Pratiche di Eccellenza in Test e Manutenzione della Business

Transcript

Basilea II e Business Continuity:
Soluzioni Tecnologiche e Organizzative – Fase III
Pratiche di Eccellenza
in Test e Manutenzione
della Business Continuity
Sintesi dei contenuti del Competence Centre
soluzioni tecnologiche e organizzative – Fase3
© CeTIF, 2006. Tutti i diritti riservati.
Pagina 1 di 20
Soluzioni Tecnologiche e Organizzative – Fase III
Pubblicato nel mese di marzo 2007,
Copyright © CeTIF. Tutti i diritti riservati.
Ogni utilizzo o riproduzione anche parziale
del presente documento non è consentita
senza previa autorizzazione di CeTIF.
DISCLAIMER:
CeTIF assicura che il presente documento è stato realizzato con la massima cura e con tutta la
professionalità acquisita nel corso della sua lunga attività. Tuttavia, stante la pluralità delle fonti
d’informazione e nonostante il meticoloso impegno da parte di CeTIF affinché le informazioni
contenute siano esatte al momento della pubblicazione, né CeTIF né i suoi collaboratori
possono promettere o garantire (anche nei confronti di terzi) esplicitamente o implicitamente
l'esattezza, l'affidabilità o la completezza di tali informazioni. CeTIF, pertanto, declina qualsiasi
responsabilità per eventuali danni, di qualsiasi tipo, che possano derivare dall'uso delle
informazioni contenute nel presente rapporto.
Si evidenzia, inoltre, che il presente rapporto potrebbe contenere proiezioni future o altre
dichiarazioni in chiave prospettica, circostanza che comporta rischi e incertezze. Si avvisano
pertanto i lettori che tali affermazioni sono solamente previsioni e potrebbero quindi discostarsi
in modo considerevole dagli effettivi riscontri ed eventi futuri. CeTIF declina fin d’ora qualsiasi
responsabilità e garanzia in relazione a tali proiezioni.
Pagina 2 di 20
Soluzioni Tecnologiche e Organizzative - Fase III
Premessa
Il presente documento sintetizza gli output prodotti dal Competence Centre “Basilea 2 e Business
Continuity: soluzioni tecnologiche e organizzative – fase3”, svoltosi nel periodo maggio – novembre
2006 e i cui risultati in forma estesa sono contenuti nel relativo rapporto di ricerca.
Lo scopo della presente pubblicazione è quello di presentare e suggerire alle banche italiane le
principali pratiche di eccellenza nella gestione del test e della manutenzione della BC, raccolte al
tavolo di lavoro e condivise dalle banche partecipanti ai lavori.
E’ inoltre analizzato il modello a tendere delle banche italiane nella gestione dei rischi.
Le istituzioni che hanno preso parte al Competence Centre e contribuito a definire tali principi sono
(in ordine alfabetico):
Banca Antonveneta – ABN AMRO, Banca Monte dei Paschi di Siena, Banca Popolare di Milano, Banca
Popolare di Sondrio, Consorzio Operativo Gruppo MPS, Hewlett Packard Italiana, Intesa Sanpaolo1,
Lombarda Sistemi e Servizi, Poste Italiane, Unicredit Produzioni Accentrate.
Gli incontri sono stati organizzati e gestiti dal Gruppo di Lavoro CeTIF nelle persone di:
•
Chiara Frigerio
•
Paolo Gatelli
•
Federico Rajola
1
Presente al Competence Centre, precedente alla fusione, come Banca Intesa e Sanpaolo IMI
Pagina 3 di 20
Pagina 4 di 20
Pratiche di Eccellenza in Test e Manutenzione della BC
1 – BCM e Manutenzione
La manutenzione del BCP è definita come l’insieme delle procedure che riguardano la revisione e
l’aggiornamento del piano di business continuity. Gli attori coinvolti nella manutenzione del BCP sono,
oltre alla funzione BC, l’organizzazione (quale responsabile della definizione dei processi di business),
i process owner (processi critici e vitali), l’Internal Audit (per la revisione e il controllo della
conformità del piano di BC e dei relativi test delle soluzioni adottate).
La manutenzione del piano di BC, sulla base di quanto indicato da Banca d’Italia, ha origine da
quattro categorie di input:
1.
Risultato dei test, che segnala le inadeguatezze del BCP;
2.
Incidenti e Crisi, nella sfortunata ipotesi che si dovessero verificare interruzioni
dell’operatività dovute a mancanze del BCP;
3.
Indicazioni/Valutazioni provenienti da Terze Parti Indipendenti (per esempio società di
revisione), cioè soggetti esterni alla banca esplicitamente previsti da Banca d’Italia come
strumento di validazione delle soluzioni implementate;
4.
Altre Cause di Revisione, cioè cambiamenti intrinseci alla banca con impatto sui processi
critici e vitali (es: modifiche nella distribuzione geografica/territoriale, nella struttura
organizzativa, nella dotazione tecnologica ecc.).
Le mancanze o le inadeguatezze riscontrate in seguito a quanto sopra elencato danno origine a due
forme di manutenzione:
•
Aggiornamento Migliorativo/Correttivo – le modifiche che si rendono
necessarie sono di ampiezza sufficientemente limitata e sono realizzabili con tempi
e sforzi contenuti. Una volta ipotizzato il correttivo, il ciclo di BCM viene riattivato a
partire dalla fase di design, dove la soluzione viene progettata sulla base delle
necessità manifestatesi;
•
Aggiornamento Evolutivo – il piano di BC diviene oggetto di modifiche
sostanziali dovute, per esempio, a nuovi processi vitali e critici, scenari di crisi
precedentemente non contemplati e mancanze ostative rispetto alla conformità
della banca alla normativa di BC. Tale ambito implica uno sforzo maggiore da parte
del BCM, ovvero lo svolgimento della BIA sulla base della quale valutare e
progettare in seguito le soluzioni a presidio della continuità operativa.
