GLI ATTORI DEL SISTEMA DEI CONTROLLI INTERNI: GLI ORGANI SOCIETAR

Secondo quanto previsto dalla Circolare della Banca d’Italia n. 285 del 17 dicembre 2013 “Disposizioni di vigilanza per le banche”68

, gli Organi Societari di Intesa Sanpaolo, in qualità di Capogruppo, hanno la responsabilità di assicurare un sistema di valutazione e gestione del rischio informatico integrato e coerente nonché un adeguato presidio dei rischi ai quali il Gruppo potrebbe essere esposto. Le competenze degli Organi Societari sono descritte nello Statuto, nei Regolamenti che ne disciplinano il funzionamento e nel “Regolamento del Sistema dei Controlli Interni Integrato”. Tra questi troviamo:

1. Consiglio di Amministrazione: con riferimento più specificatamente al sistema di governo del rischio ICT, esso, nella sua qualità di organo con funzione di supervisione strategica, assume la generale responsabilità di indirizzo e controllo del sistema informativo, nell’ottica di un ottimale impiego delle risorse tecnologiche a sostegno delle strategie aziendali (ICT governance). Il Consiglio di Amministrazione, con il supporto del Comitato Rischi approva: le strategie di sviluppo del sistema informativo, in considerazione dell’evoluzione del settore di riferimento e in coerenza con l’articolazione in essere e a tendere dei settori di operatività, dei processi e dell’organizzazione aziendale, in tale contesto approva il modello di riferimento per l’architettura del sistema informativo; la Policy di sicurezza informatica; le linee di indirizzo in materia di selezione del personale con funzioni tecniche e di acquisizione di sistemi, software e servizi, incluso il ricorso a fornitori esterni; il quadro di riferimento organizzativo e metodologico per l’analisi del rischio informatico, promuovendo l’opportuna valorizzazione dell’informazione sul rischio tecnologico all’interno della funzione ICT e l’integrazione con i sistemi di

80 misurazione e gestione dei rischi (in particolare quelli operativi, reputazionali e strategici); la propensione al rischio informatico e la soglia di tolleranza, in conformità con gli obiettivi di rischio e il quadro di riferimento per la determinazione della propensione al rischio definiti a livello aziendale, stabilendo i limiti operativi all’assunzione delle varie tipologie di rischio coerentemente con la propensione al rischio informatico. Inoltre il Consiglio di Amministrazione, sempre con l’aiuto del Comitato dei Rischi, assicura che l’attuazione del RAF (anche per la componente ICT) sia coerente con la propensione al rischio approvata; in questo contesto valuta almeno annualmente l’adeguatezza, l’attuazione e l’efficacia del RAF e la compatibilità tra il rischio effettivo e la propensione al rischio; promuove lo sviluppo, la condivisione e l’aggiornamento di conoscenze in materia di ICT all’interno dell’azienda; esamina l’informativa almeno annuale da parte del Consigliere Delegato e CEO in merito all’adeguatezza dei servizi IT erogati e il supporto di tali servizi all’evoluzione dell’operatività aziendale, in rapporto ai costi sostenuti; esamina l’informativa tempestiva da parte del Consigliere Delegato e CEO nel caso di gravi problemi per l’attività aziendale derivanti da incidenti di sicurezza informatica e malfunzionamenti del sistema informativo; analizza l’informativa a cura della Direzione Centrale Sistemi Informativi in merito allo stato di avanzamento delle iniziative di ampio impatto sui sistemi informativi (ad es. modifiche rilevanti sulle componenti critiche, adeguamenti in conseguenza di fusioni o scissioni, migrazione ad altre piattaforme informatiche) inserite nei piani strategici di sviluppo del sistema informativo approvato; con cadenza almeno annuale, verifica le relazioni predisposte dalle funzioni aziendali di controllo coinvolte nella gestione del rischio ICT. Infine il Consiglio di Amministrazione assicura che venga approntato un sistema dei flussi informativi volti ad assicurare agli Organi Societari e alle Funzioni aziendali di controllo la piena conoscenza e governabilità dei fattori di rischio informatico e la verifica del rispetto del RAF, e, tenendo conto anche dei risultati dell’attività di verifica del Comitato per il Controllo sulla Gestione, segnala al Consigliere Delegato e CEO le carenze riscontrate, richiede l’adozione di idonee misure correttive e ne verifica nel tempo l’efficacia.

