Caso Utente

It: misurare e governare per gestire il rischio

L’istituto bancario affronta il risk management dei sistemi informativi anche attraverso una gestione della complessità basata su un approccio strutturato e interdisciplinare.

Pubblicato il 19 Apr 2013

“La complessità è implicita nell’evoluzione, ma per governarla bisogna conoscerla e misurarla”. Esordisce così Milo Gusmeroli, Vice Direttore Generale e Cio di Banca Popolare di Sondrio, nel raccontare a ZeroUno le criticità legate a un It complesso che deve essere controllato e gestito. “A mio avviso la complessità nell’It è una ‘condizione intrinseca’ – prosegue Gusmeroli – che però potrebbe aprire nuove opportunità evolutive. Sarebbe un errore non considerarla, ma per farlo, è fondamentale un approccio strutturato e interdisciplinare”.
Nel caso di Banca Popolare di Sondrio, il governo dell’It fonda le proprie basi su cinque pilastri: organizzazione (intesa come persone e struttura), metodologie (servizi e processi), architetture e sistemi, project portfolio management,  budget e performance management.
“Nell’ottica delle semplificazione della complessità e della maggior capacità ed efficacia di governo, l’area delle architetture e dei sistemi riveste un ruolo determinante”, commenta Gusmeroli. In quest’ambito Banca Popolare di Sondrio ha istituito una funzione ‘Architettura/Sistemi e Sicurezza’ in staff al Cio e ne ha definito un sistema di controllo che tiene conto non solo dei modelli architetturali (Soa, per esempio), ma anche delle scelte di provisioning.

“L’altro importante ambito che riteniamo fondamentale per conoscere la complessità dell’It (e quindi misurarlo e governarlo) afferisce al catalogo dei servizi erogati (che rientra nel pilastro ‘metodologie’), il quale, sotto il profilo del controllo, consente all’It di avere una vista chiara delle relazioni esistenti fra processi bancari, unità organizzative, servizi It a supporto e risorse informatiche”, spiega Gusmeroli.
“Quanto all’unità dedicata al portafoglio dei progetti informatici, ossia il Project management office, in Banca Popolare di Sondrio questo ha la responsabilità dell’integrazione fra budget, progetti/catalogo servizi, reportistica, misurazione, rendicontazione e riposizionamento [questo anche per aderire al documento della Banca d’Italia in tema di Vigilanza prudenziale per le banche – ndr]”, aggiunge ancora Gusmeroli. “Infine, l’ambito budget e performance management ha in carica i balanced scorecard, integrando comunque tutta la parte di amministrazione dei progetti e il catalogo servizi per una gestione strategica dell’It che deve sempre essere supportata da misure oggettive e legate agli obiettivi di business”.

Interpretare i fenomeni per governarli

Milo Gusmeroli, Vice Direttore Generale e Cio di Banca Popolare di Sondrio

“Un’organizzazione It così complessa, affinché possa essere efficacemente governata, deve essere misurata proprio nella sua complessità”, evidenzia Gusmeroli. “Tale misurazione è finalizzata, nel nostro caso, a capire e interpretare i fenomeni attraverso sistemi di controllo a distanza”.
“L’interpretazione dei fenomeni e l’utilizzo delle informazioni che ne scaturiscono nei sistemi di controllo, pur essendo in carico all’It che mira a raggiungere il più elevato livello di prevedibilità del comportamento dei sistemi It (e quindi il minimo rischio), hanno un impatto diretto sul business”, spiega ancora il Cio della banca. “Per questo motivo stiamo introducendo un indicatore di stabilità che ci consente di avere una vista sul livello di complessità dell’It e delle potenziali conseguenze che tale livello può determinare sul profilo del business”.
Una simile vista, in corso di creazione in Banca Popolare di Sondrio attraverso la piattaforma OntoSpace, (soluzione di risk management realizzata da Ontonix che incorpora principi e algoritmi per la misurazione della complessità di sistemi o processi) implica necessariamente l’integrazione di dati e parametri sia tecnici sia di diversa natura. “All’interno del sistema di controllo abbiamo raccolto dati sia tecnici come le performance delle architetture sia derivanti dall’analisi dei rischi operativi – spiega Gusmeroli -. Questi vengono integrati poi con dati provenienti anche da altri sistemi, per esempio i balance scorecard, per determinare il rischio It e valutarne l’impatto sul business”.
Riferendoci ad alcuni casi di studio sviluppati e guardando ad esempio all’analisi dell’attività di un server della banca, attraverso la tecnologia di Ontonix, l’istituto ha potuto verificare che l’andamento della robustezza del sistema mostra una iniziale intensa attività (sia batch sia lato utente) che, progressivamente, decresce. Il sistema, dopo un primo periodo di tensione, raggiunge una situazione di equilibrio e normalità operativa. Proseguendo nell’analisi, è emerso  che le variabili maggiormente critiche appaiono essere legate alla gestione del disco fisso, elemento peraltro rivelatosi da ridimensionare. Il sistema nei periodi di elevata operatività è risultato maggiormente esposto a reazioni imprevedibili, richiedendo una maggiore attenzione gestionale.

“Lo strumento di misurazione della complessità è stato applicato anche per misurare i tempi di risposta delle transazioni e verificare quindi il comportamento delle applicazioni”, sottolinea il Cio. “L’analisi sui tempi di risposta degli applicativi ha evidenziato che l’elemento da monitorare con maggior scrupolo è il ‘momento di discontinuità’, ovvero di passaggio tra attività (per esempio da batch a online)”.
Sintomatico e quasi ‘sorprendente’ il risultato di tali analisi: il 27% delle transazioni contribuisce all’80% della complessità gestionale del sistema. “Ma adesso abbiamo ulteriori informazioni per determinare quali applicazioni e transazioni sono ‘centriche’ e perché, nell’ottica di governare meglio i sistemi e i processi, con conseguente riduzione del rischio e quindi con un maggior indice di stabilità”.
L’analisi in corso presso Banca Popolare di Sondrio è volta a evidenziare anche altre caratteristiche sul ‘rischio potenziale’ e ‘residuo’ rispetto alla complessità e robustezza dei sistemi: in prossimità del livello di complessità critica (da riportare su dashboard con elementi grafici intuitivi), i comportamenti di un sistema diventano imprevedibili mettendo così ad alto rischio la stabilità. Partendo da questa consapevolezza, la banca ha avviato piani volti al monitoraggio e alla misurazione del rischio potenziale (rappresentato dal livello di complessità critica) e del rischio residuo (che deriva dalla distanza tra la reale complessità misurata e il livello di complessità identificato come ‘critico’). Il rischio residuo, di fatto, misura la quantità di indeterminatezza che il sistema è in grado di reggere prima di iniziare a perdere funzionalità e diventare inattendibile, mentre il rischio attuale misura la robustezza topologica e quantifica la capacità del sistema di preservare le sue funzionalità.
“Va da sé, che per riuscire a mantenere un indice di stabilità ottimale, il sistema It deve tenersi a una distanza di sicurezza dal livello di complessità critica”, conclude Gusmeroli.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 3