Best practice

Continuità operativa delle imprese e resilienza dei processi

Pandemia, crisi delle catene logistiche globali e instabilità geopolitica hanno messo a repentaglio la continuità operativa delle aziende. Per questo è importante definire e implementare politiche e soluzioni di business continuity che garantiscano di proteggersi da eventuali interruzioni. Qualche consiglio pratico per affrontare al meglio questa sfida strategica

Aggiornato il 02 Mag 2023

Figura 1 – modellazione degli eventi dannosi


Negli ultimi anni, lo scenario in cui le Aziende si sono trovate ad operare è stato particolarmente complesso: una pandemia a livello globale, una corrispondente crisi delle catene logistiche globali, seguite da una crescente instabilità geopolitica che ha aumentato i rischi legati alla disponibilità e ai costi dell’energia, nonché di alcune materie prime, e un aumento degli attacchi cyber almeno in parte riconducibile alla suddetta instabilità geopolitica. Le aziende con sedi in paesi come la Russia si sono poi trovate a dover valutare se e come mantenerle attive. Le tensioni nell’area del Mar Cinese comportano ulteriori rischi sia in termini di supply chain, che di mercati, che di ulteriore aumento dell’instabilità globale. In questo contesto, assicurare la continuità dei propri processi operativi chiave è diventata una necessità evidente, e nello stesso tempo un’ardua sfida per ogni organizzazione. Per tale ragione, è opportuno definire e implementare politiche e soluzioni di Continuità Operativa adeguate, volte a garantire la capacità dell’Azienda di proteggersi da eventuali interruzioni, ridurre la probabilità che si verifichino ed essere in grado di reagire e riprendersi qualora queste accadano.  

Una definizione di “Continuità Operativa”

La Continuità Operativa viene definita dallo standard internazionale ISO 22301Societal Security – Business Continuity Management Systems – Requirements” come la “capacità di un’organizzazione di continuare l’erogazione di prodotti e servizi entro tempi accettabili con una capacità produttiva predefinita durante un’interruzione”. 

La norma utilizza il termine “interruzione”, ovvero un incidente che causa una deviazione negativa non pianificata dell’erogazione prevista di prodotti e servizi, che potrebbe portare anche ad una condizione di emergenza o ad una crisi. 

I temi legati alla gestione delle reti di fornitura, alla riduzione dei fattori di rischio e alla sostenibilità saranno al centro dell’evento

Continuità operativa e resilienza dei processi in un mondo sempre più interdipendente”

che si terrà presso l’Università degli Studi di Brescia il prossimo 11 maggio con inizio alle ore 15.30

Per maggiori informazioni e per iscriversi QUI

Le principali logiche

La definizione data dallo standard ISO 22301 fa quindi riferimento ad eventi potenzialmente con diversi livelli di gravità. Tuttavia, è bene sottolineare che il processo di gestione della Continuità Operativa si dovrebbe focalizzare su eventi a bassa probabilità ed altissimo impatto, in grado di mettere in crisi l’esistenza stessa dell’Azienda.  

Come sappiamo dalla teoria del risk management, ogni evento dannoso può essere modellato attraverso 2 variabili: la probabilità di accadimento e la magnitudo del danno generabile, come illustrato nella figura 1. 

Figura 1 – modellazione degli eventi dannosi

Ora, con riferimento alle aree indicate in figura con i diversi colori: 

  • gli eventi a bassa probabilità e basso impatto (area verde) possono essere considerati trascurabili in ottica di Continuità Operativa; 
  • quelli ad alta probabilità e basso impatto (area gialla) costituiscono parte della gestione ordinaria; 
  • e infine, quelli ad alta probabilità ed alto impatto (area rossa) devono essere necessariamente già indirizzati e gestiti, ad esempio tramite azioni ad hoc volte a prevenire quello specifico incidente, poiché altrimenti l’Azienda non sarebbe stata in grado di sopravvivere. 

