Piataforma per gestire i processi legati al governo dei sistemi di gestione. Ideale per la valutazione del rischio informatico e come strumento per la compliance
1. SOLUZIONI DI GOVERNACE, RISK
e COMPLIANCE
Una proposta semplice e concreta creata da
auditor operativi
Mercoledì 17 Giugno 2015
Dr. Luca Moroni – l.moroni@viavirtuosa.it
2. Dr. Luca Moroni – Certified Information System Auditor – l.moroni@viavirtuosa.it
Governance, risk & compliance … da wikipedia (1/2)
GRC is a discipline that aims to synchronize information and
activity across governance, risk management and compliance in
order to operate more efficiently, enable effective information
sharing, more effectively report activities and avoid wasteful
overlaps. Although interpreted differently in various
organizations, GRC typically encompasses activities such as
corporate governance, enterprise risk management (ERM) and
corporate compliance with applicable laws and regulations.
Organizations reach a size where coordinated control over GRC
activities is required to operate effectively. Each of these three
disciplines in an organization create information of value to the
other two and impacts the same technologies, people, processes
and information.
3. Dr. Luca Moroni – Certified Information System Auditor – l.moroni@viavirtuosa.it
Governance, risk & compliance … da wikipedia (2/”)
Substantial duplication of tasks evolve when governance, risk
management and compliance are managed independently from
each other. Overlapping and duplicated GRC activities
negatively impact both
(i) operational costs and
(ii) GRC metrics.
For example, each internal service might be audited and assessed
by multiple groups on an annual basis, creating enormous cost
and disconnected results.
4. Dr. Luca Moroni – Certified Information System Auditor – l.moroni@viavirtuosa.it
Duplicazione delle attività (1/2)
A quanti organismi/ funzioni diverse sono assegnate le attività
connesse ai seguenti adempimenti?
Certificazione di qualità;
Organismo di vigilanza ai fini D.Lgs. 231/2001;
Internal Audit;
Compliance;
Dirigente preposto (ex 262);
Organizzazione;
Delegato alla sicurezza;
...
Esiste uno strumento di coordinamento di tutti questi soggetti?
Esistono dei criteri di analisi condivisi?
Il reporting delle attività è discorsivo o numerico/quantitativo?
5. Dr. Luca Moroni – Certified Information System Auditor – l.moroni@viavirtuosa.it
Duplicazione delle attività (2/2)
Quanti soggetti/ funzioni diverse gestiscono le seguenti attività?
Mappatura dei processi aziendali;
Mappatura dei rischi;
Attività di verifica;
Gestione delle segnalazioni e azioni correttive;
Costruzioni di KPI dell'attività di verifica, dei rischi aziendali, delle
azioni correttive.
Esiste un repository unico di tutte queste attività? I relativi risultati
sono:
a) misurabili,
b) storicizzati,
c) rielaborabili?
6. Dr. Luca Moroni – Certified Information System Auditor – l.moroni@viavirtuosa.it
Governance, risk & compliance
7. Dr. Luca Moroni – Certified Information System Auditor – l.moroni@viavirtuosa.it
Efficiente gestione dei rischi
Classificazione dei rischi in termini di probabilità e di intensità
Valutazione complessiva dei rischi come valutazione complessivo
Gestione dei rischi
8. Dr. Luca Moroni – Certified Information System Auditor – l.moroni@viavirtuosa.it
Gestione follow-up ed esiti attività di verifica
9. Dr. Luca Moroni – Certified Information System Auditor – l.moroni@viavirtuosa.it
KPI ad “approfondimento successivo” (1/3)
10. Dr. Luca Moroni – Certified Information System Auditor – l.moroni@viavirtuosa.it
KPI ad “approfondimento successivo” (2/3)
11. Dr. Luca Moroni – Certified Information System Auditor – l.moroni@viavirtuosa.it
KPI ad “approfondimento successivo” (3/3)
12. Dr. Luca Moroni – Certified Information System Auditor – l.moroni@viavirtuosa.it