Governance principles

Strategie IT approvate da CdA: Le strategie riguardanti l'IT sono approvate dal Consiglio di Amministrazione e sono volte ad assicurare l'esistenza ed il mantenimento di una piattaforma tecnologica adeguata ai bisogni presenti e futuri della banca.

Importanza della formalizzazione Le politiche, gli standard e i controlli per tutti gli aspetti riguardanti l'IT sono definiti e documentati. Le procedure per l'approvazione e l'acquisizione sia dell'hardware sia del software, nonché per la cessione all'esterno di determinati servizi (outsourcing), sono formalizzate. Esse mirano ad assicurare che il prodotto soddisfi i bisogni per cui è stato acquistato o commissionato e sia adatto agli standard della banca. È inoltre garantita la continuità del servizio.

Gestione della sicurezza Gli accessi ai diversi ambienti sono regolamentati e controllati attraverso apposite procedure disegnate tenendo conto dell'esigenza di limitare i rischi di frode derivanti da intrusioni esterne o da infedeltà del personale. A tal fine le procedure garantiscono la sicurezza logica dei dati trattati, restringendo, in particolare per l'ambiente di produzione, l'accesso ai dati stessi a individui autorizzati, e prevedendo che tutte le violazioni vengano evidenziate e siano soggette a controlli da parte dell'internal audit. Esse inoltre garantiscono la sicurezza fisica dei nonché minimizzano i rischi di interruzioni dell'operatività connesse con eventi esterni (incendi, mancanza di energia elettrica ecc.).

Piano di emergenza: in presenza di eventi che compromettono la funzionalità del sistema, un piano di emergenza assicura la continuità delle operazioni vitali e il ritorno in tempi ragionevoli all'operatività normale.

Outsourcer: L'attribuzione a soggetti terzi di attività connesse con il funzionamento dei sistemi informativi non esonera le banche dalle responsabilità di controllo.

Flussi informativi: I sistemi informativi devono assicurare a tutti i livelli della struttura (dal consiglio di amministrazione, all'alta direzione, ai direttori operativi ecc.) un flusso informativo che consenta loro di adempiere agli obblighi previsti dai regolamenti interni e dalla normativa che richiede di produrre informazioni all'esterno.

Know how adeguato: E' indispensabile che le banche abbiano il know how necessario, un sistema di controlli e una organizzazione adatti a garantire l'affidabilità delle proprie basi di dati e dei propri sistemi elaborativi.

Proporzionalità: Le misure da dimensioni della banca, dalla complessità della sua operatività e dall'architettura del sistema stesso.

Audit: l’Internal Audit è in grado di verificare l'adeguatezza dei controlli sugli aspetti IT.