L’emergenza derivante dalla diffusione del virus “Covid-19” ha messo alla prova la resilienza non soltanto del sistema sanitario nazionale, ma del tessuto produttivo e imprenditoriale. Gestire la continuità operativa significa essere capaci di fronteggiare qualsiasi scenario avente il potenziale di interrompere l’erogazione di prodotti e servizi, garantendo livelli adeguati di performance capaci di sostenere il business aziendale e, al contempo, soddisfacenti livelli di sicurezza.
Come un’azienda può fronteggiare un fenomeno epidemiologico: le norme ISO
Un sistema di business continuity robusto può senza ombra di dubbio contribuire a mitigare i danni, riuscendo al contempo a tutelare il primario diritto all’integrità psicofisica delle persone chiamate ad operare in un contesto difficoltoso.
Le norme ISO 22301:2019 (Business continuity management system) e ISO 31000:2018 (Risk management — Principles and guidelines) costituiscono capisaldi fondamentali per realizzare un sistema di gestione della continuità operativa aziendale, migliorandone la resilienza nei confronti di eventi di natura disastrosa, quale può essere una crisi pandemica come quella che stiamo affrontando in questi giorni e i cui effetti perdureranno probabilmente per diversi mesi.
Un’efficace valutazione del rischio e la corretta definizione degli scenari di crisi sono passaggi imprescindibili per permettere all’azienda di misurare la portata delle proprie azioni preventive e reattive.
Sugli scenari di crisi e applicazioni della continuità operativa si veda l’articolo. In questo si evidenzia l’importanza del processo che sostiene la resilienza aziendale e che si compone di passaggi fortemente conseguenti l’uno all’altro:
Business Impact Analysis (BIA)
La BIA è la principale metodologia impiegata per determinare l’impatto e le ricadute sul business causate da eventi che causano l’interruzione della produzione di beni e/o dell’erogazione di servizi.
Perché sia efficace, la BIA deve prendere in esame ciascun servizio / processo lavorativo. Per esso dovrà quindi determinare:
- Dipendenze da altri processi, che siano dipendenze in entrata o in uscita (es. ciclo di approvvigionamento, amministrazione e contabilità, magazzino, vendite…);
- Definizione degli impatti strategici, finanziari, operativi, legali e di compliance, reputazionali. Per ciascuno di questi impatti definire una scala qualitativa o quantitativa (o, come spesso accade, quali-quantitativa, non essendo sempre così immediato riportate il tutto ad una perdita economicamente misurabile). Gli impatti potrebbero essere definiti su cinque livelli: trascurabili (1), moderati (2), problematici (3), critici (4), catastrofici (5);
- Definizione della soglia di accettazione del rischio, conosciuta anche come risk appetite. Questa soglia indica la propensione al rischio dell’azienda. Da tale valutazione, imprescindibile, si potranno di seguito desumere i valori fondanti le strategie di business continuity;
- Definizione dei fornitori critici. Questo passaggio è fondamentale perché la supply-chain è molto spesso l’anello debole della catena di business continuity. Per sopperire a tale vulnerabilità sarebbe opportuno diversificare le fonti di fornitura critica e chiedere a tali fornitori adeguate garanzie di resilienza e continuità operativa. Un fornitore non resiliente rende non resiliente l’intero processo aziendale, se tale fornitore riveste un ruolo centrale per esso;
- Definizione dei clienti impattati dall’eventuale disservizio. Oltre ai clienti, consiglio di mappare tutte le parti interessate, compreso eventuali fornitori, partner ed altri soggetti che verrebbero coinvolti da tale evento;
- I valori di RTO (Recovery Time Objective), ossia il tempo di indisponibilità del servizio che possiamo considerare accettabile. I valori di RPO (Recovery Point Objective), ossia la massima perdita accettabile di dati (es. data dell’ultimo backup). I valori di MBCO (Minimum Business Continuity Objective), che rappresenta l’indice prestazionale minimo di ripartenza del servizio, espresso in percentuale. I valori di MAO (Maximum Acceptable Outage), che rappresenta il termine ultimo entro cui ripristinare il servizio se non lo si vuole perdere del tutto.
