Business Continuity Plan

La Business Continuity – Consigli pratici e nozioni da adottare in azienda

27 maggio 2020

di Cipriano FICEDOLO

Un’organizzazione deve sapere e deve pianificare come continuare la propria operatività in qualunque circostanza. Un buon approccio di continuità operativa, secondo le linee guida ISO 22301 deve saper riconoscere e prevenire le potenziali minacce che potrebbero colpire l’azienda ed analizzarne il possibile impatto sulle sue attività.

Un buon approccio consiste, prima di tutto, nel mitigare i rischi per evitare che incidenti si trasformino in disastri e, costruire una struttura operativa che permetta alle funzioni chiavi aziendali di continuare ad operare nelle peggiori situazioni che si potrebbero verificare.

Per far ciò è necessario che l’organizzazione effettui un’Analisi di Impatto del Business (BIA) il cui scopo è quello di determinare e valutare i potenziali effetti sul business di un evento catastrofico:

  • Cosa potrebbe accadere ad un certo sito produttivo se, improvvisamente, fosse indisponibile;
  • Cosa potrebbe accadere se, un fornitore strategico dell’azienda, inaspettatamente e senza preavviso, non potesse consegnare dei materiali;
  • Cosa potrebbe accadere se, un cliente fondamentale per l’azienda fallisse o si rivolgesse ad un altro fornitore.

Sono tutti scenari che potenzialmente potrebbero verificarsi, ed in realtà si verificano quotidianamente in ambito aziendale e che, possiamo prevenire, gestire, e risolvere attraverso l’analisi di impatto il cui scopo principale è di evidenziare possibili vulnerabilità ed indirizzarne correttamente la risoluzione, al fine di limitare impatti o probabilità di incidenti critici.

A questo punto per affrontare il problema e cercare la giusta soluzione è necessario valutare le possibili strategie da adottare per una corretta continuità operativa dell’azienda, in primis, è necessario mappare i seguenti processi critici:

  • Clienti e partner;
  • Servizi e prodotti;
  • Le catene di logistica;
  • Le catene di fornitura e servizi;
  • Le risorse umane per la continuità del business;
  • Le risorse economiche e finanziarie necessarie per la Business Continuity;
  • Le risorse IT e di telecomunicazione fondamentali;
  • Le infrastrutture fisiche fondamentali e le necessità energetiche necessarie;
  • I rischi di compliance e legali che possano porre l’azienda in situazioni di difficoltà.

 

Inoltre, un Piano di Continuità Operativa deve necessariamente includere i seguenti punti:

  • Scopo ed obiettivi (quali clienti e business salvaguardare);
  • Ruoli e responsabilità (chi fa cosa/di prende le decisioni);
  • Azioni e priorità delle stesse (compresa l’inziale salvaguardia delle risorse critiche);
  • Informazioni necessarie e flussi nel tempo;
  • Necessità di risorse (economiche, di personale);
  • Attività di reporting (verso i clienti, all’interno dell’azienda verso altri stakeholder);
  • Programmare il ritorno alla normalità.

Una volta predisposto un piano di continuità operativa non possiamo depositarlo in un cassetto e tirarlo fuori quando si verifica un evento catastrofico. Un Business Continuity Plan per essere efficace va testato in continuazione e ne vanno valutati i possibili miglioramenti.

È necessario provare i Piani di Continuità Operativa in situazioni di normalità al fine di verificarne il loro regolare funzionamento.

 

Altro punto nevralgico è la formazione del personale.

Coloro che devono porre in essere le azioni di recovery devono essere adeguatamente formati e conoscere le azioni da intraprendere nel caso in cui si verifichi un evento imprevisto, in modo che, se qualcosa non funziona durante le prove può essere immediatamente gestito, valutato, implementato e/o corretto.
Un ruolo chiave nella redazione di un Piano di Continuità Operativa va assegnato al personale critico. Una situazione di crisi, come un’epidemia, uno sciopero, o altri impedimenti, possono portare ad una indisponibilità improvvisa di risorse umane all’interno dell’azienda, con possibili risvolti sulla produzione.

