STRATEGIC Management Partners Strategic Report Business Continuity: valutare i rischi dei processi aziendali di Stefano Garisto

Documenti analoghi
MASTER Orbit4BC TOOL PER IL BUSINESS CONTINUITY MANAGEMENT

ENTERPRISE RISK MANAGEMENT: LA VIA DEL FUTURO CONSAPEVOLE

QUESTIONARIO 2: PIANIFICAZIONE DEL MIGLIORAMENTO

Il ruolo dei controlli nella gestione del rischio di frode

Kit Documentale Qualità UNI EN ISO 9001:2015. Templates modificabili di Manuale, Procedure e Modulistica. Nuova versione 3.

IL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi

Alessandra Peverini Milano 19 ottobre 2015 LA NUOVA NORMA ISO 9001:2015 E I RISCHI GESTIONALI

Rischi dell informatica e scelte di trasferimento

I contenuti e i vantaggi della certificazione ISO in relazione agli obblighi del Dlgs 102/2014

GESTORE DEL SISTEMA QUALITA AZIENDALE

Una metodologia di valutazione dei rischi per la sicurezza delle informazioni

I Sistemi di Gestione della Sicurezza e la Certificazione BS OHSAS 18001

Metodologia di lavoro: PCM & GOPP

Organizzare per Crescere

Considerazioni di carattere ambientale e appalti pubblici nel diritto interno: TUTELA AMBIENTALE A LIVELLO NAZIONALE

I REQUISITI INNOVATIVI DELLA ISO Alessandra Peverini Perugia 23 ottobre 2015

Metodologia per la programmazione, il monitoraggio e la valutazione della formazione nelle PPAA

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

Business Continuity: criticità e best practice

KeyMap Analisi del Rischio

Prof. Giuseppe Sancetta. La pianificazione del risanamento

Strumenti e metodi per la Continuità Operativa ed il Disaster Recovery

I SISTEMI DI GESTIONE PER IL MIGLIORAMENTO DELLE CONDIZIONI DI SALUTE E SICUREZZA

AREA C: SISTEMI INTEGRATI

Assicurazioni Generali S.p.A. La presentazione è stata realizzata da Assicurazioni Generali ed è riservata esclusivamente ai soci CeTIF.

LA NUOVA NORMA ISO 9001:2015

Consulenza e Software, insieme per la certificazione ISO : presentazione di un caso reale

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

Relazione sugli esiti dell Autovalutazione del Collegio Sindacale della Banca di Udine Credito Cooperativo

ISO 9001:2015 LA STRUTTURA DELLA NORMA

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

PA Open Community 2020 La cooperazione per l ammodernamento della Pubblica Amministrazione e del mercato

Comune Fabriano. Protocollo Generale, Servizio Progettazione, Servizio Edilizia Privata. Progetto di Certificazione secondo le norme ISO 9000

Cybersecurity per la PA: approccio multicompliance Sogei

La mitigazione del rischio operativo:

ICT Governance nel settore assicurativo: verso l allineamento strategico con il business

Approccio alla gestione del rischio

Gestione efficace delle verifiche delle attrezzature di lavoro e degli impianti (D.Lgs. 81/08) con un sistema di gestione della sicurezza aziendale

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

Modelli e metodologie per l analisi strategica

Percorso professionalizzante per la Compliance in banca

Il processo ERM: metodologie, strumenti, strategie di riduzione e controllo dei rischi a cura del Dott.RobertoMuscogiuri 16/06/2016

L integrazione della Customer Satisfaction nel ciclo delle performance

Approccio operativo per la redazione del Modello di organizzazione, gestione e controllo ai sensi del D.Lgs. 8 giugno 2001, n. 231

La costruzione del Repository dei processi a supporto dello sviluppo organizzativo

La UNI EN ISO 9001:2015 e il Risk Based Thinking

Scheda PASL Progetto di promozione della registrazione EMAS. applicata alle aziende estrattive del Distretto Lapideo

