Resilienza operativa: non solo Risk Management, ma Business Continuity Management
Pertanto, quasi nessun settore è rimasto indenne a questi cambiamenti, esempi di interruzioni specifiche di alcuni settori vanno dalla crisi energetica globale, alla crisi della catena di approvvigionamento dei beni di prima necessità e delle materie prime, della logistica e del sistema sanitario, che la maggior parte delle persone ha vissuto anche personalmente.
Cos'è la resilienza operativa?
Non tutte le crisi possono essere evitate, ma le giuste misure di sicurezza possono e devono essere prese per mitigarne quantomeno l’impatto. L'obiettivo principale della maggior parte delle organizzazioni al giorno d'oggi è quello di costruire un business che sia pronto per il domani e che possa affrontare un ambiente VUCA (Volatile, Incerto, Complesso e Ambiguo). Questo può essere chiamato semplicemente Business Continuity Planning (BCP): l'insieme di azioni intraprese per assicurare che l'azienda sia preparata a rispondere a una crisi specifica, assicurare la continuazione del business e minimizzare i tempi di ritorno al Business As Usual (BAU).
Ma cos'è esattamente la resilienza operativa? Può essere definita come la capacità di un'organizzazione di resistere alle avversità e rispondere efficacemente a un'interruzione operativa.
Per questo il Business Continuity Management è essenziale per garantire la resilienza operativa di un'azienda. La resilienza aziendale ha un significato molto più ampio della semplice risposta a un disastro, è la cultura condivisa, i processi e la gestione messi in atto non solo per rispondere prontamente a una crisi ma anche per adattarsi a cambiamenti duraturi. In altre parole, la gestione della continuità operativa è una componente chiave della resilienza aziendale.
In che modo Business Continuity Management e Risk Management sono interconnessi?
Business Continuity e Risk Management sono due termini che vengono spesso confusi o non compresi abbastanza profondamente per sottolineare le differenze tecniche dei due. Il Business Continuity Management è comunemente visto come un sottoinsieme del Risk Management; infatti l'implementazione del BCM inizia con la valutazione dei rischi conosciuti. Le organizzazioni di successo implementano entrambe le pratiche per garantire la resilienza operativa del business.
Il Risk Management è un processo che si occupa di identificare, valutare e mitigare i rischi in base alla probabilità e all'impatto. Una volta identificati, i risk manager lavorano per minimizzare i rischi operando sui rischi residui. I rischi valutati sono strettamente correlati al raggiungimento degli obiettivi di business delle organizzazioni, mitigando i impatti e probabilità piuttosto che lavorare sui worst case scenario.
Il solo Risk Management non è sufficiente a garantire la continuità del business in caso di crisi o situazioni avverse. Step come il Business Impact Analysis (BIA), Business Continuity Planning e Crisis Management sono necessari per implementare, testare e applicare un piano di continuità del business per le situazioni più critiche e imprevedibili. Progettando un'organizzazione agile, entrambe sono funzioni critiche che lavorano in sincronia per valutare i rischi potenziali e definire una strategia tattica di recupero e prevenzione basata su obiettivi organizzativi chiari e ben delineati. Detto questo, le organizzazioni di successo devono sviluppare un piano di continuity aziendale basato sul rischio.
Cinque step per implementare un business continuity plan
Step 1: Scoping della business continuity (identificazione dei rischi e risultati della valutazione)
Il piano di business continuity inizia con la definizione dei processi strategici a rischio. Per definire la strategia, gli esperti devono avere una profonda conoscenza e visibilità sulle applicazioni dell'organizzazione e le loro interdipendenze. Questo include approfondimenti sui processi, la conseguente dipendenza dai sistemi IT e i risultati della valutazione del rischio. Le informazioni sui rischi esistenti saranno utilizzate per la definizione della strategia, come le valutazioni, gli incidenti e i piani d'azione attualmente implementati.
Step 2: Business Impact Analysis (BIA)
Il secondo step riguarda la valutazione delle conseguenze di possibili eventi di crisi e l'identificazione delle funzioni aziendali chiave. La BIA fornisce la valutazione delle funzioni chiave del business alle quali dare priorità e tenere sotto controllo; gli impatti sono di solito valutate in termini di costi per il business.
