Audit del processo di continuità operativa

Documenti analoghi
La costruzione del Repository dei processi a supporto dello sviluppo organizzativo

L orientamento della cultura aziendale verso gli obiettivi di compliance.

Il sistema di reporting per gli organi di vertice delle compagnie assicurative: gli effetti di Solvency 2 e Regolamento 20 sulla governance

Risultati attività piano di rientro BHW Bausparkasse AG. Consulente: Daniele De Felice

Il progetto U-GOV Contabilità al Politecnico di Torino. Approccio e pianificazione, fattori di complessità e punti di attenzione

Comune Fabriano. Protocollo Generale, Servizio Progettazione, Servizio Edilizia Privata. Progetto di Certificazione secondo le norme ISO 9000

Aspetti evolutivi dei sistemi di controllo: l'esperienza di BancoPosta e Poste Italiane

ISO 9001:2015 LA STRUTTURA DELLA NORMA

SERVIZI SPECIALISTICI LEGALI E TECNICO- SISTEMISTICI PER ADEGUAMENTO ATTIVITÀ AL CODICE DELLA PRIVACY.

COMPLIANCE PENALE Adozione ed Aggiornamento del Modello 231 Approccio Operativo

LA RESPONSABILITÀ AMMINISTRATIVA DEGLI ENTI EX D.LGS. 8 GIUGNO 2001, N. 231

Il BIM per la gestione della commessa. Ing. Antonio Ianniello

Corso di Revisione Aziendale

L evoluzione della Compliance in AXA Assicurazioni

CAPITOLO 7 GESTIONE DEI PROCESSI

Gestione delle Emergenze nelle RSA

Il D.Lgs. 231/2001 e l esperienza di Confindustria Bergamo. Stefano Lania Servizio Fiscale e Societario 13 Novembre 2013

PROCEDURA VERIFICHE ISPETTIVE INTERNE

AMMINISTRAZIONE, FINANZA E CONTROLLO

I contenuti e i vantaggi della certificazione ISO in relazione agli obblighi del Dlgs 102/2014

2 CAMPO DI APPLICAZIONE

Stay on top of things

L APPLICAZIONE CONCRETA DEL D.LGS. 231/01: IL RUOLO DELLE LINEE GUIDA CONFINDUSTRIA E L ESPERIENZA DI CONFINDUSTRIA VERONA

Revisione delle norme ISO 9001:2015 e ISO 14001:2015

IL CONTRATTO DI OUTSOURCING DEI CONTROLLI INTERNI NELL AMBITO DEL GRUPPO INTESABCI

I sistemi di gestione della salute e sicurezza sul lavoro. La norma OHSAS 18001

INTERNAL AUDIT. Rapporto Finale Audit Roma, Dicembre 2014

CONTRATTO DI FIUME PER L'ASTICO-TESINA

Kick Off Gruppo di Lavoro AIIC. Cyber Insurance

RESIDENZA SANITARIA ASSISTENZIALE CURE INTERMEDIE

CATALOGO DI HEVA MANAGEMENT ACCREDITATO DA FONDAZIONE IDI

I passi per la certificazione del Sistema di Gestione dell Energia in conformità alla norma ISO Giovanni Gastaldo Milano, 4 ottobre 2011

Le Verifiche Ispettive

Scuola Superiore di Studi Giuridici Scuola di Specializzazione in Studi sull Amministrazione pubblica Camera penale F. Bricola di Bologna

Alessandra Peverini Milano 19 ottobre 2015 LA NUOVA NORMA ISO 9001:2015 E I RISCHI GESTIONALI

CEFLA Amministrazione. L Azienda Il progetto

Materiale didattico. Sommario

Procedure relative al sistema di controllo interno sull informativa finanziaria

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

GESTIONE E ORGANIZZAZIONE DELLE VERIFICHE ISPETTIVE INTERNE. INTERNE.

I Sistemi di Gestione della Sicurezza e la Certificazione BS OHSAS 18001

Le verifiche sulla regolare tenuta della contabilità. Il principio SA Italia n. 250/b

ATTIVITA DI CONFORMITA Relazione di Consuntivo Anno 2012

Coordinamento tra funzioni di controllo

ISO 50001: uno strumento di efficienza e sostenibilità

PROGETTO KM & BUSINESS PROCESS MANAGEMENT. Possibili sviluppi. Milano, 2012

L analisi preliminare

Responsabilità della Direzione INDICE SCOPO CAMPO DI APPLICAZIONE RIFERIMENTI NORMATIVI FIGURE E RESPONSABILITÀ...

