Sicurezza

AssetProtection. Le navi da crociera e la gestione dei rischi

di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria) |

La business continuity non è il disaster recovery, anche se lo include, con i suoi costi spesso non indifferenti, ma un modo di ragionare

Una rivista online scrive: “Un bimbo italiano di quattro anni è quasi annegato in una piscina ‘a onde’ di una nave da crociera al largo della Florida e si trova in condizioni ‘critiche’ in ospedale. Il bambino (…) è sfuggito all’attenzione dei genitori e scivolato in una delle piscine. (…)La nave, con 5.400 persone a bordo, ha fatto subito ritorno in porto e il piccolo italiano è stato ricoverato al Chris Evert Children’s Hospital di Fort Lauderdale. (…)”.

 La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.

Possiamo aggiungere che altri casi di bambini annegati erano già avvenuti, su altre navi, negli ultimi 12 mesi. I commenti su Internet alla notizia furono in prevalenza tesi a domandarsi per quale motivo le navi da crociera non si dotavano di bagnini: ovviamente più di uno per ogni piscina (ci sono i turni) e per ogni nave. Non voglio entrare in un dibattito su questa o altre possibili soluzioni, bensì trarre spunto da questo episodio per alcune considerazioni generali, valide per tutte le organizzazioni.

Analizziamo il caso.

La Compagnia, se è stata colta di sorpresa, ora correrà a rimediare in qualche modo (con il rischio di esporsi a costi e critiche non indifferenti, dovendo procedere in emergenza e nell’onda delle critiche). Oppure, considerato che episodi simili sono già accaduti, il rischio era stato identificato a suo tempo, analizzato e, dopo una attenta valutazione, accettato?

Se questa seconda ipotesi è quella reale, possiamo ritenere, in analogia con altri casi, che avrà prevalso l’opinione che i genitori sono responsabili degli spostamenti dei loro bambini e non può esserlo l’equipaggio, considerata la presenza di oltre 4.000 passeggeri. Opinione questa accettabile se non si prende in esame il rischio reputazionale.

L’impatto che ha l’episodio di un bambino, che è rimasto per lungo tempo in acqua senza che nessuno se ne accorgesse, era stato considerato a fondo? Se necessita urgentemente di un ospedale, come può operare la Compagnia? Nella fattispecie, la nave è dovuta rientrare, sbarcare il bambino con i genitori e riprendere la navigazione, con conseguenze sul programma contrattualizzato.

Perché non ha chiamato la Guardia Costiera? Avevano paura della pubblicità? Come abbiamo visto, c’è stata comunque. Possiamo pensare a quante critiche e quanto “chiacchiericcio” nella nave per parecchi giorni!  Oltre ai commenti sui blog! Era anche questo un rischio accettato in partenza?

Prima osservazione. In molte aziende il rischio reputazionale o è trascurato o è sottovalutato. Accade a volte di sentir dire: “Abbiamo stimato il danno economico e quello reputazionale” come se fossero due cose diverse. Anche il danno reputazionale va stimato dal punto di vista economico includendo le conseguenze derivanti dalla perdita di clienti, danni legali, violazione di norme, ecc.  Ad esempio, non si considera appieno la reazione ad un fatto increscioso, o ad un grave incidente, a seconda del segmento di clientela interessato. Mi riferisco ad esempio alla clientela che punta alla qualità più che al prezzo.

L’analisi dei rischi richiede una identificazione il più possibile estesa delle possibili minacce, senza esclusioni a priori, e con le dovute differenziazioni, ove opportuno.  Bisogna chiedersi: “E’ stato tenuto in considerazione, nella valutazione dei rischi, il margine di contribuzione della differente tipologia di clientela?”.  Oppure, un evento di questo tipo era assai improbabile e quindi il rischio è stato accettato?

A questo proposito, ecco la seconda considerazione. Attenzione a basare tutte le stime sulla sola probabilità di accadimento.

