Continuiamo la serie di approfondimenti sulle normative di riferimento per la compliance in ambito finance. Dopo l’analisi degli obblighi per le SGR prendiamo in considerazione le indicazioni della Banca d’Italia sulla “Continuità operativa in casi di emergenza” meglio nota come Business Continuity (BC).

Le norme

La Banca d’Italia con il “Bollettino di Vigilanza Numero 7 - Luglio 2004” (pdf, 165 K) ha sistematizzato i requisiti di conformità richiesti alle banche in tema di “continuità operativa”.
Le Istruzioni di Vigilanza in materia di controlli interni, Titolo IV, Cap. 11, richiedevano già agli intermediari finanziari di predisporre piani di emergenza dei sistemi informativi in grado di assicurare all'occorrenza la continuità delle operazioni vitali per l'azienda e il ritorno in tempi ragionevoli all'operatività normale.
Il bollettino del 2004 indica viceversa modalità e tempi per la predisposizione di un apposito piano comprendente la definizione delle responsabilità per la gestione delle emergenze.

I tempi

Le banche dovranno completare gli adempimenti previsti dalla nuova disciplina entro il 31 dicembre 2006.
Le banche appartenenti a gruppi bancari con attivo di bilancio superiore a 5 miliardi di euro erano già tenute inoltre a effettuare, entro il 30 giugno 2005, i seguenti interventi:

1. definire il progetto sulla continuità operativa e la relativa pianificazione;
2. adeguare il piano di disaster recovery dei sistemi informativi.

Il piano

Definizioni

• La gestione della continuità operativa comprende tutte le iniziative volte a ridurre a un livello ritenuto accettabile i danni conseguenti a incidenti e catastrofi che colpiscono direttamente o indirettamente un'azienda.
• Il piano di continuità operativa, nel seguito denominato anche piano di emergenza, è il documento che formalizza i principi, fissa gli obiettivi e descrive le procedure per la gestione della continuità operativa dei processi aziendali critici.
• Il piano di disaster recovery stabilisce le misure tecniche e organizzative per fronteggiare eventi che provochino la indisponibilità dei centri di elaborazione dati. Il piano, finalizzato a consentire il funzionamento delle procedure informatiche rilevanti in siti alternativi a quelli di produzione, costituisce parte integrante del piano di continuità operativa.

Correlazione ai rischi

L'analisi di impatto, preliminare alla stesura del piano di emergenza e periodicamente aggiornata, individua il livello di rischio relativo ai singoli processi aziendali e pone in evidenza le conseguenze della interruzione del servizio. I rischi residui, non gestiti dal piano, sono documentati ed esplicitamente accettati dalla banca. L'allocazione delle risorse e le priorità di intervento sono correlate al livello di rischio.
L'analisi di impatto prende in considerazione, oltre ai rischi operativi, anche gli altri rischi (ad es. di mercato e di liquidità).

Le verifiche

Le verifiche delle misure di emergenza sono correlate ai rischi (…).
Con frequenza almeno annuale viene svolta una verifica complessiva, il più possibile realistica, del ripristino della operatività in condizioni di emergenza, effettuando il controllo della funzionalità e delle prestazioni dei sistemi secondari e riscontrando la capacità dell'organizzazione di attuare nei tempi previsti le misure definite nel piano. (…)
I risultati delle verifiche sono documentati per iscritto, portati all'attenzione dell'alta direzione e inviati, per le parti di competenza, alle unità operative coinvolte e alla funzione di auditing. A fronte di carenze riscontrate nelle prove sono tempestivamente avviate le opportune azioni correttive.

Controlli interni

L'approccio alla continuità operativa e il piano di emergenza sono regolarmente controllati dalla funzione di revisione interna (internal auditing). Gli auditor prendono visione dei programmi di verifica, assistono alle prove e ne controllano i risultati, propongono modifiche al piano sulla base delle mancanze riscontrate.
Va considerata l'opportunità di sottoporre il piano di emergenza alla revisione da parte di competenti terze parti indipendenti.
La funzione di revisione interna è coinvolta nel controllo dei piani di emergenza degli outsourcer e dei fornitori critici; essa può decidere di fare affidamento sulle strutture di questi ultimi se ritenute professionali, indipendenti e trasparenti quanto ai risultati dei controlli. L'auditing esamina i contratti per accertare che il livello di tutela sia adeguato agli obiettivi e agli standard aziendali.

