Ambito di gestione del Piano di Continuità Operativa

3 RUOLI E RESPONSABILITÀ

3.1 Ambito di gestione del Piano di Continuità Operativa

3.1.1 Organi Societari

I compiti e le responsabilità in tema di modello di Business Continuity Management sono rimessi agli Organi Societari secondo quanto previsto in linea generale dalle “Disposizioni di vigilanza per le banche” – Circolare n. 285/2013 di Banca d’Italia.

Le competenze degli Organi Societari sono descritte nello Statuto, nei relativi Regolamenti che ne disciplinano il funzionamento e nel “Regolamento del Sistema dei Controlli Interni Integrato”. Nel fare rinvio a tali documenti, nel seguito sono riportati i soli compiti degli Organi strettamente afferenti all’oggetto delle presenti Linee Guida.

3.1.1.1 Consiglio di Amministrazione

Con riferimento più specificatamente al modello di Business Continuity Management, il Consiglio di Amministrazione, con il supporto del Comitato Rischi:

- stabilisce gli obiettivi e le strategie di continuità operativa;

- assicura risorse umane tecnologiche e finanziarie adeguate per il conseguimento degli obiettivi fissati;

- approva il Piano di Continuità Operativa di Gruppo e le successive modifiche a seguito di adeguamenti tecnologici ed organizzativi, accettando i rischi residui non gestiti dal Piano;

- è informato, con frequenza almeno annuale, sugli esiti dei controlli sull’adeguatezza del Piano nonché delle verifiche delle misure di continuità operativa;

- è informato e prende atto del piano annuale delle verifiche delle misure di continuità operativa programmate;

- nomina il Responsabile del Piano di Continuità Operativa di Gruppo.

9 3.1.1.2 Comitato Rischi

Con riferimento più specificatamente al modello di Business Continuity Management, il Comitato Rischi supporta il Consiglio di Amministrazione nell’ esercizio delle funzioni indicate al paragrafo 3.1.1.1 con poteri istruttori e consultivi; in tale prospettiva le materie indicate al paragrafo 3.1.1.1 sono preventivamente sottoposte all’attenzione del Comitato Rischi.

3.1.1.3 Comitato per il Controllo sulla Gestione

Con riferimento al modello di Business Continuity Management, il Comitato per il Controllo sulla Gestione:

- vigila sulla completezza, adeguatezza, funzionalità e affidabilità del Piano di Continuità Operativa, anche in relazione ai sistemi informativi;

- esamina l’informativa, almeno annuale, sugli esiti dei controlli sull’adeguatezza del Piano nonché delle verifiche delle misure di continuità operativa, coordinandosi con il Comitato Rischi.

3.1.1.4 Consigliere Delegato e CEO

Con specifico riferimento al modello di Business Continuity Management il Consigliere Delegato e CEO:

- esercita il potere di proposta per le deliberazioni di competenza del Consiglio di Amministrazione, indicate al paragrafo 3.1.1.1;

- dà attuazione agli indirizzi deliberati dal Consiglio di Amministrazione;

- promuove lo sviluppo, il controllo periodico del Piano di Continuità Operativa e l’aggiornamento dello stesso a fronte di rilevanti innovazioni organizzative, tecnologiche e infrastrutturali nonché nel caso di lacune o carenze riscontrate ovvero di nuovi rischi sopravvenuti;

- approva il piano annuale delle verifiche delle misure di continuità operativa ed esamina i risultati delle prove in forma scritta, e ne dà informativa al Consiglio di Amministrazione.

3.1.2 Comitato di Direzione

Il Comitato di Direzione – Sessione Analisi dei rischi di Gruppo esamina le strategie finalizzate a fronteggiare le situazioni di crisi di ampia portata relative allo scenari di continuità operativa proposte dal Crisis Manager e a prendere le decisioni chiave aventi implicazioni determinanti e vincolanti per il superamento delle stesse; in particolare:

- ratifica, su proposta del Crisis Manager, la dichiarazione dello stato di crisi;

- dispone le strategie da intraprendere per fronteggiare la crisi;

- ratifica le eventuali spese straordinarie proposte dal Crisis Manager;

- approva le comunicazioni più significative verso le Autorità, gli altri operatori del sistema bancario, i media e la clientela.

