Il progetto di Business Continuity: le fasi di ... · Il progetto di Business Continuity: le fasi...

The information reflected in this document, including, without limitation, case studies, frameworks, methodologies, and benchmark comparisons, is confidential and proprietaryinformation of Nolan, Norton & Company, Inc. Unauthorized reproduction, distribution, disclosure or dissemination is prohibited.

(Copyright © 2005 Nolan, Norton & Company, Inc. All right reserved. This precautionary notice against inadvertent publication is neither an acknowledgement ofpublication, nor waiver of confidentiality.)

Management Consultants

Nolan, Norton Italia

Via Vittor Pisani 13, MilanoTel. +39 02 67197.1Fax +39 02 67197.555

Siena, 8 luglio 2005

Il progetto di Business Continuity: le fasi di "implementation" e "maintenance"

Andrea Beretta

Associate Partner

([email protected])

Nolan, Norton ItaliaManagement Consulting © Copyright 2005 by Nolan, Norton Italia

2

Agenda

BCM, la scadenza del 30 giugno: consuntivi

Le nuove fasi: realizzazione – manutenzione (metodologia

e spunti dall’estero)

Alcuni punti di attenzione per l’agenda dei responsabili

BCM nei prossimi mesi


3

La metodologia

Come evidenziato rispetto alla metodologia ABI per BCM, il progetto è terminato con la conclusione della fase di design, che ha permesso di definire le soluzioni di gestione della continuità operativa e il piano degli interventi

Le Banche hanno creato le basi per gestire la propria continuità operativa, secondo le ipotesi e le assunzioni esplicitate

VERIFICHE PERIODICHEVERIFICHE PERIODICHE

Perimetro di progetto


4

Bia: Rilevanza per area

Back - office

• Pagamenti

• Titoli

• Estero

• Crediti

• Monetica

Finanza

• Proprietà

• Conto terzi

Tesoreria

Crediti

Governo

• Contabilità

• Contr di gest.

• Segnal. OOVV

Canali telematici

Aree territoriali

Rilevanza

prevalente

degli aspetti

di Business

Continuity

per processi

/ attività

(*)

Media

Bassa

Alta

Legenda

Front office back-office di

finanza, tesoreria e

pagamenti le aree piu’

critiche

Altre aree in funzione di

necessità/sensibilità

business specifiche

(*) Fonte: elaborazione NNI-KpmgAdvisory sulla base di un campione di alcuni gruppi bancari


5

“… Diamo i numeri …”

In perimetro BCM/numero

dipendenti totali

Minime/perimetro BCM

Minime/su dipendenti totali

Stima risorse umane coinvolte (*) (range in % )

8-15

30-50

2-6

(*) Fonte: elaborazione NNI-KpmgAdvisory sulla base di un campione di alcuni gruppi bancari


6

Design: le soluzioni tipiche (1)

Soluzioni / principiSoluzioni / principi

+ €1 2 3

1 2Servizio Contact

CenterDirezione xy

Gestione e Sviluppo Servizibbbbb

Pianificazione Operativa e

Sistemiccccc

CustomerServiceaaaa

Servizio Contact CenterDirezione xy

Gestione e Sviluppo Servizibbbbb

Pianificazione Operativa e

Sistemiccccc

CustomerServiceaaaa

3

Backup reciproco per processi già svolti in più siti o presso outsourcer

Spostamento risorse critiche in sito equivalente (sistemi,

infrastrutture, ecc.)

Spostamento risorse critiche in sito preventivamente adeguato (sistemi,

logistica, attrezzature, ecc..)

Processo già svolto in più siti o presso outsourcer:

backup reciproco

Backup con risorse di unità organizzative differenti che svolgono attività similari / complementari (include interventi di formazione)

Soluzioni organizzative: piani di formazione, piani di rotazione, body

rental, ecc.

