La gestione della continuità operativa (BCM) garantisce che le funzioni critiche di un’organizzazione rimangano operative per minimizzare l’impatto delle interruzioni sugli stakeholder. Esploriamo i passi pratici per implementare la gestione della continuità operativa nel contesto della pianificazione strategica.
Business Continuity Management. Un approccio alla gestione della continuità operativa secondo la ISO 22301 prevede:
- Identificare elementi critici dell’azienda
- Analizzare le minacce e i rischi
- Creare piani di prevenzione e risposta, inclusi formazione e simulazioni
- Monitorare e apprendere dagli incidenti
Per integrare questi elementi nella pianificazione strategica:
- Adotteremo un metodo di scomposizione basata sul valore
- Quantificare strategie e piani con metriche di performance
- Mantenere registri attuabili sotto forma di iniziative, rischi e commenti
Identificazione degli elementi aziendali critici
Il nostro obiettivo è identificare gli elementi chiave aziendali critici per la continuità aziendale. Utilizziamo le seguenti prospettive come punto di partenza:
- Sistemi informativi
- Strutture e ubicazioni
- Partner e stakeholder
- Risorse umane
- Beni fisici
- Risorse finanziarie
Business Continuity Management. Una volta definiti gli elementi e i sotto-elementi, possiamo quantificare la loro suscettibilità agli eventi di rischio stabilendo gli Obiettivi di Tempo di Recupero (RTO).
Per l’Obiettivo di Tempo di Recupero, definiamo:
- Unità di misura (ad es., ore o giorni)
- La “baseline” come il tempo di recupero catastrofico
- L’“obiettivo” come il tempo di recupero desiderato
- Il valore attuale, come il tempo di recupero stimato basato su tecnologie e politiche in atto
Business Continuity Management. Con questi dati, possiamo calcolare la performance di ciascun elemento aziendale in termini di suscettibilità o preparazione in caso di un evento di emergenza.
In questo contesto:
- Un valore più basso (ad es., un tempo di recupero più rapido) si tradurrà in una performance più elevata
- La funzione di performance non dovrebbe essere lineare; l’area estesa accanto alla baseline “catastrofica” dovrebbe essere la zona rossa
Business Continuity Management. In BSC Designer:
- Definire la baseline di recupero richiesta, l’obiettivo e il valore attuale nella scheda Dati.
- Utilizzare la funzione “decadimento esponenziale” per creare una funzione di performance con una zona verde relativamente piccola per i tempi di recupero vicini all’obiettivo e una zona rossa significativa per tempi di recupero più lunghi.
Il software consente il monitoraggio degli RTO per ciascun elemento aziendale nel tempo.
Analisi delle minacce e dei rischi
Analizzare le potenziali minacce utilizzando queste prospettive come punto di partenza:
- Operativo
- Tecnologico
- Economico
- Forza lavoro
- Sicurezza e protezione
- Ambientale
- Reputazione
- Legale
Per ogni minaccia rilevante, eseguire una scomposizione in rischi specifici e condurre un’Analisi dell’Impatto sul Business (BIA).
Business Continuity Management. Ad esempio, è possibile scomporre le minacce tecnologiche in ‘minacce alla sicurezza informatica’ e ulteriormente in un ‘attacco ransomware.’
Il rischio in questo caso può essere quantificato attraverso una semplice formula di stima del rischio, come la probabilità moltiplicata per l’impatto. Vari modi per definire i rischi sono stati discussi in un articolo separato.
Scenari di risposta
Sviluppare scenari di risposta per le minacce con i punteggi di impatto di rischio più elevati.
Un tipico scenario includerà:
- Piani di continuità aziendale (prevenzione, risposta, recupero)
- Piano di comunicazione
- Piani di formazione e test
Questi piani possono essere quantificati da:
Metrica di aggiornamento regolare
Copertura della formazione
Successo delle simulazioni / esercitazioni
Business Continuity Management. Considerare ‘Scenario 1 – Attacco Ransomware’, che è suddiviso in:
- Piani di Continuità Aziendale
- Formazione e Test
La sezione ‘Piani di Continuità Aziendale’ include diverse iniziative:
- Strategia di Prevenzione
- Strategia di Risposta
- Strategia di Recupero
- Piani di Comunicazione
All’interno dei ‘Piani di Comunicazione’, la metrica ‘Piano rivisto regolarmente’ quantifica la frequenza degli aggiornamenti. Il responsabile della metrica riceve promemoria regolari per rivedere i piani di comunicazione, garantendo che le persone di contatto e i loro dettagli siano aggiornati.
Business Continuity Management. Per convalidare l’efficacia dell’iniziativa ‘Strategia di Risposta’, la quantifichiamo con l’indicatore ‘Simulazioni / Esercitazioni’.