2 - Metodologia di Test
La fase di test consiste nella pianificazione e nell’esercizio delle verifiche delle procedure inserite nel
BCP a salvaguardia della continuità operativa. I risultati dei test vengono documentati e presentati
all’Alta Direzione; le parti di competenza vengono inoltre portate all’attenzione dell’auditing e delle
Unità Operative (UO) coinvolte.
Il concetto di Test può inoltre essere allargato a una prospettiva più ampia, riconoscendogli un ruolo
fondamentale anche in altri contesti dell’organizzazione:
Pagina 5 di 20
1.
da un lato si evidenzia un approccio “meccanicistico” al test, per cui si rende necessaria una
strutturata attività di progettazione e gestione delle prove, ivi compresa la documentazione
che deve essere redatta in conformità alle direttive imposte dall’Organo di Vigilanza;
2. in secondo luogo emerge una dimensione “sociale” in cui il test dimostra di possedere
legami con le attività di Gestione delle Risorse Umane e di Change Management.
Volendo sintetizzare gli obiettivi da perseguire attraverso la fase di test, è possibile differenziare
all’interno dell’elenco seguente quali afferiscono alla prima prospettiva (meccanicistica) e quali alla
seconda (sociale):
Prospettiva Meccanicistica:
•
Conformità alla normativa
o Prova dell’efficacia del BCP;
o Aggiornamento del BCP;
o Documentazione dei risultati;
o Gestione degli outsourcer;
o Coinvolgimento dei vertici aziendali.
•
Miglioramenti in efficienza ed efficacia
o Miglioramento di RTO e RPO;
o Reingenierizzazione dei processi;
o Riduzione dei casi di discontinuità;
o Eliminazione di soluzioni superflue.
Prospettiva Sociale:
•
Sensibilizzazione e formazione risorse
o Creazione di una “cultura adattiva”2;
o Miglioramento di professionalità e competenza;
o Responsabilizzazione e motivazione delle risorse;
o Arricchimento degli elementi di valutazione sulle risorse.
•
Coinvolgimento e percezione del valore da parte degli stakeholder
o Mantenimento dei livelli di servizio prestabiliti;
o Raggiungimento degli obiettivi strategici e di progetto;
o Garanzia di trasparenza in costi, strategie e benefici;
o Aumento del valore del brand.
Le fasi generalmente contemplate nell’approccio al test possono essere riassunte come segue:
1. Definizione ambito della fase di Test: svolta dall’Unità Operativa (UO) dedicata alla BC3
ed è preliminare alle attività di programmazione dei Test annuali. Ha l’obiettivo di
identificare e raccogliere le informazioni che sono necessarie per pianificare annualmente
un’efficace e omnicomprensiva attività di Test. I risultati e la documentazione relativa a tale
fase potrebbero costituire un appendice del Piano di Continuità Operativa.
2
Cultura aziendale adatta a favorire comportamenti adattivi: gli studi sociologici dimostrano che un
individuo, calato in un contesto di crisi, valuta l’intensità del rischio, le possibili opportunità a sua
disposizione e le conseguenze relative alle differenti scelte, per arrivare a preferire l’azione
considerata più vantaggiosa. L’emergenza, dunque, evidenzia la necessità di impiegare processi
comunicativi interni all’azienda efficaci e finalizzati a sviluppare comportamenti allineati con le
strategie di business continuity, con il fine di ridurre il livello percettivo della crisi e mantenere
minimo l’impatto sull’organizzazione.
3
Per le organizzazioni che non hanno dedicato un’Unità Operativa alla gestione della BC, si intende
il Gruppo di Progetto che segue la realizzazione del BCP
Pagina 6 di 20
2.
3.
4.
5.
Definizione del piano annuale di Test: svolta annualmente dall’UO di BC. Ha l’obiettivo
di pianificare un efficace e omnicomprensiva attività di Test individuando tempi, modalità e
risorse coinvolte, sfruttando il ventaglio di possibilità offerto dall’utilizzo delle informazioni
collezionate nel corso della fase 1;
Test del BCP: vengono attuate le attività programmate durante le fasi precedenti, che si
concretizzano nell’esecuzione delle procedure previste dal BCP per fare fronte alle situazioni
di emergenza.
Analisi risultati e formalizzazione: svolta nell’ottica di individuare quali siano le
eventuali mancanze o le procedure che possono essere migliorate e, più raramente, quali
parti del piano siano totalmente inadeguate e necessitino dunque di una totale
riprogettazione. Viene svolta dall’UO di BC sulla base dei feedback della fase precedente ;
Adeguamento del BCP: svolta dall’UO BC e prevede l’approvazione da parte dell’Alta
Direzione. Ha l’obiettivo di progettare e implementare i correttivi che è necessario apportare
al BCP sulla base dei feedback prodotti nella fase precedente ed emersi in seguito
all’esecuzione del Test.
