IT: Mesure et rgles de gestion des risques26/04/2013 Par Nicoletta Boldrini article original de ZeoUnoweb.ithttp://www.zerounoweb.it/casiutente/it-misurare-e-governare-per-gestire-il-rischio.htmlNotre Banque [Banca Popolare di Sondrio] confronte la gestion des risques du SystmedInformation (IT) par lutilisation dune saine gestion de la complexit en appliquant uneapproche interdisciplinaire structure."Implicitement la complexit est en constante volution et devient difficile gouverner : vousdevez savoir o vous tes tout moment et le mesurer. A commenc Milo Gusmeroli,directeur gnral adjoint et chef des placements de la Banca Popolare di Sondrio, en relationavec ZEROUNO sur toutes les questions essentielles lies au management de la complexit,confirmant quelle doit tre contrle et gre". Pour moi, la complexit de linformatique estune condition intrinsque - continue Gusmeroli - et cela peut ouvrir une nouvelle possibilitdtudes rvolutionnaires. Ne pas considrer la complexit serait une erreur, et pour le faire, ilest indispensable dutiliser une approche interdisciplinaire structure."Dans le cas de la Banca Popolare di Sondrio, la base de la gouvernance IT des banques estconstitue par les cinq piliers suivants : 1) Organisation (les personnes et les structures), 2)Mthodes (services et processus), 3) Architectures et systmes, 4) La gestion du portefeuille deprojets, 5) la budgtisation et la gestion de la performance."La simplification de la complexit conduit une plus grande capacit et une gouvernance plusefficace de larchitecture du domaine IT o les systmes jouent un rle dcisif", a dclarGusmeroli. Dans ce contexte, la Banca Popolare di Sondrio a mis en place un groupeArchitecture / Systmes et scurit dans le cadre dun Project Management Office (PMO) etnotre personnel a dfini un systme de contrle qui prend en compte non seulement lesmodles darchitecture (SOA, par exemple), mais aussi les choix dapprovisionnement."Lautre domaine important que nous considrons essentiel est de comprendre les subtilits delinformatique (pour mesurer et gouverner) est quil soit le rfrant au catalogue des servicesfournis (qui font partie du pilier de la mthodologie ), qui, en termes de contrle, permet auservice IT davoir une vue claire de la relation entre les processus bancaires, les unitsorganisationnelles, les services informatiques ncessaires au support et les ressourcesinformatiques adquates , explique Gusmeroli."Lunit ddie lensemble des projets, est le bureau de gestion de projet de Banca Popolare diSondrio pour ce qui est de la responsabilit de lintgration du budget, des projets du cataloguede services, reporting, mesure, notification et repositionnement [Il est galement connect pourle reporting la Banque dItalie en termes de Contrle Prudentiel pour la supervision desbanques - NDLR] , ajoute Gusmeroli. "Enfin, le primtre et la gestion de la performance dubudget a en charge la ralisation du Balanced Scorecard. Il intgre toute la partie des projetsdadministration et du catalogue de services demands par le management stratgique dessystmes dinformation. Les donnes doivent toujours tre associes des mesures objectiveslies aux objectifs de lentreprise."

Linterprtation des phnomnes, comment gouverner le Systme dInformationMilo Gusmeroli, directeur gnral adjoint et chef des placements Banca Popolare di SondrioCest une organisation tellement complexe et le Systme dInformation peut tre efficacementgouverne, mais il doit tre mesur avec prcision dans sa complexit, souligne Gusmeroli."Cette mesure est destine, dans notre cas, comprendre et interprter les phnomnes laide de systmes de contrle distance.""Linterprtation des phnomnes de la complexit et lutilisation de linformation quil gnrepar des systmes de contrle, bien que nous cherchons atteindre le plus haut niveau deprvisibilit du comportement des systmes IT (et donc de risque minimum), ont un impactdirect sur lentreprise , explique le CIO de la banque." Cest pourquoi nous introduisons unindicateur de stabilit qui nous permet davoir une vue sur le niveau de complexit et lesconsquences potentielles de sorte que ce niveau peut dterminer le profil du Business".Une orientation similaire est en cours de cration la Banca Popolare di Sondrio par la plate-forme OntoSpace, (solution de gestion des risques construit par Ontonix qui intgre lesprincipes et les algorithmes de mesure de la complexit des systmes ou processus), celaimplique ncessairement lintgration des donnes, des paramtres techniques et dautres denature diffrente. "Dans le systme de contrle, nous avons collect de nombreuses donnesainsi que des indicateurs de performance technique de larchitecture, ce qui est lquivalentdune analyse des risques oprationnels - dit Gusmeroli -. Ceux-ci sont ensuite intgres auxdonnes provenant dautres systmes, tel que le Balanced Scorecard , pour dterminer le risqueet valuer limpact sur la socit (son business). "Se rfrant des tudes de cas labores et en regardant par exemple lanalyse du serveur de labanque grce la technologie Ontonix, la Banque a t capable de vrifier que les performancesde la robustesse du systme montre une intense activit initiale (batch et ct utilisateur) quidiminue progressivement. Le systme, aprs une premire priode de tension, atteint unesituation dquilibre et des conditions de fonctionnement normales. Poursuivant lanalyse, il a

galement t constat que les variables les plus critiques semblent tre lies la gestion dustockage sur disque dur, lment que nous avons russi redimensionner. Le systme durant lespriodes de fonctionnement leve est plus expos aux ractions imprvisibles, ce qui ncessiteune plus grande attention de la direction."Linstrument utilis pour mesurer la complexit a galement t applique pour mesurer letemps de rponse des transactions et tester le comportement des applications, a dclar le CIO."Lanalyse des temps de rponse des applications a montr que llment surveiller avec plusdattention sont les moments de discontinuit , cest dire la transition entre les activits (parexemple un traitement en mode batch transfr en mode on-line)."Symptomatique et presque surprenant le rsultat de cette analyse a montr que 27% destransactions contribuent 80% de la complexit oprationnelle du systme. "Maintenant, nousavons plus dinformations pour dterminer quelles sont les applications et les transactions cls de la criticit et pourquoi, afin de mieux gouverner les systmes et les processus informatiques,rduisant ainsi le risque conduisant un indice lev de stabilit."Lanalyse de la Banca Popolare di Sondrio en cours vise ajouter dautres fonctionnalits autour dela complexit et de la robustesse potentielles et rsiduelles des systmes informatiques :notamment dans le voisinage du niveau critique de complexit (pour tre intgrs aux tableaux debord par des lments graphiques intuitifs), lorsque le comportement du systme devientimprvisible mettant ainsi la stabilit de la banque en pril. Sur la base de cette prise deconscience, la Banque a lanc des plans visant surveiller et mesurer le risque potentiel(reprsent par le niveau critique de complexit) et le risque rsiduel (qui vient de la distance entrela complexit relle mesure et le niveau de complexit identifi comme critique). Le risquersiduel, mesure en fait la quantit dindtermination [en calcul simultan], le systme est capablede rsister avant de perdre des fonctionnalits et de devenir alatoire, tandis que le risque actuelmesure la robustesse topologique et quantifie laptitude du systme prserver sa fonctionnalit. Il va sans dire que, pour maintenir un indice de la stabilit, le systme informatique doit rester une distance de scurit du seuil critique de complexit labor par anticipation , dit Gusmeroli.