Per quanto riguarda gli eventi a bassa probabilità ed alto impatto (area arancio in figura 1), quindi, come possono appunto essere una pandemia, una situazione di conflitto fra paesi vicini, o una crisi globale della logistica, sono necessarie azioni ulteriori, sviluppate secondo logiche diverse e specifiche. Alcuni di questi scenari possano essere affrontati attraverso specifiche azioni di mitigazione, basate su una normale attività di analisi dei rischi, come già si fa rispetto ai fenomeni naturali estremi (inondazioni, terremoti ecc.). Tuttavia, una volta mitigati i principali scenari, rimane un ampio spettro di eventi a bassa probabilità che difficilmente possono essere affrontati singolarmente in modo efficace.  

È consigliabile quindi focalizzarsi sui diversi scenari di indisponibilità delle risorse che potrebbero verificarsi, a prescindere dalla loro causa, in modo da essere preparati anche a eventi che non sembravano prevedibili. In particolar modo, bisognerebbe tenere in considerazione la possibilità dei cosiddetti “cigni neri”, ovvero quegli eventi non previsti a priori, aventi effetti rilevanti e che, una volta verificatisi, a posteriori risultano ovviamente possibili. Questi concetti sono illustrati dalla figura 2.

Figura 2 – modellazione degli eventi dannosi

È infatti opportuno considerare a priori da un lato quanto si sa dell’esistenza di un certo fenomeno (asse orizzontale), e dall’altro se e quanto si conoscono le sue caratteristiche (asse verticale). Così: 

  • i cigni neri (area rossa) corrispondono a quegli eventi dei quali a priori è (quasi) impossibile prevedere financo l’esistenza: ad esempio, il lockdown dovuto alla pandemia di Covid-19 rientra in questa categoria, visto che prima della sua attivazione in modo diffuso, nessuno avrebbe mai potuto prevederne né la globalità, né tantomeno l’impatto; 
  • c’è poi una intera categoria di perturbazioni (area arancio) dei quali a priori si sa perfettamente, ma che non è praticamente possibile prevedere nel dettaglio: ad esempio, sono ben note le aree sismiche, ossia quelle a più elevata probabilità di terremoti, ma neppure il migliore esperto del mondo potrà prevedere se, dove, quando e con quale magnitudo potrà verificarsi il prossimo sisma. Il default finanziario delle aziende è assimilabile a questi fenomeni, tanto in quanto è possibile desumere dai dati finanziari delle aziende una “probabilità di default”, ma non è possibile conoscere prima quale azienda farà default quando e perché.  
  • Infine, vi sono fenomeni perturbatori (area verde) che sono noti a priori sia nella loro esistenza, sia nelle loro caratteristiche, a meno di una certa percentuale d’errore: ad esempio le fluttuazioni della domanda commerciale oppure dei prezzi di un certo bene (ad es. una commodity) possono essere previsti con discreta accuratezza prima che si manifestino.  

Affrontare gli scenari di indisponibilità delle diverse risorse (materie prime, componenti, impianti produttivi e ambienti, competenze, personale, ecc.) è un’attività potenzialmente molto onerosa: per tale ragione è opportuno identificare correttamente i processi e le attività da considerare critici per l’Azienda, per definire adeguate priorità di ripristino della loro normale operatività in seguito ad un’eventuale interruzione. In tal senso, è fondamentale effettuare periodicamente un’analisi di impatto operativo di un’interruzione, la BIA – Business Impact Analysis. 

BIA: perché è importante?

La Business Impact Analysis è un processo di analisi volto a comprendere l’impatto nel tempo dell’indisponibilità di servizi e risorse sulla capacità dell’Azienda di mantenere operativi i propri processi più critici. Ad esempio, l’impatto dell’indisponibilità per un certo tempo delle forniture di materie prime e componenti sulla capacità produttiva dell’azienda. Si tratta quindi della metodologia da utilizzare per determinare le conseguenze derivanti dal verificarsi di un evento critico e per valutare l’impatto di tale evento sull’operatività aziendale. Ci si focalizza in particolare su impatti critici per la capacità dell’azienda di continuare ad operare in modo sostenibile per la sua esistenza. Consente, inoltre, di correlare specifiche componenti del sistema con i servizi critici che queste contribuiscono a fornire e, sulla base di tali informazioni, comprendere e quantificare le conseguenze di un’indisponibilità di tali componenti. Il risultato della BIA si configura in una dichiarazione e giustificazione dei requisiti di Continuità Operativa. 