Figura 1 –Test e Manutenzione del BCP
Fase preliminare
1
Definizione
ambito della
fase di Test
1. Definizione
categorie di test
2. Definizione livelli
e obiettivi
3. Definizione di
ruoli e
responsabilità
4. Definizione dei
destinatari della
documentazione
5. Predisposizione
dei modelli di
report
Aggiornamento
Migliorativo
Test
2
Definizione
del piano
annuale di Test
1. Definizione
livelli, tempi e
modalità
2. Definizione
delle attività
3. Definizione
controlli e
scelta dei
modelli di
report da
utilizzare
3
Test
del BCP
4
Analisi risultati
e formalizzazione
5
Adeguamento
del BCP
1. Organizzazione del
Test
1. Produzione dei
documenti
1. Revisione
strategie
2. Esecuzione del test
2. Valutazione
risorse coinvolte
2. Implementazion
e delle
modifiche
3. Monitoraggio
dell’esecuzione
3. Valutazione dei
risultati
4. Delivery della
documentazione
3. Approvazione
4. Education and
training
4. Approvazione
5. Comunicazione
all’Audit
Fonte: CeTIF 2006
2.1 – Metodi e modalità
I metodi (il tipo di verifica e i criteri con la quale essa viene effettuata) e le modalità (come il tipo di
verifica viene condotto dal punto di vista del coinvolgimento delle risorse) generalmente utilizzati per
l’esecuzione del test sono molteplici e la combinazione di questi elementi concorre a determinare il
livello di complessità generale del test.
I metodi più frequentemente utilizzati si dividono in verifiche teoriche (svolte intorno a un tavolo) o
pratiche (che comportano l’esecuzione reale delle azioni da intraprendere in caso di emergenza).
Pagina 7 di 20
Di seguito è riportata una breve descrizione4:
•
Table Top: verifica teorica eseguita “intorno a un tavolo” con il coinvolgimento dei
responsabili del progetto BC e dell’Audit in veste di revisore;
•
Walk Through: verifica teorica analoga alla precedente ed estesa all’interazione con i
soggetti delle UO coinvolte nelle procedure di emergenza testate;
•
Business Game/Roleplaying: verifica teorica della capacità di risposta a una situazione
di crisi in cui i partecipanti “recitano” intorno ad un tavolo il ruolo e le azioni che
intraprenderebbero al verificarsi dell’emergenza;
•
Simulazione: verifica pratica (ovvero con il coinvolgimento fisico e reale delle risorse
appartenenti alla struttura oggetto del test) che prevede la realizzazione pratica delle
procedure di emergenza al verificarsi di uno scenario prestabilito;
•
Technical disaster recovery: verifica pratica di attivazione del sito alternativo (anche
con dati a perdere);
•
Metodo Misto: combinazione di metodi teorici e pratici con l’obiettivo di non
condizionare eccessivamente l’operatività e limitare i costi del test, mantenendone
immutata l’efficacia.
Le modalità con le quali è condotto il test sono definite dalla combinazione di opzioni alternative, in
particolare:
•
Piena avvertenza/non avvertenza: scelta che fa riferimento all’opportunità o meno di
informare le risorse coinvolte circa la data, l’ora, il metodo, le procedure oggetto di test
ecc. Tale scelta può collocarsi tra i due estremi sopra detti, dove una soluzione intermedia
potrebbe essere informare le risorse limitatamente a un numero ristretto di variabili (es:
data);
•
In operatività/in non operatività: il test può essere svolto durante giorni e orari
lavorativi o non lavorativi, considerando da una parte il rischio legato a un’interruzione
dell’operatività dovuta all’esecuzione stessa del test, dall’altra il costo delle risorse
impiegate durante i giorni festivi;
•
Pianificato/non pianificato: tale scelta fa riferimento all’esecuzione delle verifiche
limitatamente alle procedure individuate nella pianificazione preliminare dell’attività,
quanto piuttosto alla decisione di scegliere in maniera contingente l’oggetto del test
(esempio: durante una simulazione di scenario). Una scelta intermedia, durante un test
già pianificato, potrebbe essere quella di includere ulteriori procedure, a seconda della
sensibilità del coordinatore del test.
La normativa5 prevede che sono programmate ed effettuate prove con differenti frequenze e livelli di
dettaglio, in base alla criticità dei processi coinvolti e al rischio associato allo scenario in oggetto.
Secondo lo stesso criterio vengono coinvolti un numero maggiore o minore di attori, sia interni, sia
esterni alla banca (outsourcer, controparti rilevanti, ecc.).
4
MITTS J.S., “Business Continuity and Disaster Recovery Plans: how and when to test them” in
EDPACS, Taylor & Francis Group, 2005
5
BANCA D’ITALIA, “Gestione della Continuità Operativa”, nota informativa del 15 luglio 2004
Pagina 8 di 20
La figura 26 rappresenta un’ipotesi di percorso nell’approccio alla definizione di livelli crescenti di
complessità:
Figura 2 – Attori coinvolti nella Gestione del Rischio
Ampiezza/realisticità
scenario di disastro
Modalità di conduzione
test (verifiche sulla cartasimulazioni)
Nr Processi BIA
verificati
Nr PLT/PC oggetto
di test
Nr Unità
organizzative
coinvolte
Nr/ tipologia Enti
esterni coinvolti
….
Fonte: Banca Intesa 2006
2.2 – Tassonomia dei Test della BC7
Come si diceva, i test sono condotti attraverso differenti modalità e con livelli di dettaglio differenti
sulla base dei processi di business (critici e vitali) e di gestione della continuità.
I test condotti al momento da gran parte del settore bancario italiano sono riassumibili nel seguente
elenco:
Test del processo di Disaster Recovery
Verifica disponibilità del Manuale di DR (istruzioni per le differenti funzioni aziendali coinvolte nel DR).
6
Presentazione effettuata da Banca Intesa nel terzo incontro del Competence Centre, 3 ottobre 2006,
Milano
7
La tassonomia dei test nasce per definire una nomenclatura comune e standardizzare le tipologie di
verifiche da condurre all’interno delle banche partecipanti al C.C. Il presente elenco è stato
realizzato e gentilmente presentato al tavolo di lavoro da Banca Intesa e parzialmente integrato sulla
base dell’esperienze svolte da altre banche.