81 2. Comitato per il Controllo sulla Gestione: le sue competenze sono descritte nello Statuto, nel Regolamento che ne disciplina il suo funzionamento e nel “Regolamento del Sistema dei Controlli Interni Integrato”. Il Comitato per il Controllo sulla Gestione, in qualità di organo con funzione di controllo, tra gli altri compiti: vigila sulla adeguatezza e affidabilità complessiva del sistema informativo; controlla la completezza, adeguatezza, funzionalità, affidabilità, del processo di governo del rischio ICT, nell’ambito della più generale attività di verifica del processo di gestione dei rischi avvalendosi dell’apporto delle funzioni aziendali di controllo; vigila sulla completezza, adeguatezza, funzionalità e affidabilità del sistema dei controlli interni; in tale ambito, in particolare, accerta l’adeguatezza di tutte le funzioni coinvolte nel sistema dei controlli, il corretto assolvimento dei compiti e l’adeguato coordinamento delle medesime e promuove gli interventi correttivi delle carenze e delle irregolarità rilevate; vigila sulla completezza, adeguatezza, funzionalità e affidabilità del RAF; verifica il corretto esercizio dell’attività di controllo strategico e gestionale svolto dalla Capogruppo sulle Società del Gruppo; esamina le relazioni predisposte dalle Funzioni aziendali di controllo in merito al Rischio Informatico. Il Comitato ha autonomi poteri di iniziativa e di controllo e può procedere in qualsiasi momento ad atti di ispezione e di controllo, anche con riferimento alle Società del Gruppo, inoltre ha libero accesso presso tutte le Funzioni aziendali al fine di ottenere ogni informazione o dato ritenuti necessari per lo svolgimento dei propri compiti. Il Comitato per il Controllo sulla Gestione è il punto di riferimento continuo per le Funzioni aziendali di controllo infatti a questo devono essere trasmessi, a cura delle Funzioni aziendali di controllo competenti, flussi informativi periodici o relativi a specifiche situazioni o andamenti aziendali.

3. Comitato Rischi: le sue competenze sono descritte nello Statuto, nel Regolamento che ne disciplina il funzionamento e nel “Regolamento del Sistema dei Controlli Interni Integrato”. Il Comitato, nell’espletamento delle proprie funzioni e per il migliore svolgimento delle stesse, ha facoltà di accedere alle Funzioni aziendali anche per ricevere le informazioni utili all’esercizio dei suoi compiti e può interloquire direttamente, ove necessario, con le funzioni di revisione interna, risk

82 management e conformità; esso identifica i flussi informativi che gli devono essere indirizzati in materia di rischi.

4. Consigliere Delegato e CEO: con riferimento alla gestione del Rischio ICT, il Consigliere Delegato e CEO assicura la completezza, l’adeguatezza, la funzionalità (in termini di efficacia ed efficienza) e l’affidabilità del sistema informativo e una gestione integrata di tutti i rischi aziendali, fra i quali il Rischio ICT. In particolare, il Consigliere Delegato e CEO: definisce la struttura organizzativa della funzione ICT assicurandone nel tempo la rispondenza alle strategie e ai modelli architetturali definiti dal Consiglio di Amministrazione; garantisce il corretto dimensionamento quali-quantitativo delle risorse umane; cura l’attuazione del processo di gestione del Rischio ICT; definisce l’assetto organizzativo, metodologico e procedurale per il processo di analisi del Rischio Informatico, perseguendo un opportuno livello di raccordo con la funzione di risk management per i processi di stima del rischio operativo; assicura la coerenza del processo di gestione dei rischi con la propensione al Rischio Informatico e le politiche di governo dei rischi oltre che con gli indirizzi strategici; approva l’adozione di misure alternative o ulteriori di trattamento del rischio qualora il Rischio Informatico residuo ecceda la propensione al Rischio Informatico; approva gli standard di data governance, le procedure di gestione dei cambiamenti e degli incidenti (ove del caso, in raccordo con le procedure del fornitore di servizi) e, di norma con cadenza annuale, il piano operativo delle iniziative informatiche, verificandone la coerenza con le esigenze informative e di automazione delle linee di business nonché con le strategie aziendali; valuta almeno annualmente le prestazioni della funzione IT rispetto alle strategie e agli obiettivi fissati, in termini di rapporto costi/benefici o utilizzando sistemi integrati di misurazione delle prestazioni, assumendo gli opportuni interventi e iniziative di miglioramento; approva almeno annualmente la valutazione del rischio delle componenti critiche predisposta dall’Area di Governo Chief Risk Officer in collaborazione con il Servizio Information Security e Business Continuity, nonché la relazione sull’adeguatezza e costi dei servizi ICT predisposta dalla Direzione Centrale Sistemi Informativi, informando a tale riguardo il Consiglio di Amministrazione. In tale ambito, riscontra la complessiva situazione del Rischio

83 Informatico in rapporto alla propensione al rischio definita, disponendo allo scopo di idonei flussi informativi concernenti, come minimo, il livello di Rischio Informatico residuo per le diverse risorse informatiche, lo stato di implementazione dei presidi di attenuazione del Rischio ICT, l’evoluzione delle minacce connesse con l’utilizzo di ICT nonché gli incidenti registratisi nel periodo di riferimento; monitora il regolare svolgimento dei processi di gestione e di controllo dei servizi ICT e, a fronte di anomalie rilevate, pone in atto opportune azioni correttive; assume decisioni tempestive in merito a gravi incidenti di sicurezza informatica e fornisce informazioni al Consiglio di Amministrazione in caso di gravi problemi per l’attività aziendale derivanti da incidenti e malfunzionamenti segnalati dal Servizio Information Security e Business Continuity di Intesa Sanpaolo Group Services; promuove la diffusione di una cultura aziendale sul Rischio ICT. Il Consigliere Delegato e CEO esamina i flussi informativi e ne tiene conto al fine delle proprie proposte e per la presentazione della propria rendicontazione periodica al Consiglio di Amministrazione. Inoltre, ove ritenuto opportuno, richiede direttamente alla Direzione Centrale Internal Auditing l’esecuzione di specifiche attività di verifica che non siano già incluse nei piani periodici predisposti da quest’ultima.