Business Continuity: criticità e best practice

Транскрипт

1 Business Continuity: criticità e best practice Workshop CeTIF: la gestione dell operatività bancaria Milano, 13 aprile 2005 Chiara Frigerio, CeTIF - Università Cattolica di Milano 1 Dipartimento di Scienze dell Economia e della Gestione Aziendale

2 Agenda Introduzione 1^ criticità: Rischio operativo e Business Continuity 2^ criticità: Valutazioni di costo/opportunità 3^ criticità: Il ruolo delle tecnologie e dei sistemi Conclusioni

3 Agenda Introduzione 1^ criticità: Rischio operativo e Business Continuity 2^ criticità: Valutazioni di costo/opportunità 3^ criticità: Il ruolo delle tecnologie e dei sistemi Conclusioni

4 Le ragioni per la Business Continuity Introduzione: L evoluzione del concetto di Business Continuity % Protezione degli stakeholder Adeguamenti normativi Probelmi sorti nel passato Relazioni Pubbliche Altro Fonte: Meta Group, 2004

5 Potenzialità della Business Continuity Le criticità della Business Continuity strumento di riduzione e mitigazione del rischio operativo; miglioramento delle competenze e conoscenze aziendali nel tempo; revisione di processo e di prodotto; miglioramento dei rapporti e dei contratti; sviluppo della sicurezza sociale; affidabilità del sistema bancario in caso di evento catastrofico.

6 I rischi della Business Continuity Le criticità della Business Continuity difficoltà di integrazione con la politica della sicurezza ; difficoltà nell individuazione dei processi critici; difficoltà di formazione e governo dei ruoli e delle responsabilità; difficoltà nell esecuzione di test; difficoltà di manutenzione e aggiornamento; creazione di piani troppo complessi; sovrastima - sottostima delle risorse di recovery ; difficoltà di partecipazione dell insieme degli attori del business.

7 Agenda Introduzione 1^ criticità: Rischio operativo e Business Continuity 2^ criticità: Valutazioni di costo/opportunità 3^ criticità: Il ruolo delle tecnologie e dei sistemi Conclusioni

8 1^ criticità: Rischio operativo e Business Continuity Necessità di una convergenza per permettere: - allineamento al business; - mitigazione reale di alcuni rischi operativi; - considerazione da parte del top management delle potenzialità in risparmio di costi di capitale della Business Continuity (investimento e non costo); - un governo unitario del rischio aziendale.

9 Le ragioni della difficile convergenza 1^ criticità: rischio operativo e Business Continuity Business Continuity è orientata a gestire le conseguenze derivanti da un evento di perdita mentre il Risk Management si rivolge alle cause; Business Continuity ha spesso seguito l analisi dei processi (vitali e critici) mentre il Risk Management è orientato all analisi dei dati di perdita; Business Continuity non può contare su dati storici; Business Continuity si limita ad una gestione dei processi critici (stabiliti da Banca d Italia) e delle conseguenze che comportano indisponibilità improvvisa e prolungata di servizio.

10 Best practice per la convergenza 1^ criticità: rischio operativo e Business Continuity definizione di una BIA/analisi di processo/ria comune alla Business Continuity e al Risk Management; realizzazione di modelli di calcolo integrati per la stima della perdita; estensione del perimetro di analisi della Business Continuity; orientamento alle misure preventive anche a livello di continuità operativa.

11 Agenda Introduzione 1^ criticità: Rischio operativo e Business Continuity 2^ criticità: Valutazioni di costo/opportunità 3^ criticità: Il ruolo delle tecnologie e dei sistemi Conclusioni

12 Vantaggi della Business Continuity 2^ criticità: valutazioni costi/opportunità difficoltà di misurazione e stima delle opportunità per assenza di dati storici; individuazione di vantaggi intangibili: consapevolezza dei processi critici (anche a livello di top management); revisione delle procedure di sicurezza IT e dei sistemi; individuazione delle aree di presidio; creazione/consolidamento di immagine della banca o del gruppo; revisione dei rapporti con esterni.

