Cos’è la business continuity
La Business Continuity viene definita come “il processo atto a individuare le potenziali minacce per un’azienda e ad avviare le strategie e le operazioni necessarie per assicurare la resilienza della struttura a seguito del verificarsi di situazioni avverse.” Ad esempio, anche in caso di un’emergenza globale come il COVID-19, le aziende dotate di un Business Continuity Plan hanno potuto mettere al sicuro la loro operatività, capacità produttiva e immagine aziendale.
In poche parole, possiamo definire la business continuity come la capacità di continuare a lavorare e a svolgere le attività aziendali anche in condizioni critiche, come problemi interni o esterni o incidenti. Tutto questo è reso possibile grazie all’individuazione di quello che viene definito il Business Continuity Plan, un vero e proprio manuale di minacce e soluzioni per la prevenzione dei rischi e la definizione degli interventi da attuare in caso di eventi avversi.
La Business Continuity è una disciplina relativamente nuova di gestione del rischio di impresa, orientata a garantirne l’operatività anche in caso di eventi eccezionalmente critici che colpiscono direttamente o indirettamente l’organizzazione. Non esistono modalità univoche per gestire tali eventi in quanto ogni azienda è diversa dall’altra, ma esistono buone pratiche consolidate e riconosciute a livello internazionale di approccio al problema.La Business Continuity è una diretta evoluzione dello storico approccio di Disaster Recovery nato nel mondo IT e vengono spesso confusi. In entrambi i casi si ipotizza l’insorgenza di un evento “aziendalmente catastrofico”, ma si opera con due approcci diversi: il Disaster Recovery ipotizza che l’attività si possa fermare; di conseguenza, ci si organizza predisponendo un piano e le infrastrutture utili a ripartire in modo ordinato e in tempi prestabiliti. In questo caso il fermo produttivo c’è ed è stimato a priori. Con la Business Continuity si opera per impedire il fermo dell’attività per tempi lunghi, predisponendo i processi aziendali e le risorse tecniche, tecnologiche ed umane, affinché si possa garantire, istantaneamente o in brevissimo tempo, l’erogazione delle attività critiche ad un livello accettabile.Due sono i concetti cardine sottolineati:
- Attività critiche: similmente al corpo umano, che può sopravvivere per lunghi periodi senza camminare e anche vedere, ma non può smettere di avere sangue in circolo e ossigeno nei polmoni, così in ogni organizzazione vi sono attività critiche per la propria sopravvivenza. Quali sono queste “mission critical activities”?
- Livello minimo: sotto quale livello di operatività e di servizio al cliente, il risultato di tali attività non è sufficiente, non è sostenibile? Qual è il livello minimo accettabile?
Rispondere a questi quesiti è la base per determinare qual è il “perimetro critico” per l’azienda. Molti imprenditori e dirigenti aziendali sono convinti di avere già questa risposta, e potrebbe essere vero. Ma rischiare il futuro della propria azienda in base alle proprie percezioni è poco saggio. Un approccio strutturato di individuazione di tale perimetro permette di selezionare tutti i processi e le attività realmente critici e non quelli “percepiti” critici. Processi importanti e di prestigio non necessariamente sono critici al mantenimento dell’operatività aziendale, mentre altri di mero supporto possono rivelarsi fondamentali.Perché individuare e concentrarsi solo sui processi critici e non mettere in Continuità Operativa l’intera azienda? La risposta è semplice, perché è costoso e poco pratico strutturare e gestire tutta l’organizzazione per operare in continuità in caso di eventi critici. Sarebbe solo uno spreco di denaro e presumibilmente, data la complessità di gestione, non si raggiungerebbe il vero obiettivo. A eventi eccezionali, risposte non ordinarie, ma efficaci e senza sprechi di risorse.Il passo successivo è quello di organizzare in tempo di pace i processi critici, le attività e le infrastrutture di supporto per gestire eventuali crisi e mantenere comunque, a fronte dell’incidente, quel livello minimo di servizio precedentemente determinato come fondamentale. Questa attività ha il suo culmine nella predisposizione del Piano di Continuità Operativa da utilizzare durante l’emergenza.Benché si speri di non dover mai attivare un Piano di Continuità Operativa è indispensabile disporne, al fine di garantire l’adeguata attuazione delle misure di contenimento dell’evento critico e di ripresa delle attività operative; in quanto l’improvvisazione è spesso foriera di errori catastrofici che peggiorano la situazione e distruggono la reputazione aziendale.Quindi, la Continuità Operativa è un “progetto” e una volta completati i diversi task si è a posto? Non proprio! Sicuramente la predisposizione di un Piano di Continuità Operativa può essere gestita come un progetto, ma il garantire la sua efficacia e idoneità nel tempo è un “processo”, rientrante nell’alveo dei processi di gestione dei rischi. È un processo vivo, come lo è la stessa azienda in cui è inserito.Come tutelarsi? Anche questo dipende dalle circostanze: a volte basta organizzare un piano di contingenza, a volte basta assicurarsi, a volte serve adeguare la tecnologia. Ogni organizzazione è diversa, il proprio business è particolare e, quindi, solo un’attenta valutazione del contesto e degli obiettivi aziendali permette di definire il proprio piano di continuità operativa