Pratiche di Eccellenza in Test e Manutenzione della Business
Transcript
Pratiche di Eccellenza in Test e Manutenzione della Business
Basilea II e Business Continuity: Soluzioni Tecnologiche e Organizzative – Fase III Pratiche di Eccellenza in Test e Manutenzione della Business Continuity Sintesi dei contenuti del Competence Centre Basilea II e Business Continuity: soluzioni tecnologiche e organizzative – Fase3 © CeTIF, 2006. Tutti i diritti riservati. Pagina 1 di 20 Basilea II e Business Continuity: Soluzioni Tecnologiche e Organizzative – Fase III Pubblicato nel mese di marzo 2007, Copyright © CeTIF. Tutti i diritti riservati. Ogni utilizzo o riproduzione anche parziale del presente documento non è consentita senza previa autorizzazione di CeTIF. DISCLAIMER: CeTIF assicura che il presente documento è stato realizzato con la massima cura e con tutta la professionalità acquisita nel corso della sua lunga attività. Tuttavia, stante la pluralità delle fonti d’informazione e nonostante il meticoloso impegno da parte di CeTIF affinché le informazioni contenute siano esatte al momento della pubblicazione, né CeTIF né i suoi collaboratori possono promettere o garantire (anche nei confronti di terzi) esplicitamente o implicitamente l'esattezza, l'affidabilità o la completezza di tali informazioni. CeTIF, pertanto, declina qualsiasi responsabilità per eventuali danni, di qualsiasi tipo, che possano derivare dall'uso delle informazioni contenute nel presente rapporto. Si evidenzia, inoltre, che il presente rapporto potrebbe contenere proiezioni future o altre dichiarazioni in chiave prospettica, circostanza che comporta rischi e incertezze. Si avvisano pertanto i lettori che tali affermazioni sono solamente previsioni e potrebbero quindi discostarsi in modo considerevole dagli effettivi riscontri ed eventi futuri. CeTIF declina fin d’ora qualsiasi responsabilità e garanzia in relazione a tali proiezioni. © CeTIF, 2006. Tutti i diritti riservati. Pagina 2 di 20 Basilea II e Business Continuity: Soluzioni Tecnologiche e Organizzative - Fase III Premessa Il presente documento sintetizza gli output prodotti dal Competence Centre “Basilea 2 e Business Continuity: soluzioni tecnologiche e organizzative – fase3”, svoltosi nel periodo maggio – novembre 2006 e i cui risultati in forma estesa sono contenuti nel relativo rapporto di ricerca. Lo scopo della presente pubblicazione è quello di presentare e suggerire alle banche italiane le principali pratiche di eccellenza nella gestione del test e della manutenzione della BC, raccolte al tavolo di lavoro e condivise dalle banche partecipanti ai lavori. E’ inoltre analizzato il modello a tendere delle banche italiane nella gestione dei rischi. Le istituzioni che hanno preso parte al Competence Centre e contribuito a definire tali principi sono (in ordine alfabetico): Banca Antonveneta – ABN AMRO, Banca Monte dei Paschi di Siena, Banca Popolare di Milano, Banca Popolare di Sondrio, Consorzio Operativo Gruppo MPS, Hewlett Packard Italiana, Intesa Sanpaolo1, Lombarda Sistemi e Servizi, Poste Italiane, Unicredit Produzioni Accentrate. Gli incontri sono stati organizzati e gestiti dal Gruppo di Lavoro CeTIF nelle persone di: • Chiara Frigerio • Paolo Gatelli • Federico Rajola 1 Presente al Competence Centre, precedente alla fusione, come Banca Intesa e Sanpaolo IMI © CeTIF, 2006. Tutti i diritti riservati. Pagina 3 di 20 Basilea II e Business Continuity: Soluzioni Tecnologiche e Organizzative - Fase III © CeTIF, 2006. Tutti i diritti riservati. Pagina 4 di 20 Basilea II e Business Continuity: Soluzioni Tecnologiche e Organizzative - Fase III Pratiche di Eccellenza in Test e Manutenzione della BC 1 – BCM e Manutenzione La manutenzione del BCP è definita come l’insieme delle procedure che riguardano la revisione e l’aggiornamento del piano di business continuity. Gli attori coinvolti nella manutenzione del BCP sono, oltre alla funzione BC, l’organizzazione (quale responsabile della definizione dei processi di business), i process owner (processi critici e vitali), l’Internal Audit (per la revisione e il controllo della conformità del piano di BC e dei relativi test delle soluzioni adottate). La manutenzione del piano di BC, sulla base di quanto indicato da Banca d’Italia, ha origine da quattro categorie di input: 1. Risultato dei test, che segnala le inadeguatezze del BCP; 2. Incidenti e Crisi, nella sfortunata ipotesi che si dovessero verificare interruzioni dell’operatività dovute a mancanze del BCP; 3. Indicazioni/Valutazioni provenienti da Terze Parti Indipendenti (per esempio società di revisione), cioè soggetti esterni alla banca esplicitamente previsti da Banca d’Italia come strumento di validazione delle soluzioni implementate; 4. Altre Cause di Revisione, cioè cambiamenti intrinseci alla banca con impatto sui processi critici e vitali (es: modifiche nella distribuzione geografica/territoriale, nella struttura organizzativa, nella dotazione tecnologica ecc.). Le mancanze o le inadeguatezze riscontrate in seguito a quanto sopra elencato danno origine a due forme di manutenzione: • Aggiornamento Migliorativo/Correttivo – le modifiche che si rendono necessarie sono di ampiezza sufficientemente limitata e sono realizzabili con tempi e sforzi contenuti. Una volta ipotizzato il correttivo, il ciclo di BCM viene riattivato a partire dalla fase di design, dove la soluzione viene progettata sulla base delle necessità manifestatesi; • Aggiornamento Evolutivo – il piano di BC diviene oggetto di modifiche sostanziali dovute, per esempio, a nuovi processi vitali e critici, scenari di crisi precedentemente non contemplati e mancanze ostative rispetto alla conformità della banca alla normativa di BC. Tale ambito implica uno sforzo maggiore da parte del BCM, ovvero lo svolgimento della BIA sulla base della quale valutare e progettare in seguito le soluzioni a presidio della continuità operativa. 