Riporto un articolo tratto dall'ultima newsletter di ANSSAIF.
Le normative nazionali e gli standard internazionali sottolineano che il processo di Business Continuity Management (BCM) deve essere inserito nella Corporate Governance. Le attività di BCM devono focalizzarsi e supportare direttamente le strategie e gli obiettivi di business, e deve essere parte integrante delle usuali operazioni di business e di gestione del rischio.
Nelle istituzioni finanziarie a livello mondiale le attività BCM sono principalmente affidate ad una unità indipendente inserita in diversi modelli organizzativi, secondo gli obiettivi o gli aspetti di continuità operativa che l'organizzazione vuole sottolineare.
Il primo modello organizzativo largamente diffuso mostra che l'unità BCM è all'interno del dipartimento che si occupa dell'Organizzazione. Questo modello favorisce gli aspetti di analisi di processo e operativi di gestione dell'emergenza, lavorando in stretto contatto con l'area logistica.
Un secondo modello organizzativo mantiene il BCM all'interno dell'area IT. Questa visione sottolinea l'importanza degli aspetti tecnologici della BCM (Disaster Recovery), ma in diversi casi è un modello che si sta sempre piú abbandonando, perché spesso tende a non considerare in maniera adeguata alcuni aspetti di business.
Un terzo modello mostra l'unità BCM integrata nel dipartimento che si occupa della Sicurezza Fisica (safety) e/o Logica (protezione dei dati e delle informazioni), nell'ambito della Security Convergence, che è oggetto di discussione nel prossimo convegno annuale a Roma. Questo approccio è particolarmente valido se la Sicurezza è posizionata molto in alto nell'organigramma aziendale.
Un altro modello presenta la BCM all'interno del Risk Management, sottolineandone gli aspetti di analisi e mitigazione del rischio strettamente connessi con il Rischio Operativo. La metodologia di analisi del rischio è pero' sostanzialmente diversa, essendo nel caso dei Rischi Operativi basata sull'analisi delle perdite operative, e quindi di carattere statistico, mentre nell'ambito BCM è principalmente di natura deterministica, cioé orientata alla cause delle interruzioni, sulle quali è possibile operare con eventuali soluzioni di mitigazione.
L'esperienza effettuata da alcune banche all'estero sottolinea l'importanza della collaborazione tra BCM e Rischi Operativi, non solo nella parte di realizzazione dei Risk Assessment, ma anche nella individuazione e gestione dei Controlli Interni condivisi e nella reportistica integrata verso gli organi direzionali.
In realtà un nuovo approccio sperimentale potrebbe ribaltare tutti questi modelli organizzativi in cui i vari dipartimenti bancari sono rappresentati da strutture verticali a "silos".
Alcune banche, tra cui BSI, hanno recentemente creato delle nuove strutture organizzative trasversali con l’obiettivo di fornire alle funzioni di fronte e alla clientela un servizio integrato, unificando i processi end-to-end di ideazione, creazione e implementazione dei prodotti e servizi finanziari. Sotto la stessa direzione sono riunite, ad esempio, la divisione marketing e lo sviluppo nuovi prodotti finanziari, l'area operations, l'area informatica, la sicurezza, la logistica, ecc.
É in questo nuovo contesto che viene collocata la BCM, che dovrebbe essere in grado, una volta ben definito l'ambito regolamentale e normativo di riferimento, di supportare meglio i processi critici dell' organizzazione ed integrarsi in maniera piú stringente nella Corporate Governance aziendale.
Autore: Marco Beozzi, Consigliere ANSSAIF; BCManager, Banca Svizzera Italiana
Ultimi commenti