La Call DERRIS alle città italiane: criteri, impegni e vantaggi

Capacity Availability Continuity Infrastructure Management

IL SISTEMA DI GESTIONE AMBIENTALE SECONDO GLI STANDARD UNI EN ISO 14000

Politica per la Qualità, la Sicurezza delle Informazioni e la Sicurezza sul lavoro

«Fatti non foste a viver come bruti, ma per seguir virtute e canoscenza»

20 ALLEGATO. Questo allegato contiene i seguenti documenti: 1- ESEMPIO DI PROCEDURA DI RIESAME DELLA DIREZIONE

FASI DI PROGETTAZIONE DELL ASSESSMENT

Compliance in Banks 2011

MEGA Process Oriented & Risk Driven Solution

Valutazio ne dei rischi

Tecnica bancaria programma II modulo

Il sistema di reporting per gli organi di vertice delle compagnie assicurative: gli effetti di Solvency 2 e Regolamento 20 sulla governance

Operations Management Team

GOVERNANCE ORGANIZZATIVA

Relazione sugli esiti dell Autovalutazione del Collegio Sindacale della Banca di Udine Credito Cooperativo

Ing. Francesco Bini Verona NUOVO CONTESTO NORMATIVO. D. Lgs. 231/01, Legge 123/07, Testo Unico D.Lgs. 81/08

BANDO PUBBLICO APERTO PER L AMMISSIONE AI SERVIZI DELL INCUBATORE TECNOLOGICO DI FIRENZE E DELL INCUBATORE UNIVERSITARIO FIORENTINO

Banca Popolare di Milano

Progetto Cost reduction

Oggetto: Solvency II - ulteriori indicazioni per l avvio della fase di pre-application di un modello interno

Prevenzione basata sulle evidenze

Tecnico specializzato in marketing - Comunicazione

PIANO DI AUDIT RISK BASED APPROCCIO METODOLOGICO

Backup e Disaster Recovery In Cloud. Basso impatto, elevato valore. 100% Cloud 100% Canale 100% Italia

ALLEGATO N. 16 ESEMPIO DI PROCEDURA DI MONITORAGGIO DEI PROCESSI E PRODOTTI MEDIANTE INDICATORI DI PERFORMANCE

RIESAME DI DIREZIONE DEL SISTEMA

Ciclo PDCA. 1. Gestione Ambientale 2. PDCA. A. Contin - Gestione Ambientale

ENERGY MANAGEMENT La nostra proposta per un percorso di: efficientamento energetico partecipato

Valutazione Ambientale VAS PEAR. Conferenza di Valutazione finale e Forum pubblico. Milano, 19 gennaio 2015

Risultati attività piano di rientro BHW Bausparkasse AG. Consulente: Daniele De Felice

I sistemi di gestione della salute e sicurezza sul lavoro. La norma OHSAS 18001

INTRODUZIONE AL CONTROLLO STRATEGICO

Cyber Security LA COMPLIANCE CON LE NUOVE RICHIESTE DELLA CIRCOLARE FINMA 2008/21

Studio della Qualità delle Misure in un Laboratorio di Idrodinamica Navale Rev. 0 Cap. 9 data 11/12/2003

Obblighi di controllo dei Fornitori esterni. Resilienza

PROCEDURA MAPPATURA SINISTRI

PIANO DI ASSICURAZIONE DELLA QUALITA DELLA RICERCA

Syllabus Start rev. 1.03

Direzione Generale SISTEMA DI MISURAZIONE E DI VALUTAZIONE DELLE PERFORMANCE

Delibera del Direttore Generale n del 30/12/2014. Oggetto: Piano di attività biennale per la gestione del rischio clinico,

ANALISI AMBIENTALE PRELIMINARE. Fotografia di un Sito

Lewitt Associati. Soluzioni per lo sviluppo d impresa. Divisione Riduzione Costi

INTRODUZIONE PARTE I LA PREVENZIONE E LA DIAGNOSI

E-COMMERCE: STRUMENTI OPERATIVI PER LA CRESCITA

Il governo del Rischio informatico alla luce delle Nuove Disposizioni di Vigilanza Prudenziale

