Audit del processo di continuit à operativa...L’intervento di Audit BCM mira a verificare...

Audit del processo di continuitAudit del processo di continuitààoperativaoperativa

AIEA15 Dicembre 2009

DOCUMENTO PER DISCUSSIONE

© 2009 Protiviti Srl . ConfidenzialeQuesto documento è ad uso esclusivo della sessione di studio AIEA Milano, 15 dicembre 2009, e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.

1

ContenutiContenuti

• Che cos’è l’Audit BCM 2• Il valore di un Audit BCM secondo Protiviti 3• I tipi di Audit 4• Non solo IT Audit 5• Modalità operative di un BCM Audit 6• Gli standard di Business Continuity 7• Metodologie e normative di settore 8• Approccio Protiviti 9• Case Study 12

– Definizione del contesto 13– Obiettivo e ambito di verifica 14– Metodologia dell’Audit 15– Alcune Criticità attese 16– Criticità emerse 17– Aree di Audit 18– Conclusioni 21

• L’esperienza di Protiviti 22


2

Un Audit sul Programma di Business Continuity Management (BCM) ha lo scopo di:

– valutare i processi di continuità operativa descritti nei piani;

– valutare l’aderenza ai requisiti espressi dal business;

– verificare la compliance con gli aspetti normativi generali e di settore;

– confrontare le soluzioni adottate con le best practice.

Che cosChe cos’è’è ll’’AuditAudit BCMBCM

Le attività di Audit sono parte integrante del Ciclo di Vita di un Programma di BCM, che consiste nella realizzazione delle soluzioni di Continuità e nella loro gestione e manutenzione.

Inoltre l’Audit può intervenire sia sulle singole fasi del Ciclo di Vita del Programma di BCM sia sull’intero Programma.

Risk Assessment &Business Impact Analysis

Business Alignment

Business Continuity & Strategy Design

Business ContinuityLife Cycle

Executive ManagementSupport & Sponsorship

Training & Awareness

Compliance Monitoring &

Auditing

Testing & Maintenance

Plan Development &Strategy Implementation


3

L’intervento di Audit BCM mira a verificare l’aderenza del Programma di BCM ai requisiti espressi prima dell’implementazione delle soluzioni e a valutare che tali requisiti siano coerenti con le caratteristiche specifiche del Business.

Repeatable

Initial

Defined

Managed

Optimized

Il valore di un Il valore di un AuditAudit BCM BCM secondo Protivitisecondo Protiviti

La metodologia prevede:

• la verifica del grado di maturità della soluzione di BCM e del Programma complessivo

• l’identificazione dei gap rispetto alle best practice di settore

• l’elaborazione delle raccomandazioni da seguire per migliorare il Programma di BCM sottoposto ad audit I requisiti

normativi e gli standard di BCM sono percepiti come troppo costosi da implementare.

L’adeguamento ai regolamenti BCM è effettuato solo quando reputato finanziariamente sostenibile; l’Internal Audit esamina il sistema di BCM.

E’ in corso l’adeguamento ai regolamenti per il BCM; l’Internal Audit verifica revisione e manutenzione dei piani. Svolgimento negli ultimi due anni della BIA.

Sono effettuate valutazioni periodiche dei requisiti normativi; l’Internal Audit revisiona i piani su base annua;la BIA è allineata con il business.

L’ Internal Audit rivede la documentazione regolarmente;sono promossi di audit di terze parti del BCP. La BIA èallineata con il business ed effettuata regolarmente.


4

I tipi di AuditI tipi di Audit

Attività finalizzata, a fronte dell’audit propedeutico, a effettuare uno studio di fattibilità per verificare l’applicabilità delle raccomandazioni previste. Spesso coinvolge gli auditor del BCM in qualità di Subject Matter Expert.

Analisi di applicabilità

Audit propedeutico

Compliance Audit

Tipologia

Attività di Audit volta a verificare la situazione AS - IS, al fine di individuare l’effort necessario per condurre la gestione della Business Continuity al livello di maturità desiderato. La differenza fondamentale rispetto alla valutazione della compliance è la conoscenza, sia da parte dell’auditor sia dell’auditato, del gap tra lo stato attuale della pianificazione e lo stato futuro di continuity management.

