Nel processo di definizione di un BCP la priorità è procedere a una valutazione («assessment») dei rischi. Per riuscirci occorre individuare le attività più strategiche e le loro vulnerabilità e valutare le conseguenze in caso di indisponibilità. Una matrice dei rischi («risk heat map») serve proprio a questo.
Esempio di matrice dei rischi
A. Probabilità e impatto
Nella matrice dei rischi sono fondamentali due parametri: la probabilità che il rischio si verifichi e l’impatto di questo rischio per l’impresa. È importante classificare la probabilità da ridotta a elevata con uno o più livelli intermedi:
- alto: eventi che possono verificarsi più volte all’anno (ad es. 3–5 volte);
- medio-alto: probabilità di occorrenza di 1–3 volte all’anno;
- medio-basso: eventi che possono prodursi una volta ogni tre anni;
- basso: rischi che potrebbero verificarsi una volta ogni 5–10 anni.
Questa classificazione aiuta a stabilire un ordine di priorità per le azioni. Tutto ciò che supera il livello «medio-alto» è considerato insostenibile e richiede una risposta al rischio. Occorre adottare provvedimenti per cautelarsi. Si tratta di un problema che può essere affrontato con i superiori o con la direzione.
Per i livelli di rischio elevato è necessario definire degli scenari e quindi valutare l’impatto per ciascuno di essi. Gli ordini di grandezza di queste stime possono variare a seconda dell’impresa.
B. Predisposizione delle misure
Dopo aver classificato i rischi e averne stimato l’impatto nei diversi scenari, la direzione dovrebbe adottare un piano di prevenzione e reazione. La direzione deve essere informata sui rischi e sulle possibili soluzioni per ridurli. Lo scopo è duplice: diminuire le probabilità che il rischio si concretizzi e limitare i danni se l’evento dovesse verificarsi comunque.
Si ottengono così due matrici: una attuale e una residua. Dopo aver eseguito tutti i controlli e definito le azioni, i rischi risulteranno ridotti. Su questa base di discussione con il management, i costi dei piani previsti devono essere confrontati con i benefici finanziari (ritorno sull’investimento). Se l’impresa assegna risorse economiche per queste misure, quali saranno le conseguenze per l’impresa stessa? Che cosa si proteggerà?
C. PRA e PGC
Nell’ambito di un BCP risultano particolarmente utili due strumenti: il piano di ripristino dell’attività aziendale (PRA) e il piano di gestione delle crisi (PGC). Disporre di questi due elementi può rivelarsi strategico per riuscire a superare un periodo difficile.
Il PRA è la versione specifica del BCP per il servizio informatico di un’organizzazione. Comprende diversi punti principali:
- piano d’azione per i team IT;
- sito secondario;
- materiale;
- coordinamento;
- rete, infrastruttura, postazioni di lavoro a seconda delle esigenze operative;
- piano di ripristino di emergenza («disaster recovery plan», DRP);
- passaggio al sito secondario;
- riavvio (cronologia) secondo lo scenario stabilito.
Il PGC definisce gli obiettivi, i ruoli e i compiti di ognuno e stabilisce una strategia di comunicazione. Lo scopo è di prendere in considerazione tutti gli scenari previsti dal BCP e fornire risposte operative per ridurre l’impatto sul piano umano, professionale, operativo, finanziario, legale e organizzativo. In termini di organizzazione, il PGC definisce e identifica le parti coinvolte all’interno e all’esterno. Infine, per quanto riguarda la comunicazione di crisi, il PGC consente di sviluppare e controllare la presentazione della crisi all’interno e all’esterno dell’impresa, organizzare un’unità di comunicazione e predisporre un piano in questo ambito.