VALUTAZIONE STRESS LAVORO CORRELATO

Linee di indirizzo e documento di priorità del Dipartimento di Prevenzione

Gestione dei rischi di progetto

ALLEGATO 2A MODELLO DI OFFERTA TECNICA LOTTO 1

FORUM GREEN ECONOMY 2014

La certificazione ISO di un evento sportivo invernale. Gli obiettivi del documento

PROCEDURA OPERATIVA PER L ANALISI E LA GESTIONE DEL RISCHIO

COMPLIANCE PROCESS IN BANKING GROUPS

Transcript:

STRATEGIC Management Partners Strategic Report Business Continuity: valutare i rischi dei processi aziendali di Stefano Garisto

Sintesi 2 Valutare e mitigare i rischi associati ai processi aziendali è uno dei fattori critici per migliorare sia l efficienza sia l efficacia delle attività aziendali: infatti, conoscendo quali siano i processi a maggior rischio è possibile individuare delle misure in grado di garantire le performance aziendali anche in situazioni di emergenza. Per ottenere tale obiettivo, è opportuno sviluppare un processo di Business Continuity Management, che dovrebbe permettere l individuazione di soluzioni volte al mantenimento della continuità operativa a fronte di eventi di crisi, che potrebbero mettere a rischio persino la sopravvivenza stessa dell impresa. L approccio proposto da Strategic Management Partners propone di: Analizzare e mappare i singoli processi aziendali Definire le soluzioni di Business Continuity adeguate al peculiare contesto aziendale Monitorare e migliorare continuamente le soluzioni individuate Una volta mappati i processi aziendali, è possibile identificare i processi maggiormente critici da un punto di vista di continuità operativa, e successivamente valutare il rischio associato a ciascun processo. Per la valutazione del rischio vengono valutate tre componenti fondamentali: Impatti sul business derivanti dall interruzione di ciascun processo Verosimiglianza di accadimento dei possibili scenari in grado di interrompere uno o più processi aziendali Vulnerabilità dell azienda nei confronti dei differenti scenari, in funzione delle misure di copertura attivate Una volta valutato il rischio associato a ciascun processo, è possibile identificare delle soluzioni atte a ridurre i rischi, in funzione del livello di accettabilità definito: le soluzioni identificate dovranno comunque essere sottoposte a continuo monitoraggio ed aggiornamento.

Sommario 3 Business Continuity Management: garantire il funzionamento aziendale in situazioni critiche Le tecniche di Business Continuity Management possono essere utilizzate in numerosi settori Organizzare il processo di Business Continuity in azienda permette di raggiungere una serie di obiettivi Il processo di gestione della Business Continuity si articola in cinque fasi La fase di Initiation individua gli ambiti di intervento e le modalità di gestione del processo La fase di BIA permette di avviare un processo strutturato di valutazione dei rischi valutando le caratteristiche di continuità dei processi aziendali, Identificandone i requisiti di continuità in situazioni di criticità La fase di Risk Assessment identifica il rischio associato all interruzione dei singoli processi aziendali L interruzione di un processo può avere impatti di natura differente sull organizzazione La verosimiglianza introduce una stima della probabilità di accadimento degli scenari Attraverso la vulnerabilità è possibile considerare le misure di contrasto già attive Definendo la soglia di accettazione del rischio si definiscono le priorità di intervento La fase di Design definisce le strategie e le attività operative di gestione delle emergenze identificando soluzioni di prevenzione e reazione agli scenari di crisi La fase di Implementation & Maintenance prevede un continuo miglioramento delle soluzioni adottate I punti di forza dell approccio proposto

Business Continuity Management: garantire il funzionamento aziendale in situazioni critiche Il Business Continuity Management (BCM) è un processo olistico che identifica i potenziali impatti che minacciano un organizzazione e ha l obiettivo di predisporre soluzioni in grado di dare una effettiva risposta che salvaguardi gli interessi dei key stakeholders, l immagine e il valore del business. Business Continuity Institute (BCI-UK) 4 L obiettivo principale del BCM è quindi di consentire ad una organizzazione il funzionamento anche in situazioni critiche, grazie all implementazione di: strategie mirate di ripristino delle attività della catena del valore piani di gestione delle emergenze (es. disaster recovery dei sistemi critici) piani di continuità operativa coerenti con il processo aziendale di risk management.