2 - Metodologia di Test La fase di test consiste nella pianificazione e nell’esercizio delle verifiche delle procedure inserite nel BCP a salvaguardia della continuità operativa. I risultati dei test vengono documentati e presentati all’Alta Direzione; le parti di competenza vengono inoltre portate all’attenzione dell’auditing e delle Unità Operative (UO) coinvolte. Il concetto di Test può inoltre essere allargato a una prospettiva più ampia, riconoscendogli un ruolo fondamentale anche in altri contesti dell’organizzazione: © CeTIF, 2006. Tutti i diritti riservati. Pagina 5 di 20 Basilea II e Business Continuity: Soluzioni Tecnologiche e Organizzative - Fase III 1. da un lato si evidenzia un approccio “meccanicistico” al test, per cui si rende necessaria una strutturata attività di progettazione e gestione delle prove, ivi compresa la documentazione che deve essere redatta in conformità alle direttive imposte dall’Organo di Vigilanza; 2. in secondo luogo emerge una dimensione “sociale” in cui il test dimostra di possedere legami con le attività di Gestione delle Risorse Umane e di Change Management. Volendo sintetizzare gli obiettivi da perseguire attraverso la fase di test, è possibile differenziare all’interno dell’elenco seguente quali afferiscono alla prima prospettiva (meccanicistica) e quali alla seconda (sociale): Prospettiva Meccanicistica: • Conformità alla normativa o Prova dell’efficacia del BCP; o Aggiornamento del BCP; o Documentazione dei risultati; o Gestione degli outsourcer; o Coinvolgimento dei vertici aziendali. • Miglioramenti in efficienza ed efficacia o Miglioramento di RTO e RPO; o Reingenierizzazione dei processi; o Riduzione dei casi di discontinuità; o Eliminazione di soluzioni superflue. Prospettiva Sociale: • Sensibilizzazione e formazione risorse o Creazione di una “cultura adattiva”2; o Miglioramento di professionalità e competenza; o Responsabilizzazione e motivazione delle risorse; o Arricchimento degli elementi di valutazione sulle risorse. • Coinvolgimento e percezione del valore da parte degli stakeholder o Mantenimento dei livelli di servizio prestabiliti; o Raggiungimento degli obiettivi strategici e di progetto; o Garanzia di trasparenza in costi, strategie e benefici; o Aumento del valore del brand. Le fasi generalmente contemplate nell’approccio al test possono essere riassunte come segue: 1. Definizione ambito della fase di Test: svolta dall’Unità Operativa (UO) dedicata alla BC3 ed è preliminare alle attività di programmazione dei Test annuali. Ha l’obiettivo di identificare e raccogliere le informazioni che sono necessarie per pianificare annualmente un’efficace e omnicomprensiva attività di Test. I risultati e la documentazione relativa a tale fase potrebbero costituire un appendice del Piano di Continuità Operativa. 2 Cultura aziendale adatta a favorire comportamenti adattivi: gli studi sociologici dimostrano che un individuo, calato in un contesto di crisi, valuta l’intensità del rischio, le possibili opportunità a sua disposizione e le conseguenze relative alle differenti scelte, per arrivare a preferire l’azione considerata più vantaggiosa. L’emergenza, dunque, evidenzia la necessità di impiegare processi comunicativi interni all’azienda efficaci e finalizzati a sviluppare comportamenti allineati con le strategie di business continuity, con il fine di ridurre il livello percettivo della crisi e mantenere minimo l’impatto sull’organizzazione. 3 Per le organizzazioni che non hanno dedicato un’Unità Operativa alla gestione della BC, si intende il Gruppo di Progetto che segue la realizzazione del BCP © CeTIF, 2006. Tutti i diritti riservati. Pagina 6 di 20 Basilea II e Business Continuity: Soluzioni Tecnologiche e Organizzative - Fase III 2. 3. 4. 5. Definizione del piano annuale di Test: svolta annualmente dall’UO di BC. Ha l’obiettivo di pianificare un efficace e omnicomprensiva attività di Test individuando tempi, modalità e risorse coinvolte, sfruttando il ventaglio di possibilità offerto dall’utilizzo delle informazioni collezionate nel corso della fase 1; Test del BCP: vengono attuate le attività programmate durante le fasi precedenti, che si concretizzano nell’esecuzione delle procedure previste dal BCP per fare fronte alle situazioni di emergenza. Analisi risultati e formalizzazione: svolta nell’ottica di individuare quali siano le eventuali mancanze o le procedure che possono essere migliorate e, più raramente, quali parti del piano siano totalmente inadeguate e necessitino dunque di una totale riprogettazione. Viene svolta dall’UO di BC sulla base dei feedback della fase precedente ; Adeguamento del BCP: svolta dall’UO BC e prevede l’approvazione da parte dell’Alta Direzione. Ha l’obiettivo di progettare e implementare i correttivi che è necessario apportare al BCP sulla base dei feedback prodotti nella fase precedente ed emersi in seguito all’esecuzione del Test. Figura 1 –Test e Manutenzione del BCP Fase preliminare 1 Definizione ambito della fase di Test 1. Definizione categorie di test 2. Definizione livelli e obiettivi 3. Definizione di ruoli e responsabilità 4. Definizione dei destinatari della documentazione 5. Predisposizione dei modelli di report Aggiornamento Migliorativo Test 2 Definizione del piano annuale di Test 1. Definizione livelli, tempi e modalità 2. Definizione delle attività 3. Definizione controlli e scelta dei modelli di report da utilizzare 3 Test del BCP 4 Analisi risultati e formalizzazione 5 Adeguamento del BCP 1. Organizzazione del Test 1. Produzione dei documenti 