Governance Risk & Compliance: come si inserisce la nuova figura del DPO? - 10 Novembre 2020
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
2 SCS CONSULTING: COMPANY PROFILE Chi siamo Il nostro modello organizzativo Siamo una società di consulenza di direzione, nata a Bologna nel Utilizziamo un modello di business in cui team di 2001 dalla fusione di tre società presenti sul mercato da oltre 20 professionisti con competenze specifiche e multidisciplinari anni nel campo dei servizi professionali di consulenza, formazione e agiscono in maniera integrata tra i diversi mercati, aree di valorizzazione delle risorse umane competenza e soluzioni MERCATI DI RIFERIMENTO Il nostro obiettivo è valorizzare il capitale di competenze e di Finance Industria e Servizi P.A. & Utilities relazioni che oggi abbiamo, diventando sempre più un riferimento e un centro di eccellenza nel nostro ambito CONSULENZA STRATEGICA E ORGANIZZATIVA +120 BUSINESS PEOPLE & CHANGE MANAGEMENT CONSULTANT SOSTENIBILITÀ La nostra Mission Consulenza strategica e organizzativa BOLOGNA "Supportare imprese e territori È il cuore della nostra attività, aiutiamo i nostri clienti a offrendo servizi e soluzioni per la condurre in modo più profittevole il proprio business e a creazione di valore e la sviluppare innovazione su molteplici direttrici: realizzazione di una crescita • Strategia sostenibile" • Organizzazione • Processi • Tecnologia
3 OBIETTIVI DELL’INIZIATIVA Attivare un momento di confronto in ambito assicurativo sui temi GDPR e GRC (Governance Risk & Compliance) al fine di approfondire: • il livello di coordinamento tra le Funzioni di Controllo (FdC) nelle attività di censimento e valutazione dei rischi e dei controlli presenti nei processi aziendali • il livello di integrazione della nuova figura del DPO nel Sistema dei Controlli Interni • le modalità ed il livello di adeguamento al GDPR • eventuali strumenti informatici a supporto adottati nei diversi ambiti Con GRC si intende l’adozione di un approccio metodologico ed operativo, integrato fra le Funzioni di Controllo, con cui provvedere al censimento e alla valutazione di processi, rischi e controlli
4 LUGLIO – SETTEMBRE 2020 Survey TIMELINE DELLE associati Acorà ATTIVITÀ 10 NOVEMBRE OTTOBRE 2020 2020 Elaborazione Evento Acorà risultati Survey
5 LUGLIO – SETTEMBRE Survey alle L’iniziativa è promossa da Compagnie LUGLIO – SETTEMBRE 2020 Survey associati Acorà 10 con la collaborazione di OTTOBRE NOVEMBRE Elaborazione Evento dei risultati ACORA’ raccolti 10 OTTOBRE NOVEMBRE 2020 2020 Elaborazione Evento risultati ACORA’ Survey ed il supporto di
6 LUGLIO – SETTEMBRE AGENDA Survey alle Compagnie LUGLIO – • Apertura evento SETTEMBRE 2020 • Testimonianza di un esperto in ambito Survey associati Acorà 10 Data Protection OTTOBRE NOVEMBRE Elaborazione Evento dei risultati ACORA’ • Presentazione risultati Survey raccolti 10 OTTOBRE NOVEMBRE • Commenti risultati Survey 2020 2020 Elaborazione Evento risultati ACORA’ • Integrazione tra le Funzioni di Controllo: Survey approccio, benefici e strumenti • Q&A e chiusura evento
7 LUGLIO – CHI? SETTEMBRE Survey alle Compagnie La survey è stata rivolta alle figure del Compliance Officer e DPO delle LUGLIO – Compagnie iscritte all’Associazione SETTEMBRE 2020 Acorà Survey associati Acorà 10 OTTOBRE NOVEMBRE Elaborazione Evento dei risultati ACORA’ COSA? raccolti 10 Approfondire il livello di integrazione OTTOBRE NOVEMBRE tra le FdC, le modalità ed il livello di 2020 2020 Elaborazione adeguamento al Regolamento GDPR e Evento risultati ACORA’ relativa strumentazione a supporto Survey COME? 17 domande erogate in modalità online
