COBIT per Basilea II - Executive Summary
Inserito da Redazione il Sab, 2007-05-19 11:26
CobiT | Compliance | Maggio 2007 | Rischi
070518-cobit-basileaii-executive
Pubblichiamo la traduzione in italiano dell' Executive
Summary del
documento "IT Control Objectives for Basel II: The Importance of
Governance and Risk Management for Compliance" (pdf,
1.4 M). Precedentemente sono stai pubblicati: l’indice
(insieme ad una breve introduzione) e la prefazione.
Il presente capitolo presenta una sintesi del rischio così come è inteso in Basilea II e mostra le relazioni fra i rischi operativi ed i rischi IT nonché l’approccio per la gestione dell’information risk.
La crescente quantità di attività specifiche in ambito regolatorio in aggiunta al livello sempre maggiore di informazioni richieste sono una chiara evidenza del fatto che la governance, il risk management e la compliance sono ormai aree primarie di attenzione per quel che riguarda i regulator dei servizi finanziari e bancari. Negli ultimi anni c’è stata un rapido aumento dei requisiti in ambito GRC. Norme e regolamenti relativi a tali aree si sono evoluti in framework dettagliati che riguardano molti aspetti sia in ambito bancario sia in ambito tecnologico. Negli ultimi anni, norme e leggi nazionali ed internazionali si sono indirizzate, in modo crescente, su temi quali l’information management, l’Information Technology e le varie discipline specialistiche che esse comprendono. Il capitolo 3 illustra le componenti rilevanti in ambito normativo per i servizi finanziari e l’IT. Nel 2004, il comitato di Basilea per la vigilanza bancaria ha reso pubblico il secondo framework relativo alla adeguatezza patrimoniale che introduce un nuovo approccio al rischio nelle istituzioni finanziarie. L’obiettivo di Basilea II è di rinforzare le practice di gestione del rischio di credito e del rischio operativo e di rafforzare il legame tra la valutazione del rischio e i coefficienti patrimoniali. Le nuove norme forniscono un incentivo alle istituzioni finanziarie in quanto il miglioramento della qualità della gestione del rischio e dei relativi sistemi permette di ridurre il capitale da accantonare per la copertura di tali rischi. Ciò in ultima istanza permette dunque di acquisire un vantaggio competitivo alle società di servizi finanziari che possono dimostrare di avere un forte framework GRC. Per ogni azienda l’esposizione al rischio complessivo determinerà il coefficiente patrimoniale richiesto e dunque le iniziative GRC sono un importante fattore per ridurre tale coefficiente. Il capitolo 4 descrive il nuovo approccio al risk management così come è definito nel framework di Basilea II. I rischi operativi sono considerati come una autonoma ed importante categoria di rischio, come è testimoniato, negli ultimi dieci anni, da un gran numero di incidenti e crisi imputabili ad essi. Il rischio operativo si riferisce alle operazioni bancarie ed alla conduzione ordinaria del business, aree spesso più ampie ed articolate di quelle a cui si riferiscono altre categorie di rischio come quello del tasso di interesse. Per tale motivo identificare e misurare i rischi operativi si è dimostrato un compito assai impegnativo per le banche e le istituzioni finanziarie. L’Information Technology e l’information management sono elementi chiave per una strategia completa di gestione del GRC e, quindi, di ottimizzazione dei coefficienti patrimoniali. Le componenti correlate all’IT come le applicazioni software, gli elementi infrastrutturali ed i controlli fanno tutti parte dei rischi operativi. Il capitolo 5 fornisce una overview dei rischi operativi e della rilevanza che assume, a riguardo, l’information risk. Il capitolo inoltre mappa i principi di Basilea per i rischi operativi rispetti ai rischi classici dell’Information Technology.
Al fine di indirizzare in maniera adeguata i rischi relativi alle informazioni occorre adottare un approccio business-driven. I processi di business devono guidare la definizione dei controlli e delle metriche mentre il set dei controlli relativi all’IT sono completati da un insieme di indicatori per misurare la compliance e la maturità. Quando un rischio di tipo informativo ha un impatto sul processo di business, i passi necessari per ridurre e mitigare il rischio devono essere parte integrante del framework GRC dell’organizzazione. Il capitolo 6 fornisce un ponte tra Basilea II e rischi di tipo informativo definendo un insieme di dieci principi guida per l’information risk management. Questi principi guida corrispondono ai principi del risk management "operativo" come tracciati nei documenti di Basilea.
