Dall’identificazione dei processi chiave allo sviluppo di un efficace piano di continuità operativa.
Nessuna organizzazione è ormai un’isola, ma dipende da risorse e infrastrutture anche esterne sulle quali, spesso, non si esercita alcun controllo. Occorre guardare l’azienda, non più come insieme indifferenziato di enti, dipartimenti, strutture e servizi, ma come una concatenazione di attività, un insieme di processi, tutti orientati al raggiungimento degli obiettivi aziendali. Vediamo come proteggerli e assicurarli progettando un efficiente piano di Business Continuity.
Le fasi del Business Continuity Management
La progettazione di un sistema di gestione della continuità operativa è un’attività articolata che richiede tempo, uno sforzo di coordinamento, nonché di definire a priori parametri e assunzioni di base al fine di ottimizzare tempi e risorse. Si parte da un piano che stabilisca gli obiettivi dell’attività, budget e tempo che le si vuole dedicare, risorse necessarie (in termini di persone, documentazione, dati e informazioni) e fasi di implementazione.
La progettazione di un sistema di Business Continuity Management prevede una serie di operazioni specifiche:
- modellizzazione dei processi chiave di creazione del valore;
- identificazione degli scenari di impatto sul business: Business Impact Analysis (BIA);
- strategie di ripristino: Business Continuity Strategy;
- sviluppo del Business Continuity Plan (BCP);
- gestione della crisi e della comunicazione: Crisis Management;
- training, test e audit del BCP.
Se in caso di crisi la sopravvivenza del business dell’impresa dipende dalla rapidità di reazione, è obiettivo del Business Continuity Management assicurare ininterrottamente la disponibilità di tutte le risorse chiave necessarie per l’esecuzione delle attività cruciali per l’azienda.
Modellizzazione dei processi chiave di “creazione di valore”
L’azienda può apparire all’inizio come un insieme indifferenziato di funzioni, dipartimenti, servizi, uffici, tutti fondamentali e importanti, dai quali sembra impossibile fare a meno anche per poco tempo. In realtà, il loro impatto sul business è differente ed è diversa la velocità con cui il business risente della loro mancanza. Importante cogliere appieno questa differenziazione pena, altrimenti, investire tempo e risorse nella direzione sbagliata, rendendo inefficace tutto il processo.
Il primo compito è la scomposizione in processi (Process Inventory), che trasforma l’azienda da insieme indifferenziato di funzioni in una sequenza di processi strategici, operativi/produttivi, trasversali di supporto.
Tra i processi di creazione di valore è quindi necessario focalizzarsi su quelli maggiormente critici per il raggiungimento degli obiettivi aziendali definiti in sede di pianificazione strategica/ budget ai quali dovrà essere data la maggiore priorità nelle attività di Business Recovery.
Questo tipo di valutazione può considerare, ad esempio, l’impatto che avrebbe l’arresto del prodotto/processo sul conto economico dell’azienda; si può altrimenti far dipendere la valutazione da altri fattori intimamente legati al tipo di azienda, alla destinazione e uso dei suoi prodotti ed alla sua collocazione nel contesto economico-sociale, ad esempio il posizionamento dell’azienda e il grado di aggressività e di competitività del settore in cui opera.
Una volta individuati i processi chiave dell’azienda, non resta che capire meglio come sono configurati, cosa li contraddistingue e cosa serve per poterli mantenere operativi.
Business Impact Analysis: identificazione degli scenari di impatto sul business
Avendo individuato i processi più critici per l’azienda, e la loro configurazione, il passo successivo è identificare quali minacce interne o esterne possano seriamente minare la loro continuità: si tratta in sostanza di fare un’analisi dei rischi applicata ai processi critici.
Vi sono diverse possibili modalità di analisi che possono essere utilizzate, tutte però dovrebbero avere tra gli elementi obbligatori la definizione di precisi criteri di misura degli scenari al fine di decidere se un rischio risulta accettabile o meno per il business dell’azienda. Gli scenari di rischio potrebbero essere descritti definendo la minaccia in oggetto, la vulnerabilità di ogni processo al rischio e l’impatto risultante sul business.
Aver stabilito criteri di valutazione e accettabilità degli scenari aiuta quindi a determinare le misure più opportune di gestione del rischio e le necessarie priorità.
Sulla base dei risultati della Business Impact Analysis, le strategie di gestione possono includere:
- la riduzione della probabilità di accadimento;
- la riduzione della magnitudo dell’impatto;
- l’accorciamento dei tempi di ripresa.
Ciò significa agire con logiche diverse, mediante interventi di prevenzione, protezione, trasferimento al mercato assicurativo, eliminazione del rischio, ad esempio rinunciando all’attività oggetto dello scenario, gestione delle conseguenze con una pianificazione di Business Recovery.
Business Continuity Strategy: strategie di ripristino
Gli scenari plausibili più critici, per i quali non è possibile o opportuno agire altrimenti, dovranno essere oggetto della pianificazione di Business Recovery.
Le strategie di ripristino dei processi aziendali, interrotti da un qualsivoglia evento accidentale, costituiscono la ragione d’essere dell’intero sistema e la parte principale del Business Continuity Plan.
Per rendere possibile l’effettuazione delle strategie di ripristino quando necessario, è opportuno pianificare e portare a termine delle azioni preventive, come accordi contrattuali da attivare in condizioni d’emergenza, apparecchiature per Disaster Recovery (ad esempio dei sistemi informatici), investimenti in attrezzature produttive addizionali.
Il Business Continuity Plan
Lo sviluppo preventivo di un Business Continuity Plan (BCP) consente all’impresa di gestire al meglio situazioni di crisi, preparando soluzioni alternative per ripristinare la continuità produttiva: il BCP dettaglia le azioni da compiere per riportare in vita il processo interrotto.
In particolare, definisce le procedure operative che permettono di mettere in atto le strategie identificate, i team coinvolti e la politica di Crisis Communication, interna ed esterna.
Il Piano BCP deve raccordarsi con quello deputato a gestire le fasi di emergenza e con le prime azioni di salvataggio e ripristino da mettere in atto dopo che l’emergenza è stata posta sotto controllo, fondamentali nel determinare i tempi di ripresa.
Perché il processo di BCM sia efficace, i soggetti coinvolti nei vari team dovranno essere adeguatamente addestrati, condividere il piano, conoscere il loro ruolo e le procedure. Andranno definite opportune modalità di training e diffusione del piano, concordando con l’HR un piano di formazione del personale tecnico sulle procedure di recovery a fronte di incidenti che facciano scattare il Business Continuity Plan.
Il test delle procedure di Business Continuity e la continua manutenzione della struttura documentale del Piano sono altrettanto fondamentali per garantirne la pronta risposta in caso di crisi. Eventuali lacune nelle procedure operative possono essere individuate e colmate solo attraverso opportune verifiche ed esercitazioni.