Molti valutano la probabilità e se questa è assai remota (ad esempio un caso su un milione) non considerano il rischio; oppure, furbescamente, moltiplicano la probabilità per l’impatto economico ottenendo un valore irrisorio (1mil.€ x 10-6 = 1 euro).

Faccio ora riferimento alla business continuity, da molti purtroppo trascurata in quanto ritenuta utile solo per realizzare piani di continuità a fronte di eventi catastrofici e disastrosi (ma, domando, la perdita progressiva della migliore clientela per una serie di eventi malevoli non correttamente trattati, non è anch’esso un disastro per l’azienda?).

La Business continuity, anche detta “continuità operativa”, suggerisce invece di porsi questa domanda: “Qualora questa minaccia dovesse attuarsi, possiamo accettarne le conseguenze? Rischio reputazionale incluso?”. Se la risposta è negativa, allora bisogna fare qualcosa, trovare una o più soluzioni che siano adeguate per costo/efficacia. A questo proposito, l’esperienza dimostra che nella maggioranza dei casi si possono individuare misure preventive assolutamente economiche o addirittura a nessun costo.

Terza considerazione. Il risk assessment va eseguito secondo le regole. Infatti, si deve valutare il costo e la fattibilità delle diverse soluzioni: di quelle necessarie a prevenire il verificarsi (nel nostro caso: piscina presidiata con bagnino qualificato; oppure, rete di protezione con cancelletto non apribile da parte di bambini; sensibilizzazione dei genitori anche con corsi di salvataggio; ecc.); di quelle tese a limitarne le conseguenze, qualora sia avvenuto l’incidente (esperti in salvataggio presenti in punti strategici, pronti ad intervenire; apparecchiature idonee sulla nave; bozze dei comunicati, da diffondere ai passeggeri ed alla Stampa, predisposte ed approvate formalmente in anticipo; ecc.); trasferimento a terzi dei costi del danno (gestione in outsourcing delle piscine; polizza assicurativa;  ecc.); oppure, tutte assieme (ad esempio: cartelli di avvertenze; sensibilizzazione e corsi ai genitori; esperto in salvataggio a disposizione e presente per ogni turno; apparecchiatura idonea con personale addestrato; elenco dei recapiti da contattare, per tutto il tragitto della nave, con nominativi, orari, ecc.; bozze comunicati stampa; polizza assicurativa; ecc.).

Tutto ovvio?  Se affermo di avere udito conversazioni via radio, da far rabbrividire per l’improvvisazione, fra chi aveva un grave problema ed una Capitaneria di Porto che cercava di capire la dimensione e gravità di quanto avvenuto a bordo, ci credete?  Forse viene in mente anche a voi qualche analogo episodio che ha fatto perdere del tempo prezioso!

Quarta ed ultima considerazione. Il risk management non può essere la responsabilità di un singolo, o di un grande esperto della Compagnia, o di un intero ufficio ad esso dedicato: ci deve essere il forte “committment” del Vertice aziendale, e la collaborazione continua di chi opera, dagli officer, allo staff, alla crew.  I rischi possibili e le soluzioni più efficaci, efficienti ed economiche possono essere individuate se tutto il personale è stato opportunamente sensibilizzato ed istruito, ed è quindi in grado di dare il suo contributo, sia in fase preventiva, sia all’occorrenza.

La business continuity non è il disaster recovery, anche se lo include, con i suoi costi spesso non indifferenti, ma un modo di ragionare applicando correttamente delle metodologie note di analisi e gestione del rischio, concentrandosi su come limitare le conseguenze, sia in via preventiva, che affrontando efficacemente l’eventuale verificarsi della minaccia e ritornando alla normalità nel più breve tempo possibile.

Il suo punto di forza è il coinvolgimento di tutte le parti interessate, concentrate ad individuare possibili soluzioni, avendo in mente le possibili conseguenze sull’operatività e sul business.