ARTICOLI

Il processo di Business Continuity Management a garanzia dell’operatività aziendale in caso di emergenza

Dott.Andrea Giacchero

04 Ottobre 2012

Gli eventi drammatici del recente passato hanno contribuito a sancire definitivamente l'importanza della Business Continuity per la sopravvivenza aziendale.

Basti pensare ad alcuni dei più drammatici eventi:

  • attacco terroristico alle Torri Gemelle dell'11 settembre 2001, che ha causato un’elevata perdita di vite umane ed una significativa interferenza sull’intera economia mondiale;

  • epidemia di Sars del 2002-2003, che ha comportato per molte aziende l’improvvisa assenza di un numero elevato di dipendenti dal posto di lavoro per diverso tempo, a causa della quarantena imposta dalle autorità per tutte le persone venute a contatto con soggetti infetti;

  • incidente occorso alla centrale nucleare di Fukushima, a seguito del terremoto e maremoto che hanno colpito il Giappone l'11 marzo 2011: al riguardo, l'Organizzazione Mondiale della Sanità ha dichiarato che le radiazioni provocate dal disastrato impianto nucleare sono entrate nella catena alimentare, causando una grave contaminazione ambientale.

I black-out a Piazza Affari, a Parigi e a Londra del 2011 hanno evidenziato i rischi che gravano sui sistemi informatici che gestiscono le piazze finanziarie, mettendo in risalto l’incapacità di gestire eventi improvvisi ed imprevisti. A farne le spese sono state soprattutto le banche, che hanno dimostrato di essere impreparate a gestire un simile imprevisto perché sprovviste di un adeguato sistema di Business Continuity.

I rischi, che gravano sui sistemi informatici, possono causare conseguenze che vanno oltre il semplice blocco di qualche ora dell’infrastruttura informatica dovuto a un bug nei sistemi informatici, soprattutto quando il blocco è dovuto a gravi fenomeni naturali.

Esiste un preoccupante problema di mancanza di prevenzione. Secondo uno studio condotto dall’Osservatorio Business Continuity di Abi Lab, quattro istituti di credito su dieci aggiornano le proprie analisi sulla continuità di business solo in caso di cambiamenti rilevanti, mentre solo uno su quattro lo fa ogni anno e il resto con periodicità variabile. Non stanno meglio le imprese degli altri settori: solo i due terzi delle grandi organizzazioni hanno sviluppato piani di Business Continuity. Tale atteggiamento potrebbe essere indotto anche dalla complessità di implementazione dei framework metodologici per la continuità operativa, proposti da società di consulenza, enti ed organismi governativi.

Le aziende dovrebbero definire un piano di continuità operativa per la gestione di crisi causate sia da incidenti di portata settoriale che da catastrofi - più o meno estese - che colpiscono l’azienda o le sue controparti rilevanti (altre società del gruppo, fornitori, clientela primaria, specifici mercati finanziari). Il piano si inquadra nella complessiva strategia aziendale sulla sicurezza e tiene conto delle minacce, delle vulnerabilità e delle misure preventive poste in essere per garantire il raggiungimento degli obiettivi aziendali.

La gestione della continuità operativa del business, altrimenti detta Business Continuity Management (BCM), comprende tutte le iniziative finalizzate a ridurre - ad un livello ritenuto accettabile - gli effetti disastrosi in seguito a incidenti e catastrofi che colpiscono direttamente o indirettamente i processi critici di un’azienda, assicurando una tempestiva ripartenza in caso di interruzione dell’operatività.

Acquisire consapevolezza delle attività critiche dell’azienda comporta un aumento di efficienza dei processi aziendali. Un'attività è critica se ha bisogno di essere ripristinata nel più breve tempo possibile.

Nel settore del credito, la predisposizione di misure idonee a contrastare un incidente è stabilita dalle direttive degli Organismi di Vigilanza sui mercati, proprio per non lasciare agli operatori di settore margine di discrezionalità. Queste direttive sono volte, innanzitutto, a salvaguardare l'aspetto reputazionale di un’azienda: l’implementazione di un adeguato sistema di Business Continuity è un valore aggiunto che andrebbe comunicato ai clienti, potenziali ed effettivi, a dimostrazione che l’intera organizzazione saprebbe come comportarsi in caso di necessità.

L’applicazione di un corretto Business Continuity Plan dovrebbe consentire di:

  • assicurare una risposta immediata al realizzarsi di eventi catastrofici/critici per l'azienda;

  • reagire alla crisi secondo le procedure predefinite e testate;

  • intervenire con personale adeguatamente addestrato;

  • minimizzare il tempo di interruzione dei processi critici che bloccano l'operatività aziendale;

  • continuare ad onorare gli impegni contrattualmente assunti, salvaguardando la reputazione di fronte agli stakeholder.

Il BCM si pone l'obiettivo di predisporre, testare e, in caso di necessità, implementare tutte le opportune misure di gestione ex post - monitoraggio, contenimento, riduzione e finanziamento del danno - atte a ripristinare le attività aziendali critiche. Allo stesso tempo, il BCM riguarda l'adozione di misure di gestione ex ante - strategie di prevenzione, protezione e copertura -, volte a ridurre la probabilità di accadimento di un evento in grado di pregiudicare la continuità operativa delle attività aziendali critiche. Attraverso la gestione ex ante dei rischi, si cerca di ridurne le probabilità e di minimizzarne gli impatti fisici ed economici, non di eliminarli. I rischi - in particolare i rischi operativi - per loro natura non possono essere eliminati del tutto: non si può escludere a priori l’eventualità che da essi derivino interruzioni nel business aziendale.