- Impatto sul business: Identificazione delle funzioni più critiche in base ai costi che avranno sull'intero business (sanzioni legali, vendite mancate, insoddisfazione dei clienti, ecc.)
- Durata dell’interruzione: Analisi dei tempi relativi allo stato di crisi. Di solito viene valutato per calcolare: Recovery Point Objective (RPO), la quantità di dati, misurata in termini di tempo, che si è disposti a perdere, Recovery Time Objective (RTO), il tempo richiesto per il recupero dei dati dall’ultimo backup, Maximum Allowable Downtime (MAD) - tempo massimo di interruzione accettabile senza riscontrare ingenti danni al business.
La classificazione temporale permette all'azienda di dare priorità alla ripresa delle attività per mitigare ulteriori perdite.
- Dipendenze: Valutazione di altre funzioni associate ai componenti critici e le conseguenze che potrebbero essere portate su di loro.
Quando si conduce la BIA, più ampia è la visibilità sulle relazioni di tutte le funzioni aziendali e le loro interdipendenze, migliore sarà l'identificazione dell'impatto della crisi sui diversi componenti/funzioni.
Step 3: Pianificazione della business continuity
Una volta che l'ambito e l'analisi sono stati definiti e valutati, il passo successivo sarebbe quello di implementare il piano di continuità aziendale. In questa fase i processi e le responsabilità dovranno essere definiti e assegnati:
- Definizione del protocollo di comunicazione - assegnazione di ruoli e responsabilità e delle risorse necessarie per l'attuazione della strategia (persone, sistemi, siti, ecc.).
- Implementazione del processo - documentazione e applicazione dei passi da seguire in caso di crisi. I processi dovrebbero essere stabiliti in modo tale da proteggere le funzioni critiche, recuperare e stabilizzare le attività prioritarie e le loro dipendenze.
- Automazione del piano di continuità del business - notifica automatica al personale chiave per le funzioni critiche una volta che il piano di business continuity sia stato attivato.
- Gestione degli impatti e strategie di mitigazione - Per mitigare i rischi e minimizzare le interruzioni e le conseguenze delle operazioni di business.
Step 4: Test e monitoraggio della continuità operativa (risultati dei test e panoramica del piano)
Una volta implementati, i piani di continuità operativa devono essere continuamente migliorati, testati e monitorati. L'efficacia dei piani progettati viene dimostrata in questa fase. Dovranno essere eseguiti test sui Business Continuity Plan progettati periodicamente, seguiti dal monitoraggio e dall'analisi dei risultati dei test: dove i test falliscono, dovranno essere migliorati e corretti. In questa fase, i risultati dei test del BCP devono essere condivisi con tutti gli stakeholder, a garanzia della resilienza operativa del business. La crisi dovrà essere monitorata in tempo reale così come il processo di ritorno al BAU.
Step 5: Gestione della crisi
La gestione delle crisi può essere definita come la reazione che un'organizzazione ha una volta messo in pratica il BCP in caso di situazione di crisi. Il BCP è la fase di preparazione e definizione del piano in caso di necessità, mentre il Crisis Management riguarda le varie azioni da mettere in atto una volta che l'evento di crisi ha avuto luogo. Include l'esecuzione di ciò che è stato documentato, supportato dal coordinamento e dalla comunicazione tra gli attori chiave coinvolti, minimizzando il tempo di esecuzione effettiva delle azioni e delle procedure.
L'obiettivo principale del processo di gestione della crisi è quello di ridurre al minimo gli impatti della crisi sul business e implementare il processo di recupero precedentemente definito. Avere un BCP ben definito non è sufficiente per prevenire esiti disastrosi, bisogna considerare anche l'importanza della reattività in caso di crisi. Pertanto, il Crisis Management riduce i danni che si potrebbero verificare durante una crisi in atto (compresi quelli reputazionali, sociali e finanziari) come parte degli sforzi di resilienza del business dell'organizzazione.
