〈   Continuità operativa
Fattori di successo del BCP

Chapter 2.1

Definire una matrice dei rischi («risk heat map»)


Nel processo di definizione di un BCP la priorità è procedere a una valutazione («assessment») dei rischi. Per riuscirci occorre individuare le attività più strategiche e le loro vulnerabilità e valutare le conseguenze in caso di indisponibilità. Una matrice dei rischi («risk heat map») serve proprio a questo.

Esempio di matrice dei rischi

A. Probabilità e impatto

Nella matrice dei rischi sono fondamentali due parametri: la probabilità che il rischio si verifichi e l’impatto di questo rischio per l’impresa. È importante classificare la probabilità da ridotta a elevata con uno o più livelli intermedi:

  • alto: eventi che possono verificarsi più volte all’anno (ad es. 3–5 volte);
  • medio-alto: probabilità di occorrenza di 1–3 volte all’anno;
  • medio-basso: eventi che possono prodursi una volta ogni tre anni;
  • basso: rischi che potrebbero verificarsi una volta ogni 5–10 anni.

Questa classificazione aiuta a stabilire un ordine di priorità per le azioni. Tutto ciò che supera il livello «medio-alto» è considerato insostenibile e richiede una risposta al rischio. Occorre adottare provvedimenti per cautelarsi. Si tratta di un problema che può essere affrontato con i superiori o con la direzione.

Per i livelli di rischio elevato è necessario definire degli scenari e quindi valutare l’impatto per ciascuno di essi. Gli ordini di grandezza di queste stime possono variare a seconda dell’impresa.

B. Predisposizione delle misure

Dopo aver classificato i rischi e averne stimato l’impatto nei diversi scenari, la direzione dovrebbe adottare un piano di prevenzione e reazione. La direzione deve essere informata sui rischi e sulle possibili soluzioni per ridurli. Lo scopo è duplice: diminuire le probabilità che il rischio si concretizzi e limitare i danni se l’evento dovesse verificarsi comunque.

Si ottengono così due matrici: una attuale e una residua. Dopo aver eseguito tutti i controlli e definito le azioni, i rischi risulteranno ridotti. Su questa base di discussione con il management, i costi dei piani previsti devono essere confrontati con i benefici finanziari (ritorno sull’investimento). Se l’impresa assegna risorse economiche per queste misure, quali saranno le conseguenze per l’impresa stessa? Che cosa si proteggerà?

C. PRA e PGC

Nell’ambito di un BCP risultano particolarmente utili due strumenti: il piano di ripristino dell’attività aziendale (PRA) e il piano di gestione delle crisi (PGC). Disporre di questi due elementi può rivelarsi strategico per riuscire a superare un periodo difficile.

Il PRA è la versione specifica del BCP per il servizio informatico di un’organizzazione. Comprende diversi punti principali:

  • piano d’azione per i team IT;
  • sito secondario;
  • materiale;
  • coordinamento;
  • rete, infrastruttura, postazioni di lavoro a seconda delle esigenze operative;
  • piano di ripristino di emergenza («disaster recovery plan», DRP);
  • passaggio al sito secondario;
  • riavvio (cronologia) secondo lo scenario stabilito.

Il PGC definisce gli obiettivi, i ruoli e i compiti di ognuno e stabilisce una strategia di comunicazione. Lo scopo è di prendere in considerazione tutti gli scenari previsti dal BCP e fornire risposte operative per ridurre l’impatto sul piano umano, professionale, operativo, finanziario, legale e organizzativo. In termini di organizzazione, il PGC definisce e identifica le parti coinvolte all’interno e all’esterno. Infine, per quanto riguarda la comunicazione di crisi, il PGC consente di sviluppare e controllare la presentazione della crisi all’interno e all’esterno dell’impresa, organizzare un’unità di comunicazione e predisporre un piano in questo ambito.

2023 © Trust Valley. Tutti i diritti riservati.