Banque Populare de Sondrio VF (Risque Informatique et metier)

313
-1

Published on

Mesure & règles de gestion des risques informatiques
26/04/2013 Par Nicoletta Boldrini article original de ZeoUnoweb.it
http://www.zerounoweb.it/casiutente/it-misurare-e-governare-per-gestire-il-rischio.html
Notre Banque [Banca Popolare di Sondrio] confronte la gestion des risques du Système
d’Information (IT) par l'utilisation d'une saine gestion de la complexité en appliquant une
approche interdisciplinaire structurée.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
313
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
7
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Banque Populare de Sondrio VF (Risque Informatique et metier)

  1. 1. IT: Mesure et règles de gestion des risques26/04/2013 Par Nicoletta Boldrini article original de ZeoUnoweb.ithttp://www.zerounoweb.it/casiutente/it-misurare-e-governare-per-gestire-il-rischio.htmlNotre Banque [Banca Popolare di Sondrio] confronte la gestion des risques du Systèmed’Information (IT) par lutilisation dune saine gestion de la complexité en appliquant uneapproche interdisciplinaire structurée."Implicitement la complexité est en constante évolution et devient difficile à gouverner : vousdevez savoir où vous êtes à tout moment et le mesurer.» A commencé Milo Gusmeroli,directeur général adjoint et chef des placements de la Banca Popolare di Sondrio, en relationavec ZEROUNO sur toutes les questions essentielles liées au management de la complexité,confirmant quelle doit être contrôlée et gérée". Pour moi, la complexité de linformatique estune « condition intrinsèque »- continue Gusmeroli - et cela peut ouvrir une nouvelle possibilitéd’études révolutionnaires. Ne pas considérer la complexité serait une erreur, et pour le faire, ilest indispensable dutiliser une approche interdisciplinaire structurée."Dans le cas de la Banca Popolare di Sondrio, la base de la gouvernance IT des banques estconstituée par les cinq piliers suivants : 1) Organisation (les personnes et les structures), 2)Méthodes (services et processus), 3) Architectures et systèmes, 4) La gestion du portefeuille deprojets, 5) la budgétisation et la gestion de la performance."La simplification de la complexité conduit à une plus grande capacité et une gouvernance plusefficace de larchitecture du domaine IT où les systèmes jouent un rôle décisif", a déclaréGusmeroli. Dans ce contexte, la Banca Popolare di Sondrio a mis en place un groupe«Architecture / Systèmes et sécurité» dans le cadre d’un Project Management Office (PMO) etnotre personnel a défini un système de contrôle qui prend en compte non seulement lesmodèles darchitecture (SOA, par exemple), mais aussi les choix dapprovisionnement."Lautre domaine important que nous considérons essentiel est de comprendre les subtilités delinformatique (pour mesurer et gouverner) est qu’il soit le référant au catalogue des servicesfournis (qui font partie du pilier de la « méthodologie »), qui, en termes de contrôle, permet auservice IT davoir une vue claire de la relation entre les processus bancaires, les unitésorganisationnelles, les services informatiques nécessaires au support et les ressourcesinformatiques adéquates », explique Gusmeroli."Lunité dédiée à lensemble des projets, est le bureau de gestion de projet de Banca Popolare diSondrio pour ce qui est de la responsabilité de lintégration du budget, des projets du cataloguede services, reporting, mesure, notification et repositionnement [Il est également connecté pourle reporting à la Banque dItalie en termes de Contrôle Prudentiel pour la supervision desbanques - NDLR] », ajoute Gusmeroli. "Enfin, le périmètre et la gestion de la performance dubudget a en charge la réalisation du Balanced Scorecard. Il intègre toute la partie des projetsdadministration et du catalogue de services demandés par le management stratégique dessystèmes d’information. Les données doivent toujours être associées à des mesures objectivesliées aux objectifs de lentreprise."
