Come sopravvivere in contesti incerti ed erratici. Un cammino verso la resilienza operativa e organizzativa quale calibrata sintesi dei Principi di Risk Management, Business Continuity e Cyber Security
Scenari presenti e futuri
Il 2020 è stato un annus horribilis ed anche i primi sei mesi del 2021 continuano ad essere complicati e non fanno che convertirsi in un campanello d’allarme per tutti noi. Le organizzazioni dovranno sempre più garantire un grado di resilienza, ovvero la capacità di resistere a minacce o cambiamenti imprevedibili e dimostrare, di volta in volta, di essere sufficientemente forti e strutturate nell’affrontare le sfide che si paleseranno.
La resilienza è diventata la buzzworld del momento. Per garantirla sono necessari approcci e cambi di paradigma che le organizzazioni – di qualsiasi dimensione e settore – dovranno mettere in atto. Ovvero, in una trasposizione ardita, come nella preparazione di “pozione magica”, sarà necessario individuare gli ingredienti opportuni per sortire i risultati desiderati. Si tratta di attuare strategie per misurare e migliorare la propria resilienza in un mondo che sta attraversando un cambiamento sempre più rapido, imprevedibile e senza precedenti. Di fatto, gli eventi catastrofici, in futuro, saranno più frequenti, meno prevedibili e caratterizzati da uno sviluppo sempre più veloce e secondo modalità sempre più varie. Inoltre, la rivoluzione digitale e tecnologica, il cambiamento climatico e l’incertezza geopolitica sono destinati ad avere un impatto sempre più importante sulle organizzazioni che, di conseguenza, dovranno dimostrarsi quanto mai adattive, flessibili ed agili e dimostrare di essere in grado di garantire una consolidata resilienza operativa ed organizzativa, quale calibrata sintesi di implementazione dei principi di Business Continuity, Risk Management e Cyber security che presuppongono un approccio risk & resilience-based.
Sistemi di Gestione caratterizzati da una High Level Structure (HLS)
Nel 2012 ISO (International Standard Organization) ha stabilito che gli standard relativi ai sistemi di gestione – tra cui ISO 22301, ISO 31000 E ISO 27001 – devono avere una struttura comune, denominata HLS (High Level Structure) che si caratterizza per:
- terminologia, testo, definizioni, titoli e loro sequenza comuni
- importanza del concetto di rischio e resilienza
- paragrafi e contenuti comuni a tutti gli standard
Ne consegue che ci troveremo dinanzi a:
- Risk-based thinking approach, i.e. approccio basato sul rischio: l’analisi di rischi e delle opportunità è trasversale a tutti i requisiti di queste norme.
- Resilience-based thinking approach, e. approccio basato sulla resilienza: la Business Impact Analysis (BIA) sarà di supporto per l’individuazione dei processi “critici” per il business, analizzerà gli impatti derivanti dall’interruzione di tali processi, individuerà le risorse necessarie per consentire il funzionamento/ripristino e definirà priorità/obiettivi di ripartenza in coerenza con eventuali vincoli normativi e contrattuali.
- Contesto dell’organizzazione: la conoscenza – sia del contesto interno ed esterno sia dei bisogni e delle aspettative delle parti interessate – è propedeutica alla corretta definizione del campo di applicazione del sistema di gestione e, altresì, all’analisi e alla prevenzione dei fattori critici (interni ed esterni) che possono influenzare la capacità dell’organizzazione di raggiungere i risultati desiderati (i.e. obiettivi strategici dell’organizzazione).
- Leadership: il top management deve dimostrare leadership & commitment in modo tale da garantire che il sistema di gestione sia integrato nei processi di direzione strategica dell’organizzazione.
- Pianificazione: consente all’organizzazione di cogliere le opportunità offerte dal contesto di riferimento, analizzare i rischi correlati, prevenire gli impatti negativi che potrebbero influire sul raggiungimento degli obiettivi, oltre a progettare e ad implementare i piani necessari per garantire la continuità operativa.
- Informazione documentata: ogni organizzazione definirà le modalità più adeguate a redigere e conservare la documentazione inerente alla propria operatività.