8 LUGLIO – SETTEMBRE STRUTTURA DELLA SURVEY Survey alle Compagnie LUGLIO – SEZIONE A SETTEMBRE 2020 • Livello di coordinamento tra le Funzioni di Controllo Survey associati • Focus sul coordinamento nelle fasi di Acorà 10 OTTOBRE NOVEMBRE pianificazione / esecuzione delle attività e Elaborazione Evento condivisione delle azioni di rimedio dei risultati ACORA’ raccolti 10 OTTOBRE NOVEMBRE SEZIONE B 2020 2020 Elaborazione Evento • Regole, modalità organizzative e strumenti risultati ACORA’ implementati per garantire l’integrazione tra Survey Funzioni di Controllo SEZIONE C • Livello di integrazione del DPO con le altre Funzioni di Controllo • Regole, modalità organizzative e strumenti a supporto dell’adeguamento al GDPR
9 LUGLIO – SETTEMBRE IL CAMPIONE Survey alle 75% Compagnie LUGLIO – SETTEMBRE La percentuale di risposte pervenute è pari 2020 Survey associati al 75% dei destinatari della Survey, che Acorà 10 OTTOBRE NOVEMBRE rappresentano quasi il 50% del settore Elaborazione Evento dei risultati ACORA’ assicurativo italiano raccolti 10 OTTOBRE 2020 NOVEMBRE 2020 FINO A € 3MLD (*) 36,5% Elaborazione Evento risultati ACORA’ Survey 36,5% DA € 3 A 10MLD(*) 27% OLTRE € 10MLD (*) (*) di raccolta premi complessiva del lavoro diretto italiano nel 2019
10 LUGLIO – SETTEMBRE Survey alle Compagnie LUGLIO – SEZIONE A SETTEMBRE 2020 • Livello di coordinamento tra le Funzioni di Controllo Survey associati • Focus sul coordinamento nelle fasi di Acorà 10 OTTOBRE NOVEMBRE pianificazione / esecuzione delle attività e Elaborazione Evento condivisione delle azioni di rimedio dei risultati ACORA’ raccolti 10 OTTOBRE NOVEMBRE SEZIONE B 2020 2020 Elaborazione Evento • Regole, modalità organizzative e strumenti risultati ACORA’ implementati per garantire l’integrazione tra Survey Funzioni di Controllo SEZIONE C • Livello di integrazione del DPO con le altre Funzioni di Controllo • Regole, modalità organizzative e strumenti a supporto dell’adeguamento al GDPR
11 LIVELLO DI COORDINAMENTO TRA LE «Qual è il livello di coordinamento / FUNZIONI DI CONTROLLO integrazione tra le Funzioni di «Quali possono essere le ragioni di un limitato Controllo?» (scala da 1 a 5) coordinamento tra le Funzioni di Controllo?» Punteggio medio: 4 Spesso il malinteso concetto di indipendenza dell'Audit. Tutte le key function devono essere indipendenti ed autonome, quindi l'adozione di FINO A € 3MLD 3,5 piattaforme comuni con, eventualmente aree compartimentate e diversi livelli di accesso dovrebbe essere quasi "obbligatoria" ormai. 4,25 La mancanza di una effettiva volontà di DA € 3 A 10MLD coordinamento che, nel rispetto dei rispettivi ruoli e funzioni, potrebbe risultare utile al complessivo miglioramento del sistema di governo 4,5 dei rischi OLTRE € 10MLD Gli associati appartenenti a Compagnie di maggiori dimensioni evidenziano un più alto livello di coordinamento
12 LIVELLO DI COORDINAMENTO TRA LE FUNZIONI DI CONTROLLO È stato poi approfondito il livello di coordinamento percepito nelle seguenti fasi di operatività delle Funzioni di Controllo PIANIFICAZIONE ESECUZIONE CONDIVISIONE ATTIVITÀ ATTIVITÀ AZIONI DI RIMEDIO Il coordinamento nell’operatività delle Funzioni di Controllo consente il raggiungimento di sinergie in termini di razionalizzazione dei controlli e conseguente riduzione dei costi
13 LIVELLO DI COORDINAMENTO TRA LE FUNZIONI DI CONTROLLO Punteggio medio: 3,55 PIANIFICAZIONE ESECUZIONE CONDIVISIONE ATTIVITÀ 3,25 ATTIVITÀ 3,50 4 AZIONI DI RIMEDIO FINO A € 3MLD DA € 3 A 10MLD OLTRE € 10MLD (scala da 1 a 5) Il livello di coordinamento tra le FdC nella fase di pianificazione è direttamente correlato alle dimensioni della Compagnia di appartenenza