Gestire gli information risk nel contesto di Basilea richiede l’adeguamento dei ben noti processi IT, dei controlli e delle relative attività. Queste regole di base per la gestione dei rischi IT sono descritte nel capitolo 7. Il corporate GRC framework di solito consiste di diverse componenti ciascuna delle quali gestisce differenti parti ed obiettivi dell’organizzazione. Per i rischi legati alle informazioni, il framework COBIT rappresenta un insieme già ottimizzato di processi e tool che supportano l’intero framework GRC; inoltre COBIT già prevede i collegamenti e la mappatura fra i suoi contenuti ed i più importanti framework per la compliance e la governance.
Basilea II richiede un approccio business-driven al risk management. Per utilizzare COBIT come modello di supporto per il GRC, l’insieme dei controlli IT deve essere messo in relazione ai rischi IT. I rischi IT sono un sottoinsieme dei rischi business-driven che sono individuabili nei processi di business. Il capitolo 8 illustra la sequenza logica dalla vista dei processi di business agli information risk ed ai controlli IT. Il capitolo spiega, passo per passo, come i professionisti IT ed i risk manager devono utilizzare COBIT per gestire i rischi di Basilea.
La gestione del rischio comprende l’uso di indicatori per denotare gli obiettivi (goal), le performance ed il livello del rischio.
Il capitolo 9 introduce il concetto dei COBIT key risk indicator (KRI) ed il loro uso per Basilea II.
Ogni KRI supporta il processo continuo del risk assessment e risk management al fine di ottenere i miglioramenti nell’insieme dei rischi operativi. Il capitolo descrive i tipi di indicatori, la loro importanza all’interno del processo complessivo di risk management e la definizione di dei KRI adatti per un framework completo e coerente di information risk management framework.
Executive Summary
Obiettivi
"IT Control Objectives for Basel II" presenta un framework completo e coerente per la gestione dell’information risk nel contesto di Basilea II. Il documento è indirizzato a due diversi target: i professionisti IT e gli esperti di servizi finanziari. Applicando il framework presentato in questa pubblicazione, le istituzioni finanziarie saranno in grado di adottare con successo i processi e controlli noti e condivisi nella comunità dell’Information Technology: gli obiettivi di controllo IT ed i processi di management presi in considerazione riguardano infatti il ruolo dell’Information Technology nella gestione dei rischi operativi e nelle relative attività che devono intraprendere i professionisti IT, gli internal auditor IT, gli IT risk manager e gli information security officer.Il presente capitolo presenta una sintesi del rischio così come è inteso in Basilea II e mostra le relazioni fra i rischi operativi ed i rischi IT nonché l’approccio per la gestione dell’information risk.
Come leggere questo documento
La corporate governance, il risk management e la regulatory compliance (GRC) sono ormai tra le principali priorità per il business. Oggi il business è sempre più influenzato dalle richieste degli stakeholder, dalle valutazioni dei mercati, dalle aspettative di performance. La necessità di una migliore corporate governance è sempre più diffusa. Quando si parla di buona governance ci si riferisce alla risoluzione di criticità quali flussi informativi non sufficienti, comunicazioni non efficienti e complete, mancata comprensione dei rischi così indicato chiaramente nei principi definiti dall’ITGI. Il capitolo 2 introduce i concetti fondamentali: corporate governance, risk management, compliance.La crescente quantità di attività specifiche in ambito regolatorio in aggiunta al livello sempre maggiore di informazioni richieste sono una chiara evidenza del fatto che la governance, il risk management e la compliance sono ormai aree primarie di attenzione per quel che riguarda i regulator dei servizi finanziari e bancari. Negli ultimi anni c’è stata un rapido aumento dei requisiti in ambito GRC. Norme e regolamenti relativi a tali aree si sono evoluti in framework dettagliati che riguardano molti aspetti sia in ambito bancario sia in ambito tecnologico. Negli ultimi anni, norme e leggi nazionali ed internazionali si sono indirizzate, in modo crescente, su temi quali l’information management, l’Information Technology e le varie discipline specialistiche che esse comprendono. Il capitolo 3 illustra le componenti rilevanti in ambito normativo per i servizi finanziari e l’IT. Nel 2004, il comitato di Basilea per la vigilanza bancaria ha reso pubblico il secondo framework relativo alla adeguatezza patrimoniale che introduce un nuovo approccio al rischio nelle istituzioni finanziarie. L’obiettivo di Basilea II è di rinforzare le practice di gestione del rischio di