13 I costi della Business Continuity 2^ criticità: valutazioni costi/opportunità Ancora difficilmente misurabili perché: - difficoltà di individuazione delle relazioni tra livello di investimento e grado di presidio; - i costi organizzativi sono molto alti; - la Business Continuity è un processo continuo che varia col business aziendale; - i livelli di presidio della Business Continuity dipendono anche dai fornitori/outsourcer/realtà esterne. Rilevanza dei costi di Business Continuity che riguardano i processi informatici (DR, sicurezza ecc.).

14 Difficoltà nella stima costi/opportunità 2^ criticità: valutazioni costi/opportunità individuazione di priorità di intervento (legate al presidio di situazioni critiche che si verificano in seconda istanza); consapevolezza di una parte di rischio non gestibile con strumenti di Business Continuity. Domanda non gestita Curva dell offerta/disponibilità di servizio dopo evento dannoso Curve delle domande di servizio Tempo

15 Best practice nella stima costi/opportunità 2^ criticità: valutazioni costi/opportunità Individuazione di una metodologia condivisa e oggettiva per la stima delle priorità di intervento; Business Continuity di sistema per alcuni rischi su processi omogenei (cfr. sperimentazione svolta nel 2004 da CeTIF); confronto con misure assicurative di governo del rischio; coordinamento e accentramento della attività di presidio della Business Continuity, anche a livello di impegni di spesa; integrazione dei piani di Business Continuity con quelli di fornitori/realtà esterne con le quali si intrattengono rapporti su processi critici.

16 Agenda Introduzione 1^ criticità: Rischio operativo e Business Continuity 2^ criticità: Valutazioni di costo/opportunità 3^ criticità: Il ruolo delle tecnologie e dei sistemi Conclusioni

17 I processi ICT e la Business Continuity 3^ criticità: il ruolo delle tecnologie e dei sistemi Forte criticità: - le tecnologie e i sistemi sono fonte di rischio operativo (Normativa Basilea II); - nei processi con rilevanza sistemica intenso utilizzo di tecnologie e sistemi informativi; - la consapevolezza delle misure di gestione del rischio tecnologico è un importante veicolo di trasmissione della cultura di Business Continuity. Ma apparentemente consolidata: - adozione di strumenti e procedure per garantire la continuità di processo informatico (Disaster Recovery); - revisione dei contratti di servizio in ottica Business Continuity; - presenza di un rischio accettato (trade off investimenti/ costi).

18 Punti aperti 3^ criticità: il ruolo delle tecnologie e dei sistemi focus sulle misure di prevenzione dei rischi informatici (il DR non è sufficiente); gestione della continuità con riferimento alle competenze e alle risorse umane che si occupano delle aree di ICT; evoluzione di una cultura che da DR diventi di Business Continuity a tutti i livelli aziendali; i piani di Business Continuity (con riferimento all indisponibilità di risorse informatiche e di sistemi) devono: - essere facili da aggiornare e manutenere; - prevedere momenti di test e collaudo frequenti; - prevedere la stima e la valutazione costante delle risorse di recovery; - essere coordinati con i piani dei fornitori/outsourcer; - non essere eccessivamente complessi.

19 Agenda Introduzione 1^ criticità: Rischio operativo e Business Continuity 2^ criticità: Valutazioni di costo/opportunità 3^ criticità: Il ruolo delle tecnologie e dei sistemi Conclusioni

20 Il valore potenziale della Business Continuity Conclusioni da problema dell IT a problema dell organizzazione e del network intra/inter-organizzativo ; da variabile di costo a strumento di business; da utilizzo occasionale a utilizzo sistematico delle tecniche/metodologie di Business Continuity; da strumento per individuazione delle misure di ripristino a strumento di prevenzione; da progetto a programma di Business Continuity.

21 Il Competence Centre CeTIF Basilea II e Business Continuity Fase II Obiettivi principali: 1. indagare rapporto tra rischio operativo e Business Continuity; 2. individuare i processi e modelli organizzativi alternativi a supporto della Business Continuity; 3. valutare i costi e benefici della Business Continuity. Attraverso: - Confronto strutturato tra i partecipanti; - Sperimentazioni sul campo; - Collaborazione e confronto con Organismi Istituzionali.

22 I partecipanti