Pillole di Business Continuity: l’analisi d’impatto – Settembre 2021
di Leonardo Palermo
Il piano di continuità operativa
L’incremento dell’utilizzo della tecnologia all’interno del settore finanziario richiede il rafforzamento di misure atte a garantire adeguati livelli di continuità operativa. Per fare ciò, è necessario identificare i processi aziendali critici, al fine di definire le misure di continuità operativa da adottare sulla base dei rischi individuati.
Per gestire gravi situazioni di crisi causate da incidenti che possano avere impatti sull’istituto, sulle società controllate o sull’intero settore di appartenenza, gli operatori hanno il compito di definire un piano di continuità operativa.
Banca d’Italia, all’interno della Circolare n. 285 del 17 dicembre 2013, riporta la seguente definizione di piano di continuità operativa: “documento che formalizza i principi, fissa gli obiettivi, descrive le procedure e individua le risorse, per la gestione della continuità̀ operativa dei processi aziendali critici e a rilevanza sistemica. Esso è generalmente articolato in piani settoriali”.
Un piano di continuità operativa, quindi, aumenta le capacità dell’istituto di gestire le crisi poiché è il risultato di un processo all’interno del quale sono state raccolte informazioni, valutati i rischi rilevanti, analizzati gli impatti e sviluppate strategie volte a garantire la continuità dei servizi. Inoltre, esso ha il compito di definire le modalità relative alla gestione dello stato di crisi, al fine di permettere la ripresa della normale operatività.
I processi per la gestione degli incidenti e dello stato di crisi sono strettamente correlati fra loro. Anche a tal fine, è necessario che l’istituto si doti di una apposita struttura preposta alla gestione delle crisi.
Il piano di continuità̀ ha il compito di stabilire i tempi di ripristino dei processi aziendali critici, di individuare siti alternativi adeguati per i dipendenti coinvolti e di stabilire modalità di conservazione dei dati in luoghi distanti rispetto alla sede centrale dell’istituto.
Con riferimento all’infrastruttura IT, il piano di continuità̀ operativa integra il piano di disaster recovery. Quest’ultimo definisce le misure tecniche ed organizzative finalizzate al ripristino delle funzionalità tecnologiche, delle procedure IT e dei servizi qualora si verifichi un evento disastroso che renderebbe inutilizzabili le componenti hardware e software.
L’analisi di impatto
Secondo quanto riportato dall’International Organization for Standardization (ISO) l’analisi di impatto è “il processo di analisi delle attività e dell’effetto che un’interruzione potrebbe causare su di esse”.
L’analisi di impatto viene redatta a monte della stesura del piano di continuità operativa ed ha lo scopo di individuare il livello di rischio relativo ai processi aziendali e le conseguenze dovute all’interruzione dei servizi. È importante sottolineare che l’analisi di impatto deve prendere in considerazione anche gli altri rischi (ad es. rischio di mercato, di liquidità, ecc.), oltre ai rischi operativi.
Inoltre, deve tener conto dei seguenti parametri sia in termini di sicurezza fisica, che logica:
- le caratteristiche relative alla localizzazione dei siti rilevanti dell’istituto, per valutare la probabilità di eventi accidentali (ad es. sismicità dell’area, vicinanza ad insediamenti industriali pericolosi, ecc.);
- i profili di concentrazione geografica (ad es. presenza di una pluralità̀ di operatori nei centri storici di grandi città);
- la complessità̀ dell’attività̀ svolta dall’istituto ed il livello di automazione raggiunto;
- le dimensioni dell’istituto e l’articolazione territoriale delle attività̀;
- il livello di esternalizzazione di funzioni essenziali ed importanti (le misure di governance interna, tra le quali la gestione dei rischi, che gli istituti dovrebbero attuare quando esternalizzano le proprie funzioni, in particolare in caso di esternalizzazione di funzioni essenziali o importanti, sono riportate all’interno degli “Orientamenti in materia di esternalizzazione” dell’EBA);
- l’assetto organizzativo in termini di accentramento o decentramento di processi critici;
- i vincoli derivanti da rapporti con fornitori, clienti o altri operatori del settore.
Conclusione
La definizione dell’analisi di impatto e la conseguente implementazione di un piano di continuità operativa sono di importanza fondamentale per gli istituti bancari. Infatti, gli istituti (e più in generale le aziende) che hanno implementato una strategia di business continuity, hanno reagito in maniera migliore e soprattutto hanno garantito la continuità dei servizi alla clientela, anche nel corso degli ultimi anni segnati dalla pandemia dovuta al COVID-19.