Coordinatori: Davide Bazzarello e Giampaolo Gabbi
*
Introduzione ai lavori.
La diffusione dei sistemi informatici in tutti i processi aziendali bancari, dalla produzione alla distribuzione dei servizi, impone da tempo la valutazione dei rischi operativi associati. Più recentemente, con il 15° aggiornamento della Circolare n. 263 pubblicata il 2 luglio 2013, si introducono disposizioni attinenti alla “information and communication technology”, ovvero le risorse tecnologiche – hardware, software, dati, documenti elettronici, reti telematiche – e alle risorse umane dedicate alla loro amministrazione, con implicazioni e responsabilità che coinvolgono diversi presidi di controllo interno, dall’organo con funzione di supervisione strategica alle funzioni aziendali di controllo cui è assegnata la funzione di controllo dei rischi (risk management function).
Quest’ultima deve garantire che l’organo con funzione di supervisione strategica e l’organo con funzione di gestione possano assumere le rispettive responsabilità in materia di governo e organizzazione del sistema informativo, in particolare l’approvazione delle strategie di sviluppo del sistema informativo, la policy di sicurezza informatica, lo sviluppo, la condivisione e l’aggiornamento di conoscenze in materia di ICT all’interno dell’azienda, il quadro di riferimento organizzativo e metodologico per l’analisi del rischio informatico, la propensione al rischio informatico, la data governance, nonché la valutazione del rischio delle componenti critiche nonché la relazione sull’adeguatezza e costi dei servizi ICT.
Il gruppo di lavoro AIFIRM si propone di elaborare e pubblicare un Position Paper volto a identificare le modalità di misurazione del rischio tecnologico nell’ambito dell’operational risk management, sia per banche con modelli interni validati (AMA), sia per banche con approcci base e standard.
In particolare, la finalità è evidenziare le migliori soluzioni, anche con un principio di proporzionalità, per la valutazione del rischio potenziale cui sono esposte le risorse informatiche esaminate, con riferimento alle iniziative di sviluppo di nuovi progetti e di modifica rilevante del sistema informativo.
Per ulteriori approfondimenti sull’argomento si faccia riferimento a: “Banca d’Italia. Nuove disposizioni di vigilanza prudenziale per le banche. Circolare n. 263 del 27 dicembre 2006 – 15° aggiornamento del 2 luglio 2013”.
Per informazioni, si prega di contattare la Segreteria.