Di conseguenza, vanno individuati i processi critici e gestiti i potenziali rischi attraverso:

  • L’identificazione dei possibili sostituti;
  • La definizione di piani di sviluppo e le opportune deleghe di funzione;
  • La formazione, in maniera adeguata, del personale individuato come potenziale sostituto della risorsa indisponibile;
  • Fornire a coloro che rivestono ruoli chiave tutti gli strumenti per lo smart working.

 

Ed ancora:

  • Concordare con agenzie di ricerca di personale l’attivazione veloce di personale;
  • Assicurarsi che le persone abbiano una chiara consapevolezza dei propri ruoli e responsabilità in caso di emergenze;
  • Aggiornare le politiche di gestione del personale in caso di emergenza per gestione assenze, assenteismo, malattie, viaggi, chiusure delle strutture aziendali e richiamo del personale da zone di emergenza;
  • Consentire il lavoro remoto (aggiornare i contratti con i dipendenti) e valutare possibili siti alternativi;
  • Definire dei canali di comunicazione con i dipendenti per fornire e ricevere informazioni in caso di emergenza;
  • Valutare restrizioni ai viaggi;
  • Preparare e validare i contatti dei dipendenti da utilizzare in caso di necessità di informazioni massive, utilizzando i canali adeguati (SMS, mail, telefono, call, apps, ecc.)
  • Predisporre sistemi di videoconferenza e di accesso in remoto ai sistemi (industry 4.0)
  • Prepararsi al rientro alla situazione di normalità, approfittando di quanto fatto per consolidare gli strumenti applicati.

 

Un altro aspetto da tenere in debita considerazione è l’interruzione delle catene logistiche; blocchi di confini, scioperi, interruzione di vie di comunicazione possono mettere seriamente a rischio le catene logistiche.
Un’analisi di impatto del business deve assolutamente valutare quali siano le catene di logistica fondamentali per la continuità aziendale, tenendo conto non solo del trasporto ma, anche di magazzini primari o secondari, attraverso una gestione dei rischi e delle opportunità finalizzata a:

  • Identificare fornitori di logistica alternativi seppur più costosi;
  • Modificare i piani di produzione per gestire logistiche modificate;
  • Valutare correttamente i buffer di stock nei magazzini, soprattutto se secondari;
  • Controllare costantemente situazioni critiche per agire con la massima velocità possibile;
  • Valutare l’attivazione di spedizionieri specializzati;
  • Limitare la concentrazione geografica dei magazzini in un unico punto di crisi, attraverso opportune analisi.

 

A questo punto bisogna porre in essere tutte le possibili azioni per attivare un Piano di Continuità Aziendale (BCP):

  • Attivare i fornitori alternativi (formalizzare comunicazione e modalità di attivazione);
  • Ingaggiare i partner per attivare eventuali magazzini secondari all’interno dei mercati target per aumentare gli stock vicino ai punti di consegna;
  • Allertare i partner di logistica per impegnare materiali per i clienti critici evitando dispersione di clienti strategici;
  • Aumentare il buffer degli stock in caso di preallerta di possibili crisi;
  • Considerare la disponibilità di denaro “cash” in caso di attivazione di fornitori generici;
  • In caso di riduzione delle mobilità, concentrarsi sulle consegne a clienti critici;
  • Verificare preventivamente con il cliente se differenti modalità logistiche possano comportare problemi;
  • Valutare sempre in caso di avvisaglie di possibili crisi, se possano essere attivate restrizioni da autorità locali o nazionali, attraverso verifiche costanti dei media o contatti con clienti o partner locali;
  • Valutare, con i fornitori, percorsi alternativi delle merci.

 

Secondo alcuni autori, la gestione della supply chain (catena di fornitura) ha le sue radici nella logistica e danno di quest’ultima la seguente definizione:

  • la gestione della logistica è quella parte della gestione della supply chain che pianifica, implementa, e controlla l’efficiente ed efficace flusso ed immagazzinamento di merci, servizi, e connesse informazioni tra il punto di origine e il punto di consumo ai fini di soddisfare i requisiti dei clienti.

Un elenco esemplificativo di attività connesse alla logistica potrebbe essere:

  • Traffico e trasporti;
  • Immagazzinamento;
  • Packaging industriale;
  • Controllo dell’inventario;
  • Gestione degli ordini;
  • Livelli di servizio alla clientela;
  • Previsioni della domanda;
  • Approvvigionamento;
  • Distribuzione;
  • Localizzazione dell’impianto e del magazzino.

