CONSIGLI PRATICI E NOZIONI DA ADOTTARE IN AZIENDA
Mai prima d’ora avevamo assistito alla paralisi improvvisa di tutto il tessuto produttivo nazionale, salvo poche aziende strategiche ritenute strettamente necessarie. Era dal secondo conflitto mondiale che non si assisteva al blocco totale delle attività produttive nel nostro Paese.
Dal dopoguerra in poi, nonostante si siano verificate ciclicamente gravi calamità che pure hanno funestato l’Italia: alluvioni, terremoti, pandemie, tempeste, ma mai prima d’ora l’intero comparto industriale nazionale si era fermato nella sua interezza.
È bastato un virus, un’entità microscopica ed invisibile per mettere in ginocchio un intero Paese, d’improvviso da un giorno all’altro la maggior parte della produzione industriale italiana è stata fermata ed, allo stato buona parte, è ancora ferma in attesa di una ripartenza di cui non si ha certezza.
In questa situazione, a dir poco paradossale, molte aziende si sono ritrovate in un limbo, nell’incertezza più assoluta, senza più punti certi di riferimento e senza una visione chiara e delineata del futuro.
Un’azienda, specie se di grandi dimensioni ed articolata, non può essere bloccata da un giorno all’altro, non la si può ibernare e scongelare a piacimento, intorno ad essa c’è un mondo fatto di fornitori, logistica, clienti e non da ultimo gli addetti che vi lavorano.
Ma è proprio in queste situazioni che le aziende devono cercare di mitigare i rischi per evitare che gli incidenti si trasformino in disastri, costruire una struttura operativa che permetta alle funzioni chiave di continuare ad operare nelle peggiori situazioni o, nei casi peggiori, di programmare una rapida ripartenza, in parole povere attuare un Business Continuity Plan o Piano di Continuità Operativa.
La Business Continuity è:
- la capacità di una organizzazione di continuare a fornire i servizi ed i prodotti in intervalli di tempo accettabili ad una capacità predefinita a seguito di un disastro(1).
Gli americani, invece, forniscono una definizione più tesa ad indicare ciò che andrebbe fatto in una situazione di emergenza, ossia:
- un processo continuo finalizzato ad assicurare che siano presi gli opportuni passi atti ad identificare la severità delle possibili perdite ed a mantenere strategie praticabili per la ripresa dell’operatività e la continuità dei servizi.
La finalità della Business Continuity è far sì che, un’organizzazione sia resiliente(2), in grado cioè di poter continuare a produrre ed a servire i clienti malgrado sia stata oggetto di un evento che ne ha compromesso in maniera più o meno grave la capacità di proseguire la sua capacità operativa e le sue attività a livello normale.
La continuità operativa (o Business Continuity) è definita dalla norma ISO 22301 come la capacità di un’organizzazione di continuare a fornire prodotti e servizi in tempi accettabili e con quantità o livelli di servizio accettabili durante un evento critico.
È chiaro che una volta gestito l’incidente, il passo successivo è quello di cercare di riprendere l’attività normale in «tempi ragionevoli».
Di conseguenza, ciò che un’organizzazione deve valutare e stimare sono, tra gli altri, i valori da assegnare al c.d. «livello accettabile» e a «tempi ragionevoli», citati dallo standard.
Il primo valore dipende dalla dimensione dell’incidente e dai costi necessari per far sì che l’operatività prosegua ad un livello accettabile.
I tempi ragionevoli di ripartenza dipendono dalla perdita economica subita e dal prolungarsi del disservizio.
L’attività dell’azienda è, per sua natura, caratterizzata da un certo margine di rischio, ossia dall’eventualità di un mancato perseguimento degli obiettivi strategici e gestionali predefiniti.
Il risk management deve essere parte integrante di tutti i processi organizzativi, ed il relativo processo di gestione non può mai essere statico ma, bensì, dinamico e pronto a reagire ai cambiamenti che in qualunque momento possono avvenire all’interno dell’organizzazione.
Nella determinazione dei criteri di rischio un ruolo importante lo hanno gli stakeholder ossia:
1. Clienti;
2. Fornitori;
3. Azionisti;
i quali, devono essere coinvolti tempestivamente ed in modo appropriato, così come coloro che rivestono ruoli decisionali all’interno dell’organizzazione.