Attività di Audit finalizzata ad analizzare e misurare eventi ed evidenze rispetto a specifici standard, e con un determinato livello di dettaglio. La compliance BCM è spesso testata come sottoinsieme di altre attività di verifica (relative ad esempio a un IT Audit), in cui la Business Continuity è inclusa al livello di rischi operativi.

Descrizione


5

Non solo IT AuditNon solo IT Audit

In un’attività di audit BCM le componenti che devono essere verificate sono:

– Policy

– Processi

– Persone

– Infrastrutture.

L’IT è un elemento trasversale rispetto alle componenti indicate, ma non è esaustivo di esse, e in quanto tale rappresenta solo uno dei fattori oggetto dell’Audit.I danni derivanti dalla mancata disponibilità dei sistemi IT possono essere considerevoli, ma è potenzialmente maggiore il danno provocato dalla scarsa preparazione delle altre parti dell'organizzazione ad un disastro. Solo se tutte le componenti sono state prese in considerazione l’azienda sarà in grado di fronteggiare l’emergenza. L’audit sulla continuità operativa dovrebbe concentrarsi primariamente sul business, e approfondire gli aspetti tecnologici e informativi dove reputato necessario.

Audit BCM

Policy

Infrastrutture

Processi

Persone


6

ModalitModalitàà operative di un BCM Auditoperative di un BCM Audit

• Un Audit BCM può essere effettuato secondo le seguenti modalità operative:

– uso preparatorio di questionari e checklist , sottoposti ai singoli process owner

– conduzione di interviste con i singoli process owner;

– coinvolgimento di più process owner in gruppi di lavoro .

• Le variabili per scegliere tra le modalità elencate sono:

– la complessità della realtà aziendale esaminata;

– i tempi previsti per l’attività di audit;

– il budget allocato.

• Data la complessità delle tematiche di continuità operativa, e l’interdipendenza tra le varie direzioni aziendali al fine della gestione della continuità, è generalmente da privilegiare la modalità delle interviste e dei gruppi di lavoro.


7

Gli standard internazionaliGli standard internazionali

• BS 25999-1:2006 Business Continuity Management, Part 1: Code of Practice

– Stabilisce i principi, la metodologia e la terminologia per il Business Continuity Management

• BS 25999-2:2007 Specification for Business Continuity Management

– Specifica i requisiti per implementare, mettere in esercizio e manutenere il sistema di Business Continuity (BCMS)

• BS 25777:2008 Information and communications technology continuity management. Code of practice

• NFPA 1600

– Standard per la gestione di un’emergenza / disastro, sviluppato dalla National Fire Protection Association (US)

• NIST SP 800 - 34

– Guida di Contingency Planning per l’Information Technology


8

Metodologie e normative localiMetodologie e normative locali

• Banca d’Italia

– Bollettino di Vigilanza n. 7 (Luglio 2004)

– Bollettino di Vigilanza n. 3 (Marzo 2007)

– Basilea II (rischi operativi).

• ABI e ABI Lab

– Metodologia ABI Lab per la realizzazione del piano di continuità operativa (2004)

– Osservatorio Business Continuity e Disaster Recovery (on line)

• ISVAP regolamento 20 (2008)

– articolo 14 comma e: “…al fine di garantire la continuità dei processi dell’organizzazione, sono adottate e documentate procedure e standard operativi orientati alla individuazione e gestione degli eventi che possono pregiudicare la continuità del business…”.

– articolo 33 comma 4: “Le imprese adottano idonee misure per assicurare la continuità della attività in caso di interruzione o grave deterioramento della qualità del servizio reso dal fornitore, inclusi adeguati piani di emergenza o di reinternalizzazione delle attività”.

• DigitPA, già CNIPA , Continuità operativa nella Pubblica Amministrazione (2008).


9

Approccio Protiviti Approccio Protiviti ((continuacontinua))

Particolare attenzione è posta alle fasi di Risk Assessment e Business Impact Analysis che risultano fondamentali per l’efficacia di un Programma di Business Continuity Management.

L’approccio proposto analizza il Programma di BCM integralmente nelle sue componenti costitutive:

− Crisis Management

− Business Resumption Plan

− IT Disaster Recovery Plan

L’approccio all’Audit BCM è orientato sia alle soluzioni organizzative sia alle soluzioni di processo e tecnologiche, in modo da garantirne la coerenza e l’integrazione. I piani di Disaster Recovery sono irrilevanti in assenza dei piani di ripristino dei processi non-IT. Se i sistemi IT vengono ripristinati da soli, il Business non potrà essere pronto a ripartire.


