In questo nuovo articolo della nostra rubrica “Adattarsi, Sopravvivere, diventare Invulnerabili (conoscendo i propri limiti)“: i primi passi da compiere per porre le basi di un solido piano di continuità operativa.
Vediamo come stabilire lo scopo del Business Continuity Plan e, successivamente, comporre la squadra che dovrà intervenire in caso di problemi.
Come nella maggior parte dei processi di pianificazione aziendale, la prima cosa da fare è definire lo scopo del piano in preparazione, il Business Continuity Plan.
Le organizzazioni spesso si trovano a sviluppare o cercare di mantenere programmi di continuità operativa, senza nemmeno avere un obiettivo specifico per il piano. Ciò porta a una serie di problemi, tra i quali un’errata allocazione delle risorse, l’incapacità di mantenere le strategie di recupero e grosse difficoltà nel far rispettare le regole. Formalizzare un obiettivo chiaro per il BCP è uno dei modi più sicuri per aumentarne l’efficacia, rispettando al contempo gli impegni presi con le parti interessate.
Definire l’obiettivo del piano di continuità aziendale significa prima di tutto comprendere quale sia la missione principale dell’impresa. La ragione per cui l’attività esiste tout court!
Ad esempio, per un negozio di abbigliamento la missione è vendere indumenti. Supponendo che questo esercizio si metta di punto in bianco a vendere occhiali, cosa succederebbe? Cosa garantirebbe più entrate? La vendita di un vestito o di un articoli nel ramo dell’ottica?
E’ evidente che in questa dimostrazione i vestiti siano più importanti, fosse anche solo per un fattore di esperienza maturata dal personale e dalla gestione…
Stabilire lo scopo del Business Continuity Plan significa anche e soprattutto definire con chiarezza quali aree, servizi e prodotti vengano contemplati nel piano e quali no. In seconda battuta vanno specificate le soluzioni designate a loro protezione, così come la massima estensione del danno, della perdita o dell’interruzione che l’organizzazione può sopportare senza soccombere.
E’ un processo in itinere e ciò permette di implementarne le funzionalità in maniera progressiva, concentrandosi prima di tutto sui settori più critici.
Ricapitolando: lo scopo è idealmente (e normalmente) determinato da prodotti e servizi. Per limitare ulteriormente l’ambito d’indagine, non si escluda la possibilità di prendere in considerazione anche il fattore logistico, includendo o escludendo determinati siti.
Per iniziare: criteri & strumenti utili
Per prima cosa, vediamo quali criteri e strumenti si rendano necessari a tal fine, nel capitolo successivo vedremo invece come vadano applicati con profitto.
Esistono vari strumenti per individuare correttamente lo scopo del BCP:
Le decisioni su quali prodotti e servizi includere possono essere suggerite da uno o più dei seguenti fattori:
Le scelte possibili con cui gestire un incidente a livello gestionale su prodotti e servizi inclusi nel BCP sono:
-
Un requisito del cliente
-
Un requisito legale o regolamentare
-
Posizione percepita ad alto rischio a causa della vicinanza ad altri siti industriali o di minacce fisiche / ambientali
-
Prodotto / servizio di punta che da solo sia in grado di generare una proporzione cospicua degli introiti
Nota: Se un particolare prodotto o servizio è incluso nel programma, è necessario mettere in atto delle misure adeguate, assicurandosi che siano sempre fruibili o che, nei casi peggiori, la fase di recupero sia garantita entro i termini richiesti.
-
Accettare il rischio di interruzione
-
Trasferire il rischio di interruzione a terzi
-
Cambiare, sospendere o terminare definitivamente il prodotto o il servizio
Nota: L’implicazione di ciascuna di queste scelte deve essere chiara e una volta che le parti coinvolte hanno optato per una di esse, la decisione va documentata e sottoscritta formalmente.
I motivi per i quali un prodotto o servizio può essere escluso dall’ambito del piano includono:
Nel valutare l’esclusione dall’ambito di applicazione del BCP, i fattori da considerare in aggiunta agli impatti finanziari della perdita:
-
Prodotto / servizio prossimo alla fine del ciclo vitale (e che verrebbe terminato in caso di interruzione della fornitura)
-
Prodotto / servizio con margini bassi (la problematica è facilmente risolvibile o esternalizzabile)
-
Le opinioni di tutte le principali parti interessate
-
Qualsiasi danno alla reputazione che possa derivare da un’interruzione o cessazione della fornitura di un prodotto
-
La pertinenza di qualsiasi valutazione del rischio
-
L’impatto sulle attività regolamentate
Un approccio graduale
Come già spiegato nell’introduzione all’articolo, condurre un’analisi preliminare attenta e pragmatica nella fase iniziale di stesura del piano può fare la differenza tra un rapido successo e un dedalo gestionale senza fine.
