Business Continuity: Cos’è e Come Redigere un Piano

La Business Continuity o Continuità Operativa rappresenta la capacità di un’impresa di continuare a svolgere le proprie attività di produzione e fornitura di prodotti e servizi nel tempo, anche a fronte di possibili accadimenti esterni.

Eventi come calamità naturali, blackout, attacchi informatici, furti o pandemie sono esempi di come un avvenimento esterno può impattare una struttura organizzativa provocando possibili interruzioni delle attività, con un conseguente aumento di costi e di gestione.

Per questo motivo, quando si parla di continuità operativa si fa riferimento anche al livello di resilienza organizzativa e quindi alla capacità di adattamento agli avvenimenti esterni, anche straordinari. In questo senso, la business continuity offre un modo per monitorare da vicino le performance aziendali.

Una definizione e quella contenuta nelle norme ISO 22300 e ISO 22301, secondo le quali “la business continuity è la capacità di un’organizzazione di continuare a erogare prodotti o servizi a livelli accettabili a seguito di un incidente”.

Tra i vantaggi di una corretta gestione della continuità operativa possiamo individuare i tre più importanti:

1. Una maggiore sicurezza per manager e dipendenti di fronte a situazioni problematiche o addirittura emergenziali.
2. Una produttività costante nel tempo, senza problemi di discontinuità o picchi di lavoro.
3. La possibilità di mantenere costanti i livelli di fatturato.

Si tratta quindi di benefici sia di carattere sociale, nel rapporto di aumentata fiducia con clienti, dipendenti e management, sia di carattere economico, grazie alla riduzione di sprechi, inefficienze e faticose ripartenze degli impianti e una migliore gestione dei processi produttivi. A questi si aggiungono vantaggi di di risparmio economico. Secondo IDC, in media, un guasto dell’infrastruttura può costare a un’organizzazione circa 100.000 dollari all’ora mentre un guasto critico può costare anche da 500.000 a 1 milione di dollari all’ora. Ecco quindi che un buon piano di continuità operativa può evitare costi straordinari importanti.

Infine, tra i benefici intangibili legati alla business continuity, risulta esserci anche una migliore immagine aziendale, legata a concetti di fiducia e stabilità nei confronti di mercato e clienti.

Spesso, il concetto di business continuity viene associato a quello di disaster recovery. In realtà, si tratta di due cose differenti. Il disaster recovery si riferisce esclusivamente alla sicurezza informatica e al ripristino di sistemi, dati e infrastrutture necessari ad assicurare la vita e il business aziendali. Questa attività prevede l’attuazione di misure tecniche e procedure organizzative che solitamente vengono raccolte in un Disaster Recovery Plan.

La continuità operativa riguarda un’area molto più ampia dell’operatività aziendale andando a coinvolgere persone, siti, linee produttive, risorse e fornitori da gestire di fronte a una situazione di crisi o emergenza. In un Business Continuity Plan, gli aspetti legati al Disaster Recovery rappresentano uno dei molteplici aspetti da trattare in un documento molto più completo.

ll Business Continuity Plan è lo strumento principe di cui dispone un’azienda per gestire situazioni critiche o eventi straordinari e garantire il ripristino delle attività produttive e delle funzioni vitali di un’impresa nel minor tempo possibile.

Il piano è strutturato in modo da indicare tutte le attività strategiche da attuare in caso di emergenza, insieme alle proiezioni di costo e alle persone coinvolte a seconda dei ruoli. Ovviamente, il tipo di programma varia in funzione delle dimensioni, della complessità e del tipo di azienda. Per una piccola impresa, ad esempio, può essere realizzato un unico documento relativo ai processi principali. Per una grande multinazionale, invece, potrebbe rendersi necessario sviluppare dei documenti più dettagliati per tipo di prodotto o servizio, sede operativa e divisione.

L’obiettivo di ogni Business Continuity Plan è in ogni caso quello di minimizzare i danni causati da un eventuale fermo macchine o blocco produttivo e permettere il più veloce ritorno alla normalità. Uno strumento fondamentale anche per aumentare la capacità competitiva sul mercato e migliorare reputazione e immagine aziendali.

Un piano di continuità operativa va sviluppato su tre livelli:

• sul piano strategico, è la procedura da seguire per gestire correttamente gli eventi critici che minacciano la vita dell’azienda;
• sul piano tattico, il documento rappresenta le procedure per coordinare e gestire i vari referenti e attività coinvolti;
• sul piano operativo, include tutte le operazioni da seguire nell’emergenza.

Esistono tre aspetti da considerare in maniera prioritaria in un piano di business continuity per le applicazioni e i processi fondamentali:

• Elevata disponibilità: predisporre i processi in modo tale che l’azienda disponga dell’accesso alle attività indipendentemente dai guasti che possono riguardare infrastrutture, reti, macchinari, strutture ecc.
• Attività continue: mantenere la capacità di funzionamento durante un’interruzione o un blocco programmato, quale potrebbe essere ad esempio una manutenzione ordinaria.
• Disaster recovery: definire una strategia di ripristino per il data center e le infrastrutture e reti IT nel caso in cui si verifichi un disastro o un attacco informatico.

