IL CRISIS MANAGEMENT IN AZIENDA - AIEA una serie di innovazioni che hanno diversi punti di contatto...
Transcript of IL CRISIS MANAGEMENT IN AZIENDA - AIEA una serie di innovazioni che hanno diversi punti di contatto...
1 1
Sessione di Studio AIEA - Milano, 17 aprile 2015
IL CRISIS MANAGEMENT IN AZIENDA
Norma ISO 22301:2012 & BCI Good Practice Guidelines
2 2
AGENDA
INTRODUZIONE
NORME E STANDARD
IL BUSINESS CONTINUITY MANAGEMENT SYSTEM
CASI DI STUDIO
DIBATTITO E CONCLUSIONI
4 4
La comunicazione inerente ai temi della gestione del rischio e degli eventi critici
cresce…
…il senso di sicurezza diminuisce!
EVOLUZIONE DELL’APPROCCIO AL RISCHIO
5 5
RISCHIO E PAURA DEL RISCHIO
Condizione di paura molto simile a quella delle popolazioni primitive…
…per cui si assiste ad una perdita di ottimismo e a una crescente condizione di paura legata alla percezione del rischio
proprio nei sistemi sociali avanzati, supertecnologici!
6 6
…appare insito nell’uomo, legato alle sue decisioni e
proiettato perciò nel futuro
…era soprattutto legato ad eventi naturali esterni
all’individuo
CAMBIA IL CONCETTO DI RISCHIO
Nelle Società pre-moderne… Nelle Società avanzate…
7 7
Il rischio appare sempre più legato all’agire umano…
LA SOCIETÀ DEL BENESSERE
…più una società eleva gli standard di benessere,
più si espone ai rischi!
8 8
RESILIENZA AL RISCHIO - DEFINIZIONE
La resilienza è definita come la capacità di un materiale di resistere a forze impulsive
Un’organizzazione è resiliente quando ha la capacità di cambiare e adattarsi prima che il rischio di riferimento la
costringa a farlo!
9 9
CRISI - DEFINIZIONE
«Una crisi è un evento grave che distrugge tutte le nostre precedenti convinzioni»
- Prof. Ian Mitroff -
10 10
QUALCHE NUMERO
Evento Numero
di Vittime
Perdite Economiche
World Trade Center (2001)
Bomba Aeroporto Colombo (2001)
Bomba Oklahoma City (1995)
Bomba Londra (1993)
Bomba World Trade Center (1993)
3.014
20
166
1
6
40 mld $ +
398 mln $
145 mln $
907 mln $
725 mln $
Fonte: “Economic Perspectives On Terrorism Insurance” published in May 2002 by the Joint Economic Committee of the U.S. Congress
Il 43% delle organizzazioni non si è mai ripreso dalla Crisi
Il 90% dei business che perdono i dati come conseguenza di un disastro chiudono nel giro di 2 anni
L’80% dei business sprovvisti di un piano di recupero sono costretti a chiudere entro 1 anno dal disastro
1
2
3
Fonte: London Chamber of Commerce and Industry “Disaster Recovery: Business Tips for Survival, May 2003”
11 11
NON SI SCHERZA PIÙ
Fonte: Evoluzione delle minacce e degli attacchi: dati del 2013, scenari e tendenze, A. Zapparoli Manzoni, Clusit Education
Un “test” PsyOps, via Twitter
(dal “Syrian Electronic Army”, un gruppo mercenario pro-Assad)
12 12
NON SI SCHERZA PIÙ
Fonte: Evoluzione delle minacce e degli attacchi: dati del 2013, scenari e tendenze, A. Zapparoli Manzoni, Clusit Education
Il sabotaggio dell’account Twitter di Associated Press causò al NYSE una perdita di 53 mld $ in 5 minuti
13 13
LE CONSEGUENZE DELLA CRISI
In ogni crisi vi è un «costo psicologico»…
Ogni crisi comporta un’ulteriore, più profonda crisi sul significato e scopo della nostra esistenza, che può portare a
una sindrome post traumatica da stress.