Le tecniche di Business Continuity Management possono essere utilizzate in numerosi settori % di aziende con un processo di BCM in UK nel 2007 La definizione di un processo strutturato di BCM è aspetto fondamentale laddove l azienda deve garantire un servizio al consumatore finale Nel settore delle utilities (elettricità, gas telefonia) l erogazione del servizio è condizionata da vincoli legislativi Nel settore bancario-assicurativo, le associazioni di categoria definiscono una serie di norme da rispettare in termini di continuità del servizio Nel settore delle ICT, i processi di business continuity e disaster recovery sono i driver principali attraverso i quali garantire il funzionamento di sistemi e reti 5 Nel settore manufactoring, il BCM può essere utile nella gestione della supply chain, poiché permette di Identificare i potenziali point of failure del sistema di produzione e distribuzione Individuare i fornitori critici Fonte: Chartered Management Institute - 2007 Business Continuity survey

Organizzare il processo di Business Continuity in azienda permette di raggiungere una serie di obiettivi L adozione di una metodologia strutturata per la gestione della Business Continuity permette di ottenere una riduzione del rischio di impresa L identificazione di soluzioni in grado di abbattere gli impatti sul business derivanti da scenari negativi può avere effetti benefici Sull efficienza dei processi aziendali, riducendo il rischio di interruzione dei processi aziendali critici Sull efficacia dell intera organizzazione, migliorandone il posizionamento competitivo 6 BUSINESS CONTINUITY MANAGEMENT PERFORMANCE DEI PROCESSI POSIZIONAMENTO COMPETITIVO Corretta mappatura dei processi aziendali Identificazione dei processi critici per il business Identificazione di soluzioni per il ripristino dei processi Miglior rating di rischio per l accesso al credito (Basilea II) Riduzione oneri assicurativi Miglioramento dell offerta su specifici target di mercato (es. P.A., banche, )

Il processo di gestione della Business Continuity si articola in cinque fasi Per sviluppare un processo di Business Continuity Management in grado di individuare delle soluzioni utili alla gestione dell emergenza e al ripristino dei processi critici per il business è opportuno seguire un approccio strutturato e che preveda una continua revisione dei risultati ottenuti: INITIATION BUSINESS IMPACT ANALYSIS (BIA) RISK ASSESSMENT DESIGN IMPLEMENTATION & IMPROVEMENT 7 Definizione del perimetro di intervento Organizzazione del team di gestione Definizione della metodologia di intervento Mappatura processi Selezione processi critici Identificazione requisiti di continuità dei processi critici Analisi risorse associate ai processi critici Selezione risorse critiche Definizione modello valutazione rischi Valutazione dei livelli di rischio per processo Individuazione e valutazione processi critici Valutazione scenari che minacciano la continuità del business Individuazione alternative per la strategia di business continuity Impostazione strategia BC e piano di implementazione Scelta opzioni di Business Continuity Definizione programmi di formazione del personale Realizzazione delle misure di trattamento e trasferimento dei rischi Monitoraggio delle soluzioni implementate Miglioramento delle misure implementate

La fase di Initiation individua gli ambiti di intervento e le modalità di gestione del processo Definizione del perimetro di intervento Identificazione delle aree aziendali da analizzare Definizione degli obiettivi e delle finalità del processo BCM Analisi delle modalità di valutazione e copertura del rischio adottate in azienda Composizione del team di gestione e inserimento nell organizzazione aziendale Definizione del team interfunzionale per la realizzazione del progetto Coinvolgimento delle funzioni aziendali interessate Identificazione di un comitato di Business Continuity aziendale, con attribuzione formale delle responsabilità Definizione dell approccio metodologico 8 Analisi delle metodologie codificate per la Business Continuity (eventuali norme rilasciati da enti di certificazione, cfr. BS799, PAS 77) Analisi delle peculiarità aziendali Adattamento delle metodologie standard alla specifica situazione dell impresa