Di fatto il Plan è progettato per proteggere dipendenti e asset aziendali.
Deve quindi mappare i seguenti processi critici:

• Rapporto con clienti e partner;
• Erogazione e Realizzazione di servizi e prodotti;
• La catena della logistica e il trasporto;
• La supply chain e la catene di fornitura e approvvigionamento;
• Le risorse umane;
• Le risorse economiche e finanziarie necessarie;
• Le risorse IT e di connettività e telecomunicazione;
• Le infrastrutture fisiche fondamentali
• Le esigenze in termini di consumi energetici;
• I rischi di compliance e le implicazioni legali.

Il piano deve inoltre includere anche i seguenti documenti:

• Piano di emergenza per gli occupanti (OEP).
• Piano di risposta agli incidenti (IRP).
• Piano di continuità delle operazioni (COOP).
• Piano di recupero in caso di disastro (DRP).
• Piano di Ripresa del Business (BRP).

Il piano di continuità operativa può inoltre comprendere dei piani specifici rispetto a procedure e informazioni particolari come il Piano di crisi o il Piano di Comunicazione nella Crisi.

Le 6 fasi del Piano di continuità operativa

Come indicato dal Business Continuity Institute, il principale ente di riferimento internazionale in materia di continuità operativa, vanno seguite 6 fasi.

1. Definizione degli Obiettivi

Occorre anche focalizzare, per ogni obiettivo, i traguardi da raggiungere, in modo da verificare la piena rispondenza del BCP alle effettive esigenze di business.
Il primo passo è sempre quello di analizzare la situazione e identificare in modo chiaro gli obiettivi delle attività di business continuity. Per ogni obiettivo, vanno individuati i milestone e i tempi.

2. Formare i referenti

Il team di referenti aziendali che devono mettere in atto il Piano deve ricevere una adeguata formazione. Per questo è fondamentale nominare un Business Continuity Manager, un suo assistente e un assistente amministrativo per ogni divisione dell’azienda.

Il Business Continuity Manager è quindi il responsabile della pianificazione del piano di Business Continuity e business recovery. Si occupa delle attività necessarie per consentire all’organizzazione di gestire un evento di crisi o emergenza e di soddisfare i requisiti di conformità.

3. Identificare le aree chiave dell’azienda

A questo punto è necessario identificare le necessità e le aree chiave dell’azienda ovvero quelle che, in caso di fermo potrebbero causare problemi all’azienda e hanno quindi la percentuale di rischio maggiore. In questa fase, bisogna analizzare i rischi finanziari, operativi e fisici dell’azienda a seguito di una crisi o un avvenimento esterno.

4. Analizzare l’impatto sull’azienda dell’elemento di rischio

Nel processo di identificazione delle esigenze di continuità di un’organizzazione, si analizzano anche le vulnerabilità dell’organizzazione tramite il risk assessment. L’analisi chiamata business impact va anche a determinare le conseguenze e gli impatti di ogni possibile evento sull’operatività dell’organizzazione.

5. Creare un piano operativo

Si tratta della fase più importante, che porterà alla creazione del piano vero e proprio con l’indicazione delle procedure e delle azioni da mettere in pista per prevenire e gestire l’emergenza e per ripristinare le attività.

6. Effettuare una revisione annuale

Un’azienda non è un oggetto fisso nel tempo. Ha una sua vita e attraversa dei cambiamenti, a livello organizzativo, strutturale e di processi produttivi e di business. Per questo motivo, il piano va continuamente rivisto e revisionato, su base annuale, perché venga adattato alle reali esigenze aziendali.

Esempi di Business Continuity Plan

In conclusione, il Piano di Continuità Operativa deve necessariamente includere i seguenti punti:

• Scopo e obiettivi (a quali clienti e attività dare priorità);
• Ruoli e responsabilità (chi fa cosa);
• Azioni e priorità;
• Informazioni necessarie e flussi nel tempo;
• Richiesta di risorse (economiche, energetiche, di personale);
• Attività di reporting (verso i clienti, all’interno dell’azienda, verso altri stakeholder);

Le iniziative proattive della continuità di business devono permettere il ritorno alla normalità nel minor tempo possibile. Per questo motivo il piano tratterà, ad esempio: le priorità nella produzione di prodotti e servizi, gli stock di prodotti finiti, materie prime, componenti critici in situazioni di emergenza, il piano di spostamento di lavoratori e macchinari, l’attivazione di backup, la programmazione di attività di manutenzione e l’attivazione di programmi di smart maintenance, l’assegnazione di ruoli e deleghe diverse, il supply chain management (gestione della catena di fornitura), l’opportuna gestione della comunicazione o comunicazione di crisi con i media, l’accesso a risorse finanziarie di emergenza, l’adozione di logiche produttive alternative ecc.