Pertanto, quasi nessun settore è rimasto indenne a questi cambiamenti, esempi di interruzioni specifiche di alcuni settori vanno dalla crisi energetica globale, alla crisi della catena di approvvigionamento dei beni di prima necessità e delle materie prime, della logistica e del sistema sanitario, che la maggior parte delle persone ha vissuto anche personalmente.
Cos'è la resilienza operativa?
Non tutte le crisi possono essere evitate, ma le giuste misure di sicurezza possono e devono essere prese per mitigarne quantomeno l’impatto. L'obiettivo principale della maggior parte delle organizzazioni al giorno d'oggi è quello di costruire un business che sia pronto per il domani e che possa affrontare un ambiente VUCA (Volatile, Incerto, Complesso e Ambiguo). Questo può essere chiamato semplicemente Business Continuity Planning (BCP): l'insieme di azioni intraprese per assicurare che l'azienda sia preparata a rispondere a una crisi specifica, assicurare la continuazione del business e minimizzare i tempi di ritorno al Business As Usual (BAU).
Ma cos'è esattamente la resilienza operativa? Può essere definita come la capacità di un'organizzazione di resistere alle avversità e rispondere efficacemente a un'interruzione operativa.
Per questo il Business Continuity Management è essenziale per garantire la resilienza operativa di un'azienda. La resilienza aziendale ha un significato molto più ampio della semplice risposta a un disastro, è la cultura condivisa, i processi e la gestione messi in atto non solo per rispondere prontamente a una crisi ma anche per adattarsi a cambiamenti duraturi. In altre parole, la gestione della continuità operativa è una componente chiave della resilienza aziendale.
In che modo Business Continuity Management e Risk Management sono interconnessi?
Business Continuity e Risk Management sono due termini che vengono spesso confusi o non compresi abbastanza profondamente per sottolineare le differenze tecniche dei due. Il Business Continuity Management è comunemente visto come un sottoinsieme del Risk Management; infatti l'implementazione del BCM inizia con la valutazione dei rischi conosciuti. Le organizzazioni di successo implementano entrambe le pratiche per garantire la resilienza operativa del business.
Il Risk Management è un processo che si occupa di identificare, valutare e mitigare i rischi in base alla probabilità e all'impatto. Una volta identificati, i risk manager lavorano per minimizzare i rischi operando sui rischi residui. I rischi valutati sono strettamente correlati al raggiungimento degli obiettivi di business delle organizzazioni, mitigando i impatti e probabilità piuttosto che lavorare sui worst case scenario.
Il solo Risk Management non è sufficiente a garantire la continuità del business in caso di crisi o situazioni avverse. Step come il Business Impact Analysis (BIA), Business Continuity Planning e Crisis Management sono necessari per implementare, testare e applicare un piano di continuità del business per le situazioni più critiche e imprevedibili. Progettando un'organizzazione agile, entrambe sono funzioni critiche che lavorano in sincronia per valutare i rischi potenziali e definire una strategia tattica di recupero e prevenzione basata su obiettivi organizzativi chiari e ben delineati. Detto questo, le organizzazioni di successo devono sviluppare un piano di continuity aziendale basato sul rischio.
Cinque step per implementare un business continuity plan
Step 1: Scoping della business continuity (identificazione dei rischi e risultati della valutazione)
Il piano di business continuity inizia con la definizione dei processi strategici a rischio. Per definire la strategia, gli esperti devono avere una profonda conoscenza e visibilità sulle applicazioni dell'organizzazione e le loro interdipendenze. Questo include approfondimenti sui processi, la conseguente dipendenza dai sistemi IT e i risultati della valutazione del rischio. Le informazioni sui rischi esistenti saranno utilizzate per la definizione della strategia, come le valutazioni, gli incidenti e i piani d'azione attualmente implementati.
Step 2: Business Impact Analysis (BIA)
Il secondo step riguarda la valutazione delle conseguenze di possibili eventi di crisi e l'identificazione delle funzioni aziendali chiave. La BIA fornisce la valutazione delle funzioni chiave del business alle quali dare priorità e tenere sotto controllo; gli impatti sono di solito valutate in termini di costi per il business.