14 LIVELLO DI COORDINAMENTO TRA LE FUNZIONI DI CONTROLLO FINO A € 3MLD 3,5 PIANIFICAZIONE ESECUZIONE CONDIVISIONE ATTIVITÀ ATTIVITÀ AZIONI DI RIMEDIO Punteggio medio: 3,75 DA € 3 A 10MLD 3,75 4 (scala da 1 a 5) OLTRE € 10MLD Anche nella fase di esecuzione delle attività delle FdC, gli associati appartenenti a Compagnie di maggiori dimensioni evidenziano un più alto livello di coordinamento
15 LIVELLO DI COORDINAMENTO TRA LE FUNZIONI DI CONTROLLO Punteggio medio: 4 PIANIFICAZIONE ESECUZIONE CONDIVISIONE 3,75 ATTIVITÀ 4 4,33 ATTIVITÀ AZIONI DI RIMEDIO FINO A € 3MLD DA € 3 A 10MLD OLTRE € 10MLD (scala da 1 a 5) In termini ancora più elevati, si può notare nella fase di remediation un buon livello di coordinamento tra le FdC, probabilmente per l’impulso derivante dal business, che sempre più richiede la razionalizzazione degli interventi necessari a mitigare i gap rilevati
16 LUGLIO – SETTEMBRE Survey alle Compagnie LUGLIO – SEZIONE A SETTEMBRE 2020 • Livello di coordinamento tra le Funzioni di Controllo Survey associati • Focus sul coordinamento nelle fasi di Acorà 10 OTTOBRE NOVEMBRE pianificazione / esecuzione delle attività e Elaborazione Evento condivisione delle azioni di rimedio dei risultati ACORA’ raccolti 10 OTTOBRE NOVEMBRE SEZIONE B 2020 2020 Elaborazione Evento • Regole, modalità organizzative e strumenti risultati ACORA’ implementati per garantire l’integrazione tra Survey Funzioni di Controllo SEZIONE C • Livello di integrazione del DPO con le altre Funzioni di Controllo • Regole, modalità organizzative e strumenti a supporto dell’adeguamento al GDPR
17 Tassonomia processi REGOLE DI METODOLOGIA COMUNI SI 91% Abbiamo chiesto agli associati se le Funzioni di Controllo abbiano definito regole comuni per la Tassonomia unità NO 9% realizzazione di attività di controllo organizzative con rifermento a: La maggioranza dei rispondenti indica che SI 82% sono state definite tassonomie comuni per i PROCESSI e le UNITÀ ORGANIZZATIVE NO 18%
18 REGOLE DI METODOLOGIA Catalogo controlli COMUNI comune SI 27% Catalogo rischi comune NO 73% SI 91% Scale di valutazione comuni NO 9% Il più dei rispondenti si è dotato di un catalogo rischi, NO 45% mentre solo il 27% ha definito un catalogo controlli comune. Si segnala un ampio margine di miglioramento in SI 55% termini di definizione di scale di valutazione comuni
19 REGOLE DI METODOLOGIA COMUNI Qual è il livello di integrazione nella reportistica di sintesi per l’Alta Direzione/Comitato Controllo e Rischi sulla valutazione di rischiosità dei processi aziendali oggetto di analisi? (scala da 1 a 5) La totalità dei rispondenti ha evidenziato l’utilizzo Punteggio medio di indicatori quali- quantitativi per 3,7 Il punteggio medio è in linea rappresentare il livello con quello rilevabile per i di rischiosità dei diversi cluster dimensionali processi aziendali Un altro possibile margine di miglioramento si riferisce al livello di integrazione nella reportistica di sintesi per l’Alta Direzione, la quale si trova sempre più sottoposta ad una sovraesposizione di informazioni, report e dati da una pluralità di funzioni che operano talvolta in modo non coerente, generando appesantimenti procedurali e un presidio dei rischi non efficiente
20 REGOLE DI METODOLOGIA COMUNI Esiste una regolamentazione interna che prevede un organo collegiale Quali modalità organizzative hanno 55% adottato le Funzioni di Controllo per garantire il coordinamento? Esistono tavoli congiunti / riunioni (periodiche), non regolamentati 45% Tutti i rispondenti evidenziano l’adozione di modalità organizzative per garantire il coordinamento. Dei rispondenti che indicano la presenza di una regolamentazione interna, si rileva il 100% degli appartenenti alle Compagnie di Grandi dimensioni, il 50% degli appartenenti alle Medie e il 25% degli appartenenti alle Piccole
