Pertanto, quasi nessun settore è rimasto indenne a questi cambiamenti, esempi di interruzioni specifiche di alcuni settori vanno dalla crisi energetica globale, alla crisi della catena di approvvigionamento dei beni di prima necessità e delle materie prime, della logistica e del sistema sanitario, che la maggior parte delle persone ha vissuto anche personalmente.
Non tutte le crisi possono essere evitate, ma le giuste misure di sicurezza possono e devono essere prese per mitigarne quantomeno l’impatto. L'obiettivo principale della maggior parte delle organizzazioni al giorno d'oggi è quello di costruire un business che sia pronto per il domani e che possa affrontare un ambiente VUCA (Volatile, Incerto, Complesso e Ambiguo). Questo può essere chiamato semplicemente Business Continuity Planning (BCP): l'insieme di azioni intraprese per assicurare che l'azienda sia preparata a rispondere a una crisi specifica, assicurare la continuazione del business e minimizzare i tempi di ritorno al Business As Usual (BAU).
Ma cos'è esattamente la resilienza operativa? Può essere definita come la capacità di un'organizzazione di resistere alle avversità e rispondere efficacemente a un'interruzione operativa.
Per questo il Business Continuity Management è essenziale per garantire la resilienza operativa di un'azienda. La resilienza aziendale ha un significato molto più ampio della semplice risposta a un disastro, è la cultura condivisa, i processi e la gestione messi in atto non solo per rispondere prontamente a una crisi ma anche per adattarsi a cambiamenti duraturi. In altre parole, la gestione della continuità operativa è una componente chiave della resilienza aziendale.
Business Continuity e Risk Management sono due termini che vengono spesso confusi o non compresi abbastanza profondamente per sottolineare le differenze tecniche dei due. Il Business Continuity Management è comunemente visto come un sottoinsieme del Risk Management; infatti l'implementazione del BCM inizia con la valutazione dei rischi conosciuti. Le organizzazioni di successo implementano entrambe le pratiche per garantire la resilienza operativa del business.
Il Risk Management è un processo che si occupa di identificare, valutare e mitigare i rischi in base alla probabilità e all'impatto. Una volta identificati, i risk manager lavorano per minimizzare i rischi operando sui rischi residui. I rischi valutati sono strettamente correlati al raggiungimento degli obiettivi di business delle organizzazioni, mitigando i impatti e probabilità piuttosto che lavorare sui worst case scenario.
Il solo Risk Management non è sufficiente a garantire la continuità del business in caso di crisi o situazioni avverse. Step come il Business Impact Analysis (BIA), Business Continuity Planning e Crisis Management sono necessari per implementare, testare e applicare un piano di continuità del business per le situazioni più critiche e imprevedibili. Progettando un'organizzazione agile, entrambe sono funzioni critiche che lavorano in sincronia per valutare i rischi potenziali e definire una strategia tattica di recupero e prevenzione basata su obiettivi organizzativi chiari e ben delineati. Detto questo, le organizzazioni di successo devono sviluppare un piano di continuity aziendale basato sul rischio.
Il piano di business continuity inizia con la definizione dei processi strategici a rischio. Per definire la strategia, gli esperti devono avere una profonda conoscenza e visibilità sulle applicazioni dell'organizzazione e le loro interdipendenze. Questo include approfondimenti sui processi, la conseguente dipendenza dai sistemi IT e i risultati della valutazione del rischio. Le informazioni sui rischi esistenti saranno utilizzate per la definizione della strategia, come le valutazioni, gli incidenti e i piani d'azione attualmente implementati.
Il secondo step riguarda la valutazione delle conseguenze di possibili eventi di crisi e l'identificazione delle funzioni aziendali chiave. La BIA fornisce la valutazione delle funzioni chiave del business alle quali dare priorità e tenere sotto controllo; gli impatti sono di solito valutate in termini di costi per il business.
La classificazione temporale permette all'azienda di dare priorità alla ripresa delle attività per mitigare ulteriori perdite.
Quando si conduce la BIA, più ampia è la visibilità sulle relazioni di tutte le funzioni aziendali e le loro interdipendenze, migliore sarà l'identificazione dell'impatto della crisi sui diversi componenti/funzioni.
Una volta che l'ambito e l'analisi sono stati definiti e valutati, il passo successivo sarebbe quello di implementare il piano di continuità aziendale. In questa fase i processi e le responsabilità dovranno essere definiti e assegnati:
Una volta implementati, i piani di continuità operativa devono essere continuamente migliorati, testati e monitorati. L'efficacia dei piani progettati viene dimostrata in questa fase. Dovranno essere eseguiti test sui Business Continuity Plan progettati periodicamente, seguiti dal monitoraggio e dall'analisi dei risultati dei test: dove i test falliscono, dovranno essere migliorati e corretti. In questa fase, i risultati dei test del BCP devono essere condivisi con tutti gli stakeholder, a garanzia della resilienza operativa del business. La crisi dovrà essere monitorata in tempo reale così come il processo di ritorno al BAU.
La gestione delle crisi può essere definita come la reazione che un'organizzazione ha una volta messo in pratica il BCP in caso di situazione di crisi. Il BCP è la fase di preparazione e definizione del piano in caso di necessità, mentre il Crisis Management riguarda le varie azioni da mettere in atto una volta che l'evento di crisi ha avuto luogo. Include l'esecuzione di ciò che è stato documentato, supportato dal coordinamento e dalla comunicazione tra gli attori chiave coinvolti, minimizzando il tempo di esecuzione effettiva delle azioni e delle procedure.
L'obiettivo principale del processo di gestione della crisi è quello di ridurre al minimo gli impatti della crisi sul business e implementare il processo di recupero precedentemente definito. Avere un BCP ben definito non è sufficiente per prevenire esiti disastrosi, bisogna considerare anche l'importanza della reattività in caso di crisi. Pertanto, il Crisis Management riduce i danni che si potrebbero verificare durante una crisi in atto (compresi quelli reputazionali, sociali e finanziari) come parte degli sforzi di resilienza del business dell'organizzazione.