10

Approccio ProtivitiApproccio Protiviti

L’approccio adottato da Protiviti deriva da un’esperienza consolidata e considera le linee guida internazionali e i requisiti espressi dagli enti di settore (es. ABI, ISVAP) . Ciò ha portato all’adozione di un sistema di supporto all’audit BCM in cui vengono identificati 23 punti analizzati durante l’esecuzione progettuale:

Analisi - Valutazioni - Raccomandazioni

Rispetto delle Rispetto delle compliancecompliance

Aderenza ai Aderenza ai Requisiti diRequisiti diBusinessBusiness

Allineamento ai

cambiamenti interni ed

esterni

Soluzioni diSoluzioni di Business Continuity ManagementBusiness Continuity Management

AuditAudit BCMBCM

Analisi - Valutazioni - Raccomandazioni

Rispetto delle Rispetto delle compliancecompliance

Aderenza ai Aderenza ai Requisiti diRequisiti diBusinessBusiness

Allineamento ai

cambiamenti interni ed

esterni

Soluzioni diSoluzioni di Business Continuity ManagementBusiness Continuity Management

AuditAudit BCMBCM

L’approccio adottato ha i seguenti obiettivi:

− verifica della conformità rispetto agli standard

− verifica dell’aderenza rispetto ai requisiti di business

− verifica dell’allineamento rispetto ai cambiamenti interni ed esterni


11

Approccio Protiviti Approccio Protiviti -- Punti di AnalisiPunti di Analisi

Protiviti adotta un approccio allineato rispetto alle specifiche della BS 25999-2:

5.1 - 6.2Audit RicorrenteCompliance, monitoring e auditing

4.4.3Processo di manutenzione dei piani

4.4.2Processo di testing (obiettivi, esecuzioni e review)Testing e manutenzione dei piani

4.4.2 - 4.4.3Processo di training e awarenessTraining e awareness

3.4Repository dei piani

4.3.3Documentazione del piano di IT Disaster Recovery

4.3.3Documentazione del piano di business resumption

4.3.3Definizione del processo di comunicazione in caso di disastro

4.3.3Documentazione del piano di Crisis Management

4.3.3Contenuto dei piani

Sviluppo di piani e implementazione delle strategie

4.2 - 4.3Accuratezza e applicabilità delle strategie di ripristino e rientro

4.3Integrazione delle soluzioni di business e tecnologica

3.2Analisi costi / benefici

Business alignment

Business continuity e strategy design

Risk Assessment e Business Impact Analysis

Supporto del Management Esecutivo

Macroarea

4.2Coordinamento con fornitori / vendor

Mappatura su BS 25999-2

4.1.2Conduzione del Risk Assessment

3.2.3Allocazione budget e schedulazione annuale

3.2.4Composizione del Team per il Programma di BCM

3.2.2Definizione di policy, standard e misure di gestione

3.2.1Coinvolgimento del Top Management

4.2Definizione delle strategie di ripristino e rientro

4.1.3Mitigazione dei rischi

4.1.1Conduzione della Business Impact Analysis

Area

Review dei requisiti legali, regolamentativi e contrattuali 3.2.1


12

Case Case StudyStudy


13

Definizione del contestoDefinizione del contesto

Protiviti è stata incaricata di effettuare un'attività di Audit sul programma di continuità operativa per verificare l'adeguatezza del BCM.

• Esigenza espressa

Gruppo finanziario• Settore di business

Il Top Management di WIZ Services ha incaricato l’unità organizzativa preposta alla continuità operativa di sviluppare il piano di continuità per lo scenario di inagibilità della sede principale della compagnia. All’interno di quest’attività è stato formato un Gruppo di Lavoro (GdL) che ha eseguito una attività di Business Impact Analysis (BIA), volta a classificare la priorità dei processi aziendali. Questo ha portato allo sviluppo di una strategia di continuità con cui è stata prevista: (1) la prenotazione di alcune postazioni esterne per gestire un'eventuale crisi, (2) la remotizzazione delle attività lavorative e (3) un piano di ripristino con i livelli di allerta individuati per attivare le procedure. Il GdL quindi ha provveduto a integrare un piano di test sia a livello di review documentale sia a livello di verifiche operative.