Esiste poi un’altra definizione della supply chain che forse rende meglio l’idea di cosa essa sia ed è la definizione fornita dallo standard ISO 28000:

  • Insieme correlato di risorse e processi che inizia con la fornitura di materia prima e si estende sino alla consegna dei prodotti e servizi all’utilizzatore finale attraverso sistemi di trasporto.

 

Inoltre, blocchi tecnologici, eventi naturali, ecc. possono limitare in maniera importante la capacità produttiva, mettendo a rischio i propri clienti.
In queste ipotesi l’Analisi di Impatto sul Business (BIA) consiste in:

  • Identificati i clienti, i prodotti e servizi critici, quali sono le risorse di impianti e macchine fondamentali per il funzionamento della produzione o le attrezzature di servizio ritenute indispensabili?
  • E le altre risorse come personale, finanziarie, ecc.?
  • Le necessità di materie prime?

 

Possibili azioni per il Business Continuity Plan:

– Definire priorità nella produzione di prodotti e fornitura di servizi;

– Definire dei buffer di stock di prodotti finiti, materie prime, componenti critici quando si prevedono situazioni di emergenza;

– Definire piani di spostamento di lavoratori critici e macchinari da e per altri siti;

– Utilizzare siti di produzione diversi;

– Pianificare l’attivazione di fornitori di backup;

– Assicurare la presenza di risorse economiche di fruizione immediata in caso di emergenza;

– Valutare l’assegnazione di deleghe diverse ai dipendenti nel breve termine;

– Verificare l’attivazione di modalità di lavoro e di controllo della produzione in remoto;

– Identificare le necessità minime di risorse umane, e l’attivazione degli opportuni backup;

– Predefinire istruzioni di gestione della comunicazione con i media;

– Predefinire le parti interessate rilevanti in caso di emergenza e le istruzioni di comunicazione in emergenza;

– Ridefinire le logiche produttive (inclusi turni) in caso di emergenza.

Una volta che l’emergenza si sia conclusa, è fondamentale prevedere in maniera corretta i passi da seguire per il ritorno alla situazione di normalità.

Tale ritorno è tutt’altro che banale, ma potrebbe prevedere sia un ripristino dello stato precedente all’emergenza, sia il consolidamento di uno stato di normalità completamente nuovo.
Non è sempre possibile prevedere in anticipo quale possano essere i passi da seguire, ma è fondamentale che, al momento dell’avvicinarsi della fine della crisi, si facciano le opportune valutazioni sia per definire i passi successivi, sia per consolidare eventuali mitigazioni o azioni messe in atto nelle fasi di emergenza.

Da ultimo è bene ricordare che, la Business Continuity  è parte integrante della più ampia compliance aziendale a cui ogni azienda deve dovrebbe aderire.

2/2

 

Intervento di Cipriano FICEDOLO – Avvocato Penalista d’Impresa

LEGGI QUI l’articolo precedente  1/2,   Il Business Continuity Plan: la soluzione per evitare il blocco delle attività?

 



  • Commento Utente

    Claudio Maria Perfetto

    Caro Avv. Cipriano Ficedolo,
    lei dice bene, “a cui ogni azienda dovrebbe aderire”. Il condizionale è d’obbligo.
    I Piani di Continuità Operativa delle aziende sono formalmente sulla carta, passano al vaglio dell’Audit interno e di quello esterno. Se poi funzioneranno in caso di reale necessità, la risposta la potrà fornire solo la verifica sul campo quando si verificherà l’evento disastroso.
    Molto più interessante dei vari BCP fatti dalle aziende ho trovato invece il Piano di Continuità Operativa dell’Azienda Italia. Sono i vari DPCM. Quello messo al punto dalla Presidenza del Consiglio dei Ministri è a tutti gli effetti un BCP (o Piano di Emergenza come lo si voglia chiamare senza però avere fatto prima la BIA) e redatto strada facendo, perché, caro avvocato, quando la strada non c’è la si costruisce strada facendo.
    Da ex Business Continuity Manager devo riconoscere che fare un Piano di Continuità Operativa in piena emergenza è più di un’arte. È Arte per Arte.