  2. 2. Linterprétation des phénomènes, comment gouverner le Système d’InformationMilo Gusmeroli, directeur général adjoint et chef des placements Banca Popolare di Sondrio«Cest une organisation tellement complexe et le Système d’Information peut être efficacementgouvernée, mais il doit être mesuré avec précision dans sa complexité», souligne Gusmeroli."Cette mesure est destinée, dans notre cas, à comprendre et à interpréter les phénomènes àlaide de systèmes de contrôle à distance.""Linterprétation des phénomènes de la complexité et lutilisation de linformation quil génèrepar des systèmes de contrôle, bien que nous cherchons à atteindre le plus haut niveau deprévisibilité du comportement des systèmes IT (et donc de risque minimum), ont un impactdirect sur lentreprise », explique le CIO de la banque." Cest pourquoi nous introduisons unindicateur de stabilité qui nous permet davoir une vue sur le niveau de complexité et lesconséquences potentielles de sorte que ce niveau peut déterminer le profil du Business".Une orientation similaire est en cours de création à la Banca Popolare di Sondrio par la plate-forme OntoSpace, (solution de gestion des risques construit par Ontonix qui intègre lesprincipes et les algorithmes de mesure de la complexité des systèmes ou processus), celaimplique nécessairement lintégration des données, des paramètres techniques et d’autres denature différente. "Dans le système de contrôle, nous avons collecté de nombreuses donnéesainsi que des indicateurs de performance technique de larchitecture, ce qui est l’équivalentdune analyse des risques opérationnels - dit Gusmeroli -. Ceux-ci sont ensuite intégrées auxdonnées provenant dautres systèmes, tel que le Balanced Scorecard , pour déterminer le risqueet évaluer l’impact sur la société (son business). "Se référant à des études de cas élaborées et en regardant par exemple lanalyse du serveur de labanque grâce à la technologie Ontonix, la Banque a été capable de vérifier que les performancesde la robustesse du système montre une intense activité initiale (batch et côté utilisateur) quidiminue progressivement. Le système, après une première période de tension, atteint unesituation déquilibre et des conditions de fonctionnement normales. Poursuivant lanalyse, il a
  3. 3. également été constaté que les variables les plus critiques semblent être liées à la gestion dustockage sur disque dur, élément que nous avons réussi à redimensionner. Le système durant lespériodes de fonctionnement élevée est plus exposé aux réactions imprévisibles, ce qui nécessiteune plus grande attention de la direction."Linstrument utilisé pour mesurer la complexité a également été appliquée pour mesurer letemps de réponse des transactions et tester le comportement des applications», a déclaré le CIO."Lanalyse des temps de réponse des applications a montré que lélément à surveiller avec plusdattention sont les« moments de discontinuité », cest à dire la transition entre les activités (parexemple un traitement en mode ‘batch’ transféré en mode ‘on-line’)."Symptomatique et presque «surprenant» le résultat de cette analyse a montré que 27% destransactions contribuent à 80% de la complexité opérationnelle du système. "Maintenant, nousavons plus dinformations pour déterminer quelles sont les applications et les transactions « clés »de la criticité et pourquoi, afin de mieux gouverner les systèmes et les processus informatiques,réduisant ainsi le risque conduisant à un indice élevé de stabilité."Lanalyse de la Banca Popolare di Sondrio en cours vise à ajouter dautres fonctionnalités autour dela complexité et de la robustesse «potentielles» et «résiduelles» des systèmes informatiques :notamment dans le voisinage du niveau critique de complexité (pour être intégrés aux tableaux debord par des éléments graphiques intuitifs), lorsque le comportement du système devientimprévisible mettant ainsi la stabilité de la banque en péril. Sur la base de cette prise deconscience, la Banque a lancé des plans visant à surveiller et à mesurer le risque potentiel(représenté par le niveau critique de complexité) et le risque résiduel (qui vient de la distance entrela complexité réelle mesurée et le niveau de complexité identifié comme critique). Le risquerésiduel, mesure en fait la quantité dindétermination [en calcul simultané], le système est capablede résister avant de perdre des fonctionnalités et de devenir aléatoire, tandis que le risque actuelmesure la robustesse topologique et quantifie laptitude du système à préserver sa fonctionnalité.« Il va sans dire que, pour maintenir un indice de la stabilité, le système informatique doit rester àune distance de sécurité du seuil critique de complexité élaboré par anticipation », dit Gusmeroli.

×