1. Revisione strategie 2. Esecuzione del test 2. Valutazione risorse coinvolte 2. Implementazion e delle modifiche 3. Monitoraggio dell’esecuzione 3. Valutazione dei risultati 4. Delivery della documentazione 3. Approvazione 4. Education and training 4. Approvazione 5. Comunicazione all’Audit Fonte: CeTIF 2006 2.1 – Metodi e modalità I metodi (il tipo di verifica e i criteri con la quale essa viene effettuata) e le modalità (come il tipo di verifica viene condotto dal punto di vista del coinvolgimento delle risorse) generalmente utilizzati per l’esecuzione del test sono molteplici e la combinazione di questi elementi concorre a determinare il livello di complessità generale del test. I metodi più frequentemente utilizzati si dividono in verifiche teoriche (svolte intorno a un tavolo) o pratiche (che comportano l’esecuzione reale delle azioni da intraprendere in caso di emergenza). © CeTIF, 2006. Tutti i diritti riservati. Pagina 7 di 20 Basilea II e Business Continuity: Soluzioni Tecnologiche e Organizzative - Fase III Di seguito è riportata una breve descrizione4: • Table Top: verifica teorica eseguita “intorno a un tavolo” con il coinvolgimento dei responsabili del progetto BC e dell’Audit in veste di revisore; • Walk Through: verifica teorica analoga alla precedente ed estesa all’interazione con i soggetti delle UO coinvolte nelle procedure di emergenza testate; • Business Game/Roleplaying: verifica teorica della capacità di risposta a una situazione di crisi in cui i partecipanti “recitano” intorno ad un tavolo il ruolo e le azioni che intraprenderebbero al verificarsi dell’emergenza; • Simulazione: verifica pratica (ovvero con il coinvolgimento fisico e reale delle risorse appartenenti alla struttura oggetto del test) che prevede la realizzazione pratica delle procedure di emergenza al verificarsi di uno scenario prestabilito; • Technical disaster recovery: verifica pratica di attivazione del sito alternativo (anche con dati a perdere); • Metodo Misto: combinazione di metodi teorici e pratici con l’obiettivo di non condizionare eccessivamente l’operatività e limitare i costi del test, mantenendone immutata l’efficacia. Le modalità con le quali è condotto il test sono definite dalla combinazione di opzioni alternative, in particolare: • Piena avvertenza/non avvertenza: scelta che fa riferimento all’opportunità o meno di informare le risorse coinvolte circa la data, l’ora, il metodo, le procedure oggetto di test ecc. Tale scelta può collocarsi tra i due estremi sopra detti, dove una soluzione intermedia potrebbe essere informare le risorse limitatamente a un numero ristretto di variabili (es: data); • In operatività/in non operatività: il test può essere svolto durante giorni e orari lavorativi o non lavorativi, considerando da una parte il rischio legato a un’interruzione dell’operatività dovuta all’esecuzione stessa del test, dall’altra il costo delle risorse impiegate durante i giorni festivi; • Pianificato/non pianificato: tale scelta fa riferimento all’esecuzione delle verifiche limitatamente alle procedure individuate nella pianificazione preliminare dell’attività, quanto piuttosto alla decisione di scegliere in maniera contingente l’oggetto del test (esempio: durante una simulazione di scenario). Una scelta intermedia, durante un test già pianificato, potrebbe essere quella di includere ulteriori procedure, a seconda della sensibilità del coordinatore del test. La normativa5 prevede che sono programmate ed effettuate prove con differenti frequenze e livelli di dettaglio, in base alla criticità dei processi coinvolti e al rischio associato allo scenario in oggetto. Secondo lo stesso criterio vengono coinvolti un numero maggiore o minore di attori, sia interni, sia esterni alla banca (outsourcer, controparti rilevanti, ecc.). 4 MITTS J.S., “Business Continuity and Disaster Recovery Plans: how and when to test them” in EDPACS, Taylor & Francis Group, 2005 5 BANCA D’ITALIA, “Gestione della Continuità Operativa”, nota informativa del 15 luglio 2004 © CeTIF, 2006. Tutti i diritti riservati. Pagina 8 di 20 Basilea II e Business Continuity: Soluzioni Tecnologiche e Organizzative - Fase III La figura 26 rappresenta un’ipotesi di percorso nell’approccio alla definizione di livelli crescenti di complessità: Figura 2 – Attori coinvolti nella Gestione del Rischio Ampiezza/realisticità scenario di disastro Modalità di conduzione test (verifiche sulla cartasimulazioni) Nr Processi BIA verificati Nr PLT/PC oggetto di test Nr Unità organizzative coinvolte Nr/ tipologia Enti esterni coinvolti …. Fonte: Banca Intesa 2006 2.2 – Tassonomia dei Test della BC7 Come si diceva, i test sono condotti attraverso differenti modalità e con livelli di dettaglio differenti sulla base dei processi di business (critici e vitali) e di gestione della continuità. I test condotti al momento da gran parte del settore bancario italiano sono riassumibili nel seguente elenco: Test del processo di Disaster Recovery Verifica disponibilità del Manuale di DR (istruzioni per le differenti funzioni aziendali coinvolte nel DR). 