    • Commento Utente

      Cipriano Ficedolo

      Innanzi tutto la ringrazio per il commento che ha ritenuto di postare al mio articolo.
      Anche se nel merito concordo con Lei quando dice che la maggior parte dei BCP sono operativi solo sulla carta devo precisare però che, questo avviene perché gli imprenditori vedono la compliance in generale, e quindi non solo la BC, come un
      mero adempimento burocratico da espletare, e non come un’opportunità per l’azienda. Lo stesso discorso potrebbe essere fatto in ambito di sicurezza sui luoghi di lavoro o modelli organizzativi ex D.Lgs. 231/2001.
      Fino a quando queste attività verranno percepite come obblighi e non condivise ed adottate in maniera proattiva sono d’accordo con Lei che rimarranno solo sulla carta.
      Discorso a parte merita il c.d. Piano di Continuità Operativa dell’Azienda Italia, mi dispiace dissentire da Lei ma, davvero l’emergenza COVID-19 ha mostrato tutte le falle del sistema Italia.
      Nell’ordine, l’ultimo aggiornamento del piano pandemico italiano risale al 2006. E già questo la dice lunga sulla capacità del nostro Governo in tema di continuità operativa. Per mutuare una Sua affermazione direi che il Governo non ha tracciato una nuova strada ma, bensì ha perso proprio l’orientamento navigando a vista, ed i risultati sono sotto gli occhi di tutti. I diversi DPCM che si sono susseguiti al ritmo di uno ogni due giorni non hanno fatto altro che ingenerare confusione e smarrimento tra le persone e le imprese in un momento in cui ci sarebbe stato bisogno di tenere la barra dritta ed infondere sicurezza alla popolazione. Se vuole il mio parere in una situazione emergenziale quale è quella attuale bisognava prendere esempio dalla Germania dove la Cancelliera in tre mesi è andata in TV per tre volte ed al posto di parlare ha fatto i fatti concreti ed i risultati sono sotto gli occhi di tutti.

  • Commento Utente

    Gianni Carbone

    Egregio Avv. Ficedolo,
    trovo il suo articolo estremamente illuminante circa la difficoltà degli imprenditori di sviluppare un BCP e un PCO, perché pensano che mai un evento critico potrà colpirli o lo ritengono molto remoto. Tuttavia predisporre un BCP e un PCO costantemente aggiornato e testarlo, richiede sforzi organizzativi ed economici importanti. Considerando il tessuto economico italiano fatto di PMI, seppur la teoria potrebbe essere compresa, é l’applicazione pratica a risultare difficile. Prenda il settore turistico alberghiero fatto prevalentemente da imprese famigliari; come possono mettere in pratica un PCO PCO quando spesso sono gli stessi componenti della famiglia ad occuparsi della gestione? Come potrebbe pensare a figure chiave da inserire nella loro organizzazione nel caso di eventi catastrofici? Sicuramente un ambito che bisognerà esplorare.

  • Commento Utente

    Cipriano Ficedolo

    Il Suo commento è molto interessante poiché, evidenzia una situazione quale è quella delle PMI che rappresentano la spina dorsale dell’imprenditoria del nostro Paese.
    Entrando nel merito di quanto da Lei sottolineato Le posso dire che, mutuando gli insegnamenti del business continuity, ad ogni problema c’è soluzione, basta solo metterla in pratica.
    Le imprese alberghiere che Lei cita, seppur a conduzione familiare, si sono dovute adeguare nel corso degli anni ai precetti normativi in ambito di sicurezza sui luoghi di lavoro con l’inserimento nel loro organico di consulenti esterni, ed oggi più che mai alle mutate esigenze in tema di COVID-19, con notevoli investimenti economici dettati dalle recenti normative.
    Tutte queste attività gli imprenditori le hanno dovute applicare poiché, sono obbligatorie per legge, per cui si sono dovuti adeguare per forza.
    La business continuity, allo stato, come i modelli organizzativi ed in generale la compliance (ovvero parte di essa) non sono imposti dalla legge ma, sono una libera scelta degli imprenditori, la bussola è la loro lungimiranza.
    Se queste materie sono considerate un costo e non una opportunità allora è inutile proprio approcciarsi ad esse.

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *