RISK MANAGEMENT - BUSINESS CONTINUITY

 

Nel parlare di Business Continuity e di ISO 22301 in azienda spesso i miei interlocutori (Imprenditori e Manager) mi rispondono, che l'azienda è già sicura perché hanno implementato una robusta gestione dei rischi.

È importante tenere presente che Risk Management e Business Continuity hanno punti di contatto, ma obiettivi diversi.

 

Il Risk Management è un processo sistemico atto a comprendere, valutare e mitigare i rischi a cui è soggetta un'Organizzazione (agisce su probabilità e gravità dell'evento su rischi conosciuti).

La Business Continuity è la capacità di un'Organizzazione di continuare ad erogare il servizio ad un livello accettabile e predefinito, in seguito ad una interruzione, qualsiasi sia l'evento scatenante (agisce sugli aspetti organizzativi per rendere l'Organizzazione Resiliente).

 

E . . . allora cosa implementare in azienda, è sufficiente la gestione del rischio?

Innanzitutto è importante capire l'obiettivo per Organizzazione: si tratta di ridurre i rischi e operare sul rischio residuo o si tratta di assicurare la continuità del business (fornitura di prodotti/servizi) in caso di evento avverso (previsto e/o imprevisto).

  • Se l'obiettivo è ridurre e gestire i rischi (che è peraltro attività fondamentale prevista per legge su alcuni rischi, come ad esempio quelli soggetti a DVR) occorre analizzare i processi dell'Organizzazione attraverso le variabili "Probabilità, Gravità, grado di Vulnerabilità", attivando le opportune contromisure e gestendo al meglio il rischio residuo - Ma ATTENZIONE: l'Organizzazione è resiliente sui rischi analizzati ma è e rimane fragile in caso di evento non prevedibile e quindi, la gestione del rischio da sola, non può assicurare la continuità del business.
  • Se l'obiettivo è "assicurare la continuità di fornitura di prodotto/servizi" il lavoro deve essere indirizzato a rendere Resiliente l'Organizzazione e i suoi Processi analizzando sia i rischi sia l'impatto dell'ipotetica interruzione sul business (Business Impact Analysis) per attuare adeguati piani di continuità e predisporre l'Organizzazione a gestire anche la crisi (Crisis Management) al verificarsi dell'evento.

In sintesi:

in una Organizzazione la gestione del rischio è fondamentale. Se l'obiettivo da perseguire è la continuità del business, il Risk Management da solo non è assolutamente sufficiente, quindi, il "Sistema di Gestione della Continuità Operativa" diventa indispensabile e addirittura prioritario.

 

 

 

RISK MANAGEMENT E OLTRE

 

Si è chiusa con oltre 14.000 visitatori l'edizione 2014 di Ambiente e Lavoro, manifestazione dedicata alla salute e sicurezza nei luoghi di lavoro.

 

In occasione dell'evento nello stand di SI&T è stato presentato in anteprima il modulo ERM (Enterprise Risk Management) a completamento della siute del software Vittoria RMS.

Il modulo consentirà di mappare, valutare, misurare, mantenere sotto controllo, in modo integrato, i rischi a cui è soggetta l'Organizzazione e sarà un valido strumento, a supporto della Direzione per  gestire al meglio i rischi aziendali.

Inoltre Vittoria RMS risulta essere un valido strumento di supporto per le aziende che intendono avvalersene in ottica dell'evoluzione delle norme ISO a partire dal 2015 per la Gestione dei Sistemi normati.

Sono in fase di definizione i calendari per la presentazione del prodotto nelle varie regioni.

Per ulteriori informazioni visitare sito www.si-t.it

 

 

COMPLIANCE

 

La compliance è l'insieme delle attività che vengono svolte per garantire il rispetto dei requisiti di Legge a cui l'Azienda deve attenersi per poter svolgere la propria attività.

  

IERI:   nel passato le poche Leggi e Norme a cui l’Azienda doveva attenersi giustificava l’approccio per singolo adempimento, adeguando attività, ruoli, procedure, a quanto richiesto.

Alle attività aziendali si aggiungeva un nuovo modello creato ad hoc, per rispondere alla singola normativa; i costi risultavano sostenibili.

 

OGGI: con il proliferare delle Leggi, Norme e adempimenti sono aumentati, di conseguenza, il numero dei modelli organizzativi aziendali (Qualità, Salute e Sicurezza, Ambiente, Modello Organizzativo conforme al D.Lgs. 231/01, Sicurezza dei Dati, . . .).

Ciò ha portato ad una difficoltà di mantenimento e aggiornamento dei modelli con alti costi per la loro gestione, evidenti inefficienze riduzione di produttività.

 

In queste condizioni spesso, l’Azienda, per ragioni di sopravvivenza e di mercato, si trova costretta a rinunciare ad essere in compliance, esponendosi così a Rischi e sanzioni molto gravi per la sua stessa sopravvivenza.

 

Risulta evidente che, per consentire all’Azienda di essere competitiva, in un mercato sempre più esigente, con Leggi e Norme sempre più restrittive sotto l’aspetto gestionale, occorre approcciarsi alla compliance in modo diverso.

 

Un diverso approccio sta nel principio di passare da adattare l’Azienda alla Legge, al predisporre un Sistema di Gestione, che vede l’Azienda come una interconnessione complessa di processi.

Alla necessità di adeguarsi ad una nuova Legge (o Norma/Regolamento) è sufficiente verificare su quali processi impatta (Risk Assessment), definire le vulnerabilità su ogni processo e, di conseguenza, stabilire le contromisure e monitoraggi.

Questo tipo di approccio consente anche di verificare il processo sotto l'aspetto di efficienza (fa emergere le inefficienze e gli sprechi).

Strumenti e le metodologie per applicazione sono già disponibili, l'investimento per l'implementazione si ripaga immediatamente, considerando i costi da sostenere per l'eventuale mancata compliance.

 

Inoltre, per l'implementazione del Sistema di Gestione della Compliance può essere utilizzata la norma ISO 19600 Linea Guida Gestione Compliance pubblicata a dicembre 2014.