Seminari / Corsi / Percorsi formativi INDICE

Risultati delle verifiche ispettive nel settore galvanico. Fabrizio Vazzana (ISPRA)

FASI DI PROGETTAZIONE DELL ASSESSMENT

"Organizzazione del lavoro, Responsabilità amministrativa degli enti ed efficacia esimente ai sensi dell'art. 30 dlgs 81/08: l'importanza

UX-PM level 1: Adopting UX

Banca Popolare di Milano

Percorso professionalizzante Internal audit in banca

I fattori di qualità della progettazione

Implementazione e ottimizzazione dei processi e dell assetto organizzativo

Regolamento dell Organismo di Vigilanza del Modello di Organizzazione e Gestione ex decreto legislativo 8 giugno 2001 n.231

MANUALE QUALITÀ. SISTEMA di GESTIONE per la QUALITÀ. Il valore di un risultato sta nel processo per raggiungerlo (Albert Einstein) Introduzione

RAPPORTO INDIVIDUALE SULL AVVIO DEL CICLO DI GESTIONE DELLA PERFORMANCE PER L ANNUALITÀ 2012

WORKOUT ADVISORY. Le finalità del Workout Advisory. Nascita ed evoluzione del Workout Advisory. I soggetti coinvolti nel Workout Advisory

PG-SGSL 03 Definizione degli obiettivi e dei programmi

Per una migliore qualità della vita

GOVERNANCE DEI CONTROLLI: LA FUNZIONE COMPLIANCE

Concetti generali e introduzione alla norma UNI EN ISO 9001/2008

I REQUISITI INNOVATIVI DELLA ISO Alessandra Peverini Perugia 23 ottobre 2015

Osservatorio sulla Green Economy

PROCEDURA DI GESTIONE DELLE VERIFICHE ISPETTIVE INTERNE

FORMAZIONE AIEA. Milano, Novembre w w w. a i e a - f o r m a z i o n e. i t

Gestione delle risorse

Aspetti connessi con la gestione della sicurezza

Determinazione dirigenziale n. 1 del adottata dall Agenzia per la Formazione, l Orientamento e il Lavoro del Sud Milano a.s.c.

Articolazioni organizzative che si occupano di sicurezza alimentare auditate:

RELAZIONE DEL RESPONSABILE PER LA PREVENZIONE DELLA CORRUZIONE

ESPERIENZA NEI SISTEMI DI CONTROLLO DELLA POLITICA AGRICOLA COMUNE

Modello Organizzativo D.Lgs 231/01. di Poste Italiane

Una metodologia di valutazione dei rischi per la sicurezza delle informazioni

TEST APPRENDIMENTO <7/10 7/10 8/10 9/10 10/10

Metodologia di lavoro: PCM & GOPP

Metodologia per la programmazione, il monitoraggio e la valutazione della formazione nelle PPAA

Profilo Professionale

Business Continuity Experts

SICUREZZA NEI CANTIERI EDILI SI DEVE E SI PUÒ!

ITIL TRAINING. Atlas Reply ha preso parte al progetto pilota dei primi esami di ITIL Foundation V3 in italiano. Reply

L organizzazione del servizio di internal audit in una banca di credito cooperativo

SOGEI E L AGENZIA DELLE ENTRATE

Autovalutazione e Valutazione

L approccio alla gestione integrata dei processi e dei controlli in BPB

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

Backup e Disaster Recovery In Cloud. Basso impatto, elevato valore. 100% Cloud 100% Canale 100% Italia

La sicurezza nel cantiere edile alla luce del D. Lgs 106/09 di modifica al T.U.

GESTIONE DEGLI AUDIT INTERNI

Istituto Tecnico Aeronautico di Stato. Francesco De Pinedo 1. Roma - Via F. Morandini, 30 - Tel PG01 Audit Interni

Dr. Cesare Raviglione. infravia 2001 Verona, 30 novembre 2001

PROTOCOLLO DI INTESA PER LA REALIZZAZIONE DELLA RETE DEGLI SPORTELLI UNICI PER LE ATTIVITA PRODUTTIVE

INTERNAL AUDIT. Giorgio Ventura CETIF, 22 giugno 2004

A relazione dell'assessore Valmaggia:

