CLOSE
La strategia di Si.Va.F. è di migliorare sempre piu’ la qualità dei propri prodotti e servizi indirizzati ai propri clienti, vendors e partners, in modo da poter continuare ad offrire alle migliori condizioni commerciali, prodotti tecnologicamente avanzati.

Gli strumenti di conoscenza | Valutazione del Rischio & Analisi dell’Impatto sul Business

In questo nuovo articolo della nostra rubrica “Adattarsi, Sopravvivere, diventare Invulnerabili (conoscendo i propri limiti)” approfondiamo due preziosi alleati nell’allestimento del business continuity plan:

la Valutazione del rischio, il processo per identificare i potenziali pericoli per l’azienda & l’Analisi di impatto aziendale, cosa accadrebbe se queste minacce si manifestassero?

Nell’ambito del ciclo di vita di gestione della continuità operativa, la fase di analisi è la pratica con la quale si revisiona e valuta un’organizzazione per identificarne obiettivi, modalità di funzionamento e vincoli che caratterizzino le sue dinamiche operative.

Come anticipato poco sopra, sono due gli strumenti impiegati in questa fase:

  • Valutazione del rischio (RA, Risk Assessment)

Definizione ISO: 
“Il processo generale di identificazione, analisi e valutazione del rischio”

Questo strumento viene utilizzato per individuare i livelli inaccettabili di rischio che possano influire negativamente sulle risorse o sull’immagine di un’organizzazione. Il risultato di questa indagine consente di progettare efficaci soluzioni di risposta e di mitigazione del danno.

  • Analisi di impatto (BIA, Business Impact Analysis)

Definizione ISO: 
“Il processo di analisi delle attività e dell’effetto che un’interruzione potrebbe causare su di esse”

La BIA aiuta a chiarire l’ambito del programma di continuità aziendale e va utilizzata per determinare e selezionare le soluzioni più adatte a raggiungere l’obiettivo di resilienza prefissato. Serve anche ad identificare e assegnare le corrette priorità a funzioni e processi, al fine di determinare quali di questi avranno un impatto maggiore sul business nel caso non fossero più disponibili.

Vediamo ora nel dettaglio le specificità di questi due strumenti, che tipo di utilità assumano nella stesura del business continuity plan, oltre ad alcune indicazioni pratiche di utilizzo.

La valutazione del rischio (RA, Risk Assessment)

Come abbiamo detto poco sopra, la valutazione del rischio è utile per identificare i potenziali pericoli e analizzare cosa potrebbe accadere in caso di sinistro. Permette di capire come gli eventi avversi possano influire su una compagnia e in special modo sulla sua capacità di erogare i prodotti e servizi più importanti. L’obiettivo finale è di ridurre la probabilità o la gravità del sinistro, oltre a portare alla luce l’effettivo livello di adeguatezza dei controlli preesistenti.

Più in dettaglio, un risk assessment condotto correttamente consente di identificare chiaramente dove le minacce superino la propria propensione al rischio, ponendo le basi per sviluppare strategie di business continuity che riducano la probabilità, la durata e l’impatto di un’interruzione.

Concretamente, per ogni prodotto, processo o servizio vitale andrà fissato il cosiddetto: 

  • Maximum tolerable period of disruption (MTPD)
Definizione ISO:  
“Il quantitativo di tempo oltre il quale l’effetto di un evento catastrofico diventa insostenibile”

Sintetizzando, ecco i principali benefici associati a questa attività:

  • Comprensione dei potenziali pericoli per l’impresa, con indicatori di probabilità ed entità dell’impatto
  • Identificazione dei controlli già esistenti e quali siano i margini ulteriori di mitigazione

L’importanza di una corretta valutazione del rischio

Spesso nelle aziende c’è la tentazione di sorvolare sul RA per via del fatto che se ne ignora lo scopo effettivo. Tuttavia, è un passaggio pressoché obbligato per poter sviluppare delle strategie idonee. Avviando questo iter, l’impresa è in grado di identificare i propri punti deboli, oltre a comprendere quali siano le probabilità che un certo evento si verifichi. Un altro scoglio circa l’utilizzo di questo strumento riguarda la difficoltà nel far fruttare concretamente i risultati del RA. Per scongiurare questa evenienza, come primo passo è assolutamente necessario porsi due le domande chiave:

  1. Sulla base dei risultati dello studio, quali rischi associati alla perdita di un’attività o risorsa superano la tolleranza fissata dall’organizzazione? 
  2. Alla luce dei risultati scaturiti dalla prima domanda, quali sono le opzioni disponibili per il monitoraggio e il controllo, così da ridurre il livello di impatto/pericolosità ad un valore inferiore rispetto alla tolleranza precedentemente definita?