Tuttavia…
L’origine della parola crisi (dal greco Krisis) significa
scelta, decisione
In Cinese la parola "crisi" è formata da due caratteri che significano rispettivamente:
危 pericolo
机 opportunità
14 14
Tecnologia Business Executive
Management
Disaster Recovery Business Continuity Crisis Management
Back-up dei dati/On-line mirroring
Trading Room attrezzate
Recovery desks
Ogni linea di Business
partecipa attivamente ai test
riflette sui processi critici e sulle risorse
investe nella Business Continuity
Management segue un preciso protocollo coordinato dal “Crisis Management Team”
Le decisioni prese più rapidamente. Maggior focus sulla sicurezza delle persone
Duplicazione/Affitto locali CED
Archiviazione Nastri in Siti Remoti
Investimenti in Telecomunicazioni
Business Impact Analysis
Definizione di “RTO - Recovery Time Objectives”
Definizione di “RPO – Recovery Point Objectives”
Piani di Business Continuity
“Calling Tree” e Piani di Evacuazione
Piani di Crisi con distribuzione delle attività nel Management
Test con Simulazione Scenari di Crisi
Crisi di Zona
Attività
Meto
do
logia
BUSINESS CONTINUITY: EVOLUZIONE STORICA
15 15
BUSINESS CONTINUITY: ERRORI COMUNI
La materia è ancora assolutamente pionieristica per il nostro Paese e non è infrequente incorrere in fraintendimenti ed errori metodologici. Di seguito i più comuni:
1 LA BUSINESS CONTINUITY FA PARTE DEL RISK MANAGEMENT FALSO
Il Risk Management si fonda - per definizione - su un approccio probabilistico, mentre la Business Continuity parte dal presupposto che un’interruzione può avvenire per qualsiasi motivo (probabilità di accadimento = 1) e che quindi bisogna rendere l’organizzazione resiliente a prescindere dal rischio specifico di un determinato evento avverso. Le due discipline sono quindi assolutamente complementari ed entrambe fondamentali.
2 LA BUSINESS CONTINUITY SI APPLICA SOLO AL «RISCHIO RESIDUO» FALSO
Pensiero estremamente pericoloso e responsabile del fallimento di numerose organizzazioni: applicare la Business Continuity al solo «rischio residuo» significa considerare infallibili i modelli probabilistici su cui si fonda il Risk Management. La Business Continuity va applicata a tutti i processi, prodotti o servizi aziendali.
3 LA BUSINESS CONTINUITY È MATERIA DI PERTINENZA DELL’ICT DEPARTMENT FALSO
La Business Continuity è una disciplina che mira a conferire resilienza all’organizzazione nel suo complesso. Sebbene con l’evoluzione tecnologica l’ICT abbia permeato sempre più i processi aziendali, esso rimane solo una parte (comunque fondamentale) del Sistema di Gestione della Continuità Operativa. Il Disaster Recovery è infatti solo un sottoinsieme della Business Continuity.
16 16
APPROCCIO ALLA MATERIA
Pro:
- Semplicità di comprensione (da parte del Management)
- Semplicità di realizzazione
Contro:
- La fretta comporta errori
- Massimizzazione delle perdite e minimizzazione delle sinergie
Pro:
- Massimizzazione delle sinergie
- Minimizzazione delle perdite economiche
- Maggiore efficacia
- Maggiori margini di analisi
Contro:
- Difficoltà di comprensione (da parte del Management)
- Difficoltà di realizzazione
Approccio Reattivo Approccio Proattivo
17 17
Suprema ironia, le organizzazioni proattive:
Fonte: Prof. Ian I. Mitroff (www.mitroff.net) – University Professor, Alliant International University di San Francisco e University of California Berkeley - President, Comprehensive Crisis Management, Oakland, CA
COSTO O INVESTIMENTO?
Si preoccupano di generare profitti!
Si preoccupano di fare la cosa giusta!
Organizzazioni Reattive
Organizzazioni Proattive
Fanno molti più profitti!
Statisticamente subiscono meno crisi!
Ritornano al business più velocemente e con meno cause legali!
18 18
Sessione di Studio AIEA - Milano, 17 aprile 2015
NORME E STANDARD
Il Crisis Management in Azienda
19 19
Istituzioni Finanziarie
Basilea II Buoni Principi di
Gestione del Rischio Operativo
Infrastrutture Critiche
D.Lgs. 61/2011
Pubbliche Amministrazioni
D.Lgs. 235/2010
DOVE LA NORMA È GIÀ COGENTE
20 20
ISO 22301:2012 & EUROPEAN NORMS
PREMESSA
1Una EN diventa automaticamente lo standard di riferimento in vigore negli Stati membri del sistema CEN-CENELEC
La Norma ISO 22301:2012 è stata recentemente inclusa nell’elenco delle European Norms1 (ENs), ovvero documenti ratificati da una delle tre European Standardization Organization competenti in materia di produzione di standard tecnici come da Norma UE n. 1025/2012.