I principali parametri da raccogliere quando si effettua una BIA – e che devono essere valutati e forniti dalle funzioni di business responsabili dei diversi processi operativi – sono RTO e RPO. Si tratta di due parametri quantitativi che si esprimono in termini di tempo (minuti, ore, giorni o anche settimane): 

  • RTO (Recovery Time Objective): indica il tempo massimo da impiegare a seguito di un incidente per la ripresa dell’erogazione del servizio o per il ripristino delle risorse, ad un livello minimo considerato accettabile. La domanda da porsi con riferimento ad uno specifico processo è la seguente: per quanto tempo il processo in parola può restare fermo senza causare un impatto abbastanza grave da risultare critico per la sopravvivenza dell’azienda? Ad esempio, nel caso di un fornitore automotive: per quanto può restare chiusa la produzione prima che il cliente chiuda il contratto o infligga delle penali insostenibili? RTO quindi è legato allo specifico processo, ma è slegato dalle cause che lo bloccano: da queste invece dipenderanno le azioni da intraprendere per ripristinare l’operatività di quel processo. 
  • RPO (Recovery Point Objective): rappresenta il periodo di tempo massimo che intercorre tra la produzione di un dato e la sua messa in sicurezza, ovvero la quantità massima di dati che l’Organizzazione è disposta a perdere (ad esempio, dati sulla produzione o sulle vendite) e può essere rappresentato dal tempo che intercorre tra l’ultimo backup e un incidente che comporti la perdita dei dati, ad esempio un incendio). Si tratta di un parametro che nel 2023 è ovviamente molto legato all’informatica, visto che la larga maggioranza dei dati risiedono in archivi digitali, ma potrebbe altrettanto sensatamente riferirsi a dati conservati in un archivio cartaceo. Ad esempio si consideri il caso dell’incendio di originali cartacei di contratti o dei registri contabili in un contesto in cui non esistano copie digitali.  

L’importanza della BIA risiede quindi nel fatto che consente all’Organizzazione di identificare i propri obiettivi di Business Continuity e di definire criticità e priorità delle varie componenti organizzative. Ciò permette di indirizzare in modo efficace gli investimenti, in termini di risorse e tecnologie, finalizzati a ripristinare i processi operativi aziendali in tempo utile e limitare la perdita di dati in seguito ad un incidente o, in generale, un evento di indisponibilità di una risorsa o di un servizio. Avere chiari gli impatti nel tempo dell’indisponibilità delle risorse è fondamentale per identificare correttamente la criticità di servizi, attività e sistemi e le relative priorità di ripristino. Investendo senza aver fatto questo tipo di valutazioni si rischierebbe di adottare soluzioni costose che potrebbero poi rivelarsi anche poco efficaci. Contribuisce, inoltre, a creare consapevolezza nelle funzioni di Business in merito alle dipendenze esistenti tra le varie componenti organizzative. 

I Piani di Continuità Operativa

Gli esiti della BIA, correlati a quelli dell’Analisi dei Rischi, costituiscono le fondamenta per la definizione delle politiche di Continuità Operativa, che dovrebbero mettere l’Organizzazione nelle condizioni di: 

  • rispettare i requisiti di continuità e di ripristino delle attività prioritarie entro le tempistiche prestabilite e con la capacità concordata; 
  • ridurre la probabilità e la durata di un’interruzione;  
  • limitare l’impatto di un’interruzione su prodotti e servizi; 
  • assicurare la disponibilità di adeguate risorse sia per il sistema complessivo di gestione della continuità operativa, che per l’implementazione delle misure di mitigazione; queste ultime posso risultare particolarmente onerose ;Per attuare e mantenere tali strategie e soluzioni, ciascuna Organizzazione dovrebbe predisporre un Business Continuity Plan (BCP), che può essere definito come un insieme di informazioni che guidano l’Organizzazione nel rispondere ad un’interruzione e nel ripristinare l’erogazione dei servizi, coerentemente con i suoi obiettivi per la Continuità Operativa. In realtà complesse, un unico documento che descriva l’intero BCP, dal processo generale fino alle attività più di dettaglio, non è praticabile. Per questo, il BCP assume spesso la forma di un documento di alto livello che descrive le logiche e le attività generali, cui sono associati documenti di secondo livello, specifici per determinati ambiti, come il Piano di Disaster Recovery in ambito IT, e procedure operative relative a servizi o sistemi specifici, a cui sono associati documenti di terzo livello, per esempio sotto la forma di istruzioni che riportano le indicazioni operative di dettaglio. In questo modo, un documento ad alto livello permette di avere un quadro generale del processo, mentre le persone che devono svolgere specifiche attività operative possono focalizzarsi sui relativi documenti di terzo livello. 

