Governance Risk & Compliance: come si inserisce la nuova figura del DPO? - 10 Novembre 2020
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Governance Risk & Compliance: come si
inserisce la nuova figura del DPO?
10 Novembre 2020
2
SCS CONSULTING: COMPANY PROFILE
Chi siamo Il nostro modello organizzativo
Siamo una società di consulenza di direzione, nata a Bologna nel Utilizziamo un modello di business in cui team di
2001 dalla fusione di tre società presenti sul mercato da oltre 20 professionisti con competenze specifiche e multidisciplinari
anni nel campo dei servizi professionali di consulenza, formazione e agiscono in maniera integrata tra i diversi mercati, aree di
valorizzazione delle risorse umane competenza e soluzioni
MERCATI DI RIFERIMENTO
Il nostro obiettivo è valorizzare il capitale di competenze e di
Finance Industria e Servizi P.A. & Utilities
relazioni che oggi abbiamo, diventando sempre più un riferimento e
un centro di eccellenza nel nostro ambito
CONSULENZA STRATEGICA E ORGANIZZATIVA
+120
BUSINESS PEOPLE & CHANGE MANAGEMENT
CONSULTANT
SOSTENIBILITÀ
La nostra Mission Consulenza strategica e organizzativa
BOLOGNA
"Supportare imprese e territori È il cuore della nostra attività, aiutiamo i nostri clienti a
offrendo servizi e soluzioni per la condurre in modo più profittevole il proprio business e a
creazione di valore e la sviluppare innovazione su molteplici direttrici:
realizzazione di una crescita • Strategia
sostenibile" • Organizzazione
• Processi
• Tecnologia
3
OBIETTIVI DELL’INIZIATIVA
Attivare un momento di confronto in ambito assicurativo sui
temi GDPR e GRC (Governance Risk & Compliance) al fine di
approfondire:
• il livello di coordinamento tra le Funzioni di Controllo (FdC)
nelle attività di censimento e valutazione dei rischi e dei
controlli presenti nei processi aziendali
• il livello di integrazione della nuova figura del DPO nel Sistema
dei Controlli Interni
• le modalità ed il livello di adeguamento al GDPR
• eventuali strumenti informatici a supporto adottati nei diversi
ambiti
Con GRC si intende l’adozione di un approccio metodologico
ed operativo, integrato fra le Funzioni di Controllo, con cui
provvedere al censimento e alla valutazione di processi, rischi
e controlli
4
LUGLIO –
SETTEMBRE
2020
Survey
TIMELINE DELLE associati Acorà
ATTIVITÀ
10 NOVEMBRE
OTTOBRE 2020 2020
Elaborazione Evento Acorà
risultati Survey
5
LUGLIO –
SETTEMBRE
Survey alle L’iniziativa è promossa da
Compagnie
LUGLIO –
SETTEMBRE
2020
Survey associati
Acorà 10 con la collaborazione di
OTTOBRE NOVEMBRE
Elaborazione Evento
dei risultati ACORA’
raccolti
10
OTTOBRE NOVEMBRE
2020 2020
Elaborazione Evento
risultati ACORA’
Survey
ed il supporto di
6
LUGLIO –
SETTEMBRE AGENDA
Survey alle
Compagnie
LUGLIO –
• Apertura evento
SETTEMBRE
2020 • Testimonianza di un esperto in ambito
Survey associati
Acorà 10 Data Protection
OTTOBRE NOVEMBRE
Elaborazione Evento
dei risultati ACORA’ • Presentazione risultati Survey
raccolti
10
OTTOBRE NOVEMBRE • Commenti risultati Survey
2020 2020
Elaborazione Evento
risultati ACORA’ • Integrazione tra le Funzioni di Controllo:
Survey
approccio, benefici e strumenti
• Q&A e chiusura evento
7
LUGLIO – CHI?
SETTEMBRE
Survey alle
Compagnie
La survey è stata rivolta alle figure
del Compliance Officer e DPO delle
LUGLIO – Compagnie iscritte all’Associazione
SETTEMBRE
2020 Acorà
Survey associati
Acorà 10
OTTOBRE NOVEMBRE
Elaborazione Evento
dei risultati ACORA’
COSA?
raccolti
10 Approfondire il livello di integrazione
OTTOBRE NOVEMBRE tra le FdC, le modalità ed il livello di
2020 2020
Elaborazione
adeguamento al Regolamento GDPR e
Evento
risultati ACORA’ relativa strumentazione a supporto
Survey
COME?