6 Presentazione effettuata da Banca Intesa nel terzo incontro del Competence Centre, 3 ottobre 2006, Milano 7 La tassonomia dei test nasce per definire una nomenclatura comune e standardizzare le tipologie di verifiche da condurre all’interno delle banche partecipanti al C.C. Il presente elenco è stato realizzato e gentilmente presentato al tavolo di lavoro da Banca Intesa e parzialmente integrato sulla base dell’esperienze svolte da altre banche. © CeTIF, 2006. Tutti i diritti riservati. Pagina 9 di 20 Basilea II e Business Continuity: Soluzioni Tecnologiche e Organizzative - Fase III Verifica efficacia delle check-list, delle sequenze e parallelismi previsti nel Manuale di DR e che la documentazione a supporto del processo sia chiara e dettagliata ed includa informazioni complete ed esaustive. Verifica che i tempi di ripartenza dei sistemi e servizi applicativi (RTO) siano coerenti con quanto dichiarato. Test di operatività su sito ricoverato Verifica possibilità di svolgere la normale operatività, dopo la ripartenza dei Sistemi Informativi sul polo ricoverato, anche a basi dati disallineate. Tale test è condotto replicando l’operatività dei processi della BIA vitali e critici, concentrandosi in particolare sul flusso end-to-end (dall’ingresso all’uscita). Test di analisi disallineamenti e recupero dati persi Verifica che le basi dati ricoverate siano consistenti e coerenti (es. quanti flussi persi). Verifica capacità di effettuare analisi dei disallineamenti/dati persi e di definire le modalità e le condizioni di recuperabilità dei dati sulla base dei tool sviluppati e delle norme organizzative previste. Test di filiale in effettivo Verifica svolta da una Filiale effettiva collegata all’ambiente di DR. Il test consiste nello svolgimento di Test Funzionale che ha l’obiettivo di verificare il funzionamento delle principali applicazioni di Filiale e, per ciascuna di esse, delle principali transazioni (inizialmente solo in inquiry). Poichè durante il test la Filiale è collegata sito di DR e non alla normale produzione, il test è condotto dagli utenti durante un sabato. Test di collegamento con le controparti rilevanti Il test, effettuato dal sito ricoverato, si pone come obiettivo: • invio alla controparte di dati a perdere o a non perdere (da concordare con la controparte) e verifica dell’esito (tecnico-applicativo e utente). • ricezione di dati a perdere dalla controparte e verifica della correttezza dei dati ricevuti ed elaborati (tecnica-applicativa e utente). Test di operatività con controparti rilevanti Rispetto al test che prevede solo il collegamento, si innesca uno scambio di messaggi / operatività estesa Test della soluzione di BC per la mitigazione della causa dell’interruzione (es: Gruppo di Continuità, telefoni satellitari, …) Per i siti in Affidabilità: verifica dell’attestazione di esistenza di UPS, Gruppi Elettrogeni (GE), impianti Frigo Termici (FT) e di tutti gli apparati elettrici/meccanici necessari a garantire l’affidabilità del sito. Per i siti in Alta Affidabilità: verifica dell’attestazione di ridondanza di UPS, Gruppi Elettrogeni (GE), impianti Frigo Termici (FT) e di tutti gli apparati elettrici/meccanici necessari a garantire l’alta affidabilità del sito. Verifica dell’esistenza dei piani di manutenzione annuali e degli esiti degli interventi condotti sugli apparati elettrici/meccanici necessari a garantire l’affidabilità / alta affidabilità del sito. Verifica che a seguito di interruzione di un servizio (energia, impianto frigo-termico, TLC), la funzionalità da questo svolta venga ripristinata secondo la soluzione tecnologica definita e nei tempi previsti. © CeTIF, 2006. Tutti i diritti riservati. Pagina 10 di 20 Basilea II e Business Continuity: Soluzioni Tecnologiche e Organizzative - Fase III Simulazioni dell’interruzione dei servizi infrastrutturali (Es. simulazione del fermo dell’alimentazione da rete ENEL ed attivazione del G.E.) con frequenze anche mensili per i siti in Alta Affidabilità. Test del processo di BC per Indisponibilità Servizi Infrastrutturali Verifica dell’esistenza e della completezza dei manuali tecnici di pronto intervento. Verifica che le attività in essi indicate siano chiare e dettagliate in modo da poter essere eseguite anche da risorse non esperte. Test del processo di BC per Inaccessibilità dei Locali (trasferimento delle risorse) Verificare che le misure organizzative di continuità operativa, previste dal Manuale Utente, siano attuabili e che la documentazione a supporto del processo sia chiara e dettagliata ed includa informazioni complete ed esaustive. Il test prevede il trasferimento di alcune risorse a campione, appartenenti ad Uffici che svolgono un’operatività significativa in termini di processi vitali e critici. Test del processo di BC per Indisponibilità Personale Essenziale (trasferimento dell’operatività) Verificare che gli utenti sostituti abbiano le competenze di base necessarie a garantire la continuità operativa del processo loro assegnato. Il test prevede lo svolgimento, da parte di alcune risorse a campione, di operatività legata a processi vitali e critici a loro assegnati in qualità di utenti sostituti. Test della soluzione di BC per Perdita Documenti e Dotazioni specifiche Il test prevede la verifica dell’effettiva presenza sui dischi di storage di rete di tutta la documentazione ritenuta essenziale per lo svolgimento dei processi più critici. Test di operatività società esterne fornitrici A integrazione dello scenario “indisponibilità del personale” in quanto prevede la verifica dell’eventuale soluzione di avere una “copertura estesa” da parte della società che fornisce il pacchetto software. Test del Modello Organizzativo di Gestione delle Crisi Il test prevede una prima simulazione in role play, interna al Cantiere, di uno scenario di disastro di BCP, finalizzato alla macro-verifica della validità del modello. La seconda simulazione allargherà il perimetro tramite il coinvolgimento dei Cantieri realizzativi impattati. In seguito si procederà con la simulazione delle scenario di “Interruzione sistemi informativi”, che vedrà il coinvolgimento delle strutture necessarie. 