WIZ Services• Nome società

• Contesto


14

Obiettivo e ambito di verificaObiettivo e ambito di verifica

• Obiettivo dell’Audit sul processo di continuità operativa è stato di verificare:

– l’aderenza delle soluzioni ai requisiti di business;

– l’adeguatezza delle soluzioni in corso di implementazione rispetto alle best practicee agli standard richiesti dal settore;

– l’adeguatezza dei contratti con i fornitori di postazioni di lavoro presso i siti secondari;

– le criticità relative alle componenti del programma BCM in fase di implementazione.

• L’intervento di Audit ha avuto come ambito di verifica :

– la conduzione e formalizzazione della Business Impact Analysis;

– la procedura di Crisis Management;

– il piano di Business Resumption;

– il piano e la soluzione tecnologica di Disaster Recovery;

– le simulazioni previste per il piano di continuità operativa;

– le relazioni con i fornitori esterni contattati per gestire lo scenario di crisi.


15

3. Confronto

1. Assessment

2. Reviewdocumentazione BCM

4. Valutazione delle strategie di BCM

5. Review dei piani di BCM

6. Analisi delle infrastrutture di

Recovery

7. Analisi delle relazioni con i fornitori

8. Review della pianificazione di test,

manutenzione e training

Collect Evaluate Recommend

9. Sviluppo conclusioni e

raccomandazioni

12. Valutazione dei feedback del Management

11. Conduzione del meeting di chiusura

13. Finalizzazione del knowledge transfer e degli step seguenti

10. Validazione dei risultati

1. Identificazione di:− requisiti interni, di settore,

regolamentativi e di servizio verso i clienti

− priorità operative (processi, segmentazione clienti, ecc.)

− tecnologie critiche (scheduling, mirroring, backup, ecc.)

2. Review della documentazione per la verifica dell’allineamento del BCM agli Obiettivi di Recovery.

3. Confronto relativo a:− modalità di sviluppo dei Piani− interazione con i Process Owner

coinvolti nel Programma di BCM− eventuali inconsistenze

4. Valutazione delle strategie di BCM allo scopo di identificare in che modo esse rispettano i requisiti di business

5. Review dei piani di BCM per l’analisi di:− contatti interni ed esterni− location delle risorse− logistica a supporto− ecc.

6. Analisi delle infrastrutture di Recovery per identificare gli spazi logici/fisici disponibili durante un evento disastro

7. Analisi delle relazioni con i fornitori che contribuiscono alle attività operative e/o di supporto al ripristino del business

8. Review della pianificazione di test, manutenzione e training per identificare il coinvolgimento del personale, il loro aggiornamento e le modalità di svolgimento dei test.

9. Sviluppo conclusioni e raccomandazioni elaborate verificando il gap fra le soluzioni realizzate e in corso di realizzazione rispetto ai requisiti definiti e alle best practice

10. Validazione dei risultati con il Management11. Conduzione del meeting di chiusura durante

il quale vengono raccolti i feedback del Management circa i risultati ottenuti e le raccomandazioni presentate

12. Valutazione dei feedback del Management allo scopo di effettuare una eventuale attivitàdi “tuning” finale delle raccomandazioni sviluppate

13. Finalizzazione del knowledge transfer allo scopo di porre maggior enfasi sulle questioni di Continuità Operativa rilevate con maggior frequenza.

Project Management

Metodologia dellMetodologia dell’’AuditAudit


16

CriticitCriticitàà emerseemerse

Durante l’attività di audit e al fine di verificare l'adeguatezza del BCM sono stati individuati i rilievi suddivisi per livello di conformità e di seguito riepilogati:

��Audit RicorrenteCompliance, monitoring e auditing

��Processo di manutenzione dei pianiProcesso di manutenzione dei pianiProcesso di manutenzione dei piani

��Processo di testing (obiettivi, esecuzioni e review)Processo di testing (obiettivi, esecuzioni e review)Processo di testing (obiettivi, esecuzioni e review)Testing e manutenzione dei piani

��Processo di training e awarenessProcesso di training e awarenessProcesso di training e awarenessTraining e awareness��Repository dei pianiRepository dei pianiRepository dei piani

��Documentazione del piano di IT Disaster Recovery��Documentazione del piano di business resumptionDocumentazione del piano di business resumptionDocumentazione del piano di business resumption

��Definizione del processo di comunicazione in caso di disastroDefinizione del processo di comunicazione in caso di disastroDefinizione del processo di comunicazione in caso di disastro

��Documentazione del piano di Crisis Management��Contenuto dei piani


��Accuratezza e applicabilitAccuratezza e applicabilitAccuratezza e applicabilitààà delle strategie di ripristino e rientrodelle strategie di ripristino e rientrodelle strategie di ripristino e rientro

��Integrazione delle soluzioni di business e tecnolog ica��Analisi costi / beneficiAnalisi costi / beneficiAnalisi costi / benefici

Business alignment

Business Continuity e strategy design



Macroarea

��Coordinamento con fornitori / vendorCoordinamento con fornitori / vendorCoordinamento con fornitori / vendor

Conformità

��Conduzione del Risk Assessment��Allocazione budget e schedulazione annualeAllocazione budget e schedulazione annualeAllocazione budget e schedulazione annuale

��Composizione del Team per il Programma di BCM��Definizione di policy, standard e misure di gestion e

��Coinvolgimento del Top ManagementCoinvolgimento del Top ManagementCoinvolgimento del Top Management

��Definizione delle strategie di ripristino e rientroDefinizione delle strategie di ripristino e rientroDefinizione delle strategie di ripristino e rientro

��Mitigazione dei rischi��Conduzione della Business Impact AnalysisConduzione della Business Impact AnalysisConduzione della Business Impact Analysis

AreaConformità

Non conformitàcritica

Non conformitàsecondaria

Review dei requisiti legali, regolamentativi e contrattualiReview dei requisiti legali, regolamentativi e contrattualiReview dei requisiti legali, regolamentativi e contrattuali ��


17

CriticitCriticitàà emerse emerse (continua)(continua)

Si riporta:

• il numero totale di conformità e non conformità (secondarie e critiche);

• la distribuzione percentuale del livello di non conformità per macroarea (fatta 100 la non conformitàcomplessiva).

14

6

3

Conformità

Non conformità secondaria

Non conformità critica

11%

11%

11%

17%

33%

17%



Business Continuity e Strategy Design

Business Alignment


Compliance, monitoring e auditing


18

Aree di Audit Aree di Audit Esempi di Non conformitEsempi di Non conformitàà secondariasecondaria


• Si suggerisce di sviluppare un documento specifico per il Crisis Management, con un approccio sufficientemente generale per consentire la gestione di uno stato di crisi generico.

• La scelta di riportare in un unico documento il piano di Crisis Management e le procedure di ripristino e rientro potrebbe condurre a un processo di gestione della crisi non sufficientemente astratto per essere applicabile a situazioni più generali.

• Non è stato sviluppato un piano specifico per il Crisis Management, ma è stato identificato un approccio che integra in un unico documento le procedure di gestione dello stato di crisi e le procedure di gestione della continuità operativa.

Documentazione del piano di Crisis Management

SVILUPPO DI PIANI E IMPLEMENTAZIONE DELLE STRATEGIE

SUPPORTO DEL MANAGEMENT ESECUTIVO


• Si suggerisce di introdurre una policy per il BCM con identificazione degli obiettivi pluriennali, dei documenti sviluppati o ancora da sviluppare e delle tempistiche e modalità di test previste. Inoltre la policy dovrebbe definire la struttura, l'approccio e l'ambito di applicazione dei piani di continuitàoperativa.

• L'assenza di una policy specifica per il BCM potrebbe inficiare la gestione continuativa del processo. Ad esempio potrebbe produrre disallineamenti o incoerenze qualora sia necessario sviluppare altri piani di continuità operativa.

• L'assenza di indicatori di performance potrebbe comportare un'approvazione del piano a livello formale, senza che siano state esaminate tutte le implicazioni di carattere operativo.

• Non è stata sviluppata una policy specifica per identificare gli obiettivi e l'ambito di applicazione del sistema di Business Continuity. Alcuni requisiti ad alto livello sono stati inseriti nel piano di continuità.

• Non è stata richiesta néformalizzata l'aderenza ad alcun standard specifico.

• Per lo sviluppo delle procedure èstato coinvolto personale esterno, provvisto di certificazione BS 25999.