- Gestione della conoscenza: come diceva l’oracolo di Delphi, “Conosci te stesso (i.e. in greco gnōthi seautón), ovvero, la conoscenza del contesto da un lato ci permette di acquisire consapevolezza; mentre dall’altro lato, insieme alle competenze delle persone, si converte in elemento qualificante per il raggiungimento degli obiettivi dell’organizzazione.
Una questione di Resilienza Operativa e Organizzativa
La resilienza è dettata dalle esigenze operative, ne consegue che la capacità di rispondere a queste esigenze determina la maturità della continuità aziendale di un’organizzazione. Pertanto, diventa fondamentale per le organizzazioni adottare un approccio olistico – e non più per silos – in modo tale da sviluppare un ecosistema con resilienza incorporata in ogni livello dell’organizzazione per essere preparate a rispondere a qualsiasi interruzione, soprattutto in un contesto erratico e imprevedibile come quello che stiamo vivendo caratterizzato anche da un processo accelerato di digitalizzazione e automazione. Ne consegue che le organizzazioni devono monitorare la stabilità dei propri “facilitatori aziendali”, inclusi fornitori, materie prime, produttori, distributori, siti e risorse per sviluppare un quadro olistico di preparazione e prontezza.
La conditio sine qua non è dimostrarsi strategicamente adattabile, operativamente consapevole e tatticamente in grado di rispondere a qualsiasi evento esterno o interno in modo tale da prendere consapevolezza che la resilienza non è statica, bensì è in continua evoluzione. Ne consegue che le discipline di Risk Management, Business Continuity e Cyber Security, coinvolte nello sviluppo di un programma di resilienza, dovranno necessariamente concentrarsi sui seguenti principi:
- Anticipazione: minacce, consapevolezza assicurativa, rischio strategico, rischio operativo, rischio finanziario, continuità operativa.
- Protezione e pianificazione: sicurezza, assicurazione delle informazioni, salute, sicurezza e ambiente, assicurazioni, governance, conformità e audit.
- Risposta: gestione delle crisi, comunicazioni, ripristino di emergenza IT, continuità operativa.
- Recupero: business continuity, assicurazioni, leadership, HR, IT e area di lavoro DR.
In modo sinergico, quasi come in un’orchestra sinfonica, i professionisti della continuità aziendale dovrebbero lavorare con le loro controparti del Risk Management e dell’IT e/o della Cyber Security (ognuno con il proprio “repertorio”) per aumentare la resilienza all’interno dell’organizzazione. Inoltre, è risaputo che i dipartimenti di continuità operativa, se in comunione sinergica con la funzione di Risk Management e con i dipartimenti IT, sono in grado di progettare sistemi e processi di Enterprise Risk Management (ERM) ed IT più resilienti a conferma di come le basi della resilienza sono costruite sulla somma di molti dipartimenti, guidati da una forte leadership. È doveroso ricordare, altresì, che gli errori di comunicazione possono portare a errori nei processi di resilienza e questo fallimento è in gran parte dovuto a diversi fattori, quali: mancanza di comunicazione tra i dipartimenti, con prodotti e servizi prioritari non concordati tra le varie funzioni; sistemi legacy esistenti. Spesso i vari reparti hanno priorità diverse in termini di resilienza IT; pertanto, durante la progettazione di un Business Continuity Plan (BCP), coloro che lavorano nell’ambito del ripristino di emergenza IT o della continuità del servizio IT danno priorità all’infrastruttura IT, mentre quelli in BC danno priorità alle applicazioni IT. Mentre è dimostrato che se le diverse funzioni partecipano sinergicamente alla creazione del BCP, si è in grado di garantire che non si creino distorsioni nella progettazione dei piani di DR, Crisis Management e Crisis Communication.
La crescente necessità di resilienza organizzativa ed operativa, quale calibrata sintesi tra risk management, i modelli di sistema di gestione della continuità operativa e cyber security è sempre più urgente e strategica ed atta a creare una sinergia comunicativa e operativa dei sistemi di Enterprise Risk Management, Business Continuity Management e Cyber Security Management.
