La continuità operativa è semplice “fuffa”? O almeno è percepita tale?
È questa la domanda che mi sono posto quando mi sono sentito dire da un ex dirigente d’azienda da poco in pensione: “la business continuity: ti dicono che bisogna comprare un altro palazzo perché non si può mai sapere cosa può accadere!”. Lo ha detto facendo capire che scherzava, ma che in fondo c’era del vero.
Non ho saputo rispondere immediatamente, sia perché preso alla sprovvista, sia in quanto ci poteva essere un fondo di verità!
Mi sono venuti in mente degli episodi, realmente avvenuti in alcune aziende, nei quali erano emerse delle possibili soluzioni di continuità costosissime, non giustificate dalla reale criticità dei processi di business interessati; non ultimo, non erano state prese in esame soluzioni di gestione dell’emergenza a costo zero. Chissà se il mio interlocutore aveva sperimentato una simile esperienza!
Mi sono poi posto un’altra domanda: la materia è realmente conosciuta?
La business continuity forse paga la relativa giovinezza; in effetti, se si parla di disaster recovery, tutti sanno di che si tratta, anche se in linee generali.
Tutti coloro che hanno un computer sanno cosa è un backup e che rischi possono correre (vedi ad esempio con cryptolocker).
Allo stesso modo tutti dovrebbero avere un piano alternativo, qualora accada un evento scarsamente probabile, ma possibile, quale ad esempio: la rottura del tubo dell’acqua o del congelatore durante le vacanze, un guasto all’auto proprio il giorno in cui vi è un appuntamento importante, oppure la perdita della borsa con portafoglio, chiavi di casa e dell’auto, ecc.
Così come sarebbe buona norma avere un piano da attuare in caso di evento sismico o di allagamento.
In materia, la maggiore esperienza in Italia l’ha fatta il mondo dell’intermediazione finanziaria a seguito della nota normativa della Banca d’Italia del luglio del 2004.
Il mondo industriale, e in particolare quello italiano fatto in prevalenza di piccole e medie aziende, ha affrontato – per quanto io ne sappia – questo tema negli ultimi tempi e spesso nell’ottica di certificarsi al nuovo standard ISO 22301 del 2012, con lo scopo di essere in linea con quanto richiesto in molte gare di appalto a livello internazionale.
Le società di consulenza, che nel frattempo si sono offerte anche su questo prodotto, hanno in prevalenza personale che non ha esperienza pregressa significativa, ma solo nozioni.
Sono andato a riprendere lo standard ISO 22301 e l’americano NFPA 1600 – Standard on Disaster/Emergency Management and Business Continuity Programs, che, come ho scritto nel mio libro, mi è apparso più pragmatico finanche nelle definizioni e nelle esemplificazioni rispetto a quello ISO.
Provo a sintetizzare in cosa consiste la business continuity, auspicando che con questo mio articolo si possa aprire un dibattito al quale partecipino anche, e soprattutto, i responsabili delle principali funzioni aziendali e il top management.
Possiamo suddividere l’ambito della business continuity in due grandi fasi:
- nella prima fase, in base ai criteri di rischio dell’azienda, vengono identificati i processi rilevanti (i processi si possono suddividere in diverse classi di importanza per poi prendere in considerazione quelli considerati estremamente indispensabili) e l’intervallo di tempo massimo accettabile di interruzione nella produzione e nel servizio, nonché la perdita massima accettabile di dati, a seguito di eventi anche disastrosi per durata e/o ampiezza;
- nella seconda fase, a seguito delle decisioni del comitato rischi e del top management sulla accettazione o meno dei rischi, o sulla necessità del loro trattamento per la continuità di determinati processi per la sopravvivenza dell’azienda, tutte le funzioni aziendali competenti (ICT, produzione, personale, immobili e logistica, crisis manager, eccetera) partecipano alla analisi ed individuazione di possibili soluzioni; ciò può riguardare: la riduzione della probabilità di accadimento, in alcuni casi la stipula di una polizza assicurativa, outsourcing di parte del processo e le azioni eventualmente da compiere per la ripresa dell’attività in caso di necessità (ad esempio: procedere inizialmente ad un livello di produzione limitato per un breve tempo; spostare momentaneamente la produzione su terze parti da attivare all’occorrenza; ecc.), e, non ultimo, le comunicazioni da dare al personale, agli stakeholder ed ai media.
L’esperienza insegna che, pensandoci prima, si trovano soluzioni di continuità a costo zero, ossia con costi generati solamente qualora l’evento malevolo si presenti. In questa fase assai importante è la partecipazione del responsabile del piano di disaster recovery, dato oramai il peso sostanziale che ha l’ICT in tutte le organizzazioni.
Il responsabile per la conduzione della prima fase è la struttura di risk management o dirigente a ciò delegato dal vertice aziendale.
Il responsabile di proporre le soluzioni di continuità al top management e di gestione dell’emergenza è bene sia un manager, con cognizione di causa, adatto a portare a termine l’incarico – non facile essendo l’obiettivo quello di ridurre al massimo i possibili costi preventivi – coinvolgendo in modo ottimale tutte le funzioni aziendali competenti in materia, necessarie per il raggiungimento degli obiettivi di continuità.
Mi auguro che questo breve testo sia sufficientemente chiaro e che possa far nascere un dibattito.