Pagina 9 di 20
Verifica efficacia delle check-list, delle sequenze e parallelismi previsti nel Manuale di DR e che la
documentazione a supporto del processo sia chiara e dettagliata ed includa informazioni complete
ed esaustive.
Verifica che i tempi di ripartenza dei sistemi e servizi applicativi (RTO) siano coerenti con quanto
dichiarato.
Test di operatività su sito ricoverato
Verifica possibilità di svolgere la normale operatività, dopo la ripartenza dei Sistemi Informativi sul
polo ricoverato, anche a basi dati disallineate. Tale test è condotto replicando l’operatività dei
processi della BIA vitali e critici, concentrandosi in particolare sul flusso end-to-end (dall’ingresso
all’uscita).
Test di analisi disallineamenti e recupero dati persi
Verifica che le basi dati ricoverate siano consistenti e coerenti (es. quanti flussi persi).
Verifica capacità di effettuare analisi dei disallineamenti/dati persi e di definire le modalità e le
condizioni di recuperabilità dei dati sulla base dei tool sviluppati e delle norme organizzative previste.
Test di filiale in effettivo
Verifica svolta da una Filiale effettiva collegata all’ambiente di DR.
Il test consiste nello svolgimento di Test Funzionale che ha l’obiettivo di verificare il funzionamento
delle principali applicazioni di Filiale e, per ciascuna di esse, delle principali transazioni (inizialmente
solo in inquiry).
Poichè durante il test la Filiale è collegata sito di DR e non alla normale produzione, il test è condotto
dagli utenti durante un sabato.
Test di collegamento con le controparti rilevanti
Il test, effettuato dal sito ricoverato, si pone come obiettivo:
•
invio alla controparte di dati a perdere o a non perdere (da concordare con la controparte) e
verifica dell’esito (tecnico-applicativo e utente).
•
ricezione di dati a perdere dalla controparte e verifica della correttezza dei dati ricevuti ed
elaborati (tecnica-applicativa e utente).
Test di operatività con controparti rilevanti
Rispetto al test che prevede solo il collegamento, si innesca uno scambio di messaggi / operatività
estesa
Test della soluzione di BC per la mitigazione della causa dell’interruzione (es: Gruppo di
Continuità, telefoni satellitari, …)
Per i siti in Affidabilità: verifica dell’attestazione di esistenza di UPS, Gruppi Elettrogeni (GE), impianti
Frigo Termici (FT) e di tutti gli apparati elettrici/meccanici necessari a garantire l’affidabilità del sito.
Per i siti in Alta Affidabilità: verifica dell’attestazione di ridondanza di UPS, Gruppi Elettrogeni (GE),
impianti Frigo Termici (FT) e di tutti gli apparati elettrici/meccanici necessari a garantire l’alta
affidabilità del sito.
Verifica dell’esistenza dei piani di manutenzione annuali e degli esiti degli interventi condotti sugli
apparati elettrici/meccanici necessari a garantire l’affidabilità / alta affidabilità del sito.
Verifica che a seguito di interruzione di un servizio (energia, impianto frigo-termico, TLC), la
funzionalità da questo svolta venga ripristinata secondo la soluzione tecnologica definita e nei tempi
previsti.
Pagina 10 di 20
Simulazioni dell’interruzione dei servizi infrastrutturali (Es. simulazione del fermo dell’alimentazione
da rete ENEL ed attivazione del G.E.) con frequenze anche mensili per i siti in Alta Affidabilità.
Test del processo di BC per Indisponibilità Servizi Infrastrutturali
Verifica dell’esistenza e della completezza dei manuali tecnici di pronto intervento.
Verifica che le attività in essi indicate siano chiare e dettagliate in modo da poter essere eseguite
anche da risorse non esperte.
Test del processo di BC per Inaccessibilità dei Locali (trasferimento delle risorse)
Verificare che le misure organizzative di continuità operativa, previste dal Manuale Utente, siano
attuabili e che la documentazione a supporto del processo sia chiara e dettagliata ed includa
informazioni complete ed esaustive. Il test prevede il trasferimento di alcune risorse a campione,
appartenenti ad Uffici che svolgono un’operatività significativa in termini di processi vitali e critici.
Test del processo di BC per Indisponibilità Personale Essenziale (trasferimento
dell’operatività)
Verificare che gli utenti sostituti abbiano le competenze di base necessarie a garantire la continuità
operativa del processo loro assegnato. Il test prevede lo svolgimento, da parte di alcune risorse a
campione, di operatività legata a processi vitali e critici a loro assegnati in qualità di utenti sostituti.
Test della soluzione di BC per Perdita Documenti e Dotazioni specifiche
Il test prevede la verifica dell’effettiva presenza sui dischi di storage di rete di tutta la
documentazione ritenuta essenziale per lo svolgimento dei processi più critici.
Test di operatività società esterne fornitrici
A integrazione dello scenario “indisponibilità del personale” in quanto prevede la verifica
dell’eventuale soluzione di avere una “copertura estesa” da parte della società che fornisce il
pacchetto software.
Test del Modello Organizzativo di Gestione delle Crisi
Il test prevede una prima simulazione in role play, interna al Cantiere, di uno scenario di disastro di
BCP, finalizzato alla macro-verifica della validità del modello.
La seconda simulazione allargherà il perimetro tramite il coinvolgimento dei Cantieri realizzativi
impattati.
In seguito si procederà con la simulazione delle scenario di “Interruzione sistemi informativi”, che
vedrà il coinvolgimento delle strutture necessarie.
3 – BC e Progettazione organizzativa
La progettazione organizzativa8 si propone di definire modelli per la gestione e la divisione dei
compiti (processi amministrativi, produttivi, distributivi, ecc.) coerenti con gli obiettivi della banca.