La fase di BIA permette di avviare un processo strutturato di valutazione dei rischi Per la realizzazione di una BIA che dia luogo a risultati consistenti e applicabili nel successivo risk assessment, è opportuno coinvolgere i process owner interni, i quali: conoscono le interrelazioni con altri processi sono in grado di individuare le potenziali fonti di rischio Tuttavia, il rischio viene percepito in modo soggettivo e non può essere valutato esclusivamente secondo un punto di vista parziale Di conseguenza la BIA, dovrebbe essere condotta con un approccio strutturato e orientato al raggiungimento di un risultato oggettivo 9 Mappatura dei processi Selezione dei processi critici Identificazione dei requisiti di continuità dei processi critici Analisi delle risorse associate ai processi critici Selezione delle risorse critiche Per ridurre al minimo le possibili distorsioni, la BIA dovrebbe essere condotta : realizzando interviste individuali con i process owner e non tramite questionari con l ausilio di professionisti esperti in grado di individuare e correggere già in fase di raccolta dati le distorsioni provenienti da giudizi soggettivi

valutando le caratteristiche di continuità dei processi aziendali, Nella fase di BIA vengono raccolti i requisiti di continuità dei processi, utilizzando due principali indicatori RTO, Recovery Time Objective RPO, Recovery Point Objective Impatti RTO Soglia di accettabilità Durata dell interruzione RTO (Recovery Time Objective) Rappresenta il tempo di interruzione massimo sostenibile dall azienda per ciascun processo, in funzione degli impatti sul business derivanti dal mancato funzionamento del processo INCIDENTE 10 RPO (Recovery Point Objective) Rappresenta l intervallo di tempo massimo accettabile tra back-up successivi, in funzione del massimo quantitativo di dati che è accettabile perdere in seguito ad un incidente Dati immessi Backup N Dati persi RPO Soglia di accettabilità (dati persi) Backup N+1 tempo

Identificandone i requisiti di continuità in situazioni di criticità RPO C C C Una volta rilevati RTO e RPO, è possibile classificare i processi aziendali sulla base dei requisiti di continuità A seconda delle necessità, si definiscono delle soglie per RTO e RPO Classificando i processi all interno della matrice, è quindi possibile individuare almeno tre classi di processi: 11 24ore 4ore B B C A B C 4ore 24ore RTO Classe A, processi con elevati vincoli di continuità e tempo-continui la cui interruzione, anche breve, potrebbe creare gravi danni all organizzazione Classe B, processi ripristinabili anche nel breve periodo, la cui interruzione prolungata potrebbe creare seri danni Classe C, processi scarsamente critici, il cui ripristino può essere differito nel tempo

La fase di Risk Assessment identifica il rischio associato all interruzione dei singoli processi aziendali Il rischio per l azienda derivante dall introduzione di ciascun processo viene considerato come funzione di tre differenti driver: R = F (I, Ve, Vu) I = Impatti sul business Gravità delle conseguenze per l intera azienda, derivanti dall interruzione di un processo RISCHIO Ve = Verosimiglianza di accadimento degli scenari Stima della probabilità di accadimento (non in termini statistici) degli scenari che causano l interruzione dei processi 12 Vu = Vulnerabilità aziendale nei confronti degli scenari Grado di inadeguatezza delle misure che contrastano il manifestarsi degli Scenari (con misure inadeguate, sarà alto il livello di Vulnerabilità)

