Consigli per la navigazione

Il pulsante Menu consente l’accesso alle singole sezioni.

Il pulsante Home alla fine di ogni sezione riporta all’inizio del corso.

Il pulsante Risorse visualizza un elenco di link utili.

Il pulsante Cambia lingua permette di passare a una lingua differente.

Il pulsante Chiudi conclude la sessione di formazione e chiude la finestra del corso.

Se stai accedendo al corso da un dispositivo personale direttamente su Internet (al di fuori della rete di Citi), alcuni link potrebbero non funzionare se riferiti a contenuti interni alla rete aziendale di Citi. Ciò non avrà alcun effetto sulla tua capacità di completare il corso.

Perché questo?

Questo corso è parte integrante dell’Enterprise Risk Management Training Program (ERMTP) di Citi, un programma didattico costituito da una serie di corsi finalizzati a conoscere e comprendere le proprie responsabilità in materia di rischi e controlli.

Perché ora?

L’Enterprise Risk Management Framework (ERMF) è lo standard di Citi per la gestione del rischio. Nell’ambito delle competenze di supporto dell’Enterprise Risk Management Framework (ERMF) di Citi, ci impegniamo a fornire al personale di Citi le conoscenze e la formazione necessarie ad adempiere le responsabilità quotidiane in materia di rischi e controlli.

Perché noi?

La gestione del rischio è un compito condiviso da tutte le persone di Citi. Siamo tutti gestori del rischio. Il rischio è parte integrante dell’attività di Citi e non può essere evitato. Tutti devono essere vigili e gestire i rischi con coerenza e partecipazione, garantendo al contempo la conformità alle leggi e alle normative applicabili.

Quali sono i vantaggi?

Consapevolezza e conoscenza uniforme della politica in materia di rischi e controlli, dei ruoli e delle responsabilità in tutte le linee di difesa.

Obiettivi di apprendimento del corso

Al termine del corso sarai in grado di:

• Identificare gli strumenti sviluppati per l’End User Computing (EUC) nelle attività quotidiane
• Ricordare i rischi associati all’uso di EUC
• Spiegare le tue responsabilità nell’identificazione dei rischi associati agli EUC
• Descrivere le tue responsabilità riguardo alla prevenzione dei rischi associati agli EUC
• Identificare le soluzioni atte a ridurre i rischi associati agli EUC

Panoramica dell’End User Computing

Con EUC si intende qualsiasi strumento che soddisfi tutti i seguenti criteri:

• è sviluppato o gestito da un utente finale (qualsiasi membro del personale); E
• NON è controllato da alcun processo IT approvato (per es. lo standard Citi Solution Delivery Life Cycle (CSDLC)); E
• contiene unità di logica; E
• viene usato regolarmente e ripetutamente nell’ambito di un processo commerciale; E
• viene utilizzato in ambito normativo, gestionale e per il reporting dai comitati di governance, caricato in un software autorizzato di gestione dei dati (System of Record (SoR) o Authorized Redistributor (AR)) o usato per supportare un processo commerciale nella valutazione del controllo del responsabile (Manager’s Control Assessment, MCA).

Che cosa non è un EUC?

È importante distinguere gli EUC dagli strumenti gestiti dalla divisione Information Technology (IT).

Gli strumenti sviluppati dalla divisione IT nonché gestiti e controllati centralmente, come Workday o Citi Travel & Expense, NON sono EUC.

Analogamente, anche gli strumenti usati per assolvere una tantum un compito o per automatizzare un’attività senza l’impiego di unità di logica NON sono considerati EUC.

Ulteriori esempi di strumenti che non soddisfano i criteri di classificazione degli EUC includono:

• modelli scaricati dalla piattaforma Marketplace di Citi per richieste di caricamento collettivo
• file di MS Excel usati per archiviare dati di riferimento da usare nei report senza il ricorso ad alcuna manipolazione o calcolo
• documenti di MS PowerPoint o fogli elettronici di MS Excel usati per consolidare dati raffiguranti risultati, al fine di stilare una relazione senza calcoli o analisi dei dati

Ora che abbiamo chiarito cosa distingue gli EUC da altri strumenti IT, vediamo in che modo il loro uso può introdurre fattori di rischio per Citi.

Effettuazione di una valutazione del rischio

I risultati ricavati da Jared dai criteri dell’albero decisionale per EUC e ITeSS indicano che il foglio elettronico è un EUC.

In quanto EUC, il foglio elettronico non è conforme allo standard e alla politica sugli EUC e pertanto può essere occasione di una potenziale esposizione al rischio per l’azienda nel caso in cui Jared continuasse a utilizzarlo.

Ora che Jared ha scoperto che sta usando un EUC, dovrà registrare l’EUC nell’inventario degli EUC, effettuare una valutazione del rischio e implementare controlli appropriati.

Per questa nuova fase, Jared ha deciso di lavorare insieme a Priya per vedere se esiste la possibilità di sostituire il foglio elettronico con una soluzione alternativa approvata dalla divisione IT.

Ciò permetterà di ridurre il ricorso a strumenti End User Computing (EUC) e di mitigare i rischi a essi correlati con controlli di livello superiore a vantaggio della sicurezza e della solidità aziendale.

Riepilogo dei contenuti

• Uno strumento di End User Computing (EUC) è una soluzione creata dal personale di Citi per automatizzare un processo regolare e ripetitivo, che non viene controllata da Information Technology approvate da Citi.
• Il personale di Citi deve essere consapevole dei rischi associati agli EUC.
• Per scoprire se uno strumento è un EUC o una ITeSS, è necessario utilizzare l’albero decisionale per EUC e ITeSS.
• Ricorda che è responsabilità di tutti identificare gli EUC esistenti e/o considerare alternative approvate dalla divisione IT per evitare l’uso di EUC.

Per ulteriori indicazioni, contatta il EUC Champion della tua funzione/unità aziendale per ricevere assistenza con l’albero decisionale per EUC e ITeSS e/o per individuare ITeSS e altre soluzioni da utilizzare in alternativa agli EUC.