso che la disamina delle “politiche di autorizzazione dei profili abilitativi” esula dall’analisi più ampia dei Sistemi Informativi. Il nuovo elaborato non è dunque finalizzato ad assicurare il controllo di tali profili; il processo “Sistemi Informativi” prevede che siano messi a disposizione dei validi sistemi per applicare correttamente le autorizzazioni necessarie a ciascun profilo, ma non si occupa di quali autorizzazioni sono concesse se non di quelle direttamente correlate al processo stesso, come ad esempio gli accessi sistemistici. La corretta attribuzione dei profili autorizzativi e la correlata associazione delle transazioni consentite caso per caso (tipico controllo di line), dovrebbero essere verificate nell’audit del singolo processo operativo (Credito, Finanza, Incassi e pagamenti, ecc.), non nell’ambito dell’audit IS .

I “processi fondamentali”, individuati dal GdL ed oggetto della nuova check list, che dovrebbero essere governati dalla banca in modo da garantire efficacia, efficienza, sicurezza e conformità dei Sistemi Informativi, sono i seguenti:

  • Risk Management;
  • Gestione degli allineamenti;
  • Gestione errori, anomalie e miglioramenti (Service Desk);
  • Gestione della sicurezza;
  • Gestione della formazione;
  • Gestione dell’infrastruttura locale;
  • Monitoraggio.

La check list prodotta non ha più per oggetto l’EDP (Elettronic Data Processing) o l’IT (Information Technology) ma l’IS (Information System), i Sistemi Informativi, la capacità della banca di valorizzarli e di generare valore da un utilizzo ottimale degli stessi.

La check list quindi si rivolge alle BCC che hanno esternalizzato in outsourcing la gestione del CED per una attività di Audit che può essere di circa 5-10 giornate. Una attività di Audit rivolta alle banche con un CED interno è estremamente più complessa (potrebbe richiedere più di 30 giorni per banca) e non è stata presa in considerazione.

L’attività di Audit non avrà lo scopo di effettuare dei controlli in loco, ma quello di verificare l’esistenza ed il funzionamento di un sistema dei controlli interni della banca. In tal senso controlli loco potrebbero eventualmente essere effettuati a campione per tale verifica.

In base all’esperienza maturata da tutti i partecipanti al GDL è emerso che nella grande maggioranza dei casi, relativamente a questo processo, le BCC non sono auditabili.

Prima di poter procedere ad una attività di Audit le banche devono essere adeguatamente preparate ed il gruppo di lavoro ha sollecitato Federcasse per la costituzione di un “GDL Organizzazione Sistemi Informativi” a cui debbano partecipare gli addetti al Servizio Organizzazione delle Federazioni ed i referenti dei Centri Servizi per preparare le linee guida per inserire nei regolamenti interni delle banche i riferimenti a questi processi e per preparare le attività formative da rivolgere alle banche così che le stesse possano essere in grado attivare questi processi e/o gestirli al meglio.

Il lavoro prodotto da questo GDL potrà essere molto utile ed interessante per le BCC. In fin dei conti il processo di gestione della risorsa “sistema informativo” (che non vuol dire solo il programma gestionale) è trasversale ad ogni attività della banca, l’outsourcer informatico è il primo fornitore di una BCC, le spese per l’informatica sono tra le principali voci di costo di una BCC, sia come costi diretti, sia soprattutto come costi indiretti derivanti da un loro utilizzo non ottimale.