21 36% REGOLE DI METODOLOGIA COMUNI solo dei rispondenti adotta una Esiste una piattaforma applicativa comune a piattaforma applicativa supporto dell’attività svolta dalle Funzioni di comune per le FdC Controllo? FINO A € 3MLD 0% 9% DA € 3 A 10MLD Tutti i rispondenti appartenenti a Compagnie di grandi dimensioni segnalano la presenza di tale 27% strumento OLTRE € 10MLD L’adozione di una piattaforma IT condivisa e industriale, che consenta di operare in piena autonomia negli ambiti di propria competenza, sta diventando sempre più un elemento imprescindibile per rendere effettiva la collaborazione tra le Funzioni di Controllo
22 LUGLIO – SETTEMBRE Survey alle Compagnie LUGLIO – SEZIONE A SETTEMBRE 2020 • Livello di coordinamento tra le Funzioni di Controllo Survey associati • Focus sul coordinamento nelle fasi di Acorà 10 OTTOBRE NOVEMBRE pianificazione / esecuzione delle attività e Elaborazione Evento condivisione delle azioni di rimedio dei risultati ACORA’ raccolti 10 OTTOBRE NOVEMBRE SEZIONE B 2020 2020 Elaborazione Evento • Regole, modalità organizzative e strumenti risultati ACORA’ implementati per garantire l’integrazione tra Survey Funzioni di Controllo SEZIONE C • Livello di integrazione del DPO con le altre Funzioni di Controllo • Regole, modalità organizzative e strumenti a supporto dell’adeguamento al GDPR
23 ADEGUAMENTO AL GDPR CDA DPO OPZ.4 POSIZIONAMENTO DEL DPO DPO OPZ. 1 Internal Audit Compliance Come è posizionato il DPO dal Risk Management punto di vista organizzativo? DPO OPZ.2 Direttore Generale 55% DPO nell’ambito della Funzione A Funzione B Legale DPO OPZ.3 funzione compliance DPO coincide con Compliance 27,5% Officer (OPZ. 1) 36% DPO a riporto Legale (OPZ. 3) 27,5% DPO a riporto Compliance (OPZ. 2) 9% DPO esternalizzato (OPZ. 4)
24 ADEGUAMENTO AL GDPR PUNTEGGIO MEDIO IN RELAZIONE AL POSIZIONAMENTO DEL DPO POSIZIONAMENTO DEL DPO Qual è il livello di coordinamento/integrazione della figura del DPO con le altre Funzioni di DPO nell’ambito della Compliance più di 3,5 Controllo? (da 1 a 5) Punteggio medio DPO a riporto Legale circa 2,5 3 3 DPO esternalizzato Si evidenzia un maggior livello di coordinamento del DPO con le altre FdC nel caso di posizionamento nell’ambito della funzione Compliance in virtù della già esistente collaborazione stabilita con le altre FdC
25 ADEGUAMENTO AL GDPR SI: integrazione nel GRC dei fattori di rischio Privacy, correlandoli agli La metodologia GRC integra impatti sanzionatori GDPR tra i fattori di rischio quelli relativi ai rischi Privacy, 60% correlandoli agli impatti sanzionatori GDPR? con focus sulla lesione dei diritti degli interessati No, analisi dei rischi privacy (privacy by design/DPIA) NO, analisi dei rischi privacy con 40% 20% focus sulla lesione dei diritti degli interessati e analisi delle ricadute sulla Compagnia NO: fattori di rischio Privacy NO, analisi dei rischi privacy non integrati nel GRC (privacy by design/DPIA) con focus sulla lesione dei diritti degli interessati 20% Più della metà dei rispondenti che hanno collocato il DPO nell’ambito della Compliance, evidenziano l’integrazione dei fattori di rischio Privacy nel GRC
26 ADEGUAMENTO AL GDPR Sono state definite delle regole per collegare i 20% Si, è stato implementato il collegamento in una soluzione trattamenti di dati personali informatica ai processi aziendali? 40% 60% Si, sono state definite delle regole di collegamento, ma non sono state informatizzate con focus sulla lesione dei diritti degli interessati dei rispondenti ha No, analisi dei rischi privacy (privacy by design/DPIA) definito regole per collegare No, ma è in corso la valutazione 20% i trattamenti dei dati personali ai processi 20% aziendali No, non è un tema a piano 20% ne sta valutando l’implementazione Il 20% dei rispondenti non considerano prioritario definire regole per collegare i trattamenti di dati ai processi aziendali