La Misurazione dei Processi Amministrativi

Corso destinato agli Incaricati per i Sistemi di Gestione Ambientale UNI EN ISO 14001:2004 PROGRAMMA DEL CORSO 24 ORE

Il Paese che cambia passa da qui. Presentazione della nuova Circolare sul monitoraggio dell esecuzione dei contratti

Transcript:

Audit del processo di continuità operativa AIEA 15 Dicembre 2009 DOCUMENTO PER DISCUSSIONE

Contenuti Che cos è l Audit BCM 2 Il valore di un Audit BCM secondo Protiviti 3 I tipi di Audit 4 Non solo IT Audit 5 Modalità operative di un BCM Audit 6 Gli standard di Business Continuity 7 Metodologie e normative di settore 8 Approccio Protiviti 9 Case Study 12 Definizione del contesto 13 Obiettivo e ambito di verifica 14 Metodologia dell Audit 15 Alcune Criticità attese 16 Criticità emerse 17 Aree di Audit 18 Conclusioni 21 L esperienza di Protiviti 22 1

Che cos è l Audit BCM Un Audit sul Programma di Business Continuity Management (BCM) ha lo scopo di: valutare i processi di continuità operativa descritti nei piani; valutare l aderenza ai requisiti espressi dal business; verificare la compliance con gli aspetti normativi generali e di settore; confrontare le soluzioni adottate con le best practice. Le attività di Audit sono parte integrante del Ciclo di Vita di un Programma di BCM, che consiste nella realizzazione delle soluzioni di Continuità e nella loro gestione e manutenzione. Inoltre l Audit può intervenire sia sulle singole fasi del Ciclo di Vita del Programma di BCM sia sull intero Programma. Compliance Monitoring & Auditing Testing & Maintenance Training & Awareness Executive Management Support & Sponsorship Business Continuity Life Cycle Risk Assessment & Business Impact Analysis Business Continuity & Strategy Design Business Alignment Plan Development & Strategy Implementation 2

L intervento di Audit BCM mira a verificare l aderenza del Programma di BCM ai requisiti espressi prima dell implementazione delle soluzioni e a valutare che tali requisiti siano coerenti con le caratteristiche specifiche del Business. 3 Il valore di un Audit BCM secondo Protiviti La metodologia prevede: la verifica del grado di maturità della soluzione di BCM e del Programma complessivo l identificazione dei gap rispetto alle best practice di settore l elaborazione delle raccomandazioni da seguire per migliorare il Programma di BCM sottoposto ad audit Optimized Managed Defined Repeatable Initial I requisiti normativi e gli standard di BCM sono percepiti come troppo costosi da implementare. L adeguamento ai regolamenti BCM è effettuato solo quando reputato finanziariamente sostenibile; l Internal Audit esamina il sistema di BCM. E in corso l adeguamento ai regolamenti per il BCM; l Internal Audit verifica revisione e manutenzione dei piani. Svolgimento negli ultimi due anni della BIA. Sono effettuate valutazioni periodiche dei requisiti normativi; l Internal Audit revisiona i piani su base annua; la BIA è allineata con il business. L Internal Audit rivede la documentazione regolarmente; sono promossi di audit di terze parti del BCP. La BIA è allineata con il business ed effettuata regolarmente.

I tipi di Audit Tipologia Descrizione Compliance Audit Attività di Audit finalizzata ad analizzare e misurare eventi ed evidenze rispetto a specifici standard, e con un determinato livello di dettaglio. La compliance BCM è spesso testata come sottoinsieme di altre attività di verifica (relative ad esempio a un IT Audit), in cui la Business Continuity è inclusa al livello di rischi operativi. Audit propedeutico Attività di Audit volta a verificare la situazione AS - IS, al fine di individuare l effort necessario per condurre la gestione della Business Continuity al livello di maturità desiderato. La differenza fondamentale rispetto alla valutazione della compliance è la conoscenza, sia da parte dell auditor sia dell auditato, del gap tra lo stato attuale della pianificazione e lo stato futuro di continuity management. Analisi di applicabilità Attività finalizzata, a fronte dell audit propedeutico, a effettuare uno studio di fattibilità per verificare l applicabilità delle raccomandazioni previste. Spesso coinvolge gli auditor del BCM in qualità di Subject Matter Expert. 4