Un progetto di Business Continuity di successo si basa sull'esperienza e sulla cultura presenti all'interno dell'azienda. Proprio per questo motivo diventano preziosi un forte commitment ed un impegno preciso nella motivazione da parte dell’Alta Direzione. Avere fin da subito l'approvazione della Direzione con il coinvolgimento del Top Management è fondamentale per la buona riuscita del progetto, sia per l'accettazione dei costi relativi, sia per ottenere l'appoggio dell'intera azienda. Il processo di BCM deve essere ben integrato nella cultura aziendale e deve ricevere non solo il pieno supporto del Senior Management, ma anche, e soprattutto, il consenso dei dipendenti, i quali devono essere adeguatamente formati e responsabilizzati. I vertici dell’azienda devono promuovere lo sviluppo, l’aggiornamento e le verifiche del piano di continuità operativa, garantendo l’adeguato supporto da parte di tutte le unità organizzative coinvolte. Uno dei modi in cui il management può sponsorizzare il progetto di Business Continuity è la redazione di una policy di BCM - adeguata alla dimensione ed alla natura delle attività dell'azienda -, in cui siano definiti le priorità aziendali, il framework metodologico, il ruolo e le responsabilità degli attori coinvolti, nonché le relazioni tra loro intercorrenti. Solo in questo modo è possibile gestire efficacemente una grande rete interna di persone dedicate all’analisi del rischio e alla continuità del business.

Garantire la continuità operativa in caso di interruzioni - siano esse dovute a guasti gravi o ad inconvenienti minori - è un requisito indispensabile per qualsiasi organizzazione.

Il BCM è lo sviluppo e l'implementazione di policy, procedure, framework, protocolli e programmi – che devono essere costantemente aggiornati in base alle modifiche del business e dei rischi - per la gestione delle interruzioni del business, al fine di garantire un certo grado di resilienza.

Implementare una strategia di BCM significa predisporre e adottare misure operative e di adeguamento, che permettano all’impresa di reagire e di gestire la situazione di crisi, nel tentativo di ripristinare – se possibile – l’operatività nelle condizioni antecedenti la crisi. Attraverso il BCM si cerca di gestire, nel modo più rapido possibile, le conseguenze negative di un evento che ha causato l'interruzione delle attività vitali, salvaguardando le performance di business di lungo termine. Il momento di recupero e ritorno alla normalità avviene in virtù di una progettazione dei processi e di un'architettura informativa in grado di sviluppare piani di contingency e di ripresa per le unità di business aziendali.

Il processo di BCM deve fissare il periodo massimo di interruzione tollerabile, entro il quale i processi critici possano essere interrotti senza mettere in pericolo il raggiungimento degli obiettivi aziendali. In genere, l’interruzione prolungata del business origina dall’accadimento di eventi pregiudizievoli caratterizzati da bassa frequenza ed alto impatto, a differenza di quegli eventi che sono all’origine di guasti o indisponibilità dei sistemi per brevi periodi di tempo: nel primo caso la normale gestione operativa di tutta l’azienda viene sospesa, nel secondo si può registrare semplicemente un breve arresto dell’operatività di alcune unità organizzative.

Mitigare le conseguenze negative di interruzione dei servizi significa:

  • erogare - in modo continuativo - i servizi ai propri clienti anche in caso di accadimento di eventi dannosi;

  • minimizzare i danni, riducendo i costi operativi: nel caso di ripristino delle componenti tecnologiche, la gestione delle ripartenze risulta tanto più costosa e complessa quanto più è basso il periodo massimo di interruzione del business;

  • salvaguardare la reputazione e l’immagine dell’azienda agli occhi degli stakeholder.

Il motivo principale per cui i rischi, da cui potrebbe scaturire una grave interruzione della continuità aziendale, debbano essere prudentemente gestiti risiede nelle imperfezioni dei mercati, finanziari e reali: una crisi, con conseguente interruzione dell'attività aziendale, comporta il sostenimento di costi indiretti, anche ingenti, che non si sarebbero sostenuti in presenza di mercati perfetti. L’obiettivo del Business Continuity Management e del Crisis Management consiste proprio nel ridurre le frizioni che si verificano in queste circostanze, salvaguardando e ripristinando l'equilibrio economico-finanziario-monetario dell’impresa coinvolta.

Gli eventi pregiudizievoli scaturiscono anche dall’inadeguatezza dei processi dell'azienda stessa. Ogni organizzazione presenta dei punti di vulnerabilità intrinseci, dai difetti nei sistemi IT alla mancanza di competenze specifiche del personale, fino a vere e proprie falle presenti nelle procedure aziendali: gli incidenti sono dovuti alla combinazione di errori/guasti attivi e latenti.

Il BCM non rappresenta una semplice cura a questi problemi, ma la possibilità di poterli prevenire per mitigarne l’impatto in caso di un loro accadimento: oltre a saper affrontare gli incidenti quando si verificano, è necessario diffondere una cultura all'interno dell'organizzazione, tesa a proteggere e salvaguardare gli interessi degli stakeholder.

E’ importante che non venga intaccata la fiducia nelle capacità del management di gestire una situazione di crisi, perché, diversamente, sarebbero messi a repentaglio il brand, la reputazione e l'immagine dell’intera organizzazione.