COBIT: "Obiettivi di controllo IT per Basilea II" disponibile la traduzione in italiano, liberamente scaricabile

Ho tradotto in italiano "IT Control Objectives for Basel II: The Importance of Governance and Risk Management for Compliance" di ISACA con il patrocinio di ISACA Roma.
"Obiettivi di controllo IT per Basilea II - L’importanza della Governance e del Risk Management per la Compliance" è liberamente scaricabile dal sito di ISACA Roma  in formato pdf ; la versione word della traduzione (disponibile per gli associati ISACA o per chi ne avesse bisogno per finalità di studio, di ricerca o accademiche) può essere richiesta al sottoscritto (nome.cognome chiocciola gmail.com).
Ecco i link:

  • "Obiettivi di controllo IT per Basilea II - L’importanza della Governance e del Risk Management per la Compliance" versione in italiano (pdf, 727 K, 98 pp.)
  • "IT Control Objectives for Basel II: The Importance of Governance and Risk Management for Compliance" versione originale in lingua inglese (pdf dal sito di ISACA International, solo per gli associati)

Ricordo, per chi fosse interessato, che nel 2008 ho anche tradotto “Obiettivi di controllo IT per la Sarbanes-Oxley” sempre di ISACA (liberamente scaricabile da qui, in pdf, 904 K, 120 pp ).
Di seguito l’ Executive Summary e l’indice di "Cobit per Basilea II".

Obiettivi di controllo IT per Basilea II - L’importanza della Governance e del Risk Management per la Compliance  - Executive Summary

Obiettivi

La presente pubblicazione "Obiettivi di controllo IT per Basilea II" fornisce un framework completo e coerente per la gestione dei rischi informativi (information risk) nel contesto di Basilea II.
Il documento è indirizzato a due diversi target:

  1. i professionisti IT;
  2. gli esperti di servizi finanziari.

Adottando il framework presentato in questa pubblicazione, gli intermediari finanziari possono utilizzare con successo i processi e controlli noti e condivisi nella comunità dell’Information Technology: gli obiettivi di controllo IT ed i processi di management presi in considerazione riguardano infatti il ruolo dell’IT nella gestione dei rischi operativi e le relative attività che devono intraprendere i professionisti IT, gli internal auditor IT, gli IT risk manager e gli information security officer.
Il presente capitolo presenta una sintesi del concetto di rischio così come è inteso in Basilea II e illustra le relazioni fra i rischi operativi ed i rischi informativi nonché l’approccio per la gestione dell’information risk.