Non solo IT Audit In un attività di audit BCM le componenti che devono essere verificate sono: Policy Policy Processi Processi Persone Infrastrutture. L IT è un elemento trasversale rispetto alle componenti indicate, ma non è esaustivo di esse, e in quanto tale rappresenta solo uno dei fattori oggetto dell Audit. Infrastrutture Audit BCM Persone I danni derivanti dalla mancata disponibilità dei sistemi IT possono essere considerevoli, ma è potenzialmente maggiore il danno provocato dalla scarsa preparazione delle altre parti dell'organizzazione ad un disastro. Solo se tutte le componenti sono state prese in considerazione l azienda sarà in grado di fronteggiare l emergenza. L audit sulla continuità operativa dovrebbe concentrarsi primariamente sul business, e approfondire gli aspetti tecnologici e informativi dove reputato necessario. 5

Modalità operative di un BCM Audit Un Audit BCM può essere effettuato secondo le seguenti modalità operative: uso preparatorio di questionari e checklist, sottoposti ai singoli process owner conduzione di interviste con i singoli process owner; coinvolgimento di più process owner in gruppi di lavoro. Le variabili per scegliere tra le modalità elencate sono: la complessità della realtà aziendale esaminata; i tempi previsti per l attività di audit; il budget allocato. Data la complessità delle tematiche di continuità operativa, e l interdipendenza tra le varie direzioni aziendali al fine della gestione della continuità, è generalmente da privilegiare la modalità delle interviste e dei gruppi di lavoro. 6

Gli standard internazionali BS 25999-1:2006 Business Continuity Management, Part 1: Code of Practice Stabilisce i principi, la metodologia e la terminologia per il Business Continuity Management BS 25999-2:2007 Specification for Business Continuity Management Specifica i requisiti per implementare, mettere in esercizio e manutenere il sistema di Business Continuity (BCMS) BS 25777:2008 Information and communications technology continuity management. Code of practice NFPA 1600 Standard per la gestione di un emergenza / disastro, sviluppato dalla National Fire Protection Association (US) NIST SP 800-34 Guida di Contingency Planning per l Information Technology 7

Metodologie e normative locali Banca d Italia Bollettino di Vigilanza n. 7 (Luglio 2004) Bollettino di Vigilanza n. 3 (Marzo 2007) Basilea II (rischi operativi). ABI e ABI Lab Metodologia ABI Lab per la realizzazione del piano di continuità operativa (2004) Osservatorio Business Continuity e Disaster Recovery (on line) ISVAP regolamento 20 (2008) articolo 14 comma e: al fine di garantire la continuità dei processi dell organizzazione, sono adottate e documentate procedure e standard operativi orientati alla individuazione e gestione degli eventi che possono pregiudicare la continuità del business. articolo 33 comma 4: Le imprese adottano idonee misure per assicurare la continuità della attività in caso di interruzione o grave deterioramento della qualità del servizio reso dal fornitore, inclusi adeguati piani di emergenza o di reinternalizzazione delle attività. DigitPA, già CNIPA, Continuità operativa nella Pubblica Amministrazione (2008). 8

Approccio Protiviti (continua) L approccio all Audit BCM è orientato sia alle soluzioni organizzative sia alle soluzioni di processo e tecnologiche, in modo da garantirne la coerenza e l integrazione. I piani di Disaster Recovery sono irrilevanti in assenza dei piani di ripristino dei processi non-it. Se i sistemi IT vengono ripristinati da soli, il Business non potrà essere pronto a ripartire. Particolare attenzione è posta alle fasi di Risk Assessment e Business Impact Analysis che risultano fondamentali per l efficacia di un Programma di Business Continuity Management. L approccio proposto analizza il Programma di BCM integralmente nelle sue componenti costitutive: Crisis Management Business Resumption Plan IT Disaster Recovery Plan 9

Approccio Protiviti L approccio adottato da Protiviti deriva da un esperienza consolidata e considera le linee guida internazionali e i requisiti espressi dagli enti di settore (es. ABI, ISVAP). Ciò ha portato all adozione di un sistema di supporto all audit BCM in cui vengono identificati 23 punti analizzati durante l esecuzione progettuale: Audit BCM Soluzioni di Business Continuity Management L approccio adottato ha i seguenti obiettivi: verifica della conformità rispetto agli standard verifica dell aderenza rispetto ai requisiti di business verifica dell allineamento rispetto ai cambiamenti interni ed esterni Allineamento Aderenza ai ai Rispetto delle Requisiti di cambiamenti compliance Business interni ed esterni Analisi - Valutazioni - Raccomandazioni 10