Sono in particolare le risposte alla seconda domanda a costituire la base per selezionare la strategia più corretta di gestione del rischio.

Come condurre una valutazione del rischio

Un corretto risk assessment dovrebbe essere condotto da personale competente, che abbia una buona conoscenza dell’ambito in esame. 

ESEMPIO TEMPLATE RA: https://www.fema.gov/media-library/assets/documents/89542

In generale, eccone le fasi specifiche:

  1. Identificare i pericoli.
  2. Determinare la probabilità dei danni
    1. Considerare le normali situazioni operative e gli eventi non standard come manutenzione, spegnimenti, interruzioni di corrente, emergenze, condizioni meteorologiche estreme, ecc.
    2. Considerare i requisiti minimi previsti per legge nella propria giurisdizione.
  3. Identificare le azioni necessarie per eliminare il pericolo o tenere sotto controllo il rischio
  4. Valutare e confermare se la fonte della minaccia sia stata eliminata o, nel caso non sia possibile, se sia adeguatamente gestita.
  5. Effettuare un monitoraggio per accertare la validità del controllo 
  6. Conservare tutti i documenti o le registrazioni prodotti. La documentazione può includere la descrizione dettagliata del processo utilizzato per valutare il rischio, la descrizione di eventuali valutazioni e il dettaglio delle conclusioni.

Analisi di impatto (BIA, Business Impact Analysis)

La conduzione di una BIA è cruciale, in quanto i suoi risultati faranno da base principale sulla quale costruire il piano di continuità operativa. Attraverso di essa, il team sarà in grado di:

  •  stimare i potenziali impatti di un incidente sulle operazioni aziendali
  •  raccogliere le informazioni che torneranno molto utili nel momento in cui andranno sviluppate le strategie da adottare nella fase di recupero dalla crisi.

Gli ambiti di interesse

Le principali aree che vanno prese in considerazione redigendo la BIA sono:

  • I settori chiave e/o le attività principali
  • Le funzioni e i processi considerati critici e / o sensibili al fattore tempo
  • Le risorse necessarie a garantire la continuità dei sopraddetti settori di business, oltre ai processi le funzioni vitali
  • Le dipendenze (e le interdipendenze) tra i vari dipartimenti aziendali, contemplando anche funzioni e processi
  • Per ogni processo o funzione critico, le relative soglie di interruzione tollerabili 

La BIA faciliterà quindi la definizione delle priorità di processi, funzioni, prodotti e servizi critici. La direzione avrà di conseguenza un’idea chiara su quali aree necessitino di maggiori risorse in caso di emergenza. Sovente, le stime e le approssimazioni vengono effettuate in relazione alle variabili finanziarie, come possono essere mancati guadagni, costi aggiuntivi e altre possibili fonti di perdita economica.  
Nel valutare i potenziali impatti non va sottovalutata alcuna possibilità: la crisi può giungere per esempio dal fallimento di un fornitore, da una mancata consegna di beni, o dall’interruzione di un servizio. 

Ecco le principali tipologie di impatto che vanno sicuramente considerate:

  • Riduzione o interruzione delle vendite e degli introiti
  • Ritardo nelle vendite e negli introiti
  • Aumento delle spese (ad es. Lavoro straordinario, esternalizzazione, costi di spedizione ecc.)
  • Multe dagli istituti di controllo
  • Penalità derivate da violazioni contrattuali o perdita di bonus contrattuali
  • Insoddisfazione o perdita del cliente
  • Ritardo nella redazione del business plan

Come realizzare un’analisi di impatto

Lo strumento migliore per condurre una BIA è utilizzare un questionario da sottoporre alle figure chiave aziendali. 

