Continuità operativa: siamo pronti per affrontare una crisi?
È possibile diventare più resilienti alle emergenze? Come evitare l’interruzione delle attività operative e mantenere le performance aziendali in caso di eventi fuori dall’ordinario? Facendosi trovare preparati, anche in caso di contingenze altamente sfavorevoli, per quanto il loro verificarsi possa apparire inverosimile
Come gli eventi di quest’anno ci hanno tristemente dimostrato, alcune variabili sono difficili da prevedere o appaiono decisamente improbabili. La tendenza potrebbe quindi essere quella di trascurarne la possibilità. La capacità delle realtà aziendali di reagire con prontezza e proseguire nella produzione o nell’erogazione di servizi, nonostante il diffondersi della pandemia, la quarantena e la chiusura dei confini internazionali, la difficoltà di approvvigionamento ed esportazione, nonché di altri grossi ostacoli, ha fatto e farà la differenza fra chi potrà superare il momento di crisi economica e chi invece purtroppo ne subirà le infauste conseguenze.
Business Continuity Management: uno standard per reagire con prontezza
La disciplina detta Business Continuity Managementebbe origine, quasi mezzo secolo fa, come strategia di recupero in caso di malfunzionamento di sistemi informatici, causato da eventi distruttivi di grande entità ma scarsa probabilità. L’obiettivo era quello di approntare risorse e fare i giusti investimenti per mitigare eventuali conseguenze di tali accadimenti, garantendo la capacità di recupero della normale attività aziendale nel minor tempo possibile.
La Continuità Operativa è normata dallo standard ISO 22301, che definisce con rigore i parametri per ideare, attuare, mantenere e migliorare un sistema tutelativo, che consentirà all’azienda di affrontare e superare velocemente circostanze avverse, limitandone i danni e facilitando una rapida ripresa. La norma propone requisiti generici che possono essere applicati a diversi settori e tipologie organizzative, che vanno a toccare svariati elementi, dalla gestione delle risorse ai processi aziendali, agli asset fondamentali per il business.
L’iter di definizione ed implementazione del piano di continuità operativa
Il primo step consiste nell’analisi puntuale dell’organizzazione, di esigenze interne e domanda esterna, possibilmente coinvolgendo tutte le funzioni aziendali responsabili dell’erogazione di servizi. Andranno individuati ed elencati tutti gli stakeholder potenzialmente coinvolti e valutate con attenzione le normative a cui necessariamente bisognerà attenersi. Obiettivo è anche quello di delimitare chiaramente la finalità generale del sistema di Business Continuity Management, ciò che rappresenta il vero cuore pulsante delle attività aziendali, da mantenere in vita in caso di emergenza. Saranno individuati punti critici relativi a processi, fornitori e clienti specifici e valutati gli impatti di un’interruzione di operatività in ciascun frangente (Business Impact Analysis), così da poter predisporre un dettagliato protocollo di contenimento e risoluzione. Il risultato, il Business Continuity Plan, consisterà quindi nella strategia completa di reazione dell’azienda ad eventi critici, articolata in procedure alternative, specifiche per ciascun reparto, che garantiscano il livello necessario di operatività e il ritorno a condizioni standard, con costi sostenibili.
Lo standard per la Continuità Operativa prevede un’organizzazione gerarchica specifica, con un vertice a cui fa riferimento una squadra deputata a garantire l’implementazione delle misure stabilite nel protocollo. Il manager incaricato potrà nominare ulteriori figure in azienda, con esperienza, ruolo o competenze ritenuti utili a dare tempestiva risposta in supporto della ripresa aziendale. Andranno stanziate risorse dedicate, per abilitare effettivamente il piano, e delineate linee guida per la comunicazione e la diffusione di istruzioni precise per l’intera organizzazione. Sarà utile inoltre che vengano esplicitati criteri di misurazione del successo del piano stesso, per monitorarne con precisione l’esito e migliorarne progressivamente l’efficacia.
La differenza fra Risk Management, Disaster Recovery e Business Continuity
L’obiettivo comune è quello di proteggere l’azienda da potenziali impedimenti, ma mentre gestire il rischio comporta una valutazione a priori del rapporto fra minaccia e opportunità e la formulazione di strategie specifiche per mitigare gli effetti negativi, la strategia di Business Continuity prevede l’elaborazione di un piano di ripresa articolato, da attuarsi qualora si attuasse un evento disastroso. Disaster Recovery è invece una componente della Business Continuity, specificamente riguardante il comparto delle tecnologie informatiche. La strategia è volta al ripristino, in seguito ad incidente, di sistemi, infrastrutture e database, così che le attività di business non risultino interrotte o possano riprendere in breve tempo il ritmo standard.
Un sistema completo di gestione prevede sia elementi di gestione del rischio, per identificare potenziali pericoli e stabilire procedure per evitare danni prima che si verifichino, che un piano di continuità, finalizzato ad intervenire, qualora non sia stato possibile evitare la crisi, per ristabilire l’operatività prima possibile e contenere le perdite. Business Continuity significa andare oltre il presente e farsi domande circa le proprie possibilità di sopravvivenza futura, non solo in occasione di eventi disastrosi ma anche rispetto agli esiti del progresso. Quali evoluzioni del mercato potrebbero costituire una minaccia? Quali nuove necessità, normative, tecnologie potranno impattare la relazione domanda-offerta di settore? Quali eventi globali o ambientali contribuiranno a ridisegnare gli assetti commerciali internazionali?