ScenariScenari

Indisponibilità risorse critiche

Indisponibilità edificio e/o

infrastrutture

1 2Processi con attivazione immediata

Indisponibilità sistemi

Soluzioni di “contingency” di tipo

organizzativo Copertura della soluzione

di Disaster Recovery

Processi con attivazione non immediata


7

Design: le soluzioni tipiche (2)

Soluzioni / principiSoluzioni / principi

1 2

1 2

Soluzioni di emergenza di tipo organizzativo (ad es.

accordo con altri fornitori)

Copertura contrattuale

Backup documentazione digitalizzata/duplicata

Assunzione rischio

ScenariScenari

Indisponibilità documentazione

Indisponibilità Servizi


8

I nuovi ambiti

PRESIDIO GESTIONEEMERGENZE

FUNZIONE BCM (e relativi processi)

Sono strutture organizzative aziendali per la gestione strategico/ tattica delle emergenzeDopo l’istituzione potranno essere attivate su base di necessità presidio continuoSono competenti per l’intera azienda, non per il solo settore ICT

In generale è una funzione nuovaGarantisce l’esercizio del processo di gestione della continuità operativa (verifiche, piano di continuità, allineamento soluzioni, ecc.)

PROCESSI PER GESTIONE

EMERGENZESono propri almeno dei processi ritenuti critici ai fini della continuità operativaSono pensati per consentire il ripristino e l’operatività in situazioni di emergenza

Di nuova istituzioneEsistenti


9

Le nuove fasi: realizzazione e manutenzione

Perimetro di progetto 1 luglio – DICEMBRE 2006

LIN

EED

I IN

TER

VEN

TO

OPE

AR

TIVE

DesignDesignMaintenance,Maintenance,

Testing &Testing &ImprovementImprovement

ImplementationImplementationBusiness Business

Impact Impact AnalisysAnalisys

PROGRAM MANAGEMENTPROGRAM MANAGEMENT

PREDISPOSIZIONE BCP (PROCEDURE ORGANIZZATIVE) PREDISPOSIZIONE BCP (PROCEDURE ORGANIZZATIVE)

ADEGUAMENTI LOGISTICIADEGUAMENTI LOGISTICI

INTERVENTI INTERVENTI RISORSE UMANERISORSE UMANE

ImpostazioneImpostazione

Tempo

INTERVENTI ICT (INTERVENTI ICT (MainframeMainframe –– Dipartimentali Dipartimentali -- Postazioni) Postazioni)

Le attività relative al BCM dovranno evolverenell’implementazione

degli interventi e successivamente nella

gestione e manutenzione del

Piano e delle “capacità” di supportare la

continuità operativa


10

Realizzazione: il metodo

Le Banche dovranno attuare, oltre agli interventi specificati nel Piano, alcune azioni complessive particolarmente sfidanti:

Integrare nel tessuto organizzativo/ operativo il concetto di continuità operativa (BCM), a garanzia del continuo allineamento tra azienda e soluzioni/ strategie di continuità (evidenziare l’aspetto strategico (cambiamento assetto aziendale/ di gruppo) e operativo (IT/ organizzazione, operativi, ).

Addestrare ed educare il proprio personale alla cultura del BCM, mantenendo a un livello opportuno sia la sensibilità verso tale tematica sia le capacità di attuare le strategie in caso di emergenza

Per questo sono opportuni:

iniziative sul piano organizzativo (ad es. introduzione della valutazione “Impatto su BCM” nella valutazione delle proposte di lancio di nuovi prodotti/ progetti/ soluzioni)

la sensibilizzazione delle risorse critiche e, in modo più generico, delle risorse dell’intera Banca (“awarness” sulla tematica anche attraverso strumenti in “intranet”)

la formazione delle competenze delle risorse che saranno coinvolte nelle attività per la continuità operativa.


11

Realizzazione: un esempio

Il BCM come parte integrante dei processi aziendali del Gruppo

Fonte: presentazione Deutsche Bank


12

Realizzazione : aspetti operativi

ID Attività Attività Responsabile Stato/ note SC2.RIP.ITDEV.R.1 Alla ricezione della notifica di avvenuto incidente e di attivazione

del BCP, informa il proprio Team riguardo la situazione e comunica al team l’attivazione della procedura di emergenza.

*CDC = Comitato di gestione della Crisi

SC2.RIP.ITDEV.R.2 Coordina e supervisiona la conduzione delle procedure di terminazione delle attività.

SC2.RIP.ITDEV.R.3 Rimane in contatto con il CDC per avere informazioni sulle possibilità e modalità di abbandono e allontanamento dall’edificio.

SC2.RIP.ITDEV.R.4 Verifica che ogni componente del team di sviluppo completi e gli restituisca il verbale di terminazione delle attività in corso.

