OPERATIONAL AND IT RISK: verso lintegrazione di metodi e

strumenti

1

Allegato 1: Quadro normativo di riferimento
Le tecniche e modelli di valutazione e controllo del rischio in supporto
alladempimento dei punti normativi
In considerazione dellemanazione del 15 aggiornamento alla circolare 263/2006 da parte di Banca dItalia,
nella quale il Cap. 8 viene interamente dedicato ai Sistemi Informativi, nel corso denominato Operational
and IT Risk verranno analizzati nel dettaglio i nuovi requisiti normativi e come e quali - standard
internazionali di risk management e modelli di IT Risk Management trattati possono supportare
ladempimento normativo. In particolare verranno illustrati con esempi tratti da applicazioni reali:
La costruzione del framework di IT risk management
Il ritorno dellinvestimento nella riduzione del rischio IT e lintegrazione con lOperational Risk
Management
Limplementazione di un modello di risk assessment utilizzando gli strumenti delle ISO31010
La valutazione del modello di controllo e del rischio residuo
Lutilizzo dei metodi di inferenza per lindividuazione ed il controllo del rischio IT
Diagrammi di Shewart per lincident management
Diagrammi ANOVA per il controllo delle performances
Lutilizzo delle statistiche di controllo (Z critico, P value, T value) nellapplication testing

Tali modalit, largamente applicate nellindustria, possono essere applicate anche nellambito del
monitoraggio della fabbrica IT e del sistema di produzione ed erogazione del servizio informatico.
In particolare, facendo riferimento agli adempimenti richiesti nel 15 aggiornamento della circolare
263/2006 sopra citata, i metodi possono trovare applicazione per rispondere, ad esempio, ai seguenti
punti normativi:

Punti normativi del cap.8 Tecniche e modelli
Sez. 2, par.2 Compiti dellorgano con funzione di
supervisione strategica
- approva la propensione al rischio
informatico, avuto riguardo ai servizi interni
e a quelli offerti alla clientela, in conformit
con gli obiettivi di rischio e il quadro di
riferimento per la determinazione della
propensione al rischio definiti a livello
aziendale (cfr. Capitolo 7, Allegato C);

- approva la propensione al rischio
informatico, avuto riguardo ai servizi interni
e a quelli offerti alla clientela, in conformit
con gli obiettivi di rischio e il quadro di
riferimento per la determinazione della
propensione al rischio definiti a livello
aziendale (cfr. Capitolo 7, Allegato C);
Lapprovazione della propensione al rischio
informatico deriva da un appropriato RAF (Risk
Appetite Framework), di cui il rischio informatico
parte integrante.
Lapproccio top-down appare essere di difficile
applicazione in assenza di criteri di misurazione
oggettivi. E quindi preferibile un approccio bottom-
up dove si stabiliscono i criteri oggettivi e quantitativi
di misurazione, si predispone il quadro metodologico
di riferimento e quindi si procede con la misurazione.
Una volta eseguita la misurazione, che inizialmente
potr soffrire di poca storia e quindi di un maggior
livello di incertezza dei valori stimati (comunque
misurabile) si potr dare al management un quadro
oggettivo sia dal punto di vista quantitativo che
metodologico sul quale potranno essere fatte
considerazioni di soglia media e soglia target, in
accordo con una valutazione a questo punto di
propensione. Ad esempio, possibile definire un
modello di valutazione basato sui risk ticks, ovvero
frazionali di rischio che possono essere valutati con
algoritmi di scorecard e quantificati. La creazione di







OPERATIONAL AND IT RISK: verso lintegrazione di metodi e
strumenti

2
un grafico andamentale potr offrire al management
i razionali per valutare il trend di rischio.
Ovviamente, data lelevata quantit di asset (siano
essi programmi in produzione sulle diverse
piattaforme tecnologiche che asset fisici composti da
HW+SW) impossibile procedere con una
valutazione globale dellintero parco applicativo e
architetturale. Ci dovuto a 3 principali ragioni:
1. la numerosit degli elementi
2. la variabilit del contesto: le manutenzioni sono
tali che nellipotetico tempo in cui si potrebbe
completare lanalisi lo stato sarebbe
significativamente cambiato e la valutazione
essere obsoleta;
3. i costi inerenti alla valutazione massiva.
La soluzione potrebbe consistere nellapplicazione:

di modelli statistici inferenziali intervengono a
supporto della valutazione di rischio scambiando
un minimo di incertezza con la fattibilit
tempestiva a costi molto ridotti e sopportabili.
di diagrammi andamentali di Shewart, che
offrono un reporting direzionale quantitativo di
facile comprensione, matematicamente
dimostrabile e largamente impiegati.
di simulazioni montecarlo triangolari (worse
case, most likely, best case) che offrono una
visione complessiva e permettono di orientare le
decisioni in accordo con la propria propensione
al rischio.
Va evidenziato che tali tecniche non richiedono
significativi investimenti in strumenti informatici: R
(gratuito) molto potente e ragionevolmente
semplice da utilizzare e lo stesso excel pu essere,
soprattutto nelle fasi iniziali, pi che sufficiente.
Nondimeno, strumenti quali SAS, SPSS, Matlab, ecc.
in larga misura gi posseduti dalle banche sono
assolutamente adeguati allo scopo.

Sez. 2, par.2 Compiti dellorgano con funzione di
supervisione strategica
- approva il quadro di riferimento
organizzativo e metodologico per lanalisi
del rischio informatico, promuovendo
lopportuna valorizzazione
dellinformazione sul rischio tecnologico
allinterno della funzione ICT e
lintegrazione con i sistemi di misurazione e
gestione dei rischi (in particolare quelli
operativi, reputazionali e strategici);
Gli standard ISO31000 e ISO 31010 offrono gli spunti
e le best practices di riferimento per il risk
management, che possono essere contestualizzate al
rischio IT.
Sez. 2, par.3 Compiti dellorgano con funzione di
gestione
- definisce lassetto organizzativo,
Gli standard ISO31000 e ISO 31010 offrono gli spunti
e le best practices di riferimento per il risk
management, che possono essere contestualizzate al







OPERATIONAL AND IT RISK: verso lintegrazione di metodi e
strumenti

3
metodologico e procedurale per il processo
di analisi del rischio informatico,
perseguendo un opportuno livello di
raccordo con la funzione di risk
management per i processi di stima del
rischio operativo;
rischio IT.
Inoltre, la base dati di operational risk contiene
informazioni preziosissime per un loro utilizzo in
termini di riduzione del rischio IT e,
conseguentemente, una corrispondente riduzione
dei costi.
La normativa di Basilea 2 porta soprattutto per lIT a
registrazioni di dati di perdite incompleti, in quanto
non considera nellammontare della perdita i costi
interni, cosa che per la specificit dellET6 porta ad
avere pochissime perdite IT registrate. Oltre a ci le
perdite IT sono spesso derivanti da eventi di confine,
ovvero si manifestano e sono registrate su altro ET.
Esiste tuttavia il modo per valutare il ritorno
dellinvestimento degli interventi a partire dal singolo
evento. Il raccordo con la funzione di risk
management ha quindi un impatto economico
vantaggioso e riscontrabile oltre a raffinare il
processo di valutazione richiesto dalla normativa.
Sez. 2, par.3 Compiti dellorgano con funzione di
gestione
- monitora il regolare svolgimento dei
processi di gestione e di controllo dei servizi
ICT e, a fronte di anomalie rilevate, pone in
atto opportune azioni correttive;
I diagrammi andamentali di Shewart, raccordati con
le soglie impostate dei livelli di servizio, offrono un
reporting semplice per il controllo attuale e
tendenziale delle anomalie. Inoltre, costituiscono un
valido supporto per le decisioni, permettendo di
stabilire se un insieme di anomalie pu essere
strutturale o temporaneo e quali impatti economici,
normativi e reputazionali comportano, evitando
interventi che implicano costi ed impegni talvolta
senza un riscontro (quantificato) di ritorno
dellinvestimento apprezzabile, secondo la logica per
la quale non si spendono 100 euro per risolvere
problematiche che ne costano 10.
Sez. 2, par.5 La sicurezza informatica
- assicura il monitoraggio nel continuo delle
minacce applicabili alle diverse risorse
informatiche (cfr. Sezione IV, par. 3);
E possibile definire (ed stata definita) una
tassonomia delle minacce applicabili non solo alle
diverse risorse informatiche, ma anche ai processi di
governo delle risorse informatiche.
Ad ogni risorsa, ad un certo livello di dettaglio al fine
di evitare limpianto di un sistema dalla
manutenzione estremamente costosa, utilizzando
strumenti delle ISO31010, possibile associare le
minacce incombenti, i controlli e le mitigazioni in
essere.
Per mezzo di semplici algoritmi probabilistici si pu
quindi automatizzare il sistema dei controlli e offrire
una valutazione quantitativa del rischio assoluto, del
rischio mitigato (risultante dallapplicazione dei
controlli e delle mitigazioni) e il rischio residuo, pari
alla differenza fra i due.
Le valutazioni quindi possono offrire una stima anche
economica di efficienza, efficacia e valore del sistema
dei controlli in essere.
Gli esiti delle valutazioni possono essere riportate in
un tableau de bord direzionale che offra, tempo per
tempo, il polso della situazione complessivo.
Sez. 2, par.6 Il controllo del rischio informatico e la
compliance ICT
- il controllo dei rischi, basato su flussi
I modelli statistici inferenziali combinati con le
valutazioni di efficacia dei controlli di cui ai punti
precedenti possono offrire una visione complessiva e