ESEMPIO TEMPLATE BIA: https://www.fema.gov/media-library/assets/documents/89526

E’ necessario quindi interpellare tutti coloro che abbiano una conoscenza profonda di come vengono creati ed erogati, rispettivamente, i prodotti e servizi. E’ chiaro che siano proprio questi soggetti a poter determinare con precisione gli impatti potenziali e le conseguenze che essi avrebbero sul dipartimento di cui sono responsabili. 

Ricapitoliamone le fasi salienti:

  1. Sviluppare il questionario
  2. Organizzare un seminario per istruire i responsabili delle funzioni e dei processi aziendali sull’obiettivo e le modalità di completamento della BIA
  3. Ritirare i moduli compilati
  4. Preparazione report sintetico sui risultati del questionario di BIA
  5. Conduzioni di colloqui postumi con gli interessati per convalidare i risultati della BIA

Oltre a ciò, la BIA dovrebbe idealmente identificare quali processi e risorse siano necessari affinché il business possa continuare a funzionare ininterrottamente, seppur con a livelli di funzionalità ed efficienza ridotti.

L’esito ultimo della BIA è un rapporto scritto al cui interno sono documentati i potenziali impatti derivanti dall’interruzione di ciascun settore critico dell’azienda. Gli scenari che determinino significative interruzioni dei processi di lavoro devono, quando possibile, essere valutati in termini di impatto finanziario. In una fase successiva questi costi andranno confrontati con le spese per le rispettive strategie di recupero.

Nella prossima puntata

Nel prossimo articolo intitolato:

Progettazione | Dare forma alla resilienza

ci occuperemo della fase in cui si progettano le azioni concrete di risposta a ciascuna fonte di rischio. Come determinare e selezionare le soluzioni appropriate per raggiungere il livello ideale di resilienza?

A presto sul nostro blog, ma anche sui nostri canali social, per la prosecuzione del nostro viaggio nel mondo della Business Continuity!

Dare forma alla resilienza | Trovare le azioni concrete di risposta a ciascuna fonte di rischio. (prima parte)

In questo nuovo articolo della nostra rubrica “Adattarsi, Sopravvivere, diventare Invulnerabili (conoscendo i propri limiti)“: come identificare e selezionare soluzioni più appropriate per raggiungere l’obiettivo di continuità operativa desiderato dall’azienda.

Indice della Rubrica

Articoli

  1. Presentazione | Adattarsi, Sopravvivere, diventare Invulnerabili (conoscendo i propri limiti) Un percorso formativo sulla Business Continuity

  2. Introduzione | I fondamentali della Business Continuity 
    [prima parte] [seconda parte]

  3. Preparazione | Creare un team per raggiungere l’obiettivo: non fermarsi mai
    [prima parte] [seconda parte]

  4. Integrazione | Seminare la cultura della resilienza

  5. Analisi | Gli strumenti di conoscenza: Valutazione del Rischio & Analisi dell’Impatto sul Business

  6. Progettazione | Dare forma alla resilienza [prima parte] [seconda parte]

  7. Implementazione | Redigere un buon documento di continuità operativa [prima parte] [seconda parte]

  8. Validazione | Un processo continuo di miglioramento

  9. Disaster Recovery | L’ancora di salvezza

Appendici

  1. Catalogo ISO Business Continuity (prossimamente)

  2. La genesi della Business Continuity



Ultimi articoli

Vai al blog
Blog | 25 Marzo 2024

## Mecspe 2024: un grande successo per SIVAF!

Mecspe 2024 è stata un'occasione preziosa per consolidare il nostro posizionamento come leader nel settore dell'innovazione industriale.
Blog | 23 Febbraio 2024

SiVaF ti invita al MECSPE di Bologna 6-8 Marzo 2024

SiVaF Informatica in qualità di espositore ti invita al MECSPE di Bologna 6-8 Marzo 2024 Padiglione H21 - Fabbrica Digitale

La nostra Newsletter

Seguici per scoprire le ultime novità e gli articoli di approfondimento del nostro blog


ISCRIVITI