Approccio Protiviti - Punti di Analisi Protiviti adotta un approccio allineato rispetto alle specifiche della BS 25999-2: Macroarea Area Mappatura su BS 25999-2 Supporto del Management Esecutivo Risk Assessment e Business Impact Analysis Business continuity e strategy design Business alignment Sviluppo di piani e implementazione delle strategie Training e awareness Testing e manutenzione dei piani Compliance, monitoring e auditing Coinvolgimento del Top Management 3.2.1 Definizione di policy, standard e misure di gestione 3.2.2 Composizione del Team per il Programma di BCM 3.2.4 Allocazione budget e schedulazione annuale 3.2.3 Conduzione del Risk Assessment 4.1.2 Review dei requisiti legali, regolamentativi e contrattuali 3.2.1 Conduzione della Business Impact Analysis 4.1.1 Mitigazione dei rischi 4.1.3 Definizione delle strategie di ripristino e rientro 4.2 Coordinamento con fornitori / vendor 4.2 Analisi costi / benefici 3.2 Integrazione delle soluzioni di business e tecnologica 4.3 Accuratezza e applicabilità delle strategie di ripristino e rientro 4.2-4.3 Contenuto dei piani 4.3.3 Documentazione del piano di Crisis Management 4.3.3 Definizione del processo di comunicazione in caso di disastro 4.3.3 Documentazione del piano di business resumption 4.3.3 Documentazione del piano di IT Disaster Recovery 4.3.3 Repository dei piani 3.4 Processo di training e awareness 4.4.2-4.4.3 Processo di testing (obiettivi, esecuzioni e review) 4.4.2 Processo di manutenzione dei piani 4.4.3 Audit Ricorrente 5.1-6.2 11

Case Study 12

Definizione del contesto Nome società Settore di business Contesto Esigenza espressa WIZ Services Gruppo finanziario Il Top Management di WIZ Services ha incaricato l unità organizzativa preposta alla continuità operativa di sviluppare il piano di continuità per lo scenario di inagibilità della sede principale della compagnia. All interno di quest attività è stato formato un Gruppo di Lavoro (GdL) che ha eseguito una attività di Business Impact Analysis (BIA), volta a classificare la priorità dei processi aziendali. Questo ha portato allo sviluppo di una strategia di continuità con cui è stata prevista: (1) la prenotazione di alcune postazioni esterne per gestire un'eventuale crisi, (2) la remotizzazione delle attività lavorative e (3) un piano di ripristino con i livelli di allerta individuati per attivare le procedure. Il GdL quindi ha provveduto a integrare un piano di test sia a livello di review documentale sia a livello di verifiche operative. Protiviti è stata incaricata di effettuare un'attività di Audit sul programma di continuità operativa per verificare l'adeguatezza del BCM. 13

Obiettivo e ambito di verifica Obiettivo dell Audit sul processo di continuità operativa è stato di verificare: l aderenza delle soluzioni ai requisiti di business; l adeguatezza delle soluzioni in corso di implementazione rispetto alle best practice e agli standard richiesti dal settore; l adeguatezza dei contratti con i fornitori di postazioni di lavoro presso i siti secondari; le criticità relative alle componenti del programma BCM in fase di implementazione. L intervento di Audit ha avuto come ambito di verifica: la conduzione e formalizzazione della Business Impact Analysis; la procedura di Crisis Management; il piano di Business Resumption; il piano e la soluzione tecnologica di Disaster Recovery; le simulazioni previste per il piano di continuità operativa; le relazioni con i fornitori esterni contattati per gestire lo scenario di crisi. 14