• Non sono state formalizzate metriche o KPI di progetto. La valutazione è delegata all'esame del Top Management aziendale.

Definizione di policy, standard e misure di gestione

Area Situazione Riscontrata Livello di conformità

SuggerimentiPossibili Conseguenze


19

Aree di AuditAree di AuditEsempi di Non conformitEsempi di Non conformitàà criticacritica

RISK ASSESSMENT E BUSINESS IMPACT ANALYSIS


• Si suggerisce di definire una metodologia per condurre i RiskAssessment, identificando il set di minacce all'operatività e un sistema per l'attribuzione della priorità ai processi aziendali.

• L'assenza della formalizzazione di una metodologia per il Risk Assessment potrebbe rendere difficile la ricostruzione di alcune decisioni, in particolare quelle relative all'attribuzione della prioritàper i processi.

• L'assenza di modelli per il Risk Assessment potrebbe rendere disomogenea la raccolta dei dati dai responsabili di processo, enfatizzando la discrezionalità degli owner del BCM.

• Non è stata formalizzata e condivisa una metodologia per la conduzione del Risk Assessment.

• L'attività di Risk Assessment è stata condotta in forma non strutturata nel corso dell'attività di Business Impact Analysis.

• Soltanto per i rischi di carattere ambientale sono stati raccolti e analizzati dati storici e statistici, archiviati nel repository della Business Continuity.

Conduzione del Risk Assessment


• Si suggerisce di strutturare un team di risorse interne sulle tematiche di continuità operativa, prevedendo un adeguato passaggio di consegne dal personale esterno.

• Il processo di BCM potrebbe essere influenzato della scarsa allocazione di risorse interne, qualora i consulenti esterni si rendessero indisponibili. Inoltre il forte coinvolgimento dei consulenti potrebbe far apparire il progetto quale iniziativa con scarso commitment interno.

• Il Team di Programma di BCM ècomposto da:

– un Manager (interno), con responsabilità gestionali

– un gruppo di consulenti esterni, con responsabilitàoperative.

Composizione del Team per il Programma di BCM

SUPPORTO DEL MANAGEMENT ESECUTIVO

Area Situazione Riscontrata Livello di conformità



20

Aree di AuditAree di AuditEsempi di Non conformitEsempi di Non conformitàà criticacritica


• Si suggerisce di definire le milestone e le tempistiche del processo di audit del BCM.

• Eventuali modifiche organizzative, tecnologiche e di processo potrebbero non essere rispecchiate dalle procedure di crisi e di continuità operativa.

• Non è stato dettagliato un processo per la revisione periodica degli obiettivi del programma di BCM attraverso attività di audit volte a esaminarne l'efficacia.

Audit Ricorrente

BUSINESS ALIGNMENT

COMPLIANCE, MONITORING E AUDITING

Integrazione delle soluzioni di business e tecnologica

Area


• Si suggerisce di aggiornare il documento e le strategie di recoveryallineandole alle esigenze di business espresse nel documento di BIA.

• Si suggerisce di revisionare la mappa applicativa e tecnologica del DRP, eliminando gli applicativi che sono stati sostituiti e integrando nelle strategie i sistemi recentemente introdotti.

• Il documento di Disaster Recovery potrebbe non essere rispondente alle esigenze di ripristino in relazione agli applicativi identificati.

• Gli outage degli applicativi recentemente introdotti non sarebbero gestiti in modo pianificato e strutturato, in quanto per tali applicativi non sono state sviluppate le strategie di recovery.

• Il piano di Disaster Recovery èpresente ma risulta non allineato rispetto a:

– obiettivi di ripristino identificati nella BIA, in relazione ad alcuni applicativi amministrativi;

– parco tecnologico e applicativo, che è stato recentemente oggetto di aggiornamento da parte della divisione Sistemi Informativi.

Situazione Riscontrata Livello di conformità



21

Case Case StudyStudy -- ConclusioniConclusioni

• In seguito all’Audit è emerso che le aree più sensibili sono:

– Supporto del Management Esecutivo

– Sviluppo di piani e implementazione delle strategie

– Compliance, monitoring e auditing.

• Nonostante sia stato riscontrato un adeguato commitment da parte dell’attuale Top Management, il rischio più significativo per il programma BCM è la gestione continuativa, a causa di:

– assenza di un preciso programma di Audit per il BCM;

– assenza di una policy che definisce gli obiettivi BCM su una scala pluriennale;

– preponderanza di risorse esterne nella gestione operativa.