17 domande erogate in modalità
online8
LUGLIO –
SETTEMBRE STRUTTURA DELLA SURVEY
Survey alle
Compagnie
LUGLIO –
SEZIONE A
SETTEMBRE
2020
• Livello di coordinamento tra le Funzioni di
Controllo
Survey associati • Focus sul coordinamento nelle fasi di
Acorà 10
OTTOBRE NOVEMBRE pianificazione / esecuzione delle attività e
Elaborazione Evento condivisione delle azioni di rimedio
dei risultati ACORA’
raccolti
10
OTTOBRE NOVEMBRE SEZIONE B
2020 2020
Elaborazione Evento • Regole, modalità organizzative e strumenti
risultati ACORA’ implementati per garantire l’integrazione tra
Survey Funzioni di Controllo
SEZIONE C
• Livello di integrazione del DPO con le altre
Funzioni di Controllo
• Regole, modalità organizzative e strumenti a
supporto dell’adeguamento al GDPR9
LUGLIO –
SETTEMBRE IL CAMPIONE
Survey alle 75%
Compagnie
LUGLIO –
SETTEMBRE La percentuale di risposte pervenute è pari
2020
Survey associati al 75% dei destinatari della Survey, che
Acorà 10
OTTOBRE NOVEMBRE rappresentano quasi il 50% del settore
Elaborazione Evento
dei risultati ACORA’
assicurativo italiano
raccolti
10
OTTOBRE
2020
NOVEMBRE
2020
FINO A € 3MLD (*)
36,5%
Elaborazione Evento
risultati ACORA’
Survey
36,5%
DA € 3 A 10MLD(*)
27%
OLTRE € 10MLD (*)
(*) di raccolta premi complessiva del lavoro diretto italiano nel 201910
LUGLIO –
SETTEMBRE
Survey alle
Compagnie
LUGLIO –
SEZIONE A
SETTEMBRE
2020
• Livello di coordinamento tra le Funzioni di
Controllo
Survey associati • Focus sul coordinamento nelle fasi di
Acorà 10
OTTOBRE NOVEMBRE pianificazione / esecuzione delle attività e
Elaborazione Evento condivisione delle azioni di rimedio
dei risultati ACORA’
raccolti
10
OTTOBRE NOVEMBRE SEZIONE B
2020 2020
Elaborazione Evento • Regole, modalità organizzative e strumenti
risultati ACORA’ implementati per garantire l’integrazione tra
Survey Funzioni di Controllo
SEZIONE C
• Livello di integrazione del DPO con le altre
Funzioni di Controllo
• Regole, modalità organizzative e strumenti a
supporto dell’adeguamento al GDPR11
LIVELLO DI COORDINAMENTO TRA LE
«Qual è il livello di coordinamento / FUNZIONI DI CONTROLLO
integrazione tra le Funzioni di «Quali possono essere le ragioni di un limitato
Controllo?» (scala da 1 a 5) coordinamento tra le Funzioni di Controllo?»
Punteggio medio: 4 Spesso il malinteso concetto di indipendenza
dell'Audit. Tutte le key function devono essere
indipendenti ed autonome, quindi l'adozione di
FINO A € 3MLD
3,5 piattaforme comuni con, eventualmente aree
compartimentate e diversi livelli di accesso
dovrebbe essere quasi "obbligatoria" ormai.
4,25 La mancanza di una effettiva volontà di
DA € 3 A 10MLD
coordinamento che, nel rispetto dei rispettivi
ruoli e funzioni, potrebbe risultare utile al
complessivo miglioramento del sistema di governo
4,5 dei rischi
OLTRE € 10MLD
Gli associati appartenenti a Compagnie di maggiori dimensioni evidenziano un più alto
livello di coordinamento12
LIVELLO DI COORDINAMENTO TRA LE FUNZIONI DI CONTROLLO
È stato poi approfondito il livello di coordinamento percepito nelle seguenti fasi di
operatività delle Funzioni di Controllo
PIANIFICAZIONE ESECUZIONE CONDIVISIONE
ATTIVITÀ ATTIVITÀ AZIONI DI RIMEDIO
Il coordinamento nell’operatività delle Funzioni di Controllo consente il raggiungimento di
sinergie in termini di razionalizzazione dei controlli e conseguente riduzione dei costi13
LIVELLO DI COORDINAMENTO TRA LE FUNZIONI DI CONTROLLO
Punteggio medio: 3,55
PIANIFICAZIONE ESECUZIONE CONDIVISIONE
ATTIVITÀ 3,25 ATTIVITÀ 3,50 4
AZIONI DI RIMEDIO
FINO A € 3MLD DA € 3 A 10MLD OLTRE € 10MLD
(scala da 1 a 5)
Il livello di coordinamento tra le FdC nella fase di pianificazione è direttamente correlato
alle dimensioni della Compagnia di appartenenza14
LIVELLO DI COORDINAMENTO TRA LE FUNZIONI DI CONTROLLO
FINO A € 3MLD
3,5
PIANIFICAZIONE ESECUZIONE CONDIVISIONE
ATTIVITÀ ATTIVITÀ AZIONI DI RIMEDIO
Punteggio medio:
3,75
DA € 3 A 10MLD
3,75
4 (scala da 1 a 5)
OLTRE € 10MLD
Anche nella fase di esecuzione delle attività delle FdC, gli associati appartenenti a Compagnie
di maggiori dimensioni evidenziano un più alto livello di coordinamento15
LIVELLO DI COORDINAMENTO TRA LE FUNZIONI DI CONTROLLO
Punteggio medio: 4
PIANIFICAZIONE ESECUZIONE CONDIVISIONE
3,75 ATTIVITÀ 4 4,33 ATTIVITÀ AZIONI DI RIMEDIO
FINO A € 3MLD DA € 3 A 10MLD OLTRE € 10MLD
(scala da 1 a 5)
In termini ancora più elevati, si può notare nella fase di remediation un buon livello di
coordinamento tra le FdC, probabilmente per l’impulso derivante dal business, che sempre più
richiede la razionalizzazione degli interventi necessari a mitigare i gap rilevati16
LUGLIO –
SETTEMBRE
Survey alle
Compagnie
LUGLIO –
SEZIONE A
SETTEMBRE
2020
• Livello di coordinamento tra le Funzioni di
Controllo
Survey associati • Focus sul coordinamento nelle fasi di
Acorà 10
OTTOBRE NOVEMBRE pianificazione / esecuzione delle attività e
Elaborazione Evento condivisione delle azioni di rimedio
dei risultati ACORA’
raccolti
10
OTTOBRE NOVEMBRE SEZIONE B
2020 2020
Elaborazione Evento • Regole, modalità organizzative e strumenti
risultati ACORA’ implementati per garantire l’integrazione tra
Survey Funzioni di Controllo
SEZIONE C
• Livello di integrazione del DPO con le altre
Funzioni di Controllo
• Regole, modalità organizzative e strumenti a
supporto dell’adeguamento al GDPR17
Tassonomia processi
REGOLE DI METODOLOGIA
COMUNI SI
91%
Abbiamo chiesto agli associati se le
Funzioni di Controllo abbiano
definito regole comuni per la Tassonomia unità NO 9%
realizzazione di attività di controllo
organizzative
con rifermento a:
La maggioranza dei rispondenti indica che
SI 82%
sono state definite tassonomie comuni per
i PROCESSI e le UNITÀ ORGANIZZATIVE NO 18%18
REGOLE DI METODOLOGIA Catalogo controlli
COMUNI comune SI 27%
Catalogo rischi comune
NO 73%
SI 91%
Scale di valutazione comuni
NO 9%
Il più dei rispondenti si è dotato di un catalogo rischi,
NO 45%
mentre solo il 27% ha definito un catalogo controlli
comune.
Si segnala un ampio margine di miglioramento in SI 55%
termini di definizione di scale di valutazione comuni19
REGOLE DI METODOLOGIA
COMUNI
Qual è il livello di integrazione nella reportistica di
sintesi per l’Alta Direzione/Comitato Controllo e Rischi
sulla valutazione di rischiosità dei processi aziendali
oggetto di analisi? (scala da 1 a 5) La totalità dei
rispondenti ha
evidenziato l’utilizzo
Punteggio medio di indicatori quali-
quantitativi per
3,7
Il punteggio medio è in linea rappresentare il livello
con quello rilevabile per i di rischiosità dei
diversi cluster dimensionali processi aziendali
Un altro possibile margine di miglioramento si riferisce al livello di integrazione nella reportistica di
sintesi per l’Alta Direzione, la quale si trova sempre più sottoposta ad una sovraesposizione di
informazioni, report e dati da una pluralità di funzioni che operano talvolta in modo non coerente,
generando appesantimenti procedurali e un presidio dei rischi non efficiente20
REGOLE DI METODOLOGIA
COMUNI Esiste una regolamentazione
interna che prevede un
organo collegiale
Quali modalità organizzative hanno 55%
adottato le Funzioni di Controllo per
garantire il coordinamento?
Esistono tavoli congiunti /
riunioni (periodiche), non
regolamentati
45%
Tutti i rispondenti evidenziano l’adozione di modalità organizzative per garantire il coordinamento.