Check list per la conformità

1. Ambito del piano
• Il piano prende in considerazione sia incidenti settoriali che catastrofi estese?
• Il piano prende in considerazione i punti precedenti sia per l’azienda che per le controparti rilevanti (altre società del gruppo, principali fornitori, clientela primaria, specifici mercati finanziari, istituzioni di regolamento e compensazione)?
• La capogruppo si è assicurata che tutte le controllate siano dotati di piani di continuità operativa ed ha verificato la coerenza degli stessi con gli obiettivi strategici del gruppo in tema di contenimento dei rischi?
2. Scenari di rischio: il piano prende in considerazione almeno i seguenti scenari di crisi:
• Distruzione o inaccessibilità di strutture nelle quali sono allocate unità operative o apparecchiature critiche?
• Indisponibilità di personale essenziale per il funzionamento dell'azienda?
• Interruzione del funzionamento delle infrastrutture (tra cui energia elettrica, reti di telecomunicazione, reti interbancarie, mercati finanziari?
• Alterazione dei dati o indisponibilità dei sistemi a seguito di attacchi perpetrati dall'esterno attraverso reti telematiche?
• Danneggiamenti gravi provocati da dipendenti?
3. Analisi d’impatto: si è tenuto conto dei parametri caratteristici della struttura organizzativa e dell'operatività aziendale, tra cui:
• Le specificità – in termini di probabilità di catastrofe – connesse con la localizzazione dei siti rilevanti (ad es. sismicità dell'area, dissesto idrogeologico del territorio, vicinanza ad insediamenti industriali pericolosi, prossimità ad aeroporti o a istituzioni con alto valore simbolico)?
• I profili di concentrazione geografica (ad es. presenza di una pluralità di operatori nei centri storici di grandi città)?
• La complessità dell'attività tipica o prevalente e il grado di automazione raggiunto;
• Le dimensioni aziendali e l'articolazione territoriale dell'attività?
• Il livello di esternalizzazione di funzioni rilevanti (ad es. outsourcing del sistema informativo o del back-office)?
• L'assetto organizzativo in termini di accentramento o decentramento di processi critici?
• I vincoli derivanti da interdipendenze, anche tra e con fornitori, clienti, altri intermediari?
• Oltre ai rischi operativi sono stati presi in considerazione anche gli altri rischi (ad es. di mercato e di liquidità)?
4. Ruolo dei vertici aziendali
• Il consiglio di amministrazione ha stabilito gli obiettivi e le strategie di continuità del servizio? Ha assicurato le risorse umane, tecnologiche e finanziarie adeguate per il conseguimento degli obiettivi fissati? Ha approvato il piano? Vene informato, con frequenza almeno annuale, sulla adeguatezza dello stesso?
• L'alta direzione ha nominato il responsabile del piano di emergenza? Ha promosso  il controllo periodico del piano e l'aggiornamento dello stesso a fronte di rilevanti innovazioni organizzative, tecnologiche e infrastrutturali nonché nel caso di lacune o carenze riscontrate ovvero di nuovi rischi sopravvenuti? Ha approvato il piano annuale delle verifiche delle misure di continuità ed esaminato i risultati delle prove?
• L'attività svolta e le decisioni assunte sono state adeguatamente documentate?
5. Processi critici;
• Per ciascun processo critico sono stati individuati il responsabile, le procedure informatiche di supporto, il personale addetto, le strutture logistiche interessate, le infrastrutture tecnologiche e di comunicazione utilizzate?
• Il responsabile del processo ha individua il tempo massimo accettabile di interruzione del servizio ed ha collaborato attivamente alla realizzazione delle misure di continuità in accordo con gli indirizzi strategici e con le regole stabilite nel piano?
6. La responsabilità del piano
• La responsabilità dello sviluppo, della manutenzione e delle verifiche del piano di emergenza è stata affidata dall'alta direzione a un esponente aziendale con posizione gerarchico – funzionale adeguata?
• Il piano ha attribuito l'autorità di dichiarare lo stato di emergenza e stabilito la catena di comando incaricata di gestire l'azienda in circostanze eccezionali?
• Sono stati esplicitamente individuati i membri della struttura preposta alla gestione della crisi (ad es. comitato di crisi), il responsabile della stessa struttura, le modalità interne di comunicazione e le responsabilità attribuite alle funzioni aziendali interessate?
• Le unità operative coinvolte nei processi critici hanno individuato i responsabili di settore del piano di emergenza?
• Prima della attivazione di nuovi sistemi o processi operativi, i responsabili di settore definiscono le opportune modifiche del piano?
7. Contenuto del piano
• Il piano di continuità documenta le modalità per la dichiarazione dello stato di emergenza, l'organizzazione e le procedure da seguire in situazione di crisi, l'iter per la ripresa della normale operatività?
• Il piano stabilisce il tempo massimo accettabile di ripartenza di sistemi e processi critici?
• Il piano individua i siti alternativi, prevede spazi e infrastrutture logistiche e di comunicazione adeguate per il personale coinvolto nell'emergenza, stabilisce le regole di conservazione delle copie dei documenti importanti (ad es. contratti) in luoghi remoti rispetto ai documenti originali?
• Con riferimento ai sistemi informativi centrali e periferici, il piano fornisce indicazioni su modalità e frequenza di generazione delle copie degli archivi di produzione e sulle procedure per il ripristino presso i sistemi secondari?