- Impatto sul business: Identificazione delle funzioni più critiche in base ai costi che avranno sull'intero business (sanzioni legali, vendite mancate, insoddisfazione dei clienti, ecc.)
- Durata dell’interruzione: Analisi dei tempi relativi allo stato di crisi. Di solito viene valutato per calcolare: Recovery Point Objective (RPO), la quantità di dati, misurata in termini di tempo, che si è disposti a perdere, Recovery Time Objective (RTO), il tempo richiesto per il recupero dei dati dall’ultimo backup, Maximum Allowable Downtime (MAD) - tempo massimo di interruzione accettabile senza riscontrare ingenti danni al business.
La classificazione temporale permette all'azienda di dare priorità alla ripresa delle attività per mitigare ulteriori perdite.
- Dipendenze: Valutazione di altre funzioni associate ai componenti critici e le conseguenze che potrebbero essere portate su di loro.
Quando si conduce la BIA, più ampia è la visibilità sulle relazioni di tutte le funzioni aziendali e le loro interdipendenze, migliore sarà l'identificazione dell'impatto della crisi sui diversi componenti/funzioni.
Step 3: Pianificazione della business continuity
Una volta che l'ambito e l'analisi sono stati definiti e valutati, il passo successivo sarebbe quello di implementare il piano di continuità aziendale. In questa fase i processi e le responsabilità dovranno essere definiti e assegnati:
- Definizione del protocollo di comunicazione - assegnazione di ruoli e responsabilità e delle risorse necessarie per l'attuazione della strategia (persone, sistemi, siti, ecc.).
- Implementazione del processo - documentazione e applicazione dei passi da seguire in caso di crisi. I processi dovrebbero essere stabiliti in modo tale da proteggere le funzioni critiche, recuperare e stabilizzare le attività prioritarie e le loro dipendenze.
- Automazione del piano di continuità del business - notifica automatica al personale chiave per le funzioni critiche una volta che il piano di business continuity sia stato attivato.
- Gestione degli impatti e strategie di mitigazione - Per mitigare i rischi e minimizzare le interruzioni e le conseguenze delle operazioni di business.
Step 4: Test e monitoraggio della continuità operativa (risultati dei test e panoramica del piano)
Una volta implementati, i piani di continuità operativa devono essere continuamente migliorati, testati e monitorati. L'efficacia dei piani progettati viene dimostrata in questa fase. Dovranno essere eseguiti test sui Business Continuity Plan progettati periodicamente, seguiti dal monitoraggio e dall'analisi dei risultati dei test: dove i test falliscono, dovranno essere migliorati e corretti. In questa fase, i risultati dei test del BCP devono essere condivisi con tutti gli stakeholder, a garanzia della resilienza operativa del business. La crisi dovrà essere monitorata in tempo reale così come il processo di ritorno al BAU.
Step 5: Gestione della crisi
La gestione delle crisi può essere definita come la reazione che un'organizzazione ha una volta messo in pratica il BCP in caso di situazione di crisi. Il BCP è la fase di preparazione e definizione del piano in caso di necessità, mentre il Crisis Management riguarda le varie azioni da mettere in atto una volta che l'evento di crisi ha avuto luogo. Include l'esecuzione di ciò che è stato documentato, supportato dal coordinamento e dalla comunicazione tra gli attori chiave coinvolti, minimizzando il tempo di esecuzione effettiva delle azioni e delle procedure.
L'obiettivo principale del processo di gestione della crisi è quello di ridurre al minimo gli impatti della crisi sul business e implementare il processo di recupero precedentemente definito. Avere un BCP ben definito non è sufficiente per prevenire esiti disastrosi, bisogna considerare anche l'importanza della reattività in caso di crisi. Pertanto, il Crisis Management riduce i danni che si potrebbero verificare durante una crisi in atto (compresi quelli reputazionali, sociali e finanziari) come parte degli sforzi di resilienza del business dell'organizzazione.