27 ADEGUAMENTO AL GDPR Come vi siete organizzati per definire i termini di È stato adottato un tool conservazione e gestione della fase di cancellazione dei dati? per il monitoraggio dei termini 30% con focus sulla lesione dei diritti degli interessati 40% No, analisi dei rischi privacy (privacy by design/DPIA) È stata predisposta una procedura aziendale È in corso di analisi 30% Il 70% dei rispondenti si è attivato per la definizione dei termini di conservazione e la gestione della fase di cancellazione dei dati; il restante 30% ha avviato l’analisi
28 ADEGUAMENTO AL GDPR Esiste una procedura per la gestione dei Data Breach? 11% Procedura formalizzata assistita da 44,5% tool di tracciatura delle azioni e degli interventi di mitigazione con relativi con focus sulla lesione dei diritti degli interessati follow up No, analisi dei rischi privacy (privacy by design/DPIA) Procedura formalizzata di rilevazione ed analisi che individua le strutture coinvolte e definisce criteri e parametri di valutazione 44,5% Non è formalizzata una procedura, i Data Breach sono rilevati e gestiti con istruttorie attivate ad evento Quasi il 90% dei rispondenti si è attivato per la formalizzazione di una procedura sul Data Breach (nella metà dei casi supportata da tool); il restante 11% gestisce il Data Breach con istruttorie ad evento
29 ADEGUAMENTO AL GDPR Strumenti di Office Soluzione Abbiamo chiesto agli intervistati Automation informatica quale sia la soluzione adottata per gestire: • Registro dei trattamenti 33% 67% (22% integrata in GRC) • Analisi dei rischi 44% 56% (11% integrata in GRC) • Data Breach 78% 22% (11% integrata in GRC) • Richieste interessati e rispetto 56% tempistiche di risposta 44% (NON integrata nel GRC) Dalle risposte raccolte emerge margine di miglioramento in termini di informatizzazione degli strumenti utilizzati nei diversi ambiti e ampio margine di integrazione della gestione di adempimenti GDPR nel GRC
30 LUGLIO – SETTEMBRE Survey alle Compagnie LUGLIO – SEZIONE A SETTEMBRE 2020 • Livello di coordinamento tra le Funzioni di Controllo Survey associati • Focus sul coordinamento nelle fasi di Acorà 10 OTTOBRE NOVEMBRE pianificazione / esecuzione delle attività e Elaborazione Evento condivisione delle azioni di rimedio dei risultati ACORA’ raccolti 10 CONSIDERAZIONI OTTOBRE 2020 NOVEMBRE 2020 SEZIONE B FINALI Elaborazione Evento • Regole, modalità organizzative e strumenti risultati ACORA’ implementati per garantire l’integrazione tra Survey Funzioni di Controllo SEZIONE C • Livello di coordinamento del DPO con le altre Funzioni di Controllo • Regole, modalità organizzative e strumenti a supporto dell’adeguamento al GDPR
31 • Buono il livello di coordinamento percepito nell’operatività delle FdC, con margini di miglioramento soprattutto in termini di definizione di scale di valutazione comuni e integrazione nella reportistica di sintesi per l’Alta Direzione • Ancora poco diffusa l’adozione di una piattaforma applicativa comune a supporto dell’attività svolta dalle FdC • Margini di miglioramento in termini di integrazione della figura del DPO con le altre FdC • Con riferimento all’adeguamento al GDPR, margini di miglioramento soprattutto in termini di: ✓ definizione dei termini di conservazione e la gestione della fase di cancellazione dei dati ✓ informatizzazione degli strumenti utilizzati
Grazie per l’attenzione Via Toscana 19/A 40069 – Zola Predosa (BO) Serena Bedendo Federica Toso Manager SCS Senior Consultant SCS Tel. +39 051 31 60 311 Cell.: +39 334 6892320 Cell.: +39 370 3340971 Fax +39 051 31 60 399 s.bedendo@scsconsulting.it f.toso@scsconsulting.it info@scsconsulting.it
Puoi anche leggere