Ricetta per un’organizzazione resiliente - 2

La moltitudine di rischi, gli attacchi informatici, gli eventi estremi, le crisi sociali e geopolitiche e le pandemie stanno caratterizzando sempre più la nostra quotidianità. Pertanto, risulta sempre più necessario e urgente effettuare una puntuale analisi dei rischi unitamente all’analisi degli impatti che essi possono produrre, in modo tale da individuare, capire e gestire le vulnerabilità aziendali - sia tecniche sia organizzative – progettando e implementando i corretti piani per ridurre e/o eliminare le aree di rischio individuate e, al contempo, salvaguardare l’operatività dell’organizzazione.

Un “paso doble” ben orchestrato

Facendo una trasposizione ardita, nell’implementare le due discipline è come se assistessimo alla performance di una “coppia affiatata” che balla all’unisono un paso doble, ovvero: Risk Management & Business Continuity come due ballerini, nella loro danza - l’uno “parallelo” all’altro – devono eseguire i “passi” mantenendo sempre un sinergico e armonico parallelismo. Esaminiamo cosa prevede, nella realtà, l’implementazione delle due discipline.
Il Risk Management mira a identificare e misurare le probabilità e la gravità di un evento, contrastandone gli effetti per mezzo di leve di mitigazione quali:
- il controllo fisico del rischio (tramite eliminazione, prevenzione, riduzione, separazione, duplicazione);
- il finanziamento del rischio (tramite trasferimento e ritenzione).

La Business Continuity si concentra su ciò che è necessario attuare per fronteggiare le conseguenze dell’evento dirompente, dai primi secondi (gestione dell’emergenza), fino all’attivazione di strategie alternative di produzione o d’erogazione del servizio.
Nel processo di implementazione della Business Continuity si parte dal presupposto che l’evento si sia verificato e, pertanto, è necessario agire. Ovvero, bisogna prendere decisioni efficaci, basate su informazioni attendibili (i.e. verificate), in un momento in cui l’“universo” di riferimento è completamente cambiato.

Da dove partire
Le due discipline declinano - nei loro standard di riferimento - un insieme di elementi comuni, sebbene non riflettano la stessa struttura, ovvero, in entrambi i sistemi di gestione, l’applicazione dei relativi processi viene declinata partendo da:
•    l’analisi e comprensione del contesto interno ed esterno;
•    la definizione del campo di applicazione.

È doveroso ricordare che la definizione dei criteri di rischio ricopre un ruolo fondamentale e strategico nel processo di Risk Management in quanto, essendo definiti dall’organizzazione, costituiscono elementi fondamentali per svolgere la valutazione dei rischi e per supportare l’intero processo decisionale in termini di conseguimento degli obiettivi strategici prefissati.
Pertanto, nella definizione e nella strutturazione dei criteri di rischio vengono contemplati i seguenti aspetti:
•    la natura e la tipologia delle minacce;
•    gli effetti derivanti dal verificarsi dell’evento dirompente (i.e. perdite di carattere monetario o materiale, costo di ricostruzione di un impianto distrutto, interventi poco soddisfacenti o non in linea con le aspettative);
•    la natura o la genesi dell’evento probabilmente sfavorevole (i.e. eventi causati dall’uomo o dalla natura, prodotti che non soddisfano le aspettative dei clienti, il posizionamento del magazzino in una zona non idonea o condizioni di stoccaggio inadatte che possono impattare sui prodotti, ecc.);
•    gli impatti di natura economica – sia in positivo sia in negativo - sul bilancio aziendale a seguito di un evento (i.e. perdita o guadagno);
•    gli impatti marco-economici e geopolitici sulla sicurezza della comunità e del personale aziendale;
•    l’efficacia dei controlli in essere;
•    le variabili temporali.

Nell’ambito della Business Continuity, invece, se da un lato vi sono parametri fondamentali che hanno alcuni elementi in comune con i criteri e i parametri di rischio, dall’altro lato vi sono parametri “temporali” che sono proprio peculiari di questa disciplina, quali:
•    Recovery Time Objective (RTO) o Obiettivo di Tempo di Recupero: tempo entro il quale i servizi erogati, la produzione, i servizi di supporto e le funzionalità operative devono essere ripristinati dopo l’incidente che ha generato la discontinuità;
•    Recovery Point Objective (RPO) o Obiettivo di Punto di Recupero: il punto (l’istante nel tempo) al quale le informazioni so-no coerenti e possono essere ripristinate per consentire la ripresa delle attività, denominato anche Maximum Data Loss (solitamente coincide con l’ultimo back-up dei dati).
•    Maximum Tolerable Period of Disruption (MTDP) o Massimo Periodo Tollerabile di Interruzione: tempo massimo che può trascorrere a fronte degli impatti negativi conseguenti a un incidente, come risultato della mancata fornitura di un prodotto, mancata erogazione di un servizio o mancato svolgimento di un’attività operativa.
•    Minimum Business Continuity Objective (MBCO) o Obiettivo Minimo di Continuità Operativa: livello minimo di servi-zi/prodotti che l’organizzazione ritiene accettabile per raggiungere i propri obiettivi operativi prefissati durante un’interruzione.

L’importanza dei criteri e dei parametri di Risk Management & Business Continuity consiste, di fatto, nel fornire riferimenti utili all’organizzazione per:
•    effettuare la valutazione dei rischi (Risk Assessment - RA);
•    svolgere le analisi di impatto operativo (i.e. Business Impact Analysis -BIA);
•    valutare l’applicabilità delle soluzioni di Risk Management & Business Continuity;
•    valutare l’efficacia e l’efficienza (i.e. ratio costo-beneficio) delle soluzioni adottate rispetto agli obiettivi dell’organizzazione;
•    garantire la conformità ai requisiti legali o regolamentari.

Nel prossimo articolo esamineremo come le due discipline operano sinergicamente per il raggiungimento degli obiettivi.

Federica Maria Rita Livelli e Gianluigi Lucietto
Consulenti in Risk Management & Business Continuity - Consiglieri ANRA

Fonte: RM News n.75 - Giugno 2021