La maggior parte delle organizzazioni affrontano la gestione dei rischi senza la dovuta attenzione alla fissazione dei criteri di rischio; infatti quando si analizzano le minacce e le relative conseguenze sui processi organizzativi e sulle attività, tali risultati vanno comparati con gli obiettivi aziendali, ovvero con il livello di risk tollerance (tolleranza ai rischi) e con il risk appetite (propensione al rischio).
Un esempio può chiarire meglio i due concetti:
Immaginiamo che, in un’azienda che si occupa di consegna di pacchi e corrispondenza i clienti finali non accettino ritardi superiori al 20% del tempo normale impiegato e, comunque, mai superiore al 50% del tempo contrattualizzato.
Se nello svolgimento dell’attività dovesse accadere un’eventuale minaccia (guasto di un mezzo) i tempi di consegna potrebbero essere di molto superiori al normale e sforare i ritardi accettabili.
In questo caso, quindi, potremmo identificare il risk appetite con il 20% massimo di ritardo ed il risk tollerance con la soglia del 50% di ritardo massimo accettabile nella consegna. Ovviamente i due valori sono degli importi corrispondenti alla perdita massima (danno economico – ritardo nella fatturazione – rimborsi – sconti).
Alluvioni, terremoti, pandemie, tempeste, o anche eventi meno impattanti possono momentaneamente cambiare le nostre vite in maniera drastica e, soprattutto, all’improvviso senza alcun preavviso.
Basti pensare agli eventi verificatisi in America l’11 settembre 2001. Sono bastati pochi minuti affinché, un intero continente sprofondasse in un black-out che ha colpito tutti i settori; l’intera Nazione si è ritrovata nel caos più completo, e non stiamo parlando di un paese qualsiasi ma, di uno dei uno degli Stati più evoluti al mondo.
Questo è solo uno degli scenari possibili che potrebbero verificarsi.
Per fare un esempio concreto basti pensare ad un terremoto (l’Italia è un paese altamente sismico), un’eruzione vulcanica, una tempesta o un’alluvione, sono tutti eventi catastrofici che nel nostro paese avvengono ciclicamente ma, verso i quali, nella maggior parte dei casi, ci facciamo trovare impreparati.
L’impreparazione, la disorganizzazione, la mancanza di un piano di risposta immediato all’emergenza sono i fattori chiave che, subito dopo una catastrofe possono fare la differenza.
A questo punto, dato per scontato che, eventi critici ed inaspettati in ambito aziendale possono verificarsi con una certa frequenza, dobbiamo porre in esser tutte quelle misure atte a prevenire e mitigare i rischi di un blocco improvviso delle attività.
E come possiamo farlo, esistono gli strumenti per evitare un default dell’intero ciclo produttivo dell’azienda?
La risposta è sì, ed è proprio questo il momento in cui entra in gioco la continuità operativa, ossia: “la capacità di un’azienda di fornire prodotti e servizi in tempi accettabili e con quantità e livelli di servizio accettabili durante un evento critico”.
1/2
Intervento di Cipriano FICEDOLO – Avvocato Penalista d’Impresa
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) Anthony Cecil Wright
(2) La resilienza è la capacità di un sistema di adattarsi al cambiamento: in ingegneria, è la capacità di un materiale di assorbire energia in conseguenza delle deformazioni elastiche e plastiche fino alla sua rottura; in informatica, è la capacità di un sistema di adattarsi alle condizioni d’uso e di resistere all’usura in modo da garantire la disponibilità dei servizi erogati; in ecologia e biologia, è la capacità di una materia vivente di autoripararsi dopo un danno, o quella di una comunità o di un sistema ecologico di ritornare al suo stato iniziale, dopo essere stata sottoposta a una perturbazione che ha modificato quello stato; in psicologia, è la capacità di far fronte in maniera positiva agli eventi traumatici. Nel risk management, la resilienza è la capacità intrinseca di un sistema di modificare il proprio funzionamento prima, durante e in seguito ad un cambiamento o ad una perturbazione, in modo da poter continuare le operazioni necessarie sia in condizioni previste che in condizioni impreviste (fonte Wikipedia).