Pertanto la BC, implementata per garantire la continuità operativa, non impone soltanto
l’individuazione di soluzioni operative per la gestione delle emergenze (e delle discontinuità), ma
8
Per progettazione organizzativa si intende l’insieme delle attività rivolte a realizzare e sostenere il
funzionamento dell’assetto organizzativo della banca, incidendo su processi, struttura, figure
professionali e competenze, sistemi informativi e di coordinamento, cultura.
Pagina 11 di 20
anche le adeguate modalità di distribuzione dei compiti, delle autonomie e delle responsabilità tra i
vari organi aziendali in rapporto alla BC stessa.
In tale ambito, la gestione della BC deve essere trasversale alla banca, attraverso l’impiego di
adeguate risorse, strutture e metodologie.
Questo può essere garantito tramite:
•
mandato dell’Alta Direzione che identifichi nella funzione di BC l’owner della gestione della
continuità operativa;
•
adeguato posizionamento della funzione di BC, che le conferisca l’autorità necessaria al
raggiungimento degli obiettivi prefissati;
•
dotazione di mezzi, risorse e competenze adeguate alla funzione di BC;
•
regole interne che facilitino la gestione della continuità operativa;
•
presidi organizzativi e operativi atti ad evitare disallineamenti con l’insieme delle regole
esterne ed interne;
•
utilizzo di risorse con dipendenza funzionale dalla funzione di BC, integrate nelle aree
operative.
Gli studi condotti nell’ambito dell’organizzazione aziendale9 individuano inoltre uno stretto rapporto
tra cultura ed efficacia organizzativa, suggerendo il perseguimento del corretto equilibrio tra valori
culturali, strategia organizzativa, struttura e ambiente con l’obiettivo di migliorare le performance
organizzative.
Tra gli obiettivi della banca vi è pertanto lo sviluppo della cultura del rischio e di BC per prevenire
comportamenti operativi e iniziative di management rischiosi e/o dannosi per la continuità del
business. Per ottenere tali risultati sono auspicabili:
•
promozione e sponsorship dell’Alta Direzione nella definizione di attività formative e
informative;
•
coinvolgimento fattivo delle risorse nella definizione del piano di BC;
•
partecipazione delle risorse alle fasi di Test.
3.1 – Modelli organizzativi per l’approccio alla gestione del cambiamento
La funzione di BC ha la responsabilità di realizzare il piano di continuità operativa e aggiornarlo sulla
base dei cambiamenti che si verificano all’interno della banca.
Il coordinamento della gestione del cambiamento nella BC tra la funzione centrale responsabile e gli
organi periferici (BC Manager di settore) può avvenire attraverso due modelli, che nella pratica
tendono a sovrapporsi con facilità dando origine ad approcci intermedi.
Possono quindi essere definiti i seguenti archetipi, ovvero schematizzazioni di comportamenti
organizzativi che la banca adotta a seconda della propria dimensione, cultura organizzativa, contesto
territoriale, ecc.
Modello
accentrato
9
La funzione BC è completamente autonoma e dotata di risorse adeguate per
numero e competenza professionale. Resta dunque l’unica realtà aziendale che si
occupa della gestione della BC, assumendo l’onere di registrare, verificare e
presidiare i cambiamenti avvenuti all’interno della banca e che comportano un
aggiornamento del BCP. I BC Manger di settore hanno il ruolo di referenti presso le
DAFT R., “Organizzazione Aziendale”, Apogeo, Milano 2001
Pagina 12 di 20
componenti periferiche della banca e di consulenti per l’implementazione di
soluzioni che riguardano il processo o l’area da loro presidiata.
L’efficacia di questo modello è potenzialmente molto elevata, a patto che non
degeneri in una burocratizzazione eccessiva e comporti la duplicazione di
competenze e ownership tra i soggetti coinvolti (es: tra UO di BC e BC manager
settoriali).
E’ un modello molto oneroso in termini di risorse e tempi di risposta al
cambiamento, riscontrabile in organizzazioni di grosse dimensioni e con gerarchie
ben definite, che approcciano la gestione della BC in modo monarchico10.
Modello
decentrato
La responsabilità del cambiamento è in capo al BC manger e all’UO di BC. Essi
hanno il compito di coordinare le attività dei BC manger settoriali che hanno un
ruolo attivo nel segnalare i cambiamenti organizzativi e nel proporre le soluzioni di
presidio. Questi ultimi hanno anche la responsabilità di apportare modifiche di
limitato impatto al piano di BC, come ad esempio l’aggiornamento delle liste di
contatto relative al proprio ambito operativo.
Tale modello riduce lo sforzo e il numero di risorse necessari alla UO di BC nella
gestione del cambiamento, nonostante implichi una maggiore complessità nel
coordinare i livelli di responsabilità e i flussi informativi coinvolti. E’ un modello
adottato da organizzazioni principalmente federali con un basso livello di
burocratizzazione e una cultura aziendale improntata sulla collaborazione, la
valorizzazione delle competenze e la delega delle responsabilità.
3.2 - Gestione del cambiamento organizzativo e BC
I cambiamenti che impongono alla banca una modifica del BCP sono classificabili generalmente in tre
categorie:
1.
2.
3.
Cambiamenti nella distribuzione geografica e/o territoriale
Modifiche nella struttura aziendale
Evoluzione delle Soluzioni tecnologiche
Al verificarsi del cambiamento, la banca necessita di mantenere il proprio BCP aggiornato attraverso
due approcci:
1.
Definizione delle soluzioni di BC ex-post rispetto al cambiamento organizzativo
(manutenzione evolutiva del BCP) attraverso le fasi del BC Management tradizionali e già
consolidate all’interno della banca;
2.