3 – BC e Progettazione organizzativa La progettazione organizzativa8 si propone di definire modelli per la gestione e la divisione dei compiti (processi amministrativi, produttivi, distributivi, ecc.) coerenti con gli obiettivi della banca. Pertanto la BC, implementata per garantire la continuità operativa, non impone soltanto l’individuazione di soluzioni operative per la gestione delle emergenze (e delle discontinuità), ma 8 Per progettazione organizzativa si intende l’insieme delle attività rivolte a realizzare e sostenere il funzionamento dell’assetto organizzativo della banca, incidendo su processi, struttura, figure professionali e competenze, sistemi informativi e di coordinamento, cultura. © CeTIF, 2006. Tutti i diritti riservati. Pagina 11 di 20 Basilea II e Business Continuity: Soluzioni Tecnologiche e Organizzative - Fase III anche le adeguate modalità di distribuzione dei compiti, delle autonomie e delle responsabilità tra i vari organi aziendali in rapporto alla BC stessa. In tale ambito, la gestione della BC deve essere trasversale alla banca, attraverso l’impiego di adeguate risorse, strutture e metodologie. Questo può essere garantito tramite: • mandato dell’Alta Direzione che identifichi nella funzione di BC l’owner della gestione della continuità operativa; • adeguato posizionamento della funzione di BC, che le conferisca l’autorità necessaria al raggiungimento degli obiettivi prefissati; • dotazione di mezzi, risorse e competenze adeguate alla funzione di BC; • regole interne che facilitino la gestione della continuità operativa; • presidi organizzativi e operativi atti ad evitare disallineamenti con l’insieme delle regole esterne ed interne; • utilizzo di risorse con dipendenza funzionale dalla funzione di BC, integrate nelle aree operative. Gli studi condotti nell’ambito dell’organizzazione aziendale9 individuano inoltre uno stretto rapporto tra cultura ed efficacia organizzativa, suggerendo il perseguimento del corretto equilibrio tra valori culturali, strategia organizzativa, struttura e ambiente con l’obiettivo di migliorare le performance organizzative. Tra gli obiettivi della banca vi è pertanto lo sviluppo della cultura del rischio e di BC per prevenire comportamenti operativi e iniziative di management rischiosi e/o dannosi per la continuità del business. Per ottenere tali risultati sono auspicabili: • promozione e sponsorship dell’Alta Direzione nella definizione di attività formative e informative; • coinvolgimento fattivo delle risorse nella definizione del piano di BC; • partecipazione delle risorse alle fasi di Test. 3.1 – Modelli organizzativi per l’approccio alla gestione del cambiamento La funzione di BC ha la responsabilità di realizzare il piano di continuità operativa e aggiornarlo sulla base dei cambiamenti che si verificano all’interno della banca. Il coordinamento della gestione del cambiamento nella BC tra la funzione centrale responsabile e gli organi periferici (BC Manager di settore) può avvenire attraverso due modelli, che nella pratica tendono a sovrapporsi con facilità dando origine ad approcci intermedi. Possono quindi essere definiti i seguenti archetipi, ovvero schematizzazioni di comportamenti organizzativi che la banca adotta a seconda della propria dimensione, cultura organizzativa, contesto territoriale, ecc. Modello accentrato 9 La funzione BC è completamente autonoma e dotata di risorse adeguate per numero e competenza professionale. Resta dunque l’unica realtà aziendale che si occupa della gestione della BC, assumendo l’onere di registrare, verificare e presidiare i cambiamenti avvenuti all’interno della banca e che comportano un aggiornamento del BCP. I BC Manger di settore hanno il ruolo di referenti presso le DAFT R., “Organizzazione Aziendale”, Apogeo, Milano 2001 © CeTIF, 2006. Tutti i diritti riservati. Pagina 12 di 20 Basilea II e Business Continuity: Soluzioni Tecnologiche e Organizzative - Fase III componenti periferiche della banca e di consulenti per l’implementazione di soluzioni che riguardano il processo o l’area da loro presidiata. L’efficacia di questo modello è potenzialmente molto elevata, a patto che non degeneri in una burocratizzazione eccessiva e comporti la duplicazione di competenze e ownership tra i soggetti coinvolti (es: tra UO di BC e BC manager settoriali). E’ un modello molto oneroso in termini di risorse e tempi di risposta al cambiamento, riscontrabile in organizzazioni di grosse dimensioni e con gerarchie ben definite, che approcciano la gestione della BC in modo monarchico10. Modello decentrato La responsabilità del cambiamento è in capo al BC manger e all’UO di BC. Essi hanno il compito di coordinare le attività dei BC manger settoriali che hanno un ruolo attivo nel segnalare i cambiamenti organizzativi e nel proporre le soluzioni di presidio. Questi ultimi hanno anche la responsabilità di apportare modifiche di limitato impatto al piano di BC, come ad esempio l’aggiornamento delle liste di contatto relative al proprio ambito operativo. Tale modello riduce lo sforzo e il numero di risorse necessari alla UO di BC nella gestione del cambiamento, nonostante implichi una maggiore complessità nel coordinare i livelli di responsabilità e i flussi informativi coinvolti. E’ un modello adottato da organizzazioni principalmente federali con un basso livello di burocratizzazione e una cultura aziendale improntata sulla collaborazione, la valorizzazione delle competenze e la delega delle responsabilità. 3.2 - Gestione del cambiamento organizzativo e BC I cambiamenti che impongono alla banca una modifica del BCP sono classificabili generalmente in tre categorie: 1. 2. 