Non è raro che vengano creati programmi di continuità sull’onda di requisiti normativi e/o richieste del cliente; tuttavia, invece di dedicare il tempo a una pianificazione accurata, valorizzando lo sforzo compiuto per migliorare la resilienza aziendale (e allocare risorse di conseguenza), le compagnie spesso adottano l’approccio “o tutto o niente“. Ci si impelaga nel trattare fin da subito ogni applicazione, ogni impianto, ogni risorsa, nell’ossessione di raggiungere in tempo zero il risultato migliore possibile e, proprio per questo, fallendo.
Molte aziende non realizzano che la continuità operativa dovrebbe focalizzarsi inizialmente sui prodotti e servizi più critici, espandendo solo in seconda battuta -e progressivamente nel tempo- la copertura a tutto ciò che è stato inizialmente escluso,
Ecco qual è l’iter corretto, sostenibile (proficuo!) per approcciare questa attività cruciale, che darà forma e direzione al piano:
1) Requisiti per le parti interessate
Un programma di continuità aziendale efficace tiene conto dei requisiti degli stakeholder.
Dettagli
Le parti interessate comprendono clienti, autorità di regolamentazione, amministrazione. Ognuno di questi gruppi ha delle aspettative e uno dei compiti principali della business continuity è fare in modo che l’azienda rispetti i termini pattuiti con tutti questi soggetti.
Il programma va preparato per proteggersi dagli impatti derivanti dalla violazione di requisiti chiave, quali:
- Obblighi contrattuali
- Requisiti normativi
- Accordi col cliente
- Accordi sindacali
- Requisiti di salute e sicurezza
E’ molto importante avere esattamente il polso della situazione sui requisiti in essere per l’impresa, solo allora sarà possibile assegnare delle priorità e, conseguentemente, anche una serie pertinente di obiettivi.
2) Prodotti e servizi
La definizione di prodotti e servizi è un modo efficace per individuare gli obiettivi a livello strategico.
Dettagli
Una volta che la mappatura di prodotti e servizi è stata completata, va determinato se l’interruzione di ciascuno di essi causerebbe l’impossibilità di rispettare i requisiti e/o gli obiettivi di continuità operativa (come visto in precedenza), o se in ogni caso si creerebbero gravi conseguenze sul versante produttivo/operativo.
Il prodotto di questa indagine va poi relazionata con l’organigramma aziendale, determinando così quali reparti e divisioni aziendali sarebbero effettivamente compromessi dall’incidente.
Questo esercizio consente di comprendere e assegnare le corrette priorità alle aree di business critiche, esattamente quelle che dovranno poi essere protette dal piano di continuità.
3) Propensione al rischio
La fase conclusiva sta nel decidere quale sia il livello di propensione al rischio.
Dettagli
Per raggiungere un consenso unanime su questo argomento vanno sfruttate le informazioni delle precedenti due attività, presentando alla direzione gli impatti potenziali, associati all’incapacità di fornire prodotti e servizi. La dirigenza dovrebbe successivamente decidere quali interruzioni siano inaccettabili, stabilendo anche la quantità di tempo di inattività che si possa sostenere.
Nonostante la tipologia e l’importanza di un incidente varino tra organizzazioni ed industrie appartenenti a settori eterogenei, le seguenti categorie sono generalmente un buon punto di partenza:
- Impatti normativi
- Impatti legali e/o contrattuali
- Impatti sul cliente
- Impatti finanziari
- Impatti operativi
- Impatti reputazionali
Sulla base delle indicazioni fornite dal vertice, si può definire e documentare formalmente la propria propensione al rischio, utilizzando criteri che definiscano quando un impatto supera la soglia di accettabilità. I tempi di inattività associati a prodotti, servizi, reparti e risorse che eccedano la propensione al rischio dovrebbero rientrare nell’ambito del programma di continuità operativa.
Nel prossimo articolo
Preparazione | Creare un team per raggiungere l’obiettivo: non fermarsi mai (seconda parte)
Abbiamo visto quali strumenti e metodologie possano aiutare ad individuare lo scopo del piano di continuità operativa; nella prossima puntata ci dedicheremo alla formazione del Team di continuità, capendo come identificare i ruoli ed assegnare le responsabilità.
A presto sul nostro blog, ma anche sui nostri canali social, per la prosecuzione del nostro viaggio nel mondo della Business Continuity!
Indice della Rubrica
Articoli
-
Presentazione | Adattarsi, Sopravvivere, diventare Invulnerabili (conoscendo i propri limiti) Un percorso formativo sulla Business Continuity
-
Introduzione | I fondamentali della Business Continuity
[prima parte] [seconda parte] -
Preparazione | Creare un team per raggiungere l’obiettivo: non fermarsi mai
[prima parte] [seconda parte] -
Integrazione | Seminare la cultura della resilienza
-
Analisi | Gli strumenti di conoscenza: Valutazione del Rischio & Analisi dell’Impatto sul Business
-
Progettazione | Dare forma alla resilienza [prima parte] [seconda parte]
-
Implementazione | Redigere un buon documento di continuità operativa [prima parte] [seconda parte]
-
Validazione | Un processo continuo di miglioramento
-
Disaster Recovery | L’ancora di salvezza
Appendici
-
Catalogo ISO Business Continuity (prossimamente)
-
La genesi della Business Continuity