E’ importante dotarsi di un piano di continuità operativa integrato con la più ampia gestione dei rischi aziendali.
Ogni azienda può rimanere coinvolta in eventi accidentali, prevedibili o imprevedibili, che possono comprometterne la capacità operativa. A seguito di un incidente le perdite di mercato, di reputazione, di clienti rappresentano un danno di enorme portata, in particolare quando ci si trova ad operare in un mercato caratterizzato da un’elevata competitività. Dotarsi di un efficiente piano di Business Continuity, che rientri in una gestione integrata dei rischi d’impresa, è fondamentale.
Il rischio di Business Interruption
Ciascuna attività è strettamente legata ad una serie di processi a catena, alimentati da tecnologie, infrastrutture, risorse umane e partner esterni, su cui non esercita alcun controllo e da cui inevitabilmente dipende. Se qualcosa va storto in un qualsiasi punto critico della catena, l’impresa va in crisi e subisce grossi danni da interruzione della produzione (Business interruption).
Soprattutto nel contesto globale, l’interdipendenza tra i siti, i colli di bottiglia, i nodi della supply chain rappresenta significative criticità in grado di dilatare gli effetti della Business Interruption.
La continua ricerca di ottimizzazione dei processi produttivi, nella logica Lean Thinking, ovvero pensiero snello, porta inoltre a filiere verticali snelle, ma più fragili, con poche, o nessuna, ridondanza. Ecco che l’interruzione di una fase, la perdita di un anello della catena, la crisi di un solo supplier ferma la filiera, o buona parte di essa.
Ogni settore e ogni azienda deve gestire inoltre i rischi specifici legati al tipo di attività, ai suoi prodotti e alla sua collocazione nel contesto economico-sociale. Bisogna allora considerare il posizionamento dell’azienda nel proprio settore, il grado di competitività del settore stesso, la forza contrattuale sia dei clienti che dei fornitori e saper gestire i rischi interni alla propria azienda e quelli legati alla supply chain, per decidere una strategia di ripresa dopo un incidente.
Dopo situazioni di crisi, incidenti importanti, interruzioni della produzione con assenze dal mercato prolungate, alcune aziende hanno purtroppo impiegato anni per tornare alle posizioni di mercato precedenti, altre non hanno più raggiunto quei risultati. Vi possono essere diversi possibili andamenti del “dopo-incidente”, sia con evoluzione positiva, sia con evoluzione negativa fino, nei casi più gravi, all’estinzione del business stesso.
Perché implementare un piano di Business Continuity Management (BCM)?
Riprendersi con rapidità da eventi catastrofici è possibile, ma serve un buon piano di Contingency, vale a dire un programma emergenziale che delinei le azioni da intraprendere nel caso si verifichi un evento dannoso per l’azienda o pericoloso per la collettività, parte della più ampia gestione della continuità operativa.
Riassumiamo quindi i principali vantaggi di avere un sistema consolidato e condiviso di Business Continuity Management (BCM):
- garantire una capacità di reazione immediata a fronte di situazioni di crisi;
- reagire in modo corretto e coordinato grazie ad appositi team con ruoli e responsabilità definiti e componenti addestrati;
- agire secondo procedure operative chiare e condivise;
- garantire la raggiungibilità di tutti gli interlocutori aziendali chiave;
- dimostrare una reazione manageriale competente e responsabile a tutte le interfacce aziendali (stakeholders);
- positivo impatto sui clienti (maggiore affidabilità della fornitura);
- possibile impatto positivo anche dal punto di vista dell’accesso al credito (garantire la continuità produttiva significa assicurare nel tempo la possibilità di creare valore).
Risk management: integrare il Business Continuity Plan con la gestione dei rischi d’impresa
Tanto più è complessa e articolata l’organizzazione della produzione, tanto più risulta necessaria una strutturata analisi delle interdipendenze, delle vulnerabilità più nascoste, delle esposizioni meno evidenti.
Nella maggior parte delle realtà il Business Continuity Management viene sviluppato in modo sostanzialmente indipendente e disaccoppiato dalle attività di Risk Management. In realtà l’ottimizzazione massima si ottiene proprio gestendo le due attività in modo integrato, evitando di duplicare attività simili e complementari. In entrambi i casi, ad esempio, viene richiesto di effettuare un’analisi dei rischi e delle minacce interne e/o esterne, per poi arrivare a valutare l’impatto delle minacce sui processi di creazione del valore (Business Impact Analysis).
I risultati delle analisi dei rischi fatte in ottica di Risk Management possono diventare il punto di partenza delle attività di Business Continuity Management, pertanto costruito sulla base del piano di Risk Management, rispettando criticità, priorità e obiettivi da questo stabiliti. Se tra tali obiettivi vi è quello, fondamentale, di “trattare” i rischi, ovvero nell’ordine eliminarli quando possibile, ridurne la magnitudo delle conseguenze o la probabilità di accadimento quando non si possono eliminare, oppure trasferire a terzi le conseguenze ed infine gestire il “rischio residuo”, ecco che il BCM si focalizza proprio sul rischio residuo. Se per “rischio residuo” si intende quella parte di rischio ancora presente nonostante tutti i sistemi di controllo/protezione previsti, il BCM diventa allora un output del Risk Management, ovvero lo strumento, la soluzione per trattare i rischi caratterizzati da alta magnitudo/bassa probabilità.
L’approccio del Business Continuity Management va naturalmente adottato nella giusta misura e con la corretta priorità, ovvero senza pretendere di sostituire con esso tutte le necessarie iniziative tecnico/organizzative per ridurre la probabilità di accadimento di un evento o la gravità delle conseguenze ad esso correlate (così come le istruzioni e le avvertenze che accompagnano un prodotto devono integrare, ma non possono in nessun modo sostituire le sicurezze tecniche e le protezioni fisiche).
Il BCM va quindi ad integrarsi agli altri strumenti di “trattamento del rischio” e a gestire le conseguenze sul business di un evento dopo che si sono fatti tutti gli sforzi (o almeno quelli economicamente giustificabili) per prevenirlo. Sotto questa luce il Business Continuity Management diventa pertanto una costola del Risk Management, perché deve essere sincronizzato con gli obiettivi e le altre strategie di trattamento del rischio, all’interno di un disegno di Risk Management a più ampio respiro.
In anni recenti, il BCM, da semplice piano di disaster recovery per incidenti informatici, è diventato un processo strategico che abbraccia a 360° tutte le minacce che si frappongono al raggiungimento degli obiettivi aziendali, a prescindere dalla loro natura. Secondo l'Horizon Scan Report 2018 realizzato dal Business Continuity Institute, nel 2017, gli investimenti in Business Continuity sono infatti aumentati del 25%.
Queste esigenze, avvertite già decenni fa dalle corporate americane più avanzate e nel mondo anglosassone in generale, sono state raccolte anche da legislatori e organi di controllo europei e nazionali. In effetti, dimostrare il possesso di un Business Continuity Plan aggiornato e testato permette anche di garantire la compliance a standard e regolamenti emessi in diversi mercati e industrie (SOX, Basilea II, ISO 27001, ABI, le recenti richieste della Banca d’Italia etc.) e di incentivare il business incrementando la possibilità di assumersi e mantenere dei rischi e migliorando la credibilità dell’azienda verso il mercato. Inoltre, fattori esterni, non sempre evitabili né controllabili, quali il rischio terrorismo e la globalizzazione dei processi produttivi, rendono tali soluzioni sempre più urgenti.