SENTIMENT DEGLI ESPERTI
Cultori della materia ed esperti a livello internazionale concordano nel pensare che qualora il Parlamento Europeo dovesse decidere di regolamentare la continuità operativa delle Infrastrutture Critiche, la ISO 22301:2012 si trasformerebbe da un «semplice» standard a una norma cogente.
REAZIONI DEL MERCATO
Sono già diverse le organizzazioni europee che hanno intrapreso un percorso verso la certificazione secondo i principi dettati dalla Norma ISO 22301:2012. Tra di esse, molte aziende pubbliche o private appartengono alle cosiddette Infrastrutture Critiche o a settori ad esse funzionali (fornitori).
PROSPETTIVE PER INFR. CRITICHE
Le Infrastruttura Critiche sono quindi fortemente incentivate all’adozione dello standard a prescindere dall’obbligo normativo. Un Sistema di Gestione della Continuità Operativa conforme alla Norma ISO 22301:2012, infatti, conferisce resilienza ed efficienza a tutta l’organizzazione.
1 2
3 4
Vantaggi della Certificazione
ISO 22301:2012
Resilienza organizzativa
Efficienza operativa
Perdite derivanti da interruzioni
Rischi reputazionali
21 21
ISO 9001:2015 - CONTINUITÀ E QUALITÀ
A settembre 2015 verrà pubblicata ufficialmente la revisione della Norma ISO 9001:2008 sul tema della «Gestione per la Qualità», ad oggi in pubblica inchiesta. Questo aggiornamento prevede una serie di innovazioni che hanno diversi punti di contatto con la Business Continuity:
Come per lo schema di certificazione ISO 22301:2012, le aziende dovranno provvedere a un’analisi delle minacce e al monitoraggio del contesto per pianificare un sistema di gestione adeguato alle proprie criticità.
1 METODOLOGIA BASATA SUL PRINCIPIO DI CRITICITÀ
Esattamente come previsto anche dalla Norma ISO 22301:2012, questo standard prevede l’attribuzione chiara di responsabilità al Top Management nell’identificazione degli obiettivi di gestione e nella pianificazione / controllo del cambiamento.
2 MAGGIOR ENFASI SULLA LEADERSHIP DEL TOP MANAGEMENT
In un contesto sempre più complesso, costituito da processi in outsourcing e forti interdipendenze con la supply-chain, risulta fondamentale avere il presidio della catena del valore nel suo complesso per assicurare qualità e continuità alle proprie attività.
3 ATTENZIONE A PROCESSI, PRODOTTI E SERVIZI FORNITI DA ESTERNI
Si può dunque concludere che vi siano molteplici sinergie
tra questi due importanti Standard!
22 22
Sessione di Studio AIEA - Milano, 17 aprile 2015
IL BUSINESS CONTINUITY MANAGEMENT SYSTEM
Il Crisis Management in Azienda
23 23
BCI GOOD PRACTICE GUIDELINES 2013
GESTIONE DELLA POLICY E DEL PROGRAMMA
INCORPORAZIONE NELLA CULTURA AZIENDALE
ANALISI E PROGETTAZIONE1
IMPLEMENTAZIONE DEI PIANI DI CONTINUITÀ
CONVALIDA E MANUTENZIONE
FASE 1
FASE 2
FASE 3
FASE 4
FASE 5
1Le fasi indicate dalle BCI Good Practice Guidelines sono 6, perché Analisi e Progettazione vengono considerate due fasi separate. In questa slide sono state unite per ragioni puramente grafiche e di sintesi
24 24
IL BCMS IN AZIENDA: PERCHÉ È FONDAMENTALE
La continuità operativa deve essere gestita secondo un approccio olistico
Con un BCMS i costi di recupero da un’interruzione si riducono sensibilmente
È dimostrato che chi investe sulla propria continuità operativa, ottiene maggiori profitti1
Un BCMS conferisce maggiore efficienza all’organizzazione nel suo complesso
PERCHÉ UN’AZIENDA SI DOVREBBE DOTARE DI UN SISTEMA DI GESTIONE?