OPERATIONAL AND IT RISK: verso lintegrazione di metodi e
strumenti

4
informativi continui in merito allevoluzione
del rischio informatico e sul monitoraggio
dellefficacia delle misure di protezione
delle risorse ICT. La gestione del
complessivo rischio informatico si raccorda
con il processo di analisi sulle singole risorse
ICT (cfr. Sezione III). Le valutazioni svolte
sono documentate e riviste in rapporto ai
risultati del monitoraggio e comunque
almeno una volta lanno.
di dettaglio sullefficacia delle misure di protezione,
con monitoraggio periodico tramite diagrammi di
Shewart.
Sez. 3, par.1 Lanalisi del rischio informatico
Il processo di analisi svolto con il concorso
dellutente responsabile, del personale della
funzione ICT, delle funzioni di controllo dei
rischi, di sicurezza informatica e, ove
opportuno, dellaudit, secondo metodologie
e responsabilit formalmente definite
dallorgano con funzione di gestione.
Esso si compone delle seguenti fasi:
- la valutazione del rischio potenziale cui
sono esposte le risorse informatiche
esaminate;
- il trattamento del rischio, volto a
individuare, se necessario, misure di
attenuazione di tipo tecnico o
organizzativo idonee a contenere il rischio
potenziale.
Lanalisi determina il rischio residuo da
sottoporre ad accettazione formale
dellutente responsabile (5). Qualora il
rischio residuo ecceda la propensione al
rischio informatico, approvato dallorgano
con funzione di supervisione strategica (cfr.
Sezione II, par. 2), lanalisi propone
ladozione di misure alternative o ulteriori di
trattamento del rischio (6), definite con il
coinvolgimento della funzione di controllo
dei rischi e sottoposte allapprovazione
dellorgano con funzione di gestione.
Per le procedure in esercizio, per le quali
non stata svolta unanalisi del rischio in
fase di sviluppo, comunque prevista una
valutazione integrativa, al fine di individuare
eventuali presidi in aggiunta a quelli gi in
essere, da attuare secondo uno specifico
piano di implementazione. I tempi di
attuazione del piano e i presidi
compensativi di tipo organizzativo o
procedurale nelle more dellattuazione,
sono documentati e sottoposti
allaccettazione formale dellutente
responsabile.
I risultati del processo (livelli di
classificazione, rischi potenziali e residui,
lista delle minacce considerate, elenco dei
presidi individuati), ogni loro
aggiornamento successivo, le assunzioni
Il paragrafo rappresenta la summa di tutti i punti
precedentemente toccati.
La criticit di svolgimento del processo di analisi con
lutente responsabile connessa ad un vero e
proprio processo di change management culturale,
con il quale introdurre competenze di risk
management e di IT verso gli utenti finali in modo
tale che essi possano offrire il proprio contributo. E
un cambio di percezione, che sebbene sia datato (il
processo di allineamento fra ICT e business uno dei
cardini dellICT governance) amplia il perimetro a
considerare il rischio IT come elemento integrativo
fondamentale del processo di allineamento fra i piani
di business ed il sistema di erogazione del servizio.
E inevitabile che i primi passi di compliance debbano
tenere conto della complessit di tale change
management offrendo report e valutazioni
semplificate e di facile comprensione. Nondimeno,
opportuno un intervento di formazione e diffusione
della cultura di base.
La valutazione del rischio potenziale pu essere
effettuata per mezzo di self assessment, integrati con
valutazioni quantitative dei fenomeni rivenienti dalle
analisi statistiche inferenziali e dalle simulazioni. Le
ISO31010 offrono alcuni strumenti molto utili (e
standard, come le tecniche HAZOP e HACCP) per un
self assessment ordinato, semiquantitativo e
monitorabile.
Tecniche di simulazione montecarlo triangolari come
precedentemente accennate possono offrire
valutazioni di scenario del rischio potenziale e del
rischio residuo in modo tale da raccordarsi con il RAF
e permettere al management di attuare le proprie
decisioni.
Per quanto concerne le procedure in esercizio, nei
confronti delle quali si interviene su un ambiente gi
consolidato da tempo, la valutazione integrativa pu
essere effettuata per mezzo di tecniche di statistica
inferenziale. Fondamento per lutilizzo di tali
tecniche la classificazione dei fenomeni per i quali
si vuole procedere con una quantificazione iniziale ed
un monitoraggio successivo. Risultano utili le
classificazioni delle minacce precedentemente citate
per le quali pu essere effettuato un back tracking,
ovvero: quali possono essere le situazioni nel codice
dei programmi in produzione che espongono al
rischio di manifestazione di tale minaccia.