3. Cambiamenti nella distribuzione geografica e/o territoriale Modifiche nella struttura aziendale Evoluzione delle Soluzioni tecnologiche Al verificarsi del cambiamento, la banca necessita di mantenere il proprio BCP aggiornato attraverso due approcci: 1. Definizione delle soluzioni di BC ex-post rispetto al cambiamento organizzativo (manutenzione evolutiva del BCP) attraverso le fasi del BC Management tradizionali e già consolidate all’interno della banca; 2. Verifiche della conformità alla “normativa di BC” ex-ante rispetto al cambiamento organizzativo, “anticipando” i cambiamenti e coadiuvando le fasi progettuali. La conformità viene assicurata attraverso: 10 Modello di gestione dell BC molto accentrato per quanto riguarda lo stile di governance e rigoroso nelle metodologie. Gestisce dalla sede centrale le iniziative che coinvolgono anche le aree più periferiche. Ha il vantaggio di essere efficace e contenere i costi, ma lo svantaggio di risultare piuttosto rigido e poco versatile specialmente con riferimento ai contesti particolari (condizionati da diverse culture aziendali, diversi sistemi informativi, processi ecc…) - Cfr. Rapporto di Ricerca CeTIF: “Basilea 2 e Business Continuity, soluzioni tecnologiche e organizzative – Fase 2”, Milano, 2005 © CeTIF, 2006. Tutti i diritti riservati. Pagina 13 di 20 Basilea II e Business Continuity: Soluzioni Tecnologiche e Organizzative - Fase III • emanazione di principi e linee guida, ovvero la formulazione di una normativa interna che favorisca la diffusione e lo sviluppo della cultura della BC e supporti la funzione in oggetto nel presidio delle minacce alla continuità operativa; • partecipazione a comitati e gruppi di lavoro dell’area organizzazione, in cui la figura preposta alla tutela della continuità operativa ha la possibilità di segnalare le problematiche di BC e ipotizzare elementi di presidio e mitigazione del rischio (es: partecipazione al “comitato rischi operativi”); • attività di consulenza nelle fasi progettuali, con il fine di evitare e/o limitare involontari ed eccessivi disallineamenti tra gli output del progetto e le esigenze di gestione della continuità operativa (es: insediamento di un nuovo CED che non rispetti i la distanza minima da quello già esistente); • attività di revisione e validazione del cambiamento (prima della sua implementazione), segnalando le criticità del progetto rispetto alla BC e proponendo le modifiche che si reputano necessarie e attuabili (che non limitino l’efficacia del progetto e non si rivelino eccessivamente costose). Le modalità di approccio ex-ante presentano quindi caratteristiche e modalità di impiego differenti. Gli attori coinvolti nell’impiego di tali strumenti, oltre alla funzione BC quale owner della continuità operativa, sono: • organizzazione e logistica: attori principali del processo di progettazione organizzativa e di gestione del cambiamento organizzativo; • personale/HR: unità coinvolta per le modifiche e i cambiamenti nella distribuzione dei ruoli, delle responsabilità e delle dipendenze all’interno della struttura organizzativa aziendale, o per quanto concerne attività formative collegate al cambiamento; • Process Owner e BC Manager settoriali: massima espressione della competenza e della conoscenza relativamente ai processi coinvolti nel cambiamento; • sistemi informativi: coinvolti limitatamente all’impatto del cambiamento su specifiche soluzioni tecnologiche, anche collegate direttamente alla BC (esempio: Disaster Recovery e sistemi di Alta Affidabilità). Per ognuno di essi, riportati a seconda del grado di efficacia, vengono in seguito specificati vantaggi, svantaggi e periodicità, come riassunti nella Tabella 1: © CeTIF, 2006. Tutti i diritti riservati. Pagina 14 di 20 Basilea II e Business Continuity: Soluzioni Tecnologiche e Organizzative - Fase III Tabella 1 – Strumenti di gestione del cambiamento ex-ante Strumento Vantaggi Svantaggi Attività di consulenza nelle fasi progettuali Coerenza/conformità ai requisiti di BC in modo “nativo”, riduzione dell’impatto sulle soluzioni già implementate e aggiornamento delle stesse in tempo reale, migliore compromesso costo/soluzione Impatto negativo sui tempi di realizzazione dei cambiamenti, maggiore dimensionamento della struttura BC, complessità di gestione delle relazioni Partecipazione a comitati e gruppi di lavoro Valutazione formale delle problematiche di BC, veicolare le problematiche della BC in modo più diretto, riduzione dell’impatto sulle soluzioni già implementate maggiore dimensionamento della struttura BC, appesantimento delle attività di revisione Emanazione di principi e linee guida Diffusione cultura BC, coinvolgimento formale nella gestione del cambiamento Complessità di compromesso tra soluzione e garanzia di BC, aumento dei vincoli in fase progettuale Attività di revisione e validazione del cambiamento Feedback formale sulle soluzioni adottate, revisione dei progetti non conformi alla BC Scarsa possibilità di agire sul cambiamento, tempi e costi dell’attività di revisione Attori Coinvolti Funzione BC, Organizzazione, Logistica, Personale, Process Owner (CIO/IT su Soluzioni Tech) Efficacia Periodicità Periodicità Massima Semestrale e al verificarsi del cambiamento Alta Trimestrale e al cambiamento / su richiesta Medio /bassa Annuale / Semestrale Bassa Su ogni progetto Fonte: CeTIF 2006 © CeTIF, 2006. Tutti i diritti riservati. Pagina 15 di 20 Basilea II e Business Continuity: Soluzioni Tecnologiche e Organizzative - Fase III 4 - Approccio alla gestione dei rischi Il rischio operativo è una variabile determinante per quanto riguarda il business del settore bancario e la sua gestione, normata dal Comitato di Basilea, riveste un ruolo fondamentale per garantire la stabilità della banca attraverso l’allocazione di adeguati livelli patrimoniali. L’obiettivo è di misurare e gestire tali requisiti patrimoniali e allocare il capitale necessario affinché l’organizzazione non soltanto abbia la possibilità di evitare possibili perdite