- Infine, la BIA deve contemplare gli elementi strutturali che sostengono quel processo lavorativo: le risorse strumentali, ancor più importante, quelle umane. Di tali risorse bisognerà stabilire il contingente ordinario e quello minimo indispensabile per poter continuare ad erogare quel servizio in una situazione di crisi e coerentemente all’obiettivo di MBCO che ci siamo prefissati.
Identificazione dei pericoli e valutazione del rischio
Si tratta di un processo assai delicato. Un’errata valutazione (in eccesso o in difetto) può infatti esporre l’azienda a pericoli derivanti dall’inconsapevolezza o dalla mancata adozione di misure adeguate ovvero, nel caso di valutazioni per eccesso, a investimenti sproporzionati rispetto al rischio reale.
Nell’identificare i pericoli bisognerebbe ripercorrere a ritroso la catena che sostiene le risorse fondamentali di un processo produttivo:
- risorse umane, operative e di governo
- competenza, consapevolezza, conoscenza
- risorse tecnologiche e infrastrutturali
- risorse finanziarie
Possiamo pertanto affermare che il rischio pandemico è a tutti gli effetti strutturale e trasversale, molto più difficile da gestire rispetto a un evento naturale o doloso quale potrebbe essere l’attacco informatico o l’incendio.
Alla probabilità di accadimento di un evento pandemico (la quale non potrà prescindere da un’adeguata valutazione del rischio biologico così valutato anche ai sensi del d.lgs. 81/2008 in materia di salute e sicurezza sui luoghi di lavoro), bisognerà rapportare la variabile di impatto sul servizio determinata dalla BIA.
Se il rischio è infatti determinato dalla relazione di probabilità e magnitudo del danno (R = P x M), possiamo determinare nella variabile M (magnitudo), l’impatto totale determinato dalla risultanza della BIA su quel determinato servizio.
Soltanto in questo modo il processo di risk assessment potrà definirsi ben consolidato e le sue risultanze essere utili ai fini di una pianificazione strategica.
Quali strategie per affrontare gli scenari di crisi
Definire un’appropriata strategia di business continuity vuol dire dare corpo e sostanza alla valutazione del rischio sopra menzionata.
Nel definire uno o più scenari di crisi, infatti, non è detto che un’azienda possa sostenere la totalità dei processi: alcuni andranno mantenuti, altri ridefiniti, altri ancora – meno importanti – potrebbero anche venir abbandonati così da concentrare le poche risorse su quelli maggiormente strategici.
In particolare, nell’affrontare la pandemia che stiamo vivendo, dobbiamo considerare che ci troviamo ad affrontare un disastro che potrebbe contemplare tre principali scenari:
- Indisponibilità delle persone
L’ipotesi di tale scenario si configura dal momento che la pandemia colpisce in primo luogo le persone, portando necessariamente ad una drastica riduzione della forza lavoro, che sia per ragioni preventive (isolamento), che sia per ragioni causa-effetto (malattia e indisposizione).
- Indisponibilità dei fornitori
L’ipotesi di tale scenario si configura per una duplice ragione: in primis per la riduzione della forza lavoro propria del fornitore, in secondo luogo per il sovraccarico di richieste che il fornitore potrebbe avere a causa del fenomeno. Si pensi, allo stato attuale, alla condizione di sovraccarico propria dei fornitori di DPI (dispositivi di protezione individuale).
- Indisponibilità dei locali
Si pensi all’eventualità che un locale venga messo in quarantena a seguito di un contagio e che in tale locale sia impossibile accedervi per ordine dell’autorità o anche solo per un elevato livello di rischio.
In realtà, a ben guardare, questo evento potrebbe contemplare la totalità degli scenari di crisi, cui ho fatto ampia menzione in un precedente approfondimento.