L interruzione di un processo può avere impatti di natura differente sull organizzazione L interruzione di uno o più processi può causare cinque diverse tipologie di impatti nei confronti dell intera azienda: Economici:perdite economiche, costi aggiuntivi, mancati guadagni Reputazionali: danni all immagine e alla visibilità aziendale Normativi: conseguenze di ordine penale, regolamentare, giudiziario derivanti dal mancato rispetto di leggi e norme Strategici: conseguenze negative sulle relazioni con clienti strategici o che perturbino il potenziale sviluppo di nuovi prodotti/mercati Organizzativi: conseguenza sulle normali condizioni operative, che necessitano una revisione dei processi aziendali in termini di risorse coinvolte (es. è necessario impegnare ulteriore forza lavoro) Nella valutazione degli impatti derivanti dall interruzione di ciascun processo sarà necessario: Valutare gli impatti per ciascuna delle cinque tipologie 13 Considerare che gli impatti variano al variare del tempo (tipicamente gli impatti crescono con il prolungarsi dell interruzione) Identificare un valore di sintesi per gli impatti di diversa natura (es. valore medio o valore massimo dei singoli impatti, somma delle singole tipologie, )

La verosimiglianza introduce una stima della probabilità di accadimento degli scenari Per valutare il rischio di interruzione dei processi aziendali, viene introdotto il concetto di scenario Gli scenari sono individuati come composizione del manifestarsi di eventi negativi (minacce) La composizione delle minacce è in grado di impattare sulle risorse aziendali provocando l interruzione di uno o più processi Gli scenari sono quindi identificati dalle relazioni Minacce-Risorse Per ciascuno scenario di rischio, è possibile stimare una probabilità di accadimento (non statistica, poiché non esiste una sufficiente base dati di supporto), che indica quanto uno scenario sia verosimile 14 Per caratterizzare gli impatti di interruzione sulla base di eventi esogeni sarà necessario: Individuare le risorse associate a ciascuna processo (es. personale, strumenti informatici, sedi fisiche, documentazione, ) Selezionare un set di minacce da valutare (es. black out, terremoto, alluvione, ) Analizzare le singole relazioni minaccia-risorsa, valutando tutti i processi impattati dal realizzarsi dei singoli scenari Attribuire a ciascuno scenario una verosimiglianza di accadimento

Attraverso la vulnerabilità è possibile considerare le misure di contrasto già attive La combinazione di impatti e verosimiglianza potrebbe essere sufficiente per fornire una prima stima del rischio associato a ciascun processo Tuttavia, utilizzando esclusivamente le due componenti, si considera solo un livello di rischio teorico, poiché non vengono considerate le misure che l azienda ha già in campo per contrastare i rischi Per effettuare una analisi completa del rischio, è quindi opportuno valutare una terza componente, la vulnerabilità La vulnerabilità introduce un coefficiente correttivo al livello di rischio, valutando le misure di contrasto in campo Al crescere dell adeguatezza delle misure in campo, il valore di rischio teorico viene progressivamente abbattuto per ottenere il valore di rischio attuale di ciascun processo 15 Per procedere ad una valutazione della vulnerabilità di ciascun processo è opportuno: Identificare le misure di contrasto applicate per contrastare gli effetti di ciascuna minaccia Valutare il livello di adeguatezza di tali misure Abbattere il livello di rischio secondo uno schema di valutazione oggettivo e condiviso con le funzioni aziendali coinvolte nella valutazione

Definendo la soglia di accettazione del rischio si definiscono le priorità di intervento Valutando congiuntamente le tre componenti, è possibile definire il livello di rischio attuale (comprendente la valutazione della vulnerabilità) associato a ciascun processo Definendo la soglia di accettabilità del rischio, è possibile definire quali scelte strategiche di gestione del rischio sia opportuno adottare È possibile individuare tre principali scelte strategiche di gestione del rischio: Accettazione del rischio, per processi il cui livello di rischio è inferiore alla soglia di accettabilità Trattamento del rischio, attraverso la definizione di soluzioni ad hoc di BCM Trasferimento del rischio, attraverso soggetti terzi specializzati (es. assicurazioni) 16 Livello di rischio TRATTAMENTO DEL RISCHIO TRASFERIMENTO DEL RISCHIO ACCETTAZIONE DEL RISCHIO Soglia di accettabilità

