Business Impact Analysis (BIA), un framework applicativo dalla norma ISO 22317

L’emergenza sanitaria del 2020, con le conseguenti chiusure o limitazioni alle attività o modalità di lavoro imposte dal Covid-19, ha dimostrato l’importanza per le aziende di saper gestire la continuità operativa, ovvero di saper reagire agli eventi “disastrosi” che possono potenzialmente interrompere l’erogazione dei prodotti o dei servizi. Il processo di pianificazione di una strategia per la continuità operativa muove i passi iniziali dall’analisi dell’impatto di determinate minacce per il business aziendale, la cosiddetta Business Impact Analysis (BIA).

Ecco un framework per la conduzione di una BIA ispirato alla norma ISO 22317, che detta le linee guida per la conduzione di un’analisi d’impatto conforme ai requisiti stabiliti dalla norma ISO 22301 sui sistemi di gestione per la continuità operativa.

Il ciclo di vita della Business Impact Analysis (BIA)

Prima di iniziare l’analisi d’impatto, l’azienda deve:

• aver determinato il proprio contesto (quindi i fattori interni ed esterni che incidono nella propria attività, le parti interessate e i processi);
• aver definito i ruoli e le responsabilità per il processo di BIA;
• aver allocato le risorse necessarie per la conduzione delle BIA.

È fondamentale, inoltre, che la direzione sia consapevole e partecipi al processo di analisi degli impatti per poi poter definire la miglior strategia di continuità operativa.

• Definire priorità per i processi
• Definire priorità per le attività
• Analisi e convalida risultati
• Approvazione della direzione
• Definire priorità per prodotti e servizi
• Prerequisiti:

– contesto;

– ruoli e responsabilità;

– risorse.

Passo successivo: selezione strategia di Business continuity.

Il processo di Business Impact Analysis

Scopo

Lo scopo del processo di BIA è quello di definire le priorità delle varie componenti organizzative (risorse, processi ecc.) in modo che l’erogazione di prodotti e servizi possa essere ripresa, secondo una strategia predeterminata, in seguito a un incidente o un evento interruttivo dell’attività.

La regolare erogazione di prodotti e servizi è, naturalmente, lo scopo principale di ogni organizzazione. Per tale ragione assume rilevanza primaria individuare gli SLA e le tempistiche di consegna che permettono di soddisfare le parti interessate. Talvolta non è sufficiente analizzare un processo nel suo complesso, ma occorre scomporlo nelle specifiche attività che lo compongono per definire quali tra esse sono prioritarie.

Definire le priorità per l’erogazione dei prodotti e dei servizi

Individuati i ruoli e le responsabilità, definito un piano e allocate le necessarie risorse nella conduzione della BIA, il top management deve definire le priorità per la ripresa dell’erogazione dei prodotti e dei servizi in seguito ad un evento interruttivo delle attività. Tale decisione è di competenza dei vertici aziendali poiché a questi spetta la definizione degli obiettivi, hanno la responsabilità ultima sia nel garantire la continuità sia nel rispetto degli obblighi contrattuali, hanno la consapevolezza dei cambiamenti pianificati e hanno una visione più ampia dell’intera organizzazione.

Qualora un’azienda eroghi troppi prodotti o servizi, questi possono essere raggruppati in relazione alle loro priorità. Occorre altresì tener presente che alcuni prodotti o servizi potrebbero dover essere prioritizzati differentemente a seconda del cliente cui sono riferiti.

Le tipologie di impatto che tipicamente si tengono in considerazione nella conduzione di una BIA sono:

• impatto finanziario;
• impatto reputazionale;
• impatto legale/contrattuale;
• impatto sugli obiettivi di business.

Per ogni prodotto o servizio (o per ogni gruppo di prodotti o servizi) il top management stabilisce il livello di ciascun impatto dovuto ad un evento interruttivo dell’attività (ed in relazione ad ogni prodotto e servizio) analizzando:

• le aspettative dei clienti e le eventuali penali o conseguenze contrattuali derivanti dal mancato soddisfacimento delle aspettative stesse;
• le conseguenze derivanti dalla percezione delle altre parti interessate (partner, media, potenziali clienti, investitori, concorrenti, dipendenti, enti istituzionali ecc.) dell’interruzione dell’operatività.

Nella maggior parte dei casi l’impatto cresce con il passare del tempo, tuttavia mentre i costi possono aumentare ad un tasso proporzionale rispetto ai tempi di interruzione, altri impatti potrebbero non aumentare linearmente: gli impatti finanziari possono improvvisamente aumentare man mano che vengono inflitte penali contrattuali, oppure, i clienti persi e i danni reputazionali possono verificarsi improvvisamente in un punto durante l’interruzione.

Per definire l’impatto il top management, supportato ove necessario dalle funzioni competenti, deve quindi determinare:

Maximum acceptable outage (MAO): tempo di interruzione tale da rendere l’erogazione del prodotto o del servizio inaccettabile.

Minimum business continuity objective (MBCO): livello minimo di erogazione di servizi e/o prodotti durante l’interruzione tale da consentire all’organizzazione di raggiungere comunque i suoi obiettivi aziendali.