Per questa ragione, le strategie e i piani che dovranno guidare l’azione di gestione della crisi dovranno prevedere misure preventive e reattive quali:
- Definizione dei processi critici e del contingente minimo di persone che possa sostenerli, avendo cura di differenziare tra i processi che richiedono necessariamente presenza on site presso i siti aziendali e quelli che invece possono essere governati da remoto, presso altre sedi o presso il domicilio del lavoratore. Il lavoro agile può essere altresì visto come forma di tutela dei lavoratori maggiormente critici: metterli nelle condizioni di poter operare da casa significa infatti dare maggiori garanzie di continuità del loro operato;
- Definizione del fabbisogno tecnologico atto a supportare l’operatività da remoto: dispositivi di connettività, VPN e APN, desktop remoto, notebook, strumenti di collaborazione remota e di videoconferenza, spazi di lavoro e share condivisi, webmail, smartphone;
- Dispositivi di protezione individuale per il personale comandato ad operare on site in situazioni di maggior esposizione al pericolo, definizione di “contingency room” con misure di sicurezza potenziate, definizione di apposita turnazione per ridurre il tempo di esposizione del singolo lavoratore;
- Definizione dei fornitori critici, al fine di garantire continuità della supply chain: la pandemia non costituisce infatti un solo scenario di “indisponibilità delle persone”, bensì anche uno scenario di “indisponibilità dei fornitori”.
- Definizione di un adeguato protocollo di comunicazione, sia interna che esterna all’azienda. La comunicazione, specie in un momento di crisi, è un fattore fondamentale. Essa dovrà essere assertiva, realistica, senza sminuire il pericolo evitando al contempo di alimentare un panico già presente. È fondamentale che i lavoratori capiscano che l’azienda esiste e che fa di tutto per tutelarli, ed è fondamentale che si sentano parte integrante del sistema-azienda, così da collaborare nell’attuazione di quelle disposizioni necessarie, anche se talvolta esse richiedono sacrifici da parte di tutti. A tal proposito, bisogna attuare politiche di utilizzo degli strumenti di comunicazione: mail, intranet, sito istituzionale, social.
- Definizione di un piano specifico che contempli livelli di allerta differenti (normalmente sono cinque), condizioni per attivare ciascun livello e descrizione delle azioni da attuare per ciascun livello, così da ridurre i tempi di reazione. All’interno del piano dovrà essere prevista l’istituzione di un comitato di crisi con compiti e poteri ben definiti e accentrati. All’interno del comitato dovrà essere prevista una adeguata rappresentanza del management aziendale direttamente coinvolto nella gestione dell’emergenza. Spetta a questo comitato dirigere e governare la crisi in ciascuna della sua fase, nonché rapportarsi con le parti interessate interne ed esterne ed attuare tutte le decisioni necessarie.
Il decalogo per verificare la resilienza aziendale
Infine, ecco dieci domande che l’azienda deve porsi per verificare la propria resilienza di fronte alla pandemia.
- Ho definito livelli di criticità dei servizi / prodotti erogati, identificando quelli maggiormente critici e vitali per il business aziendale?
- Ho valutato il rischio pandemico tenendo conto dell’impatto derivante dall’interruzione dei servizi maggiormente critici?
- Ho definito il contingente minimo che deve operare per mantenere i servizi maggiormente critici? Ho suddiviso questo contingente tra coloro che possono operare da remoto e quelli che possono operare on site? Ho distinti tre diversi livelli di contingente richiesto (numero ordinario, numero ridotto, numero minimo) per rispondere ai livelli di allerta crescente?
- Ho definito i fornitori critici e ho stabilito politiche di ridondanza del fornitore?
- Ho verificato di possedere adeguate risorse strumentali per sostenere l’operatività remota?
- Ho messo in sicurezza le persone che devono operare on site attuando tutte le misure di contenimento (mascherine, guanti, occhiali, tute, camici, igienizzanti, …)?
- Ho istituito il comitato di crisi stabilendo ruoli e responsabilità al suo interno?
- Ho coinvolto Rls, medico competente e Rsu nel definire le politiche di gestione della crisi?
- Ho stabilito e attuato adeguati protocolli di comunicazione interna ed esterna?
- Rivaluto il rischio costantemente al mutare delle condizioni di questo fenomeno?
Questo contributo è frutto dell’esperienza dell’autore come business continuity manager del CSI Piemonte, che dall’inizio della pandemia ha continuato a supportare la pubblica amministrazione e l’unità di crisi del Piemonte attuando strategie e piani così da coniugare sicurezza dei lavoratori e business continuity. Ad oggi, più del 90% dei dipendenti continua a erogare la propria prestazione da remoto, garantendo al contempo un rafforzamento dei presidi maggiormente critici.