OPERATIONAL AND IT RISK: verso lintegrazione di metodi e
strumenti

5
operate e le decisioni assunte, sono
documentati e portati a conoscenza
dellorgano con funzione di gestione.
Il processo di analisi del rischio ripetuto
con periodicit adeguata alla tipologia delle
risorse ICT e dei rischi e, comunque, in
presenza di situazioni che possono
influenzare il complessivo livello di rischio
informatico.
Non necessario peraltro ampliare la base
campionaria, dal momento che su un unico
campione possono essere effettuate pi analisi
aventi tutte la medesima valenza in termini di errore
e intervallo di confidenza della stima.



Il cap.8 nel suo complesso molto puntuale e unanalisi esaustiva di tutti i punti (nellesemplificazione di
cui sopra sono stati trattati solo pochi esempi di 4 paragrafi) richiederebbe unintera pubblicazione.
Tuttavia, prendendo a prestito la famosa frase del Presidente Obama Yes, we can, oseremmo dire che gli
strumenti, le tecniche e le modalit ci sono e sono collaudate. Non semplice calarle nel contesto dei
processi e sistemi IT bancari, affermare il contrario non sarebbe serio. Per altrettanto seriamente si pu
affermare che forse sono meno complicate di quanto si possa pensare, si tratta di apprenderle ed evolverle
sapendo che un processo di change management culturale ed organizzativo che richiede tempo ma,
soprattutto, che porta a risultati tangibili forse al momento non ancora appropriatamente valutati.







INFORMAZIONI GENERALI
Il numero di partecipanti ammessi potr variare da un minimo di 10 ad un massimo di 25. CeTIF si riserva di attivare o meno
il corso, qualora non venga raggiunto il numero minimo previsto di adesioni.
Per ulteriori informazioni contattare Elizabeta Kriste (elizabeta.kriste@unicatt.it 027234 0272348342), Serena Piccirillo
(serena.piccirillo@unicatt.it 0272342590)

TUTELA DEI DATI PERSONALI INFORMATIVA
CeTIF, ai sensi dell'articolo 07 della legge 30 giugno 2003, n. 196, dichiara che i dati personali inseriti saranno trattati - anche con l'ausilio di mezzi elettronici per finalit riguardanti l'esecuzione degli obblighi relativi
alla suddetta adesione. Il compilatore informato che a norma dell'articolo 13 della sopraccitata legge 196/2003, in ogni momento potr avere accesso ovvero richiedere la modifica e/o la cancellazione dei propri dati
personali rivolgendosi direttamente al Responsabile dei Dati dell'Universit Cattolica, Largo Gemelli 1 - 20123 Milano.