3.1.3 Altre Strutture coinvolte

3.1.3.1 Responsabile del Piano di Continuità Operativa di Gruppo

Il Responsabile del Piano di Continuità Operativa di Gruppo, identificato nel responsabile dell’Area di Governo Chief IT, Digital and Innovation Officer:

- cura lo sviluppo del Piano di Continuità Operativa di Gruppo, ne assicura l’aggiornamento nel continuo a fronte di cambiamenti organizzativi o tecnologici rilevanti e ne verifica l’adeguatezza con cadenza almeno annuale;

- tiene i contatti con Banca d’Italia e con la Banca Centrale Europea in caso di crisi;

- verifica che tutte le controllate siano dotate di Piani di Continuità Operativa e verifica la coerenza degli stessi con gli obiettivi strategici del Gruppo in tema di contenimento dei rischi;

- relaziona gli Organi aziendali come indicato al paragrafo 4.4.2 nonché ulteriormente formalizzato nel Regolamento sul Sistema dei Controlli Interni Integrato.

3.1.3.2 Funzione di continuità operativa di Gruppo

La Funzione di Continuità Operativa è la funzione a supporto del Responsabile del piano di Continuità Operativa per lo svolgimento delle attività di indirizzo, controllo e gestionali in materia di continuità operativa a cui sono affidati i compiti specialistici in materia di business continuity.

La Funzione di continuità operativa di Gruppo, identificata nella struttura Cybersecurity and Business Continuity Management¹:

- definisce linee guida, regole e metodologie di continuità operativa;

- controlla e monitora il grado di conformità alle norme e regole definite;

- governa a livello di Gruppo i processi di definizione, manutenzione e verifica del Piano;

- predispone la documentazione per il Responsabile del Piano di Continuità Operativa di Gruppo;

- esegue i controlli sulle soluzioni di continuità in funzione della criticità e delle evidenze sull’adeguatezza del Piano di Continuità Operativa di Gruppo;

- supporta il Responsabile del Piano di Continuità Operativa di Gruppo nel processo di gestione delle crisi garantendo l’integrazione con le funzioni preposte alla gestione degli incidenti;

- si coordina con la Funzione di controllo dei rischi nella definizione delle metriche comuni di valutazione dei rischi operativi coerenti con il framework di gestione e controllo/contenimento dei rischi di Gruppo;

1 Cybersecurity and Business Continuity Management riveste il ruolo di Funzione Specialistica di conformità - come definita nelle Linee Guida di Compliance di Gruppo - per l’ambito normativo Continuità operativa con riferimento al quale svolge tutti i compiti attribuiti alla Funzione di conformità dalle disposizioni di vigilanza di Banca d’Italia.

- abilita lo sviluppo della cultura di continuità operativa tramite iniziative formative e di comunicazione, in accordo con la Direzione Centrale Politiche di Sviluppo e Learning Academy e la Comunicazione Interna di Intesa Sanpaolo.

3.1.3.3 Referenti dei Piani Settoriali di continuità operativa

I Referenti dei Piani settoriali di continuità operativa sono identificati nelle figure aventi una posizione gerarchico-funzionale adeguata, all’interno delle Strutture centrali che svolgono processi a rilevanza sistemica e nelle Filiali estere di Intesa Sanpaolo; essi:

- coordinano i lavori per la definizione e la manutenzione del Piano Settoriale in cui è articolato il Piano di continuità operativa, chiedendo almeno annualmente l’aggiornamento del Piano Settoriale alle funzioni di business e di supporto;

- coordinano l’attuazione delle misure previste nel Piano Settoriale e le verifiche di loro competenza indicate nel piano annuale di Gruppo;

- predispongono la documentazione inerente il Piano Settoriale per il vertice aziendale;

- richiedono, prima dell’attivazione di nuovi sistemi o processi operativi, le opportune modifiche del Piano Settoriale;

- supportano il Responsabile del Piano di Continuità Operativa di Gruppo nella gestione delle situazioni di crisi.