La sezione ‘Formazione e Test’ include l’iniziativa ‘Formazione e simulazione di attacco phishing’, insieme a due metriche:
- Copertura della formazione
- Simulazioni / Esercitazioni
Sebbene questi piani di continuità siano presentati come iniziative, è possibile una ulteriore scomposizione. Possiamo suddividerli in obiettivi e metriche più specifici.
Mappare incidenti o interruzioni
Per mappare gli incidenti attivi, includere i dettagli dell’interruzione e l’analisi delle cause principali.
Per quantificare l’impatto, possiamo utilizzare l’indice di valutazione dell’impatto ponderato composto da:
Impatto finanziario
Impatto sulle relazioni con i clienti (quantificato come percentuale di clienti coinvolti)
Impatto sulle operazioni (quantificato come percentuale di operazioni critiche coinvolte)
Impatto legale e di conformità (quantificato tramite multe e altre conseguenze legali)
Impatto sulla reputazione a lungo termine (quantificato come percentuale di clienti persi in un periodo di 1 anno attribuito alla crisi)
Business Continuity Management. Per automatizzare questo indice sulla piattaforma BSC Designer, considera di utilizzare la funzione di sincronizzazione da modello, che permette di mantenere sincronizzati i criteri di quantificazione dell’impatto con il modello stabilito.
Dopo aver risolto un incidente:
- Aggiorna la data di conclusione nell’elemento ‘Dettagli e analisi dell’interruzione’
- Cambia il suo stato a ‘Completato’
- Mappa le lezioni apprese e le iniziative di miglioramento
- Sposta il gruppo ‘Incidente 1’ nella sezione ‘Incidenti passati’.
Ereditarietà e intervalli di aggiornamento per gli indicatori
A seconda della natura della quantificazione, gli indicatori nella scorecard della continuità aziendale devono essere configurati in vari modi.
Metrica che riutilizza i valori precedenti (Ereditato)
Gli indicatori che quantificano il RTO (Recovery Time Objective) sono impostati per utilizzare valori ereditati. In pratica, ciò significa che il RTO definito per l’anno corrente sarà automaticamente applicato per l’anno successivo, a meno che non venga ridefinito. L’intervallo di aggiornamento per questi indicatori è impostato su aggiornamenti annuali o semestrali.
Anche gli indicatori utilizzati per quantificare il BIA (Business Impact Analysis) sono configurati per utilizzare valori ereditati. Gli intervalli di aggiornamento in questo caso possono essere regolati in base alla dinamica prevista della minaccia, utilizzando mensile per minacce più dinamiche e intervalli trimestrali/annuali per minacce stabili.
Business Continuity Management. Metrica che non riutilizzano i valori precedenti (valori inseriti)
Metriche utilizzate per quantificare i piani di continuità aziendale, come ‘piani rivisti regolarmente,’ ‘copertura della formazione,’ e ‘esercitazioni di simulazione,’ sono configurate per intervalli di aggiornamento trimestrali o annuali. L’opzione di eredità in questo caso è configurata come ‘Usa i valori inseriti,‘ il che significa che non riutilizziamo il valore precedente per il periodo successivo.
Ad esempio, se i piani sono contrassegnati come rivisti per l’anno in corso, per l’anno successivo, sarebbe necessario rivedere nuovamente i piani e aggiornare lo stato della metrica corrispondente.
Metriche senza aggiornamento programmato
Infine, l’intervallo di aggiornamento delle metriche utilizzate per la valutazione dell’impatto degli incidenti è configurato come ‘Mai‘, indicando che siamo interessati a catturare solo lo stato attuale dell’indicatore senza l’intenzione di monitorarne l’evoluzione nel tempo.
Collegamento per contesto e dati
Il concetto fondamentale della gestione della continuità aziendale coinvolge la creazione di connessioni tra:
- Elementi critici dell’azienda
- Minacce e rischi
- Scenari
- Incidenti reali
Creando queste connessioni, forniamo al nostro team tutti i dettagli necessari per rispondere efficacemente alle minacce e imparare dagli incidenti.
Per implementare questo concetto nella pianificazione strategica, colleghiamo tutti gli elementi menzionati per contesto. In questo modo, possiamo navigare dagli incidenti reali agli scenari corrispondenti e, se necessario, esplorare le minacce e l’analisi dei rischi.
Gestione della continuità aziendale. Per stabilire il contesto in BSC Designer:
- Copiare l’elemento sorgente (ad esempio, lo scenario pertinente) negli appunti.
- Selezionare l’elemento di destinazione (ad esempio, incidente coperto dallo scenario).
- Incollare dagli appunti e scegliere tra ‘Collega per contesto’ o ‘Collega per dati.’
Le connessioni contestuali saranno disponibili nella scheda ‘Contesto’ per entrambi gli elementi.
Per navigare tra gli elementi, fare doppio clic sulla connessione pertinente.