finanziarie, ma anche l’opportunità di gestire efficacemente i propri investimenti e produrre miglioramenti in efficienza, incidendo sui costi operativi. Quanto finora affermato si inserisce in un contesto di transizione ed evoluzione da una prospettiva di “Loss Management”, focalizzata a registrare in modo puntuale le perdite operative, a un approccio che potrebbe essere definito “Risk and Process Management”, dove l’attenzione viene incentrata sui processi bancari e sulle loro performance e il rischio assume i connotati di una variabile legata alla capacità di presidiarli e gestirli; il risk management viene cioè ad assumere un importante ruolo nella gestione per processi11. La tabella 2 pone in evidenza alcuni tra gli elementi che differenziano le due concezioni: Tabella 2 – Confronto tra Loss Management e Risk & Process Management Caratteristiche Loss Management Risk & Process Management Registrazione delle perdite ex-post Registrazione delle perdite, analisi dei dati e mitigazione dei rischi Dati di perdita Rischio e performance di processo Definizione dei requisiti patrimoniali Riduzione del rischio e miglioramento delle performance Attori Coinvolti ORM ORM, BC, Compliance, Organizzazione e stakeholder (IT, HR, Legale, ecc.) Analisi dei dati Dati Storici per conoscenza del “passato” Dati storici e previsionali con uno “sguardo al futuro” Vision Oggetto di misurazione Obiettivo Fonte: CeTIF 2006 Vision l’evoluzione dell’approccio non prende in considerazione esclusivamente la registrazione delle perdite, ma si allarga all’analisi dei dati e allo studio di soluzioni 11 La gestione per processi si configura come trasversale alle funzioni aziendali, focalizzando l’attenzione sull’intero processo di creazione del valore aziendale, dall’input delle risorse all’output di prodotto. Il processo è la sequenza delle attività, ovvero il criterio secondo il quale le attività si susseguono in modo interdipendente attraverso legami di tipo generico, sequenziale e reciproco. I processi aziendali si caratterizzano, inoltre, per le risorse che necessariamente devono essere utilizzate per produrre gli output, tali risorse possono essere energie personali, tempo, risorse finanziarie e materiali. L’esito del processo, o output, è inteso come l’unità materiale o immateriale che scaturisce dallo svolgere delle attività di processo. I clienti sono intesi come i destinatari dell’output del processo. Il processo aziendale è, inoltre, caratterizzato dal sistema di misurazione e controllo delle performance, ovvero dall’insieme di criteri che definiscono le modalità attraverso le quali il processo dovrebbe operare attraverso l’utilizzo di parametri che limitano e regolano il funzionamento delle attività. © CeTIF, 2006. Tutti i diritti riservati. Pagina 16 di 20 Basilea II e Business Continuity: Soluzioni Tecnologiche e Organizzative - Fase III per la mitigazione dei rischi attraverso l’ottimizzazione dei processi di business. Oggetto di misurazione Le banche che adottano modelli organizzativi emergenti, in particolare orientati ai processi, necessitano di sistemi di misurazione delle performance coerenti con gli obiettivi che la struttura organizzativa si propone di raggiungere. Il focus si sposta dunque sulle performance dei processi, la cui misurazione contribuisce alla stima del rischio operativo e alla progettazione/reindirizzo delle strategie della banca. La caratteristica principale dei sistemi di misurazione risiede nella loro capacità di fornire un feedback utile al processo di apprendimento strategico che consente di adeguare la strategia intrapresa in relazione alle capacità delle risorse aziendali, e di migliorare le inefficienze riscontrate. Obiettivo Oltre alla definizione dei requisiti patrimoniali di vigilanza, l’analisi dei dati viene utilizzata come input per la progettazione delle soluzioni di mitigazione; la misurazione delle performance dei processi è utilizzata per il miglioramento in efficienza ed efficacia delle performance stesse, a garanzia della soddisfazione dell’utente finale. Attori Coinvolti La gestione del rischio operativo è agevolata anche dal coinvolgimento degli attori di processo nella ricerca di un maggior presidio sulle attività che presentano livelli di rischio più elevati. Il numero degli attori coinvolti include dunque funzioni legate al process management e ai molteplici aspetti del rischio operativo (normativo, legale, reputazionale ecc.) in un modello basato sulle interrelazioni e le sinergie collaborative tra le diverse funzioni (Cfr. paragrafo 4.3). Analisi dei dati La misurazione del rischio non fornisce esclusivamente un’immagine del passato, attraverso lo studio dei dati storici di perdita, ma anche un “occhio sul futuro” grazie all’integrazione del sistema di misurazione tradizionale con un sistema di Self Risk Assessment: esso rappresenta l’elemento che completa la misurazione dei rischi operativi, sopperendo all’incompletezza informativa dell’analisi dei dati di perdita e fornendo una prospettiva forward looking. La moderna prospettiva di Risk Management nasce dall’esigenza della banca di fare fronte all’aumento della complessità nella gestione dei rischi, in particolare dovuta al presidio del rischio operativo, fino a oggi meno considerato rispetto al rischio di credito e di mercato. Proprio la normativa e l’esigenza di rendersi conformi a essa hanno portato la banca a implementare unità organizzative ad hoc, quali la recente funzione Compliance e, precedentemente, Audit, in qualità di revisore interno. Fino ad oggi le verifiche di conformità sono state eseguite dall’Internal Audit, funzione indipendente e in linea solo agli organi apicali, che ha l’obiettivo di revisionare le varie operazioni poste