Dei rispondenti che indicano la presenza di una regolamentazione interna, si rileva il 100% degli
appartenenti alle Compagnie di Grandi dimensioni, il 50% degli appartenenti alle Medie e il 25%
degli appartenenti alle Piccole21
36%
REGOLE DI METODOLOGIA
COMUNI
solo
dei rispondenti adotta una
Esiste una piattaforma applicativa comune a piattaforma applicativa
supporto dell’attività svolta dalle Funzioni di comune per le FdC
Controllo?
FINO A € 3MLD
0%
9%
DA € 3 A 10MLD
Tutti i rispondenti appartenenti a Compagnie di
grandi dimensioni segnalano la presenza di tale 27%
strumento OLTRE € 10MLD
L’adozione di una piattaforma IT condivisa e industriale, che consenta di operare in piena
autonomia negli ambiti di propria competenza, sta diventando sempre più un elemento
imprescindibile per rendere effettiva la collaborazione tra le Funzioni di Controllo22
LUGLIO –
SETTEMBRE
Survey alle
Compagnie
LUGLIO –
SEZIONE A
SETTEMBRE
2020
• Livello di coordinamento tra le Funzioni di
Controllo
Survey associati • Focus sul coordinamento nelle fasi di
Acorà 10
OTTOBRE NOVEMBRE pianificazione / esecuzione delle attività e
Elaborazione Evento condivisione delle azioni di rimedio
dei risultati ACORA’
raccolti
10
OTTOBRE NOVEMBRE SEZIONE B
2020 2020
Elaborazione Evento • Regole, modalità organizzative e strumenti
risultati ACORA’ implementati per garantire l’integrazione tra
Survey Funzioni di Controllo
SEZIONE C
• Livello di integrazione del DPO con le altre
Funzioni di Controllo
• Regole, modalità organizzative e strumenti a
supporto dell’adeguamento al GDPR23
ADEGUAMENTO AL GDPR
CDA DPO OPZ.4
POSIZIONAMENTO DEL DPO DPO OPZ. 1 Internal Audit
Compliance
Come è posizionato il DPO dal Risk Management
punto di vista organizzativo?
DPO OPZ.2
Direttore Generale
55% DPO nell’ambito della Funzione A Funzione B Legale
DPO OPZ.3
funzione compliance
DPO coincide con Compliance
27,5% Officer (OPZ. 1) 36% DPO a riporto Legale (OPZ. 3)
27,5% DPO a riporto Compliance (OPZ. 2) 9% DPO esternalizzato (OPZ. 4)24
ADEGUAMENTO AL GDPR PUNTEGGIO MEDIO IN RELAZIONE AL
POSIZIONAMENTO DEL DPO
POSIZIONAMENTO DEL DPO
Qual è il livello di
coordinamento/integrazione della
figura del DPO con le altre Funzioni di
DPO nell’ambito
della Compliance più di 3,5
Controllo? (da 1 a 5)
Punteggio medio
DPO a riporto Legale circa 2,5
3
3 DPO esternalizzato
Si evidenzia un maggior livello di coordinamento del DPO con le altre FdC nel caso di
posizionamento nell’ambito della funzione Compliance in virtù della già esistente
collaborazione stabilita con le altre FdC25
ADEGUAMENTO AL GDPR SI: integrazione nel GRC dei fattori
di rischio Privacy, correlandoli agli
La metodologia GRC integra impatti sanzionatori GDPR
tra i fattori di rischio quelli
relativi ai rischi Privacy, 60%
correlandoli agli impatti
sanzionatori GDPR?
con focus sulla lesione dei diritti degli interessati
No, analisi dei rischi privacy (privacy by design/DPIA)
NO, analisi dei rischi privacy con
40%
20%
focus sulla lesione dei diritti degli
interessati e analisi delle ricadute
sulla Compagnia
NO: fattori di rischio Privacy
NO, analisi dei rischi privacy non integrati nel GRC
(privacy by design/DPIA) con focus
sulla lesione dei diritti degli
interessati
20%
Più della metà dei rispondenti che hanno collocato il DPO nell’ambito della Compliance,
evidenziano l’integrazione dei fattori di rischio Privacy nel GRC26
ADEGUAMENTO AL GDPR
Sono state definite delle
regole per collegare i
20%
Si, è stato implementato il
collegamento in una soluzione trattamenti di dati personali
informatica
ai processi aziendali?