Applicando la stessa logica, le strategie di risposta con scorecard strategiche dedicate possono essere allineate con incidenti, valutazioni dei rischi ed elementi critici dell’azienda.
Una Scorecard di strategia per la risposta alle crisi: usando il COVID-19 come esempio
La strategia di continuità aziendale garantisce la prontezza complessiva di un’organizzazione per un evento di crisi. A seconda della portata della crisi, può essere progettata una strategia di risposta specifica. La pandemia di COVID-19 è stata un tale esempio, dove una tale strategia ha aiutato a concentrare gli sforzi e garantire l’allineamento strategico.
Rivediamo la strategia COVID-19 come esempio di una strategia di risposta alle crisi. La scorecard della strategia ha seguito l’approccio classico del Balanced Scorecard:
Covid-19 Strategy Scorecard. Nella prospettiva dell’Apprendimento e Crescita, ci concentriamo sulle competenze e l’infrastruttura necessarie per eseguire la strategia di continuità aziendale:
- Educare i dipendenti sul COVID-19 (misurato dall’indicatore anticipatore “Penetrazione del programma di sensibilizzazione, %” e dall’indicatore ritardato “% delle pratiche effettivamente implementate“)
- Condurre la pianificazione di scenari globali (con alcune iniziative specifiche allineate)
- Allineare i sistemi IT con le sfide del lavoro a distanza
- Introdurre i dipendenti ai principi del lavoro a distanza
Nella prospettiva Interna, formuliamo gli obiettivi relativi ai sistemi aziendali interni che aiuteranno a eseguire efficacemente la strategia di continuità aziendale:
- Protezione della forza lavoro
- Stabilizzazione della catena di fornitura
- Informare gli stakeholder
- Implementare il lavoro a distanza (incluse le riunioni strategiche per un team distribuito)
Nella prospettiva degli stakeholder, ci concentriamo sulle esigenze dei nostri stakeholder (dipendenti, clienti, partner). Qui, mappiamo obiettivi come:
- Anticipare l’impatto sulle esigenze sanitarie
- Anticipare l’impatto sulle esigenze educative
- Anticipare l’impatto sulle esigenze quotidiane
Un altro importante stakeholder è la comunità e le sue esigenze. Se hai una scorecard non profit dedicata, troverai un obiettivo simile lì.
Il modello di mappa di strategia di continuità aziendale include diverse iniziative allineate con l’obiettivo “Esigenze della comunità”. Queste iniziative descrivono modi possibili in cui un’organizzazione può contribuire:
- Riadattare le linee di produzione. Ad esempio, Inditex, proprietario della catena di negozi Zara, inizia a produrre camici ospedalieri.
- Riadattare prodotti e servizi. Ad esempio, Decathlon sta donando maschere da snorkeling agli ospedali. La Splendid del Gruppo MSC è stata convertita in una nave ospedale.
- Contribuire al distanziamento sociale. Ad esempio, la Posta Ceca consente l’invio di posta raccomandata gratuita tramite la sua “Datová schránka” durante la durata dell’emergenza dichiarata.
A causa delle limitazioni di viaggio, molte aziende sono passate da formati di eventi in presenza a eventi online. Sebbene i costi delle piattaforme di streaming siano inferiori, le organizzazioni devono lottare per l’attenzione dei partecipanti. In questo articolo, condividiamo il nostro approccio agli eventi online che si è dimostrato garantire risultati stabili in termini di coinvolgimento dei clienti e impatto aziendale a lungo termine.
Infine, nella prospettiva finanziaria, mappiamo gli obiettivi finanziari rilevanti e i risultati attesi. In questo caso, stiamo parlando di:
- Impatto sui ricavi
- Polizze assicurative applicabili
Usa il modello Business Continuity Management
BSC Designer aiuta le organizzazioni a implementare le loro strategie complesse:
- Iscriviti per un piano gratuito sulla piattaforma.
- Usa il modello
Business Continuity Management come punto di partenza. Lo troverai in Nuovo > Nuova Scorecard > Altri Modelli. - Segui il nostro Sistema di Implementazione della Strategia per allineare stakeholder e ambizioni strategiche in una strategia completa.
Inizia oggi e scopri come BSC Designer può semplificare l'implementazione della tua strategia!
Alexis Savkin è un Senior Strategy Consultant e l’Amministratore Delegato di BSC Designer, una piattaforma di architettura e attuazione della strategia. Vanta oltre 20 anni di esperienza nel settore, con una formazione in matematica applicata e tecnologia dell’informazione. Alexis è l’autore del “Sistema di implementazione della strategia”. Ha pubblicato oltre 100 articoli su strategia e misurazione delle prestazioni, interviene regolarmente a eventi di settore e il suo lavoro è frequentemente citato nella ricerca accademica.