Ricetta per un’organizzazione resiliente - 3

Risk Management & Business Continuity, due leve strategiche

I due standard, seppur distinti, contribuiscono a creare un sistema di gestione - efficace ed efficiente - che permette di prevenire il verificarsi di eventi dirompenti o di ridurne i potenziali effetti negativi sull’organizzazione e sulle sue relazioni. Il Risk Management e la Business Continuity sono, di fatto, interconnessi e, insieme, contribuiscono al raggiungimento degli obiettivi aziendali.

Secondo una prima affermata teoria, la competenza della continuità aziendale può essere vista attraverso un’efficace gestione del rischio. Un’altra teoria, allo stesso tempo, afferma che la gestione del rischio non può essere eseguita in modo efficace senza l’analisi de-gli impatti e un’adeguata pianificazione della continuità aziendale all’interno di uno strutturato quadro strategico. In realtà le due affermazioni hanno pari dignità: le soluzioni di gestione del rischio mirano a modificare le “esposizioni al rischio” dell’organizzazione tramite sinergica ed efficace pianificazione della continuità aziendale; una volta mitigato il rischio, la continuità aziendale garantisce che l’organizzazione sia in grado di operare riducendo al minimo le conseguenze causate da una dirompente interruzione. Si tratta – come già evidenziato negli articoli precedenti - di due leve che si completano a vicenda e, entrambe, sono necessarie nei contesti organizzativi.

 
Il Sistema di Business Continuity mediante la BIA (Business Impact Analysis) – elemento fondamentale del sistema di gestione - per-mette di comprendere e di mappare ciò che serve all’organizzazione per garantire, a fronte di una grave interruzione, la continuità delle operazioni a un livello minimo definito come accettabile (MBCO – Minimum Business Continuity Objective).
Il processo di Risk Management, invece, attraverso le attività di analisi, di valutazione e di ponderazione dei rischi, fornisce le informa-zioni necessarie alla fase di trattamento in modo da individuare e attuare le misure per agire sulle variabili del rischio - i.e. probabilità di accadimento e gravità - prima che questo si verifichi.
Di fatto, la gestione integrata dei rischi, unitamente alla continuità operativa, non è una rivoluzione ma una naturale evoluzione nell’arte di gestire i rischi.

AAA sinergia cercasi

Il Risk Management e la Business Continuity, grazie a una “dialettica organizzativa”, nella accezione aristotelica di strumento di indagine della verità - ovvero a una conoscenza dei contesti in cui opera l’organizzazione per individuare i potenziali “impedimenti/rischi” al conseguimento dei propri obiettivi - condividono l’obiettivo comune di: preservare la salute e l’integrità fisica di dipendenti, clienti e terzi; salvaguardare i beni e la redditività aziendale; proteggere l’immagine dell’azienda e dei suoi prodotti.

Nel contingente mondo V.U.C.A. - un mondo caratterizzato cioè da volatilità (volatility), incertezza (uncertainty), complessità (complexity) e ambiguità (ambiguity) - il Risk Manager e il Business Continuity Manager dovranno, come veri e propri “professionisti poliedrici”, essere in grado di gestire “agilmente” e in modo “adattivo” le variabilità presenti e future all’interno di un framework “olistico”.
Pertanto, è necessario avere una conoscenza e una consapevolezza di ciò che sta succedendo in tempo reale e aggiornare costantemente le posizioni di rischio in modo da agire tempestivamente prima che un grave evento si verifichi, utilizzando metodologie, tecniche, strumenti e, ove possibile, tecnologie disponibili sul mercato.
Si tratta, quindi, di implementare un sistema ancor più integrato sia per l’analisi dei rischi sia per i piani di risposta, che dovranno essere aggiornati con l’evolversi delle esposizioni al rischio. Solo in questo modo sarà possibile raggiungere un giusto equilibrio tra tecniche di controllo del rischio e strategie di trasferimento, contribuendo, così, con i piani di continuità, al miglioramento e alla stabilizzazione delle prestazioni nel tempo.

Approccio Olistico: il mantra del futuro

Ciò che lo scenario contingente richiede alle organizzazioni, per essere up-to-date, è di cessare di essere strutturate per “silos” e, quindi, essere caratterizzate da una cultura “collettiva” e “collaborativa”. Pertanto, al fine di rafforzare le pratiche di Risk Management & Business Continuity e rendersi più flessibili e agili – in modo tale da dare priorità a quanto risulta di volta in volta più critico/importante/strategico e garantirne il “valore”, indipendentemente dal contesto – è necessario garantire sempre più una struttura per la raccolta, l’analisi e la condivisione ragionata delle informazioni all’interno dell’intero sistema.

Concludendo

I Risk Manager e i Business Continuity Manager dovranno essere pronti a interagire con tutto il contesto aziendale, creando sistemi collaborativi e flessibili dove esperienze, competenze, informazioni, processi e obiettivi sono sempre più integrati. La resilienza organizzativa, come calibrata sintesi delle due discipline, è un modello che emula il nostro sistema immunitario ed è progettato per impedire il verificarsi di eventi dirompenti ma, ancora più importante, è in grado di resistere a uno shock (entro limiti ragionevoli), riprendersi e diventare più forte.
Il Risk Manager e il Business Continuity Manager sono destinati a ricoprire sempre più un ruolo “etico” e di “valore” all’interno delle organizzazioni dal momento che costituisce un’“etica” l’osservare e il valutare continuamente il mondo che ci circonda come singoli e come organizzazioni; cercare di identificare le minacce che incombono, misurare le nostre vulnerabilità, rispetto alle minacce e provvedere, per tempo, con azioni di mitigazione che devono essere attuate anche quando sembrano inutili e soprattutto dispendiose. È “etico” preparare in anticipo i piani per la gestione dei rischi e quelli di continuità operativa che garantiscono la ripresa di tutte le attività dopo un evento critico. Tutto questo ha un costo, ovviamente, ma certamente inferiore a quello di un rimedio attivato sotto la pressione dell’urgenza. Le organizzazioni non devono essere preparate solo in caso di guerra dichiarata; esse devono essere sempre pronte a rea-gire dinnanzi a un evento improvviso con l’obiettivo di proteggere l’impresa, l’essere umano e l’ambiente in cui vivono.
È doveroso ricordare che il destino di un’organizzazione non è una questione di fortuna, bensì di scelte e di strutturata strategia: non è una cosa da aspettarsi ma da raggiungere. In altre parole, la resilienza non va attesa ma preparata, ovvero: “Hope for the best, plan for the worst” (Lee Child, famoso scrittore inglese di thriller).

Federica Maria Rita Livelli
Gianluigi Lucietto
Consulenti in Risk Management & Business Continuity - Consiglieri ANRA