Nel parlare di Business Continuity e di ISO 22301 in azienda spesso i miei interlocutori (Imprenditori e Manager) mi rispondono, che l'azienda è già sicura perché hanno implementato una robusta gestione dei rischi.

È importante tenere presente che Risk Management e Business Continuity hanno punti di contatto, ma obiettivi diversi.

Il Risk Management è un processo sistemico atto a comprendere, valutare e mitigare i rischi a cui è soggetta un'Organizzazione (agisce su probabilità e gravità dell'evento su rischi conosciuti).

La Business Continuity è la capacità di un'Organizzazione di continuare ad erogare il servizio ad un livello accettabile e predefinito, in seguito ad una interruzione, qualsiasi sia l'evento scatenante (agisce sugli aspetti organizzativi per rendere l'Organizzazione Resiliente).

E . . . allora cosa implementare in azienda, è sufficiente la gestione del rischio?

Innanzitutto è importante capire l'obiettivo per Organizzazione: si tratta di ridurre i rischi e operare sul rischio residuo o si tratta di assicurare la continuità del business (fornitura di prodotti/servizi) in caso di evento avverso (previsto e/o imprevisto).

• Se l'obiettivo è ridurre e gestire i rischi (che è peraltro attività fondamentale prevista per legge su alcuni rischi, come ad esempio quelli soggetti a DVR) occorre analizzare i processi dell'Organizzazione attraverso le variabili "Probabilità, Gravità, grado di Vulnerabilità", attivando le opportune contromisure e gestendo al meglio il rischio residuo - Ma ATTENZIONE: l'Organizzazione è resiliente sui rischi analizzati ma è e rimane fragile in caso di evento non prevedibile e quindi, la gestione del rischio da sola, non può assicurare la continuità del business.
• Se l'obiettivo è "assicurare la continuità di fornitura di prodotto/servizi" il lavoro deve essere indirizzato a rendere Resiliente l'Organizzazione e i suoi Processi analizzando sia i rischi sia l'impatto dell'ipotetica interruzione sul business (Business Impact Analysis) per attuare adeguati piani di continuità e predisporre l'Organizzazione a gestire anche la crisi (Crisis Management) al verificarsi dell'evento.

In sintesi:

in una Organizzazione la gestione del rischio è fondamentale. Se l'obiettivo da perseguire è la continuità del business, il Risk Management da solo non è assolutamente sufficiente, quindi, il "Sistema di Gestione della Continuità Operativa" diventa indispensabile e addirittura prioritario.