Verifiche della conformità alla “normativa di BC” ex-ante rispetto al cambiamento
organizzativo, “anticipando” i cambiamenti e coadiuvando le fasi progettuali.
La conformità viene assicurata attraverso:
10
Modello di gestione dell BC molto accentrato per quanto riguarda lo stile di governance e
rigoroso nelle metodologie. Gestisce dalla sede centrale le iniziative che coinvolgono anche le aree
più periferiche. Ha il vantaggio di essere efficace e contenere i costi, ma lo svantaggio di risultare
piuttosto rigido e poco versatile specialmente con riferimento ai contesti particolari (condizionati da
diverse culture aziendali, diversi sistemi informativi, processi ecc…) - Cfr. Rapporto di Ricerca
CeTIF: “Basilea 2 e Business Continuity, soluzioni tecnologiche e organizzative – Fase 2”, Milano,
2005
Pagina 13 di 20
•
emanazione di principi e linee guida, ovvero la formulazione di una normativa interna
che favorisca la diffusione e lo sviluppo della cultura della BC e supporti la funzione in
oggetto nel presidio delle minacce alla continuità operativa;
•
partecipazione a comitati e gruppi di lavoro dell’area organizzazione, in cui la figura
preposta alla tutela della continuità operativa ha la possibilità di segnalare le
problematiche di BC e ipotizzare elementi di presidio e mitigazione del rischio (es:
partecipazione al “comitato rischi operativi”);
•
attività di consulenza nelle fasi progettuali, con il fine di evitare e/o limitare involontari
ed eccessivi disallineamenti tra gli output del progetto e le esigenze di gestione della
continuità operativa (es: insediamento di un nuovo CED che non rispetti i la distanza
minima da quello già esistente);
•
attività di revisione e validazione del cambiamento (prima della sua implementazione),
segnalando le criticità del progetto rispetto alla BC e proponendo le modifiche che si
reputano necessarie e attuabili (che non limitino l’efficacia del progetto e non si rivelino
eccessivamente costose).
Le modalità di approccio ex-ante presentano quindi caratteristiche e modalità di impiego differenti.
Gli attori coinvolti nell’impiego di tali strumenti, oltre alla funzione BC quale owner della continuità
operativa, sono:
•
organizzazione e logistica: attori principali del processo di progettazione organizzativa e
di gestione del cambiamento organizzativo;
•
personale/HR: unità coinvolta per le modifiche e i cambiamenti nella distribuzione dei
ruoli, delle responsabilità e delle dipendenze all’interno della struttura organizzativa
aziendale, o per quanto concerne attività formative collegate al cambiamento;
•
Process Owner e BC Manager settoriali: massima espressione della competenza e della
conoscenza relativamente ai processi coinvolti nel cambiamento;
•
sistemi informativi: coinvolti limitatamente all’impatto del cambiamento su specifiche
soluzioni tecnologiche, anche collegate direttamente alla BC (esempio: Disaster Recovery e
sistemi di Alta Affidabilità).
Per ognuno di essi, riportati a seconda del grado di efficacia, vengono in seguito specificati vantaggi,
svantaggi e periodicità, come riassunti nella Tabella 1:
Pagina 14 di 20
Tabella 1 – Strumenti di gestione del cambiamento ex-ante
Strumento
Vantaggi
Svantaggi
Attività di
consulenza nelle
fasi progettuali
Coerenza/conformità ai
requisiti di BC in modo
“nativo”, riduzione
dell’impatto sulle soluzioni
già implementate e
aggiornamento delle stesse
in tempo reale, migliore
compromesso
costo/soluzione
Impatto negativo sui tempi
di realizzazione dei
cambiamenti, maggiore
dimensionamento della
struttura BC, complessità di
gestione delle relazioni
Partecipazione a
comitati e gruppi
di lavoro
Valutazione formale delle
problematiche di BC,
veicolare le problematiche
della BC in modo più diretto,
riduzione dell’impatto sulle
soluzioni già implementate
maggiore dimensionamento
della struttura BC,
appesantimento delle
attività di revisione
Emanazione di
principi e linee
guida
Diffusione cultura BC,
coinvolgimento formale nella
gestione del cambiamento
Complessità di
compromesso tra soluzione
e garanzia di BC, aumento
dei vincoli in fase
progettuale
Attività di
revisione e
validazione del
cambiamento
Feedback formale sulle
soluzioni adottate, revisione
dei progetti non conformi
alla BC
Scarsa possibilità di agire
sul cambiamento, tempi e
costi dell’attività di
revisione
Attori Coinvolti
Funzione BC,
Organizzazione,
Logistica,
Personale, Process
Owner (CIO/IT su
Soluzioni Tech)
Efficacia
Periodicità
Periodicità
Massima
Semestrale e al
verificarsi del
cambiamento
Alta
Trimestrale e al
cambiamento /
su richiesta
Medio
/bassa
Annuale /
Semestrale
Bassa
Su ogni
progetto
Fonte: CeTIF 2006
Pagina 15 di 20
4 - Approccio alla gestione dei rischi
Il rischio operativo è una variabile determinante per quanto riguarda il business del settore bancario
e la sua gestione, normata dal Comitato di Basilea, riveste un ruolo fondamentale per garantire la
stabilità della banca attraverso l’allocazione di adeguati livelli patrimoniali.
L’obiettivo è di misurare e gestire tali requisiti patrimoniali e allocare il capitale necessario affinché
l’organizzazione non soltanto abbia la possibilità di evitare possibili perdite finanziarie, ma anche
l’opportunità di gestire efficacemente i propri investimenti e produrre miglioramenti in efficienza,
incidendo sui costi operativi.