Dove e quando si esercita la resilienza
Un programma di resilienza necessita sempre di essere esercitato a:
- Livello di funzione aziendale
- Livello di unità operativa
- Livello organizzativo
- Livello di catena di approvvigionamento
Qualsiasi interruzione, attacco informatico o interruzione fisica, influisce sulla continuità aziendale; pertanto, mantenere l’attenzione sulla resilienza dell’organizzazione, mentre si sviluppano strategie di recupero, servirà nel medio e lungo termine nella costruzione di un’organizzazione preparata e pronta per qualsiasi evento.
Tutti i piani dovranno essere esercitati e aggiornati. In particolare, per garantire la Cyber Security dovranno essere aggiornate le procedure DR e test di Disaster Recovery completo periodicamente eseguiti, considerando come, in alcuni settori, risulta fondamentale ed altamente strategico garantire tempi di attività continua.
Diventa sempre più urgente e necessario garantire una cultura aziendale resiliente basata su:
- Obiettivi e direzione condivisi: si tratta di fornire indicazioni chiare su ciò di cui gli individui e i team sono responsabili in modo tale che le persone possano mobilitare le proprie energie in modo efficace attorno a obiettivi condivisi utilizzando anche momenti di condivisione e canali di comunicazione aziendali in termini di lesson learned e di storie di successo orientate agli obiettivi.
- Comunicazione frequente e bidirezionale – Linee di comunicazione aperte tra dipendenti e top management sono necessarie per raggiungere e coinvolgere le persone, condividere informazioni just-in-time e tenere il passo con le esigenze dell’azienda.
- Luogo di lavoro flessibile – Le organizzazioni di successo hanno culture in cui i leader infondono profonda fiducia e grandi aspettative nei loro team, anche quando gli orari di lavoro, gli stili e gli ambienti individuali sembrano o sono percepiti come molto diversi.
- Senso di appartenenza condiviso – Le organizzazioni che danno la priorità e favoriscono frequenti momenti di dialettica di alta qualità tra i dipendenti sono in grado di favorire miglioramenti nel funzionamento e nella resilienza organizzativi, nella salute fisica e mentale dei dipendenti e nella produttività complessiva del team.
- Collaborazione senza barriere – Il nuovo mondo delle organizzazioni sempre più virtuale sta rendendo quanto mai evidenti le barriere di collaborazione per silos e la mancanza di visibilità. Pertanto, le organizzazioni dovranno assicurare una cultura che promuova e sostenga la sicurezza psicologica, la condivisione aperta delle informazioni e la collaborazione. favorendo i team inter-funzionali in grado di lavorare in modo rapido ed efficace per ottenere risultati reali.
- Supporto per il benessere dei dipendenti – Secondo quanto evidenziato da molti neuroscienziati, durante i periodi di incertezza, il nostro cervello ha bisogno di più tempo per riprendersi prima di potersi concentrare sui compiti da svolgere. Pertanto, è importante che il Top Management sostenga il personale durante i periodi di cambiamento mostrando sincera preoccupazione per il loro benessere e faccia in modo di ottimizzare il lavoro da remoto controllando regolarmente i livelli di stress del team e agire per ridurre la pressione.
Conclusione
Le organizzazioni hanno bisogno di una comprensione approfondita della resilienza organizzativa ed operativa per definire una chiara roadmap che illustri cosa devono fare per essere pronti ad affrontare le prossime crisi. Si tratta, quindi, di capire come: gestire i rischi aziendali strategici e i rischi esterni e incontrollabili e prepararsi, di conseguenza; rendere la gestione più adattabile in termini di processi e cultura; assicurarsi che siano disponibili risorse sufficienti; creare processi solidi e strutture flessibili garantendo un grado sufficiente di autonomia, ridondanza e diversificazione.
Oggigiorno, a fronte anche del processo accelerato di digitalizzazione e automazione, la resilienza organizzativa ed operativa si baserà sempre più sull’approccio alla gestione del rischio, alla continuità operativa e alla cyber security. Ovvero, la resilienza si converte in una nuova prospettiva sul business e sulle risorse, sui processi e sulle strutture richiesti.
