L’attività di valutazione dei rischi informatici presuppone l’utilizzo di tutte le fonti informative disponibili per l’individuazione delle priorità in termini prudenziali.

In tale ottica rileva l’esigenza di permettere al Risk Manager e alla funzione IT di procedere con lo svolgimento di sessioni di IT Risk Self Assessment (nel seguito: IRSA) capaci di analizzare il profilo di rischio informatico della Banca mediante un processo che coinvolge tutte le strutture riconducibili ai sistemi esposti.

AIT Risk offre la possibilità di condurre attività di valutazione dei rischi informatici attraverso l’adozione di metodologie basate su standard di settore e/o policy interne che permettono di determinarne l’impatto potenziale.

Più in particolare, a seguito di apposita mappatura dei rischi informatici all’interno del perimetro circoscritto dagli scenari attesi (compresi quelli avversi relativi ai sistemi IT critici), il sistema permette di applicare un “framework metodologico” parametrizzabile in grado di coinvolgere, attraverso un flusso di lavoro, tutti gli utenti responsabili chiamati nella definizione dei livelli di impatto, frequenza ed adeguatezza del sistema dei controlli.

Tale flusso permette di gestire con particolare accuratezza la segregazione dei ruoli e dei contenuti, permettendo a ciascun utente coinvolto di effettuare la valutazione solo ed esclusivamente con riferimento all’indice di calcolo di propria pertinenza e, soprattutto, alle sole informazioni di cui è effettivamente responsabile.

Con A.IT Risk il Risk Manager può avvalersi di uno strumento caratterizzato da grande facilità d’uso, elevata configurabilità, nativa predisposizione alla documentabilità delle sessioni.

Durante lo svolgimento di una sessione di valutazione il sistema facilita il coordinamento degli utenti coinvolti attraverso messaggi automatici indirizzati a coloro che, a seguito di un passaggio di stato, sono coinvolti direttamente nelle fasi successive.

Al termine delle valutazioni, il sistema mette a disposizione reportistica strutturata degli esiti della sessione, offrendo quadri di sintesi che possono essere “navigati” secondo una logica “drill-down”.