Metodologia dell Audit Project Management Collect Evaluate Recommend 1. Assessment 4. Valutazione delle strategie di BCM 7. Analisi delle relazioni con i fornitori 9. Sviluppo conclusioni e raccomandazioni 12. Valutazione dei feedback del Management 2. Review documentazione BCM 5. Review dei piani di BCM 10. Validazione dei risultati 3. Confronto 6. Analisi delle infrastrutture di Recovery 8. Review della pianificazione di test, manutenzione e training 11. Conduzione del meeting di chiusura 13. Finalizzazione del knowledge transfer e degli step seguenti 1. Identificazione di: requisiti interni, di settore, regolamentativi e di servizio verso i clienti priorità operative (processi, segmentazione clienti, ecc.) tecnologie critiche (scheduling, mirroring, backup, ecc.) 2. Review della documentazione per la verifica dell allineamento del BCM agli Obiettivi di Recovery. 3. Confronto relativo a: modalità di sviluppo dei Piani interazione con i Process Owner coinvolti nel Programma di BCM eventuali inconsistenze 4. Valutazione delle strategie di BCM allo scopo di identificare in che modo esse rispettano i requisiti di business 5. Review dei piani di BCM per l analisi di: contatti interni ed esterni location delle risorse logistica a supporto ecc. 6. Analisi delle infrastrutture di Recovery per identificare gli spazi logici/fisici disponibili durante un evento disastro 7. Analisi delle relazioni con i fornitori che contribuiscono alle attività operative e/o di supporto al ripristino del business 8. Review della pianificazione di test, manutenzione e training per identificare il coinvolgimento del personale, il loro aggiornamento e le modalità di svolgimento dei test. 9. Sviluppo conclusioni e raccomandazioni elaborate verificando il gap fra le soluzioni realizzate e in corso di realizzazione rispetto ai requisiti definiti e alle best practice 10. Validazione dei risultati con il Management 11. Conduzione del meeting di chiusura durante il quale vengono raccolti i feedback del Management circa i risultati ottenuti e le raccomandazioni presentate 12. Valutazione dei feedback del Management allo scopo di effettuare una eventuale attività di tuning finale delle raccomandazioni sviluppate 13. Finalizzazione del knowledge transfer allo scopo di porre maggior enfasi sulle questioni di Continuità Operativa rilevate con maggior frequenza. 15

Criticità emerse Durante l attività di audit e al fine di verificare l'adeguatezza del BCM sono stati individuati i rilievi suddivisi per livello di conformità e di seguito riepilogati: Conformità Macroarea Area Conformità Non conformità critica Non conformità secondaria Supporto del Management Esecutivo Risk Assessment e Business Impact Analysis Business Continuity e strategy design Business alignment Sviluppo di piani e implementazione delle strategie Training e awareness Testing e manutenzione dei piani Compliance, monitoring e auditing Coinvolgimento del Top Management Definizione di policy, standard e misure di gestione Composizione del Team per il Programma di BCM Allocazione budget e schedulazione annuale Conduzione del Risk Assessment Review dei requisiti legali, regolamentativi e contrattuali Conduzione della Business Impact Analysis Mitigazione dei rischi Definizione delle strategie di ripristino e rientro Coordinamento con fornitori / vendor Analisi costi / benefici Integrazione delle soluzioni di business e tecnologica Accuratezza e applicabilit àà delle strategie di ripristino e rientro Contenuto dei piani Documentazione del piano di Crisis Management Definizione del processo di comunicazione in caso di disastro Documentazione del piano di business resumption Documentazione del piano di IT Disaster Recovery Repository dei piani Processo di training e awareness Processo di testing (obiettivi, esecuzioni e review) Processo di manutenzione dei piani Audit Ricorrente 16

Criticità emerse (continua) Si riporta: il numero totale di conformità e non conformità (secondarie e critiche); la distribuzione percentuale del livello di non conformità per macroarea (fatta 100 la non conformità complessiva). Conformità 14 Non conformità secondaria 3 Non conformità critica 6 17% 11% Supporto del Management Esecutivo 33% Risk Assessment e Business Impact Analysis Business Continuity e Strategy Design 11% Business Alignment Sviluppo di piani e implementazione delle strategie Compliance, monitoring e auditing 11% 17 17%