Come leggere questo documento

La Corporate governance, il Risk management e la regulatory Compliance (GRC) sono ormai tra le principali priorità per il business in quanto esso è sempre più influenzato dalle richieste degli stakeholder, dalle valutazioni dei mercati, dalle aspettative di performance. La necessità di una migliore corporate governance è sempre più diffusa. Quando si parla di governance ci si riferisce alla gestione di criticità quali flussi informativi incompleti, comunicazioni non efficienti e incomplete, mancata comprensione dei rischi così come indicato chiaramente nei principi definiti dall’ITGI.
Il capitolo 2 introduce i concetti fondamentali: Corporate governance, Risk management, Compliance.
La crescente quantità di attività specifiche in ambito regolatorio in aggiunta al livello sempre maggiore di informazioni richieste sono una chiara evidenza del fatto che la governance, il risk management e la compliance sono ormai aree primarie di attenzione per quel che riguarda i regulator dei servizi finanziari e bancari.
Negli ultimi anni c’è stato infatti un rapido aumento dei requisiti in ambito GRC. Norme e regolamenti relativi a tali aree si sono evoluti in framework dettagliati che riguardano molti aspetti sia dell’ambito bancario sia dell’ambito tecnologico. Negli ultimi anni, norme e leggi nazionali ed internazionali si sono indirizzate, in modo crescente, su temi quali l’Information Management, l’Information Technology e le varie discipline specialistiche che esse comprendono.
Il capitolo 3 illustra le componenti rilevanti, in ambito normativo, per i servizi finanziari e l’IT. Nel 2004, il comitato di Basilea per la vigilanza bancaria ha reso pubblico il secondo framework relativo alla adeguatezza patrimoniale che introduce un nuovo approccio al rischio nelle istituzioni finanziarie. L’obiettivo di Basilea II è di rafforzare le practice di gestione del rischio di credito e del rischio operativo e di fissare un legame tra la valutazione del rischio ed i coefficienti patrimoniali. Le nuove norme forniscono un incentivo alle istituzioni finanziarie in quanto il miglioramento della qualità della gestione del rischio e dei relativi sistemi di controllo permettono di ridurre il capitale da accantonare per la copertura di tali rischi.
In ultima istanza gli intermediari finanziari possono acquisire un vantaggio competitivo se dimostrano di avere un forte framework GRC; per ogni azienda infatti l’esposizione al rischio complessivo determina il coefficiente patrimoniale richiesto e dunque le iniziative GRC diventano un fattore importante per ridurre tale coefficiente.
Il capitolo 4 descrive il nuovo approccio al risk management così come è definito nel framework di Basilea II. I rischi operativi sono considerati come un’autonoma ed importante categoria di rischio, come è testimoniato, negli ultimi dieci anni, da un gran numero di incidenti e crisi imputabili ad essi. Il rischio operativo si riferisce alle operazioni bancarie ed alla conduzione ordinaria del business, area spesso più ampia ed articolata di quelle a cui si riferiscono altre categorie di rischio come quello relativo al tasso di interesse. Per tale motivo identificare e misurare i rischi operativi si è dimostrato un compito assai impegnativo per le banche e le istituzioni finanziarie.
In generale l’Information Technology e l’Information Management sono elementi chiave per una strategia completa di gestione del GRC e per l’ottimizzazione dei coefficienti patrimoniali. Le componenti correlate all’IT come le applicazioni software, gli elementi infrastrutturali ed i controlli fanno tutti parte dei rischi operativi.
Il capitolo 5 fornisce una overview dei rischi operativi e della rilevanza che assume, a riguardo, l’information risk. Il capitolo inoltre mappa i principi di Basilea per i rischi operativi rispetti ai rischi classici dell’Information Technology.
Al fine di indirizzare in maniera adeguata i rischi relativi alle informazioni occorre adottare un approccio business-driven. I processi di business devono guidare la definizione dei controlli e delle metriche mentre il set dei controlli relativi all’IT sono completati da un insieme di indicatori per misurare la compliance e la maturità. Quando un rischio di tipo informativo ha un impatto sul processo di business, i passi necessari per ridurre e mitigare il rischio devono essere parte integrante del framework GRC dell’organizzazione.
Il capitolo 6 fornisce un ponte tra Basilea II e rischi di tipo informativo definendo un insieme di dieci principi guida per l’information risk management. Questi principi guida corrispondono ai principi del risk management “operativo” come tracciati nei documenti di Basilea.
Gestire gli information risk nel contesto di Basilea richiede l’adeguamento dei noti processi IT, dei controlli e delle relative attività. Queste regole di base per la gestione dei rischi IT sono descritte nel capitolo 7.
Il corporate GRC framework di solito consiste di diverse componenti ciascuna delle quali gestisce differenti parti ed obiettivi dell’organizzazione. Per i rischi legati alle informazioni, il framework COBIT rappresenta un insieme già ottimizzato di processi e tool che supportano l’intero framework GRC; inoltre COBIT già prevede i collegamenti e la mappatura fra i suoi contenuti ed i più importanti framework per la compliance e la governance.
Basilea II richiede un approccio business-driven al risk management.
Per utilizzare COBIT come modello di supporto per il GRC, l’insieme dei controlli IT deve essere messo in relazione ai rischi IT; i rischi IT sono un sottoinsieme dei rischi business-driven che sono individuabili nei processi di business.
Il capitolo 8 illustra la sequenza logica dalla vista dei processi di business agli information risk ed ai controlli IT. Il capitolo spiega, passo per passo, come i professionisti IT ed i risk manager devono utilizzare COBIT per gestire i rischi di Basilea.
La gestione del rischio comprende l’uso di indicatori per denotare gli obiettivi, le performance ed il livello del rischio.
Il capitolo 9 introduce il concetto dei COBIT Key Risk Indicator (KRI) ed il loro uso per Basilea II.
Ogni KRI supporta il processo continuo del risk assessment e risk management al fine di ottenere i miglioramenti nell’insieme dei rischi operativi. Il capitolo descrive i tipi di indicatori, la loro importanza all’interno del processo complessivo di risk management e la definizione dei KRI adatti per un framework completo e coerente di information risk management.

