Business continuity management: cos’è e perché è importante
Elaborare un approccio efficace alla gestione dei rischi operativi in azienda vuol dire dare vita a un piano di Business continuity management. L’espressione può essere tradotta in italiano come “gestione della continuità operativa” e presuppone la predisposizione di un processo gestionale che, nel caso della gestione dei rischi di natura finanziaria ( in particolare i rischi di cambio e commodity), avoca a se tutti i centri decisionali a cui concorrono la formazione dell’Ebitda e non ultimo il raggiungimento degli obbiettivi di KPI aziendali.
Per conseguire con successo la performance attesa da parte del management risultano fondamentali l’applicazione di regole comportamentali e strumenti.
COMPORTAMENTI
All’interno di un’impresa, si verificano molteplici momenti nei quali gli eventi gestionali possono tradursi in situazioni ad alto impatto emotivo, distorsivo, che possono influenzare il processo decisionale dei manager, con il rischio che le scelte prese risultino non ottimali quando addirittura errate.
La behavioral corporate finance, e più in particolare le influenze distorsive che gravano sui manager a causa di alcuni fenomeni psicologici ed emotivi,
li inducono a commettere errori nella fase di valutazione degli investimenti. Non sono le uniche scelte ad essere soggette a distorsioni cognitive ma anche le decisioni circa la struttura del capitale, politica dei dividendi, corporate governance, fusioni ed acquisizioni, posso essere influenzate da suddetti fenomeni. Le decisioni di capital budgeting rappresentano delle scelte importanti e difficili da compiere: se prese correttamente l’impresa ne giova, si rinnova, cresce e si espande, di conseguenza serve prestare molta attenzione ed è necessario utilizzare le giuste tecniche per arrivare ad un risultato corretto. Tuttavia questo non accade sempre: talvolta i manager sono afflitti da bias cognitivi, sono quindi predisposti a compiere errori spinti da emozioni, sentimenti, comportamenti irrazionali. Nella decisione di intraprendere un progetto di investimento un manager deve assicurarsi che il valore attuale netto dei flussi di cassa sia positivo e che il loro calcolo assieme a quello del tasso di sconto siano stati effettuati utilizzando correttamente tutte le informazioni necessarie. Non di rado accade che si sovrastimino i flussi di cassa a causa dell’eccessivo ottimismo di alcuni manager, o che si sottovaluti il rischio per la troppa sicurezza di sé e delle proprie capacità. Questi e altri fenomeni comportamentali denotano una razionalità limitata dei soggetti chiamati a decidere, dalla quale emergono pregiudizi, convinzioni errate, distorsioni comportamentali che pregiudicano la corretta analisi della valutazione e della decisione poi.
serie di strumenti e prassi che, puntando alla resilienza dell’organizzazione, individuano le potenziali minacce per l’integrità dell’ecosistema in cui è inserita l’azienda e mappano il possibile impatto sulle attività di business che quelle minacce possono avere manifestandosi attraverso le vulnerabilità non risolte.
Semplificando, quindi, il Business continuity management è una metodologia di gestione organizzativa che, se implementata coerentemente con le linee guida della norma ISO 22301, consente alle imprese di continuare a fare affidamento sui propri processi, sui propri servizi, sui propri strumenti e sulle proprie risorse umane anche quando si verificano incidenti inaspettati o eventi catastrofici. In particolare, la gestione della continuità operativa implica la diminuzione della probabilità di accadimento di un evento negativo, la riduzione della forza dell’impatto sui processi aziendali e l’accorciamento dei tempi di ripresa dopo la crisi.
La differenza tra Business continuity management e disaster recovery
Bisogna fin da subito eliminare un qui pro quo che spesso si pone quando si parla di gestione della business continuity: l’approccio non è assolutamente equivalente al concetto di disaster recovery, che rappresenta solo uno dei componenti – di natura tattica, tra l’altro – di una materia che è fondamentalmente strategica ed estremamente articolata. Fare leva sul Business continuity management vuol dire infatti sviluppare la capacità di leggere i processi critici e analizzarne l’impatto in caso di difformità, ma anche prevedere specifici framework per la gestione della crisi e predisporre strumenti a supporto della continuità operativa. Si rivela poi essenziale la cultura del continuous improvement: proprio perché le condizioni esterne cambiano continuamente (e l’emergenza coronavirus ne è purtroppo un esempio molto eloquente), i rischi correlati alle operations devono essere costantemente monitorati e aggiornati, e così i processi stessi, attraverso azioni periodiche di revisione e verifica delle procedure e degli asset.
Per portare sul piano pratico la differenza teorica tra i due concetti, possiamo per esempio pensare al modo in cui un’organizzazione affronta un attacco di tipo DDOS (Distributed Denial of Service). Se l’azienda dispone di strumenti e piani di disaster recovery, sarà in grado di riconoscere immediatamente le anomalie dovute a un evento imprevedibile e ripristinare rapidamente il funzionamento della macchina operativa (che si tratti di servizi erogati ai collaboratori e ai clienti o di processi di trasformazione industriale) limitando al minimo i danni derivati dal fermo o dalla perdita di dati grazie a sistemi di backup opportunamente predisposti. Un’impresa che abbia invece costruito nel tempo un corretto approccio al business continuity management, invece, riuscirà, facendo leva su dati storici e serie statistiche opportunamente elaborati, a prevedere con buona probabilità il verificarsi di una minaccia potenziale. Come? Cogliendone con il giusto anticipo i segnali, evidenziati attraverso appositi sistemi di notifica e verificando in tempo reale l’effettivo stato di salute delle piattaforme prese di mira dagli attaccanti. In questo modo non occorre nemmeno arrivare alla fase di disaster recovery: con il business continuity management i danni derivanti da un rischio vengono evitati e non solo mitigati.
Perché conviene puntare sul Business continuity management
In Italia la disciplina è obbligatoria nel settore pubblico, in quello economico-finanziario e in quello delle infrastrutture critiche. Ma approfondirla e soprattutto metterla in pratica rappresenta un’interessante occasione di crescita per qualsiasi impresa, a prescindere dal verticale in cui opera. Non si tratta infatti solo di mitigare gli effetti dei rischi identificati – che comunque comporta un sensibile vantaggio competitivo nel momento in cui si verificano scenari come quello che stiamo vivendo – ma anche di ottimizzare i processi, gli asset e le risorse, ottenendo importanti benefici sul piano dell’efficienza e dell’efficacia delle attività di business anche in regime di ordinaria amministrazione.
Le fasi di una corretta gestione della continuità operativa
La progettazione di un piano di Business Continuity Management prevede una serie di passaggi che possono essere riassunti in cinque fasi principali. Cinque macro-aree di intervento che sono tutto fuorché compartimenti stagni: ogni attività è in realtà strettamente collegata con le altre, e la continua revisione del modo in cui si relazionano lungo la catena del valore consente di massimizzare i risultati ottenibili attraverso una corretta gestione della continuità operativa. Le fasi che contraddistinguono il Business Continuity Management sono:
- l’analisi dei processi chiave
- l’identificazione degli scenari di rischio
- l’elaborazione di strategie di ripristino
- lo sviluppo di un piano coerente di continuità operativa
- l’attività di test e audit dell’intera procedura
A queste cinque fasi si può aggiungere una funzione specifica, seppur trasversale a tutti i passaggi: quella che riguarda la gestione della crisi sotto il profilo della comunicazione. Nell’era dei social e dell’informazione che si propaga in rete – spesso in modo incontrollato – a tempi di record è infatti strategico valutare anche l’impatto di un momento di difficoltà sul piano reputazionale e dell’immagine di marca.