Aree di Audit Esempi di Non conformità secondaria Area Situazione Riscontrata Possibili Conseguenze Suggerimenti Livello di conformità SUPPORTO DEL MANAGEMENT ESECUTIVO Definizione di policy, standard e misure di gestione Non è stata sviluppata una policy specifica per identificare gli obiettivi e l'ambito di applicazione del sistema di Business Continuity. Alcuni requisiti ad alto livello sono stati inseriti nel piano di continuità. Non è stata richiesta né formalizzata l'aderenza ad alcun standard specifico. Per lo sviluppo delle procedure è stato coinvolto personale esterno, provvisto di certificazione BS 25999. Non sono state formalizzate metriche o KPI di progetto. La valutazione è delegata all'esame del Top Management aziendale. L'assenza di una policy specifica per il BCM potrebbe inficiare la gestione continuativa del processo. Ad esempio potrebbe produrre disallineamenti o incoerenze qualora sia necessario sviluppare altri piani di continuità operativa. L'assenza di indicatori di performance potrebbe comportare un'approvazione del piano a livello formale, senza che siano state esaminate tutte le implicazioni di carattere operativo. Si suggerisce di introdurre una policy per il BCM con identificazione degli obiettivi pluriennali, dei documenti sviluppati o ancora da sviluppare e delle tempistiche e modalità di test previste. Inoltre la policy dovrebbe definire la struttura, l'approccio e l'ambito di applicazione dei piani di continuità operativa. Non conformità secondaria SVILUPPO DI PIANI E IMPLEMENTAZIONE DELLE STRATEGIE Documentazione del piano di Crisis Management Non è stato sviluppato un piano specifico per il Crisis Management, ma è stato identificato un approccio che integra in un unico documento le procedure di gestione dello stato di crisi e le procedure di gestione della continuità operativa. La scelta di riportare in un unico documento il piano di Crisis Management e le procedure di ripristino e rientro potrebbe condurre a un processo di gestione della crisi non sufficientemente astratto per essere applicabile a situazioni più generali. Si suggerisce di sviluppare un documento specifico per il Crisis Management, con un approccio sufficientemente generale per consentire la gestione di uno stato di crisi generico. Non conformità secondaria 18

Aree di Audit Esempi di Non conformità critica Area Situazione Riscontrata Possibili Conseguenze Suggerimenti Livello di conformità SUPPORTO DEL MANAGEMENT ESECUTIVO Composizione del Team per il Programma di BCM Il Team di Programma di BCM è composto da: un Manager (interno), con responsabilità gestionali un gruppo di consulenti esterni, con responsabilità operative. Il processo di BCM potrebbe essere influenzato della scarsa allocazione di risorse interne, qualora i consulenti esterni si rendessero indisponibili. Inoltre il forte coinvolgimento dei consulenti potrebbe far apparire il progetto quale iniziativa con scarso commitment interno. Si suggerisce di strutturare un team di risorse interne sulle tematiche di continuità operativa, prevedendo un adeguato passaggio di consegne dal personale esterno. Non conformità critica RISK ASSESSMENT E BUSINESS IMPACT ANALYSIS Conduzione del Risk Assessment Non è stata formalizzata e condivisa una metodologia per la conduzione del Risk Assessment. L'attività di Risk Assessment è stata condotta in forma non strutturata nel corso dell'attività di Business Impact Analysis. Soltanto per i rischi di carattere ambientale sono stati raccolti e analizzati dati storici e statistici, archiviati nel repository della Business Continuity. L'assenza della formalizzazione di una metodologia per il Risk Assessment potrebbe rendere difficile la ricostruzione di alcune decisioni, in particolare quelle relative all'attribuzione della priorità per i processi. L'assenza di modelli per il Risk Assessment potrebbe rendere disomogenea la raccolta dei dati dai responsabili di processo, enfatizzando la discrezionalità degli owner del BCM. Si suggerisce di definire una metodologia per condurre i Risk Assessment, identificando il set di minacce all'operatività e un sistema per l'attribuzione della priorità ai processi aziendali. Non conformità critica 19

Aree di Audit Esempi di Non conformità critica Area Situazione Riscontrata Possibili Conseguenze Suggerimenti Livello di conformità BUSINESS ALIGNMENT Integrazione delle soluzioni di business e tecnologica Il piano di Disaster Recovery è presente ma risulta non allineato rispetto a: obiettivi di ripristino identificati nella BIA, in relazione ad alcuni applicativi amministrativi; parco tecnologico e applicativo, che è stato recentemente oggetto di aggiornamento da parte della divisione Sistemi Informativi. Il documento di Disaster Recovery potrebbe non essere rispondente alle esigenze di ripristino in relazione agli applicativi identificati. Gli outage degli applicativi recentemente introdotti non sarebbero gestiti in modo pianificato e strutturato, in quanto per tali applicativi non sono state sviluppate le strategie di recovery. Si suggerisce di aggiornare il documento e le strategie di recovery allineandole alle esigenze di business espresse nel documento di BIA. Si suggerisce di revisionare la mappa applicativa e tecnologica del DRP, eliminando gli applicativi che sono stati sostituiti e integrando nelle strategie i sistemi recentemente introdotti. Non conformità critica COMPLIANCE, MONITORING E AUDITING Audit Ricorrente Non è stato dettagliato un processo per la revisione periodica degli obiettivi del programma di BCM attraverso attività di audit volte a esaminarne l'efficacia. Eventuali modifiche organizzative, tecnologiche e di processo potrebbero non essere rispecchiate dalle procedure di crisi e di continuità operativa. Si suggerisce di definire le milestone e le tempistiche del processo di audit del BCM. Non conformità critica 20

