La business continuity, come processo che aiuta le organizzazioni a pianificare l'imprevisto e a gestire meglio i rischi, risponde a una strategia programmatica ben precisa. Vuol dire vivere con maggiore serenità nel caso di eventi naturali che non dipendono dalla propria volontà, failure di sistema, perdita di risorse e strumenti, a cui si deve dar seguito nell’immediato per un ripristino parziale o completo. Comprendere l’importanza di un business continuity management (BCM) è fondamentale, perché sempre più aziende si rendono conto di quanto sia difficile gestire la complessità di una catena produttiva estesa, una realtà anche per le piccole e medie imprese e non solo i grandi player.
ISO 22301 come standard internazionale BCMS
Alla luce di una tale premessa, la norma ISO 22301 si pone come standard internazionale BCMS, ovvero insieme di linee guida finalizzato ad abilitare la pianificazione e l’implementazione di un piano strutturato di business continuity.
Più in dettaglio, ISO 22301 punta a fornire un approccio sistemico per la predisposizione di un piano di prevenzione e di emergenza, in caso di situazioni critiche che mettono a repentaglio il business. Basandosi sulla messa in atto di varie best practices, lo standard internazionale BCMS aiuta a comprendere, sviluppare e implementare un Business Continuity Management System strutturato, con cui ridurre al minimo i rischi e la possibilità di interruzione del lavoro. La certificazione è un importante attestato di qualità, anche verso l’esterno, perché dimostra la capacità dell’organizzazione di rispondere rapidamente a blocchi operativi, continuando a fornire il servizio richiesto durante episodi gravosi. La certificazione può essere un prerequisito per lo sviluppo di relazioni di partnership tra imprese.
Definizione e contesto
C’è da dire che gli standard internazionali sono rivisti ogni 5 anni, per garantire che rimangano rilevanti e soddisfino le sfide nel corso del tempo. L’ISO 22301 risale al 2012 ed è attualmente in fase di revisione, con un pieno compimento che lo vedrà sfociare nell’ISO/CD 22301, al vaglio della International Organization for Standardization.
Lo standard ISO 22301 “Societal security – Business Continuity Management Systems – Requirements” è adatto a compagnie di qualsiasi dimensione. Rispetto alla precedente norma, la BS25999 “Business Continuity Management”, focalizza l’attenzione su aspetti specifici. Tra questi:
- una maggiore attenzione ai processi che intercorrono all’interno di tutta la filiera produttiva;
- una precisa analisi del rischio per settori;
- una struttura chiara del coinvolgimento delle figure manageriali nelle fasi della BCM;
- un’identificazione del livello minimo di operatività in caso di disastro;
- una migliore definizione della terminologia utilizzata.
Come è suddiviso
Lo schema ISO 22301 prevede 10 clausole principali, che le aziende devono rispettare per ottenere la certificazione. Si va dallo scopo ai riferimenti normativi, passando per termini e definizioni, contesto dell’organizzazione, leadership, pianificazione, supporto, operazioni, valutazione delle performance, miglioramenti. Alcuni di questi punti sono determinanti per il consolidamento di un ecosistema che sia davvero in grado di sostenere il business durante la criticità. Pensiamo al supporto, che presume la presenza di addetti che abbiano conoscenza, abilità ed esperienza adeguate a contribuire al BCMS e rispondere agli incidenti quando si verificano. È anche importante che tutto lo staff sia consapevole del proprio ruolo, sia individuale sia verso una leadership (altro elemento peculiare), responsabile nell’assicurare che vengano fornite le risorse adeguate per reagire alla calamità e stabilire le misure da adottare tempestivamente.
Il fulcro centrale della norma concerne le operazioni. Ogni compagnia deve intraprendere un'analisi dell'impatto di un’eventuale criticità sul business, per capire in che modo le varie divisioni possono essere interessate dalle interruzioni e come queste si estenderanno in altri comparti nel tempo. In che senso? Se una società sceglie di digitalizzare il reparto HR dopo quello finanziario, dovrà considerare le conseguenze di un blocco operativo in più settori, che aumenteranno con la progressiva integrazione delle unità nel network.
La valutazione del rischio mira a comprendere le emergenze in maniera strutturata, sviluppando una strategia di business continuity su più livelli. Se è impossibile prevedere completamente tutti gli incidenti, l'approccio olistico può rappresentare la strada da seguire: la continuità del sistema non è data esclusivamente dalla prevenzione delle singole parti ma da un’armonizzazione generale, che assicura il corretto svolgimento di ogni componente, quale elemento essenziale dell’ingranaggio aziendale.