1Fonte: studio del Prof. Ian Mitroff, padre delle metodologie di Crisis Management e docente presso la University of South California e la University of Berkeley California (www.mitroff.net)
25 25
LA BUSINESS IMPACT ANALYSIS
A = analisi
Ciò significa che dobbiamo eliminare il più possibile le opinioni soggettive e rendere i
risultati oggettivi e comparabili
26 26
COSA NON È LA BUSINESS IMPACT ANALYSIS
Progetto Organizzativo
Valutazione del Prodotto
Valutazione dei Clienti
Valutazione delle Risorse
Valutazione dei Rischi La BIA è un’analisi
d’impatto!
Assessment di stabilità dell’edificio
Valutazione del Processo
Valutazione dei Profitti
27 27
COSA SI INTENDE PER «CRITICO»
In un’organizzazione ci sono diverse funzioni che pur essendo estremamente importanti, non sono critiche. Queste funzioni non saranno dunque soggette ad alcuna analisi di impatto, né a strategie costose per assicurare il recupero delle attività in caso di crisi. Esse avranno in ogni caso un Piano e saranno considerate parte del BCMS.
CRITICO ≠ IMPORTANTE
CRITICO = TIME SENSITIVE / URGENTE
29 29
Minimo Accettabile
I REQUISITI PER LE RISORSE - OSSERVAZIONI
Normale
Sostenibile
Tempo
Ris
ors
e Normale
30 30
IL PIANO DI CRISI
Chi
Cosa
Dove
Quando
Come
Chi ha la responsabilità delle azioni di recupero
Cosa è necessario per recuperare/continuare le funzioni e l’operatività
Dove andare per recuperare/continuare le funzioni e l’operatività
Quando devono essere ripristinate le funzioni di business e l’operatività
Come effettuare il recupero (procedure dettagliate di ripristino, continuità e ritorno alla normalità)
31 31
LA SOSTENIBILITÀ DEL PIANO NEL TEMPO
Normale Normale
Minimo Accettabile
Sostenibile Att
ivit
à
Continuità Recupero Disattivazione
Tempo
Emergenza Crisi
32 32
Sessione di Studio AIEA - Milano, 17 aprile 2015
CASI DI STUDIO
Il Crisis Management in Azienda
35 35
CANTOR FITZGERALD - BACK TO BUSINESS
Sept. 11th Cantor
Fitzgerald ha perso il 70%
della sua forza lavoro
Cantor Fitzgerald
aveva un Piano di Crisi e un sito
di back-up a Londra
La prima riunione di crisi
si è tenuta a casa di un Executive Manager
Sept. 13th Cantor
Fitzgerald torna operativa sui
mercati
I dipendenti sopravvissuti si sono incontrati al Pierre Hotel
a Midtown
Risultato straordinario reso possibile da una grande
cultura aziendale!
37 37
LA COMPLESSITÀ DI NEW YORK CITY
$1.13 TRILLION GDP
8.2 MILLION RESIDENTS
51 MILLION ANNUAL TOURISTS
800,000 DAILY COMMUTERS
5 MILLION DAILY SUBWAY PASSENGERS
2.5 MILLION DAILY BUS PASSENGERS
92.4 MILLION ANNUAL AIR TRAVELERS
950 COMMERCIAL VESSELS IN THE NEW YORK HARBOR
22 UNDERWATER RAIL TUNNELS
61 H
OSP
ITA
LS
182 NURSING HOMES
21 ACTIVE US MILITARY INSTALLATIONS
600 CULTURAL INSTITUTIONS
ONE-THIRD OF THE NATION’S LARGEST MEDIA COMPANIES
THE UNITED NATIONS
THE NEW YORK STOCK EXCHANGE
WA
LL S
TR
EET
THE BROOKLYN BRIDGE
THE STATUE OF LIBERTY
ELLIS
ISL
AN
D
THE EMPIRE STATE BUILDING
TWO MAJOR LEAGUE BASEBALL STADIUMS
INDIAN POINT NUCLEAR POWER PLANT
BARCLAY’S CENTER
BROOKHAVEN NATIONAL LABORATORY
40 40
Sessione di Studio AIEA - Milano, 17 aprile 2015
DIBATTITO E CONCLUSIONI
Il Crisis Management in Azienda
41 41
LA CERTIFICAZIONE BCI
I professionisti certificati dal Business Continuity Institute (www.thebci.org) hanno competenze riconosciute a livello
internazionale e operano secondo la metodologia indicata dalle BCI Good Practice Guidelines 2013, basate sulla Norma ISO
22301:2012. Inoltre, un professionista BCI garantisce…
…l’allineamento del linguaggio!
…l’adozione di best practice di mercato!
…una metodologia sviluppata dai
massimi esperti di business continuity
al mondo!