Gli scenari dinanzi a noi richiedono che le organizzazioni intraprendano un dialogo proattivo sul rischio e un sano grado di propensione al rischio: con l’aiuto di mappe dei rischi e attraverso discussioni interattive, la gestione del rischio contribuisce a ridurne efficacemente la probabilità e l’impatto. Alcuni rischi esterni e incontrollabili non possono essere evitati; tuttavia, attraverso pratiche come analisi degli scenari e stress test, il Top Management può acquisire la consapevolezza dell’incertezza e comprendere come affrontare i diversi risultati e, al contempo, prepararsi a scenari estremi intraprendendo programmi assicurativi e di copertura, implementando procedure di gestione delle crisi e di continuità operativa e costituire team di gestione per incidenti critici attraverso un approccio adattivo, agile e flessibile.
Rendere un’azienda più resiliente richiede uno sforzo considerevole in termini di cambiamenti nella disponibilità delle risorse, nella gestione adattiva e nella gestione strategica dei rischi e nella gestione della continuità operativa. Interessante notare come la resilienza e la trasformazione digitale di un’organizzazione beneficiano entrambi di approcci di gestione agili, flessibili e adattivi. Allo stesso modo, la resilienza e la ricerca di pratiche di gestione sostenibile, sempre più richiesti oggigiorno, deriveranno sempre più dalla calibrata sintesi di programmi di deglobalizzazione e da solide catene di approvvigionamento. Una innovazione armonica in termini di digitalizzazione e sostenibilità è destinata a svolgere un ruolo strategico nel garantire la resilienza operativa e la sicurezza informatica.
Concludendo, le organizzazioni dovranno disporre di un quadro olistico in grado di migliorare il processo decisionale e concentrarsi maggiormente sia sulla resilienza operativa e organizzativa sia sulla sicurezza informatica, dal momento che si tratta di anticipare, prevenire, riprendersi da eventi avversi e adattarsi per evitare eventi simili in futuro, il tutto senza interrompere o compromettere la continuità aziendale. Il filosofo greco Eraclito diceva: “Chi non s’aspetta l’inaspettato, non scoprirà mai la verità”, ma aggiungo che, ora, si tratta di “anticipare l’inaspettato”.
Articolo a cura di Federica Maria Rita Livelli
Certificata in Risk Management (FERMA/ANZIIF certificazioni Iso 3100:2018) & Business Continuity (AMBCI Certification – BCI, UK; CBCP Certification – DRI, Usa), svolge consulenze in Risk Management & Business Continuity oltre ad effettuare un’attività di diffusione e sviluppo della cultura della resilienza presso varie istituzioni e università italiane e straniere. Ricopre anche il ruolo di Training Director presso BeDisruptive Consulting.
Membro de:
· ANRA (Associazione Nazionali Risk Manager & Responsabili Assicurazioni Aziendali) – Membro Comitato Direttivo
· BCI, UK (Associazione Internazionale Business Continuity & Resilience) – Membro del Conduct Committee
· BCI CYBER RESILIENCE SIG – Board Member
· CLUSIT (Associazione Italiana per la Sicurezza Informatica) - Membro Comitato Scientifico e Gruppo CLUSIT AIXIA
· ENIA (- Ente Nazionale per l’Intelligenza Artificiale) - Membro Comitato Scientifico
· FERMA (Federation of European Risk Management Associations) – Membro of Digital Committee
· UNI (Ente Nazionale Italiano di Normazione) - Rappresentante per ANRA al Comitato Tecnico UNI/CT 016/GL 89 "Gestione dell'innovazione" (ISO/TC 279) (Commissione Tecnica -UNI/CT 016 "Gestione per la qualità e metodi statistici")
Speaker in numerosi seminari e convegni nazionali ed internazionali in riferimento a tematiche di Business Continuity & Risk Management, Resilience , Change Management, Innovazione, Cyber Security, Facility Management & Procurement e Artificial Intelligence
È altresì autrice di numerosi articoli inerenti alle tematiche di Risk Management & Business Continuity, Cybersecurity e Resilience pubblicati da diverse riviste italiane e straniere. Co-autrice de: Report 2020-2021-2022 -2023-2024 CLUSIT-Cyber Security e de “Lo stato in Crisi” ed. Franco Angeli.