in essere e verificarne la correttezza rispetto a quanto definito dalle norme interne ed esterne alla banca. Volendo dunque generalizzare un modello evoluto di gestione dei rischi operativi, è possibile sostenere che il BCM e l’ORM vengono affiancati principalmente da due funzioni: la Compliance e l’Organizzazione, in qualità di responsabile dei processi operativi e dell’attuazione delle soluzioni per il presidio e la mitigazione dei rischi e per l’ottimizzazione delle performance dei processi. La Figura 3 descrive graficamente il modello: © CeTIF, 2006. Tutti i diritti riservati. Pagina 17 di 20 Basilea II e Business Continuity: Soluzioni Tecnologiche e Organizzative - Fase III Figura 3 – Attori coinvolti nella Gestione del Rischio Sicurezza BUSINESS CONTINUITY: tutela e gestione della continuità operativa, mitigazione dei rischi operativi, analisi e produzione dei dati relativi al rischio BC RM ORGANIZZAZIONE: Responsabili dei processi operativi e della loro aderenza al Risk & Compliance Management Org. CM IT Audit RISK MANAGEMENT: Da una misurazione delle pedite ex-post ad attività di mitigazione ex-ante sulla base dei dati analizzati COMPLIANCE: Garante del rispetto di una normativa “esterna” (legislatura) e interna (conformità agli obiettivi di business) Legale HR Fonte: CeTIF 2006 Oltre alle funzioni sopradescritte, nella figura sono evidenziate altre funzioni coinvolte nel modello in qualità di stakeholder: • Sicurezza, in qualità di funzione a presidio del rischio tecnologico e per la tutela dell’integrità, della disponibilità e della riservatezza dei dati; • IT e Human Resources, con il compito di supportare l’organizzazione attraverso tecnologie abilitanti, attività di formazione o gestione del personale preposto alle diverse attività/processi oggetto dell’ORM; • Legale, a coadiuvare e rafforzare il presidio della Compliance sul rischio normativo; • Audit, con riferimento a quanto precedentemente descritto, in qualità di supervisore e validatore dell’intera attività del modello di gestione del rischio. Le frecce che in figura collegano le varie funzioni rappresentano i flussi informativi e la condivisione di strumenti e metodologie che intercorrono tra gli attori del modello. Le performance dei processi della banca possano dunque essere considerati il punto focale e l’anello di congiunzione tra le attività di ORM e di BCM, accomunate dalle seguenti attività: • Mappatura dei processi; • Analisi dei dati sull’operatività come sistema predittivo (es: KRI e KPI); • Attività di mitigazione e tutela della continuità; Mappatura dei processi (output e metodologie): La fase di mappatura dei processi consente al management di prendere visione delle principali criticità di processo, ma anche delle potenzialità degli stessi, allo scopo di sviluppare politiche di miglioramento dell’efficienza coerenti con gli obiettivi definiti a livello di strategia d’impresa. Per la creazione di una base dati comune focalizzata sulle performance e sui rischi legati ai processi è indubbia l’utilità per l’ORM di una mappatura puntuale, univoca e “moderna” come quella eseguita dalla BC nella fase di Analisi degli Impatti sul Business. E’ bene precisare che la mappatura in questione riguarda i processi critici e vitali oggetto della normativa emanata da Banca d’Italia, ma, nel passaggio alla creazione di una base dati comune, è possibile trasferire le metodologie e le competenze utilizzate per la mappatura © CeTIF, 2006. Tutti i diritti riservati. Pagina 18 di 20 Basilea II e Business Continuity: Soluzioni Tecnologiche e Organizzative - Fase III in questione, allargandone la prospettiva ai diversi processi. L’applicazione di pratiche già consolidate determina un significativo aumento in efficienza di tale attività. Valutazione “business” dei processi e delle rischiosità “high severity, low frequency”: le pratiche e i risultati di misurazione delle rischiosità degli eventi presidiati dall’ORM (low severity, high frequency) possono essere integrate da quelle utilizzate dalla BC. La valutazione della rischiosità è infatti effettuata in rapporto a eventi di crisi e disastro (high severity, low frequency) e riguarda anche elementi tipicamente di business, come valori, volumi, tempistiche, ecc., costituendo un importante punto di partenza per l’approccio risk & process management. L’allargamento dell’attività di valutazione ai diversi processi bancari (o al numero di essi che si ritiene opportuno) rientra nella definizione di una base dati comune per la gestione dell’operatività. Soluzioni per la continuità operativa e BCP: le soluzioni tecnologiche e organizzative implementate dalla banca possono essere riadattate al contesto di minore portata e applicate anche nella mitigazione e gestione dei RO. Per esempio, le tecnologie implementate per il DR, per i siti in Affidabilità e Alta Affidabilità, hanno l’obiettivo di ridurre RTO e RPO in modo sensibile, garantendo la riduzione dell’impatto sul business anche nei casi di discontinuità di scarsa portata. Sempre con l’obiettivo di riutilizzare gli investimenti effettuati in tecnologie per la continuità, l’adozione di innovative politiche per la redistribuzione tra i CED del carico elaborativo offre inoltre la possibilità di ottimizzare le performance dei processi, ottenendo misurazioni più efficienti e, di conseguenza, ridurre il patrimonio di vigilanza. © CeTIF, 2006. Tutti i diritti riservati. Pagina 19 di 20 Basilea II e Business Continuity: Soluzioni Tecnologiche e Organizzative - Fase III CeTIF Università Cattolica del Sacro Cuore Largo Gemelli, 1 - 20123 Milano Tel. + 39 02 72342590 Fax. + 39 02 43980770 E-mail: [email protected] www.cetif.it © CeTIF, 2006. Tutti i diritti riservati. Pagina 20 di 20