La fase di Design definisce le strategie e le attività operative di gestione delle emergenze Nella fase di design si procede alla progettazione dei piani di emergenza, per i quali è necessario seguire alcune linee guida, volte a fornire strumenti organizzativi e operativi da utilizzare in condizioni di emergenza: I Piani di gestione delle emergenze utilizzano sia strumenti organizzativi sia strumenti operativi 17 Strumenti organizzativi Definire la composizione dei comitati di gestione delle crisi Garantire la tempestività delle informazioni, che devono essere disponibili ed immediatamente consultabili agli incaricati della gestione dell emergenza Garantire la completezza delle informazioni, che devono contenere tutte le istruzioni necessarie per l implementazione dei piani Definire una set di deleghe formali e funzionali, in modo da garantire adeguati poteri e strumenti ai comitati di gestione delle crisi Definire adeguati programmi di formazione e addestramento del personale che dovrà affrontare la gestione delle emergenze Strumenti operativi Identificare, per ciascuna risorsa coinvolta neri processi critici, una soluzione alternativa per l erogazione delle prestazioni (es. sistemi informativi alternativi) Definire il reperimento e l attivazione di canali di comunicazione alternativi, per garantire lo svolgimento delle operazioni minime Definire delle sedi fisiche di emergenza, in cui ospitare il nucleo minimo di persone (definito in fase di BIA) per la gestione dell emergenza Garantire dei sistemi in grado di recuperare tutta la documentazione necessarie per il funzionamento in emergenza dei processi

identificando soluzioni di prevenzione e reazione agli scenari di crisi Nell attività di design è opportuno progettare l intero sistema di gestione delle emergenze, composto sia da attività di prevenzione dell incidente sia da attività di reazione all incidente, con piani di contingenza e di successivo ripristino dei processi critici Attività di Riduzione del Rischio Contingency Plan Rispristino dei processi Elaborazione piani organizzativi Elaborazione di progetti in grado di ridurre il rischio Implementazione di strategie di trasferimento del rischio Convocazione del Comitato di Crisi Definizione priorità di intervento per la gestione dell emergenza Implementazione misure di ripristino a breve dell emergenza Identificazione requisiti di ripristino dei singoli processi Attivazione delle soluzioni di recovery per le singole risorse Ripristino dei sistemi applicativi e di tutte le risorse necessarie 18 INCIDENTE Prevenzione Reazione

La fase di Implementation & Maintenance prevede un continuo miglioramento delle soluzioni adottate La fase di Implementation & Mantenaince non si esaurisce con il rilascio delle soluzioni di BCM definite, ma prevede una continua revisione, che dovrebbe essere garantita dall adozione del ciclo Plan-Do-Check-Act : ACT PLAN Mantenimento e miglioramento BCM Pianificazione delle soluzioni di BCM Monitoraggio e revisione delle soluzioni di BCM Implementazione e gestione operativa delle soluzioni di BCM 19 CHECK DO

I punti di forza dell approccio proposto Visione per processi Basa le valutazioni di rischio sulla mappatura dei processi aziendali, consentendo di individuare eventuali margini di miglioramento in termini di efficacia ed efficienza aziendale. Le azioni di mitigazione del rischio si basano sul mantenimento delle performance minime dei processi, consentendo di valutare potenziali aree di miglioramento. Valutazione professionale del rischio Fornisce una valutazione oggettiva del rischio, raccogliendo le informazioni in possesso dei process owner e normalizzando gli impatti rispetto agli obiettivi aziendali. Adottando questa metodologia, è possibile definire le priorità di intervento, indicando delle soluzioni di medio-lungo periodo per la riduzione del rischio aziendale. Creazione di valore per il cliente Focalizza l attenzione sul mantenimento delle performance dei processi, garantendo, anche in situazioni di emergenza, l erogazione dei servizi/prodotti ai clienti. 20 Miglioramento continuo Introduce il concetto di revisione periodica dei piani di continuità operativa, con l avvio di attività di monitoraggio per il miglioramento delle misure in atto e l identificazione di nuove misure per l abbattimento del rischio.

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back