• Il programma BCM non appare sufficientemente stabile e radicato da poter proseguire in modo “indipendente” a seguito di un avvicendamento dei vertici aziendali.


22

LL’’esperienza di Protivitiesperienza di Protiviti

• Molti piani di Business Continuity sono disegnati senza rispecchiare fino in fondo le esigenze reali, risultando quindi essere:

– semplicistici;

– incentrati su necessità particolari;

– in alcuni casi poco realistici e incompleti;

– basati su assunzioni non esplicitate (ad esempio circa la disponibilità delle risorse) e di cui non è verificata la reale applicabilità.

• La gran parte dei piani di Business Continuity fallisce al primo test. Essi presentano pertanto inadeguatezze tali da impedire il corretto ripristino dei processi entro i termini richiesti.

• Una buona parte dei piani di Business Continuity non viene mai testata. I “difetti” dei piani e delle procedure non vengono pertanto evidenziati, ed essi sono quasi certamente destinati a non garantire un ripristino tempestivo.

• L'esperienza reale di un disastro ha spesso ben poco a che fare con eventi prestabiliti e con piani sviluppati in circostanze di normale operatività.


23

Nello specifico, sulla base degli studi di settore e degli interventi consulenziali condotti, abbiamo identificato alcune criticità ricorrenti del processo di BCM:

– scarso commitment da parte del Management sulle tematiche di continuitàoperativa;

– esecuzione di una “BIA Light”, cioè effettuata in modo non strutturato, non allineata rispetto ai requisiti di business, e non esaustiva della totalità dei processi aziendali;

– procedure di Crisis Management assenti o non adeguate, a causa di:

• mancata individuazione di tutti gli interlocutori e dei rispettivi contatti;

• eccessiva genericità del flusso informativo e dell’albero delle chiamate;

– piano di Disaster Recovery non risulta:

• adeguato rispetto agli obiettivi di ripristino identificati dal business;

• aggiornato rispetto alle evoluzioni tecnologiche e organizzative;

• testato da un punto di vista operativo;

– scarsa attenzione alla tematica della continuità dei servizi (IT ma non solo) erogati dai fornitori.

LL’’esperienza di Protiviti esperienza di Protiviti ((continuacontinua))


24

LL’’esperienza di Protiviti esperienza di Protiviti ((continuacontinua))

• Il vero nucleo di un programma BCM, che ne garantisce la solidità e la sopravvivenza nel tempo, non risiede nei piani o nelle strategie, ma nel consolidamento delle tematiche di continuità all’interno della cultura aziendale.

• Il programma BCM deve essere infatti “divulgato ” all’interno dell’azienda, e le procedure devono essere note al personale di competenza. Senza la cultura aziendale del BCM, la continuità operativa resta un gradevole esercizio su carta.

• Un audit BCM risulta realmente efficace e utile per il business di un’azienda qualora riesca a porre in evidenza le eventuali problematiche “culturali” legate alle continuitàoperativa, quali:

– mancata o parziale divulgazione dei piani / procedure;

– mancato recepimento degli aggiornamenti o delle ultime evoluzioni dei piani / procedure;

– scarsa sensibilità da parte di alcuni process owner o direzioni aziendali nei confronti del processo di continuità operativa;

– mandato non chiaro e commitment debole per il programma di BCM.


25

Vi ringrazio per l’attenzione.

Per ogni richiesta di informazioni, si prega di contattare:

Via Tiziano, 32 - 20145 MilanoTel.: +39 02 6550 6301Cell: +39 349 291 [email protected]

Giuseppe Blasi

Powerful Insights. Proven Delivery.TM


26

ConfidenzialitConfidenzialitàà

capabiliti…

strategi…

credibiliti…

objectiviti…

productiviti…

protiviti

Questo documento è destinato esclusivamente ai partecipanti alla sessione di studio del 15 dicembre 2009 organizzata da AIEA e non può essere riprodotto e distribuito a terze parti senza l’autorizzazione di Protiviti S.r.l.


27

Audit del processo di continuit à operativa...L’intervento di Audit BCM mira a verificare...

Documents

Transcript of Audit del processo di continuit à operativa...L’intervento di Audit BCM mira a verificare...