credito e del rischio operativo e di rafforzare il legame tra la valutazione del rischio e i coefficienti patrimoniali. Le nuove norme forniscono un incentivo alle istituzioni finanziarie in quanto il miglioramento della qualità della gestione del rischio e dei relativi sistemi permette di ridurre il capitale da accantonare per la copertura di tali rischi. Ciò in ultima istanza permette dunque di acquisire un vantaggio competitivo alle società di servizi finanziari che possono dimostrare di avere un forte framework GRC. Per ogni azienda l’esposizione al rischio complessivo determinerà il coefficiente patrimoniale richiesto e dunque le iniziative GRC sono un importante fattore per ridurre tale coefficiente. Il capitolo 4 descrive il nuovo approccio al risk management così come è definito nel framework di Basilea II. I rischi operativi sono considerati come una autonoma ed importante categoria di rischio, come è testimoniato, negli ultimi dieci anni, da un gran numero di incidenti e crisi imputabili ad essi. Il rischio operativo si riferisce alle operazioni bancarie ed alla conduzione ordinaria del business, aree spesso più ampie ed articolate di quelle a cui si riferiscono altre categorie di rischio come quello del tasso di interesse. Per tale motivo identificare e misurare i rischi operativi si è dimostrato un compito assai impegnativo per le banche e le istituzioni finanziarie. L’Information Technology e l’information management sono elementi chiave per una strategia completa di gestione del GRC e, quindi, di ottimizzazione dei coefficienti patrimoniali. Le componenti correlate all’IT come le applicazioni software, gli elementi infrastrutturali ed i controlli fanno tutti parte dei rischi operativi. Il capitolo 5 fornisce una overview dei rischi operativi e della rilevanza che assume, a riguardo, l’information risk. Il capitolo inoltre mappa i principi di Basilea per i rischi operativi rispetti ai rischi classici dell’Information Technology.
Al fine di indirizzare in maniera adeguata i rischi relativi alle informazioni occorre adottare un approccio business-driven. I processi di business devono guidare la definizione dei controlli e delle metriche mentre il set dei controlli relativi all’IT sono completati da un insieme di indicatori per misurare la compliance e la maturità. Quando un rischio di tipo informativo ha un impatto sul processo di business, i passi necessari per ridurre e mitigare il rischio devono essere parte integrante del framework GRC dell’organizzazione. Il capitolo 6 fornisce un ponte tra Basilea II e rischi di tipo informativo definendo un insieme di dieci principi guida per l’information risk management. Questi principi guida corrispondono ai principi del risk management "operativo" come tracciati nei documenti di Basilea.
Gestire gli information risk nel contesto di Basilea richiede l’adeguamento dei ben noti processi IT, dei controlli e delle relative attività. Queste regole di base per la gestione dei rischi IT sono descritte nel capitolo 7. Il corporate GRC framework di solito consiste di diverse componenti ciascuna delle quali gestisce differenti parti ed obiettivi dell’organizzazione. Per i rischi legati alle informazioni, il framework COBIT rappresenta un insieme già ottimizzato di processi e tool che supportano l’intero framework GRC; inoltre COBIT già prevede i collegamenti e la mappatura fra i suoi contenuti ed i più importanti framework per la compliance e la governance.
Basilea II richiede un approccio business-driven al risk management. Per utilizzare COBIT come modello di supporto per il GRC, l’insieme dei controlli IT deve essere messo in relazione ai rischi IT. I rischi IT sono un sottoinsieme dei rischi business-driven che sono individuabili nei processi di business. Il capitolo 8 illustra la sequenza logica dalla vista dei processi di business agli information risk ed ai controlli IT. Il capitolo spiega, passo per passo, come i professionisti IT ed i risk manager devono utilizzare COBIT per gestire i rischi di Basilea.
La gestione del rischio comprende l’uso di indicatori per denotare gli obiettivi (goal), le performance ed il livello del rischio.
Il capitolo 9 introduce il concetto dei COBIT key risk indicator (KRI) ed il loro uso per Basilea II.
Ogni KRI supporta il processo continuo del risk assessment e risk management al fine di ottenere i miglioramenti nell’insieme dei rischi operativi. Il capitolo descrive i tipi di indicatori, la loro importanza all’interno del processo complessivo di risk management e la definizione di dei KRI adatti per un framework completo e coerente di information risk management framework.
IsacaRoma Newsletter link
- Ultimi articoli su COBIT:
- Tutti gli articoli su COBIT
» email this story | printer friendly version | 9602 reads