• La frequenza dei back-up è correlata al volume di operatività dell'intermediario?
• Gli archivi di produzione sono duplicati almeno giornalmente?
• Sono assunte cautele per il tempestivo trasporto e la conservazione delle copie elettroniche in siti ad elevata sicurezza fisica posti in luoghi remoti rispetto ai sistemi di produzione?
• Il piano definisce le modalità di comunicazione con la clientela, le controparti rilevanti e i media?
• Gli intermediari che ricorrono a terzi per i servizi di continuità operativa hanno definito con i fornitori livelli di servizio adeguati al conseguimento degli obiettivi aziendali? Nel caso in cui il fornitore abbia impegnato le stesse risorse per fornire analoghi servizi ad altre aziende, in particolare se situate nella stessa zona, sono state stabilite cautele contrattuali per evitare il rischio che, in caso di esigenze concomitanti di altre organizzazioni, le prestazioni degenerino o il servizio si renda di fatto indisponibile?
• Il contratto stipulato con il fornitore consente all'intermediario di utilizzare il sito secondario per periodi prolungati, fino al pieno ripristino del sito primario?
8. Le verifiche
• Le verifiche delle misure di emergenza sono state correlate ai rischi?
• Con frequenza almeno annuale viene svolta una verifica complessiva, il più possibile realistica, del ripristino della operatività in condizioni di emergenza, effettuando il controllo della funzionalità e delle prestazioni dei sistemi secondari e riscontrando la capacità dell'organizzazione di attuare nei tempi previsti le misure definite nel piano?
• Le verifiche annuali dei sistemi informativi hanno previsto devono prevedere l’attivazione dei collegamenti di rete presso il sito secondario, l'operatività on-line di almeno una succursale e l'esecuzione delle procedure batch?
• I risultati delle verifiche sono stati documentati per iscritto, portati all'attenzione dell'alta direzione ed inviati, per le parti di competenza, alle unità operative coinvolte e alla funzione di auditing?
9. Le risorse umane
• Il piano ha individua il personale essenziale per assicurare la continuità dei processi critici e fornito allo stesso indicazioni sulle località da raggiungere e sulle attività da porre in essere in caso di emergenza?
• Le procedure di emergenza sono chiare e dettagliate, in modo da poter essere eseguite anche da risorse non esperte?
• Il personale coinvolto nel piano è addestrato sulle misure di emergenza, dispone della lista di contatto e della documentazione necessaria per operare in situazione di crisi, ha dimestichezza con i siti secondari e con le apparecchiature in essi contenute, partecipa alle sessioni di verifica delle misure di emergenza?
• È stata valutata l'opportunità di frazionare l'attività connessa con i processi critici in più siti ovvero di organizzare il lavoro del personale su turni?
10. Esternalizzazione di attività critiche
• Sono valutati i piani di continuità dei soggetti terzi a cui sono affidati processi critici (ad es. outsourcing dei sistemi informativi o del back-office)?
• I contratti di outsourcing definiscono i livelli di servizio assicurati in caso di emergenza ed individuano soluzioni di continuità compatibili con le esigenze aziendali e coerenti con le prescrizioni della Vigilanza?
• Sono stabilite le modalità di partecipazione, diretta o per il tramite di comitati utente, alle verifiche dei piani di emergenza dei fornitori?
• La banca ha acquisito i piani di emergenza degli outsourcer ovvero dispone di informazioni adeguate, al fine di valutare la qualità delle misure previste e di integrarle con le soluzioni di continuità realizzate all'interno?
11. Infrastrutture e controparti rilevanti
• Il piano di continuità considera l'eventualità che le principali infrastrutture tecnologiche e finanziarie e le controparti rilevanti siano colpiti da un evento calamitoso e stabilisce le misure per gestire i problemi conseguenti?
• La capacità di comunicare con i siti secondari di tali soggetti è verificata periodicamente?
12. Controlli interni
• L'approccio alla continuità operativa e il piano di emergenza sono regolarmente controllati dalla funzione di revisione interna (internal auditing)?
• Gli auditor hanno preso visione dei programmi di verifica, hanno assistito alle prove e ne hanno controllano i risultati, proponendo modifiche al piano sulla base delle mancanze eventualmente riscontrate?
• È stata considerata l'opportunità di sottoporre il piano di emergenza alla revisione da parte di competenti terze parti indipendenti?
13. Comunicazioni alla Banca d’Italia
• È stato predisposta la procedura organizzativa perché, in caso di incidente grave che comprometta il normale funzionamento della banca, l'intermediario sia in grado di informare tempestivamente la Banca d'Italia fornendo valutazioni circa l'impatto dell'evento sulla operatività delle strutture centrali e periferiche e sui rapporti con la clientela e le controparti?

Chi è Cristina Cellucci?

Cristina  è Internal Audit presso un primario gruppo bancario nazionale.

IsacaRoma Neswletter link

• Compliance: gli obblighi per le SGR
• Sicurezza e Compliance – l’analisi dei rischi 
• Sicurezza e Compliance – prima parte: il quadro di riferimento
• Compliance: primo schema di Istruzioni di vigilanza di Banca d’Italia
  
• Incontro sulla Compliance – resoconto (prima parte) 
• Sicurezza e Compliance: quando il gioco si fa duro 
• Incontro sulla Compliance 
• KPMG: nuove sfide per la sicurezza delle informazioni