SC2.RIP.ITDEV.R.5 Raccoglie i verbali. SC2.RIP.ITDEV.R.6 Fornisce ai componenti del team le informazioni relative alla

possibilità e modalità di abbandono dell’edificio.

SC2.RIP.ITDEV.R.7 Autorizza i singoli componenti del team ad abbandonare l’edificio ad avvenuto completamento della procedura di terminazione e riordino del posto di lavoro.

SC2.RIP.ITDEV.R.8 Registra nome, data e ora dell’allontanamento dal posto di lavoro.

• Le procedure devono poter fornire un supporto operativo in caso di emergenza al personale delle Unità Organizzative tenute a ripristinare l’operatività.• E’ ipotizzabile che le U.O. in questione avranno il compito di sviluppare e redigere tale procedure con il coordinamento e la supervisione della funzione BCM.• E’ opportuno che la funzione BCM definisca struttura, layout e contenuti del BCP e istruisca conseguentemente le U.O. coinvolte, a garanzia di uniformità, omogeneità e coerenza del prodotto finale.

ESEMPLIFICATIVO


13

Manutenzione: il metodo

Come richiesto dalla normativa di Banca d’Italia, le Banche dovranno inoltre verificare periodicamente rispetto all’evoluzione dell’Azienda:

l’adeguatezza delle strategie, delle soluzioni e delle procedure per la continuità,

la coerenza del Business Continuity Plan,

le capacità del proprio personale nell’applicare le procedure e di utilizzare le soluzioni per la continuità.

I compiti indicati si traducono, operativamente, in:condurre verifiche e aggiornamenti periodici della BIA e, qualora necessario, del Design,

verificare e adeguare di conseguenza le procedure operative di emergenza,

condurre verifiche operative di vario tipo, sulla base del Piano aziendale dei test per la continuità


14

Manutenzione: aspetti operativi

0%10%20%30%40%50%60%70%80%90%

100%

Livello di definizione dei presuppostidelle analisi

Grado di coinvolgimento delmanagement e commitment dell'A

Direzione

Grado di formalizzazione dei risultatidelle analisi e dei razionali delle

scelte adottate

Allineamento con altre attivitàaziendali collegate

(Es. Risk Management e Sicurezza)

Grado di conformità alle direttive diBanca d'Italia

ESEMPLIFICATIVO

Grandi gruppi francesi, ad esempio, hanno realizzato da alcuni anni un modello accentrato di conduzione e gestione del processo di BCM:

in fase di sviluppo hanno definito linee guida, modelli, e strumenti di alto livello per l’attivazione del processo di BCM

le aziende del Gruppo sono generalmente chiamate a condurre autonomamente le attività, utilizzando le linee guida fornite dalla casa madre

periodicamente la Capogruppo organizza incontri di verifica e allineamento su scala internazionale, rivolti a tutte le Aziende

le verifiche sono supervisionate dalla Funzione Audit della singola Azienda e, periodicamente, dalla funzione Audit centrale di Gruppo


15

Alcuni punti di attenzione per l’agenda dei responsabili BCM nei prossimi mesi

• Definire al più presto il piano attuativo per le unità / funzionicoinvolte, con responsabilità, tempi e “deliverable” associati ben identificati

• Gestire la complessità realizzativa dovuta al coinvolgimento di diverse entità (organizzazione, logistica, risorse umane , ICT ecc.) interne e esterne (“outsourcer” , fornitori chiave …)

• Predisporre un adeguato modello di governo del piano attuativoassicurando il coinvolgimento dell’ Alta Direzione

• Le banche (l’evoluzione “business”) non si fermano: necessità di rivedere parti di bia e design, mentre si realizza

• Inserire anche lo “step” analisi impatti BCM nella revisione dei procesi/nuovi progetti

• Effettuare test efficaci realmente utili ma al tempo stesso compatibili con l’operatività ordinaria per la banca/gruppo


16

… per concludere …

Grazie per l’attenzione e buon lavoro!

Un anno e mezzo sembra lungo, ma corre veloce … e ci sono

tante cose da fare …

Il progetto di Business Continuity: le fasi di ... · Il progetto di Business Continuity: le fasi...

Documents

Transcript of Il progetto di Business Continuity: le fasi di ... · Il progetto di Business Continuity: le fasi...