Quelle che vengono descritte all’interno dei Piani di Continuità Operativa sono attività particolarmente complesse, che devono necessariamente essere sottoposte a test per assicurare che siano efficaci al momento dell’emergenza. È fondamentale, inoltre, che tutte le persone coinvolte nella loro implementazione provino a metterle in pratica sotto forma di esercitazione. Esercitazioni e test hanno quindi l’obiettivo di convalidare strategie e soluzioni per la Continuità Operativa e, allo stesso tempo, sviluppare il lavoro di squadra e la competenza di coloro i quali avranno un ruolo durante l’interruzione. 

Gestione della catena di fornitura

In ottica di Continuità Operativa, è necessario poi non sottovalutare l’importanza di una corretta gestione dei rapporti con i fornitori. I requisiti di continuità definiti tramite la BIA si applicano in particolare alle forniture di materiali o di servizi diretti o indiretti, ossia quelli che entrano (direttamente oppure indirettamente) a far parte del prodotto o del servizio principale dell’Azienda: infatti non appena si interrompe il flusso di tali forniture, ed indipendentemente dal motivo che ha condotto a tale interruzione, viene meno la capacità dell’Azienda di produrre i propri prodotti e servizi che incorporano le forniture che si sono interrotte, e questa condizione permane fintantoché le forniture non sono state riprese. Vanno però considerati ovviamente anche quei materiali e servizi ausiliari, che sebbene non entrino direttamente oppure indirettamente nel prodotto, sono necessari al funzionamento dell’Organizzazione, poiché la loro assenza porterebbe presto o tardi alla paralisi delle attività (figura 3). 

L’interruzione delle forniture sta per lo più all’interno del quadrante arancio della figura 2, anche se non sono state rare recentemente neppure le interruzioni e le problematiche connesse ad esempio ai lockdown del COVID-19, collocabili quindi più correttamente nella casella rossa. 

Figura 3 – classificazione delle forniture

Con riferimento a tali problematiche è importante che l’organizzazione provveda a: 

  • identificare con chiarezza tutti i fornitori ed i partner la cui interruzione delle forniture potrebbe mettere l’Azienda in difficoltà  
  • misurare o comunque valutare per ciascuno di essi i due parametri fondamentali che definiscono il rischio di fornitura, e cioè (cfr. figura 1): 
  • la probabilità di interruzione delle forniture 
  • l’impatto che tale interruzione potrebbe provocare 
  • mitigare il rischio, attraverso gli opportuni interventi resi necessari dai profili di rischio emersi, interventi che possono essere di tipo: 
  • preventivo – se sono rivolti alla riduzione della probabilità con cui le interruzioni di fornitura possono avvenire (a prescindere dalla causale dell’interruzione): ad esempio sostituendo un fornitore particolarmente instabile con uno più sicuro oppure spostando il luogo di origine delle forniture da paesi geo-politicamente poco tranquillizzanti verso altri più stabili 
  • protettivo – se invece perseguono l’obiettivo di ridurre la magnitudo del danno generato dall’interruzione delle forniture, come ad esempio potrebbe accadere affiancando un fornitore instabile con uno di backup più stabile oppure stipulando una polizza assicurativa o infine ancora dotandosi di una scorta di sicurezza specifica per ridurre l’impatto dell’interruzione temporanea delle forniture di uno specifico bene. 
  • Infine, sviluppare dei piani di continuità operativa per la gestione dell’emergenza in particolare in riferimento agli eventi potenzialmente più dannosi secondo la modalità sopra indicata.  

La figura 4 riporta l’esempio di un modello quantitativo usato per l’identificazione e la misura del rischio di fornitura, dove ogni bolla rappresenta un fornitore diverso, il cui diametro è proporzionale al rispettivo budget d’acquisto. La posizione delle bolle sull’asse orizzontale risponde alla probabilità di interruzione della fornitura da parte di ciascun fornitore esaminato, mentre l’ordinata corrisponde al costo che subirebbe l’Azienda in caso di effettiva interruzione.  