Quanto finora affermato si inserisce in un contesto di transizione ed evoluzione da una prospettiva di
“Loss Management”, focalizzata a registrare in modo puntuale le perdite operative, a un approccio
che potrebbe essere definito “Risk and Process Management”, dove l’attenzione viene incentrata sui
processi bancari e sulle loro performance e il rischio assume i connotati di una variabile legata alla
capacità di presidiarli e gestirli; il risk management viene cioè ad assumere un importante ruolo nella
gestione per processi11.
La tabella 2 pone in evidenza alcuni tra gli elementi che differenziano le due concezioni:
Tabella 2 – Confronto tra Loss Management e Risk & Process Management
Caratteristiche
Loss Management
Risk & Process Management
Registrazione delle perdite ex-post
Registrazione delle perdite, analisi dei
dati e mitigazione dei rischi
Dati di perdita
Rischio e performance di processo
Definizione dei requisiti patrimoniali
Riduzione del rischio e miglioramento
delle performance
Attori Coinvolti
ORM
ORM, BC, Compliance, Organizzazione
e stakeholder (IT, HR, Legale, ecc.)
Analisi dei dati
Dati Storici per conoscenza del
“passato”
Dati storici e previsionali con uno
“sguardo al futuro”
Vision
Oggetto di misurazione
Obiettivo
Fonte: CeTIF 2006
Vision
l’evoluzione dell’approccio non prende in considerazione esclusivamente la
registrazione delle perdite, ma si allarga all’analisi dei dati e allo studio di soluzioni
11
La gestione per processi si configura come trasversale alle funzioni aziendali, focalizzando
l’attenzione sull’intero processo di creazione del valore aziendale, dall’input delle risorse all’output
di prodotto. Il processo è la sequenza delle attività, ovvero il criterio secondo il quale le attività si
susseguono in modo interdipendente attraverso legami di tipo generico, sequenziale e reciproco.
I processi aziendali si caratterizzano, inoltre, per le risorse che necessariamente devono essere
utilizzate per produrre gli output, tali risorse possono essere energie personali, tempo, risorse
finanziarie e materiali. L’esito del processo, o output, è inteso come l’unità materiale o immateriale
che scaturisce dallo svolgere delle attività di processo. I clienti sono intesi come i destinatari
dell’output del processo. Il processo aziendale è, inoltre, caratterizzato dal sistema di misurazione e
controllo delle performance, ovvero dall’insieme di criteri che definiscono le modalità attraverso le
quali il processo dovrebbe operare attraverso l’utilizzo di parametri che limitano e regolano il
funzionamento delle attività.
Pagina 16 di 20
per la mitigazione dei rischi attraverso l’ottimizzazione dei processi di business.
Oggetto di
misurazione
Le banche che adottano modelli organizzativi emergenti, in particolare orientati ai
processi, necessitano di sistemi di misurazione delle performance coerenti con gli
obiettivi che la struttura organizzativa si propone di raggiungere. Il focus si sposta
dunque sulle performance dei processi, la cui misurazione contribuisce alla stima
del rischio operativo e alla progettazione/reindirizzo delle strategie della banca.
La caratteristica principale dei sistemi di misurazione risiede nella loro capacità di
fornire un feedback utile al processo di apprendimento strategico che consente di
adeguare la strategia intrapresa in relazione alle capacità delle risorse aziendali, e
di migliorare le inefficienze riscontrate.
Obiettivo
Oltre alla definizione dei requisiti patrimoniali di vigilanza, l’analisi dei dati viene
utilizzata come input per la progettazione delle soluzioni di mitigazione; la
misurazione delle performance dei processi è utilizzata per il miglioramento in
efficienza ed efficacia delle performance stesse, a garanzia della soddisfazione
dell’utente finale.
Attori
Coinvolti
La gestione del rischio operativo è agevolata anche dal coinvolgimento degli attori
di processo nella ricerca di un maggior presidio sulle attività che presentano livelli
di rischio più elevati. Il numero degli attori coinvolti include dunque funzioni legate
al process management e ai molteplici aspetti del rischio operativo (normativo,
legale, reputazionale ecc.) in un modello basato sulle interrelazioni e le sinergie
collaborative tra le diverse funzioni (Cfr. paragrafo 4.3).
Analisi dei
dati
La misurazione del rischio non fornisce esclusivamente un’immagine del passato,
attraverso lo studio dei dati storici di perdita, ma anche un “occhio sul futuro”
grazie all’integrazione del sistema di misurazione tradizionale con un sistema di
Self Risk Assessment: esso rappresenta l’elemento che completa la misurazione dei
rischi operativi, sopperendo all’incompletezza informativa dell’analisi dei dati di
perdita e fornendo una prospettiva forward looking.
La moderna prospettiva di Risk Management nasce dall’esigenza della banca di fare fronte
all’aumento della complessità nella gestione dei rischi, in particolare dovuta al presidio del rischio
operativo, fino a oggi meno considerato rispetto al rischio di credito e di mercato.
Proprio la normativa e l’esigenza di rendersi conformi a essa hanno portato la banca a implementare
unità organizzative ad hoc, quali la recente funzione Compliance e, precedentemente, Audit, in
qualità di revisore interno.
Fino ad oggi le verifiche di conformità sono state eseguite dall’Internal Audit, funzione indipendente e
in linea solo agli organi apicali, che ha l’obiettivo di revisionare le varie operazioni poste in essere e
verificarne la correttezza rispetto a quanto definito dalle norme interne ed esterne alla banca.