40% 60%
Si, sono state definite delle regole
di collegamento, ma non sono
state informatizzate con focus sulla lesione dei diritti degli interessati
dei rispondenti ha
No, analisi dei rischi privacy (privacy by design/DPIA)
definito regole per collegare
No, ma è in corso la valutazione
20% i trattamenti dei dati
personali ai processi
20%
aziendali
No, non è un tema a piano
20%
ne sta valutando
l’implementazione
Il 20% dei rispondenti non considerano prioritario definire regole per collegare i trattamenti di
dati ai processi aziendali27
ADEGUAMENTO AL GDPR
Come vi siete organizzati per
definire i termini di È stato adottato un tool
conservazione e gestione della
fase di cancellazione dei dati?
per il monitoraggio dei
termini 30%
con focus sulla lesione dei diritti degli interessati
40%
No, analisi dei rischi privacy (privacy by design/DPIA) È stata predisposta una
procedura aziendale
È in corso di analisi
30%
Il 70% dei rispondenti si è attivato per la definizione dei termini di conservazione e la gestione
della fase di cancellazione dei dati; il restante 30% ha avviato l’analisi28
ADEGUAMENTO AL GDPR
Esiste una procedura per la
gestione dei Data Breach? 11%
Procedura formalizzata assistita da 44,5%
tool di tracciatura delle azioni e degli
interventi di mitigazione con relativi
con focus sulla lesione dei diritti degli interessati
follow up
No, analisi dei rischi privacy (privacy by design/DPIA)
Procedura formalizzata di rilevazione
ed analisi che individua le strutture
coinvolte e definisce criteri e
parametri di valutazione
44,5%
Non è formalizzata una procedura, i
Data Breach sono rilevati e gestiti con
istruttorie attivate ad evento
Quasi il 90% dei rispondenti si è attivato per la formalizzazione di una procedura sul Data
Breach (nella metà dei casi supportata da tool); il restante 11% gestisce il Data Breach con
istruttorie ad evento29
ADEGUAMENTO AL GDPR
Strumenti di Office Soluzione
Abbiamo chiesto agli intervistati Automation informatica
quale sia la soluzione adottata
per gestire:
• Registro dei trattamenti 33% 67%
(22% integrata in GRC)
• Analisi dei rischi 44%
56%
(11% integrata in GRC)
• Data Breach 78%
22%
(11% integrata in GRC)
• Richieste interessati e rispetto 56%
tempistiche di risposta 44%
(NON integrata nel GRC)
Dalle risposte raccolte emerge margine di miglioramento in termini di informatizzazione degli
strumenti utilizzati nei diversi ambiti e ampio margine di integrazione della gestione di
adempimenti GDPR nel GRC30
LUGLIO –
SETTEMBRE
Survey alle
Compagnie
LUGLIO –
SEZIONE A
SETTEMBRE
2020
• Livello di coordinamento tra le Funzioni di
Controllo
Survey associati • Focus sul coordinamento nelle fasi di
Acorà 10
OTTOBRE NOVEMBRE pianificazione / esecuzione delle attività e
Elaborazione Evento condivisione delle azioni di rimedio
dei risultati ACORA’
raccolti
10
CONSIDERAZIONI
OTTOBRE
2020
NOVEMBRE
2020
SEZIONE B FINALI
Elaborazione Evento • Regole, modalità organizzative e strumenti
risultati ACORA’ implementati per garantire l’integrazione tra
Survey Funzioni di Controllo
SEZIONE C
• Livello di coordinamento del DPO con le altre
Funzioni di Controllo
• Regole, modalità organizzative e strumenti a
supporto dell’adeguamento al GDPR31
• Buono il livello di coordinamento percepito
nell’operatività delle FdC, con margini di
miglioramento soprattutto in termini di
definizione di scale di valutazione comuni
e integrazione nella reportistica di sintesi
per l’Alta Direzione
• Ancora poco diffusa l’adozione di una
piattaforma applicativa comune a supporto
dell’attività svolta dalle FdC
• Margini di miglioramento in termini di
integrazione della figura del DPO con le altre
FdC
• Con riferimento all’adeguamento al GDPR, margini
di miglioramento soprattutto in termini di:
✓ definizione dei termini di conservazione e la
gestione della fase di cancellazione dei dati
✓ informatizzazione degli strumenti utilizzatiGrazie per l’attenzione
Via Toscana 19/A
40069 – Zola Predosa (BO) Serena Bedendo Federica Toso
Manager SCS Senior Consultant SCS
Tel. +39 051 31 60 311 Cell.: +39 334 6892320 Cell.: +39 370 3340971
Fax +39 051 31 60 399 s.bedendo@scsconsulting.it f.toso@scsconsulting.it
info@scsconsulting.itPuoi anche leggere
