BUSINESS CONTINUITY… QUESTA SCONOSCIUTA
Ma serve davvero?
Si tratta di una disciplina di gestione che consente all’organizzazione di diventare più resiliente agli incidenti che potrebbero causarne l’interruzione delle attività o addirittura minacciarne l’esistenza.
Come tale, la Business continuity è una delle discipline chiave della resilienza organizzativa e contribuisce quindi a un significativo miglioramento delle performance dell’organizzazione. La continuità operativa, infatti, fornisce in modo univoco il quadro di riferimento per comprendere come il valore viene creato e mantenuto all’interno di un’organizzazione.
Erroneamente, viene spesso confusa con il Disaster Recovery (ripristino del danno) che è solo una parte specifica della business continuity, associata comunemente ed in particolare ai processi informatici.
La continuità operativa ha un campo di applicazione più ampio e prevede riflessioni anche su persone, siti, risorse e fornitori dell’organizzazione.
Business continuity e Gestione del rischio
Tramite i modelli ERM di Gestione del Rischio, le organizzazioni danno la percezione di tutela e creazione di valore per le parti interessate (azionisti, dipendenti, clienti, autorità di regolamentazione e pubblico in generale).
Il Risk Management ha solitamente una più ampia portata rispetto alla continuità operativa, comportando la necessità per la Business continuity di adeguarsi al quadro complessivo dei rischi. Questo è perfettamente possibile da realizzare, purché vi sia una chiara distinzione a livello di terminologia e di contenuti tra le due discipline.
A questo proposito è importante notare come la Business continuity si focalizzi - in particolare nella fase di Analisi - sull’identificazione delle vulnerabilità organizzative collegate al valore di base che supportano (Analisi delle Minacce) e sulla comprensione dell’impatto di una loro indisponibilità sull’organizzazione (Business Impact Analysis).
La continuità operativa non è dunque solo identificazione, valutazione e segnalazione di ogni singolo rischio concepibile per un’organizzazione, i suoi mercati, i clienti e il contesto in cui opera e non è certamente mera assegnazione delle probabilità di manifestazione degli eventi. La gestione dei rischi identifica le minacce catastrofiche che sono al di fuori del controllo dell’organizzazione, mentre la gestione della continuità operativa si preoccupa di definire il modo per ridurre l’impatto di tali minacce, qualora si dovessero verificare.
L’implementazione di entrambe le discipline, Business continuity e Gestione dei rischi, fornisce a un’organizzazione l’opportunità di rafforzare la sua resilienza, ma questo avverrà solo se il management ne è effettivamente consapevole e ben coordinato.
Business continuity e Gestione delle crisi
Il Ciclo di Vita del BCM:
il miglioramento della resilienza organizzativa
Fonte: Business Continuity Institute
La gestione delle crisi è quindi certamente una delle attività che deve essere affrontata da qualsiasi organizzazione che implementi la Business continuity. Non dovrebbe pertanto essere separata dalla continuità operativa, in quanto parte integrante di una qualsiasi risposta positiva a un incidente.
Potrebbero esserci comunque ulteriori aspetti della disciplina da considerare quando viene applicata a incidenti derivanti da minacce non operative, come ad esempio la gestione dei media e la comunicazione con gli stakeholder esterni in caso di crisi. In ogni caso, il coordinamento delle attività di crisis management pertiene al livello strategico del Sistema di Gestione della Continuità Operativa.
Standard e norme di riferimento principali
Nel mese di maggio del 2012 è stata pubblicata la Norma ISO 22301:2012 Societal security - Business continuity management systems - Requirements, alla quale nel mese di dicembre ha fatto seguito la Norma ISO 22313:2012 Societal security - Business continuity management systems - Guidance.
Nel mese di dicembre del 2015 sono state emanate le seguenti Technical Specification correlate: ISO TS 22317:2015 Societal security - Business continuity management systems - Guidelines for business impact analysis (BIA) e ISO TS 22318:2015 Societal security - Business continuity management systems - Guidelines for supply chain continuity.
OSSERVATORIO DEL MERCATO
È andata in onda recentemente su Radio 24, all’interno della trasmissione Fabbrica 2.4, una intervista di approfondimento con l’Amministratore Delegato di Assiteca sul tema Business Continuity.
Sono molti gli eventi imprevedibili che possono capitare e mettere in difficoltà le imprese, di qualsiasi dimensione siano. Incendi, disastri ambientali, interruzione della supply chain e i sempre più frequenti attacchi informatici - solo per citarne alcuni - possono causare interruzioni delle attività operative con conseguenti danni economici e di immagine.
Diventa fondamentale prendere consapevolezza dell’evoluzione aziendale post sinistro
Il mercato assicurativo si è sempre concentrato sulla protezione.
Oggi è invece necessario concentrarsi sulla prevenzione per pianificare i comportamenti più adatti a fronteggiare un evento e gestire l’imprevisto.
Secondo una ricerca di AIBA, Associazione Italiana dei Brokers di Assicurazione e Riassicurazione, il 40% delle aziende italiane che, in conseguenza di un sinistro, rimane inattiva per più di tre mesi fallisce entro due anni dalla ripresa dell’attività.
“Il fatto che un’azienda si strutturi con un sistema integrato di gestione dei rischi che include un business continuity plan attiene alla sua stessa sopravvivenza” afferma l’A.D.
“Il mercato è sempre più veloce e interconnesso, la protezione tramite il trasferimento del rischio al mercato assicurativo non è più sufficiente.
È necessario prevenire, perché un sinistro che tiene un’azienda inattiva per un periodo prolungato ha come rischio l’uscita dell’azienda dal mercato, indipendentemente dall’aver ottenuto gli indennizzi corretti dalla copertura assicurativa”.
Operare in un contesto globale rende le aziende ancora più esposte.
“Interrompere la fornitura a un cliente significa rischiare di essere sostituito e perderlo per sempre”.
I vantaggi tangibili di un Business Continuity Plan
Le aziende che hanno implementato un Business Continuity Plan dimostrano nel medio periodo una resilienza e una redditività del 40% superiore alla media del campione.
Da un punto di vista strategico, i vantaggi derivano da una compliance legale e regolamentare, il mantenimento del miglior livello di servizio verso i propri clienti, un rating più alto nelle valutazioni da parte dei clienti, una gestione efficace della reputazione.
Il Business Continuity Plan rappresenta inoltre un importante supporto alla pianificazione di investimenti strategici perché consente una migliore comprensione del profilo di rischio aziendale e una conseguente valutazione più positiva da parte degli operatori finanziari.
Da un punto di vista operativo, il Business Continuity porta un miglioramento continuo dei processi organizzativi, un rafforzamento del management attraverso la collaborazione e responsabilizzazione, una relazione più trasparente e diretta con i clienti, una gestione più puntuale della supply chain.
Infine, rende possibile un’ottimizzazione del programma assicurativo grazie alla riduzione del costo del trasferimento assicurativo e all’ampliamento delle coperture.