Indice di "Obiettivi di controllo IT per Basilea II - L’importanza della Governance e del Risk Management per la Compliance" 

  • PREFAZIONE ALL’EDIZIONE ITALIANA
  • RINGRAZIAMENTI
  • INDICE
  • PREFAZIONE
  • 1.EXECUTIVE SUMMARY
  • OBIETTIVI
  • COME LEGGERE QUESTO DOCUMENTO
  • 2.GOVERNANCE, RISK MANAGEMENT E COMPLIANCE: LE PRINCIPALI PRIORITÀ DI BUSINESS
  • 3.L’EVOLUZIONE DEL CONTESTO REGOLATORIO
  • 4.L’APPROCCIO DI BASILEA II ALLA GESTIONE DEI RISCHI
  • 5.LA NECESSITÀ DI GESTIRE I RISCHI OPERATIVI
  • GLI APPROCCI DI RISK MANAGEMENT
  • FRAMEWORK PER IL RISK MANAGEMENT OPERATIVO
  • Risk Strategy
  • Struttura organizzativa
  • Reporting
  • Definizioni, collegamenti e strutture
  • Dati sulle perdite
  • Risk Assessment
  • Key Risk Indicator
  • Mitigazione
  • Capital Modeling
  • Information Technology
  • LE COMPONENTI DI COSO
  • I PRINCIPI DEL RISCHIO OPERATIVO E DELLA IT RELEVANCE
  • 6.GESTIRE I RISCHI INFORMATICI
  • PRINCIPI GUIDA PER L’IT
  • CAUSE DI PERDITA E IT RISK
  • ANALISI DI SCENARIO PER GLI IT RISK
  • 7.PROCESSI DI BUSINESS PER GLI IT RISK ED I CONTROLLI IT: APPLICARE IL COBIT FRAMEWORK
  • USO DELLA DOCUMENTAZIONE ESISTENTE
  • L’APPROCCIO “BUSINESS LINE” IN BASILEA II
  • DEFINIRE I RISCHI IT
  • DEFINIRE I CONTROLLI IT
  • 8.USO DEI “KEY IT RISK INDICATOR”
  • APPENDICE I – SINTESI DI BASILEA II
  • APPENDICE II – COMPARAZIONE DI ALTO LIVELLO TRA COSO ERM E BASILEA II
  • APPENDICE III – COMPARAZIONE DI ALTO LIVELLO TRA IL PRINCIPIO 1 DI BASILEA II: IL SECONDO PILASTRO - SUPERVISORY REVIEW PROCESS (GIUGNO 2006) E COSO ERM - INTEGRATED FRAMEWORK (SETTEMBRE 2004)
  • APPENDICE IV- LA DIPENDENZA DEL COSO ERM FRAMEWORK DALLA “DATA QUALITY”
  • APPENDICE V – BASILEA II E COBIT
  • APPENDICE VI – I PROCESSI COBIT
  • APPENDICE VII- ABC BANK: UN ESEMPIO CONCRETO
  • APPENDICE VIII – REFERENZE

  Altre traduzioni di Agatino Grillo

AG-Vocabolario: