Il progetto di Business Continuity: le fasi di ... · Il progetto di Business Continuity: le fasi...
Transcript of Il progetto di Business Continuity: le fasi di ... · Il progetto di Business Continuity: le fasi...
The information reflected in this document, including, without limitation, case studies, frameworks, methodologies, and benchmark comparisons, is confidential and proprietaryinformation of Nolan, Norton & Company, Inc. Unauthorized reproduction, distribution, disclosure or dissemination is prohibited.
(Copyright © 2005 Nolan, Norton & Company, Inc. All right reserved. This precautionary notice against inadvertent publication is neither an acknowledgement ofpublication, nor waiver of confidentiality.)
Management Consultants
Nolan, Norton Italia
Via Vittor Pisani 13, MilanoTel. +39 02 67197.1Fax +39 02 67197.555
Siena, 8 luglio 2005
Il progetto di Business Continuity: le fasi di "implementation" e "maintenance"
Andrea Beretta
Associate Partner
Nolan, Norton ItaliaManagement Consulting © Copyright 2005 by Nolan, Norton Italia
2
Agenda
BCM, la scadenza del 30 giugno: consuntivi
Le nuove fasi: realizzazione – manutenzione (metodologia
e spunti dall’estero)
Alcuni punti di attenzione per l’agenda dei responsabili
BCM nei prossimi mesi
Nolan, Norton ItaliaManagement Consulting © Copyright 2005 by Nolan, Norton Italia
3
La metodologia
Come evidenziato rispetto alla metodologia ABI per BCM, il progetto è terminato con la conclusione della fase di design, che ha permesso di definire le soluzioni di gestione della continuità operativa e il piano degli interventi
Le Banche hanno creato le basi per gestire la propria continuità operativa, secondo le ipotesi e le assunzioni esplicitate
VERIFICHE PERIODICHEVERIFICHE PERIODICHE
Perimetro di progetto
Nolan, Norton ItaliaManagement Consulting © Copyright 2005 by Nolan, Norton Italia
4
Bia: Rilevanza per area
Back - office
• Pagamenti
• Titoli
• Estero
• Crediti
• Monetica
Finanza
• Proprietà
• Conto terzi
Tesoreria
Crediti
Governo
• Contabilità
• Contr di gest.
• Segnal. OOVV
Canali telematici
Aree territoriali
Rilevanza
prevalente
degli aspetti
di Business
Continuity
per processi
/ attività
(*)
Media
Bassa
Alta
Legenda
Front office back-office di
finanza, tesoreria e
pagamenti le aree piu’
critiche
Altre aree in funzione di
necessità/sensibilità
business specifiche
(*) Fonte: elaborazione NNI-KpmgAdvisory sulla base di un campione di alcuni gruppi bancari
Nolan, Norton ItaliaManagement Consulting © Copyright 2005 by Nolan, Norton Italia
5
“… Diamo i numeri …”
In perimetro BCM/numero
dipendenti totali
Minime/perimetro BCM
Minime/su dipendenti totali
Stima risorse umane coinvolte (*) (range in % )
8-15
30-50
2-6
(*) Fonte: elaborazione NNI-KpmgAdvisory sulla base di un campione di alcuni gruppi bancari
Nolan, Norton ItaliaManagement Consulting © Copyright 2005 by Nolan, Norton Italia
6
Design: le soluzioni tipiche (1)
Soluzioni / principiSoluzioni / principi
+ €1 2 3
1 2Servizio Contact
CenterDirezione xy
Gestione e Sviluppo Servizibbbbb
Pianificazione Operativa e
Sistemiccccc
CustomerServiceaaaa
Servizio Contact CenterDirezione xy
Gestione e Sviluppo Servizibbbbb
Pianificazione Operativa e
Sistemiccccc
CustomerServiceaaaa
3
Backup reciproco per processi già svolti in più siti o presso outsourcer
Spostamento risorse critiche in sito equivalente (sistemi,
infrastrutture, ecc.)
Spostamento risorse critiche in sito preventivamente adeguato (sistemi,
logistica, attrezzature, ecc..)
Processo già svolto in più siti o presso outsourcer:
backup reciproco
Backup con risorse di unità organizzative differenti che svolgono attività similari / complementari (include interventi di formazione)
Soluzioni organizzative: piani di formazione, piani di rotazione, body
rental, ecc.
ScenariScenari
Indisponibilità risorse critiche
Indisponibilità edificio e/o
infrastrutture
1 2Processi con attivazione immediata
Indisponibilità sistemi
Soluzioni di “contingency” di tipo
organizzativo Copertura della soluzione
di Disaster Recovery
Processi con attivazione non immediata
Nolan, Norton ItaliaManagement Consulting © Copyright 2005 by Nolan, Norton Italia
7
Design: le soluzioni tipiche (2)
Soluzioni / principiSoluzioni / principi
1 2
1 2
Soluzioni di emergenza di tipo organizzativo (ad es.
accordo con altri fornitori)
Copertura contrattuale
Backup documentazione digitalizzata/duplicata
Assunzione rischio
ScenariScenari
Indisponibilità documentazione
Indisponibilità Servizi
Nolan, Norton ItaliaManagement Consulting © Copyright 2005 by Nolan, Norton Italia
8
I nuovi ambiti
PRESIDIO GESTIONEEMERGENZE
FUNZIONE BCM (e relativi processi)
Sono strutture organizzative aziendali per la gestione strategico/ tattica delle emergenzeDopo l’istituzione potranno essere attivate su base di necessità presidio continuoSono competenti per l’intera azienda, non per il solo settore ICT
In generale è una funzione nuovaGarantisce l’esercizio del processo di gestione della continuità operativa (verifiche, piano di continuità, allineamento soluzioni, ecc.)
PROCESSI PER GESTIONE
EMERGENZESono propri almeno dei processi ritenuti critici ai fini della continuità operativaSono pensati per consentire il ripristino e l’operatività in situazioni di emergenza
Di nuova istituzioneEsistenti
Nolan, Norton ItaliaManagement Consulting © Copyright 2005 by Nolan, Norton Italia
9
Le nuove fasi: realizzazione e manutenzione
Perimetro di progetto 1 luglio – DICEMBRE 2006
LIN
EED
I IN
TER
VEN
TO
OPE
AR
TIVE
DesignDesignMaintenance,Maintenance,
Testing &Testing &ImprovementImprovement
ImplementationImplementationBusiness Business
Impact Impact AnalisysAnalisys
PROGRAM MANAGEMENTPROGRAM MANAGEMENT
PREDISPOSIZIONE BCP (PROCEDURE ORGANIZZATIVE) PREDISPOSIZIONE BCP (PROCEDURE ORGANIZZATIVE)
ADEGUAMENTI LOGISTICIADEGUAMENTI LOGISTICI
INTERVENTI INTERVENTI RISORSE UMANERISORSE UMANE
ImpostazioneImpostazione
Tempo
INTERVENTI ICT (INTERVENTI ICT (MainframeMainframe –– Dipartimentali Dipartimentali -- Postazioni) Postazioni)
Le attività relative al BCM dovranno evolverenell’implementazione
degli interventi e successivamente nella
gestione e manutenzione del
Piano e delle “capacità” di supportare la
continuità operativa
Nolan, Norton ItaliaManagement Consulting © Copyright 2005 by Nolan, Norton Italia
10
Realizzazione: il metodo
Le Banche dovranno attuare, oltre agli interventi specificati nel Piano, alcune azioni complessive particolarmente sfidanti:
Integrare nel tessuto organizzativo/ operativo il concetto di continuità operativa (BCM), a garanzia del continuo allineamento tra azienda e soluzioni/ strategie di continuità (evidenziare l’aspetto strategico (cambiamento assetto aziendale/ di gruppo) e operativo (IT/ organizzazione, operativi, ).
Addestrare ed educare il proprio personale alla cultura del BCM, mantenendo a un livello opportuno sia la sensibilità verso tale tematica sia le capacità di attuare le strategie in caso di emergenza
Per questo sono opportuni:
iniziative sul piano organizzativo (ad es. introduzione della valutazione “Impatto su BCM” nella valutazione delle proposte di lancio di nuovi prodotti/ progetti/ soluzioni)
la sensibilizzazione delle risorse critiche e, in modo più generico, delle risorse dell’intera Banca (“awarness” sulla tematica anche attraverso strumenti in “intranet”)
la formazione delle competenze delle risorse che saranno coinvolte nelle attività per la continuità operativa.
Nolan, Norton ItaliaManagement Consulting © Copyright 2005 by Nolan, Norton Italia
11
Realizzazione: un esempio
Il BCM come parte integrante dei processi aziendali del Gruppo
Fonte: presentazione Deutsche Bank
Nolan, Norton ItaliaManagement Consulting © Copyright 2005 by Nolan, Norton Italia
12
Realizzazione : aspetti operativi
ID Attività Attività Responsabile Stato/ note SC2.RIP.ITDEV.R.1 Alla ricezione della notifica di avvenuto incidente e di attivazione
del BCP, informa il proprio Team riguardo la situazione e comunica al team l’attivazione della procedura di emergenza.
*CDC = Comitato di gestione della Crisi
SC2.RIP.ITDEV.R.2 Coordina e supervisiona la conduzione delle procedure di terminazione delle attività.
SC2.RIP.ITDEV.R.3 Rimane in contatto con il CDC per avere informazioni sulle possibilità e modalità di abbandono e allontanamento dall’edificio.
SC2.RIP.ITDEV.R.4 Verifica che ogni componente del team di sviluppo completi e gli restituisca il verbale di terminazione delle attività in corso.
SC2.RIP.ITDEV.R.5 Raccoglie i verbali. SC2.RIP.ITDEV.R.6 Fornisce ai componenti del team le informazioni relative alla
possibilità e modalità di abbandono dell’edificio.
SC2.RIP.ITDEV.R.7 Autorizza i singoli componenti del team ad abbandonare l’edificio ad avvenuto completamento della procedura di terminazione e riordino del posto di lavoro.
SC2.RIP.ITDEV.R.8 Registra nome, data e ora dell’allontanamento dal posto di lavoro.
• Le procedure devono poter fornire un supporto operativo in caso di emergenza al personale delle Unità Organizzative tenute a ripristinare l’operatività.• E’ ipotizzabile che le U.O. in questione avranno il compito di sviluppare e redigere tale procedure con il coordinamento e la supervisione della funzione BCM.• E’ opportuno che la funzione BCM definisca struttura, layout e contenuti del BCP e istruisca conseguentemente le U.O. coinvolte, a garanzia di uniformità, omogeneità e coerenza del prodotto finale.
ESEMPLIFICATIVO
Nolan, Norton ItaliaManagement Consulting © Copyright 2005 by Nolan, Norton Italia
13
Manutenzione: il metodo
Come richiesto dalla normativa di Banca d’Italia, le Banche dovranno inoltre verificare periodicamente rispetto all’evoluzione dell’Azienda:
l’adeguatezza delle strategie, delle soluzioni e delle procedure per la continuità,
la coerenza del Business Continuity Plan,
le capacità del proprio personale nell’applicare le procedure e di utilizzare le soluzioni per la continuità.
I compiti indicati si traducono, operativamente, in:condurre verifiche e aggiornamenti periodici della BIA e, qualora necessario, del Design,
verificare e adeguare di conseguenza le procedure operative di emergenza,
condurre verifiche operative di vario tipo, sulla base del Piano aziendale dei test per la continuità
Nolan, Norton ItaliaManagement Consulting © Copyright 2005 by Nolan, Norton Italia
14
Manutenzione: aspetti operativi
0%10%20%30%40%50%60%70%80%90%
100%
Livello di definizione dei presuppostidelle analisi
Grado di coinvolgimento delmanagement e commitment dell'A
Direzione
Grado di formalizzazione dei risultatidelle analisi e dei razionali delle
scelte adottate
Allineamento con altre attivitàaziendali collegate
(Es. Risk Management e Sicurezza)
Grado di conformità alle direttive diBanca d'Italia
ESEMPLIFICATIVO
Grandi gruppi francesi, ad esempio, hanno realizzato da alcuni anni un modello accentrato di conduzione e gestione del processo di BCM:
in fase di sviluppo hanno definito linee guida, modelli, e strumenti di alto livello per l’attivazione del processo di BCM
le aziende del Gruppo sono generalmente chiamate a condurre autonomamente le attività, utilizzando le linee guida fornite dalla casa madre
periodicamente la Capogruppo organizza incontri di verifica e allineamento su scala internazionale, rivolti a tutte le Aziende
le verifiche sono supervisionate dalla Funzione Audit della singola Azienda e, periodicamente, dalla funzione Audit centrale di Gruppo
Nolan, Norton ItaliaManagement Consulting © Copyright 2005 by Nolan, Norton Italia
15
Alcuni punti di attenzione per l’agenda dei responsabili BCM nei prossimi mesi
• Definire al più presto il piano attuativo per le unità / funzionicoinvolte, con responsabilità, tempi e “deliverable” associati ben identificati
• Gestire la complessità realizzativa dovuta al coinvolgimento di diverse entità (organizzazione, logistica, risorse umane , ICT ecc.) interne e esterne (“outsourcer” , fornitori chiave …)
• Predisporre un adeguato modello di governo del piano attuativoassicurando il coinvolgimento dell’ Alta Direzione
• Le banche (l’evoluzione “business”) non si fermano: necessità di rivedere parti di bia e design, mentre si realizza
• Inserire anche lo “step” analisi impatti BCM nella revisione dei procesi/nuovi progetti
• Effettuare test efficaci realmente utili ma al tempo stesso compatibili con l’operatività ordinaria per la banca/gruppo
Nolan, Norton ItaliaManagement Consulting © Copyright 2005 by Nolan, Norton Italia
16
… per concludere …
Grazie per l’attenzione e buon lavoro!
Un anno e mezzo sembra lungo, ma corre veloce … e ci sono
tante cose da fare …