La Struttura delegata dal Referente del Piano Settoriale:

- effettua il coordinamento operativo delle attività assegnate al Referente del Piano Settoriale di continuità operativa;

- funge da interfaccia verso la Funzione di continuità operativa di Gruppo.

3.1.3.4 Funzioni Operative Il Business/Process Owner:

- individua la criticità dei processi aziendali, in accordo con gli indirizzi strategici e con le regole stabilite nel Piano di Continuità Operativa di Gruppo, gestendo e verificando nel tempo la Business Impact Analysis;

- definisce, verifica e gestisce le contromisure organizzative per gli aspetti di propria competenza, assicurando la formazione del personale subentrante;

- informa tempestivamente i Referenti per le Crisi a fronte di incidenti che impattano attività critiche.

Gli Enti Realizzatori:

- realizzano, verificano e gestiscono le componenti tecnologiche, infrastrutturali e impiantistiche delle soluzioni di continuità operativa. Assicurano la formazione al personale subentrante;

- acquisiscono i Piani di continuità operativa dei fornitori critici e valutano la qualità delle misure di continuità operativa e i Service Level Agreements (SLA) previsti;

- informano tempestivamente i Referenti per le Crisi a fronte di incidenti che impattano attività critiche.

12 3.1.3.5 Funzioni Aziendali di Controllo La Direzione Centrale Enterprise Risk Management:

- è la struttura competente per lo sviluppo, la realizzazione e il mantenimento del framework di gestione del rischio operativo e del rischio ICT, a cui concorre il rischio di continuità operativa;

- governa il processo di definizione, approvazione, controllo e attuazione del RAF per i rischi operativi e ICT, con il supporto delle altre funzioni aziendali coinvolte;

- coordina l’attuazione degli indirizzi e delle politiche in materia di governo dei rischi operativi e ICT da parte delle unità preposte del Gruppo, anche nei diversi ambiti societari.

La Direzione Centrale Compliance, Governance e Controlli:

- supporta Cybersecurity and Business Continuity Management nella definizione del framework normativo in materia di continuità operativa e nell’identificazione e valutazione dei potenziali rischi di non conformità conseguenti a eventi critici nell’individuazione dei relativi presidi;

- esprime, sulla base delle relazioni periodiche e degli ulteriori flussi informativi forniti da Cybersecurity and Business Continuity Management - individuata come Funzione Specialistica di conformità ai sensi delle Linee Guida di Compliance di Gruppo - e dalle altre funzioni aziendali di controllo e delle verifiche direttamente condotte, una valutazione autonoma del rischio di non conformità alla normativa in materia di Continuità Operativa e dell’adeguatezza dei presidi posti in essere per la relativa mitigazione e, ove ne ravvisi la necessità, richiede a Cybersecurity and Business Continuity Management di dare corso agli opportuni interventi di rafforzamento.

Il Chief Audit Officer:

- prende visione dei programmi di verifica, assiste alle prove e ne controlla i risultati, proponendo modifiche al Piano di Continuità Operativa di Gruppo sulla base delle mancanze riscontrate;

- esamina i contratti con fornitori esterni per accertare che il livello di tutela sia adeguato agli obiettivi ed agli standard aziendali;

- analizza i criteri di escalation e verifica la congruità dei tempi rilevati per la dichiarazione dello stato di crisi.

In caso di incidenti, la funzione di revisione interna verifica la congruità dei tempi rilevati per la dichiarazione dello stato di crisi.

Nel documento LINEE GUIDA DI CONTINUITÀ OPERATIVA PER IL GRUPPO INTESA SANPAOLO (pagine 9-14)