Recovery time objective (RTO): tempo da impiegare a seguito di un incidente per la:

• ripresa della consegna regolare di prodotti o servizi, oppure
• ripresa dell’attività, o
• ripristino delle risorse

Recovery point objective (RPO): in che punto devono essere ripristinate le informazioni utilizzate da un’attività per consentire all’attività la ripresa.

Definire le priorità nei processi

Determinate le priorità nell’erogazione dei prodotti e servizi, l’organizzazione deve comprendere e definire le priorità a livello dei processi che consentono l’erogazione e le interrelazioni tra gli stessi.

Ad esempio: se la produzione di un determinato prodotto è automatizzata, ricevendo ad esempio input da un software, al fine di consentire la ripresa della produzione sarà necessario ripristinare il sistema informatico. Ecco che i due processi risultano connessi.

A seconda delle dimensioni e della complessità dell’organizzazione potrebbe rendersi necessario definire le priorità non solo dei processi, ma anche delle singole attività facenti parte di ciascuno.

Questa operazione è indispensabile per poter sviluppare un calendario per il recupero delle attività in tutta l’organizzazione.

Input di tale fase sono:

• i requisiti dei prodotti e dei servizi (come definiti nel paragrafo 2.2 – livelli minimi di erogazione, tempi di accettabilità dell’erogazione ecc.);
• mappatura dei processi;
• impatti lungo il tempo della mancata erogazione;
• requisiti contrattuali e legali.

Come risultato l’organizzazione potrà comprendere:

• le interrelazioni tra i diversi processi interni;
• le dipendenze da processi di competenza di altre organizzazioni;
• le priorità dei processi in relazione agli impatti determinati per l’erogazione dei prodotti e dei servizi.

Definire le attività prioritarie

A questo punto l’organizzazione può determinare una lista in ordine di priorità delle attività necessarie alla ripresa dell’operatività aziendale in seguito a un evento interruttivo.

Questo è un passaggio saliente poiché in relazione alle attività individuate l’organizzazione potrà allocare le risorse necessarie al ripristino, tenendo sempre in considerazione le conclusioni relative agli impatti calate nei singoli processi.

Le risorse di cui tener conto sono:

• competenze/ruoli
• strutture
• attrezzature
• informazioni
• risorse finanziarie
• tecnologie dell’informazione e della comunicazione, comprese applicazioni, dati, telefonia e reti
• fornitori, terze parti e partner esterni
• dipendenze da altri processi e attività
• utensili speciali, pezzi di ricambio e materiali di consumo
• limitazioni imposte alle risorse dalla logistica o dalle normative.

Analisi e convalida dei dati

Al termine del processo di Business Impact Analysis l’organizzazione deve convalidare i dati estrapolati e quindi revisionare i risultati delle priorità definite e trarre delle conclusioni che consentano di identificare i requisiti per la continuità aziendale.

L’organizzazione deve assicurarsi che i dati utilizzati per l’analisi siano:

• corretti: quindi accurati e affidabili;
• credibili: quindi “ragionevoli”;
• coerenti: quindi chiari e ripetibili;
• correnti: quindi aggiornati e disponibili nel tempo;
• completi: quindi non carenti di registrazioni o altre informazioni.

Al termine del processo di convalida dovranno esser confermati i livelli di impatto determinati per i prodotti e i servizi, i requisiti e le risorse necessarie, le interdipendenze tra i processi e le priorità stabilite per questi.

Approvazione della direzione

La Direzione deve approvare i risultati ottenuti, inclusi i requisiti dei prodotti e servizi, i processi e le attività prioritarie e le risorse da allocare per la continuità operativa.

Il processo di BIA si traduce in una serie di risultati, tra i quali si evincono anche i requisiti richiamati dalla norma ISO 22301 per la continuità operativa. Determinare tali requisiti consente all’organizzazione di selezionare la miglior strategia per la continuità, al fine di consentire una risposta e un recupero efficace in seguito a una interruzione. Potrebbero pianificarsi ad esempio:

• aree di lavoro alternative;
• accordi contingenti con altri fornitori;
• opzioni di recupero ICT;
• fonti contingenti di personale;
• fornitori contingenti di attrezzature e materie prime.

Monitoraggio e revisione

Il processo di Business Impact Analysis è a ciclo continuo. L’organizzazione deve monitorare e riesaminare i risultati ottenuti su base periodica (tipicamente annuale) per assicurare che i cambiamenti avvenuti, nonché gli obiettivi aziendali non comportino modifiche nella strategia di continuità operativa adottata.

Video: realizzare un approccio alla Business Impact Analysis (BIA) basato su ISO22301 (in inglese)

Conclusioni

Il 2020 è stato un anno cruciale dal punto di vista della continuità operativa aziendale. Spesso, infatti, il rischio epidemiologico non era assolutamente considerato tra gli eventi interruttivi delle attività produttive. Ciò nonostante, le aziende che avevano già implementato una strategia di business continuity e adottato un approccio basato sull’analisi dell’impatto hanno reagito meglio alla crisi, dimostrandosi, almeno nella “seconda ondata”, pronte ad affrontare gli eventi senza subire interruzioni.