Case Study - Conclusioni In seguito all Audit è emerso che le aree più sensibili sono: Supporto del Management Esecutivo Sviluppo di piani e implementazione delle strategie Compliance, monitoring e auditing. Nonostante sia stato riscontrato un adeguato commitment da parte dell attuale Top Management, il rischio più significativo per il programma BCM è la gestione continuativa, a causa di: assenza di un preciso programma di Audit per il BCM; assenza di una policy che definisce gli obiettivi BCM su una scala pluriennale; preponderanza di risorse esterne nella gestione operativa. Il programma BCM non appare sufficientemente stabile e radicato da poter proseguire in modo indipendente a seguito di un avvicendamento dei vertici aziendali. 21

L esperienza di Protiviti Molti piani di Business Continuity sono disegnati senza rispecchiare fino in fondo le esigenze reali, risultando quindi essere: semplicistici; incentrati su necessità particolari; in alcuni casi poco realistici e incompleti; basati su assunzioni non esplicitate (ad esempio circa la disponibilità delle risorse) e di cui non è verificata la reale applicabilità. La gran parte dei piani di Business Continuity fallisce al primo test. Essi presentano pertanto inadeguatezze tali da impedire il corretto ripristino dei processi entro i termini richiesti. Una buona parte dei piani di Business Continuity non viene mai testata. I difetti dei piani e delle procedure non vengono pertanto evidenziati, ed essi sono quasi certamente destinati a non garantire un ripristino tempestivo. L'esperienza reale di un disastro ha spesso ben poco a che fare con eventi prestabiliti e con piani sviluppati in circostanze di normale operatività. 22

L esperienza di Protiviti (continua) Nello specifico, sulla base degli studi di settore e degli interventi consulenziali condotti, abbiamo identificato alcune criticità ricorrenti del processo di BCM: scarso commitment da parte del Management sulle tematiche di continuità operativa; esecuzione di una BIA Light, cioè effettuata in modo non strutturato, non allineata rispetto ai requisiti di business, e non esaustiva della totalità dei processi aziendali; procedure di Crisis Management assenti o non adeguate, a causa di: mancata individuazione di tutti gli interlocutori e dei rispettivi contatti; eccessiva genericità del flusso informativo e dell albero delle chiamate; piano di Disaster Recovery non risulta: adeguato rispetto agli obiettivi di ripristino identificati dal business; aggiornato rispetto alle evoluzioni tecnologiche e organizzative; testato da un punto di vista operativo; scarsa attenzione alla tematica della continuità dei servizi (IT ma non solo) erogati dai fornitori. 23

L esperienza di Protiviti (continua) Il vero nucleo di un programma BCM, che ne garantisce la solidità e la sopravvivenza nel tempo, non risiede nei piani o nelle strategie, ma nel consolidamento delle tematiche di continuità all interno della cultura aziendale. Il programma BCM deve essere infatti divulgato all interno dell azienda, e le procedure devono essere note al personale di competenza. Senza la cultura aziendale del BCM, la continuità operativa resta un gradevole esercizio su carta. Un audit BCM risulta realmente efficace e utile per il business di un azienda qualora riesca a porre in evidenza le eventuali problematiche culturali legate alle continuità operativa, quali: mancata o parziale divulgazione dei piani / procedure; mancato recepimento degli aggiornamenti o delle ultime evoluzioni dei piani / procedure; scarsa sensibilità da parte di alcuni process owner o direzioni aziendali nei confronti del processo di continuità operativa; mandato non chiaro e commitment debole per il programma di BCM. 24

Vi ringrazio per l attenzione. Per ogni richiesta di informazioni, si prega di contattare: Giuseppe Blasi Via Tiziano, 32-20145 Milano Tel.: +39 02 6550 6301 Cell: +39 349 291 2189 giuseppe.blasi@protiviti.it www.protiviti.it Powerful Insights. Proven Delivery. TM 25

Confidenzialità Questo documento è destinato esclusivamente ai partecipanti alla sessione di studio del 15 dicembre 2009 organizzata da AIEA e non può essere riprodotto e distribuito a terze parti senza l autorizzazione di Protiviti S.r.l. capabiliti strategi credibiliti objectiviti productiviti protiviti 26

27

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back