Volendo dunque generalizzare un modello evoluto di gestione dei rischi operativi, è possibile
sostenere che il BCM e l’ORM vengono affiancati principalmente da due funzioni: la Compliance e
l’Organizzazione, in qualità di responsabile dei processi operativi e dell’attuazione delle soluzioni per il
presidio e la mitigazione dei rischi e per l’ottimizzazione delle performance dei processi.
La Figura 3 descrive graficamente il modello:
Pagina 17 di 20
Figura 3 – Attori coinvolti nella Gestione del Rischio
Sicurezza
BUSINESS CONTINUITY: tutela e
gestione della continuità operativa,
mitigazione dei rischi operativi, analisi
e produzione dei dati relativi al rischio
BC
RM
ORGANIZZAZIONE: Responsabili dei
processi operativi e della loro
aderenza al Risk & Compliance
Management
Org.
CM
IT
Audit
RISK MANAGEMENT: Da una
misurazione delle pedite ex-post ad
attività di mitigazione ex-ante sulla
base dei dati analizzati
COMPLIANCE: Garante del
rispetto di una normativa “esterna”
(legislatura) e interna (conformità
agli obiettivi di business)
Legale
HR
Fonte: CeTIF 2006
Oltre alle funzioni sopradescritte, nella figura sono evidenziate altre funzioni coinvolte nel modello in
qualità di stakeholder:
•
Sicurezza, in qualità di funzione a presidio del rischio tecnologico e per la tutela
dell’integrità, della disponibilità e della riservatezza dei dati;
•
IT e Human Resources, con il compito di supportare l’organizzazione attraverso
tecnologie abilitanti, attività di formazione o gestione del personale preposto alle diverse
attività/processi oggetto dell’ORM;
•
Legale, a coadiuvare e rafforzare il presidio della Compliance sul rischio normativo;
•
Audit, con riferimento a quanto precedentemente descritto, in qualità di supervisore e
validatore dell’intera attività del modello di gestione del rischio.
Le frecce che in figura collegano le varie funzioni rappresentano i flussi informativi e la condivisione
di strumenti e metodologie che intercorrono tra gli attori del modello.
Le performance dei processi della banca possano dunque essere considerati il punto focale e l’anello
di congiunzione tra le attività di ORM e di BCM, accomunate dalle seguenti attività:
•
Mappatura dei processi;
•
Analisi dei dati sull’operatività come sistema predittivo (es: KRI e KPI);
•
Attività di mitigazione e tutela della continuità;
Mappatura dei
processi
(output e
metodologie):
La fase di mappatura dei processi consente al management di prendere
visione delle principali criticità di processo, ma anche delle potenzialità degli
stessi, allo scopo di sviluppare politiche di miglioramento dell’efficienza
coerenti con gli obiettivi definiti a livello di strategia d’impresa.
Per la creazione di una base dati comune focalizzata sulle performance e sui
rischi legati ai processi è indubbia l’utilità per l’ORM di una mappatura
puntuale, univoca e “moderna” come quella eseguita dalla BC nella fase di
Analisi degli Impatti sul Business. E’ bene precisare che la mappatura in
questione riguarda i processi critici e vitali oggetto della normativa emanata da
Banca d’Italia, ma, nel passaggio alla creazione di una base dati comune, è
possibile trasferire le metodologie e le competenze utilizzate per la mappatura
Pagina 18 di 20
in questione, allargandone la prospettiva ai diversi processi. L’applicazione di
pratiche già consolidate determina un significativo aumento in efficienza di
tale attività.
Valutazione
“business” dei
processi e delle
rischiosità “high
severity, low
frequency”:
le pratiche e i risultati di misurazione delle rischiosità degli eventi presidiati
dall’ORM (low severity, high frequency) possono essere integrate da quelle
utilizzate dalla BC.
La valutazione della rischiosità è infatti effettuata in rapporto a eventi di crisi e
disastro (high severity, low frequency) e riguarda anche elementi tipicamente
di business, come valori, volumi, tempistiche, ecc., costituendo un importante
punto di partenza per l’approccio risk & process management. L’allargamento
dell’attività di valutazione ai diversi processi bancari (o al numero di essi che si
ritiene opportuno) rientra nella definizione di una base dati comune per la
gestione dell’operatività.
Soluzioni per la
continuità
operativa e BCP:
le soluzioni tecnologiche e organizzative implementate dalla banca possono
essere riadattate al contesto di minore portata e applicate anche nella
mitigazione e gestione dei RO. Per esempio, le tecnologie implementate per il
DR, per i siti in Affidabilità e Alta Affidabilità, hanno l’obiettivo di ridurre RTO e
RPO in modo sensibile, garantendo la riduzione dell’impatto sul business
anche nei casi di discontinuità di scarsa portata. Sempre con l’obiettivo di
riutilizzare gli investimenti effettuati in tecnologie per la continuità, l’adozione
di innovative politiche per la redistribuzione tra i CED del carico elaborativo
offre inoltre la possibilità di ottimizzare le performance dei processi, ottenendo
misurazioni più efficienti e, di conseguenza, ridurre il patrimonio di vigilanza.
Pagina 19 di 20
CeTIF
Università Cattolica del Sacro Cuore
Largo Gemelli, 1 - 20123 Milano
Tel. + 39 02 72342590
Fax. + 39 02 43980770
E-mail: [email protected]
www.cetif.it
Pagina 20 di 20

Pratiche di Eccellenza in Test e Manutenzione della Business

Transcript

Documenti analoghi

Naturalmente commerciale

Enzo Rocca Biografia È Vice Direttore Generale del Credito

master data management

assicurazione bnp

PSP: normativa, business e tecnologia per i nuovi attori dei pagamenti

commenti pagella prossimi passi

borsa TaylorMade

COMUNICATO STAMPA

Innovare le strategie di Customer Relationship Management in