Figura 4 – identificazione e misura del rischio di fornitura connesso ad un certo portafoglio di fornitori

Dall’immagine si può vedere chiaramente come diversi elementi di “buon senso” possano essere facilmente contraddetti dall’analisi quantitativa. Anzitutto, il punto di vista secondo cui: “fornitori piccoli = problemi piccoli e fornitori grandi = problemi grandi” che -come logica conseguenza- si appoggia all’analisi di Pareto per identificare i fornitori critici. Al contrario, in fornitura “il diavolo sta nei dettagli” ed infatti spesso i maggiori rischi si annidano in fornitori piccoli, anche di tipo artigiano. E poi, la consolidata prassi di concentrare l’attenzione sui fornitori più traballanti dal punto di vista finanziario, trascurando l’impatto della loro eventuale interruzione: l’analisi della solidità finanziaria dei fornitori è una parte importante dell’analisi della probabilità d’interruzione (ascissa), ma non ci deve far dimenticare che esiste anche un’altra dimensione fondamentale dell’analisi: la magnitudo dell’impatto (ordinata).  

In conclusione

Sulla scorta di quanto sopra presentato e discusso, si può quindi provare a stilare una sorta di “decalogo della continuità operativa”, che potremmo sintetizzare in questi punti: 

  1. nel mondo perturbato ed interconnesso di oggi, garantire la continuità operativa dei processi chiave dell’azienda è un compito difficile e strategico, da affrontare con la massima attenzione da parte dei vertici aziendali 
  2. il livello di pericolosità per l’Azienda di uno specifico evento dannoso, quale che sia, si misura considerando da un lato la sua probabilità di accadimento e dall’altro la magnitudo del danno provocabile;  
  3. occorre concentrarsi soprattutto su quelle cause di interruzione delle attività caratteristiche che, pur accadendo in maniera infrequente ed essendo quindi piuttosto improbabili, possono causare grandi perturbazioni, danni estremamente gravi e costosi ed in ultima analisi minacciare la sopravvivenza stessa dell’azienda (unknown-unknown oppure known-unknown) 
  4. l’analisi va fatta considerando sia i rischi interni all’organizzazione sia quelli esterni. 
  5. lo strumento principale per svolgere questa analisi è la BIA – Business Impact Analysis, che porta a definire i parametri RTO (legato ai processi operativi) ed RPO (legato ai dati), producendo un documento che identifica e quantifica i principali legami causa-effetto tra indisponibilità delle risorse e blocco dei processi chiave 
  6. la BIA viene compilata quantificando per ciascun processo critico l’indice RTO, che misura il tempo massimo da impiegare per la ripresa dell’erogazione del servizio, e per ciascun dato critico l’indice RPO, ossia il tempo massimo che intercorre tra la produzione di quel dato e la sua messa in sicurezza 
  7. a valle della BIA le organizzazioni devono redigere un BCP – Business Continuity Plan, un insieme di informazioni che guidano l’Organizzazione nel pianificare la risposta ad un’interruzione e nel ripristinare l’erogazione dei prodotti e dei servizi, coerentemente con i propri obiettivi 
  8. in contesti complessi, il BCP può essere corredato da documenti di secondo livello, volti a meglio specificare specifiche parti “verticali” del BCP, come ad esempio un disaster recovery plan per affrontare incidenti di indisponibilità del sistema informatico aziendale, e da ulteriori documenti di terzo livello che contengono istruzioni operative di dettaglio 
  9. le previsioni dei BCP e dei loro documenti di secondo e terzo livello devono essere oggetto di verifica e progressivo miglioramento mediante opportune esercitazioni pratiche 
  10. non dimentichiamo di considerare all’interno dell’analisi anche i rischi derivanti dalla supply chain, tanto a monte quanto a valle, considerando tutti i beni approvvigionati (materiali ed immateriali) in relazione alla loro funzione (diretta, indiretta ed ausiliaria) 

 

Articolo originariamente pubblicato il 02 Mag 2023

Valuta la qualità di questo articolo

Articoli correlati

Articolo 1 di 5